Zmluva o spracúvaní osobných údajov

Posledná aktualizácia: 16. 4. 2026

Táto zmluva o spracúvaní osobných údajov (ďalej len „DPA") je neoddeliteľnou súčasťou Obchodných podmienok platformy Signato a uzatvára sa medzi:

1. Zmluvné strany

Prevádzkovateľom (data controller) je Zákazník — salón alebo podnik používajúci platformu Signato. Identifikačné údaje Prevádzkovateľa sú obsiahnuté v jeho účte.

Sprostredkovateľom (data processor) je:

JR Systems s.r.o.
Sídlo: Landererova 8, 811 09 Bratislava - mestská časť Staré Mesto
IČO: 51413108, IČ DPH: SK2120693399
Registrácia: Obchodný register Mestského súdu Bratislava III, oddiel: Sro, vložka č. 126414/B
E-mail: privacy@signato.sk

2. Predmet a trvanie spracúvania

Sprostredkovateľ spracúva osobné údaje klientok a zamestnancov Prevádzkovateľa výhradne na účely poskytovania platformy Signato — digitálnych zdravotných dotazníkov a informovaných súhlasov pre kozmetické salóny.

Spracúvanie trvá po dobu platnosti Obchodných podmienok. Po ukončení zmluvy dôjde k vymazaniu alebo vráteniu údajov v súlade s čl. 8 tohto DPA.

3. Kategórie dotknutých osôb a údajov

Kategórie dotknutých osôb:

• klientky salónu (osoby, ktoré vypĺňajú zdravotný dotazník)
• zákonní zástupcovia maloletých klientok
• zamestnanci a členovia tímu Prevádzkovateľa

Kategórie osobných údajov:

• identifikačné údaje (meno, priezvisko, dátum narodenia)
• kontaktné údaje (e-mail, telefón, adresa)
• osobitné kategórie — zdravotné údaje (odpovede v dotazníku), vrátane citlivých údajov podľa čl. 9 GDPR
• fotodokumentácia (ak ju Prevádzkovateľ zhromažďuje)
• elektronické podpisy a časové pečiatky
• IP adresa a údaje o prehliadači (pre audit consent)

4. Povinnosti Sprostredkovateľa

1. Spracúva údaje výhradne podľa písomných pokynov Prevádzkovateľa, s výnimkou prípadov, keď takéto spracúvanie vyžaduje právo EÚ alebo SR.
2. Zabezpečí, aby sa osoby oprávnené spracúvať osobné údaje zaviazali k mlčanlivosti.
3. Prijme vhodné technické a organizačné opatrenia podľa čl. 32 GDPR — šifrovanie pri prenose, šifrovanie v pokoji (databázy, úložisko), pseudonymizácia kde to je možné, pravidelné zálohovanie, kontrola prístupu založená na roliach.
4. Bez zbytočného odkladu informuje Prevádzkovateľa o porušení ochrany osobných údajov (data breach), a to najneskôr do 72 hodín od zistenia.
5. Pomáha Prevádzkovateľovi pri vybavovaní žiadostí dotknutých osôb (právo na prístup, opravu, vymazanie, prenositeľnosť) pomocou funkcií platformy.
6. Po skončení spracúvania všetky osobné údaje vymaže alebo vráti podľa voľby Prevádzkovateľa, ak právo EÚ alebo SR nevyžaduje ich uchovanie.
7. Poskytne Prevádzkovateľovi všetky informácie potrebné na preukázanie plnenia povinností podľa čl. 28 GDPR a umožní audit (na vyžiadanie, s primeraným predstihom).

5. Subspracovatelia (sub-processors)

Prevádzkovateľ udeľuje všeobecný súhlas s využívaním nasledujúcich subspracovateľov:

• Hetzner Online GmbH (Nemecko) — hosting servera a zálohovanie (Storage Box). Dátové centrum v EÚ.
• Stripe Payments Europe, Ltd. (Írsko) — spracovanie platieb a správa predplatného. Žiadne zdravotné dáta Stripe nedostáva.
• Google reCAPTCHA (Google Ireland Ltd., Írsko) — ochrana pred botmi pri vypĺňaní verejného dotazníka. Prenos do tretej krajiny (USA) je krytý štandardnými zmluvnými doložkami.
• Sentry (Functional Software, Inc.) — monitoring chýb aplikácie. Prenos do USA je krytý DPF (Data Privacy Framework).
• SMTP poskytovateľ pre transakčné e-maily (konkrétny dodávateľ uvedený v zmluve s Prevádzkovateľom).

Sprostredkovateľ informuje Prevádzkovateľa o zmenách v zozname subspracovateľov najmenej 30 dní vopred e-mailom. Prevádzkovateľ má právo voči takejto zmene namietať; v takom prípade má právo od zmluvy odstúpiť.

6. Prenos do tretích krajín

Všetky primárne dáta (databáza, úložisko súborov, zálohy) sú uložené v EÚ (Nemecko, Hetzner). Prenos do tretích krajín sa uskutočňuje výhradne cez subspracovateľov uvedených v čl. 5 na základe štandardných zmluvných doložiek schválených Európskou komisiou alebo v rámci mechanizmov primeranej ochrany (DPF).

7. Bezpečnostné opatrenia

• šifrovanie prenosu TLS 1.2+ (HTTPS so striktom HSTS)
• šifrovanie databázy a zálohy v pokoji na úrovni disku
• pravidelné bezpečnostné záplaty OS a aplikácií
• autentizácia založená na hesle + voliteľné dvojfaktorové overenie
• role-based access control (owner / staff / readonly)
• audit log všetkých mutačných operácií
• ochrana pred brute-force útokmi (rate limiting)
• reCAPTCHA v3 na verejných formulároch dotazníka
• pravidelné nočné zálohy s off-site replikou

8. Vrátenie a vymazanie údajov

Prevádzkovateľ môže kedykoľvek požiadať o export všetkých údajov svojho účtu v strojovo čitateľnom formáte (JSON/CSV).

Po ukončení zmluvy sú osobné údaje Prevádzkovateľa vymazané z aktívnych systémov do 30 dní. Zo záloh sú údaje vymazané najneskôr do 90 dní od ukončenia zmluvy, podľa rotačného cyklu záloh.

9. Zodpovednosť

Sprostredkovateľ zodpovedá za škodu spôsobenú spracúvaním v rozsahu čl. 82 GDPR. Zodpovednosť je obmedzená v súlade s Obchodnými podmienkami.

10. Kontakt pre GDPR záležitosti

privacy@signato.sk

11. Záverečné ustanovenia

Táto DPA sa riadi právnym poriadkom Slovenskej republiky. V prípade rozporu medzi touto DPA a Obchodnými podmienkami má prednosť DPA v otázkach spracúvania osobných údajov.