Dohoda o spracovaní údajov

1. Úvod

Táto Zmluva o spracúvaní osobných údajov („DPA") tvorí súčasť a dopĺňa Podmienky služby („Zmluva") medzi spoločnosťou MageXo s.r.o. („MageXo", „Spracovateľ", „my", „nás") a subjektom alebo osobou prijímajúcou túto DPA („Zákazník", „Prevádzkovateľ", „vy"). Táto DPA sa uplatňuje, keď MageXo spracúva Osobné údaje v mene Zákazníka v súvislosti so službou PhotoneAI dostupnou na photoneai.com („Služba").

Táto DPA odráža záväzok strán dodržiavať Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 („GDPR") a všetky platné vnútroštátne právne predpisy o ochrane osobných údajov, vrátane, ale nie výlučne, českého zákona č. 110/2019 Sb., o spracovaní osobných údajov.

MageXo s.r.o. Prosecká 855/68, 190 00 Praha 9, Česká republika IČ: 24771406 Kontakt: info@photoneai.com, +420 739 698 038

---

2. Definície

Na účely tejto DPA majú nasledujúce pojmy nižšie uvedené významy. Ak tu nie sú definované, pojmy majú význam, ktorý im prisudzuje GDPR (Článok 4) alebo Zmluva.

• „Prevádzkovateľ" znamená fyzickú alebo právnickú osobu, ktorá sama alebo spoločne s inými určuje účely a prostriedky Spracúvania Osobných údajov. Podľa tejto DPA je Prevádzkovateľom Zákazník.

• „Spracovateľ" znamená fyzickú alebo právnickú osobu, ktorá spracúva Osobné údaje v mene Prevádzkovateľa. Podľa tejto DPA je Spracovateľom MageXo.

• „Dotknutá osoba" znamená identifikovanú alebo identifikovateľnú fyzickú osobu, ktorej Osobné údaje sa spracúvajú.

• „Osobné údaje" znamenajú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby.

• „Spracúvanie" znamená akúkoľvek operáciu alebo súbor operácií vykonávaných s Osobnými údajmi, či už automatizovane alebo nie, vrátane zhromažďovania, zaznamenávania, usporiadania, štruktúrovania, uloženia, prispôsobenia, pozmenenia, vyhľadávania, nahliadnutia, použitia, sprístupnenia prenosom, šírenia, zoradenia, skombinovania, obmedzenia, vymazania alebo zničenia.

• „Ďalší spracovateľ" znamená akéhokoľvek tretieho spracovateľa, ktorého MageXo poverí spracúvaním Osobných údajov v mene Prevádzkovateľa.

• „Dozorný orgán" znamená nezávislý verejný orgán zriadený členským štátom EÚ podľa Článku 51 GDPR.

• „Údaje služby" znamenajú všetky údaje, ktoré Prevádzkovateľ alebo jeho oprávnení používatelia predložia Službe alebo prostredníctvom Služby vytvoria, okrem iného vrátane: produktových obrázkov, URL adries produktov, popisov produktov, snímok obrazovky webových stránok, údajov z analýzy značky, vygenerovaných obrázkov, konfigurácií štýlov, údajov scén a výsledkov analýz.

• „Porušenie ochrany osobných údajov" znamená porušenie bezpečnosti vedúce k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému sprístupneniu alebo prístupu k Osobným údajom prenášaným, uloženým alebo inak spracúvaným.

---

3. Rozsah spracúvania

MageXo spracúva Údaje služby výhradne na účely poskytovania služby PhotoneAI, ako je opísané v Zmluve. Rozsah Spracúvania zahŕňa:

