Data Processing Agreement (DPA)
Pursuant to Art. 28 GDPR · MediaCP – Media Server Hosting · Last updated: May 25, 2026
1. Introductory Provisions
This Data Processing Agreement ("DPA") governs the terms under which MediaCP – Media Server Hosting, as the processor, processes personal data on behalf of the customer, as the controller.
This DPA is concluded in accordance with Art. 28 of Regulation (EU) 2016/679 (GDPR) and forms an integral part of the service agreement between the customer and MediaCP. By accepting the terms and conditions or by using MediaCP services, the customer confirms their agreement to this DPA.
2. Contracting Parties
Processor: MediaCP – Media Server Hosting, Petr Maléř (Sole Proprietor / OSVČ), ID (IČO): 11983060, Václava Košaře 61/30, 700 30 Ostrava, Czech Republic, e-mail: [email protected] (the "Processor").
Controller: a natural or legal person utilizing the services provided by the Processor (the "Controller").
3. Subject of Processing
The Processor primarily provides radio hosting, Shoutcast and Icecast hosting, AutoDJ services, IPTV and TV hosting, live streaming, Video on Demand (VoD), VPS servers, reseller hosting, web hosting and other related services. Personal data processing may occur on behalf of the Controller during the provision of these services.
4. Purpose of Processing
The purpose of processing is exclusively: provision of ordered services, storage of customer data, operation of streaming servers, transmission of audio and video content, provision of technical support, infrastructure security, service performance monitoring, maintenance of technical logs and generation of traffic statistics. The Processor will not use personal data for its own marketing purposes.
5. Categories of Personal Data
Depending on the service used, the following may be processed:
- Identification data — first and last name, company name, Company ID (IČO), Tax ID (DIČ).
- Contact data — e-mail address, phone number, contact address.
- Technical data — IP addresses, device identifiers, user accounts, system logs, access logs.
- Streaming data — listener IP addresses, connection statistics, viewership statistics, stream metadata.
- Customer content — audio files, video files, databases, websites, e-mail messages and other data stored by the customer.
6. Categories of Data Subjects
Processing may include data of the Controller's customers, visitors to the Controller's websites, listeners of internet radios, viewers of streamed broadcasts, the Controller's employees, the Controller's business partners and users of the Controller's information systems.
7. Duration of Processing
Personal data is processed for the duration of the provided service, for the period necessary for the performance of the contract, for the period required by legal regulations, and for the period necessary to protect the legitimate interests of the Processor.
Upon termination of the service, data will be deleted or returned to the Controller according to their instructions, unless legal regulations provide otherwise.
8. Obligations of the Processor
The Processor undertakes to process data only according to the Controller's instructions and only to the extent necessary to provide the agreed services.
All persons who have access to personal data are bound by a duty of confidentiality, which continues after the termination of the employment or contractual relationship.
The Processor shall implement appropriate technical and organizational measures, in particular: encryption of communication using TLS, access rights management, firewall protection, infrastructure monitoring, malware protection, regular software updates, server system security and logging of administrator access.
Upon request, the Processor shall provide reasonable assistance to the Controller in handling data subjects' requests, complying with GDPR obligations, conducting data protection impact assessments and resolving security incidents.
9. Sub-processors
The Controller grants a general consent to the use of sub-processors necessary for the provision of services, in particular: data center providers, cloud infrastructure providers, monitoring system providers, backup service providers, network connectivity providers, PayPal and Stripe. The Processor shall ensure that all sub-processors are bound by similar data protection obligations.
10. Transfer of Data Outside the EEA
If data is transferred outside the EEA, it will be done only under the conditions of the GDPR — for example based on Standard Contractual Clauses of the European Commission, an adequacy decision, or another legal basis recognized by the GDPR.
11. Security Incidents
If the Processor detects a personal data breach, it shall inform the Controller without undue delay. The notification shall include, where available: a description and scope of the incident, categories of affected data, likely consequences and remedial measures taken.
12. Requests from Data Subjects
If the Processor receives a request from a data subject regarding data processed on behalf of the Controller, it will not respond without the Controller's instruction and will forward the request to the Controller without undue delay.
