Smlouva o zpracování osobních údajů
(Příloha Obchodních podmínek služby Týmová Kasa)
Účinnost ode dne: 9. dubna 2026
1. Smluvní strany
Správce osobních údajů (dále jen „Správce“):
Uživatel služby Týmová Kasa, který si zřídil uživatelský účet a do Služby zadává osobní údaje členů svého týmu (zejména hráčů, trenérů, dalších členů). Identita Správce je vymezena údaji poskytnutými při registraci ve Službě.
Zpracovatel osobních údajů (dále jen „Zpracovatel“):
- Jméno: Tomáš Prokop
- Sídlo: Šrámkova 3213/12, 400 11 Ústí nad Labem – Severní Terasa
- IČO: 19173326
- Kontaktní e-mail: info@tymovakasa.cz
2. Úvodní ustanovení
2.1 Tato Smlouva o zpracování osobních údajů (dále jen „Smlouva“ nebo „DPA“) je uzavřena v souladu s čl. 28 nařízení (EU) 2016/679 (GDPR) a tvoří nedílnou součást Obchodních podmínek služby Týmová Kasa (dále jen „Obchodní podmínky“).
2.2 Správce uzavírá tuto Smlouvu se Zpracovatelem současně s vyjádřením souhlasu s Obchodními podmínkami při registraci uživatelského účtu ve Službě.
2.3 V případě rozporu mezi touto Smlouvou a Obchodními podmínkami má v otázkách zpracování osobních údajů přednost tato Smlouva.
3. Předmět a účel zpracování
3.1 Předmětem zpracování je poskytování služby Týmová Kasa Správci, v jejímž rámci Správce zadává a spravuje osobní údaje členů svého týmu.
3.2 Účelem zpracování je umožnit Správci evidovat členy týmu, jejich pokuty, příspěvky, platby a stav týmové pokladny prostřednictvím Služby.
3.3 Povaha zpracování: Automatizované zpracování osobních údajů prostřednictvím cloudové aplikace, zejména ukládání, organizace, strukturování, zobrazování, vyhledávání, úprava, mazání a export dat.
4. Doba trvání zpracování
4.1 Zpracování probíhá po celou dobu, po kterou má Správce ve Službě aktivní uživatelský účet.
4.2 Smlouva zaniká současně se zánikem uživatelského účtu Správce ve Službě.
4.3 Po zániku Smlouvy postupuje Zpracovatel podle čl. 11 této Smlouvy.
5. Typ osobních údajů a kategorie subjektů údajů
5.1 Kategorie subjektů údajů, jejichž osobní údaje mohou být v rámci Služby zpracovávány:
- Členové týmů spravovaných Správcem (zejména hráči, trenéři, asistenti, další členové)
- Včetně nezletilých (typicky u mládežnických týmů)
5.2 Typy zpracovávaných osobních údajů:
- Identifikační údaje: jméno, příjmení, případně přezdívka
- Kontaktní údaje: e-mailová adresa, telefonní číslo (pokud je zadáno)
- Fotografie (pokud jsou nahrány)
- Údaje o členství v týmu (role, pozice, datum přidání)
- Finanční záznamy: evidované pokuty, příspěvky, platby, zůstatek
- Záznamy o aktivitě v rámci týmu
5.3 V rámci Služby se nezpracovávají zvláštní kategorie osobních údajů podle čl. 9 GDPR (citlivé údaje o zdraví, etnickém původu, politických názorech apod.). Správce se zavazuje takové údaje do Služby nezadávat.
6. Povinnosti a práva Správce
6.1 Správce je výhradně odpovědný za:
- Existenci právního titulu pro zpracování osobních údajů členů týmu (zejména souhlas dotčených osob, oprávněný zájem klubu, členský vztah, smluvní vztah, případně souhlas zákonných zástupců u nezletilých)
- Plnění informační povinnosti vůči subjektům údajů (čl. 13 a 14 GDPR), zejména informování členů týmu o tom, jak jsou jejich údaje zpracovávány, kdo je správcem a jaká mají práva
- Vyřizování žádostí subjektů údajů (přístup, oprava, výmaz, omezení zpracování, námitka, přenositelnost) – Zpracovatel poskytuje Správci součinnost dle čl. 9 této Smlouvy
- Rozhodnutí o aktivaci či deaktivaci funkce veřejného sdílení přehledu týmu a důsledky tohoto rozhodnutí (viz Zásady ochrany osobních údajů, čl. 6)
- Přesnost a aktuálnost zadaných údajů
- Zákonnost zpracování ve smyslu čl. 6 GDPR
6.2 Správce vydává Zpracovateli pokyny ke zpracování osobních údajů prostřednictvím samotného užívání Služby (vytváření, úprava, mazání záznamů). Za jiné než takto vydané pokyny se považují pouze písemné pokyny zaslané na e-mail info@tymovakasa.cz.
