01Părți și domeniu
Acest Acord de prelucrare a datelor (denumit în continuare “DPA”) face parte din acordul dintre COTRONIKA EOOD, o societate bulgară cu răspundere limitată având UIC 202457989 și sediul social în Sofia 1700, Bulgaria (denumită în continuare “Persoană împuternicită”), și Client (denumit în continuare “Operator”) pentru utilizarea platformei UXO în baza Termenilor de utilizare de la /legal/terms(denumit în continuare “Acordul”).
DPA se aplică ori de câte ori Persoana împuternicită prelucrează date cu caracter personal în numele Operatorului ca parte a furnizării Serviciului. Atunci când Persoana împuternicită prelucrează date cu caracter personal în nume propriu (de exemplu, datele de facturare ale Clientului și datele de contact ale utilizatorilor de personal autorizați), aceasta acționează ca operator în conformitate cu Politica de confidențialitate de la /legal/privacy — respectiva prelucrare este în afara domeniului de aplicare al acestui DPA.
Dacă există orice conflict între acest DPA și Acord, acest DPA prevalează pentru aspectele referitoare la prelucrarea datelor cu caracter personal în numele Operatorului.
02Definiții
Termenii scriși cu inițială mare care nu sunt definiți aici au înțelesul care le este atribuit în Acord. Termenii “date cu caracter personal”, “prelucrare”, “operator ”, “persoană împuternicită”, “persoană vizată”, “persoană împuternicită ulterioară” și “încălcare a securității datelor cu caracter personal” au înțelesurile prevăzute la Article 4 of Regulation (EU) 2016/679 (denumit în continuare “RGPD”).
- Legislație aplicabilă privind protecția datelor
- RGPD, legile statelor membre ale UE care îl pun în aplicare sau îl completează (inclusiv legea bulgară privind protecția datelor cu caracter personal) și orice altă lege privind protecția datelor sau viața privată aplicabilă prelucrării datelor cu caracter personal de către Persoana împuternicită în baza acestui DPA.
- EEA
- Spațiul Economic European.
- SCCs
- Standard Contractual Clauses pentru transferul datelor cu caracter personal către țări terțe adoptate de Comisia Europeană în Decision (EU) 2021/914 of 4 June 2021.
- Date cu caracter personal ale Clientului
- Date cu caracter personal prelucrate de Persoana împuternicită în numele Operatorului în baza acestui DPA.
03Roluri și instrucțiuni de prelucrare
Părțile recunosc că, în legătură cu Datele cu caracter personal ale Clientului, Operatorul este operatorul de date, iar Persoana împuternicită este persoana împuternicită de operator. Instrucțiunile documentate ale Operatorului pentru Persoana împuternicită constau în Acord, acest DPA și orice instrucțiuni suplimentare rezonabile oferite prin opțiunile de configurare ale Serviciului sau în scris.
Persoana împuternicită va prelucra Datele cu caracter personal ale Clientului numai pe baza instrucțiunilor documentate primite de la Operator și numai în scopurile descrise în Annex I, cu excepția cazului în care Legislația aplicabilă privind protecția datelor impune altfel. Dacă Persoana împuternicită consideră că o instrucțiune încalcă Legislația aplicabilă privind protecția datelor, va informa Operatorul și poate refuza să o execute.
Operatorul garantează că are dreptul și temeiul juridic pentru a pune Datele cu caracter personal ale Clientului la dispoziția Persoanei împuternicite și pentru a instrui Persoana împuternicită să efectueze prelucrarea descrisă în acest DPA. Operatorul este responsabil pentru furnizarea informațiilor necesare persoanelor vizate, pentru gestionarea relației sale cu persoanele vizate și pentru obținerea consimțământului atunci când consimțământul este temeiul juridic al prelucrării.