13. Audit and Documentation of Compliance
The Controller is entitled to request information necessary to verify the compliance of this DPA with the GDPR. The Processor shall provide reasonable cooperation to an extent that does not endanger infrastructure security, does not violate the rights of other customers and does not disclose trade secrets.
14. Termination of Processing
Upon termination of the services, the data will be deleted or transferred to the Controller upon their request. Backups will be removed within the normal cycle of deleting and overwriting backups; unless otherwise specified, the standard retention period for backups is a maximum of 7 days.
15. Liability
Each contracting party is responsible for fulfilling its obligations under the GDPR. The Processor is not liable for the legality of the data stored by the Controller, the legal basis for its processing, the broadcast content of the customer, the content of the customer's websites, or infringement of third-party rights by the Controller.
16. Final Provisions
This DPA becomes effective at the moment the service is ordered. The current version is always available on the MediaCP website. Legal relationships not regulated by this agreement are governed by the GDPR and the laws of the Czech Republic.
Smlouva o zpracování osobních údajů (DPA)
Dle čl. 28 GDPR · MediaCP – Media Server Hosting · Poslední aktualizace: 25. května 2026
1. Úvodní ustanovení
Tato smlouva o zpracování osobních údajů („DPA“) upravuje podmínky, za nichž MediaCP – Media Server Hosting jako zpracovatel zpracovává osobní údaje jménem zákazníka jako správce.
Tato DPA se uzavírá v souladu s čl. 28 nařízení (EU) 2016/679 (GDPR) a tvoří nedílnou součást smlouvy o poskytování služeb mezi zákazníkem a MediaCP. Přijetím obchodních podmínek nebo používáním služeb MediaCP zákazník potvrzuje svůj souhlas s touto DPA.
2. Smluvní strany
Zpracovatel: MediaCP – Media Server Hosting, Petr Maléř (OSVČ), IČO: 11983060, Václava Košaře 61/30, 700 30 Ostrava, Česká republika, e-mail: [email protected] (dále „zpracovatel“).
Správce: fyzická nebo právnická osoba využívající služby poskytované zpracovatelem (dále „správce“).
3. Předmět zpracování
Zpracovatel poskytuje zejména radio hosting, Shoutcast a Icecast hosting, služby AutoDJ, IPTV a TV hosting, živé vysílání, Video on Demand (VoD), VPS servery, reseller hosting, webhosting a další související služby. Při poskytování těchto služeb může docházet ke zpracování osobních údajů jménem správce.
4. Účel zpracování
Účelem zpracování je výhradně: poskytování objednaných služeb, ukládání dat zákazníka, provoz streamovacích serverů, přenos audio a video obsahu, poskytování technické podpory, zabezpečení infrastruktury, monitoring výkonu služeb, vedení technických logů a generování statistik návštěvnosti. Zpracovatel nebude osobní údaje využívat pro vlastní marketingové účely.
5. Kategorie osobních údajů
V závislosti na využívané službě mohou být zpracovávány:
- Identifikační údaje — jméno a příjmení, název firmy, IČO, DIČ.
- Kontaktní údaje — e-mailová adresa, telefonní číslo, kontaktní adresa.
- Technické údaje — IP adresy, identifikátory zařízení, uživatelské účty, systémové logy, přístupové logy.
- Streamovací údaje — IP adresy posluchačů, statistiky připojení, statistiky sledovanosti, metadata streamů.
- Obsah zákazníka — audio soubory, video soubory, databáze, webové stránky, e-mailové zprávy a další data uložená zákazníkem.
6. Kategorie subjektů údajů
Zpracování může zahrnovat údaje zákazníků správce, návštěvníků webů správce, posluchačů internetových rádií, diváků streamovaného vysílání, zaměstnanců správce, obchodních partnerů správce a uživatelů informačních systémů správce.
7. Doba zpracování
Osobní údaje jsou zpracovávány po dobu poskytování služby, po dobu nezbytnou k plnění smlouvy, po dobu vyžadovanou právními předpisy a po dobu nezbytnou k ochraně oprávněných zájmů zpracovatele.
