Začněte ještě dnes
Připraveni dát své
telefony na autopilot?
Podívejte se, jak Elba zpracovává hovory, WhatsApp a SMS pro regulované týmy. Zarezervujte si 30minutovou ukázku — nezávazně.
Začněte ještě dnes
Podívejte se, jak Elba zpracovává hovory, WhatsApp a SMS pro regulované týmy. Zarezervujte si 30minutovou ukázku — nezávazně.
Platné od: 11. března 2026
Tato Dohoda o zpracování osobních údajů („Dohoda“) je uzavřena mezi společností Kolsetu GmbH („Zpracovatel“) a Zákazníkem („Správce“) podle čl. 28 GDPR a tvoří nedílnou součást Smlouvy o poskytování platformy Elba AI a souvisejících služeb („Smlouva“). Tato Dohoda se vztahuje na podnikové i samoobslužné zákazníky platformy Elba.
Poznámka k rozsahu: Tato Dohoda upravuje zpracování osobních údajů Zákazníka společností Kolsetu v její roli Zpracovatele. Společnost Kolsetu rovněž zpracovává osobní údaje uživatelů platformy (správců a operátorů) v její roli Správce; toto zpracování je popsáno v Zásadách ochrany osobních údajů produktu Kolsetu, které jsou k dispozici na domovské stránce (www.kolsetu.com).
Správce určuje účely a prostředky zpracování popsané v tomto dokumentu. Zpracovatel zpracovává osobní údaje výhradně na základě písemných pokynů Správce a k žádnému jinému účelu.
Velkými písmeny uvedené pojmy použité, ale nedefinované v této Dohodě, mají významy uvedené v Obecných obchodních podmínkách, příslušných Podmínkách služby Elba (Podmínky služby pro podniky nebo Samoobslužné podmínky, podle toho, co je relevantní) a v případě, že byla podepsána Objednávka, tak v Objednávce.
V této Dohodě mají následující pojmy významy uvedené níže. Pojmy zde nedefinované mají významy uvedené v čl. 4 GDPR nebo ve Smlouvě.
Pojem | Definice |
Smlouva | Smlouva mezi stranami o poskytování Služeb, zahrnující VOP, Podmínky služby Elba pro podniky a Objednávku. |
Osobní údaje Zákazníka | Jakékoli osobní údaje, které Zpracovatel zpracovává jménem Správce v souladu se Smlouvou. |
Předpisy na ochranu osobních údajů | GDPR; německý Spolkový zákon o ochraně osobních údajů (BDSG); UK GDPR a Zákon o ochraně osobních údajů z roku 2018; australský Zákon o ochraně soukromí z roku 1988; a platné zákony USA na úrovni států a federální zákony o ochraně soukromí (včetně CCPA), každý ve znění pozdějších předpisů a pouze v rozsahu, v jakém jsou použitelné. |
GDPR | Nařízení (EU) 2016/679 Evropského parlamentu a Rady ze dne 27. dubna 2016. |
Závažné porušení ochrany osobních údajů | Porušení bezpečnosti, které vede k náhodnému nebo nezákonnému zničení, ztrátě, změně, neoprávněnému zpřístupnění nebo přístupu k osobním údajům Zákazníka přenášeným, uloženým nebo jinak zpracovávaným Zpracovatelem, jak je definováno v čl. 4 odst. 12 GDPR. |
Služby | Platforma Elba AI a všechny související služby poskytované Zpracovatelem v rámci Smlouvy. |
Zpracovatel | Jakýkoli zpracovatel údajů pověřený Zpracovatelem ke zpracování osobních údajů Zákazníka. |
TOMs | Technická a organizační opatření popsaná v příloze 2. |
Rámec pro ochranu osobních údajů | Rámec EU–USA pro ochranu osobních údajů zřízený rozhodnutím Komise (EU) 2023/1795. |
2.1 Role. Strany berou na vědomí, že Správce jedná jako správce údajů a Zpracovatel jedná jako zpracovatel údajů ve smyslu platných Předpisů na ochranu osobních údajů. Zpracovatel zpracovává osobní údaje Zákazníka výhradně jménem Správce.