7. Povinnosti Zpracovatele
7.1 Zpracovatel se zavazuje:
a) Zpracovávat osobní údaje výhradně na základě doložených pokynů Správce, a to včetně předávání do třetích zemí (které probíhá pouze prostřednictvím schválených subzpracovatelů uvedených v čl. 8 a vždy s vhodnými zárukami).
b) Zajistit, aby osoby oprávněné zpracovávat osobní údaje se zavázaly k mlčenlivosti nebo se na ně vztahovala zákonná povinnost mlčenlivosti.
c) Přijmout vhodná technická a organizační opatření podle čl. 32 GDPR k zajištění úrovně zabezpečení odpovídající danému riziku, viz čl. 10 této Smlouvy.
d) Zapojovat subzpracovatele pouze za podmínek uvedených v čl. 8 této Smlouvy.
e) Být Správci nápomocen při plnění jeho povinností reagovat na žádosti o výkon práv subjektů údajů, viz čl. 9.
f) Být Správci nápomocen při zajišťování souladu s povinnostmi dle čl. 32 až 36 GDPR (zabezpečení, ohlašování porušení, posouzení vlivu).
g) Po ukončení poskytování služeb smazat nebo vrátit Správci všechny osobní údaje a smazat existující kopie, pokud právo Unie nebo členského státu nepožaduje uložení daných osobních údajů (viz čl. 11).
h) Poskytnout Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v čl. 28 GDPR, a umožnit audity dle čl. 12 této Smlouvy.
i) Neprodleně informovat Správce, pokud podle jeho názoru určitý pokyn porušuje GDPR nebo jiné předpisy o ochraně osobních údajů.
8. Subzpracovatelé
8.1 Správce uděluje Zpracovateli obecné povolení k zapojení dalších zpracovatelů (dále jen „subzpracovatelů“) za podmínek stanovených v této Smlouvě.
8.2 Aktuální seznam subzpracovatelů zapojených do poskytování Služby:
| Subzpracovatel | Účel zpracování | Lokace zpracování | Záruky |
|---|---|---|---|
| Supabase, Inc. | Cloudová databáze, autentizace, file storage | EU (Frankfurt, eu-central-1) | DPA, EU |
| Vercel, Inc. | Hostování aplikace, edge funkce, analytics | EU/USA | DPA + SCC |
| Resend, Inc. | Odesílání transakčních e-mailů | EU/USA | DPA + SCC |
| Stripe Payments Europe, Limited | Zpracování plateb a fakturace | Irsko / EU | DPA |
8.3 Zpracovatel se zavazuje uložit subzpracovatelům stejné povinnosti ochrany údajů, jaké jsou stanoveny v této Smlouvě, a to formou smluv nebo standardních DPA poskytovaných příslušnými subzpracovateli.
8.4 Změny v seznamu subzpracovatelů: Zpracovatel si vyhrazuje právo měnit seznam subzpracovatelů. O přidání nebo nahrazení subzpracovatele bude Zpracovatel Správce informovat nejméně 30 dní předem prostřednictvím aktualizace této Smlouvy a/nebo e-mailem na adresu uvedenou při registraci. Správce má právo z důvodu nesouhlasu s novým subzpracovatelem ukončit smluvní vztah smazáním uživatelského účtu před nabytím účinnosti změny. Pokud má Správce v tomto okamžiku aktivní (předplacený) tarif PRO, vzniká mu nárok na vrácení poměrné části předplatného za nevyužité měsíce, a to analogicky podle čl. 9.4 Obchodních podmínek.
8.5 V případě, že subzpracovatel poruší své povinnosti ochrany údajů, odpovídá Správci za plnění povinností tohoto subzpracovatele Zpracovatel.
9. Pomoc Správci s žádostmi subjektů údajů
9.1 Zpracovatel je Správci nápomocen vhodnými technickými a organizačními opatřeními při plnění jeho povinnosti reagovat na žádosti o výkon práv subjektů údajů (přístup, oprava, výmaz, omezení, námitka, přenositelnost).
9.2 Služba Správci umožňuje samostatně vykonávat většinu práv subjektů údajů přímo přes uživatelské rozhraní (úprava údajů, smazání záznamů, export dat).
9.3 Pokud Správce potřebuje dodatečnou pomoc Zpracovatele (např. export specifických dat ve strukturovaném formátu), může ji vyžádat e-mailem na info@tymovakasa.cz. Zpracovatel reaguje bez zbytečného odkladu, nejpozději do 14 dnů.
9.4 Pokud subjekt údajů kontaktuje přímo Zpracovatele s žádostí týkající se údajů zpracovávaných pro Správce, Zpracovatel jej odkáže na příslušného Správce a Správce o žádosti informuje.
