Umowa powierzenia przetwarzania danych osobowych
Załącznik do Regulaminu serwisu yov.pl · zgodna z art. 28 RODO
Strony. Niniejszą umowę (dalej „Umowa") zawierają: Administrator — Usługobiorca (restauracja) korzystający z serwisu yov.pl, oraz Podmiot przetwarzający — [IMIĘ I NAZWISKO], prowadzący/-a działalność nierejestrowaną (art. 5 ustawy — Prawo przedsiębiorców; bez wpisu do CEIDG i bez NIP — do rozliczeń stosuje się PESEL), adres do korespondencji: [ADRES], e-mail: kontakt@yov.pl, operator serwisu yov.pl. Umowa zostaje zawarta z chwilą akceptacji Regulaminu i jest jego integralną częścią.
§1. Przedmiot i cel
Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych w zakresie i celu niezbędnym do świadczenia usługi yov.pl (obsługa menu, zamówień, rezerwacji, płatności, marketingu prowadzonego przez Administratora). Przetwarzanie następuje wyłącznie na udokumentowane polecenie Administratora, którym jest również niniejsza Umowa oraz korzystanie z funkcji Serwisu.
§2. Charakter, czas, rodzaj danych i kategorie osób
- Charakter i cel: przechowywanie i przetwarzanie danych w ramach funkcji Serwisu.
- Czas: przez okres obowiązywania umowy o świadczenie usługi.
- Rodzaj danych: dane identyfikacyjne i kontaktowe Gości (imię, telefon, e-mail, adres dostawy), treść zamówień/rezerwacji, zgody marketingowe, dane techniczne (IP, logi).
- Kategorie osób: Goście Administratora (klienci restauracji), ewentualnie pracownicy Administratora.
§3. Obowiązki Podmiotu przetwarzającego (art. 28 ust. 3 RODO)
- przetwarza dane wyłącznie na udokumentowane polecenie Administratora;
- zapewnia, że osoby upoważnione do przetwarzania zobowiązały się do zachowania poufności;
- stosuje środki bezpieczeństwa wymagane art. 32 RODO (m.in. szyfrowanie haseł, izolacja danych najemców, kontrola dostępu, kopie zapasowe);
- przestrzega warunków podpowierzenia (§4);
- w miarę możliwości pomaga Administratorowi w realizacji praw osób (dostęp, sprostowanie, usunięcie, przenoszenie, sprzeciw);
- pomaga Administratorowi w wypełnianiu obowiązków z art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków);
- po zakończeniu świadczenia usługi usuwa lub zwraca dane (wg wyboru Administratora), o ile prawo nie nakazuje ich przechowywania;
- udostępnia Administratorowi informacje niezbędne do wykazania zgodności oraz umożliwia audyty/inspekcje na uzgodnionych zasadach.
§4. Podpowierzenie (subprocesorzy)
Administrator wyraża ogólną zgodę na korzystanie przez Podmiot przetwarzający z dalszych podmiotów przetwarzających, niezbędnych do świadczenia usługi, w szczególności:
- dostawca infrastruktury/hostingu: [DOSTAWCA HOSTINGU] (serwery w UE);
- dostawca poczty e-mail: [DOSTAWCA POCZTY];
- operatorzy płatności (gdy włączone): Stripe, PayU, Przelewy24, Paynow;
- usługi map/geokodowania (gdy używane).
Podmiot przetwarzający nakłada na subprocesorów obowiązki ochrony danych nie mniejsze niż w niniejszej Umowie oraz informuje Administratora o zamierzonych zmianach, umożliwiając sprzeciw.
§5. Przekazywanie poza EOG
Dane przetwarzane są co do zasady w UE/EOG. Ewentualne przekazanie poza EOG (np. przez operatora płatności) następuje na podstawie odpowiednich zabezpieczeń (standardowe klauzule umowne lub decyzja o adekwatności).
§6. Naruszenia ochrony danych
Podmiot przetwarzający zgłasza Administratorowi naruszenie ochrony danych bez zbędnej zwłoki po jego stwierdzeniu, przekazując informacje niezbędne do realizacji obowiązków Administratora (m.in. zgłoszenie do PUODO).
§7. Odpowiedzialność
1. Strony odpowiadają zgodnie z RODO i przepisami prawa; odpowiedzialności wobec osób, których dane dotyczą, oraz organu nadzorczego nie można umownie wyłączyć.
2. W relacji między Stronami, w najszerszym zakresie dozwolonym prawem, całkowita odpowiedzialność Podmiotu przetwarzającego wobec Administratora z tytułu lub w związku z niniejszą Umową jest ograniczona do wysokości opłat uiszczonych przez Administratora na rzecz Podmiotu przetwarzającego w okresie [3] miesięcy poprzedzających zdarzenie; Podmiot przetwarzający nie odpowiada za szkody pośrednie ani utracone korzyści. Ograniczenie nie dotyczy szkód wyrządzonych umyślnie ani przypadków, w których odpowiedzialności nie można ograniczyć na mocy bezwzględnie obowiązujących przepisów. [DO WERYFIKACJI PRZEZ PRAWNIKA: wysokość i okres limitu; spójność z §11 Regulaminu.]
3. Administrator zapewnia zgodność z prawem poleceń przekazywanych Podmiotowi przetwarzającemu oraz posiadanie podstaw prawnych przetwarzania danych Gości; ponosi odpowiedzialność wobec Podmiotu przetwarzającego za skutki ich braku (indemnizacja) — w zakresie dozwolonym prawem.
§8. Czas obowiązywania i postanowienia końcowe
Umowa obowiązuje przez czas świadczenia usługi. W sprawach nieuregulowanych stosuje się RODO i prawo polskie. Zmiany wymagają formy właściwej dla Regulaminu.
© Yov · Regulamin · Polityka prywatności