Smlouva o zpracování osobních údajů
Uzavřena podle čl. 28 odst. 3 GDPR. Tvoří nedílnou součást Obchodních podmínek a automaticky se vztahuje na každého zákazníka WorkAist Cloud.
Platnost od: 2026-07-10
Tento dokument je publikován v několika jazycích. V případě jakéhokoli rozporu je závazná anglická verze.
1. Strany a role
Tato Smlouva o zpracování osobních údajů („DPA“) je uzavřena mezi zákazníkem uvedeným v účtu WorkAist („Správce“) a společností ILIN & SADOVENKO, LDA, Rua de Xabregas, nº 2, Escritório 3.21, 1900-440 Lisboa, Portugal, NIF 517251876 („Zpracovatel“).
Ve vztahu k Zákaznickým datům zpracovávaným ve WorkAist Cloud určuje Správce účely a prostředky zpracování a Zpracovatel zpracovává jménem Správce. Je-li Správce sám zpracovatelem pro třetí osobu, Správce zaručuje, že má oprávnění uzavřít tuto DPA a že jím udílené pokyny odpovídají pokynům této třetí osoby.
Tato DPA se nevztahuje na WorkAist Self-Hosted, kde se Zákaznická data nedostávají do systémů Zpracovatele, ani na údaje, u nichž je správcem sám Zpracovatel a které se řídí Zásadami ochrany osobních údajů.
2. Pořadí přednosti
Je-li tato DPA v rozporu s Obchodními podmínkami, má v otázkách ochrany osobních údajů přednost tato DPA. Je-li v rozporu s individuálně sjednaným objednávkovým formulářem nebo podepsanou smlouvou o zpracování osobních údajů, má přednost tento dokument.
3. Předmět, doba trvání, povaha a účel
Předmětem je poskytování WorkAist Cloud. Povahou a účelem zpracování je hostování, ukládání, přenos a automatizované zpracování Zákaznických dat tak, aby mohli běžet Správcem nakonfigurovaní agenti, konektory a procesy, spolu s podpůrnými, bezpečnostními, měřicími a fakturačními činnostmi nezbytnými k poskytování Služby.
Zpracování trvá po celou dobu platnosti smlouvy Správce na WorkAist Cloud, prodlouženou o lhůty pro výmaz uvedené v článku 11.
4. Kategorie subjektů údajů a osobních údajů
Správce rozhoduje o tom, co nahrává. Zpracování se obvykle týká:
| Kategorie subjektů údajů | Kategorie osobních údajů |
|---|---|
| Zaměstnanci a oprávnění uživatelé Správce | Jméno, pracovní e-mail, role, autentizační údaje, položky auditního záznamu |
| Zákazníci, leady a kontakty Správce | Jméno, e-mail, telefonní číslo, společnost, korespondence, záznamy CRM, jakýkoli identifikátor, který se Správce rozhodne synchronizovat |
| Dodavatelé a partneři Správce | Kontaktní údaje, smluvní a fakturační údaje |
| Jakýkoli subjekt údajů vyskytující se v dokumentech nebo zprávách zpracovávaných Správcem | Jakékoli osobní údaje obsažené v souborech, e-mailech, přepisech, obrázcích nebo zprávách, které Správce do Služby vloží |
Zvláštní kategorie osobních údajů podle čl. 9 GDPR a osobní údaje týkající se rozsudků v trestních věcech a trestných činů podle čl. 10 GDPR nesmí být ve Službě zpracovávány, pokud se strany předem písemně nedohodly na dodatečných zárukách.
Zdroj údajů
Zákaznická data se do Služby dostávají tím, že Správce připojuje externí systémy, nahrává soubory nebo instruuje své agenty, aby je vyhledali. Tyto zdroje volí a rozsah importovaných dat určuje výhradně Správce.
Správce zaručuje, že disponuje právním základem podle čl. 6 GDPR — a případně podle čl. 9 — pro shromažďování těchto osobních údajů a jejich předání Zpracovateli a že je zajištěno veškeré informační oznámení nebo souhlas vyžadované ve zdrojovém systému. Zpracovatel nemá přístup ke zdrojovým systémům Správce, nevybírá je a neověřuje ani není schopen ověřit, zda jsou v souladu s právními předpisy o ochraně osobních údajů. Posouzení této skutečnosti je povinností Správce jakožto správce.
