Smlouva o zpracování osobních údajů (DPA)

Tato Smlouva o zpracování osobních údajů (dále jen „DPA") doplňuje Obchodní podmínky služby Daxlyze a upravuje pravidla zpracování osobních údajů mezi Správcem (vám jako klientem Služby) a Zpracovatelem (provozovatelem Daxlyze). Uzavírá se podle čl. 28 Nařízení (EU) 2016/679 (GDPR) ve spojení se zákonem č. 110/2019 Sb.

Smluvní strany

Správce (dále jen „Správce" nebo „Klient"):
Fyzická nebo právnická osoba, která si založila účet ve Službě Daxlyze a nasadila tracking skript na svůj web. Identifikační údaje Správce jsou uvedeny v profilu jeho účtu a zaznamenány při akceptaci této DPA při registraci.

Zpracovatel (dále jen „Zpracovatel" nebo „Daxlyze"):

2.1 Předmět

Zpracovatel provozuje analytickou Službu Daxlyze, kterou Správce používá k měření návštěvnosti, chování uživatelů, konverzí a provádění A/B testů na svém webu. Zpracovatel zpracovává osobní údaje výhradně v rozsahu nezbytném pro poskytování této Služby.

2.2 Povaha zpracování

Zpracování zahrnuje:

• Automatizovaný sběr technických metadat o návštěvách webu Správce
• Ukládání agregovaných statistických dat
• Denní rotaci anonymního identifikátoru návštěvníka (hash) s per-site saltem
• Zobrazování výsledků ve webovém rozhraní Správce
• Volitelně: generování AI návrhů obsahu (modul AI Audit — viz kap. 10)
• Zasílání notifikací Správci (email)
• Mazání dat podle retenčních pravidel

Zpracovatel NEPROVÁDÍ:

• Automatizované individuální rozhodování s právními nebo obdobně významnými účinky pro Subjekty údajů (čl. 22 Nařízení)
• Předávání údajů reklamním sítím či datovým brokerům pro účely cílení reklamy
• Obchodování s osobními údaji, jejich sdílení s třetími stranami mimo rámec Sub-zpracovatelů uvedených v Příloze 3, ani jejich prodej

2.3 Účel zpracování

1. Poskytování analytické Služby Správci
2. Technická údržba a bezpečnost Služby (rate limiting, detekce botů)
3. Vystavování faktur a plnění daňových povinností
4. Splnění zákonných povinností vůči orgánům veřejné moci

3.1 Typy osobních údajů

Zpracovatel NEZPRACOVÁVÁ zvláštní kategorie osobních údajů podle čl. 9 Nařízení ani údaje o odsouzeních podle čl. 10 Nařízení. Správce se zavazuje nepoužívat Službu způsobem, který by vedl ke zpracování těchto kategorií.

3.2 Kategorie subjektů údajů

Podle této DPA Zpracovatel zpracovává jako zpracovatel osobní údaje následujících kategorií subjektů údajů:

• Návštěvníci webu Správce — fyzické osoby přistupující na web, kde je nasazen tracking skript Daxlyze

Pro odstranění pochybností: údaje Správce jako uživatele Služby Daxlyze (email, heslo, fakturační údaje, chování v dashboardu) a případných zaměstnanců Správce používajících dashboard NEJSOU předmětem této DPA — pro tyto údaje Zpracovatel vystupuje jako správce a řídí se svými Zásadami ochrany osobních údajů (daxlyze.com/privacy).

4.1 Trvání smluvního vztahu

DPA platí po celou dobu trvání aktivního účtu Správce a po dobu nezbytně nutnou k vrácení nebo výmazu dat po ukončení.

4.2 Retenční doby

Po uplynutí retenčních dob jsou data automaticky mazána. Pokud si Správce přeje archivovat historická analytická data nad rámec 25měsíčního limitu, má k dispozici funkci Export dat v dashboardu (ZIP archiv ve formátech JSON + CSV), který si může stáhnout a uchovávat v rámci vlastních systémů pod svou odpovědností jako správce.

