Zpracovatelská smlouva (Příloha č. 1 Všeobecných obchodních podmínek)
Tato zpracovatelská smlouva (dále jen "Smlouva" nebo "DPA") je uzavírána podle čl. 28 odst. 3 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen "GDPR") mezi:
- Poskytovatelem: ANELA APARTMENTS s.r.o., IČO 04601106, se sídlem Valentova 1737/11, Chodov, 149 00 Praha 4, zapsanou v obchodním rejstříku vedeném Městským soudem v Praze pod sp. zn. C 280596, e-mail konzultace@anela.digital (dále jen "Poskytovatel" nebo "Zpracovatel"), a
- Uživatelem: podnikatelem (realitním makléřem nebo realitní kanceláří), který s Poskytovatelem uzavřel smlouvu o užívání služby RealtorOS podle Všeobecných obchodních podmínek (dále jen "VOP"), a to v postavení správce osobních údajů (dále jen "Uživatel" nebo "Správce").
Tato Smlouva tvoří Přílohu č. 1 VOP a je jejich nedílnou součástí. Pojmy psané s velkým počátečním písmenem, které nejsou definovány v této Smlouvě, mají význam stanovený ve VOP. "Aplikací" se rozumí webová aplikace RealtorOS provozovaná na internetové adrese sdělené Poskytovatelem.
1. Úvodní ustanovení a role stran
1.1 Uživatel při své podnikatelské činnosti (zprostředkování realitních obchodů) shromažďuje a zpracovává osobní údaje svých klientů a dalších fyzických osob a určuje účely a prostředky tohoto zpracování. Ve vztahu k těmto osobním údajům je Uživatel správcem ve smyslu čl. 4 bodu 7 GDPR.
1.2 Poskytovatel v rámci poskytování Aplikace zpracovává tyto osobní údaje pro Uživatele a podle jeho pokynů. Ve vztahu k těmto osobním údajům je Poskytovatel zpracovatelem ve smyslu čl. 4 bodu 8 GDPR.
1.3 Osobní údaje, které Uživatel nebo osoby jednající za Uživatele vloží do Aplikace nebo které v Aplikaci vzniknou zpracováním takto vložených údajů (například výstupy AI vytěžování dokumentů, záznamy o zakázkách, klientech a úkolech), se pro účely této Smlouvy označují jako "Klientská data".
1.4 Tato Smlouva se vztahuje výhradně na zpracování Klientských dat. Nevztahuje se na osobní údaje, u nichž je Poskytovatel sám správcem, zejména na údaje o uživatelských účtech, fakturační a platební údaje a provozní a telemetrické údaje o užívání Aplikace; zpracování těchto údajů upravují Zásady zpracování osobních údajů Poskytovatele.
1.5 Uzavřením smlouvy o užívání Aplikace podle VOP (zejména dokončením registrace a akceptací VOP v elektronické podobě) je mezi stranami uzavřena i tato Smlouva. Elektronická forma uzavření splňuje požadavek písemné formy podle čl. 28 odst. 9 GDPR.
2. Předmět, doba, povaha a účel zpracování
2.1 Předmětem zpracování jsou Klientská data, tedy osobní údaje vymezené v článku 3 této Smlouvy, které Uživatel vkládá do Aplikace nebo které v Aplikaci vznikají při jejím užívání.
2.2 Dobou zpracování je doba trvání smlouvy o užívání Aplikace podle VOP. Povinnosti Zpracovatele podle této Smlouvy trvají i po skončení smlouvy, a to až do úplného výmazu nebo vrácení Klientských dat podle článku 11 této Smlouvy.
2.3 Povahou zpracování je zejména shromažďování, zaznamenávání, uspořádávání, strukturování, ukládání, vyhledávání, nahlížení, používání, analýza prostřednictvím AI funkcí Aplikace, zálohování, výmaz a likvidace, prováděné automatizovaně prostřednictvím Aplikace a její technické infrastruktury.