5. Zpracování na základě doložených pokynů
Zpracovatel zpracovává Zákaznická data pouze na základě doložených pokynů Správce, a to i pokud jde o předávání do třetích zemí, ledaže mu jinak ukládá právo Unie nebo členského státu, kterému Zpracovatel podléhá. V takovém případě Zpracovatel Správce před zpracováním informuje o tomto právním požadavku, ledaže dané právo takové informování zakazuje z důležitých důvodů veřejného zájmu.
Obchodní podmínky, tato DPA a konfigurace a užívání Služby Správcem tvoří úplné doložené pokyny Správce. Jakýkoli další pokyn musí mít písemnou formu a, vyžaduje-li úsilí nad rámec standardní funkčnosti Služby, může podléhat přiměřenému poplatku sjednanému předem.
Zpracovatel informuje Správce bez zbytečného odkladu, pokud se domnívá, že určitý pokyn porušuje GDPR nebo jiné právní předpisy Unie či členského státu o ochraně osobních údajů.
6. Důvěrnost
Zpracovatel zajišťuje, že se osoby oprávněné zpracovávat Zákaznická data zavázaly k mlčenlivosti nebo se na ně vztahuje odpovídající zákonná povinnost mlčenlivosti, a že přístup mají pouze ty osoby, které jej potřebují k plnění smlouvy.
7. Zabezpečení zpracování
S přihlédnutím ke stavu techniky, nákladům na provedení a povaze, rozsahu, kontextu a účelům zpracování, jakož i k riziku pro práva a svobody fyzických osob, zavádí Zpracovatel následující technická a organizační opatření podle čl. 32 GDPR.
Příloha II — Technická a organizační opatření
| Opatření | Provedení |
|---|---|
| Šifrování při přenosu | Veškerý provoz do a ze Služby probíhá přes TLS s automaticky obnovovanými certifikáty. Interní komunikace mezi jednotlivými službami neopouští síť hostitele. |
| Šifrování tajemství | Přístupové údaje zákazníků a tajemství konektorů jsou v klidovém stavu šifrována pomocí AES-256-GCM pod klíčem uchovávaným mimo aplikační databázi. |
| Pseudonymizace | Telemetrické a měřicí záznamy odkazují na zákazníky a agenty pomocí identifikátoru namísto jména nebo e-mailu, kdykoli identifikátor postačuje. |
| Důvěrnost — řízení přístupu | Řízení přístupu na základě rolí pro každý pracovní prostor. Každý agent je omezen na vlastní prefix úložiště a vlastní databázové schéma; přístup napříč zákazníky je odmítán na úrovni dat, nikoli pouze v uživatelském rozhraní. |
| Důvěrnost — zaměstnanci | Administrativní přístup podle zásady nejmenších oprávnění, udělovaný individuálně a přezkoumávaný při změně role. Veškeré administrativní úkony se zapisují do auditního záznamu pouze pro přidávání. |
| Integrita | Důsledná validace vstupů a parametrizované dotazy. Každá změna provedená prostřednictvím provozního API zaznamená řádek auditního záznamu identifikující jednající osobu. |
| Dostupnost a odolnost | Spravovaný hosting v datovém centru třídy Tier III v Německu. Automatizované denní zálohy databáze, uchovávané šifrovaně a odděleně od produkčního prostředí. |
| Obnova | Dokumentovaný postup obnovy z nejnovější zálohy; obnova je procvičována v rámci změn infrastruktury. |
| Testování a hodnocení | Skenování zranitelností závislostí v rámci kontinuální integrace, revize kódu před sloučením a periodické přezkoumání těchto opatření nejméně jednou ročně a při podstatné změně Služby. |
| Minimalizace údajů již od návrhu | Konektory synchronizují pouze pole aktivovaná Správcem. Správce může kdykoli smazat jakoukoli synchronizovanou tabulku. |
Zpracovatel může tato opatření aktualizovat s vývojem technologií za předpokladu, že se úroveň ochrany nesníží. Vždy platí aktuální verze zveřejněná na této stránce.
