Přeskočit na obsah
Přihlásit seZačít
03Právní informace · DPA

Smlouva o zpracování osobních údajů

Podmínky zpracování osobních údajů podle Article 28 GDPR, které se použijí, když COTRONIKA EOOD zpracovává osobní údaje jménem Klienta prostřednictvím platformy UXO.

Poslední aktualizace
21 May 2026
Sekce
18
Doba čtení
~14 min

01Strany a rozsah

Tato smlouva o zpracování osobních údajů (dále jen DPA”) je součástí smlouvy mezi COTRONIKA EOOD, bulharskou společností s ručením omezeným s UIC 202457989 a sídlem v Sofia 1700, Bulgaria (dále jen “Zpracovatel”), a Klientem (dále jen “Správce”) pro používání platformy UXO podle Podmínek služby na adrese /legal/terms (dále jen Smlouva”).

DPA se použije vždy, když Zpracovatel zpracovává osobní údaje jménem Správce jako součást poskytování Služby. Pokud Zpracovatel zpracovává osobní údaje vlastním jménem (například fakturační údaje Klienta a kontaktní údaje oprávněných uživatelů z řad personálu), činí tak jako správce v souladu se Zásadami ochrany osobních údajů na adrese /legal/privacy — toto zpracování nespadá do rozsahu této DPA.

Pokud je mezi touto DPA a Smlouvou rozpor, má tato DPA přednost ve věcech týkajících se zpracování osobních údajů jménem Správce.

02Definice

Pojmy s velkým počátečním písmenem, které zde nejsou definovány, mají význam uvedený ve Smlouvě. Pojmy “osobní údaje”, “zpracování”, “správce”, “zpracovatel”, “subjekt údajů”, “subzpracovatel” a “narušení zabezpečení osobních údajů” mají význam uvedený v Article 4 of Regulation (EU) 2016/679 (the “GDPR”).

Příslušné právo ochrany osobních údajů
GDPR, právní předpisy členských států EU, které je provádějí nebo doplňují (včetně bulharského zákona o ochraně osobních údajů), a jakýkoli další předpis o ochraně údajů nebo soukromí použitelný na zpracování osobních údajů Zpracovatelem podle této DPA.
EEA
Evropský hospodářský prostor.
SCCs
Standard Contractual Clauses pro předávání osobních údajů do třetích zemí přijaté Evropskou komisí v Decision (EU) 2021/914 of 4 June 2021.
Osobní údaje Klienta
Osobní údaje zpracovávané Zpracovatelem jménem Správce podle této DPA.

03Role a pokyny ke zpracování

Strany berou na vědomí, že ve vztahu k Osobním údajům Klienta je Správce správcem osobních údajů a Zpracovatel zpracovatelem osobních údajů. Dokumentované pokyny Správce pro Zpracovatele tvoří Smlouva, tato DPA a jakékoli další pokyny přiměřeně udělené prostřednictvím konfiguračních možností Služby nebo písemně.

Zpracovatel bude Osobní údaje Klienta zpracovávat pouze na základě dokumentovaných pokynů Správce a pouze pro účely popsané v Annex I, pokud Příslušné právo ochrany osobních údajů nevyžaduje jinak. Pokud se Zpracovatel domnívá, že pokyn porušuje Příslušné právo ochrany osobních údajů, sdělí to Správci a může pokyn odmítnout vykonat.

Správce zaručuje, že má právo a zákonný základ zpřístupnit Osobní údaje Klienta Zpracovateli a dát mu pokyn k provedení zpracování popsaného v této DPA. Správce odpovídá za poskytování požadovaných informací subjektům údajů, za správu svého vztahu se subjekty údajů a za získání souhlasu tam, kde je souhlas zákonným základem zpracování.