2.4 Účelem zpracování je poskytování Aplikace Uživateli v rozsahu jejích funkcí, zejména:
- evidence zakázek, nemovitostí, klientů a úkolů,
- komunikace s AI týmem specialistů (CEO agent, AI Právník, AI Marketér, AI Asistentka) prostřednictvím chatu, hlasového ovládání a video avatara,
- AI vytěžování dokumentů a práce s obsahem dokumentů,
- denní AI briefing, newsroom a notifikace,
- evidence financí a nákladů souvisejících se zakázkami.
2.5 Zpracovatel zpracovává Klientská data výhradně za účelem uvedeným v odst. 2.4. Zpracovatel nepoužívá Klientská data pro vlastní účely, zejména je nepoužívá k trénování vlastních ani cizích AI modelů nad rámec poskytnutí funkce Aplikace Uživateli. Výhradně na základě dokumentovaného pokynu Správce podle odst. 4.2 a 4.5 této Smlouvy je Zpracovatel oprávněn Klientská data anonymizovat (automatizovaným odstraněním osobních údajů postupem podle odst. 4.5) a výhradně takto anonymizované údaje, které již nejsou osobními údaji ve smyslu čl. 4 bodu 1 a recitálu 26 GDPR, užít pro vývoj a zlepšování AI funkcí Aplikace; u Tarifů MAX a INDIVIDUAL se tento pokyn neuplatní a Zpracovatel anonymizaci Klientských dat za tímto účelem neprovádí.
2.6 Informování o interakci s AI systémem a strojově čitelné označování syntetického audio a video obsahu (včetně výstupů video avatara) podle čl. 50 nařízení Evropského parlamentu a Rady (EU) 2024/1689 (akt o umělé inteligenci) zajišťuje Poskytovatel jako součást funkcí Aplikace; podrobnosti upravují VOP.
3. Kategorie subjektů údajů a kategorie osobních údajů
3.1 Kategorie subjektů údajů:
- klienti Uživatele (prodávající, kupující, pronajímatelé, nájemci),
- protistrany a další osoby zúčastněné na realitních transakcích (například spoluvlastníci, manželé, zástupci, advokáti a notáři protistran),
- zájemci o nemovitosti a poptávající,
- případně další fyzické osoby, jejichž údaje Uživatel do Aplikace vloží v souvislosti se svou realitní činností.
3.2 Kategorie osobních údajů:
- identifikační údaje (jméno, příjmení, datum narození, případně rodné číslo, číslo a druh průkazu totožnosti v rozsahu, v jakém je Uživatel povinen zpracovávat jako povinná osoba podle zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu),
- kontaktní údaje (adresa, e-mail, telefon),
- údaje o nemovitostech a transakcích (vlastnické a užívací vztahy, kupní ceny, nájemné, stav a průběh zakázky),
- obsah dokumentů vložených do Aplikace a údaje z nich vytěžené (například smlouvy, výpisy, prohlášení),
- záznamy komunikace a poznámky Uživatele týkající se subjektů údajů.
3.3 Zákaz zvláštních kategorií údajů. Aplikace není určena ke zpracování zvláštních kategorií osobních údajů podle čl. 9 GDPR ani osobních údajů týkajících se rozsudků v trestních věcech a trestných činů podle čl. 10 GDPR. Uživatel se zavazuje takové údaje do Aplikace nevkládat. Vloží-li je Uživatel přesto, činí tak na vlastní odpovědnost; Zpracovatel je oprávněn Uživatele vyzvat k jejich odstranění a Uživatel je povinen výzvě bez zbytečného odkladu vyhovět.
4. Pokyny Správce (čl. 28 odst. 3 písm. a) GDPR)
4.1 Zpracovatel zpracovává Klientská data pouze na základě doložených pokynů Správce, a to i pokud jde o předání osobních údajů do třetí země nebo mezinárodní organizaci, ledaže mu toto zpracování ukládá právo Evropské unie nebo členského státu, které se na Zpracovatele vztahuje; v takovém případě Zpracovatel Správce informuje o tomto právním požadavku před zpracováním, ledaže by dané právo takové informování zakazovalo z důležitých důvodů veřejného zájmu.