2.2 Pokyny. Správce dává Zpracovateli pokyn ke zpracování osobních údajů Zákazníka v rozsahu nezbytném pro poskytování Služeb a plnění svých práv a povinností vyplývajících ze Smlouvy. Pokyny jsou původně stanoveny v této Dohodě a mohou být následně písemně změněny Správcem.
2.3 CCPA. Pokud jde o osobní údaje Zákazníka, které představují „osobní informace“ pro účely kalifornského zákona o ochraně soukromí spotřebitelů („CCPA“), Zpracovatel nesmí: (a) prodávat nebo sdílet osobní informace; (b) uchovávat, používat nebo zpřístupňovat osobní informace k jinému účelu než k obchodním účelům specifikovaným ve Smlouvě nebo jinak povoleným CCPA; (c) uchovávat, používat nebo zpřístupňovat osobní informace mimo přímý obchodní vztah mezi Zpracovatelem a Správcem; nebo (d) kombinovat osobní informace obdržené od Správce s osobními informacemi obdrženými od jiných zdrojů nebo shromážděnými z jiných zdrojů, s výjimkou případů povolených CCPA. Zpracovatel potvrzuje, že rozumí těmto omezením a bude je dodržovat.
Zpracovatel zpracovává osobní údaje Zákazníka po dobu trvání Smlouvy, nebo dokud Správce nedá jiný pokyn, výhradně za účelem poskytování Služeb.
Zpracovatel zpracovává osobní údaje Zákazníka v souvislosti s:
Poskytováním a provozem automatizační hlasové platformy Elba AI
Zpracováním hlasových interakcí, generováním přepisů a poskytováním analýzy konverzací
Omnichannel orchestrací (hlas, chat, e-mail, SMS, WhatsApp) jménem Správce
Integracemi s podnikovými systémy Správce včetně CRM, ERP, telefonních a komunikačních platforem, prostřednictvím nativních konektorů, REST API a frameworku webhooků, jak je nakonfigurováno Správcem
Správou uživatelských účtů, řízením přístupu a autentizací
Monitorováním bezpečnosti, prevencí podvodů a řízením incidentů
Zákaznickou podporou a technickým řešením problémů
V závislosti na případu použití a konfiguraci Správce může Zpracovatel zpracovávat:
Kontaktní informace (jméno, telefonní číslo, e-mailová adresa)
Hlasové záznamy a odvozená zvuková data
Přepisy konverzací a protokoly interakcí
Záznamy o zákaznických službách a údaje o případech
Přihlašovací údaje a autentizační data
Údaje o používání, protokoly relací a metadata o aktivitě
Údaje z integrovaných podnikových systémů, jak je nakonfigurováno Správcem
Dotčené osoby mohou zahrnovat:
Koncoví zákazníci Správce, kteří interagují s platformou Elba
Zaměstnanci Správce a oprávnění uživatelé platformy
Další jednotlivci, jejichž údaje jsou zpracovávány prostřednictvím integrací nakonfigurovaných Správcem
Zpracovatel zpracovává zvláštní kategorie osobních údajů (čl. 9 GDPR) výhradně na základě písemných pokynů Správce. Správce je výhradně odpovědný za zajištění toho, aby jakékoli předání zvláštních kategorií údajů na platformu bylo podloženo platným právním základem podle čl. 9 GDPR, aby byly splněny všechny požadované podmínky a aby byla před předáním zavedena vhodná ochranná opatření. Zpracovatel uplatňuje na zvláštní kategorie údajů stejná technická a organizační opatření jako na všechny ostatní osobní údaje Zákazníka.
Osobní údaje Zákazníka jsou Zpracovateli přenášeny pravidelně po dobu trvání Smlouvy, v závislosti na tom, jak Správce Služby využívá.
4.1.1 Zpracovávat osobní údaje Zákazníka pouze na základě písemných pokynů Správce, pokud to nevyžaduje platné právo. V takových případech Zpracovatel informuje Správce před zpracováním, pokud to zákon nezakazuje.
4.1.2 Pokud se Zpracovatel domnívá, že pokyn porušuje Předpisy na ochranu osobních údajů, neprodleně informuje Správce o svých právních obavách a může pozastavit platnost pokynu do jeho vyřešení.
