INFORMACE O MOŽNOSTECH EXPORTU DAT A PROCESU ZMĚNY POSKYTOVATELE (DATA ACT)

Tato stránka poskytuje informace požadované nařízením Evropského parlamentu a Rady (EU) 2023/2854 o harmonizovaných pravidlech pro spravedlivý přístup k datům a jejich využívání („Data Act“), zejména:

• podrobnou specifikaci všech kategorií dat a digitálních aktiv, která lze přenést během procesu změny poskytovatele, včetně všech exportovatelných dat,
• úplnou specifikaci kategorií dat souvisejících s interním fungováním služby, která jsou z exportovatelných dat vyloučena,
• informace o dostupných postupech pro změnu poskytovatele služeb zpracování dat a přenos dat, včetně dostupných metod přechodu, přenosových formátů a technických či jiných omezení známých společnosti wflow,
• datové struktury a formáty, jakož i relevantní standardy a otevřené specifikace interoperability, ve kterých jsou exportovatelná data podle čl. 25 odst. 2 písm. e) Data Act dostupná,
• informace o jurisdikci, které podléhá ICT infrastruktura využívaná ke zpracování dat jednotlivých služeb,
• obecný popis technických, organizačních a smluvních opatření přijatých společností wflow za účelem zabránění mezinárodnímu přístupu orgánů veřejné moci k neosobním datům uloženým v Evropské unii nebo jejich přenosu mimo EU, pokud by takový přístup či přenos mohl být v rozporu s právem EU nebo právem příslušného členského státu.

Práva popsaná na této stránce se uplatní pouze tehdy a v takovém rozsahu, v jakém je služba poskytována jako služba zpracování dat ve smyslu Data Act. Pokud poskytování služby nesplňuje definici služby zpracování dat podle Data Act, tato práva zákazníkovi nevznikají.

1. DOSTUPNÉ METODY ZMĚNY POSKYTOVATELE A PŘENOSU DAT

Zákazníci mohou přejít k jinému poskytovateli služeb zpracování dat nebo migrovat na vlastní on-premise infrastrukturu. Pro tento účel jsou k dispozici následující metody:

Export prostřednictvím API

Zákazníci mohou využít API rozhraní wflow. Dokumentace API je dostupná online.

Asistovaný export a podpora migrace

Na vyžádání může společnost wflow poskytnout podporu při migraci v rozsahu popsaném v tomto dokumentu.

2. TECHNICKÁ A JINÁ ZNÁMÁ OMEZENÍ

Přestože se wflow snaží zajistit co nejplynulejší změnu poskytovatele a přenositelnost dat, mohou se uplatnit následující omezení:

Závislosti na službách třetích stran

Pokud zákazník využívá integrace s nástroji třetích stran, mohou data uložená v těchto nástrojích podléhat jejich vlastním omezením týkajícím se exportu, formátů nebo dostupnosti API. wflow nemůže garantovat přenositelnost dat, která jsou zpracovávána výhradně v prostředí těchto třetích stran.

Výkonnostní a kapacitní limity

Exporty velkých objemů dat nebo časté hromadné exporty mohou podléhat omezením (rate limits), plánování nebo dávkovému zpracování, aby byla zachována stabilita a výkon služby pro všechny zákazníky.

Konfigurace zákazníka a cílového prostředí

Úspěšný import do cílového prostředí (jiného poskytovatele nebo vlastního systému) závisí na technických možnostech, konfiguraci a datovém modelu tohoto prostředí. wflow nemá kontrolu nad omezeními cílového systému a nenese za ně odpovědnost.

3. KATEGORIE EXPORTOVATELNÝCH DAT A DIGITÁLNÍCH AKTIV, DATOVÉ STRUKTURY A FORMÁTY

3.1 Kategorie exportovatelných dat a digitálních aktiv

Zákazník má možnost získat svá data ze služby prostřednictvím veřejného API rozhraní, které je dostupné online a plně zdokumentované. Toto rozhraní umožňuje bezpečné a systematické stahování dat ze služby wflow bez nutnosti individuální součinnosti společnosti wflow.

Zjednodušeně řečeno, API funguje jako standardizovaný způsob, jak si vyžádat data ze služby a následně je využít jinde – například při přechodu k jinému poskytovateli nebo při migraci na vlastní infrastrukturu.

