A
AI4Business
ObchodníOchranaZpracovatelskáDohoda
NÁVRH — před zveřejněním nutná revize právníkem. Tento dokument je pracovní návrh připravený k právní revizi; nejde o finální právní text.

Zpracovatelská smlouva (DPA) — AI4Business CRM

Smlouva o zpracování osobních údajů dle čl. 28 nařízení (EU) 2016/679 (GDPR)

Datum účinnosti: [DOPLNIT DATUM]

1. Smluvní strany a předmět smlouvy

  1. Zpracovatel: Space Floral Tech s.r.o., IČO [DOPLNIT IČO], se sídlem [DOPLNIT SÍDLO] (dále jen „Zpracovatel"), provozovatel cloudové služby AI4Business CRM (dále jen „Služba").
  2. Správce: zákazník Služby — podnikatel, který se Zpracovatelem uzavřel smlouvu o poskytování Služby (dále jen „Správce" a „Hlavní smlouva").
  3. Tato zpracovatelská smlouva (dále jen „DPA") upravuje zpracování osobních údajů, které Správce (a jeho uživatelé) vkládá do Služby, Zpracovatelem pro Správce. DPA je nedílnou součástí Hlavní smlouvy a uzavírá se jejím uzavřením.
  4. V otázkách ochrany osobních údajů vkládaných Správcem do Služby má tato DPA přednost před ostatními částmi Hlavní smlouvy.

2. Povaha, účel a rozsah zpracování

  1. Předmět a povaha zpracování: ukládání, hostování, strukturování, zobrazování, zálohování, export a další operace s osobními údaji nezbytné pro provoz Služby jako CRM/ERP systému, včetně volitelných AI funkcí.
  2. Účel zpracování: poskytování Služby Správci dle Hlavní smlouvy, tj. správa obchodních vztahů, kontaktů, zakázek a souvisejících podnikových procesů Správce.
  3. Doba zpracování: po dobu trvání Hlavní smlouvy a následně po retenční dobu nejvýše 30 dní dle čl. 9 této DPA.
  4. Kategorie subjektů údajů: zejména zákazníci, dodavatelé, obchodní partneři a leady Správce a jejich kontaktní osoby; zaměstnanci a spolupracovníci Správce (uživatelé Služby); další osoby, jejichž údaje Správce do Služby vloží.
  5. Kategorie osobních údajů: zejména identifikační údaje (jméno, příjmení, firma, funkce), kontaktní údaje (e-mail, telefon, adresa), obchodní údaje (historie komunikace, nabídky, objednávky, faktury, poznámky), přílohy a dokumenty nahrané Správcem. Správce se zavazuje nevkládat do Služby zvláštní kategorie osobních údajů dle čl. 9 GDPR ani údaje o odsouzeních dle čl. 10 GDPR, ledaže se strany písemně dohodnou jinak a sjednají odpovídající dodatečná opatření.

3. Pokyny správce

  1. Zpracovatel zpracovává osobní údaje pouze na základě doložených pokynů Správce, včetně předání do třetí země, ledaže mu zpracování ukládá právo EU nebo členského státu; v takovém případě Zpracovatel Správce informuje před zpracováním, pokud právo takové informování nezakazuje z důležitých důvodů veřejného zájmu.
  2. Za doložené pokyny Správce se považují: ustanovení Hlavní smlouvy a této DPA, konfigurace Služby provedená Správcem a jeho uživateli, a užívání funkcí Služby uživateli Správce (včetně vyvolání AI funkcí).
  3. Zpracovatel bezodkladně informuje Správce, pokud podle jeho názoru určitý pokyn porušuje GDPR nebo jiné předpisy o ochraně osobních údajů. Do vyjasnění je Zpracovatel oprávněn provedení pokynu pozastavit.
  4. Zpracovatel nezpracovává osobní údaje Správce pro vlastní účely; to nevylučuje zpracování anonymizovaných a agregovaných údajů o užívání Služby, které nejsou osobními údaji.

