ZMLUVA O SPRACÚVANÍ OSOBNÝCH ÚDAJOV (DPA)
(Data Processing Agreement podľa článku 28 Nariadenia (EÚ) 2016/679 — GDPR)
Zmluvné strany
Prevádzkovateľ / Controller (ďalej len „Zákazník")
Obchodné meno, IČO, sídlo a kontaktné údaje podľa uzatvorenej Zmluvy o poskytovaní služieb (ďalej len „Hlavná zmluva").
Sprostredkovateľ / Processor
Blue Yasuo Consulting, s. r. o. IČO: 53199341 DIČ: 2121301556 Sídlo: Romanova 1678/33, 851 02 Bratislava — mestská časť Petržalka E-mail: blueyasuoconsulting@gmail.com Telefón: +421 902 638 008 Web: chatbotnamieru.sk
(ďalej len „Sprostredkovateľ")
Dátum účinnosti: 23. 04. 2026 Verzia: 1.0
1. Úvodné ustanovenia
1.1 Táto Zmluva o spracúvaní osobných údajov (ďalej len „DPA") je neoddeliteľnou súčasťou Hlavnej zmluvy uzatvorenej medzi Zákazníkom a Sprostredkovateľom, ktorej predmetom je poskytovanie služieb AI chatbotov, hlasových asistentov, AI automatizácie alebo podobných služieb („Služba").
1.2 DPA upravuje podmienky spracúvania osobných údajov, pri ktorých Zákazník vystupuje ako prevádzkovateľ v zmysle čl. 4 bodu 7 GDPR a Sprostredkovateľ ako sprostredkovateľ v zmysle čl. 4 bodu 8 GDPR.
1.3 V prípade rozporu medzi Hlavnou zmluvou a touto DPA má prednosť DPA v otázkach spracúvania osobných údajov.
2. Predmet a trvanie spracúvania
2.1 Predmet spracúvania
Sprostredkovateľ spracúva osobné údaje Koncových používateľov Služby v mene Zákazníka za účelom poskytovania a prevádzky AI chatbota/asistenta/automatizácie nasadeného pre Zákazníka.
2.2 Doba spracúvania
Osobné údaje sa spracúvajú počas trvania Hlavnej zmluvy a následne počas retention period podľa čl. 7 týchto DPA (štandardne 12 mesiacov konverzačné dáta, 90 dní po ukončení zmluvy).
2.3 Povaha a účel spracúvania
- Generovanie AI odpovedí na otázky Koncových používateľov
- Uchovávanie konverzačnej histórie pre kontinuitu sedenia
- Štatistické a analytické účely (agregované, anonymizované dáta)
- Prípadné kontaktovanie Koncového používateľa zo strany Zákazníka
3. Typy osobných údajov a kategórie dotknutých osôb
3.1 Kategórie dotknutých osôb
- Koncoví používatelia Služby (návštevníci webstránky Zákazníka, ktorí interagujú s chatbotom/asistentom)
3.2 Typy spracúvaných osobných údajov
| Kategória | Príklady | Voliteľné? |
|---|---|---|
| Konverzačné údaje | Obsah správ v chate | Vždy |
| Technické údaje | IP adresa, user agent, session ID | Vždy |
| Identifikačné údaje | Meno, priezvisko | Iba ak zhromažďuje chatbot |
| Kontaktné údaje | E-mail, telefónne číslo | Iba ak zhromažďuje chatbot |
| Ďalšie údaje | Podľa konfigurácie Zákazníka | Iba ak zhromažďuje chatbot |
3.3 Rozsah údajov
Presný rozsah spracúvaných údajov je určený konfiguráciou chatbota podľa pokynov Zákazníka. Sprostredkovateľ nezhromažďuje údaje nad rámec týchto pokynov.
