INFLO
Jak to funguje Ceník Přihlásit se

Účinné od: 7. 5. 2026 • Verze: 1.0

Zpracování osobních údajů služby Inflo Nákupní asistent

Tento dokument popisuje zpracování osobních údajů v souvislosti se službou Inflo Nákupní asistent.

Účinné od: 7. 5. 2026 Verze: 1.0

Tento dokument popisuje, jak společnost VEMART Distribution s.r.o., IČO: 11763426, DIČ: CZ11763426, se sídlem Světova 523/1, Libeň, 180 00 Praha 8, zpracovává osobní údaje v souvislosti se službou Inflo Nákupní asistent.

Kontakt pro otázky k ochraně osobních údajů: info@inflo.cz Web: inflo.cz

Společnost VEMART Distribution s.r.o. nejmenovala pověřence pro ochranu osobních údajů.

Tento dokument je rozdělen do několika částí:

  • Část A – Zásady zpracování osobních údajů, kde VEMART Distribution s.r.o. vystupuje jako správce osobních údajů.
  • Část B – Zpracovatelská smlouva / DPA, kde VEMART Distribution s.r.o. vystupuje jako zpracovatel osobních údajů pro klienta.
  • Část C – Seznam dalších zpracovatelů, dodavatelů a příjemců údajů.
  • Část D – Cookies, localStorage, sessionStorage a obdobné technologie.
  • Část E – Vzor informace pro klienty na jejich web.

Část B tohoto dokumentu tvoří zpracovatelskou smlouvu ve smyslu čl. 28 GDPR a je součástí smluvního vztahu mezi poskytovatelem a klientem.

Část A – Zásady zpracování osobních údajů

1. Kdy vystupujeme jako správce osobních údajů

VEMART Distribution s.r.o. vystupuje jako správce osobních údajů zejména v těchto situacích:

  • návštěva webu inflo.cz,
  • registrace a používání klientského portálu,
  • správa uživatelských účtů klientů,
  • objednávka služby, fakturace a platby,
  • komunikace s klientem nebo zájemcem o službu,
  • poskytování zákaznické a technické podpory,
  • bezpečnost, prevence zneužití a ochrana služby,
  • vedení obchodní evidence,
  • marketing, newslettery, měření návštěvnosti a obchodní komunikace,
  • uplatňování právních nároků a plnění zákonných povinností.

V těchto případech určujeme účely a prostředky zpracování osobních údajů sami.

2. Kdy vystupujeme jako zpracovatel osobních údajů

Pokud klient používá Inflo Nákupní asistent na svém webu a prostřednictvím widgetu dochází ke zpracování údajů návštěvníků, zákazníků nebo potenciálních zákazníků klienta, vystupuje klient typicky jako správce osobních údajů a VEMART Distribution s.r.o. jako zpracovatel.

Toto zpracování je podrobně upraveno v Části B – Zpracovatelská smlouva / DPA.

Koncový zákazník, který komunikuje s widgetem na webu klienta, není zákazníkem společnosti VEMART Distribution s.r.o. Smluvní vztah má v takovém případě s klientem, tedy provozovatelem příslušného webu nebo e-shopu.

3. Jaké osobní údaje zpracováváme jako správce

V rozsahu nezbytném pro níže uvedené účely můžeme zpracovávat zejména tyto kategorie údajů:

3.1 Identifikační a kontaktní údaje

  • jméno a příjmení,
  • název firmy,
  • IČO, DIČ,
  • fakturační adresa,
  • sídlo nebo místo podnikání,
  • e-mailová adresa,
  • telefonní číslo,
  • pracovní pozice,
  • kontaktní osoba klienta.

3.2 Údaje o účtu a přístupech

  • e-mail použitý pro přihlášení,
  • hash hesla nebo údaje o externím přihlášení,
  • role a oprávnění uživatele,
  • přiřazení k organizaci, workspace nebo webu,
  • datum vytvoření účtu,
  • historie přihlášení,
  • bezpečnostní záznamy,
  • nastavení účtu.

3.3 Fakturační a platební údaje

  • zvolený tarif,
  • fakturační období,
  • historie plateb,
  • vystavené faktury,
  • údaje potřebné pro daňové doklady,
  • identifikátory plateb u platebního poskytovatele,
  • identifikátor zákazníka u platebního poskytovatele,
  • poslední čtyři číslice platební karty, značka karty a stav platební metody, pokud jsou dostupné prostřednictvím platebního poskytovatele.

Neukládáme celé číslo platební karty ani bezpečnostní kód karty.

3.4 Provozní, technické a bezpečnostní údaje

  • IP adresa,
  • user agent,
  • typ zařízení,
  • operační systém,
  • prohlížeč,
  • jazykové nastavení,
  • čas přístupu,
  • URL a referrer,
  • logy systému,
  • chybové záznamy,
  • bezpečnostní události,
  • informace o využití služby,
  • spotřeba limitů,
  • počet AI odpovědí,
  • údaje o nastavení widgetu a klientského portálu.

