1. Role správce a zpracovatele
U dat, která zákazník vkládá do pracovního prostoru nebo projektu o svých klientech, hostech, dodavatelích, členech týmu a účastnících akce, je zákazník typicky správcem. KRUSPIN tato data zpracovává jako zpracovatel, aby mohl provozovat aplikaci.
U dat potřebných pro vlastní provoz služby, například uživatelský účet, přihlášení, bezpečnost, podpora, provozní logy a komunikace s podporou, může být KRUSPIN samostatným správcem.
2. Povinnosti zákazníka
- Mít právní důvod pro vložení osobních údajů do aplikace.
- Informovat klienty, hosty, dodavatele a další osoby o tom, že jejich data budou zpracována v plánerském nástroji.
- Minimalizovat alergie, zdravotní, rodinné a jiné citlivé poznámky a vkládat je jen tam, kde jsou opravdu potřebné pro organizaci akce.
- Nastavit přístupy a role tak, aby data viděli jen lidé, kteří je potřebují.
- Nepublikovat na stránce pro hosty nebo v exportech informace, které nemají být veřejné nebo sdílené.
- Zvláštní datové dohody pro konkrétní místo nebo zákazníka řešit samostatně.
3. Rozsah zpracování
Zpracování pokrývá provoz pracovního prostoru, projektu, RSVP, stránky pro hosty, ubytování, zasedacího pořádku, harmonogramu, úkolů, souborů, dodavatelů, finančních pracovních přehledů, klientských výstupů a technické podpory.
Tento přehled nenahrazuje individuální smlouvu o zpracování osobních údajů podle čl. 28 GDPR. Pokud je potřeba, sjednává se samostatně.
Zpracování může zahrnovat produktovou analytiku, kontrolu kvality, podporu, vývoj funkcí a AI-asistované operace, pokud souvisejí s poskytováním služby, zákaznickým nastavením nebo dokumentovanými pokyny.
4. Zpracovatelé a externí služby
| Služba | Stav | Účel |
|---|---|---|
| Railway / databáze | Používáno pro hosting | Hosting aplikace, databáze a provozní infrastruktura. |
| Resend | Používáno při zapnutém e-mailovém odesílání | Transakční e-maily: ověření účtu, reset hesla a pozvánky. |
| Objektové úložiště | Používáno pro nahrané soubory | Ukládání nahraných souborů, fotek, obrázků místa a ubytování. |
| Google Maps / Places | Používáno jen při zapnutých mapových funkcích | Doplňování a ověření adresy pro místa a ubytování. |
| OpenAI | Používáno jen při spuštění AI funkce, překladu nebo zákaznicky povoleném zpracování | Překlady, návrhy textů, souhrny, čištění importů, vyhledávání, kontrola kvality, podpora a další AI-asistované funkce. Projektová data se nepoužívají k trénování obecného veřejného AI modelu bez samostatné dohody. |
| Monitoring chyb | Používáno jen při zapnutém monitoringu | Zachytávání chyb a incidentů bez úmyslného přidávání hostovských, finančních nebo interních údajů do vlastních polí. |
| Produktová analytika | Vypnutá ve výchozím nastavení | Měření základního používání služby bez jmen, kontaktů, adres, cen, poznámek a volného textu. Bez automatického nahrávání relací, heatmap a reklamního sledování. |
| Stripe | Používáno při online platbě nebo platebním portálu | Zpracování samoobslužných plateb kartou a platebního portálu. Ruční fakturace nebo individuální platební dohoda může probíhat mimo Stripe. |
5. Smlouva o zpracování osobních údajů
- Předmět, doba trvání, povaha a účel zpracování.
- Typy osobních údajů a kategorie subjektů údajů.
- Povinnosti a práva zákazníka jako správce.
- Zpracování jen podle dokumentovaných pokynů zákazníka, včetně přenosů mimo EU/EHP.
- Mlčenlivost osob oprávněných ke zpracování a přiměřená technická a organizační opatření.
- Pravidla pro další zpracovatele, jejich změny a možnost námitky.
- Pomoc se žádostmi subjektů údajů, incidenty, výmazem/vrácením dat a auditem.
6. Bezpečnost, audit a uchování
Zpracování probíhá přes aplikační role, přihlašovací cookies, serverové kontroly přístupu, databázi a objektové úložiště. Ukládání a přístupy mají být omezeny na potřeby provozu, podpory a bezpečnosti.
Mazání, export a opravy se řeší přes podporu. Některá data mohou po omezenou dobu zůstat v zálohách, logách nebo auditních záznamech kvůli bezpečnosti, právní obraně, účetnictví nebo incidentům.
7. Mezinárodní přenosy
Někteří zpracovatelé mohou zpracovávat data mimo EU/EHP nebo používat globální infrastrukturu. Přesný seznam zpracovatelů a právní mechanismus přenosu se řídí produkční konfigurací a případnou zákaznickou dohodou.