Po ukončení služby budou data smazána nebo vrácena správci dle jeho pokynů, nestanoví-li právní předpisy jinak.
8. Povinnosti zpracovatele
Zpracovatel se zavazuje zpracovávat údaje pouze podle pokynů správce a pouze v rozsahu nezbytném k poskytování sjednaných služeb.
Všechny osoby s přístupem k osobním údajům jsou vázány povinností mlčenlivosti, která trvá i po skončení pracovního či smluvního vztahu.
Zpracovatel zavede vhodná technická a organizační opatření, zejména: šifrování komunikace pomocí TLS, správu přístupových práv, ochranu firewallem, monitoring infrastruktury, ochranu proti malwaru, pravidelné aktualizace softwaru, zabezpečení serverových systémů a logování administrátorských přístupů.
Na požádání poskytne zpracovatel správci přiměřenou součinnost při vyřizování žádostí subjektů údajů, plnění povinností dle GDPR, provádění posouzení vlivu na ochranu osobních údajů a řešení bezpečnostních incidentů.
9. Další zpracovatelé (subdodavatelé)
Správce uděluje obecný souhlas s využitím dalších zpracovatelů nezbytných pro poskytování služeb, zejména: poskytovatelů datacenter, poskytovatelů cloudové infrastruktury, poskytovatelů monitorovacích systémů, poskytovatelů zálohovacích služeb, poskytovatelů síťové konektivity, PayPal a Stripe. Zpracovatel zajistí, aby všichni další zpracovatelé byli vázáni obdobnými povinnostmi k ochraně osobních údajů.
10. Předávání dat mimo EHP
Jsou-li data předávána mimo EHP, děje se tak pouze za podmínek GDPR — například na základě standardních smluvních doložek Evropské komise, rozhodnutí o odpovídající ochraně nebo jiného právního základu uznaného GDPR.
11. Bezpečnostní incidenty
Zjistí-li zpracovatel porušení zabezpečení osobních údajů, informuje o tom správce bez zbytečného odkladu. Oznámení obsahuje, jsou-li informace dostupné: popis a rozsah incidentu, kategorie dotčených údajů, pravděpodobné následky a přijatá nápravná opatření.
12. Žádosti subjektů údajů
Obdrží-li zpracovatel žádost subjektu údajů týkající se údajů zpracovávaných jménem správce, nebude na ni reagovat bez pokynu správce a žádost správci bez zbytečného odkladu předá.
13. Audit a doložení souladu
Správce je oprávněn vyžádat si informace nezbytné k ověření souladu této DPA s GDPR. Zpracovatel poskytne přiměřenou součinnost v rozsahu, který neohrozí bezpečnost infrastruktury, neporuší práva ostatních zákazníků a nevyzradí obchodní tajemství.
14. Ukončení zpracování
Po ukončení služeb budou data smazána nebo na žádost správce předána. Zálohy budou odstraněny v rámci běžného cyklu mazání a přepisu záloh; není-li stanoveno jinak, standardní doba uchování záloh je nejvýše 7 dní.
15. Odpovědnost
Každá smluvní strana odpovídá za plnění svých povinností dle GDPR. Zpracovatel neodpovídá za zákonnost dat uložených správcem, právní základ jejich zpracování, vysílaný obsah zákazníka, obsah webů zákazníka ani za porušení práv třetích stran správcem.
16. Závěrečná ustanovení
Tato DPA nabývá účinnosti okamžikem objednání služby. Aktuální verze je vždy dostupná na webu MediaCP. Právní vztahy neupravené touto smlouvou se řídí GDPR a právním řádem České republiky.
Auftragsverarbeitungsvertrag (AVV/DPA)
Gemäß Art. 28 DSGVO · MediaCP – Media Server Hosting · Zuletzt aktualisiert: 25. Mai 2026
1. Einleitende Bestimmungen
Dieser Auftragsverarbeitungsvertrag („DPA“) regelt die Bedingungen, unter denen MediaCP – Media Server Hosting als Auftragsverarbeiter personenbezogene Daten im Auftrag des Kunden als Verantwortlicher verarbeitet.
