Poslední aktualizace: 10. května 2026. Tato verze odráží aktuální nastavení dílčích zpracovatelů, včetně OpenAI pro textové embeddingy a kontextové AI odpovědi. Pro budoucí změny povinných dílčích zpracovatelů platí pravidla pro oznámení a námitku uvedená v oddíle 7.3.

Právně závazná je německá verze této smlouvy o zpracování údajů. Překlady jsou poskytovány pro pohodlí; v případě rozporu má přednost německá verze.

1. Preambule a rozsah

Tato smlouva o zpracování údajů (DPA) upravuje zpracování osobních údajů v souladu s čl. 28 GDPR mezi:

  • Správce údajů: Zákazník PlotonIQ (dále jen „správce údajů")
  • Zpracovatel údajů: K-Werbetechnik, vlastník: Ralph Kowalski, Banatstraße 31, 66424 Homburg, Německo, zastoupený prostřednictvím platformy PlotonIQ (dále jen „zpracovatel údajů")

Tato DPA je nedílnou součástí všeobecných obchodních podmínek a upravuje zpracování osobních údajů jménem správce údajů v kontextu služeb PlotonIQ.

2. Předmět a doba zpracování

Zpracovatel údajů zpracovává osobní údaje výhradně jménem správce údajů a podle jeho zdokumentovaných pokynů.

2.1 Předmět zpracování

Zpracování údajů zahrnuje následující kategorie:

  • Údaje o zákaznících: Jména, adresy, e-maily, telefony, názvy společností zákazníků správce údajů
  • Údaje o zakázkách: Popisy projektů, časové harmonogramy, požadavky, změny
  • Výkonové údaje: Kalkulace, specifikace materiálů, rozměry, plochy
  • Komunikační údaje: E-maily, chatové zprávy, poznámky a zvukové nahrávky v rámci obchodního provozu
  • Údaje o týmu: Údaje o zaměstnancích, údaje o poloze (pokud je geofencing aktivován), oprávnění
  • Finanční údaje: Fakturační informace, platební údaje (tokenizované), údaje o platebních kartách (pouze Stripe)
  • Vizuální údaje: Fotografie pro AI rozpoznávání rozměrů, snímky obrazovky, návrhy designu

2.2 Doba zpracování

Zpracování údajů probíhá po celou dobu trvání smlouvy a po jejím skončení dle oddílu 8 (Mazání a uchovávání údajů).

3. Povaha a účel zpracování

Zpracovatel údajů zpracovává údaje pro následující účely:

  • Poskytování a správa služeb PlotonIQ (kalkulace nabídek, rozpoznávání rozměrů, správa zakázek, CRM, evidence pracovní doby)
  • Kalkulace a analýzy podporované AI s využitím Anthropic Claude API
  • Textové embeddingy pomocí OpenAI text-embedding-3-large (1536 dimenzí) pro sémantické vyhledávání a kontextové AI odpovědi (RAG)
  • Automatické rozpoznávání rozměrů z fotografií pomocí počítačového vidění (SAM/DINO)
  • Komunikace s uživateli (transakční e-maily, oznámení)
  • Zpracování plateb a fakturace
  • Zavedení bezpečnostních a autentizačních opatření
  • Logování a monitorování systému pro účely bezpečnosti a diagnostiky chyb
  • Geofencing a správa týmu (volitelné, pouze pokud je aktivováno)

4. Kategorie subjektů údajů

Zpracovatel údajů zpracovává údaje následujících osob:

  • Zákazníci správce údajů (koncoví zákazníci služeb v oblasti reklamní techniky)
  • Zaměstnanci správce údajů (uživatelé platformy)
  • Subdodavatelé a partneři správce údajů
  • Kontaktní osoby a zástupci

5. Kategorie osobních údajů

Zpracovatel údajů zpracovává následující kategorie:

  • Základní údaje: Jméno, titul, adresa, telefon, e-mailová adresa, název společnosti
  • Identifikační údaje: ID uživatele, JWT tokeny, session cookies, otisk prohlížeče (hashovaný)
  • Údaje o poloze: IP adresa, GPS souřadnice (pouze pokud je geofencing aktivován)
  • Obchodní údaje: Popisy projektů, kalkulace, nabídky, zakázky, faktury
  • Komunikační údaje: Zprávy, přepisy zvuku, e-maily
  • Technické údaje: Logovací soubory, serverové logy, přístupy do systému, protokoly chyb
  • Zvláštní kategorie: Žádné (s výjimkou dobrovolně poskytnutých identifikačních údajů)

