Zpracovatelská smlouva


  1. Úvodní ustanovení

  1. Smlouva o zpracování osobních údajů („Zpracovatelská smlouva“) mezi Poskytovatelem a Uživatelem Služby upravuje právní vztahy mezi Poskytovatelem jako zpracovatelem osobních údajů („Zpracovatel“) a Uživatelem jako správcem osobních údajů („Správce“).

  2. Zpracovatelská smlouva je nedílnou součástí Smluvních podmínek Služby CatAI („Podmínky“) a pojmy uvedené v této smlouvě odpovídají významu jejich definice uvedené v čl. II Podmínek, není-li ve Zpracovatelské smlouvě uvedeno jinak. V případě rozporu mezi Zpracovatelskou smlouvou a Podmínkami má přednost tato Zpracovatelská smlouva.

  3. Zpracovatelská smlouva je uzavřena a nabývá účinnosti okamžikem, kdy Správce vyjádří souhlas s Podmínkami při registraci do Služby CatAI.

  1. Předmět a účel smlouvy

  1. Zpracovatelskou smlouvou pověřuje Správce Zpracovatele ke zpracování osobních údajů Subjektů údajů, které Správce vkládá a používá v Uživatelském obsahu v rámci svého Uživatelského účtu. Osobní údaje Subjektů údajů zpracovává Zpracovatel za účelem umožnění poskytnutí Služby. Zpracovatelskou smlouvou upravují smluvní strany svá vzájemná práva a povinnosti v souladu s Nařízením Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016, obecného nařízení o ochraně osobních údajů („Nařízení GDPR”) a zákonem č. 110/2019 Sb., o zpracování osobních údajů („ZZOÚ“).

  2. Zpracovatel pro Správce technicky zajišťuje zpracování osobních údajů v rámci provozu Služby v souladu s Nařízením GDPR a ZZOÚ, a to v nezbytném rozsahu pro poskytování Služby a v rozsahu vyplývajícím z technického nastavení provedeného Správcem. Zpracovatel neprovádí aktivní kontrolu ani selekci osobních údajů vkládaných Správcem, nevystupuje jako společný správce těchto údajů, ale vystupuje výhradně jako technický subjekt umožňující jejich zpracování.

  3. Služba představuje nástroj sloužící k automatizaci procesů, práci s dokumenty, e-maily, CRM systémy, databázemi apod. V rámci poskytování Služby může docházet ke zpracování osobních údajů obsažených v datech vložených Správcem nebo zpřístupněných prostřednictvím napojených systémů Třetích stran.

  4. Ve vztahu k některým osobním údajům Správce (např. osobní údaje Správce při registraci do Uživatelského účtu) může být správcem osobních údajů i Zpracovatel, v těchto případech upravuje vztah mezi Uživatelem a Poskytovatelem dokument Zásady zpracování osobních údajů, který je nedílnou součástí Podmínek.

  1. Zpracování údajů

  1. Zpracování se může týkat identifikačních údajů, kontaktních údajů, fakturačních údajů, údajů obsažených ve smlouvách, účetních dokladech, e-mailech, databázích, CRM systémech, obrázcích, audiovizuálních zdrojích, dalších zdrojích Správce apod. Subjekty údajů mohou být zejména Správcovi zákazníci, zaměstnanci, obchodní partneři, dodavatelé nebo jiné osoby, jejichž údaje Správce v rámci své činnosti využívá. Rozsah a účel zpracování je určen výhradně Správcem prostřednictvím využívání Služby.

  2. Zpracování může zahrnovat zejména ukládání, třídění, strukturování, analýzu, vyhledávání, převody dat mezi systémy, automatické generování textových a audiovizuálních výstupů, zápis do externích aplikací, synchronizaci dat a automatizované úkony podle konfigurace nastavené Správcem.

  3. Standardní provoz Služby není určen ke zpracování zvláštních kategorií osobních údajů dle čl. 9 Nařízení GDPR, zejména údajů o zdravotním stavu, biometrických údajů nebo údajů o trestních věcech, pokud není mezi stranami písemně sjednáno jinak.

  4. Zpracovatel neodpovídá za zákonnost osobních údajů vložených Správcem ani za splnění povinností Správce podle právních předpisů. Tím není dotčena povinnost Zpracovatele upozornit Správce na pokyn, který je dle názoru Zpracovatele zjevně v rozporu s právními předpisy.

  5. Zpracovatel se zavazuje, že osobní údaje vložené Správcem do Služby nebudou bez předchozího písemného souhlasu Správce použity k trénování nebo vylepšování veřejně dostupných AI modelů Třetích stran. Zpracovatel je však oprávněn využívat anonymizovaná data (nikoliv osobní údaje) za účelem technické optimalizace a zvyšování bezpečnosti Služby.