3.5 Komunikační údaje

  • e-mailová komunikace,
  • zprávy zaslané přes kontaktní formulář,
  • komunikace s podporou,
  • požadavky, reklamace a stížnosti,
  • interní poznámky k vyřízení požadavku,
  • zpětná vazba a hodnocení služby.

3.6 Marketingové a analytické údaje

  • návštěvnost webu,
  • zdroj návštěvy,
  • interakce s webem,
  • udělené nebo odvolané souhlasy,
  • informace o kampaních,
  • zájem o službu,
  • historie obchodní komunikace,
  • registrace k newsletteru,
  • otevření e-mailu a kliknutí v e-mailu, pokud je tato funkce používána.

3.7 Referenční údaje

  • název klienta,
  • logo klienta,
  • veřejně dostupné informace o klientovi,
  • hodnocení, recenze nebo případová studie, pokud jsou poskytnuty nebo schváleny klientem.

4. Účely a právní základy zpracování

Účel zpracování Kategorie údajů Právní základ
Vytvoření a správa účtu identifikační, kontaktní, přístupové a provozní údaje plnění smlouvy / jednání o smlouvě
Poskytování služby Inflo Nákupní asistent údaje o účtu, nastavení služby, technické a provozní údaje plnění smlouvy
Fakturace, účetnictví a daňová evidence identifikační, fakturační a platební údaje plnění právní povinnosti / plnění smlouvy
Platby a správa předplatného fakturační a platební údaje plnění smlouvy
Technická podpora kontaktní, komunikační, technické a provozní údaje plnění smlouvy / oprávněný zájem
Bezpečnost služby a prevence zneužití IP adresa, logy, bezpečnostní události, technické údaje oprávněný zájem
Zlepšování služby a vývoj funkcí provozní, statistické a analytické údaje oprávněný zájem
Měření návštěvnosti webu analytické údaje souhlas, případně oprávněný zájem u nezbytného technického měření
Marketing a obchodní komunikace kontaktní a marketingové údaje souhlas / oprávněný zájem
Reference a propagace služby název klienta, logo, recenze oprávněný zájem / souhlas podle povahy použití
Ochrana právních nároků smluvní, fakturační, komunikační a provozní údaje oprávněný zájem
Plnění povinností vůči orgánům veřejné moci údaje požadované právními předpisy plnění právní povinnosti

5. Marketingová komunikace

Klientům a zájemcům o službu můžeme zasílat obchodní sdělení týkající se služby Inflo Nákupní asistent, nových funkcí, provozních oznámení, nabídek, případových studií nebo podobných služeb.

Obchodní sdělení zasíláme na základě souhlasu nebo oprávněného zájmu, pokud nám to právní předpisy umožňují. Odběr obchodních sdělení lze kdykoliv odhlásit prostřednictvím odkazu v e-mailu nebo zasláním zprávy na info@inflo.cz.

Servisní, bezpečnostní, fakturační a smluvní zprávy můžeme zasílat i bez souhlasu, protože jsou nezbytné pro poskytování služby nebo plnění smlouvy.

6. Doba uchování osobních údajů

Osobní údaje uchováváme pouze po dobu nezbytnou pro daný účel, případně po dobu vyžadovanou právními předpisy.

Kategorie údajů Doba uchování
Účet klienta a smluvní údaje po dobu trvání smlouvy a následně zpravidla až 5 let pro ochranu právních nároků
Faktury a daňové doklady po dobu stanovenou účetními a daňovými předpisy, zpravidla 10 let
Platební identifikátory po dobu trvání předplatného a následně podle pravidel platebního poskytovatele a právních nároků
Komunikace s podporou po dobu vyřízení požadavku a následně zpravidla až 3 roky
Bezpečnostní a provozní logy obvykle 30 až 180 dní, pokud není delší uchování nezbytné kvůli bezpečnosti nebo incidentu
Marketingové kontakty do odvolání souhlasu nebo odhlášení, případně po dobu trvání oprávněného zájmu
Analytická data podle nastavení analytického nástroje, u Google Analytics 4 nejdéle 14 měsíců, pokud není nastaveno jinak
Trial účty a neaktivní účty zpravidla anonymizace nebo smazání po 90 dnech neaktivity, pokud není nutné delší uchování
Zálohy mazání probíhá v rámci běžného zálohovacího cyklu

Agregovaná a anonymizovaná data, ze kterých již nelze určit konkrétní osobu, můžeme uchovávat déle pro statistické, bezpečnostní, analytické a vývojové účely.

7. Kdo má k údajům přístup

K osobním údajům mají přístup pouze osoby, které je potřebují pro výkon své činnosti, zejména administrátoři, technická podpora, oprávněné osoby poskytovatele a nezbytní dodavatelé.

Přístup k produkčním datům je omezen podle potřeby a oprávnění. Osoby s přístupem k osobním údajům jsou vázány mlčenlivostí.

