01Μέρη και πεδίο εφαρμογής

Η παρούσα Σύμβαση επεξεργασίας δεδομένων (το “DPA”) αποτελεί μέρος της συμφωνίας μεταξύ της COTRONIKA EOOD, βουλγαρικής εταιρείας περιορισμένης ευθύνης με UIC 202457989 και έδρα στη Sofia 1700, Bulgaria (ο “Εκτελών την επεξεργασία”), και του Πελάτη (ο “Υπεύθυνος επεξεργασίας”) για τη χρήση της πλατφόρμας UXO βάσει των Όρων Χρήσης στη διεύθυνση /legal/terms(η “Συμφωνία”).

Το DPA εφαρμόζεται όποτε ο Εκτελών την επεξεργασία επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του Υπευθύνου επεξεργασίας στο πλαίσιο της παροχής της Υπηρεσίας. Όταν ο Εκτελών την επεξεργασία επεξεργάζεται προσωπικά δεδομένα για ίδιο λογαριασμό (για παράδειγμα τα δεδομένα χρέωσης του Πελάτη και τα στοιχεία επικοινωνίας των εξουσιοδοτημένων χρηστών προσωπικού), το πράττει ως υπεύθυνος επεξεργασίας σύμφωνα με την Πολιτική Απορρήτου στη διεύθυνση /legal/privacy — η επεξεργασία αυτή βρίσκεται εκτός του πεδίου εφαρμογής του παρόντος DPA.

Αν υπάρχει οποιαδήποτε σύγκρουση μεταξύ του παρόντος DPA και της Συμφωνίας, το παρόν DPA υπερισχύει ως προς τα ζητήματα που αφορούν την επεξεργασία προσωπικών δεδομένων για λογαριασμό του Υπευθύνου επεξεργασίας.

02Ορισμοί

Όροι με αρχικό κεφαλαίο που δεν ορίζονται εδώ έχουν την έννοια που τους αποδίδεται στη Συμφωνία. Οι όροι “δεδομένα προσωπικού χαρακτήρα”, “επεξεργασία”, “υπεύθυνος επεξεργασίας”, “εκτελών την επεξεργασία”, “υποκείμενο των δεδομένων”, “υποεκτελών την επεξεργασία” και “παραβίαση δεδομένων προσωπικού χαρακτήρα” έχουν τις έννοιες που τους αποδίδει το Article 4 of Regulation (EU) 2016/679 (το “GDPR”).

Εφαρμοστέο Δίκαιο Προστασίας Δεδομένων: Το GDPR, οι νόμοι των κρατών μελών της ΕΕ που το εφαρμόζουν ή το συμπληρώνουν (συμπεριλαμβανομένου του Βουλγαρικού Νόμου για την Προστασία Προσωπικών Δεδομένων), καθώς και κάθε άλλο δίκαιο προστασίας δεδομένων ή ιδιωτικότητας που εφαρμόζεται στην επεξεργασία προσωπικών δεδομένων από τον Εκτελούντα την επεξεργασία βάσει του παρόντος DPA.
EEA: Ο Ευρωπαϊκός Οικονομικός Χώρος.
SCCs: The Standard Contractual Clauses for the transfer of personal data to third countries adopted by the European Commission in Decision (EU) 2021/914 of 4 June 2021.
Προσωπικά Δεδομένα Πελάτη: Προσωπικά δεδομένα που επεξεργάζεται ο Εκτελών την επεξεργασία για λογαριασμό του Υπευθύνου επεξεργασίας βάσει του παρόντος DPA.

03Ρόλοι και οδηγίες επεξεργασίας

Τα μέρη αναγνωρίζουν ότι, σε σχέση με τα Προσωπικά Δεδομένα Πελάτη, ο Υπεύθυνος επεξεργασίας είναι ο υπεύθυνος επεξεργασίας και ο Εκτελών την επεξεργασία είναι ο εκτελών την επεξεργασία. Οι τεκμηριωμένες οδηγίες του Υπευθύνου επεξεργασίας προς τον Εκτελούντα την επεξεργασία συνίστανται στη Συμφωνία, στο παρόν DPA και σε κάθε περαιτέρω οδηγία που παρέχεται ευλόγως μέσω των επιλογών ρύθμισης της Υπηρεσίας ή εγγράφως.

