Smlouva o zpracování objednávky (AVV) podle čl. 28 GDPR
Stav: 30. dubna 2026
Preambule
Vítejte u společnosti Campcruisers GmbH! Jsme velmi rádi, že jste se rozhodli pro Campsite OS a svěřujete nám správu digitálního provozu vašeho kempu. Ochrana dat a bezpečnost dat jsou pro nás ústředním kvalitativním znakem našeho softwaru.
Tato smlouva o zpracování objednávky (AVV) tvoří transparentní a spravedlivý právní základ pro zpracování osobních údajů na váš příkaz.
Smluvní strany
Správce (zákazník): Vaše údaje o společnosti vyplývají z hlavní smlouvy (předplatné pro Campsite OS).
Zpracovatel: Campcruisers GmbH, Berliner Str. 21B, 14612 Falkensee, Německo. Daniel Bosch (CEO), Philipp André Marschall (prokurista). Obchodní soud Potsdam, HRB 40180 P. DIČ: DE368000447.
Pověřenec pro ochranu dat: Není jmenován (§ 38 BDSG není splněn).
§ 1 Předmět, doba trvání a specifikace
1.1
Tato smlouva upravuje zpracování osobních údajů v rámci poskytování Campsite OS. Doplňuje VOP a hlavní smlouvu.
1.2
Doba trvání se řídí hlavní smlouvou. Povinnosti mlčenlivosti a mazání trvají i nadále.
1.3
Zpracování zahrnuje: shromažďování, ukládání, změny, čtení, předávání (např. správci kanálů), mazání. Servery: Nizozemsko (IP: 34.91.84.25).
§ 2 Odpovědnost
2.1
Vy jste správcem (čl. 4 bod 7 GDPR). Rozhodujete o účelech a prostředcích.
2.2
My jsme zpracovatelem (čl. 4 bod 8 GDPR). Zpracování pouze podle vašich pokynů. Žádné vlastní využití, žádný prodej.
§ 3 Druh a účel zpracování
Účel: Poskytování Campsite OS. Zahrnuje: rezervace a booking, správu hostů (včetně hlášení podle § 29 BMG), účetnictví (ZUGFeRD), správu kanálů, odesílání e-mailů, IoT & Smart Camp.
§ 4 Druh osobních údajů
4.1 Kategorie údajů
Základní údaje (jméno, datum narození, národnost) | Kontaktní údaje (adresa, e-mail, telefon) | Údaje o rezervaci (období, kategorie, doplňky) | KYC/hlášení (čísla dokladů) | Údaje o vozidle (SPZ) | Platební údaje (tokenizované přes Stripe) | Komunikační údaje (tickets, e-maily) | Systémové údaje (IP, logy, relace)
4.2 Dotčené osoby
Hosté/koncoví zákazníci a jejich spolucestující | Vaši zaměstnanci (uživatelé softwaru) | Dodavatelé/služby
§ 5 Povinnosti zpracovatele
5.1 Dodržování GDPR, BDSG, TDDDG. | 5.2 Vázanost na účel a pokyny. | 5.3 Informování o nezákonných pokynech. | 5.4 Zpracování v EU (Nizozemsko). Třetí země pouze s čl. 44 a násl. GDPR.
§ 6 Právo dávat pokyny
6.1 Pokyny stanovené smlouvou a hlavní smlouvou. | 6.2 Textová forma (e-mail na support@campsite-os.de) nebo konfigurace softwaru. | 6.3 Dokumentace všech pokynů.
§ 7 Důvěrnost a personál
7.1 Povinnost mlčenlivosti všech zaměstnanců (čl. 28 odst. 3 písm. b GDPR). | 7.2 Pravidelné školení. | 7.3 Princip need-to-know.
§ 8 Technicko-organizační opatření (TOMs)
8.1 Opatření podle čl. 32 GDPR. | 8.2 Šifrování (TLS, AES-256), MFA, RBAC, logování, 99% SLA, zálohy, ochrana proti DDoS. | 8.3 Přizpůsobení technickému pokroku. Podrobnosti v příloze 1.
§ 9 Subdodavatelské vztahy
9.1 Obecné schválení (čl. 28 odst. 2 GDPR). | 9.2 Aktuální subdodavatelé zpracovatelů v příloze 2. | 9.3 Informace 14 dní před změnou. Právo námitky. | 9.4 Stejné povinnosti pro subdodavatele zpracovatelů.
§ 10 Práva dotčených osob
10.1 Podpora při čl. 15–22 GDPR (self-service v Campsite OS). | 10.2 Přímé dotazy budou postoupeny vám.
§ 11 Oznamovací povinnosti
11.1 Oznámení narušení ochrany dat do 48 hodin. | 11.2 Obsah: druh porušení, dotčené osoby, následky, přijatá opatření. | 11.3 Podpora při DPIA (čl. 35/36 GDPR).
§ 12 Kontrolní práva a audity
12.1 Právo na přezkoumání. | 12.2 Dokumentace/certifikáty nejprve; audit na místě s 30denním předstihem. | 12.3 Náklady nese zákazník (kromě případu porušení).
§ 13 Mazání a vrácení
13.1 Přenositelnost dat: 30denní lhůta pro export (CSV, XML, JSON). | 13.2 Konečné smazání po 30 dnech. | 13.3 Potvrzení na vyžádání.
§ 14 Odpovědnost
14.1 Odpovědnost podle čl. 82 GDPR. Ve vnitřním vztahu pouze při porušení povinností podle GDPR nebo pokynů. | 14.2 Omezení na roční poplatek při lehké nedbalosti.
§ 15 Závěrečná ustanovení
15.1 Textová forma pro změny. | 15.2 Salvatorní klauzule. | 15.3 Německé právo, soudní místo Falkensee.
Příloha 1: Technicko-organizační opatření (TOMs)
1. Důvěrnost
Kontrola vstupu: Servery v datových centrech v Nizozemsku (IP: 34.91.84.25). 24/7 ostraha, biometrická kontrola vstupu, kamerový dohled.
Kontrola přístupu: Složité heslo, MFA, ochrana proti brute-force útokům, VPN.
Kontrola oprávnění: RBAC v Campsite OS, princip need-to-know, ničení dokumentů podle DIN 66399.
Kontrola oddělení: Logické oddělení klientů. Oddělení vývoje/testování/produkce.
2. Integrita
Kontrola přenosu: TLS 1.2/1.3, AES-256 at rest, API klíče a tokenová autentizace.
Kontrola vstupu: Auditní stopa v Campsite OS, centrální protokolování serverů.
3. Dostupnost
Denní zálohy (georedundantní, šifrované), UPS, ochrana proti DDoS, WAF, 99% SLA.
4. Hodnocení
Pravidelné audity, skenování zranitelností, plán reakce na incidenty (oznámení do 48 hodin), Privacy by Default.
Příloha 2: Schválení subdodavatelé zpracovatelé
| Poskytovatel služeb | Sídlo | Účel | Přenos do třetí země |
|---|---|---|---|
| Stripe Payments Europe, Ltd. | Irsko (EU) | Zpracování plateb | EU; případně SCC při interním přenosu do USA |
| Resend, Inc. | USA | Transakční odesílání e-mailů | Standardní smluvní doložky EU (SCC) |
| Google Ireland Limited | Irsko (EU) | Analytics & Ads | Primárně EU |
| Biscotti CMP | Německo (EU) | Správa cookies/souhlasů | Výhradně EU |
| Poskytovatel hostingu | Nizozemsko (EU) | Serverová infrastruktura (IP: 34.91.84.25) | Výhradně EU |