Cookie preferences

YARDtwin uses essential cookies for authentication and session management. We don’t currently set analytics or marketing cookies, but our cookie policy categorises them ahead of any future change. Read our Privacy Policy, GDPR Policy, and Cookie Policy.

Smlouva o zpracování osobních údajů

Verze 3.0 · Poslední aktualizace: 9. května 2026 · Platnost okamžitá

1. Smluvní strany

Tato Smlouva o zpracování dat ("DPA") je uzavřena mezi zákazníkem ("Správce údajů") a společností YARDtwin Ltd, registrovanou v Irsku ("Zpracovatel údajů"), společně označovanými jako "Smluvní strany". Tato DPA tvoří součást Podmínek používání YARDtwin a podléhá jim Podmínky služby.

2. Rozsah a účel

Zpracovatel zpracovává osobní údaje jménem správce výhradně za účelem poskytování platformy pro správu areálu YARDtwin: plánování doků, operace u brány, vizualizace digitálního dvojčete areálu, správa dopravců a řidičů, GMP-kompatibilní auditní stopa, analytika a integrace. Zpracování probíhá po dobu trvání předplatného správce a veškeré doby uchovávání vyžadované oddílem 11.

3. Kategorie subjektů údajů

  • Zaměstnanci a administrátoři správce (pojmenovaní uživatelé platformy)
  • Řidiči a logistický personál přihlášený u bran správce
  • Zástupci dopravců a dispečerské kontakty
  • Personál bezpečnosti brány a operátoři skladu

4. Typy osobních údajů

  • Identifikační údaje: jména, e-mailové adresy, telefonní čísla, pracovní pozice/název pracovní pozice, název a adresa společnosti
  • Autentizační údaje: hesla hashovaná bcrypt (12 kol), přístupové a obnovovací tokeny JWT, časová razítka relací, IP adresy, SSO identifikátory (Google, Microsoft)
  • Provozní údaje: rezervace, přidělení doků, pohyby návěsů, záznamy z kontrol, dokumenty, přidělení úkolů, registrační značky vozidel
  • Údaje o řidičích: čísla řidičských průkazů, snímky řidičských průkazů, volitelné snímky obličeje pro biometrické ověření u brány (zvláštní kategorie údajů, čl. 9 GDPR — zpracovávány pouze tehdy, pokud správce povolil biometrické ověření u brány a získal výslovný souhlas v okamžiku pořízení)
  • Auditní údaje: akce uživatelů, časová razítka, IP adresy, řetězce user-agent, rozdíly starých/nových hodnot, GMP-označené záznamy

5. Povinnosti zpracovatele

  • Zpracovávat osobní údaje pouze na základě zdokumentovaných pokynů správce (uživatelské rozhraní platformy a API představují zdokumentované pokyny)
  • Zajistit, aby osoby oprávněné ke zpracování údajů byly vázány dohodami o mlčenlivosti
  • Zavést odpovídající technická a organizační bezpečnostní opatření (čl. 32) — viz část 7 níže
  • Nezapojovat dílčí zpracovatele bez předchozího písemného souhlasu; poskytnout 30denní předběžné oznámení o jakémkoli novém dílčím zpracovateli (právo vznést námitku)
  • Asistovat správci při plnění žádostí subjektů údajů (čl. 15–22) prostřednictvím koncových bodů DSAR popsaných v části 9
  • Oznamovat správci porušení zabezpečení osobních údajů bez zbytečného odkladu a nejpozději do 72 hodin (část 8)
  • Vymazat nebo vrátit veškeré osobní údaje po ukončení poskytování služeb (část 11)
  • Zpřístupnit veškeré informace nezbytné k doložení souladu s předpisy a umožnit provádění auditů (část 12)

6. Dílčí zpracovatelé

Zpracovatel v současné době využívá následující dílčí zpracovatele, přičemž každý z nich jedná na základě smlouvy o zpracování osobních údajů a (kde je to relevantní) Standardních smluvních doložek 2021:

Dílčí zpracovatelÚčelUmístěníZáruky
Microsoft AzureHostování (App Service, Postgres Flexible Server, Blob Storage, Key Vault, App Insights, Front Door + WAF)EEA — Švédsko – střed + Norsko – východMicrosoft Online Services DPA + EU SCCs, ISO 27001, SOC 2 Type II, ISO 27018, EU Data Boundary
StripeFakturace předplatného a zpracování plateb (YARDtwin neukládá čísla platebních karet)Stripe Ireland (EEA), částečná podpora z USAStripe DPA + EU SCCs + PCI DSS Level 1
ResendTransakční e-maily (uvítací zprávy, připomínky zkušebního období, odpovědi DSAR, upozornění na porušení)USA (Delaware)Resend DPA + EU SCCs (ověření doplňkových opatření dle FISA 702 probíhá — viz GDPR Policy 11.6)
Google Cloud VisionOCR řidičských průkazů (pouze pokud správce povolí ověřování průkazů na vrátnici)Regiony EUGoogle Cloud DPA + EU SCCs, ISO 27001, SOC 2
Google / Microsoft (OAuth SSO)Tokeny identity jednotného přihlášení pro uživatele, kteří zvolí SSOEEA (Microsoft Entra ID) / Globální (Google Workspace)Microsoft / Google Cloud DPAs
AnthropicClaude API pro integrovaného AI asistenta a textovou analýzu OCR řidičských průkazůUSA (Kalifornie)Anthropic DPA + nulové uchovávání dat + EU SCCs (ověření doplňkových opatření dle FISA 702 probíhá)

Zákazníci jsou informováni nejméně 30 dní před přidáním nového dílčího zpracovatele, s právem vznést námitku a ukončit smlouvu bez sankce.

7. Bezpečnostní opatření (čl. 32)

  • Šifrování při přenosu: TLS 1.2+ na každém koncovém bodu; certifikáty spravuje Microsoft Azure (DigiCert)
  • Šifrování v klidovém stavu: transparentní šifrování dat Azure Postgres Flexible Server; šifrování Azure Blob Storage
  • Šifrování na úrovni polí: AES-256-GCM pro biometrické údaje (snímky řidičských průkazů, snímky podpisů), klíče uloženy v Azure Key Vault
  • Hashování hesel: bcrypt, 12 kol
  • Autentizace: přístupové tokeny JWT (platnost 1 hodina) + obnovovací tokeny (platnost 7 dní, rotace při použití); SSO přes Google a Microsoft jako ekvivalent MFA
  • Izolace tenantů: vynucena na každé API routě, regresně testována 25vektorovým mezitenant-ním auditem při každém vydání
  • Řízení přístupu na základě rolí: šest rolí (admin, ops_manager, gate_guard, warehouse_operator, carrier, super_admin), middleware nejnižších oprávnění
  • Firewall webových aplikací: Azure Front Door + spravovaný WAF (OWASP Core Rule Set, ochrana proti botům, L7 DDoS)
  • Omezení počtu požadavků: limity na úrovni jednotlivých rout, přísnější u autentizačních koncových bodů; sledování pokusů v paměti i persistentně
  • Auditní stopa: pouze pro přidávání záznamů na aplikační vrstvě, 6letá doba uchovávání, záznamy relevantní pro GMP označeny samostatně, pseudonymizovány (nesmazány) při uplatnění práva na výmaz dle čl. 17 odst. 3 písm. b)
  • Průběžné monitorování: Azure Application Insights, upozornění na změnu schématu (15minutové okno), end-to-end sonda /health/db-write, anomální worker pro monitorování narušení (nárůst neúspěšných přihlášení, útoky z více IP adres, přihlášení ze změněné země, míra chyb 5xx)
  • Softwarový dodavatelský řetězec: npm audit, Trivy, Semgrep, gitleaks, OWASP ZAP při každém PR. Tajné klíče: Azure Key Vault přístupný prostřednictvím spravované identity App Service; žádné tajné klíče v kódu, souborech prostředí ani obrazech kontejnerů

8. Oznámení o porušení zabezpečení osobních údajů

Zpracovatel neprodleně, nejpozději do 72 hodin od zjištění porušení zabezpečení osobních údajů dotýkajícího se dat Správce, oznámí tuto skutečnost Správci (čl. 33). Oznámení obsahuje povahu narušení, kategorie a přibližný počet dotčených subjektů údajů, pravděpodobné důsledky, přijatá nebo navrhovaná opatření a referenční číslo v registru narušení. Zjištěné anomálie jsou směrovány do skupiny Azure Monitor Action Group yardtwin-breach-actions; potvrzené incidenty jsou sledovány v tabulce registru narušení s odpočtem 72 hodin pro DPC.

