← Zpět do aplikace

Smlouva o zpracování osobních údajů

Účinné od: 1. 4. 2026

(dále jen „Smlouva" nebo „DPA")

1. Smluvní strany

Zpracovatel:

  • Luboš Fabian, IČO: 19381824
  • E-mail: info@maserapp.cz
  • Provozovatel platformy MasérApp (app.maserapp.cz)
  • (dále jen „Zpracovatel")

Správce:

  • Registrovaný uživatel platformy MasérApp (terapeut)
  • (dále jen „Správce")

Tato Smlouva je nedílnou součástí Obchodních podmínek služby MasérApp a nabývá účinnosti okamžikem registrace Správce v platformě MasérApp.

2. Předmět a účel Smlouvy

2.1. Tato Smlouva upravuje práva a povinnosti smluvních stran při zpracování osobních údajů, které Správce vkládá do platformy MasérApp, a to v souladu s čl. 28 Nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR).

2.2. Zpracovatel zpracovává osobní údaje výhradně za účelem poskytování služeb platformy MasérApp Správci, zejména:

  • Ukládání a správa klientských záznamů Správce
  • Provoz online rezervačního systému
  • Zasílání notifikací klientům Správce (SMS, e-mail, push notifikace)
  • Fakturace a evidence plateb
  • Správa zdravotních záznamů a záznamů o ošetřeních
  • Zálohování dat

2.3. Zpracovatel zpracovává osobní údaje pouze na základě doložených pokynů Správce, přičemž za doložený pokyn se považuje používání funkcí platformy MasérApp Správcem.

3. Kategorie subjektů údajů

Zpracování se týká následujících kategorií subjektů údajů:

  • Klienti Správce (osoby, které využívají masérské služby Správce)

4. Rozsah zpracovávaných osobních údajů

4.1. Identifikační a kontaktní údaje klientů:

  • Jméno a příjmení
  • E-mailová adresa
  • Telefonní číslo
  • Pohlaví
  • Datum narození
  • Adresa bydliště

4.2. Doplňkové údaje klientů:

  • Povolání
  • Koníčky
  • Preference notifikací
  • Souhlas se zpracováním osobních údajů (GDPR consent flag)

4.3. Údaje o zdravotním stavu (zvláštní kategorie osobních údajů dle čl. 9 GDPR):

  • Kontraindikace
  • Zdravotní poznámky (vstupní stížnost, aktuální stav)
  • Mapa bolesti (body map — záznamy o lokalizaci bolesti)
  • Váha a výška

4.4. Zpracovatel bere na vědomí, že zpracovává zvláštní kategorii osobních údajů (údaje o zdravotním stavu) a zavazuje se přijmout odpovídající zvýšená bezpečnostní opatření.

5. Povinnosti Zpracovatele

5.1. Zpracovatel se zavazuje:

  • Zpracovávat osobní údaje pouze na základě doložených pokynů Správce a pouze za účelem plnění této Smlouvy
  • Nezpracovávat osobní údaje pro vlastní účely
  • Zajistit, aby osoby oprávněné zpracovávat osobní údaje byly zavázány povinností mlčenlivosti
  • Přijmout veškerá opatření požadovaná čl. 32 GDPR (bezpečnost zpracování)
  • Dodržovat podmínky pro zapojení dalšího zpracovatele (sub-zpracovatele) uvedené v čl. 6 této Smlouvy
  • S přihlédnutím k povaze zpracování být Správci nápomocen při plnění jeho povinnosti reagovat na žádosti subjektů údajů o výkon jejich práv
  • Být Správci nápomocen při zajišťování souladu s čl. 32–36 GDPR (bezpečnost, ohlašování porušení, posouzení vlivu)
  • Po ukončení poskytování služeb spojených se zpracováním vymazat nebo vrátit veškeré osobní údaje dle volby Správce
  • Poskytnout Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v čl. 28 GDPR

6. Sub-zpracovatelé

6.1. Správce tímto uděluje Zpracovateli obecné písemné pověření k zapojení dalších zpracovatelů (sub-zpracovatelů) za podmínek uvedených v tomto článku.

