CS
Dohoda o zpracování údajů
Strany
Správce údajů (Zákazník): Subjekt, který souhlasil s Podmínkami použití Suunta.ai a používá Služby.
Zpracovatel údajů (Suunta.ai): Y4 Works Oy, IČO: 2978296-6, Adresa: Finsko, E-mail: privacy@suunta.ai
1. Definice
- Osobní údaje znamenají jakékoli informace týkající se identifikované nebo identifikovatelné fyzické osoby, jak jsou definovány v článku 4(1) GDPR.
- Zpracování znamená jakoukoli operaci nebo soubor operací prováděných na Osobních údajích, jak jsou definovány v článku 4(2) GDPR.
- Subjekt údajů znamená identifikovanou nebo identifikovatelnou fyzickou osobu, na kterou se Osobní údaje vztahují.
- Subdodavatel znamená jakoukoli třetí stranu zapojenou společností Suunta.ai ke zpracování Osobních údajů jménem Zákazníka.
- Služby znamenají platformu Suunta.ai a související služby, jak jsou popsány v Podmínkách použití.
- GDPR znamená Nařízení (EU) 2016/679 Evropského parlamentu a Rady (Obecné nařízení o ochraně údajů).
- Standardní smluvní doložky (SCC) znamenají standardní smluvní doložky pro přenos osobních údajů do třetích zemí přijaté Evropskou komisí.
- Bezpečnostní incident znamená jakoukoli náhodnou nebo nezákonnou destrukci, ztrátu, změnu, neoprávněné zveřejnění nebo přístup k Osobním údajům.
2. Rozsah a účel
2.1 Rozsah Tato DPA se vztahuje na všechna Zpracování Osobních údajů společností Suunta.ai jménem Zákazníka v souvislosti se Službami.
2.2 Role Zákazník působí jako Správce údajů. Suunta.ai působí jako Zpracovatel údajů. Tam, kde Suunta.ai určuje účely a prostředky Zpracování (např. pro analytiku zlepšování služby), působí Suunta.ai jako nezávislý Správce a bude takové údaje zpracovávat v souladu se svými Zásadami ochrany osobních údajů.
2.3 Účel zpracování Suunta.ai zpracovává Osobní údaje výhradně za účelem poskytování Služeb, jak je popsáno v Podmínkách použití, včetně:
- Správa uživatelských účtů a ověřování
- Poskytování funkcí strategického plánování založených na AI
- Zpracování a ukládání obchodních údajů odeslaných uživateli
- Generování analýz a doporučení asistovaných AI
- Fakturace a správa předplatného
- Zákaznická podpora
- Bezpečnost služby a prevence zneužití
3. Kategorie údajů a subjektů údajů
3.1 Kategorie subjektů údajů
- Zaměstnanci a dodavatelé Zákazníka, kteří používají Služby
- Jiné osoby, jejichž Osobní údaje jsou Zákazníkem odeslány do Služeb
3.2 Kategorie osobních údajů
| Kategorie | Prvky údajů | Účel |
|---|---|---|
| Údaje účtu | Jméno, e-mail, telefon (volitelné), pracovní pozice, role | Identifikace uživatele a přístup |
| Údaje pro ověřování | Hash hesla, identifikátory SSO, údaje relace | Bezpečný přístup |
| Údaje organizace | Název organizace, země, město, odvětví, velikost | Přizpůsobení služby |
| Údaje o použití | IP adresa, user agent, časové značky přihlášení, protokoly aktivit | Bezpečnost a audit |
| Obchodní údaje | Strategické dokumenty, OKR, KPI, projekty, úkoly | Základní poskytování služby |
| Komunikační údaje | Zprávy v chatu, interakce AI | Funkce služby |
| Fakturační údaje | ID zákazníka Stripe, podrobnosti předplatného | Zpracování plateb |
3.3 Zvláštní kategorie údajů Zákazník souhlasí, že nebude odesílat zvláštní kategorie Osobních údajů (jak jsou definovány v článku 9 GDPR) do Služeb bez předchozího písemného souhlasu Suunta.ai.