  1. Pokyny Správce

  1. Zpracovatel zpracovává osobní údaje výhradně na základě pokynů Správce. Za pokyn Správce se považuje i technické nastavení Služby, zejména konfigurace automatizace, API propojení, definice automatizací, promptů, filtrů, pravidel rozhodování, způsobů generování výstupů.

  2. Správce odpovídá za zákonnost všech vložených údajů, za existenci právního titulu ke zpracování a za splnění informační povinnosti vůči Subjektům údajů. Správce dále odpovídá za to, že výstupy vytvořené Službou před jejich dalším použitím ověří a že automatizované procesy nastaví způsobem odpovídajícím právním předpisům a zamýšlenému účelu.

  3. Správce se zavazuje neprodleně ohlašovat všechny jemu známé skutečnosti, které jsou způsobilé ovlivnit řádné a včasné plnění závazků vyplývajících z této smlouvy a poskytnout Zpracovateli nezbytnou součinnost pro plnění jeho povinností.

  4. Zpracovatel není povinen provádět pokyny, které jsou zjevně v rozporu s právními předpisy nebo s touto smlouvu. V případě, že má Zpracovatel důvodné podezření, že pokyn Správce je v rozporu s právními předpisy, je oprávněn jeho provedení pozastavit a neprodleně o tom informovat Správce. Trvá-li Správce na takovém pokynu, nese plnou odpovědnost za jeho realizaci, včetně odpovědnosti za veškerou újmu, sankce, pokuty či jiné negativní důsledky vzniklé Zpracovateli nebo třetím osobám. Tím není dotčeno právo Zpracovatele trvat na požadavku odstranění závadného stavu, nepokračovat v plnění pokynu, odmítnout pokyn, a možnosti odstoupit od této smlouvy, resp. Podmínek.

  1. Zabezpečení a mlčenlivost

  1. Zpracovatel přijímá technická a organizační opatření odpovídající charakteru poskytované Služby a rizikům spojeným se zpracováním osobních údajů. Tato opatření zahrnují zejména ochranu přenosu dat, řízení přístupových oprávnění, evidenci přístupů, šifrování, pseudonymizace, zálohování a monitorování bezpečnostních událostí.

  2. Přístup k osobním údajům mají pouze osoby, které jsou vázány povinností mlčenlivosti a které potřebují přístup pro zajištění provozu Služby, podpory nebo bezpečnosti.

  3. Správce odpovídá za zabezpečení přístupových údajů ke svému účtu.

  4. Zpracovatel oznámí Správci bez zbytečného odkladu bezpečnostní incident, pokud lze důvodně předpokládat dopad na osobní údaje Správce. Oznámení bude obsahovat dostupné informace potřebné pro posouzení dopadu a přijetí případných opatření. Vzhledem k povaze Služby jako automatizované platformy se za splnění povinnosti oznámení bezpečnostního incidentu považuje i hromadné oznámení prostřednictvím e-mailu nebo administrátorského rozhraní Služby.

  1. Další zpracovatelé

  1. Správce souhlasí s tím, že Zpracovatel může při poskytování Služby využívat další zpracovatele, zejména poskytovatele cloudové infrastruktury, databázových systémů, komunikačních služeb, autentizačních nástrojů a poskytovatele AI modelů.

  2. Pokud Služba využívá externí AI modely, slouží tyto modely výhradně jako technický nástroj pro vytvoření odpovědi, analýzy nebo automatizovaného výstupu. Zpracovatel vybírá takové poskytovatele, kteří deklarují odpovídající ochranu zákaznických dat.

  3. Pokud při poskytování Služby dochází k přenosu osobních údajů mimo Evropský hospodářský prostor, děje se tak pouze při použití právních mechanismů odpovídajících Nařízení GDPR.

  4. Zpracovatel vede aktuální seznam všech dalších zpracovatelů na adrese https://www.catai.cz/dalsi-zpracovatele/. Zpracovatel je oprávněn seznam dalších zpracovatelů měnit. O záměru zapojit nového dalšího zpracovatele informuje Správce (např. e-mailem, aktualizací seznamu dalších zpracovatelů na výše uvedené adrese nebo v rozhraní Služby) nejméně 10 dní předem. Správce s tímto způsobem informování souhlasí. Pokud Správce nevznese do 5 dnů od oznámení odůvodněnou námitku z hlediska ochrany osobních údajů, má se za to, že se zapojením nového dalšího zpracovatele souhlasí.

  5. V závažných případech, kdy by byla ohrožena bezpečnost dat nebo provoz Služby, má Zpracovatel právo změnit dalšího zpracovatele bez předchozího upozornění Správce. Zpracovatel v takových případech upozorní Správce na takovou změnu, právo Správce vznést námitku tím není dotčeno.