4.2 Za doložené pokyny Správce se považují:
- tato Smlouva a VOP,
- užívání Aplikace Správcem a osobami jednajícími za Správce, tedy zejména vložení Klientských dat do Aplikace a použití konkrétní funkce Aplikace na tato data (například spuštění AI vytěžení dokumentu nebo zadání dotazu AI specialistovi),
- výslovné pokyny udělené Správcem v rozhraní Aplikace, zejména aktivace volitelných funkcí správcovským účtem Správce (například aktivace video avatara HeyGen podle odst. 8.3 této Smlouvy),
- volba Tarifu TRIAL, START nebo PRO provedená Správcem v Aplikaci (při registraci nebo při pozdější změně Tarifu), která představuje dokumentovaný pokyn Správce k anonymizaci Klientských dat podle odst. 2.5 této Smlouvy, a to v rozsahu a za podmínek podle odst. 4.5,
- jiné písemné pokyny Správce doručené Zpracovateli, jsou-li technicky a organizačně proveditelné v rámci funkcí Aplikace.
4.3 Zpracovatel neprodleně informuje Správce, pokud podle jeho názoru určitý pokyn porušuje GDPR, jiné předpisy Evropské unie nebo České republiky v oblasti ochrany osobních údajů. Do vyjasnění je Zpracovatel oprávněn provedení takového pokynu pozastavit.
4.4 Pokyny nad rámec funkcí Aplikace a této Smlouvy, které pro Zpracovatele znamenají dodatečné náklady, mohou strany sjednat za úplatu.
4.5 Dokumentovaný pokyn k anonymizaci. Volbou Tarifu TRIAL, START nebo PRO uděluje Správce Zpracovateli dokumentovaný pokyn ve smyslu čl. 28 odst. 3 písm. a) GDPR k anonymizaci Klientských dat podle odst. 2.5 této Smlouvy. Pro tento pokyn platí:
- pokyn zahrnuje automatizované odstranění osobních údajů z obsahu vzniklého užíváním Aplikace (zejména z konverzací s AI specialisty, výstupů AI funkcí a údajů vytěžených z dokumentů), a to zejména jmen a příjmení, rodných čísel, kontaktních údajů, čísel bankovních účtů a čísel listů vlastnictví a parcel; adresy nemovitostí se redukují na úroveň obce,
- výhradně takto anonymizované údaje se ukládají do odděleného korpusu bez vazby na Správce, jeho organizaci či uživatelské účty a bez možnosti zpětného přiřazení ke konkrétnímu subjektu údajů; nepodaří-li se anonymizaci úspěšně provést, záznam se do korpusu neuloží,
- korpus anonymizovaných údajů je uchováván výhradně na území Evropské unie,
- anonymizované údaje smí Zpracovatel užít výhradně pro vývoj a zlepšování AI funkcí Aplikace,
- pokyn se neuplatní u Tarifů MAX a INDIVIDUAL; Správce jej může kdykoli ukončit přechodem na Tarif MAX nebo INDIVIDUAL, a to s účinky do budoucna - od účinnosti změny Tarifu Zpracovatel neprovádí další anonymizaci Klientských dat podle odst. 2.5,
- údaje anonymizované před ukončením pokynu nelze vzhledem k absenci jakékoli vazby na Správce či subjekty údajů zpětně dohledat, a tedy ani jednotlivě odstranit; takové údaje již nejsou osobními údaji ani Klientskými daty (odst. 11.6).
5. Důvěrnost (čl. 28 odst. 3 písm. b) GDPR)
5.1 Zpracovatel zajistí, aby se osoby oprávněné zpracovávat Klientská data (zaměstnanci a spolupracující osoby Zpracovatele) zavázaly k mlčenlivosti, nevztahuje-li se na ně zákonná povinnost mlčenlivosti.
5.2 Závazek mlčenlivosti trvá i po skončení pracovního či jiného vztahu těchto osob ke Zpracovateli a po skončení této Smlouvy.
5.3 Přístup ke Klientským datům mají pouze osoby, které jej nezbytně potřebují pro plnění této Smlouvy (zásada need-to-know), a pouze v nezbytném rozsahu.
6. Zabezpečení zpracování (čl. 28 odst. 3 písm. c) a čl. 32 GDPR)
6.1 Zpracovatel s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede a udržuje vhodná technická a organizační opatření k zajištění úrovně zabezpečení odpovídající danému riziku podle čl. 32 GDPR.
