Przejdź do treści
Zaloguj sięZacznij
03Informacje prawne · DPA

Umowa powierzenia przetwarzania danych osobowych

Warunki przetwarzania danych z Article 28 GDPR, które mają zastosowanie, gdy COTRONIKA EOOD przetwarza dane osobowe w imieniu Klienta za pośrednictwem platformy UXO.

Ostatnia aktualizacja
21 May 2026
Sekcje
18
Czas czytania
~14 min

01Strony i zakres

Niniejsza umowa powierzenia przetwarzania danych osobowych (dalej DPA”) stanowi część umowy pomiędzy COTRONIKA EOOD, bułgarską spółką z ograniczoną odpowiedzialnością o UIC 202457989 i siedzibie rejestrowej w Sofia 1700, Bulgaria (dalej “podmiot przetwarzający”), a Klientem (dalej “administrator danych”) dotyczącej korzystania z platformy UXO na podstawie Warunków korzystania z Usługi pod adresem /legal/terms(dalej “Umowa”).

DPA ma zastosowanie zawsze wtedy, gdy podmiot przetwarzający przetwarza dane osobowe w imieniu administratora danych w ramach świadczenia Usługi. W zakresie, w jakim podmiot przetwarzający przetwarza dane osobowe we własnym imieniu (na przykład dane rozliczeniowe Klienta i dane kontaktowe upoważnionych użytkowników personelu), działa jako administrator danych zgodnie z Polityką prywatności pod adresem /legal/privacy — takie przetwarzanie pozostaje poza zakresem niniejszego DPA.

W przypadku sprzeczności pomiędzy niniejszym DPA a Umową, niniejsze DPA ma pierwszeństwo w sprawach dotyczących przetwarzania danych osobowych w imieniu administratora danych.

02Definicje

Terminy pisane wielką literą, które nie zostały zdefiniowane poniżej, mają znaczenie nadane im w Umowie. Terminy “dane osobowe”, “przetwarzanie”, “ administrator”, “podmiot przetwarzający”, “osoba, której dane dotyczą”, “ podprzetwarzający” oraz “naruszenie ochrony danych osobowych” mają znaczenie nadane im w Article 4 of Regulation (EU) 2016/679 (dalej “RODO”).

Właściwe prawo ochrony danych
RODO, przepisy państw członkowskich UE wdrażające lub uzupełniające to rozporządzenie (w tym bułgarska ustawa o ochronie danych osobowych) oraz wszelkie inne przepisy o ochronie danych lub prywatności mające zastosowanie do przetwarzania danych osobowych przez podmiot przetwarzający na podstawie niniejszego DPA.
EOG
Europejski Obszar Gospodarczy.
SCCs
Standard Contractual Clauses dotyczące przekazywania danych osobowych do państw trzecich przyjęte przez Komisję Europejską w Decision (EU) 2021/914 of 4 June 2021.
Dane osobowe Klienta
Dane osobowe przetwarzane przez podmiot przetwarzający w imieniu administratora danych na podstawie niniejszego DPA.

03Role i instrukcje przetwarzania

Strony potwierdzają, że w odniesieniu do Danych osobowych Klienta administrator danych jest administratorem danych, a podmiot przetwarzający jest podmiotem przetwarzającym. Udokumentowane instrukcje administratora danych dla podmiotu przetwarzającego wynikają z Umowy, niniejszego DPA oraz wszelkich dalszych instrukcji rozsądnie przekazanych przez opcje konfiguracji Usługi lub na piśmie.

Podmiot przetwarzający będzie przetwarzał Dane osobowe Klienta wyłącznie na udokumentowane polecenie administratora danych i wyłącznie do celów opisanych w Załączniku I, chyba że Właściwe prawo ochrony danych stanowi inaczej. Jeżeli podmiot przetwarzający uzna, że instrukcja narusza Właściwe prawo ochrony danych, poinformuje o tym administratora danych i może odmówić wykonania instrukcji.

