Data Processing Agreement

This Data Processing Agreement ("DPA") is entered into between:

Data Controller ("Customer")	Data Processor ("Processor")
Company name: ___________________________ IČO / Registration no.: _______________ Registered address: ___________________ Contact email: ________________________	Martin Havel IČO: 71677763 Košťálkova 1103/2, 182 00 Praha 8, Czech Republic Email: [email protected] Trading as: cz-agents.dev

together referred to as the "Parties".

1. Background and scope

The Customer uses the cz-agents API (the Service) to query Czech public registers (ARES company register, ISIR insolvency register, EU/OFAC sanctions lists) for the purpose of due-diligence, KYC/AML compliance, or business intelligence.

In providing the Service, the Processor retrieves and temporarily processes data that may include personal data of natural persons registered in those public registers (company directors, statutory representatives, beneficial owners, registered agents). This DPA governs such processing under GDPR Article 28.

2. Duration

This DPA is effective from the date both Parties sign it (or from the date the Customer first uses the Service, whichever is earlier) and remains in force for as long as the Customer holds an active subscription or API token. Upon termination of the service relationship this DPA terminates automatically.

3. Nature and purpose of processing

Item	Detail
Nature	Retrieval from public registers; API response delivery; short-term request logging; token-based authentication
Purpose	Enabling the Customer to perform due-diligence and compliance checks on Czech legal entities
Legal basis (Processor's own processing)	Legitimate interest (GDPR Art. 6(1)(f)) — public-register data republished for compliance use

4. Categories of personal data and data subjects

Category of data	Categories of data subjects
Name, address, date of birth (where public), role/function	Directors, statutory representatives, beneficial owners, and other natural persons listed in ARES
Insolvency proceedings details	Natural persons listed as debtors in the ISIR insolvency register
Sanctions-list entries (name, nationality, identifiers)	Natural persons listed on EU Consolidated Financial Sanctions List (FSF) or OFAC SDN list

The Processor does not process special categories of personal data (GDPR Art. 9) or data relating to criminal convictions (Art. 10).

5. Obligations of the Processor

The Processor shall:

Process personal data only on documented instructions from the Customer (i.e., API requests made using the Customer's token) and for no other purpose.
Ensure that persons authorised to process personal data are bound by confidentiality.
Implement appropriate technical and organisational security measures (see Section 7).
Inform the Customer if, in the Processor's opinion, an instruction infringes GDPR or other applicable law.
Assist the Customer in fulfilling its obligations regarding data subject rights (access, erasure, restriction, portability) to the extent technically feasible given that the underlying source data is public-register data controlled by third parties.
Notify the Customer without undue delay (and no later than 72 hours) after becoming aware of a personal data breach affecting Customer data.
Delete all Customer data (API tokens, usage logs, query logs) within 30 days of service termination, unless retention is required by applicable law.
Make available all information necessary to demonstrate compliance with this DPA, and allow for audits and inspections conducted by the Customer or a mandated auditor, upon 14 days' written notice.

6. Sub-processors

The Customer grants the Processor general authorisation to engage the following sub-processors. The Processor shall inform the Customer of any intended changes (addition or replacement) with at least 14 days' notice, giving the Customer the opportunity to object.

Sub-processor	Service	Location
Hetzner Online GmbH	Cloud hosting and storage	EU (Germany)
Cloudflare, Inc.	CDN, WAF, DDoS protection	EU PoPs; data stored EU
Resend, Inc.	Transactional email delivery	EU (Frankfurt)

7. Technical and organisational security measures

All data in transit protected by TLS 1.2 or higher
API tokens stored hashed or in access-controlled SQLite volumes on encrypted-at-rest Hetzner servers
Access to production infrastructure restricted to named individuals; SSH key authentication only
Request logs retained for a maximum of 90 days, then deleted
No personal data exported to third-party analytics or advertising platforms
Regular dependency updates and security patching

8. International data transfers

All processing takes place within the EU/EEA (Hetzner Germany). No transfers to third countries are made except as necessary for Cloudflare's network routing, which is covered by Cloudflare's standard contractual clauses with Hetzner as origin.

