Zpracovatelská smlouva

Předmětem této Smlouvy je úprava podmínek, za nichž Zpracovatel zpracovává osobní údaje jménem Správce v rámci poskytování služby Kurikula, tj. automatizované analýzy a migrace školních vzdělávacích programů (ŠVP) na nové Rámcové vzdělávací programy (RVP).

Zpracování probíhá po dobu trvání smlouvy o poskytování Služby mezi Správcem a Zpracovatelem. Po ukončení smlouvy Zpracovatel veškerá zpracovávaná data smaže nebo vrátí Správci, a to do 30 dnů od data ukončení, pokud právní předpisy nevyžadují jejich delší uchování.

Zpracovatel zpracovává osobní údaje výhradně za účelem poskytování Služby Správci. Konkrétně se jedná o:

• Nahrání a uložení dokumentů ŠVP poskytnutých Správcem.
• Analýzu obsahu dokumentů ŠVP pomocí modelů umělé inteligence (Google Gemini) za účelem identifikace souladu s RVP standardy.
• Generování návrhů úprav a doplnění ŠVP na základě výsledků analýzy.
• Dočasné ukládání výsledků analýzy do mezipaměti pro optimalizaci výkonu Služby.
• Správu uživatelských účtů pracovníků Správce v rámci Služby.

Zpracovatel nezpracovává osobní údaje pro žádné jiné účely, zejména ne pro trénink modelů umělé inteligence, marketing ani prodej třetím stranám.

Pro účely zpracování osobních údajů v rámci Služby platí:

• Správce (škola) určuje účely a prostředky zpracování osobních údajů obsažených v dokumentech ŠVP a nese za toto zpracování primární odpovědnost dle GDPR.
• Zpracovatel (Kurikula) zpracovává osobní údaje výhradně na základě pokynů Správce a v souladu s touto Smlouvou a čl. 28 GDPR.

Zpracování se může týkat těchto kategorií subjektů údajů:

• Pedagogičtí pracovníci školy (učitelé, vychovatelé, asistenti pedagoga), jejichž jména nebo funkce jsou uvedeny v dokumentech ŠVP.
• Ředitel školy, pokud je jmenován v dokumentech ŠVP jako autor nebo schvalovatel.
• Pracovníci školy pověření správou účtu v aplikaci Kurikula (jméno, e-mail).

Dokumenty ŠVP zpravidla obsahují pouze jména a funkce pedagogických pracovníků, která jsou veřejně dostupná dle školského zákona (zákon č. 561/2004 Sb.). Zpracování se netýká zvláštních kategorií osobních údajů dle čl. 9 GDPR.

V rámci Služby jsou zpracovávány tyto kategorie osobních údajů:

• Identifikační údaje: jméno a příjmení pedagogických pracovníků, pokud jsou uvedeny v ŠVP.
• Pracovní údaje: funkce, aprobace nebo vyučované předměty, pokud jsou součástí ŠVP.
• Kontaktní a přihlašovací údaje: e-mailová adresa pracovníků Správce registrovaných v aplikaci.

Správce tímto uděluje Zpracovateli obecné povolení zapojit do zpracování níže uvedené podzpracovatelé. Zpracovatel informuje Správce o plánovaných změnách v okruhu podzpracovatelů s předstihem nejméně 14 dnů, aby měl Správce možnost vznést námitku.

Aktuální seznam podzpracovatelů:

• Google LLC (Google Cloud, Gemini API) pro zpracování dokumentů pomocí modelů umělé inteligence. Zpracování probíhá v souladu s podmínkami Google Cloud Data Processing Amendment, které jsou v souladu s čl. 28 GDPR. Přenos dat mimo EHP je kryt standardními smluvními doložkami (SCC).
• Vercel Inc. pro hosting aplikace a serverové výpočty. Přenos dat mimo EHP je kryt standardními smluvními doložkami.
• Upstash Inc. pro dočasné ukládání dat do mezipaměti (Redis). Data jsou ukládána šifrovaně a automaticky expirují.
• Neon Inc. pro provoz relační databáze (PostgreSQL), v níž jsou trvale uložena data Správce. Databáze je provozována v regionu EU.