6. Povinnosti zpracovatele údajů — Technická a organizační opatření

6.1 Technická bezpečnostní opatření

  • Šifrování údajů:
    • Šifrování AES-256 pro citlivá data v databázi
    • TLS 1.2+ pro přenos (HTTPS)
    • JWT autentizace s httpOnly cookies (nepřístupné pro JavaScript)
  • Ochrana databáze:
    • PostgreSQL databáze se silnou autentizací
    • Šifrované spojení mezi aplikací a databází
    • Pravidelné automatizované zálohy se šifrováním
    • Redundantní úložiště a obnova po havárii
  • Řízení přístupu:
    • Řízení přístupu na základě rolí (RBAC)
    • Multi-tenant architektura se striktní izolací tenantů
    • Audit logy pro všechny administrativní přístupy
    • Princip nejnižších oprávnění: žádná zbytečná oprávnění
  • Síťová bezpečnost:
    • Ochrana proti DDoS prostřednictvím Cloudflare
    • Pravidla firewallu a detekce průniku
    • Pravidelné bezpečnostní aktualizace a opravy
  • Bezpečnost API:
    • Autentizace API založená na JWT
    • Omezení frekvence požadavků (rate limiting) pro prevenci útoků hrubou silou
    • Žádné citlivé údaje v URL nebo dotazových parametrech

6.2 Organizační bezpečnostní opatření

  • Personál a školení:
    • Omezený počet zaměstnanců s přístupem k zákaznickým údajům
    • Dohody o mlčenlivosti (NDA) se všemi zaměstnanci
    • Školení v oblasti ochrany údajů pro relevantní personál
  • Správa ochrany údajů:
    • Zásady ochrany osobních údajů a tato DPA
    • Pověřenec pro ochranu osobních údajů (kde je to vyžadováno)
    • Pravidla pro ochranu a používání osobních údajů
  • Reakce na incidenty:
    • Postupy pro detekci a hlášení porušení ochrany údajů
    • Oznámení správci údajů do 24 hodin od zjištění bezpečnostního incidentu
    • Spolupráce při plnění oznamovací povinnosti vůči úřadům a dotčeným osobám
  • Dokumentace a monitorování:
    • Záznamy o činnostech zpracování dle čl. 30 GDPR
    • Pravidelné bezpečnostní audity
    • Logování všech přístupů k údajům (pokud je to technicky proveditelné)
  • Fyzická bezpečnost:
    • Hosting u Hetzner Online GmbH (Falkenstein, Německo) s certifikací ISO-27001
    • Kontrola fyzického přístupu do datového centra
    • Monitorování a bezpečnostní opatření poskytovatele hostingu

7. Dílčí zpracovatelé a třetí strany

Zpracovatel údajů využívá k poskytování služeb následující dílčí zpracovatele a poskytovatele služeb:

7.1 Povinní dílčí zpracovatelé

Služba Poskytovatel Lokalita Účel Přenos údajů
Hosting serveru Hetzner Online GmbH Falkenstein, Německo Databáze, aplikační server V rámci EU (DE)
CDN / Ochrana proti DDoS Cloudflare, Inc. San Francisco, USA Výkon webu, bezpečnost USA (EU-US DPF, SCC)
Transakční e-maily Brevo SAS Paříž, Francie Potvrzovací a oznamovací e-maily V rámci EU (FR)
Zpracování plateb Stripe, Inc. San Francisco, USA Platby kartou, správa předplatného USA (SCC) — tokenizované
AI API (kalkulace) Anthropic, PBC San Francisco, USA AI kalkulace, generování textu USA (SCC) — Zero Data Retention
AI API (volitelný přepis zvuku, primární) Groq, Inc. Mountain View, USA Primární STT přepis pro zvukové poznámky pomocí whisper-large-v3, pokud správce údajů využívá volitelnou funkci přepisu zvuku USA (SCC) — zpracování dle GroqCloud DPA pro poskytování funkce STT
AI API (textové embeddingy a kontextová asistence) OpenAI, L.L.C. San Francisco, USA Textové embeddingy s text-embedding-3-large (1536 dimenzí) pro sémantické vyhledávání a kontextové AI odpovědi (RAG); vybrané textové a asistenční funkce, kde jsou aktivní USA (EU-US DPF, SCC) — API data nejsou ve výchozím nastavení používána pro trénování; logy pro monitorování zneužití až 30 dní
AI API (volitelný přepis zvuku) OpenAI, L.L.C. San Francisco, USA OpenAI gpt-4o-transcribe pouze jako záložní STT cesta, pokud je Groq STT nedostupné, přepis zvuku je správcem údajů využíván a odpovídajícím způsobem nakonfigurován USA (EU-US DPF, SCC) — volitelná cesta, oddělená od embeddingů/RAG