9. Práva subjektů údajů

Zpracovatel poskytuje Správci následující koncové body pro splnění práv subjektů údajů ve lhůtě 30 dnů dle čl. 12 odst. 3:

  • POST /api/v1/dsar/export/by-email — strojově čitelný export pokrývající čl. 15 (přístup) a čl. 20 (přenositelnost)
  • POST /api/v1/dsar/erase/by-email — pseudonymizace ve všech tabulkách osobních údajů při zachování uchovávání auditního záznamu dle čl. 17 odst. 3 písm. b)
  • Samoobslužný portál pro podávání žádostí na /data-request

10. Mezinárodní předávání údajů

Provozní data jsou uložena v rámci Evropského hospodářského prostoru (Microsoft Azure, Sweden Central + Norway East). Další předávání dílčím zpracovatelům mimo EHP (Resend, Anthropic) se řídí standardními smluvními doložkami z roku 2021 s dokumentovanými posouzeními dopadu předávání. Stripe smluvně působí prostřednictvím Stripe Ireland (primárně v EHP).

11. Doba trvání, ukončení a vrácení dat

Tato DPA zůstává v platnosti po dobu trvání smlouvy o poskytování služeb. Po ukončení:

  • Správce může exportovat veškerá svá data do 30 dnů prostřednictvím exportních funkcí v produktu nebo na vyžádání
  • Po 30 dnech Zpracovatel vymaže veškerá provozní osobní data Správce
  • Auditní záznamy jsou uchovávány po dobu 6 let od události v pseudonymizovaném stavu, jak vyžaduje 21 CFR Part 11 / EU GMP Annex 11 (přepsání zákonnou povinností dle čl. 17 odst. 3 písm. b))
  • Zálohy jsou vymazány do 7 dnů od provozního smazání v souladu s oknem pro obnovu k určitému bodu v čase

12. Práva na audit

Zpracovatel zpřístupní Správci veškeré informace nezbytné pro prokázání souladu s čl. 28 GDPR. Zákazníci mohou požádat o: kopie relevantních bezpečnostních certifikací a auditních zpráv (jsou-li k dispozici), aktuální registr dílčích zpracovatelů, nejnovější zprávu o regresním testování izolace nájemců, nejnovější shrnutí externího penetračního testu (je-li vydáno, viz GDPR Policy 11.1) a odpovědi na dotazník bezpečnosti dodavatele. Přiměřené audity na místě nebo vzdáleně lze dohodnout s předstihem alespoň 30 dnů a provádí je Správce nebo nezávislá třetí strana vázaná povinností mlčenlivosti. Zpracovatel upřednostní zprávy ISO 27001 / SOC 2 Type II jako náhradní důkaz, jakmile budou tyto certifikace získány.

13. Odpovědnost a rozhodné právo

Odpovědnost vyplývající z této DPA podléhá omezením stanoveným v YARDtwin Podmínky služby. Tato DPA se řídí právem Irska a Obecným nařízením EU o ochraně osobních údajů (GDPR). Veškeré spory podléhají výlučné příslušnosti irských soudů.

14. Kontakt

V případě dotazů týkajících se této DPA, žádosti o protipodepsanou kopii nebo uplatnění jakýchkoli výše uvedených práv kontaktujte admin@yardtwin.com nebo pověřence pro ochranu osobních údajů na adrese dpo@yardtwin.com. Externího frakčního pověřence pro ochranu osobních údajů (DPO) sjednáváme (GDPR Policy 11.2); do doby jmenování jsou e-maily zaslané na dpo@yardtwin.com přesměrovány na admin@yardtwin.com.

Přijetím zákazník souhlasí s tím, že bude vázán touto Smlouvou o zpracování dat v3.0 jako správce údajů.

Ahoj! Spusťte bezplatnou zkušební verzi za 2 minuty — pomohu vám vše nastavit!