6.2. Zpracovatel aktuálně využívá následující sub-zpracovatele:

Sub-zpracovatel Účel zpracování Sídlo Umístění dat Záruky
Supabase Inc. Hostování databáze, autentizace, zálohování USA EU (AWS) SCC, SOC 2 Type II
Resend Zasílání transakčních e-mailů (potvrzení, upomínky) USA USA/EU SCC, DPA
GoSMS.cz Zasílání SMS notifikací klientům Česká republika EU GDPR, DPA
Stripe Inc. Zpracování plateb (předplatné terapeutů) USA EU/USA EU-US DPF, SCC, PCI DSS
Sentry (Functional Software Inc.) Monitoring chyb aplikace (technická data) USA USA SCC, DPA

6.3. Zpracovatel informuje Správce o veškerých zamýšlených změnách týkajících se přijetí dalších nebo nahrazení stávajících sub-zpracovatelů, a to minimálně 30 dní předem prostřednictvím e-mailu nebo notifikace v aplikaci. Správce má právo proti těmto změnám vznést námitku.

6.4. Pokud Správce vznese oprávněnou námitku a Zpracovatel změnu neodvolá, má Správce právo smlouvu vypovědět.

6.5. Zpracovatel zajistí, aby sub-zpracovatelé byli vázáni stejnými povinnostmi ochrany osobních údajů, jaké jsou stanoveny v této Smlouvě. Za plnění povinností sub-zpracovatelů odpovídá Zpracovatel.

7. Bezpečnostní opatření

7.1. Zpracovatel přijímá a udržuje následující technická a organizační opatření k zajištění bezpečnosti osobních údajů:

a) Technická opatření:

  • Šifrování dat při přenosu (TLS 1.2+)
  • Šifrování dat v klidu (AES-256 na úrovni databáze)
  • Řízení přístupu na základě rolí (RBAC) — data klientů jednoho terapeuta nejsou přístupná jinému terapeutovi
  • Row-Level Security (RLS) na úrovni databáze pro izolaci dat jednotlivých terapeutů
  • Bezpečná autentizace uživatelů (Supabase Auth, session tokeny)
  • Pravidelné automatické zálohování databáze
  • Monitoring bezpečnostních událostí a chyb (Sentry)
  • HTTPS pro veškerou komunikaci

b) Organizační opatření:

  • Omezení přístupu k osobním údajům pouze na nezbytně nutné osoby
  • Povinnost mlčenlivosti všech osob s přístupem k osobním údajům
  • Pravidelná revize přístupových oprávnění
  • Postupy pro bezpečné smazání dat
  • Postup pro řešení bezpečnostních incidentů

8. Porušení zabezpečení osobních údajů

8.1. Zpracovatel se zavazuje informovat Správce o jakémkoli porušení zabezpečení osobních údajů (data breach) bez zbytečného odkladu, nejpozději do 72 hodin od okamžiku, kdy se o porušení dozvěděl.

8.2. Oznámení bude obsahovat minimálně:

  • Popis povahy porušení zabezpečení včetně kategorií a přibližného počtu dotčených subjektů údajů a záznamů
  • Jméno a kontaktní údaje osoby, od které je možné získat další informace
  • Popis pravděpodobných důsledků porušení
  • Popis opatření, která Zpracovatel přijal nebo navrhl přijmout k řešení porušení, včetně opatření ke zmírnění možných nepříznivých dopadů

8.3. Zpracovatel bude se Správcem plně spolupracovat při řešení porušení a při plnění oznamovacích povinností Správce vůči dozorovému úřadu a subjektům údajů.

9. Práva auditu

9.1. Zpracovatel umožní Správci nebo jím pověřenému auditorovi provést audit nebo inspekci za účelem ověření plnění povinností vyplývajících z této Smlouvy a z GDPR.

9.2. Správce je povinen oznámit záměr provést audit minimálně 30 dní předem a audit provádět způsobem, který nepřiměřeně nenarušuje provoz Zpracovatele.

