Smlouva o zpracování osobních údajů

„Hlavní smlouva“ označuje Obchodní podmínky HireNote odsouhlasené Zákazníkem při registraci.

„Osobní údaje“ označují veškeré informace o identifikované nebo identifikovatelné fyzické osobě ve smyslu platných právních předpisů o ochraně osobních údajů.

„Porušení zabezpečení osobních údajů“ označuje jakékoli potvrzené porušení zabezpečení vedoucí k náhodnému nebo protiprávnímu zničení, ztrátě, pozměnění, neoprávněnému zveřejnění nebo přístupu k osobním údajům zpracovávaným HireNote nebo jeho dílčími zpracovateli.

„Zpracování“ (a „Zpracovávat“) označuje jakoukoli operaci nebo soubor operací s osobními údaji, ať již automatizovanými prostředky či nikoli, včetně shromažďování, záznamu, ukládání, použití, zpřístupnění, přenosu nebo výmazu.

„Správce“ označuje subjekt, který určuje účely a prostředky zpracování osobních údajů. V kontextu této Smlouvy DPA je Zákazník Správcem.

„Zpracovatel“ označuje subjekt, který zpracovává osobní údaje jménem Správce. V kontextu této Smlouvy DPA je HireNote Zpracovatelem.

„Služby“ označují služby nahrávání pohovorů, přepisu a generování scorecardů poskytované HireNote dle Hlavní smlouvy.

„Právní předpisy o ochraně osobních údajů“ označují veškeré platné zákony a předpisy týkající se soukromí, ochrany osobních údajů a osobních dat, včetně mimo jiné: Obecného nařízení o ochraně osobních údajů EU (Nařízení (EU) 2016/679) („GDPR“); GDPR začleněného do českého a unijního práva; a veškerých dalších platných právních předpisů o ochraně osobních údajů.

„Standardní smluvní doložky“ nebo „SSD“ označují standardní smluvní doložky pro předávání osobních údajů do třetích zemí schválené Evropskou komisí na základě Prováděcího rozhodnutí Komise (EU) 2021/914, Modul 2 (Správce–Zpracovatel).

„Dílčí zpracovatel“ označuje jakoukoli třetí stranu pověřenou HireNote zpracováváním osobních údajů jménem Zákazníka v souvislosti se Službami.

„Technická a organizační opatření“ nebo „TOO“ označují bezpečnostní a organizační opatření zavedená HireNote k ochraně osobních údajů, jak je popsáno v Příloze 2 této Smlouvy DPA.

2.1 Tato Smlouva o zpracování osobních údajů se vztahuje na veškeré zpracování osobních údajů ze strany HireNote jménem Zákazníka v souvislosti se Službami.

2.2 Ve vztahu mezi stranami je Zákazník Správcem a HireNote je Zpracovatelem osobních údajů zpracovávaných na základě této Smlouvy DPA. Zákazník určuje účely a prostředky zpracování. HireNote zpracovává osobní údaje výhradně jako zpracovatel osobních údajů, striktně jménem Zákazníka a v souladu s jeho zdokumentovanými pokyny.

2.3 V případě jakéhokoli rozporu mezi touto Smlouvou DPA a Hlavní smlouvou ohledně zpracování osobních údajů má přednost tato Smlouva o zpracování osobních údajů.

2.4 Veškerá omezení odpovědnosti stanovená v Hlavní smlouvě se vztahují i na tuto Smlouvu DPA. Celková souhrnná odpovědnost HireNote podle této Smlouvy DPA nepřekročí strop odpovědnosti stanovený v Hlavní smlouvě (poplatky zaplacené v průběhu 12 měsíců předcházejících nároku, nebo 60 USD, podle toho, která částka je vyšší). Toto ustanovení neomezuje odpovědnost žádné ze stran vůči subjektům údajů nebo dozorčím úřadům podle platných právních předpisů o ochraně osobních údajů.

Tato Smlouva o zpracování osobních údajů nabývá účinnosti registrací Zákazníka ke Službě a zůstává v platnosti po dobu trvání Hlavní smlouvy. Ukončení Hlavní smlouvy automaticky ukončuje tuto Smlouvu DPA. Povinnosti HireNote chránit osobní údaje a smazat nebo vrátit veškeré osobní údaje přetrvávají i po ukončení, dokud nebudou všechny osobní údaje bezpečně smazány nebo vráceny.

4.1 Předmět zpracování

Zpracování osobních údajů za účelem poskytování služeb nahrávání pohovorů, přepisu a generování scorecardů s podporou AI.