5.1 Zpracování pouze na pokyn Správce

Zpracovatel se zavazuje zpracovávat osobní údaje výhradně na základě doložených pokynů Správce (čl. 28 odst. 3 písm. a Nařízení), včetně případů mezinárodního přenosu, ledaže by zpracování vyžadovalo právo EU nebo členského státu. V takovém případě Zpracovatel informuje Správce před zpracováním, pokud to toto právo nezakazuje z důvodů veřejného zájmu.

Pokyny Správce jsou zachycené zejména v:

• Obchodních podmínkách Služby
• Konfiguraci účtu Správce (aktivace modulů, volba plánu, A/B režim)
• Této DPA

Pokud Zpracovatel získá pokyn, který je podle jeho názoru v rozporu s Nařízením, okamžitě o tom Správce informuje.

5.2 Mlčenlivost

Zpracovatel zajistí, aby osoby oprávněné zpracovávat osobní údaje se zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti (čl. 28 odst. 3 písm. b).

5.3 Bezpečnostní opatření (čl. 32)

Zpracovatel přijme a bude udržovat vhodná technická a organizační opatření zajišťující úroveň zabezpečení odpovídající riziku. Detailní popis TOM je uveden v Příloze 2 této DPA.

5.4 Pomoc Správci s právy subjektů údajů

Zpracovatel poskytne Správci přiměřenou součinnost pro splnění povinností reagovat na žádosti o uplatnění práv subjektů údajů podle kapitoly III Nařízení (čl. 15–22). Součinnost zahrnuje zejména:

• Poskytnutí informací o zpracovávaných údajích (pro odpovědi na žádosti o přístup podle čl. 15)
• Opravu nebo výmaz dat na pokyn Správce (čl. 16, 17)
• Export dat ve strukturovaném formátu JSON/CSV (čl. 20)
• Technickou pomoc při uplatnění práva na omezení zpracování (čl. 18) a námitce (čl. 21)

Konkrétní realizace součinnosti je popsána v uživatelské dokumentaci Služby a v sekci Nastavení v dashboardu. V případě, že funkce pro samoobsluhu nejsou pro konkrétní požadavek dostupné, Správce kontaktuje hello@daxlyze.com a Zpracovatel zajistí řešení do 14 dnů od obdržení žádosti.

Pro konkrétního návštěvníka (subjekt údajů) neexistuje v datech Zpracovatele přímý identifikátor — ukládá se pouze denně rotující anonymní hash. Výmaz dat konkrétního návštěvníka je proto technicky nemožný; Zpracovatel může pomoct výmazem celé denní agregace příslušného webu.

5.5 Pomoc Správci s dalšími povinnostmi (čl. 32–36)

Zpracovatel pomůže Správci při plnění povinností zajištění bezpečnosti, ohlašování porušení ÚOOÚ (čl. 33), oznamování porušení subjektům údajů (čl. 34), posuzování vlivu na ochranu údajů (DPIA — čl. 35) a předchozích konzultací s ÚOOÚ (čl. 36), a to s přihlédnutím k povaze zpracování a informacím, které má Zpracovatel k dispozici.

5.6 Porušení zabezpečení osobních údajů (Data Breach)

V případě zjištění porušení zabezpečení osobních údajů ve smyslu čl. 4 odst. 12 Nařízení Zpracovatel bez zbytečného odkladu, nejpozději však do 48 hodin od okamžiku zjištění, informuje Správce prostřednictvím:

• Emailu na registrovanou adresu Správce
• Oznámení v dashboardu Služby

Oznámení bude obsahovat popis povahy porušení, kontaktní údaje Zpracovatele, popis pravděpodobných důsledků a přijatých opatření. Zpracovatel poskytne Správci součinnost nezbytnou k splnění jeho povinnosti ohlásit porušení ÚOOÚ do 72 hodin podle čl. 33 Nařízení.

