Přeskoč na hlavní obsah
OpenAI

Updated: 1. prosince 2025

Dodatek o zpracování údajů OpenAI

Stáhnout PDF(otevře se v novém okně)

Datum účinnosti: 1. ledna 2026

(Zobrazit předchozí dodatek o zpracování údajů)

Tento dodatek o zpracování údajů OpenAI („DPA“) doplňuje smlouvu o poskytování služeb OpenAI („Smlouva“), která upravuje používání Služeb, je do ní začleněn a je uzavřen k datu účinnosti mezi výše uvedeným zákazníkem („Zákazník“) a společností OpenAI OpCo, LLC, jejím jménem, případně jménem jejích přidružených společností, pokud Zákazník nesídlí v zemi Evropského hospodářského prostoru nebo ve Švýcarsku; v takovém případě je uzavřen se společností OpenAI Ireland Ltd., jejím jménem, případně jménem jejích přidružených společností, dle situace („OpenAI“). Výrazy s velkým počátečním písmenem, které nejsou definovány v DPA, mají význam uvedený ve Smlouvě. V tomto DPA se OpenAI a zákazník jednotlivě označují jako „Strana“ a společně jako „Strany“. Zákazník prohlašuje, že je oprávněn tuto Smlouvu uzavřít, a pokud Smlouvu uzavírá za subjekt, že má právní pravomoc tento subjekt zavazovat. Zákazník vyjadřuje souhlas s touto Smlouvou kliknutím na tlačítko Souhlasím, přijetím Objednávkového formuláře nebo používáním Služeb.

1. Detaily.

  • 1.1 Rozsah a role. V rámci poskytování Služeb Zákazníkovi podle Smlouvy může společnost OpenAI zpracovávat Údaje Zákazníka jménem Zákazníka. OpenAI působí jako Zpracovatel údajů jménem Zákazníka a tento DPA upravuje takové zpracování.
  • 1.2 Podrobnosti zpracování. OpenAI bude zpracovávat Údaje Zákazníka pouze za účelem poskytování Služeb Zákazníkovi podle Smlouvy a tohoto DPA. Podrobnosti o povaze, trvání, typech Údajů Zákazníka a kategoriích Subjektů údajů, které jsou zahrnuty, jsou uvedeny v Příloze 1 (Podrobnosti o zpracování) tohoto DPA. Společnost OpenAI i Zákazník se zavazují, že v souvislosti se Službami budou dodržovat své příslušné povinnosti podle Zákonů o ochraně osobních údajů.