Ο Εκτελών την επεξεργασία θα επεξεργάζεται Προσωπικά Δεδομένα Πελάτη μόνο βάσει τεκμηριωμένων οδηγιών του Υπευθύνου επεξεργασίας και μόνο για τους σκοπούς που περιγράφονται στο Annex I, εκτός αν το Εφαρμοστέο Δίκαιο Προστασίας Δεδομένων απαιτεί διαφορετικά. Αν ο Εκτελών την επεξεργασία θεωρεί ότι μια οδηγία παραβιάζει το Εφαρμοστέο Δίκαιο Προστασίας Δεδομένων, θα ενημερώνει τον Υπεύθυνο επεξεργασίας και μπορεί να αρνηθεί να ενεργήσει βάσει της οδηγίας αυτής.

Ο Υπεύθυνος επεξεργασίας εγγυάται ότι έχει το δικαίωμα και τη νόμιμη βάση να θέτει τα Προσωπικά Δεδομένα Πελάτη στη διάθεση του Εκτελούντος την επεξεργασία και να του δίνει οδηγίες για την επεξεργασία που περιγράφεται στο παρόν DPA. Ο Υπεύθυνος επεξεργασίας είναι υπεύθυνος για την παροχή των απαιτούμενων πληροφοριών στα υποκείμενα των δεδομένων, για τη διαχείριση της σχέσης του με αυτά και για τη λήψη συγκατάθεσης όταν η συγκατάθεση είναι η νόμιμη βάση της επεξεργασίας.

04Υποχρεώσεις εκτελούντος την επεξεργασία (Article 28(3) GDPR)

Ο Εκτελών την επεξεργασία θα:

επεξεργάζεται Προσωπικά Δεδομένα Πελάτη μόνο βάσει τεκμηριωμένων οδηγιών του Υπευθύνου επεξεργασίας, συμπεριλαμβανομένων οδηγιών ως προς διεθνείς διαβιβάσεις (βλ. Ενότητα 9)·
διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται Προσωπικά Δεδομένα Πελάτη έχουν αναλάβει υποχρέωση εμπιστευτικότητας ή υπέχουν κατάλληλη εκ του νόμου υποχρέωση εμπιστευτικότητας·
εφαρμόζει τα τεχνικά και οργανωτικά μέτρα που ορίζονται στο Annex II για την προστασία των Προσωπικών Δεδομένων Πελάτη από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη γνωστοποίηση ή πρόσβαση·
τηρεί τους όρους του παρόντος DPA για την εμπλοκή υποεκτελούντων την επεξεργασία (Ενότητα 5)·
λαμβάνοντας υπόψη τη φύση της επεξεργασίας, συνδράμει τον Υπεύθυνο επεξεργασίας με κατάλληλα τεχνικά και οργανωτικά μέτρα, στο μέτρο του δυνατού, στην εκπλήρωση της υποχρέωσής του να απαντά σε αιτήματα υποκειμένων των δεδομένων (Ενότητα 7)·
συνδράμει τον Υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης με τις υποχρεώσεις των Articles 32 to 36 GDPR (ασφάλεια, ειδοποίηση παραβίασης, εκτίμηση αντικτύπου προστασίας δεδομένων, προηγούμενη διαβούλευση), λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει ο Εκτελών την επεξεργασία·
κατ' επιλογή του Υπευθύνου επεξεργασίας, διαγράφει ή επιστρέφει όλα τα Προσωπικά Δεδομένα Πελάτη μετά το τέλος της παροχής των υπηρεσιών και διαγράφει τα υφιστάμενα αντίγραφα, εκτός αν το Εφαρμοστέο Δίκαιο Προστασίας Δεδομένων απαιτεί αποθήκευση (βλ. Ενότητα 10)·
θέτει στη διάθεση του Υπευθύνου επεξεργασίας όλες τις πληροφορίες που είναι αναγκαίες για την απόδειξη συμμόρφωσης με τις υποχρεώσεις του Article 28 GDPR και επιτρέπει και συμβάλλει σε ελέγχους, όπως ορίζεται στην Ενότητα 8.

