Smlouva o zpracování osobních údajů
Poslední aktualizace: 24. února 2026
V souladu s čl. 28 Nařízení (EU) 2016/679 (GDPR).
Kdo potřebuje tuto smlouvu? Tato Smlouva o zpracování osobních údajů se vztahuje na firemní zákazníky ("Správce"), kteří používají Veluvanto ke zpracování osobních údajů svých vlastních zákazníků, zaměstnanců nebo jiných fyzických osob v rámci svých podnikatelských aktivit. Pokud Veluvanto používáte výhradně pro osobní účely, vztahují se na vás standardní Zásady zpracování osobních údajůse uplatní.
Používáním Veluvanto jako firemní zákazník souhlasíte s podmínkami této smlouvy. Pro podepsanou smlouvu nebo enterprise verzi DPA kontaktujte legal@veluvanto.com.
1. Smluvní strany a definice
Tato Smlouva o zpracování osobních údajů ("DPA") je uzavřena mezi:
- Správce:Firemní zákazník nebo organizace, která souhlasila sPodmínky službyVeluvanto a používá Veluvanto ke zpracování osobních údajů jménem své firmy („vy“).
- Zpracovatel: Veluvanto s.r.o., Korunní 2569/108, Vinohrady, 101 00 Praha 10, IČO: 249 15 122 ("Veluvanto", "my", "nás").
Pojmy nedefinované zde mají význam stanovený v GDPR (Nařízení (EU) 2016/679).
2. Předmět a povaha zpracování
Veluvanto zpracovává osobní údaje jménem Správce za účelem poskytování služeb správy dokumentů, mezi které patří:
- Ukládání a indexování dokumentů nahraných Správcem
- AI analýza, kategorizace a extrakce metadat z dokumentů
- Plnotextové a sémantické vyhledávání v dokumentech
- Odpovědi AI chatového asistenta na základě obsahu dokumentů
- Překlad a shrnutí dokumentů
- Automatické připomínky na základě obsahu dokumentů
- Jakékoliv další funkce popsané v dokumentaci služby Veluvanto
3. Kategorie osobních údajů
Zpracovávané osobní údaje mohou zahrnovat jakékoliv osobní údaje obsažené v dokumentech nahraných Správcem, zejména: jména, adresy, e-mailové adresy, telefony, firemní údaje, finanční data (fakturované částky, bankovní účty), identifikační čísla (IČO, DIČ, rodná čísla v dokumentech) a smluvní podmínky zahrnující fyzické osoby.
Zvláštní kategorie údajů: Správce by neměl nahrávat dokumenty obsahující zvláštní kategorie osobních údajů (zdravotní údaje, rasový nebo etnický původ apod.) dle čl. 9 GDPR, pokud nezískal předchozí písemný souhlas Veluvanto. Kontaktujte nás na legal@veluvanto.com.
4. Kategorie subjektů údajů
Subjekty údajů, jejichž osobní údaje mohou být zpracovávány, zahrnují: zákazníky, dodavatele, obchodní partnery, zaměstnance nebo dodavatele Správce, případně jakékoliv další fyzické osoby, jejichž osobní údaje se vyskytují v dokumentech nahraných do služby Veluvanto.
5. Doba zpracování
Zpracování probíhá po dobu trvání smlouvy o poskytování služeb Veluvanto. Po ukončení smlouvy je s daty nakládáno způsobem popsaným v sekci 12 (Vrácení a smazání dat).
