DATA PROCESSING AGREEMENT (DPA)

ENTERPRISE – SportBooster

Verzia 1.0

Dátum účinnosti: 20.2.2026

Tento Data Processing Agreement („DPA“) je uzatvorený medzi:

Milkam s.r.o.

Lúčky 3

90851 Holíč

Slovenská republika

(ďalej len „Spracovateľ“)

a

Klubom / Expertom / Podnikateľským subjektom využívajúcim platformu SportBooster

(ďalej len „Prevádzkovateľ údajov“)

Táto DPA tvorí neoddeliteľnú súčasť Všeobecných obchodných podmienok platformy SportBooster („VOP“) a je vykladaná v súlade s Privacy Policy (verzia 1.2).

1. ÚČEL A ROZSAH

1.1 Táto DPA upravuje spracúvanie osobných údajov podľa čl. 28 GDPR.

1.2 Spracovateľ spracúva osobné údaje výlučne na základe dokumentovaných pokynov Prevádzkovateľa údajov a za účelom poskytovania SaaS služieb platformy SportBooster.

1.3 Ak právo EÚ alebo členského štátu vyžaduje spracovanie nad rámec pokynov, Spracovateľ o tom Prevádzkovateľa údajov informuje, pokiaľ to zákon nezakazuje.

2. ROZDELENIE ROLÍ (HARMONIZÁCIA S PRIVACY POLICY)

2.1 Prevádzkovateľ údajov je „controller“ podľa čl. 4 ods. 7 GDPR vo vzťahu k údajom svojich členov, klientov a používateľov.

2.2 Milkam s.r.o. je „processor“ podľa čl. 4 ods. 8 GDPR vo vzťahu k týmto údajom.

2.3 Milkam s.r.o. vystupuje ako samostatný „controller“ vo vzťahu k údajom spracúvaným na vlastné účely, najmä:

  • registrácia používateľského účtu,
  • fakturácia,
  • správa kreditného systému,
  • bezpečnosť platformy,
  • plnenie zákonných povinností.

2.4 Rozdelenie rolí je v súlade s článkom 2 Privacy Policy.

3. PREDMET SPRACÚVANIA

Spracúvanie môže zahŕňať:

  • zber
  • zaznamenávanie
  • organizovanie
  • štruktúrovanie
  • uchovávanie
  • sprístupňovanie
  • prenos
  • anonymizáciu
  • výmaz

4. KATEGÓRIE ÚDAJOV A DOTKNUTÝCH OSÔB

4.1 Kategórie údajov

  • identifikačné údaje
  • kontaktné údaje
  • údaje maloletých
  • športové údaje
  • podnikateľské údaje
  • technické údaje
  • komunikačné údaje

4.2 Kategórie dotknutých osôb

  • členovia klubu
  • maloletí
  • rodičia
  • tréneri
  • zamestnanci
  • experti

5. POVINNOSTI SPRACOVATEĽA

Spracovateľ sa zaväzuje:

5.1 Spracúvať osobné údaje výlučne na základe dokumentovaných pokynov Prevádzkovateľa údajov.

5.2 Zabezpečiť, aby osoby oprávnené spracúvať údaje boli viazané zákonnou alebo zmluvnou povinnosťou mlčanlivosti.

5.3 Prijať primerané technické a organizačné opatrenia podľa čl. 32 GDPR (Annex II).

5.4 Neposkytovať údaje tretím stranám bez pokynu Prevádzkovateľa údajov, okrem prípadov vyžadovaných právnymi predpismi.

5.5 Viesť záznamy o spracovateľských činnostiach podľa čl. 30 ods. 2 GDPR.

5.6 Asistovať Prevádzkovateľovi údajov pri:

  • vybavovaní práv dotknutých osôb (čl. 12–23 GDPR),
  • vykonávaní DPIA,
  • konzultáciách s dozorným orgánom,
  • plnení povinností podľa čl. 33 a 34 GDPR.

6. INCIDENT RESPONSE (ZOSÚLADENÉ S PRIVACY POLICY)

6.1 Spracovateľ oznámi porušenie ochrany osobných údajov bez zbytočného odkladu, najneskôr do 48 hodín od zistenia.

6.2 Oznámenie bude obsahovať:

  • povahu incidentu,
  • kategórie dotknutých údajov,
  • pravdepodobné dôsledky,
  • prijaté opatrenia.

