Smlouva o zpracování dat
Účinné od: 17. února 2026
Preambule
Tato smlouva specifikuje povinnosti ochrany osobních údajů smluvních stran mezi Zákazníkem (dále jen „Správce") a společností KOLSETU (dále jen „Zpracovatel") vyplývající z používání softwaru a služeb KOLSETU na základě sjednané Licenční smlouvy koncového uživatele (EULA) a Všeobecných obchodních podmínek („Hlavní smlouva").
Vztahuje se na všechny činnosti Zpracovatele v souvislosti se službami podle Hlavní smlouvy, během kterých mohou zaměstnanci Zpracovatele nebo třetí strany jednající jménem Zpracovatele přijít do kontaktu s osobními údaji Správce.
1 Definice
Pojmy „osobní údaje" (nebo „údaje"), „zpracování", „dozorový úřad", „subjekt údajů", „členský stát" a „přenos" mají stejný význam jako v Obecném nařízení o ochraně osobních údajů (GDPR) a související pojmy se vykládají odpovídajícím způsobem.
2 Rozsah a odpovědnost
Zpracovatel zpracovává osobní údaje jménem a v souladu s pokyny Správce. To zahrnuje činnosti uvedené a popsané v Hlavní smlouvě.
Podle Hlavní smlouvy je výhradně Správce odpovědný za dodržování GDPR a/nebo jiných předpisů o ochraně osobních údajů EU nebo jejích členských států (Správce je „správcem" ve smyslu článku 4 odst. 7 GDPR).
Pokyny jsou zpočátku definovány v Hlavní smlouvě a poté mohou být Správcem změněny, doplněny nebo nahrazeny prostřednictvím písemných nebo elektronických pokynů (textová forma). Ústní pokyny musí být neprodleně potvrzeny písemně nebo v textové formě.
Pokud se Zpracovatel domnívá, že pokyn porušuje GDPR nebo jiná ustanovení o ochraně osobních údajů, neprodleně informuje Správce o těchto právních obavách.
3 Předmět, doba trvání a specifikace zpracování
Předmět: Zpracování osobních údajů probíhá v kontextu poskytování softwaru a služeb KOLSETU.
Doba trvání: Doba platnosti této smlouvy je založena na době platnosti Hlavní smlouvy, pokud zde není uvedeno jinak.
Typ zpracování: Shromažďování, ukládání, používání, přenos a mazání osobních údajů automatizovanými prostředky.
Účel zpracování: Poskytování a používání smluvních softwarových funkcí v souladu s Hlavní smlouvou a EULA.
| Typ údajů | Povaha a účel zpracování | Kategorie subjektů údajů |
|---|---|---|
| Kmenové údaje (např. jméno, kontaktní údaje) | Správa a poskytování smluvních softwarových funkcí | Zákazníci, uživatelé, zaměstnanci, kontakty |
| Zvláštní kategorie osobních údajů (zdravotní údaje) | Plánování termínů, komunikace s pacienty, poznámky (pokud jsou zadány), zdravotnictví | Pacienti, koncoví zákazníci Správce |
| Smluvní a fakturační údaje (např. číslo zákazníka, fakturační informace) | Plnění smlouvy, fakturace, administrativa | Zákazníci, kontakty |
| Údaje o používání a komunikaci (např. log soubory, IP adresy, chat nebo video data) | Technické poskytování, podpora, řešení problémů, komunikace | Uživatelé softwaru, zákazníci, zaměstnanci |
| Technická metadata (např. časová razítka, informace o zařízení) | Bezpečnost systému, stabilita, monitorování, protokolování | Uživatelé softwaru |
| Komunikační a obsahová data (např. hlasové nahrávky, přepisy, data konverzací) | Komunikace, podpora, zajištění kvality, v případě potřeby poskytnutí Správci | Uživatelé softwaru, zákazníci, zaměstnanci, kontakty |
| Údaje uživatelů a zaměstnanců (např. přihlašovací informace, role, oprávnění) | Identifikace uživatele, správa přístupu, správa rolí | Zaměstnanci Správce |
Zvláštní činnosti zpracování
Kromě poskytování smluvních služeb může Zpracovatel zpracovávat komunikační a obsahová data (např. hlasové nahrávky, přepisy, data konverzací) za účelem analýzy, zlepšení produktu a dalšího vývoje řečových a AI modulů.
Před takovým použitím bude vždy provedena anonymizace v souladu s GDPR, takže nebude možné odkázat na subjekty údajů.