• Prijímanie a ukladanie produktových obrázkov a URL adries predložených Prevádzkovateľom alebo jeho oprávnenými používateľmi
• Generovanie obrázkov pomocou umelej inteligencie s využitím produktových údajov a konfigurácií štýlov na účely vytvorenia lifestylových produktových fotografií
• Analýza značky a obchodu zahŕňajúca web scraping e-commerce stránok určených Prevádzkovateľom na účely extrakcie atribútov značky, informácií o produktoch a vizuálnych prvkov
• Vytváranie a správa štýlov zahŕňajúce analýzu referenčných obrázkov a URL adries na odvodenie fotografických parametrov
• Ukladanie a doručovanie obrázkov vygenerovaných prostredníctvom zabezpečeného cloudového úložiska s časovo obmedzenou dostupnosťou
• E-mailové oznámenia oprávneným používateľom ohľadom dokončenia úloh, aktivity účtu a aktualizácií služby
• Spracovanie kreditov a fakturácie vrátane sledovania spotreby generácií a sprostredkovania platieb prostredníctvom tretích strán zabezpečujúcich spracovanie platieb

MageXo nebude spracúvať Údaje služby na žiadny iný účel ako poskytovanie Služby, pokiaľ to nevyžadujú platné právne predpisy; v takom prípade MageXo o tejto právnej požiadavke informuje Prevádzkovateľa pred Spracúvaním (pokiaľ mu v tom zákon nebráni).

---

4. Úlohy a zodpovednosti

4.1 Povinnosti Prevádzkovateľa

Prevádzkovateľ:

• Určuje účely a prostriedky Spracúvania, vrátane rozhodovania o tom, ktoré produkty fotografovať, ktoré URL adresy analyzovať, ktoré štýly vytvoriť a ktorých používateľov autorizovať
• Je zodpovedný za zabezpečenie, že má zákonný základ pre Spracúvanie Osobných údajov a za poskytnutie všetkých požadovaných oznámení Dotknutým osobám
• Je zodpovedný za presnosť, kvalitu a zákonnosť Osobných údajov a za prostriedky, ktorými Osobné údaje získal
• Dodržiava svoje povinnosti podľa platných právnych predpisov o ochrane osobných údajov, vrátane GDPR

4.2 Povinnosti Spracovateľa

MageXo ako Spracovateľ:

• Spracúva Osobné údaje len na základe zdokumentovaných pokynov Prevádzkovateľa, vrátane pokynov týkajúcich sa prenosov Osobných údajov do tretej krajiny alebo medzinárodnej organizácii, pokiaľ mu tak neukladá právo EÚ alebo členského štátu, ktoré sa na MageXo vzťahuje
• Zabezpečuje, že osoby oprávnené spracúvať Osobné údaje sa zaviazali k mlčanlivosti alebo sú viazané príslušnou zákonnou povinnosťou mlčanlivosti
• Prijíma všetky opatrenia požadované podľa Článku 32 GDPR (bezpečnosť Spracúvania)
• Dodržiava podmienky pre zapojenie Ďalších spracovateľov stanovené v oddiele 9
• Pomáha Prevádzkovateľovi vhodnými technickými a organizačnými opatreniami, pokiaľ je to možné, pri plnení povinnosti Prevádzkovateľa reagovať na žiadosti Dotknutých osôb
• Pomáha Prevádzkovateľovi pri zabezpečovaní súladu s povinnosťami podľa Článkov 32 až 36 GDPR
• Podľa voľby Prevádzkovateľa vymaže alebo vráti všetky Osobné údaje po ukončení poskytovania služieb a vymaže existujúce kópie, pokiaľ právo EÚ alebo členského štátu nevyžaduje ich uchovávanie
• Sprístupňuje Prevádzkovateľovi všetky informácie potrebné na preukázanie súladu s Článkom 28 GDPR a umožňuje a prispieva k auditom a kontrolám

4.3 Dodržiavanie pokynov

Ak sa MageXo domnieva, že pokyn Prevádzkovateľa porušuje GDPR alebo iné platné predpisy o ochrane osobných údajov, bezodkladne o tom Prevádzkovateľa informuje. MageXo je oprávnený pozastaviť príslušné Spracúvanie, kým Prevádzkovateľ pokyn nepotvrdí alebo nezmení.

