dle čl. 28 Nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR)

Tato smlouva o zpracování osobních údajů (dále jen „DPA“) tvoří nedílnou součást Všeobecných obchodních podmínek (dále jen „VOP“) pro využívání softwaru a doplňku do webového prohlížeče (dále jen „Služba“).

Smluvní strany

1. Zpracovatel: Newt, s.r.o., IČO: 23532947, se sídlem Křejpského 1529/3, Chodov, 149 00 Praha.
2. Správce: Podnikatel (B2B klient), který Službu užívá na základě VOP a jehož jménem dochází k analýze dat přes Službu.

Tato DPA se uzavírá automaticky akceptací VOP ze strany Správce, pokud při užívání Služby dochází ke zpracování osobních údajů třetích osob (např. klientů či zaměstnanců Správce), a to výhradně v režimech, kdy data procházejí přes infrastrukturu Zpracovatele. Zpracovatel nevystupuje v roli zpracovatele osobních údajů v případech, kdy Služba funguje v přímém BYOK režimu a komunikuje z koncového zařízení přímo s API třetí strany, jelikož k těmto datům nemá Zpracovatel přístup. V případě, že Správce využívá funkce spojené s uživatelským účtem (např. synchronizace historie, ukládání vlastních promptů), vztahuje se tato DPA na data uložená či přenášená přes infrastrukturu Zpracovatele i v režimu BYOK.

1. Předmět, povaha a účel zpracování

1.1. Zpracovatel se zavazuje pro Správce zpracovávat osobní údaje výhradně za účelem poskytování Služby dle VOP, zejména pro účely technického routingu, dočasného uložení (caching), deduplikace požadavků, vedení historie analýz ve webovém rozhraní, odbavení požadavků zasílaných prostřednictvím API či integrací typu MCP a odeslání obsahu k analýze prostřednictvím API umělé inteligence.

1.2. Zpracování probíhá automatizovaně prostřednictvím softwarové infrastruktury Zpracovatele.

2. Typy osobních údajů a kategorie subjektů údajů

2.1. Kategorie subjektů údajů: Osoby, jejichž osobní údaje se nacházejí v textovém obsahu webových stránek, které Správce (nebo jeho uživatelé) prostřednictvím Služby odešle k analýze.

2.2. Typy údajů: Běžné osobní údaje obsažené v analyzovaných textech (např. jména, kontaktní údaje, pracovní pozice).

2.3. Přísný zákaz citlivých údajů: V souladu s VOP je Správci přísně zakázáno odesílat prostřednictvím Služby zvláštní kategorie osobních údajů (čl. 9 GDPR), údaje o trestních odsouzeních, bankovní tajemství či hesla. Zpracovatel nenese odpovědnost za zpracování těchto údajů, pokud je Správce odešle v rozporu s tímto zákazem.

3. Práva a povinnosti Zpracovatele

3.1. Zpracovatel zpracovává osobní údaje pouze na základě doložených pokynů Správce. Za pokyn se považuje samotné odeslání požadavku na analýzu webové stránky prostřednictvím rozhraní Služby.

3.2. Zpracovatel zajistí, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti. Zpracovatel obsah odesílaný Správcem proaktivně nemonitoruje.

3.3. Zpracovatel po ukončení poskytování Služby (ukončení předplatného či zrušení účtu) všechny osobní údaje vymaže, ledaže právo Unie nebo členského státu požaduje uložení daných osobních údajů. Dočasná serverová cache je promazávána a přepisována průběžně automatizovanými procesy. Data trvale uložená v historii účtu jsou vymazána při zrušení účtu Správce nebo při jejich manuálním odstranění Správcem.

4. Zapojení dalších zpracovatelů (Subdodavatelé)

4.1. Správce uděluje Zpracovateli obecné povolení k zapojení dalších zpracovatelů (subdodavatelů) do zpracování. Zpracovatel aktuálně využívá tyto kategorie subdodavatelů:

• Poskytovatelé cloudového hostingu a infrastruktury.
• Poskytovatelé generativní umělé inteligence a API (např. OpenAI, Google), pokud Služba nefunguje ve výlučném BYOK režimu Správce.

4.2. Zpracovatel informuje Správce o veškerých zamýšlených změnách týkajících se přijetí nebo nahrazení dalších zpracovatelů formou aktualizace Zásad ochrany osobních údajů či upozorněním v rozhraní Služby, čímž dá Správci příležitost vyslovit vůči těmto změnám námitky.

4.3. Předávání mimo EU/EHP a odpovědnost Správce:

a) Subdodavatelé Zpracovatele (včetně AI integrované Zpracovatelem): U subdodavatelů, které pro zajištění běhu Služby a analýzu dat určuje Zpracovatel (zejména poskytovatelé cloudového hostingu a poskytovatelé AI modelů dostupných přímo v rámci plánů Služby, které nefungují v BYOK režimu), Zpracovatel zajišťuje, že případné předání osobních údajů do třetích zemí je ošetřeno platným mechanismem dle kapitoly V GDPR (např. Data Privacy Framework nebo Standardní smluvní doložky).

b) Přímý BYOK režim (vlastní API klíč Správce): V případě užití Služby v přímém BYOK režimu s využitím API klíče Správce nevystupuje poskytovatel AI v roli subdodavatele Zpracovatele. Přenos dat podléhá výlučně smluvnímu a právnímu vztahu mezi Správcem a jím zvoleným poskytovatelem AI a Správce nese výhradní odpovědnost za posouzení zákonnosti takového přenosu.

5. Zabezpečení osobních údajů

5.1. S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu a účelům zpracování přijal Zpracovatel vhodná technická a organizační opatření, aby zajistil úroveň zabezpečení odpovídající danému riziku (čl. 32 GDPR).

5.2. Opatření zahrnují zejména šifrování dat při přenosu (HTTPS/TLS), řízení přístupů k infrastruktuře a zabezpečení serverů.

6. Součinnost a audity

6.1. Zpracovatel poskytne Správci v maximální možné míře součinnost prostřednictvím vhodných technických a organizačních opatření při plnění povinností Správce reagovat na žádosti o výkon práv subjektů údajů (např. právo na výmaz či přístup).

6.2. Zpracovatel ohlásí Správci bez zbytečného odkladu jakékoliv porušení zabezpečení osobních údajů, jakmile se o něm dozví.

6.3. Zpracovatel poskytne Správci informace potřebné k doložení toho, že byly splněny povinnosti stanovené v čl. 28 GDPR. Právo Správce na audit se provádí přednostně poskytnutím písemných informací, případně doložením bezpečnostních certifikátů Zpracovatele či jeho subdodavatelů.

7. Závěrečná ustanovení

7.1. Tato DPA se uzavírá na dobu trvání platnosti předplatného nebo doby, po kterou Správce oprávněně využívá Službu.

7.2. Otázky výslovně neupravené touto DPA se řídí VOP a právním řádem České republiky. V případě rozporu mezi VOP a touto DPA mají u otázek ochrany osobních údajů přednost ustanovení této DPA.