Seznam dílčích zpracovatelů RealtorOS
Tento dokument obsahuje aktuální seznam dílčích zpracovatelů, které společnost ANELA APARTMENTS s.r.o., IČO 04601106, se sídlem Valentova 1737/11, Chodov, 149 00 Praha 4, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod sp. zn. C 280596, e-mail konzultace@anela.digital (dále jen "Poskytovatel"), zapojuje do zpracování osobních údajů při poskytování webové aplikace RealtorOS provozované na internetové adrese sdělené Poskytovatelem (dále jen "Aplikace").
Dokument tvoří přílohu Zpracovatelské smlouvy uzavírané mezi Poskytovatelem (jako zpracovatelem) a Uživatelem Aplikace (jako správcem osobních údajů svých klientů) a je nedílnou součástí smluvní dokumentace ke službě RealtorOS.
1. Úvodní ustanovení a mechanismus změn
1.1 Uživatel udělil Poskytovateli ve Zpracovatelské smlouvě obecné povolení k zapojení dílčích zpracovatelů ve smyslu čl. 28 odst. 2 nařízení (EU) 2016/679 (dále jen "GDPR"). Tento dokument obsahuje úplný seznam dílčích zpracovatelů, na které se obecné povolení vztahuje.
1.2 Poskytovatel informuje Uživatele o veškerých zamýšlených změnách tohoto seznamu, tedy o přijetí nového dílčího zpracovatele, o nahrazení stávajícího dílčího zpracovatele i o podstatné změně u stávajícího dílčího zpracovatele (zejména o změně umístění zpracování do třetí země nebo o změně či pozbytí mechanismu předání dle kapitoly V GDPR), nejméně 14 dní předem. Oznámení Poskytovatel zasílá vždy e-mailem na adresu Uživatele; doplňkově je zobrazuje v Aplikaci. Lhůta 14 dní se počítá ode dne odeslání e-mailu.
1.3 Uživatel má právo vůči zamýšlené změně vznést námitku za podmínek a s důsledky stanovenými ve Zpracovatelské smlouvě. Nevznese-li Uživatel námitku ve lhůtě dle Zpracovatelské smlouvy, je Poskytovatel oprávněn zamýšlenou změnu provést. Nesouhlasí-li Uživatel se zamýšlenou změnou, má právo změnu odmítnout a Zpracovatelskou smlouvu, resp. smlouvu o užívání Aplikace, z tohoto důvodu vypovědět přede dnem účinnosti změny (§ 1752 odst. 1 občanského zákoníku).
1.4 Se všemi dílčími zpracovateli uvedenými v čl. 2 až 4 tohoto dokumentu má Poskytovatel uzavřenou smlouvu, která dílčímu zpracovateli ukládá povinnosti ochrany osobních údajů odpovídající povinnostem sjednaným ve Zpracovatelské smlouvě, zejména povinnost zavést vhodná technická a organizační opatření (čl. 28 odst. 4 GDPR). Neplní-li dílčí zpracovatel své povinnosti v oblasti ochrany osobních údajů, odpovídá Uživateli za plnění povinností dílčího zpracovatele i nadále plně Poskytovatel.
1.5 Zpracování osobních údajů probíhá primárně na území Evropské unie. Dochází-li u konkrétního dílčího zpracovatele k předání osobních údajů do třetí země, je u něj níže uveden mechanismus předání, kterým je předání kryto dle kapitoly V GDPR (rozhodnutí o odpovídající ochraně dle čl. 45 GDPR, zejména EU-U.S. Data Privacy Framework, dále jen "DPF", nebo standardní smluvní doložky dle čl. 46 odst. 2 písm. c) GDPR, dále jen "SCC").
2. Standardní dílčí zpracovatelé
Dílčí zpracovatelé uvedení v tomto článku jsou do zpracování zapojeni vždy, neboť tvoří základní technickou infrastrukturu Aplikace.
2.1 Supabase, Inc., se sídlem ve Spojených státech amerických (San Francisco, Kalifornie)
- Role a účel zpracování: provoz databáze Aplikace a autentizace uživatelů (ukládání dat zakázek, nemovitostí, klientů, úkolů, dokumentů a uživatelských účtů).
- Kategorie osobních údajů a subjektů údajů: identifikační a kontaktní údaje klientů Uživatele, údaje o nemovitostech a zakázkách, obsah dokumentů a úkolů, obsah konverzací s AI týmem, přihlašovací a účetní údaje uživatelských účtů; subjekty údajů jsou klienti Uživatele a uživatelé Aplikace.
- Umístění zpracování: Evropská unie - infrastruktura AWS, region eu-central-1 (Frankfurt nad Mohanem, Německo).
