Smlouva o zpracování osobních údajů (DPA)
Součást Obchodních podmínek služby CHIREO. Platná a účinná od 1. 4. 2026.
K čemu tato smlouva je
Když do CHIREO zadáváte údaje svých klientů — majitelů zvířat (jména, kontakty, adresy), jste podle GDPR jejich správcem vy a my jsme zpracovatelem. Článek 28 GDPR vyžaduje, abychom pro takové zpracování měli písemnou smlouvu. Tou je tento dokument — uzavíráte ji s námi automaticky spolu s Obchodními podmínkami, jejichž je součástí. Smluvní strany jsou stejné jako v Obchodních podmínkách (vy jako uživatel služby a Ing. Michal Kašpařík, IČO: 87167034, jako poskytovatel).
1. Co, proč a jak dlouho zpracováváme
Předmět a povaha zpracování: ukládání, strukturování, zobrazování, zálohování a přenos údajů, které do služby zadáte vy nebo vaši klienti (přes klientský portál a veřejné formuláře), případně jejich automatizované čtení a přepis, pokud si zapnete AI asistenta.
Účel zpracování: výhradně poskytování služby CHIREO — vedení evidence vaší praxe, komunikace s vašimi klienty (e-mail, SMS), sdílení zpráv a dokladů, fakturace.
Kategorie subjektů údajů: vaši klienti (majitelé zvířat) a případně další osoby, jejichž údaje do služby zadáte (např. ošetřující veterinář).
Kategorie údajů: identifikační a kontaktní údaje (jméno, e-mail, telefon, adresa, IČO/DIČ), údaje o návštěvách a platbách, obsah komunikace. Údaje o zvířatech nejsou osobními údaji, ale zpracováváme je se stejnou péčí. Zvláštní kategorie osobních údajů (citlivé údaje o lidech) do služby nepatří a nezadávejte je.
Doba zpracování: po dobu trvání smlouvy. Po jejím skončení máte 30 dnů na export dat, poté vše trvale smažeme (viz čl. 6).
2. Naše povinnosti jako zpracovatele
Vaše data zpracováváme pouze na základě vašich doložených pokynů — tím se rozumí užívání funkcí služby (uložení záznamu, odeslání zprávy, export). K ničemu jinému je nepoužíváme; výjimkou jsou anonymizované a agregované statistiky pro zlepšování služby a případy, kdy nám zpracování ukládá právo EU nebo ČR (o takovém požadavku vás informujeme, pokud to zákon nezakazuje).
Zavazujeme se, že: osoby oprávněné zpracovávat údaje jsou vázány mlčenlivostí; přijali jsme technická a organizační opatření podle čl. 32 GDPR (viz čl. 4); pomůžeme vám s vyřizováním žádostí subjektů údajů i s povinnostmi podle čl. 32–36 GDPR (zabezpečení, ohlašování incidentů, posouzení vlivu); po skončení zpracování data smažeme; a poskytneme vám informace nezbytné k doložení souladu s čl. 28 GDPR.
3. Podzpracovatelé
Souhlasíte s tím, že do zpracování zapojujeme další zpracovatele (podzpracovatele) pro tyto kategorie činností: hosting a provoz serverů (EU), odesílání e-mailů, odesílání SMS a — pouze pokud si AI asistenta aktivně zapnete — poskytovatele AI služeb (Anthropic; data zpracuje jen pro vyřízení konkrétního požadavku a nepoužívá je k trénování modelů; předání do USA je zajištěno rámcem EU-U.S. Data Privacy Framework, případně standardními smluvními doložkami).
Aktuální jmenovitý seznam podzpracovatelů vám poskytneme na vyžádání na info@chireo.cz. Každého podzpracovatele smluvně zavazujeme minimálně na úrovni této smlouvy. O zamýšlené změně podzpracovatelů vás informujeme e-mailem nejméně 14 dnů předem; pokud s ní nesouhlasíte, můžete smlouvu vypovědět ke dni změny.
4. Zabezpečení
Data šifrujeme při přenosu (TLS) i v úložišti, přístupy řídíme podle rolí a oddělujeme data jednotlivých praxí (multi-tenant izolace). Denně zálohujeme, systém průběžně aktualizujeme a přístup k produkčním datům má jen nezbytný okruh osob. Citlivý sdílený obsah (zprávy pro majitele) chráníme navíc PINem.
5. Bezpečnostní incidenty
Pokud zjistíme porušení zabezpečení osobních údajů, které se týká vašich dat, oznámíme vám to bez zbytečného odkladu po zjištění, spolu s popisem incidentu, pravděpodobnými dopady a přijatými opatřeními — abyste mohli splnit své ohlašovací povinnosti vůči ÚOOÚ (do 72 hodin) a případně subjektům údajů.
6. Skončení zpracování
Po skončení smlouvy máte 30 dnů na export svých dat přímo v aplikaci nebo na vyžádání. Poté všechna vaše data včetně záloh trvale smažeme (zálohy se přemažou v rámci běžné rotace, nejpozději do 30 dnů od smazání). Uchováme jen to, co nám ukládá zákon (např. fakturační údaje o vás — ty ale zpracováváme jako správce).
7. Audit
Máte právo si ověřit, že plníme povinnosti podle této smlouvy. Primárně vám informace poskytneme písemně na vyžádání. Audit na místě je možný po předchozí dohodě termínu (nejméně 14 dnů předem), maximálně jednou ročně, v pracovní době, na vaše náklady a tak, aby nenarušil provoz služby ani bezpečnost dat ostatních uživatelů.
8. Závěrem
Tato smlouva se řídí českým právem a sdílí pravidla Obchodních podmínek (komunikace, změny, převod na jiného poskytovatele). V rozsahu zpracování osobních údajů má tato smlouva přednost před ostatními ujednáními. Odpovědnost stran se řídí čl. 82 GDPR; v ostatním platí omezení odpovědnosti z Obchodních podmínek v rozsahu, v jakém to GDPR připouští.
Tato smlouva je platná a účinná od 1. 4. 2026.