Administrator danych zapewnia, że posiada prawo i podstawę prawną do udostępnienia Danych osobowych Klienta podmiotowi przetwarzającemu oraz do zlecenia mu przetwarzania opisanego w niniejszym DPA. Administrator danych odpowiada za przekazanie osobom, których dane dotyczą, wymaganych informacji, za obsługę relacji z tymi osobami oraz za uzyskanie zgody tam, gdzie zgoda stanowi podstawę prawną przetwarzania.

04Obowiązki podmiotu przetwarzającego (Article 28(3) GDPR)

Podmiot przetwarzający będzie:

  • przetwarzał Dane osobowe Klienta wyłącznie na udokumentowane polecenie administratora danych, w tym w zakresie transferów międzynarodowych (zob. Sekcja 9);
  • zapewniał, że osoby upoważnione do przetwarzania Danych osobowych Klienta zobowiązały się do zachowania poufności lub są objęte odpowiednim ustawowym obowiązkiem poufności;
  • wdrażał środki techniczne i organizacyjne określone w Załączniku II w celu ochrony Danych osobowych Klienta przed przypadkowym lub bezprawnym zniszczeniem, utratą, zmianą, nieuprawnionym ujawnieniem lub dostępem;
  • przestrzegał warunków angażowania podprzetwarzających określonych w niniejszym DPA (Sekcja 5);
  • uwzględniając charakter przetwarzania, pomagał administratorowi danych poprzez odpowiednie środki techniczne i organizacyjne, o ile to możliwe, w wykonywaniu obowiązku odpowiadania na żądania osób, których dane dotyczą (Sekcja 7);
  • pomagał administratorowi danych w zapewnieniu zgodności z obowiązkami wynikającymi z Articles 32 to 36 GDPR (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków dla ochrony danych, uprzednie konsultacje), uwzględniając charakter przetwarzania i informacje dostępne podmiotowi przetwarzającemu;
  • według wyboru administratora danych usuwał lub zwracał wszystkie Dane osobowe Klienta po zakończeniu świadczenia usług oraz usuwał istniejące kopie, chyba że Właściwe prawo ochrony danych wymaga ich przechowywania (zob. Sekcja 10);
  • udostępniał administratorowi danych wszelkie informacje niezbędne do wykazania zgodności z obowiązkami wynikającymi z Article 28 GDPR oraz umożliwiał przeprowadzanie audytów i przyczyniał się do nich, zgodnie z Sekcją 8.

05Podprzetwarzający

Upoważnienie ogólne

Administrator danych udziela podmiotowi przetwarzającemu ogólnego upoważnienia do angażowania podprzetwarzających wskazanych w Załączniku III według stanu na dzień niniejszego DPA. Podmiot przetwarzający ponosi wobec administratora danych pełną odpowiedzialność za wykonanie obowiązków każdego podprzetwarzającego.

Nowi lub zastępczy podprzetwarzający

Podmiot przetwarzający poinformuje administratora danych z wyprzedzeniem o każdym planowanym dodaniu lub zastąpieniu podprzetwarzającego, zapewniając administratorowi danych rozsądną możliwość wniesienia sprzeciwu z przyczyn dotyczących ochrony danych. Zawiadomienie zostanie przekazane emailem do głównej osoby kontaktowej konta albo poprzez ogłoszenie w produkcie lub na stronie internetowej utrzymywane w tym celu, co najmniej trzydzieści dni przed wejściem zmiany w życie.

Sprzeciw

Administrator danych może wnieść sprzeciw z uzasadnionych, udokumentowanych przyczyn związanych z ochroną danych w okresie zawiadomienia. Strony omówią sprzeciw w dobrej wierze. Jeżeli nie uda się go rozwiązać, administrator danych może zakończyć korzystanie z dotkniętej części Usługi, składając pisemne wypowiedzenie; podmiot przetwarzający zwróci wszelkie przedpłacone Opłaty za niewykorzystaną część tej Usługi od dnia rozwiązania.

Obowiązki podprzetwarzających

Gdy podmiot przetwarzający angażuje podprzetwarzającego, nałoży na niego w drodze pisemnej umowy te same obowiązki w zakresie ochrony danych, które wynikają z niniejszego DPA, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, tak aby przetwarzanie spełniało wymogi GDPR.

