GDPR — zpracovatelská smlouva

Verze MVP — naposledy aktualizováno 23. května 2026.

Tato zpracovatelská smlouva (DPA) doplňuje smlouvu o poskytování Služby a upravuje vztah mezi Klientem (správcem) a Provozovatelem (zpracovatelem) ohledně osobních údajů Dlužníků a dalších subjektů údajů, které Klient do Služby vloží. Vychází z čl. 28 GDPR a Standardních smluvních doložek EU.

1. Předmět a doba zpracování

Provozovatel zpracovává osobní údaje výhradně na pokyn Klienta a pouze pro účely poskytování Služby. Zpracování trvá po dobu platnosti smlouvy + 90 dní pro případnou obnovu dat + zákonné archivační lhůty (účetnictví 10 let).

2. Kategorie subjektů údajů a typů údajů

Subjekty údajů: zákazníci/dlužníci Klienta, případně další fyzické osoby uvedené Klientem (např. členové týmu Klienta). Typy údajů: identifikační (jméno, IČO), kontaktní (e-mail, telefon, adresa), transakční (pohledávky, platby), komunikační (historie odeslaných zpráv). Žádné zvláštní kategorie údajů (čl. 9 GDPR) ani údaje o nezletilých neprijímáme.

3. Povinnosti Provozovatele jako zpracovatele

Provozovatel: • zpracovává údaje výhradně na základě doložených pokynů Klienta, • zajistí, aby všechny osoby s přístupem k údajům byly vázány mlčenlivostí, • přijme technická a organizační opatření podle čl. 32 GDPR (šifrování, MFA, audit log), • pomůže Klientovi s vyřízením žádostí subjektů údajů (přístup, výmaz, atd.), • ohlásí porušení zabezpečení do 24 hodin od jeho zjištění, • po ukončení Služby všechny údaje smaže nebo vrátí dle volby Klienta.

4. Subzpracovatelé

Provozovatel je oprávněn využívat tyto schválené subzpracovatele: hosting/cloud provider (EU), Mailgun (USA, SCCs), BulkGate (ČR), GoPay (ČR), OpenAI (USA, SCCs — pouze pro AI extrakci faktur, pokud Klient povolí). O zapojení dalšího subzpracovatele Provozovatel informuje Klienta min. 30 dnů předem. Klient má právo z tohoto důvodu vypovědět smlouvu o Službě.

5. Bezpečnostní opatření

Implementovaná opatření: • HTTPS/TLS 1.3 pro veškerou komunikaci, • Bcrypt hash hesel, • MFA pro privilegované účty, • Database encryption at rest, • Pravidelné zálohy (35 dní retention), • Maskování IP adres v auditních záznamech, • Pravidelná penetrační testování (před komerčním spuštěním), • Princip nejmenšího oprávnění (RBAC v aplikaci).

6. Mezinárodní přenosy

Většina zpracování probíhá v EU. V případě přenosu do třetí země (USA pro Mailgun a OpenAI) jsou uzavřeny Standardní smluvní doložky (SCCs) schválené Evropskou komisí podle rozhodnutí 2021/914.

7. Audit a inspekce

Klient má právo jednou za 12 měsíců provést audit (na vlastní náklady) nebo si vyžádat doložení implementace bezpečnostních opatření (např. SOC 2 report, ISO 27001 — pokud je k dispozici). Provozovatel poskytne Klientovi součinnost při auditech orgánů dozoru.

8. Ukončení a vrácení/výmaz dat

Po ukončení smlouvy o Službě poskytne Provozovatel Klientovi po dobu 90 dnů možnost stažení dat ve strojově čitelném formátu (CSV/JSON). Po uplynutí této lhůty budou všechny osobní údaje smazány, s výjimkou těch, jejichž uchování ukládá zákon (účetnictví). O smazání vystaví Provozovatel písemné potvrzení.

Kontakt: info@returnflow.cz

Pracovní znění z období MVP. Bude finalizováno právním zástupcem před spuštěním placené verze. V případě jakýchkoli rozporů nebo nejasností kontaktujte provozovatele — výklad ve prospěch zákazníka má přednost.