Към съдържанието
ВходЗапочнете
03Правна информация · DPA

Договор за обработка на лични данни

Условията по Article 28 GDPR за обработване на данни, които се прилагат, когато COTRONIKA EOOD обработва лични данни от името на Клиент чрез платформата UXO.

Последна актуализация
21 May 2026
Раздели
18
Време за четене
~14 мин.

01Страни и обхват

Този Договор за обработка на лични данни (наричан “DPA”) е част от споразумението между COTRONIKA EOOD, българско дружество с ограничена отговорност с UIC 202457989 и седалище в Sofia 1700, Bulgaria (наричано “Обработващ”), и Клиента (наричан “Администратор”) за използването на платформата UXO по Условията за ползване на /legal/terms(наричани “Споразумение”).

DPA се прилага винаги когато Обработващият обработва лични данни от името на Администратора като част от предоставянето на Услугата. Когато Обработващият обработва лични данни от свое име (например данни за фактуриране на Клиента и данни за контакт на упълномощени потребители от персонала), той го прави като администратор в съответствие с Политиката за поверителност на /legal/privacy — това обработване е извън обхвата на този DPA.

Ако има противоречие между този DPA и Споразумението, този DPA има предимство по въпросите, свързани с обработването на лични данни от името на Администратора.

02Определения

Термините с главна буква, които не са определени тук, имат значението, дадено им в Споразумението. Термините “лични данни”, “обработване”, “администратор”, “обработващ”, “субект на данните”, “подобработващ” и “нарушение на сигурността на лични данни” имат значението, дадено им в Article 4 of Regulation (EU) 2016/679 (the “GDPR”).

Приложимо право за защита на данните
GDPR, законите на държавите членки на ЕС, които го прилагат или допълват (включително Закона за защита на личните данни), и всяко друго право за защита на данните или неприкосновеността, приложимо към обработването на лични данни от Обработващия по този DPA.
EEA
Европейското икономическо пространство.
SCCs
Standard Contractual Clauses за трансфер на лични данни към трети държави, приети от Европейската комисия с Decision (EU) 2021/914 of 4 June 2021.
Лични данни на Клиента
Лични данни, обработвани от Обработващия от името на Администратора по този DPA.

03Роли и указания за обработване

Страните признават, че по отношение на Личните данни на Клиента Администраторът е администратор на данни, а Обработващият е обработващ на данни. Документираните указания на Администратора към Обработващия се състоят от Споразумението, този DPA и всички допълнителни указания, разумно дадени чрез опциите за конфигурация на Услугата или в писмена форма.

Обработващият ще обработва Личните данни на Клиента само по документирани указания на Администратора и само за целите, описани в Annex I, освен ако Приложимото право за защита на данните не изисква друго. Ако Обработващият счита, че дадено указание нарушава Приложимото право за защита на данните, той ще уведоми Администратора и може да откаже да действа по това указание.

Администраторът гарантира, че има правото и законосъобразното основание да предостави Личните данни на Клиента на Обработващия и да му възложи обработването, описано в този DPA. Администраторът носи отговорност за предоставяне на изискуемата информация на субектите на данните, за управлението на отношенията си със субектите на данните и за получаването на съгласие, когато съгласието е правното основание за обработване.

04Задължения на обработващия (Article 28(3) GDPR)

Обработващият ще:

