AgentixAgentix

Smlouva o zpracování osobních údajů

Data Processing Agreement (DPA)

Poslední aktualizace: 1. února 2026

Tato smlouva o zpracování osobních údajů (dále jen „DPA") je nedílnou součástí Obchodních podmínek služby Agentix a automaticky vstupuje v platnost registrací účtu. Uzavírá se mezi:

  • Zpracovatel: MageXo s.r.o., IČO: 24771406, se sídlem Prosecká 855/68, Prosek, 190 00 Praha (dále jen „Zpracovatel" nebo „Agentix")
  • Správce: Zákazník registrovaný v službě Agentix (dále jen „Správce")

1. Předmět a doba zpracování

Zpracovatel zpracovává osobní údaje pro Správce v rámci poskytování služby managed hostingu AI agentů (platformy Agentix). Zpracování trvá po celou dobu trvání smluvního vztahu a po jeho ukončení po dobu nezbytnou k likvidaci údajů (max. 30 dní).

2. Povaha a účel zpracování

Zpracovatel provádí následující zpracování osobních údajů:

  • Provoz AI agenta v izolovaném Docker kontejneru na infrastruktuře Zpracovatele
  • Ukládání workspace dat agenta (soubory, paměť, konfigurace)
  • Proxy API volání k poskytovateli LLM modelu (Anthropic Claude) — prompty a odpovědi mohou obsahovat osobní údaje
  • Technický provoz a zabezpečení infrastruktury

Zpracovatel nenahlíží do obsahu workspace ani komunikace agenta a neanalyzuje zpracovávaná data pro vlastní účely.

3. Kategorie subjektů údajů a osobních údajů

Konkrétní kategorie závisí na tom, jak Správce svého AI agenta používá. Typicky mohou zahrnovat:

Kategorie subjektů údajů

  • Kontakty Správce (zákazníci, obchodní partneři, zaměstnanci)
  • Osoby, se kterými agent komunikuje prostřednictvím messaging platforem
  • Jakékoli další subjekty, jejichž údaje Správce do workspace agenta nahraje

Typy osobních údajů

  • Identifikační údaje (jméno, kontaktní údaje, identifikátory platforem)
  • Komunikační údaje (obsah zpráv zpracovávaných agentem)
  • Jakékoli další údaje uložené ve workspace agenta

⚠️ Zvláštní kategorie údajů: Správce je povinen nenahrávat do workspace agenta zvláštní kategorie osobních údajů (čl. 9 GDPR — zdravotní, biometrické, údaje o rasovém původu atd.) bez zavedení odpovídajících technických a organizačních opatření.

4. Povinnosti Zpracovatele

Zpracovatel se zavazuje:

  1. Zpracovávat osobní údaje pouze na základě doložených pokynů Správce (tj. v rozsahu potřebném pro provoz Služby), pokud mu zpracování neukládá právo EU nebo členského státu.
  2. Zajistit, aby osoby oprávněné zpracovávat osobní údaje byly vázány povinností mlčenlivosti.
  3. Přijmout veškerá technická a organizační opatření požadovaná dle čl. 32 GDPR (viz čl. 8 této DPA).
  4. Dodržovat podmínky pro zapojení sub-zpracovatelů dle čl. 5 této DPA.
  5. S přihlédnutím k povaze zpracování pomáhat Správci při plnění jeho povinností vůči subjektům údajů (právo na přístup, opravu, výmaz, přenositelnost).
  6. Pomáhat Správci se zajištěním souladu s povinnostmi dle čl. 32–36 GDPR (zabezpečení, oznamování porušení, posouzení vlivu).
  7. Po ukončení služby vymazat nebo vrátit všechny osobní údaje dle volby Správce (viz čl. 10).
  8. Poskytnout Správci veškeré informace potřebné k doložení plnění povinností a umožnit audity (viz čl. 9).
  9. Neprodleně informovat Správce, pokud má za to, že pokyn Správce porušuje GDPR nebo jiný právní předpis.

5. Sub-zpracovatelé

Správce uděluje Zpracovateli obecné písemné povolení k zapojení sub-zpracovatelů. Zpracovatel informuje Správce o zamýšlených změnách týkajících se přidání nebo nahrazení sub-zpracovatelů emailem alespoň 30 dní předem. Správce má právo vznést námitku.

Aktuální seznam sub-zpracovatelů

Sub-zpracovatelÚčelLokaceZáruky přenosu
DigitalOcean, LLCHosting infrastruktura (servery, úložiště)Frankfurt, EU 🇪🇺DPA, data v EU
Anthropic, PBCLLM inference (Claude API)USA 🇺🇸DPA + SCCs
Stripe, Inc.Zpracování platebEU/USADPA + SCCs, PCI DSS

Zpracovatel zajistí, aby každý sub-zpracovatel byl smluvně vázán povinnostmi odpovídajícími povinnostem v této DPA.

