Zpracovatelská smlouva

Předmětem této Smlouvy je úprava podmínek, za nichž Zpracovatel zpracovává osobní údaje jménem Správce při poskytování služby Kurikula, zejména při nahrání, analýze, revizi, schvalování a exportu školních vzdělávacích programů (ŠVP) podle aktuálních Rámcových vzdělávacích programů (RVP).

Zpracování probíhá po dobu trvání smlouvy o poskytování služby. Po ukončení smlouvy Zpracovatel na volbu Správce data smaže nebo vrátí a smaže existující kopie zpravidla do 30 dnů, pokud právní předpisy nevyžadují jejich delší uchování nebo pokud nejde o provozní zálohy, které jsou mazány podle běžného retenčního cyklu.

Zpracovatel zpracovává osobní údaje výhradně za účelem poskytování služby Správci. Zpracování zahrnuje zejména:

• Nahrání, uložení, čtení a strukturování dokumentů ŠVP.
• Porovnání obsahu dokumentu s RVP podklady, modelovými dokumenty a metodickými daty.
• Analýzu obsahu pomocí modelů Google Gemini a dalších aplikačních pravidel za účelem návrhů změn a gap analýzy.
• Generování, zobrazení, úpravu, schvalování nebo odmítání návrhů změn v editoru.
• Export schválených změn do DOCX a uchování historie rozhodnutí.
• Správu uživatelských účtů, rolí, pozvánek, auditních záznamů a technické podpory.
• Dočasné ukládání výsledků a mezipaměti pro dokončení zpracování, zrychlení služby a snížení opakovaných výpočtů.

Zpracovatel nezpracovává osobní údaje pro trénink modelů umělé inteligence, prodej dat ani marketing třetích stran.

Pro účely zpracování osobních údajů v rámci služby platí:

• Správce (škola) určuje účely a prostředky zpracování osobních údajů obsažených v dokumentech ŠVP a v údajích svých pracovníků.
• Zpracovatel (Kurikula) zpracovává osobní údaje pouze na základě doložených pokynů Správce, této Smlouvy, obchodních podmínek a právních předpisů.

Zpracování se může týkat těchto kategorií osob:

• Pedagogičtí pracovníci školy, asistenti pedagoga, vedení školy a další pracovníci uvedení v dokumentech ŠVP.
• Uživatelé aplikace pověření Správcem, včetně administrátorů, koordinátorů, učitelů a pozvaných členů týmu.
• Kontaktní osoby Správce pro licenci, fakturaci, podporu a pilotní testování.
• Ve výjimečných případech jiné osoby uvedené v nahraném dokumentu, pokud je Správce v dokumentu ponechá.

Služba není určena pro zpracování detailních osobních údajů žáků ani zvláštních kategorií osobních údajů dle čl. 9 GDPR. Správce má před nahráním dokumentu odstranit údaje, které pro revizi ŠVP nejsou nezbytné.

• Jméno, příjmení, pracovní zařazení, funkce a předměty.
• E-mail, telefon a další kontaktní údaje uživatelů nebo školy.
• Obsah ŠVP dokumentů, komentáře, návrhy změn, rozhodnutí, poznámky a exporty.
• Údaje o škole, organizaci, licenci, objednávce, IČO a fakturačních podkladech.
• Technické údaje jako IP adresa, auditní logy, identifikátory relace, stav zpracování, chybové záznamy a diagnostika.

Správce uděluje Zpracovateli obecné povolení zapojit níže uvedené podzpracovatele. Zpracovatel informuje Správce o podstatných změnách v okruhu podzpracovatelů s předstihem alespoň 14 dnů, aby měl Správce možnost vznést odůvodněnou námitku.