  • обработва Личните данни на Клиента само по документирани указания на Администратора, включително по отношение на международни трансфери (вижте Section 9);
  • гарантира, че лицата, упълномощени да обработват Личните данни на Клиента, са поели задължение за поверителност или са обвързани от подходящо законово задължение за поверителност;
  • прилага техническите и организационните мерки, посочени в Annex II, за защита на Личните данни на Клиента срещу случайно или незаконосъобразно унищожаване, загуба, изменение, неразрешено разкриване или достъп;
  • спазва условията в този DPA за ангажиране на подобработващи (Section 5);
  • като отчита естеството на обработването, подпомага Администратора чрез подходящи технически и организационни мерки, доколкото това е възможно, при изпълнение на задължението на Администратора да отговаря на искания от субекти на данните (Section 7);
  • подпомага Администратора при осигуряване на съответствие със задълженията по Articles 32 to 36 GDPR (сигурност, уведомяване при нарушение, оценка на въздействието върху защитата на данните, предварителна консултация), като отчита естеството на обработването и информацията, с която Обработващият разполага;
  • по избор на Администратора изтрива или връща всички Лични данни на Клиента след края на предоставянето на услугите и изтрива съществуващите копия, освен ако Приложимото право за защита на данните не изисква съхранение (вижте Section 10);
  • предоставя на Администратора цялата информация, необходима за доказване на съответствие със задълженията, установени в Article 28 GDPR, и позволява и допринася за одити, както е посочено в Section 8.

05Подобработващи

Общо разрешение

Администраторът дава на Обработващия общо разрешение да ангажира подобработващите, изброени в Annex III към датата на този DPA. Обработващият остава изцяло отговорен пред Администратора за изпълнението на задълженията на всеки подобработващ.

Нови или заменящи подобработващи

Обработващият ще информира предварително Администратора за всяко планирано добавяне или замяна на подобработващ, като предоставя на Администратора разумна възможност да възрази на основания, свързани със защитата на данните. Уведомлението ще бъде изпратено по имейл до основния контакт по акаунта или чрез съобщение в продукта или на сайта, поддържано за тази цел, най-малко тридесет дни преди промяната да влезе в сила.

Възражение

Администраторът може да възрази в периода на уведомяване на разумни, документирани основания, свързани със защитата на данните. Страните ще обсъдят възражението добросъвестно. Ако възражението не може да бъде разрешено, Администраторът може да прекрати засегнатата част от Услугата с писмено предизвестие; Обработващият ще възстанови всички предплатени Такси за неизползваната част от тази Услуга от датата на прекратяването.

Задължения на подобработващите

Когато Обработващият ангажира подобработващ, той ще наложи на подобработващия същите задължения за защита на данните, каквито са посочени в този DPA, чрез писмен договор, като в частност осигури достатъчни гаранции за прилагане на подходящи технически и организационни мерки, така че обработването да отговаря на изискванията на GDPR.

06Уведомяване при нарушение на сигурността на лични данни

Обработващият ще уведоми Администратора без ненужно забавяне, след като узнае за нарушение на сигурността на лични данни, засягащо Личните данни на Клиента. Уведомлението ще бъде изпратено на имейл адреса, свързан с основния контакт по акаунта на Администратора, и ще включва, доколкото информацията е известна на Обработващия към този момент:

  • описание на естеството на нарушението, включително, когато е възможно, категориите и приблизителния брой засегнати субекти на данните и записи;
  • името и данните за контакт на контактната точка на Обработващия;
  • вероятните последици от нарушението;
  • мерките, предприети или предложени за преодоляване на нарушението и ограничаване на възможните неблагоприятни ефекти.

Когато не е възможно цялата информация да бъде предоставена наведнъж, Обработващият ще я предоставя поетапно, веднага щом стане налична, без допълнително ненужно забавяне.

Уведомяването за нарушение не представлява признание за вина или отговорност от страна на Обработващия.

07Съдействие относно правата на субектите на данните

Услугата предоставя на Администратора инструменти за самообслужване, с които да отговаря на субекти на данните, които упражняват правата си на достъп, коригиране, изтриване, ограничаване, преносимост и възражение по Articles 15-22 GDPR (например таблото за персонала експортира историята на поръчките и записите за контакт с клиенти, а Администраторът може да изтрива записи директно).