4.2.1 Zajistit, aby veškerý personál oprávněný ke zpracování osobních údajů Zákazníka byl vázán odpovídajícími povinnostmi mlčenlivosti (ať už smluvními nebo zákonnými) a aby obdržel příslušné školení o ochraně údajů.
4.3.1 Implementovat a udržovat vhodná technická a organizační opatření (TOMs) uvedená v příloze 2 k zajištění úrovně zabezpečení odpovídající riziku, včetně požadavků podle čl. 32 GDPR. Zpracovatel může TOMs čas od času aktualizovat za předpokladu, že takové aktualizace nevedou ke snížení celkové úrovně zabezpečení.
4.4.1 Nezajistí nového subzpracovatele ani podstatně nezmění roli stávajícího subzpracovatele bez předchozího písemného oznámení (minimálně 30 pracovních dnů) správci. Seznam subzpracovatelů v sekci 6 této DPA představuje autoritativní a aktuální záznam schválených subzpracovatelů.
4.4.2 Zajistí, aby každý zapojený subzpracovatel byl vázán datovými ochranami, které nejsou méně ochranné než ty v této DPA, a to smlouvou nebo jiným právním aktem. Zpracovatel zůstává plně odpovědný za plnění datových ochran svých subzpracovatelů.
4.5.1 Vyloučení pro trénování AI. Zpracovatel ani žádný z jeho subzpracovatelů nesmí používat osobní údaje zákazníka – včetně hlasových nahrávek, přepisů, dat konverzací nebo jakýchkoli z nich odvozených dat – k trénování, dolaďování nebo zlepšování jakéhokoli obecného modelu AI nebo strojového učení. Toto omezení platí bez ohledu na to, zda byla data pseudonymizována. Zpracovatel zajistí, aby byla smluvně uložena odpovídající omezení všem subzpracovatelům AI.
4.5.2 Minimalizace dat pro inferenci AI. Pokud jsou osobní údaje zákazníka předávány subzpracovatelům AI pro účely inference, zpracovatel zajistí, aby byl předán pouze minimální objem dat nezbytný pro konkrétní požadavek na inferenci. Subzpracovatelé AI nesmí uchovávat osobní údaje zákazníka po dobu trvání inferenční relace, s výjimkou případů vyžadovaných platnými zákony.
4.5.3 Biometrická data. Zpracovatel neodvozuje biometrické identifikátory ani hlasové otisky z hlasových nahrávek zpracovávaných prostřednictvím platformy Elba a nezpracovává hlasové nahrávky jako biometrická data ve smyslu čl. 9 GDPR nebo ekvivalentních ustanovení podle platných zákonů o ochraně údajů. Hlasové nahrávky jsou zpracovávány výhradně pro účely přepisu, analýzy záměrů a analýzy konverzací, jak je popsáno v příloze I-B.
4.6.1 Pomáhat správci při plnění jeho povinností reagovat na žádosti subjektů údajů podle kapitoly III GDPR (práva na přístup, opravu, výmaz, omezení, přenositelnost a námitku). Žádosti obdržené přímo zpracovatelem od subjektů údajů budou bez zbytečného odkladu a v každém případě do pěti (5) pracovních dnů předány správci. Zpracovatel nebude reagovat na žádosti subjektů údajů přímo bez předchozího souhlasu správce, pokud k tomu nebude právně zavázán.
4.7.1 Pomáhat správci při zajišťování souladu s články 32–36 GDPR (bezpečnost, oznámení o porušení, DPIA a předchozí konzultace s dozorovými úřady) s ohledem na povahu zpracování a informace, které má zpracovatel k dispozici.
4.7.2 Pokud je správce povinen poskytnout informace příslušnému dozorovému úřadu, poskytne správci přiměřenou pomoc, na náklady správce, poskytnutím takových informací v rozsahu, v jakém jsou v držení zpracovatele.
4.8.1 Na základě volby správce vymaže nebo vrátí veškeré osobní údaje zákazníka po ukončení služeb a vymaže existující kopie, pokud právo Unie nebo členského státu nevyžaduje jejich uchování. Výmaz bude dokončen do 30 dnů od ukončení nebo pokynu správce. Písemné potvrzení o výmazu je k dispozici na vyžádání.