06Zawiadomienie o naruszeniu ochrony danych osobowych

Podmiot przetwarzający zawiadomi administratora danych bez zbędnej zwłoki po uzyskaniu wiedzy o naruszeniu ochrony danych osobowych dotyczącym Danych osobowych Klienta. Zawiadomienie zostanie wysłane na adres email powiązany z główną osobą kontaktową konta administratora danych i będzie obejmować, w zakresie, w jakim informacje te są wówczas znane podmiotowi przetwarzającemu:

  • opis charakteru naruszenia, w tym, jeżeli to możliwe, kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz rejestrów objętych naruszeniem;
  • nazwę i dane kontaktowe punktu kontaktowego podmiotu przetwarzającego;
  • prawdopodobne konsekwencje naruszenia;
  • środki podjęte lub proponowane w celu usunięcia naruszenia i ograniczenia jego możliwych negatywnych skutków.

Jeżeli nie jest możliwe przekazanie wszystkich tych informacji jednocześnie, podmiot przetwarzający będzie przekazywał je etapami w miarę ich dostępności, bez dalszej zbędnej zwłoki.

Zawiadomienie o naruszeniu nie stanowi przyznania winy ani odpowiedzialności przez podmiot przetwarzający.

07Wsparcie w realizacji praw osób, których dane dotyczą

Usługa udostępnia administratorowi danych narzędzia samoobsługowe umożliwiające odpowiadanie osobom, których dane dotyczą, korzystającym z praw dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia i sprzeciwu na podstawie Articles 15-22 GDPR (na przykład panel personelu umożliwia eksport historii zamówień i rejestrów kontaktowych klientów, a administrator danych może usuwać rekordy bezpośrednio).

Jeżeli narzędzia samoobsługowe nie są wystarczające, podmiot przetwarzający, uwzględniając charakter przetwarzania, zapewni administratorowi danych rozsądne wsparcie przy odpowiadaniu na żądania osób, których dane dotyczą. Podmiot przetwarzający może pobrać rozsądną opłatę za wsparcie przy żądaniach oczywiście bezzasadnych lub nadmiernych, w szczególności ze względu na ich powtarzalny charakter.

Jeżeli podmiot przetwarzający otrzyma bezpośrednio od osoby, której dane dotyczą, żądanie dotyczące Danych osobowych Klienta, poinformuje tę osobę, aby skierowała żądanie do administratora danych, oraz zawiadomi administratora danych bez zbędnej zwłoki.

08Audyty

Podmiot przetwarzający udostępni administratorowi danych, na podstawie rozsądnego pisemnego żądania, informacje niezbędne do wykazania zgodności z jego obowiązkami wynikającymi z Article 28 GDPR.

Jeżeli administrator danych rozsądnie uzna, że przekazane informacje nie są wystarczające do wykazania zgodności, może przeprowadzić audyt nie częściej niż raz w roku kalendarzowym, przekazując pisemne zawiadomienie co najmniej trzydzieści dni wcześniej. Audyty będą przeprowadzane w godzinach pracy, z poszanowaniem poufności danych innych klientów, bez nieuzasadnionego zakłócania działalności podmiotu przetwarzającego, przez administratora danych albo wykwalifikowanego niezależnego audytora zewnętrznego objętego odpowiednimi obowiązkami poufności. Koszty audytu ponosi administrator danych, chyba że audyt wykaże istotne naruszenie niniejszego DPA przypisane podmiotowi przetwarzającemu.

Częstsze audyty mogą być wymagane, jeżeli organ nadzorczy nakaże administratorowi danych ich przeprowadzenie albo po naruszeniu ochrony danych osobowych, które istotnie wpływa na dane administratora danych.

09Transfery międzynarodowe

Podmiot przetwarzający przetwarza Dane osobowe Klienta przede wszystkim w Bułgarii (UE). Jeżeli podmiot przetwarzający lub podprzetwarzający przekazuje Dane osobowe Klienta do państwa poza EOG, które nie jest objęte decyzją stwierdzającą odpowiedni stopień ochrony na podstawie Article 45 GDPR, strony uzgadniają, że transfer zostanie przeprowadzony z zastosowaniem odpowiednich zabezpieczeń w rozumieniu Article 46 GDPR, którymi będą:

  • SCCs, zawarte pomiędzy eksporterem danych a importerem danych w odpowiednim wariancie Module, z wyborami i klauzulami opcjonalnymi określonymi w Załączniku IV; albo
  • w przypadku gdy importer dokonuje samocertyfikacji w ramach EU-US Data Privacy Framework (Commission Implementing Decision (EU) 2023/1795), decyzja stwierdzająca odpowiedni stopień ochrony w połączeniu z samocertyfikacją importera.

