SimplyForms
Zpět

Smlouva o zpracování osobních údajů (DPA)

Verze 1.0 · Účinné od: 23. května 2026

V případě rozporu mezi českou a anglickou verzí je rozhodující česká verze.

Smluvní strany

Správce: Zákazník Služby SimplyForms — fyzická nebo právnická osoba registrovaná v dashboardu Služby (dále jen „Správce" nebo „Zákazník").

Zpracovatel: Adam Todt, IČO 19197438, DIČ CZ8909294592, se sídlem Drahy 1625, 696 42 Vracov, Česká republika (dále jen „Zpracovatel").

Kontakt: privacy@simplyforms.app.

Preambule

Tato Smlouva o zpracování osobních údajů (dále jen „DPA") je uzavřena podle čl. 28 nařízení (EU) 2016/679 (GDPR) a je nedílnou součástí Smlouvy o poskytování služby SimplyForms (Podmínky použití, dále jen „Hlavní smlouva").

DPA se uzavírá automaticky při registraci Účtu Zákazníka zaškrtnutím zvláštního souhlasu „Souhlasím se Smlouvou o zpracování osobních údajů (DPA)". Záznam o přijetí (timestamp, IP, user-agent, verze DPA) je veden Zpracovatelem jako důkaz uzavření.

1. Předmět zpracování

Zpracovatel zpracovává osobní údaje obsažené v formulářových odeslání (Submissions) přijatých přes API Služby SimplyForms na příkaz Správce a relayuje je e-mailem do schránky Správce.

2. Trvání zpracování

Po dobu trvání Hlavní smlouvy.

3. Povaha a účel zpracování

Povaha: přijetí HTTP požadavku s daty formuláře, validace (rate-limit, CAPTCHA, plan limits), přenos e-mailem do schránky Správce, zahození payloadu z operační paměti.

Účel: plnění závazku Zpracovatele relayovat Správcovy formulářová odeslání do jeho e-mailové schránky.

Stateless model: Zpracovatel neukládá obsah Submissions do žádné databáze ani logu. Po doručení e-mailu se payload odstraní z operační paměti.

4. Kategorie dotčených osob

Návštěvníci webů Správce, kteří vyplní a odešlou formulář napojený na Službu SimplyForms (dále jen „Odesílatelé").

5. Kategorie zpracovávaných osobních údajů

Závisí na obsahu formuláře Správce. Typicky:

  • jméno, e-mail, telefonní číslo,
  • adresa, IČO firmy,
  • zpráva / textový obsah,
  • nahrané soubory.

Volitelně (pokud Správce aktivuje opt-in metadata v dashboardu):

  • IP adresa Odesílatele,
  • user-agent,
  • referrer.

Správce se zavazuje NEPOSÍLAT přes Službu zvláštní kategorie osobních údajů dle čl. 9 GDPR (zdraví, rasový/etnický původ, politické názory, náboženské vyznání, sexuální orientace, biometrika, genetické údaje) ani údaje o trestných činech dle čl. 10 GDPR — bez vlastního výslovného souhlasu Odesílatele a dokončené DPIA.

6. Povinnosti Zpracovatele (čl. 28 odst. 3 GDPR)

Zpracovatel se zavazuje:

6.1 Zpracovávat osobní údaje pouze na základě doložených pokynů Správce

Pokyny Správce jsou dány konfigurací Účtu v dashboardu (volba CAPTCHA, webhook, autoresponder, e-mail šablona, atd.) a aktivními API požadavky. Zpracovatel může zpracovávat osobní údaje bez pokynu Správce pouze:

  • v rozsahu nezbytném pro plnění právních povinností,
  • pro zabezpečení Služby (rate-limit, anti-abuse),
  • pro účely informování Správce o relevantních skutečnostech.

6.2 Zachovávat mlčenlivost

Zpracovatel zajistí, že osoby, které mají přístup k osobním údajům, jsou vázány závazkem mlčenlivosti nebo zákonnou povinností mlčenlivosti.

6.3 Bezpečnostní opatření (čl. 32 GDPR)

Zpracovatel implementuje technická a organizační opatření odpovídající úrovni rizika:

  • TLS 1.3 pro veškerou komunikaci,
  • API klíče uložené jako SHA-256 hash,
  • hesla uložená jako bcrypt hash,
  • JWT s krátkou platností + refresh token rotation,
  • princip nejmenších oprávnění,
  • stateless relay — žádné ukládání obsahu Submissions,
  • pravidelné code review,
  • hosting v ISO 27001 certifikovaném datacentru.

6.4 Subzpracovatelé (čl. 28 odst. 2 a 4 GDPR)

Zpracovatel je oprávněn využívat subzpracovatele uvedené v aktuálním seznamu na simplyforms.app/legal/sub-processors. Správce uděluje tímto obecný předchozí souhlas s využíváním těchto subzpracovatelů.

