Účinnost od 27. 3. 2026

Zpracovatelská smlouva (DPA) pro Aidvisoru

Aidvisora s.r.o.

Vraňany 6, 277 07 Mlčechvosty, Česká republika

IČO: 05474434. DIČ bude uvedeno po přidělení.

Právní a privacy kontakt: podpora@aidvisora.cz.

Dohoda mezi správcem a zpracovatelem podle čl. 28 GDPR pro provoz SaaS platformy. Draft připravený pro český trh na základě oficiálních veřejných zdrojů a zadaného provozního modelu Aidvisora.

Důležité: Tento text je připraven jako praktický základ pro Aidvisoru nastavenou jako SaaS/ICT nástroj pro finanční poradce. Není koncipován jako poskytování finančního poradenství ze strany poskytovatele platformy. Před spuštěním do ostrého provozu je vhodná lokální právní kontrola zejména ve vztahu k použitým funkcím AI, billingu, reklamacím a identifikačním údajům poskytovatele.

1. Smluvní strany

Tato zpracovatelská smlouva je uzavírána mezi zákazníkem jako správcem osobních údajů a poskytovatelem služby Aidvisora jako zpracovatelem osobních údajů.

Správcem je zákazník, který určuje účely a prostředky zpracování osobních údajů svých klientů, potenciálních klientů, zaměstnanců, spolupracovníků nebo jiných osob v rámci své podnikatelské činnosti.

2. Předmět, povaha a trvání zpracování

Zpracovatel se zavazuje zpracovávat osobní údaje pro správce v rozsahu nezbytném k poskytování služby Aidvisora, zejména cloudového CRM, správy dokumentů, klientského portálu, interní evidence, workflow, exportů, notifikací a případně funkcí AI, pokud je správce využívá.

Povahou zpracování je zejména ukládání, organizování, strukturování, vyhledávání, zobrazování, zpřístupňování oprávněným osobám správce, zálohování, omezené technické přenosy, vytváření interních informativních výstupů, a další operace nezbytné pro poskytování služby.

Zpracování trvá po dobu poskytování služby a dále po dobu, po kterou je zpracovatel oprávněn nebo povinen údaje uchovávat podle smlouvy, právních předpisů nebo legitimních bezpečnostních požadavků, zejména za účelem řešení incidentů, obrany právních nároků nebo splnění archivních povinností.

3. Kategorie subjektů údajů a druhy osobních údajů

Subjekty údajů mohou zahrnovat zejména:

  • klienty a potenciální klienty správce;
  • osoby jednající za klienty právnické osoby;
  • uživatele účtu správce a členy jeho týmu;
  • další osoby, jejichž údaje správce v souladu s právními předpisy do služby vloží.

Druhy osobních údajů mohou zahrnovat zejména:

  • identifikační a kontaktní údaje;
  • údaje o smlouvách, produktech, platbách, účtech, příjmech, výdajích a jiné finanční údaje;
  • údaje z dokumentů, výpisů, interních poznámek a komunikace;
  • technické a provozní údaje spojené s užíváním služby;
  • v odůvodněných případech i zvláštní kategorie osobních údajů, pokud je správce do služby vloží a má pro takové zpracování odpovídající právní titul.

Poznámka: V oblasti životního a zdravotně souvisejícího pojištění mohou dokumenty obsahovat údaje o zdravotním stavu. Správce odpovídá za to, že takové údaje do služby vkládá pouze na základě odpovídajícího právního titulu a v rozsahu nutném pro svou činnost.

4. Pokyny správce

Zpracovatel zpracovává osobní údaje pouze na základě dokumentovaných pokynů správce, obsažených v této smlouvě, v hlavní smluvní dokumentaci, v nastavení služby, v jednotlivých pokynech správce nebo v jednáních, která jsou nezbytná pro řádné poskytování služby.

Pokud se zpracovatel domnívá, že určitý pokyn správce porušuje právní předpisy na ochranu osobních údajů, bez zbytečného odkladu na to správce upozorní.

Zpracovatel není povinen plnit pokyn, který je zjevně protiprávní, technicky neproveditelný nebo by vyžadoval nepřiměřené náklady mimo rozsah sjednané služby; o takové skutečnosti správce vhodně informuje.

