Zmluva o spracúvaní osobných údajov

Uzatvorená podľa čl. 28 ods. 3 GDPR. Tvorí neoddeliteľnú súčasť Všeobecných obchodných podmienok a automaticky sa vzťahuje na každého zákazníka WorkAist Cloud.

Účinné od: 2026-07-10

Tento dokument je publikovaný vo viacerých jazykoch. V prípade akéhokoľvek rozporu je záväzná anglická verzia.

1. Zmluvné strany a role

Táto Zmluva o spracúvaní osobných údajov (ďalej len „DPA“) sa uzatvára medzi zákazníkom identifikovaným v účte WorkAist (ďalej len „Prevádzkovateľ“) a spoločnosťou ILIN & SADOVENKO, LDA, Rua de Xabregas, nº 2, Escritório 3.21, 1900-440 Lisboa, Portugal, NIF 517251876 (ďalej len „Sprostredkovateľ“).

Pokiaľ ide o Zákaznícke údaje spracúvané vo WorkAist Cloud, Prevádzkovateľ určuje účely a prostriedky spracúvania a Sprostredkovateľ spracúva v mene Prevádzkovateľa. Ak je Prevádzkovateľ sám sprostredkovateľom pre tretiu stranu, zaručuje, že má oprávnenie uzavrieť túto DPA a že pokyny, ktoré udeľuje, zodpovedajú pokynom tejto tretej strany.

Táto DPA sa nevzťahuje na WorkAist Self-Hosted, kde sa Zákaznícke údaje nedostávajú do systémov Sprostredkovateľa, ani na údaje, pri ktorých je prevádzkovateľom sám Sprostredkovateľ, ktoré sa riadia Zásadami ochrany osobných údajov.

2. Poradie prednosti

Ak je táto DPA v rozpore so Všeobecnými obchodnými podmienkami, má v otázkach ochrany osobných údajov prednosť táto DPA. Ak je v rozpore s individuálne dohodnutým objednávkovým formulárom alebo podpísanou zmluvou o spracúvaní osobných údajov, prednosť má tento dokument.

3. Predmet, trvanie, povaha a účel

Predmetom je poskytovanie WorkAist Cloud. Povahou a účelom spracúvania je hosťovanie, ukladanie, prenos a automatizované spracúvanie Zákazníckych údajov, aby mohli bežať agenti, konektory a procesy nakonfigurované Prevádzkovateľom, spolu s podpornými, bezpečnostnými, meracími a fakturačnými činnosťami potrebnými na poskytovanie Služby.

Spracúvanie trvá po celú dobu platnosti zmluvy Prevádzkovateľa na WorkAist Cloud, a to vrátane lehôt na vymazanie uvedených v článku 11.

4. Kategórie dotknutých osôb a osobných údajov

Prevádzkovateľ rozhoduje, čo nahráva. Spracúvanie sa spravidla týka:

Kategórie dotknutých osôbKategórie osobných údajov
Zamestnanci a oprávnení používatelia PrevádzkovateľaMeno, pracovný e-mail, rola, autentifikačné údaje, záznamy auditného denníka
Zákazníci, leady a kontakty PrevádzkovateľaMeno, e-mail, telefónne číslo, spoločnosť, korešpondencia, záznamy CRM, akýkoľvek identifikátor, ktorý sa Prevádzkovateľ rozhodne synchronizovať
Dodávatelia a partneri PrevádzkovateľaKontaktné údaje, údaje o zmluvách a faktúrach
Akákoľvek dotknutá osoba vyskytujúca sa v dokumentoch alebo správach, ktoré Prevádzkovateľ spracúvaAkékoľvek osobné údaje obsiahnuté v súboroch, e-mailoch, prepisoch, obrázkoch alebo správach, ktoré Prevádzkovateľ vloží do Služby

Osobitné kategórie osobných údajov podľa čl. 9 GDPR a osobné údaje týkajúce sa uznania viny za trestné činy a priestupky podľa čl. 10 GDPR sa v Službe nesmú spracúvať, pokiaľ sa strany vopred písomne nedohodli na dodatočných zárukách.

