Smlouva o zpracování osobních údajů
dle článku 28 Nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR)
Platná od 1. 4. 2026 · Verze 1.0 · (dále jen „DPA")
Obsah
- Článek 1 — Smluvní strany
- Článek 2 — Předmět a účel smlouvy
- Článek 3 — Kategorie zpracovávaných údajů
- Článek 4 — Subjekty údajů
- Článek 5 — Doba zpracování a uchovávání
- Článek 6 — Povinnosti Zpracovatele
- Článek 7 — Povinnosti Správce
- Článek 8 — Sub-zpracovatelé
- Článek 9 — Technická a organizační opatření
- Článek 10 — Práva subjektů údajů
- Článek 11 — Porušení zabezpečení osobních údajů
- Článek 12 — Audit a kontrola
- Článek 13 — Ukončení smlouvy
- Článek 14 — Závěrečná ustanovení
Článek 1 — Smluvní strany
Správce osobních údajů (dále jen „Správce"):
| Název / Jméno | [NÁZEV KLIENTA] |
|---|---|
| IČO | [IČO] |
| Sídlo / Adresa | [ADRESA] |
| Kontaktní osoba | [JMÉNO, E-MAIL, TELEFON] |
Zpracovatel osobních údajů (dále jen „Zpracovatel"):
| Jméno | Mikuláš Hanuš |
|---|---|
| IČO | 11980478 |
| Sídlo | Lipoltická 851/25, 190 17 Praha 9 – Vinoř |
| info@poaad.cz |
(Správce a Zpracovatel dále společně také „Smluvní strany")
Článek 2 — Předmět a účel smlouvy
- Předmětem této Smlouvy je úprava práv a povinností Smluvních stran při zpracování osobních údajů Správce Zpracovatelem v souvislosti s provozováním SaaS platformy POAAD.
- Zpracovatel poskytuje Správci službu AI chatbota nasazeného na webových stránkách Správce. V rámci této služby dochází ke zpracování osobních údajů zákazníků Správce.
- Účelem zpracování je provoz AI chatbota, technická podpora a zlepšování kvality služby.
Článek 3 — Kategorie zpracovávaných údajů
Zpracovatel zpracovává následující kategorie osobních údajů:
- Obsah konverzací zákazníků Správce s AI chatbotem
- Technické identifikátory relace (session ID) bez přímé vazby na konkrétní osobu
- Hodnocení kvality odpovědí chatbota
Zvláštní kategorie údajů (čl. 9 GDPR): Konverzace mohou obsahovat zdravotní údaje, zejména pokud Správce působí ve zdravotnickém sektoru (např. zubní kliniky, lékařské ordinace). V takovém případě je Správce povinen zajistit odpovídající právní základ pro zpracování těchto údajů — zejména výslovný souhlas subjektu údajů dle čl. 9 odst. 2 písm. a) GDPR. Zpracovatel tato data neanalyzuje pro vlastní účely, nesdílí je s třetími stranami a ukládá je výhradně v zašifrované podobě na serverech v EU.
Článek 4 — Subjekty údajů
Subjekty údajů jsou zákazníci a návštěvníci webových stránek Správce, kteří využijí AI chatbot.
Článek 5 — Doba zpracování a uchovávání
- Zpracovatel zpracovává osobní údaje po dobu trvání smluvního vztahu mezi Smluvními stranami.
- Chat logy (záznamy konverzací) jsou uchovávány po dobu stanovenou Správcem v rámci jeho tarifu, nejdéle však 24 měsíců od pořízení záznamu.
- Po ukončení smluvního vztahu Zpracovatel bez zbytečného odkladu, nejpozději do 30 dnů, vymaže nebo vrátí Správci veškeré osobní údaje zpracovávané jeho jménem, pokud právní předpisy EU nebo členského státu nevyžadují jejich další uchovávání.
- Správce má právo do 30 dnů od ukončení smlouvy požádat o export svých dat. Po uplynutí této lhůty budou data trvale smazána.