5. Důvěrnost a pověřené osoby

Zpracovatel zajistí, aby osoby oprávněné zpracovávat osobní údaje byly vázány povinností mlčenlivosti, ať již smluvní, zákonnou nebo jinak odpovídajícím závazkem.

Přístup k osobním údajům budou mít pouze osoby, které jej potřebují pro plnění konkrétních úkolů souvisejících s poskytováním služby a které byly odpovídajícím způsobem proškoleny nebo instruovány.

6. Bezpečnost zpracování

Zpracovatel přijme a udržuje přiměřená technická a organizační opatření odpovídající rizikům spojeným se zpracováním, zejména s ohledem na povahu zpracovávaných údajů, rozsah služby, pravděpodobnost a závažnost možných dopadů na fyzické osoby.

  • řízení přístupů, autentizace a správa rolí;
  • šifrování nebo jiné ochranné mechanismy přenosu a ukládání, jsou-li vhodné a dostupné;
  • zajištění důvěrnosti, integrity, dostupnosti a odolnosti systémů a služeb;
  • zálohování a obnovu dostupnosti dat po incidentu;
  • evidenci incidentů a interní bezpečnostní procesy;
  • pravidelné vyhodnocování a přiměřené testování účinnosti přijatých opatření.

Podrobnější bezpečnostní opatření jsou uvedena v příloze č. 1 této zpracovatelské smlouvy.

Správce bere na vědomí, že absolutní bezpečnost nelze zaručit a že bezpečnost je společnou odpovědností smluvních stran, včetně správného nastavení uživatelských oprávnění, práce s hesly a interních procesů správce.

7. Zapojení dalších zpracovatelů

Správce uděluje zpracovateli obecné povolení zapojit další zpracovatele, pokud je to potřebné k poskytování služby. Zpracovatel bude správce přiměřeným způsobem informovat o zamýšlených změnách dalších zpracovatelů tak, aby správce mohl proti změně vznést odůvodněnou námitku.

Zpracovatel se zavazuje uložit každému dalšímu zpracovateli povinnosti v oblasti ochrany osobních údajů alespoň v rozsahu odpovídajícím této smlouvě.

Ke dni tohoto draftu mohou být do zpracování zapojeni zejména tito další zpracovatelé nebo poskytovatelé infrastruktury:

Subjekt

Služba

Lokalita

Poznámka

Supabase

cloud databáze a storage

EU projekt / dle nastavení

produkční ukládání aplikace

OpenAI

AI API a zpracování promptů/výstupů

dle nastavení projektu; preferována Evropa, je-li dostupná

pouze pro funkce AI aktivované správcem

Vercel

hosting a aplikační vrstva

dle nasazení projektu

frontend a provoz aplikace

Doplnění: Před spuštěním doplň finální seznam subprocesorů, odkazy na jejich security/privacy dokumentaci, region nasazení a interní postup oznamování změn.

8. Předávání osobních údajů mimo EHP

Zpracovatel nepředá osobní údaje do třetí země ani mezinárodní organizaci, pokud pro takové předání neexistuje odpovídající právní titul a přiměřené záruky podle použitelných právních předpisů.

Pokud jsou v rámci funkcí AI, podpory, logování nebo infrastruktury použity služby s možným prvkem mezinárodního přenosu, zpracovatel zajistí použití vhodného mechanismu, například rozhodnutí o odpovídající ochraně, standardních smluvních doložek nebo jiných přípustných záruk.

Je-li dostupné regionální nastavení v rámci EHP nebo Evropy, zpracovatel usiluje o jeho využití pro produkční zpracování odpovídající povaze služby a smluvnímu nastavení.

9. Součinnost vůči správci

  • Zpracovatel poskytne správci přiměřenou součinnost při vyřizování práv subjektů údajů, pokud takové žádosti nemůže správce obsloužit sám prostřednictvím funkce služby.
  • Zpracovatel poskytne správci přiměřenou součinnost při posuzování incidentů, bezpečnostních opatření, posouzení vlivu na ochranu osobních údajů a případné předchozí konzultaci s dozorovým úřadem, pokud je to s ohledem na povahu zpracování relevantní.
  • Pokud zpracovatel obdrží žádost subjektu údajů nebo orgánu veřejné moci týkající se údajů, které zpracovává jménem správce, bez zbytečného odkladu o tom správce informuje, pokud mu v tom nebrání právní předpis.

