Smlouva o zpracování osobních údajů

Smlouva o zpracování osobních údajů podle čl. 28 GDPR

mezi uživatelem služby BonusVoice (dále jen „objednatel") a

Bonus Service BS GmbH Dorotheenstr. 5, 45130 Essen E-mail: info@bonusvoice.de Telefon: 0201-89083160

(dále jen „zpracovatel")

§ 1 – Předmět a doba zpracování

(1) Zpracovatel zpracovává osobní údaje jménem objednatele v rámci používání služby BonusVoice (transkripce a sumarizace audio nahrávek s podporou umělé inteligence).

(2) Doba zpracování odpovídá době trvání smlouvy o užívání. Smazáním uživatelského účtu zpracování končí. Osobní údaje budou smazány do 30 dnů po smazání účtu, pokud neexistují zákonné povinnosti archivace.

§ 2 – Druh a účel zpracování

Zpracování zahrnuje následující činnosti:

  • Ukládání audio nahrávek, přepisů a souhrnů
  • Zpracování umělou inteligencí pro transkripci (řeč-na-text) a sumarizaci
  • Správa uživatelů (vytvoření účtu, autentizace, příslušnost k organizaci)
  • Zasílání e-mailů (potvrzení účtu, oznámení, zasílání přepisů)
  • Zpracování plateb (správa předplatného a fakturace)

§ 3 – Druhy osobních údajů

Zpracovávány jsou následující kategorie údajů:

  • Jméno a e-mailová adresa
  • Heslo (uloženo v šifrované podobě)
  • Příslušnost k organizaci
  • Audio nahrávky a z nich vytvořené přepisy a souhrny
  • Metadata (název, popis, délka, jazyk nahrávek)
  • Platební údaje (zpracovávány Stripe, nejsou uloženy u zpracovatele)
  • Protokolové údaje serveru (IP adresa, prohlížeč, časové razítko)

§ 4 – Kategorie dotčených osob

  • Registrovaní uživatelé služby
  • Osoby zachycené v audio nahrávkách (mluvčí)

§ 5 – Povinnosti zpracovatele

(1) Zpracovatel zpracovává osobní údaje výhradně na základě doložených pokynů objednatele, ledaže je ke zpracování povinen na základě práva Unie nebo členského státu.

(2) Zpracovatel zajistí, že osoby oprávněné ke zpracování se zavázaly k mlčenlivosti.

(3) Zpracovatel přijme všechna opatření požadovaná čl. 32 GDPR, zejména:

  • SSL/TLS šifrování všech datových přenosů
  • Šifrované ukládání všech audio souborů v Object Storage
  • Šifrované ukládání hesel
  • Řízení přístupu a koncepce oprávnění
  • Pravidelné bezpečnostní aktualizace všech systémů
  • Umístění serveru výhradně v Německu a EU

(4) Zpracovatel podporuje objednatele při dodržování povinností uvedených v čl. 32 až 36 GDPR.

(5) Po ukončení zpracování zpracovatel smaže všechny osobní údaje, pokud neexistuje zákonná povinnost archivace.

(6) Zpracovatel poskytne objednateli všechny potřebné informace k prokázání dodržování povinností stanovených v čl. 28 GDPR.

§ 6 – Dílčí zpracovatelé (subdodavatelé)

(1) Objednatel souhlasí s využitím níže uvedených dílčích zpracovatelů:

6.1 Hetzner Online GmbH

| | | |---|---| | Účel | Hosting serveru a ukládání souborů (Object Storage) | | Adresa | Industriestr. 25, 91710 Gunzenhausen, Německo | | Umístění serveru | Německo | | Zpracovávané údaje | Všechny uživatelské a obsahové údaje, audio soubory, přepisy | | Smlouva | Smlouva o zpracování údajů podle čl. 28 GDPR existuje |

6.2 Mistral AI

| | | |---|---| | Účel | Zpracování umělou inteligencí: transkripce (model Voxtral) a sumarizace | | Adresa | 15 Rue des Halles, 75001 Paříž, Francie | | Umístění serveru | EU (Francie) | | Zpracovávané údaje | Audio soubory (pro transkripci), přepisy (pro sumarizaci) | | Upozornění | Veškeré zpracování umělou inteligencí probíhá výhradně v rámci EU. Žádný přenos dat do třetích zemí. |