9. Customer obligations

The Customer shall ensure it has a lawful basis for each query submitted to the Service, and that its use of returned data complies with applicable law (including GDPR, AML regulations, and any sector-specific rules).

10. Liability

Liability of each Party for breach of this DPA is governed by the applicable service agreement between the Parties. Where no such agreement exists, each Party's total liability arising under or in connection with this DPA shall not exceed the total fees paid by the Customer in the 12 months preceding the event giving rise to liability.

11. Governing law

This DPA is governed by Czech law. Disputes shall be resolved before the courts of the Czech Republic.

12. Entire agreement

This DPA supplements the Terms of Service and, together with them, constitutes the entire agreement between the Parties regarding data processing. In case of conflict, this DPA prevails.

Data Controller (Customer)

Signed for and on behalf of ________________________

Name, Title

Date

Signature

Data Processor (cz-agents)

Signed by Martin Havel, IČO 71677763

Name: Martin Havel

Date

Signature

Tato Smlouva o zpracování osobních údajů („SZOU") je uzavřena mezi:

Správce (Zákazník)	Zpracovatel
Název společnosti: ___________________________ IČO: _______________ Sídlo: ___________________ Kontaktní email: ________________________	Martin Havel IČO: 71677763 Košťálkova 1103/2, 182 00 Praha 8 Email: [email protected] Provozuje: cz-agents.dev

dále společně jako „Strany".

1. Předmět a rozsah

Zákazník využívá API cz-agents (Služba) k dotazování českých veřejných rejstříků (ARES, ISIR, sankční seznamy EU/OFAC) pro účely due diligence, KYC/AML compliance nebo obchodní analýzy.

Při poskytování Služby Zpracovatel načítá a dočasně zpracovává údaje, které mohou obsahovat osobní údaje fyzických osob evidovaných ve veřejných rejstřících (jednatelé, statutární orgány, skuteční majitelé, zástupci). Tato SZOU upravuje takové zpracování podle čl. 28 GDPR.

2. Trvání

SZOU nabývá účinnosti dnem podpisu oběma Stranami (nebo dnem prvního využití Služby Zákazníkem, nastane-li dříve) a trvá po dobu aktivního předplatného nebo API tokenu. Ukončením smluvního vztahu SZOU automaticky zaniká.

3. Povaha a účel zpracování

Položka	Detail
Povaha	Dotazování veřejných rejstříků; doručení odpovědí přes API; krátkodobé logování požadavků; autentizace tokenem
Účel	Umožnit Zákazníkovi provádět due-diligence a compliance kontroly českých právnických osob
Právní základ (vlastní zpracování Zpracovatele)	Oprávněný zájem (čl. 6 odst. 1 písm. f) GDPR) — údaje z veřejných rejstříků šířené pro compliance účely

4. Kategorie osobních údajů a subjektů údajů

Kategorie údajů	Kategorie subjektů údajů
Jméno, adresa, datum narození (je-li veřejné), funkce/role	Jednatelé, členové statutárních orgánů, skuteční majitelé a jiné fyzické osoby evidované v ARES
Údaje o insolvenčních řízeních	Fyzické osoby evidované jako dlužníci v insolvenčním rejstříku (ISIR)
Záznamy v sankčních seznamech (jméno, státní příslušnost, identifikátory)	Fyzické osoby na konsolidovaném seznamu EU (FSF) nebo americkém sankčním seznamu OFAC SDN

Zpracovatel nezpracovává zvláštní kategorie osobních údajů (čl. 9 GDPR) ani údaje o odsouzeních (čl. 10 GDPR).

