Smlouva o zpracování osobních údajů (DPA)

Šablona podle čl. 28 GDPR · Verze 1.0 · 10. 6. 2026

Pro koho je DPA určena? Pokud obec používá DurinDesk pro evidenci občanských hlášení, je správcem osobních údajů občanů. Durin s.r.o. je zpracovatelem. Podle čl. 28 GDPR musí být mezi správcem a zpracovatelem uzavřena písemná smlouva. Tuto šablonu DPA dostane každá obec při podpisu hlavní smlouvy.

Stáhnout šablonu DPA

Šablona je k dispozici ve formátu Markdown (čitelný plain-text) a obsahuje žlutě označená pole, která se vyplní podle konkrétní obce. Pro právní vymahatelnost doporučujeme revizi advokátem specializovaným na GDPR.

Stáhnout DPA šablonu (Markdown)

Co DPA obsahuje

Identifikace stran — obec (správce) a Durin s.r.o. (zpracovatel).
Předmět smlouvy — zpracování osobních údajů občanů v rámci provozu DurinDesku.
Kategorie subjektů a údajů — kdo, jaké údaje, na jakém právním základě.
Doba zpracování — po dobu trvání hlavní smlouvy + likvidace po skončení.
Povinnosti zpracovatele — důvěrnost, bezpečnost, dílčí zpracovatelé (sub-processors), informování o porušení.
Bezpečnostní opatření — TLS, šifrování dat v klidu, řízení přístupů, audit.
Spolupráce s úřadem — pomoc správci při kontrole ÚOOÚ.
Dílčí zpracovatelé — seznam (hostingový provider, e-mail služba) a souhlas s jejich zapojením.
Ukončení smlouvy — výmaz nebo vrácení údajů, dokumentace likvidace.

Jak postupovat

Stáhněte si šablonu DPA.
Vyplňte žlutě označená pole (identifikace obce, kontaktní osoba, datum, …).
Šablonu posíláme i v rámci onboardingu — pokud už jste klientem, najdete ji v e-mailu s prvním přístupem.
DPA podepište oběma stranami (možno elektronicky, např. Signi.com) před nasazením DurinDesku do produkce.

Sub-processors (dílčí zpracovatelé)

Pro provoz DurinDesku využíváme následující dílčí zpracovatele se sídlem v EU:

Zpracovatel	Účel	Lokalita
WebSupport, s.r.o.	Webhosting (sdílený / VPS), e-mail, doménový provisioning	Slovensko / EU
Účetní kancelář (jednotlivá obec)	Fakturace, daňová evidence	ČR

O případné změně dílčích zpracovatelů budeme správce (obec) informovat v dostatečném předstihu (min. 30 dnů) s možností námitky.

Bezpečnostní opatření

DurinDesk implementuje následující technická a organizační opatření:

Šifrování v přenosu — HTTPS (Let's Encrypt nebo komerční certifikát) pro veškerou komunikaci.
Šifrování v klidu — citlivé tokeny (e-mailové notifikace, API klíče) jsou šifrované AES-256-GCM.
Řízení přístupů — role-based access control (RBAC) v GLPI backofficu, audit log všech přístupů.
Anonymizace — automatická anonymizace dat občanských hlášení po 3 letech (konfigurovatelné).
Zálohování — denní DB zálohy s retencí 30 dnů (volitelné, podle SLA tieru).
Logování — bezpečnostní audit log pro forenzní analýzu.

Kontakt pro GDPR otázky

E-mail: info@durin.cz