3.4 Osobitné kategórie údajov
Sprostredkovateľ nespracúva zvláštne kategórie osobných údajov podľa čl. 9 GDPR (zdravotné, biometrické, genetické, údaje o sexualite, politické názory, náboženstvo a pod.) ani údaje týkajúce sa odsúdení za trestné činy podľa čl. 10 GDPR, pokiaľ sa s nimi dotknutá osoba dobrovoľne nezdieľa v chatovej konverzácii. Zákazník je zodpovedný za informovanie Koncových používateľov, aby takéto údaje do chatu nezverejňovali.
4. Povinnosti Sprostredkovateľa
Sprostredkovateľ sa zaväzuje, že:
4.1 Spracúvanie výlučne podľa pokynov
Spracúva osobné údaje výlučne na základe zdokumentovaných pokynov Zákazníka, vrátane pokynov týkajúcich sa prenosu osobných údajov do tretej krajiny alebo medzinárodnej organizácie, ibaže sa takéto spracúvanie vyžaduje na základe práva Únie alebo členského štátu EÚ; v takom prípade Sprostredkovateľ oznámi Zákazníkovi túto právnu požiadavku pred spracúvaním, pokiaľ dané právo takéto oznámenie nezakazuje.
4.2 Dôvernosť
Zabezpečí, aby sa osoby oprávnené spracúvať osobné údaje zaviazali k dôvernosti alebo aby sa na ne vzťahovala vhodná zákonná povinnosť dôvernosti.
4.3 Bezpečnostné opatrenia
Prijme všetky potrebné opatrenia podľa čl. 32 GDPR (viď čl. 6 tejto DPA).
4.4 Sub-procesori
Dodržiava podmienky uvedené v čl. 28 ods. 2 a 4 GDPR pre zapojenie ďalšieho sprostredkovateľa (viď čl. 5 tejto DPA).
4.5 Súčinnosť pri žiadostiach dotknutých osôb
Zohľadňujúc povahu spracúvania, Sprostredkovateľ je Zákazníkovi nápomocný vhodnými technickými a organizačnými opatreniami pri plnení povinnosti reagovať na žiadosti o uplatňovanie práv dotknutej osoby (prístup, oprava, vymazanie, prenositeľnosť, námietka podľa čl. 15–22 GDPR).
4.6 Súčinnosť pri ochranných povinnostiach
Je Zákazníkovi nápomocný pri zabezpečovaní plnenia povinností podľa čl. 32–36 GDPR, ak je to relevantné (bezpečnostné opatrenia, oznamovanie porušení, posúdenie vplyvu).
4.7 Vrátenie/vymazanie údajov
Po ukončení poskytovania Služby vymaže alebo vráti všetky osobné údaje Zákazníkovi (podľa voľby Zákazníka) a vymaže existujúce kópie, pokiaľ právo EÚ alebo členského štátu nevyžaduje ich uchovávanie. Štandardná doba úplného vymazania je 90 dní od ukončenia Hlavnej zmluvy.
4.8 Audity a kontroly
Poskytne Zákazníkovi všetky informácie potrebné na preukázanie dodržania povinností podľa čl. 28 GDPR a umožní a prispeje k auditom vrátane kontrol, ktoré vykoná Zákazník alebo iný audítor poverený Zákazníkom.
Praktický postup auditu:
- Zákazník si môže vyžiadať auditovú správu (SOC 2 alebo ekvivalent od Sprostredkovateľa a jeho sub-procesorov — OpenAI, Supabase);
- V prípade oprávneného záujmu a po písomnej dohode je možný aj on-site audit s primeraným oznámením min. 30 dní vopred;
- Náklady auditu znáša Zákazník, ak audit neodhalí podstatné pochybenie Sprostredkovateľa.
4.9 Upozornenie na pokyny v rozpore s právom
Bezodkladne informuje Zákazníka, ak sa domnieva, že určitý pokyn porušuje GDPR alebo iné právne predpisy EÚ alebo členského štátu.