Osobní údaje můžeme zpřístupnit také orgánům veřejné moci, pokud nám takovou povinnost ukládá právní předpis nebo závazné rozhodnutí.

8. Automatizované rozhodování

Nepoužíváme osobní údaje klientů k automatizovanému rozhodování, které by mělo právní nebo obdobně významné účinky vůči subjektům údajů.

Inflo Nákupní asistent generuje automatizované odpovědi na dotazy koncových uživatelů. Tyto odpovědi slouží jako pomoc v komunikaci na webu klienta a samy o sobě nepředstavují automatizované rozhodování s právními účinky ze strany poskytovatele.

9. Práva subjektů údajů

Subjekt údajů má za podmínek stanovených GDPR zejména tato práva:

  • právo na přístup k osobním údajům,
  • právo na opravu nepřesných údajů,
  • právo na výmaz,
  • právo na omezení zpracování,
  • právo na přenositelnost údajů,
  • právo vznést námitku proti zpracování založenému na oprávněném zájmu,
  • právo odvolat souhlas, pokud je zpracování založeno na souhlasu,
  • právo podat stížnost u Úřadu pro ochranu osobních údajů.

Žádosti lze zasílat na info@inflo.cz.

Pokud se žádost týká údajů zpracovávaných prostřednictvím widgetu na webu klienta, kde vystupujeme jako zpracovatel, můžeme žádost předat příslušnému klientovi nebo subjekt údajů odkázat na klienta jako správce osobních údajů.

10. Úřad pro ochranu osobních údajů

Subjekt údajů má právo podat stížnost u dozorového úřadu:

Úřad pro ochranu osobních údajů Pplk. Sochora 27 170 00 Praha 7 Web: uoou.gov.cz

Část B – Zpracovatelská smlouva / DPA

11. Účel a postavení stran

11.1. Tato část dokumentu upravuje zpracování osobních údajů, které VEMART Distribution s.r.o. provádí jako zpracovatel pro klienta jako správce osobních údajů v souvislosti s používáním služby Inflo Nákupní asistent.

11.2. Klient určuje účely a prostředky zpracování osobních údajů koncových uživatelů na svém webu. Poskytovatel zpracovává tyto osobní údaje pouze za účelem poskytování služby a podle pokynů klienta.

11.3. Tato zpracovatelská smlouva je uzavřena okamžikem, kdy klient přijme obchodní podmínky, objedná službu, vytvoří účet, používá klientský portál nebo vloží widget na svůj web.

11.4. Pokud klient uzavře s poskytovatelem samostatnou písemnou zpracovatelskou smlouvu, má tato samostatná smlouva přednost před touto částí dokumentu.

12. Předmět zpracování

Předmětem zpracování je zpracování osobních údajů koncových uživatelů, návštěvníků webu, zákazníků nebo potenciálních zákazníků klienta prostřednictvím služby Inflo Nákupní asistent.

Zpracování probíhá zejména při:

  • zobrazení widgetu na webu klienta,
  • zahájení a vedení konverzace,
  • generování AI odpovědí,
  • doporučování produktů,
  • použití datových zdrojů klienta,
  • předání konverzace operátorovi,
  • ukládání historie konverzace,
  • měření využití služby,
  • zabezpečení provozu,
  • řešení incidentů a podpory.

13. Doba zpracování

Zpracování trvá po dobu trvání smluvního vztahu mezi klientem a poskytovatelem a následně po dobu nezbytnou pro výmaz, anonymizaci, export, řešení incidentů nebo ochranu právních nároků.

Obsah konverzací uchováváme zpravidla po dobu 90 dní. Po uplynutí této doby dochází k anonymizaci nebo odstranění obsahu konverzace. Samotné technické záznamy o session a zprávách bez textového obsahu mohou být uchovávány zpravidla po dobu 1 roku pro statistické, bezpečnostní, provozní a fakturační účely.

Zálohy jsou mazány v rámci běžného zálohovacího cyklu.

14. Povaha a účel zpracování

Povaha zpracování je automatizované zpracování osobních údajů prostřednictvím online SaaS služby.

Účelem zpracování je zejména:

  • umožnit koncovému uživateli komunikaci prostřednictvím widgetu,
  • odpovědět na dotaz koncového uživatele,
  • doporučit relevantní produkty nebo informace z datových zdrojů klienta,
  • předat složitější dotaz operátorovi klienta,
  • zobrazit klientovi historii a kontext konverzace,
  • umožnit klientovi vyhodnocovat výkon asistenta,
  • měřit využití limitů a tarifu,
  • chránit službu před zneužitím,
  • zajistit bezpečný a stabilní provoz služby.

15. Kategorie subjektů údajů

Zpracování se může týkat zejména těchto kategorií subjektů údajů:

  • návštěvníci webu klienta,
  • zákazníci klienta,
  • potenciální zákazníci klienta,
  • osoby komunikující prostřednictvím widgetu,
  • osoby, jejichž údaje jsou uvedeny v konverzaci,
  • operátoři a pracovníci klienta komunikující přes službu.