5.7 Vrácení nebo výmaz údajů po ukončení služby

Po ukončení poskytování Služby Zpracovatel podle volby Správce buď zpřístupní veškeré osobní údaje Správce ve strukturovaném, běžně používaném a strojově čitelném formátu (JSON nebo CSV) prostřednictvím export funkce v dashboardu, nebo je vymaže, pokud právo EU nebo členského státu nepožaduje uložení osobních údajů (čl. 28 odst. 3 písm. g).

Export probíhá prostřednictvím funkce „Export mých dat" v Nastavení. Vygenerovaný ZIP archiv obsahuje všechna agregovaná data a konfiguraci, je platný 24 hodin od vygenerování, maximálně 3 stažení. Pro výjimečně velké exporty Zpracovatel zajistí alternativní způsob doručení po individuální dohodě.

Pokud Správce do 30 dní od ukončení Služby neprovede export ani neučiní výslovnou volbu, Zpracovatel všechny osobní údaje vymaže (s výjimkou zákonně uchovávaných údajů popsaných níže).

Výjimky ze zákonného důvodu:

• Faktury a účetní záznamy jsou uchovávány po dobu 10 let podle § 35 zák. č. 235/2004 Sb., o DPH a § 31 zák. č. 563/1991 Sb., o účetnictví. Po smazání účtu Správce jsou fakturační záznamy pseudonymizovány.

5.8 Audit

Zpracovatel poskytne Správci všechny informace nezbytné k prokázání dodržování povinností stanovených v čl. 28 Nařízení a umožní audity a inspekce prováděné Správcem nebo auditorem pověřeným Správcem (čl. 28 odst. 3 písm. h).

Praktická realizace:

• Zpracovatel na žádost Správce poskytne jednou ročně zdarma shrnující zprávu o provedených TOM a o stavu zabezpečení Služby (Security Report).
• Správce má kdykoli v případě důvodného podezření (zejména po porušení zabezpečení nebo na žádost ÚOOÚ) právo na rozšířený audit na místě nebo vzdáleně. Audit proběhne s přiměřeným předstihem minimálně 15 pracovních dnů a během pracovní doby Zpracovatele.
• Audity nad rámec jednoho ročně bez důvodného podezření mohou podléhat přiměřené úhradě nákladů Zpracovateli po předchozím odsouhlasení.
• Audit provádí Správce sám nebo jím pověřený nezávislý auditor vázaný povinností mlčenlivosti.
• Zpracovatel má právo odmítnout audit, který by ohrozil důvěrnost dat jiných klientů, bezpečnost infrastruktury nebo právní povinnosti Zpracovatele.

5.9 Transparentnost o sub-zpracovatelích

Zpracovatel průběžně vede aktuální seznam Sub-zpracovatelů na stránce daxlyze.com/subprocessors a informuje Správce o změnách podle pravidel v kapitole 6.

6.1 Obecné oprávnění

Správce uděluje Zpracovateli obecné písemné oprávnění k zapojení Sub-zpracovatelů podle čl. 28 odst. 2 Nařízení. Aktuální seznam Sub-zpracovatelů tvoří Přílohu 3 této DPA a je zveřejněn na daxlyze.com/subprocessors.

6.2 Oznamování změn

Zpracovatel informuje Správce o každé zamýšlené změně v seznamu Sub-zpracovatelů nejméně 30 dní před nabytím účinnosti, a to:

• Emailem na registrovanou adresu Správce
• Bannerem v dashboardu Služby
• Aktualizací stránky daxlyze.com/subprocessors

6.3 Právo vznést námitku

Správce má v 30denní lhůtě právo vznést proti změně odůvodněnou námitku (email na hello@daxlyze.com). Pokud Zpracovatel námitku shledá oprávněnou a nevyřeší ji jinak, má Správce právo ukončit smluvní vztah bez výpovědní doby před účinností změny.