5. Ďalší sprostredkovatelia (sub-procesori)
5.1 Všeobecné oprávnenie
Zákazník týmto udeľuje Sprostredkovateľovi všeobecné písomné oprávnenie zapojiť ďalších sprostredkovateľov za účelom poskytovania Služby (čl. 28 ods. 2 GDPR).
5.2 Zoznam sub-procesorov ku dňu účinnosti DPA
| Sub-procesor | Účel | Sídlo | Umiestnenie dát | Právny základ prenosu |
|---|---|---|---|---|
| OpenAI, LLC | AI generovanie odpovedí (GPT API) | San Francisco, USA | USA | SCC + EU-US Data Privacy Framework |
| Supabase, Inc. | Databáza, autentifikácia | San Francisco, USA | EÚ — Štokholm (Švédsko) | Žiadny prenos do tretej krajiny |
| Hostinger International Ltd. | VPS hosting | Kaunas, Litva | EÚ — Frankfurt (Nemecko) | Žiadny prenos do tretej krajiny |
| Stripe, Inc. | Spracovanie platieb (iba platobné údaje Zákazníka, nie Koncových používateľov) | San Francisco, USA / Írsko | EÚ + USA | SCC + EU-US DPF |
| Resend | Transakčné e-maily (iba na adresy Zákazníka) | USA | USA | SCC |
5.3 Zmena sub-procesorov
Sprostredkovateľ informuje Zákazníka aspoň 30 dní vopred o plánovaných zmenách týkajúcich sa pridania alebo nahradenia ďalších sprostredkovateľov, čím dáva Zákazníkovi možnosť namietať proti takýmto zmenám.
5.4 Zmluvné povinnosti voči sub-procesorom
Sprostredkovateľ uzatvoril s každým sub-procesorom zmluvu ukladajúcu obdobné povinnosti na ochranu osobných údajov, aké sú stanovené v tejto DPA.
6. Bezpečnostné opatrenia (čl. 32 GDPR)
Sprostredkovateľ prijal nasledujúce technické a organizačné opatrenia:
6.1 Technické opatrenia
- Šifrovanie dát pri prenose (TLS 1.2+ pre všetku komunikáciu)
- Šifrovanie dát v úložisku (AES-256 na úrovni databázy a záloh)
- Pseudonymizácia tam, kde je to možné (session ID namiesto identifikátorov)
- Riadenie prístupu — iba oprávnení zamestnanci/spolupracovníci s need-to-know princípom
- Autentifikácia — silné heslá, 2FA pre administrátorské prístupy
- Row-Level Security v databáze (Supabase RLS policies)
- Monitorovanie a auditné logy — centralizované logovanie prístupov
- Pravidelné zálohovanie s retention policy
- Aktualizácia softvéru — bezpečnostné záplaty inštalujeme bezodkladne
6.2 Organizačné opatrenia
- Interné smernice pre zaobchádzanie s osobnými údajmi
- Pravidelné školenia zamestnancov o GDPR a bezpečnosti
- Písomné záväzky k dôvernosti pre všetkých spracovateľov
- Postupy pre zvládanie bezpečnostných incidentov (incident response plan)
- Pravidelná revízia bezpečnostných opatrení
6.3 Testovanie a posudzovanie
Sprostredkovateľ pravidelne testuje a posudzuje účinnosť technických a organizačných opatrení na zabezpečenie bezpečnosti spracúvania.
7. Porušenie ochrany osobných údajov (data breach)
7.1 Oznamovanie Zákazníkovi
Sprostredkovateľ bez zbytočného odkladu, najneskôr do 48 hodín od zistenia informuje Zákazníka o akomkoľvek porušení ochrany osobných údajov.