16. Kategorie osobních údajů zpracovávaných pro klienta

V závislosti na nastavení klienta a chování koncového uživatele může docházet ke zpracování zejména těchto údajů:

16.1 Konverzační údaje

  • dotazy koncového uživatele,
  • odpovědi asistenta,
  • odpovědi operátora,
  • historie konverzace,
  • časové údaje zpráv,
  • interní stav konverzace,
  • informace o předání operátorovi,
  • hodnocení odpovědi nebo zpětná vazba, pokud je funkce dostupná.

16.2 Identifikátory relace a návštěvníka

  • session ID,
  • visitor ID,
  • identifikátor konverzace,
  • identifikátor zprávy,
  • identifikátor widgetu,
  • identifikátor klienta, workspace, webu nebo e-shopu,
  • údaje uložené v cookies, localStorage nebo sessionStorage, pokud jsou používány.

16.3 Technické a provozní údaje

  • IP adresa,
  • user agent,
  • typ zařízení,
  • operační systém,
  • prohlížeč,
  • jazyk,
  • URL stránky,
  • referrer,
  • čas návštěvy,
  • přibližná země nebo region podle technických údajů,
  • logy a diagnostické údaje.

16.4 Produktový a obchodní kontext

  • navštívená produktová stránka,
  • ID produktu,
  • název produktu,
  • kategorie,
  • cena,
  • dostupnost,
  • varianta produktu,
  • relevantní obsah košíku, pokud je klientem napojen,
  • informace o dopravě, platbě, vrácení zboží, reklamacích a dalších obchodních podmínkách klienta.

16.5 Kontaktní údaje koncového uživatele

Pokud klient tuto funkci aktivuje nebo pokud ji služba v budoucnu nabídne, může widget zpracovávat zejména:

  • jméno,
  • e-mail,
  • telefon,
  • číslo objednávky,
  • preferovaný způsob kontaktu,
  • další údaje poskytnuté koncovým uživatelem pro vyřízení požadavku.

16.6 Datové zdroje klienta

Služba může zpracovávat údaje obsažené v datových zdrojích klienta, zejména:

  • produktové feedy,
  • produktové popisy,
  • FAQ,
  • obchodní podmínky klienta,
  • informace o dopravě a platbě,
  • informace o reklamacích a vrácení zboží,
  • vlastní dokumenty klienta,
  • obsah webových stránek klienta získaný pomocí webscraperu,
  • znalostní bázi klienta,
  • metadata dokumentů a zdrojů.

Datové zdroje mohou být ukládány také ve vector databázi za účelem vyhledání relevantního kontextu pro odpověď asistenta.

17. Zakázané a nevhodné údaje

Služba není určena ke zpracování zvláštních kategorií osobních údajů ani vysoce citlivých údajů.

Klient nesmí prostřednictvím služby úmyslně zpracovávat zejména:

  • rodná čísla,
  • čísla občanských průkazů, pasů nebo jiných dokladů,
  • celé údaje platebních karet,
  • bezpečnostní kódy platebních karet,
  • hesla a přístupové údaje,
  • údaje o zdravotním stavu,
  • biometrické údaje,
  • genetické údaje,
  • údaje o náboženství, politických názorech, sexuální orientaci nebo členství v odborech,
  • údaje o dětech, pokud k tomu není výslovný právní důvod a dohoda stran,
  • jiné údaje, které nejsou nezbytné pro účel služby.

Pokud koncový uživatel takové údaje do konverzace vloží, může poskytovatel provádět automatizované nebo pravidelné kontroly databáze za účelem jejich odstranění, anonymizace nebo omezení dalšího zpracování.

18. Pokyny správce

18.1. Klient dává poskytovateli pokyn ke zpracování osobních údajů v rozsahu nezbytném pro poskytování služby Inflo Nákupní asistent.

18.2. Za pokyny klienta se považují zejména:

  • tyto podmínky,
  • obchodní podmínky služby,
  • nastavení služby v klientském portálu,
  • nastavení widgetu,
  • napojené datové zdroje,
  • nastavení retence, pokud je dostupné,
  • nastavení předání operátorovi,
  • další písemné nebo elektronické pokyny klienta přijaté poskytovatelem.

18.3. Pokud poskytovatel dospěje k závěru, že pokyn klienta porušuje právní předpisy, upozorní na to klienta, pokud mu v tom nebrání právní předpis nebo bezpečnostní důvody.