4. Povinnosti zpracovatele
4.1 Instrukce pro zpracování Suunta.ai bude zpracovávat Osobní údaje pouze podle zdokumentovaných instrukcí Zákazníka, informovat Zákazníka, pokud instrukce porušuje GDPR, a zajistit, aby autorizované osoby byly vázány důvěrností.
4.2 Bezpečnostní opatření
| Opatření | Implementace |
|---|---|
| Šifrování v klidu | AES-256 (AWS RDS) |
| Šifrování při přenosu | TLS 1.2+ |
| Řízení přístupu | Přístup založený na rolích, izolace organizace |
| Ověřování | Hashování hesla (PBKDF2-SHA256), správa relací |
| Auditní protokolování | Komplexní protokolování aktivit s politikami uchovávání |
| Zálohování | Automatické denní zálohy s obnovou v určitém časovém okamžiku |
| Infrastruktura | AWS EU (Stockholm, eu-north-1) |
4.3 Subzpracování Suunta.ai může zapojit Subdodavatele za podmínek uvedených v sekci 6.
4.4 Pomoc správci Suunta.ai pomůže Zákazníkovi při reakci na žádosti Subjektů údajů, zajistí dodržování článků 32-36 GDPR a poskytne informace nezbytné k prokázání dodržování předpisů.
4.5 Výmaz a vrácení Při ukončení Služeb nebo na žádost Zákazníka: (a) Zákazník může požádat o export Údajů zákazníka do 30 dnů od ukončení; (b) Suunta.ai smaže Osobní údaje do 90 dnů od ukončení, pokud zákon nevyžaduje uchovávání; (c) Export údajů je poskytován ve formátech JSON a CSV prostřednictvím Služeb.
5. Zpracování údajů specifické pro AI
5.1 Zpracování AI Když jsou Údaje zákazníka zpracovávány prostřednictvím funkcí AI: (a) výzvy a odpovědi jsou přenášeny Poskytovatelům AI třetích stran ke zpracování; (b) Suunta.ai NEukládá výzvy AI ani odpovědi do své databáze; (c) pouze metadata o použití (tokeny, latence, model, náklady) jsou zaznamenávána pro fakturaci a analýzy; (d) historie konverzací v chatu je ukládána pro umožnění kontinuity konverzace.
5.2 Žádné trénování na údajích zákazníka Suunta.ai NEBUDE používat Údaje zákazníka k trénování, jemnému ladění nebo zlepšování modelů AI bez výslovného písemného souhlasu. Suunta.ai konfiguruje Poskytovatele AI třetích stran tak, aby deaktivovali uchovávání údajů tam, kde je to dostupné, odstoupili od použití údajů pro trénování a uplatnili politiky nulového uchovávání údajů tam, kde je to podporováno.
5.3 Zpracování dokumentů RAG Nahrané dokumenty jsou zpracovávány k extrakci textu, převedeny na vektorová vložení a nezpracovaný text dokumentu je vymazán do 24 hodin po indexování. Obsah částí a vložení jsou uchovávány pro funkčnost služby; při smazání zdroje jsou odstraněny všechny související části a vložení.
6. Subdodavatelé
6.1 Autorizovaní subdodavatelé Zákazník poskytuje obecné oprávnění Suunta.ai zapojit Subdodavatele uvedené v Příloze A.
6.2 Požadavky na subdodavatele Suunta.ai uzavře písemné dohody se Subdodavateli ukládající povinnosti ochrany údajů ne méně ochranné než tato DPA, zůstane odpovědná za dodržování předpisů Subdodavatelem a provede příslušnou náležitou péči.