4.9.1 Poskytne správci veškeré informace přiměřeně nezbytné k prokázání souladu s čl. 28 GDPR. Správce poskytne přiměřené předchozí písemné oznámení o jakémkoli požadovaném auditu (minimálně 30 pracovních dnů, s výjimkou případu podezření na porušení). Audity se budou konat maximálně jednou ročně a jedním z následujících způsobů: (a) zpracovatel poskytne kopii svých aktuálních auditních zpráv vypracovaných nezávislými externími auditory (např. certifikace ISO 27001, SOC 2 Type II); (b) zpracovatel poskytne písemné odpovědi na dotazníky o bezpečnosti informací; nebo (c) správce nařídí cílenou inspekci dohodnutých TOMs, jejichž výsledky zpracovatel sdílí ve zjednodušeném formátu.
5.1 Dodržovat všechny platné zákony o ochraně údajů týkající se osobních údajů zákazníka. Správce nesmí používat služby způsobem, který porušuje zákony o ochraně údajů.
5.2 Prohlašuje a zaručuje, že má platný právní základ podle čl. 6 GDPR (a čl. 9, je-li to relevantní) pro všechny osobní údaje předložené zpracovateli a pro jakýkoli přenos osobních údajů zákazníka zpracovateli. Správce neprodleně uvědomí zpracovatele o jakékoli změně právních základů pro zpracování.
5.3 Zajistí, že byla poskytnuta všechna požadovaná oznámení a kde je to nutné, byla získána veškerá požadovaná souhlasná stanoviska od subjektů údajů v souvislosti se zpracováním prováděným podle této DPA.
5.4 Nese výhradní odpovědnost za přesnost, kvalitu a zákonnost osobních údajů zákazníka a za prostředky, kterými je správce získává.
5.5 Bez zbytečného odkladu informuje zpracovatele o jakémkoli dotazu nebo stížnosti obdržené od subjektu údajů nebo dozorového úřadu týkající se zpracování osobních údajů zákazníka podle této DPA.
5.6 Obecný souhlas se subzpracovateli. Správce poskytuje obecné písemné oprávnění zpracovateli k zapojení subzpracovatelů a přidružených společností zpracovatele do zpracování osobních údajů zákazníka, s výhradou postupu oznámení a námitek v sekci 6.
6.1 Autorizovaný seznam subzpracovatelů zapojených zpracovatelem k datu účinnosti této DPA je uveden v příloze I-C. Jakékoli změny subzpracovatelů podléhají postupu oznámení a námitek podle bodů 6.2 a 6.3 a vedou k vydání nové verze přílohy I-C správci.
6.2 Zpracovatel poskytne minimálně 30 pracovních dnů předem písemné oznámení o jakémkoli zamýšleném přidání nebo nahrazení subzpracovatelů. Správce může do 10 pracovních dnů od obdržení takového oznámení vznést námitku proti novému nebo náhradnímu subzpracovateli z důvodů ochrany údajů ("Legitimní důvody"). Pokud správce nevznese námitku v této lhůtě, má se za to, že nový subzpracovatel byl přijat.
6.3 Pokud správce vznese námitku, zpracovatel bude v dobré víře spolupracovat se správcem na řešení legitimních důvodů. Pokud se strany nedohodnou do 20 pracovních dnů od obdržení námitky zpracovatelem, může správce písemným oznámením ukončit komponenty služby, které vyžadují použití navrhovaného subzpracovatele.
6.4 Zpracovatel zůstává plně odpovědný správci za plnění datových ochran všech subzpracovatelů.
6.5 Poskytovatelé AI dodaní zákazníkem. Pokud správce nakonfiguruje služby tak, aby používal poskytovatele modelů AI třetích stran pod vlastními účty a smlouvami správce (včetně, ale nejen, klíčů API pro vlastní LLM), je správce výhradně odpovědný za dodržování platných zákonů o ochraně údajů ve vztahu k těmto poskytovatelům, včetně uzavření jakýchkoli požadovaných smluv o zpracování údajů. Tito poskytovatelé nejsou subzpracovateli zpracovatele a nejsou zahrnuti do této DPA.