19. Povinnosti poskytovatele jako zpracovatele

Poskytovatel se zavazuje zejména:

  • zpracovávat osobní údaje pouze na základě pokynů klienta,
  • zpracovávat osobní údaje pouze pro účely poskytování služby,
  • zajistit, aby osoby oprávněné zpracovávat osobní údaje byly vázány mlčenlivostí,
  • přijmout přiměřená technická a organizační bezpečnostní opatření,
  • zapojovat další zpracovatele pouze za podmínek uvedených v této DPA,
  • přiměřeně pomáhat klientovi při plnění jeho povinností podle GDPR,
  • přiměřeně pomáhat klientovi při řešení žádostí subjektů údajů,
  • informovat klienta o bezpečnostním incidentu týkajícím se osobních údajů,
  • po skončení poskytování služby osobní údaje vymazat, anonymizovat nebo vrátit podle podmínek služby,
  • poskytnout klientovi přiměřené informace potřebné k doložení souladu s touto DPA.

20. Povinnosti klienta jako správce

Klient odpovídá zejména za:

  • zákonnost zpracování osobních údajů koncových uživatelů,
  • určení účelu a právního základu zpracování,
  • splnění informačních povinností vůči koncovým uživatelům,
  • nastavení cookie souhlasů a obdobných mechanismů na svém webu,
  • obsah datových zdrojů,
  • správnost, aktuálnost a zákonnost údajů předaných do služby,
  • nastavení asistenta a povolených témat,
  • posouzení vhodnosti služby pro konkrétní použití,
  • zajištění, že do služby nebudou vkládány zakázané nebo nadbytečné osobní údaje,
  • řešení práv koncových uživatelů jako subjektů údajů,
  • zákonnost komunikace operátorů.

21. AI zpracování a předávání dat AI poskytovatelům

21.1. Služba používá prvky umělé inteligence pro generování odpovědí, vyhledání relevantního kontextu a doporučování informací nebo produktů.

21.2. Za účelem vygenerování odpovědi mohou být AI poskytovatelům nebo prostřednictvím AI gateway předávány zejména:

  • dotaz koncového uživatele,
  • relevantní historie konverzace,
  • relevantní části znalostní báze klienta,
  • produktové informace,
  • informace o dopravě, platbě, dostupnosti nebo vrácení zboží,
  • instrukce a nastavení asistenta,
  • metadata stránky nebo relace, pokud jsou nezbytná pro odpověď.

21.3. Poskytovatel nepoužívá data klienta ani konverzace koncových uživatelů k trénování obecných AI modelů poskytovatele nebo třetích stran, pokud k tomu klient neposkytne výslovný souhlas nebo pokud to nebude výslovně sjednáno v samostatné smlouvě.

21.4. Poskytovatel může používat anonymizovaná nebo agregovaná data k bezpečnostním, analytickým, statistickým a vývojovým účelům, pokud z nich nelze rozumně identifikovat klienta, koncového uživatele ani konkrétní konverzaci.

21.5. Pokud je to technicky dostupné a nastavené, poskytovatel využívá režimy omezené retence, zákazu trénování nebo zero data retention u AI gateway nebo AI poskytovatelů. Konkrétní pravidla zpracování u AI poskytovatelů se mohou řídit jejich aktuálními smluvními a technickými podmínkami.

22. Další zpracovatelé

22.1. Klient uděluje poskytovateli obecné povolení k zapojení dalších zpracovatelů uvedených v Části C – Seznam dalších zpracovatelů, dodavatelů a příjemců údajů.

22.2. Poskytovatel může seznam dalších zpracovatelů průběžně aktualizovat, zejména při změně infrastruktury, funkcí služby, AI poskytovatelů, platebních nástrojů, e-mailových služeb nebo dalších dodavatelů.

22.3. Poskytovatel bude klienta o podstatné změně dalších zpracovatelů informovat přiměřeným způsobem, například zveřejněním aktualizovaného seznamu, oznámením v klientském portálu nebo e-mailem.

22.4. Pokud klient se zapojením nového dalšího zpracovatele nesouhlasí, může vznést odůvodněnou námitku. Pokud nebude možné námitku rozumně vyřešit, může klient ukončit používání služby ke konci aktuálního fakturačního období.

22.5. Poskytovatel odpovídá za to, že s dalšími zpracovateli uzavře odpovídající smluvní ujednání o ochraně osobních údajů v rozsahu vyžadovaném právními předpisy.

23. Přenosy mimo EHP

23.1. Poskytovatel se snaží využívat evropské regiony a evropské umístění dat tam, kde je to technicky a smluvně dostupné.

23.2. Někteří dodavatelé služby jsou však globální společnosti nebo společnosti se sídlem mimo Evropský hospodářský prostor. V takovém případě může docházet k přenosu osobních údajů mimo EHP.

23.3. Pokud dochází k přenosu osobních údajů mimo EHP, poskytovatel využívá dostupné právní mechanismy, zejména rozhodnutí o odpovídající ochraně, EU-U.S. Data Privacy Framework, standardní smluvní doložky nebo jiná vhodná opatření podle GDPR.

23.4. Poskytovatel nedoporučuje tvrdit, že veškeré zpracování probíhá výhradně v EU, pokud jsou používáni globální dodavatelé jako poskytovatelé AI modelů, platebních služeb, cloudové infrastruktury, analytiky nebo e-mailových služeb.