2. Povinnosti OpenAI.

  • 2.1 Pokyny Zákazníka. Strany souhlasí, že tento DPA, Smlouva (včetně Objednávkového formuláře) a jakékoli pokyny poskytnuté prostřednictvím konfiguračních nástrojů a dalších nástrojů v rámci Služeb, které OpenAI zpřístupňuje, představují dokumentované pokyny Zákazníka týkající se zpracování Údajů Zákazníka společností OpenAI („Pokyny Zákazníka“). OpenAI bude zpracovávat Údaje Zákazníka pouze v souladu s Pokyny Zákazníka, pokud to nevyžadují platné zákony, kterým OpenAI podléhá; v takovém případě bude OpenAI o tomto požadavku Zákazníka informovat před zpracováním, pokud to není zákonem zakázáno.
  • 2.2 Oznámení Zákazníkovi. Společnost OpenAI bude Zákazníka neprodleně písemně informovat, pokud podle jejího názoru pokyn Zákazníka porušuje Zákony o ochraně osobních údajů. Společnost OpenAI bude v zákonem povoleném rozsahu informovat Zákazníka, pokud společnost OpenAI obdrží právně závaznou žádost o zpřístupnění Údajů Zákazníka od orgánu činného v trestním řízení.
  • 2.3 Důvěrnost. Společnost OpenAI zajistí, aby se všechny osoby, které jsou společností OpenAI oprávněny zpracovávat Údaje Zákazníka, zavázaly k mlčenlivosti nebo aby měly příslušnou zákonnou povinnost mlčenlivosti.
  • 2.4 Žádosti subjektu údajů. Společnost OpenAI bude v zákonem povoleném rozsahu informovat Zákazníka, pokud OpenAI obdrží žádost o uplatnění práv subjektu údajů podle Zákonů o ochraně osobních údajů („Žádost subjektu údajů“) ve vztahu k Údajům Zákazníka.  Společnost OpenAI nebude reagovat na žádnou takovou žádost bez předchozího písemného souhlasu Zákazníka, s výjimkou toho, že Zákazník zmocňuje společnost OpenAI k přesměrování Žádostí subjektů údajů, pokud je to nezbytné, aby mohl Zákazník reagovat přímo. S ohledem na povahu zpracování bude společnost OpenAI Zákazníkovi nápomocna zavedením vhodných technických a organizačních opatření, pokud to bude možné, aby mohl Zákazník reagovat na Žádosti subjektů údajů.
  • 2.5 Zabezpečení. Společnost OpenAI zavede a bude udržovat přiměřená a vhodná organizační a technická bezpečnostní opatření na ochranu Údajů Zákazníka, jak je uvedeno ve Smlouvě.
  • 2.6 Pomoc Zákazníkovi. Společnost OpenAI poskytne Zákazníkovi s ohledem na povahu zpracování a informace, které má k dispozici, přiměřenou pomoc, aby mu pomohla splnit jeho povinnosti vyplývající ze Zákonů o ochraně údajů, včetně případného vypracování posouzení vlivu na ochranu údajů v souvislosti se zpracováním Údajů Zákazníka společností OpenAI a případné konzultace Zákazníka s dozorovým úřadem příslušným pro takové zpracování, pokud je taková konzultace vyžadována Zákony o ochraně údajů.
  • 2.7 Porušení zabezpečení osobních údajů. Společnost OpenAI oznámí Zákazníkovi jakékoli Porušení zabezpečení osobních údajů bez zbytečného odkladu poté, co se o něm dozví. OpenAI poskytne Zákazníkovi přiměřenou pomoc, aby mu pomohla dodržovat jeho povinnosti podle Zákonů o ochraně osobních údajů v souvislosti s takovým Porušením zabezpečení osobních údajů.
  • 2.8 Posouzení souladu. Na základě přiměřené písemné žádosti Zákazníka a v rozsahu vyžadovaném Zákony o ochraně osobních údajů: (i) ne častěji než jednou ročně, poskytne OpenAI Zákazníkovi zásady ochrany osobních údajů a bezpečnosti společnosti OpenAI a další informace nezbytné k prokázání souladu s povinnostmi společnosti OpenAI podle tohoto DPA; a (ii) za předpokladu, že Strany mají uzavřenou příslušnou dohodu o důvěrnosti, umožní a přispěje k auditům nebo inspekcím prováděným Zákazníkem nebo jeho jménem, a to výhradně na náklady Zákazníka.  Takový audit nebo kontrola musí být: (A) provedeny způsobem, který co nejméně narušuje činnost společnosti OpenAI; (B) nezbytné k potvrzení, že společnost OpenAI zpracovává Údaje Zákazníka způsobem, který je v souladu s tímto DPA; a (C) prováděny nejvýše jednou ročně. Pokud to Zákony o ochraně osobních údajů povolují, může OpenAI místo toho zpřístupnit Zákazníkovi shrnutí zpráv o auditu týkajících se dodržování tohoto DPA OpenAI. Takové výsledky a dokumentace, včetně výsledků jakýchkoli auditů nebo inspekcí, budou důvěrnými informacemi společnosti OpenAI.
  • 2.9 Zapojení dílčích zpracovatelů. Zákazník tímto uděluje společnosti OpenAI obecné zmocnění k zapojení dílčích zpracovatelů uvedených v seznamu dílčích zpracovatelů do zpracování Údajů Zákazníka v souvislosti se Službami. Společnost OpenAI bude Zákazníka informovat o jakýchkoli změnách v seznamu dílčích zpracovatelů prostřednictvím příspěvku na blogu, oznámení v rámci Služeb nebo jiným přiměřeným způsobem, případně prostřednictvím e-mailu, pokud se Zákazník přihlásí k odběru e-mailových oznámení na stránkách seznamu dílčích zpracovatelů. Zákazník může vznést námitku proti použití takového dalšího dílčího zpracovatele do 30 dnů od obdržení oznámení o změně podle pokynů uvedených v seznamu dílčích zpracovatelů nebo kontaktováním privacy@openai.com. V takovém případě bude OpenAI spolupracovat se Zákazníkem na řešení jeho obav a nabídne komerčně přiměřené alternativy nebo řešení. Pokud žádná z alternativ nebo řešení není podle přiměřeného úsudku OpenAI komerčně proveditelná, nebo pokud námitky nebyly vyřešeny ke spokojenosti stran do 30 dnů od obdržení oznámení o námitce Zákazníka OpenAI, může kterákoli Strana ukončit Smlouvu nebo jakékoli Objednávkové formuláře či používání Služeb, které nelze poskytovat bez využívání nového dílčího zpracovatele. V takovém případě budou Zákazníkovi vráceny veškeré příslušné předem zaplacené poplatky v rozsahu, v jakém se vztahují na období nebo podmínky následující po datu takového ukončení.
  • 2.10 Povinnosti dílčích zpracovatelů. Společnost OpenAI uzavře s každým dílčím zpracovatelem smluvní ujednání, která mu ukládají povinnosti srovnatelné s povinnostmi uloženými společnosti OpenAI podle tohoto DPA. S výhradou omezení odpovědnosti obsažených ve Smlouvě zůstane OpenAI odpovědná za jednání a opomenutí svých dílčích zpracovatelů ve stejném rozsahu, v jakém by byla odpovědná podle tohoto DPA, kdyby taková jednání nebo opomenutí provedla sama.
  • 2.11 Vrácení nebo smazání údajů. Po vypršení nebo ukončení Smlouvy společnost OpenAI na pokyn Zákazníka vrátí nebo vymaže Údaje Zákazníka a jejich existující kopie, ledaže je uchovávání Údajů Zákazníka vyžadováno platnými zákony; v takovém případě je společnost OpenAI izoluje a ochrání před jakýmkoli dalším zpracováním s výjimkou rozsahu vyžadovaného platnými zákony.