6.2 Zpracovatel zavádí zejména tato opatření:
- šifrování dat při přenosu (TLS) i při uložení (šifrování na úrovni databáze a úložiště),
- izolace tenantů na úrovni databáze prostřednictvím Row Level Security (RLS), která zajišťuje, že data jednoho Uživatele nejsou přístupná jiným Uživatelům,
- řízení přístupů: autentizace uživatelů, oprávnění podle rolí, přístup zaměstnanců Zpracovatele k produkčním datům pouze v nezbytných případech a s auditní stopou,
- zálohování Klientských dat a postupy obnovy pro zajištění dostupnosti a odolnosti systémů,
- uložení dat v Evropské unii: primární databáze a úložiště v regionu AWS eu-central-1 (Frankfurt), AI zpracování v EU lokalitách Google Cloud (europe-west4 / EU multi-region), hosting v regionu Frankfurt (fra1),
- pravidelné testování, posuzování a hodnocení účinnosti zavedených opatření a jejich aktualizace podle vývoje rizik.
6.3 Zpracovatel je oprávněn zavedená opatření průběžně měnit a rozvíjet, nesmí však jednostranně snížit celkovou úroveň zabezpečení sjednanou touto Smlouvou.
6.4 Správce bere na vědomí, že odpovídá za bezpečné nastavení na své straně, zejména za správu přístupových údajů svých uživatelských účtů, přidělování rolí osobám jednajícím za Správce a za bezodkladné odebrání přístupu osobám, které již za Správce nejednají.
7. Dílčí zpracovatelé (čl. 28 odst. 2 a 3 písm. d) a odst. 4 GDPR)
7.1 Správce uděluje Zpracovateli obecné povolení k zapojení dalších zpracovatelů (dále jen "dílčí zpracovatelé") do zpracování Klientských dat.
7.2 Aktuální seznam dílčích zpracovatelů, včetně jejich úplné totožnosti (právní forma a sídlo), role, lokality zpracování a případného mechanismu předání do třetí země, je uveden v dokumentu Seznam dílčích zpracovatelů, který je dostupný v Aplikaci a na webových stránkách Poskytovatele. Ke dni účinnosti této Smlouvy zahrnuje seznam zejména: Supabase, Inc. (se sídlem v USA; databáze a autentizace, AWS eu-central-1 Frankfurt), Google Cloud / Google Ireland Ltd. (se sídlem v Irsku; AI modely Vertex AI Gemini a Cloud Text-to-Speech, EU lokace), Vercel Inc. (se sídlem v USA; hosting, region Frankfurt fra1), Upstash Inc. (se sídlem v USA; Redis, EU region) a volitelně HeyGen Technology Inc. (se sídlem v USA; video avatar, pouze při aktivaci podle odst. 8.3). Společnost Stripe Payments Europe Ltd. zpracovává výhradně fakturační a platební údaje, u nichž je Poskytovatel správcem (odst. 1.4); není proto dílčím zpracovatelem Klientských dat a je uvedena jako příjemce v Zásadách zpracování osobních údajů.
7.3 Oznámení změn. Zpracovatel informuje Správce o veškerých zamýšlených změnách týkajících se přijetí dalších dílčích zpracovatelů nebo jejich nahrazení, a to nejméně 14 dní předem e-mailem na adresu Správce, a je-li to možné, též oznámením v Aplikaci.
7.4 Právo námitky. Správce je oprávněn proti zamýšlené změně vznést ve lhůtě podle odst. 7.3 odůvodněnou námitku z důvodů ochrany osobních údajů. Strany vyvinou úsilí k nalezení řešení (například odklad nasazení, náhradní řešení, technické omezení). Nepodaří-li se námitku vyřešit do dne účinnosti změny, je Správce oprávněn smlouvu o užívání Aplikace vypovědět s účinností přede dnem nasazení nového dílčího zpracovatele; do skončení výpovědní doby Zpracovatel nezapojí nového dílčího zpracovatele do zpracování Klientských dat tohoto Správce, je-li to technicky proveditelné, jinak ke dni účinnosti výpovědi zpracování ukončí. Při výpovědi podle tohoto odstavce vrátí Poskytovatel Správci poměrnou část předplacené úplaty připadající na nevyčerpané období po účinnosti výpovědi; podrobnosti vypořádání upravují VOP.