04Povinnosti zpracovatele (Article 28(3) GDPR)

Zpracovatel bude:

  • zpracovávat Osobní údaje Klienta pouze na základě dokumentovaných pokynů Správce, včetně pokynů týkajících se mezinárodních předání (viz Section 9);
  • zajišťovat, aby osoby oprávněné zpracovávat Osobní údaje Klienta byly zavázány mlčenlivostí nebo podléhaly odpovídající zákonné povinnosti mlčenlivosti;
  • zavést technická a organizační opatření uvedená v Annex II k ochraně Osobních údajů Klienta před náhodným nebo protiprávním zničením, ztrátou, změnou, neoprávněným zpřístupněním nebo přístupem;
  • dodržovat podmínky této DPA pro zapojení subzpracovatelů (Section 5);
  • s ohledem na povahu zpracování pomáhat Správci vhodnými technickými a organizačními opatřeními, pokud je to možné, při plnění povinnosti Správce reagovat na žádosti subjektů údajů (Section 7);
  • pomáhat Správci při zajištění souladu s povinnostmi podle Articles 32 to 36 GDPR (bezpečnost, oznámení porušení zabezpečení, posouzení vlivu na ochranu osobních údajů, předchozí konzultace) s ohledem na povahu zpracování a informace dostupné Zpracovateli;
  • podle volby Správce vymazat nebo vrátit veškeré Osobní údaje Klienta po skončení poskytování služeb a vymazat existující kopie, ledaže Příslušné právo ochrany osobních údajů vyžaduje jejich uchování (viz Section 10);
  • zpřístupnit Správci veškeré informace potřebné k doložení souladu s povinnostmi stanovenými v Article 28 GDPR a umožnit audity a přispět k nim, jak je uvedeno v Section 8.

05Subzpracovatelé

Obecné povolení

Správce uděluje Zpracovateli obecné povolení zapojit subzpracovatele uvedené v Annex III ke dni této DPA. Zpracovatel zůstává vůči Správci plně odpovědný za plnění povinností každého subzpracovatele.

Noví nebo nahrazující subzpracovatelé

Zpracovatel bude Správce předem informovat o každém zamýšleném doplnění nebo nahrazení subzpracovatele a poskytne Správci přiměřenou možnost vznést námitku z důvodů ochrany osobních údajů. Oznámení bude zasláno e-mailem hlavnímu kontaktu účtu nebo bude zveřejněno prostřednictvím oznámení v produktu či na webu určeném k tomuto účelu, a to nejméně třicet dní před účinností změny.

Námitka

Správce může během oznamovací lhůty vznést námitku z přiměřených, zdokumentovaných důvodů ochrany osobních údajů. Strany budou o námitce jednat v dobré víře. Pokud se námitku nepodaří vyřešit, může Správce dotčenou část Služby ukončit písemným oznámením; Zpracovatel vrátí veškeré předplacené poplatky za nevyužitou část této Služby ode dne ukončení.

Povinnosti subzpracovatelů

Pokud Zpracovatel zapojí subzpracovatele, uloží mu prostřednictvím písemné smlouvy stejné povinnosti v oblasti ochrany údajů, jaké stanoví tato DPA, zejména povinnost poskytnout dostatečné záruky k zavedení vhodných technických a organizačních opatření, aby zpracování splňovalo požadavky GDPR.

06Oznámení porušení zabezpečení osobních údajů

Zpracovatel oznámí Správci bez zbytečného odkladu poté, co se dozví o porušení zabezpečení osobních údajů, které se dotýká Osobních údajů Klienta. Oznámení bude zasláno na e-mailovou adresu spojenou s hlavním kontaktem účtu Správce a bude v rozsahu, v jakém jsou tyto informace Zpracovateli v daném okamžiku známy, obsahovat:

  • popis povahy porušení, včetně, je-li to možné, kategorií a přibližného počtu dotčených subjektů údajů a záznamů;
  • jméno a kontaktní údaje kontaktního místa Zpracovatele;
  • pravděpodobné důsledky porušení;
  • přijatá nebo navržená opatření k řešení porušení a zmírnění jeho možných nepříznivých dopadů.

Pokud není možné všechny tyto informace poskytnout najednou, Zpracovatel je poskytne po částech, jakmile budou k dispozici, bez dalšího zbytečného odkladu.

Oznámení porušení nepředstavuje uznání viny ani odpovědnosti ze strany Zpracovatele.

07Součinnost při právech subjektů údajů

Služba poskytuje Správci samoobslužné nástroje, které mu umožňují reagovat na subjekty údajů uplatňující práva na přístup, opravu, výmaz, omezení, přenositelnost a námitku podle Articles 15-22 GDPR (například dashboard pro personál exportuje historii objednávek a záznamy kontaktů zákazníků a Správce může záznamy mazat přímo).