Článek 6 — Povinnosti Zpracovatele
Zpracovatel se zavazuje:
- Zpracovávat osobní údaje pouze na základě doložených pokynů Správce, a to i pokud jde o předání osobních údajů do třetí země nebo mezinárodní organizaci.
- Zajistit, aby osoby oprávněné zpracovávat osobní údaje byly vázány povinností mlčenlivosti.
- Přijmout veškerá opatření požadovaná podle čl. 32 GDPR (bezpečnost zpracování).
- Zohledňovat povahu zpracování a být Správci nápomocen prostřednictvím vhodných technických a organizačních opatření při plnění povinnosti Správce reagovat na žádosti o výkon práv subjektů údajů.
- Být Správci nápomocen při zajišťování souladu s povinnostmi dle čl. 32–36 GDPR.
- Neprodleně, nejpozději do 24 hodin od zjištění, informovat Správce o jakémkoliv porušení zabezpečení osobních údajů, aby Správce mohl splnit svou zákonnou lhůtu 72 hodin pro hlášení Úřadu pro ochranu osobních údajů.
- Poskytnout Správci veškeré informace potřebné k doložení splnění povinností stanovených v čl. 28 GDPR a umožnit audity a inspekce prováděné Správcem nebo auditorem jím pověřeným.
- Nepředávat osobní údaje třetím stranám mimo EU bez odpovídajícího právního základu dle GDPR.
Článek 7 — Povinnosti Správce
Správce se zavazuje:
- Zajistit zákonný právní základ pro zpracování osobních údajů zákazníků prostřednictvím AI chatbota.
- Informovat své zákazníky, že na jeho webu je nasazen AI chatbot, a to transparentním způsobem v souladu s čl. 50 Nařízení EU 2024/1689 (EU AI Act).
- V případě, že konverzace mohou obsahovat zdravotní údaje (zvláštní kategorie dle čl. 9 GDPR), zajistit výslovný souhlas zákazníků před zahájením takové konverzace.
- Nezneužívat platformu POAAD ke zpracování osobních údajů nad rámec stanoveného účelu.
- Neprodleně informovat Zpracovatele o jakýchkoliv změnách, které by mohly ovlivnit zpracování osobních údajů.
Článek 8 — Sub-zpracovatelé
Správce tímto uděluje Zpracovateli obecné oprávnění zapojit do zpracování sub-zpracovatele. Zpracovatel informuje Správce o plánovaných změnách týkajících se přijetí nových sub-zpracovatelů nebo jejich nahrazení, a tím poskytuje Správci příležitost vznést námitky.
Aktuální seznam sub-zpracovatelů:
| Sub-zpracovatel | Účel | Sídlo / Region |
|---|---|---|
| Hetzner Online GmbH | Provoz serverové infrastruktury, ukládání dat | EU (Německo / Finsko) |
| Anthropic PBC | Zpracování textu konverzací prostřednictvím AI API | USA (přenos na základě SCC dle čl. 46 GDPR) |
| Google LLC | Odesílání e-mailových notifikací (Google Workspace) | USA (přenos na základě SCC dle čl. 46 GDPR) |
Se všemi sub-zpracovateli jsou uzavřeny smlouvy o zpracování osobních údajů zajišťující srovnatelnou úroveň ochrany, jaká je stanovena touto Smlouvou.