W razie potrzeby podmiot przetwarzający przeprowadzi ocenę wpływu transferu oraz wdroży środki uzupełniające, gdy będzie to rozsądnie konieczne dla zapewnienia, że poziom ochrony gwarantowany przez GDPR nie zostanie podważony.

10Zwrot lub usunięcie danych

Po rozwiązaniu Umowy i zgodnie z wyborem administratora danych podmiot przetwarzający:

  • zwróci wszystkie Dane osobowe Klienta administratorowi danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego za pomocą narzędzi eksportu Usługi albo w inny rozsądny sposób; albo
  • usunie wszystkie Dane osobowe Klienta.

W ciągu trzech miesięcy od rozwiązania podmiot przetwarzający usunie Dane osobowe Klienta z systemów produkcyjnych oraz z rutynowych backupów w zwykłych cyklach operacyjnych, z wyjątkiem sytuacji, w których Właściwe prawo ochrony danych lub inne właściwe prawo wymagają dłuższego przechowywania (na przykład dokumentacji księgowej i podatkowej) albo gdy przechowywanie jest konieczne do ustalenia, dochodzenia lub obrony roszczeń prawnych. Wszelkie dane zachowane nadal podlegają niniejszemu DPA.

11Odpowiedzialność i okres obowiązywania

Odpowiedzialność każdej ze stron na podstawie niniejszego DPA podlega ograniczeniom i wyłączeniom określonym w Umowie. Żadne z postanowień niniejszego DPA nie wyłącza ani nie ogranicza odpowiedzialności strony za oszustwo, rażące niedbalstwo, umyślne naruszenie ani za odpowiedzialność, której nie można ograniczyć lub wyłączyć na podstawie Właściwego prawa ochrony danych.

Niniejsze DPA wchodzi w życie z dniem zawarcia przez strony Umowy i obowiązuje do chwili usunięcia lub zwrotu przez podmiot przetwarzający wszystkich Danych osobowych Klienta zgodnie z Sekcją 10. Obowiązki wynikające z niniejszego DPA pozostają w mocy po rozwiązaniu Umowy tak długo, jak długo podmiot przetwarzający przechowuje Dane osobowe Klienta.

12Prawo właściwe

Niniejsze DPA podlega prawu Republiki Bułgarii, z wyłączeniem jej norm kolizyjnych. Sądy miasta Sofia mają wyłączną jurysdykcję w odniesieniu do wszelkich sporów wynikających z niniejszego DPA lub z nim związanych, z wyjątkiem sytuacji, w których Właściwe prawo ochrony danych przyznaje wyłączną jurysdykcję innemu forum.

13Kontakt

Pytania dotyczące niniejszego DPA, żądania wykonywania praw w imieniu osób, których dane dotyczą, lub zawiadomienia wymagane na jego podstawie należy kierować na adres [email protected] albo pocztą na adres COTRONIKA EOOD, Sofia 1700, Bulgaria.

A1Załącznik I — Opis przetwarzania

Przedmiot

Przetwarzanie danych osobowych przez podmiot przetwarzający w imieniu administratora danych w celu świadczenia platformy UXO na podstawie Umowy.

Okres

Przez okres obowiązywania Umowy oraz przez każdy późniejszy okres, w którym podmiot przetwarzający przechowuje Dane osobowe Klienta zgodnie z Sekcją 10.

Charakter i cel przetwarzania

Hosting, przechowywanie, pobieranie, wyświetlanie, transmisja, konsultacja, organizowanie, strukturyzowanie, indeksowanie, wyszukiwanie, pseudonimizacja, usuwanie oraz inne operacje niezbędne do obsługi funkcji platformy UXO, z których administrator danych zdecyduje się korzystać, w tym cyfrowych menu, zamówień przez QR, procesów odbioru i dostawy, rezerwacji, panelu personelu, powierzchni marketplace oraz wspierającej analityki.