05Υποεκτελούντες την επεξεργασία

Γενική εξουσιοδότηση

Ο Υπεύθυνος επεξεργασίας παρέχει στον Εκτελούντα την επεξεργασία γενική εξουσιοδότηση να χρησιμοποιεί τους υποεκτελούντες την επεξεργασία που απαριθμούνται στο Annex III κατά την ημερομηνία του παρόντος DPA. Ο Εκτελών την επεξεργασία παραμένει πλήρως υπεύθυνος έναντι του Υπευθύνου επεξεργασίας για την εκπλήρωση των υποχρεώσεων κάθε υποεκτελούντος την επεξεργασία.

Νέοι ή αντικατασταθέντες υποεκτελούντες την επεξεργασία

Ο Εκτελών την επεξεργασία θα ενημερώνει εκ των προτέρων τον Υπεύθυνο επεξεργασίας για κάθε προτιθέμενη προσθήκη ή αντικατάσταση υποεκτελούντος την επεξεργασία, παρέχοντάς του εύλογη ευκαιρία να αντιταχθεί για λόγους προστασίας δεδομένων. Η ειδοποίηση θα δίνεται με email στην κύρια επαφή λογαριασμού ή με ανακοίνωση μέσα στο προϊόν ή στον ιστότοπο που διατηρείται για τον σκοπό αυτό, τουλάχιστον τριάντα ημέρες πριν η αλλαγή τεθεί σε ισχύ.

Αντίρρηση

Ο Υπεύθυνος επεξεργασίας μπορεί να αντιταχθεί εντός της περιόδου ειδοποίησης για εύλογους, τεκμηριωμένους λόγους προστασίας δεδομένων. Τα μέρη θα συζητήσουν την αντίρρηση με καλή πίστη. Αν η αντίρρηση δεν μπορεί να επιλυθεί, ο Υπεύθυνος επεξεργασίας μπορεί να καταγγείλει το επηρεαζόμενο μέρος της Υπηρεσίας με γραπτή ειδοποίηση· ο Εκτελών την επεξεργασία θα επιστρέψει τυχόν προπληρωμένα Τέλη για το αχρησιμοποίητο μέρος της Υπηρεσίας αυτής από την ημερομηνία καταγγελίας.

Υποχρεώσεις υποεκτελούντων

Όταν ο Εκτελών την επεξεργασία χρησιμοποιεί υποεκτελούντα την επεξεργασία, θα επιβάλλει σε αυτόν τις ίδιες υποχρεώσεις προστασίας δεδομένων με εκείνες που προβλέπονται στο παρόν DPA, μέσω γραπτής σύμβασης, παρέχοντας ιδίως επαρκείς εγγυήσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων ώστε η επεξεργασία να πληροί τις απαιτήσεις του GDPR.

06Ειδοποίηση παραβίασης προσωπικών δεδομένων

Ο Εκτελών την επεξεργασία θα ειδοποιεί τον Υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση μόλις λάβει γνώση προσωπικής παραβίασης δεδομένων που επηρεάζει Προσωπικά Δεδομένα Πελάτη. Η ειδοποίηση θα αποστέλλεται στη διεύθυνση email που συνδέεται με την κύρια επαφή λογαριασμού του Υπευθύνου επεξεργασίας και θα περιλαμβάνει, στον βαθμό που οι πληροφορίες είναι τότε γνωστές στον Εκτελούντα την επεξεργασία:

περιγραφή της φύσης της παραβίασης, συμπεριλαμβανομένων, όπου είναι δυνατόν, των κατηγοριών και του κατά προσέγγιση αριθμού των υποκειμένων των δεδομένων και των αρχείων που επηρεάζονται·
το όνομα και τα στοιχεία επικοινωνίας του σημείου επαφής του Εκτελούντος την επεξεργασία·
τις πιθανές συνέπειες της παραβίασης·
τα μέτρα που ελήφθησαν ή προτείνονται για την αντιμετώπιση της παραβίασης και τον περιορισμό των πιθανών δυσμενών επιπτώσεών της.

Όταν δεν είναι δυνατό να παρασχεθούν όλες αυτές οι πληροφορίες ταυτόχρονα, ο Εκτελών την επεξεργασία θα τις παρέχει σταδιακά, μόλις καθίστανται διαθέσιμες, χωρίς περαιτέρω αδικαιολόγητη καθυστέρηση.

