Smlouva o zpracování osobních údajů
Verze 2026-06-26
Tato smlouva (dále jen „DPA“) upravuje zpracování osobních údajů mezi tebou (řemeslníkem / živnostníkem / firmou, dále „Klient“) a provozovatelem služby Vendorio (dále „Vendorio“) v souladu s nařízením (EU) 2016/679 (GDPR).
1. Předmět
Klient pověřuje Vendorio správou reklamních kampaní ve službách třetích stran, zejména Google Ads a Meta (Facebook/Instagram), a souvisejícím zpracováním osobních údajů koncových zákazníků, kteří přes tyto reklamy poptávají Klientovy služby.
2. Role stran
- Klient = správce osobních údajů koncových zákazníků (leadů). Klient určuje účely zpracování (komunikace, kalkulace, smlouva, fakturace).
- Vendorio = zpracovatel jednající jménem Klienta. Údaje koncových zákazníků zpracovává výhradně podle pokynů Klienta a po dobu trvání smluvního vztahu.
- Ve vztahu ke Google Ads / Meta Vendorio vystupuje jako klient těchto platforem na základě jejich vlastních podmínek (zejm. Google Ads API Terms §7 a Google Ads Controller-Controller Data Protection Terms).
3. Pověření ke správě reklam
Akceptací této DPA Klient výslovně pověřuje Vendorio, aby jeho jménem zakládala, spravovala, pauzovala a ukončovala reklamní kampaně v Google Ads a Meta v rámci správcovského účtu Vendorio a aby z rozpočtu Klienta hradila reklamní výdaje (85 % měsíční platby).
4. Rozsah údajů
- Údaje Klienta: jméno/firma, IČO/DIČ, kontakt, popis služeb, region.
- Údaje koncových zákazníků (leadů): jméno, e-mail, telefon, popis poptávky, případně adresa realizace. Tyto údaje předává sám koncový zákazník vyplněním formuláře na landing page Klienta.
- Reklamní metriky bez osobních údajů: zobrazení, prokliky, náklady, konverze.
5. Doba zpracování a výmaz
Údaje Klienta zpracováváme po dobu trvání účtu a 3 roky po jeho ukončení (z důvodu účetních povinností). Údaje leadů zpracováváme po dobu nezbytnou k jejich předání Klientovi a následně 12 měsíců pro účely reklamace / sporu. Klient může kdykoli požádat o výmaz konkrétního leadu.
6. Subzpracovatelé
Vendorio využívá tyto subzpracovatele: Supabase (databáze a autentizace, EU), Stripe (platby, EU/US Data Privacy Framework), Google (Google Ads, US — Standard Contractual Clauses), Meta Platforms (US — SCC), Resend (transakční e-maily, EU). Aktuální seznam najdeš na /privacy.
7. Bezpečnost
Zavádíme přiměřená technická a organizační opatření: šifrování v tranzitu (TLS) i v klidu, řízení přístupů, RLS na úrovni databáze, dvoufázové ověření u administrátorů.
8. Práva subjektů
Klient odpovídá za informování svých koncových zákazníků a vyřízení jejich práv (přístup, oprava, výmaz, námitka, přenositelnost). Vendorio mu k tomu poskytne potřebnou součinnost.
9. Akceptace
Tuto DPA akceptuješ kliknutím na zaškrtávací políčko před spuštěním první reklamní kampaně. Datum, čas a verze akceptace se ukládá k tvému profilu jako důkaz.
Provozovatel (zpracovatel): Josef Tatíček, IČO 09572783, se sídlem Kurzova 2222/16, 155 00 Praha 5 – Stodůlky. Neplátce DPH. Kontaktní e-mail: josef@taticek.com.