4. Důvěrnost

  1. Zpracovatel zajistí, aby se osoby oprávněné zpracovávat osobní údaje (zaměstnanci a spolupracovníci Zpracovatele) zavázaly k mlčenlivosti, nevztahuje-li se na ně zákonná povinnost mlčenlivosti.
  2. Povinnost mlčenlivosti trvá i po skončení této DPA a po skončení právního vztahu oprávněné osoby ke Zpracovateli.
  3. Přístup zaměstnanců Zpracovatele k datům Správce je omezen na případy nezbytné pro provoz, podporu a údržbu Služby a podléhá auditnímu logu.

5. Zabezpečení zpracování

  1. Zpracovatel přijme a udržuje technická a organizační opatření dle čl. 32 GDPR odpovídající riziku zpracování; jejich popis je uveden v Příloze 2 této DPA.
  2. Mezi klíčová opatření patří zejména: izolace databází per zákazník, oddělené souborové úložiště, šifrování přenosu dat (TLS), šifrování citlivých konfigurací (AES-256-GCM), řízení přístupu, vícefaktorové ověření administrátorů platformy, auditní log a automatické denní zálohy s retencí 14 dní uložené v EU.
  3. Zpracovatel opatření průběžně přezkoumává a aktualizuje s ohledem na stav techniky; nesmí přitom snížit celkovou úroveň zabezpečení sjednanou touto DPA.

6. Sub-zpracovatelé

  1. Správce uděluje Zpracovateli obecné povolení k zapojení dalších zpracovatelů (sub-zpracovatelů). Seznam sub-zpracovatelů zapojených ke dni účinnosti této DPA je uveden v Příloze 1.
  2. Zpracovatel informuje Správce o zamýšlených změnách týkajících se přijetí nového nebo nahrazení stávajícího sub-zpracovatele nejméně 30 dní předem (e-mailem nebo oznámením v rámci Služby). Správce je oprávněn proti změně vznést do 30 dnů odůvodněné písemné námitky.
  3. Nedojde-li po vznesení námitek k dohodě, je Správce oprávněn Hlavní smlouvu vypovědět ke dni zapojení nového sub-zpracovatele; do ukončení Zpracovatel nezapojí namítaného sub-zpracovatele do zpracování údajů Správce, je-li to technicky proveditelné.
  4. Zpracovatel uloží každému sub-zpracovateli smlouvou povinnosti ochrany osobních údajů minimálně na úrovni této DPA. Za plnění povinností sub-zpracovatelů odpovídá Zpracovatel Správci, jako by zpracování prováděl sám.

7. Předávání do třetích zemí

  1. Osobní údaje jsou primárně zpracovávány a ukládány na serverech v Evropské unii (viz Příloha 1); to platí i pro zálohy.
  2. Dojde-li v souvislosti s AI funkcemi nebo jiným sub-zpracovatelem k předání osobních údajů do třetí země mimo EU/EHP, Zpracovatel zajistí vhodné záruky dle kapitoly V GDPR, zejména standardní smluvní doložky schválené Evropskou komisí, případně se opře o rozhodnutí o odpovídající ochraně, a na žádost Správce doloží přijaté záruky.
  3. Do AI funkcí jsou odesílána pouze data nezbytná pro provedení konkrétní funkce vyvolané uživatelem Správce; data Správce nejsou používána k trénování AI modelů.

