P
PropAdmin.cz
Správa nemovitostí

Zpracovatelská smlouva (DPA)

Smlouva o zpracování osobních údajů podle čl. 28 GDPR

Poslední aktualizace: 7. května 2026

Co je tento dokument? Podle čl. 28 GDPR musí mít správce osobních údajů (vy, jako pronajímatel / správce nemovitostí) uzavřenou písemnou smlouvu s každým zpracovatelem, který pro něj osobní údaje zpracovává. PropAdmin.cz je takovým zpracovatelem, protože uchovává údaje vašich nájemníků. Tato smlouva se automaticky stává součástí vaší smlouvy s provozovatelem PropAdmin.cz okamžikem registrace. Pokud ji potřebujete v podepsané podobě (pro vlastní evidenci GDPR), stáhněte si ji níže a podepište s provozovatelem na vyžádání.

Smluvní strany

Správce osobních údajů: Uživatel platformy PropAdmin.cz (dále jen „Správce“), uvedený v registračním účtu jako statutární zástupce společnosti / vlastník / správce nemovitostí.

Zpracovatel:

  • Název: Astra, spol. s r.o.
  • IČO: 48112411
  • DIČ: CZ48112411
  • Sídlo: Tobrucká 757/35, Vokovice, 160 00 Praha
  • Kontakt: info@propadmin.cz
  • (dále jen „Zpracovatel“)

(Správce a Zpracovatel dále společně jen „Smluvní strany“.)

1. Předmět smlouvy

Tato smlouva upravuje zpracování osobních údajů Zpracovatelem pro Správce v souvislosti s užíváním platformy PropAdmin.cz podle čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679 (dále jen „GDPR“).

2. Povaha a účel zpracování

  • Povaha zpracování: ukládání, zpřístupňování, organizování, třídění, zálohování a mazání osobních údajů v rámci platformy.
  • Účel zpracování: umožnit Správci spravovat nemovitosti, nájemní vztahy, fakturaci, platby a komunikaci s nájemníky.
  • Doba zpracování: po dobu trvání smluvního vztahu mezi Správcem a Zpracovatelem, nejdéle 30 dní po jeho ukončení (archivace pro obnovu), poté dochází k výmazu s výjimkou dat, která musí Zpracovatel uchovávat ze zákona.

3. Kategorie subjektů údajů a typy osobních údajů

Kategorie subjektůTypy údajů
Nájemníci (fyzické osoby)Jméno, příjmení, datum narození, rodné číslo (volitelně), adresa, e-mail, telefon, rodinný stav, číslo dokladu totožnosti, bankovní spojení, zaměstnání / příjem (volitelně)
Nájemníci (právnické osoby) — kontaktní osobyJméno, příjmení, funkce, e-mail, telefon
Zaměstnanci / kolegové SprávceJméno, příjmení, e-mail, pracovní role a oprávnění v platformě
Dodavatelé a řemeslníci (volitelně)Obchodní jméno, IČO, kontaktní osoba, e-mail, telefon, historie pracovních příkazů
Vlastníci nemovitostí (SVJ, spoluvlastníci — volitelně)Jméno, adresa, kontaktní údaje, podíl

Zpracovatel nezpracovává zvláštní kategorie osobních údajů podle čl. 9 GDPR (citlivé údaje) — Správce se zavazuje takové údaje do platformy nevkládat.

4. Povinnosti Zpracovatele

Zpracovatel se zavazuje:

  1. Zpracovávat osobní údaje pouze na základě doložených pokynů Správce (včetně pokynů týkajících se předání do třetí země), pokud mu tuto povinnost neukládá zákon. V takovém případě Zpracovatel Správce o tomto právním požadavku informuje, ledaže to zákon zakazuje.
  2. Zajistit, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby na ně byla uvalena zákonná povinnost mlčenlivosti.
  3. Přijmout veškerá opatření požadovaná podle čl. 32 GDPR (viz čl. 6 této smlouvy).
  4. Za podmínek čl. 28 odst. 2 a 4 GDPR nezapojovat do zpracování žádného dalšího zpracovatele bez předchozího obecného písemného povolení Správce. Seznam schválených subprocesorů je uveden v čl. 5 této smlouvy.
  5. S přihlédnutím k povaze zpracování být Správci nápomocen prostřednictvím vhodných technických a organizačních opatření při plnění Správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů stanovených v kapitole III GDPR.
  6. Být Správci nápomocen při zajišťování souladu s povinnostmi podle čl. 32 až 36 GDPR (zabezpečení, oznamování incidentů, posouzení vlivu).
  7. Po ukončení poskytování služeb souvisejících se zpracováním údaje v souladu s rozhodnutím Správce vymazat nebo vrátit, a vymazat existující kopie, pokud zákon nepožaduje jejich uložení.
  8. Poskytnout Správci veškeré informace potřebné k prokázání splnění povinností stanovených v čl. 28 GDPR a umožnit a přispět k auditům, včetně inspekcí, prováděným Správcem nebo jiným auditorem pověřeným Správcem.

