Čl. 1 – Strany a jejich roleArt. 1 – Parties and their roles

RoleRole	StranaParty	PopisDescription
Správce (Controller)	ZákazníkCustomer	Firma, která uzavřela smlouvu o užívání Nimday a rozhoduje o účelu a způsobu zpracování osobních údajů svých zaměstnanců.The company that has entered into a contract for the use of Nimday and determines the purpose and means of processing its employees' personal data.
Zpracovatel (Processor)	Worki Design s.r.o., IČO 08995613	Zpracovává osobní údaje výlučně na pokyn Správce a za účelem poskytování služby Nimday.Processes personal data exclusively on the instruction of the Controller and for the purpose of providing the Nimday service.

Čl. 2 – Předmět a účel zpracováníArt. 2 – Subject-matter and purpose of processing

Zpracovatel zpracovává osobní údaje Správce za účelem poskytování softwarové služby Nimday, která zahrnuje:

• zobrazování pracovních úkolů, komentářů a příloh ze systému Asana,
• zobrazování událostí z Google Kalendáře,
• ukládání poznámek a zápisků uživatelů (modul Poznámky),
• generování personalizovaných AI přehledů dne prostřednictvím Anthropic Claude API,
• správu uživatelských účtů a autentizaci prostřednictvím Clerk.com.

Čl. 3 – Typy zpracovávaných osobních údajůArt. 3 – Types of personal data processed

KategorieCategory	Konkrétní údajeSpecific data	ZdrojSource
Identifikační údajeIdentification data	Jméno, příjmení, pracovní e-mailFirst name, surname, work email	Zákazník při registraci / ClerkCustomer at registration / Clerk
Pracovní dataWork data	Názvy úkolů, termíny, komentáře, přiřazeníTask names, deadlines, comments, assignments	Asana API
Kalendářní dataCalendar data	Názvy událostí, časy, účastníciEvent names, times, attendees	Google Calendar API
Uživatelský obsahUser content	Text poznámek uložených v AplikaciText of notes stored in the Application	Uživatel přímo v AplikaciUser directly in the Application
Technické údajeTechnical data	IP adresa, logy přístupu, identifikátor relaceIP address, access logs, session identifier	Cloudflare / AplikaceCloudflare / Application

Aplikace není určena ke zpracování zvláštních kategorií osobních údajů dle čl. 9 GDPR (zdravotní, rasové, biometrické, náboženské apod. údaje). Zákazník se zavazuje tyto kategorie údajů do Aplikace nevkládat.

Čl. 4 – Kategorie subjektů údajůArt. 4 – Categories of data subjects

Osobními údaji dotčenými touto DPA jsou zejména:

• zaměstnanci a spolupracovníci Zákazníka, kteří jsou Uživateli Aplikace,
• osoby zmíněné v pracovních úkolech nebo kalendářních událostech Zákazníka.

Čl. 5 – Povinnosti ZpracovateleArt. 5 – Processor obligations

Zpracovatel se zavazuje:

• Zpracovávat osobní údaje výlučně na základě doložených pokynů Správce, nestanoví-li právo EU nebo členského státu jinak.
• Zajistit, aby osoby oprávněné zpracovávat osobní údaje byly vázány povinností mlčenlivosti.
• Přijmout veškerá technická a organizační opatření k zajištění bezpečnosti zpracování dle čl. 32 GDPR.
• Respektovat podmínky zapojení technologických partnerů (technologických partnerů) dle čl. 6 této DPA.
• S ohledem na povahu zpracování pomáhat Správci při plnění jeho povinností vyřizovat žádosti subjektů údajů o výkon jejich práv.
• Pomáhat Správci zajistit splnění povinností dle čl. 32–36 GDPR.
• Na pokyn Správce veškeré osobní údaje vymazat nebo je vrátit Správci po ukončení poskytování služby.
• Poskytnout Správci veškeré informace potřebné k doložení souladu s čl. 28 GDPR a umožnit audity.

Čl. 6 – Technologický partneré (Technologičtí partneři)

Správce tímto uděluje Zpracovateli obecný souhlas se zapojením technologických partnerů. Zpracovatel informuje Správce o zamýšlených změnách týkajících se přidání nebo nahrazení technologických partnerů a umožní Správci vznést námitky.