6.4 Povinnosti Zpracovatele vůči Sub-zpracovatelům

Zpracovatel využívá pouze ty Sub-zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky Nařízení (čl. 28 odst. 1).

S každým Sub-zpracovatelem Zpracovatel zajistí právní rámec ochrany údajů v souladu s čl. 28 odst. 4 Nařízení, zpravidla akceptací standardního Data Processing Agreement (DPA) poskytnutého Sub-zpracovatelem, který obsahuje povinnosti srovnatelné s touto DPA, pokud jde o ochranu osobních údajů Subjektů údajů.

Zpracovatel zůstává vůči Správci plně odpovědný za plnění povinností Sub-zpracovatele v oblasti ochrany osobních údajů (čl. 28 odst. 4 poslední věta Nařízení).

7.1 Primární umístění

Osobní údaje jsou primárně zpracovávány a uchovávány v Evropské unii (Česká republika, infrastruktura WEDOS Internet, a.s.).

7.2 Přenosy mimo EU

K omezenému přenosu do třetích zemí (zejména USA) dochází pouze u specifikovaných Sub-zpracovatelů:

• Stripe, Inc. — zpracování plateb (v aktuálním režimu deaktivováno)
• Google LLC — OAuth přihlašování (pokud Správce používá Google login)
• Anthropic, PBC — AI Audit analýza obsahu a generování doporučení (pouze pokud Správce modul aktivuje)
• DataForSEO OÜ (estonská společnost — EU) — sledování klíčových slov, pozic ve vyhledávačích a AI viditelnosti pro AI Audit (pouze pokud Správce modul aktivuje). DataForSEO sám sídlí v EU, ale provozuje hybridní infrastrukturu — vlastní EU servery + infrastrukturní služby v USA (Google Cloud, Microsoft Azure). Přenos do USA prochází přes tyto infra providery.

7.3 Právní rámec přenosů

Každý přenos je kryt:

• Standardními smluvními doložkami (SCC) Evropské komise podle rozhodnutí (EU) 2021/914
• Doplňkovými opatřeními podle rozsudku CJEU Schrems II (C-311/18), zejména šifrování v tranzitu, pseudonymizace, minimalizace přenášených údajů
• U Google LLC navíc EU-US Data Privacy Framework (Google LLC je aktivní DPF účastník)

Pokud dojde k rozhodnutí SDEU nebo změně právní situace ovlivňující legalitu přenosů, Zpracovatel bez zbytečného odkladu informuje Správce a přijme potřebná opatření.

8.1 Právní základ pro zpracování návštěvníků

Správce odpovídá za stanovení právního základu pro zpracování osobních údajů svých návštěvníků dle čl. 6 Nařízení a za splnění povinností podle čl. 12–14 (informační povinnost). Standardní právní základy pro funkce Služby:

• Oprávněný zájem (čl. 6 odst. 1 písm. f) — pro základní analytiku v anonymním režimu bez cookies, agregované statistiky výkonnosti webu a detekci robotů.
• Souhlas (čl. 6 odst. 1 písm. a + § 89 Zákona o elektronických komunikacích) — výhradně pro funkce, které ukládají informace do zařízení návštěvníka (localStorage). Tj. zejména:
  • A/B testy v persistentním režimu (zápis ID varianty do localStorage)
  • Personalizace závislá na perzistentním identifikátoru

8.1.1 AI Audit modul a osobní údaje návštěvníků

Modul AI Audit pracuje výhradně s:

• Veřejně dostupným textovým obsahem stránek Správce (= údaje, které jsou veřejně přístupné kterémukoli návštěvníkovi či vyhledávači)
• Anonymními agregovanými statistikami webu jako celku (počty návštěv, top stránky, bounce rate, scroll depth, výsledky A/B testů — bez možnosti zpětně přiřadit konkrétní osobě)
• Údaji zadanými Správcem v onboardingu (doména, klíčová slova, domény konkurentů, geografický fokus)

Vstupy AI Auditu nejsou osobními údaji ve smyslu čl. 4 odst. 1 Nařízení a nelze z nich identifikovat ani kontaktovat konkrétního návštěvníka. Z tohoto důvodu se na chod modulu AI Audit nevztahuje povinnost mít právní základ podle čl. 6 Nařízení ve vztahu k návštěvníkům — modul totiž jejich osobní údaje vůbec nezpracovává.