4.2 Povaha a účel zpracování

• Nahrávání a ukládání zvukových záznamů z náborových pohovorů.
• Generování přepisů z nahraných zvukových záznamů pomocí AI.
• Generování strukturovaných scorecardů z přepisů pomocí AI.
• Doručování přepisů a scorecardů Zákazníkovi e-mailem a prostřednictvím dashboardu.
• Ukládání přepisů a scorecardů jménem Zákazníka.

4.3 Typy osobních údajů

• Jména a kontaktní údaje účastníků pohovoru.
• Zvukové záznamy (dočasné — smazány okamžitě po přepisu).
• Přepisy rozhovorů z pohovorů.
• Scorecards generované AI obsahující informace o kandidátech.
• Veškeré další osobní údaje náhodně přítomné v rozhovorech z pohovorů.

4.4 Kategorie subjektů údajů

• Autorizovaní uživatelé Zákazníka (recruiteři, personalisté).
• Uchazeči o zaměstnání účastnící se pohovorů vedených prostřednictvím Služby.

4.5 Doba zpracování

Po dobu trvání Hlavní smlouvy a případných prodloužení, a poté až do bezpečného smazání nebo vrácení veškerých osobních údajů v souladu s článkem 10.

HireNote je povinen:

5.1 Zpracovávat osobní údaje pouze na základě zdokumentovaných pokynů Zákazníka, jak je stanoveno v této Smlouvě DPA a Hlavní smlouvě, a pro žádný jiný účel. HireNote neprodleně informuje Zákazníka, pokud se podle jeho názoru pokyn dostává do rozporu s platnými právními předpisy o ochraně osobních údajů.

5.2 Zajistit, aby veškerý personál oprávněný ke zpracování osobních údajů byl vázán příslušnými povinnostmi mlčenlivosti.

5.3 Zavést a udržovat technická a organizační opatření popsaná v Příloze 2.

5.4 Pomáhat Zákazníkovi při plnění jeho povinností reagovat na žádosti subjektů údajů o uplatnění jejich práv podle platných právních předpisů o ochraně osobních údajů, s přihlédnutím k povaze zpracování a informacím dostupným HireNote. HireNote odpoví na žádosti Zákazníka o takovou pomoc do 30 dnů.

5.5 Bez zbytečného odkladu, v každém případě však do 48 hodin od zjištění porušení zabezpečení osobních údajů, informovat Zákazníka. Toto oznámení bude v rozsahu, v jakém je to známo, obsahovat: povahu porušení, kategorie a přibližný objem dotčených osobních údajů a osob, pravděpodobné důsledky a přijatá nebo navrhovaná opatření k nápravě.

5.6 Na písemnou žádost Zákazníka zpřístupnit veškeré informace přiměřeně nezbytné k prokázání souladu HireNote s touto Smlouvou DPA a platnými právními předpisy o ochraně osobních údajů.

5.7 Smazat nebo vrátit veškeré osobní údaje po ukončení Hlavní smlouvy nebo na písemnou žádost Zákazníka v souladu s článkem 10.

5.8 Nezapojovat nové dílčí zpracovatele bez předchozího upozornění Zákazníka v souladu s článkem 6.

6.1 Zákazník uděluje obecné oprávnění HireNote zapojit dílčí zpracovatele uvedené v Příloze 1 ke zpracování osobních údajů v souvislosti s poskytováním Služeb.

6.2 HireNote uloží každému dílčímu zpracovateli povinnosti ochrany osobních údajů, které jsou přinejmenším stejně ochranné jako povinnosti stanovené v této Smlouvě DPA, a to prostřednictvím písemné smlouvy.

6.3 HireNote zůstává Zákazníkovi odpovědný za plnění povinností každého dílčího zpracovatele podle této Smlouvy DPA.

6.4 HireNote upozorní Zákazníka nejméně 14 dní před zapojením nového dílčího zpracovatele nebo nahrazením stávajícího. Zákazník může vznést námitku z přiměřených důvodů ochrany osobních údajů do 7 dnů od upozornění. Pokud v této lhůtě není vznesena žádná námitka, nový dílčí zpracovatel se považuje za schváleného.

6.5 Pokud strany nedokážou přiměřenou námitku vyřešit, jediným opravným prostředkem Zákazníka je ukončení té části Služeb, která nemůže být rozumně poskytována bez použití napadeného dílčího zpracovatele.

