Zpracovatelská smlouva (DPA)

podle čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR)

Verze 1.0 · platná od 14. 5. 2026

Pro koho je tento dokument? Tato zpracovatelská smlouva je určená firmám (klientům TopSMS), které svým prostřednictvím odesílají SMS svým zákazníkům — tedy zpracovávají osobní údaje třetích osob. TopSMS v tomto vztahu vystupuje jako zpracovatel, klient jako správce. Smlouva je nedílnou součástí obchodních podmínek TopSMS a uzavírá se okamžikem aktivace placeného účtu.

1. Smluvní strany

Zpracovatel:
TopSMS.cz, provozovatel [DOPLŇTE NÁZEV PROVOZOVATELE], IČO [DOPLŇTE IČO], se sídlem [DOPLŇTE ADRESU], zapsaný v obchodním rejstříku [DOPLŇTE SOUD A SP. ZN.]. Kontakt: gdpr@topsms.cz (dále jen „Zpracovatel").

Správce:
Klient, který si zřídil účet u Zpracovatele a uvedl při registraci své identifikační údaje (název firmy, IČO, sídlo, kontaktní e-mail). Identifikace Správce je vedena v dashboardu klienta a v účetních dokladech (faktury) vystavovaných Zpracovatelem (dále jen „Správce").

2. Předmět smlouvy

Zpracovatel poskytuje Správci službu odesílání krátkých textových zpráv (SMS) na koncová zařízení příjemců prostřednictvím mobilních operátorů (T-Mobile CZ, O2, Vodafone) a dalších agregátorů zahraničních sítí. V rámci této služby Zpracovatel zpracovává osobní údaje, které mu Správce předá prostřednictvím REST API, dashboardu nebo importu kontaktů.

3. Rozsah zpracování

Položka	Specifikace
Předmět zpracování	Odesílání SMS zpráv jménem Správce na telefonní čísla jeho zákazníků (subjektů údajů)
Doba zpracování	Po dobu trvání smlouvy mezi Správcem a Zpracovatelem + zákonné doby uchování (účetní doklady 10 let, logy SMS 12 měsíců, opt-out databáze trvale)
Povaha a účel	Doručování notifikací, transakčních potvrzení, OTP kódů, marketingových sdělení a dalšího obsahu definovaného Správcem
Typ osobních údajů	Telefonní číslo příjemce, případně jméno, e-mail a další kontaktní údaje vložené Správcem; obsah SMS (může obsahovat osobní údaje); záznamy o doručení; vlastní ID kontaktu („customId") přidělené Správcem
Kategorie subjektů údajů	Zákazníci Správce, jeho zaměstnanci nebo jiné osoby, kterým Správce SMS posílá
Citlivé údaje (čl. 9 GDPR)	Standardně nezpracovávány. Pokud Správce vkládá citlivé údaje do textu SMS, je za to plně odpovědný a musí mít k tomu samostatný právní základ (např. čl. 9 odst. 2 písm. h pro zdravotnictví).

4. Povinnosti a práva Správce

Správce odpovídá za to, že má k odesílaným SMS platný právní základ podle čl. 6 (a případně čl. 9) GDPR — typicky souhlas příjemce, plnění smlouvy nebo oprávněný zájem.
Správce odpovídá za naplnění informační povinnosti vůči subjektům údajů (čl. 13, 14 GDPR).
Pro marketingová sdělení Správce odpovídá za získání souhlasu podle § 7 zákona č. 480/2004 Sb.
Správce nesmí prostřednictvím služby šířit nezákonný obsah, spam, podvodné zprávy ani sdělení porušující práva třetích osob.
Správce má právo kontrolovat plnění této smlouvy auditem (písemně oznámeným min. 30 dní dopředu, max. 1× ročně, na vlastní náklady).

5. Povinnosti Zpracovatele

Zpracovatel se zavazuje:

Zpracovávat osobní údaje výhradně na základě doložených pokynů Správce (technicky reprezentovaných API voláními, akcemi v dashboardu nebo nastavením účtu) — v souladu s čl. 28 odst. 3 písm. a GDPR.
Zajistit, aby osoby s přístupem k osobním údajům byly vázány mlčenlivostí (smluvně i interními předpisy).
Přijmout technická a organizační opatření podle čl. 32 GDPR (viz článek 7 této smlouvy).
Být nápomocen Správci při plnění žádostí subjektů údajů (čl. 12–22 GDPR) — typicky výpis, oprava, výmaz dat z dashboardu.
Bezodkladně (max. do 48 hodin od zjištění) oznámit Správci porušení zabezpečení osobních údajů (čl. 33 GDPR).
Být nápomocen Správci při DPIA (čl. 35) a předchozí konzultaci s dozorovým úřadem (čl. 36), pokud o to Správce požádá.
Po ukončení smlouvy podle volby Správce buď všechny osobní údaje vrátit (export CSV), nebo smazat, ledaže evropské nebo české právo vyžaduje další uchování (např. účetní doklady 10 let).
Poskytnout Správci veškeré informace nutné k prokázání plnění povinností podle čl. 28 GDPR.

