Перейти к содержанию
ВойтиНачать
01Правовая информация · Конфиденциальность

Политика конфиденциальности

Как мы собираем, используем, передаём и защищаем персональные данные, когда Вы посещаете uxo.bg или используете платформу UXO.

Последнее обновление
21 May 2026
Разделы
13
Время чтения
~10 мин.

01Об этой политике

Настоящая Политика конфиденциальности объясняет, как COTRONIKA EOODмы», «нас», «наш»), компания, управляющая платформой UXO по адресу uxo.bg и связанными с ней сервисами (далее — «Сервис»), собирает, использует, передаёт и защищает персональные данные.

Она распространяется на маркетинговый сайт uxo.bg, клиентские приложения для оформления заказов, которые рестораны размещают под брендом UXO, рабочую панель для сотрудников ресторанов и поверхности маркетплейса для поиска заведений — вместе это и есть Сервис.

Эта политика написана простым языком, чтобы Вам было понятно, что именно мы делаем и какими правами Вы обладаете. Там, где мы используем технические термины из EU General Data Protection Regulation (Regulation (EU) 2016/679, «GDPR»), мы даём им пояснение.

02Кто мы

COTRONIKA EOOD — болгарская компания с ограниченной ответственностью, которая управляет UXO.

Юридическое наименование
COTRONIKA EOOD
UIC / EIK
202457989
VAT
BG202457989
Юридический адрес
Sofia 1700, Bulgaria
Контактный email
[email protected]

Мы не назначали отдельного Data Protection Officer (DPO), потому что наши операции по обработке не достигают обязательных порогов, установленных Article 37 GDPR. Тем не менее Вы можете обратиться к нам по любому вопросу, связанному с конфиденциальностью, по указанному выше email.

03Какие персональные данные мы собираем

Категории персональных данных, которые мы собираем, зависят от того, как именно Вы взаимодействуете с Сервисом.

Данные аккаунта владельца ресторана / сотрудника (мы — оператор)

  • Идентификационные и контактные данные — имя, email, номер телефона, предпочитаемый язык.
  • Данные о бизнесе — название ресторана или компании, адрес, страна, регистрационные и VAT-номера компании, где это применимо.
  • Данные аутентификации — хэшированный пароль, одноразовые коды, отправляемые на Ваш email для входа и верификации, токены сессии.
  • Платёжные данные — тариф, расчётный период, адрес для выставления счёта, последние четыре цифры платёжной карты (мы никогда не получаем полный номер карты, см. Section 6), история счетов.
  • Сообщения, которые Вы нам отправляете, — письма в поддержку, сообщения через контактную форму, ответы на наши сервисные email-сообщения.

Данные гостя / клиента, которые ресторан размещает через Сервис (мы — обработчик)

  • Данные заказа — выбранные позиции, варианты, комментарии для кухни, время заказа, номер стола либо данные для самовывоза/доставки.
  • Контактные данные клиента — имя, номер телефона, email и адрес доставки, когда гость оформляет заказ на самовывоз, доставку или бронирование либо выбирает получение обновлений статуса.
  • Данные аккаунта — когда гость создаёт аккаунт для удалённого заказа, email или телефон, который он подтверждает, языковые предпочтения, сохранённые адреса доставки.

Эту категорию данных мы обрабатываем строго по документированным инструкциям ресторана, которому принадлежит заведение, в соответствии с условиями нашего Соглашения об обработке персональных данных (см. /legal/dpa). Мы не продаём, не сдаём в аренду и не используем эти данные в собственных маркетинговых целях.

Технические данные, которые мы собираем от любого пользователя Сервиса

  • IP-адрес, тип устройства, браузер, операционная система, URL-источник перехода.
  • Просмотренные страницы, время на сайте, взаимодействия с интерфейсом, приблизительное местоположение, определённое по IP.
  • Функциональные cookie — например, cookie uxo_locale, который запоминает выбранный Вами язык при переходе между страницами.
  • Аналитические cookie, устанавливаемые Google Analytics на маркетинговом сайте uxo.bg (см. Section 9 о cookie).
  • Серверные журналы — URL запросов, коды статуса, временные метки, сокращённые строки User-Agent — хранятся в операционных целях и в целях безопасности.

04Как мы используем персональные данные и на каких основаниях

Мы обрабатываем персональные данные только при наличии законного основания по Article 6 GDPR. В таблице ниже указаны основные цели обработки и основание, на которое мы опираемся в каждом случае.

