Verze 2026-05-15-draft · čl. 28 nařízení (EU) 2016/679 (GDPR)
Obchodní firma / jméno, IČO, sídlo, statutární orgán a e-mail pro doručování se doplní z údajů Kliniky v okamžiku registrace a akceptace (dále jen „Správce“).
Michal Svoboda, IČO: 29544441, sídlo: Palachova 228/18, 67401 Třebíč, Česká republika. OSVČ (vedlejší činnost) zapsaná u Městského úřadu Třebíč dne 10/05/2026; není plátcem DPH. Kontaktní e-mail: legal@alveodont.com; pověřenec pro ochranu osobních údajů (DPO): dpo@alveodont.com (dále jen „Zpracovatel“). Správce a Zpracovatel společně jako „Smluvní strany“.
Zpracovatel pro Správce poskytuje softwarovou službu Alveodont (dále jen „Služba“) — webovou aplikaci pro správu zubní ordinace dostupnou na adrese www.alveodont.com, zahrnující správu pacientské kartotéky, plánování ošetření, dokumentaci zdravotních záznamů, fakturaci a související funkce. Při poskytování Služby Zpracovatel jménem Správce zpracovává osobní údaje pacientů Správce, jeho zaměstnanců a dalších subjektů údajů.
Účelem zpracování je výhradně provoz Služby pro Správce v rozsahu sjednaných funkcí a v souladu s pokyny Správce. Zpracovatel nezpracovává osobní údaje Správce pro vlastní účely, s výjimkou udržování bezpečnosti, integrity a dostupnosti Služby (detekce vniknutí, anti-spam, zálohy), plnění zákonných povinností (např. uchování účetních dokladů) a agregovaných anonymizovaných statistik o využití Služby, ze kterých nelze identifikovat subjekt údajů.
Po dobu trvání smluvního vztahu mezi Smluvními stranami a následně po dobu nezbytně nutnou pro splnění zákonných povinností Zpracovatele (zejména účetních a daňových).
Automatizované zpracování v cloudové infrastruktuře dle čl. 4 GDPR. Zahrnuje zejména shromažďování, zaznamenávání, ukládání, prohlížení, používání, předávání (Správci a subjektu údajů na žádost), strukturování, omezení, výmaz a zničení.
Běžné osobní údaje: identifikační údaje (jméno, příjmení, datum narození, rodné číslo, pohlaví), kontaktní údaje (adresa, telefon, e-mail), údaje o zdravotní pojišťovně, údaje o platbách a fakturaci, audit a provozní logy (IP adresa, časová razítka přihlášení, ID zařízení), nahrávky a přepisy hlasových konzultací mezi lékařem a pacientem.
Zvláštní kategorie (čl. 9 GDPR — údaje o zdravotním stavu): anamnéza, alergie, chronická onemocnění, užívané léky, diagnózy, ošetření, výkony, zubní karta, rentgenové snímky a další zobrazovací modality, konzultační záznamy a klinické poznámky. Zpracování zvláštních kategorií probíhá na právním základě čl. 9 odst. 2 písm. h) GDPR (poskytování zdravotní péče) zajištěném Správcem.
Správce: (a) odpovídá za zákonnost zpracování a za získání právního titulu pro každé zpracování osobních údajů svých subjektů údajů; (b) plní informační povinnost vůči subjektům údajů (čl. 13–14 GDPR), včetně sdělení identity Zpracovatele a kategorií sub-zpracovatelů; (c) udílí Zpracovateli pokyny ke zpracování výhradně písemně, prostřednictvím nastavení Služby, smluvních ujednání nebo e-mailem na legal@alveodont.com; (d) nese odpovědnost za přesnost vkládaných osobních údajů a za bezpečné nakládání s přístupovými údaji; (e) zajišťuje výkon práv subjektů údajů (čl. 12–22 GDPR) — Zpracovatel pouze poskytuje technickou součinnost dle čl. 8; (f) má právo provést kontrolu dodržování této DPA dle čl. 11.
Zpracovatel implementuje zejména: šifrování přenosu (TLS 1.2+) a šifrování citlivých polí v klidu (Fernet) i souborového úložiště (AES-256); vícefaktorové ověřování pro administrátorské přístupy; princip minimálního přístupu (RBAC); oddělené zpracování dat jednotlivých klinik (multi-tenancy na úrovni clinic_id); pravidelné zálohy s testem obnovy; monitorování provozu a detekci anomálií; bezpečnostní logování (neměnný audit log); pravidelnou aktualizaci závislostí (CVE skenování); penetrační testy klíčových bodů; proces správy incidentů a notifikace porušení (čl. 12).