Přenosy do třetích zemí
Zpracování osobních údajů obecně probíhá v rámci Evropského hospodářského prostoru (EHP) nebo v zemích s rozhodnutím o přiměřenosti od Evropské komise.
Pokud je vyžadován přenos do třetí země, bude probíhat pouze za podmínek článků 44 a násl. GDPR, zejména na základě standardních smluvních doložek EU (SCC).
4 Povinnosti Zpracovatele
Zpracovatel může zpracovávat údaje pouze v rámci smlouvy a pokynů Správce, pokud se neuplatní výjimka podle článku 28 odst. 3 písm. a) GDPR.
Zpracovatel zavede technická a organizační opatření k přiměřené ochraně údajů Správce v souladu s článkem 32 GDPR. Tato opatření jsou uvedena v Příloze 1.
Zpracovatel pomáhá Správci v míře možností při plnění žádostí a nároků subjektů údajů podle kapitoly III GDPR a při dodržování povinností stanovených v článcích 33 až 36 GDPR.
Zpracovatel zajistí, že osoby oprávněné zpracovávat osobní údaje jsou zavázány k mlčenlivosti nebo podléhají příslušné zákonné povinnosti mlčenlivosti.
Zpracovatel neprodleně informuje Správce o jakémkoli porušení ochrany osobních údajů, které se dozví.
Zpracovatel opraví nebo smaže údaje pokryté smlouvou, pokud k tomu dostane pokyn od Správce.
Kontakt pro ochranu osobních údajů: privacy@kolsetu.com
5 Povinnosti Správce
Správce musí neprodleně informovat Zpracovatele, pokud identifikuje chyby nebo nesrovnalosti ohledně ustanovení o ochraně osobních údajů.
5.1 Zákonnost zpracování
- Přenos údajů je založen na zákonném základu podle článku 6 GDPR
- Je respektováno omezení účelu zpracovávaných údajů
- Jsou získány všechny potřebné souhlasy od subjektů údajů
- Subjekty údajů byly informovány podle článků 13/14 GDPR
- Při používání AI služeb jsou dodržovány podmínky subdodavatelů
5.2 Odškodnění v případě zneužití
Správce se zavazuje interně odškodnit Zpracovatele za všechny nároky třetích stran a regulační pokuty, pokud jsou přičitatelné:
- Nesprávnému používání softwaru KOLSETU Správcem
- Porušení povinností ochrany osobních údajů Správcem
- Nezákonným nebo pokyny porušujícím příkazům Správce
Toto odškodnění platí pouze mezi Správcem a Zpracovatelem. Práva subjektů údajů podle článku 82 GDPR zůstávají nedotčena.
Správce jmenuje kontakt pro ochranu osobních údajů pro Zpracovatele.
5.3 Odpovědnost za modulární zpracování
Při používání volitelných modulů je Správce odpovědný za:
- Právně vyhovující aktivaci/deaktivaci modulů
- Implementaci požadovaných souhlasů
- Dodržování oborově specifických předpisů
6 Žádosti subjektů údajů
Zpracovatel odkazuje subjekty údajů na Správce a neprodleně předává jejich žádosti. Zpracovatel pomáhá Správci s odpověďmi v míře možností.
7 Důkaz o dodržování
Zpracovatel prokazuje dodržování těchto povinností vhodnými prostředky a umožňuje audity Správcem nebo jmenovanými auditory.
Inspekce se provádějí během běžné pracovní doby po přiměřeném upozornění. Zpracovatel může požadovat podpis dohody o mlčenlivosti.
8 Subdodavatelé
Správce tímto pověřuje KOLSETU k zapojení subdodavatelů k plnění svých smluvních závazků. Aktuální seznam subdodavatelů používaných společností KOLSETU je připojen k této smlouvě.
KOLSETU bude informovat Správce v textové formě (např. e-mailem) před jakoukoliv změnou subdodavatele nebo zapojením nového. Správce může vznést námitku proti změně do 14 dnů z důležitých důvodů ochrany osobních údajů.
KOLSETU uzavře s každým subdodavatelem smlouvu o ochraně osobních údajů v souladu s touto smlouvou a bude monitorovat dodržování. KOLSETU zůstává odpovědná za zajištění toho, že subdodavatelé splňují právní a smluvní závazky.
9 Doba platnosti a ukončení
Tato DPA vstupuje v platnost podpisem a běží po dobu trvání Hlavní smlouvy. S ukončením Hlavní smlouvy se také ukončuje tato DPA.
Po ukončení KOLSETU vrátí nebo smaže všechny osobní údaje dle volby Správce, pokud se neuplatňují zákonné požadavky na uchovávání.