Pokud samoobslužné nástroje nestačí, poskytne Zpracovatel s ohledem na povahu zpracování Správci přiměřenou součinnost při odpovědi na žádost subjektu údajů. Zpracovatel může za součinnost účtovat přiměřený poplatek, pokud je žádost zjevně nedůvodná nebo nepřiměřená, zejména kvůli své opakující se povaze.

Pokud Zpracovatel obdrží žádost subjektu údajů přímo od subjektu údajů ve vztahu k Osobním údajům Klienta, vyzve subjekt údajů, aby žádost adresoval Správci, a Správce o tom bez zbytečného odkladu informuje.

08Audity

Zpracovatel zpřístupní Správci na základě přiměřené písemné žádosti informace potřebné k doložení souladu s jeho povinnostmi podle Article 28 GDPR.

Pokud se Správce důvodně domnívá, že poskytnuté informace k doložení souladu nestačí, může provést audit nejvýše jednou za kalendářní rok, a to po zaslání písemného oznámení alespoň třicet dní předem. Audity budou probíhat v pracovní době, budou respektovat důvěrnost údajů ostatních zákazníků, nebudou nepřiměřeně zasahovat do podnikání Zpracovatele a provede je Správce nebo kvalifikovaný nezávislý auditor třetí strany při dodržení odpovídajících povinností mlčenlivosti. Náklady na audit nese Správce, ledaže audit odhalí podstatné porušení této DPA přičitatelné Zpracovateli.

Častější audity mohou být vyžadovány, pokud Správci jejich provedení uloží dozorový úřad nebo po porušení zabezpečení osobních údajů, které podstatně zasáhne údaje Správce.

09Mezinárodní předávání

Zpracovatel zpracovává Osobní údaje Klienta primárně v Bulharsku (EU). Pokud Zpracovatel nebo subzpracovatel předává Osobní údaje Klienta do země mimo EEA, na niž se nevztahuje rozhodnutí o odpovídající ochraně podle Article 45 GDPR, strany se dohodly, že takové předání bude probíhat na základě vhodných záruk ve smyslu Article 46 GDPR, kterými budou:

  • SCCs uzavřené mezi vývozcem údajů a dovozcem údajů v příslušném modulu, s volbami a nepovinnými ustanoveními uvedenými v Annex IV; nebo
  • pokud se dovozce samocertifikuje podle EU-US Data Privacy Framework (Commission Implementing Decision (EU) 2023/1795), rozhodnutí o odpovídající ochraně ve spojení se samocertifikací dovozce.

Zpracovatel v případě potřeby provede posouzení dopadu předání a zavede doplňková opatření tam, kde jsou přiměřeně nutná k zajištění, že nebude oslabena úroveň ochrany zaručená GDPR.

10Vrácení nebo výmaz údajů

Po ukončení Smlouvy a podle volby Správce Zpracovatel:

  • vrátí Správci veškeré Osobní údaje Klienta ve strukturovaném, běžně používaném a strojově čitelném formátu prostřednictvím exportních nástrojů Služby nebo jinými přiměřenými prostředky; nebo
  • vymaže veškeré Osobní údaje Klienta.

Do tří měsíců od ukončení Zpracovatel vymaže Osobní údaje Klienta z produkčních systémů a z běžných záloh v rámci standardních provozních cyklů, s výjimkou případů, kdy Příslušné právo ochrany osobních údajů nebo jiné použitelné právo vyžaduje delší uchování (například účetní a daňové záznamy) nebo kdy je uchování nezbytné pro určení, výkon nebo obhajobu právních nároků. Veškeré takto uchované údaje zůstávají podřízeny této DPA.

11Odpovědnost a doba trvání

Odpovědnost každé strany podle této DPA podléhá omezením a vyloučením uvedeným ve Smlouvě. Nic v této DPA nevylučuje ani neomezuje odpovědnost strany za podvod, hrubou nedbalost, úmyslné pochybení nebo jakoukoli odpovědnost, kterou nelze omezit nebo vyloučit podle Příslušného práva ochrany osobních údajů.

Tato DPA nabývá účinnosti dnem, kdy strany uzavřou Smlouvu, a trvá do doby, než Zpracovatel v souladu se Section 10 vymaže nebo vrátí všechny Osobní údaje Klienta. Povinnosti podle této DPA přetrvávají po ukončení Smlouvy po dobu, po kterou Zpracovatel Osobní údaje Klienta uchovává.

