NÁVRH — před zveřejněním nutná revize právníkem. Tento dokument je pracovní návrh připravený k právní revizi; nejde o finální právní text.
Zpracovatelská smlouva (DPA) — AI4Business CRM
Smlouva o zpracování osobních údajů dle čl. 28 nařízení (EU) 2016/679 (GDPR)
Datum účinnosti: [DOPLNIT DATUM]
1. Smluvní strany a předmět smlouvy
- Zpracovatel: Space Floral Tech s.r.o., IČO [DOPLNIT IČO], se sídlem [DOPLNIT SÍDLO] (dále jen „Zpracovatel"), provozovatel cloudové služby AI4Business CRM (dále jen „Služba").
- Správce: zákazník Služby — podnikatel, který se Zpracovatelem uzavřel smlouvu o poskytování Služby (dále jen „Správce" a „Hlavní smlouva").
- Tato zpracovatelská smlouva (dále jen „DPA") upravuje zpracování osobních údajů, které Správce (a jeho uživatelé) vkládá do Služby, Zpracovatelem pro Správce. DPA je nedílnou součástí Hlavní smlouvy a uzavírá se jejím uzavřením.
- V otázkách ochrany osobních údajů vkládaných Správcem do Služby má tato DPA přednost před ostatními částmi Hlavní smlouvy.
2. Povaha, účel a rozsah zpracování
- Předmět a povaha zpracování: ukládání, hostování, strukturování, zobrazování, zálohování, export a další operace s osobními údaji nezbytné pro provoz Služby jako CRM/ERP systému, včetně volitelných AI funkcí.
- Účel zpracování: poskytování Služby Správci dle Hlavní smlouvy, tj. správa obchodních vztahů, kontaktů, zakázek a souvisejících podnikových procesů Správce.
- Doba zpracování: po dobu trvání Hlavní smlouvy a následně po retenční dobu nejvýše 30 dní dle čl. 9 této DPA.
- Kategorie subjektů údajů: zejména zákazníci, dodavatelé, obchodní partneři a leady Správce a jejich kontaktní osoby; zaměstnanci a spolupracovníci Správce (uživatelé Služby); další osoby, jejichž údaje Správce do Služby vloží.
- Kategorie osobních údajů: zejména identifikační údaje (jméno, příjmení, firma, funkce), kontaktní údaje (e-mail, telefon, adresa), obchodní údaje (historie komunikace, nabídky, objednávky, faktury, poznámky), přílohy a dokumenty nahrané Správcem. Správce se zavazuje nevkládat do Služby zvláštní kategorie osobních údajů dle čl. 9 GDPR ani údaje o odsouzeních dle čl. 10 GDPR, ledaže se strany písemně dohodnou jinak a sjednají odpovídající dodatečná opatření.
3. Pokyny správce
- Zpracovatel zpracovává osobní údaje pouze na základě doložených pokynů Správce, včetně předání do třetí země, ledaže mu zpracování ukládá právo EU nebo členského státu; v takovém případě Zpracovatel Správce informuje před zpracováním, pokud právo takové informování nezakazuje z důležitých důvodů veřejného zájmu.
- Za doložené pokyny Správce se považují: ustanovení Hlavní smlouvy a této DPA, konfigurace Služby provedená Správcem a jeho uživateli, a užívání funkcí Služby uživateli Správce (včetně vyvolání AI funkcí).
- Zpracovatel bezodkladně informuje Správce, pokud podle jeho názoru určitý pokyn porušuje GDPR nebo jiné předpisy o ochraně osobních údajů. Do vyjasnění je Zpracovatel oprávněn provedení pokynu pozastavit.
- Zpracovatel nezpracovává osobní údaje Správce pro vlastní účely; to nevylučuje zpracování anonymizovaných a agregovaných údajů o užívání Služby, které nejsou osobními údaji.