8. Součinnost se správcem

  1. Práva subjektů údajů: Zpracovatel je Správci nápomocen prostřednictvím vhodných technických a organizačních opatření při plnění povinnosti reagovat na žádosti o výkon práv subjektů údajů (čl. 12–23 GDPR), zejména umožněním vyhledání, opravy, exportu a výmazu údajů v rámci Služby. Obdrží-li Zpracovatel žádost subjektu údajů týkající se údajů Správce, bez zbytečného odkladu ji předá Správci a sám ji věcně nevyřizuje, nedohodnou-li se strany jinak.
  2. Zabezpečení, incidenty, DPIA: Zpracovatel je Správci nápomocen při zajišťování souladu s povinnostmi dle čl. 32–36 GDPR (zabezpečení, ohlašování porušení, posouzení vlivu na ochranu osobních údajů a předchozí konzultace), a to při zohlednění povahy zpracování a informací, jež má k dispozici.
  3. Ohlašování incidentů: Zpracovatel ohlásí Správci porušení zabezpečení osobních údajů bez zbytečného odkladu poté, co se o něm dozvěděl, nejpozději do 48 hodin. Ohlášení obsahuje v rozsahu dostupných informací zejména: popis povahy porušení, kategorie a přibližný počet dotčených subjektů údajů a záznamů, pravděpodobné důsledky, přijatá a navrhovaná opatření a kontakt pro další informace. Informace může Zpracovatel poskytovat postupně, jak jsou zjišťovány.
  4. Audit: Zpracovatel poskytne Správci veškeré informace potřebné k doložení souladu s povinnostmi dle čl. 28 GDPR a umožní audity, včetně inspekcí, prováděné Správcem nebo jím pověřeným auditorem, a přispěje k nim. Audit se provádí po předchozím oznámení nejméně 30 dní předem, nejvýše jednou za 12 měsíců (nejde-li o audit vyvolaný incidentem nebo požadavkem dozorového úřadu), v běžné pracovní době a způsobem, který minimalizuje narušení provozu; auditor nesmí získat přístup k datům jiných zákazníků Zpracovatele. Náklady auditu nese Správce. Zpracovatel může povinnost primárně splnit poskytnutím aktuálních zpráv, certifikací či dokumentace o přijatých opatřeních.

9. Ukončení zpracování, výmaz a vrácení údajů

  1. Správce má kdykoli za trvání Hlavní smlouvy, včetně výpovědní doby, možnost exportovat osobní údaje ze Služby ve strukturovaném, strojově čitelném formátu (CSV/JSON).
  2. Po ukončení Hlavní smlouvy Zpracovatel uchová údaje Správce po dobu nejvýše 30 dní; během této doby na žádost Správce poskytne export údajů dle odst. 1.
  3. Po uplynutí retenční doby dle odst. 2 Zpracovatel nevratně vymaže veškeré osobní údaje Správce, tj. databázi tenantu i souborové úložiště, ledaže právo EU nebo členského státu vyžaduje jejich další uložení. Kopie v zálohách zaniknou doběhnutím zálohovací retence (14 dní) od výmazu primárních dat.
  4. Výmaz dle odst. 3 Zpracovatel na žádost Správce písemně potvrdí.

10. Odpovědnost a závěrečná ustanovení

  1. Odpovědnost stran se řídí čl. 82 GDPR a ujednáními Hlavní smlouvy o odpovědnosti; limitace odpovědnosti sjednaná v Hlavní smlouvě se uplatní i na nároky z této DPA v rozsahu, v jakém to právní předpisy připouštějí. Limitace se nepoužije na pokuty uložené dozorovým úřadem v důsledku porušení povinností druhou stranou ani na nároky subjektů údajů dle čl. 82 GDPR v rozsahu, v němž je limitace vyloučena kogentními předpisy.
  2. Správce odpovídá za to, že má pro zpracování osobních údajů vkládaných do Služby řádný právní základ a že plní své povinnosti správce dle GDPR (zejména informační povinnost vůči subjektům údajů).
  3. Tato DPA se uzavírá na dobu trvání Hlavní smlouvy; čl. 4 (důvěrnost) a čl. 9 (výmaz) trvají i po jejím skončení do úplného splnění.
  4. Tato DPA se řídí právním řádem České republiky. Neupravené otázky se řídí Hlavní smlouvou a GDPR.

