NÁVRH — před zveřejněním nutná revize právníkem. Tento dokument je pracovní návrh připravený k právní revizi; nejde o finální právní text.
Ochrana osobních údajů — AI4Business CRM
Datum účinnosti: [DOPLNIT DATUM]
1. Kdo jsme a k čemu tento dokument slouží
- Tento dokument popisuje, jak společnost Space Floral Tech s.r.o., IČO [DOPLNIT IČO], se sídlem [DOPLNIT SÍDLO] (dále jen „my" nebo „Provozovatel"), zpracovává osobní údaje v souvislosti s provozem webových stránek a cloudové služby AI4Business CRM (dále jen „Služba").
- Zpracování osobních údajů se řídí nařízením Evropského parlamentu a Rady (EU) 2016/679 (obecné nařízení o ochraně osobních údajů, dále jen „GDPR") a zákonem č. 110/2019 Sb., o zpracování osobních údajů.
- Kontakt pro záležitosti ochrany osobních údajů: [DOPLNIT E-MAIL], případně písemně na adresu sídla Provozovatele.
2. Dvě role: kdy jsme správce a kdy zpracovatel
- Provozovatel jako správce: U osobních údajů, které získáváme přímo — zejména údaje návštěvníků webu, zájemců o Službu, kontaktních osob zákazníků a uživatelských účtů — určujeme účel a prostředky zpracování sami a vystupujeme jako správce. Na tato zpracování se vztahuje tento dokument.
- Provozovatel jako zpracovatel: U osobních údajů, které do Služby vkládají naši zákazníci (typicky kontakty, obchodní partneři, leady a klienti zákazníka), je správcem zákazník a my vystupujeme pouze jako zpracovatel. Tato zpracování se řídí zpracovatelskou smlouvou uzavřenou se zákazníkem dle čl. 28 GDPR; s dotazy a žádostmi týkajícími se těchto údajů se subjekty údajů mají obracet primárně na příslušného zákazníka (správce). Poskytneme správci potřebnou součinnost.
3. Jaké osobní údaje zpracováváme jako správce
- Údaje o zákaznících a jejich kontaktních osobách: identifikační a fakturační údaje (jméno, název firmy, IČO, DIČ, adresa), kontaktní údaje (e-mail, telefon), údaje o smlouvě, tarifu a platbách.
- Údaje o uživatelských účtech: jméno, e-mail, role v aplikaci, záznamy o přihlášení a bezpečnostní logy (IP adresa, čas, typ události).
- Údaje návštěvníků webu a zájemců: údaje vyplněné v poptávkových a registračních formulářích (jméno, e-mail, telefon, název firmy, obsah zprávy), technické údaje o návštěvě (IP adresa, typ prohlížeče, navštívené stránky).
- Komunikace: obsah e-mailové a jiné komunikace s námi (podpora, obchodní jednání).
- Nezpracováváme data platebních karet — platby probíhají výhradně přes platební bránu ComGate a.s., která kartová data zpracovává jako samostatný subjekt podle vlastních podmínek.
4. Účely a právní základy zpracování
- Plnění smlouvy (čl. 6 odst. 1 písm. b) GDPR): zřízení a správa účtu, poskytování Služby, podpora, vyřizování požadavků, komunikace před uzavřením smlouvy (trial, demo, poptávky).
- Plnění právních povinností (čl. 6 odst. 1 písm. c) GDPR): vedení účetnictví, daňové doklady, archivace dle právních předpisů.
- Oprávněný zájem (čl. 6 odst. 1 písm. f) GDPR): zajištění bezpečnosti Služby a sítě (bezpečnostní logy, prevence zneužití), určení, výkon a obhajoba právních nároků, přímý marketing vůči stávajícím zákazníkům (zasílání obchodních sdělení o obdobných službách s možností kdykoli se odhlásit), zlepšování Služby na základě agregovaných údajů o užívání.
- Souhlas (čl. 6 odst. 1 písm. a) GDPR): zasílání obchodních sdělení osobám, které nejsou našimi zákazníky, a použití nepovinných analytických či marketingových cookies. Souhlas lze kdykoli odvolat, aniž by tím byla dotčena zákonnost zpracování před odvoláním.
5. Doba uchování údajů
- Údaje související se smlouvou uchováváme po dobu trvání smluvního vztahu a následně po dobu nezbytnou pro určení, výkon nebo obhajobu právních nároků (zpravidla po dobu běhu promlčecích lhůt).
- Účetní a daňové doklady uchováváme po dobu stanovenou právními předpisy (zpravidla 10 let).
- Data zákazníka uložená ve Službě (kde jsme zpracovatelem) uchováváme po ukončení smlouvy nejvýše 30 dní; poté jsou databáze i soubory zákazníka nevratně smazány. Zálohy jsou uchovávány s retencí 14 dní a smazaná data z nich doběhnutím retence rovněž zmizí.
- Údaje z poptávkových formulářů a obchodní komunikace se zájemci uchováváme nejdéle [DOPLNIT DOBU, např. 2 roky] od poslední komunikace.
- Bezpečnostní a provozní logy uchováváme po dobu nezbytnou pro zajištění bezpečnosti, zpravidla [DOPLNIT DOBU, např. 12 měsíců].