7.1 Veškeré zpracování osobních údajů zákazníka pro účely inference AI probíhá výhradně prostřednictvím služby Azure OpenAI v regionu EU Azure. Zpracovatel zajistí, aby jakýkoli přenos osobních údajů zákazníka do třetích zemí (mimo EHP) byl v souladu s kapitolou V GDPR tím, že se bude opírat o: (a) rozhodnutí Komise EU o odpovídající ochraně; (b) standardní smluvní doložky EU (rozhodnutí Komise 2021/914); nebo (c) ve vztahu k poskytovatelům z USA, kteří jsou samy certifikovány podle rámce pro ochranu soukromí (Data Privacy Framework), rámec pro ochranu soukromí definovaný rozhodnutím Komise (EU) 2023/1795.
7.2 Přednost mechanismů přenosu. Pokud je platný více než jeden mechanismus přenosu, přenosy budou podléhat mechanismům v následujícím pořadí přednosti: (a) Rámec pro ochranu soukromí; (b) Standardní smluvní doložky EU; (c) jiné alternativní mechanismy přenosu povolené platnými zákony.
7.3 Zpracovatel provádí hodnocení dopadu přenosu (TIA) pro všechny přenosy subzpracovatelům do třetích zemí. Dokumentace TIA je správci k dispozici na písemné vyžádání.
Zpracovatel zavádí a udržuje vhodná technická a organizační opatření k ochraně osobních údajů zákazníka před náhodným nebo nezákonným zničením, ztrátou, změnou, neoprávněným zveřejněním nebo přístupem. Podrobné informace jsou uvedeny v příloze 2. Klíčová opatření zahrnují:
Šifrování osobních údajů zákazníka při přenosu i v klidu pomocí algoritmů průmyslových standardů
Řízení přístupu na základě rolí a vícefaktorové ověřování pro veškerý privilegovaný přístup
Logická izolace tenantů – data každého zákazníka jsou zpracovávána ve vyhrazeném, logicky izolovaném prostředí
Pravidelné penetrační testování a průběžné řízení zranitelností kvalifikovanými poskytovateli
Dokumentované postupy pro detekci incidentů, reakci na ně a eskalaci
Školení o ochraně osobních údajů zaměstnanců a odpovídající prověrky
Opatření pro kontinuitu podnikání a obnovu po havárii, testovaná minimálně jednou ročně
Dohled nad subzpracovateli zajišťující odpovídající standardy ochrany údajů v celém dodavatelském řetězci
9.1 V případě porušení ochrany osobních údajů zpracovatel neprodleně uvědomí správce, a to v každém případě do 48 hodin od okamžiku, kdy se o něm dozví.
9.2 Oznámení musí v rozsahu, v jakém je známo, zahrnovat: povahu porušení; kategorie a přibližný počet dotčených subjektů údajů; kategorie a přibližný počet dotčených záznamů; pravděpodobné důsledky; a přijatá nebo navrhovaná opatření. Pokud nejsou počáteční informace úplné, budou bez zbytečného odkladu poskytnuty postupně.
9.3 Zpracovatel zdokumentuje všechna porušení a nápravná opatření v souladu s čl. 33 odst. 5 GDPR.
10.1 Zpracovatel zavedl opatření k regulaci zveřejňování osobních údajů zákazníků státním orgánům. Tato opatření vyžadují, aby Zpracovatel zvážil své závazky dodržovat jakékoli vládní nařízení nebo požadavek a své zákonné povinnosti chránit osobní údaje zákazníků.
10.2 V rozsahu povoleném zákonem Zpracovatel neprodleně oznámí Správci jakýkoli právně závazný požadavek na zveřejnění osobních údajů zákazníků ze strany orgánu činného v trestním řízení nebo státního orgánu před odpovědí na takový požadavek. Pokud Zpracovateli není povoleno oznámení Správci, požádá o povolení tak učinit nebo požádá vydávající orgán, aby si informace vyžádal přímo od Správce.
10.3 Zpracovatel napadne vládní nařízení nebo požadavek, pokud jsou pro to vhodné a platné právní důvody. Pokud je pro splnění platného soudního příkazu nebo požadavku nutné poskytnutí údajů, Zpracovatel zveřejní minimální množství osobních údajů zákazníků nezbytné k dodržení.
10.4 Pokud jde o osobní údaje rezidentů EEA, Zpracovatel se řídí závazky stanovenými v EU SCCs ohledně žádostí o přístup ze strany státních orgánů.