04Obligațiile Persoanei împuternicite (Article 28(3) GDPR)
Persoana împuternicită va:
- prelucra Datele cu caracter personal ale Clientului numai pe baza instrucțiunilor documentate primite de la Operator, inclusiv în ceea ce privește transferurile internaționale (vedeți Section 9);
- se asigura că persoanele autorizate să prelucreze Datele cu caracter personal ale Clientului și-au asumat obligații de confidențialitate sau sunt ținute de o obligație legală adecvată de confidențialitate;
- implementa măsurile tehnice și organizatorice prevăzute în Annex II pentru a proteja Datele cu caracter personal ale Clientului împotriva distrugerii, pierderii, modificării, divulgării neautorizate sau accesului accidental ori ilegal;
- respecta condițiile din acest DPA pentru angajarea persoanelor împuternicite ulterioare (Section 5);
- ținând seama de natura prelucrării, asista Operatorul prin măsuri tehnice și organizatorice adecvate, în măsura în care acest lucru este posibil, pentru îndeplinirea obligației Operatorului de a răspunde solicitărilor persoanelor vizate (Section 7);
- asista Operatorul în asigurarea conformității cu obligațiile din Articles 32 to 36 GDPR (securitate, notificarea încălcărilor, evaluarea impactului asupra protecției datelor, consultare prealabilă), ținând seama de natura prelucrării și de informațiile disponibile Persoanei împuternicite;
- la alegerea Operatorului, șterge sau returna toate Datele cu caracter personal ale Clientului după încetarea furnizării serviciilor și șterge copiile existente, cu excepția cazului în care Legislația aplicabilă privind protecția datelor impune stocarea (vedeți Section 10);
- pune la dispoziția Operatorului toate informațiile necesare pentru a demonstra conformitatea cu obligațiile prevăzute de Article 28 GDPR și permite și contribuie la audituri, astfel cum este prevăzut în Section 8.
05Persoane împuternicite ulterioare
Autorizare generală
Operatorul acordă Persoanei împuternicite o autorizare generală pentru a angaja persoanele împuternicite ulterioare enumerate în Annex III la data acestui DPA. Persoana împuternicită rămâne pe deplin răspunzătoare față de Operator pentru executarea obligațiilor oricărei persoane împuternicite ulterioare.
Persoane împuternicite ulterioare noi sau de înlocuire
Persoana împuternicită va informa Operatorul în avans cu privire la orice adăugare sau înlocuire preconizată a unei persoane împuternicite ulterioare, oferind Operatorului o oportunitate rezonabilă de a formula obiecții din motive de protecția datelor. Notificarea va fi făcută prin email către contactul principal al contului sau printr-un anunț în produs ori pe website menținut în acest scop, cu cel puțin treizeci de zile înainte ca modificarea să producă efecte.
Obiecție
Operatorul poate formula obiecții pe motive rezonabile și documentate de protecția datelor pe durata perioadei de notificare. Părțile vor discuta obiecția cu bună-credință. Dacă obiecția nu poate fi soluționată, Operatorul poate înceta partea afectată a Serviciului prin notificare scrisă; Persoana împuternicită va rambursa orice Fees plătite în avans pentru partea neutilizată a respectivului Serviciu de la data încetării.
Obligațiile persoanei împuternicite ulterioare
Atunci când Persoana împuternicită angajează o persoană împuternicită ulterioară, va impune acesteia aceleași obligații de protecția datelor ca cele prevăzute în acest DPA, printr-un contract scris, în special prin furnizarea unor garanții suficiente pentru a implementa măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să îndeplinească cerințele RGPD.
06Notificarea încălcărilor securității datelor cu caracter personal
Persoana împuternicită va notifica Operatorul fără întârzieri nejustificate după ce ia cunoștință de o încălcare a securității datelor cu caracter personal care afectează Datele cu caracter personal ale Clientului. Notificarea va fi trimisă la adresa de email asociată contactului principal al contului Operatorului și va include, în măsura în care aceste informații sunt cunoscute la acel moment de Persoana împuternicită:
- o descriere a naturii încălcării, inclusiv, acolo unde este posibil, categoriile și numărul aproximativ al persoanelor vizate și al înregistrărilor vizate;
- numele și datele de contact ale punctului de contact al Persoanei împuternicite;
- consecințele probabile ale încălcării;
- măsurile luate sau propuse pentru a remedia încălcarea și a atenua posibilele sale efecte adverse.
Acolo unde nu este posibil să fie furnizate toate aceste informații dintr-o singură dată, Persoana împuternicită le va furniza etapizat, pe măsură ce devin disponibile, fără alte întârzieri nejustificate.
Notificarea unei încălcări nu reprezintă o recunoaștere a culpei sau a răspunderii de către Persoana împuternicită.
07Asistență privind drepturile persoanelor vizate
Serviciul pune la dispoziția Operatorului instrumente self-service pentru a răspunde persoanelor vizate care își exercită drepturile de acces, rectificare, ștergere, restricționare, portabilitate și opoziție în baza Articles 15-22 GDPR (de exemplu, panoul pentru personal exportă istoricul comenzilor și înregistrările de contact ale clienților, iar Operatorul poate șterge direct înregistrările).