• Google LLC / Google Cloud / Google Gemini pro analýzu dokumentů, generování návrhů, zpracování DOCX a případně Google přihlášení.
• Vercel Inc. pro hosting aplikace a serverové funkce.
• Neon pro provoz relační databáze PostgreSQL.
• Upstash pro Redis cache, fronty a dočasné provozní údaje.
• E-mailový poskytovatel přes SMTP pro systémové e-maily, pozvánky, ověření účtu a notifikace.
• Make.com pro předání schválené objednávky do fakturačního a administrativního procesu, pokud je webhook aktivován.
• Sentry pro monitoring chyb a stabilitu aplikace.
• Crisp pro chat podpory, pokud je v daném prostředí aktivní nebo jej uživatel otevře.

Pokud dochází k předání osobních údajů mimo EHP, Zpracovatel používá odpovídající záruky dle GDPR, zejména smlouvy o zpracování osobních údajů, standardní smluvní doložky nebo jiné platné mechanismy.

Zpracovatel udržuje opatření odpovídající riziku zpracování dle čl. 32 GDPR, zejména:

• Šifrovaný přenos dat přes TLS.
• Šifrování dat v klidu na úrovni poskytovatelů infrastruktury.
• Řízení přístupu podle rolí a principu nejnižších oprávnění.
• Logickou izolaci dat jednotlivých škol podle organizace.
• Auditní záznamy klíčových operací a přístupů.
• Ověřování e-mailu a ochranu přihlášení.
• Minimalizaci dat v požadavcích na externí služby.
• Zálohování, monitoring, detekci chyb a řízení incidentů.
• Vázání oprávněných osob mlčenlivostí a omezení přístupu k produkčním datům.

Zpracovatel se zavazuje, že:

• Bude osobní údaje zpracovávat pouze na základě pokynů Správce.
• Zajistí, aby osoby oprávněné zpracovávat osobní údaje byly vázány povinností mlčenlivosti.
• Přijme opatření požadovaná dle čl. 32 GDPR.
• Bude dodržovat podmínky pro zapojení dalších podzpracovatelů dle čl. 28 odst. 2 a 4 GDPR.
• Pomůže Správci přiměřenými technickými a organizačními opatřeními při vyřizování práv subjektů údajů.
• Pomůže Správci při plnění povinností dle čl. 32 až 36 GDPR, včetně bezpečnosti, incidentů a posouzení vlivu, pokud je to vzhledem k povaze zpracování možné.
• Po ukončení poskytování služby na volbu Správce data vymaže nebo vrátí, pokud právní předpis nevyžaduje jejich uložení.
• Poskytne informace potřebné k doložení splnění povinností dle čl. 28 GDPR a umožní přiměřené audity nebo inspekce.
• Neprodleně informuje Správce, pokud se domnívá, že pokyn Správce porušuje GDPR nebo jiné předpisy o ochraně osobních údajů.

V případě porušení zabezpečení osobních údajů Zpracovatel informuje Správce bez zbytečného odkladu, nejpozději do 48 hodin od zjištění incidentu, na kontaktní e-mail uvedený v účtu Správce. Oznámení bude obsahovat dostupné informace o povaze incidentu, kategoriích údajů a subjektů, pravděpodobných důsledcích a přijatých nebo navrhovaných opatřeních.

Zpracovatel neurčil pověřence pro ochranu osobních údajů (DPO), neboť mu tato povinnost nevzniká dle čl. 37 GDPR. Dotazy k ochraně osobních údajů a plnění této Smlouvy zasílejte na:

Webforte Technologies s.r.o.
IČO: 23364343
Korunní 2569/108, Vinohrady, 101 00 Praha 10
E-mail: info@kurikula.ai

Tato Smlouva se řídí právním řádem České republiky a přímo použitelným právem EU, zejména GDPR. V případě rozporu mezi touto Smlouvou a obchodními podmínkami Kurikula má v otázkách ochrany osobních údajů přednost tato Smlouva.

Zpracovatel může tuto Smlouvu aktualizovat v návaznosti na změny služby, právních předpisů nebo podzpracovatelů. O podstatných změnách bude Správce informován e-mailem nebo oznámením v aplikaci.