Pokud zpracování pravděpodobně povede k vysokému riziku pro práva a svobody subjektů údajů, Zpracovatel poskytne Správci přiměřenou asistenci při provádění posouzení vlivu na ochranu osobních údajů (DPIA) podle čl. 35 GDPR, mimo jiné poskytnutím informací o svých zpracovatelských činnostech a bezpečnostních opatřeních.
12.1 Odpovědnost každé strany podle této DPA podléhá omezením stanoveným v T&C. Nároky vznesené podle této DPA podléhají smluvním podmínkám Smlouvy, včetně tam uvedených výluk a omezení; za předpokladu, že žádná ze stran neomezila svou odpovědnost podle Smlouvy ve vztahu k právům jakéhokoli subjektu údajů podle zákonů o ochraně údajů, kde je takové omezení zakázáno platným právem.
12.2 V případě rozporu mezi Smlouvou a touto DPA mají přednost ustanovení této DPA.
Tato DPA vstupuje v platnost podpisem (nebo, pokud je Smlouva uzavřena prostřednictvím objednávkového formuláře, podpisem objednávkového formuláře) a zůstává v platnosti po dobu trvání Smlouvy. Po ukončení Smlouvy tato DPA automaticky zaniká. Závazky v sekcích 4.2 (důvěrnost), 4.8 (vrácení a smazání údajů) a 9 (oznámení o porušení) zůstávají v platnosti i po ukončení.
14.1 Rozhodné právo. Tato DPA se řídí zákony Spolkové republiky Německo. Spory podléhají ustanovením o řešení sporů obsaženým v T&C.
14.2 Změny. Změny této DPA vyžadují písemnou formu. V případě rozporu má tato DPA přednost před Smlouvou.
14.3 Oznámení. Všechna oznámení podle této DPA musí být zaslána na adresy uvedené ve Smlouvě.
14.4 Oddělitelnost. Pokud bude jakékoli ustanovení této DPA shledáno neplatným nebo nevymahatelným, zbývající ustanovení zůstanou v plné platnosti a účinnosti.
14.5 SCCs. V rozsahu, v jakém se EU SCCs dostanou do rozporu s jakýmkoli ustanovením této DPA, mají SCCs přednost v rozsahu takového rozporu. Není úmyslem stran rozporovat nebo omezovat jakékoli ustanovení SCCs.
14.6 Jazyk a překlady. Tato DPA je k dispozici v angličtině a němčině, přičemž obě verze byly přezkoumány z hlediska právní přesnosti. Anglický text je pro všechny účely, včetně výkladu, řešení sporů a vymáhání, závaznou verzí. Překlady do jiných jazyků mohou být publikovány pouze pro usnadnění orientace a nemají žádný právní účinek. V případě jakékoli nekonzistence mezi anglickým textem a jakýmkoli překladem má přednost anglický text.
Kontakt pro ochranu osobních údajů: privacy@kolsetu.com
Adresa: Kolsetu GmbH, Gaensemarkt 33, 20354 Hamburg, Německo
Název: Zákazník, jak je definován v objednávkovém formuláři nebo při registraci účtu (Elba Self-Serve)
Adresa: Jak je definováno v objednávkovém formuláři nebo při registraci účtu (Elba Self-Serve)
Kontakt: Jak je definováno v objednávkovém formuláři nebo při registraci účtu (Elba Self-Serve)
Podpis: Podnikoví zákazníci přijímají tuto DPA podpisem objednávkového formuláře. Zákazníci samoobsluhy přijímají tuto DPA dokončením registrace účtu a přijetím podmínek Elba Self-Serve. V obou případech přijetí této DPA zahrnuje, je-li to relevantní, přijetí standardních smluvních doložek EU.
Role: Správce
Název: Kolsetu GmbH
Adresa: Gaensemarkt 33, 20354 Hamburg, Německo (HRB 191266)
Kontakt pro ochranu osobních údajů: privacy@kolsetu.com
Role: Zpracovatel
Poznámka: Jelikož je Kolsetu GmbH usazena v Německu (EEA), primární vztah správce-zpracovatel nevyžaduje standardní smluvní doložky EU. SCCs se vztahují pouze na následné převody subzpracovatelům do třetích zemí, jak je uvedeno v tabulce subzpracovatelů v sekci 6 a příloze I-B.
