Seznam sub-zpracovatelů

Verze 1.0 · poslední revize 2026-05-15 · vedeno dle čl. 28 odst. 2 a 4 GDPR · Příloha B Smlouvy o zpracování osobních údajů (DPA)

Zpracovatel (Alveodont, IČO 29544441) zapojuje níže uvedené sub-zpracovatele k provedení částí zpracování jménem Správce (kliniky). O každé změně tohoto seznamu je každá klinika informována nejméně 30 dnů předem a může vznést námitku dle čl. 28 odst. 2 GDPR. Právní základ každého předání a kategorie údajů viz docs/legal/ROPA.md; lhůty uchování viz docs/legal/retention-periods.md.

Infrastruktura a úložiště

Sub-zpracovatel	Role	Region	Základ předání
Hetzner Online GmbH	Primární hosting aplikace a databáze (VPS, šifrované disky)	Falkenstein / Norimberk, EU (Německo)	neuplatní se (EU)
Cloudflare, Inc. (R2)	Šifrované zálohy databáze, případně úložiště pacientských souborů	EU region (`eu-central` / `weur`)	EU region + DPA Cloudflare (SCC jako záloha pro US cestu)

AI / ML poskytovatelé

Sub-zpracovatel	Role	Region	Základ předání
Anthropic, PBC	LLM pro shrnutí konzultací, návrhy léčebných plánů, koncepty e-mailů, telefonní IVR agent	USA	SCC 2021/914 (moduly 2+3) + zero-retention API; nejvýznamnější non-EU příjemce; vyžaduje výslovný souhlas pacienta dle čl. 9 odst. 2 písm. a); na kliniku vypnutelné (lze nahradit lokálním Ollama)
Ollama (lokální / self-hosted)	Záložní LLM + generování embeddingů	Lokálně (Mac/Linux) nebo self-hosted v EU	neuplatní se při lokálním běhu
Deepgram, Inc.	Přepis řeči na text (volitelný backend)	USA (EU region k dispozici)	SCC; volitelné na kliniku (`WHISPER_FINAL_BACKEND=deepgram`)
AssemblyAI, Inc.	Přepis řeči na text (alternativa)	USA	SCC; volitelné
ElevenLabs, Inc.	Přepis řeči na text (alternativa)	USA	SCC; volitelné
NVIDIA (Canary / Parakeet)	Přepis řeči na text (open-weight modely přes cloud endpoint)	dle nasazení	SCC při non-EU; při self-hostingu na Hetzner GPU kryto DPA Hetzner
Nomic AI, Inc.	Generování embeddingů — plánováno, dnes model běží lokálně přes Ollama	neuplatní se dnes	neuplatní se (žádný přímý Nomic API klíč v kódu)

Komunikace

Sub-zpracovatel	Role	Region	Základ předání
Resend, Inc.	Doručování transakčních e-mailů (upomínky, notifikace, reset hesla)	USA (EU region k dispozici — nutno zapnout)	SCC + EU region
Twilio Inc.	SMS upomínky + hlasové IVR	USA; směrování operátorů globální	SCC; telefonní čísla v aplikaci maskována
Apple (APNs) / Google (FCM)	Push notifikace — plánováno, zatím neintegrováno	neuplatní se dnes	neuplatní se do nasazení push

Platby

Sub-zpracovatel	Role	Region	Základ předání
Stripe Payments Europe Ltd.	Fakturace předplatného Služby (Alveodont↔klinika)	Irsko (EU); US afilace mohou zpracovávat dle SCC	SCC; žádné údaje o kartě nikdy v Alveodontu (hostované Stripe Checkout)

Identita a observabilita

Sub-zpracovatel	Role	Region	Základ předání
Google LLC (OAuth)	„Přihlášení přes Google“ — přijímá Google ID účtu + e-mail	USA	SCC / Google Cloud podmínky; pouze při aktivní volbě uživatele (volitelné)
Functional Software, Inc. (Sentry)	Monitoring chyb aplikace	USA (EU region — nutno zapnout)	SCC + EU region; podmíněno souhlasem cookie banneru; `send_default_pii=False`

Integrace s českým zdravotním systémem (zatím žádné)

ÚZIS ČR (NRHZS / NRHOP) ani eRecept / SÚKL nejsou aktuálně integrovány. Budou přehodnoceny, potvrdí-li audit MIC-428 registrační povinnost.

Nepřetrvávání zvuku (informativní)

Přestože poskytovatelé přepisu řeči zpracovávají zvuková data během konzultace, Alveodont zvuk nikdy neukládá — je streamován přes zvolený ASR backend v paměti a po přepisu zahozen. Jediným bodem uchování zvuku je politika samotného ASR poskytovatele (s režimem zero-retention API, kde je k dispozici). U Twilio hlasu je hovor nahrán Twilio dle jeho standardního uchování; administrátor kliniky může nahrávání vypnout nebo zkrátit jeho dobu v Twilio konzoli.

Postup při změně sub-zpracovatele

Technické posouzení — proveditelnost + revize ochrany soukromí (region, DPA, základ předání).
Uzavření DPA — protipodepsáno sub-zpracovatelem před tokem produkčních dat.
Aktualizace sub-processors.md — sloučený PR s novým záznamem.
Oznámení klinikám — každá aktivní klinika informována nejméně 30 dnů předem (in-app + e-mail, čl. 28 odst. 2).
Lhůta pro námitku — klinika může vznést námitku; strany hledají přijatelné řešení; jinak může klinika ukončit smlouvu bez sankce.
Spuštění — sub-zpracovatel nasazen; ROPA aktualizována.