---

5. Kategórie údajov a Dotknuté osoby

5.1 Kategórie Osobných údajov

5.2 Kategórie Dotknutých osôb

---

6. Pokyny na spracúvanie

• MageXo spracúva Údaje služby len v rozsahu potrebnom na poskytovanie Služby a v súlade so zdokumentovanými pokynmi Prevádzkovateľa.
• Pokyny Prevádzkovateľa sú zdokumentované a obmedzené na Zmluvu (Podmienky služby), túto DPA a štandardnú funkčnosť Služby, ako je opísaná v dokumentácii na photoneai.com.
• Akékoľvek dodatočné alebo zmenené pokyny vyžadujú predchádzajúcu vzájomnú písomnú dohodu oboch strán. MageXo si vyhradzuje právo účtovať dodatočné poplatky, ak takéto pokyny vyžadujú významné zmeny Služby alebo jej infraštruktúry.
• Prevádzkovateľ berie na vedomie, že určité operácie Spracúvania sú neoddeliteľnou súčasťou Služby (napr. prenos produktových obrázkov ďalším spracovateľom AI na účely generovania) a predstavujú zdokumentované pokyny podľa tejto DPA.

---

7. Dôvernosť

• MageXo zabezpečuje, že všetky osoby oprávnené spracúvať Osobné údaje v jeho mene sú viazané príslušnými záväzkami dôvernosti, či už zmluvnými alebo zákonnými.
• Prístup k Údajom služby je obmedzený na pracovníkov MageXo, ktorí takýto prístup potrebujú na plnenie svojich povinností v súvislosti so Službou.
• MageXo udržiava riadenie prístupu a autentifikačné mechanizmy na presadzovanie zásady najnižších oprávnení.
• Záväzky dôvernosti stanovené v tomto oddiele pretrvávajú aj po ukončení tejto DPA.

---

8. Bezpečnostné opatrenia (Článok 32)

MageXo zavádza a udržiava vhodné technické a organizačné opatrenia na zabezpečenie úrovne bezpečnosti primeranej riziku Spracúvania, okrem iného:

• Šifrovanie pri prenose — Všetky údaje prenášané medzi Prevádzkovateľom, Službou a Ďalšími spracovateľmi sú šifrované pomocou TLS 1.2 alebo vyššej verzie
• Šifrovanie v pokoji — Údaje služby uložené v databázach a objektovom úložisku sú šifrované v pokoji prostredníctvom šifrovacích mechanizmov poskytovateľa cloudových služieb
• Row-Level Security — Politiky PostgreSQL Row-Level Security (RLS) zabezpečujú izoláciu údajov jednotlivých nájomcov na úrovni databázy a zabraňujú prístupu k údajom iných nájomcov
• Hashovanie hesiel — Prihlasovacie údaje používateľov sú hashované pomocou bcrypt alebo Argon2 s príslušnými pracovnými faktormi
• Content Security Policy — Hlavičky CSP obmedzujú spúšťanie skriptov a načítavanie zdrojov na dôveryhodné pôvody
• Ochrana proti SSRF — Ochrana proti Server-Side Request Forgery blokuje požiadavky na privátne rozsahy IP adries pre všetky URL adresy zadané používateľmi
• Obmedzenie frekvencie požiadaviek — Všetky koncové body API podliehajú obmedzeniu frekvencie požiadaviek na účely prevencie zneužitia a útokov typu odoprenie služby
• Riadenie prístupu na základe rolí — Administratívne a používateľské role s odlišnými úrovňami oprávnení
• Vynútenie HSTS — HTTP Strict Transport Security s hodnotou max-age 63 072 000 sekúnd (2 roky), vrátane subdomén
• Bezpečnostné hlavičky — Hlavičky X-Frame-Options, X-Content-Type-Options, Referrer-Policy a Permissions-Policy konfigurované na obmedzenie útočnej plochy
• Pravidelné hodnotenie bezpečnosti — Periodická kontrola bezpečnostných opatrení, závislostí a konfigurácií

Úplné podrobnosti technických a organizačných opatrení sú uvedené v Prílohe II tejto DPA. MageXo počas platnosti tejto DPA podstatne nezníži celkovú úroveň bezpečnosti Služby.