6.3 Spracovateľ poskytne súčinnosť pri oznámení dozornému orgánu a dotknutým osobám.

7. SUB-PROCESSORI

7.1 Spracovateľ môže využívať sub-processorov uvedených v Annex III.

7.2 Sub-processori sú viazaní zmluvou podľa čl. 28 GDPR.

7.3 Prevádzkovateľ údajov bude informovaný o zmene sub-processorov.

7.4 Prevádzkovateľ údajov má právo namietať do 14 dní od oznámenia.

7.5 V prípade oprávnenej námietky môže Prevádzkovateľ údajov ukončiť zmluvu bez sankcie.

7.6 Zoznam sub-processorov je dostupný na vyžiadanie a je zosúladený s článkom 10 Privacy Policy.

8. MEDZINÁRODNÉ PRENOSY (SCC READY)

8.1 Prenosy mimo EÚ/EHP sú realizované prostredníctvom:

  • Standard Contractual Clauses (SCC),
  • rozhodnutí o primeranosti,
  • iných zákonných mechanizmov.

8.2 SCC Modul 2 (Controller → Processor) sú inkorporované ako súčasť tejto DPA.

8.3 V prípade potreby bude vykonaný Transfer Impact Assessment (TIA).

8.4 The EU Standard Contractual Clauses (Commission Implementing Decision (EU) 2021/914), Module 2 (Controller to Processor), are incorporated by reference and form an integral part of this DPA. The current version is available at:

https://sportbooster.app/legal/scc

8.5 The International Data Transfer Addendum (Enterprise Version 2.0) forms an integral part of this DPA and supplements the EU Standard Contractual Clauses and, where applicable, the UK International Data Transfer Addendum. The current version is available at:

https://mysportbooster.com/legal/international-data-transfer

9. AUTOMATIZOVANÉ SPRACOVANIE A AI

9.1 Spracovateľ môže využívať automatizované systémy vrátane AI na:

  • detekciu podvodov,
  • moderovanie obsahu,
  • ochranu maloletých,
  • personalizáciu.

9.2 AI systémy nevykonávajú rozhodnutia s právnymi účinkami bez možnosti ľudského zásahu.

9.3 Ustanovenia sú v súlade s článkom 8 Privacy Policy.

10. AUDIT

10.1 Prevádzkovateľ údajov má právo na audit raz ročne po oznámení minimálne 30 dní vopred.

10.2 Audit musí rešpektovať:

  • obchodné tajomstvo,
  • bezpečnosť iných klientov,
  • princíp proporcionality.

10.3 Audit môže byť realizovaný nezávislým audítorom viazaným mlčanlivosťou.

11. VYMAZANIE A VRÁTENIE ÚDAJOV

11.1 Po ukončení poskytovania služieb Spracovateľ:

  • vymaže osobné údaje alebo
  • ich vráti Prevádzkovateľovi údajov.

11.2 Povinnosť výmazu sa nevzťahuje na údaje, ktoré je Spracovateľ povinný uchovávať podľa právnych predpisov.

12. ZODPOVEDNOSŤ

12.1 Každá strana zodpovedá za porušenia vo vlastnej sfére pôsobnosti.

12.2 Zodpovednosť Spracovateľa je obmedzená na sumu ročných poplatkov zaplatených Prevádzkovateľom údajov.

13. TRVANIE

Táto DPA trvá počas trvania poskytovania služieb podľa VOP.

ANNEX I – DESCRIPTION OF PROCESSING

Predmet: poskytovanie SaaS platformy SportBooster

Trvanie: počas trvania zmluvy

Kategórie dotknutých osôb: podľa článku 4 tejto DPA

ANNEX II – TECHNICKÉ A ORGANIZAČNÉ OPATRENIA

Organizačné:

  • interné bezpečnostné politiky
  • školenia
  • NDA dohody
  • kontrola prístupu

Technické:

  • TLS šifrovanie
  • role-based access control
  • MFA
  • logovanie
  • detekcia anomálií
  • pravidelné aktualizácie
  • ochrana proti DDoS

Incident Response:

  • interný plán reakcie
  • dokumentácia
  • notifikácia do 48 hodín

ANNEX III – SUB-PROCESSORI (KATEGÓRIE)

  • Cloud hosting provider
  • Database provider
  • Payment processor (Stripe)
  • AI service providers
  • Analytics providers
  • CDN / Security providers

Aktuálny zoznam sub-processorov je dostupný na vyžiadanie.