Zákazník jako Správce je výhradně odpovědný za:

7.1 Zajištění zákonného základu podle platných právních předpisů o ochraně osobních údajů pro pokyny HireNote ke zpracování osobních údajů kandidátů, včetně nahrávek pohovorů a přepisů.

7.2 Informování kandidátů u pohovorů o tom, že jejich pohovory budou nahrávány a zpracovávány pomocí AI, a to před zahájením jakéhokoli nahrávání.

7.3 Získání všech nezbytných souhlasů nebo stanovení jiného vhodného právního základu pro nahrávání podle platných právních předpisů v jurisdikci Zákazníka.

7.4 Dodržování všech platných předpisů o ochraně osobních údajů, pracovněprávních předpisů a předpisů o souhlasu s nahráváním.

7.5 Zajištění zákonnosti pokynů vydaných HireNote, které nevyžadují, aby HireNote porušoval platné právní předpisy o ochraně osobních údajů.

7.6 Nedodržení jakékoli povinnosti stanovené v tomto článku 7 představuje podstatné porušení této Smlouvy DPA a Hlavní smlouvy. V případě takového porušení si HireNote vyhrazuje právo okamžitě pozastavit zpracování příslušných osobních údajů bez odpovědnosti vůči Zákazníkovi nebo jakékoli třetí straně, a to až do doby, kdy bude porušení napraveno způsobem uspokojivým pro HireNote.

HireNote využívá AI k automatickému generování přepisů a scorecardů ze záznamů pohovorů. Toto zpracování je automatizované. HireNote však nepřijímá automatizovaná rozhodnutí s právními nebo obdobně závažnými dopady na kandidáty.

Scorecards jsou předávány Zákazníkovi jako nástroj pro podporu — nikoli nahrazení — jeho profesního úsudku. Veškerá rozhodnutí o náboru a zaměstnání přijímá výhradně Zákazník.

Zákazník jako Správce je odpovědný za zajištění souladu s článkem 22 GDPR v souvislosti s jakýmkoli automatizovaným zpracováním osobních údajů kandidátů, včetně informování kandidátů o jejich právech, pokud je to vyžadováno. To zahrnuje například zajištění toho, aby byli kandidáti před pohovorem nebo na jeho začátku informováni o tom, že jsou k vytváření strukturovaných hodnocení jejich výkonu při pohovoru využívány nástroje umělé inteligence.

9.1 HireNote na písemnou žádost zpřístupní Zákazníkovi veškeré informace přiměřeně nezbytné k prokázání souladu s touto Smlouvou DPA.

9.2 Pokud stávající dokumentace přiměřeně nesplňuje požadavky Zákazníka na audit, HireNote umožní a přispěje k přiměřeným auditům prováděným Zákazníkem nebo pověřeným externím auditorem za předpokladu, že:

• Audity jsou omezeny na jednou za kalendářní rok.
• Zákazník poskytne písemné upozornění nejméně 45 dní předem.
• Audity se provádějí v běžné pracovní době způsobem, který minimalizuje narušení provozu.
• Zákazník a jmenovaný auditor jsou vázáni příslušnými povinnostmi mlčenlivosti.
• Zákazník nese veškeré náklady spojené s takovými audity.

10.1 Po ukončení Hlavní smlouvy nebo kdykoli na písemnou žádost Zákazníka HireNote neprodleně a bezpečně smaže nebo vrátí veškeré osobní údaje ve svém vlastnictví nebo pod svou kontrolou a bezpečně smaže všechny existující kopie, pokud jejich uchovávání nevyžadují platné právní předpisy.

10.2 Zbývající kopie v šifrovaných zálohách budou smazány do 30 dnů od události výmazu nebo ukončení.

10.3 Na přiměřenou žádost Zákazníka HireNote poskytne písemné potvrzení, že veškeré osobní údaje byly smazány v souladu s tímto článkem.

11.1 Pokud jsou osobní údaje předávány do zemí mimo Evropský hospodářský prostor (EHP), které nepodléhají rozhodnutí Evropské komise o odpovídající ochraně, HireNote se opírá o Standardní smluvní doložky (Modul 2: Správce–Zpracovatel) schválené Evropskou komisí na základě Prováděcího rozhodnutí Komise (EU) 2021/914 jako vhodný ochranný nástroj podle článku 46 GDPR.

11.2 Toto se týká přenosů k následujícím dílčím zpracovatelům: OpenAI (USA), Resend (USA), Stripe (USA), Vercel (infrastruktura v USA) a Google (USA).