7.2 Přenosy do třetích zemí

Pro přenosy údajů do USA platí následující mechanismy:

  • EU-US Data Privacy Framework (DPF): Cloudflare a OpenAI jsou poskytovateli prezentováni jako certifikovaní v rámci EU-US Data Privacy Framework
  • Standardní smluvní doložky (SCC): Pro Anthropic, Groq, OpenAI a Stripe, kde jsou zahrnuty přenosy do třetích zemí

Správce údajů s těmito přenosy souhlasí přijetím všeobecných obchodních podmínek.

7.3 Změny dílčích zpracovatelů

Zpracovatel údajů bude správce údajů informovat před zapojením nových povinných dílčích zpracovatelů nebo podstatnou změnou stávajících povinných dílčích zpracovatelů. Správce údajů má právo vznést námitku proti využívání nových nebo podstatně změněných povinných dílčích zpracovatelů písemným oznámením do 30 dnů od oznámení. Pokud není včas vznesena námitka, je využívání budoucích změn po uplynutí oznamovací lhůty považováno za přijaté. V takovém případě může kterákoli ze stran ukončit smluvní vztah.

8. Mazání a uchovávání údajů

8.1 Lhůty pro mazání po ukončení smlouvy

  • Údaje o zákaznících a projektech: Budou smazány na žádost správce údajů, nejpozději do 30 dnů po ukončení smlouvy
  • Zálohy: Budou automaticky smazány dle politik uchovávání Hetzner přibližně po 30-90 dnech
  • Logovací soubory a systémové údaje: Budou automaticky anonymizovány nebo smazány po 90 dnech
  • Finanční záznamy a faktury: Budou uchovávány dle německého daňového práva (§14 StGB, §239 HGB) po dobu 6-10 let

8.2 Právo na výmaz během používání

Správce údajů může kdykoli požádat o smazání jednotlivých záznamů, pokud tomu nebrání zákon. Smazaná data nebudou obnovena.

8.3 Export údajů

Správce údajů může požádat o export údajů ve strukturovaném, běžném formátu (např. CSV, JSON) pro umožnění přenositelnosti.

9. Práva a povinnosti správce údajů

9.1 Pokyny správce údajů

Správce údajů může vydávat pokyny ke zpracování osobních údajů prostřednictvím:

  • Konfigurace nastavení platformy
  • Výslovné písemné instrukce e-mailem na [email protected]
  • Použití API endpointů s odpovídajícími parametry

9.2 Spolupráce správce údajů

Správce údajů odpovídá za:

  • Zabezpečení přihlašovacích údajů a přístupových kódů
  • Dodržování platných zákonů při shromažďování údajů o zákaznících
  • Správnost a zákonnost zpracovávaných údajů
  • Dokumentaci právního základu pro zpracování údajů
  • Informování dotčených osob dle GDPR (kde je to vyžadováno)

9.3 Zásady ochrany osobních údajů správce údajů

Správce údajů odpovídá za poskytnutí vlastních zásad ochrany osobních údajů koncovým zákazníkům, ve kterých uvede, že údaje jsou předávány společnosti PlotonIQ / zpracovateli údajů.