10 Informační povinnosti, písemná forma, rozhodné právo
Zpracovatel neprodleně informuje Správce o regulačních opatřeních týkajících se zpracovávaných údajů.
Změny této DPA vyžadují písemnou nebo textovou formu.
V případě konfliktu převažují ustanovení této DPA nad Hlavní smlouvou.
Rozhodné právo: německé právo. Místo jurisdikce: Hamburg.
11 Odpovědnost
Odpovědnost se řídí ustanoveními Hlavní smlouvy. Odpovědnost KOLSETU je odpovídajícím způsobem omezena.
Každá strana je odpovědná za svá vlastní porušení a odškodňuje druhou stranu proti vyplývajícím nárokům třetích stran.
Příloha 1 – Technická a organizační opatření (TOMs) podle čl. 32 GDPR
Bez ohledu na další opatření dohodnutá v Hlavní smlouvě zajišťuje Zpracovatel alespoň následující technická a organizační opatření:
Důvěrnost
- Fyzická kontrola přístupu: Žádný neoprávněný přístup k zpracovatelským zařízením
- Kontrola přístupu k systému: Žádné neoprávněné použití systému (hesla, 2FA, šifrování)
- Interní kontrola přístupu: Žádné neoprávněné čtení/kopírování/úpravy údajů
- Kontrola oddělení: Oddělené zpracování pro různé účely
- Pseudonymizace: Osobní údaje uložené odděleně
Integrita
- Kontrola přenosu dat: Ochrana během elektronického přenosu
- Kontrola zadávání dat: Protokolování změn a mazání
Dostupnost a stabilita
- Kontrola dostupnosti: Ochrana proti ztrátě/zničení (zálohy, firewally, disaster recovery)
- Rychlé obnovení: Nouzové a restartovací plány
Další opatření
- Řízení ochrany osobních údajů
- Řízení reakce na incidenty
- Kontrola smluv/objednávek
- Privacy by design & by default
- Žádné zpracování třetími stranami bez pokynů
- Due diligence při výběru poskytovatelů služeb
Příloha 2 – Subdodavatelé
KOLSETU zapojuje následující subdodavatele. Zpracování probíhá v rámci EHP nebo v zemích s rozhodnutím EU o přiměřenosti.
| Společnost | Rozsah služeb | Umístění |
|---|---|---|
| Amazon Web Services (AWS) | Cloudová infrastruktura (výpočty, úložiště, síť) | EU datová centra (Frankfurt), Lucembursko |
| Microsoft Azure | Cloudová infrastruktura (výpočty, úložiště, síť) | EU datová centra (Frankfurt), Nizozemsko |
| Google Cloud | Cloudová infrastruktura (výpočty, úložiště, síť) | EU datová centra (Frankfurt), Irsko |
| Společnost | Rozsah služeb | Umístění |
|---|---|---|
| OpenAI | AI-poháněné generování řeči a textu pro pokročilé dialogové funkce | OpenAI Ireland Ltd., 1st Floor, The Liffey Trust Centre, 117–126 Sheriff Street Upper, Dublin 1, Irsko |
| Zoho | Cloudové řešení pro získávání zákazníků, správu účtů a podporu | Zoho Corporation GmbH, Trinkaustr. 7, 40213 Düsseldorf, Německo |
| Stripe | Zpracování plateb kreditními kartami a bezhotovostní platby | Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Dublin 2, Irsko |
| PayPal | Zpracování plateb | PayPal (Europe) S.à.r.l. et Cie, 22–24 Boulevard Royal, 2449 Lucembursko |
| Telnyx | API pro hlas, zprávy a sítě (telefonie, SMS, VoIP) | Telnyx UK Limited, 71–75 Shelton Street, London, WC2H 9JQ, Spojené království |
| LiveKit | Platforma API pro audio a video v reálném čase (WebRTC), livestreaming, AI interakce | LiveKit Inc., 4285 Payne Avenue, Suite 9154, San Jose, CA 95157, USA |
| Twilio | Cloudová komunikační API (SMS, VoIP, WebRTC, 2FA) | Twilio Ireland Limited, 25–28 North Wall Quay, Dublin 1, Irsko |
| Langfuse | Monitorování a pozorovatelnost pro AI-poháněné aplikace (trasování, protokolování, analýza) | Langfuse GmbH, Chausseestraße 8, 10115 Berlin, Německo |
| n8n | Platforma pro automatizaci a integraci (automatizace workflow, zpracování dat) | n8n GmbH, Novalisstraße 10, 10115 Berlin, Německo |