ЦельПравовое основание
Предоставлять и поддерживать Сервис, давать Вам доступ к аккаунту, обеспечивать работу клиентских интерфейсов для оформления заказовИсполнение договора (Art. 6(1)(b))
Принимать оплату, выставлять счета, управлять подписками, взыскивать просроченные суммыИсполнение договора (Art. 6(1)(b))
Отправлять сервисные email-сообщения (коды входа, сброс пароля, изменения аккаунта, платёжные квитанции, уведомления о безопасности)Исполнение договора (Art. 6(1)(b))
Соблюдать наши налоговые, бухгалтерские обязательства, обязанности по противодействию отмыванию денег и защите потребителейЮридическая обязанность (Art. 6(1)(c))
Защищать Сервис от мошенничества, злоупотреблений и угроз безопасности; расследовать инцидентыНаш законный интерес в обеспечении безопасности Сервиса (Art. 6(1)(f))
Улучшать Сервис — агрегированный анализ использования, продуктовые исследования, мониторинг ошибокНаш законный интерес в эксплуатации и совершенствовании Сервиса (Art. 6(1)(f))
Отправлять маркетинговые email-сообщения о новых функциях UXO и объявления существующим клиентамНаш законный интерес в продвижении Сервиса среди существующих клиентов, с возможностью отказа в каждом email (Art. 6(1)(f))
Устанавливать аналитические cookie на сайте uxo.bgВаше согласие (Art. 6(1)(a))
Обрабатывать данные заказа гостя / клиента от имени ресторанаМы действуем как обработчик; ресторан сам определяет и использует собственное правовое основание по своему соглашению с гостем

05Как мы передаём персональные данные

Мы не продаём персональные данные. Мы передаём их только перечисленным ниже сторонним провайдерам услуг, которые выступают нашими субобработчиками и обрабатывают данные по нашим инструкциям, а также в тех случаях, когда у нас есть законная обязанность сделать это.

Используемые нами субобработчики

ПровайдерРольМестонахождение
COTRONIKA EOOD (own infrastructure)Хостинг приложения, база данных, резервные копии, доставка email через SMTP, управление подписками (WHMCS), мониторинг ошибокBulgaria (EU)
Cloudflare, Inc.DNS, CDN, защита от DDoS, web-application firewall, обнаружение ботов TurnstileUSA / EU edge points of presence
Stripe Payments Europe LtdОбработка карточных платежей по подпискам и другим платным операциямIreland (EU) with USA parent company
Anthropic PBCПреобразование изображений в текст (OCR) для бумажных меню, загружаемых только через функцию menu-scan; изображения меню обычно не содержат персональных данныхUSA
Google Ireland LtdВеб-аналитика (Google Analytics) на uxo.bgIreland (EU) with USA parent company

Иные раскрытия

Мы можем раскрывать персональные данные государственным органам, судам или регуляторам, если обязаны сделать это по закону, если это необходимо для защиты наших законных прав или если это нужно для защиты прав, имущества или безопасности любого лица.

Если COTRONIKA EOOD или какая-либо часть её бизнеса будет реорганизована, продана или передана, персональные данные могут быть переданы приобретающей стороне. Если этого требует закон, мы уведомим Вас заранее.

06Международные передачи

Сервис работает на нашей собственной инфраструктуре в Bulgaria (EU). Однако некоторые наши субобработчики находятся в USA или используют глобальную инфраструктуру. Когда персональные данные передаются за пределы European Economic Area, мы опираемся на надлежащие гарантии, предусмотренные Chapter V GDPR:

  • Standard Contractual Clauses Европейской комиссии (Decision 2021/914), подписанные с соответствующим провайдером, и
  • если провайдер участвует в EU-US Data Privacy Framework, — на решение о достаточности от 10 July 2023 в сочетании с самосертификацией такого провайдера.

Вы можете запросить копию действующих гарантий по конкретной передаче, написав на [email protected].

07Как долго мы храним персональные данные

Мы храним персональные данные только столько, сколько они нужны для целей, указанных в настоящей политике, или сколько требует закон.

Данные аккаунта
Хранятся, пока активна Ваша подписка. Удаляются (или необратимо обезличиваются) в течение трёх месяцев после окончания подписки, за исключением случаев, когда мы обязаны хранить отдельные записи дольше для соблюдения закона (например, бухгалтерские и налоговые документы, которые Accountancy Act и VAT Act обязывают нас хранить не менее десяти лет).
Данные заказов и данные гостей-клиентов
Хранятся, пока активна подписка ресторана, и удаляются в течение трёх месяцев после закрытия подписки с учётом тех же исключений для бухгалтерского / налогового хранения, указанных выше.
Коды входа и токены сброса пароля
Автоматически истекают в пределах времени жизни, установленного в Сервисе (обычно от минут до часов), после чего удаляются.
Серверные журналы и телеметрия безопасности
Хранятся до девяноста дней, если только не связаны с конкретным расследуемым инцидентом.
Записи об отказе от маркетинговых email-рассылок
Хранятся бессрочно, чтобы мы могли соблюдать Ваш отказ даже после закрытия аккаунта.

