Smlouva o zpracování osobních údajů

Článek 1 – Strany smlouvy

Správce osobních údajů (Controller)

Operátor – právnická nebo fyzická osoba podnikatel, která uzavřela Smlouvu o poskytování služeb KraftunAI. Správce určuje účel a prostředky zpracování osobních údajů svých zákazníků (volajících).

Zpracovatel osobních údajů (Processor)

KraftunAI, Česká republika, legal@kraftunai.com. Zpracovatel zpracovává osobní údaje výhradně jménem a na základě pokynů Správce, a to za podmínek stanovených touto DPA.

Článek 2 – Předmět a účel zpracování

Předmět zpracování

Zpracovatel poskytuje Správci platformu AI telefonního asistenta, která zahrnuje příjem a zpracování telefonních hovorů, hlasovou syntézu, přepis hovorů (STT), generování odpovědí pomocí velkých jazykových modelů (LLM) a automatizované pracovní postupy (workflow) napojené na externí systémy.

Účel zpracování

Zpracování probíhá výhradně za účelem poskytování Služby: obsluha příchozích hovorů zákazníků Správce, vytváření přepisů a souhrnů hovorů, integrace s kalendáři a CRM systémy a provozování automatizovaných workflow v n8n.

Typy zpracovávaných osobních údajů

• Hlasové záznamy hovorů (audio)
• Textové přepisy hovorů (transkript)
• Telefonní čísla volajících
• Metadata hovorů: datum, čas, délka trvání, výsledek hovoru
• Obsah hovoru – může obsahovat zvláštní kategorie údajů (zdravotní, finanční nebo jiné citlivé informace) v závislosti na odvětví Správce; Správce je odpovědný za zajištění odpovídajícího právního základu pro jejich zpracování

Kategorie subjektů údajů

Koneční uživatelé – fyzické osoby, které telefonicky kontaktují Správce prostřednictvím platformy KraftunAI.

Článek 3 – Povinnosti Zpracovatele

Zpracovatel se zavazuje:

• zpracovávat osobní údaje pouze na základě zdokumentovaných pokynů Správce, pokud zpracování nevyžaduje právo EU nebo členského státu;
• zajistit, aby osoby oprávněné zpracovávat osobní údaje byly vázány povinností mlčenlivosti nebo zákonnou povinností zachovávání mlčenlivosti;
• přijmout veškerá technická a organizační opatření bezpečnosti dle čl. 32 GDPR (viz Příloha II);
• nezapojovat žádného dalšího zpracovatele (subprocesora) bez předchozího písemného souhlasu Správce, s výjimkou subprocesorů uvedených v Příloze III;
• pomáhat Správci při plnění jeho povinností vyřizovat žádosti subjektů údajů o výkon jejich práv (přístup, výmaz, přenositelnost, námitka) – žádosti předávat do 72 hodin od jejich obdržení;
• pomáhat Správci zajistit soulad s povinnostmi dle čl. 32–36 GDPR (bezpečnost, hlášení narušení, posouzení dopadů na ochranu údajů);
• po ukončení poskytování Služby na volbu Správce všechny osobní údaje vymazat nebo vrátit a vymazat stávající kopie, pokud právo EU nebo členského státu nevyžaduje jejich uložení;
• poskytnout Správci veškeré informace nezbytné k doložení souladu s touto DPA a umožnit audity a inspekce dle čl. 9.

Článek 4 – Subprocesoři

Správce obecně souhlasí se zapojením subprocesorů uvedených v Příloze III. Zpracovatel je povinen uložit subprocesorům stejné povinnosti ochrany údajů, jaké jsou uloženy jemu touto DPA.

Zpracovatel informuje Správce o plánovaných změnách v seznamu subprocesorů (přidání nebo nahrazení) nejméně 30 dní předem prostřednictvím e-mailu nebo aktualizací stránky kraftunai.com/dpa. Správce má právo vznést odůvodněnou námitku do 14 dnů od oznámení. Pokud Zpracovatel námitce nevyhoví, může Správce vypovědět Smlouvu s výpovědní dobou 30 dní bez sankce.

Aktuální seznam subprocesorů viz Příloha III.

Článek 5 – Mezinárodní přenosy osobních údajů

Zpracovatel zajišťuje, že jakýkoli přenos osobních údajů do třetích zemí mimo Evropský hospodářský prostor (EHP) probíhá na základě odpovídajících záruk ve smyslu čl. 46 GDPR – zejména prostřednictvím standardních smluvních doložek (SCC) schválených Evropskou komisí (rozhodnutí 2021/914). Relevantní SCC jsou součástí smluv uzavřených se subprocesory sídlícími mimo EHP (OpenAI, ElevenLabs, Twilio) a jsou k dispozici na vyžádání.

Článek 6 – Technická a organizační opatření (TOMs)

Zpracovatel přijal a udržuje opatření popsaná v Příloze II. Klíčová opatření zahrnují:

• Šifrování v přenosu – TLS 1.2+ pro veškerou síťovou komunikaci.
• Šifrování v klidu – AES-256 pro databáze a uložené hlasové záznamy prostřednictvím poskytovatelů infrastruktury a subprocesorů uvedených v Příloze III.
• Řízení přístupu – přístup k produkčním datům na principu nejmenšího oprávnění (least privilege), vícefaktorové ověřování (MFA) pro zaměstnance.
• Logování a monitoring – veškeré přístupy k datům jsou logovány a monitorovány; logy jsou uchovávány po dobu 90 dní.
• Disaster Recovery – zálohy databází každých 24 hodin, cíl doby obnovy (RTO) 4 hodiny, cíl bodu obnovy (RPO) 24 hodin.
• Bezpečnostní testy – pravidelné penetrační testy a interní bezpečnostní audity.