Jak export dat funguje

Proces exportu lze popsat následovně:

1. Zákazník získá přístup k API (obvykle pomocí přístupového klíče).
2. Vybere data, která chce stáhnout (např. dokumenty nebo informace o jejich zpracování).
3. Data jsou postupně stahována ze služby a ukládána pro další využití.
4. Data lze následně importovat do jiného systému nebo předat novému poskytovateli.

Celý proces může probíhat automatizovaně, například pomocí skriptu nebo integračního nástroje.

Jaká data lze exportovat

Prostřednictvím API lze získat zejména:

• dokumenty uložené ve službě,
• informace o těchto dokumentech (např. typ, stav nebo identifikace),
• data vytěžená z dokumentů,
• přílohy dokumentů,
• informace o průběhu jejich zpracování.

Přesný seznam dostupných dat je uveden v API dokumentaci.

V jaké podobě jsou data dostupná

Většina dat je poskytována ve strukturovaném formátu JSON nebo XML, které jsou běžně používané a snadno přenositelné do jiných systémů.

Export může zahrnovat také přílohy dokumentů (např. PDF nebo obrázky). Ty jsou poskytovány prostřednictvím samostatných API volání ve formě binárních dat, která lze uložit v jejich původní podobě bez další konverze.

Klíčové vlastnosti

• nezávislost na společnosti wflow – zákazník si data může stáhnout samostatně,
• inkrementální export – data lze stahovat průběžně i ve větších objemech,
• možnost automatizace – export lze nastavit tak, aby probíhal automaticky.

Další informace

Podrobné informace o dostupných datech a způsobu jejich získání jsou uvedeny v dokumentaci:

• https://api.wflow.com/index.html
• https://developers.wflow.com/docs/wflowapidoc

3.2 Kategorie dat, které nelze exportovat

Konfigurace napojení bankovních účtů

Jedná se o specifické parametry představující bezpečnostní riziko a přímo navázané na systémovou integraci na technické úrovni. Nejsou vlastnictvím zákazníka.

Konfigurace napojení ERP systému

Tato data nejsou vlastnictvím zákazníka.

BI data

Z důvodu ochrany duševního vlastnictví společnosti wflow.

Konfigurace automatizačních workflow

Z důvodu ochrany duševního vlastnictví společnosti wflow.

Nastavení sběrných e-mailových adres

Tato data nejsou vlastnictvím zákazníka.

Uživatelská hesla a autentizační klíče API klientů

Z bezpečnostních důvodů na straně zákazníka i společnosti wflow.

Zákazníci nemají nárok na data nebo digitální aktiva chráněná právy duševního vlastnictví společnosti wflow nebo tvořící obchodní tajemství společnosti wflow či třetích stran, zejména na zdrojový nebo strojový kód služby a související dokumentaci, pokud není v tomto dokumentu uvedeno jinak.

4. ICT INFRASTRUKTURA A PŘÍSLUŠNÉ JURISDIKCE

Data jsou ukládána v databázi cloudové platformy Microsoft Azure v Evropské unii (Microsoft Azure North Europe – Irsko), včetně průběžných záloh.

Zálohy jsou automaticky ukládány také do redundantního datového centra Microsoft Azure West Europe – Nizozemsko.

Příslušnou jurisdikcí ve vztahu k primární cloudové infrastruktuře je Irská republika.

5. OPATŘENÍ PROTI NEOPRÁVNĚNÉMU MEZINÁRODNÍMU PŘÍSTUPU ORGÁNŮ VEŘEJNÉ MOCI

Společnost wflow se zavazuje zajistit, aby jakýkoli mezinárodní přístup orgánů veřejné moci k neosobním datům uloženým v EU probíhal v souladu s platným právem Evropské unie a členských států.

wflow zavedla kombinaci technických, organizačních a smluvních opatření určených k prevenci takového přístupu nebo ke zpochybnění požadavků, které by byly v rozporu s právem EU nebo vnitrostátním právem.

Technická opatření

Logické a fyzické oddělení prostředí

Data uložená v EU jsou hostována v datových centrech nacházejících se v EU a jsou logicky oddělena od ostatních prostředí.

Řízení přístupových práv a princip minimálních oprávnění

Přístup k produkčním systémům je přísně řízen, zaznamenáván a omezen pouze na oprávněné osoby podle jejich role a potřeby přístupu.