12Rozhodné právo

Tato DPA se řídí právem Bulharské republiky bez ohledu na její kolizní normy. Soudy města Sofia mají výlučnou pravomoc ve vztahu k jakémukoli sporu vzniklému z této DPA nebo v souvislosti s ní, ledaže Příslušné právo ochrany osobních údajů přiznává výlučnou pravomoc jinému fóru.

13Kontakt

Dotazy k této DPA, žádosti o výkon práv jménem subjektů údajů nebo oznámení vyžadovaná podle této DPA zasílejte na [email protected] nebo poštou na adresu COTRONIKA EOOD, Sofia 1700, Bulgaria.

A1Příloha I — Popis zpracování

Předmět

Zpracování osobních údajů Zpracovatelem jménem Správce za účelem poskytování platformy UXO podle Smlouvy.

Doba trvání

Po dobu trvání Smlouvy a po jakékoli další období, během něhož Zpracovatel uchovává Osobní údaje Klienta v souladu se Section 10.

Povaha a účel zpracování

Hosting, ukládání, vyhledávání, zobrazování, přenos, nahlížení, organizace, strukturování, indexace, vyhledávání, pseudonymizace, výmaz a další operace nezbytné pro provoz funkcí platformy UXO, které se Správce rozhodne používat, včetně digitálních menu, objednávání přes QR, procesů vyzvednutí a doručení, rezervací, dashboardu pro personál, ploch marketplace a podpůrné analytiky.

Kategorie subjektů údajů

  • Hosté provozoven Správce, kteří skenují QR kód, zadávají objednávky, vytvářejí rezervace nebo jinak interagují se zákaznickými částmi rozhraní.
  • Oprávnění členové personálu Správce, kteří používají dashboard pro personál, frontu kuchyně / baru nebo tiskovou službu.
  • Pokud je to relevantní, dodavatelé a další obchodní kontakty, které Správce přidá ke své provozovně.

Kategorie osobních údajů

  • Kontaktní a identifikační údaje — jméno, e-mail, telefon, doručovací adresa.
  • Údaje o objednávkách a rezervacích — položky, varianty, poznámky, časy, údaje o stolu nebo vyzvednutí/doručení, stav platby.
  • Údaje o účtu — jazyková preference, uložené adresy, autentizační tokeny.
  • Údaje o personálu — jméno, role, kontaktní údaje, session tokeny, záznamy aktivit.
  • Technické a spojovací údaje — IP adresa, zařízení, prohlížeč, přibližná poloha, serverové logy a bezpečnostní telemetrie.

Služba není navržena pro zpracování zvláštních kategorií osobních údajů (Article 9 GDPR) ani údajů o odsouzeních za trestné činy a trestných činech (Article 10 GDPR). Správce se zavazuje takové údaje nenahrávat, pokud se Zpracovatelem předem písemně nesjedná další záruky.

A2Příloha II — Technická a organizační opatření

S ohledem na stav techniky, náklady na zavedení, povahu, rozsah, kontext a účely zpracování, jakož i riziko pro práva a svobody fyzických osob, zavádí Zpracovatel vhodná technická a organizační opatření, aby zajistil úroveň zabezpečení odpovídající riziku. Aktuální opatření zahrnují:

Důvěrnost

  • Šifrování TLS 1.2+ při přenosu pro veškerý provoz do Služby a ze Služby.
  • Šifrování produkčních databází a záloh při uložení pomocí algoritmů odpovídajících oborovému standardu.
  • Řízení přístupu podle rolí s principem nejmenších oprávnění. Přístup personálu k produkčním datům je omezen na osoby, jejichž role jej vyžaduje.
  • Izolace multi-tenancy vynucovaná při každém databázovém dotazu prostřednictvím povinného tenancy filtru restaurant.
  • Hesla ukládaná jako saltované hashe pomocí pomalého, memory-hard algoritmu. Session tokeny se rotují a expirují.

Integrita

  • Proces change managementu kódu s peer review změn produkčních systémů.
  • Automatizovaný continuous-integration build a test pipeline před nasazením.
  • Auditní logy administrativních akcí, podepsané a chráněné proti neoprávněné manipulaci.

