Tinadu

Zpracovatelská smlouva (DPA)

Verze 1.0 · Poslední aktualizace: 8. dubna 2026

Tato Zpracovatelská smlouva (dále jen „DPA“) upravuje zpracování osobních údajů koncových zákazníků Obchodu Provozovatelem platformy Tinadu ve smyslu čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR). DPA tvoří nedílnou součást Obchodních podmínek pro obchody (dále jen „Hlavní smlouva“).

1. Strany smlouvy

  • Správce — Obchod, který využívá platformu Tinadu pro provoz svého věrnostního programu (definovaný v Hlavní smlouvě).
  • ZpracovatelSOFTERO s.r.o., se sídlem Teplárenská 1620, Kyje, 198 00 Praha, IČO: 23295252, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, spisová značka C 424664, provozovatel platformy Tinadu. Kontakt: adam@softero.cz.

2. Předmět, doba trvání, povaha a účel zpracování

  • Předmět: osobní údaje koncových zákazníků Správce, kteří se registrují do věrnostního programu Správce prostřednictvím aplikace Tinadu.
  • Doba trvání: po dobu trvání Hlavní smlouvy a dále po dobu nezbytnou k vrácení nebo smazání osobních údajů (max. 30 dní po ukončení).
  • Povaha: automatizované zpracování (ukládání, načítání, výpočty bodových zůstatků, anonymizace).
  • Účel: poskytování technické platformy pro správu věrnostního programu Správce — registrace zákazníků, evidence bodů, vyhodnocování úrovní, uplatňování odměn, zasílání notifikací.

3. Kategorie subjektů údajů a údajů

Subjekty údajů: koncoví zákazníci Správce registrovaní v aplikaci Tinadu.

Kategorie údajů:

  • Identifikační údaje: jméno a příjmení, e-mailová adresa, datum narození
  • Kontaktní údaje: telefonní číslo (volitelně), profilová fotografie (volitelně)
  • Transakční údaje: historie nákupů (částka, datum, lokalita), bodový ledger, uplatněné odměny
  • Technické údaje: tokeny zařízení pro push notifikace, identifikátor účtu

4. Povinnosti Zpracovatele

Zpracovatel se zavazuje:

  • zpracovávat osobní údaje pouze na základě doložených pokynů Správce a v rozsahu nutném pro plnění Hlavní smlouvy,
  • zajistit, že osoby oprávněné zpracovávat osobní údaje jsou vázány povinností mlčenlivosti,
  • přijmout vhodná technická a organizační opatření k zabezpečení osobních údajů (viz čl. 7),
  • být Správci nápomocen při plnění jeho povinností odpovídat na žádosti subjektů údajů (viz čl. 8),
  • bez zbytečného odkladu informovat Správce o porušení zabezpečení osobních údajů (viz čl. 9),
  • po ukončení poskytování Služby vrátit nebo smazat všechny osobní údaje (viz čl. 10).

5. Sub-zpracovatelé

Správce uděluje Zpracovateli obecný souhlas s využíváním sub-zpracovatelů. Zpracovatel v současnosti využívá tyto sub-zpracovatele:

  • Supabase, Inc. — poskytovatel hostované PostgreSQL databáze a autentizační infrastruktury. Hosting v EU regionu (Frankfurt). DPA Supabase: supabase.com/legal/dpa.
  • Vercel, Inc. — poskytovatel hostingu webové části platformy. DPA Vercel: vercel.com/legal/dpa.

Zpracovatel se zavazuje informovat Správce o jakékoli zamýšlené změně sub-zpracovatelů (přidání nového, výměna stávajícího) nejméně 30 dní předem. Správce má právo vznést proti takové změně námitku; v takovém případě má právo Hlavní smlouvu ukončit bez sankce.

6. Mezinárodní předávání údajů

Osobní údaje jsou zpracovávány a uchovávány pouze v rámci EU. Pokud by v budoucnu vznikla potřeba předávání mimo EU/EHP, Zpracovatel zajistí předání pouze za podmínek čl. 44 a násl. GDPR (zejména pomocí standardních smluvních doložek SCC).

7. Bezpečnostní opatření

Zpracovatel implementuje následující technická a organizační opatření:

  • Šifrování at-rest — databáze a zálohy jsou šifrovány na úrovni infrastruktury Supabase.
  • Šifrování in-transit — veškerá komunikace mezi mobilní aplikací, webem a databází probíhá přes TLS 1.2+.
  • Row Level Security (RLS) — všechny tabulky obsahující osobní údaje mají aktivní RLS politiky vynucující přístup pouze pro oprávněné uživatele.
  • Soft-delete + anonymizace — při smazání účtu jsou identifikační údaje odstraněny nebo anonymizovány, transakční záznamy zachovány v anonymizované formě.
  • Auditní log — Supabase vede auditní log databázových operací.
  • Princip nejmenších oprávnění — pouze oprávněné osoby mají přístup k produkční databázi.

8. Práva subjektů údajů

Zpracovatel poskytne Správci přiměřenou součinnost při plnění žádostí subjektů údajů o:

  • přístup k osobním údajům (čl. 15 GDPR),
  • opravu (čl. 16 GDPR),
  • výmaz / zapomenutí (čl. 17 GDPR),
  • omezení zpracování (čl. 18 GDPR),
  • přenositelnost údajů (čl. 20 GDPR),
  • vznesení námitky (čl. 21 GDPR).

Žádost subjektu údajů adresovanou Zpracovateli postoupí Zpracovatel Správci bez zbytečného odkladu.

9. Hlášení incidentů

Zpracovatel oznámí Správci jakékoli porušení zabezpečení osobních údajů bez zbytečného odkladu, nejpozději do 72 hodin od jeho zjištění. Oznámení obsahuje popis povahy incidentu, kategorie a počet dotčených subjektů údajů, pravděpodobné důsledky a přijatá nebo navrhovaná opatření.

10. Smazání nebo vrácení dat při ukončení

Po ukončení Hlavní smlouvy Zpracovatel:

  • na žádost Správce vyexportuje a předá osobní údaje koncových zákazníků ve strojově čitelném formátu (CSV) ve lhůtě 30 dní od ukončení Smlouvy,
  • po uplynutí této lhůty nebo na žádost Správce všechny osobní údaje smaže nebo anonymizuje,
  • existující auditní logy a anonymizovaná data zůstávají zachována pro účely účetní a daňové integrity Správce.

11. Audit a kontrola

Zpracovatel poskytne Správci na žádost informace nezbytné k prokázání plnění povinností stanovených touto DPA. Zpracovatel umožní audit v rozumné míře a po předchozí dohodě, zpravidla formou elektronicky zaslaných reportů a dokumentace.

12. Kontakt

Veškerá komunikace ohledně této DPA, žádostí subjektů údajů nebo bezpečnostních incidentů směřuje na adam@softero.cz.