Spracúvanie osobných údajov
Zmluva o spracúvaní osobných údajov (DPA) podľa čl. 28 GDPR · Účinné od: 1. 1. 2026
1. Zmluvné strany
Sprostredkovateľ: SHPERKA s.r.o., IČO: 56193955, DIČ: 2122248579, Železničná 978/3, 900 27 Bernolákovo, zapísaná v OR OS Bratislava III, oddiel Sro, vložka č. 177563/B. Kontakt: hello@velvethunt.app.
Prevádzkovateľ: zákazník (klient), ktorý si aktivuje službu Velvet Hunt AI a nasadí ju na svoj web.
2. Postavenie strán
Klient je prevádzkovateľom osobných údajov svojich návštevníkov. SHPERKA s.r.o. ako prevádzkovateľ služby Velvet Hunt AI vystupuje vo vzťahu k týmto údajom ako sprostredkovateľ v zmysle čl. 28 GDPR.
3. Predmet, povaha a účel spracúvania
Sprostredkovateľ spracúva osobné údaje výlučne za účelom poskytovania služby AI chat asistenta — prijímanie a generovanie odpovedí, ukladanie konverzácií, doručovanie SMS notifikácií, export kontaktov, technická podpora.
4. Rozsah a kategórie údajov
- identifikačné údaje (meno, priezvisko),
- kontaktné údaje (e-mail, telefónne číslo),
- obsah konverzácie s chatbotom,
- technické metadáta (IP adresa, user-agent, časové pečiatky).
Kategórie dotknutých osôb: návštevníci webových stránok prevádzkovateľa.
5. Doba spracúvania
Po dobu trvania zmluvy o poskytovaní služby Velvet Hunt AI. Po jej ukončení sú dáta zmazané alebo vrátené prevádzkovateľovi do 30 dní, ak právne predpisy neukladajú dlhšiu lehotu uchovávania.
6. Lokalita spracúvania
Primárne dátové centrá sa nachádzajú v EÚ (Frankfurt — Supabase, Resend). Pre generovanie odpovedí používame jazykové modely poskytovateľov OpenAI a Google. V prípade prenosu mimo EÚ je tento zabezpečený štandardnými zmluvnými doložkami Európskej komisie.
7. Ďalší sprostredkovatelia (sub-processori)
- Supabase Inc. — databáza, autentifikácia, súborové úložisko (EÚ).
- Cloudflare, Inc. — CDN, ochrana pred útokmi (globálne).
- OpenAI Ireland Ltd. / Google Ireland Ltd. — jazykové modely.
- Telnyx LLC — odosielanie SMS notifikácií.
- Resend, Inc. — odosielanie transakčných e-mailov.
- Stripe Payments Europe, Ltd. — spracovanie platieb (pre fakturáciu klienta, nie návštevníkov).
O každej zmene sub-processora budeme klienta informovať minimálne 30 dní vopred. Klient má právo voči zmene namietať.
8. Bezpečnostné opatrenia
- šifrovanie prenosu (TLS 1.2+) a šifrovanie dát v pokoji (AES-256),
- riadený prístup podľa princípu najmenších privilégií,
- dvojfaktorová autentifikácia interných účtov,
- pravidelné zálohovanie s testom obnovy,
- audit logov prístupu k údajom,
- interná smernica o ochrane osobných údajov a školenie pracovníkov,
- pseudonymizácia a anonymizácia tam, kde je to možné.
9. Súčinnosť pri právach dotknutých osôb
Sprostredkovateľ poskytne prevádzkovateľovi súčinnosť pri vybavovaní žiadostí dotknutých osôb (prístup, oprava, výmaz, prenosnosť) a pri plnení povinností podľa čl. 32 – 36 GDPR (bezpečnosť, ohlasovanie incidentov, DPIA).
10. Bezpečnostné incidenty
O každom porušení ochrany osobných údajov informujeme prevádzkovateľa bez zbytočného odkladu, najneskôr do 48 hodín od zistenia, vrátane všetkých informácií potrebných na splnenie jeho oznamovacích povinností voči dozornému orgánu a dotknutým osobám.
11. Audit
Prevádzkovateľ má právo na audit dodržiavania povinností sprostredkovateľa raz ročne, písomne ohlásený minimálne 30 dní vopred. Audit nesmie narušovať poskytovanie služby ostatným zákazníkom.
12. Podpísaná DPA
Tieto podmienky tvoria integrálnu súčasť zmluvy o poskytovaní služby. Podpísanú DPA v PDF si môžete vyžiadať na hello@velvethunt.app.