10. Práva a povinnosti subjektů údajů

Zpracovatel údajů podporuje správce údajů při plnění práv subjektů údajů:

  • Právo na přístup (čl. 15 GDPR): Správce údajů může požádat o přístup; zpracovatel údajů odpoví do 14 dnů
  • Právo na opravu (čl. 16 GDPR): Subjekty údajů mohou opravit nebo požádat o opravu chybných údajů
  • Právo na výmaz (čl. 17 GDPR): Žádosti o výmaz budou zpracovány do 14 dnů (s výjimkou zákonných povinností uchovávání)
  • Právo na omezení zpracování (čl. 18 GDPR): Dostupné prostřednictvím nastavení platformy
  • Právo na přenositelnost údajů (čl. 20 GDPR): Správce údajů může exportovat údaje ve standardním formátu
  • Právo vznést námitku (čl. 21 GDPR): Vztahuje se na zpracování založené na oprávněných zájmech

11. Porušení ochrany údajů a oznamovací povinnosti

11.1 Oznámení porušení ochrany údajů

V případě porušení ochrany údajů zpracovatel údajů neprodleně, nejpozději však do 24 hodin, písemně informuje správce údajů. Oznámení obsahuje:

  • Povahu a rozsah porušení
  • Kategorie a přibližný počet dotčených osob
  • Pravděpodobné důsledky porušení
  • Přijatá a plánovaná opatření k nápravě a zmírnění škod
  • Jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo kontaktní osoby

11.2 Spolupráce s úřady

Zpracovatel údajů bude spolupracovat se správcem údajů a příslušnými úřady pro ochranu osobních údajů a bude správci údajů pomáhat při:

  • Informování dotčených osob
  • Hlášení příslušnému dozorovému úřadu
  • Vyšetřování a auditech

12. Práva správce údajů na audit

12.1 Práva na inspekci

Správce údajů má na požádání právo provést audit způsobu, jakým zpracovatel údajů zpracovává osobní údaje:

  • Přístup k záznamům o činnostech zpracování
  • Přezkum bezpečnostních opatření
  • Audity s předchozím oznámením

Audity by se měly konat během běžné pracovní doby a nesmí podstatně narušit provoz.

12.2 Certifikáty a audity

Zpracovatel údajů poskytne následující doklady:

  • Certifikát Hetzner ISO-27001 (poskytovatel hostingu)
  • Zpráva SOC-2 (pokud je k dispozici)
  • Bezpečnostní zásady a katalog opatření

13. Privacy by Design a Privacy by Default

Zpracovatel údajů implementuje privacy by design dle čl. 25 GDPR:

  • Minimální shromažďování údajů: shromažďují se pouze nezbytné údaje
  • Pseudonymizace: otisky prohlížečů jsou hashované
  • Šifrování: AES-256 pro citlivá data
  • Řízení přístupu: oprávnění založená na rolích
  • Pravidelný přezkum: audity a penetrační testování

14. Zpracování AI a automatizované rozhodování

14.1 Povaha zpracování AI

PlotonIQ používá AI pro:

  • Kalkulace nabídek (Anthropic Claude API)
  • Textové embeddingy pomocí OpenAI text-embedding-3-large (1536 dimenzí) pro sémantické vyhledávání a kontextové AI odpovědi (RAG)
  • Rozpoznávání ploch a rozměrů z fotografií (SAM/DINO — lokálně na Hetzner)
  • Přepis zvukových poznámek (volitelná funkce STT; primárně Groq whisper-large-v3, OpenAI gpt-4o-transcribe pouze jako záložní řešení, pokud je používáno a nakonfigurováno)
  • Generování obchodních poznatků a doporučení

Pro embeddingy OpenAI a RAG jsou přenášeny pouze účelově vázané textové výňatky, zejména výňatky z textů zakázek, poznámek a příležitostí. V závislosti na obsahu uživatele mohou být zahrnuty názvy zákazníků, kontaktní údaje, adresy a údaje o měření, projektech nebo poznámkách.

Společnosti OpenAI nejsou pro embeddingy/RAG přenášeny platební údaje Stripe, přihlašovací údaje ani hashe hesel, surové výpisy backendové databáze ani exporty dat, obrazová data SAM/DINO pro segmentaci vidění ani záměrně zvláštní kategorie osobních údajů dle čl. 9 GDPR.