Správce uděluje Zpracovateli generální (předběžný) souhlas k zapojení dalších zpracovatelů (sub-zpracovatelů) za podmínek tohoto článku. Závazný a vždy aktuální seznam je zveřejněn na www.alveodont.com/legal/sub-processors a tvoří Přílohu B této DPA.
Mezi hlavní sub-zpracovatele patří: Hetzner Online GmbH (Německo, EU — hosting aplikace a databáze), Cloudflare R2 (zálohy databáze v EU regionu), Anthropic, PBC (USA — volitelný AI asistent, deaktivovatelný; SCC), Resend, Inc. (USA — transakční e-maily; SCC), Twilio Inc. (volitelný telefonní/SMS agent; SCC), Stripe Payments Europe Ltd. (Irsko, EU — platby za předplatné) a Sentry (volitelný sběr chybových hlášení; SCC). Tento výčet je orientační — úplný a závazný seznam včetně regionů, právních základů předání a stavu uzavřených DPA je veden jako Příloha B na /legal/sub-processors a v dokumentu docs/legal/sub-processors.md.
Zpracovatel oznámí Správci plánované přidání nebo nahrazení sub-zpracovatele s předstihem nejméně 30 dnů prostřednictvím e-mailu dle čl. 1.1 a aktualizací stránky /legal/sub-processors. Správce je oprávněn vyjádřit oprávněnou námitku do 14 dnů od oznámení. V případě oprávněné námitky Smluvní strany v dobré víře hledají řešení; nelze-li je nalézt, je Správce oprávněn smluvní vztah ukončit s výpovědní dobou 30 dnů.
Zpracovatel uzavírá s každým sub-zpracovatelem písemnou smlouvu, která jej zavazuje k povinnostem ekvivalentním povinnostem Zpracovatele dle této DPA. Zpracovatel odpovídá za jednání sub-zpracovatele tak, jako by zpracování prováděl sám.
Zpracovatel poskytuje Správci přiměřenou součinnost k plnění povinností dle čl. 12–22 GDPR. Funkce Služby umožňuje Správci samostatně vyhledat, opravit, exportovat (strojově čitelný formát) i smazat osobní údaje konkrétního subjektu; mazání je provedeno včetně souvisejících záznamů v korpusu AI doporučovacího systému („Bětka v2“) a v zálohách (rotace záloh ≤ 35 dnů). Žádost směřovanou přímo Zpracovateli přesměruje Zpracovatel na Správce do 5 pracovních dnů, případně poskytne součinnost dle pokynu Správce. Doba odezvy součinnosti zpravidla do 7 pracovních dnů, nestanoví-li GDPR jinou lhůtu.
Předání osobních údajů do třetích zemí (mimo EHP) probíhá pouze prostřednictvím sub-zpracovatelů uvedených v čl. 7 a vždy na základě standardních smluvních doložek (SCC) dle prováděcího rozhodnutí Komise (EU) 2021/914, případně dalších záruk dle čl. 46 GDPR. Klinika má právo deaktivovat volitelné funkce vyžadující předání mimo EHP (zejména AI asistent dle Anthropic, telefonní AI dle Twilio).
Správce má právo nejvýše 1× ročně (s výjimkou důvodného podezření na porušení) provést kontrolu plnění povinností Zpracovatele dle této DPA — vyžádáním dokumentace (TOM, záznam o zpracování, výsledky penetračních testů), vyžádáním vyplněného dotazníku, prostřednictvím nezávislého auditora vázaného mlčenlivostí (na náklady Správce) nebo přijetím výsledků auditu nezávislé třetí strany (např. SOC 2, ISO 27001), pokud existují. Audit musí být oznámen nejméně 30 dnů předem a probíhá v běžné pracovní době tak, aby nenarušil provoz Služby.
Zpracovatel oznámí Správci porušení zabezpečení osobních údajů týkající se údajů zpracovávaných pro Správce bez zbytečného odkladu, nejpozději do 48 hodin od okamžiku, kdy se o něm dozvěděl. Oznámení obsahuje popis povahy porušení (kategorie a přibližný počet dotčených subjektů a záznamů), jméno a kontakt DPO Zpracovatele, popis pravděpodobných důsledků a popis přijatých nebo navrhovaných opatření. Správce odpovídá za vlastní oznámení dozorovému úřadu (ÚOOÚ) a subjektům údajů.