11.3 HireNote vystupuje jako exportér dat a každý příslušný dílčí zpracovatel vystupuje jako importér dat na základě příslušných SSD.

11.4 Kopie příslušných Standardních smluvních doložek je k dispozici na vyžádání na adrese info@hirenote.app.

11.5 HireNote zavádí doplňková opatření na podporu mezinárodních přenosů, včetně technických a organizačních opatření popsaných v Příloze 2 a smluvních závazků s dílčími zpracovateli ohledně žádostí vládních orgánů o přístup k údajům a minimalizace dat.

12.1 Pokud osobní údaje podléhají Kalifornskému zákonu o ochraně soukromí spotřebitelů (CCPA/CPRA), HireNote vystupuje jako „Poskytovatel služeb“ a Zákazník vystupuje jako „Podnik.“

12.2 HireNote nebude prodávat ani sdílet osobní údaje zpracovávané na základě této Smlouvy DPA. HireNote nebude uchovávat, používat ani zveřejňovat osobní údaje pro žádný jiný účel než poskytování Služeb popsaných v Hlavní smlouvě.

12.3 V rozsahu, v jakém osobní údaje podléhají jiným americkým státním právním předpisům o ochraně soukromí, které ukládají povinnosti zpracovatelům nebo poskytovatelům služeb, bude HireNote v této funkci jednat a nebude používat ani zveřejňovat osobní údaje jinak než v souladu s touto Smlouvou DPA.

Tato Smlouva o zpracování osobních údajů se řídí zákony České republiky, v souladu s rozhodným právem Hlavní smlouvy, pokud platné právní předpisy o ochraně osobních údajů nestanoví jinak.

Registrací do HireNote Zákazník souhlasí s tím, že je touto Smlouvou DPA vázán. Osoba registrující se jménem organizace prohlašuje a zaručuje, že má oprávnění zavázat tuto organizaci touto Smlouvou DPA.

Následující dílčí zpracovatelé jsou oprávněni zpracovávat osobní údaje jménem Zákazníka v souvislosti se Službami:

HireNote upozorní Zákazníka nejméně 14 dní před přidáním nebo nahrazením jakéhokoli dílčího zpracovatele.

HireNote zavádí následující technická a organizační opatření k ochraně osobních údajů:

Šifrování

Veškeré osobní údaje jsou šifrovány při přenosu pomocí TLS a šifrovány v klidovém stavu. Zvukové záznamy jsou smazány co nejdříve po dokončení přepisu a nejsou uchovávány déle, než je nezbytně nutné pro poskytnutí služby přepisu.

Řízení přístupu

Přístup k osobním údajům je omezen výhradně na autorizovaný personál, na základě principu nutnosti vědět. Přístupová práva jsou pravidelně přezkoumávána.

Mlčenlivost

Veškerý personál s přístupem k osobním údajům je vázán povinnostmi mlčenlivosti.

Minimalizace dat

HireNote shromažďuje a zpracovává pouze osobní údaje nezbytné pro poskytování Služeb. Zvukové záznamy nejsou po dokončení přepisu uchovávány.

Uchovávání a výmaz

Osobní údaje jsou uchovávány pouze po dobu stanovenou v Zásadách ochrany osobních údajů a v této Smlouvě DPA. Při ukončení nebo na žádost Zákazníka jsou uplatňovány postupy bezpečného výmazu.

Reakce na incidenty

HireNote udržuje proces reakce na incidenty. V případě porušení zabezpečení osobních údajů HireNote informuje Zákazníka do 48 hodin od zjištění porušení.

Správa dílčích zpracovatelů

Všichni dílčí zpracovatelé jsou vázáni smlouvami o zpracování údajů, které ukládají povinnosti ochrany osobních údajů přinejmenším rovnocenné povinnostem stanoveným v této Smlouvě DPA.

Zpracování AI

Osobní údaje zpracovávané prostřednictvím funkcí AI (přepis a generování scorecardů) jsou používány výhradně k poskytování Služeb. HireNote nepoužívá data Zákazníka k trénování modelů AI. Data odeslaná do OpenAI prostřednictvím API jsou zpracovávána v souladu se zásadami použití dat API OpenAI a OpenAI je nepoužívá k trénování svých modelů.

Bezpečnost infrastruktury

HireNote využívá poskytovatele cloudové infrastruktury (Supabase, Vercel), kteří udržují vlastní bezpečnostní certifikace a kontroly. HireNote pravidelně přezkoumává bezpečnostní postupy svých dílčích zpracovatelů.