Podmínky zpracování
osobních údajů

1. Úvod

1.1. Tyto Podmínky zpracování osobních údajů (dále jen „Podmínky") upravují zpracování osobních údajů Poskytovatelem pro Zákazníka v souvislosti s poskytováním služby KlideQ.ai.

1.2. Tyto Podmínky představují současně Data Processing Agreement (DPA) podle čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679, obecného nařízení o ochraně osobních údajů (GDPR).

1.3. Tyto Podmínky jsou součástí Smlouvy uzavřené mezi Poskytovatelem a Zákazníkem.

1.4. Pokud má mezi stranami samostatně sjednaná smlouva o zpracování osobních údajů odchylnou úpravu, má taková dohoda přednost.

2. Role stran

2.1. Poskytovatel je:

a) správcem osobních údajů vztahujících se k Zákazníkovi, jeho kontaktním osobám, fakturaci, komunikaci, provozu účtu, bezpečnosti a plnění vlastních právních povinností, a

b) zpracovatelem osobních údajů, které Zákazník nebo jeho Uživatelé vloží do Aplikace jako součást Dat Zákazníka.

2.2. Zákazník je správcem osobních údajů obsažených v Datech Zákazníka.

3. Předmět, povaha a účel zpracování

3.1. Předmětem zpracování je poskytování Služby KlideQ.ai, zejména:

a) provoz a zpřístupnění Aplikace,

b) ukládání, organizace a zobrazování Dat Zákazníka,

c) zpracování promptů a odpovědí v rámci AI funkcí,

d) vyhledávání v dokumentech a legislativě,

e) kontrola interních předpisů,

f) technická podpora, zabezpečení, diagnostika, logování a prevence zneužití.

3.2. Povaha zpracování zahrnuje zejména shromáždění, uložení, strukturování, zpřístupnění, použití, kombinování, analýzu, omezení, výmaz a další operace nezbytné k poskytování Služby.

3.3. Účelem zpracování je výlučně plnění Smlouvy se Zákazníkem a poskytování Služby podle jeho pokynů.

4. Doba zpracování

4.1. Poskytovatel zpracovává osobní údaje po dobu trvání Smlouvy.

4.2. Po ukončení Smlouvy postupuje Poskytovatel podle VOP, zejména Data Zákazníka uchovává nejdéle 30 dnů, pokud není delší omezené uchování nutné z důvodu právní povinnosti, bezpečnosti, auditní stopy nebo ochrany právních nároků.

5. Kategorie osobních údajů a subjektů údajů

5.1. Zpracování se může týkat zejména těchto kategorií osobních údajů:

a) identifikační a kontaktní údaje uživatelů a kontaktních osob Zákazníka,

b) údaje o účtu, rolích, přístupech a autentizaci,

c) provozní a logovací údaje,

d) obsah dokumentů nahraných Zákazníkem, pokud obsahuje osobní údaje,

e) obsah promptů, dotazů a AI výstupů, pokud obsahuje osobní údaje.

5.2. Subjekty údajů mohou zahrnovat zejména:

a) zaměstnance a spolupracovníky Zákazníka,

b) kontaktní osoby Zákazníka,

c) další osoby uvedené v interních dokumentech nahraných Zákazníkem.

5.3. Zákazník nebude do Aplikace bez právního důvodu a bez nezbytnosti vkládat zvláštní kategorie osobních údajů ani jiné citlivé údaje; pokud tak přesto učiní, odpovídá za existenci odpovídajícího právního titulu a splnění všech souvisejících povinností.

6. Pokyny správce

6.1. Poskytovatel zpracovává osobní údaje pouze na základě dokumentovaných pokynů Zákazníka, kterými jsou zejména:

a) uzavřená Smlouva,

b) tyto Podmínky,

c) konfigurace a používání Služby Zákazníkem,

d) jednotlivé pokyny udělené prostřednictvím Aplikace nebo písemně.

6.2. Pokud Poskytovatel dospěje k názoru, že určitý pokyn porušuje GDPR nebo jiný použitelný právní předpis, upozorní na to Zákazníka bez zbytečného odkladu.

7. Mlčenlivost

7.1. Poskytovatel zajistí, aby osoby oprávněné zpracovávat osobní údaje byly vázány mlčenlivostí nebo zákonnou povinností mlčenlivosti.

