Załącznik do regulaminu

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (DPA)

DPA określa, jak Foodyo przetwarza dane klientów końcowych restauracji jako procesor oraz jak wygląda podpowierzenie, bezpieczeństwo, audyt i usuwanie danych.

Obowiązuje od: 26 marca 2026 r.RODO / art. 28Procesor danych

Wstęp

Załącznik nr 1 do Regulaminu Serwisu Foodyo

§ 1. STRONY I PRZEDMIOT UMOWY

  1. Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych (dalej: „DPA") stanowi załącznik do Regulaminu Serwisu Foodyo i reguluje zasady powierzenia przetwarzania danych osobowych pomiędzy:
  • Administratorem Danych — Klientem (Restauracją) w rozumieniu Regulaminu Serwisu Foodyo, który decyduje o celach i sposobach przetwarzania danych osobowych Klientów Końcowych;
  • Podmiotem Przetwarzającym (Procesorem) — Przemysławem Goławskim prowadzącym działalność gospodarczą pod firmą LAIT Przemysław Goławski, ul. Kresów Wschodnich 2B/65, 21-400 Łuków, NIP: 8252210652, REGON: 541323738 (dalej: „Procesor" lub „Usługodawca").
  1. DPA zawierana jest z chwilą akceptacji Regulaminu Serwisu Foodyo i obowiązuje przez cały czas trwania Umowy o świadczenie Usług.
  1. Definicje użyte w niniejszej DPA, a niezdefiniowane w niej odrębnie, mają znaczenie nadane im w Regulaminie Serwisu Foodyo.
  1. Niniejsza DPA stanowi umowę powierzenia przetwarzania danych osobowych w rozumieniu art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO).

§ 2. ZAKRES I CEL PRZETWARZANIA

  1. Administrator powierza Procesorowi przetwarzanie danych osobowych wyłącznie w celu realizacji Usług określonych w Regulaminie Serwisu Foodyo, w szczególności:
  • a) obsługi systemu zamówień online (przyjmowanie, przetwarzanie i archiwizowanie Zamówień Klientów Końcowych);
  • b) generowania i publikacji strony internetowej Restauracji zawierającej dane kontaktowe;
  • c) przesyłania powiadomień o Zamówieniach do Klienta za pośrednictwem komunikatora Telegram;
  • d) wysyłania wiadomości e-mail transakcyjnych do Klientów Końcowych (potwierdzenia zamówień);
  • e) prowadzenia analityki i raportów dotyczących Zamówień w Panelu Klienta.
  1. Procesor przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek przetwarzania wynika z prawa Unii Europejskiej lub prawa polskiego.

§ 3. KATEGORIE OSÓB I RODZAJE DANYCH

  1. Kategorie osób, których dane dotyczą:
  • Klienci Końcowi (osoby składające Zamówienia w Restauracji).
  1. Rodzaje przetwarzanych danych osobowych:
  • imię i nazwisko;
  • adres e-mail;
  • numer telefonu;
  • adres dostawy (w przypadku zamówień z dostawą);
  • treść zamówienia (dania, kwota, uwagi);
  • adres IP;
  • data i godzina złożenia zamówienia.
  1. Charakter przetwarzania:
  • zbieranie, utrwalanie, organizowanie, przechowywanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesyłanie (powiadomienia Telegram, e-mail), usuwanie.
  1. Czas przetwarzania:
  • Dane są przetwarzane przez czas trwania Umowy oraz przez okres 30 dni po jej zakończeniu (okres na pobranie danych przez Administratora). Po upływie tego okresu dane osobowe Klientów Końcowych podlegają anonimizacji.

§ 4. OBOWIĄZKI PROCESORA

  1. Procesor zobowiązuje się do:
  • a) przetwarzania danych osobowych wyłącznie w zakresie i celu określonym w niniejszej DPA;
  • b) zapewnienia, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności;
  • c) wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku, w tym w szczególności:
  • szyfrowanie transmisji danych (HTTPS/TLS);
  • uwierzytelnianie dostępu do systemów (JWT, bcrypt);
  • kontrola dostępu do bazy danych (PostgreSQL z ograniczonymi rolami);
  • regularne tworzenie kopii zapasowych;
  • separacja danych poszczególnych Klientów (Restauracji) w bazie danych;
  • d) pomagania Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków), w zakresie technicznie możliwym;
  • e) pomagania Administratorowi w realizacji praw osób, których dane dotyczą (art. 15–22 RODO), poprzez udostępnienie odpowiednich funkcji eksportu i usuwania danych w Panelu Klienta;
  • f) po zakończeniu Umowy — usunięcia lub zwrotu danych osobowych zgodnie z § 8 niniejszej DPA;
  • g) udostępniania Administratorowi informacji niezbędnych do wykazania spełnienia obowiązków wynikających z art. 28 RODO.