Η ειδοποίηση για παραβίαση δεν συνιστά αναγνώριση πταίσματος ή ευθύνης από τον Εκτελούντα την επεξεργασία.

07Συνδρομή για δικαιώματα υποκειμένων των δεδομένων

Η Υπηρεσία παρέχει στον Υπεύθυνο επεξεργασίας εργαλεία αυτοεξυπηρέτησης για να ανταποκρίνεται σε υποκείμενα των δεδομένων που ασκούν τα δικαιώματά τους πρόσβασης, διόρθωσης, διαγραφής, περιορισμού, φορητότητας και εναντίωσης βάσει των Articles 15-22 GDPR (για παράδειγμα, ο πίνακας διαχείρισης προσωπικού εξάγει ιστορικό παραγγελιών και αρχεία επικοινωνίας πελατών και ο Υπεύθυνος επεξεργασίας μπορεί να διαγράφει αρχεία απευθείας).

Όταν τα εργαλεία αυτοεξυπηρέτησης δεν επαρκούν, λαμβάνοντας υπόψη τη φύση της επεξεργασίας, ο Εκτελών την επεξεργασία θα παρέχει εύλογη συνδρομή στον Υπεύθυνο επεξεργασίας για την απάντηση σε αίτημα υποκειμένου των δεδομένων. Ο Εκτελών την επεξεργασία μπορεί να χρεώσει εύλογη αμοιβή για συνδρομή που είναι προδήλως αβάσιμη ή υπερβολική, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα της.

Αν ο Εκτελών την επεξεργασία λάβει απευθείας αίτημα υποκειμένου των δεδομένων από το ίδιο το υποκείμενο σε σχέση με Customer Personal Data, θα το παραπέμψει να απευθύνει το αίτημα στον Υπεύθυνο επεξεργασίας και θα ειδοποιήσει τον Υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση.

08Έλεγχοι

Ο Εκτελών την επεξεργασία θα θέτει στη διάθεση του Υπευθύνου επεξεργασίας, κατόπιν εύλογου γραπτού αιτήματος, τις πληροφορίες που είναι αναγκαίες για να αποδεικνύεται η συμμόρφωσή του με τις υποχρεώσεις του βάσει του Article 28 GDPR.

Όταν ο Υπεύθυνος επεξεργασίας θεωρεί εύλογα ότι οι παρεχόμενες πληροφορίες δεν επαρκούν για την απόδειξη της συμμόρφωσης, μπορεί να διενεργεί έλεγχο το πολύ μία φορά ανά ημερολογιακό έτος, αποστέλλοντας γραπτή ειδοποίηση τουλάχιστον τριάντα ημέρες νωρίτερα. Οι έλεγχοι θα διενεργούνται κατά τις εργάσιμες ώρες, θα σέβονται την εμπιστευτικότητα των δεδομένων άλλων πελατών, δεν θα παρεμβαίνουν αδικαιολόγητα στις δραστηριότητες του Εκτελούντος την επεξεργασία και θα διενεργούνται από τον Υπεύθυνο επεξεργασίας ή από ανεξάρτητο εξειδικευμένο τρίτο ελεγκτή που δεσμεύεται από κατάλληλες υποχρεώσεις εμπιστευτικότητας. Ο Υπεύθυνος επεξεργασίας φέρει το κόστος του ελέγχου του, εκτός αν ο έλεγχος εντοπίσει ουσιώδη παραβίαση του παρόντος DPA που αποδίδεται στον Εκτελούντα την επεξεργασία.

Συχνότεροι έλεγχοι μπορεί να απαιτούνται αν μια εποπτική αρχή δώσει οδηγία στον Υπεύθυνο επεξεργασίας να διενεργήσει τέτοιο έλεγχο ή μετά από παραβίαση προσωπικών δεδομένων που επηρεάζει ουσιωδώς τα δεδομένα του Υπευθύνου επεξεργασίας.