Zapojení sub-zpracovatelů potřebných pro chod modulu (Anthropic, PBC; DataForSEO OÜ) je smluvně upraveno samostatně v kapitole 6 této DPA v souladu s čl. 28 odst. 2 a 4 Nařízení (obecné písemné oprávnění Správce + povinnost notifikace o změnách).

Aktivace modulu AI Audit je administrativní rozhodnutí Správce v rámci jeho Účtu — provádí se dokončením onboardingu profilu webu v dashboardu Služby. Pokud modul Správce neaktivuje, k uvedeným sub-zpracovatelům se neposílají žádná data.

8.2 Privacy Policy na webu Správce

Správce se zavazuje mít na svém webu vlastní Zásady ochrany osobních údajů, které obsahují minimálně:

• Zmínku o používání Daxlyze jako zpracovatele s odkazem na tuto DPA
• Popis kategorií zpracovávaných údajů (viz kap. 3.1)
• Retenční doby (viz kap. 4.2)
• Právní základ zpracování
• Kontakt Správce pro uplatnění práv subjektů údajů

Pro usnadnění poskytuje Zpracovatel v dokumentaci a dashboardu Služby vzorové texty, které může Správce po úpravě podle svého konkrétního use case integrovat do svých Zásad. Tyto vzory nenahrazují konzultaci s právníkem a Správce si odpovídá za jejich finální podobu a právní správnost.

8.3 Cookie banner pro persistentní režim

Pokud Správce aktivuje A/B testy v persistentním režimu (localStorage) nebo personalizaci, zavazuje se zajistit platný souhlas návštěvníka prostřednictvím cookie banneru, který splňuje požadavky čl. 5(3) ePrivacy směrnice, § 89 Zákona o EK a čl. 7 Nařízení.

8.4 Pokyny v souladu s právem

Správce odpovídá za to, že jeho pokyny a použití Služby jsou v souladu s Nařízením a dalšími právními předpisy. Zpracovatel není povinen ověřovat zákonnost pokynů Správce (vyjma případů flagrantního porušení, kdy na to upozorní podle kap. 5.1).

8.5 Kontaktní údaje pro oznámení

Správce je povinen udržovat aktuální registrační email v profilu účtu. Tento email slouží jako kanál pro oznámení o porušení zabezpečení, změny Sub-zpracovatelů a další povinné notifikace.

Pokud Správce provádí DPIA podle čl. 35 Nařízení, Zpracovatel poskytne nezbytné informace o Službě (technické popisy, TOM, retence, sub-zpracovatelé), a to bezplatně.

Zpracovatel ze své strany vyhodnotil, že Služba jako celek podle jeho posouzení nevyžaduje DPIA podle kritérií čl. 35 odst. 3 Nařízení:

• Zpracování nezpůsobuje vysoké riziko pro práva a svobody subjektů (pseudonymizace, omezená retence, žádné zvláštní kategorie)
• Nejde o rozsáhlé zpracování zvláštních kategorií (čl. 9)
• Neprovádí se systematické rozhodování s právními účinky (čl. 22)

Konkrétní Správce nicméně může DPIA provést dle svého vlastního rizikového posouzení, zejména pokud kombinuje Daxlyze s jinými trackovacími nástroji nebo pracuje v citlivém odvětví.