---

9. Ďalší spracovateľa

9.1 Všeobecné oprávnenie

Prevádzkovateľ udeľuje MageXo všeobecné písomné oprávnenie zapojiť Ďalších spracovateľov na vykonávanie konkrétnych činností Spracúvania v mene Prevádzkovateľa za podmienok stanovených v tomto oddiele.

9.2 Aktuálni Ďalší spracovateľa

Aktuálny zoznam Ďalších spracovateľov je udržiavaný a verejne dostupný na /sub-processors. Prevádzkovateľ berie na vedomie a schvaľuje Ďalších spracovateľov uvedených ku dňu uzavretia tejto DPA.

9.3 Oznámenie o zmenách

MageXo oznámi Prevádzkovateľovi akékoľvek zamýšľané pridanie alebo nahradenie Ďalších spracovateľov najmenej 30 dní predtým, ako nový Ďalší spracovateľ začne spracúvať Osobné údaje. Oznámenie bude poskytnuté prostredníctvom e-mailovej adresy priradenej k účtu Prevádzkovateľa.

9.4 Právo na námietku

Prevádzkovateľ môže vzniesť námietku proti novému Ďalšiemu spracovateľovi písomným oznámením zaslaným MageXo do 14 dní od prijatia oznámenia. Námietka musí uvádzať primerané dôvody súvisiace s ochranou osobných údajov. Strany prerokujú námietku v dobrej viere s cieľom dosiahnuť komerčne primerané riešenie. Ak sa riešenie nedosiahne do 30 dní od námietky, Prevádzkovateľ môže bez sankcie ukončiť tú časť Služby, ktorá vyžaduje využitie odmietnutého Ďalšieho spracovateľa.

9.5 Povinnosti Ďalších spracovateľov

MageXo ukladá všetkým Ďalším spracovateľom povinnosti v oblasti ochrany osobných údajov, ktoré nie sú menej prísne ako povinnosti stanovené v tejto DPA. MageXo zostáva plne zodpovedný Prevádzkovateľovi za plnenie povinností svojich Ďalších spracovateľov.

---

10. Medzinárodné prenosy údajov

10.1 Sídlo MageXo

MageXo je usadený v Európskej únii (Česká republika). Spracúvanie v rámci EÚ/EHP nevyžaduje dodatočné ochranné opatrenia pre prenos.

10.2 Prenosy do tretích krajín

Ak sa Ďalší spracovateľa nachádzajú mimo EÚ/EHP (vrátane Spojených štátov amerických), MageXo zabezpečuje zavedenie príslušných mechanizmov prenosu:

• Rámec pre ochranu osobných údajov EÚ-USA — Pre Ďalších spracovateľov certifikovaných v rámci Rámca pre ochranu osobných údajov EÚ-USA slúži táto certifikácia ako primeraný mechanizmus prenosu na základe rozhodnutia Európskej komisie o primeranosti z 10. júla 2023
• Štandardné zmluvné doložky (SCC) — Ak sa Rámec pre ochranu osobných údajov neuplatňuje, prenosy sa riadia Štandardnými zmluvnými doložkami schválenými Európskou komisiou (Vykonávacie rozhodnutie (EÚ) 2021/914), doplnenými o dodatočné ochranné opatrenia, ak to vyžadujú posúdenia dopadov prenosu
• Medzinárodná zmluva o prenose údajov UK / Dodatok UK — Pre prenosy podliehajúce UK GDPR sa uplatňuje Medzinárodná zmluva o prenose údajov UK alebo Dodatok UK k Štandardným zmluvným doložkám EÚ (podľa okolností)

10.3 Transparentnosť

Prevádzkovateľ môže požiadať o kópie príslušných mechanizmov prenosu, vrátane uzavretých SCC (s redigovanými obchodnými podmienkami, ak je to potrebné na ochranu dôvernosti), na adrese info@photoneai.com.