09Διεθνείς διαβιβάσεις

Ο Εκτελών την επεξεργασία επεξεργάζεται κυρίως Προσωπικά Δεδομένα Πελάτη εντός της Bulgaria (EU). Όταν ο Εκτελών την επεξεργασία ή ένας υποεκτελών την επεξεργασία διαβιβάζει Προσωπικά Δεδομένα Πελάτη σε χώρα εκτός EEA που δεν καλύπτεται από adequacy decision βάσει του Article 45 GDPR, τα μέρη συμφωνούν ότι η διαβίβαση θα πραγματοποιείται βάσει κατάλληλων εγγυήσεων κατά την έννοια του Article 46 GDPR, οι οποίες θα είναι:

οι SCCs, που συνάπτονται μεταξύ του data exporter και του data importer στο εφαρμοστέο Module form, με τις επιλογές και τις προαιρετικές ρήτρες που ορίζονται στο Annex IV· ή
όταν ο importer έχει self-certified βάσει του EU-US Data Privacy Framework (Commission Implementing Decision (EU) 2023/1795), η adequacy decision σε συνδυασμό με το self-certification του importer.

Ο Εκτελών την επεξεργασία θα διενεργεί, όπου απαιτείται, transfer impact assessment και θα εφαρμόζει supplementary measures όπου αυτό είναι εύλογα αναγκαίο για να διασφαλίζεται ότι δεν υπονομεύεται το επίπεδο προστασίας που εγγυάται το GDPR.

10Επιστροφή ή διαγραφή δεδομένων

Με τη λύση της Συμφωνίας και κατ' επιλογή του Υπευθύνου επεξεργασίας, ο Εκτελών την επεξεργασία θα:

επιστρέφει όλα τα Προσωπικά Δεδομένα Πελάτη στον Υπεύθυνο επεξεργασίας σε δομημένο, κοινώς χρησιμοποιούμενο και machine-readable format μέσω των export tools της Υπηρεσίας ή με άλλο εύλογο τρόπο· ή
διαγράφει όλα τα Προσωπικά Δεδομένα Πελάτη.

Εντός τριών μηνών από τη λύση, ο Εκτελών την επεξεργασία θα διαγράφει τα Προσωπικά Δεδομένα Πελάτη από συστήματα παραγωγής και από τακτικά αντίγραφα ασφαλείας εντός των συνήθων λειτουργικών κύκλων, εκτός αν το Εφαρμοστέο Δίκαιο Προστασίας Δεδομένων ή άλλο εφαρμοστέο δίκαιο απαιτεί περαιτέρω διατήρηση (για παράδειγμα, λογιστικά και φορολογικά αρχεία) ή όταν η διατήρηση είναι αναγκαία για τη θεμελίωση, άσκηση ή υπεράσπιση νομικών αξιώσεων. Κάθε δεδομένο που διατηρείται παραμένει αντικείμενο του παρόντος DPA.

11Ευθύνη και διάρκεια

Η ευθύνη κάθε μέρους βάσει του παρόντος DPA υπόκειται στους περιορισμούς και τις εξαιρέσεις που προβλέπονται στη Συμφωνία. Τίποτα στο παρόν DPA δεν αποκλείει ή περιορίζει την ευθύνη μέρους για απάτη, βαριά αμέλεια, δόλο ή οποιαδήποτε ευθύνη που δεν μπορεί να περιοριστεί ή να αποκλειστεί βάσει του Εφαρμοστέου Δικαίου Προστασίας Δεδομένων.

Το παρόν DPA τίθεται σε ισχύ την ημερομηνία κατά την οποία τα μέρη συνάπτουν τη Συμφωνία και συνεχίζει να ισχύει έως ότου ο Εκτελών την επεξεργασία διαγράψει ή επιστρέψει όλα τα Προσωπικά Δεδομένα Πελάτη σύμφωνα με την Ενότητα 10. Οι υποχρεώσεις του παρόντος DPA εξακολουθούν να ισχύουν μετά τη λύση της Συμφωνίας για όσο διάστημα ο Εκτελών την επεξεργασία διατηρεί Προσωπικά Δεδομένα Πελάτη.

12Εφαρμοστέο δίκαιο

Το παρόν DPA διέπεται από τους νόμους της Republic of Bulgaria χωρίς αναφορά στους κανόνες σύγκρουσης νόμων. Τα δικαστήρια της Sofia City έχουν αποκλειστική δικαιοδοσία για κάθε διαφορά που προκύπτει από ή σε σχέση με το παρόν DPA, εκτός όταν το Εφαρμοστέο Δίκαιο Προστασίας Δεδομένων απονέμει αποκλειστική δικαιοδοσία σε διαφορετικό δικαιοδοτικό όργανο.