7.5 Přenesení povinností (flow-down). Zapojí-li Zpracovatel dílčího zpracovatele, uloží mu smlouvou stejné povinnosti na ochranu osobních údajů, jaké jsou uvedeny v této Smlouvě, zejména poskytnutí dostatečných záruk zavedení vhodných technických a organizačních opatření. Neplní-li dílčí zpracovatel své povinnosti v oblasti ochrany údajů, odpovídá Správci za plnění jeho povinností i nadále plně Zpracovatel.
8. Předání do třetích zemí
8.1 Standardem je zpracování v Evropské unii. Klientská data jsou standardně ukládána a zpracovávána výhradně v datových centrech na území Evropské unie (viz odst. 6.2).
8.2 Technické výjimky. U dílčích zpracovatelů Supabase, Inc., Vercel Inc. a Upstash Inc. (společnosti se sídlem v USA provozující pro Aplikaci infrastrukturu v EU regionech) nelze vyloučit vzdálený přístup z USA k datům zpracovávaným v EU regionech, včetně Klientských dat. Tato předání jsou kryta rozhodnutím o odpovídající ochraně podle čl. 45 GDPR (EU-U.S. Data Privacy Framework) a doplňkově standardními smluvními doložkami podle čl. 46 odst. 2 písm. c) GDPR; aktuální mechanismus předání u jednotlivých dílčích zpracovatelů je uveden v Seznamu dílčích zpracovatelů.
8.3 Volitelný dílčí zpracovatel HeyGen. Funkce fotorealistického video avatara je zajišťována společností HeyGen Technology Inc., 12130 Millennium Drive STE 300, Los Angeles, CA 90094, USA, která data ukládá výhradně na území USA. Pro tuto funkci platí:
- funkce je ve výchozím stavu vypnuta a Zpracovatel bez jejího zapnutí žádná Klientská data společnosti HeyGen nepředává,
- aktivace funkce výslovným úkonem správcovského účtu Správce v Aplikaci představuje dokumentovaný pokyn Správce k předání osobních údajů do třetí země ve smyslu čl. 28 odst. 3 písm. a) GDPR a odst. 4.2 této Smlouvy,
- předání je kryto rozhodnutím o odpovídající ochraně podle čl. 45 GDPR: HeyGen Technology Inc. je aktivním certifikovaným účastníkem EU-U.S. Data Privacy Framework (certifikace pokrývá non-HR data; dodržování vymáhá Federal Trade Commission, nezávislým orgánem pro stížnosti je BBB National Programs); aktuální stav a období certifikace jsou uvedeny v Seznamu dílčích zpracovatelů; zpracovatelská smlouva HeyGen navíc inkorporuje standardní smluvní doložky podle čl. 46 odst. 2 písm. c) GDPR jako záložní mechanismus pro případ, že uvedené rozhodnutí pozbude platnosti nebo HeyGen přestane být certifikovaným účastníkem EU-U.S. Data Privacy Framework,
- Zpracovatel průběžně ověřuje trvání certifikace HeyGen v EU-U.S. Data Privacy Framework; zanikne-li certifikace nebo rozhodnutí podle čl. 45 GDPR, Zpracovatel o tom Správce bez zbytečného odkladu informuje a zajistí další předávání na základě standardních smluvních doložek podle čl. 46 odst. 2 písm. c) GDPR, jinak předávání pozastaví do doby zajištění jiného nástroje podle kapitoly V GDPR,
- Správce před aktivací posoudí, zda je předání údajů jeho klientů společnosti HeyGen vhodné s ohledem na povahu údajů a jeho povinnosti správce; za toto posouzení a za rozhodnutí o aktivaci odpovídá Správce,
- Správce může funkci kdykoli deaktivovat; deaktivací se ukončí další předávání Klientských dat společnosti HeyGen.