4. Důvěrnost
- Zpracovatel zajistí, aby se osoby oprávněné zpracovávat osobní údaje (zaměstnanci a spolupracovníci Zpracovatele) zavázaly k mlčenlivosti, nevztahuje-li se na ně zákonná povinnost mlčenlivosti.
- Povinnost mlčenlivosti trvá i po skončení této DPA a po skončení právního vztahu oprávněné osoby ke Zpracovateli.
- Přístup zaměstnanců Zpracovatele k datům Správce je omezen na případy nezbytné pro provoz, podporu a údržbu Služby a podléhá auditnímu logu.
5. Zabezpečení zpracování
- Zpracovatel přijme a udržuje technická a organizační opatření dle čl. 32 GDPR odpovídající riziku zpracování; jejich popis je uveden v Příloze 2 této DPA.
- Mezi klíčová opatření patří zejména: izolace databází per zákazník, oddělené souborové úložiště, šifrování přenosu dat (TLS), šifrování citlivých konfigurací (AES-256-GCM), řízení přístupu, vícefaktorové ověření administrátorů platformy, auditní log a automatické denní zálohy s retencí 14 dní uložené v EU.
- Zpracovatel opatření průběžně přezkoumává a aktualizuje s ohledem na stav techniky; nesmí přitom snížit celkovou úroveň zabezpečení sjednanou touto DPA.
6. Sub-zpracovatelé
- Správce uděluje Zpracovateli obecné povolení k zapojení dalších zpracovatelů (sub-zpracovatelů). Seznam sub-zpracovatelů zapojených ke dni účinnosti této DPA je uveden v Příloze 1.
- Zpracovatel informuje Správce o zamýšlených změnách týkajících se přijetí nového nebo nahrazení stávajícího sub-zpracovatele nejméně 30 dní předem (e-mailem nebo oznámením v rámci Služby). Správce je oprávněn proti změně vznést do 30 dnů odůvodněné písemné námitky.
- Nedojde-li po vznesení námitek k dohodě, je Správce oprávněn Hlavní smlouvu vypovědět ke dni zapojení nového sub-zpracovatele; do ukončení Zpracovatel nezapojí namítaného sub-zpracovatele do zpracování údajů Správce, je-li to technicky proveditelné.
- Zpracovatel uloží každému sub-zpracovateli smlouvou povinnosti ochrany osobních údajů minimálně na úrovni této DPA. Za plnění povinností sub-zpracovatelů odpovídá Zpracovatel Správci, jako by zpracování prováděl sám.
7. Předávání do třetích zemí
- Osobní údaje jsou primárně zpracovávány a ukládány na serverech v Evropské unii (viz Příloha 1); to platí i pro zálohy.
- Dojde-li v souvislosti s AI funkcemi nebo jiným sub-zpracovatelem k předání osobních údajů do třetí země mimo EU/EHP, Zpracovatel zajistí vhodné záruky dle kapitoly V GDPR, zejména standardní smluvní doložky schválené Evropskou komisí, případně se opře o rozhodnutí o odpovídající ochraně, a na žádost Správce doloží přijaté záruky.
- Do AI funkcí jsou odesílána pouze data nezbytná pro provedení konkrétní funkce vyvolané uživatelem Správce; data Správce nejsou používána k trénování AI modelů.
8. Součinnost se správcem
- Práva subjektů údajů: Zpracovatel je Správci nápomocen prostřednictvím vhodných technických a organizačních opatření při plnění povinnosti reagovat na žádosti o výkon práv subjektů údajů (čl. 12–23 GDPR), zejména umožněním vyhledání, opravy, exportu a výmazu údajů v rámci Služby. Obdrží-li Zpracovatel žádost subjektu údajů týkající se údajů Správce, bez zbytečného odkladu ji předá Správci a sám ji věcně nevyřizuje, nedohodnou-li se strany jinak.