10.1 Povaha modulu

Modul AI Audit je volitelná funkce Služby dostupná v plánu Starter a vyšších, kterou Správce aktivuje dokončením onboardingu profilu webu v aplikaci. Pokud je aktivní, Zpracovatel:

1. Odebere z konkrétní webové stránky Správce textový obsah (nadpisy, meta tagy, texty tlačítek, popisy produktů)
2. Získá agregovanou statistiku výkonnosti této stránky a webu Správce (viz kap. 10.5)
3. Stáhne externí SEO data (klíčová slova, pozice ve vyhledávačích, sledování AI viditelnosti) prostřednictvím Sub-zpracovatele DataForSEO OÜ (Estonsko, EU; s hybridní EU/US infrastrukturou pod SCC)
4. Odešle textový obsah a agregovanou statistiku přes šifrovaný kanál (TLS 1.2+) do Sub-zpracovatele Anthropic, PBC (USA, pod SCC)
5. Obdrží od Anthropic návrhy a od DataForSEO SEO data
6. Spojí je do auditu, který zobrazí Správci v dashboardu, kde se Správce svobodně rozhoduje, zda doporučení použije

10.2 AI Act — klasifikace a povinnosti

Podle aktuální verze Nařízení (EU) 2024/1689 (AI Act) a dostupných výkladů ke dni poslední aktualizace této DPA:

• Claude (Anthropic) je General-Purpose AI Model (GPAI) podle čl. 3 odst. 63 AI Act
• AI Audit modul Daxlyze není podle posouzení Zpracovatele high-risk AI systémem podle Přílohy III AI Act (nejde o nábor zaměstnanců, kreditní scoring, vymáhání práva atd.)
• AI Audit nespadá do zakázaných praktik podle čl. 5 AI Act

Tato klasifikace bude průběžně přehodnocována při zveřejňování implementačních předpisů a interpretací AI Office.

10.3 Transparentnost vůči Správci

• Správce je informován o tom, že se používají externí AI a SEO služby (Anthropic — Claude API, DataForSEO — SEO data)
• Správce má v dashboardu vždy přístup k seznamu sub-zpracovatelů a popisu, jaká data se posílají kam
• AI Audit modul je vždy opt-in — aktivuje se výhradně dokončením onboardingu profilu webu

10.4 Povinnosti Správce vůči koncovým návštěvníkům

Pokud Správce aktivně používá AI Audit modul, doporučujeme uvést ve svých Zásadách ochrany osobních údajů:

• Použití AI analýzy obsahu stránek (Anthropic) a externích SEO dat (DataForSEO)
• Přenosu textového obsahu a agregovaných statistik do USA (Anthropic přímo, DataForSEO přes US infra providery — vše pod SCC)
• To, že se nezpracovávají údaje jednotlivých návštěvníků

Zpracovatel poskytne vzorové texty k tomu v dokumentaci a dashboardu Služby; tyto vzory nenahrazují konzultaci s právníkem a Správce si odpovídá za jejich finální podobu.

10.5 Co se odesílá k partnerům AI Auditu a co nikoli

Do Anthropic, PBC se odesílá:

• Veřejný textový obsah analyzované stránky Správce (nadpisy, meta tagy, texty tlačítek, popisy produktů, FAQ sekce — obsah, který by byl bez autentizace viditelný i vyhledávačům)
• Agregovaná statistika webu Správce potřebná pro kontextuální doporučení, zejména:
  • Celkový počet návštěv za zvolené období
  • Bounce rate, průměrný čas na stránce, scroll depth
  • Seznam top navštěvovaných stránek s počty
  • Top zdroje návštěv (referrery, UTM kampaně)
  • Konverzní metriky, pokud má Správce definované cíle
  • Výsledky A/B testů (pokud jsou relevantní pro analýzu)
• Klientem zadané typické dotazy zákazníků a domény konkurentů (z onboardingu AI Auditu)

Do DataForSEO OÜ se odesílá:

• Doména webu Správce (pro keyword tracking a competitor analysis)
• Domény konkurentů zadané Správcem v onboardingu
• Klíčová slova a typické dotazy zákazníků z onboardingu
• Geografický fokus (země / region) pro lokalizaci výsledků vyhledávačů