13Επικοινωνία

Ερωτήσεις σχετικά με το παρόν DPA, αιτήματα για άσκηση δικαιωμάτων για λογαριασμό υποκειμένων των δεδομένων ή ειδοποιήσεις που απαιτούνται βάσει αυτού πρέπει να αποστέλλονται στο [email protected] ή ταχυδρομικά στη COTRONIKA EOOD, Sofia 1700, Bulgaria.

A1Παράρτημα I — Περιγραφή της επεξεργασίας

Αντικείμενο

Επεξεργασία προσωπικών δεδομένων από τον Εκτελούντα την επεξεργασία για λογαριασμό του Υπευθύνου επεξεργασίας με σκοπό την παροχή της πλατφόρμας UXO βάσει της Συμφωνίας.

Διάρκεια

Για τη διάρκεια της Συμφωνίας και για κάθε μεταγενέστερη περίοδο κατά την οποία ο Εκτελών την επεξεργασία διατηρεί Προσωπικά Δεδομένα Πελάτη σύμφωνα με την Ενότητα 10.

Φύση και σκοπός της επεξεργασίας

Φιλοξενία, αποθήκευση, ανάκτηση, προβολή, διαβίβαση, αναζήτηση, εξέταση, οργάνωση, διάρθρωση, ευρετηρίαση, ψευδωνυμοποίηση, διαγραφή και λοιπές πράξεις που είναι αναγκαίες για τη λειτουργία των χαρακτηριστικών της πλατφόρμας UXO που επιλέγει να χρησιμοποιεί ο Υπεύθυνος επεξεργασίας, συμπεριλαμβανομένων ψηφιακών μενού, ροών παραγγελίας μέσω QR, ροών pickup και delivery, κρατήσεων, του πίνακα διαχείρισης προσωπικού, της επιφάνειας marketplace και των υποστηρικτικών αναλυτικών στοιχείων.

Κατηγορίες υποκειμένων των δεδομένων

Επισκέπτες των χώρων του Υπευθύνου επεξεργασίας που σαρώνουν QR code, υποβάλλουν παραγγελίες, κάνουν κρατήσεις ή αλληλεπιδρούν με άλλο τρόπο με διεπαφές που απευθύνονται στους πελάτες.
Εξουσιοδοτημένα μέλη προσωπικού του Υπευθύνου επεξεργασίας που χρησιμοποιούν τον πίνακα διαχείρισης προσωπικού, τις ουρές κουζίνας / bar ή την υπηρεσία εκτυπωτή.
Όπου εφαρμόζεται, προμηθευτές και λοιπές επιχειρηματικές επαφές που ο Υπεύθυνος επεξεργασίας προσθέτει στον χώρο του.

Κατηγορίες προσωπικών δεδομένων

Δεδομένα επικοινωνίας και ταυτοποίησης — όνομα, email, τηλέφωνο, διεύθυνση παράδοσης.
Δεδομένα παραγγελιών και κρατήσεων — είδη, παραλλαγές, σημειώσεις, ώρες, στοιχεία τραπεζιού ή pickup/delivery, κατάσταση πληρωμής.
Δεδομένα λογαριασμού — προτίμηση γλώσσας, αποθηκευμένες διευθύνσεις, διακριτικά ταυτοποίησης.
Δεδομένα προσωπικού — όνομα, ρόλος, στοιχεία επικοινωνίας, διακριτικά συνόδου, αρχεία δραστηριότητας.
Τεχνικά δεδομένα και δεδομένα σύνδεσης — διεύθυνση IP, συσκευή, πρόγραμμα περιήγησης, κατά προσέγγιση τοποθεσία, αρχεία καταγραφής διακομιστή και τηλεμετρία ασφάλειας.

Η Υπηρεσία δεν έχει σχεδιαστεί για επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων (Article 9 GDPR) ή δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα (Article 10 GDPR). Ο Υπεύθυνος επεξεργασίας αναλαμβάνει να μη μεταφορτώνει τέτοια δεδομένα χωρίς να συμφωνήσει προηγουμένως γραπτώς με τον Εκτελούντα την επεξεργασία σε πρόσθετες εγγυήσεις.