14.2 Žádné čistě automatizované rozhodování

Dle čl. 22 GDPR NEPROBÍHÁ žádné čistě automatizované rozhodování s právním účinkem. To znamená:

  • AI kalkulace jsou NÁVRHY, nikoli závazné
  • Uživatelé vždy rozhodují manuálně
  • Žádné automatizované odmítání zakázek nebo zákazníků

14.3 Transparentnost při využívání AI

Uživatelé jsou jasně informováni, když je AI zapojena do procesu, prostřednictvím:

  • Označených oblastí v uživatelském rozhraní (např. „AI návrh")
  • Vysvětlení AI přístupu v nápovědě
  • Těchto zásad ochrany osobních údajů a této DPA

15. EU AI Act — soulad

AI systémy používané v PlotonIQ jsou klasifikovány dle EU AI Act:

  • Generování textu (Claude API): Omezené riziko — splněny požadavky na transparentnost
  • Sémantické vyhledávání a RAG (OpenAI text-embedding-3-large, 1536 dimenzí): Omezené riziko — asistenční a kontextová funkce, žádné automatizované rozhodování
  • Rozpoznávání rozměrů (SAM/DINO): Omezené riziko — lokální provádění, žádný přenos do třetích zemí
  • Přepis zvuku (Groq whisper-large-v3, OpenAI gpt-4o-transcribe jako záloha): Omezené riziko — vyžaduje opt-in uživatele

NEEXISTUJÍ žádné vysoce rizikové AI aplikace dle AI Act.

16. Poplatky a náklady

Tato smlouva o zpracování údajů je zahrnuta jako součást smlouvy o předplatném. NEJSOU účtovány žádné dodatečné poplatky za soulad s touto DPA.

17. Právní základ a rozsah

  • Primární právní základ: EU GDPR (2016/679), GDPR, ePrivacy směrnice (Německo)
  • Rozsah: Všichni uživatelé se sídlem v Německu nebo EU
  • Účinnost od: 1. dubna 2026
  • Jazyk: Němčina; v případě nesrovnalostí platí německá verze

18. Trvání a ukončení

18.1 Trvání vázané na smlouvu

Tato DPA běží paralelně se smlouvou o předplatném. Při ukončení předplatného končí i tato DPA.

18.2 Ukončení

Ukončení této DPA je možné pouze společně s ukončením smlouvy o předplatném.

18.3 Důsledky ukončení

Po ukončení budou údaje zákazníků smazány dle oddílu 8 nebo uchovány, pokud to vyžaduje zákon.

19. Změny této DPA

Zpracovatel údajů může tuto DPA upravit s 30denní výpovědní lhůtou, pokud:

  • To vyžadují právní nebo regulatorní požadavky
  • Změna zlepšuje ochranu osobních údajů
  • Správce údajů písemně nevznese námitku do 30 dnů

Správce údajů bude o změnách předem písemně informován.

20. Kontakt a stížnosti

20.1 Kontaktní adresa zpracovatele údajů

K-Werbetechnik / PlotonIQ
Banatstraße 31
66424 Homburg
Německo
E-mail: [email protected]
Telefon: +49 (0)6821-6797414

20.2 Úřad pro ochranu osobních údajů

Stížnosti na zpracování údajů lze podat u příslušného úřadu pro ochranu osobních údajů. Kontaktní údaje pro Německo (Sársko) jsou:

Independent Data Protection Center Saarland
Fritz-Dobisch-Straße 12
66111 Saarbrücken, Německo
E-mail: [email protected]
Webová stránka: www.datenschutz.saarland.de

21. Platnost a doložka oddělitelnosti

Pokud by jakékoli ustanovení této DPA bylo neplatné, nemá to vliv na platnost celé smlouvy. Strany se dohodnou na platném náhradním ustanovení, které odpovídá ekonomickému účelu původní dohody.

22. Závěrečná ustanovení

Tato smlouva o zpracování údajů nabývá účinnosti dnem 1. dubna 2026 a je závazná pro všechny zákazníky PlotonIQ, kteří uzavírají smlouvu od tohoto data nebo obnovují stávající smlouvy.

Verze: 1.1

Účinnost od: 1. dubna 2026

Poslední aktualizace: 10. května 2026