7.2 Obsah oznámenia
Oznámenie bude obsahovať najmä:
- Povaha porušenia (kategórie a orientačný počet dotknutých osôb, kategórie a orientačný počet záznamov)
- Kontaktný bod pre ďalšie informácie
- Pravdepodobné dôsledky porušenia
- Opatrenia prijaté alebo navrhované na riešenie porušenia
7.3 Súčinnosť pri oznamovaní dozornému orgánu
Sprostredkovateľ poskytne Zákazníkovi potrebnú súčinnosť pri plnení povinnosti Zákazníka oznámiť porušenie Úradu na ochranu osobných údajov SR (čl. 33 GDPR) a dotknutým osobám (čl. 34 GDPR).
8. Prenos osobných údajov do tretích krajín
8.1 Prenos do USA (OpenAI, Stripe, Resend)
Pri využívaní OpenAI API a niektorých ďalších sub-procesorov dochádza k prenosu osobných údajov do USA. Prenos je zabezpečený:
- Štandardnými zmluvnými doložkami (SCC) podľa vykonávacieho rozhodnutia Komisie (EÚ) 2021/914;
- EU-US Data Privacy Framework (DPF) — kde je sub-procesor certifikovaný;
- Doplnkovými opatreniami — šifrovanie, minimalizácia, zákaz použitia dát na trénovanie modelov (OpenAI API Data Usage Policy).
8.2 Dokumentácia
Príslušné SCC a politiky sub-procesorov sú k dispozícii na vyžiadanie u Sprostredkovateľa.
9. Platnosť, zmeny a ukončenie
9.1 Platnosť
Táto DPA nadobúda platnosť dňom podpisu, resp. dňom uzatvorenia Hlavnej zmluvy a platí po celú dobu trvania Hlavnej zmluvy.
9.2 Zmeny
Sprostredkovateľ si vyhradzuje právo aktualizovať túto DPA v súlade so zmenami právnych predpisov alebo zmien v spracúvaní. O podstatných zmenách informuje Zákazníka aspoň 30 dní vopred e-mailom.
9.3 Ukončenie spracúvania
Po ukončení Hlavnej zmluvy Sprostredkovateľ vymaže alebo vráti všetky osobné údaje podľa čl. 4.7 tejto DPA.
9.4 Záväznosť
Ustanovenia čl. 4.7 (vrátenie/vymazanie údajov), čl. 6 (bezpečnostné opatrenia pre retention period) a čl. 7 (oznamovanie porušení) ostávajú v platnosti aj po ukončení Hlavnej zmluvy, a to až do úplného vymazania osobných údajov.
10. Záverečné ustanovenia
10.1 Rozhodné právo
Táto DPA sa riadi právnym poriadkom Slovenskej republiky a príslušnými predpismi práva Európskej únie, najmä GDPR.
10.2 Jurisdikcia
Všetky spory vyplývajúce z tejto DPA budú riešené príslušnými súdmi Slovenskej republiky.
10.3 Kontaktný bod pre ochranu osobných údajov
V otázkach týkajúcich sa tejto DPA kontaktujte:
Blue Yasuo Consulting, s. r. o. E-mail: blueyasuoconsulting@gmail.com Telefón: +421 902 638 008
Ako uzatvoriť túto DPA
Táto DPA je štandardnou šablónou ponúkanou Sprostredkovateľom. Na uzatvorenie DPA:
- Implicitné prijatie — DPA sa považuje za prijatú akceptovaním Obchodných podmienok služby a založením aktívneho účtu. Konkrétne ustanovenia (identifikácia Zákazníka) sa dopĺňajú automaticky z registračných údajov.
- Explicitné podpísanie — pre enterprise klientov alebo v prípade individuálnych požiadaviek je na vyžiadanie k dispozícii podpísaná PDF verzia. Kontaktujte blueyasuoconsulting@gmail.com.
Verzia 1.0 — 23. 04. 2026. Táto DPA je vyhotovená v slovenskom jazyku. Anglická verzia je k dispozícii na vyžiadanie. V prípade rozporu medzi jazykovými verziami má prednosť slovenská verzia.