O zamýšlené změně subzpracovatelů (přidání nového nebo nahrazení) Zpracovatel informuje Správce e-mailem na adresu Účtu nejméně 30 dnů předem. Správce má v této lhůtě právo:

  • vznést písemnou námitku doručenou na privacy@simplyforms.app,
  • pokud nedojde k dohodě, vypovědět Hlavní smlouvu ke dni účinnosti změny s poměrným vrácením předem uhrazených Poplatků.

Aktuální subzpracovatelé (ke dni účinnosti této DPA): viz Příloha 1.

6.5 Asistence Správci při výkonu práv subjektů údajů (čl. 28 odst. 3 písm. e) GDPR)

Zpracovatel poskytne Správci na žádost asistenci při vyřizování práv subjektů údajů (přístup, oprava, výmaz, omezení, přenositelnost, námitka) v rozsahu, který je v možnostech Zpracovatele s ohledem na povahu zpracování (stateless model — Zpracovatel obsah Submissions neukládá, asistence se týká primárně metadat a konfigurace).

6.6 Asistence při zabezpečení zpracování, oznamování porušení a DPIA (čl. 28 odst. 3 písm. f) GDPR)

Zpracovatel asistuje Správci při plnění povinností dle čl. 32–36 GDPR.

6.7 Oznámení porušení zabezpečení (čl. 33 odst. 2 GDPR)

Zpracovatel oznámí Správci bez zbytečného odkladu (zpravidla do 48 hodin od zjištění) jakékoli porušení zabezpečení osobních údajů zpracovávaných pro Správce. Oznámení obsahuje:

  • popis povahy porušení,
  • kategorie a přibližný počet dotčených subjektů a záznamů,
  • pravděpodobné důsledky,
  • přijatá nebo navržená opatření.

6.8 Záznamy o činnostech zpracování (čl. 30 odst. 2 GDPR)

Zpracovatel vede interní záznamy o všech kategoriích činností zpracování prováděných jménem Správce.

6.9 Audit (čl. 28 odst. 3 písm. h) GDPR)

Zpracovatel umožňuje Správci a třetímu nezávislému auditorovi provedení auditů zaměřených na soulad zpracování s touto DPA:

  • audit je předem ohlášen nejméně 30 dnů,
  • audit lze provést nejvýše jednou ročně (vyjma situací reálného podezření z porušení),
  • audit nesmí narušit běžný provoz Zpracovatele ani ostatních Správců,
  • auditor je vázán mlčenlivostí (NDA),
  • náklady auditu nese Správce,
  • Zpracovatel může jako alternativu předložit certifikace třetích stran (ISO 27001 hostingu Hetzner, SOC 2 reporty subzpracovatelů kde dostupné), které pokrývají rozsah auditu.

6.10 Výmaz nebo vrácení údajů po ukončení zpracování

Po ukončení Hlavní smlouvy Zpracovatel smaže nebo vrátí Správci veškeré osobní údaje zpracovávané jménem Správce, ledaže právní předpis stanoví uchování. Konkrétně:

  • Submissions: se neuchovávají (stateless model), žádný výmaz není potřeba,
  • Anonymní metriky: budou vymazány po uplynutí 90denní retence,
  • Konfigurační údaje (Účet, e-mail šablony, webhook konfigurace): exportovatelné po dobu 30 dnů, poté smazány,
  • Účetní doklady: uchovávány 10 let dle §31 zák. 563/1991 Sb. — výjimka z výmazu.

7. Povinnosti Správce

Správce se zavazuje:

7.1 Mít právní základ

Mít vlastní platný právní základ podle čl. 6 GDPR (a případně čl. 9) pro každé pole formuláře, jehož data nechává zpracovávat Zpracovatelem.

7.2 Informační povinnost vůči Odesílatelům (čl. 13 GDPR)

Zveřejnit na svém webu vlastní privacy policy a informovat Odesílatele:

  • o své totožnosti jako Správce,
  • o tom, že údaje jsou předány SimplyForms / Adam Todt, IČO 19197438 jako zpracovateli,
  • o všech aktivních volitelných funkcích (webhook metadata, autoresponder, reCAPTCHA, Cloudflare Turnstile) a souvisejících datových tocích.

7.3 Zákaz zvláštních kategorií

Neposílat přes Službu zvláštní kategorie údajů dle čl. 9 GDPR ani údaje o trestných činech dle čl. 10 GDPR bez vlastního výslovného souhlasu Odesílatele a dokončené DPIA.

7.4 Bezpečnost API klíče

Chránit API klíč jako důvěrný; neumísťovat jej do veřejných repozitářů ani klientského JavaScriptu.

7.5 Spolupráce při výmazu / přístupu

Vyřizovat žádosti vlastních Odesílatelů na výkon práv (přístup, výmaz atd.) v zákonných lhůtách; využívat asistence Zpracovatele dle čl. 6.5 této DPA.

7.6 Děti

Pokud cílí Službou na osoby pod 16 let, zajistit souhlas zákonného zástupce dle čl. 8 GDPR.

