GDPR dokumentace
Poslední aktualizace: 24. března 2026 (v2.0)
Tato stránka obsahuje klíčové dokumenty týkající se ochrany osobních údajů v systému Resovu v souladu s Nařízením EU 2016/679 (GDPR), platným v celé EU a EHP, včetně příslušných vnitrostátních zákonů na ochranu osobních údajů.
Resovu dodržuje národní předpisy o ochraně údajů ve všech zemích, kde působí: zákon č. 110/2019 Sb. (Česko), zákon č. 18/2018 Z.z. (Slovensko), Bundesdatenschutzgesetz — BDSG (Německo), ustawa o ochronie danych osobowych (Polsko), az információs önrendelkezési jogról szóló törvény — GDPR adaptace (Maďarsko), Ley Orgánica de Protección de Datos — LOPDGDD (Španělsko), Personopplysningsloven (Norsko), Loi Informatique et Libertés (Francie).
1. Smlouva o zpracování osobních údajů (DPA)
1.1 Strany smlouvy
Tato smlouva o zpracování osobních údajů (dále jen "DPA") je uzavřena mezi provozovatelem firmy využívající systém Resovu (dále jen "Správce") a Lubomírem Unarem, IČO 05000386 (dále jen "Zpracovatel"). DPA je nedílnou součástí podmínek užívání služby Resovu.
1.2 Předmět a doba zpracování
Zpracovatel zpracovává osobní údaje zákazníků Správce za účelem poskytování rezervačního systému. Zpracování probíhá po dobu trvání smlouvy o poskytování služeb. Kategorie subjektů: zákazníci Správce provádějící rezervace. Kategorie údajů: jméno, příjmení, e-mail, telefon, údaje o rezervacích, volitelné vlastní pole.
1.3 Povinnosti zpracovatele
Zpracovatel se zavazuje: zpracovávat osobní údaje pouze na základě doložených pokynů Správce; zajistit, aby se osoby oprávněné ke zpracování zavázaly k mlčenlivosti; přijmout veškerá opatření požadovaná čl. 32 GDPR; dodržovat podmínky pro zapojení dalšího zpracovatele; poskytnout Správci součinnost při plnění povinností dle čl. 32 až 36 GDPR; po ukončení smlouvy vymazat nebo vrátit veškeré osobní údaje; poskytnout Správci veškeré informace potřebné k doložení plnění povinností.
1.4 Pokyny správce
Správce uděluje Zpracovateli obecný pokyn ke zpracování osobních údajů v rozsahu nezbytném pro poskytování služby Resovu. Správce může udělovat další pokyny prostřednictvím nastavení v administraci systému. Zpracovatel neprodleně informuje Správce, pokud se domnívá, že pokyn porušuje GDPR.
1.5 Subzpracovatelé
Správce uděluje Zpracovateli obecný souhlas se zapojením dalších zpracovatelů (subzpracovatelů) uvedených v sekci Seznam subzpracovatelů. Zpracovatel informuje Správce o veškerých zamýšlených změnách týkajících se přidání nebo nahrazení subzpracovatelů. Správce má možnost vyslovit námitku proti změnám do 30 dní.
1.6 Bezpečnostní opatření
Zpracovatel implementuje přiměřená technická a organizační opatření: šifrování dat AES-256-GCM pro citlivá pole; HTTPS/TLS pro veškerý přenos dat; izolace dat nájemců pomocí Row Level Security; řízení přístupu na základě rolí (RBAC); hashování IP adres; automatické mazání osobních údajů po uplynutí retenční doby; bezpečnostní hlavičky (CSP, HSTS, X-Frame-Options); rate limiting pro ochranu proti zneužití.
1.7 Oznámení o narušení bezpečnosti
Zpracovatel oznámí Správci jakékoli porušení zabezpečení osobních údajů bez zbytečného odkladu poté, co se o něm dozví, a to nejpozději do 48 hodin. Oznámení obsahuje: popis povahy porušení, kategorie a přibližný počet dotčených subjektů, pravděpodobné důsledky a přijatá opatření.
1.8 Součinnost při výkonu práv subjektů
Zpracovatel poskytne Správci součinnost při plnění povinnosti reagovat na žádosti subjektů údajů o výkon jejich práv dle kapitoly III GDPR. Systém umožňuje: export dat zákazníka (čl. 20), anonymizaci/výmaz dat (čl. 17), přehled zpracovávaných údajů (čl. 15).
1.9 Audit
Zpracovatel umožní Správci nebo jím pověřenému auditorovi provádět audity a kontroly a přispěje k nim. Zpracovatel poskytne Správci veškeré informace nezbytné k doložení dodržování povinností stanovených v čl. 28 GDPR. Audit je možné provést jednou ročně s 30denním předstihem.
1.10 Doba zpracování a výmaz
Po ukončení poskytování služeb Zpracovatel vymaže veškeré osobní údaje do 30 dnů, pokud právo EU nebo členského státu nevyžaduje jejich uchovávání. Správce může před ukončením exportovat veškerá data prostřednictvím funkce GDPR export v administraci systému.