Do Anthropic ani DataForSEO se NEODESÍLÁ:

• Žádné osobní údaje konkrétních návštěvníků (IP adresa, user-agent, anonymní visitor hash, behaviorální stopy jednotlivce)
• Žádná raw tracking data (individuální hits, kliky, formulářové události)
• Žádné obsahy formulářových polí
• Žádné uživatelské komentáře nebo UGC (pokud si je Správce vědomě nezapne)

Proč se posílá obsah i statistika do Anthropic: Pro generování relevantních AI doporučení musí model znát jak obsah stránky (text, struktura, CTA), tak její výkonnost (které stránky fungují, kde je vysoký bounce rate). Agregovaná statistika neobsahuje údaje o jednotlivých osobách — jsou to anonymizovaná souhrnná čísla o webu jako celku, která by nešlo zpětně přiřadit konkrétnímu návštěvníkovi.

Proč se posílá doména a dotazy do DataForSEO: Pro získání objektivních SEO dat (pozice ve vyhledávačích, klíčová slova, sledování AI viditelnosti) potřebuje DataForSEO znát doménu webu, dotazy a geografický kontext. Tyto údaje neidentifikují jednotlivé návštěvníky.

10.6 Podmínky zpracování u Sub-zpracovatelů

Anthropic, PBC

Anthropic, PBC zpracovává data podle svých aktuálně platných Commercial Terms a Data Processing Agreement, veřejně dostupných na anthropic.com/legal.

V okamžiku uzavření této DPA podle těchto veřejně dostupných podmínek:

• Anthropic standardně nepoužívá API inputy a outputy k tréninku svých modelů
• Anthropic uchovává data maximálně po dobu nezbytnou pro abuse monitoring a poskytování Služby

DataForSEO OÜ

DataForSEO OÜ zpracovává data podle svých Terms of Service a Data Processing Agreement, veřejně dostupných na dataforseo.com. DataForSEO je certifikován podle ISO/IEC 27001 (Information Security Management).

Zpracovatel průběžně monitoruje změny v podmínkách obou Sub-zpracovatelů a informuje Správce o podstatných změnách postupem podle kap. 6 této DPA (notifikace o změnách sub-zpracovatele).

Oba (Anthropic i DataForSEO) jsou Sub-zpracovateli podle kap. 6 této DPA a podléhají Standardním smluvním doložkám pro mezinárodní přenos údajů.

10.7 Fundamental Rights Impact Assessment (FRIA)

Jelikož AI Audit podle posouzení Zpracovatele není high-risk AI systémem podle čl. 6 AI Act, FRIA podle čl. 27 AI Act se na Zpracovatele ani Správce nevztahuje.

Pokud by Správce na základě svých specifických okolností (kombinace s jinými systémy, citlivé odvětví, zvláštní kategorie zpracování) shledal vlastní posouzení dopadů na základní práva přínosným, Zpracovatel poskytne veškerou součinnost a technické informace potřebné pro toto posouzení.

11.1 Odpovědnost každé strany

Každá strana odpovídá za škodu způsobenou porušením svých povinností podle této DPA. Odpovědnost Zpracovatele za škody se řídí Obchodními podmínkami Služby a českým právem.

11.2 Pokuty dle GDPR

Pokud ÚOOÚ udělí pokutu za porušení Nařízení, nese ji ta strana, jejíž porušení povinnosti bylo příčinou. Pokud je porušení způsobeno oběma stranami, nesou pokutu poměrně dle míry zavinění (čl. 82 odst. 5 Nařízení).

11.3 Regres vůči Sub-zpracovatelům

V případě škody způsobené Sub-zpracovatelem (kterou Zpracovatel nahradí Správci dle kap. 11.1) má Zpracovatel právo regresu vůči tomuto Sub-zpracovateli.

12.1 Trvání DPA

DPA nabývá účinnosti v okamžiku akceptace Obchodních podmínek Služby Správcem (registrace účtu) a trvá po dobu aktivního používání Služby.

