Zásady ochrany osobních údajů — SimplyForms
Verze 1.0 · Účinné od: 23. května 2026
V případě rozporu mezi českou a anglickou verzí je rozhodující česká verze.
1. Správce osobních údajů
Provozovatelem služby SimplyForms (dále jen „Služba") a správcem osobních údajů zákazníků je:
Adam Todt, fyzická osoba podnikající IČO: 19197438 DIČ: CZ8909294592 (identifikovaná osoba dle §6g ZDPH; neplátce DPH) Sídlo: Drahy 1625, 696 42 Vracov, Česká republika Zápis: Registr osob (ROS) Kontaktní e-mail pro ochranu osobních údajů: privacy@simplyforms.app
Adam Todt neustanovuje pověřence pro ochranu osobních údajů (DPO) dle čl. 37 GDPR, neboť hlavní činnost nezahrnuje rozsáhlé pravidelné a systematické monitorování ani zpracování zvláštních kategorií osobních údajů ve velkém rozsahu.
2. Dvě role SimplyForms — klíčové rozlišení
SimplyForms zpracovává osobní údaje ve dvou různých rolích podle kontextu:
2.1 SimplyForms jako správce (čl. 4 odst. 7 GDPR)
Vůči Zákazníkovi Služby (osobě/firmě, která se registruje a získá API klíč) je SimplyForms správcem těchto údajů:
- e-mail účtu, hash hesla, identifikátor formuláře (
form_id), - API klíč (uložený jako SHA-256 hash),
- fakturační údaje a Stripe customer ID,
- bezpečnostní logy (login, IP přihlášení, refresh tokeny),
- záznamy o přijetí ToS, DPA a souvisejících souhlasů (auditní stopa).
2.2 SimplyForms jako zpracovatel (čl. 4 odst. 8, čl. 28 GDPR)
Vůči návštěvníkům webu Zákazníka, kteří odesílají formulář, je SimplyForms pouze zpracovatelem jednajícím jménem Zákazníka. Správcem je Zákazník — provozovatel webu, na kterém je formulář vložen. Zákazník odpovídá za:
- získání platného právního základu podle čl. 6 (a případně čl. 9) GDPR od svých návštěvníků,
- informování návštěvníků dle čl. 13 GDPR ve své vlastní privacy policy,
- vyřizování práv subjektů (čl. 15–22) ohledně obsahu formulářů.
Tyto Zásady se nevztahují na obsah formulářů odeslaných návštěvníky webů našich Zákazníků. Privacy policy Zákazníka je závazná v této věci.
Pro tuto roli uzavírá SimplyForms se Zákazníkem Smlouvu o zpracování osobních údajů (DPA) — automaticky přijatou při registraci; plný text na simplyforms.app/legal/dpa.
3. Architektura služby — stateless e-mailový relay
SimplyForms je bezstavový e-mailový relay. Obsah odeslaných formulářů se neukládá do žádné databáze ani logu. Backend přijme HTTP POST, validuje, přepošle e-mailem do schránky Zákazníka a payload zahodí z operační paměti.
Standardně NEUKLÁDÁME:
- obsah formuláře (žádné pole, žádná hodnota),
- IP adresu Odesílatele,
- user-agent Odesílatele,
- referrer Odesílatele,
- nahrané soubory (předány v e-mailu, lokálně neperzistovány).
SMTP relay je provozován Adamem Todtem na vlastní infrastruktuře v Evropské unii (datacentrum Hetzner Online GmbH, Norimberk). Žádný třetí poskytovatel e-mailových služeb (např. SendGrid, Mailgun, Postmark, Resend, Amazon SES) nevstupuje do datového toku mezi Službou a schránkou příjemce.
Volitelné výjimky (vždy opt-in nastavené Zákazníkem v dashboardu, dostupné od plánu EXTEND):
- Webhook s metadaty: pokud Zákazník aktivuje webhook s opt-in metadaty, IP, user-agent a referrer Odesílatele se odešlou na webhook URL Zákazníka. Žádná kopie nezůstává u nás.
- Autoresponder: potvrzovací e-mail Odesílateli (vyžaduje pole
emailv payloadu). - Server-side validace (ENTERPRISE): kontrola polí na serveru před přeposláním. Žádné perzistování.