Когато инструментите за самообслужване не са достатъчни, като се отчита естеството на обработването, Обработващият ще предоставя разумно съдействие на Администратора при отговаряне на искане от субект на данните. Обработващият може да начисли разумна такса за съдействие, което е явно неоснователно или прекомерно, по-специално поради повтарящия му се характер.

Ако Обработващият получи директно от субект на данните искане във връзка с Личните данни на Клиента, той ще насочи субекта на данните да адресира искането до Администратора и ще уведоми Администратора без ненужно забавяне.

08Одити

Обработващият ще предоставя на Администратора, при разумно писмено искане, информацията, необходима за доказване на съответствието със задълженията му по Article 28 GDPR.

Когато Администраторът разумно прецени, че предоставената информация не е достатъчна, за да докаже съответствие, Администраторът може да извърши одит най-много веднъж на календарна година, като изпрати писмено известие поне тридесет дни предварително. Одитите ще се провеждат в работно време, ще зачитат поверителността на данните на други клиенти, няма да възпрепятстват неразумно дейността на Обработващия и ще се извършват от Администратора или от квалифициран независим одитор трета страна при подходящи задължения за поверителност. Администраторът понася разходите за своя одит, освен ако одитът не установи съществено нарушение на този DPA, дължащо се на Обработващия.

По-чести одити може да са необходими, ако надзорен орган разпореди на Администратора да извърши такъв, или след нарушение на сигурността на лични данни, което съществено засяга данните на Администратора.

09Международни трансфери

Обработващият обработва Личните данни на Клиента основно в Bulgaria (EU). Когато Обработващият или подобработващ прехвърля Лични данни на Клиента към държава извън EEA, която не е обхваната от решение за адекватност по Article 45 GDPR, страните се съгласяват, че трансферът ще се извършва при подходящи гаранции по смисъла на Article 46 GDPR, които ще бъдат:

  • SCCs, изпълнени между износителя и вносителя на данните в приложимата Module форма, с изборите и незадължителните клаузи, посочени в Annex IV; или
  • когато вносителят има self-certification по EU-US Data Privacy Framework (Commission Implementing Decision (EU) 2023/1795), решението за адекватност в комбинация със self-certification на вносителя.

Когато е необходимо, Обработващият ще извърши оценка на въздействието на трансфера и ще приложи допълнителни мерки, когато това е разумно необходимо, за да се гарантира, че нивото на защита, гарантирано от GDPR, не е подкопано.

10Връщане или изтриване на данни

При прекратяване на Споразумението и по избор на Администратора, Обработващият ще:

  • върне всички Лични данни на Клиента на Администратора в структуриран, широко използван и машинно четим формат чрез инструментите за експорт на Услугата или по друг разумен начин; или
  • изтрие всички Лични данни на Клиента.

В рамките на три месеца след прекратяването Обработващият ще изтрие Личните данни на Клиента от продукционните системи и от рутинните резервни копия в рамките на обичайните оперативни цикли, освен когато Приложимото право за защита на данните или друго приложимо право изисква по-дълго съхранение (например счетоводни и данъчни документи) или когато съхранението е необходимо за предявяване, упражняване или защита на правни претенции. Всякакви запазени данни остават предмет на този DPA.

11Отговорност и срок

Отговорността на всяка страна по този DPA е предмет на ограниченията и изключенията, посочени в Споразумението. Нищо в този DPA не изключва или ограничава отговорността на дадена страна за измама, груба небрежност, умишлено неправомерно поведение или за отговорност, която не може да бъде ограничена или изключена по Приложимото право за защита на данните.

Този DPA влиза в сила от датата, на която страните сключат Споразумението, и продължава да действа, докато Обработващият не изтрие или не върне всички Лични данни на Клиента в съответствие със Section 10. Задълженията по този DPA остават в сила след прекратяване на Споразумението, докато Обработващият съхранява Лични данни на Клиента.