A2Παράρτημα II — Τεχνικά και οργανωτικά μέτρα

Λαμβάνοντας υπόψη την τελευταία λέξη της τεχνολογίας, το κόστος υλοποίησης και τη φύση, το πεδίο, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τον κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων, ο Εκτελών την επεξεργασία εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει επίπεδο ασφάλειας ανάλογο προς τον κίνδυνο. Τα τρέχοντα μέτρα περιλαμβάνουν:

Εμπιστευτικότητα

Κρυπτογράφηση TLS 1.2+ κατά τη μεταφορά για όλη την κίνηση προς και από την Υπηρεσία.
Κρυπτογράφηση σε κατάσταση ηρεμίας για βάσεις δεδομένων παραγωγής και αντίγραφα ασφαλείας με αλγορίθμους βιομηχανικού προτύπου.
Έλεγχος πρόσβασης βάσει ρόλων με την αρχή του ελάχιστου δικαιώματος. Η πρόσβαση του προσωπικού σε δεδομένα παραγωγής περιορίζεται στα πρόσωπα των οποίων ο ρόλος το απαιτεί.
Απομόνωση πολυμισθωτικής αρχιτεκτονικής που επιβάλλεται σε κάθε ερώτημα βάσης δεδομένων μέσω υποχρεωτικού tenancy filter restaurant.
Κωδικοί πρόσβασης αποθηκευμένοι ως κατακερματισμοί με salt, με αργό αλγόριθμο υψηλής απαίτησης μνήμης. Τα διακριτικά συνόδου εναλλάσσονται και λήγουν.

Ακεραιότητα

Διαδικασία διαχείρισης αλλαγών κώδικα με έλεγχο από δεύτερο μηχανικό των αλλαγών στα συστήματα παραγωγής.
Αυτοματοποιημένο pipeline build και δοκιμών συνεχούς ενοποίησης πριν από την ανάπτυξη.
Audit logs διοικητικών ενεργειών, υπογεγραμμένα και tamper-evident.

Διαθεσιμότητα και ανθεκτικότητα

Πλεονάζουσα υποδομή παραγωγής με τακτικά αυτοματοποιημένα αντίγραφα ασφαλείας.
DDoS protection και web-application firewall μέσω Cloudflare.
Σχεδιασμός χωρητικότητας και παρακολούθηση της υγείας του συστήματος.
Τεκμηριωμένες διαδικασίες απόκρισης σε περιστατικά με καθορισμένη αλυσίδα κλιμάκωσης.

Περιοδικός έλεγχος και αναθεώρηση

Τακτική επιδιόρθωση ευπαθειών του λειτουργικού συστήματος, του περιβάλλοντος εκτέλεσης γλώσσας, του framework, των εξαρτήσεων και των στοιχείων υποδομής.
Περιοδική ανασκόπηση της στάσης ασφάλειας των προμηθευτών για τους υποεκτελούντες την επεξεργασία που απαριθμούνται στο Annex III.
Περιοδική ανασκόπηση και ενημέρωση των παρόντων τεχνικών και οργανωτικών μέτρων.

Ο Εκτελών την επεξεργασία μπορεί να ενημερώνει τα μέτρα κατά καιρούς ώστε να αντικατοπτρίζουν αλλαγές στην τελευταία λέξη της τεχνολογίας και στο προφίλ κινδύνου της Υπηρεσίας, υπό την προϋπόθεση ότι τα ενημερωμένα μέτρα δεν μειώνουν ουσιωδώς το επίπεδο προστασίας.

A3Παράρτημα III — Τρέχοντες υποεκτελούντες την επεξεργασία

Οι τρέχοντες υποεκτελούντες την επεξεργασία που χρησιμοποιεί ο Εκτελών την επεξεργασία για την παροχή της Υπηρεσίας παρατίθενται παρακάτω. Ο κατάλογος αποτυπώνει την κατάσταση κατά την ημερομηνία “Τελευταία ενημέρωση” και διατηρείται σύμφωνα με την Ενότητα 5.