4. Jaké údaje zpracováváme a na jakém právním základě
4.1 Údaje Zákazníka (kde jsme správce)
| Kategorie údajů | Účel zpracování | Právní základ (čl. 6 GDPR) | Doba uchování |
|---|---|---|---|
| E-mail účtu + hash hesla | Provoz účtu, autentizace | čl. 6(1)(b) — plnění smlouvy | Po dobu trvání Účtu + 30 dnů od jeho zrušení |
form_id, API klíč (SHA-256 hash) |
Autentizace API požadavků | čl. 6(1)(b) | Po dobu trvání Účtu |
| Fakturační údaje, Stripe customer ID | Plnění smlouvy, účetnictví | čl. 6(1)(b) + čl. 6(1)(c) | 10 let (§31 zákona č. 563/1991 Sb. o účetnictví) |
| Bezpečnostní logy (login, refresh tokeny, IP přihlášení) | Bezpečnost účtu, detekce útoků | čl. 6(1)(f) — oprávněný zájem | 30 dnů |
| E-mailová komunikace s podporou | Vyřízení dotazu | čl. 6(1)(b) + čl. 6(1)(f) | 24 měsíců |
| Záznam o přijetí ToS / DPA / souhlasů | Důkaz uzavření smlouvy a souhlasů | čl. 6(1)(b) + čl. 6(1)(f) | Po dobu trvání Účtu + 4 roky (obecná promlčecí lhůta) |
| HTTP přístupové logy (Caddy reverse proxy) | Bezpečnost, debug | čl. 6(1)(f) | 14 dnů |
4.2 Anonymní metrika odeslání formulářů
| Kategorie | Účel | Právní základ | Doba |
|---|---|---|---|
form_id, časový otisk, kód země (geolokovaný z IP — IP samotná se NEUKLÁDÁ), doména referreru, příznak úspěchu |
Statistika Zákazníka, prevence zneužití, optimalizace infrastruktury | čl. 6(1)(f) — oprávněný zájem na bezpečnosti a poskytnutí statistik Zákazníkovi | 90 dnů, poté automatický výmaz |
Tato metrika neumožňuje identifikaci jednotlivého Odesílatele a není považována za osobní údaj ve smyslu čl. 4(1) GDPR. Zachováváme ji jako anonymní agregaci pro účely fakturace dle limitů plánu a pro detekci zneužití.
4.3 Údaje při webhook s opt-in metadaty (EXTEND+)
Pokud Zákazník v dashboardu aktivně zapne opt-in metadata pro webhook:
| Kategorie | Účel | Právní základ | Doba u nás |
|---|---|---|---|
| IP, user-agent, referrer Odesílatele | Předání Zákazníkovi pro jeho účely | čl. 6(1)(b) plnění smlouvy se Zákazníkem; Zákazník je správcem těchto údajů ve vztahu k Odesílateli | 0 dnů — Pouze přenos, žádná kopie u nás |
4.4 Údaje Odesílatele (kde jsme zpracovatel pro Zákazníka)
Obsah formuláře, který Odesílatel vyplnil. Neukládáme. Pouze přeneseme e-mailem do schránky Zákazníka.
5. Příjemci údajů (sub-processors)
Pro provoz Služby využíváme tyto subzpracovatele:
| Subzpracovatel | Účel | Lokalita | Předání mimo EU | Záruky |
|---|---|---|---|---|
| Hetzner Online GmbH | Hosting infrastruktury (Cloud Nürnberg) | Německo (EU) | NE | DPA, ISO 27001 |
| Stripe Payments Europe Ltd. | Zpracování plateb | Irsko (EU) → USA | ANO | Standardní smluvní doložky (SCC) + EU–US Data Privacy Framework |
| GitLab Inc. | CI/CD pipeline (deploy bez přístupu k produkčním datům) | Servery v EU | NE | DPA |
SMTP relay je provozován Adamem Todtem na vlastní infrastruktuře — žádný třetí e-mailový provider nezpracovává obsah relayovaných e-mailů.
Aktuální seznam udržujeme veřejně na simplyforms.app/legal/sub-processors. O změnách informujeme e-mailem na adresu Účtu nejméně 30 dnů předem; Zákazník má právo proti změně vznést námitku v souladu s DPA a Smlouvu z tohoto důvodu bezplatně vypovědět.