6. Povinnosti Správce

Správce se zavazuje:

  1. Zajistit, že zpracování osobních údajů prostřednictvím AI agenta má platný právní základ dle čl. 6 GDPR.
  2. Informovat subjekty údajů o zpracování jejich údajů prostřednictvím AI agenta dle čl. 13 a 14 GDPR.
  3. Vyřizovat žádosti subjektů údajů (přístup, výmaz, přenositelnost apod.) — Zpracovatel poskytne technickou součinnost.
  4. Nenahrávat do workspace agenta zvláštní kategorie osobních údajů bez dostatečných opatření.
  5. Zajistit, že pokyny udělené Zpracovateli jsou v souladu s GDPR.

7. Přenosy mimo EU/EEA

Zpracovatel uchovává a zpracovává data primárně v rámci EU/EEA (datacenter DigitalOcean ve Frankfurtu).

K přenosu osobních údajů do USA dochází při API voláních k Anthropic (LLM inference) a zpracování plateb prostřednictvím Stripe. Pro tyto přenosy jsou zajištěny následující záruky:

  • Standardní smluvní doložky (SCCs) — nové modulární klauzule dle prováděcího rozhodnutí Komise (EU) 2021/914
  • EU-US Data Privacy Framework — pokud je příslušný sub-zpracovatel certifikován
  • Transfer Impact Assessment — Zpracovatel posoudil rizika přenosu a přijal doplňková opatření (šifrování in transit, minimalizace dat v API voláních)

8. Technická a organizační opatření

Zpracovatel přijal následující opatření dle čl. 32 GDPR:

Izolace a přístup

  • Každý AI agent běží v izolovaném Docker kontejneru s vlastním úložištěm
  • Workspace data jednoho zákazníka nejsou přístupná ostatním zákazníkům
  • Přístup k produkční infrastruktuře je omezen na autorizovaný personál

Šifrování

  • Šifrování dat při přenosu (TLS 1.2+)
  • Šifrování disků na úrovni infrastruktury
  • Hashování hesel (bcrypt)

Monitoring a logování

  • Logování přístupů k infrastruktuře (metadata, ne obsah workspace)
  • Monitoring anomálií a podezřelé aktivity
  • Automatické bezpečnostní aktualizace

Kontinuita

  • Pravidelné zálohování dat
  • Plán obnovy po havárii (disaster recovery)

9. Audit

Zpracovatel umožní Správci (nebo jím pověřenému auditorovi) provádět audity a inspekce nezbytné k ověření souladu s touto DPA a čl. 28 GDPR.

Podmínky auditu:

  • Správce oznámí audit alespoň 30 dní předem
  • Audit se uskuteční v pracovní době a způsobem, který minimálně narušuje provoz
  • Správce nese náklady auditu
  • Auditor je vázán povinností mlčenlivosti
  • Zpracovatel může namísto on-site auditu poskytnout relevantní certifikace nebo zprávy třetích stran (např. SOC 2, penetrační testy)

10. Bezpečnostní incidenty

V případě porušení zabezpečení osobních údajů (data breach) Zpracovatel:

  1. Informuje Správce bez zbytečného odkladu (nejpozději do 48 hodin) po zjištění incidentu.
  2. Poskytne Správci informace potřebné pro splnění oznamovací povinnosti dle čl. 33 a 34 GDPR, zejména:
    • Povahu incidentu
    • Dotčené kategorie a přibližný počet subjektů údajů
    • Pravděpodobné důsledky
    • Přijatá a navrhovaná opatření k nápravě
  3. Přijme přiměřená opatření k zmírnění důsledků incidentu a zabránění jeho opakování.

11. Výmaz a vrácení údajů po ukončení

Po ukončení smluvního vztahu Zpracovatel:

  1. Ponechá workspace data dostupná po dobu 30 dní pro export Správcem.
  2. Na žádost Správce exportuje data ve strojově čitelném formátu.
  3. Po uplynutí 30denní lhůty nevratně smaže veškerá workspace data (Docker volume, soubory, paměť agenta).
  4. Údaje, které je Zpracovatel povinen uchovávat na základě právních předpisů (účetní doklady), uchovává po zákonem stanovenou dobu a poté je smaže.

Zpracovatel na žádost Správce potvrdí provedení výmazu.

12. Závěrečná ustanovení

Tato DPA se řídí právním řádem České republiky a nařízením (EU) 2016/679 (GDPR).

V případě rozporu mezi touto DPA a Obchodními podmínkami má v otázkách ochrany osobních údajů přednost tato DPA.

Kontakt pro záležitosti ochrany osobních údajů: privacy@agentix.cz