8. Mezinárodní předání

Subzpracovatelé Zpracovatele uvedení v Příloze 1 jsou primárně v EU. Předání mimo EU u Stripe Payments Europe Ltd. je založeno na:

  • EU–US Data Privacy Framework (Prováděcí rozhodnutí Komise (EU) 2023/1795),
  • doplňkově Standardních smluvních doložkách dle Prováděcího rozhodnutí Komise (EU) 2021/914 Modul 2 (controller-to-processor).

Pokud by Správce sám sídlí mimo EU/EEA, je předání údajů Zpracovatelem Správci kryto SCC 2021/914 Modul 4 (processor-to-controller), které se tímto stávají integrální součástí této DPA.

9. Odpovědnost a limitace

9.1 Strany odpovídají za porušení této DPA v souladu s čl. 82 GDPR a obecnými ustanoveními českého práva.

9.2 Limitace odpovědnosti Zpracovatele dle DPA se řídí čl. 12 Hlavní smlouvy (Podmínky použití SimplyForms). Souhrnná odpovědnost Zpracovatele vůči Správci-Podnikateli z DPA nepřesáhne částku rovnající se Poplatkům za 12 měsíců předcházejících události; u FREE plánu 1 000 Kč.

9.3 Omezení dle čl. 9.2 se neuplatní na škodu způsobenou úmyslně nebo z hrubé nedbalosti (§2898 OZ), ani v rozsahu, v jakém by odporovala kogentním ustanovením čl. 82 GDPR.

9.4 Indemnifikace. Pokud bude vůči Zpracovateli vznesen nárok regulátora nebo subjektu údajů z důvodu porušení povinností Správce (zejména čl. 7 této DPA), Správce nahradí Zpracovateli související újmu v souladu s čl. 14 Hlavní smlouvy.

10. Trvání a ukončení DPA

10.1 DPA trvá po dobu trvání Hlavní smlouvy.

10.2 DPA může být ukončena pouze společně s Hlavní smlouvou.

10.3 Přetrvávající ustanovení po ukončení: čl. 6.10 (výmaz/vrácení), čl. 8 (mezinárodní předání pro dosud nepřenesené údaje), čl. 9 (odpovědnost).

11. Závěrečná ustanovení

11.1 Rozhodné právo: české právo (zejména GDPR, zákon č. 110/2019 Sb., občanský zákoník).

11.2 Soudní příslušnost: dle Hlavní smlouvy.

11.3 Změna DPA: Zpracovatel je oprávněn DPA jednostranně měnit dle čl. 3 Hlavní smlouvy. Podstatné změny budou Správci oznámeny e-mailem nejméně 30 dnů předem; nesouhlas opravňuje Správce k bezplatnému ukončení Hlavní smlouvy.

11.4 Salvátorská klauzule: neplatnost jednotlivého ustanovení nemá vliv na platnost ostatních; neplatné ustanovení se nahradí takovým, které svým smyslem a účelem nejlépe odpovídá původnímu záměru.

11.5 Inkorporace: DPA je nedílnou součástí Hlavní smlouvy; v případě rozporu mezi DPA a Hlavní smlouvou v otázkách ochrany osobních údajů má DPA přednost.

11.6 Verzování: archivované verze DPA jsou dostupné na simplyforms.app/legal/dpa/archive. Záznam o přijaté verzi je veden u Účtu Správce.

Příloha 1 — Aktuální seznam subzpracovatelů

Subzpracovatel Účel Lokalita Předání mimo EU Záruky
Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Německo) Hosting infrastruktury (Cloud Nürnberg) EU (DE) NE DPA, ISO 27001
Stripe Payments Europe Ltd. (1 Grand Canal Street Lower, Dublin, Irsko) Zpracování plateb EU (IE) + USA ANO (Stripe US) SCC + EU–US DPF
GitLab Inc. (268 Bush Street #350, San Francisco, USA) CI/CD pipeline (deploy bez přístupu k produkčním datům) Servery v EU dle konfigurace omezené DPA

SMTP relay je provozován Zpracovatelem na vlastní infrastruktuře v EU (Hetzner Nürnberg) — bez třetího e-mailového providera.

Aktualizovaný seznam: simplyforms.app/legal/sub-processors (RSS / e-mail subscribe pro notifikace změn).

Příloha 2 — Standardní smluvní doložky (SCC)

Pokud Správce sídlí mimo EU/EEA, do této DPA se tímto inkorporují Standardní smluvní doložky dle Prováděcího rozhodnutí Komise (EU) 2021/914, Modul 4 (processor-to-controller), a tvoří její nedílnou součást.

Bude-li některý sub-processor sídlit mimo EU/EEA, vztahuje se na něj Modul 3 (processor-to-processor) SCC, který Zpracovatel s daným subzpracovatelem uzavře.

V rozsahu, v jakém by tato DPA a SCC stanovily odlišná pravidla, mají přednost SCC.

Verze 1.0 · Datum účinnosti: 23. května 2026

Hash dokumentu (SHA-256): dbde37d9222e4ab3f4e178891cb34ed30b8746a80e05c37e149dc9451319e50b

Další právní dokumenty