Volitelné integrace Zákazníka (Google reCAPTCHA, Cloudflare Turnstile, vlastní webhook URL): tyto nejsou subzpracovateli SimplyForms — jsou-li aktivovány Zákazníkem, jedná se o samostatné zpracování řízené Zákazníkem; Zákazník odpovídá za informování svých Odesílatelů o předání dat mimo EU (zejména do USA u Google).
6. Předání mimo EU
Celá infrastruktura SimplyForms běží v EU (Hetzner Nürnberg). K předání osobních údajů Zákazníků do třetích zemí standardně nedochází.
Výjimky:
Stripe může pro účely platebního zpracování přenést omezené fakturační údaje do USA. Předání je založeno na:
- certifikaci Stripe v rámci EU–US Data Privacy Framework (Prováděcí rozhodnutí Komise (EU) 2023/1795),
- doplňkově Standardních smluvních doložkách dle Prováděcího rozhodnutí Komise (EU) 2021/914. Bližší informace: stripe.com/privacy.
Zákazníkem aktivované Google reCAPTCHA / Cloudflare Turnstile — datový tok probíhá přímo mezi prohlížečem Odesílatele a Google/Cloudflare. SimplyForms není v tomto datovém toku zpracovatelem. Zákazník je povinen své Odesílatele o tomto datovém toku informovat ve své vlastní privacy policy.
7. Cookies a localStorage
7.1 Marketingový web (simplyforms.app)
Žádné cookies, žádné trackery, žádné analytiky třetích stran. Web je zcela bez tracking technologií.
7.2 Dashboard (dash.simplyforms.app)
Používáme pouze technicky nezbytné položky podle §89 odst. 3 zákona č. 127/2005 Sb. (zákon o elektronických komunikacích):
- Autentizační JWT token v
localStorage— bez něj nelze přihlášení uskutečnit, - Session cookie / CSRF token — bez nich nelze submitovat formuláře dashboardu,
- Volba jazyka a tématu v
localStorage— uživatelská preference, - Cookie consent volba — záznam o vyjádření preferencí cookie banneru.
Tyto nepodléhají souhlasu dle ePrivacy směrnice 2002/58/ES, čl. 5(3) — výjimka „strictly necessary". Cookie banner pro tyto účely nezobrazujeme.
7.3 Plánovaná analytika
Pokud v budoucnu zavedeme analytiku nebo marketingové trackery, zveřejníme samostatné Cookie Policy a aktivujeme cookie banner se souhlasem před načtením skriptů. Aktuální stav: žádná analytika nasazena.
Plný text cookie politiky: simplyforms.app/legal/cookies.
8. Bezpečnostní opatření (čl. 32 GDPR)
- TLS 1.3 pro veškerou komunikaci (Caddy reverse proxy + Let's Encrypt, HSTS preload)
- API klíče uložené pouze jako SHA-256 hash (plaintext nikdy)
- Hesla uložená jako bcrypt hash (cost ≥ 12)
- JWT s krátkou platností (30 minut) + refresh token rotation
- Princip nejmenších oprávnění (Docker
no-new-privileges, separátní kontejnery, read-only filesystem kde možno) - Žádné ukládání obsahu formulářů = neexistuje útočná plocha pro únik payloadu
- Rate limiting + IP blocking při zneužití (Redis-backed)
- Pravidelné code review a bezpečnostní audity
- Hosting v ISO 27001 certifikovaném datacentru (Hetzner Nürnberg)
- Šifrované zálohy databáze (AES-256)
Konkrétní bezpečnostní detaily ze strategických důvodů nezveřejňujeme; jsou popsány v interní dokumentaci k dispozici v auditním režimu.
