A
AI4Business
ObchodníOchranaZpracovatelskáDohoda
NÁVRH — před zveřejněním nutná revize právníkem. Tento dokument je pracovní návrh připravený k právní revizi; nejde o finální právní text.

Ochrana osobních údajů — AI4Business CRM

Datum účinnosti: [DOPLNIT DATUM]

1. Kdo jsme a k čemu tento dokument slouží

  1. Tento dokument popisuje, jak společnost Space Floral Tech s.r.o., IČO [DOPLNIT IČO], se sídlem [DOPLNIT SÍDLO] (dále jen „my" nebo „Provozovatel"), zpracovává osobní údaje v souvislosti s provozem webových stránek a cloudové služby AI4Business CRM (dále jen „Služba").
  2. Zpracování osobních údajů se řídí nařízením Evropského parlamentu a Rady (EU) 2016/679 (obecné nařízení o ochraně osobních údajů, dále jen „GDPR") a zákonem č. 110/2019 Sb., o zpracování osobních údajů.
  3. Kontakt pro záležitosti ochrany osobních údajů: [DOPLNIT E-MAIL], případně písemně na adresu sídla Provozovatele.

2. Dvě role: kdy jsme správce a kdy zpracovatel

  1. Provozovatel jako správce: U osobních údajů, které získáváme přímo — zejména údaje návštěvníků webu, zájemců o Službu, kontaktních osob zákazníků a uživatelských účtů — určujeme účel a prostředky zpracování sami a vystupujeme jako správce. Na tato zpracování se vztahuje tento dokument.
  2. Provozovatel jako zpracovatel: U osobních údajů, které do Služby vkládají naši zákazníci (typicky kontakty, obchodní partneři, leady a klienti zákazníka), je správcem zákazník a my vystupujeme pouze jako zpracovatel. Tato zpracování se řídí zpracovatelskou smlouvou uzavřenou se zákazníkem dle čl. 28 GDPR; s dotazy a žádostmi týkajícími se těchto údajů se subjekty údajů mají obracet primárně na příslušného zákazníka (správce). Poskytneme správci potřebnou součinnost.

3. Jaké osobní údaje zpracováváme jako správce

  1. Údaje o zákaznících a jejich kontaktních osobách: identifikační a fakturační údaje (jméno, název firmy, IČO, DIČ, adresa), kontaktní údaje (e-mail, telefon), údaje o smlouvě, tarifu a platbách.
  2. Údaje o uživatelských účtech: jméno, e-mail, role v aplikaci, záznamy o přihlášení a bezpečnostní logy (IP adresa, čas, typ události).
  3. Údaje návštěvníků webu a zájemců: údaje vyplněné v poptávkových a registračních formulářích (jméno, e-mail, telefon, název firmy, obsah zprávy), technické údaje o návštěvě (IP adresa, typ prohlížeče, navštívené stránky).
  4. Komunikace: obsah e-mailové a jiné komunikace s námi (podpora, obchodní jednání).
  5. Nezpracováváme data platebních karet — platby probíhají výhradně přes platební bránu ComGate a.s., která kartová data zpracovává jako samostatný subjekt podle vlastních podmínek.

4. Účely a právní základy zpracování

  1. Plnění smlouvy (čl. 6 odst. 1 písm. b) GDPR): zřízení a správa účtu, poskytování Služby, podpora, vyřizování požadavků, komunikace před uzavřením smlouvy (trial, demo, poptávky).
  2. Plnění právních povinností (čl. 6 odst. 1 písm. c) GDPR): vedení účetnictví, daňové doklady, archivace dle právních předpisů.
  3. Oprávněný zájem (čl. 6 odst. 1 písm. f) GDPR): zajištění bezpečnosti Služby a sítě (bezpečnostní logy, prevence zneužití), určení, výkon a obhajoba právních nároků, přímý marketing vůči stávajícím zákazníkům (zasílání obchodních sdělení o obdobných službách s možností kdykoli se odhlásit), zlepšování Služby na základě agregovaných údajů o užívání.
  4. Souhlas (čl. 6 odst. 1 písm. a) GDPR): zasílání obchodních sdělení osobám, které nejsou našimi zákazníky, a použití nepovinných analytických či marketingových cookies. Souhlas lze kdykoli odvolat, aniž by tím byla dotčena zákonnost zpracování před odvoláním.

5. Doba uchování údajů

  1. Údaje související se smlouvou uchováváme po dobu trvání smluvního vztahu a následně po dobu nezbytnou pro určení, výkon nebo obhajobu právních nároků (zpravidla po dobu běhu promlčecích lhůt).
  2. Účetní a daňové doklady uchováváme po dobu stanovenou právními předpisy (zpravidla 10 let).
  3. Data zákazníka uložená ve Službě (kde jsme zpracovatelem) uchováváme po ukončení smlouvy nejvýše 30 dní; poté jsou databáze i soubory zákazníka nevratně smazány. Zálohy jsou uchovávány s retencí 14 dní a smazaná data z nich doběhnutím retence rovněž zmizí.
  4. Údaje z poptávkových formulářů a obchodní komunikace se zájemci uchováváme nejdéle [DOPLNIT DOBU, např. 2 roky] od poslední komunikace.
  5. Bezpečnostní a provozní logy uchováváme po dobu nezbytnou pro zajištění bezpečnosti, zpravidla [DOPLNIT DOBU, např. 12 měsíců].