5. Povinnosti Zpracovatele

Zpracovatel je povinen:

Zpracovávat osobní údaje pouze na základě zdokumentovaných pokynů Zákazníka (tj. API požadavků odeslaných tokenem Zákazníka) a pro žádný jiný účel.
Zajistit, aby osoby oprávněné ke zpracování osobních údajů byly vázány mlčenlivostí.
Přijmout odpovídající technická a organizační bezpečnostní opatření (viz oddíl 7).
Informovat Zákazníka, pokud se Zpracovatel domnívá, že pokyn Zákazníka porušuje GDPR nebo jiné platné právo.
Pomáhat Zákazníkovi při plnění jeho povinností ve vztahu k právům subjektů údajů (přístup, výmaz, omezení, přenositelnost), a to v rozsahu technicky možném s ohledem na to, že zdrojová data jsou veřejná rejstříková data kontrolovaná třetími stranami.
Oznámit Zákazníkovi bez zbytečného odkladu (nejpozději do 72 hodin) každé porušení zabezpečení osobních údajů týkající se dat Zákazníka.
Vymazat veškerá data Zákazníka (API tokeny, logy využití, logy dotazů) do 30 dnů od ukončení Služby, ledaže by uchovávání ukládal platný zákon.
Poskytnout veškeré informace potřebné k prokázání souladu s touto SZOU a umožnit audity po písemném oznámení s předstihem alespoň 14 dní.

6. Subdodavatelé (zpracovatelé)

Zákazník uděluje Zpracovateli obecné oprávnění zapojit následující subdodavatele. Zpracovatel informuje Zákazníka o každé zamýšlené změně (přidání nebo nahrazení) s předstihem nejméně 14 dní, přičemž Zákazník má právo vznést námitky.

Subdodavatel	Služba	Umístění
Hetzner Online GmbH	Cloudový hosting a úložiště	EU (Německo)
Cloudflare, Inc.	CDN, WAF, ochrana před DDoS	EU PoP; data uložena v EU
Resend, Inc.	Transakční doručování emailů	EU (Frankfurt)

7. Technická a organizační bezpečnostní opatření

Veškerá data při přenosu chráněna protokolem TLS 1.2 nebo vyšším
API tokeny uloženy v šifrovaných SQLite svazcích na serverech Hetzner s šifrováním v klidu
Přístup k produkční infrastruktuře omezen na jmenovitě uvedené osoby; autentizace výhradně SSH klíčem
Logy požadavků uchovávány maximálně 90 dní, poté vymazány
Osobní údaje nejsou exportovány do nástrojů třetích stran pro analytiku nebo reklamní účely
Pravidelná aktualizace závislostí a bezpečnostní záplaty

8. Mezinárodní předávání dat

Veškeré zpracování probíhá v EU/EHP (Hetzner Německo). Předávání do třetích zemí se neprovádí, s výjimkou nezbytného routování sítí Cloudflare, které je pokryto standardními smluvními doložkami Cloudflare s Hetznerem jako zdrojovým serverem.

9. Povinnosti Zákazníka

Zákazník zajistí, že pro každý dotaz odeslaný do Služby disponuje zákonným právním základem, a že využití vrácených dat je v souladu s platným právem (včetně GDPR, AML předpisů a případných odvětvových předpisů).

10. Odpovědnost

Odpovědnost každé Strany za porušení této SZOU se řídí platnou servisní smlouvou mezi Stranami. Pokud taková smlouva neexistuje, celková odpovědnost každé Strany vyplývající z této SZOU nesmí přesáhnout celkové poplatky zaplacené Zákazníkem v 12 měsících předcházejících události, jež odpovědnost zakládá.

11. Rozhodné právo

Tato SZOU se řídí českým právem. Spory budou řešeny před soudy České republiky.

12. Úplnost ujednání

Tato SZOU doplňuje Podmínky použití a společně s nimi tvoří úplné ujednání Stran v oblasti zpracování dat. V případě rozporu má tato SZOU přednost.

Správce (Zákazník)

Podepsáno jménem společnosti ________________________

Jméno, funkce

Datum

Podpis

Zpracovatel (cz-agents)

Podepsal Martin Havel, IČO 71677763

Jméno: Martin Havel

Datum

Podpis