- Zabezpečení, incidenty, DPIA: Zpracovatel je Správci nápomocen při zajišťování souladu s povinnostmi dle čl. 32–36 GDPR (zabezpečení, ohlašování porušení, posouzení vlivu na ochranu osobních údajů a předchozí konzultace), a to při zohlednění povahy zpracování a informací, jež má k dispozici.
- Ohlašování incidentů: Zpracovatel ohlásí Správci porušení zabezpečení osobních údajů bez zbytečného odkladu poté, co se o něm dozvěděl, nejpozději do 48 hodin. Ohlášení obsahuje v rozsahu dostupných informací zejména: popis povahy porušení, kategorie a přibližný počet dotčených subjektů údajů a záznamů, pravděpodobné důsledky, přijatá a navrhovaná opatření a kontakt pro další informace. Informace může Zpracovatel poskytovat postupně, jak jsou zjišťovány.
- Audit: Zpracovatel poskytne Správci veškeré informace potřebné k doložení souladu s povinnostmi dle čl. 28 GDPR a umožní audity, včetně inspekcí, prováděné Správcem nebo jím pověřeným auditorem, a přispěje k nim. Audit se provádí po předchozím oznámení nejméně 30 dní předem, nejvýše jednou za 12 měsíců (nejde-li o audit vyvolaný incidentem nebo požadavkem dozorového úřadu), v běžné pracovní době a způsobem, který minimalizuje narušení provozu; auditor nesmí získat přístup k datům jiných zákazníků Zpracovatele. Náklady auditu nese Správce. Zpracovatel může povinnost primárně splnit poskytnutím aktuálních zpráv, certifikací či dokumentace o přijatých opatřeních.
9. Ukončení zpracování, výmaz a vrácení údajů
- Správce má kdykoli za trvání Hlavní smlouvy, včetně výpovědní doby, možnost exportovat osobní údaje ze Služby ve strukturovaném, strojově čitelném formátu (CSV/JSON).
- Po ukončení Hlavní smlouvy Zpracovatel uchová údaje Správce po dobu nejvýše 30 dní; během této doby na žádost Správce poskytne export údajů dle odst. 1.
- Po uplynutí retenční doby dle odst. 2 Zpracovatel nevratně vymaže veškeré osobní údaje Správce, tj. databázi tenantu i souborové úložiště, ledaže právo EU nebo členského státu vyžaduje jejich další uložení. Kopie v zálohách zaniknou doběhnutím zálohovací retence (14 dní) od výmazu primárních dat.
- Výmaz dle odst. 3 Zpracovatel na žádost Správce písemně potvrdí.
10. Odpovědnost a závěrečná ustanovení
- Odpovědnost stran se řídí čl. 82 GDPR a ujednáními Hlavní smlouvy o odpovědnosti; limitace odpovědnosti sjednaná v Hlavní smlouvě se uplatní i na nároky z této DPA v rozsahu, v jakém to právní předpisy připouštějí. Limitace se nepoužije na pokuty uložené dozorovým úřadem v důsledku porušení povinností druhou stranou ani na nároky subjektů údajů dle čl. 82 GDPR v rozsahu, v němž je limitace vyloučena kogentními předpisy.
- Správce odpovídá za to, že má pro zpracování osobních údajů vkládaných do Služby řádný právní základ a že plní své povinnosti správce dle GDPR (zejména informační povinnost vůči subjektům údajů).
- Tato DPA se uzavírá na dobu trvání Hlavní smlouvy; čl. 4 (důvěrnost) a čl. 9 (výmaz) trvají i po jejím skončení do úplného splnění.
- Tato DPA se řídí právním řádem České republiky. Neupravené otázky se řídí Hlavní smlouvou a GDPR.