24. Bezpečnostní opatření

Poskytovatel přijímá přiměřená technická a organizační opatření k ochraně osobních údajů. Tato opatření mohou zahrnovat zejména:

  • šifrovaný přenos dat pomocí HTTPS/TLS,
  • řízení přístupů podle rolí,
  • omezení produkčních přístupů na oprávněné administrátory,
  • oddělení dat jednotlivých klientů pomocí tenantového modelu,
  • bezpečnostní logování,
  • auditní záznamy,
  • zálohování,
  • monitoring provozu,
  • pravidelné aktualizace systému,
  • přiměřené zabezpečení infrastruktury,
  • kontrolu neoprávněných nebo nadbytečných osobních údajů v databázi,
  • anonymizaci obsahu konverzací po uplynutí retenční doby,
  • smluvní závazky mlčenlivosti osob s přístupem k údajům.

Bezpečnostní opatření se mohou průběžně měnit podle vývoje služby, rizik, technologií a požadavků právních předpisů.

25. Bezpečnostní incidenty

25.1. Pokud poskytovatel zjistí porušení zabezpečení osobních údajů, které se týká osobních údajů zpracovávaných pro klienta, informuje klienta bez zbytečného odkladu poté, co se o incidentu dozví a vyhodnotí jeho základní povahu.

25.2. Oznámení bude obsahovat informace dostupné poskytovateli, zejména povahu incidentu, dotčené kategorie údajů, přijatá nebo navrhovaná opatření a kontaktní bod pro další komunikaci.

25.3. Klient odpovídá za posouzení, zda má incident oznámit dozorovému úřadu nebo subjektům údajů, pokud tuto povinnost má jako správce osobních údajů.

25.4. Poskytovatel poskytne klientovi přiměřenou součinnost potřebnou pro splnění těchto povinností.

26. Žádosti subjektů údajů

26.1. Pokud se subjekt údajů obrátí na poskytovatele s žádostí týkající se údajů zpracovávaných pro klienta, poskytovatel jej může odkázat na klienta jako správce nebo žádost klientovi předat.

26.2. Poskytovatel poskytne klientovi přiměřenou technickou a organizační součinnost při vyřízení žádostí subjektů údajů, pokud je to možné a přiměřené povaze služby.

26.3. Pokud by vyřízení žádosti vyžadovalo nepřiměřenou práci nebo individuální technický zásah mimo běžnou funkcionalitu služby, může poskytovatel požadovat přiměřenou náhradu nákladů, pokud se strany nedohodnou jinak.

27. Audit a doložení souladu

27.1. Poskytovatel poskytne klientovi přiměřené informace potřebné k doložení plnění povinností podle této DPA.

27.2. Audit ze strany klienta je možný pouze po předchozí dohodě, v přiměřeném rozsahu, za podmínek chránících bezpečnost služby, důvěrné informace poskytovatele, data ostatních klientů a provoz služby.

27.3. Klient nesmí provádět penetrační testy, skenování zranitelností nebo jiné bezpečnostní testy bez předchozího písemného souhlasu poskytovatele.

27.4. Poskytovatel může místo individuálního auditu poskytnout přiměřenou dokumentaci, bezpečnostní shrnutí, certifikace, potvrzení dodavatelů nebo jiné materiály, pokud jsou dostupné.

28. Vrácení, výmaz a anonymizace údajů

28.1. Po ukončení smlouvy poskytovatel osobní údaje zpracovávané pro klienta vymaže, anonymizuje nebo umožní jejich export, pokud to funkce služby umožňuje a pokud právní předpisy nebo oprávněné zájmy nevyžadují delší uchování.

28.2. Obsah konverzací je zpravidla uchováván 90 dní. Po této době dochází k anonymizaci nebo odstranění obsahu konverzace.

28.3. Technické záznamy o session a zprávách bez textového obsahu mohou být uchovávány zpravidla 1 rok pro provozní, bezpečnostní, analytické a fakturační účely.

28.4. Zálohy jsou mazány postupně v rámci běžného zálohovacího cyklu a nemusí být technicky možné odstranit konkrétní záznam okamžitě z každé záložní kopie. Zálohy jsou chráněny a používány pouze pro obnovu systému nebo bezpečnostní účely.

Část C – Seznam dalších zpracovatelů, dodavatelů a příjemců údajů

Tato část uvádí hlavní dodavatele, další zpracovatele a příjemce údajů, které může poskytovatel používat při provozu služby. Konkrétní rozsah zapojení se může lišit podle používaných funkcí, tarifu, nastavení klienta a technické architektury.