---

11. Práva Dotknutých osôb

11.1 Pomoc pri vybavovaní žiadostí

MageXo pomáha Prevádzkovateľovi vhodnými technickými a organizačnými opatreniami, pokiaľ je to možné, pri plnení povinnosti Prevádzkovateľa reagovať na žiadosti Dotknutých osôb uplatňujúcich svoje práva podľa Kapitoly III GDPR, vrátane práv na:

• Prístup (Článok 15)
• Opravu (Článok 16)
• Vymazanie („právo na zabudnutie") (Článok 17)
• Obmedzenie Spracúvania (Článok 18)
• Prenosnosť údajov (Článok 20)
• Námietku (Článok 21)

11.2 Priame žiadosti

Ak MageXo dostane žiadosť priamo od Dotknutej osoby vo vzťahu k Osobným údajom Prevádzkovateľa, MageXo bezodkladne informuje Prevádzkovateľa a na žiadosť priamo neodpovie, pokiaľ na to nie je Prevádzkovateľom splnomocnený alebo to nevyžadujú platné právne predpisy.

11.3 Náklady

Pomoc so štandardnými žiadosťami Dotknutých osôb je zahrnutá v Službe. MageXo si vyhradzuje právo účtovať primerané náklady za pomoc so žiadosťami, ktoré sú neprimerané, opakované alebo zjavne neopodstatnené, alebo ktoré vyžadujú významné manuálne úsilie nad rámec štandardnej funkčnosti Služby.

---

12. Oznámenie o porušení ochrany osobných údajov

12.1 Lehota na oznámenie

MageXo oznámi Prevádzkovateľovi bez zbytočného odkladu, a v každom prípade do 72 hodín, po tom, čo sa dozvie o Porušení ochrany osobných údajov týkajúcom sa Osobných údajov Prevádzkovateľa.

12.2 Obsah oznámenia

Oznámenie bude zahŕňať, pokiaľ sú dostupné:

• Opis povahy Porušenia ochrany osobných údajov vrátane kategórií a približného počtu dotknutých Dotknutých osôb a kategórií a približného počtu dotknutých záznamov Osobných údajov
• Meno a kontaktné údaje kontaktnej osoby MageXo pre ďalšie informácie
• Opis pravdepodobných dôsledkov Porušenia ochrany osobných údajov
• Opis prijatých alebo navrhovaných opatrení na riešenie Porušenia ochrany osobných údajov vrátane opatrení na zmiernenie jeho možných nepriaznivých účinkov

12.3 Súčinnosť

MageXo bude spolupracovať s Prevádzkovateľom pri vyšetrovaní a náprave Porušenia ochrany osobných údajov a pomôže Prevádzkovateľovi pri plnení jeho povinností podľa Článkov 33 a 34 GDPR, vrátane oznámenia Dozornému orgánu a oznámenia dotknutým Dotknutým osobám, ak je to vyžadované.

12.4 Dokumentácia

MageXo bude dokumentovať všetky Porušenia ochrany osobných údajov vrátane skutočností týkajúcich sa porušenia, jeho účinkov a prijatých nápravných opatrení, a túto dokumentáciu sprístupní Prevádzkovateľovi na vyžiadanie.

---

13. Posúdenie vplyvu na ochranu osobných údajov

• MageXo poskytne primeranú súčinnosť Prevádzkovateľovi pri vykonávaní Posúdení vplyvu na ochranu osobných údajov („DPIA"), ak je pravdepodobné, že používanie Služby Prevádzkovateľom bude mať za následok vysoké riziko pre práva a slobody fyzických osôb, ako vyžaduje Článok 35 GDPR.
• MageXo pomôže Prevádzkovateľovi s predchádzajúcou konzultáciou s príslušným Dozorným orgánom podľa Článku 36 GDPR, ak výsledok DPIA naznačí, že Spracúvanie by malo za následok vysoké riziko v prípade, že Prevádzkovateľ neprijme opatrenia na zmiernenie tohto rizika.
• Takáto súčinnosť bude zohľadňovať povahu Spracúvania a informácie, ktoré má MageXo k dispozícii, a môže zahŕňať poskytnutie dokumentácie o bezpečnostných opatreniach, činnostiach Spracúvania a usporiadaní Ďalších spracovateľov.

