1. Smluvní strany a definice

Tato Smlouva o zpracování osobních údajů ("DPA") je uzavřena mezi:

Správce: Firemní zákazník nebo organizace, která přijala Podmínky služby Veluvanto a používá Veluvanto ke zpracování osobních údajů v rámci svého podnikání.
Zpracovatel: Veluvanto s.r.o., Korunní 2569/108, Vinohrady, 101 00 Praha 10, IČO: 249 15 122 ("Veluvanto", "my", "nás").

Pojmy nedefinované zde mají význam stanovený v GDPR (Nařízení (EU) 2016/679).

2. Předmět a povaha zpracování

Veluvanto zpracovává osobní údaje jménem Správce za účelem poskytování služeb správy dokumentů, mezi které patří:

Ukládání a indexování dokumentů nahraných Správcem
AI analýza, kategorizace a extrakce metadat z dokumentů
Plnotextové a sémantické vyhledávání v dokumentech
Odpovědi AI chatového asistenta na základě obsahu dokumentů
Překlad a shrnutí dokumentů
Automatické připomínky na základě obsahu dokumentů
Jakékoliv další funkce popsané v dokumentaci služby Veluvanto

3. Kategorie osobních údajů

Zpracovávané osobní údaje mohou zahrnovat jakékoliv osobní údaje obsažené v dokumentech nahraných Správcem, zejména: jména, adresy, e-mailové adresy, telefony, firemní údaje, finanční data (fakturované částky, bankovní účty), identifikační čísla (IČO, DIČ, rodná čísla v dokumentech) a smluvní podmínky zahrnující fyzické osoby.

Zvláštní kategorie údajů: Správce by neměl nahrávat dokumenty obsahující zvláštní kategorie osobních údajů (zdravotní údaje, rasový nebo etnický původ apod.) dle čl. 9 GDPR, pokud nezískal předchozí písemný souhlas Veluvanto. Kontaktujte nás na legal@veluvanto.com.

4. Kategorie subjektů údajů

Subjekty údajů, jejichž osobní údaje mohou být zpracovávány, zahrnují: zákazníky, dodavatele, obchodní partnery, zaměstnance nebo dodavatele Správce, případně jakékoliv další fyzické osoby, jejichž osobní údaje se vyskytují v dokumentech nahraných do služby Veluvanto.

5. Doba zpracování

Zpracování probíhá po dobu trvání smlouvy o poskytování služeb Veluvanto. Po ukončení smlouvy je s daty nakládáno způsobem popsaným v sekci 12 (Vrácení a smazání dat).

6. Povinnosti zpracovatele (Veluvanto)

Veluvanto (jako Zpracovatel) se zavazuje:

Zpracovávat osobní údaje pouze na základě doložených pokynů Správce (Podmínky služby a tato DPA představují takové pokyny)
Zajistit, že osoby oprávněné zpracovávat osobní údaje jsou vázány povinností mlčenlivosti
Implementovat vhodná technická a organizační bezpečnostní opatření (čl. 32 GDPR)
Nezapojovat další zpracovatele bez předchozího konkrétního nebo obecného povolení od Správce (viz §9 — aktuální seznam schválených dalších zpracovatelů)
Pomáhat Správci při plnění žádostí o uplatnění práv subjektů údajů (čl. 15–22 GDPR)
Pomáhat Správci s povinnostmi v oblasti bezpečnosti, oznamování porušení, posouzení vlivu na ochranu osobních údajů (DPIA) a konzultace s dozorovým úřadem
Smazat nebo vrátit veškeré osobní údaje po ukončení smlouvy (viz §12)
Poskytnout Správci veškeré informace nezbytné k prokázání souladu s čl. 28 GDPR
Oznamovat Správci porušení zabezpečení osobních údajů bez zbytečného odkladu (do 72 hodin od zjištění)

7. Povinnosti Správce

Správce se zavazuje:

Zajistit existenci platného právního základu pro zpracování osobních údajů nahraných do služby Veluvanto
Poskytnout subjektům údajů nezbytné informace o zpracování (včetně zapojení Veluvanto v roli zpracovatele)
Zajistit, že osobní údaje poskytnuté Veluvanto jsou přesné a relevantní
Nedávat Veluvanto pokyny ke zpracování osobních údajů způsobem, který by porušoval GDPR nebo jiné platné právní předpisy
Dodržovat své vlastní povinnosti Správce vyplývající z GDPR

8. Technická a organizační bezpečnostní opatření

Veluvanto implementuje k ochraně osobních údajů následující bezpečnostní opatření:

8.1 Šifrování

Přenos dat: šifrování TLS 1.2+ pro všechny přenosy dat
Uložená data: šifrování AES-256 pro uložená data a dokumenty

8.2 Řízení přístupu

Řízení přístupu na základě rolí (RBAC) pro všechny přístupy do systému
Povinné vícefaktorové ověřování (MFA) pro administrativní přístup
Uplatňování principu nejnižších možných oprávnění (least privilege) u všech pracovníků
Uchovávání logů o přístupu ke všem datům

8.3 Bezpečnost infrastruktury

Dokumenty a data jsou uloženy v objektovém úložišti Backblaze B2 v datových centrech v EU (Amsterdam, Nizozemsko); Backblaze je držitelem certifikace SOC 2 Type II
Aplikační servery jsou provozovány na infrastruktuře Hetzner Online GmbH v datových centrech v EU (Německo / Finsko); Hetzner je držitelem certifikace ISO/IEC 27001:2022 (SOCOTEC, platná 2025–2028)
Pravidelná bezpečnostní hodnocení a penetrační testování
Postupy pro řízení zranitelností (vulnerability management) a správu záplat (patch management)
Ochrana před DDoS útoky a monitorování bezpečnosti sítě

8.4 Organizační opatření

Dohody o mlčenlivosti zaměstnanců a školení v oblasti ochrany osobních údajů
Postupy pro řešení incidentů a plán reakce na porušení zabezpečení dat
Uplatňování principů minimalizace dat v rámci celé služby

9. Další zpracovatelé

Přijetím této smlouvy Správce poskytuje obecné oprávnění pro zapojení následujících dalších zpracovatelů:

Další zpracovatel	Účel	Umístění
Google LLC	Poskytovatel identity (ověřování OAuth)	USA (SCC)
Microsoft Corporation	Poskytovatel identity (ověřování OAuth)	EU/USA (platí Smlouva o ochraně dat Microsoft)
Paddle.com Market Ltd.	Zpracování plateb (prodejce — merchant of record)	UK (Rozhodnutí o přiměřenosti pro UK)
Google LLC (Vertex AI)	Provoz AI modelu (inference; modely Gemini) pro zpracování dokumentů, vyhledávání a AI chat	EU (Google Cloud; region europe-west; Google Cloud DPA; data API standardně nepoužívána k trénování)
Backblaze, Inc.	Primární objektové úložiště pro dokumenty a zálohy (B2 Cloud Storage)	EU (Amsterdam, Nizozemsko; SOC 2 Type II)
IDrive, Inc.	Objektové úložiště pro disaster recovery	EU (Frankfurt, Německo)
Hetzner Online GmbH	Cloudová infrastruktura a aplikační servery	EU (Německo / Finsko; ISO/IEC 27001:2022)
Collabora Online	Software pro prohlížení a renderování dokumentů (protokol WOPI); nasazený a provozovaný výhradně na naší vlastní infrastruktuře; Collabora Productivity Ltd. nemá přístup k datům; není dalším zpracovatelem	EU (naše vlastní infrastruktura; žádný mezinárodní přenos)
Cloudflare, Inc.	Síť pro dodání obsahu (CDN) a bezpečnostní služby (ochrana před DDoS, optimalizace výkonu); zpracovává metadata HTTP požadavků: IP adresy, user-agent, časová razítka	USA (SCC)

Veluvanto bude Správce informovat o zamýšlených změnách dalších zpracovatelů s předstihem nejméně 14 dní (e-mailem nebo aktualizací tohoto seznamu). Správce může do 14 dnů od oznámení vznést námitku. Pokud Veluvanto námitce nemůže vyhovět, může Správce smlouvu o poskytování služeb vypovědět.