Smluvní strany odpovídají za škodu způsobenou porušením této DPA dle obecných ustanovení občanského zákoníku a v rozsahu sjednaném ve Všeobecných obchodních podmínkách. Žádné ustanovení této DPA nezbavuje Smluvní stranu odpovědnosti vůči subjektu údajů ani dozorovému úřadu vyplývající z GDPR.
dpa_accepted_at, dpa_accepted_version).Šifrování: citlivá databázová pole šifrována Fernet (AES-128-CBC + HMAC) v klidu; souborové úložiště a zálohy AES-256; veškerý přenos TLS 1.2+. Řízení přístupu: RBAC s principem minimálního oprávnění; vícefaktorové ověření administrátorských účtů; oddělení dat jednotlivých klinik na úrovni clinic_id (multi-tenancy) včetně izolace korpusu AI kritika. Odolnost: denní/měsíční šifrované zálohy v EU regionu s testem obnovy; rotace záloh do 35 dnů. Monitoring: neměnný audit log klíčových operací, detekce anomálií, sběr chybových hlášení s filtrací PII. Vývojový proces: CVE skenování závislostí, penetrační testy klíčových vstupních bodů, proces správy incidentů a notifikace porušení do 48 h. Podrobné lhůty uchování viz docs/legal/retention-periods.md; mapování činností zpracování viz docs/legal/ROPA.md (čl. 30 GDPR).
Závazně udržovaný seznam je zveřejněn na www.alveodont.com/legal/sub-processors (zdroj pravdy: docs/legal/sub-processors.md). Pro znění platné k datu akceptace rozhoduje verze publikovaná v okamžiku akceptace, trvale doložitelná v auditním logu Zpracovatele.
Version 2026-05-15-draft · Art. 28 Regulation (EU) 2016/679 (GDPR)
Business name, Company ID (IČO), registered address, authorised representative, and notice email are populated from the Clinic's details at registration and acceptance (the "Controller").
Michal Svoboda, Company ID (IČO): 29544441, registered office: Palachova 228/18, 67401 Třebíč, Czech Republic. Sole trader (OSVČ — secondary activity) registered with the Municipal Office of Třebíč on 10/05/2026; not VAT-registered. Notice email: legal@alveodont.com; Data Protection Officer (DPO): dpo@alveodont.com (the "Processor"). The Controller and the Processor together as the "Parties".
The Processor provides the Controller with a software service named Alveodont (the "Service") — a web application for dental practice management available at www.alveodont.com, comprising patient records management, scheduling, clinical documentation, billing, and related features. In providing the Service, the Processor processes personal data of the Controller's patients, employees, and other data subjects on the Controller's behalf.
The sole purpose of processing is the operation of the Service for the Controller within the scope of the agreed features and in accordance with the Controller's instructions. The Processor does not process the Controller's personal data for its own purposes, except for maintaining the security, integrity, and availability of the Service (intrusion detection, anti-spam, backups), compliance with legal obligations (e.g. retention of accounting records), and aggregated anonymised usage statistics from which no data subject can be identified.
For the term of the contractual relationship between the Parties and thereafter for the period strictly necessary to fulfil the Processor's legal obligations (in particular accounting and tax).
Automated processing in cloud infrastructure (Art. 4 GDPR). Includes in particular collection, recording, storage, retrieval, use, transmission (to the Controller and, on request, to data subjects), structuring, restriction, erasure, and destruction.
Regular personal data: identification (first name, last name, date of birth, birth number, gender), contact details (address, phone, email), health insurance data, payment and billing data, audit and operational logs (IP address, login timestamps, device IDs), recordings and transcripts of doctor–patient voice consultations.
Special categories (Art. 9 GDPR — health data): medical history, allergies, chronic conditions, current medications, diagnoses, treatments, procedures, dental chart, X-rays and other imaging modalities, consultation records and clinical notes. Processing of special categories is performed on the legal basis of Art. 9(2)(h) GDPR (provision of health care) ensured by the Controller.
The Controller: (a) is responsible for the lawfulness of processing and for obtaining a legal basis for each processing operation of its data subjects' personal data; (b) fulfils information obligations toward data subjects (Art. 13–14 GDPR), including the identity of the Processor and categories of sub-processors; (c) provides instructions to the Processor exclusively in writing, via the Service's configuration, contractual provisions, or by email to legal@alveodont.com; (d) is responsible for the accuracy of personal data entered and for the secure handling of access credentials; (e) ensures the exercise of data subjects' rights (Art. 12–22 GDPR) — the Processor provides only technical assistance under Section 8; (f) has the right to audit compliance with this DPA under Section 11.