Článek 7 – Práva subjektů údajů

Zpracovatel poskytne Správci technickou pomoc při vyřizování žádostí subjektů údajů v souladu s kapitolou III GDPR (přístup, oprava, výmaz, omezení zpracování, přenositelnost, námitka). Žádosti subjektů doručené Zpracovateli budou předány Správci do 72 hodin.

Funkce výmazu a exportu dat jsou dostupné přímo v dashboardu operátora. Mazání hlasových nahrávek na vyžádání probíhá do 5 pracovních dnů.

Článek 8 – Audit a soulad s předpisy

Zpracovatel na žádost Správce poskytne:

• vyplněné bezpečnostní dotazníky (security questionnaire);
• přístup k auditu nebo nezávislé kontrole, o niž Správce požádá s přiměřeným předstihem (min. 30 dní) a maximálně jednou za 12 měsíců; náklady auditu nese Správce.

Článek 9 – Porušení ochrany osobních údajů (Data Breach)

Zpracovatel informuje Správce o jakémkoli zjištěném porušení bezpečnosti vedoucím k náhodnému nebo protiprávnímu zničení, ztrátě, pozměnění, neoprávněnému poskytnutí nebo přístupu k osobním údajům bez zbytečného odkladu, nejpozději do 24 hodin od zjištění incidentu.

Oznámení o narušení bude obsahovat alespoň:

• popis povahy narušení a jeho rozsahu;
• kategorie a přibližný počet dotčených subjektů a záznamů;
• pravděpodobné důsledky narušení;
• přijatá nebo navrhovaná nápravná opatření.

Správce je dále odpovědný za včasné hlášení narušení příslušnému dozorovému orgánu (UOOU) do 72 hodin dle čl. 33 GDPR a za případné informování subjektů údajů dle čl. 34 GDPR.

Článek 10 – Trvání a ukončení

Tato DPA nabývá účinnosti dnem uzavření Smlouvy o poskytování služeb a zaniká spolu s ní, není-li smluvními stranami dohodnuto jinak.

Po ukončení Smlouvy Zpracovatel vymaže veškeré osobní údaje Správce do 30 dnů od data ukončení, pokud právo EU nebo členského státu nevyžaduje jejich delší uložení. Zpracovatel na žádost Správce vydá písemné potvrzení o výmazu dat.

Článek 11 – Odpovědnost a odškodnění

Každá strana odpovídá za porušení svých povinností podle GDPR a této DPA v souladu s obecnými právními předpisy. Celková odpovědnost Zpracovatele vůči Správci v rámci této DPA je omezena na výši poplatků za Službu zaplacených Správcem za posledních 12 měsíců před vznikem škody, pokud závazné právní předpisy nestanoví jinak.

Omezení odpovědnosti se nevztahuje na škodu způsobenou úmyslně nebo hrubou nedbalostí.

Příloha I – Popis zpracování

Meta zpracování

Provoz AI telefonního asistenta: příjem hovorů, hlasová syntéza odpovědí, automatická transkripce, generování souhrnů, integrace s kalendáři a CRM.

Typy osobních údajů

• Hlasové záznamy (audio soubory hovorů)
• Textové přepisy (transkripce)
• Telefonní čísla
• Metadata hovorů (čas, délka, výsledek)
• Obsah konverzace (může zahrnovat citlivé informace dle kontextu Správce)

Kategorie subjektů údajů

Zákazníci Správce – fyzické osoby, které volají na telefonní čísla obsluhovaná platformou KraftunAI.

Doba zpracování

Po dobu trvání Smlouvy a 30 dní po jejím ukončení (hlasové záznamy standardně 90 dní, pokud Správce nenastaví kratší dobu).

Příloha II – Technická a organizační opatření

• Pseudonymizace a anonymizace: přepisy jsou zpracovávány bez přímé vazby na identitu volajícího, kde je to technicky možné.
• Důvěrnost: přístup k datům mají pouze oprávnění zaměstnanci vázaní mlčenlivostí; platí princip need-to-know.
• Integrita a dostupnost: automatické zálohy, monitoring dostupnosti 24/7.
• Šifrování přenosu: TLS 1.2+ na všech API endpointech a webhookách.
• Šifrování v klidu: hlasové záznamy jsou ukládány prostřednictvím ElevenLabs dle jejich bezpečnostních standardů.
• Správa přístupu: IAM role s nejmenšími oprávněními, MFA pro všechny přístupy do produkce, pravidelný přezkum oprávnění.
• Incident response: zdokumentovaný postup pro řešení bezpečnostních incidentů, SLA pro první reakci do 2 hodin.
• Bezpečnostní testy: penetrační testy minimálně jednou ročně, interní code review.

Příloha III – Seznam subprocesorů

Níže je uveden aktuální seznam subprocesorů zapojených do zpracování osobních údajů v rámci platformy KraftunAI. Poslední aktualizace: 16. května 2026.

Kontaktní informace

• Zpracovatel: KraftunAI
• Právní záležitosti / DPA: dimassskq@gmail.com
• Ochrana osobních údajů: dimassskq@gmail.com
• Zásady ochrany osobních údajů: kraftunai.com/privacy-policy