3. Povinnosti Zákazníka.

  • 3.1 Oznámení a oprávnění. Zákazník prohlašuje, zaručuje a zavazuje se, že poskytl veškerá nezbytná oznámení a že má a bude mít po celou dobu platnosti veškerá nezbytná práva, souhlasy a oprávnění v rozsahu požadovaném Zákony o ochraně údajů, aby mohl poskytovat Údaje Zákazníka společnosti OpenAI a aby mohl společnost OpenAI zmocnit ke zpracování Údajů Zákazníka v souvislosti se Smlouvou, včetně tohoto DPA.
  • 3.2 Spolupráce. Zákazník by měl přiměřeně spolupracovat se společností OpenAI, aby jí pomohl při plnění jakýchkoli jejích povinností podle platných Zákonů o ochraně osobních údajů.
  • 3.3 Konfigurace. Aniž jsou dotčeny bezpečnostní povinnosti společnosti OpenAI uvedené v článku 2.5 tohoto DPA, Zákazník bere na vědomí a souhlasí s tím, že je odpovědný za určité konfigurace a rozhodnutí o návrhu Služeb a za provádění těchto konfigurací a rozhodnutí o návrhu (např. doby uchovávání, mazání atd.) způsobem, který je v souladu s platnými Zákony o ochraně osobních údajů.