Pôvod údajov

Zákaznícke údaje sa dostávajú do Služby preto, že Prevádzkovateľ pripája externé systémy, nahráva súbory alebo dáva svojim agentom pokyn, aby ich získali. Tieto zdroje si vyberá výlučne Prevádzkovateľ a on aj určuje, čo sa importuje.

Prevádzkovateľ zaručuje, že disponuje právnym základom podľa čl. 6 GDPR — a v relevantných prípadoch podľa čl. 9 — na zber týchto osobných údajov a ich prenos Sprostredkovateľovi a že sú zabezpečené všetky informačné oznámenia alebo súhlasy vyžadované v zdrojovom systéme. Sprostredkovateľ nemá prístup k zdrojovým systémom Prevádzkovateľa, nevyberá ich a neoveruje ani nie je schopný overiť, či sú v súlade s právnymi predpismi o ochrane osobných údajov. Posúdenie tejto skutočnosti je povinnosťou Prevádzkovateľa ako prevádzkovateľa.

5. Spracúvanie na základe zdokumentovaných pokynov

Sprostredkovateľ spracúva Zákaznícke údaje výlučne na základe zdokumentovaných pokynov Prevádzkovateľa, a to aj pokiaľ ide o prenosy do tretích krajín, pokiaľ mu inak spracúvať neukladá právo Únie alebo členského štátu, ktorému Sprostredkovateľ podlieha. V takom prípade Sprostredkovateľ informuje Prevádzkovateľa o tejto právnej požiadavke pred spracúvaním, ibaže by to dané právo zakazovalo z dôležitých dôvodov verejného záujmu.

Všeobecné obchodné podmienky, táto DPA a spôsob, akým Prevádzkovateľ Službu konfiguruje a používa, predstavujú úplné zdokumentované pokyny Prevádzkovateľa. Akýkoľvek ďalší pokyn musí mať písomnú formu a v prípade, že si vyžaduje úsilie presahujúce štandardnú funkčnosť Služby, môže podliehať vopred dohodnutému primeranému poplatku.

Sprostredkovateľ bez zbytočného odkladu informuje Prevádzkovateľa, ak sa domnieva, že niektorý pokyn porušuje GDPR alebo iné právne predpisy Únie alebo členského štátu o ochrane osobných údajov.

6. Dôvernosť

Sprostredkovateľ zabezpečuje, aby sa osoby oprávnené spracúvať Zákaznícke údaje zaviazali k mlčanlivosti alebo podliehali primeranej zákonnej povinnosti mlčanlivosti a aby bol prístup obmedzený len na tie osoby, ktoré ho potrebujú na plnenie zmluvy.

7. Bezpečnosť spracúvania

S prihliadnutím na stav techniky, náklady na vykonanie opatrení, ako aj na povahu, rozsah, kontext a účely spracúvania a na riziko pre práva a slobody fyzických osôb Sprostredkovateľ vykonáva nasledujúce technické a organizačné opatrenia podľa čl. 32 GDPR.