6.3 ALL-INKL.COM - Neue Medien Münnich

| | | |---|---| | Účel | Zasílání e-mailů (potvrzení účtu, oznámení, zasílání přepisů) | | Adresa | Hauptstraße 68, 02742 Friedersdorf, Německo | | Umístění serveru | Německo | | Zpracovávané údaje | E-mailová adresa, jméno, obsah e-mailů |

6.4 Stripe, Inc.

| | | |---|---| | Účel | Zpracování plateb (kreditní karty, SEPA, správa předplatného) | | Adresa | 354 Oyster Point Blvd, South San Francisco, CA 94080, USA | | Zpracování údajů | EU (Stripe zpracovává evropské platební údaje v EU) | | Zpracovávané údaje | Platební informace (údaje o kreditních kartách, SEPA údaje). Tyto údaje zpracovává výhradně Stripe a nejsou u zpracovatele uloženy. | | Upozornění | Stripe je zodpovědný výhradně za zpracování plateb. Žádné audio, přepisové ani obsahové údaje nejsou Stripe předávány. | | Záruky | EU-US Data Privacy Framework, standardní smluvní doložky (SCC) |

6.5 Google Ireland Limited (volitelné)

| | | |---|---| | Účel | Autentizace (Google OAuth 2.0) — pouze pokud se uživatel aktivně rozhodne pro přihlášení přes Google | | Adresa | Gordon House, Barrow Street, Dublin 4, Irsko | | Zpracování údajů | EU (Irsko) | | Zpracovávané údaje | Jméno a e-mailová adresa uživatele (pouze k identifikaci účtu) | | Upozornění | Google OAuth je zcela volitelný. Uživatelé se mohou kdykoli přihlásit prostřednictvím e-mailu/hesla nebo Magic Linku. Společnosti Google nejsou předávány žádné audio nahrávky, přepisy, souhrny ani jiné obsahové údaje. | | Záruky | EU-US Data Privacy Framework, standardní smluvní doložky (SCC) |

(2) Zpracovatel bude objednatele informovat o každé zamýšlené změně týkající se přibrání nebo nahrazení dílčích zpracovatelů. Objednatel může proti takovým změnám vznést námitku.

§ 7 – Předávání do třetích zemí

(1) Předávání osobních údajů do třetích zemí (mimo EHP) se zásadně neuskutečňuje.

(2) Výjimky:

  • Stripe (zpracování plateb): Stripe, Inc. má sídlo v USA, avšak zpracovává evropské údaje v EU. Pro přenos dat platí EU-US Data Privacy Framework a standardní smluvní doložky.
  • Google (pouze při Google OAuth): Google Ireland Limited zpracovává údaje v EU. Pouze při aktivní volbě přihlášení přes Google uživatelem.

(3) Zpracování umělou inteligencí (transkripce a sumarizace) a ukládání všech obsahových a uživatelských údajů probíhá výhradně v Německu a EU.

§ 8 – Práva dotčených osob

Zpracovatel podporuje objednatele při plnění práv dotčených osob podle čl. 12–22 GDPR, zejména:

  • Právo na přístup (čl. 15 GDPR)
  • Právo na opravu (čl. 16 GDPR)
  • Právo na výmaz (čl. 17 GDPR)
  • Právo na omezení zpracování (čl. 18 GDPR)
  • Právo na přenositelnost údajů (čl. 20 GDPR)

Uživatelé mohou kdykoli prostřednictvím svého uživatelského účtu prohlížet, exportovat a mazat svá data.

§ 9 – Oznamovací povinnost při porušení ochrany údajů

Zpracovatel informuje objednatele neprodleně, nejpozději do 48 hodin, o každém porušení ochrany osobních údajů podle čl. 33 GDPR.

§ 10 – Kontrolní práva

(1) Objednatel má právo přiměřeným způsobem ověřovat dodržování této smlouvy.

(2) Zpracovatel na požádání poskytne objednateli všechny potřebné informace a umožní kontroly včetně inspekcí.

§ 11 – Doba trvání a ukončení

Tato smlouva platí po dobu trvání užívání služby BonusVoice. Nabývá účinnosti registrací a končí smazáním uživatelského účtu.

§ 12 – Závěrečná ustanovení

(1) Pokud by jednotlivá ustanovení této smlouvy byla neúčinná, platnost ostatních ustanovení tím zůstává nedotčena.

(2) Platí právo Spolkové republiky Německo.

(3) Místně příslušným soudem je Essen.

Stav: Březen 2026

Kontakt pro dotazy k ochraně údajů: info@bonusvoice.de