Kategorie osób, których dane dotyczą

  • Goście lokali administratora danych, którzy skanują kod QR, składają zamówienia, dokonują rezerwacji lub w inny sposób korzystają z powierzchni przeznaczonych dla klientów.
  • Upoważnieni członkowie personelu administratora danych, którzy korzystają z panelu personelu, kolejek kuchni / baru albo usługi drukarki.
  • W stosownych przypadkach dostawcy i inne kontakty biznesowe, które administrator danych dodaje do swojego lokalu.

Kategorie danych osobowych

  • Dane kontaktowe i identyfikacyjne — imię i nazwisko, adres email, telefon, adres dostawy.
  • Dane zamówień i rezerwacji — pozycje, warianty, uwagi, godziny, szczegóły stolika lub odbioru / dostawy, status płatności.
  • Dane konta — preferencja językowa, zapisane adresy, tokeny uwierzytelniające.
  • Dane personelu — imię i nazwisko, rola, dane kontaktowe, tokeny sesji, logi aktywności.
  • Dane techniczne i połączeniowe — adres IP, urządzenie, przeglądarka, przybliżona lokalizacja, logi serwera i telemetria bezpieczeństwa.

Usługa nie została zaprojektowana do przetwarzania szczególnych kategorii danych osobowych (Article 9 GDPR) ani danych dotyczących wyroków skazujących i czynów zabronionych (Article 10 GDPR). Administrator danych zobowiązuje się nie przesyłać takich danych bez wcześniejszego pisemnego uzgodnienia z podmiotem przetwarzającym dodatkowych zabezpieczeń.

A2Załącznik II — Środki techniczne i organizacyjne

Uwzględniając stan wiedzy technicznej, koszty wdrożenia, charakter, zakres, kontekst i cele przetwarzania, a także ryzyko dla praw i wolności osób fizycznych, podmiot przetwarzający wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić poziom bezpieczeństwa odpowiedni do ryzyka. Aktualne środki obejmują:

Poufność

  • Szyfrowanie TLS 1.2+ w transmisji dla całego ruchu do i z Usługi.
  • Szyfrowanie danych w spoczynku dla produkcyjnych baz danych i backupów z użyciem algorytmów branżowego standardu.
  • Kontrolę dostępu opartą na rolach i zasadę najmniejszych uprawnień. Dostęp personelu do danych produkcyjnych jest ograniczony do osób, których rola tego wymaga.
  • Izolację wielodzierżawną wymuszaną przy każdym zapytaniu do bazy danych poprzez obowiązkowy filtr dzierżawy restaurant.
  • Przechowywanie haseł jako solonych skrótów z użyciem wolnego algorytmu typu memory-hard. Tokeny sesji są rotowane i wygasają.

Integralność

  • Proces zarządzania zmianą kodu z przeglądem zmian przez drugą osobę przed wdrożeniem do systemów produkcyjnych.
  • Zautomatyzowany pipeline continuous integration do budowania i testowania przed wdrożeniem.
  • Logi audytowe działań administracyjnych, podpisane i odporne na manipulację.

Dostępność i odporność

  • Redundantna infrastruktura produkcyjna z regularnymi automatycznymi backupami.
  • Ochronę DDoS i zaporę aplikacji webowych za pośrednictwem Cloudflare.
  • Planowanie pojemności i monitoring kondycji systemu.
  • Udokumentowane procedury reagowania na incydenty z określoną ścieżką eskalacji.

Okresowe testowanie i przegląd

  • Rutynowe łatanie podatności systemu operacyjnego, środowiska uruchomieniowego języka, frameworka, zależności i komponentów infrastruktury.
  • Okresowy przegląd poziomu bezpieczeństwa dostawców dla podprzetwarzających wskazanych w Załączniku III.
  • Okresowy przegląd i aktualizacja niniejszych środków technicznych i organizacyjnych.

Podmiot przetwarzający może okresowo aktualizować te środki, aby odzwierciedlały zmiany stanu wiedzy technicznej i profilu ryzyka Usługi, pod warunkiem że zaktualizowane środki nie obniżą istotnie poziomu ochrony.

