1. Smluvní strany

Správce: Klient (podnikatel nebo právnická osoba), který uzavřel smlouvu o poskytování služeb s Efficio.

Zpracovatel: Tomáš Frolík, IČO: 22193014, se sídlem Jiráskova 784, 373 82 Včelná, Česká republika, provozovatel Efficio.

2. Předmět zpracování

Zpracovatel zpracovává osobní údaje výhradně na základě pokynů správce a v rozsahu nezbytném pro plnění smluvních povinností — zejména při implementaci CRM systémů, nastavení automatizačních workflow a správě obchodních procesů klienta.

3. Kategorie osobních údajů

V rámci poskytovaných služeb může docházet ke zpracování zejména:

• Kontaktních údajů (jméno, e-mail, telefon)
• Firemních údajů (název společnosti, pozice)
• Obchodních dat (historie komunikace, stav obchodního případu)

Zpracovatel nezpracovává zvláštní kategorie osobních údajů dle čl. 9 GDPR.

4. Účel zpracování

Osobní údaje jsou zpracovávány výhradně za účelem plnění smlouvy mezi zpracovatelem a správcem — konkrétně pro nastavení a provoz CRM systémů, automatizačních nástrojů a obchodních procesů klienta.

5. Povinnosti zpracovatele

Zpracovatel se zavazuje:

• Zpracovávat osobní údaje pouze na základě doložených pokynů správce
• Zajistit mlčenlivost osob oprávněných zpracovávat osobní údaje
• Přijmout vhodná technická a organizační opatření dle čl. 32 GDPR
• Nepověřovat dalšího zpracovatele bez předchozího souhlasu správce
• Napomáhat správci při plnění jeho povinností vůči subjektům údajů
• Po ukončení smlouvy vymazat nebo vrátit veškeré osobní údaje
• Poskytnout správci veškeré informace potřebné k prokázání souladu s GDPR

6. Bezpečnostní opatření

Zpracovatel přijímá přiměřená technická opatření k ochraně osobních údajů, včetně šifrování přenášených dat, řízení přístupu a pravidelného hodnocení bezpečnostních rizik.

7. Subdodavatelé (sub-zpracovatelé)

Zpracovatel může využívat následující sub-zpracovatele pro účely poskytování služeb:

• Make.com — automatizační platforma (Celonis SE, EU)
• HubSpot / Pipedrive / Salesforce — CRM systémy (dle projektu)
• OpenAI — AI nástroje (pokud jsou součástí projektu)

O zapojení nových sub-zpracovatelů bude správce informován předem.

8. Přeshraniční předávání dat

Pokud dochází k předávání osobních údajů mimo EHP, zpracovatel zajistí, aby bylo takové předávání v souladu s GDPR — zejména prostřednictvím standardních smluvních doložek (SCC) nebo jiného vhodného mechanismu.

9. Hlášení incidentů

V případě porušení zabezpečení osobních údajů zpracovatel neprodleně (nejpozději do 48 hodin) informuje správce, aby správce mohl splnit svou oznamovací povinnost vůči dozorovému úřadu dle čl. 33 GDPR.

10. Trvání a ukončení

Tato smlouva o zpracování dat je platná po dobu trvání hlavního smluvního vztahu. Po jeho ukončení zpracovatel na žádost správce vymaže nebo vrátí veškeré zpracovávané osobní údaje, pokud jejich uchovávání nevyžaduje právní předpis.

1. Parties

Controller: The client (business or legal entity) who has entered into a service agreement with Efficio.

Processor: Tomáš Frolík, ID No.: 22193014, registered address Jiráskova 784, 373 82 Včelná, Czech Republic, operating as Efficio.

2. Subject of Processing

The processor processes personal data solely on the controller's documented instructions and to the extent necessary for fulfilling contractual obligations — primarily during CRM implementation, automation workflow setup, and management of the client's sales processes.

3. Categories of Personal Data

In the course of providing services, the following categories of data may be processed:

• Contact information (name, email, phone number)
• Business data (company name, job title)
• Commercial data (communication history, deal status)

The processor does not process special categories of personal data as defined under Art. 9 GDPR.

4. Purpose of Processing

Personal data is processed solely for the purpose of performing the service agreement — specifically for setting up and operating CRM systems, automation tools, and the client's sales processes.

5. Processor Obligations

The processor commits to:

• Process personal data only on documented instructions from the controller
• Ensure confidentiality of persons authorized to process personal data
• Implement appropriate technical and organizational measures per Art. 32 GDPR
• Not engage sub-processors without prior consent of the controller
• Assist the controller in fulfilling obligations toward data subjects
• Delete or return all personal data upon termination of the agreement
• Provide all information necessary to demonstrate GDPR compliance

6. Security Measures

The processor implements appropriate technical measures to protect personal data, including encryption of data in transit, access controls, and regular security risk assessments.

7. Sub-processors

The processor may use the following sub-processors in delivering services:

• Make.com — automation platform (Celonis SE, EU)
• HubSpot / Pipedrive / Salesforce — CRM systems (project-dependent)
• OpenAI — AI tools (where included in the project scope)

The controller will be notified in advance of any new sub-processors being engaged.

8. International Data Transfers

Where personal data is transferred outside the EEA, the processor will ensure compliance with GDPR — in particular through Standard Contractual Clauses (SCCs) or another appropriate transfer mechanism.

9. Incident Reporting

In the event of a personal data breach, the processor will notify the controller without undue delay (within 48 hours at the latest), enabling the controller to meet its notification obligations to the supervisory authority under Art. 33 GDPR.

10. Duration and Termination

This DPA remains in effect for the duration of the main service agreement. Upon termination, the processor will, at the controller's request, delete or return all personal data processed, unless retention is required by applicable law.