Dodavatel / služba Účel použití Typ údajů Role Umístění / přenos
Vercel hosting aplikace, frontend, serverless funkce, AI Gateway, provozní infrastruktura technické údaje, provozní logy, případně data předávaná přes AI Gateway zpracovatel / dodavatel infrastruktury EU regiony tam, kde jsou nastavené; možný globální přenos podle podmínek dodavatele
Supabase databáze, autentizace, úložiště, vector databáze / pgvector účty, konfigurace, konverzace, session, datové zdroje, embeddings, provozní data zpracovatel EU region tam, kde je nastavený projekt; možný globální přenos podle podmínek dodavatele
OpenAI generování AI odpovědí, embeddings, zpracování promptů dotazy, historie konverzace, relevantní znalostní báze, produktový kontext, embeddings další zpracovatel / AI poskytovatel možný přenos mimo EHP, smluvní a technické záruky podle podmínek dodavatele
Google / Gemini generování AI odpovědí nebo AI funkce dotazy, historie konverzace, relevantní znalostní báze, produktový kontext další zpracovatel / AI poskytovatel EU nebo globální infrastruktura podle použité služby; možný přenos mimo EHP
Anthropic alternativní nebo doplňkový AI poskytovatel dotazy, historie konverzace, relevantní znalostní báze, produktový kontext další zpracovatel / AI poskytovatel možný přenos mimo EHP, smluvní a technické záruky podle podmínek dodavatele
Stripe platby, fakturace, správa předplatného, platební metody fakturační a platební údaje, identifikátory zákazníka a plateb platební poskytovatel, podle kontextu samostatný správce nebo zpracovatel EU / USA / globální infrastruktura, právní mechanismy přenosu podle podmínek Stripe
Google Workspace / Gmail e-mailová komunikace, interní správa dokumentů, pracovní e-mail kontaktní údaje, e-mailová komunikace, interní dokumenty zpracovatel / samostatný správce podle kontextu EU nebo globální infrastruktura podle nastavení Google Workspace
Resend transakční a servisní e-maily e-mail, jméno, obsah e-mailu, technické údaje o doručení zpracovatel možný přenos mimo EHP podle podmínek dodavatele
Cloudflare R2 úložiště souborů a objektů dokumenty, soubory, metadata, technická data zpracovatel / dodavatel infrastruktury podle nastaveného regionu a podmínek Cloudflare; možný globální přenos
Axiom provozní a aplikační logy technické logy, diagnostika, chyby, bezpečnostní záznamy zpracovatel podle nastavení a podmínek dodavatele; možný přenos mimo EHP
GitHub správa zdrojového kódu, vývoj, issue tracking zdrojový kód, technická dokumentace, vývojové informace; běžně ne produkční osobní údaje koncových uživatelů dodavatel vývojového nástroje globální infrastruktura, možný přenos mimo EHP
CookieScript správa cookie souhlasů a preference uživatele cookie preference, technické identifikátory, souhlasy zpracovatel / dodavatel CMP EU / EHP nebo podle podmínek dodavatele
Google Tag Manager správa skriptů na webu technická data podle nasazených tagů dodavatel nástroje / podle použitých tagů EU nebo globální infrastruktura podle podmínek Google
Google Analytics 4 analytika návštěvnosti a chování na webu analytické identifikátory, návštěvnost, události, technické údaje zpracovatel / samostatný správce podle nastavení a podmínek Google EU nebo globální infrastruktura, možný přenos mimo EHP

Poskytovatel může seznam průběžně aktualizovat. Aktuální seznam by měl být vždy dostupný na webu poskytovatele nebo v klientském portálu.

Část D – Cookies, localStorage, sessionStorage a obdobné technologie

29. Obecně

Web inflo.cz, klientský portál a widget Inflo Nákupní asistent mohou používat cookies, localStorage, sessionStorage a obdobné technologie.

Tyto technologie mohou sloužit zejména k:

  • zajištění základního fungování webu a služby,
  • udržení relace,
  • bezpečnosti,
  • zapamatování nastavení,
  • plynulému průběhu konverzace,
  • měření návštěvnosti,
  • analytice,
  • marketingu a remarketingu, pokud k tomu uživatel udělí souhlas.

30. Přehled kategorií technologií

Typ Účel Platnost Právní základ
Nutné / technické Udržení relace, session ID, bezpečnost, základní funkce webu a služby po dobu relace / krátkodobé oprávněný zájem / plnění smlouvy
AI Asistent – sessionStorage Stav konverzace v prohlížeči pro plynulý průběh dotazu a návaznost konverzace po dobu relace prohlížeče oprávněný zájem / plnění smlouvy
AI Asistent – localStorage, pokud je použit Uložení stavu widgetu, návaznosti konverzace, technických identifikátorů nebo uživatelských preferencí podle nastavení widgetu, typicky krátkodobě oprávněný zájem / plnění smlouvy
Google Tag Manager Správa analytických a marketingových skriptů. Samotný GTM typicky slouží jako kontejner pro další nástroje podle nastavení oprávněný zájem pro technickou správu kontejneru / souhlas pro obsažené skripty podle jejich účelu
Analytické cookies, například Google Analytics 4 Měření návštěvnosti, chování na webu, zdroje návštěv a výkonu webu. Aktivovány pouze se souhlasem, pokud nejde o nezbytné měření až 14 měsíců podle nastavení souhlas
Marketingové cookies Personalizace reklamy, remarketing a měření kampaní. Aktivovány pouze se souhlasem podle poskytovatele souhlas

31. Widget na webu klienta

Widget Inflo Nákupní asistent může používat technické identifikátory a úložiště v prohlížeči za účelem vedení konverzace a zachování její návaznosti.