Dieser DPA wird gemäß Art. 28 der Verordnung (EU) 2016/679 (DSGVO) geschlossen und bildet einen integralen Bestandteil des Dienstleistungsvertrags zwischen dem Kunden und MediaCP. Durch die Annahme der Geschäftsbedingungen oder die Nutzung der MediaCP-Dienste bestätigt der Kunde seine Zustimmung zu diesem DPA.
2. Vertragsparteien
Auftragsverarbeiter: MediaCP – Media Server Hosting, Petr Maléř (Einzelunternehmer / OSVČ), ID-Nr. (IČO): 11983060, Václava Košaře 61/30, 700 30 Ostrava, Tschechische Republik, E-Mail: [email protected] (der „Auftragsverarbeiter“).
Verantwortlicher: eine natürliche oder juristische Person, die die vom Auftragsverarbeiter bereitgestellten Dienste nutzt (der „Verantwortliche“).
3. Gegenstand der Verarbeitung
Der Auftragsverarbeiter stellt insbesondere bereit: Radio-Hosting, Shoutcast- und Icecast-Hosting, AutoDJ-Dienste, IPTV- und TV-Hosting, Live-Streaming, Video on Demand (VoD), VPS-Server, Reseller-Hosting, Webhosting und weitere damit verbundene Dienste. Bei der Erbringung dieser Dienste kann eine Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen erfolgen.
4. Zweck der Verarbeitung
Der Zweck der Verarbeitung ist ausschließlich: Bereitstellung der bestellten Dienste, Speicherung von Kundendaten, Betrieb der Streaming-Server, Übertragung von Audio- und Videoinhalten, Bereitstellung des technischen Supports, Sicherheit der Infrastruktur, Überwachung der Dienstleistung, Führung technischer Protokolle und Erstellung von Zugriffsstatistiken. Der Auftragsverarbeiter verwendet personenbezogene Daten nicht für eigene Marketingzwecke.
5. Kategorien personenbezogener Daten
Je nach genutztem Dienst können verarbeitet werden:
- Identifikationsdaten — Vor- und Nachname, Firmenname, Firmen-ID (IČO), Steuer-ID (DIČ).
- Kontaktdaten — E-Mail-Adresse, Telefonnummer, Kontaktanschrift.
- Technische Daten — IP-Adressen, Gerätekennungen, Benutzerkonten, Systemprotokolle, Zugriffsprotokolle.
- Streaming-Daten — IP-Adressen der Hörer, Verbindungsstatistiken, Zuschauerstatistiken, Stream-Metadaten.
- Kundeninhalte — Audiodateien, Videodateien, Datenbanken, Websites, E-Mail-Nachrichten und sonstige vom Kunden gespeicherte Daten.
6. Kategorien betroffener Personen
Die Verarbeitung kann Daten folgender Personen umfassen: Kunden des Verantwortlichen, Besucher der Websites des Verantwortlichen, Hörer von Internetradios, Zuschauer gestreamter Sendungen, Mitarbeiter des Verantwortlichen, Geschäftspartner des Verantwortlichen und Nutzer der Informationssysteme des Verantwortlichen.
7. Dauer der Verarbeitung
Personenbezogene Daten werden für die Dauer der erbrachten Dienstleistung, für den zur Vertragserfüllung erforderlichen Zeitraum, für den gesetzlich vorgeschriebenen Zeitraum und für den zum Schutz der berechtigten Interessen des Auftragsverarbeiters erforderlichen Zeitraum verarbeitet.
Nach Beendigung der Dienstleistung werden die Daten gemäß den Anweisungen des Verantwortlichen gelöscht oder zurückgegeben, sofern gesetzliche Vorschriften nichts anderes vorsehen.
8. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich, Daten nur nach den Anweisungen des Verantwortlichen und nur in dem zur Erbringung der vereinbarten Dienste erforderlichen Umfang zu verarbeiten.
Alle Personen mit Zugang zu personenbezogenen Daten sind zur Vertraulichkeit verpflichtet, die auch nach Beendigung des Arbeits- oder Vertragsverhältnisses fortbesteht.
Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen, insbesondere: Verschlüsselung der Kommunikation mittels TLS, Verwaltung von Zugriffsrechten, Firewall-Schutz, Überwachung der Infrastruktur, Schutz vor Malware, regelmäßige Software-Updates, Sicherheit der Serversysteme und Protokollierung von Administratorzugriffen.
Auf Anfrage leistet der Auftragsverarbeiter dem Verantwortlichen angemessene Unterstützung bei der Bearbeitung von Anfragen betroffener Personen, der Erfüllung der DSGVO-Pflichten, der Durchführung von Datenschutz-Folgenabschätzungen und der Behebung von Sicherheitsvorfällen.
9. Unterauftragsverarbeiter
Der Verantwortliche erteilt eine allgemeine Einwilligung zur Nutzung von für die Diensterbringung erforderlichen Unterauftragsverarbeitern, insbesondere: Rechenzentrumsanbieter, Cloud-Infrastrukturanbieter, Anbieter von Überwachungssystemen, Anbieter von Backup-Diensten, Anbieter von Netzwerkkonnektivität, PayPal und Stripe. Der Auftragsverarbeiter stellt sicher, dass alle Unterauftragsverarbeiter an vergleichbare Datenschutzpflichten gebunden sind.
10. Datenübermittlung außerhalb des EWR
Werden Daten außerhalb des EWR übermittelt, geschieht dies nur unter den Bedingungen der DSGVO — beispielsweise auf Grundlage der Standardvertragsklauseln der Europäischen Kommission, eines Angemessenheitsbeschlusses oder einer anderen von der DSGVO anerkannten Rechtsgrundlage.
11. Sicherheitsvorfälle
Stellt der Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten fest, informiert er den Verantwortlichen unverzüglich. Die Mitteilung enthält, soweit verfügbar: eine Beschreibung und den Umfang des Vorfalls, die Kategorien betroffener Daten, die wahrscheinlichen Folgen und die ergriffenen Abhilfemaßnahmen.
12. Anfragen betroffener Personen
Erhält der Auftragsverarbeiter eine Anfrage einer betroffenen Person bezüglich der im Auftrag des Verantwortlichen verarbeiteten Daten, reagiert er nicht ohne Anweisung des Verantwortlichen und leitet die Anfrage unverzüglich an den Verantwortlichen weiter.
13. Audit und Nachweis der Einhaltung
Der Verantwortliche ist berechtigt, die zur Überprüfung der Vereinbarkeit dieses DPA mit der DSGVO erforderlichen Informationen anzufordern. Der Auftragsverarbeiter leistet angemessene Zusammenarbeit in einem Umfang, der die Sicherheit der Infrastruktur nicht gefährdet, die Rechte anderer Kunden nicht verletzt und keine Geschäftsgeheimnisse preisgibt.
14. Beendigung der Verarbeitung
Nach Beendigung der Dienste werden die Daten gelöscht oder auf Anfrage des Verantwortlichen übergeben. Sicherungen werden im normalen Zyklus des Löschens und Überschreibens von Backups entfernt; sofern nicht anders angegeben, beträgt die Standardaufbewahrungsfrist für Backups maximal 7 Tage.
15. Haftung
Jede Vertragspartei ist für die Erfüllung ihrer Pflichten nach der DSGVO verantwortlich. Der Auftragsverarbeiter haftet nicht für die Rechtmäßigkeit der vom Verantwortlichen gespeicherten Daten, die Rechtsgrundlage ihrer Verarbeitung, die gesendeten Inhalte des Kunden, die Inhalte der Websites des Kunden oder die Verletzung von Rechten Dritter durch den Verantwortlichen.
16. Schlussbestimmungen
Dieser DPA wird mit der Bestellung der Dienstleistung wirksam. Die aktuelle Fassung ist stets auf der MediaCP-Website verfügbar. Rechtsverhältnisse, die durch diese Vereinbarung nicht geregelt sind, unterliegen der DSGVO und dem Recht der Tschechischen Republik.