10. Bezpečnostní incidenty

Zjistí-li zpracovatel porušení zabezpečení osobních údajů, které se týká údajů zpracovávaných pro správce, oznámí tuto skutečnost správci bez zbytečného odkladu po zjištění incidentu.

Oznámení bude v přiměřeném rozsahu obsahovat alespoň popis povahy incidentu, dotčené kategorie údajů, dotčené systémy, pravděpodobné důsledky a přijatá nebo navrhovaná opatření, pokud jsou v daném okamžiku známá.

Zpracovatel nenese odpovědnost za incident způsobený výlučně jednáním správce, jeho uživatelů, koncových klientů správce nebo třetích osob mimo sféru vlivu zpracovatele.

11. Audit a prokazování souladu

Zpracovatel na rozumnou žádost správce poskytne informace nezbytné k prokázání souladu s touto smlouvou.

Pokud správce požaduje audit nebo inspekci, uskuteční se po předchozí dohodě, v přiměřeném rozsahu, za zachování důvěrnosti a bezpečnosti ostatních zákazníků a systémů, a na náklady správce, nevyplývá-li audit z prokazatelného porušení povinností zpracovatelem.

Zpracovatel může namísto individuálního auditu poskytnout vhodné zprávy, certifikace, bezpečnostní dotazníky nebo jinou obdobnou dokumentaci, pokud tím přiměřeně prokáže plnění svých povinností.

12. Vrácení a výmaz údajů po skončení služby

Po skončení poskytování služby umožní zpracovatel správci po přiměřenou dobu export dat nebo jiný technicky rozumný způsob převzetí údajů, pokud to odpovídá povaze služby a placenému tarifu.

Po uplynutí této doby zpracovatel osobní údaje vymaže nebo anonymizuje, není-li povinen je dále uchovávat podle právního předpisu, oprávněného bezpečnostního režimu, interních logovacích povinností nebo z důvodu ochrany svých právních nároků.

Zálohy a bezpečnostní kopie mohou být vymazány v rámci běžného retenčního cyklu, pokud nejsou dále aktivně používány.

13. Odpovědnost

Každá strana odpovídá za porušení svých vlastních povinností podle právních předpisů a této smlouvy.

Zpracovatel neodpovídá za zákonnost pokynů správce, za právní titul správce ke zpracování osobních údajů, za informační povinnosti správce ani za komunikaci správce se subjekty údajů.

Tím nejsou dotčena práva třetích osob ani odpovědnost, kterou nelze podle kogentních právních předpisů vyloučit nebo omezit.

14. Závěrečná ustanovení

Tato zpracovatelská smlouva tvoří nedílnou součást smluvní dokumentace ke službě Aidvisora.

V případě rozporu má tato zpracovatelská smlouva přednost v otázkách zpracování osobních údajů před obecnými ustanoveními obchodních podmínek.

Tato smlouva nabývá účinnosti dnem uzavření hlavní smlouvy nebo dnem aktivace služby, podle toho, co nastane dříve.

Příloha č. 1 - Bezpečnostní a organizační opatření

  • řízení identit a přístupů, včetně role-based access, zásady minimálních oprávnění a interního schvalování přístupů;
  • přenos dat přes zabezpečené protokoly a ochrana autentizačních údajů;
  • logování bezpečnostně relevantních operací v přiměřeném rozsahu;
  • segmentace prostředí, oddělení produkčního a vývojového prostředí, kde je to vhodné;
  • zálohy a proces obnovy po incidentu;
  • interní procesy pro řešení bezpečnostních incidentů a eskalaci;
  • omezení přístupu zaměstnanců a spolupracovníků k produkčním datům pouze na nutný rozsah;
  • průběžná správa aktualizací a záplat v rozsahu odpovídajícím architektuře služby;
  • procesy pro hodnocení a výběr klíčových poskytovatelů infrastruktury a subprocesorů;
  • dokumentace a přiměřené testování opatření podle vývoje rizik a služby.

K provoznímu doplnění: Je vhodné doplnit interní bezpečnostní přílohu mimo veřejné smluvní dokumenty: skutečné retenční lhůty, MFA politiku, incident response kontakty, zálohovací okna, RTO/RPO, přehled subprocesorů a regionální nastavení u poskytovatele AI API.