Všichni další zpracovatelé jsou vázáni smlouvami o zpracování osobních údajů obsahujícími rovnocenné povinnosti v oblasti ochrany osobních údajů jako tato DPA.

10. Mezinárodní přenosy dat

Pokud jsou osobní údaje předávány dalším zpracovatelům mimo EHP, jsou takové přenosy chráněny standardními smluvními doložkami (SCC) přijatými Evropskou komisí (prováděcí rozhodnutí Komise (EU) 2021/914) nebo jinými vhodnými zárukami dle čl. 46 GDPR. Přenosy do Spojeného království jsou kryty Rozhodnutím o přiměřenosti pro UK. Správce může požádat o kopii příslušných záruk na legal@veluvanto.com.

11. Pomoc s právy subjektů údajů

Veluvanto bude Správci pomáhat při plnění žádostí o uplatnění práv subjektů údajů dle čl. 15–22 GDPR. Správce může řadu práv plnit přímo prostřednictvím aplikace Veluvanto (export dat, smazání účtu).

Pro žádosti vyžadující přímé zapojení Veluvanto kontaktujte privacy@veluvanto.com. Veluvanto odpoví do 5 pracovních dnů a poskytne součinnost v časovém rámci, který Správci umožní dodržet lhůty pro vyřízení žádostí stanovené v GDPR.

12. Vrácení a smazání dat

Po ukončení smlouvy nebo na žádost Správce:

Export dat: Správce může kdykoli exportovat všechny dokumenty a data prostřednictvím exportní funkce aplikace
Smazání po ukončení: Do 30 dnů od smazání účtu nebo ukončení smlouvy Veluvanto trvale smaže veškeré osobní údaje, včetně dokumentů, metadat a obsahu vygenerovaného AI, pokud právo EU nebo České republiky nepožaduje uložení daných osobních údajů
Potvrzení: Na žádost Správce poskytne Veluvanto písemné potvrzení o smazání

Účetní záznamy a zákonem vyžadované auditní logy mohou být uchovávány po dobu 10 let dle zákona č. 563/1991 Sb. o účetnictví.

13. Auditní práva

Veluvanto zpřístupní veškeré informace nezbytné k prokázání souladu s touto smlouvou. Správce může požádat o:

Dokumentaci bezpečnostních opatření a zprávy o souladu
Audity třetích stran (certifikace ISO 27001 apod.), pokud jsou k dispozici
Provedení auditu nebo inspekce na základě dohody (s předstihem nejméně 30 dní, na náklady Správce, s přiměřenými povinnostmi mlčenlivosti)

14. Oznámení o porušení zabezpečení

Pokud Veluvanto zjistí porušení zabezpečení osobních údajů Správce, neprodleně, nejpozději do 72 hodin od zjištění, oznámí Správci toto porušení spolu s dostupnými informacemi o jeho povaze, kategoriích a přibližném počtu dotčených subjektů údajů, pravděpodobných důsledcích a přijatých nebo navrhovaných opatřeních. Další informace budou poskytovány průběžně, jakmile budou k dispozici.

15. Rozhodné právo

Tato DPA se řídí právem České republiky a platným právem EU, včetně GDPR. Spory budou řešeny v souladu s ustanoveními o rozhodném právu v Podmínkách služby Veluvanto.

16. Podepsaná smlouva

Pokud vaše organizace vyžaduje samostatně podepsanou smlouvu (např. pro potřeby enterprise compliance), kontaktujte nás na legal@veluvanto.com. Podepsanou kopii poskytneme v přiměřené lhůtě.

17. Kontakt

Pro veškeré dotazy týkající se DPA:

Veluvanto s.r.o.
Korunní 2569/108, Vinohrady, 101 00 Praha 10
E-mail: legal@veluvanto.com
Ochrana soukromí: privacy@veluvanto.com