4. Předávání osobních údajů do zahraničí.

  • 4.1 Údaje z EHP a Švýcarska. Údaje Zákazníka zpracovávané společností OpenAI podle tohoto DPA mohou spadat do působnosti Zákonů o ochraně osobních údajů Evropského hospodářského prostoru nebo Švýcarska („Údaje z EHP a Švýcarska“). Bez ohledu na to, která smluvní strana OpenAI je podle tohoto DPA příslušná, Zákazník tímto instruuje společnost OpenAI Ireland Limited, aby zpracovávala jakékoli Údaje z EHP a Švýcarska v souladu s tímto DPA. V rozsahu, v jakém OpenAI Ireland Limited provádí přenos Údajů z EHP a Švýcarska na jiné přidružené společnosti OpenAI nebo třetí strany mimo Evropský hospodářský prostor nebo Švýcarsko za účelem poskytování Služeb, bude tak činit na základě dohod obsahujících standardní smluvní doložky (SCC) zajišťující odpovídající záruky pro ochranu Údajů Zákazníka nebo na základě rozhodnutí o odpovídající ochraně vydaného Evropskou komisí podle článku 45 GDPR.
  • 4.2 Údaje ze Spojeného království. Údaje zákazníků zpracovávané společností OpenAI podle tohoto DPA mohou spadat do působnosti Zákonů o ochraně osobních údajů Spojeného království („Údaje ze Spojeného království“). Bez ohledu na příslušnou smluvní stranu OpenAI podle této DPA tímto Zákazník instruuje společnost OpenAI OpCo, LLC, aby zpracovávala jakékoli Údaje ze Spojeného království v souladu s tímto DPA a s SCC ve znění Dodatku UK, které se považují za uzavřené (a jsou tímto odkazem začleněny do tohoto DPA) a doplněné, jak je popsáno v Příloze 1.

5. Další požadavky.

V rozsahu, v jakém se uplatňují Zákony USA o ochraně osobních údajů:

  • 5.1 OpenAI souhlasí s tím, že (a) neposkytne Zákazníkovi peněžní ani jinou hodnotnou protihodnotu výměnou za Údaje Zákazníka. Strany uznávají a souhlasí s tím, že Zákazník neprodal (jak je tento termín definován Zákony USA o ochraně soukromí) Údaje Zákazníka společnosti OpenAI; (b) neprodávat (jak je tento termín definován Zákony USA o ochraně soukromí) ani nesdílet (jak je tento termín definován CCPA) Osobní údaje; (c) v rozsahu, v jakém Zákazník povolí nebo instruuje OpenAI zpracovávat Údaje Zákazníka podléhající Zákonům USA o ochraně soukromí v anonymizované formě jako součást Služeb, OpenAI (i) přijme přiměřená opatření k zabránění tomu, aby takové anonymizované údaje byly použity k odvození informací o konkrétní fyzické osobě nebo domácnosti, nebo aby byly jinak spojeny s nimi; (ii) veřejně se zaváže udržovat a používat takové anonymizované údaje v této formě a nepokoušet se o jejich znovuidentifikaci, s výjimkou případů povolených Zákony USA o ochraně soukromí; a (iii) před sdílením anonymizovaných údajů s jakoukoli jinou stranou, včetně dílčích zpracovatelů, smluvně zaváže všechny takové příjemce k dodržování požadavků tohoto ustanovení (c)(i)-(iii); a (d) kde Údaje Zákazníka podléhají CCPA (i) neuchovávat, nepoužívat, nezveřejňovat ani jinak nezpracovávat Údaje Zákazníka, kromě případů nezbytných pro obchodní účely specifikované ve Smlouvě, mimo jiné včetně toho, jak je uvedeno v Příloze 1 tohoto DPA; (ii) neuchovávat, nepoužívat, nezveřejňovat ani jinak nezpracovávat Údaje Zákazníka mimo přímý obchodní vztah mezi OpenAI a Zákazníkem; (iii) nekombinovat žádné Údaje Zákazníka s Osobními údaji, které OpenAI obdrží od jakékoli jiné třetí strany nebo jejím jménem nebo které OpenAI shromáždí z vlastních interakcí s jednotlivci, za předpokladu, že OpenAI může takto kombinovat Údaje Zákazníka pro účel povolený podle CCPA, pokud k tomu Zákazník dá pokyn nebo jak je to jinak povoleno CCPA; (iv) bez zbytečného odkladu informovat Zákazníka, pokud OpenAI zjistí, že již nemůže plnit své povinnosti podle CCPA; a (v) pokud Zákazník důvodně věří, že zpracování Údajů Zákazníka společností OpenAI není v souladu s požadavky CCPA a po důvodném oznámení Zákazníka o tom OpenAI, budou Strany spolupracovat v dobré víře na nápravě problému, nebo pokud po společné práci Zákazník důvodně konstatuje, že problém nelze napravit, OpenAI přestane zpracovávat dotčené Údaje Zákazníka na základě písemného pokynu Zákazníka.
  • 5.2 Zákazník souhlasí, že nepodnikne žádné kroky, které by (a) způsobily, že by poskytnutí Údajů Zákazníka společnosti OpenAI bylo považováno za „prodej“ podle Zákonů USA o ochraně osobních údajů nebo za „sdílení“ podle CCPA (nebo ekvivalentní koncepty podle Zákonů USA o ochraně osobních údajů); nebo (ii) způsobily, že by společnost OpenAI nebyla považována za „poskytovatele služeb“ podle CCPA nebo za „zpracovatele“ podle Zákonů USA o ochraně osobních údajů.