9.3. Zpracovatel poskytne Správci na vyžádání informace potřebné k prokázání souladu s povinnostmi dle čl. 28 GDPR, zejména:

  • Přehled přijatých technických a organizačních opatření
  • Aktuální seznam sub-zpracovatelů
  • Záznamy o činnostech zpracování
  • Záznamy o bezpečnostních incidentech

9.4. Audit může být proveden maximálně jednou ročně, pokud neexistuje důvodné podezření na porušení povinností Zpracovatele nebo pokud audit nevyžaduje dozorový úřad.

10. Práva subjektů údajů

10.1. Pokud se subjekt údajů (klient Správce) obrátí přímo na Zpracovatele s žádostí o výkon svých práv dle GDPR (přístup, oprava, výmaz, přenositelnost, námitka), Zpracovatel:

  • Neprodleně informuje Správce o obdržené žádosti
  • Nepodnikne žádné kroky bez pokynu Správce, pokud to nevyžaduje zákon
  • Poskytne Správci součinnost potřebnou k vyřízení žádosti

10.2. Zpracovatel technicky umožňuje Správci výkon práv subjektů údajů prostřednictvím funkcí platformy MasérApp (zobrazení, export, úprava a smazání klientských dat).

11. Předávání údajů do třetích zemí

11.1. Zpracovatel zabezpečuje, aby předávání osobních údajů do třetích zemí (mimo EHP) probíhalo v souladu s kapitolou V GDPR, a to na základě:

  • Rozhodnutí Evropské komise o odpovídající úrovni ochrany
  • Standardních smluvních doložek (SCC)
  • EU-US Data Privacy Framework (u certifikovaných subjektů)

11.2. Aktuální přehled umístění dat sub-zpracovatelů je uveden v čl. 6.2 této Smlouvy.

12. Vrácení a výmaz dat po ukončení

12.1. Po ukončení smlouvy o poskytování Služby (ukončení předplatného) Zpracovatel:

  • Umožní Správci export všech osobních údajů ve strojově čitelném formátu po dobu 30 dnů od ukončení
  • Po uplynutí 30denní lhůty trvale vymaže veškeré osobní údaje, včetně záloh, pokud právní předpisy nevyžadují jejich další uchovávání
  • Na žádost Správce vydá potvrzení o výmazu dat

12.2. Správce může kdykoli během trvání smlouvy požádat o export nebo výmaz konkrétních klientských údajů prostřednictvím funkcí platformy nebo písemně na info@maserapp.cz.

13. Doba trvání

13.1. Tato Smlouva nabývá účinnosti okamžikem registrace Správce v platformě MasérApp a trvá po celou dobu využívání Služby Správcem.

13.2. Povinnosti Zpracovatele vyplývající z čl. 8 (porušení zabezpečení), čl. 12 (vrácení a výmaz dat) a povinnost mlčenlivosti přetrvávají i po ukončení této Smlouvy.

14. Odpovědnost

14.1. Zpracovatel odpovídá za škodu způsobenou zpracováním pouze v případě, že nesplnil povinnosti, které GDPR ukládá výslovně zpracovatelům, nebo jednal nad rámec zákonných pokynů Správce či v rozporu s nimi.

14.2. Správce odpovídá za zákonnost zpracování osobních údajů svých klientů, za získání odpovídajícího právního základu a za informování subjektů údajů.

15. Závěrečná ustanovení

15.1. Tato Smlouva se řídí právním řádem České republiky a nařízením GDPR.

15.2. V případě rozporu mezi touto Smlouvou a Obchodními podmínkami v otázkách ochrany osobních údajů má přednost tato Smlouva.

15.3. Změny této Smlouvy jsou možné pouze písemně. O podstatných změnách bude Správce informován minimálně 30 dní předem.

15.4. Pro řešení sporů z této Smlouvy jsou příslušné soudy České republiky.

Tato Smlouva nabývá účinnosti dne 1. 4. 2026.

Zpracovatel: Luboš Fabian, IČO: 19381824, provozovatel platformy MasérApp

Správce: Registrovaný uživatel (terapeut) — souhlas vyjádřen registrací a používáním platformy MasérApp

Obchodní podmínkyZásady ochrany osobních údajůZásady používání cookiesZpracování osobních údajůSmazání účtu