Příloha 1 — Seznam schválených sub-zpracovatelů

Ke dni účinnosti této DPA jsou do zpracování zapojeni tito sub-zpracovatelé:

  1. Hetzner Online GmbH, Německo
  • Role: hosting a serverová infrastruktura (aplikační servery, databáze, souborová úložiště, zálohy)
  • Umístění zpracování: datová centra v Evropské unii (Německo, případně Finsko)
  • Rozsah: veškerá data Služby včetně záloh
  1. Anthropic, USA/Irsko (dle smluvní entity)
  • Role: poskytovatel AI modelů pro AI funkce Služby; přístup zprostředkován přes API platformy Scalix
  • Rozsah: pouze data nezbytná pro provedení konkrétní AI funkce vyvolané uživatelem Správce; data nejsou používána k trénování modelů
  • Záruky předání: standardní smluvní doložky EU, případně rozhodnutí o odpovídající ochraně, je-li aplikovatelné
  1. ComGate a.s., Česká republika
  • Role: platební brána pro online platby za Službu
  • Rozsah: platební a identifikační údaje plátce nezbytné pro provedení platby; data platebních karet zpracovává ComGate výhradně sám
  1. fakturacniprogram.cz (provozovatel: [DOPLNIT PROVOZOVATELE SLUŽBY]), Česká republika
  • Role: vystavování a správa daňových dokladů
  • Rozsah: fakturační údaje Správce (název, IČO, DIČ, adresa, e-mail, fakturované položky)

Aktuální verze seznamu je zveřejněna na webových stránkách Služby. Změny seznamu se řídí čl. 6 této DPA.

Příloha 2 — Technická a organizační opatření (TOM)

1. Izolace a architektura

  • Každý zákazník (tenant) má vlastní izolovanou PostgreSQL databázi; data zákazníků nejsou sdílena v jedné databázi.
  • Souborová úložiště jednotlivých zákazníků jsou oddělena a omezena kvótou.
  • Přístup k aplikaci probíhá přes vyhrazenou subdoménu zákazníka.

2. Šifrování

  • Veškerá komunikace mezi uživateli a Službou je šifrována protokolem TLS.
  • Citlivé konfigurace a přístupové údaje (API klíče, přístupy k integracím) jsou ukládány šifrovaně algoritmem AES-256-GCM.

3. Řízení přístupu

  • Přístup uživatelů je řízen rolemi (RBAC) v rámci tenantu; platí zásada minimálního oprávnění.
  • Administrátoři platformy Zpracovatele používají vícefaktorové ověření (MFA).
  • Přístup zaměstnanců Zpracovatele k datům zákazníků je omezen na nezbytné provozní případy a je evidován.

4. Auditovatelnost a monitoring

  • Klíčové operace v aplikaci i na úrovni platformy jsou zaznamenávány v auditním logu.
  • Infrastruktura je průběžně monitorována (dostupnost, chybovost, bezpečnostní události).

5. Zálohování a obnova

  • Automatické denní zálohy databází i souborů s retencí 14 dní.
  • Zálohy jsou ukládány na oddělené (offsite) úložiště v Evropské unii.
  • Postupy obnovy jsou dokumentovány a pravidelně ověřovány.

6. Provozní bezpečnost

  • Pravidelné bezpečnostní aktualizace operačních systémů a komponent.
  • Oddělení produkčního, testovacího a demo prostředí; demo prostředí obsahuje výhradně syntetická data a má blokováno odesílání skutečných e-mailů a volání externích integrací.
  • Řízení zranitelností a proces reakce na bezpečnostní incidenty, včetně ohlašování Správci do 48 hodin.

7. Organizační opatření

  • Závazky mlčenlivosti všech osob s přístupem k osobním údajům.
  • Interní pravidla pro práci s osobními údaji a bezpečnostní školení.
  • Smluvní zajištění sub-zpracovatelů minimálně na úrovni této DPA.

8. Ukončení zpracování

  • Export dat ve strukturovaném formátu (CSV/JSON) dostupný kdykoli za trvání smlouvy.
  • Nevratný výmaz databáze i souborů nejpozději po 30 dnech od ukončení smlouvy; zálohy doběhnou retencí 14 dní.
← Zpět na úvodObchodní podmínkyOchrana osobních údajůDohoda o úrovni služeb (SLA)