The Processor implements in particular: transport encryption (TLS 1.2+) and at-rest encryption of sensitive fields (Fernet) and file storage / backups (AES-256); multi-factor authentication for administrative access; least-privilege access (RBAC); separated processing of each clinic's data (multi-tenancy at the clinic_id level); regular backups with restore testing; traffic monitoring and anomaly detection; security logging (tamper-evident audit log); regular dependency updates (CVE scanning); penetration testing of key entry points; incident management and breach notification process (Section 12).
The Controller hereby grants the Processor general (prior) authorisation to engage further processors (sub-processors) under the conditions of this Section. The binding, always-current list is published at www.alveodont.com/legal/sub-processors and forms Annex B to this DPA.
Principal sub-processors include: Hetzner Online GmbH (Germany, EU — application & database hosting), Cloudflare R2 (EU-region database backups), Anthropic, PBC (USA — optional, disableable AI assistant; SCC), Resend, Inc. (USA — transactional email; SCC), Twilio Inc. (optional voice/SMS agent; SCC), Stripe Payments Europe Ltd. (Ireland, EU — subscription billing), and Sentry (optional error reporting; SCC). This list is indicative — the complete and binding list with regions, transfer bases, and DPA status is maintained as Annex B at /legal/sub-processors and in docs/legal/sub-processors.md.
The Processor shall notify the Controller of any planned addition or replacement of a sub-processor at least 30 days in advance, by email per Section 1.1 and by updating /legal/sub-processors. The Controller may raise a reasoned objection within 14 days. In the event of a reasoned objection, the Parties shall in good faith seek a resolution; if none can be found, the Controller may terminate the relationship with 30 days' notice.
The Processor enters into a written agreement with each sub-processor obligating it to obligations equivalent to those of the Processor under this DPA. The Processor remains responsible for the acts of any sub-processor as if it had performed the processing itself.
The Processor provides reasonable assistance to the Controller in fulfilling its obligations under Art. 12–22 GDPR. The Service enables the Controller to search, correct, export (machine-readable format), and delete a specific data subject's personal data; deletion includes related records in the AI critic corpus ("Bětka v2") and in backups (backup rotation ≤ 35 days). A request addressed directly to the Processor is forwarded to the Controller within 5 business days, or assistance is provided per the Controller's instruction. Response time generally within 7 business days, unless GDPR mandates a different deadline.
Transfers of personal data to third countries (outside the EEA) occur only through the sub-processors listed in Section 7 and always on the basis of Standard Contractual Clauses (SCCs) under Commission Implementing Decision (EU) 2021/914, or other safeguards under Art. 46 GDPR. The Controller may disable optional features requiring transfers outside the EEA (in particular Anthropic AI assistant, Twilio AI phone).
The Controller may, at most once per year (except where there is reasonable suspicion of breach), audit the Processor's compliance with this DPA by requesting documentation (TOMs, record of processing, penetration testing results), requesting a completed questionnaire, engaging an independent auditor bound by confidentiality (at the Controller's cost), or accepting third-party audit reports (e.g. SOC 2, ISO 27001), if any. Audits must be announced at least 30 days in advance and conducted during regular business hours so as not to disrupt the Service.
The Processor shall notify the Controller of any personal data breach affecting personal data processed for the Controller without undue delay and no later than 48 hours after becoming aware of it. The notification shall include a description of the nature of the breach (categories and approximate number of data subjects and records affected), the name and contact of the Processor's DPO, a description of the likely consequences, and a description of the measures taken or proposed. The Controller is responsible for its own notification to the supervisory authority (ÚOOÚ) and to data subjects.
The Parties are liable for damage caused by breach of this DPA under the general provisions of the Czech Civil Code and within the limits agreed in the Terms of Service. Nothing in this DPA relieves a Party of liability toward data subjects or the supervisory authority arising from GDPR.
dpa_accepted_at, dpa_accepted_version).Encryption: sensitive database fields encrypted with Fernet (AES-128-CBC + HMAC) at rest; file storage and backups AES-256; all transport TLS 1.2+. Access control: RBAC with least privilege; MFA for administrative accounts; per-clinic data isolation at the clinic_id level (multi-tenancy), including isolation of the AI critic corpus. Resilience: daily/monthly encrypted backups in an EU region with restore testing; backup rotation within 35 days. Monitoring: tamper-evident audit log of key operations, anomaly detection, error reporting with PII filtering. Development process: CVE dependency scanning, penetration testing of key entry points, incident-management and breach-notification process within 48 h. Detailed retention periods: docs/legal/retention-periods.md; processing-activity mapping: docs/legal/ROPA.md (Art. 30 GDPR).
The binding, maintained list is published at www.alveodont.com/legal/sub-processors (source of truth: docs/legal/sub-processors.md). The version published at the time of acceptance governs and is permanently evidenced in the Processor's audit log.