Příloha 1 — Seznam schválených sub-zpracovatelů
Ke dni účinnosti této DPA jsou do zpracování zapojeni tito sub-zpracovatelé:
- Hetzner Online GmbH, Německo
- Role: hosting a serverová infrastruktura (aplikační servery, databáze, souborová úložiště, zálohy)
- Umístění zpracování: datová centra v Evropské unii (Německo, případně Finsko)
- Rozsah: veškerá data Služby včetně záloh
- Anthropic, USA/Irsko (dle smluvní entity)
- Role: poskytovatel AI modelů pro AI funkce Služby; přístup zprostředkován přes API platformy Scalix
- Rozsah: pouze data nezbytná pro provedení konkrétní AI funkce vyvolané uživatelem Správce; data nejsou používána k trénování modelů
- Záruky předání: standardní smluvní doložky EU, případně rozhodnutí o odpovídající ochraně, je-li aplikovatelné
- ComGate a.s., Česká republika
- Role: platební brána pro online platby za Službu
- Rozsah: platební a identifikační údaje plátce nezbytné pro provedení platby; data platebních karet zpracovává ComGate výhradně sám
- fakturacniprogram.cz (provozovatel: [DOPLNIT PROVOZOVATELE SLUŽBY]), Česká republika
- Role: vystavování a správa daňových dokladů
- Rozsah: fakturační údaje Správce (název, IČO, DIČ, adresa, e-mail, fakturované položky)
Aktuální verze seznamu je zveřejněna na webových stránkách Služby. Změny seznamu se řídí čl. 6 této DPA.
Příloha 2 — Technická a organizační opatření (TOM)
1. Izolace a architektura
- Každý zákazník (tenant) má vlastní izolovanou PostgreSQL databázi; data zákazníků nejsou sdílena v jedné databázi.
- Souborová úložiště jednotlivých zákazníků jsou oddělena a omezena kvótou.
- Přístup k aplikaci probíhá přes vyhrazenou subdoménu zákazníka.
2. Šifrování
- Veškerá komunikace mezi uživateli a Službou je šifrována protokolem TLS.
- Citlivé konfigurace a přístupové údaje (API klíče, přístupy k integracím) jsou ukládány šifrovaně algoritmem AES-256-GCM.
3. Řízení přístupu
- Přístup uživatelů je řízen rolemi (RBAC) v rámci tenantu; platí zásada minimálního oprávnění.
- Administrátoři platformy Zpracovatele používají vícefaktorové ověření (MFA).
- Přístup zaměstnanců Zpracovatele k datům zákazníků je omezen na nezbytné provozní případy a je evidován.
4. Auditovatelnost a monitoring
- Klíčové operace v aplikaci i na úrovni platformy jsou zaznamenávány v auditním logu.
- Infrastruktura je průběžně monitorována (dostupnost, chybovost, bezpečnostní události).
5. Zálohování a obnova
- Automatické denní zálohy databází i souborů s retencí 14 dní.
- Zálohy jsou ukládány na oddělené (offsite) úložiště v Evropské unii.
- Postupy obnovy jsou dokumentovány a pravidelně ověřovány.
6. Provozní bezpečnost
- Pravidelné bezpečnostní aktualizace operačních systémů a komponent.
- Oddělení produkčního, testovacího a demo prostředí; demo prostředí obsahuje výhradně syntetická data a má blokováno odesílání skutečných e-mailů a volání externích integrací.
- Řízení zranitelností a proces reakce na bezpečnostní incidenty, včetně ohlašování Správci do 48 hodin.
7. Organizační opatření
- Závazky mlčenlivosti všech osob s přístupem k osobním údajům.
- Interní pravidla pro práci s osobními údaji a bezpečnostní školení.
- Smluvní zajištění sub-zpracovatelů minimálně na úrovni této DPA.
8. Ukončení zpracování
- Export dat ve strukturovaném formátu (CSV/JSON) dostupný kdykoli za trvání smlouvy.
- Nevratný výmaz databáze i souborů nejpozději po 30 dnech od ukončení smlouvy; zálohy doběhnou retencí 14 dní.