Položka | Detail |
Předmět | Zpracování osobních údajů v souvislosti s poskytováním platformy a služeb Elba AI. |
Doba trvání | Po dobu trvání Smlouvy, pokud Správce nenavrhne dřívější smazání nebo vrácení. |
Povaha zpracování | Shromažďování, ukládání, používání, přenos a mazání osobních údajů zákazníků automatizovanými prostředky, včetně zpracování hlasových interakcí a dat konverzací pomocí AI v reálném čase. |
Účely | Poskytování a provoz platformy Elba; automatizace hlasu pomocí AI a orchestrace omnichannel; podnikové integrace; analýzy a reporting; zabezpečení a podpora. |
Kategorie údajů | Jak je uvedeno v sekci 3.3 této DPA. |
Kategorie subjektů | Jak je uvedeno v sekci 3.4 této DPA. |
Citlivé údaje (čl. 9 GDPR) | Zpracovatel zpracovává zvláštní kategorie osobních údajů výhradně na základě zdokumentovaných pokynů Správce. Správce je výhradně odpovědný za zajištění toho, aby jakékoli předkládání zvláštních kategorií údajů platformě bylo podloženo platným právním základem podle čl. 9 GDPR (nebo odpovídajícího ustanovení podle platných zákonů o ochraně údajů), že jsou splněny všechny požadované souhlasy nebo jiné podmínky a že jsou před předložením zavedena vhodná ochranná opatření. Zpracovatel aplikuje na zvláštní kategorie údajů stejná technická a organizační opatření jako na všechny ostatní osobní údaje zákazníků podle této DPA. |
Subzpracovatelé | Jak je uvedeno v příloze I-C této DPA. |
Frekvence přenosu | Pravidelně po dobu trvání Smlouvy, v závislosti na využití Služeb Správcem. |
Uchovávání | Hlasové nahrávky: jak je nastaveno Správcem (výchozí maximum 90 dní). Všechny ostatní údaje: po dobu trvání Smlouvy, pokud není dříve nařízeno smazání. |
Příslušným dozorovým úřadem je Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) v souladu s článkem 13 SCCs, jelikož Kolsetu GmbH je usazena v Hamburku v Německu.
Tento dodatek uvádí všechny subzpracovatele, které společnost Kolsetu GmbH využívá k datu účinnosti této DPA. Změny tohoto seznamu podléhají postupu oznámení a námitek podle § 6. Nová verze tohoto dodatku bude vydána Správci při změně smluv o subzpracování.
Subzpracovatel | Země | Služba | Umístění dat | Základ pro přenos |
Amazon Web Services EMEA SARL | 38 Avenue John F. Kennedy, L-1855 Lucemburk | Infrastruktura cloudu (výpočetní výkon, úložiště, síť); datová centra EU (Frankfurt) | EHP | Nepotřebuje se přenos |
Microsoft Ireland Operations Ltd. (Azure) | One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irsko | Cloud hosting a infrastruktura; datová centra EU (Frankfurt / Západní Evropa) | EHP | Nepotřebuje se přenos |
Microsoft Ireland Operations Ltd. (Azure OpenAI) | One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irsko | Odvozování AI (hlas, NLP, LLM) prostřednictvím služby Azure OpenAI; zpracováno výhradně v regionu EU Azure | EHP | Nepotřebuje se přenos |
Anthropic (Claude) | Anthropic Ireland Ltd., 77 Sir John Rogerson's Quay, Dublin 2, Irsko | Jazykový model AI pro interní bezpečnost, dodržování předpisů a provozní případy použití; region EU | EHP | Nepotřebuje se přenos |
Google Ireland Limited | Gordon House, Barrow Street, Dublin 4, Irsko | Google Workspace — interní spolupráce, e-mail, kalendář a správa dokumentů; může náhodně obsahovat data zákaznické podpory a provozní data | EHP | Nepotřebuje se přenos |
LiveKit Inc. | 4285 Payne Avenue, Suite 9154, San Jose, CA 95157, Spojené státy americké | Audio/WebRTC v reálném čase pro živé interakce s AI; data zpracovávaná v datových centrech EU (Německo) | EHP (koncový bod EU) | EU SCCs (Rozhodnutí Komise 2021/914) |