6. Příjemci údajů a sub-zpracovatelé
- Osobní údaje zpřístupňujeme pouze v nezbytném rozsahu následujícím kategoriím příjemců:
- Hetzner Online GmbH (Německo) — poskytovatel hostingu a serverové infrastruktury; veškeré servery a data jsou umístěny v Evropské unii,
- Anthropic — poskytovatel AI modelů pro AI funkce Služby, zprostředkovaně přes platformu Scalix; do AI funkcí se odesílají pouze data nezbytná pro provedení konkrétní funkce a data nejsou používána k trénování modelů,
- ComGate a.s. — provozovatel platební brány pro online platby,
- fakturacniprogram.cz — služba pro vystavování a správu faktur,
- poskytovatelé účetních, daňových a právních služeb, a orgány veřejné moci v případech stanovených právními předpisy.
- Aktuální seznam sub-zpracovatelů zapojených do zpracování dat zákazníků (kde vystupujeme jako zpracovatel) je uveden v příloze zpracovatelské smlouvy a na webových stránkách Služby.
7. Předávání údajů mimo EU/EHP
- Data Služby jsou primárně uložena a zpracovávána na serverech v Evropské unii (Hetzner, Německo), včetně záloh, které jsou uchovávány na offsite úložišti v EU.
- Při využití AI funkcí může docházet k předání nezbytných dat společnosti Anthropic, která může zpracovávat data i mimo EU/EHP. Takové předání je zajištěno vhodnými zárukami dle kapitoly V GDPR, zejména standardními smluvními doložkami schválenými Evropskou komisí, případně rozhodnutím o odpovídající ochraně, je-li aplikovatelné. Podrobnosti poskytneme na vyžádání.
8. Zabezpečení osobních údajů
- K ochraně osobních údajů uplatňujeme zejména tato technická a organizační opatření:
- izolace dat — každý zákazník má vlastní oddělenou databázi a oddělené souborové úložiště,
- šifrování komunikace protokolem TLS,
- šifrování citlivých konfigurací a přístupových údajů algoritmem AES-256-GCM,
- řízení přístupu na základě rolí a zásady minimálního oprávnění,
- vícefaktorové ověření (MFA) pro administrátory platformy,
- auditní log klíčových operací,
- automatické denní zálohy s retencí 14 dní uložené v EU,
- pravidelné aktualizace a bezpečnostní monitoring infrastruktury.
- Případné porušení zabezpečení osobních údajů ohlašujeme dozorovému úřadu a dotčeným osobám v souladu s čl. 33 a 34 GDPR; zákazníkům, pro které vystupujeme jako zpracovatel, ohlašujeme incidenty bez zbytečného odkladu, nejpozději do 48 hodin od zjištění.
9. Cookies a analytika webu
- Webové stránky Služby používají cookies a obdobné technologie:
- technické (nezbytné) cookies — nutné pro fungování webu a aplikace (přihlášení, bezpečnost); jejich použití nevyžaduje souhlas,
- analytické a marketingové cookies — používáme je pouze s vaším souhlasem uděleným prostřednictvím cookie lišty; souhlas lze kdykoli změnit nebo odvolat.
- Konkrétní přehled používaných cookies, jejich účelů a dob uložení je dostupný v nastavení cookies na webových stránkách.
10. Vaše práva
- V souvislosti se zpracováním osobních údajů, u nichž vystupujeme jako správce, máte právo:
- na přístup k osobním údajům (čl. 15 GDPR),
- na opravu nepřesných údajů (čl. 16 GDPR),
- na výmaz („právo být zapomenut", čl. 17 GDPR),
- na omezení zpracování (čl. 18 GDPR),
- na přenositelnost údajů (čl. 20 GDPR),
- vznést námitku proti zpracování založenému na oprávněném zájmu, včetně přímého marketingu (čl. 21 GDPR),
- odvolat souhlas, je-li zpracování založeno na souhlasu.
- Práva můžete uplatnit na kontaktech uvedených v čl. 1. Na žádosti odpovídáme bez zbytečného odkladu, nejpozději do jednoho měsíce; tuto lhůtu lze v odůvodněných případech prodloužit o další dva měsíce, o čemž vás budeme informovat.
- Máte rovněž právo podat stížnost u dozorového úřadu, kterým je Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, https://uoou.gov.cz.
- Týká-li se vaše žádost údajů, které do Služby vložil náš zákazník (jsme v pozici zpracovatele), předáme ji bez zbytečného odkladu příslušnému správci a poskytneme mu součinnost při jejím vyřízení.
11. Automatizované rozhodování a AI funkce
- Neprovádíme automatizované rozhodování s právními či obdobně významnými účinky pro subjekty údajů ve smyslu čl. 22 GDPR.
- AI funkce Služby slouží jako podpůrný nástroj uživatelů (např. návrhy textů, sumarizace); do AI se odesílají pouze data nezbytná pro danou funkci a nejsou využívána k trénování AI modelů.
12. Změny tohoto dokumentu
- Tento dokument můžeme průběžně aktualizovat, zejména při změně rozsahu zpracování, sub-zpracovatelů nebo právních předpisů. Aktuální verze je vždy dostupná na webových stránkách Služby; o podstatných změnách zákazníky informujeme e-mailem nebo v rámci Služby.
- Tento dokument nabývá účinnosti dne [DOPLNIT DATUM].