Atunci când instrumentele self-service nu sunt suficiente, ținând seama de natura prelucrării, Persoana împuternicită va oferi Operatorului asistență rezonabilă pentru a răspunde unei solicitări a persoanei vizate. Persoana împuternicită poate percepe o taxă rezonabilă pentru asistența care este în mod vădit nefondată sau excesivă, în special din cauza caracterului său repetitiv.
Dacă Persoana împuternicită primește direct de la o persoană vizată o solicitare referitoare la Datele cu caracter personal ale Clientului, va informa persoana vizată să adreseze solicitarea Operatorului și va notifica Operatorul fără întârzieri nejustificate.
08Audituri
Persoana împuternicită va pune la dispoziția Operatorului, la cerere scrisă rezonabilă, informațiile necesare pentru a demonstra conformitatea cu obligațiile sale în baza Article 28 GDPR.
Atunci când Operatorul consideră în mod rezonabil că informațiile furnizate nu sunt suficiente pentru a demonstra conformitatea, Operatorul poate efectua un audit cel mult o dată pe an calendaristic, prin transmiterea unei notificări scrise cu cel puțin treizeci de zile în avans. Auditurile vor fi efectuate în timpul programului de lucru, vor respecta confidențialitatea datelor altor clienți, nu vor interfera în mod nerezonabil cu activitatea Persoanei împuternicite și vor fi realizate de Operator sau de un auditor terț independent, calificat, sub obligații adecvate de confidențialitate. Operatorul suportă costurile auditului său, cu excepția cazului în care auditul identifică o încălcare semnificativă a acestui DPA imputabilă Persoanei împuternicite.
Audituri mai frecvente pot fi necesare dacă o autoritate de supraveghere îi solicită Operatorului să efectueze unul sau în urma unei încălcări a securității datelor cu caracter personal care afectează în mod semnificativ datele Operatorului.
09Transferuri internaționale
Persoana împuternicită prelucrează Datele cu caracter personal ale Clientului în principal în Bulgaria (UE). Atunci când Persoana împuternicită sau o persoană împuternicită ulterioară transferă Datele cu caracter personal ale Clientului către o țară din afara EEA care nu este acoperită de o decizie de adecvare în baza Article 45 GDPR, părțile convin că transferul va fi efectuat în baza unor garanții adecvate în sensul Article 46 GDPR, care vor fi:
- SCCs, executate între exportatorul de date și importatorul de date în forma de Module aplicabilă, cu alegerile și clauzele opționale prevăzute în Annex IV; sau
- acolo unde importatorul se auto-certifică în cadrul EU-US Data Privacy Framework (Commission Implementing Decision (EU) 2023/1795), decizia de adecvare în combinație cu auto-certificarea importatorului.
Persoana împuternicită va efectua, atunci când este necesar, o evaluare a impactului transferului și va implementa măsuri suplimentare atunci când este rezonabil necesar pentru a se asigura că nivelul de protecție garantat de RGPD nu este subminat.
10Returnarea sau ștergerea datelor
La încetarea Acordului și la alegerea Operatorului, Persoana împuternicită va:
- returna toate Datele cu caracter personal ale Clientului Operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat, prin instrumentele de export ale Serviciului sau prin alte mijloace rezonabile; sau
- șterge toate Datele cu caracter personal ale Clientului.
În termen de trei luni de la încetare, Persoana împuternicită va șterge Datele cu caracter personal ale Clientului din sistemele de producție și din backup-urile de rutină în ciclurile operaționale obișnuite, cu excepția cazului în care Legislația aplicabilă privind protecția datelor sau altă lege aplicabilă impune o perioadă de păstrare suplimentară (de exemplu, evidențe contabile și fiscale) sau în care păstrarea este necesară pentru constatarea, exercitarea sau apărarea unor pretenții legale. Orice date păstrate rămân supuse acestui DPA.
11Răspundere și durată
Răspunderea fiecărei părți în baza acestui DPA este supusă limitărilor și excluderilor prevăzute în Acord. Nimic din acest DPA nu exclude sau limitează răspunderea unei părți pentru fraudă, neglijență gravă, conduită intenționat culpabilă sau orice răspundere care nu poate fi limitată ori exclusă în baza Legislației aplicabile privind protecția datelor.