10. Bezpečnost zpracování
10.1 Zpracovatel přijal s ohledem na povahu, rozsah, kontext a účely zpracování a na různě pravděpodobná a různě závažná rizika pro práva a svobody fyzických osob následující technická a organizační opatření:
- Šifrování přenosu dat (HTTPS/TLS na všech komunikačních kanálech)
- Šifrované ukládání hesel ve formě bezpečného hashe (bcrypt)
- Row Level Security (RLS) na úrovni databáze, která zajišťuje, že každý Správce má přístup pouze k údajům svého týmu
- Autentizace a autorizace uživatelů přes Supabase Auth
- Pravidelné zálohování dat s možností obnovy
- Bezpečnostní aktualizace používaných technologií a knihoven
- Logování a monitoring přístupů k systému
- Omezený přístup k produkční databázi pouze na nezbytné osoby a za přísně kontrolovaných podmínek
10.2 Zpracovatel pravidelně posuzuje přiměřenost těchto opatření a v případě potřeby je aktualizuje s ohledem na vývoj technologií a nové hrozby.
11. Postup po ukončení Smlouvy
11.1 Po ukončení této Smlouvy (typicky smazáním uživatelského účtu Správce) Zpracovatel:
a) Smaže veškeré osobní údaje zpracovávané na základě této Smlouvy. Po požádání o smazání účtu nastává 7denní ochranná lhůta, během které může Správce účet obnovit opětovným přihlášením. Po uplynutí této lhůty jsou osobní údaje trvale smazány.
b) Výjimka pro účetní a daňové doklady: Daňové doklady (faktury) související s platbami za tarif PRO uchovává Zpracovatel jako Provozovatel Služby v zákonném režimu po dobu 10 let v souladu se zákonem č. 563/1991 Sb., o účetnictví. Tyto doklady jsou uchovávány na základě vlastní právní povinnosti Zpracovatele, nikoli na základě této Smlouvy.
c) Výjimka pro finanční historii týmu: Pokud byly finanční záznamy součástí týmu, který je dále provozován jiným správcem (např. když odchází jeden admin a tým pokračuje pod jiným adminem), zůstávají záznamy zachovány v aplikaci. Odkaz na smazaného správce v historických finančních záznamech je odstraněn (nastaven na prázdnou hodnotu). Při trvalém smazání hráče správcem týmu zůstávají historické finanční záznamy zachovány s původním jménem z důvodu integrity účetní historie týmu. V opačném případě, kdy tým již není dále provozován, jsou záznamy smazány společně s ostatními údaji.
d) Zálohy: Zálohy obsahující údaje mohou existovat ještě po dobu nezbytně nutnou pro zajištění obnovitelnosti systému (zpravidla 7 dní), poté jsou přepsány.
11.2 Na žádost Správce poskytne Zpracovatel před smazáním údajů export dat ve strukturovaném, běžně používaném a strojově čitelném formátu.
12. Audit a kontrola
12.1 Zpracovatel umožní Správci prokázání souladu s povinnostmi stanovenými v čl. 28 GDPR a v této Smlouvě poskytnutím relevantních informací na vyžádání.
12.2 S ohledem na povahu Služby (cloudová aplikace s velkým počtem uživatelů) je fyzický audit na místě prakticky neproveditelný. Smluvní strany se proto dohodly, že soulad bude prokazován následujícími způsoby:
a) Poskytnutím dokumentace o technických a organizačních opatřeních (čl. 10)
b) Poskytnutím kopií DPA s subzpracovateli na vyžádání
c) Odpovědí na konkrétní písemné otázky Správce ohledně zpracování
12.3 Zpracovatel reaguje na žádost o informace bez zbytečného odkladu, nejpozději do 30 dnů.
12.4 Náklady spojené s žádostmi o audit nad rámec běžných odpovědí (např. opakované rozsáhlé žádosti) může Zpracovatel účtovat Správci v přiměřené výši.
13. Oznamování porušení zabezpečení
13.1 Zpracovatel bez zbytečného odkladu, nejpozději však do 48 hodin od zjištění, oznámí Správci jakékoliv porušení zabezpečení osobních údajů, které se týká údajů zpracovávaných pro Správce.
13.2 Oznámení obsahuje:
- Popis povahy porušení
- Kategorie a přibližný počet dotčených subjektů údajů a záznamů
- Pravděpodobné důsledky porušení
- Opatření přijatá nebo navrhovaná k řešení porušení a zmírnění jeho možných nepříznivých účinků
13.3 Správce je následně odpovědný za splnění své vlastní povinnosti ohlásit porušení dozorovému úřadu (čl. 33 GDPR) a případně oznámit porušení dotčeným subjektům údajů (čl. 34 GDPR), pokud je to vyžadováno.
14. Závěrečná ustanovení
14.1 Tato Smlouva se řídí právem České republiky, zejména GDPR a zákonem č. 110/2019 Sb.
14.2 Zpracovatel může tuto Smlouvu změnit za stejných podmínek, za jakých může měnit Obchodní podmínky (čl. 9 Obchodních podmínek). O změnách bude Správce informován e-mailem nejméně 30 dní předem.
14.3 Tato Smlouva nabývá účinnosti dne 9. dubna 2026.
14.4 Souhlasem s Obchodními podmínkami při registraci uživatelského účtu Správce současně přijímá tuto Smlouvu v plném rozsahu.
V Ústí nad Labem dne 9. dubna 2026