Zmluva o spracúvaní osobných údajov

Posledná aktualizácia: 2. 6. 2026

Táto zmluva o spracúvaní osobných údajov (ďalej len „DPA") je neoddeliteľnou súčasťou Obchodných podmienok platformy Signato a uzatvára sa medzi:

1. Zmluvné strany

Prevádzkovateľom (data controller) je Zákazník — salón alebo podnik používajúci platformu Signato. Identifikačné údaje Prevádzkovateľa sú obsiahnuté v jeho účte.

Sprostredkovateľom (data processor) je:

signato s. r. o.
Sídlo: Landererova 7743/8, 811 09 Bratislava - mestská časť Staré Mesto
IČO: 57637105
Registrácia: Obchodný register Mestského súdu Bratislava III, oddiel Sro, vložka č. 199766/B
E-mail: privacy@signato.sk

2. Predmet a trvanie spracúvania

Sprostredkovateľ spracúva osobné údaje klientok a zamestnancov Prevádzkovateľa výhradne na účely poskytovania platformy Signato — digitálnych zdravotných dotazníkov a informovaných súhlasov pre kozmetické salóny.

Spracúvanie trvá po dobu platnosti Obchodných podmienok. Po ukončení zmluvy dôjde k vymazaniu alebo vráteniu údajov v súlade s čl. 8 tohto DPA.

3. Kategórie dotknutých osôb a údajov

Kategórie dotknutých osôb:

• klientky salónu (osoby, ktoré vypĺňajú zdravotný dotazník)
• zákonní zástupcovia maloletých klientok
• zamestnanci a členovia tímu Prevádzkovateľa

Kategórie osobných údajov:

• identifikačné údaje (meno, priezvisko, dátum narodenia)
• kontaktné údaje (e-mail, telefón, adresa)
• osobitné kategórie — zdravotné údaje (odpovede v dotazníku), vrátane citlivých údajov podľa čl. 9 GDPR
• fotodokumentácia (ak ju Prevádzkovateľ zhromažďuje)
• elektronické podpisy a časové pečiatky
• IP adresa a údaje o prehliadači (pre audit consent)

4. Povinnosti Sprostredkovateľa

1. Spracúva údaje výhradne podľa písomných pokynov Prevádzkovateľa, s výnimkou prípadov, keď takéto spracúvanie vyžaduje právo EÚ alebo SR.
2. Zabezpečí, aby sa osoby oprávnené spracúvať osobné údaje zaviazali k mlčanlivosti.
3. Prijme vhodné technické a organizačné opatrenia podľa čl. 32 GDPR — šifrovanie pri prenose, šifrovanie v pokoji (databázy, úložisko), pseudonymizácia kde to je možné, pravidelné zálohovanie, kontrola prístupu založená na roliach.
4. Oznámenie porušenia (data breach): Bez zbytočného odkladu, najneskôr do 24 hodín od zistenia porušenia ochrany osobných údajov, informuje Prevádzkovateľa e-mailom registrovaným v účte. Notifikácia obsahuje:
   • opis povahy porušenia, kategórie a približný počet dotknutých osôb a záznamov;
   • kontaktné údaje na osobu poskytujúcu ďalšie informácie;
   • pravdepodobné dôsledky porušenia;
   • opatrenia prijaté alebo navrhnuté na zmiernenie možných nepriaznivých dôsledkov.
   Skoršia notifikácia umožňuje Prevádzkovateľovi splniť 72-hodinovú lehotu na nahlásenie ÚOOÚ podľa čl. 33 GDPR. Ak Prevádzkovateľ napriek opakovanej výzve nereaguje, Sprostredkovateľ má právo nahlásiť porušenie ÚOOÚ priamo, ak to vyžaduje GDPR alebo zmiernenie škody.
5. Pomáha Prevádzkovateľovi pri vybavovaní žiadostí dotknutých osôb (právo na prístup, opravu, vymazanie, prenositeľnosť) pomocou funkcií platformy.
6. Po skončení spracúvania všetky osobné údaje vymaže alebo vráti podľa voľby Prevádzkovateľa, ak právo EÚ alebo SR nevyžaduje ich uchovanie.
7. Audit a súčinnosť: Poskytne Prevádzkovateľovi všetky informácie potrebné na preukázanie plnenia povinností podľa čl. 28 GDPR formou písomných odpovedí, dokumentácie (RoPA, DPIA, sub-processor binder, certifikáty) a, na požiadanie, vzdialenou demonštráciou. Štandardná súčinnosť (jeden dotazník alebo videohovor ročne v rozsahu max. 4 hodiny) je v cene predplatného. Nadštandardná súčinnosť (fyzický audit na mieste, opakované audity, hĺbkové dotazníky vyžadujúce viac ako 8 hodín práce) je spoplatnená sadzbou 80 EUR / hod. + cestovné, na náklady Prevádzkovateľa.
8. Zodpovednosť za obsah dotazníkov: Sprostredkovateľ poskytuje Službu ako technický nástroj. Nezodpovedá za obsah, znenie, primeranosť ani právny súlad otázok, odpovedí, súhlasov alebo iných údajov, ktoré si Prevádzkovateľ v Službe sám zostavil alebo prispôsobil. Za primeranosť spracúvania osobných údajov klientok podľa čl. 5 GDPR (zákonnosť, minimalizácia, presnosť, integrita) zodpovedá výhradne Prevádzkovateľ.