12Приложимо право

Този DPA се урежда от законите на Република България без оглед на нейните стълкновителни норми. Съдилищата в град София имат изключителна компетентност по всеки спор, произтичащ от или свързан с този DPA, освен когато Приложимото право за защита на данните предоставя изключителна компетентност на друг форум.

13Контакт

Въпроси относно този DPA, искания за упражняване на права от името на субекти на данните или известия, изисквани по него, следва да се изпращат на [email protected] или по поща до COTRONIKA EOOD, Sofia 1700, Bulgaria.

A1Annex I — Описание на обработването

Предмет

Обработване на лични данни от Обработващия от името на Администратора с цел предоставяне на платформата UXO по Споразумението.

Продължителност

За срока на Споразумението и за всеки последващ период, през който Обработващият съхранява Лични данни на Клиента в съответствие със Section 10.

Естество и цел на обработването

Хостинг, съхранение, извличане, показване, предаване, консултиране, организиране, структуриране, индексиране, търсене, псевдонимизация, изтриване и други операции, необходими за работа на функциите на платформата UXO, които Администраторът избере да използва, включително дигитални менюта, QR поръчки, процеси за взимане и доставка, резервации, таблото за персонала, маркетплейс повърхността и поддържащи анализи.

Категории субекти на данните

  • Гости на обектите на Администратора, които сканират QR код, правят поръчки, създават резервации или по друг начин взаимодействат с клиентските повърхности.
  • Упълномощени членове на персонала на Администратора, които използват таблото за персонала, кухненските / бар опашките или услугата за принтери.
  • Когато е приложимо, доставчици и други бизнес контакти, които Администраторът добавя към своя обект.

Категории лични данни

  • Данни за контакт и идентификация — име, имейл, телефон, адрес за доставка.
  • Данни за поръчки и резервации — артикули, варианти, бележки, времена, маса или данни за взимане/доставка, статус на плащането.
  • Данни за акаунт — предпочитан език, запазени адреси, токени за автентикация.
  • Данни за персонала — име, роля, данни за контакт, токени за сесия, логове на активност.
  • Технически данни и данни за връзката — IP адрес, устройство, браузър, приблизителна локация, сървърни логове и телеметрия за сигурност.

Услугата не е проектирана да обработва специални категории лични данни (Article 9 GDPR) или данни, свързани с присъди и нарушения (Article 10 GDPR). Администраторът се задължава да не качва такива данни без предварително писмено договаряне на допълнителни гаранции с Обработващия.

A2Annex II — Технически и организационни мерки

Като отчита актуалното ниво на техниката, разходите за прилагане и естеството, обхвата, контекста и целите на обработването, както и риска за правата и свободите на физическите лица, Обработващият прилага подходящи технически и организационни мерки, за да осигури ниво на сигурност, съответстващо на риска. Текущите мерки включват:

Поверителност

  • TLS 1.2+ криптиране при пренос за целия трафик към и от Услугата.
  • Криптиране при съхранение за продукционни бази данни и резервни копия с алгоритми по индустриален стандарт.
  • Контрол на достъпа по роли с принцип на минималните права. Достъпът на персонала до продукционни данни е ограничен до лицата, чиято роля го изисква.
  • Изолация на многонаемна среда, налагана при всяка заявка към базата данни чрез задължителен tenancy filter restaurant.
  • Пароли, съхранявани като хешове със salt чрез бавен, memory-hard algorithm. Токените за сесия се подменят и изтичат.

Цялостност

  • Процес за управление на промените в кода с преглед от втори човек на промените по продукционните системи.
  • Автоматизиран pipeline за build и тестове в continuous-integration среда преди внедряване.
  • Одитни логове на административни действия, подписани и защитени срещу манипулация.

Наличност и устойчивост

  • Резервирана продукционна инфраструктура с редовни автоматизирани резервни копия.
  • DDoS защита и защитна стена за уеб приложения чрез Cloudflare.
  • Планиране на капацитета и наблюдение на здравето на системата.
  • Документирани процедури за реакция при инциденти с определена ескалационна верига.