  6. Správce může v rámci využívání Služby přidat do svého Uživatelského obsahu další doplňky, které je možno využít prostřednictvím Služby. Zpracovatel v takovém případě prohlašuje, že nemá žádný přímý smluvní vztah s poskytovatelem těchto doplňků a nejedná se o dalšího zpracovatele. Správce výslovně souhlasí s tím, že v takovém případě je za zpracování osobních údajů plně odpovědný Správce.

  1. Specifika Služby

  1. Správce bere na vědomí, že výstupy generované Službou mohou obsahovat nepřesnosti, neúplnosti nebo obsahově nesprávné závěry a nejsou určeny pro právní, zdravotní, finanční nebo jiné významné rozhodování.

  2. Správce není oprávněn využívat Službu pro automatizované rozhodování s vysokým dopadem bez odpovídajícího lidského dohledu ani vkládat citlivé osobní údaje, pokud nebyla sjednána zvláštní bezpečnostní úroveň.

  3. Zpracovatel neodpovídá za zákonnost dat vložených Správcem, za obsah jeho pokynů, za důsledky jím nastavených automatizací ani za právní nebo obchodní využití výstupů vytvořených Službou.

  1. Ostatní ustanovení

  1. Zpracovatel poskytne Správci přiměřenou součinnost při plnění povinností vůči Subjektům údajů a dozorovým orgánům v rozsahu technických možností Služby. Správce může požadovat doložení přijatých bezpečnostních opatření, avšak kontrola nesmí narušit provoz Služby ani ohrozit bezpečnost ostatních uživatelů.

  2. Náklady na audit vyvolaný Správcem nese Správce, včetně nákladů na součinnost Zpracovatele. Tím není dotčena odpovědnost každé ze smluvních stran za náklady vzniklé v souvislosti s kontrolou prováděnou dozorovým orgánem. Pokud je audit prováděn třetí osobou, musí tato osoba před zahájením auditu uzavřít se Zpracovatelem dohodu o mlčenlivosti. V případě, že nedojde k dohodě mezi smluvními stranami na podmínkách auditu nebo osobě, která má provádět audit, určí podmínky auditu nebo osobu auditora Zpracovatel.

  3. Správce i Zpracovatel se zavazují poskytnout si vzájemně veškerou potřebnou součinnost a podklady pro zajištění plnění práv a povinností z této smlouvy, zejména v případě jednání s Úřadem na ochranu osobních údajů nebo s jinými orgány.

  4. Správce je odpovědný za plnění povinností v souvislosti s osobními údaji Subjektů údajů, a to zejména za jejich řádné informování o zpracování osobních údajů, získání případného souhlasu se zpracováním osobních údajů, vyřizování žádostí k realizaci jejich práv (např. vznesení námitky, právo na informace, opravu, výmaz apod.), to vše v souladu s Nařízením GDPR a ZZOÚ.

  5. Pokud se Subjekt údajů obrátí přímo na Zpracovatele se žádostí o výkon svých práv, Zpracovatel tuto žádost bez zbytečného odkladu postoupí Správci, který je odpovědný za vyřízení takové žádosti. Zpracovatel poskytne Správci součinnost při vyřízení žádosti v rámci technických možností Služby. V případě, že tato součinnost přesáhne standardní technickou podporu, je Zpracovatel oprávněn účtovat Správci náklady spojené s tímto úkonem.

  6. V případě obnovy dat ze zálohy není Zpracovatel technicky schopen provést obnovu Uživatelského obsahu tak, aby osobní údaje byly v souladu s aktuálním stavem před zálohou. V takovém případě je Správce povinen obnovená data upravit tak, aby osobní údaje byly v souladu s povinnostmi Správce vůči Subjektům údajů.

  1. Doba trvání a ukončení zpracování

  1. Zpracovatelská smlouva trvá po dobu trvání smluvního vztahu ke Službě. Vypovězení této smlouvy má za následek také výpověď Podmínek. Výpověď je účinná ke konci nejbližšího měsíce, za který bylo zaplaceno předplatné Služby. 

  2. Po ukončení Služby budou data uchována v omezeném režimu zpracování pouze po dobu technicky nezbytnou pro export, zálohování, splnění zákonných povinností. Není-li stanoveno jinak, bude Uživatelský obsah uchováván po dobu maximálně 60 dnů od ukončení smluvního vztahu, po jejímž uplynutí bude nevratně vymazán, ledaže s ohledem na právní předpisy se musí některé údaje dále zpracovávat.