Príloha II — Technické a organizačné opatrenia

OpatrenieVykonanie
Šifrovanie počas prenosuVšetka prevádzka do a zo Služby prebieha cez TLS s automaticky obnovovanými certifikátmi. Interná prevádzka medzi jednotlivými službami neopúšťa hostiteľskú sieť.
Šifrovanie tajomstievPrihlasovacie údaje zákazníkov a tajomstvá konektorov sú v pokoji šifrované pomocou AES-256-GCM pod kľúčom uchovávaným mimo aplikačnej databázy.
PseudonymizáciaZáznamy telemetrie a merania spotreby odkazujú na zákazníkov a agentov pomocou identifikátora namiesto mena alebo e-mailu, kdekoľvek identifikátor postačuje.
Dôvernosť — riadenie prístupuRiadenie prístupu na základe rolí pre každý pracovný priestor. Každý agent je obmedzený na vlastný prefix úložiska a vlastnú databázovú schému; prístup naprieč zákazníkmi je odmietnutý už na úrovni údajov, nielen v používateľskom rozhraní.
Dôvernosť — zamestnanciAdministratívny prístup na základe princípu najnižších potrebných oprávnení, udeľovaný individuálne a preskúmavaný pri zmene role. Všetky administratívne úkony sa zapisujú do auditného denníka len na pridávanie.
IntegritaDôsledná validácia vstupov a parametrizované databázové dotazy. Každá zmena vykonaná cez prevádzkové API zaznamená riadok auditného denníka identifikujúci osobu, ktorá ju vykonala.
Dostupnosť a odolnosťSpravovaný hosting v dátovom centre triedy Tier III v Nemecku. Automatizované denné zálohy databázy, uchovávané šifrovane a oddelene od produkčného prostredia.
ObnovaZdokumentovaný postup obnovy z najnovšej zálohy; obnova sa precvičuje v rámci zmien infraštruktúry.
Testovanie a hodnotenieSkenovanie zraniteľností závislostí v rámci kontinuálnej integrácie, code review pred zlúčením kódu a pravidelné preskúmanie týchto opatrení najmenej raz ročne a pri podstatnej zmene Služby.
Minimalizácia údajov už v návrhuKonektory synchronizujú iba polia, ktoré Prevádzkovateľ povolí. Prevádzkovateľ môže kedykoľvek vymazať akúkoľvek synchronizovanú tabuľku.

Sprostredkovateľ môže tieto opatrenia aktualizovať v súlade s vývojom technológií, pokiaľ sa tým nezníži úroveň ochrany. Aktuálna verzia je vždy tá, ktorá je zverejnená na tejto stránke.

8. Ďalší sprostredkovatelia

Prevádzkovateľ udeľuje Sprostredkovateľovi všeobecné písomné povolenie na zapojenie ďalších sprostredkovateľov. Sprostredkovateľ zmluvne ukladá každému ďalšiemu sprostredkovateľovi povinnosti v oblasti ochrany osobných údajov, ktoré nie sú menej prísne ako povinnosti podľa tejto DPA, a voči Prevádzkovateľovi zostáva v plnom rozsahu zodpovedný za plnenie ďalšieho sprostredkovateľa.

Príloha III — Schválení ďalší sprostredkovatelia

Nasledujúci ďalší sprostredkovatelia sú zapojení pre každého zákazníka WorkAist Cloud, keďže tvoria súčasť infraštruktúry, na ktorej Služba beží.

Ďalší sprostredkovateľÚčelMiestoZáruka pre prenos
Hetzner Online GmbHHosting aplikačných serverov, databázy a zálohNemecko (EÚ)Neuplatňuje sa
Cloudflare, Inc.DNS, reverzná proxy, ukončenie TLS, ochrana proti DDoSGlobálna edge sieť, vrátane EÚSCC; EU-US Data Privacy Framework
Stripe Payments Europe, Ltd.Spracúvanie platieb a predplatnéhoÍrsko (EÚ)SCC pre ďalšie prenosy v rámci skupiny; EU-US Data Privacy Framework
Resend, Inc.Doručovanie transakčných e-mailovSpojené štátySCC

Poskytovatelia modelov

Poskytovatelia veľkých jazykových modelov sa posudzujú odlišne, pretože si ich vyberá Prevádzkovateľ.