Klient jako provozovatel webu odpovídá za to, že použití widgetu bude správně popsáno v jeho vlastních zásadách ochrany osobních údajů a cookie policy.

Pokud použití konkrétní technologie vyžaduje souhlas koncového uživatele, odpovídá za jeho získání klient.

32. Cookie preference

Uživatel může spravovat své cookie preference prostřednictvím cookie lišty nebo nastavení souhlasů, pokud je na webu dostupné.

Některé technické cookies a obdobné technologie jsou nezbytné pro fungování služby a nelze je vypnout bez omezení funkčnosti webu nebo widgetu.

Část E – Vzor informace pro klienty na jejich web

Tato část je pouze doporučený vzor textu, který může klient upravit podle svého konkrétního použití služby, právního základu, nastavení webu a vlastních zásad ochrany osobních údajů.

33. Krátká informace u widgetu

Na našem webu používáme AI asistenta Inflo Nákupní asistent, který vám pomáhá s výběrem produktů, odpovídá na dotazy a může vás propojit s naším operátorem. Komunikace s asistentem může být ukládána a zpracovávána za účelem vyřízení dotazu, zlepšení zákaznické podpory, bezpečnosti a vyhodnocení kvality služby.

34. Vzor do zásad ochrany osobních údajů klienta

Na našem webu používáme službu Inflo Nákupní asistent, kterou poskytuje společnost VEMART Distribution s.r.o. Tato služba umožňuje návštěvníkům webu komunikovat s AI asistentem, získat odpovědi na dotazy týkající se našeho sortimentu, dopravy, plateb, vrácení zboží nebo jiných témat souvisejících s naším webem.

V rámci používání asistenta může docházet ke zpracování obsahu konverzace, technických identifikátorů relace, údajů o zařízení a prohlížeči, URL stránky, času komunikace a případně kontaktních údajů, pokud je návštěvník dobrovolně poskytne pro účely další komunikace nebo předání operátorovi.

Správcem osobních údajů zpracovávaných prostřednictvím asistenta jsme my jako provozovatel tohoto webu. Společnost VEMART Distribution s.r.o. vystupuje v této souvislosti jako náš zpracovatel.

Účelem zpracování je vyřízení dotazu návštěvníka, poskytování zákaznické podpory, doporučení relevantních produktů, zajištění návaznosti konverzace, bezpečnost služby a vyhodnocení jejího využití.

Právním základem zpracování může být plnění smlouvy, provedení opatření před uzavřením smlouvy, oprávněný zájem na poskytování zákaznické podpory a zlepšování služeb, případně souhlas, pokud je vyžadován pro určité technologie nebo marketingové účely.

Obsah konverzací je uchováván zpravidla po omezenou dobu a následně anonymizován nebo odstraněn podle nastavení služby a našich retenčních pravidel.

35. Vzor do cookie policy klienta

Na webu může být používán chatovací widget Inflo Nákupní asistent. Widget může využívat technické cookies, sessionStorage, localStorage nebo obdobné technologie za účelem udržení relace, zachování návaznosti konverzace, zapamatování stavu widgetu, bezpečnosti a správného fungování služby.

Tyto technologie jsou používány zejména pro technické a funkční účely. Pokud by prostřednictvím widgetu nebo souvisejících nástrojů docházelo k analytickému nebo marketingovému zpracování, bude takové zpracování aktivováno pouze podle nastavení souhlasů na tomto webu.

36. Doporučené upozornění pro koncového uživatele

Doporučujeme, aby klient ve widgetu nebo v jeho okolí uvedl srozumitelnou informaci, že uživatel komunikuje s AI asistentem. Například:

„Komunikujete s AI asistentem. U složitějších dotazů může být konverzace předána našemu operátorovi.“

Závěrečná ustanovení

Tento dokument může být průběžně aktualizován, zejména při změně služby, zapojení nových dodavatelů, změně právních předpisů, změně technického řešení nebo změně účelů zpracování.

O podstatných změnách může poskytovatel klienty informovat e-mailem, oznámením v klientském portálu nebo zveřejněním nové verze dokumentu na webu.

Tento dokument by měl být čten společně s obchodními podmínkami služby Inflo Nákupní asistent.

Vyzkoušejte, jak může nákupní asistent pomáhat vašim zákazníkům

Založte si účet, nastavte widget v portálu a otestujte asistenta na vlastních datech. Pokud chcete projít možnosti společně, domluvte si krátké demo.

Vyzkoušet zdarma Domluvit demo