Zpracovatel přijal a udržuje tato technická a organizační opatření k zajištění bezpečnosti zpracování dle čl. 32 GDPR:

• Šifrování přenosu: veškerá komunikace mezi klientem a servery probíhá výhradně přes protokol TLS 1.2 nebo vyšší.
• Šifrování dat v klidu: databáze a souborové úložiště jsou šifrovány na úrovni poskytovatele infrastruktury.
• Řízení přístupu na základě rolí (RBAC): přístup k datům Správce mají pouze oprávnění pracovníci Zpracovatele a systémové komponenty, které to nezbytně potřebují.
• Audit log: přístupy k datům a klíčové operace jsou zaznamenávány v auditním logu.
• Izolace dat: data jednotlivých škol jsou logicky oddělena pomocí identifikátoru organizace.
• Minimalizace dat: Zpracovatel zpracovává pouze údaje nezbytné pro poskytování Služby.
• Pravidelné přezkumy: Zpracovatel pravidelně přezkoumává bezpečnostní opatření a opatření svých podzpracovatelů.

Zpracovatel se zavazuje, že:

• Bude zpracovávat osobní údaje pouze na základě doložených pokynů Správce, pokud mu zpracování neukládá právo EU nebo členského státu.
• Zajistí, aby osoby oprávněné zpracovávat osobní údaje byly vázány povinností mlčenlivosti.
• Přijme veškerá opatření požadovaná dle čl. 32 GDPR (bezpečnost zpracování).
• Bude respektovat podmínky pro zapojení podzpracovatelů dle čl. 28 odst. 2 a 4 GDPR.
• Zohledňuje povahu zpracování a pomáhá Správci prostřednictvím vhodných technických a organizačních opatření při plnění jeho povinnosti reagovat na žádosti o výkon práv subjektů údajů.
• Pomáhá Správci zajistit splnění povinností dle čl. 32 až 36 GDPR (bezpečnost, hlášení incidentů, posouzení vlivu na ochranu osobních údajů).
• Po ukončení poskytování Služby na volbu Správce veškeré osobní údaje vymaže nebo vrátí a vymaže existující kopie, pokud právo EU nebo členského státu nevyžaduje jejich uložení.
• Poskytne Správci veškeré informace potřebné k doložení splnění povinností stanovených v čl. 28 GDPR a umožní audity a inspekce prováděné Správcem nebo auditorem pověřeným Správcem.
• Neprodleně informuje Správce, pokud se domnívá, že pokyn Správce porušuje GDPR nebo jiné předpisy EU nebo členského státu o ochraně osobních údajů.

V případě porušení zabezpečení osobních údajů (bezpečnostní incident) Zpracovatel neprodleně, nejpozději do 48 hodin od zjištění incidentu, informuje Správce na kontaktní e-mail uvedený v účtu Správce. Oznámení bude obsahovat alespoň popis povahy incidentu, kategorie a přibližný počet dotčených subjektů a osobních údajů, pravděpodobné důsledky a přijatá nebo navrhovaná nápravná opatření.

Zpracovatel neurčil pověřence pro ochranu osobních údajů (DPO), neboť mu tato povinnost nevzniká dle čl. 37 GDPR. Veškeré dotazy a žádosti týkající se ochrany osobních údajů a plnění této Smlouvy zasílejte na adresu:

Kurikula
E-mail: info@kurikula.cz

Tato Smlouva se řídí právním řádem České republiky a přímo použitelným právem EU, zejména GDPR. V případě rozporu mezi touto Smlouvou a obchodními podmínkami Kurikula má v otázkách ochrany osobních údajů přednost tato Smlouva.

Zpracovatel si vyhrazuje právo tuto Smlouvu aktualizovat v souladu se změnami právních předpisů nebo změnami v okruhu podzpracovatelů. Správce bude o změnách informován e-mailem nejméně 14 dní předem.