Meta Platforms Ireland Limited | Merrion Road, Ballsbridge, Dublin 4, Irsko | WhatsApp Business API - omnichannel komunikace se zákazníky přes WhatsApp; region EU | EHP | Nepotřebuje se přenos |
Twilio Ireland Limited | 25–28 North Wall Quay, Dublin 1, Irsko | Cloud API pro komunikaci (SMS, VoIP, WebRTC, dvoufaktorové ověřování) | EHP | Nepotřebuje se přenos |
Soniox | Cesta v Gorice 34B, 1000 Lublaň, Slovinsko | služba převodu řeči na text | EHP | Nepotřebuje se přenos |
Slack Technologies Limited | One Park Place, Hatch Street Upper, Dublin 2, Irsko | Interní komunikace a směrování zákaznické podpory v reálném čase; může náhodně obsahovat data interakcí se zákazníky sdílená v pracovních postupech podpory | EHP | Nepotřebuje se přenos |
Zoho Corporation GmbH | Trinkausstraße 7, 40213 Düsseldorf, Německo | CRM: akvizice zákazníků, správa účtů a podpora | EHP | Nepotřebuje se přenos |
Stripe Payments Europe Ltd. | 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, Irsko | Zpracování plateb (fakturace pro podniky) | EHP | Nepotřebuje se přenos |
UAB Revolut Business | Konstitucijos ave. 21B, Vilnius, LT-08130, Litva | Zpracování plateb (fakturace a inkaso pro podniky) | EHP | Nepotřebuje se přenos |
PayPal (Europe) S.à.r.l. et Cie, S.C.A. | 22–24 Boulevard Royal, L-2449 Lucemburk | Zpracování plateb (platby kartou a bezhotovostní transakce) | EHP | Nepotřebuje se přenos |
Společnost Kolsetu GmbH udržuje ISMS v souladu s normou ISO 27001 a tato opatření přezkoumává a aktualizuje nejméně jednou ročně. K datu účinnosti této DPA jsou zavedena následující opatření.
Doména | Závazek |
Organizace a správa | Společnost Kolsetu jmenovala CISO/DPO odpovědného za bezpečnost informací. Je udržován a nejméně jednou ročně přezkoumáván dokumentovaný rámec zásad pokrývající všechny podstatné bezpečnostní domény. |
Řízení rizik | Formální hodnocení rizik se provádějí před nasazením nových zpracovatelských činností a přezkoumávají se nejméně jednou ročně. |
Řízení přístupu | Přístup k systémům zpracovávajícím osobní údaje zákazníků je udělován na základě principu nejnižších oprávnění a potřeby vědět. Pro privilegovaný přístup je vynucováno vícefaktorové ověřování. |
Šifrování | Osobní údaje zákazníků jsou šifrovány v klidu i při přenosu pomocí standardních průmyslových algoritmů. Pro veškerá data přenášená přes veřejné sítě je vynucováno TLS. |
Fyzická bezpečnost | Infrastruktura cloudu je hostována v datových centrech s certifikací ISO 27001. Kontroly fyzického přístupu udržuje poskytovatel hostingu (Microsoft Azure). |
Bezpečnostní testování | Jsou prováděny pravidelné penetrační testy a hodnocení zranitelností. Zjištěné zranitelnosti jsou odstraněny podle časových rámců založených na závažnosti. |
Řízení incidentů | Je udržován zdokumentovaný plán reakce na incidenty. Správce je informován do 48 hodin od okamžiku, kdy se Zpracovatel dozví o porušení zabezpečení osobních údajů. |
Kontinuita podnikání | Jsou udržovány a testovány postupy zálohování a obnovy. Redundantní infrastruktura je navržena tak, aby podporovala kontinuitu služeb. |
Řízení dodavatelů | Subzpracovatelé podléhají smluvním závazkům ochrany údajů, které nejsou méně ochranné než tato DPA. Před zapracováním nových subzpracovatelů je provedena náležitá péče. |
Přístup státních orgánů | Kolsetu zavádí technická, smluvní a organizační opatření k ochraně osobních údajů zákazníka před nezákonným přístupem ze strany zahraničních orgánů, jak je dále popsáno v § 10. |