§ 5. PRAWO AUDYTU

  1. Administrator ma prawo do przeprowadzenia audytu lub inspekcji w celu weryfikacji przestrzegania przez Procesora postanowień niniejszej DPA.
  1. Audyt może być przeprowadzony:
  • a) nie częściej niż raz w roku kalendarzowym;
  • b) po uprzednim powiadomieniu Procesora z wyprzedzeniem co najmniej 14 dni;
  • c) w sposób niepowodujący nieuzasadnionego zakłócenia działalności Procesora;
  • d) na koszt Administratora.
  1. Procesor współpracuje z Administratorem w zakresie audytu, udostępniając niezbędne informacje i dokumentację w formie elektronicznej.
  1. Audyt może zostać zastąpiony przedstawieniem przez Procesora aktualnego certyfikatu bezpieczeństwa, raportu z audytu przeprowadzonego przez niezależny podmiot lub oświadczenia o zgodności z niniejszą DPA.

§ 6. ZGŁASZANIE NARUSZEŃ

  1. Procesor zobowiązuje się do niezwłocznego, nie później niż w ciągu 48 godzin od powzięcia wiadomości, poinformowania Administratora o wszelkich naruszeniach ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO.
  1. Powiadomienie, o którym mowa w ust. 1, powinno zawierać co najmniej:
  • a) opis charakteru naruszenia, w tym kategorie i przybliżoną liczbę osób, których dane dotyczą;
  • b) dane kontaktowe Procesora;
  • c) opis prawdopodobnych konsekwencji naruszenia;
  • d) opis środków zastosowanych lub proponowanych w celu zaradzenia naruszeniu.
  1. Procesor podejmuje natychmiastowe działania w celu ograniczenia skutków naruszenia i zapobieżenia dalszym naruszeniom.

§ 7. PODPOWIERZENIE (SUB-PROCESORZY)

7.1. Ogólna zgoda na podpowierzenie

  1. Administrator wyraża ogólną zgodę na korzystanie przez Procesora z usług dalszych podmiotów przetwarzających (sub-procesorów) wymienionych w § 7.2 niniejszej DPA.
  1. Procesor zobowiązuje się do:
  • a) zawarcia z każdym sub-procesorem umowy zapewniającej co najmniej taki sam poziom ochrony danych osobowych jak niniejsza DPA;
  • b) ponoszenia pełnej odpowiedzialności wobec Administratora za działania i zaniechania sub-procesorów.

7.2. Lista sub-procesorów przetwarzających dane Klientów Końcowych

NrSub-procesorSiedzibaPodstawa transferuZakres przetwarzania danych Klientów Końcowych
1Google LLC (Gmail SMTP)Mountain View, USAStandardowe klauzule umowne (SCCs) / Google Cloud DPAWysyłka e-maili transakcyjnych do Klientów Końcowych (potwierdzenia zamówień) z adresu no-reply@foodyo.pl
2Telegram FZ-LLCDubaj, ZEAPolityka prywatności Telegram / zgoda AdministratoraPrzesyłanie powiadomień o zamówieniach do Klienta (Restauracji) — przetwarza: treść zamówienia (dania, kwota), dane Klienta Końcowego (imię, adres dostawy, telefon), identyfikator Telegram Klienta
3Oracle CorporationAustin, USAStandardowe klauzule umowne (SCCs)Hosting infrastruktury (VPS) — serwer aplikacji, baza danych PostgreSQL zawierająca dane Klientów Końcowych (zamówienia, dane kontaktowe)

Uwaga: Pozostali dostawcy usług wykorzystywani przez Procesora (OpenAI, Google Gemini/Places/Maps/Search/Fonts, Anthropic, rejestrator domen) przetwarzają wyłącznie dane Klienta (Restauracji) oraz treści strony internetowej — nie przetwarzają danych osobowych Klientów Końcowych. Informacje o tych podmiotach znajdują się w Polityce Prywatności Serwisu Foodyo (foodyo.pl/polityka-prywatnosci).