8.4 Jiná předání Klientských dat do třetích zemí Zpracovatel neprovádí, ledaže by k nim byl povinen podle práva Evropské unie nebo členského státu (odst. 4.1), nebo by šlo o nového dílčího zpracovatele oznámeného postupem podle článku 7 a předání by bylo kryto některým z nástrojů kapitoly V GDPR.
9. Součinnost při výkonu práv subjektů údajů (čl. 28 odst. 3 písm. e) GDPR)
9.1 Zpracovatel je Správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, při plnění povinnosti Správce reagovat na žádosti o výkon práv subjektů údajů podle kapitoly III GDPR (zejména právo na přístup, opravu, výmaz, omezení zpracování, přenositelnost a námitku).
9.2 Součinnost je poskytována především funkcemi Aplikace: Správce může Klientská data vyhledávat, nahlížet, opravovat, exportovat a mazat samostatně. Nelze-li žádost vyřídit funkcemi Aplikace, poskytne Zpracovatel součinnost na písemnou žádost Správce bez zbytečného odkladu, nejpozději do 10 pracovních dnů od doručení žádosti Správce; u mimořádně složitých žádostí může Zpracovatel tuto lhůtu po předchozím oznámení Správci přiměřeně prodloužit.
9.3 Obdrží-li Zpracovatel žádost subjektu údajů týkající se Klientských dat přímo, bez zbytečného odkladu ji předá Správci a subjekt údajů odkáže na Správce; sám žádost věcně nevyřizuje, ledaže mu to ukládá právní předpis.
10. Součinnost podle čl. 32 až 36 GDPR a ohlašování incidentů (čl. 28 odst. 3 písm. f) GDPR)
10.1 Zpracovatel je Správci nápomocen při zajišťování souladu s povinnostmi podle čl. 32 až 36 GDPR (zabezpečení zpracování, ohlašování a oznamování porušení zabezpečení, posouzení vlivu na ochranu osobních údajů a předchozí konzultace), a to při zohlednění povahy zpracování a informací, jež má Zpracovatel k dispozici.
10.2 Porušení zabezpečení. Zjistí-li Zpracovatel porušení zabezpečení osobních údajů týkající se Klientských dat, ohlásí je Správci bez zbytečného odkladu, nejpozději však do 48 hodin od okamžiku, kdy se o porušení dozvěděl, a to e-mailem na adresu Správce, a je-li to možné, též oznámením v Aplikaci. Ohlášení obsahuje, jsou-li informace dostupné, alespoň:
- popis povahy porušení včetně kategorií a přibližného počtu dotčených subjektů údajů a záznamů,
- popis pravděpodobných důsledků porušení,
- popis přijatých nebo navržených opatření k řešení porušení a ke zmírnění jeho nepříznivých dopadů,
- kontaktní bod pro další informace.
Nelze-li informace poskytnout najednou, poskytuje je Zpracovatel postupně bez dalšího zbytečného odkladu.
10.3 Ohlášení porušení dozorovému úřadu (čl. 33 GDPR) a oznámení subjektům údajů (čl. 34 GDPR) provádí Správce; Zpracovatel mu k tomu poskytne nezbytnou součinnost. Zpracovatel bez předchozího souhlasu Správce neinformuje o porušení týkajícím se výhradně Klientských dat třetí osoby, ledaže mu to ukládá právní předpis.
10.4 DPIA. Provádí-li Správce posouzení vlivu na ochranu osobních údajů (čl. 35 GDPR) nebo předchozí konzultaci s dozorovým úřadem (čl. 36 GDPR) ve vztahu ke zpracování v Aplikaci, poskytne mu Zpracovatel na písemnou žádost dostupné informace o povaze zpracování, zavedených opatřeních a dílčích zpracovatelích.
11. Ukončení zpracování, vrácení a výmaz dat (čl. 28 odst. 3 písm. g) GDPR)
11.1 Po ukončení poskytování služeb spojených se zpracováním Zpracovatel v souladu s rozhodnutím Správce všechna Klientská data buď vymaže, nebo je vrátí Správci, a vymaže existující kopie, pokud právo Evropské unie nebo členského státu nepožaduje uložení daných osobních údajů.