---

14. Práva na audit

14.1 Právo na audit

Prevádzkovateľ (alebo nezávislý audítor tretej strany vymenovaný Prevádzkovateľom) môže auditovať súlad MageXo s touto DPA.

14.2 Oznámenie a frekvencia

• Audity vyžadujú najmenej 30 dní predchádzajúceho písomného oznámenia spoločnosti MageXo.
• Audity sú obmedzené na jedenkrát za kalendárny rok, pokiaľ Dozorný orgán nevyžaduje častejší audit alebo v nadväznosti na potvrdené Porušenie ochrany osobných údajov týkajúce sa Osobných údajov Prevádzkovateľa.

14.3 Súčinnosť

MageXo poskytne primeranú súčinnosť a prístup k príslušným záznamom, systémom a personálu počas bežnej pracovnej doby. Audítor Prevádzkovateľa musí dodržiavať primerané bezpečnostné a dôvernostné požiadavky MageXo.

14.4 Náklady

Prevádzkovateľ znáša všetky náklady spojené s auditmi, ktoré iniciuje, pokiaľ audit neodhalí podstatný nesúlad s touto DPA; v takom prípade ponesie primerané náklady auditu MageXo.

14.5 Alternatívne záruky

MageXo môže podľa svojho uváženia splniť požiadavky na audit tým, že Prevádzkovateľovi poskytne:

• Príslušné certifikácie tretích strán alebo správy z auditov (napr. SOC 2 Type II, ISO 27001)
• Výsledky penetračných testov vykonaných nezávislými bezpečnostnými firmami
• Podrobné písomné odpovede na dotazník Prevádzkovateľa k auditu

Takéto alternatívne záruky sú Prevádzkovateľom prijímané ako primeraná náhrada za audity na mieste, ak dostatočne preukazujú súlad.

---

15. Vrátenie a vymazanie údajov

15.1 Export údajov

Po ukončení alebo uplynutí platnosti Zmluvy o poskytovaní služieb môže Prevádzkovateľ exportovať svoje Údaje služby prostredníctvom štandardnej exportnej funkčnosti Služby po dobu 30 dní od dátumu účinnosti ukončenia.

15.2 Vymazanie

Po uplynutí 30-dňovej lehoty na vyzdvihnutie MageXo vymaže všetky Údaje služby vo svojom držaní a v držaní svojich Ďalších spracovateľov, s výnimkou prípadov, keď uchovávanie vyžadujú platné právne predpisy.

15.3 Automatické vymazanie

Počas trvania služby aj po jej ukončení sa uplatňujú nasledujúce mechanizmy automatického vymazania:

• Vygenerované obrázky sú automaticky vymazané 30 dní po vytvorení
• Údaje hosťovských relácií končia platnosť po 30 dňoch neaktivity

15.4 Zákonné uchovávanie

Nasledujúce údaje sú uchovávané aj po skončení poskytovania Služby, ak to vyžaduje zákon:

• Záznamy o kreditových transakciách sú uchovávané po dobu 7 rokov v súlade s českou účtovnou legislatívou (zákon č. 563/1991 Sb., o účtovníctve)
• Daňové fakturačné záznamy sú uchovávané v súlade s českými daňovými predpismi

15.5 Potvrdenie

MageXo poskytne písomné potvrdenie o vymazaní na písomnú žiadosť Prevádzkovateľa, osvedčujúce, že všetky Údaje služby (s výnimkou zákonného uchovávania) boli bezpečne zničené.

---

16. Doba trvania a ukončenie

16.1 Dátum účinnosti

Táto DPA nadobúda účinnosť dňom, keď Prevádzkovateľ prijme Zmluvu (Podmienky služby) a túto DPA.

16.2 Doba trvania

Táto DPA zostáva v platnosti po dobu trvania Zmluvy o poskytovaní služieb medzi stranami.

16.3 Ukončenie

Táto DPA automaticky zaniká ukončením alebo uplynutím platnosti Zmluvy o poskytovaní služieb, s výhradou nižšie uvedených ustanovení o prežití.