6.3 Změny subdodavatelů Suunta.ai bude udržovat aktuální seznam Subdodavatelů na https://suunta.ai/legal/subprocessors, informovat Zákazníka nejméně 30 dní před zapojením nového Subdodavatele a poskytnout Zákazníkovi příležitost vznést námitku z důvodů přiměřené ochrany údajů.
6.4 Proces námitky Pokud není dosaženo řešení do 30 dnů, může Zákazník ukončit postižené Služby bez sankce. Takové ukončení je jediným prostředkem nápravy Zákazníka pro námitky proti Subdodavateli.
7. Práva subjektu údajů
7.1 Pomoc Suunta.ai pomůže Zákazníkovi při reakci na žádosti Subjektů údajů o uplatnění jejich práv podle kapitoly III GDPR, včetně přístupu, opravy, výmazu, omezení, přenositelnosti údajů a námitky.
7.2 Žádosti subjektu údajů Pokud Suunta.ai obdrží žádost přímo od Subjektu údajů, Suunta.ai neprodleně informuje Zákazníka, neodpovídá přímo, pokud není autorizována nebo to nevyžaduje zákon, a poskytne přiměřenou pomoc.
7.3 Funkce samoobsluhy Služby zahrnují funkce samoobsluhy umožňující uživatelům:
- Zobrazit a exportovat své Osobní údaje
- Opravit informace o účtu
- Smazat svůj uživatelský účet
- Požádat o export údajů organizace
- Požádat o smazání organizace
8. Bezpečnostní incidenty
8.1 Oznámení Suunta.ai informuje Zákazníka o jakémkoli Bezpečnostním incidentu bez zbytečného odkladu a v každém případě do 72 hodin od zjištění, poskytne popis incidentu, postižených subjektů údajů a záznamů, kontaktní bod, pravděpodobné důsledky a přijatá opatření.
8.2 Spolupráce Suunta.ai bude spolupracovat s vyšetřováním Zákazníka, přijme přiměřené kroky ke zmírnění účinků, poskytne aktualizace a pomůže s oznámeními dozorových orgánů a Subjektů údajů.
8.3 Záznamy Suunta.ai udržuje neměnný auditní protokol pro dodržování předpisů pro bezpečnostně relevantní události s prodlouženým uchováváním.
9. Mezinárodní přenosy
9.1 Místa zpracování Primární zpracování údajů probíhá v EU (AWS eu-north-1, Stockholm). Některé zpracování může probíhat v USA prostřednictvím Poskytovatelů AI třetích stran.
9.2 Mechanismy přenosu Pro přenosy do zemí bez rozhodnutí EU o přiměřenosti se Suunta.ai spoléhá na Standardní smluvní doložky (Modul 2: Správce k Zpracovateli, Modul 3: Zpracovatel k Zpracovateli), doplňková opatření a certifikace Subdodavatelů, pokud je to příslušné.
9.3 Posouzení dopadu přenosu Suunta.ai provedla posouzení dopadu přenosu pro přenosy do USA s ohledem na:
- Povahu přenášených údajů (primárně výzvy/dotazy, nikoli hromadné Osobní údaje)
- Technická opatření (šifrování, konfigurace nulového uchovávání údajů)
- Právní rámec cílové země
- Smluvní ochrany se Subdodavateli
10. Práva na audit
10.1 Informace o auditu Na písemnou žádost Zákazníka (nejvýše jednou ročně) poskytne Suunta.ai shrnutí bezpečnostních opatření, výsledky auditů třetích stran (s výhradou důvěrnosti), potvrzení dodržování předpisů Subdodavatelem a záznamy Bezpečnostních incidentů ovlivňujících Údaje zákazníka.
10.2 Audity na místě Audity na místě vyžadují 30denní předchozí písemné oznámení, jsou prováděny během pracovních hodin s minimálním narušením, na náklady Zákazníka, za důvěrnosti a omezeny na dodržování DPA.