- Mechanismus předání: data jsou zpracovávána v EU regionu; vzhledem k tomu, že jde o společnost se sídlem v USA, je případné předání, včetně vzdáleného přístupu z území USA (podpora, administrace), kryto zárukami dle kapitoly V GDPR - SCC inkorporovanými ve zpracovatelské smlouvě společnosti Supabase, případně mechanismem DPF, je-li certifikace společnosti Supabase, Inc. aktuálně vedena v úředním seznamu účastníků DPF.
2.2 Google Ireland Limited, se sídlem Gordon House, Barrow Street, Dublin 4, Irsko (služby Google Cloud)
- Role a účel zpracování: provoz AI modelů Aplikace prostřednictvím služby Vertex AI (modely Gemini) pro funkce AI týmu specialistů, AI vytěžování dokumentů a denního AI briefingu; služba Cloud Text-to-Speech pro hlasový výstup.
- Kategorie osobních údajů a subjektů údajů: obsah konverzací s AI týmem a hlasových vstupů, obsah dokumentů předaných k AI vytěžování a podklady denního AI briefingu (mohou obsahovat identifikační a kontaktní údaje klientů Uživatele a údaje o nemovitostech a zakázkách); subjekty údajů jsou klienti Uživatele a uživatelé Aplikace.
- Umístění zpracování: Evropská unie - lokace europe-west4, resp. EU multi-region.
- Mechanismus předání: smluvním partnerem je evropská společnost a zpracování probíhá v EU; případná incidentální předání v rámci skupiny Google jsou kryta SCC inkorporovanými v Google Cloud Data Processing Addendum.
2.3 Vercel Inc., se sídlem ve Spojených státech amerických (San Francisco, Kalifornie)
- Role a účel zpracování: hosting Aplikace (provoz aplikačních serverů a doručování obsahu).
- Kategorie osobních údajů a subjektů údajů: osobní údaje přenášené při užívání Aplikace, které technicky procházejí hostingovou infrastrukturou, a technické údaje o síťových požadavcích (zejména IP adresy); subjekty údajů jsou klienti Uživatele a uživatelé Aplikace.
- Umístění zpracování: Evropská unie - region fra1 (Frankfurt nad Mohanem, Německo).
- Mechanismus předání: data jsou zpracovávána v EU regionu; vzhledem k tomu, že jde o společnost se sídlem v USA, je případné předání, včetně vzdáleného přístupu z území USA, kryto mechanismem DPF, podpůrně SCC.
2.4 Upstash, Inc., se sídlem ve Spojených státech amerických (Kalifornie)
- Role a účel zpracování: provoz technologie Redis pro technické účely Aplikace (zejména řízení technických limitů a rychlostních omezení požadavků); technická vrstva pracuje primárně s identifikátory uživatelských účtů a organizací a dílčí zpracovatel je v seznamu uveden z opatrnosti pro případ, že by jí procházely i další osobní údaje.
- Kategorie osobních údajů a subjektů údajů: technické identifikátory uživatelských účtů, organizací a požadavků; subjekty údajů jsou uživatelé Aplikace.
- Umístění zpracování: Evropská unie - EU region.
- Mechanismus předání: data jsou zpracovávána v EU regionu; vzhledem k tomu, že jde o společnost se sídlem v USA, je případné předání, včetně vzdáleného přístupu z území USA, kryto mechanismem DPF, podpůrně SCC.
3. Volitelní dílčí zpracovatelé
3.1 Dílčí zpracovatel uvedený v tomto článku není ve výchozím stavu do zpracování zapojen. Zapojí se výhradně na základě dokumentovaného pokynu Uživatele ve smyslu čl. 28 odst. 3 písm. a) GDPR. Pokyn za Uživatele uděluje fyzická osoba, které Uživatel v Aplikaci přidělil administrátorské oprávnění pro svou organizaci, a to výslovnou aktivací funkce v nastavení Aplikace (opt-in na úrovni organizace, výchozí stav vypnuto); jednání této osoby se považuje za jednání Uživatele. Deaktivací funkce v Aplikaci Uživatel pokyn odvolává. Po deaktivaci funkce, resp. po ukončení Zpracovatelské smlouvy, Poskytovatel zajistí výmaz osobních údajů uložených u tohoto dílčího zpracovatele v souladu se zpracovatelskou smlouvou s ním uzavřenou, nebrání-li tomu právní povinnost uchování.
3.2 HeyGen Technology Inc., se sídlem 12130 Millennium Drive STE 300, Los Angeles, CA 90094, Spojené státy americké
- Role a účel zpracování: generování fotorealistického video avatara AI specialistů v Aplikaci (funkce dostupná v tarifu MAX).