6. Příjemci údajů a sub-zpracovatelé

  1. Osobní údaje zpřístupňujeme pouze v nezbytném rozsahu následujícím kategoriím příjemců:
  • Hetzner Online GmbH (Německo) — poskytovatel hostingu a serverové infrastruktury; veškeré servery a data jsou umístěny v Evropské unii,
  • Anthropic — poskytovatel AI modelů pro AI funkce Služby, zprostředkovaně přes platformu Scalix; do AI funkcí se odesílají pouze data nezbytná pro provedení konkrétní funkce a data nejsou používána k trénování modelů,
  • ComGate a.s. — provozovatel platební brány pro online platby,
  • fakturacniprogram.cz — služba pro vystavování a správu faktur,
  • poskytovatelé účetních, daňových a právních služeb, a orgány veřejné moci v případech stanovených právními předpisy.
  1. Aktuální seznam sub-zpracovatelů zapojených do zpracování dat zákazníků (kde vystupujeme jako zpracovatel) je uveden v příloze zpracovatelské smlouvy a na webových stránkách Služby.

7. Předávání údajů mimo EU/EHP

  1. Data Služby jsou primárně uložena a zpracovávána na serverech v Evropské unii (Hetzner, Německo), včetně záloh, které jsou uchovávány na offsite úložišti v EU.
  2. Při využití AI funkcí může docházet k předání nezbytných dat společnosti Anthropic, která může zpracovávat data i mimo EU/EHP. Takové předání je zajištěno vhodnými zárukami dle kapitoly V GDPR, zejména standardními smluvními doložkami schválenými Evropskou komisí, případně rozhodnutím o odpovídající ochraně, je-li aplikovatelné. Podrobnosti poskytneme na vyžádání.

8. Zabezpečení osobních údajů

  1. K ochraně osobních údajů uplatňujeme zejména tato technická a organizační opatření:
  • izolace dat — každý zákazník má vlastní oddělenou databázi a oddělené souborové úložiště,
  • šifrování komunikace protokolem TLS,
  • šifrování citlivých konfigurací a přístupových údajů algoritmem AES-256-GCM,
  • řízení přístupu na základě rolí a zásady minimálního oprávnění,
  • vícefaktorové ověření (MFA) pro administrátory platformy,
  • auditní log klíčových operací,
  • automatické denní zálohy s retencí 14 dní uložené v EU,
  • pravidelné aktualizace a bezpečnostní monitoring infrastruktury.
  1. Případné porušení zabezpečení osobních údajů ohlašujeme dozorovému úřadu a dotčeným osobám v souladu s čl. 33 a 34 GDPR; zákazníkům, pro které vystupujeme jako zpracovatel, ohlašujeme incidenty bez zbytečného odkladu, nejpozději do 48 hodin od zjištění.

9. Cookies a analytika webu

  1. Webové stránky Služby používají cookies a obdobné technologie:
  • technické (nezbytné) cookies — nutné pro fungování webu a aplikace (přihlášení, bezpečnost); jejich použití nevyžaduje souhlas,
  • analytické a marketingové cookies — používáme je pouze s vaším souhlasem uděleným prostřednictvím cookie lišty; souhlas lze kdykoli změnit nebo odvolat.
  1. Konkrétní přehled používaných cookies, jejich účelů a dob uložení je dostupný v nastavení cookies na webových stránkách.

10. Vaše práva

  1. V souvislosti se zpracováním osobních údajů, u nichž vystupujeme jako správce, máte právo:
  • na přístup k osobním údajům (čl. 15 GDPR),
  • na opravu nepřesných údajů (čl. 16 GDPR),
  • na výmaz („právo být zapomenut", čl. 17 GDPR),
  • na omezení zpracování (čl. 18 GDPR),
  • na přenositelnost údajů (čl. 20 GDPR),
  • vznést námitku proti zpracování založenému na oprávněném zájmu, včetně přímého marketingu (čl. 21 GDPR),
  • odvolat souhlas, je-li zpracování založeno na souhlasu.
  1. Práva můžete uplatnit na kontaktech uvedených v čl. 1. Na žádosti odpovídáme bez zbytečného odkladu, nejpozději do jednoho měsíce; tuto lhůtu lze v odůvodněných případech prodloužit o další dva měsíce, o čemž vás budeme informovat.
  2. Máte rovněž právo podat stížnost u dozorového úřadu, kterým je Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, https://uoou.gov.cz.
  3. Týká-li se vaše žádost údajů, které do Služby vložil náš zákazník (jsme v pozici zpracovatele), předáme ji bez zbytečného odkladu příslušnému správci a poskytneme mu součinnost při jejím vyřízení.

11. Automatizované rozhodování a AI funkce

  1. Neprovádíme automatizované rozhodování s právními či obdobně významnými účinky pro subjekty údajů ve smyslu čl. 22 GDPR.
  2. AI funkce Služby slouží jako podpůrný nástroj uživatelů (např. návrhy textů, sumarizace); do AI se odesílají pouze data nezbytná pro danou funkci a nejsou využívána k trénování AI modelů.

12. Změny tohoto dokumentu

  1. Tento dokument můžeme průběžně aktualizovat, zejména při změně rozsahu zpracování, sub-zpracovatelů nebo právních předpisů. Aktuální verze je vždy dostupná na webových stránkách Služby; o podstatných změnách zákazníky informujeme e-mailem nebo v rámci Služby.
  2. Tento dokument nabývá účinnosti dne [DOPLNIT DATUM].
← Zpět na úvodObchodní podmínkyZpracovatelská smlouva (DPA)Dohoda o úrovni služeb (SLA)