6. Další zpracovatelé (sub-processors)

Správce dává Zpracovateli obecné povolení zapojit další zpracovatele (sub-processors) podle čl. 28 odst. 2 GDPR. Zpracovatel zveřejňuje aktuální seznam sub-processorů níže a oznámí Správci jakoukoli změnu (přidání/výměnu) e-mailem nebo notifikací v dashboardu nejméně 30 dní předem. Pokud Správce se změnou nesouhlasí, má právo smlouvu ukončit.

Sub-processor	Účel	Lokalita	Záruky
EuroSMS s.r.o.	Doručování SMS přes mobilní operátory CZ/SK + mezinárodní	Slovensko (EU)	GDPR — bez nutnosti SCC
DigitalOcean, LLC	Hosting aplikace (server, databáze, file storage)	EU (Frankfurt nebo Amsterdam)	Standard Contractual Clauses + DPA
Resend, Inc.	Transakční e-maily (potvrzení registrace, reset hesla, faktury)	USA	Standard Contractual Clauses + DPA (EU–US Data Privacy Framework)
Mobilní operátoři (T-Mobile CZ, O2 CZ, Vodafone CZ, případně zahraniční sítě)	Fyzické doručení SMS na koncové zařízení	CZ + cílová země příjemce	Vlastní zákonná povinnost přenosu

7. Technická a organizační opatření (čl. 32 GDPR)

Šifrovaný přenos: TLS 1.3 pro veškerou komunikaci mezi klientem a serverem; HSTS preload.
Hashování hesel: bcrypt (cost 10+, plánovaný upgrade na 12).
Oddělení rolí: přístup k databázi mají jen autorizovaní administrátoři; akce admin uživatelů jsou logovány (audit log).
2FA: všichni admin uživatelé mají povinné dvoufaktorové ověření (SMS OTP).
Síťová izolace: databáze není dostupná z internetu, jen z aplikačního serveru.
Backup: denní zálohy databáze; možnost obnovy do 24 hodin.
Monitoring: kontinuální sledování dostupnosti a bezpečnostních incidentů.
Security headers: CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy — hodnocení A na securityheaders.com.
Bezpečnostní audity: roční externí pen test (plánováno).
Responsible Disclosure program: topsms.cz/security

8. Předávání mimo EU/EHP

Zpracovatel se zavazuje, že osobní údaje předává mimo EU/EHP pouze prostřednictvím sub-processorů, se kterými má uzavřené Standardní smluvní doložky (Standard Contractual Clauses dle prováděcího rozhodnutí Komise (EU) 2021/914), případně kteří jsou členy EU–US Data Privacy Framework (Resend). Aktuální seznam viz článek 6.

9. Odpovědnost

Každá smluvní strana odpovídá za škodu způsobenou porušením této smlouvy podle obecných právních předpisů. Maximální výše náhrady škody ze strany Zpracovatele za nepeněžité újmy je omezena na výši zaplacených poplatků za posledních 12 měsíců, ledaže by se jednalo o úmyslné porušení nebo hrubou nedbalost.

10. Trvání a ukončení

Tato smlouva nabývá účinnosti spolu s aktivací účtu Správce u Zpracovatele a trvá po celou dobu poskytování služby. Ukončením hlavní smlouvy (deaktivace účtu) zaniká i tato zpracovatelská smlouva — povinnosti týkající se mlčenlivosti, výmazu/vrácení dat a uchování zákonných dokladů (např. faktury) trvají i po jejím skončení.

11. Změny smlouvy

Zpracovatel může tuto smlouvu jednostranně měnit kvůli změnám legislativy, technologického stavu nebo seznamu sub-processorů. Změny oznámí Správci e-mailem nebo notifikací v dashboardu nejméně 30 dní před účinností. Pokud Správce se změnou nesouhlasí, má právo smlouvu vypovědět.

12. Závěrečná ustanovení

Smlouva se řídí českým právem, zejména nařízením GDPR a zákonem č. 110/2019 Sb.
Spory budou řešeny v jurisdikci soudů České republiky.
Pokud je některé ustanovení neplatné, ostatní zůstávají v platnosti.
Tato smlouva je uzavřena v elektronické podobě a je dostupná na adrese topsms.cz/zpracovatelska-smlouva. Akceptací obchodních podmínek Správce souhlasí i s touto smlouvou.

Kontakt pro DPA záležitosti

Pro otázky ke zpracování dat, žádosti subjektů údajů, oznámení incidentu nebo dotazy k DPA:
gdpr@topsms.cz

⚠ Tato verze DPA je obecná šablona. Pro klienty s vyššími nároky (banky, zdravotní zařízení, veřejná správa) Zpracovatel poskytuje upravenou DPA na vyžádání — kontaktujte gdpr@topsms.cz. Před spuštěním do produkce doporučujeme kontrolu právníkem specializujícím se na GDPR a doplnění hranatých závorek [...] reálnými údaji o provozovateli.

← Zpět na ochranu osobních údajů