Dostupnost a odolnost

  • Redundantní produkční infrastruktura s pravidelnými automatizovanými zálohami.
  • Ochrana proti DDoS a webový aplikační firewall prostřednictvím Cloudflare.
  • Plánování kapacity a monitoring stavu systémů.
  • Zdokumentované postupy reakce na incidenty s definovanou eskalační linií.

Pravidelné testování a přezkum

  • Pravidelné opravování zranitelností operačního systému, běhového prostředí, frameworku, závislostí a infrastrukturních komponent.
  • Pravidelné hodnocení bezpečnostního profilu dodavatelů u subzpracovatelů uvedených v Annex III.
  • Pravidelný přezkum a aktualizace těchto technických a organizačních opatření.

Zpracovatel může tato opatření čas od času aktualizovat tak, aby odrážela změny stavu techniky a rizikového profilu Služby, pokud aktualizovaná opatření podstatně nesníží úroveň ochrany.

A3Příloha III — Aktuální subzpracovatelé

Níže jsou uvedeni aktuální subzpracovatelé zapojení Zpracovatelem při poskytování Služby. Seznam odpovídá stavu ke dni “Last updated” a je veden v souladu se Section 5.

SubzpracovatelÚčelUmístění
COTRONIKA EOOD (vlastní infrastruktura)Hosting aplikace, primární databáze, úložiště souborů, zálohy, doručování e-mailů přes SMTP, správa předplatného (vlastní instalace WHMCS), monitoring chybBulgaria (EU)
Cloudflare, Inc.DNS, CDN, ochrana proti DDoS, webový aplikační firewall, detekce botů TurnstileUSA, s body přítomnosti v EU
Stripe Payments Europe LtdZpracování plateb za poplatky za předplatné a další placené transakceIrsko (EU), s mateřskou společností v USA
Anthropic PBCPřevod naskenovaných papírových menu na text (OCR) pouze prostřednictvím funkce menu-scan; Služba při běžném provozu prostřednictvím této funkce neodesílá Osobní údaje KlientaUSA
Google Ireland Ltd (Google Analytics)Pouze webová analytika na marketingovém webu uxo.bgIrsko (EU), s mateřskou společností v USA

A4Příloha IV — Volby modulů SCC

Pokud se na předání podle Section 9 použijí SCCs, jsou předem zvoleny tyto možnosti:

  • Module. Module Two (transfer controller-to-processor) se použije mezi Správcem a jakýmkoli subzpracovatelem mimo EEA zapojeným přímo Správcem. Module Three (transfer processor-to-processor) se použije mezi Zpracovatelem a jakýmkoli subzpracovatelem mimo EEA, kterého Zpracovatel zapojí jménem Správce.
  • Clause 7 (docking clause). Použije se. Další Správci a Zpracovatelé mohou k SCCs přistoupit v souladu s tímto ustanovením.
  • Clause 9 (sub-processors). Option 2 (general written authorisation), s oznamovací lhůtou uvedenou v Section 5.
  • Clause 11 (redress). Nepovinné znění umožňující subjektu údajů podat stížnost u nezávislého orgánu pro řešení sporů se nevolí.
  • Clause 17 (governing law). Bulgarian law.
  • Clause 18 (forum and jurisdiction). The courts of Sofia City, Bulgaria.
  • Annex I.A (parties). Správce je identifikován údaji účtu poskytnutými Zpracovateli; Zpracovatelem je COTRONIKA EOOD; kontakt pro ochranu osobních údajů obou stran je [email protected] za Zpracovatele a e-mailová adresa účtu Správce za Správce.
  • Annex I.B (description). Jak je uvedeno v Annex I této DPA.
  • Annex II (security measures). Jak je uvedeno v Annex II této DPA.
  • Annex III (sub-processors). Jak je uvedeno v Annex III této DPA.

14Aktualizace této DPA

Zpracovatel může tuto DPA čas od času aktualizovat, například aby odrážela změny práva, funkcionality Služby nebo jeho subzpracovatelů. O podstatných změnách poskytne Zpracovatel s rozumným předstihem oznámení hlavnímu kontaktu účtu. Aktualizace, které podstatně nesnižují úroveň ochrany Osobních údajů Klienta, mohou nabýt účinnosti dnem zveřejnění na této stránce.

Chcete QR menu, objednávky od stolu, vyzvednutí i rozvoz v jednom?
Začít můžete zdarma a viditelnost v okolí máte v ceně.

Začít zdarmaOzvěte se nám