Šifrování

Data jsou chráněna během přenosu i při uložení pomocí standardních šifrovacích mechanismů odpovídajících průmyslovým standardům v rozsahu podporovaném použitou infrastrukturou a službami.

Tato opatření snižují riziko, že zahraniční orgány veřejné moci získají přímý přístup k datům prostřednictvím poskytovatelů infrastruktury bez využití odpovídajících právních mechanismů.

Organizační a smluvní opatření

Smluvní závazky poskytovatelů

wflow vyžaduje od svých poskytovatelů cloudových a infrastrukturních služeb dodržování platného práva EU a, v rozsahu povoleném právními předpisy, informování o právně závazných požadavcích orgánů veřejné moci na přístup k datům.

Mezi společností wflow a poskytovatelem infrastruktury jsou tam, kde je to relevantní, sjednány také standardní smluvní doložky (SCC).

Interní postupy pro vyřizování žádostí

Pokud společnost wflow obdrží žádost orgánu veřejné moci mimo EU/EHP o přístup k datům uloženým v EU, bude:

• pečlivě posuzovat právní základ takové žádosti,
• ověřovat její soulad s právem EU a příslušným národním právem,
• napadat nebo odmítat žádosti, pokud se důvodně domnívá, že jsou s těmito právními předpisy v rozporu nebo překračují pravomoci žadatele.

Transparentnost vůči zákazníkům

Pokud tomu nebrání právní překážky, bude wflow bez zbytečného odkladu informovat dotčené zákazníky o takové žádosti a o dotčených datech, aby mohli přijmout vhodná opatření k ochraně svých zájmů.

‍

INFORMATION ON DATA EXPORT OPTIONS AND THE PROVIDER SWITCHING PROCESS (DATA ACT)

This page provides the information required under Regulation (EU) 2023/2854 of the European Parliament and of the Council on harmonised rules on fair access to and use of data (the “Data Act”) concerning:

• a detailed specification of all categories of data and digital assets that can be transferred during the provider-switching process, including all exportable data,
• an exhaustive specification of the categories of data specific to the internal functioning of the Service that are excluded from exportable data,
• information on the available procedures for switching providers of data processing services and transferring data, including available switching methods, transfer formats, and technical or other limitations known to wflow,
• data structures and formats, as well as relevant standards and open interoperability specifications, in which exportable data referred to in Article 25(2)(e) of the Data Act is available,
• information on the jurisdiction to which the information and communication technology infrastructure used for processing data is subject,
• a general description of the technical, organisational, and contractual measures implemented by wflow to prevent international governmental access to or transfer of non-personal data held in the European Union where such access or transfer could conflict with Union law or the national law of the relevant Member State.

The rights described on this page apply if and to the extent that the Service is provided as a data processing service within the meaning of the Data Act. To the extent that the Service does not meet the definition of a data processing service under the Data Act, these rights do not arise for the Customer.

1. AVAILABLE METHODS FOR PROVIDER SWITCHING AND DATA TRANSFER

Customers may switch to another provider of data processing services or migrate to their own on-premise infrastructure. The following methods are available for this purpose.

Export via API

Customers may use the wflow API interface. Documentation is available online.

Assisted Export and Migration Support

Upon request, wflow may provide migration assistance to the extent described in this document.

2. TECHNICAL AND OTHER KNOWN LIMITATIONS

Although wflow strives to make provider switching and data portability as smooth as possible, the following limitations may apply.

Dependencies on Third-Party Services

If the Customer uses integrations with third-party tools, data stored in those tools may be subject to their own limitations regarding export options, formats, or API availability. wflow cannot guarantee the portability of data that is processed exclusively within such third-party environments.

Performance and Capacity Limits

High-volume or frequent bulk exports may be subject to limitations (rate limits), scheduling, or batch processing in order to maintain the stability and performance of the Service for all customers.

Customer Configuration and Target Environment

Successful import into the target environment (another provider or an on-premise system) depends on the technical capabilities, configuration, and data model of that environment. wflow does not control and is not responsible for limitations on the side of the target system.

3. CATEGORIES OF EXPORTABLE DATA AND DIGITAL ASSETS, DATA STRUCTURES AND FORMATS

3.1 Categories of Exportable Data and Digital Assets

The Customer may obtain its data from the Service through a public API that is available online and fully documented. This interface enables secure and systematic downloading of data from the wflow Service without requiring individual cooperation from wflow.

