SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ (DPA)

(čl. 28 GDPR)

Poslední aktualizace: 1. 1. 2026

Tato Smlouva o zpracování osobních údajů („DPA“) tvoří součást Podmínek služby („Smlouva“) mezi společností Basad, s.r.o. („Poskytovatel“ nebo „Zpracovatel“) a uživatelem Služby („Zákazník“ nebo „Správce“).

1. Preambule a rozsah

Tato DPA se vztahuje na rozsah, v jakém Poskytovatel zpracovává Osobní údaje jménem Zákazníka v průběhu poskytování Služby. Stanovuje práva a povinnosti stran podle čl. 28 Nařízení (EU) 2016/679 (GDPR).

2. Definice

  • „Osobní údaje“ znamenají jakékoli informace týkající se identifikované nebo identifikovatelné fyzické osoby zpracovávané Poskytovatelem jménem Zákazníka.
  • „Zpracování“ znamená jakoukoli operaci prováděnou s Osobními údaji, jako je shromažďování, ukládání, používání nebo výmaz.
  • „Podzpracovatel“ znamená jakoukoli třetí stranu, kterou Poskytovatel pověřil, aby mu pomohla při plnění jeho povinností.

3. Podrobnosti o zpracování

3.1 Předmět a trvání

Předmětem zpracování je poskytování Služby AI právního asistenta. Trvání odpovídá době trvání Smlouvy.

3.2 Povaha a účel

Poskytovatel zpracovává Osobní údaje za účelem poskytování, údržby a zabezpečení Služby (SaaS), včetně analýzy dokumentů a generování výstupů AI.

3.3 Typy Osobních údajů

Údaje obsažené v dokumentech a textových zadáních nahraných Zákazníkem (např. jména, adresy, podrobnosti případu) a údaje o účtu.

3.4 Kategorie Subjektů údajů

Klienti Zákazníka, zaměstnanci, protistrany nebo jiné osoby zmíněné v dokumentech Zákazníka.

4. Povinnosti Zákazníka (Správce)

Zákazník odpovídá za zákonnost zpracování a zaručuje, že má právní základ pro zpracování Osobních údajů a pro udělení pokynu Poskytovateli k jejich zpracování.

5. Povinnosti Poskytovatele (Zpracovatel)

  • Pokyny: Zpracovávat Osobní údaje pouze na základě doložených pokynů Zákazníka (včetně této DPA a funkcí Služby), pokud právo EU nebo členského státu nestanoví jinak.
  • Mlčenlivost: Zajistit, aby se osoby oprávněné zpracovávat Osobní údaje zavázaly k mlčenlivosti.
  • Bezpečnost: Přijmout vhodná technická a organizační opatření k zajištění úrovně bezpečnosti odpovídající riziku (čl. 32 GDPR).
  • Žádné trénování: Poskytovatel výslovně souhlasí, že NEBUDE používat Osobní údaje Zákazníka k trénování svých obecných modelů AI nebo velkých jazykových modelů (LLM) ve prospěch jiných zákazníků.

6. Zapojení dalších zpracovatelů

Zákazník uděluje Poskytovateli obecné povolení k zapojení Podzpracovatelů. Současní Podzpracovatelé zahrnují:
  • OpenAI, L.L.C. (Modely AI, USA)
  • Anthropic, PBC (Modely AI, USA)
  • Vercel Inc. (Hosting, USA)
  • Amazon Web Services (AWS) (Cloudová infrastruktura, EU/USA)
  • Pinecone Systems Inc. (Vektorová databáze, USA)

Poskytovatel uzavře s Podzpracovateli písemné smlouvy poskytující alespoň stejnou úroveň ochrany údajů jako tato DPA. Přenosy do USA jsou chráněny Rámcem ochrany osobních údajů mezi EU a USA nebo Standardními smluvními doložkami (SCC).

7. Práva subjektů údajů

S přihlédnutím k povaze zpracování bude Poskytovatel nápomocen Zákazníkovi prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění povinnosti Zákazníka reagovat na žádosti o výkon práv subjektu údajů.

8. Bezpečnostní incidenty

Poskytovatel oznámí Zákazníkovi bez zbytečného odkladu poté, co se dozví o porušení zabezpečení Osobních údajů. Oznámení musí obsahovat alespoň informace vyžadované čl. 33 odst. 3 GDPR.

9. Práva na audit

Poskytovatel zpřístupní Zákazníkovi veškeré informace nezbytné k prokázání souladu s touto DPA a umožní audity, včetně kontrol, prováděné Zákazníkem nebo jiným auditorem pověřeným Zákazníkem, a bude se na nich podílet.

10. Ukončení a výmaz

Po ukončení poskytování Služby Poskytovatel podle volby Zákazníka vymaže nebo vrátí všechny Osobní údaje Zákazníkovi, pokud právo EU nebo členského státu nevyžaduje uložení Osobních údajů.