12.2 Ukončení

DPA zaniká současně s ukončením účtu Správce ve Službě. Po zániku DPA platí povinnosti z kap. 5.7 (vrácení/výmaz dat).

12.3 Přetrvávající povinnosti

Povinnosti mlčenlivosti (kap. 5.2), retence fakturačních záznamů (kap. 5.7) a poskytnutí informací pro audity za období před ukončením (kap. 5.8) přetrvávají i po ukončení DPA po dobu odpovídající zákonným retenčním lhůtám.

13.1 Zveřejnění změn

Tato DPA může být Zpracovatelem jednostranně aktualizována. O každé podstatné změně informuje Zpracovatel Správce nejméně 30 dní před účinností:

• Emailem na registrovanou adresu
• Bannerem v dashboardu
• Aktualizací data „Platnost od" v záhlaví

13.2 Právo nesouhlasit

Pokud Správce se změnou nesouhlasí, má právo ukončit účet před účinností změny bez sankce.

14.1 Rozhodné právo

Tato DPA se řídí právem České republiky s výhradou kogentních ustanovení práva EU (zejména Nařízení a AI Act).

14.2 Jazyk

Primární jazyk DPA je čeština. V případě rozporu mezi českou a případnou překladovou verzí má přednost česká verze.

14.3 Příslušnost soudů

Případné spory vyplývající z této DPA budou řešeny soudy České republiky.

14.4 Oddělitelnost ustanovení

Pokud se některé ustanovení DPA stane neplatným nebo neúčinným, ostatní ustanovení zůstávají v platnosti.

14.5 Vztah k hlavní smlouvě

V případě rozporu mezi touto DPA a Obchodními podmínkami Služby má DPA přednost ve věcech ochrany osobních údajů. V ostatních věcech mají přednost Obchodní podmínky.

14.6 Akceptace DPA

Souhlas s touto DPA dává Správce akceptací Obchodních podmínek při registraci účtu. Souhlas zahrnuje i akceptaci Příloh 1–3.

Šifrování

• HTTPS všude (TLS 1.2+, HSTS s max-age 31536000)
• AES-256-GCM pro citlivé údaje v databázi (emaily)
• bcrypt pro hashování hesel s aktuálním OWASP cost factor

Řízení přístupu

• Autentizace 2FA volitelné (TOTP)
• Role-based access control (admin / user)
• Session management (HttpOnly, Secure, SameSite=Lax cookies — Lax je výchozí standard moderních prohlížečů a je nezbytný pro správnou funkčnost OAuth přihlášení, např. Sign in with Google)
• Rate limiting (per-user + per-IP)

Pseudonymizace

• Denně rotující anonymní hash návštěvníka s per-site salt
• IP adresa se neukládá (jen pro geolokaci a ihned zahodí)
• Blacklist citlivých formulářových polí (password, cvv, ssn atd.)

Bezpečnost aplikace

• Content-Security-Policy (CSP)
• CSRF tokeny na všech POST endpointech
• Prepared statements (PDO) — prevence SQL injection
• Výstupní escape — prevence XSS

Monitoring a logování

• Audit log změn účtu a přihlášení (30 dní retence)
• Cron status monitoring
• Daily ANALYZE TABLE
• Weekly OPTIMIZE TABLE

Zálohy

• Denní zálohy databáze
• Retence záloh 30 dní
• Uloženo v EU infrastruktuře

Oznámení porušení

• Do 48 hodin od zjištění → Správce
• Součinnost při ohlášení ÚOOÚ do 72 hodin

Fyzické zabezpečení

Infrastruktura WEDOS Internet, a.s., Hluboká nad Vltavou — moderní datové centrum s redundantním napájením, kontrolou přístupu a požární ochranou.

Aktuální seznam: daxlyze.com/subprocessors

Zpracovatel Sub-zpracovatele pravidelně prověřuje a udržuje s nimi právní rámec dle kap. 6.4.