8. Bezpečnost zpracování

8.1. Poskytovatel přijme a udržuje přiměřená technická a organizační opatření odpovídající rizikům zpracování.

8.2. Tato opatření mohou zahrnovat zejména:

a) řízení přístupových práv,

b) autentizaci a vícefaktorové ověření tam, kde je zavedeno,

c) logování přístupů a bezpečnostních událostí,

d) ochranu přenosu a ukládání dat,

e) pravidla pro zálohování, obnovu, monitoring a prevenci incidentů,

f) omezení přístupu pracovníků Poskytovatele podle principu need-to-know.

9. Subzpracovatelé

9.1. Zákazník uděluje Poskytovateli obecné oprávnění zapojit do zpracování osobních údajů další zpracovatele, pokud je to nezbytné pro poskytování Služby, její provoz, hosting, zabezpečení, monitoring, zasílání systémových e-mailů, billing nebo plnění souvisejících technických a provozních funkcí.

9.2. Poskytovatel zajistí, aby každý zapojený subzpracovatel byl vázán smluvními nebo jinými právně závaznými povinnostmi poskytujícími alespoň stejnou úroveň ochrany osobních údajů, jakou stanoví tyto Podmínky a použitelná právní úprava, zejména čl. 28 GDPR.

9.3. Poskytovatel odpovídá za jednání svých subzpracovatelů v rozsahu vyžadovaném použitelnými právními předpisy.

9.4. Mezi subzpracovatele Poskytovatele mohou zejména patřit:

a) Hetzner Online GmbH, jako poskytovatel cloudové infrastruktury, serverového hostingu, úložišť a databázového zázemí, na kterých jsou ukládána Data Zákazníka a související provozní data;

b) Stripe, jako poskytovatel platební a billing infrastruktury, v rozsahu údajů nezbytných pro realizaci plateb, správu platebních metod, fakturaci a související finanční operace; Stripe přitom může podle konkrétní role a účelu vystupovat jako zpracovatel i jako samostatný správce;

c) Better Stack, jako poskytovatel monitoringu, log managementu, incident managementu, uptime monitoringu nebo souvisejících observability služeb, a to v rozsahu provozních, technických a logovacích údajů, které mohou obsahovat osobní údaje, pokud jsou do těchto systémů přenášeny;

d) Sentry, jako poskytovatel error trackingu, aplikačního monitoringu a diagnostiky, a to v rozsahu technických, provozních a chybových dat, která mohou obsahovat osobní údaje, pokud jsou do těchto systémů přenášena;

e) Resend, jako poskytovatel infrastruktury pro odesílání automatizovaných e-mailů, a to v rozsahu kontaktních a komunikačních údajů nezbytných pro doručení systémových, transakčních a provozních e-mailů.

f) Neo4j, jako poskytovatel vektorové a grafové databázové infrastruktury využívané pro ukládání, indexaci, organizaci a vyhledávání dat v rozsahu nezbytném pro fungování Služby;

9.5. Poskytovatel nepředává poskytovatelům LLM modelů a AI routing infrastruktury osobní údaje Zákazníka nebo jeho Uživatelů záměrně jako samostatnou kategorii vstupních dat. Pokud však Uživatel do promptu, dotazu nebo jiného vstupu vloží osobní údaje, mohou být takové údaje v nezbytném rozsahu předány poskytovateli příslušného AI modelu nebo AI routing infrastruktury použité pro vygenerování odpovědi.

9.6. V případě použití AI infrastruktury třetích stran, včetně služby OpenRouter, platí, že Poskytovatel neusiluje o předávání osobních údajů prostřednictvím těchto služeb; Zákazník je však povinen zajistit, aby Uživatelé do AI vstupů nevkládali osobní údaje, pokud to není nezbytné a právně dovolené. Pokud Uživatel takové údaje do vstupu vloží, bere Zákazník na vědomí, že příslušný poskytovatel AI služby může vystupovat jako další příjemce, případně další zpracovatel, podle konkrétní technické a smluvní architektury dané služby.

9.7. Poskytovatel vede přiměřeně aktuální přehled subzpracovatelů a na odůvodněnou žádost Zákazníka mu poskytne informace o subzpracovatelích zapojených do zpracování osobních údajů v rozsahu potřebném pro doložení souladu s GDPR.

9.8. Pokud Poskytovatel zamýšlí zapojit nového subzpracovatele nebo nahradit stávajícího subzpracovatele v rozsahu, který může mít podstatný dopad na ochranu osobních údajů Zákazníka, zveřejní tuto změnu přiměřeným způsobem nebo o ní Zákazníka informuje. Zákazník je oprávněn proti takové změně vznést odůvodněnou námitku bez zbytečného odkladu.