Acest DPA intră în vigoare la data la care părțile încheie Acordul și continuă până când Persoana împuternicită a șters sau a returnat toate Datele cu caracter personal ale Clientului în conformitate cu Section 10. Obligațiile din acest DPA supraviețuiesc încetării Acordului atât timp cât Persoana împuternicită păstrează Datele cu caracter personal ale Clientului.
12Legea aplicabilă
Acest DPA este guvernat de legile Republicii Bulgaria, fără a ține seama de normele sale privind conflictul de legi. Instanțele din Sofia City au competență exclusivă asupra oricărui litigiu care decurge din sau are legătură cu acest DPA, cu excepția cazului în care Legislația aplicabilă privind protecția datelor conferă competență exclusivă unui alt for.
13Contact
Întrebările despre acest DPA, solicitările de exercitare a drepturilor în numele persoanelor vizate sau notificările impuse de acesta trebuie trimise la [email protected] sau prin poștă la COTRONIKA EOOD, Sofia 1700, Bulgaria.
A1Anexa I — Descrierea prelucrării
Obiect
Prelucrarea datelor cu caracter personal de către Persoana împuternicită în numele Operatorului în scopul furnizării platformei UXO în baza Acordului.
Durată
Pe durata Acordului și pentru orice perioadă ulterioară în care Persoana împuternicită păstrează Datele cu caracter personal ale Clientului în conformitate cu Section 10.
Natura și scopul prelucrării
Găzduire, stocare, recuperare, afișare, transmitere, consultare, organizare, structurare, indexare, căutare, pseudonimizare, ștergere și alte operațiuni necesare pentru a opera funcționalitățile platformei UXO pe care Operatorul alege să le utilizeze, inclusiv meniuri digitale, fluxuri de comandă prin QR, ridicare și livrare, rezervări, panoul pentru personal, suprafața marketplace și analitice suport.
Categorii de persoane vizate
- Oaspeții locațiilor Operatorului care scanează un cod QR, plasează comenzi, fac rezervări sau interacționează în alt mod cu suprafețele destinate clienților.
- Membrii autorizați ai personalului Operatorului care utilizează panoul pentru personal, cozile din bucătărie / bar sau serviciul de imprimare.
- Acolo unde este cazul, furnizorii și alte contacte de business pe care Operatorul le adaugă la locația sa.
Categorii de date cu caracter personal
- Date de contact și de identificare — nume, email, telefon, adresă de livrare.
- Date despre comenzi și rezervări — articole, variante, note, ore, detalii privind masa sau ridicarea/livrarea, statusul plății.
- Date de cont — preferință de limbă, adrese salvate, tokenuri de autentificare.
- Date despre personal — nume, rol, date de contact, tokenuri de sesiune, loguri de activitate.
- Date tehnice și de conexiune — adresă IP, dispozitiv, browser, localizare aproximativă, loguri de server și telemetrie de securitate.
Serviciul nu este conceput pentru a prelucra categorii speciale de date cu caracter personal (Article 9 GDPR) sau date referitoare la condamnări penale și infracțiuni (Article 10 GDPR). Operatorul se angajează să nu încarce astfel de date fără a conveni în prealabil în scris garanții suplimentare cu Persoana împuternicită.
A2Anexa II — Măsuri tehnice și organizatorice
Ținând seama de stadiul tehnicii, de costurile implementării și de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscul pentru drepturile și libertățile persoanelor fizice, Persoana împuternicită implementează măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate adecvat riscului. Măsurile curente includ:
Confidențialitate
- Criptare TLS 1.2+ în tranzit pentru tot traficul către și dinspre Serviciu.
- Criptare în repaus pentru bazele de date de producție și backup-uri folosind algoritmi standard în industrie.
- Control al accesului bazat pe roluri, în conformitate cu principiul privilegiului minim. Accesul personalului la datele de producție este limitat la persoanele a căror funcție îl impune.
- Izolare multi-tenant aplicată la fiecare interogare a bazei de date printr-un filtru obligatoriu de tenancy
restaurant. - Parole stocate ca hash-uri cu salt folosind un algoritm lent, memory-hard. Tokenurile de sesiune sunt rotite și expiră.
Integritate
- Proces de change-management al codului cu peer review pentru modificările aduse sistemelor de producție.
- Pipeline automatizat de continuous integration pentru build și test înainte de deployment.
- Loguri de audit ale acțiunilor administrative, semnate și protejate împotriva modificării.
Disponibilitate și reziliență
- Infrastructură de producție redundantă cu backup-uri automate regulate.