A3Załącznik III — Aktualni podprzetwarzający

Aktualni podprzetwarzający angażowani przez podmiot przetwarzający przy świadczeniu Usługi są wskazani poniżej. Lista odzwierciedla stan na datę “Last updated” i jest utrzymywana zgodnie z Sekcją 5.

PodprzetwarzającyCelLokalizacja
COTRONIKA EOOD (own infrastructure)Hosting aplikacji, główna baza danych, przechowywanie plików, backupy, dostarczanie emaili SMTP, zarządzanie subskrypcjami (self-hosted WHMCS), monitorowanie błędówBułgaria (UE)
Cloudflare, Inc.DNS, CDN, ochrona DDoS, zapora aplikacji webowych, wykrywanie botów TurnstileUSA, z punktami obecności w UE
Stripe Payments Europe LtdPrzetwarzanie płatności za Opłaty subskrypcyjne i inne płatne transakcjeIrlandia (UE), z amerykańską spółką dominującą
Anthropic PBCKonwersja obrazu na tekst (OCR) papierowych menu przesyłanych wyłącznie przez funkcję skanowania menu; Usługa w zwykłym toku działania nie przekazuje przez tę funkcję Danych osobowych KlientaUSA
Google Ireland Ltd (Google Analytics)Analityka internetowa wyłącznie w serwisie marketingowym uxo.bgIrlandia (UE), z amerykańską spółką dominującą

A4Załącznik IV — Wybory modułów SCC

Gdy SCCs mają zastosowanie do transferu na podstawie Sekcji 9, z góry przyjmuje się następujące wybory:

  • Module. Module Two (transfer controller-to-processor) ma zastosowanie między administratorem danych a każdym podprzetwarzającym spoza EOG angażowanym bezpośrednio przez administratora danych. Module Three (transfer processor-to-processor) ma zastosowanie między podmiotem przetwarzającym a każdym podprzetwarzającym spoza EOG, którego angażuje on w imieniu administratora danych.
  • Clause 7 (docking clause). Ma zastosowanie. Inni administratorzy i podmioty przetwarzające mogą przystąpić do SCCs zgodnie z tą klauzulą.
  • Clause 9 (sub-processors). Option 2 (general written authorisation), z okresem zawiadomienia wskazanym w Sekcji 5.
  • Clause 11 (redress). Opcjonalne brzmienie dopuszczające wniesienie przez osobę, której dane dotyczą, skargi do niezależnego organu rozstrzygania sporów nie zostaje wybrane.
  • Clause 17 (governing law). Prawo bułgarskie.
  • Clause 18 (forum and jurisdiction). Sądy miasta Sofia, Bulgaria.
  • Annex I.A (parties). Administrator danych jest identyfikowany na podstawie danych konta przekazanych podmiotowi przetwarzającemu; podmiotem przetwarzającym jest COTRONIKA EOOD; kontakt ds. ochrony danych dla obu stron to [email protected] dla podmiotu przetwarzającego oraz adres email konta administratora danych dla administratora danych.
  • Annex I.B (description). Zgodnie z Załącznikiem I do niniejszego DPA.
  • Annex II (security measures). Zgodnie z Załącznikiem II do niniejszego DPA.
  • Annex III (sub-processors). Zgodnie z Załącznikiem III do niniejszego DPA.

14Aktualizacje niniejszego DPA

Podmiot przetwarzający może okresowo aktualizować niniejsze DPA, na przykład w celu odzwierciedlenia zmian prawa, funkcjonalności Usługi lub grona podprzetwarzających. Podmiot przetwarzający przekaże rozsądne uprzednie zawiadomienie o istotnych zmianach do głównej osoby kontaktowej konta. Aktualizacje, które nie obniżają istotnie poziomu ochrony Danych osobowych Klienta, mogą wejść w życie z dniem ich opublikowania na tej stronie.

Menu QR, zamówienia przy stoliku, odbiór i dostawa w jednym miejscu?
Start jest bezpłatny, a lokalna widoczność już w pakiecie.

Zacznij za darmoSkontaktuj się