Υποεκτελών την επεξεργασία	Σκοπός	Τοποθεσία
COTRONIKA EOOD (ίδια υποδομή)	Φιλοξενία εφαρμογής, primary database, file storage, backups, SMTP email delivery, διαχείριση συνδρομών (self-hosted WHMCS), error monitoring	Bulgaria (EU)
Cloudflare, Inc.	DNS, CDN, DDoS protection, web-application firewall, Turnstile bot detection	USA, with EU points of presence
Stripe Payments Europe Ltd	Payment processing for subscription fees and other paid transactions	Ireland (EU), with USA parent
Anthropic PBC	Image-to-text conversion (OCR) of paper menus uploaded via the menu-scan feature only; η Υπηρεσία δεν αποστέλλει Customer Personal Data μέσω αυτής της λειτουργίας στη συνήθη πορεία λειτουργίας	USA
Google Ireland Ltd (Google Analytics)	Αναλυτικά ιστού μόνο στον ιστότοπο προβολής uxo.bg	Ireland (EU), with USA parent

A4Παράρτημα IV — Επιλογές ενότητας SCC

Όταν οι SCCs εφαρμόζονται σε διαβίβαση βάσει της Ενότητας 9, έχουν γίνει εκ των προτέρων οι ακόλουθες επιλογές:

Module. Το Module Two (transfer controller-to-processor) εφαρμόζεται μεταξύ του Υπευθύνου επεξεργασίας και κάθε non-EEA sub-processor που χρησιμοποιείται άμεσα από τον Υπεύθυνο επεξεργασίας. Το Module Three (transfer processor-to-processor) εφαρμόζεται μεταξύ του Εκτελούντος την επεξεργασία και κάθε non-EEA sub-processor που χρησιμοποιεί για λογαριασμό του Υπευθύνου επεξεργασίας.
Clause 7 (docking clause). Εφαρμόζεται. Άλλοι Controllers και Processors μπορούν να προσχωρούν στις SCCs σύμφωνα με τη ρήτρα αυτή.
Clause 9 (sub-processors). Option 2 (general written authorisation), με περίοδο ειδοποίησης όπως ορίζεται στην Ενότητα 5.
Clause 11 (redress). Η προαιρετική διατύπωση που επιτρέπει στο υποκείμενο των δεδομένων να υποβάλει καταγγελία σε ανεξάρτητο φορέα επίλυσης διαφορών δεν έχει επιλεγεί.
Clause 17 (governing law). Bulgarian law.
Clause 18 (forum and jurisdiction). Τα δικαστήρια της Sofia City, Bulgaria.
Annex I.A (parties). Ο Υπεύθυνος επεξεργασίας προσδιορίζεται από τα στοιχεία λογαριασμού που έχει παράσχει στον Εκτελούντα την επεξεργασία· ο Εκτελών την επεξεργασία είναι η COTRONIKA EOOD· η επαφή για την προστασία δεδομένων και για τα δύο μέρη είναι το [email protected] για τον Εκτελούντα την επεξεργασία και το email λογαριασμού του Υπευθύνου επεξεργασίας για τον Υπεύθυνο επεξεργασίας.
Annex I.B (description). Όπως ορίζεται στο Annex I του παρόντος DPA.
Annex II (security measures). Όπως ορίζεται στο Annex II του παρόντος DPA.
Annex III (sub-processors). Όπως ορίζεται στο Annex III του παρόντος DPA.

14Ενημερώσεις του παρόντος DPA

Ο Εκτελών την επεξεργασία μπορεί να ενημερώνει το παρόν DPA κατά καιρούς, για παράδειγμα ώστε να αντικατοπτρίζει αλλαγές στο δίκαιο, στη λειτουργικότητα της Υπηρεσίας ή στους υποεκτελούντες την επεξεργασία του. Ο Εκτελών την επεξεργασία θα παρέχει εύλογη προειδοποίηση εκ των προτέρων για ουσιώδεις αλλαγές στην κύρια επαφή λογαριασμού. Ενημερώσεις που δεν μειώνουν ουσιωδώς το επίπεδο προστασίας των Προσωπικών Δεδομένων Πελάτη μπορούν να τίθενται σε ισχύ από την ημερομηνία ανάρτησής τους σε αυτή τη σελίδα.

Σύμβαση επεξεργασίας δεδομένων