6. Definice.

Údaje Zákazníka“ znamenají osobní údaje, které OpenAI zpracovává jménem Zákazníka za účelem poskytování Služeb.

Správce údajů“ má význam přiřazený pojmu „správce“ (nebo jinému obdobnému pojmu) podle Zákonů o ochraně osobních údajů.

Zpracovatel údajů“ má význam přiřazený pojmu „zpracovatel“ (nebo jiný obdobný termín) podle Zákonů o ochraně osobních údajů.

Zákony o ochraně osobních údajů“ znamenají zákony o ochraně soukromí a ochraně osobních údajů, které se vztahují na zpracování Údajů Zákazníka společností OpenAI v souvislosti se Službami. 

Subjekt údajů“ má význam, který je pojmu „subjekt údajů“ (nebo jinému obdobnému pojmu) přiřazen podle Zákonů o ochraně osobních údajů.

GDPR“ znamená nařízení (EU) 2016/679 Evropského parlamentu a Rady ze dne 27. dubna 2016.

Osobní údaje“ mají význam přiřazený pojmu „osobní údaje“ nebo „osobní informace“ (nebo jiný obdobný termín) podle Zákonů o ochraně osobních údajů.

Porušení zabezpečení osobních údajů“ znamená porušení zabezpečení vedoucí k náhodnému nebo nezákonnému zničení, ztrátě, změně, neoprávněnému zpřístupnění nebo přístupu k údajům zákazníka, které jsou uloženy, přenášeny nebo jinak zpracovávány společností OpenAI, jejími dílčími zpracovateli nebo jakoukoli jinou třetí stranou jednající jménem OpenAI.

Zpracování“ má význam přiřazený pojmu „zpracování“ (nebo jinému obdobnému pojmu) podle Zákonů o ochraně osobních údajů.

SCCs“ znamená standardní smluvní doložky pro předávání osobních údajů do třetích zemí přijaté Evropskou komisí dne 4. června 2021 (ve znění případných změn, aktualizací nebo nahrazení).

Dílčí zpracovatelé“ znamenají dílčí zpracovatele, které OpenAI pověřila zpracováním Údajů Zákazníka v souvislosti se Službami a kteří jsou uvedeni v seznamu dílčích zpracovatelů.

Seznam dílčích zpracovatelů“ znamená seznam dostupný na následující adrese https://platform.openai.com/subprocessors(otevře se v novém okně).

Dodatek UK“ znamená dodatek Spojeného království k EU SCCs vydaný komisařem pro informace podle sekce 119A(1) zákona o ochraně údajů z roku 2018.

Zákony USA o ochraně osobních údajů“ znamenají podmnožinu zákonů o ochraně osobních údajů platných pro obyvatele Spojených států, mimo jiné včetně kalifornského zákon o ochraně soukromí spotřebitelů („CCPA“).