In simple terms, the API acts as a standardised method for requesting data from the Service and using it elsewhere—for example, when switching to another provider or migrating to an on-premise solution.

How Data Export Works

The export process can be described as follows:

1. The Customer obtains access to the API (typically using an access key).
2. The Customer selects which data to download (e.g., documents or information about their processing).
3. The data is gradually downloaded from the Service and stored for further use.
4. The data can then be imported into another system or provided to a new service provider.

The entire process can run automatically, for example through a script or integration tool.

What Data Can Be Exported

Using the API, Customers can obtain in particular:

• documents stored in the Service,
• information about those documents (e.g., type, status, or identifiers),
• data extracted from documents,
• document attachment files,
• information about the progress of document processing.

The exact list of available data is provided in the API documentation.

Data Formats

Most data is provided in structured JSON or XML formats, which are commonly used and easily portable to other systems.

Exports may also include document attachment files (such as PDFs or images). These are provided through separate API calls as binary data (i.e., the original file content) and can be stored without further conversion.

Key Characteristics

• No dependency on wflow – Customers can export their data independently.
• Incremental export – Data can be downloaded continuously, including large volumes.
• Automation support – Export processes can be automated.

Additional Information

Detailed information about available data and export procedures is provided in the documentation:

• https://api.wflow.com/index.html
• https://developers.wflow.com/docs/wflowapidoc

3.2 Categories of Data That Cannot Be Exported

Bank Account Connection Configuration

These are specific parameters that present a security risk and are directly tied to technical system integrations. They are not the property of the Customer.

ERP System Connection Configuration

This data does not belong to the Customer.

BI Data

Protected to safeguard the intellectual property of wflow.

Automation Workflow Configuration

Protected to safeguard the intellectual property of wflow.

Collection Email Settings

This data does not belong to the Customer.

User Passwords and API Client Authentication Keys

Excluded for security reasons affecting both the Customer and wflow.

Please note that Customers are not entitled to receive data or digital assets protected by the intellectual property rights of wflow or constituting trade secrets of wflow or third parties, including, in particular, source code, machine code, or related documentation, unless otherwise stated in this document.

4. ICT INFRASTRUCTURE AND RELEVANT JURISDICTIONS

Data is stored in a database hosted within the Microsoft Azure cloud infrastructure in the European Union (Microsoft Azure North Europe – Ireland), including ongoing backups.

Backups are also automatically stored in a redundant data centre located in Microsoft Azure West Europe – Netherlands.

The relevant jurisdiction applicable to the primary cloud infrastructure is the Republic of Ireland.

5. MEASURES AGAINST UNLAWFUL INTERNATIONAL ACCESS BY PUBLIC AUTHORITIES

wflow is committed to ensuring that any international access by public authorities to non-personal data stored in the EU takes place in accordance with applicable EU and Member State law.

wflow has implemented a combination of technical, organisational, and contractual measures intended to prevent such access or challenge requests that would conflict with EU law or applicable national law.

Technical Measures

Logical and Physical Separation of Environments

Data stored within the EU is hosted in EU-based data centres and is logically separated from other environments.

Access Control and the Principle of Least Privilege

Access to production systems is strictly controlled, logged, and limited to authorised personnel based on role and business necessity.

Encryption

Data is protected both in transit and at rest using industry-standard encryption mechanisms, to the extent supported by the infrastructure and services used.

These measures reduce the risk that foreign public authorities gain direct access to data through infrastructure providers without following appropriate legal procedures.

Organisational and Contractual Measures

Contractual Commitments of Providers

wflow requires its cloud and infrastructure providers to comply with applicable EU law and, where legally permitted, to inform wflow of any legally binding requests from public authorities for access to data.

Where relevant, Standard Contractual Clauses (SCCs) are also agreed between wflow and the infrastructure provider.

Internal Procedures for Handling Requests

If wflow receives a request from a public authority outside the EU/EEA seeking access to data stored in the EU, it will:

• carefully assess the legal basis of the request,
• verify whether the request is compatible with EU law and applicable national law,
• challenge or oppose the request where there is a reasonable belief that it conflicts with such laws or exceeds the authority of the requesting body.

Transparency Toward Customers

Unless prohibited by law, wflow will inform affected Customers without undue delay of such requests and of the data concerned, enabling them to take appropriate measures to protect their interests.

‍

‍