8. Další zpracovatelé
Správce uděluje Zpracovateli obecné písemné oprávnění k zapojení dalších zpracovatelů. Zpracovatel smluvně ukládá každému dalšímu zpracovateli povinnosti v oblasti ochrany osobních údajů, které nejsou méně ochranné než povinnosti stanovené v této DPA, a vůči Správci zůstává v plném rozsahu odpovědný za plnění dalšího zpracovatele.
Příloha III — Schválení další zpracovatelé
Následující další zpracovatelé jsou zapojeni pro každého zákazníka WorkAist Cloud, neboť jsou součástí infrastruktury, na které Služba běží.
| Další zpracovatel | Účel | Místo | Záruka pro předání |
|---|---|---|---|
| Hetzner Online GmbH | Hosting aplikačních serverů, databáze a záloh | Německo (EU) | Nepoužije se |
| Cloudflare, Inc. | DNS, reverzní proxy, ukončení TLS, ochrana proti DDoS | Globální edge síť, včetně EU | SCCs; EU-US Data Privacy Framework |
| Stripe Payments Europe, Ltd. | Zpracování plateb a předplatného | Irsko (EU) | SCCs pro další předávání v rámci skupiny; EU-US Data Privacy Framework |
| Resend, Inc. | Doručování transakčních e-mailů | Spojené státy americké | SCCs |
Poskytovatelé modelů
S poskytovateli velkých jazykových modelů se zachází odlišně, neboť si je volí Správce.
- Pokud Správce poskytne vlastní přístupové údaje k poskytovateli, je tento poskytovatel zapojen Správcem, na jeho pokyny a na základě jeho vlastní smlouvy s ním. Nejedná se o dalšího zpracovatele Zpracovatele. Zpracovatel pouze přenáší požadavek s využitím poskytnutých přístupových údajů a neposkytuje žádnou záruku ohledně zabezpečení tohoto poskytovatele, místa zpracování, praktik trénování ani souladu s právními předpisy.
- Pokud Správce využívá spravovanou fakturaci tokenů Zpracovatele, poskytovatele vybírá Zpracovatel a tento poskytovatel je jeho dalším zpracovatelem. Poskytovatelem aktuálně zapojeným v této funkci je Anthropic PBC (Spojené státy americké) pro inferenci velkých jazykových modelů, na základě standardních smluvních doložek a se smluvním zákazem trénování na datech, která jsou mu zasílána.
Správce může kdykoli ve Službě zjistit, kterého poskytovatele modelu každý z jeho agentů využívá, a tohoto poskytovatele změnit.
Změny dalších zpracovatelů
Zpracovatel informuje Správce e-mailem nejméně 30 dní předem před přidáním nebo nahrazením dalšího zpracovatele. Správce může v této 30denní lhůtě vznést námitku z důvodných důvodů souvisejících s ochranou osobních údajů. Nepodaří-li se stranám námitku vyřešit, může Správce ukončit dotčenou část Služby bez sankce a získat poměrné vrácení předplacených poplatků.
9. Součinnost při výkonu práv subjektů údajů
S přihlédnutím k povaze zpracování poskytuje Zpracovatel Správci součinnost prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, při plnění povinnosti Správce reagovat na žádosti o výkon práv subjektu údajů podle kapitoly III GDPR.
Služba poskytuje Správci přímý přístup k Zákaznickým datům, aby mohl osobní údaje sám vyhledávat, exportovat, opravovat a mazat. Pokud přesto žádost vyžaduje součinnost Zpracovatele, Zpracovatel reaguje bez zbytečného odkladu, nejpozději však do 10 pracovních dnů. Pokud se subjekt údajů obrátí přímo na Zpracovatele ve věci Zákaznických dat, Zpracovatel věcně neodpovídá; žádost bez zbytečného odkladu postoupí Správci.
10. Součinnost podle čl. 32 až 36
Zpracovatel poskytuje Správci součinnost při zajišťování souladu s povinnostmi podle čl. 32 až 36 GDPR, s přihlédnutím k povaze zpracování a informacím, které má Zpracovatel k dispozici — zejména v oblasti zabezpečení zpracování, oznamování porušení zabezpečení osobních údajů, oznamování subjektům údajů, posouzení vlivu na ochranu osobních údajů a předchozí konzultace.