Příloha 1

Podrobnosti zpracování

1. Povaha a účel:

Poskytování Služeb podle Smlouvy.

2. Doba trvání:

Doba trvání a čas potřebný poté, aby Strany splnily své příslušné povinnosti po skončení Doby trvání, včetně odstranění údajů.

3. Kategorie Údajů Zákazníka:

Zákazník může odeslat Osobní údaje do Služeb, přičemž kategorie těchto údajů budou záviset na tom, jak Zákazník Služby využívá, což je určeno a kontrolováno Zákazníkem podle jeho vlastního uvážení. Mohou však zahrnovat, ale nejsou omezeny na jména, kontaktní údaje, demografické údaje nebo jakékoli jiné informace poskytnuté koncovými uživateli Zákazníka v nestrukturovaných datech.

4. Kategorie subjektů údajů:

Subjekty údajů mohou zahrnovat mimo jiné zaměstnance zákazníka, zákazníky, dodavatele a obecně koncové uživatele.

5. Přenos citlivých údajů (pokud je to relevantní):

Citlivé údaje, které se předávají (v příslušných případech), a uplatněná omezení nebo záruky, jež plně zohledňují povahu údajů a související rizika, například přísné účelové omezení, omezení přístupu (včetně přístupu pouze pro zaměstnance, kteří absolvovali specializované školení), vedení záznamu o přístupu k údajům, omezení pro další předávání nebo dodatečná bezpečnostní opatření.

Žádné citlivé údaje nejsou určeny k přenosu, pokud je uživatel neočekávaně nezahrne do nestrukturovaných dat.

6. Frekvence:

Četnost předávání (např. zda jsou údaje předávány jednorázově nebo průběžně).

Průběžně v závislosti na využívání Služeb Zákazníkem.

7. Předávání dílčím zpracovatelům:

Podle článku 2.9 DPA budou dílčí zpracovatelé zpracovávat Údaje Zákazníka, jak je nezbytné k poskytování Služeb. Takové zpracování bude probíhat po dobu platnosti Smlouvy, pokud se písemně nedohodne jinak.

8. Informace o SSD pro přenos Údajů Spojeného království podle oddílu 4.2:

  • Modul 2 (od správce ke zpracovateli) SCC se použije, když je Zákazník Správcem údajů a OpenAI zpracovává Údaje Zákazníka jako Zpracovatel údajů. Modul tři (od zpracovatele k dílčímu zpracovateli) SCC se použije, když je Zákazník zpracovatelem údajů a OpenAI zpracovává Údaje Zákazníka jako dílčí zpracovatel.
  • 8.2 Pro každý modul SCC, kde je to relevantní, platí následující: (i) Nepovinná doložka o dokování v článku 7 se nepoužije; (ii) V článku 9 se použije možnost 2 (obecné písemné oprávnění) a minimální doba pro předchozí oznámení změn dílčího zpracovatele je stanovena v oddíle 2.9 DPA; (iii) V článku 11 se nepoužije nepovinné znění; (iv) Všechny hranaté závorky v článku 13 se tímto odstraňují; (v) V článku 17 (možnost 1) budou SCC řízeny právem Anglie a Walesu; (vi) V článku 18(b) budou spory řešeny před soudy Anglie a Walesu; (vii) Tato Příloha 1 obsahuje informace požadované v příloze I a příloze III SCC; (viii) Oddíl 2.5 (Bezpečnost) DPA obsahuje informace požadované v příloze II SCC, (ix) příslušným dozorovým úřadem je Úřad komisaře pro informace („ICO“).
  • 8.3 Vývozce údajů: Zákazník podle Smlouvy; Dovozce údajů: OpenAI OpCo, LLC, 1455 3rd Street, San Francisco, CA 94158, pověřenec pro ochranu osobních údajů, privacy@openai.com.

Uzavřít smlouvu o zpracování údajů(otevře se v novém okně)