11.2 Správce provede volbu podle odst. 11.1 nejpozději do 30 dnů od ukončení smlouvy o užívání Aplikace. Po tuto dobu Zpracovatel umožní Správci export Klientských dat ve strojově čitelném formátu prostřednictvím Aplikace nebo na žádost. Neprovede-li Správce volbu v uvedené lhůtě, platí, že zvolil výmaz.
11.3 Po uplynutí lhůty podle odst. 11.2, případně po potvrzení vrácení dat, Zpracovatel Klientská data vymaže včetně kopií; data v zálohách jsou vymazána uplynutím standardního rotačního cyklu záloh, nejpozději však do 35 dnů od výmazu produkčních dat. Do výmazu jsou data blokována proti jinému zpracování než uložení. Na žádost Správce Zpracovatel provedení výmazu písemně potvrdí.
11.4 Zákonné archivace Správce. Správce bere na vědomí, že jako povinná osoba podle § 2 zákona č. 253/2008 Sb. je povinen uchovávat identifikační údaje klientů a související dokumenty po dobu 10 let od uskutečnění obchodu nebo ukončení obchodního vztahu. Tato povinnost stíhá Správce, nikoli Zpracovatele; Zpracovatel po výmazu podle odst. 11.3 Klientská data pro Správce neuchovává. Správce je proto povinen před výmazem provést export všech Klientských dat, která potřebuje ke splnění svých zákonných archivačních povinností (zejména AML), a uchovávat je vlastními prostředky.
11.5 Výjimka podle odst. 11.1 (uložení požadované právem Evropské unie nebo členského státu vztahujícím se na Zpracovatele) se uplatní pouze v nezbytném rozsahu a po nezbytnou dobu; taková data jsou blokována proti jinému zpracování.
11.6 Anonymizované údaje podle odst. 2.5 a 4.5 této Smlouvy nejsou osobními údaji ve smyslu čl. 4 bodu 1 GDPR ani Klientskými daty; povinnost výmazu nebo vrácení podle tohoto článku se na ně nevztahuje.
12. Prokazování souladu a audit (čl. 28 odst. 3 písm. h) GDPR)
12.1 Zpracovatel poskytne Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v čl. 28 GDPR a v této Smlouvě, a umožní audity, včetně inspekcí, prováděné Správcem nebo jiným auditorem, kterého Správce pověřil, a přispěje k těmto auditům.
12.2 Právo podle odst. 12.1 se uplatňuje primárně poskytnutím dokumentace: popisu technických a organizačních opatření, přehledu dílčích zpracovatelů, dostupných certifikací, zpráv a auditních výstupů infrastrukturních dodavatelů a písemných odpovědí na odůvodněné dotazy Správce. Zpracovatel odpoví na písemnou žádost Správce zpravidla do 30 dnů.
12.3 Inspekci na místě lze provést, nepostačuje-li postup podle odst. 12.2 k doložení souladu s touto Smlouvou, zejména při důvodných pochybnostech Správce nebo po porušení zabezpečení, anebo vyžaduje-li ji přímo závazný pokyn dozorového úřadu, a to za těchto podmínek:
- nejvýše jednou za kalendářní rok (to neplatí při závažném porušení zabezpečení nebo na pokyn dozorového úřadu),
- na základě písemného oznámení nejméně 30 dnů předem, v běžné pracovní době a bez nepřiměřeného narušení provozu Zpracovatele,
- na náklady Správce; Správce dále uhradí účelně vynaložené náklady součinnosti Zpracovatele přesahující běžný rozsah,
- auditor nesmí být přímým konkurentem Zpracovatele a musí být vázán mlčenlivostí,
- audit nesmí zasahovat do dat jiných zákazníků Zpracovatele ani do obchodních tajemství třetích osob; u infrastruktury dílčích zpracovatelů se audit provádí prostřednictvím jejich standardních auditních zpráv a certifikací.
12.4 Zpracovatel neprodleně informuje Správce, pokud podle jeho názoru určitý pokyn udělený v souvislosti s auditem porušuje GDPR nebo jiné předpisy v oblasti ochrany osobních údajů.