  • Ak Prevádzkovateľ poskytne vlastné prístupové údaje poskytovateľa, tohto poskytovateľa zapája Prevádzkovateľ, podľa pokynov Prevádzkovateľa a na základe jeho vlastnej dohody s ním. Nejde o ďalšieho sprostredkovateľa Sprostredkovateľa. Sprostredkovateľ len prenáša požiadavku s použitím poskytnutých prístupových údajov a neposkytuje žiadnu záruku, pokiaľ ide o bezpečnosť, miesto spracúvania, postupy trénovania modelu ani súlad s právnymi predpismi zo strany tohto poskytovateľa.
  • Ak Prevádzkovateľ využíva spravovanú fakturáciu tokenov Sprostredkovateľa, poskytovateľa vyberá Sprostredkovateľ a tento poskytovateľ je jeho ďalším sprostredkovateľom. Poskytovateľom v súčasnosti zapojeným v tejto funkcii je Anthropic PBC (Spojené štáty), pre inferenciu veľkých jazykových modelov, v rámci štandardných zmluvných doložiek a so zmluvným zákazom trénovať na údajoch, ktoré sú mu zasielané.

Prevádzkovateľ môže kedykoľvek priamo v Službe zistiť, ktorého poskytovateľa modelu používa každý z jeho agentov, a môže ho zmeniť.

Zmeny ďalších sprostredkovateľov

Sprostredkovateľ informuje Prevádzkovateľa e-mailom najmenej 30 dní pred pridaním alebo nahradením ďalšieho sprostredkovateľa. Prevádzkovateľ môže v rámci tejto 30-dňovej lehoty namietať z opodstatnených dôvodov súvisiacich s ochranou osobných údajov. Ak sa stranám nepodarí námietku vyriešiť, Prevádzkovateľ môže bez sankcie ukončiť dotknutú časť Služby a získať pomernú vrátku vopred zaplatených poplatkov.

9. Súčinnosť pri právach dotknutých osôb

S prihliadnutím na povahu spracúvania Sprostredkovateľ pomáha Prevádzkovateľovi prostredníctvom vhodných technických a organizačných opatrení, pokiaľ je to možné, pri plnení povinnosti Prevádzkovateľa reagovať na žiadosti o uplatnenie práv dotknutej osoby podľa kapitoly III GDPR.

Služba poskytuje Prevádzkovateľovi priamy prístup k Zákazníckym údajom, aby si osobné údaje mohol sám vyhľadať, exportovať, opraviť a vymazať. Ak si žiadosť napriek tomu vyžaduje súčinnosť Sprostredkovateľa, ten na ňu reaguje bez zbytočného odkladu, v každom prípade do 10 pracovných dní. Ak sa dotknutá osoba obráti priamo na Sprostredkovateľa v súvislosti so Zákazníckymi údajmi, Sprostredkovateľ na žiadosť vecne neodpovedá; bez zbytočného odkladu ju postúpi Prevádzkovateľovi.

10. Súčinnosť podľa článkov 32 až 36

Sprostredkovateľ pomáha Prevádzkovateľovi zabezpečiť súlad s povinnosťami podľa čl. 32 až 36 GDPR, s prihliadnutím na povahu spracúvania a informácie, ktoré má Sprostredkovateľ k dispozícii — najmä pokiaľ ide o bezpečnosť spracúvania, oznamovanie porušenia ochrany osobných údajov, informovanie dotknutých osôb, posúdenia vplyvu na ochranu osobných údajov a predchádzajúce konzultácie.

Porušenie ochrany osobných údajov

Sprostredkovateľ upovedomí Prevádzkovateľa bez zbytočného odkladu, v každom prípade do 48 hodín od momentu, keď sa dozvie o porušení ochrany osobných údajov týkajúcom sa Zákazníckych údajov. Oznámenie opisuje povahu porušenia, kategórie a približný počet dotknutých osôb a dotknutých záznamov, pravdepodobné dôsledky, prijaté alebo navrhované opatrenia a kontaktné miesto. Ak nie sú všetky informácie k dispozícii naraz, poskytujú sa postupne bez ďalšieho zbytočného odkladu. Sprostredkovateľ neoznamuje porušenie dozornému orgánu ani dotknutým osobám v mene Prevádzkovateľa, pokiaľ na to nedostane pokyn.