5. Další zpracovatelé (Subprocesoři)

Správce uděluje obecné povolení se zapojením dalších zpracovatelů. Zpracovatel je povinen informovat Správce o jakýchkoli zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, a poskytnout Správci příležitost vznést proti těmto změnám námitky nejméně 30 dní předem.

Aktuální seznam schválených subprocesorů:

SubprocesorÚčelUmístění
Railway Corp.Hosting API a databázeEU (Nizozemsko)
Vercel Inc.Hosting webového rozhraníEU
Resend Inc.Odesílání transakčních e-mailůEU / USA (SCC)
Wedos Internet, a. s.Správa doménového jména a DNSČR
Google LLC (volitelné)Google OAuth — pouze pokud Uživatel tuto možnost použijeEU / USA (SCC)

Zpracovatel zajistí, že všichni subprocesoři budou vázáni smluvními povinnostmi odpovídajícími této smlouvě dle čl. 28 odst. 4 GDPR.

6. Technická a organizační opatření

S ohledem na stav techniky, povahu, rozsah, kontext a účel zpracování přijímá Zpracovatel následující opatření podle čl. 32 GDPR:

  • Veškerá komunikace mezi klientem a servery je šifrována protokolem TLS 1.2 nebo vyšším.
  • Hesla uživatelů jsou ukládána ve formě jednosměrného hashe (bcrypt) s vysokým počtem iterací.
  • Autentizace probíhá pomocí krátkodobých JWT tokenů (8 hodin) a obnovovacích tokenů (7 dnů).
  • Produkční databáze je zálohována denně a zálohy jsou uchovávány po dobu nejméně 7 dnů.
  • Přístup k produkčnímu prostředí mají pouze oprávněné osoby s dvoufaktorovou autentizací.
  • Aplikace vede auditní logy důležitých operací.
  • Přístupy k datům jsou omezeny principem nejmenších privilegií (RBAC — rolové oprávnění).
  • Platforma je chráněna firewallem a rate-limitingem proti útokům hrubou silou a DoS.

7. Oznámení incidentu

V případě porušení zabezpečení osobních údajů (data breach) Zpracovatel informuje Správce bez zbytečného odkladu po jeho zjištění, nejpozději do 48 hodin. Oznámení bude obsahovat:

  • popis povahy porušení a dotčených kategorií a přibližného počtu osob
  • jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiné kontaktní místo, kde lze získat další informace
  • popis pravděpodobných důsledků porušení
  • popis opatření přijatých nebo navrhovaných k řešení porušení

8. Výmaz údajů po ukončení smlouvy

Po ukončení smluvního vztahu mezi Správcem a Zpracovatelem se Zpracovatel zavazuje, na základě rozhodnutí Správce, buď osobní údaje vymazat, nebo je Správci vrátit ve strojově čitelném formátu. Výmaz proběhne nejpozději do 30 dnů od ukončení smluvního vztahu. Výjimkou jsou data, jejichž uchovávání vyžaduje zákon (zejména vystavené faktury podle zákona o účetnictví).

9. Odpovědnost

Každá Smluvní strana nese odpovědnost za své povinnosti vyplývající z GDPR a z této smlouvy. Zpracovatel neodpovídá za porušení GDPR způsobené pokyny Správce, které jsou v rozporu s nařízením.

10. Závěrečná ustanovení

  1. Tato smlouva nabývá účinnosti okamžikem registrace Správce na platformě PropAdmin.cz a souhlasu s obchodními podmínkami.
  2. Smlouva je uzavřena na dobu trvání hlavní smlouvy (užívání platformy) a pozbývá účinnosti jejím ukončením, s výjimkou ustanovení, která mají ze své povahy trvalou platnost (mlčenlivost, výmaz dat).
  3. Změny této smlouvy jsou možné pouze písemně, případně oznámením zveřejněným Zpracovatelem v aplikaci s výpovědní dobou 30 dní — pokud Správce se změnami nesouhlasí, má právo smluvní vztah vypovědět.
  4. Smlouva se řídí právním řádem České republiky. K řešení sporů jsou příslušné soudy ČR.
Potřebujete podepsanou verzi? Napište nám na info@propadmin.cz a my vám zašleme PDF verzi DPA se všemi vyplněnými údaji a podpisem statutárního zástupce do 3 pracovních dnů.