9.9. Pokud je námitka Zákazníka důvodná a strany nenajdou přiměřené řešení, je Zákazník oprávněn ukončit využívání dotčené části Služby nebo Smlouvu ukončit ke konci aktuálního předplaceného období.

10. Předávání do třetích zemí

10.1. Pokud by v souvislosti s poskytováním Služby docházelo k předání osobních údajů mimo EU nebo EHP, Poskytovatel zajistí, aby takové předání proběhlo v souladu s GDPR a na základě odpovídajícího transferového mechanismu, zejména rozhodnutí Evropské komise o odpovídající ochraně (adequacy decision) podle čl. 45 GDPR nebo standardních smluvních doložek (Standard Contractual Clauses) podle čl. 46 odst. 2 písm. c) GDPR.

10.2. Pokud Poskytovatel využívá vlastní modely i modely třetích stran prostřednictvím AI routing infrastruktury nebo jiné obdobné služby, je povinen zajistit, aby případné přenosy a zapojení těchto poskytovatelů odpovídaly požadavkům GDPR.

11. Součinnost Poskytovatele

11.1. Poskytovatel poskytne Zákazníkovi přiměřenou součinnost potřebnou k:

a) vyřizování žádostí subjektů údajů,

b) plnění povinností podle čl. 32 až 36 GDPR,

c) prokazování souladu se zpracovatelskými povinnostmi podle čl. 28 GDPR.

11.2. Je-li součinnost nad rámec běžného provozu nebo podpory, může ji Poskytovatel poskytnout za přiměřenou úhradu.

12. Porušení zabezpečení osobních údajů

12.1. Poskytovatel oznámí Zákazníkovi porušení zabezpečení osobních údajů týkající se Dat Zákazníka bez zbytečného odkladu, nejpozději do 48 hodin od okamžiku, kdy se o porušení dozví.

12.2. Oznámení bude v přiměřeném rozsahu obsahovat známé informace o povaze incidentu, pravděpodobných dopadech a přijatých nebo navržených opatřeních.

13. Audity a informace

13.1. Poskytovatel poskytne Zákazníkovi na jeho odůvodněnou žádost informace potřebné k doložení souladu s těmito Podmínkami a s čl. 28 GDPR.

13.2. Ověření souladu bude primárně probíhat prostřednictvím dokumentace, písemných odpovědí, bezpečnostních a compliance podkladů, případně vzdáleného auditu nebo jednání na dálku.

13.3. Audit na místě lze požadovat pouze výjimečně, pokud dokumentační nebo vzdálená forma auditu zjevně nepostačuje a pokud je takový audit nezbytný a přiměřený s ohledem na povahu zpracování a rizika pro práva a svobody subjektů údajů.

13.4. Audit na místě je možný pouze po předchozí písemné dohodě stran, s přiměřeným předstihem, v běžné pracovní době a za podmínky, že nebude nepřiměřeně narušovat provoz Poskytovatele, ohrožovat bezpečnost Služby, zpřístupňovat obchodní tajemství Poskytovatele nebo práva jiných zákazníků.

13.5. Auditní právo podle tohoto článku se nevztahuje na fyzické prostory, infrastrukturu nebo interní systémy subzpracovatelů, ke kterým Poskytovatel nemá dispoziční oprávnění. Soulad subzpracovatelů může Poskytovatel dokládat zejména jejich smluvní dokumentací, certifikacemi, auditními zprávami, bezpečnostními reporty nebo jinými přiměřenými doklady.

13.6. Není-li dán důvod související se závažným bezpečnostním incidentem nebo právní povinností, lze audit provést nejvýše jednou za 12 měsíců.

13.7. Náklady spojené s auditem nese Zákazník, pokud se strany písemně nedohodnou jinak.

14. Vrácení a výmaz dat

14.1. Po ukončení Smlouvy Poskytovatel na základě včasné žádosti Zákazníka umožní export dat za podmínek dle VOP.

14.2. Po uplynutí příslušné lhůty Poskytovatel Data Zákazníka vymaže, pokud právní předpis nevyžaduje jejich další uchování.

15. Odpovědnost

15.1. Odpovědnost stran za porušení těchto Podmínek se řídí Smlouvou a VOP, aniž jsou dotčena kogentní ustanovení GDPR.

16. Závěrečná ustanovení

16.1. Tyto Podmínky se řídí právem České republiky a přímo použitelným právem Evropské unie, zejména GDPR.

16.2. V případě rozporu mezi těmito Podmínkami a VOP mají ve věcech zpracování osobních údajů přednost tyto Podmínky.