Mezinárodní přenos osobních údajů
Platné od: 2. července 2026 · Ochrana osobních údajů · Obchodní podmínky
Tento dokument doplňuje Zásady ochrany osobních údajů platformy BREVET a popisuje, na jakém právním základě dochází k přenosu osobních údajů mimo Evropský hospodářský prostor (EHP), pokud k němu dochází v souvislosti se zpracovateli, které BREVET využívá.
1. Proč k přenosu dochází
Někteří zpracovatelé, které BREVET využívá pro provoz Platformy (zejména zpracování plateb, komunikaci a hosting), jsou společnosti se sídlem nebo mateřskou strukturou v USA. GDPR (kapitola V, čl. 44 a násl.) vyžaduje, aby přenos osobních údajů mimo EHP byl kryt odpovídajícím právním mechanismem — nejčastěji rozhodnutím o odpovídající ochraně nebo standardními smluvními doložkami (SCC).
2. Přehled zpracovatelů a mechanismu přenosu
| Zpracovatel | Účel | Mechanismus přenosu |
|---|---|---|
| Meta Platforms, Inc. (WhatsApp Business Platform) | Doručování zpráv souvisejících se zakázkami | Certifikace dle EU-U.S. Data Privacy Framework (DPF), včetně UK Extension |
| Stripe, Inc. / Stripe Payments Europe | Zpracování plateb (Stripe Connect) | Certifikace dle EU-U.S. Data Privacy Framework (DPF), včetně UK Extension |
| Twilio Inc. | Automatizované hlasové volání (robocall) řemeslníkům v rámci havarijní dispečerské kaskády | Certifikace dle EU-U.S. Data Privacy Framework (DPF), včetně UK Extension |
| Supabase, Inc. | Ukládání dat, autentizace, hosting databáze | Primární úložiště v EU regionu (Frankfurt); přenos ke společnosti Supabase, Inc. (USA) kryt standardními smluvními doložkami (SCC) v rámci Data Processing Agreement |
| Vercel Inc. | Hosting webové a mobilní aplikace | Standardní smluvní doložky (SCC) v rámci Data Processing Agreement — aktuální rozsah certifikace ověřujeme průběžně |
| Google Ireland Ltd. / Google LLC | Webová analytika a měření reklamy (Google Analytics, Google Ads) | Certifikace dle EU-U.S. Data Privacy Framework (DPF), včetně UK Extension |
3. Poznámka k společnosti Supabase
I při zvolení evropského regionu (Frankfurt) pro primární uložení dat zůstává Supabase, Inc. americkou společností, a jako taková může teoreticky podléhat požadavkům amerických orgánů (např. na základě CLOUD Act) bez ohledu na fyzické umístění serveru. Tuto skutečnost uvádíme transparentně v souladu se zásadou odpovědnosti (accountability) dle GDPR. Nejde o okolnost, která by aktuálně vyžadovala změnu zpracovatele, ale je součástí naší průběžné dokumentace zpracovatelského řetězce.
4. Ověření certifikací
Aktuální seznam společností certifikovaných dle Data Privacy Framework lze ověřit na oficiálním registru: www.dataprivacyframework.gov.
5. Vaše práva
V souvislosti s mezinárodním přenosem údajů máte stejná práva jako podle Zásad ochrany osobních údajů, včetně práva podat stížnost u Úřadu pro ochranu osobních údajů (ÚOOÚ), www.uoou.cz, nebo u příslušného dozorového úřadu v zemi vašeho bydliště.
info@brevet.cz