Článek 9 — Technická a organizační opatření
Zpracovatel přijal a udržuje následující technická a organizační opatření k zajištění bezpečnosti zpracovávaných údajů:
- Šifrovaný přenos dat — veškerá komunikace probíhá výhradně přes HTTPS/TLS 1.2 nebo 1.3
- Šifrované uložení dat — osobní údaje jsou ukládány v zašifrované podobě
- Řízení přístupu — přístup k datům je řízen na základě rolí (RBAC), přístup mají pouze oprávněné osoby
- Zabezpečení serveru — firewall (UFW), ochrana proti brute-force útokům (fail2ban), SSH přístup výhradně prostřednictvím kryptografického klíče
- Zálohy — denní zálohy s 30denní retencí, servery umístěné v datacentrech Hetzner (ISO 27001)
- Minimalizace dat — zpracovávají se pouze údaje nezbytné pro provoz chatbota
Článek 10 — Práva subjektů údajů
Zpracovatel se zavazuje být Správci nápomocen při vyřizování žádostí subjektů údajů týkajících se výkonu jejich práv dle GDPR (právo na přístup, opravu, výmaz, omezení zpracování, přenositelnost, námitku). Žádosti subjektů údajů směřující na Zpracovatele budou bez zbytečného odkladu předány Správci k vyřízení, pokud z povahy žádosti nevyplývá, že ji má vyřídit Zpracovatel.
Článek 11 — Porušení zabezpečení osobních údajů
- V případě porušení zabezpečení osobních údajů Zpracovatel neprodleně, nejpozději do 24 hodin od zjištění, informuje Správce prostřednictvím e-mailu na kontaktní adresu uvedenou v čl. 1 této Smlouvy.
- Oznámení obsahuje alespoň: popis povahy porušení, kategorie a přibližný počet dotčených subjektů údajů a záznamů, jméno a kontaktní údaje osoby, od níž lze získat další informace, popis pravděpodobných důsledků a popis přijatých nebo navrhovaných opatření.
- Cílem lhůty 24 hodin je umožnit Správci splnit zákonnou povinnost oznámit porušení Úřadu pro ochranu osobních údajů (ÚOOÚ) do 72 hodin od zjištění dle čl. 33 GDPR.
- Zpracovatel dokumentuje veškerá porušení zabezpečení osobních údajů, včetně okolností, dopadů a přijatých nápravných opatření.
Článek 12 — Audit a kontrola
Správce je oprávněn ověřovat soulad Zpracovatele s touto Smlouvou, a to buď vlastními silami nebo prostřednictvím auditora pověřeného Správcem. Zpracovatel je povinen poskytnout k tomuto účelu veškerou potřebnou součinnost. Náklady na audit nese Správce, ledaže audit prokáže závažné porušení povinností Zpracovatele.
Článek 13 — Ukončení smlouvy
- Tato Smlouva se uzavírá na dobu trvání smluvního vztahu mezi Smluvními stranami vyplývajícího z Všeobecných obchodních podmínek platformy POAAD.
- Ukončením hlavního smluvního vztahu zaniká i tato Smlouva.
- Po ukončení smlouvy Zpracovatel do 30 dnů vymaže nebo vrátí veškeré osobní údaje zpracovávané jménem Správce, pokud právní předpisy nevyžadují jejich další uchovávání. Správce bude o provedení výmazu informován e-mailem.
Článek 14 — Závěrečná ustanovení
- Tato Smlouva se řídí právním řádem České republiky a přímo použitelným právem EU, zejména Nařízením (EU) 2016/679 (GDPR).
- Tato Smlouva nabývá platnosti a účinnosti okamžikem odsouhlasení Správcem při onboardingu platformy POAAD (elektronický souhlas — click-wrap), který splňuje požadavky čl. 28 odst. 9 GDPR na písemnou formu v elektronické podobě. Datum a IP adresa souhlasu jsou zaznamenány v systému Zpracovatele.
- Zpracovatel je oprávněn tuto Smlouvu jednostranně změnit v souladu se změnami právních předpisů nebo technologií zpracování. O podstatných změnách informuje Správce e-mailem nejméně 30 dní předem.
- V případě rozporu mezi touto Smlouvou a Všeobecnými obchodními podmínkami platformy POAAD mají ustanovení této Smlouvy přednost v oblasti ochrany osobních údajů.
- Je-li jakékoliv ustanovení této Smlouvy neplatné nebo nevymahatelné, nemá to vliv na platnost ostatních ustanovení.
Tato smlouva je uzavírána elektronicky v souladu s čl. 28 odst. 9 GDPR. Datum, IP adresa a verze dokumentu jsou zaznamenány při potvrzení objednávky.