11. Vymazanie a vrátenie Zákazníckych údajov

Podľa výberu Prevádzkovateľa Sprostredkovateľ po skončení poskytovania služieb súvisiacich so spracúvaním vymaže alebo vráti všetky Zákaznícke údaje a vymaže existujúce kópie, pokiaľ právo Únie alebo členského štátu nevyžaduje uchovanie osobných údajov.

  • Počas 30 dní po skončení zmluvy môže Prevádzkovateľ exportovať Zákaznícke údaje zo Služby alebo požiadať o ich vrátenie v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte.
  • Sprostredkovateľ vymaže Zákaznícke údaje z produkčných systémov do 30 dní po uplynutí tejto lehoty na export.
  • Šifrované zálohy obsahujúce Zákaznícke údaje sa prepisujú v rámci ich bežnej rotácie, v každom prípade do 90 dní od vymazania z produkčných systémov.
  • Na písomnú žiadosť Sprostredkovateľ vymazanie písomne potvrdí.

12. Audity a informácie

Sprostredkovateľ sprístupňuje Prevádzkovateľovi všetky informácie potrebné na preukázanie súladu s čl. 28 GDPR a umožňuje vykonávanie auditov, vrátane kontrol, zo strany Prevádzkovateľa alebo iného audítora povereného Prevádzkovateľom, a poskytuje pri nich súčinnosť.

V praxi Sprostredkovateľ najprv poskytne svoju aktuálnu dokumentáciu technických a organizačných opatrení, zoznam ďalších sprostredkovateľov a písomné odpovede na bezpečnostný dotazník. Ak to na preukázanie súladu nepostačuje, Prevádzkovateľ môže s 30-dňovým písomným predstihom vykonať audit na mieste alebo na diaľku, najviac raz za kalendárny rok, pokiaľ nedošlo k porušeniu ochrany osobných údajov alebo si to nevyžaduje dozorný orgán. Audity prebiehajú počas pracovnej doby, nesmú neprimerane narúšať prevádzku Sprostredkovateľa a podliehajú povinnosti mlčanlivosti. Prevádzkovateľ znáša vlastné náklady na audit; Sprostredkovateľ znáša svoje vlastné náklady, s výnimkou prípadu, keď audit odhalí podstatné porušenie tejto DPA.

13. Medzinárodné prenosy

Sprostredkovateľ uchováva Zákaznícke údaje v pokoji v Nemecku. Prenosy ďalším sprostredkovateľom mimo Európskeho hospodárskeho priestoru, uvedeným v Prílohe III, sa uskutočňujú na základe štandardných zmluvných doložiek Európskej komisie (vykonávacie rozhodnutie (EÚ) 2021/914), modul tretí, pri ktorom Sprostredkovateľ koná ako sprostredkovateľ zapájajúci ďalšieho sprostredkovateľa, doplnených v prípade potreby o ďalšie záruky, a — ak je príjemca certifikovaný — na základe rozhodnutia o primeranosti pre rámec EU-US Data Privacy Framework.

Uzavretím tejto DPA Prevádzkovateľ poveruje Sprostredkovateľa, aby v mene a na účet Prevádzkovateľa uzavrel tieto štandardné zmluvné doložky s každým ďalším sprostredkovateľom.

14. Zodpovednosť za škodu

Zodpovednosť podľa tejto DPA sa riadi obmedzením zodpovednosti uvedeným vo Všeobecných obchodných podmienkach, s výnimkou toho, že nič neobmedzuje zodpovednosť ktorejkoľvek zo strán voči dotknutej osobe podľa čl. 82 GDPR ani voči dozornému orgánu.

15. Trvanie, rozhodné právo a kontakt

Táto DPA nadobúda účinnosť vznikom zmluvy Prevádzkovateľa na WorkAist Cloud a zostáva v platnosti dovtedy, kým Sprostredkovateľ spracúva Zákaznícke údaje. Riadi sa právom Portugalska a výlučnú právomoc majú súdy v Lisabone, bez toho, aby tým bol dotknutý čl. 79 GDPR.

Kontakt pre všetky záležitosti podľa tejto DPA: [email protected].