08Ваши права

В соответствии с GDPR Вы обладаете следующими правами в отношении персональных данных, которые мы о Вас храним:

  • Доступ (Art. 15) — запросить копию персональных данных, которые мы о Вас храним.
  • Исправление (Art. 16) — попросить нас исправить неточные или неполные данные.
  • Удаление (Art. 17) — попросить нас удалить Ваши данные, если применяется одно из оснований, предусмотренных GDPR.
  • Ограничение обработки (Art. 18) — попросить нас ограничить использование Ваших данных на время разрешения спора.
  • Переносимость (Art. 20) — получить данные, которые Вы нам предоставили, в структурированном, общепринятом, машиночитаемом формате и попросить нас передать их другому оператору, если это технически возможно.
  • Возражение (Art. 21) — возразить против обработки, основанной на наших законных интересах, включая прямой маркетинг, по причинам, связанным с Вашей конкретной ситуацией.
  • Отзыв согласия (Art. 7(3)) — если мы опираемся на Ваше согласие, Вы можете отозвать его в любое время. Отзыв не влияет на правомерность обработки, выполненной до отзыва.
  • Подать жалобу в надзорный орган. В Болгарии таким органом является Commission for Personal Data Protection (Комисия за защита на личните данни), www.cpdp.bg.

Чтобы воспользоваться любым из этих прав, напишите на [email protected]. Мы ответим в течение одного месяца с момента получения Вашего запроса, как того требует Article 12(3) GDPR. Мы можем продлить этот срок ещё на два дополнительных месяца, если запрос сложный; если это произойдёт, мы сообщим Вам об этом в течение первого месяца и объясним причину.

Если Ваш запрос касается данных гостя / клиента, которые ресторан разместил через Сервис, пожалуйста, сначала обратитесь к самому ресторану — именно он является оператором. Мы поможем ему в подготовке ответа.

09Файлы cookie и аналогичные технологии

Маркетинговый сайт uxo.bg использует две категории cookie:

Функциональные
uxo_locale — запоминает выбранный Вами язык при переходе между страницами, чтобы Вам не приходилось выбирать его заново при каждом посещении. Устанавливается сроком на один год. Согласие не требуется, поскольку этот cookie строго необходим для функции выбора языка, которой Вы активно пользуетесь.
Аналитические
Google Analytics — помогает нам понять, как посетители находят и используют маркетинговый сайт, чтобы мы могли его улучшать. Эти cookie устанавливаются только с Вашего согласия. Вы можете отозвать согласие в любое время через настройки браузера.

Клиентские приложения для заказов и рабочая панель сотрудников используют строго необходимые сессионные cookie, чтобы сохранять Ваш вход в систему. По правилам ЕС такие cookie не требуют согласия.

10Безопасность

Мы принимаем надлежащие технические и организационные меры для защиты персональных данных от случайного или незаконного уничтожения, утраты, изменения, несанкционированного раскрытия или доступа. Эти меры включают:

  • шифрование трафика при передаче (TLS) для всего обмена данными с Сервисом;
  • шифрование резервных копий и чувствительных хранилищ данных в состоянии покоя;
  • ролевое разграничение доступа и принцип минимально необходимых привилегий для сотрудников, имеющих доступ к production-системам;
  • изоляцию арендаторов, гарантирующую, что один ресторан не может получить доступ к данным другого;
  • хэширование паролей с использованием соли и медленного алгоритма; токены входа истекают и ротируются;
  • журналы аудита административных действий и серверные журналы, сохраняемые для операционного анализа и проверки безопасности;
  • регулярные резервные копии, установка исправлений безопасности и проверка провайдеров из списка субобработчиков в Section 5.

Идеально защищённых систем не существует. Если нарушение безопасности персональных данных затронет Вас, мы уведомим Вас и соответствующий надзорный орган, если GDPR обязывает нас сделать это (Art. 33-34).

11Дети

Сервис не предназначен для детей младше шестнадцати лет, и мы сознательно не собираем их персональные данные. Если Вам станет известно, что ребёнок предоставил нам персональные данные, пожалуйста, свяжитесь с нами по адресу [email protected], чтобы мы могли удалить такие данные.

12Изменения этой политики

Мы можем время от времени обновлять эту политику, чтобы отражать изменения в Сервисе, в составе наших субобработчиков или в применимом законодательстве. Когда это происходит, мы изменяем дату «Last updated» в верхней части страницы. Если изменения существенны, мы заранее разумным образом уведомим Вас — обычно по email, если у Вас есть аккаунт, или через баннер в Сервисе.

13Контакты

По любому вопросу об этой политике или о том, как мы обрабатываем персональные данные, напишите на [email protected] или отправьте письмо по почте: COTRONIKA EOOD, Sofia 1700, Bulgaria.

Готовы объединить QR-меню, заказы со стола, самовывоз и доставку?
Старт бесплатный, локальная видимость уже включена.

Начать бесплатноСвязаться с нами