7.3. Zmiana sub-procesorów

  1. Procesor informuje Administratora o zamiarze dodania nowego sub-procesora lub zastąpienia istniejącego z wyprzedzeniem co najmniej 14 dni, publikując zaktualizowaną listę sub-procesorów w ramach DPA na stronie foodyo.pl/regulamin.
  1. Administrator ma prawo zgłosić uzasadniony sprzeciw wobec zmiany sub-procesora w terminie 14 dni od otrzymania powiadomienia. W przypadku sprzeciwu Strony podejmą negocjacje w dobrej wierze. Jeżeli Strony nie osiągną porozumienia, Administrator ma prawo rozwiązać Umowę ze skutkiem na koniec bieżącego Okresu Rozliczeniowego.

7.4. Szczególne postanowienia dotyczące Telegram

  1. Administrator przyjmuje do wiadomości, że powiadomienia o zamówieniach są przesyłane za pośrednictwem komunikatora Telegram (Telegram FZ-LLC, siedziba: Dubaj, ZEA).
  1. Telegram przetwarza dane w ramach własnej infrastruktury, zgodnie z własną polityką prywatności dostępną pod adresem https://telegram.org/privacy.
  1. Ze względu na charakter usługi (komunikator), Procesor nie ma możliwości zawarcia odrębnej umowy powierzenia przetwarzania danych z Telegram FZ-LLC. Podstawę przetwarzania stanowi prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO) polegający na zapewnieniu sprawnej realizacji zamówień.
  1. Akceptacja niniejszej DPA oznacza wyrażenie przez Administratora zgody na przetwarzanie danych Klientów Końcowych w zakresie niezbędnym do przesyłania powiadomień o zamówieniach za pośrednictwem Telegram.
  1. Administrator jest zobowiązany do poinformowania Klientów Końcowych o fakcie przesyłania danych dotyczących ich zamówień za pośrednictwem komunikatora Telegram, w ramach polityki prywatności zamieszczonej na stronie Restauracji.

§ 8. POSTĘPOWANIE Z DANYMI PO ZAKOŃCZENIU UMOWY

  1. Po zakończeniu Umowy Procesor:
  • a) przez okres 30 dni od zakończenia Umowy — umożliwia Administratorowi pobranie danych osobowych Klientów Końcowych za pośrednictwem funkcji eksportu w Panelu Klienta (jeśli dostępna) lub na żądanie złożone na adres admin@foodyo.pl;
  • b) po upływie 30 dni — usuwa dane osobowe Klientów Końcowych lub zwraca je Administratorowi w zakresie określonym przez Administratora w pisemnym żądaniu złożonym przed upływem tego terminu; dane zagregowane (statystyki zamówień bez danych identyfikacyjnych) mogą zostać zachowane w formie zanonimizowanej;
  • c) dane księgowe (faktury, rozliczenia) są przechowywane przez Procesora przez okres 5 lat zgodnie z ustawą o rachunkowości.
  1. Na żądanie Administratora złożone przed upływem terminu, o którym mowa w ust. 1 lit. a), Procesor dostarcza kopię danych w formacie umożliwiającym ich odczytanie (CSV, JSON) w terminie 14 dni roboczych.

§ 9. ODPOWIEDZIALNOŚĆ

  1. Procesor ponosi odpowiedzialność za szkody spowodowane przetwarzaniem danych osobowych niezgodnie z niniejszą DPA lub RODO, na zasadach określonych w art. 82 RODO.
  1. Odpowiedzialność Procesora z tytułu niniejszej DPA podlega ograniczeniom określonym w Artykule 9 Regulaminu Serwisu Foodyo.

§ 10. POSTANOWIENIA KOŃCOWE

  1. Niniejsza DPA stanowi integralną część Regulaminu Serwisu Foodyo.
  2. W sprawach nieuregulowanych niniejszą DPA zastosowanie mają przepisy RODO oraz prawa polskiego.
  3. DPA podlega prawu polskiemu.
  4. Wszelkie spory wynikające z niniejszej DPA rozstrzygane są zgodnie z postanowieniami Regulaminu Serwisu Foodyo dotyczącymi właściwości sądu.

LAIT Przemysław Goławski, ul. Kresów Wschodnich 2B/65, 21-400 Łuków, NIP: 8252210652, REGON: 541323738