Platné od 1. 7. 2026
Příloha Všeobecných obchodních podmínek platformy creatorbox. Uzavírá se přijetím Podmínek.
Správce: Tvůrce (identifikovaný ve svém účtu). Zpracovatel: ANAX HOLDING, s.r.o., IČO 10876197.
1.1 Provozovatel (zpracovatel) zpracovává osobní údaje Kupujících jménem Tvůrce (správce) výhradně za účelem provozu platformy a plnění prodejů Tvůrce. Zpracování trvá po dobu trvání účtu Tvůrce.
2.1 Provozovatel zpracovává osobní údaje pouze na základě doložených pokynů Tvůrce, jimiž jsou Podmínky a používání funkcí platformy. Bez pokynu nepředává údaje do třetí země, nejde-li o povinnost dle práva EU nebo ČR; v takovém případě Tvůrce předem informuje, nebrání-li tomu zákon.
3.1 Osoby oprávněné zpracovávat údaje jsou vázány mlčenlivostí. 3.2 Provozovatel přijímá vhodná technická a organizační opatření dle čl. 32 GDPR (Příloha 2).
4.1 Tvůrce uděluje Provozovateli obecné svolení k zapojení dalších zpracovatelů. Aktuální jmenný seznam (s identifikací poskytovatele, sídla, účelu, lokace zpracování a odkazu na jeho DPA/SCC) je veřejně dostupný na stránce Zpracovatelé (creatorbox.cz/zpracovavame) a je nedílnou součástí této smlouvy. 4.2 Provozovatel uloží každému dalšímu zpracovateli povinnosti odpovídající této smlouvě (zejména důvěrnost, bezpečnost dle čl. 32, omezení účelu, výmaz po ukončení). 4.3 O zamýšlené změně (přidání nebo nahrazení dalšího zpracovatele) bude Tvůrce informován nejméně 30 dní předem e-mailem na adresu primárního kontaktu, upozorněním v aplikaci a aktualizací stránky Zpracovatelé. Tvůrce může z vážných důvodů na ochranu údajů vznést písemnou námitku ve lhůtě 14 dnů od oznámení; pokud Provozovatel námitce nevyhoví (např. nabídkou rovnocenné alternativy), je Tvůrce oprávněn ukončit smlouvu o užívání služby k datu účinnosti změny a Provozovatel mu vrátí poměrnou část předem uhrazené ceny za nevyužité období.
5.1 Provozovatel je Tvůrci přiměřeně nápomocen při vyřizování žádostí Kupujících (přístup, oprava, výmaz, přenositelnost, námitka) a při plnění povinností dle čl. 32-36 GDPR.
6.1 Provozovatel ohlásí Tvůrci porušení zabezpečení osobních údajů bez zbytečného odkladu a nejpozději do 48 hodin od zjištění; současně poskytne informace dle čl. 33 odst. 3 GDPR (povaha porušení, kategorie a přibližný počet dotčených subjektů, pravděpodobné důsledky a přijatá opatření) tak, aby Tvůrce mohl splnit svou ohlašovací povinnost vůči dozorovému úřadu ve lhůtě 72 hodin (čl. 33) a vůči subjektům údajů (čl. 34).
7.1 Dochází-li k předání mimo EHP (např. v rámci platebních nebo infrastrukturních služeb), zajistí Provozovatel vhodné záruky dle čl. 46 GDPR (zejména standardní smluvní doložky dle rozhodnutí Komise 2021/914) nebo certifikaci v rámci EU-US Data Privacy Framework. Konkrétní mechanismus pro každého poskytovatele mimo EU/EEA je uveden na stránce Zpracovatelé.
8.1 Po ukončení smlouvy přechází účet Tvůrce do režimu „pouze export“ na dobu 30 dnů (viz Obchodní podmínky, čl. 10.5). Po uplynutí této doby Provozovatel údaje vymaže nebo na žádost vrátí ve strojově čitelném formátu (CSV/JSON), nevyžaduje-li jejich uchování právo EU nebo ČR (zejména § 31 zákona o účetnictví, § 47 daňového řádu). Smazání z provozních záloh proběhne v rámci běžného rotačního cyklu (nejdéle do 90 dnů). 8.2 Audit. Provozovatel poskytne Tvůrci na vyžádání informace a doklady prokazující plnění této smlouvy (zejména popis bezpečnostních opatření, seznam sub-zpracovatelů, případně atestace SOC 2 / ISO 27001, jakmile budou k dispozici). Fyzický audit na místě je možný po předchozí dohodě (zpravidla 30 dní předem), maximálně jednou ročně, v rozsahu nezbytném a tak, aby nenarušil provoz a důvěrnost dat jiných zákazníků. Náklady auditu nese Tvůrce, ledaže by audit zjistil podstatné porušení této smlouvy Provozovatelem.