2. Záznamy o činnostech zpracování (ROPA)
Záznamy dle čl. 30 GDPR o činnostech zpracování prováděných prostřednictvím systému Resovu.
| Účel zpracování | Právní základ | Kategorie údajů | Kategorie subjektů | Doba uchovávání |
|---|---|---|---|---|
| Správa rezervací | Čl. 6(1)(b) — plnění smlouvy | Jméno, e-mail, telefon, datum rezervace, poznámka | Zákazníci provádějící rezervace | Konfigurovatelné (výchozí 365 dní) |
| Komunikace (potvrzení, připomínky) | Čl. 6(1)(b) — plnění smlouvy | Jméno, e-mail, telefon, detail rezervace | Zákazníci s aktivní rezervací | Dle retenční doby rezervací |
| Zpracování plateb | Čl. 6(1)(b) — plnění smlouvy | Platební údaje (zpracovává Stripe, nikdy uloženy v Resovu) | Zákazníci provádějící online platbu | Dle podmínek Stripe |
| Marketing (se souhlasem) | Čl. 6(1)(a) — souhlas | Jméno, e-mail | Zákazníci, kteří udělili marketingový souhlas | Do odvolání souhlasu |
| Bezpečnost a ochrana proti zneužití | Čl. 6(1)(f) — oprávněný zájem | IP adresa, user-agent (docasne pro rate limiting) | Všichni uživatelé systému | Dle retenční doby audit logu |
| Účetnictví a fakturace | Čl. 6(1)(c) — právní povinnost | Obchodní jméno, IČO, DIČ, e-mail, adresa | Provozovatelé (nájemci) systému | 5 let (zákon o účetnictví) |
3. Postup při narušení bezpečnosti osobních údajů
3.1 Detekce a hlášení
Resovu implementuje monitorovací systémy pro detekci bezpečnostních incidentů. Každý zaměstnanec nebo spolupracovník je povinen neprodleně hlásit jakékoli podezření na narušení bezpečnosti dat vedení společnosti.
3.2 Posouzení závažnosti
Po zjištění incidentu odpovědná osoba neprodleně posoudí: rozsah dotčených dat, počet dotčených subjektů, pravděpodobný dopad na práva a svobody subjektů, zda byly údaje šifrovány, zda je možné dopad zmírnit.
3.3 Oznámení dozorovému úřadu (ÚOOÚ)
Pokud porušení zabezpečení pravděpodobně představuje riziko pro práva a svobody fyzických osob, Resovu oznámí incident příslušnému dozorovému úřadu do 72 hodin od zjištění. Oznámení obsahuje: popis povahy porušení, kontaktní údaje DPO, popis pravděpodobných důsledků, popis přijatých opatření. Dozorové úřady: ÚOOÚ — www.uoou.cz (Česko), ÚOOU SR — www.dataprotection.gov.sk (Slovensko), BfDI — www.bfdi.bund.de (Německo), UODO — www.uodo.gov.pl (Polsko), NAIH — www.naih.hu (Maďarsko), AEPD — www.aepd.es (Španělsko), Datatilsynet — www.datatilsynet.no (Norsko); CNIL — www.cnil.fr (Francie).
3.4 Oznámení subjektům údajů
Pokud porušení pravděpodobně představuje vysoké riziko pro práva a svobody fyzických osob, Resovu bez zbytečného odkladu informuje dotčené subjekty. Oznámení bude provedeno srozumitelným jazykem a bude obsahovat doporučení pro zmírnění dopadů.
3.5 Dokumentace
Veškeré bezpečnostní incidenty jsou evidovány v interním registru, včetně: data zjištění, popisu incidentu, dotčených dat a subjektů, přijatých opatření, rozhodnutí o oznámení ÚOOÚ a subjektům, výsledků vyšetřování.
3.6 Kontakt pro hlášení incidentů
Bezpečnostní incidenty hlaste na: security@resovu.com. V předmětu uveďte "Bezpečnostní incident". Poskytněte co nejvíce informací o povaze a rozsahu incidentu.
4. Seznam subzpracovatelů
| Poskytovatel | Služba | Umístění dat | Záruky |
|---|---|---|---|
| Supabase (AWS) | Databáze, autentizace, úložiště | EU (Frankfurt, eu-central-1) | DPA, SOC 2 Type II |
| Stripe | Zpracování plateb | EU (Irsko) + US | DPA, SCC, PCI DSS Level 1 |
| Vercel | Hosting, Edge Network, serverless | Globální CDN (edge v EU) | DPA, SOC 2 Type II |
| Resend | Transakční e-maily | US | DPA, SCC |
| Infobip | SMS připomínky | EU (Frankfurt) + globální | DPA, SCC, ISO 27001 |
| Synchronizace kalendáře (volitelné) | US | DPA, SCC | |
| Sentry (Functional Software Inc.) | Monitorování chyb | US | DPA, SCC, SOC 2 |
| Upstash | Rate limiting (Redis) | EU (Frankfurt) | DPA, SOC 2 |