16.4 Prežitie

Nasledujúce ustanovenia prežívajú ukončenie tejto DPA:

• Oddiel 7 (Dôvernosť)
• Oddiel 12 (Oznámenie o porušení ochrany osobných údajov) — v rozsahu, v akom je porušenie zistené po ukončení
• Oddiel 15 (Vrátenie a vymazanie údajov) — kým nebudú všetky údaje vymazané alebo vrátené
• Oddiel 17 (Zodpovednosť)
• Oddiel 18 (Rozhodné právo)

---

17. Zodpovednosť

17.1 Obmedzenia

Zodpovednosť podľa tejto DPA sa riadi obmedzeniami a výlukami stanovenými v Zmluve (Podmienky služby), s výnimkou prípadov, keď takéto obmedzenia zakazujú platné predpisy o ochrane osobných údajov.

17.2 Zodpovednosť podľa GDPR

Každá strana zodpovedá za škodu spôsobenú Spracúvaním, ktoré porušuje GDPR alebo túto DPA, v súlade s Článkom 82 GDPR:

• Prevádzkovateľ zodpovedá za škodu spôsobenú Spracúvaním, ktoré nie je v súlade s GDPR alebo povinnosťami Prevádzkovateľa podľa tejto DPA
• MageXo zodpovedá za škodu spôsobenú Spracúvaním, pri ktorom nedodržal povinnosti GDPR špecificky smerované k Spracovateľom, alebo pri ktorom konal mimo rámec zákonných pokynov Prevádzkovateľa alebo v rozpore s nimi

17.3 Odškodnenie

Každá strana sa zaväzuje odškodniť druhú stranu za všetky náklady, nároky, škody alebo výdavky (vrátane primeraných nákladov na právne zastúpenie) vznikajúce z porušenia tejto DPA alebo platných predpisov o ochrane osobných údajov zo strany odškodňujúcej strany.

---

18. Rozhodné právo

18.1 Platné právo

Táto DPA sa riadi a vykladá v súlade s právom Českej republiky, bez ohľadu na jeho kolízne normy, a s výhradou kogentných ustanovení GDPR.

18.2 Súdna príslušnosť

Akékoľvek spory vyplývajúce z tejto DPA alebo v súvislosti s ňou, ktoré nemožno vyriešiť zmierlivo, budú predložené výlučnej príslušnosti príslušných súdov v Prahe, Česká republika.

18.3 Prednosť regulácie

Nič v tejto DPA neobmedzuje práva Dozorného orgánu alebo Dotknutej osoby podľa platných právnych predpisov o ochrane osobných údajov.

---

Príloha I — Podrobnosti o spracúvaní

---

Príloha II — Technické a organizačné bezpečnostné opatrenia

Nasledujúce opatrenia sú zavedené spoločnosťou MageXo na ochranu Osobných údajov spracúvaných v súvislosti so Službou, v súlade s Článkom 32 GDPR.

1. Riadenie prístupu

• Riadenie prístupu na základe rolí (RBAC) s odlišnými rolami správcu a používateľa, presadzujúce zásadu najnižších oprávnení
• Row-Level Security (RLS) v PostgreSQL zabezpečujúce prísnu izoláciu údajov jednotlivých nájomcov na úrovni databázy a zabraňujúce akémukoľvek prístupu k údajom iných nájomcov
• Kľúče servisnej role obmedzené len na operácie na strane servera; operácie na strane klienta využívajú anonymné kľúče s vynútením RLS
• Autentifikácia založená na reláciách prostredníctvom Supabase Auth so zabezpečenou správou tokenov
• Ochrana trás vynútená middlewarom overujúca autentifikáciu a autorizáciu pri každej požiadavke

2. Šifrovanie

• TLS 1.2+ pre všetky údaje pri prenose medzi klientmi, servermi a Ďalšími spracovateľmi
• HTTP Strict Transport Security (HSTS) povolené s hodnotou max-age 63 072 000 sekúnd (2 roky), vrátane subdomén
• Šifrovanie údajov v pokoji prostredníctvom mechanizmov poskytovateľa cloudových služieb (Supabase/AWS AES-256)
• Hashovanie hesiel pomocou bcrypt alebo Argon2 s odporúčanými pracovnými faktormi
• Bezpečné atribúty cookies (HttpOnly, Secure, SameSite) pre správu relácií

