1. Role správce a zpracovatele
U dat, která zákazník vkládá do pracovního prostoru nebo projektu o svých klientech, hostech, dodavatelích, členech týmu a účastnících akce, je zákazník typicky správcem. KRUSPA tato data zpracovává jako zpracovatel, aby mohl provozovat aplikaci.
U dat potřebných pro vlastní provoz služby, například uživatelský účet, přihlášení, bezpečnost, podpora, provozní logy a komunikace s podporou, může být KRUSPA samostatným správcem.
2. Povinnosti zákazníka
- Mít právní důvod pro vložení osobních údajů do aplikace.
- Informovat klienty, hosty, dodavatele a další osoby o tom, že jejich data budou zpracována v plánerském nástroji.
- Minimalizovat alergie, zdravotní, rodinné a jiné citlivé poznámky a vkládat je jen tam, kde jsou opravdu potřebné pro organizaci akce.
- Nastavit přístupy a role tak, aby data viděli jen lidé, kteří je potřebují.
- Nepublikovat na stránce pro hosty nebo v exportech informace, které nemají být veřejné nebo sdílené.
- Řešit zvláštní datové dohody pro konkrétní místo konání nebo zákazníka mimo tento veřejný dokument.
3. Rozsah zpracování
Zpracování pokrývá provoz pracovního prostoru, projektu, RSVP, stránky pro hosty, ubytování, zasedacího pořádku, harmonogramu, úkolů, souborů, dodavatelů, finančních pracovních přehledů, klientských výstupů a technické podpory.
Tato veřejná stránka je informační přehled. Sama o sobě není podepsaná smlouva o zpracování osobních údajů podle čl. 28 GDPR. Formální smlouva o zpracování osobních údajů pro firemní zákazníky musí být doplněna před dlouhodobým placeným provozem.
4. Zpracovatelé a externí služby
| Služba | Stav | Účel |
|---|---|---|
| Railway / databáze | Používáno pro hosting | Hosting aplikace, databáze a provozní infrastruktura. |
| Resend | Používáno při zapnutém e-mailovém odesílání | Transakční e-maily: ověření účtu, reset hesla a pozvánky. |
| Objektové úložiště | Používáno pro nahrané soubory | Ukládání nahraných souborů, fotek, obrázků místa a ubytování. |
| Google Maps / Places | Používáno jen při zapnutých mapových funkcích | Doplňování a ověření adresy pro místa a ubytování. |
| OpenAI | Používáno jen při spuštění překladu | Překlad textu stránky pro hosty, pokud ho plánér spustí. |
| Monitoring chyb | Používáno jen při zapnutém monitoringu | Zachytávání chyb a incidentů bez úmyslného přidávání hostovských, finančních nebo interních údajů do vlastních polí. |
| Produktová analytika | Vypnutá ve výchozím nastavení | Měření základního používání služby bez jmen, kontaktů, adres, cen, poznámek a volného textu. Bez automatického nahrávání relací, heatmap a reklamního sledování. |
| Stripe | Používáno jen při zapnuté online platbě nebo správě předplatného | Zpracování plateb, předplatného a platebního portálu. Pokud online platby nejsou zapnuté, placení probíhá ručně podle dohody. |
5. Co musí obsahovat smlouva o zpracování
- Předmět, doba trvání, povaha a účel zpracování.
- Typy osobních údajů a kategorie subjektů údajů.
- Povinnosti a práva zákazníka jako správce.
- Zpracování jen podle dokumentovaných pokynů zákazníka, včetně přenosů mimo EU/EHP.
- Mlčenlivost osob oprávněných ke zpracování a přiměřená technická a organizační opatření.
- Pravidla pro další zpracovatele, jejich změny a možnost námitky.
- Pomoc se žádostmi subjektů údajů, incidenty, výmazem/vrácením dat a auditem.
6. Bezpečnost, audit a uchování
Zpracování probíhá přes aplikační role, přihlašovací cookies, serverové kontroly přístupu, databázi a objektové úložiště. Ukládání a přístupy mají být omezeny na potřeby provozu, podpory a bezpečnosti.
Mazání, export a opravy se zatím řeší ručně přes podporu. Uchování dat v zálohách, logách a auditních záznamech musí být ještě sladěné s produkčními pravidly a právní revizí.
7. Mezinárodní přenosy
Někteří zpracovatelé mohou zpracovávat data mimo EU/EHP nebo používat globální infrastrukturu. Před placeným provozem pro firemní zákazníky je potřeba doplnit přesný seznam zpracovatelů a právní mechanismus přenosu podle skutečné produkční konfigurace.
8. Otevřené body pro právní revizi
- Doplnit a schválit smlouvu o zpracování osobních údajů pro zákazníky.
- Doplnit přesný seznam zpracovatelů podle produkční konfigurace.
- Doplnit pravidla pro incidenty, lhůty oznámení, změny subdodavatelů, audit a kontakt.
- Doplnit proces pro žádosti osob, kdy žadatel není přímo zákazník, ale host nebo dodavatel.
- Ověřit mezinárodní přenosy, standardní smluvní doložky, rozhodnutí o odpovídající ochraně a skutečné regiony produkčních poskytovatelů.
- Oddělit individuální zákaznické dohody od tohoto veřejného dokumentu.