9. Vaše práva (čl. 15–22 GDPR)
Jako subjekt údajů máte právo:
| Právo | Článek GDPR | Jak uplatnit |
|---|---|---|
| Přístup — získat potvrzení a kopii zpracovávaných údajů | čl. 15 | E-mail na privacy@simplyforms.app nebo GET /user/{form_id}/export v dashboardu |
| Oprava — opravit nepřesné údaje | čl. 16 | Přímo v dashboardu (sekce Účet) |
| Výmaz („právo být zapomenut") | čl. 17 | DELETE /user/{form_id}/account v dashboardu nebo e-mail |
| Omezení zpracování | čl. 18 | E-mail na privacy@simplyforms.app |
| Přenositelnost údajů (strojově čitelný export JSON) | čl. 20 | GET /user/{form_id}/export v dashboardu |
| Námitka proti zpracování na základě oprávněného zájmu | čl. 21 | E-mail na privacy@simplyforms.app |
| Odvolání souhlasu (bez vlivu na zpracování před odvoláním) | čl. 7 odst. 3 | Přímo v dashboardu nebo e-mail |
| Nebýt předmětem automatizovaného rozhodování s právními účinky | čl. 22 | SimplyForms používá rate-limiting a IP-block, ale tyto nepředstavují rozhodnutí s právními účinky ve smyslu čl. 22(1) |
Lhůta pro vyřízení žádosti: 30 dnů od přijetí (s možností prodloužení o 60 dnů u složitých případů dle čl. 12 odst. 3 GDPR).
Pokud jste návštěvník webu, který odeslal formulář provozovaný naším Zákazníkem, kontaktujte primárně provozovatele toho webu — ten je správcem vašich údajů. Můžeme však na základě žádosti Zákazníka asistovat při výmazu/exportu.
10. Právo podat stížnost u dozorového úřadu
Máte právo podat stížnost u Úřadu pro ochranu osobních údajů: Pplk. Sochora 27, 170 00 Praha 7 www.uoou.gov.cz
Nebo u dozorového úřadu v zemi vašeho obvyklého pobytu.
11. Povinnosti Zákazníka při zpracování osobních údajů Odesílatelů
Při použití SimplyForms Zákazník prohlašuje a zaručuje, že:
- má vlastní platný právní základ podle čl. 6 GDPR (a případně čl. 9 GDPR) pro každé pole formuláře, jehož data zpracovává;
- nebude přes Službu zpracovávat zvláštní kategorie údajů dle čl. 9 GDPR (zdraví, rasový/etnický původ, politické názory, náboženské vyznání, sexuální orientace, biometrika, genetické údaje) ani údaje o trestných činech dle čl. 10 GDPR bez výslovného souhlasu Odesílatele a dokončené DPIA;
- informuje své Odesílatele ve své vlastní privacy policy podle čl. 13 GDPR, včetně skutečnosti, že údaje jsou předány SimplyForms jako zpracovateli;
- u opt-in funkcí (webhook metadata, autoresponder, reCAPTCHA, Turnstile) informuje o relevantních datových tocích;
- Služba není určena dětem mladším 16 let (čl. 8 GDPR); Zákazník je odpovědný za věkovou verifikaci tam, kde je relevantní.
Porušení těchto povinností opravňuje SimplyForms okamžitě pozastavit nebo zrušit Účet bez nároku Zákazníka na vrácení Poplatků (viz čl. 11 a 14 Podmínek použití).
12. Porušení zabezpečení osobních údajů
V případě porušení zabezpečení osobních údajů, které pravděpodobně povede k riziku pro práva a svobody subjektů údajů:
- oznámíme Úřadu pro ochranu osobních údajů do 72 hodin od zjištění (čl. 33 GDPR),
- oznámíme dotčeným Zákazníkům bez zbytečného odkladu v případech vysokého rizika (čl. 34 GDPR), resp. čl. 33 odst. 2 GDPR pro processor → controller notifikaci,
- zveřejníme incident report na simplyforms.app/legal/incidents (anonymizovaně).
13. Změny těchto Zásad
Podstatné změny budou oznámeny:
- e-mailem na adresu Účtu nejméně 30 dnů před účinností,
- notifikací v dashboardu,
- zveřejněním nové verze na simplyforms.app/legal/privacy s vyznačením data účinnosti.
Pokračování v používání Služby po účinnosti změn se považuje za souhlas s novým zněním.
Archivované verze: simplyforms.app/legal/privacy/archive.
14. Kontakt
Ve věcech ochrany osobních údajů:
- E-mail: privacy@simplyforms.app
- Pošta: Adam Todt, Drahy 1625, 696 42 Vracov, Česká republika
Verze 1.0 · Datum účinnosti: 23. května 2026
Hash dokumentu (SHA-256): 4db1ee0e6dc03d92df83e0135d9dffa7ba644f8e3ac2bd0a97abf4ef81e99dc4