3. Zabezpečenie siete

• Hlavičky Content Security Policy (CSP) obmedzujúce spúšťanie skriptov a načítavanie zdrojov na explicitne dôveryhodné pôvody
• Ochrana proti SSRF blokujúca požiadavky na privátne a vyhradené rozsahy IP adries (RFC 1918, RFC 6598) pre všetky URL adresy zadané používateľmi
• X-Frame-Options: DENY zabraňujúce útokom clickjacking
• X-Content-Type-Options: nosniff zabraňujúce sniffingu MIME typu
• Referrer-Policy: strict-origin-when-cross-origin obmedzujúce únik informácií prostredníctvom referrera
• Permissions-Policy zakazujúce prístup k API kamery, mikrofónu a geolokácie

4. Validácia vstupov

• Validácia a sanitizácia URL adries pred akýmkoľvek Spracúvaním vrátane overenia schémy a validácie domény
• Validácia typu súboru obmedzená na formáty JPEG, PNG a WebP s maximálnou veľkosťou súboru 10 MB
• HTML escaping vo všetkom obsahu e-mailov na prevenciu útokov typu injection
• Obmedzenie frekvencie požiadaviek na všetkých koncových bodoch API na prevenciu zneužitia, útokov hrubou silou a útokov odoprenia služby
• Detekcia botov prostredníctvom integrácie hCaptcha na koncových bodoch overovania

5. Monitorovanie a protokolovanie

• Štruktúrované JSON protokolovanie prostredníctvom structlog pre konzistentné a parsovateľné auditné záznamy
• Protokolovanie volaní AI API so sledovaním nákladov a monitorovaním využitia
• Minimalizácia údajov v protokoloch — žiadne PII nad rámec prevádzkovej nevyhnutnosti (ID úloh, skrátené prehľady); úplné produktové údaje a osobné informácie sú z protokolov vylúčené
• Monitorovanie chýb a upozornenia pre rýchlu detekciu anomálií a reakciu na ne

6. Minimalizácia údajov

• Automatické vymazanie obrázkov — vygenerované obrázky sú trvalo vymazané po 30 dňoch
• Expirácia hosťovských relácií — údaje hosťovských relácií sú vymazané po 30 dňoch neaktivity
• Kompresia obrázkov — produktové obrázky sú komprimované pred Spracúvaním pomocou AI (maximálny rozmer: 2048 pixelov) na účely zníženia dátovej plochy
• Minimalizácia promptov — AI prompty obsahujú zhrnuté atribúty produktov namiesto úplných údajov zaslaných používateľom
• Obmedzenie účelu — Údaje služby sú spracúvané len na stanovené účely a nie sú uchovávané nad rámec prevádzkovej nevyhnutnosti

7. Reakcia na incidenty

• Záväzok oznámenia porušenia do 72 hodín v súlade s Článkom 33 GDPR
• Monitorovanie chýb a upozornenia s automatickým oznámením pri kritických zlyhaniach
• Obnova zaseknutých úloh — automatická detekcia a reset zablokovaných úloh Spracúvania po 300 sekundách, zabraňujúca zotrvaniu údajov v neurčitom stave
• Zdokumentované postupy reakcie na incidenty vrátane eskalačných ciest a komunikačných šablón

8. Správa Ďalších spracovateľov

• Zmluvné povinnosti ochrany osobných údajov uložené všetkým Ďalším spracovateľom, prinajmenšom rovnako prísne ako povinnosti v tejto DPA
• Pravidelná kontrola súladu bezpečnostných postupov a certifikácií Ďalších spracovateľov
• Verejný register Ďalších spracovateľov udržiavaný na /sub-processors s podrobnosťami o Spracúvaní, kategóriách údajov a mechanizmoch prenosu
• Oznámenie Prevádzkovateľom 30 dní vopred pred zapojením nových Ďalších spracovateľov