  3. Zpracovatel neodpovídá za ztrátu dat, pokud Správce po ukončení využívání Služby nevyužije možnost jejich exportu.

  4. Změna Zpracovatelské smlouvy je možná pouze písemným dodatkem odsouhlaseným oběma stranami.Zásady přijatelného použití Služby CatAI definují pravidla chování při využívání Služby a jsou závazné pro všechny Uživatele. Cílem je zajistit bezpečnou, etickou a zákonnou automatizaci. Uživatel je povinen dodržovat všechny povinnosti dle Nařízení AI.

Zásady přijatelného použití jsou nedílnou součástí Smluvních podmínek Služby CatAI („Podmínky“) a pojmy uvedené v těchto zásadách odpovídají významu jejich definice uvedené v čl. II Podmínek.

  1. Zákaz protiprávního a neetického jednání

Uživatel se zavazuje, že nebude Službu využívat k:

  • Generování nezákonného obsahu: Materiály propagující násilí, nenávistné projevy, terorismus, nebo sexuální zneužívání.

  • Podvodné činnosti: Vytváření phishingových e-mailů, klamavých recenzí, generování falešných dokladů nebo jiných dokumentů za účelem podvodu.

  • Dezinformacím: Vytváření a šíření prokazatelně lživých zpráv, deepfakes nebo obsahu směřujícího k ovlivňování volebních procesů.

  • Porušování práv duševního vlastnictví: Automatizované vytěžování chráněných děl bez souhlasu autora.

  1. Zakázané způsoby využití

Služba nesmí být Uživatelem využívána k:

  • Biometrické kategorizaci osob: Zařazování osob do kategorií na základě citlivých údajů (např. politické názory, náboženství, sexuální orientace).

  • Rozpoznávání emocí: Detekce emocí fyzických osob v prostorách pracoviště nebo vzdělávacích institucí.

  • Hodnocení společenského kreditu: Hodnocení nebo klasifikace fyzických osob na základě jejich společenského chování nebo osobnostních charakteristik.

  • Prediktivnímu profilování: Posuzování rizika spáchání trestného činu u fyzických osob na základě profilování nebo posuzování osobnostních rysů.

  1. Omezení v citlivých oblastech

Služba nesmí být bez explicitního písemného souhlasu a dodatečných bezpečnostních opatření využívána k:

  • Poskytování regulovaných rad: Generování právního, lékařského nebo finančního poradenství, které vyžaduje odbornou licenci.

  • Rozhodování s vysokým dopadem: Automatizované systémy, které bez lidského dohledu rozhodují o úvěrech, zaměstnání, sociálních dávkách nebo soudních řízeních.

  • Řízení a provozu kritické infrastruktury: Systémy, jejichž selhání by mohlo vést k ohrožení života, zdraví osob nebo k významným hospodářským ztrátám.

  1. Technická omezení a bezpečnost

Uživatel nesmí využívat Službu zejména k těmto činnostem:

  • Spamování: Využívat Službu k hromadnému rozesílání nevyžádaných zpráv prostřednictvím napojených e-mailů či CRM.

  • Obcházení limitů: Pokoušet se o reverzní inženýrství modelů, snaha obejít bezpečnostní filtry LLM modelů nebo automatizované přetěžování infrastruktury (DDoS).

  • Vývoji konkurence: Trénování nebo zlepšování softwarových nástrojů, které by přímo konkurovaly Službě CatAI.

  1. Ochrana soukromí

Uživatel nesmí využívat Službu ke zpracování osobních údajů, ke kterým nemá zákonný titul, nebo k pokusům o identifikaci osob z anonymizovaných datových sad.

  1. Transparentnost

Uživatel se zavazuje dodržovat tyto povinnosti:  

  • Označování obsahu: Výstupy Služby určené k interakci s lidmi nebo k veřejnému šíření musí být v souladu s požadavky na transparentnost dle Nařízení AI (zejména jasné označení, že obsah byl vytvořen AI).

  • Zákaz zneužití identity: Vydávat automatizované výstupy (např. v chatu nebo e-mailu) za komunikaci s živým člověkem způsobem, který by mohl být pro protistranu klamavý. 

  • Informační povinnost: Informování Subjektů údajů o tom, že přicházejí do styku se systémem AI.

  1. Opatření při porušení zásad

Posouzení porušení provádí Poskytovatel dle vlastního uvážení. Poskytovatel je oprávněn při porušení těchto zásad Uživatelem zvolit některé z následujících opatření:

  • upozornit Uživatele na porušení Zásad přijatelného použití,

  • dočasně omezit nebo pozastavit Uživateli přístup ke Službě,

  • zablokovat konkrétní automatizace nebo integrace,

  • odstranit závadný obsah,

  • odstoupit od smluvního vztahu,

  • vypovědět smluvní vztah s Uživatelem bez výpovědní doby,

  • oznámit jednání příslušným orgánům veřejné moci.