6. Povinnosti zpracovatele (Veluvanto)
Veluvanto (jako Zpracovatel) se zavazuje:
- Zpracovávat osobní údaje pouze na základě doložených pokynů Správce (Podmínky služby a tato DPA představují takové pokyny)
- Zajistit, že osoby oprávněné zpracovávat osobní údaje jsou vázány povinností mlčenlivosti
- Implementovat vhodná technická a organizační bezpečnostní opatření (čl. 32 GDPR)
- Nezapojovat další zpracovatele bez předchozího povolení, ať už konkrétního nebo obecného, od Správce (aktuální seznam povolených dalších zpracovatelů naleznete v oddíle 9)
- Pomáhat Správci při plnění žádostí o uplatnění práv subjektů údajů (čl. 15–22 GDPR)
- Pomáhat Správci s povinnostmi v oblasti bezpečnosti, oznamování porušení, posouzení vlivu na ochranu osobních údajů (DPIA) a konzultace s dozorovým úřadem
- Po ukončení poskytování služeb vymazat nebo vrátit veškeré osobní údaje (viz oddíl 12)
- Poskytnout Správci veškeré informace nezbytné k prokázání souladu s čl. 28 GDPR
- Oznamovat Správci porušení zabezpečení osobních údajů bez zbytečného odkladu (do 72 hodin od zjištění)
7. Povinnosti Správce
Správce se zavazuje:
- Zajistit existenci platného právního základu pro zpracování osobních údajů nahraných do služby Veluvanto
- Poskytnout subjektům údajů nezbytné informace o zpracování (včetně zapojení Veluvanto v roli zpracovatele)
- Zajistit, že osobní údaje poskytnuté Veluvanto jsou přesné a relevantní
- Nedávat Veluvanto pokyny ke zpracování osobních údajů způsobem, který by porušoval GDPR nebo jiné platné právní předpisy
- Dodržovat své vlastní povinnosti Správce vyplývající z GDPR
8. Technická a organizační bezpečnostní opatření
Veluvanto implementuje k ochraně osobních údajů následující bezpečnostní opatření:
8.1 Šifrování
- Přenos dat: šifrování TLS 1.2+ pro všechny přenosy dat
- Uložená data: šifrování AES-256 pro uložená data a dokumenty
8.2 Řízení přístupu
- Řízení přístupu na základě rolí (RBAC) pro všechny přístupy do systému
- Povinné vícefaktorové ověřování (MFA) pro administrativní přístup
- Uplatňování principu nejnižších možných oprávnění (least privilege) u všech pracovníků
- Uchovávání logů o přístupu ke všem datům
8.3 Bezpečnost infrastruktury
- Dokumenty a data jsou uloženy v objektovém úložišti Backblaze B2 v datových centrech v EU (Amsterdam, Nizozemsko); Backblaze je držitelem certifikace SOC 2 Type II
- Aplikační servery jsou provozovány na infrastruktuře Hetzner Online GmbH v datových centrech v EU (Německo / Finsko); Hetzner je držitelem certifikace ISO/IEC 27001:2022 (SOCOTEC, platná 2025–2028)
- Pravidelná bezpečnostní hodnocení a penetrační testování
- Postupy pro řízení zranitelností (vulnerability management) a správu záplat (patch management)
- Ochrana před DDoS útoky a monitorování bezpečnosti sítě
8.4 Organizační opatření
- Dohody o mlčenlivosti zaměstnanců a školení v oblasti ochrany osobních údajů
- Postupy pro řešení incidentů a plán reakce na porušení zabezpečení dat
- Uplatňování principů minimalizace dat v rámci celé služby
9. Další zpracovatelé
Přijetím této smlouvy Správce poskytuje obecné oprávnění pro zapojení následujících dalších zpracovatelů:
| Další zpracovatel | Účel | Umístění |
|---|---|---|
| Google LLC | Poskytovatel identity (ověřování OAuth) | USA (SCC) |
| Microsoft Corporation | Poskytovatel identity (ověřování OAuth) | EU/USA (platí Smlouva o ochraně dat Microsoft) |
| Paddle.com Market Ltd. | Zpracování plateb (prodejce — merchant of record) | UK (Rozhodnutí o přiměřenosti pro UK) |
| Google LLC (Vertex AI) | Provoz AI modelu (inference; modely Gemini) pro zpracování dokumentů, vyhledávání a AI chat | EU (Google Cloud; region europe-west; Google Cloud DPA; data API standardně nepoužívána k trénování) |
| Backblaze, Inc. | Primární objektové úložiště pro dokumenty a zálohy (B2 Cloud Storage) | EU (Amsterdam, Nizozemsko; SOC 2 Type II) |
| IDrive, Inc. | Objektové úložiště pro disaster recovery | EU (Frankfurt, Německo) |
| Hetzner Online GmbH | Cloudová infrastruktura a aplikační servery | EU (Německo / Finsko; ISO/IEC 27001:2022) |
| Cloudflare, Inc. | Síť pro doručování obsahu (CDN), ochrana proti DDoS a zabezpečení sítě (zpracovává metadata požadavků HTTP: IP adresy, řetězce user-agent, časová razítka požadavků) | USA (SCC) |
Veluvanto bude Správce informovat o zamýšlených změnách dalších zpracovatelů s předstihem nejméně 14 dní (e-mailem nebo aktualizací tohoto seznamu). Správce může do 14 dnů od oznámení vznést námitku. Pokud Veluvanto námitce nemůže vyhovět, může Správce smlouvu o poskytování služeb vypovědět.