5. Subspracovatelia (sub-processors)

Prevádzkovateľ udeľuje všeobecný súhlas s využívaním nasledujúcich subspracovateľov:

• Hetzner Online GmbH (Nemecko) — hosting servera a zálohovanie (Storage Box). Dátové centrum v EÚ.
• Stripe Payments Europe, Ltd. (Írsko) — spracovanie platieb a správa predplatného. Žiadne zdravotné dáta Stripe nedostáva.
• Google reCAPTCHA (Google Ireland Ltd., Írsko) — ochrana pred botmi pri vypĺňaní verejného dotazníka. Prenos do tretej krajiny (USA) je krytý štandardnými zmluvnými doložkami.
• Sentry (Functional Software, Inc.) — monitoring chýb aplikácie. Prenos do USA je krytý DPF (Data Privacy Framework).
• SMTP poskytovateľ pre transakčné e-maily (konkrétny dodávateľ uvedený v zmluve s Prevádzkovateľom).

Sprostredkovateľ informuje Prevádzkovateľa o zmenách v zozname subspracovateľov najmenej 30 dní vopred e-mailom. Prevádzkovateľ má právo voči takejto zmene namietať; v takom prípade má právo od zmluvy odstúpiť.

6. Prenos do tretích krajín

Všetky primárne dáta (databáza, úložisko súborov, zálohy) sú uložené v EÚ (Nemecko, Hetzner). Prenos do tretích krajín sa uskutočňuje výhradne cez subspracovateľov uvedených v čl. 5 na základe štandardných zmluvných doložiek schválených Európskou komisiou alebo v rámci mechanizmov primeranej ochrany (DPF).

7. Bezpečnostné opatrenia

• šifrovanie prenosu TLS 1.2+ (HTTPS so striktom HSTS)
• šifrovanie citlivých zdravotných údajov na úrovni aplikácie (AES-256) a šifrovanie záloh (AES-256 cez GPG)
• pravidelné bezpečnostné záplaty OS a aplikácií
• autentizácia založená na hesle + voliteľné dvojfaktorové overenie
• role-based access control (owner / staff / readonly)
• audit log všetkých mutačných operácií
• ochrana pred brute-force útokmi (rate limiting)
• reCAPTCHA v3 na verejných formulároch dotazníka
• pravidelné nočné zálohy s off-site replikou

8. Vrátenie a vymazanie údajov

Prevádzkovateľ môže kedykoľvek požiadať o export všetkých údajov svojho účtu v strojovo čitateľnom formáte (JSON/CSV).

Po ukončení zmluvy sú osobné údaje Prevádzkovateľa vymazané z aktívnych systémov do 30 dní. Zo záloh sú údaje vymazané najneskôr do 90 dní od ukončenia zmluvy, podľa rotačného cyklu záloh.

9. Zodpovednosť

Sprostredkovateľ zodpovedá za škodu spôsobenú spracúvaním v rozsahu čl. 82 GDPR. Zodpovednosť je obmedzená v súlade s Obchodnými podmienkami.

10. Kontakt pre GDPR záležitosti

privacy@signato.sk

11. Záverečné ustanovenia

Táto DPA sa riadi právnym poriadkom Slovenskej republiky. V prípade rozporu medzi touto DPA a Obchodnými podmienkami má prednosť DPA v otázkach spracúvania osobných údajov.