Technická křížová kontrola (mapování sub-zpracovatel → činnost zpracování → env proměnná) je vedena v docs/legal/sub-processors.md. Otevřené úkoly k revizi: potvrdit vazbu Cloudflare R2 na EU region; potvrdit EU region pin Sentry; uzavřít všechny DPA označené ⚠️.

Sub-processor list

Version 1.0 · last reviewed 2026-05-15 · maintained per Art. 28(2)+(4) GDPR · Annex B of the Data Processing Agreement (DPA)

The processor (Alveodont, IČO 29544441) engages the sub-processors below to perform parts of the processing on behalf of the controller (clinic). Each clinic is notified at least 30 days in advance of any change and may object per Art. 28(2) GDPR. Legal basis for each transfer and data categories: docs/legal/ROPA.md; retention figures: docs/legal/retention-periods.md.

Infrastructure & storage

Sub-processor	Role	Region	Transfer basis
Hetzner Online GmbH	Primary application + database hosting (VPS, encrypted disks)	Falkenstein / Nuremberg, EU (Germany)	n/a (EU)
Cloudflare, Inc. (R2)	Encrypted DB backups, optionally patient file storage	EU region (`eu-central` / `weur`)	EU-region pin + Cloudflare DPA (SCC fallback for US path)

AI / ML providers

Sub-processor	Role	Region	Transfer basis
Anthropic, PBC	LLM for consultation summarisation, treatment-plan drafting, email drafts, phone IVR agent	United States	SCC 2021/914 modules 2+3 + zero-retention API; most clinically significant non-EU recipient; requires explicit Art. 9(2)(a) patient consent; per-clinic disableable (local Ollama fallback)
Ollama (local / self-hosted)	LLM fallback + embedding generation	Local (Mac/Linux) or self-hosted in EU	n/a when local
Deepgram, Inc.	Speech-to-text (managed STT, optional backend)	USA (EU region available)	SCC; per-clinic selectable (`WHISPER_FINAL_BACKEND=deepgram`)
AssemblyAI, Inc.	Speech-to-text alternative	USA	SCC; optional
ElevenLabs, Inc.	Speech-to-text alternative	USA	SCC; optional
NVIDIA (Canary / Parakeet)	Speech-to-text (open-weight models via cloud endpoint)	Deployment-dependent	SCC if non-EU; if self-hosted on Hetzner GPU, covered by Hetzner DPA
Nomic AI, Inc.	Embedding generation — planned, model run locally via Ollama today	n/a today	n/a (no direct Nomic API key in codebase)

Communications

Sub-processor	Role	Region	Transfer basis
Resend, Inc.	Transactional email delivery (reminders, notifications, password resets)	USA (EU region available — must enable)	SCC + EU region
Twilio Inc.	SMS reminders + voice IVR	USA; carrier routing global	SCC; phone numbers masked in app storage
Apple (APNs) / Google (FCM)	Push notifications — planned, not yet integrated	n/a today	n/a until push lands

Payments

Sub-processor	Role	Region	Transfer basis
Stripe Payments Europe Ltd.	SaaS subscription billing (Alveodont↔clinic)	Ireland (EU); US affiliates may process under SCC	SCC; no card data ever in Alveodont (hosted Stripe Checkout)

Identity & observability

Sub-processor	Role	Region	Transfer basis
Google LLC (OAuth)	"Sign in with Google" — receives Google account ID + email	USA	SCC / Google Cloud terms; only when user actively chooses Google login (optional)
Functional Software, Inc. (Sentry)	Application error monitoring	USA (EU region — must enable)	SCC + EU region; gated by cookie-banner consent; `send_default_pii=False`

Czech health-system integrations (none yet)

ÚZIS ČR (NRHZS / NRHOP) and eRecept / SÚKL are not currently integrated. To be re-evaluated if the MIC-428 audit confirms a registration obligation.

Audio non-persistence (informative)

Although speech-to-text providers process audio bytes during a consultation, Alveodont never persists the audio — it is streamed through the chosen ASR backend in memory and discarded after transcription. The only audio retention surface is the ASR provider's own policy (with zero-retention API mode where available). For Twilio voice, the IVR call is recorded by Twilio under its standard retention; the clinic admin can disable recording or shorten Twilio-side retention in the Twilio Console.

Sub-processor change workflow

Technical evaluation — feasibility + privacy review (region, DPA, transfer basis).
DPA executed — counter-signed by the sub-processor before any production data flows.
sub-processors.md updated — PR merged with the new entry.
Clinic notification — every active clinic notified at least 30 days in advance (in-app + email, Art. 28(2)).
Objection window — clinic may object; parties work toward an acceptable alternative; failing that, the clinic may terminate without penalty.
Go-live — sub-processor onboarded; ROPA updated.

The technical cross-check (sub-processor → ROPA processing activity → env var) is maintained in docs/legal/sub-processors.md. Outstanding lawyer-review actions: confirm Cloudflare R2 EU region binding; confirm Sentry EU region pin; execute all DPAs marked ⚠️.