Technologický partner	Sídlo	Účel zpracování	Základ přenosu
Cloudflare, Inc.	USA / EU DC	Hosting, CDN, databáze D1, KV, Workers	SCC + EU Data Addendum
Clerk.com, Inc.	USA	Autentizace a správa uživatelských účtů	SCC
Anthropic, PBC	USA	AI zpracování – generování přehledů dne	SCC
Asana, Inc.	USA	Čtení pracovních úkolů přes API (na pokyn uživatele)	SCC (klient má vlastní DPA s Asanou)
Google LLC	USA / EU	Čtení kalendářních událostí přes API	SCC + Google Cloud DPA
Stripe, Inc.	USA	Zpracování plateb (platební údaje)	SCC + PCI DSS

Aktuální seznam technologických partnerů je průběžně udržován na nimday.com/sub-processors.

Čl. 7 – Přenos osobních údajů do třetích zemíArt. 7 – Transfer of personal data to third countries

Někteří technologický partneré mají sídlo nebo infrastrukturu mimo Evropský hospodářský prostor (zejm. USA). Veškeré přenosy osobních údajů do třetích zemí jsou ošetřeny standardními smluvními doložkami (SCC) přijatými Evropskou komisí rozhodnutím 2021/914/EU, případně dalšími mechanismy dle čl. 46 GDPR.

Přenosy osobních údajů prostřednictvím Anthropic API se uskutečňují výhradně za účelem generování AI přehledů dne na pokyn Uživatele a jsou chráněny SCC. Anthropic neprodává ani nepoužívá tato data k trénování svých modelů bez výslovného souhlasu.

Čl. 8 – Bezpečnostní opatřeníArt. 8 – Security measures

Zpracovatel přijal a udržuje zejména tato technická a organizační opatření:

• Šifrování přenosu dat protokolem TLS 1.2 nebo vyšším.
• Šifrování dat v klidu prostřednictvím nástrojů Cloudflare D1 a KV.
• Přístup k produkčním datům jen pro oprávněné osoby na základě principu nejmenšího oprávnění.
• OAuth 2.0 pro přístup k API třetích stran – přístupové tokeny jsou uchovávány šifrovaně v Cloudflare KV.
• Autentizace uživatelů prostřednictvím Clerk.dev s podporou dvoufaktorové autentizace.
• Pravidelné zálohy databáze D1.
• Monitorování přístupu a logování prostřednictvím Cloudflare.

Čl. 9 – Hlášení porušení zabezpečeníArt. 9 – Reporting security breaches

V případě zjištění porušení zabezpečení osobních údajů (data breach) je Zpracovatel povinen tuto skutečnost oznámit Správci bez zbytečného odkladu, nejpozději do 36 hodin od zjištění, a to na kontaktní e-mail Správce uvedený při registraci.In the event of a personal data breach, the Processor must notify the Controller without undue delay, and no later than 36 hours after becoming aware of it, to the Controller's contact email provided during registration.

Oznámení musí obsahovat alespoň: popis povahy porušení, přibližný počet dotčených subjektů, pravděpodobné důsledky a přijatá nebo navrhovaná nápravná opatření.

Čl. 10 – Výmaz a vrácení datArt. 10 – Deletion and return of data

Po ukončení Smlouvy nebo na výslovný pokyn Správce Zpracovatel:

• do 30 dní smaže veškerá data Zákazníka uložená v systémech Zpracovatele (D1, KV),
• odvolá přístupy uživatelů Zákazníka v Clerk.dev,
• odstraní OAuth tokeny pro přístup k Asana a Google Calendar,
• na žádost Správce vydá potvrzení o provedení výmazu.

Lhůty pro výmaz dle zákonných povinností archivace (daňové doklady apod.) zůstávají nedotčeny.

Čl. 11 – Právo na auditArt. 11 – Right to audit

Správce je oprávněn ověřit plnění povinností Zpracovatele dle této DPA, a to formou:

• písemného dotazu (Zpracovatel odpoví do 15 pracovních dní),
• auditu provedeného Správcem nebo jím pověřeným auditorem po předchozí domluvě (min. 14 dní předem) a na náklady Správce.

Zpracovatel může namísto auditu poskytnout aktuální certifikaci nebo nezávislou auditní zprávu pokrývající dané oblasti.

Čl. 12 – Závěrečná ustanovení DPAArt. 12 – Final provisions

Tato DPA se řídí právem České republiky a tvoří nedílnou součást VOP Nimday. V případě rozporu mezi VOP a DPA má DPA přednost v otázkách zpracování osobních údajů.

Kontakt pro záležitosti ochrany osobních údajů:Contact for data protection matters: gdpr@nimday.com

Verze DPA: 2026-04-v1 · Příloha č. 1 kDPA version: 2026-04-v1 · Annex 1 to the Všeobecným obchodním podmínkám Nimday