- Kategorie osobních údajů a subjektů údajů: obsah textových vstupů předávaných pro generování video odpovědí (může zahrnovat osobní údaje klientů Uživatele zmíněné v konverzaci s AI týmem, zejména identifikační a kontaktní údaje a údaje o nemovitostech a zakázkách) a technické identifikátory relace; subjekty údajů jsou klienti Uživatele a uživatelé Aplikace.
- Umístění zpracování: Spojené státy americké; společnost HeyGen ukládá data výhradně v USA.
- Mechanismus předání: společnost HeyGen Technology Inc. je aktivním účastníkem EU-U.S. Data Privacy Framework (certifikace je udržována průběžně od 30. 10. 2024 a každoročně obnovována, pokrývá non-HR data; dodržování vymáhá americká Federální obchodní komise (FTC), mimosoudní řešení stížností zajišťuje BBB National Programs); předání je tedy kryto rozhodnutím o odpovídající ochraně dle čl. 45 GDPR. Aktuální stav certifikace lze kdykoli ověřit v úředním seznamu účastníků DPF (www.dataprivacyframework.gov); Poskytovatel platnost certifikace průběžně sleduje. Zpracovatelská smlouva společnosti HeyGen navíc inkorporuje SCC jako záložní mechanismus, který se aktivuje pro případ pozbytí platnosti certifikace DPF.
3.3 Upozornění: aktivací funkce video avatara dochází k předání osobních údajů v rozsahu dle čl. 3.2 mimo Evropskou unii, do Spojených států amerických. Na tuto skutečnost je Uživatel upozorněn rovněž přímo v Aplikaci před aktivací funkce. Uživatel jako správce je povinen toto předání do třetí země promítnout do informování svých klientů dle čl. 13 odst. 1 písm. f) GDPR (informace o předání a o vhodných zárukách). Bez aktivace této funkce žádná data do společnosti HeyGen předávána nejsou.
4. Připravovaní dílčí zpracovatelé
4.1 Poskytovatel připravuje zapojení následujícího dílčího zpracovatele. Před jeho skutečným zapojením do zpracování bude Uživatel informován postupem dle čl. 1.2 tohoto dokumentu (oznámení nejméně 14 dní předem s právem námitky dle Zpracovatelské smlouvy).
4.2 Resend, Inc., se sídlem ve Spojených státech amerických
- Role a účel zpracování: odesílání transakčních e-mailů Aplikace (zejména notifikace a systémová oznámení).
- Kategorie osobních údajů a subjektů údajů: e-mailové adresy uživatelů Aplikace a obsah transakčních e-mailů; subjekty údajů jsou uživatelé Aplikace.
- Umístění zpracování a mechanismus předání: budou upřesněny v oznámení o zapojení dílčího zpracovatele; Poskytovatel zajistí, aby případné předání do třetí země bylo kryto zárukami dle kapitoly V GDPR.
5. Příjemce mimo režim Zpracovatelské smlouvy
5.1 Pro úplnost a transparentnost Poskytovatel uvádí, že pro zpracování plateb za předplatné Aplikace, správu opakovaných plateb a vystavování faktur využívá společnost Stripe Payments Europe, Limited, se sídlem The One Building, 1 Grand Canal Street Lower, Dublin 2, Irsko.
5.2 Společnost Stripe zpracovává výhradně platební a fakturační údaje Uživatele, tedy údaje, u nichž je Poskytovatel v postavení správce osobních údajů; není proto dílčím zpracovatelem osobních údajů klientů Uživatele a nevztahuje se na ni režim Zpracovatelské smlouvy ani prohlášení dle čl. 1.4 tohoto dokumentu. Pro samotné provedení platebních transakcí vystupuje společnost Stripe zčásti jako samostatný správce. Podrobnosti o tomto zpracování obsahují Zásady zpracování osobních údajů Poskytovatele; případná předání v rámci skupiny Stripe jsou kryta zárukami dle kapitoly V GDPR (DPF / SCC) dle dokumentace společnosti Stripe.
6. Závěrečná ustanovení
6.1 Aktuální znění tohoto seznamu je Uživateli trvale dostupné v Aplikaci a na internetových stránkách Poskytovatele. Dotazy ke zpracování osobních údajů lze zasílat na e-mail konzultace@anela.digital.
6.2 Datum poslední aktualizace tohoto seznamu: 18. 7. 2026.
Verze 1.0 - 18. 7. 2026. Tento dokument je pracovní návrh připravený s pomocí AI jako podklad pro advokátní revizi; do jejího dokončení se použije přiměřeně.