12.5 Zpracovatel vede záznamy o kategoriích činností zpracování prováděných pro Správce podle čl. 30 odst. 2 GDPR a na žádost je zpřístupní dozorovému úřadu.
13. Odpovědnost
13.1 Odpovědnost stran za újmu způsobenou zpracováním se řídí čl. 82 GDPR. Zpracovatel odpovídá za újmu způsobenou zpracováním pouze tehdy, nesplnil-li povinnosti, které GDPR ukládá přímo zpracovatelům, nebo jednal-li nad rámec zákonných pokynů Správce či v rozporu s nimi.
13.2 Smluvní omezení náhrady újmy sjednaná ve VOP se použijí v rozsahu, v jakém to připouštějí kogentní ustanovení právních předpisů; nedotýkají se práv subjektů údajů podle čl. 82 GDPR.
13.3 Správce odpovídá za zákonnost zpracování Klientských dat, zejména za existenci právního titulu, plnění informačních povinností vůči subjektům údajů a za obsah dat, která do Aplikace vkládá, včetně dodržení zákazu podle odst. 3.3.
14. Povinnosti a práva Správce
14.1 Správce je podle této Smlouvy zejména oprávněn:
- udílet Zpracovateli dokumentované pokyny ke zpracování Klientských dat (článek 4),
- požadovat informace potřebné k doložení souladu a provádět audity včetně inspekcí (článek 12),
- vznášet námitky proti zapojení nových dílčích zpracovatelů (odst. 7.4),
- aktivovat a kdykoli deaktivovat volitelnou funkci video avatara (odst. 8.3),
- kdykoli ukončit pokyn k anonymizaci přechodem na Tarif MAX nebo INDIVIDUAL (odst. 4.5),
- zvolit po skončení smlouvy vrácení, nebo výmaz Klientských dat a provést jejich export (článek 11).
14.2 Správce je podle této Smlouvy zejména povinen:
- zajistit zákonnost zpracování Klientských dat, včetně existence právního titulu a plnění informačních povinností vůči subjektům údajů (odst. 13.3),
- spravovat přístupové údaje a role osob jednajících za Správce a bezodkladně odebírat přístupy (odst. 6.4),
- nevkládat do Aplikace údaje v rozporu se zákazem podle odst. 3.3,
- před výmazem provést export Klientských dat potřebných ke splnění vlastních zákonných archivačních povinností (odst. 11.4).
15. Závěrečná ustanovení
15.1 Tato Smlouva nabývá účinnosti okamžikem uzavření smlouvy o užívání Aplikace podle VOP a trvá po dobu jejího trvání. Po skončení smlouvy o užívání Aplikace se tato Smlouva použije v plném rozsahu až do úplného výmazu nebo vrácení Klientských dat podle článku 11; poté trvají články 5, 12 a 13 v rozsahu nezbytném k dosažení jejich účelu.
15.2 Tato Smlouva má v rozsahu úpravy zpracování Klientských dat přednost před ostatními ustanoveními VOP. Ustanovení této Smlouvy nelze vykládat ani uplatňovat způsobem, který by byl v rozporu s kogentními požadavky GDPR; v pochybnostech má přednost výklad souladný s GDPR.
15.3 Změny této Smlouvy se řídí postupem pro změny VOP (předem oznámená změna s právem Správce změnu odmítnout a smlouvu vypovědět); změny seznamu dílčích zpracovatelů se řídí článkem 7 této Smlouvy.
15.4 Tato Smlouva se řídí právním řádem České republiky a přímo použitelnými předpisy Evropské unie, zejména GDPR a zákonem č. 110/2019 Sb., o zpracování osobních údajů.
15.5 Je-li nebo stane-li se některé ustanovení této Smlouvy neplatným nebo neúčinným, nedotýká se to ostatních ustanovení; strany nahradí takové ustanovení ustanovením platným, které nejlépe odpovídá jeho smyslu a účelu.
15.6 Kontaktním místem Zpracovatele pro záležitosti ochrany osobních údajů je e-mail konzultace@anela.digital.
Verze 1.1 - 19. 7. 2026. Tento dokument je pracovní návrh připravený s pomocí AI jako podklad pro advokátní revizi; do jejího dokončení se použije přiměřeně.