Všichni další zpracovatelé jsou vázáni smlouvami o zpracování osobních údajů obsahujícími rovnocenné povinnosti v oblasti ochrany osobních údajů jako tato DPA.
10. Mezinárodní přenosy dat
V případech, kdy jsou osobní údaje předávány zpracovatelům mimo EHP, jsou tyto přenosy chráněny standardními smluvními doložkami (SCC) schválenými Evropskou komisí (Prováděcí rozhodnutí Komise (EU) 2021/914) nebo jinými vhodnými zárukami podle článku 46 GDPR. Správce si může vyžádat kopie těchto záruk odlegal@veluvanto.com.
11. Pomoc s právy subjektů údajů
Veluvanto bude Správci pomáhat při plnění žádostí o uplatnění práv subjektů údajů dle čl. 15–22 GDPR. Správce může řadu práv plnit přímo prostřednictvím aplikace Veluvanto (export dat, smazání účtu).
Pro žádosti vyžadující přímé zapojení Veluvanto kontaktujte privacy@veluvanto.com. Veluvanto odpoví do 5 pracovních dnů a poskytne součinnost v časovém rámci, který Správci umožní dodržet lhůty pro vyřízení žádostí stanovené v GDPR.
12. Vrácení a smazání dat
Po ukončení smlouvy nebo na žádost Správce:
- Export dat: Správce může kdykoli exportovat všechny dokumenty a data prostřednictvím exportní funkce aplikace
- Smazání po ukončení: Do 30 dnů od smazání účtu nebo ukončení smlouvy Veluvanto trvale smaže veškeré osobní údaje, včetně dokumentů, metadat a obsahu vygenerovaného AI, pokud právo EU nebo České republiky nepožaduje uložení daných osobních údajů
- Potvrzení: Na žádost Správce poskytne Veluvanto písemné potvrzení o smazání
Účetní záznamy a zákonem vyžadované auditní logy mohou být uchovávány po dobu 10 let dle zákona č. 563/1991 Sb. o účetnictví.
13. Auditní práva
Veluvanto zpřístupní veškeré informace nezbytné k prokázání souladu s touto smlouvou. Správce může požádat o:
- Dokumentaci bezpečnostních opatření a zprávy o souladu
- Audity třetích stran (certifikace ISO 27001 apod.), pokud jsou k dispozici
- Provedení auditu nebo inspekce na základě dohody (s předstihem nejméně 30 dní, na náklady Správce, s přiměřenými povinnostmi mlčenlivosti)
14. Oznámení o porušení zabezpečení
Pokud Veluvanto zjistí porušení zabezpečení osobních údajů Správce, neprodleně, nejpozději do 72 hodin od zjištění, oznámí Správci toto porušení spolu s dostupnými informacemi o jeho povaze, kategoriích a přibližném počtu dotčených subjektů údajů, pravděpodobných důsledcích a přijatých nebo navrhovaných opatřeních. Další informace budou poskytovány průběžně, jakmile budou k dispozici.
15. Rozhodné právo
Tato DPA se řídí právem České republiky a platným právem EU, včetně GDPR. Spory budou řešeny v souladu s ustanoveními o rozhodném právu v Podmínkách služby Veluvanto.
16. Podepsaná smlouva
Pokud vaše organizace vyžaduje samostatně podepsanou smlouvu (např. pro potřeby enterprise compliance), kontaktujte nás na legal@veluvanto.com. Podepsanou kopii poskytneme v přiměřené lhůtě.
17. Kontakt
Pro veškeré dotazy týkající se DPA:
Veluvanto s.r.o.
Korunní 2569/108, Vinohrady, 101 00 Praha 10
E-mail: legal@veluvanto.com
Ochrana soukromí: privacy@veluvanto.com