- Protecție DDoS și web-application firewall prin Cloudflare.
- Planificarea capacității și monitorizarea stării sistemului.
- Proceduri documentate de răspuns la incidente, cu un lanț de escaladare definit.
Testare și revizuire periodică
- Aplicarea de patch-uri de vulnerabilitate de rutină la sistemul de operare, runtime-ul limbajului, framework, dependențe și componentele infrastructurii.
- Revizuirea periodică a posturii de securitate a furnizorilor pentru persoanele împuternicite ulterioare enumerate în Annex III.
- Revizuirea și actualizarea periodică a acestor măsuri tehnice și organizatorice.
Persoana împuternicită poate actualiza periodic măsurile pentru a reflecta schimbările din stadiul tehnicii și profilul de risc al Serviciului, cu condiția ca măsurile actualizate să nu reducă în mod semnificativ nivelul de protecție.
A3Anexa III — Persoane împuternicite ulterioare actuale
Persoanele împuternicite ulterioare actuale angajate de Persoana împuternicită pentru furnizarea Serviciului sunt enumerate mai jos. Lista reflectă situația de la data “Ultima actualizare” și este menținută în conformitate cu Section 5.
| Persoană împuternicită ulterioară | Scop | Locație |
|---|---|---|
| COTRONIKA EOOD (infrastructură proprie) | Găzduirea aplicației, baza de date principală, stocare fișiere, backup-uri, livrare email prin SMTP, administrarea abonamentelor (self-hosted WHMCS), monitorizarea erorilor | Bulgaria (EU) |
| Cloudflare, Inc. | DNS, CDN, protecție DDoS, web-application firewall, detecție bot Turnstile | USA, with EU points of presence |
| Stripe Payments Europe Ltd | Procesarea plăților pentru taxele de abonament și alte tranzacții plătite | Ireland (EU), with USA parent |
| Anthropic PBC | Conversie imagine-text (OCR) a meniurilor pe hârtie încărcate exclusiv prin funcția de scanare a meniului; Serviciul nu transmite prin această funcție Datele cu caracter personal ale Clientului în cursul obișnuit al operării | USA |
| Google Ireland Ltd (Google Analytics) | Analiză web numai pe site-ul de marketing uxo.bg | Ireland (EU), with USA parent |
A4Anexa IV — Selecțiile modulului SCC
Acolo unde SCCs se aplică unui transfer în baza Section 9, următoarele alegeri sunt făcute în avans:
- Module. Module Two (transfer controller-to-processor) se aplică între Operator și orice sub-processor din afara EEA angajat direct de Operator. Module Three (transfer processor-to-processor) se aplică între Persoana împuternicită și orice sub-processor din afara EEA pe care îl angajează în numele Operatorului.
- Clause 7 (docking clause). Se aplică. Alți Operatori și Persoane împuternicite pot adera la SCCs în conformitate cu această clauză.
- Clause 9 (sub-processors). Option 2 (general written authorisation), cu o perioadă de notificare astfel cum este prevăzută în Section 5.
- Clause 11 (redress). Formularea opțională care permite persoanei vizate să depună o plângere la un organism independent de soluționare a litigiilor nu este selectată.
- Clause 17 (governing law). Legea bulgară.
- Clause 18 (forum and jurisdiction). Instanțele din Sofia City, Bulgaria.
- Annex I.A (parties). Operatorul este identificat prin datele contului furnizate Persoanei împuternicite; Persoana împuternicită este COTRONIKA EOOD; contactul privind protecția datelor pentru ambele părți este [email protected] pentru Persoana împuternicită și emailul contului Operatorului pentru Operator.
- Annex I.B (description). Astfel cum este prevăzut în Annex I la acest DPA.
- Annex II (security measures). Astfel cum este prevăzut în Annex II la acest DPA.
- Annex III (sub-processors). Astfel cum este prevăzut în Annex III la acest DPA.
14Actualizări ale acestui DPA
Persoana împuternicită poate actualiza periodic acest DPA, de exemplu pentru a reflecta schimbări ale legii, ale funcționalității Serviciului sau ale persoanelor sale împuternicite ulterioare. Persoana împuternicită va oferi o notificare prealabilă rezonabilă privind modificările semnificative contactului principal al contului. Actualizările care nu reduc în mod semnificativ nivelul de protecție al Datelor cu caracter personal ale Clientului pot produce efecte la data publicării lor pe această pagină.