10.3 Certifikace Suunta.ai pracuje na certifikacích SOC 2 Type II a ISO 27001. Po dosažení budou auditní zprávy zpřístupněny Zákazníkům pod NDA.
11. Uchovávání údajů
11.1 Doby uchovávání
| Kategorie údajů | Doba uchovávání | Poznámky |
|---|---|---|
| Údaje aktivního účtu | Délka Služeb | Smazáno při smazání účtu |
| Smazané uživatelské účty | Anonymizováno okamžitě | 90denní uchovávání záloh |
| Metadata o použití AI | 365 dní | Počty tokenů, náklady |
| Auditní protokoly (standardní) | 24 měsíců | CRUD operace |
| Auditní protokoly (kritické) | 36 měsíců | Mazání, bezpečnostní události |
| Auditní protokoly pro dodržování předpisů | 7 let | Neměnné, regulační uchovávání |
| Fakturační záznamy | 6 let | Finský účetní zákon |
| Zálohy | 30 dní | Automatická rotace |
11.2 Proces mazání Mazání organizace následuje strukturovaný proces: žádost o smazání s potvrzením hesla; 30denní lhůta na odvolání (zrušitelná); zrušení předplatného Stripe; systematické smazání všech údajů organizace; neměnný záznam auditního protokolu pro dodržování předpisů.
12. Odpovědnost
Odpovědnost každé strany podle této DPA podléhá omezením uvedeným v Podmínkách použití. Každá strana odškodní druhou stranu za ztráty vyplývající z porušení této DPA nebo platných zákonů o ochraně údajů odškodňující stranou.
13. Doba platnosti a ukončení
Tato DPA zůstává v platnosti po dobu trvání Podmínek použití. Sekce 5 (Zpracování údajů specifické pro AI), 8 (Bezpečnostní incidenty), 11 (Uchovávání údajů) a 12 (Odpovědnost) přežívají ukončení.
14. Použitelné právo
Tato DPA se řídí právem Finska. Spory budou řešeny v souladu s ustanoveními o řešení sporů v Podmínkách použití.
15. Kontakt
Pro dotazy týkající se ochrany údajů: Y4 Works Oy (Suunta.ai), E-mail: privacy@suunta.ai
Příloha A: Autorizovaní subdodavatelé
Naposledy aktualizováno: 27. 1. 2025. Viz úplný seznam na https://suunta.ai/legal/subprocessors.
Příloha B: Technická a organizační opatření
1. Řízení přístupu
- Řízení přístupu založené na rolích (RBAC)
- Izolace údajů na úrovni organizace (multi-tenant architektura)
- Jedinečné uživatelské účty s bezpečným ověřováním
- Správa relací s konfigurovatelnými časovými limity
- Ochrana proti hrubé síle s uzamčením účtu
2. Šifrování
- Údaje v klidu: Šifrování AES-256 (AWS RDS)
- Údaje při přenosu: TLS 1.2+ pro všechna připojení
- Ukládání hesla: Hashování PBKDF2-SHA256
3. Dostupnost a odolnost
- Infrastruktura AWS s vysokou dostupností
- Automatické denní zálohy s obnovou v určitém časovém okamžiku
- Postupy zotavení po havárii
4. Monitorování a protokolování
- Komplexní auditní protokolování aktivit uživatelů
- Sledování použití AI (pouze metadata)
- Monitorování bezpečnostních událostí
- Uchovávání protokolů podle sekce 11
5. Reakce na incidenty
- Zdokumentované postupy reakce na incidenty
- Závazek oznámení o narušení do 72 hodin
- Neměnná auditní stopa pro dodržování předpisů
6. Personál
- Povinnosti důvěrnosti pro veškerý personál
- Školení o bezpečnostním povědomí
- Princip nejmenších oprávnění
7. Správa dodavatelů
- Náležitá péče o Subdodavatele
- Smluvní požadavky na ochranu údajů
- Pravidelná kontrola dodržování předpisů Subdodavatelem