9.1 Závazek: data Tvůrce a jeho Kupujících NEBUDOU používána pro trénování modelů AI poskytovatele AI ani Provozovatele, ani pro zlepšování modelů poskytovatele AI nebo Provozovatele. 9.2 Pokud služba poskytuje AI funkce (např. návrhy popisů produktů, generování titulních obrázků, sumarizace recenzí), osobní údaje budou předány externímu poskytovateli AI (uvedenému na stránce Zpracovatelé) pouze pro účely generování konkrétního výstupu (inference); poskytovatel AI nesmí údaje uchovávat déle, než je technicky nutné, a nesmí je dále zpřístupnit. 9.3 Provozovatel uplatní s každým poskytovatelem AI smluvní zákaz tréninku a smluvní záruky bezpečnosti odpovídající Příloze 2. 9.4 Tvůrce může používání AI funkcí ve svém účtu vypnout v nastavení; vypnutí má účinek na nově vygenerované výstupy. Stávající výstupy v záznamech zůstávají dostupné jako data Tvůrce. 9.5 Pro účely Nařízení EU o umělé inteligenci (2024/1689) jsou aktuální AI funkce klasifikovány jako systémy s minimálním rizikem. Provozovatel sleduje vývoj klasifikace a v případě, že některé funkce budou zařaditelné do vyšší rizikové kategorie, oznámí to Tvůrci s předstihem podle čl. 4.
10.1 Smlouva se řídí právem České republiky. V otázkách ochrany údajů má v případě rozporu s Podmínkami přednost tato smlouva. 10.2 Kontakt ve věcech ochrany údajů: hi@creatorbox.cz.
Předmět: provoz platformy a plnění prodejů Tvůrce. Doba: po dobu trvání účtu Tvůrce. Povaha a účel: ukládání, doručování produktů, vyřizování objednávek, transakční e-maily, podpora, případně AI inference dle čl. 9. Kategorie subjektů: Kupující Tvůrce. Kategorie údajů: identifikační a kontaktní údaje (jméno, e-mail), údaje o objednávce, IP adresa; platební údaje zpracovává Stripe jako samostatný správce.
Šifrování přenosu (TLS 1.2+) a šifrování dat v klidu (at-rest, AES-256). Řízení přístupů a oprávnění; více rolí uživatelů; vícefaktorové ověření (TOTP/WebAuthn) povinné pro účty s administrátorskou rolí. Oddělení prostředí (produkce / staging / test) a omezený přístup k produkčním datům jen pro nezbytné role. Pravidelné zálohování (denní inkrementální, týdenní plné, retence 30 dní). Monitoring a logování přístupů (audit log); uchování logů 90 dní. Smluvní zavázání dalších zpracovatelů odpovídajícími povinnostmi (DPA + SCC u USA poskytovatelů). Proces správy zranitelností (vulnerability management) a bezpečnostní aktualizace závislostí. Hosting na serverech v EU/EEA. Plán reakce na bezpečnostní incidenty s povinností oznámení Tvůrci do 48 hodin (čl. 6).
Jmenný seznam a popis je veřejně dostupný na stránce Zpracovatelé (creatorbox.cz/zpracovavame). Aktuální seznam (k datu účinnosti této DPA) zahrnuje pouze poskytovatele, kterým jsou skutečně předávány osobní údaje Kupujících Tvůrce: hosting (Hetzner Online GmbH, EU/EEA), CDN a ochrana sítě (Cloudflare), úložiště souborů (Cloudflare R2), platební služby (Stripe Payments Europe, Irsko), e-mail (Mailgun, EU region) a, pokud Tvůrce aktivuje volitelnou AI funkci, poskytovatele AI inference. Interní nástroje Provozovatele (vlastní e-mail, chat, anonymní analytika) zpracovateli ve smyslu čl. 28 odst. 4 GDPR nejsou. Změny se řídí čl. 4.