Porušení zabezpečení osobních údajů
Zpracovatel oznamuje Správci bez zbytečného odkladu, nejpozději však do 48 hodin, poté, co se dozví o porušení zabezpečení osobních údajů týkajícím se Zákaznických dat. Oznámení popisuje povahu porušení, kategorie a přibližný počet dotčených subjektů údajů a záznamů, pravděpodobné důsledky, přijatá nebo navrhovaná opatření a kontaktní místo. Nejsou-li všechny informace k dispozici najednou, poskytují se postupně bez dalšího zbytečného odkladu. Zpracovatel neoznamuje porušení dozorovému úřadu ani subjektům údajů jménem Správce, pokud k tomu není instruován.
11. Výmaz a vrácení Zákaznických dat
Podle volby Správce Zpracovatel po ukončení poskytování služeb souvisejících se zpracováním veškerá Zákaznická data vymaže nebo vrátí a vymaže existující kopie, ledaže právo Unie nebo členského státu vyžaduje uložení osobních údajů.
- Po dobu 30 dnů od ukončení smlouvy může Správce exportovat Zákaznická data ze Služby nebo požádat o jejich vrácení ve strukturovaném, běžně používaném a strojově čitelném formátu.
- Zpracovatel vymaže Zákaznická data z produkčních systémů do 30 dnů od uzavření tohoto exportního okna.
- Šifrované zálohy obsahující Zákaznická data se přepisují v rámci své běžné rotace, nejpozději však do 90 dnů od výmazu z produkčních systémů.
- Na písemnou žádost Zpracovatel výmaz písemně potvrdí.
12. Audity a informace
Zpracovatel zpřístupňuje Správci veškeré informace nezbytné k doložení souladu s čl. 28 GDPR a umožňuje audity, včetně kontrol, prováděné Správcem nebo jiným auditorem pověřeným Správcem, a poskytuje k nim součinnost.
V praxi Zpracovatel nejprve poskytne svou aktuální dokumentaci technických a organizačních opatření, seznam dalších zpracovatelů a písemné odpovědi na bezpečnostní dotazník. Není-li to k doložení souladu dostatečné, může Správce s 30denním písemným předstihem provést audit na místě nebo na dálku, nejvýše jednou za kalendářní rok, ledaže došlo k porušení zabezpečení osobních údajů nebo to vyžaduje dozorový úřad. Audity probíhají v pracovní době, nesmí nepřiměřeně narušit provoz Zpracovatele a podléhají povinnosti mlčenlivosti. Správce nese vlastní náklady na audit; Zpracovatel nese své vlastní náklady, ledaže audit odhalí podstatné porušení této DPA.
13. Mezinárodní předávání
Zpracovatel uchovává Zákaznická data v klidovém stavu v Německu. Předávání dalším zpracovatelům mimo Evropský hospodářský prostor, uvedeným v Příloze III, probíhá na základě standardních smluvních doložek Evropské komise (prováděcí rozhodnutí (EU) 2021/914), modul třetí pro případ, kdy Zpracovatel jedná jako zpracovatel zapojující dalšího zpracovatele, případně doplněných o dodatečné záruky, a — je-li příjemce certifikován — na základě rozhodnutí o odpovídající úrovni ochrany pro EU-US Data Privacy Framework.
Uzavřením této DPA Správce pověřuje Zpracovatele k uzavření těchto standardních smluvních doložek s každým dalším zpracovatelem jménem Správce a na jeho účet.
14. Odpovědnost
Odpovědnost podle této DPA se řídí omezením odpovědnosti stanoveným v Obchodních podmínkách, s tím, že tím není omezena odpovědnost žádné ze stran vůči subjektu údajů podle čl. 82 GDPR ani vůči dozorovému úřadu.
15. Doba trvání, rozhodné právo a kontakt
Tato DPA nabývá účinnosti okamžikem vzniku smlouvy Správce na WorkAist Cloud a zůstává v platnosti po dobu, po kterou Zpracovatel zpracovává Zákaznická data. Řídí se právním řádem Portugalska a výlučnou příslušnost mají soudy v Lisabonu, aniž je dotčen čl. 79 GDPR.
Kontakt pro veškeré záležitosti podle této DPA: [email protected].