Периодично тестване и преглед

  • Рутинно отстраняване на уязвимости в операционната система, езиковата среда за изпълнение, framework-а, зависимостите и инфраструктурните компоненти.
  • Периодичен преглед на нивото на сигурност при доставчиците за подобработващите, изброени в Annex III.
  • Периодичен преглед и актуализиране на тези технически и организационни мерки.

Обработващият може периодично да актуализира мерките, за да отрази промени в актуалното ниво на техниката и рисковия профил на Услугата, при условие че актуализираните мерки не намаляват съществено нивото на защита.

A3Annex III — Текущи подобработващи

Текущите подобработващи, ангажирани от Обработващия при предоставянето на Услугата, са изброени по-долу. Списъкът отразява положението към датата “Last updated” и се поддържа в съответствие със Section 5.

ПодобработващЦелМестоположение
COTRONIKA EOOD (own infrastructure)Хостинг на приложението, основна база данни, файлово съхранение, резервни копия, SMTP доставка на имейли, управление на абонаменти (self-hosted WHMCS), наблюдение на грешкиBulgaria (EU)
Cloudflare, Inc.DNS, CDN, DDoS защита, защитна стена за уеб приложения, Turnstile засичане на ботовеUSA, with EU points of presence
Stripe Payments Europe LtdОбработване на плащания за абонаментни такси и други платени транзакцииIreland (EU), with USA parent
Anthropic PBCПреобразуване на изображения в текст (OCR) на хартиени менюта, качени само чрез функцията за сканиране на меню; в обичайния ход на работа Услугата не изпраща Лични данни на Клиента чрез тази функцияUSA
Google Ireland Ltd (Google Analytics)Уеб анализи само на маркетинговия сайт uxo.bgIreland (EU), with USA parent

A4Annex IV — Избор на модули по SCC

Когато SCCs се прилагат към трансфер по Section 9, следните избори се правят предварително:

  • Module. Module Two (transfer controller-to-processor) се прилага между Администратора и всеки подобработващ извън EEA, ангажиран директно от Администратора. Module Three (transfer processor-to-processor) се прилага между Обработващия и всеки подобработващ извън EEA, който той ангажира от името на Администратора.
  • Clause 7 (docking clause). Прилага се. Други Администратори и Обработващи могат да се присъединяват към SCCs в съответствие с тази клауза.
  • Clause 9 (sub-processors). Option 2 (general written authorisation), със срок за предизвестие, както е посочено в Section 5.
  • Clause 11 (redress). Незадължителният текст, позволяващ на субекта на данните да подаде жалба до независим орган за разрешаване на спорове, не е избран.
  • Clause 17 (governing law). Bulgarian law.
  • Clause 18 (forum and jurisdiction). The courts of Sofia City, Bulgaria.
  • Annex I.A (parties). Администраторът се идентифицира чрез данните за акаунта, предоставени на Обработващия; Обработващият е COTRONIKA EOOD; контактът по защита на данните и за двете страни е [email protected] за Обработващия и имейлът на акаунта на Администратора за Администратора.
  • Annex I.B (description). Както е посочено в Annex I към този DPA.
  • Annex II (security measures). Както е посочено в Annex II към този DPA.
  • Annex III (sub-processors). Както е посочено в Annex III към този DPA.

14Актуализации на този DPA

Обработващият може периодично да актуализира този DPA, например за да отрази промени в закона, във функционалността на Услугата или в своите подобработващи. Обработващият ще даде разумно предварително известие за съществени промени на основния контакт по акаунта. Актуализации, които не намаляват съществено нивото на защита на Личните данни на Клиента, могат да влязат в сила от датата, на която бъдат публикувани на тази страница.

Готови ли сте за QR меню, поръчки на маса, взимане и доставка в едно?
Стартът е безплатен, а локалната видимост е включена.

Започнете безплатноСвържете се с нас