Podlaskie Papu ↔ Restauracja Partnerska
Wersja: v1.0 (DRAFT — wymaga review prawnika RODO przed podpisaniem) Status: Template do customizacji per restauracja pilotażowa
⚠ Status: Draft generowany przez CC bazujący na
rodo_checklist_v1.mdsekcja 11.2 (Restauracja jako Procesor — Opcja A rekomendacja). Wymaga review prawnika RODO + customizacji dla każdej z 4 restauracji pilotażowych. Bartek negocjuje + Adrian podpisuje.
Dane stron
ADMINISTRATOR DANYCH OSOBOWYCH
[Pełna nazwa prawna Podlaskie Papu Sp. z o.o.] NIP: [NIP Podlaskie Papu] REGON: [REGON] Adres rejestrowy: [adres], Białystok Reprezentowany przez: Adrian Czapla, [funkcja w spółce] (dalej: "Podlaskie Papu" lub "Administrator")
PROCESOR DANYCH OSOBOWYCH
[Pełna nazwa prawna restauracji partnerskiej] NIP: [NIP restauracji] REGON: [REGON] Adres: [adres rejestrowy] Reprezentowany przez: [imię i nazwisko, funkcja] (dalej: "Restauracja" lub "Procesor")
§ 1. Postanowienia ogólne
-
Niniejsza Umowa stanowi umowę powierzenia przetwarzania danych osobowych, o której mowa w Art. 28 RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.).
-
Umowa towarzyszy umowie głównej o współpracy gastronomicznej między Podlaskie Papu a Restauracją z dnia [DD-MM-RRRR] (dalej: "Umowa Główna").
-
W przypadku rozbieżności między Umową Główną a niniejszą DPA — postanowienia DPA mają pierwszeństwo w zakresie ochrony danych osobowych.
-
Strony oświadczają, że posiadają wszelkie wymagane upoważnienia do zawarcia niniejszej Umowy.
§ 2. Definicje
W niniejszej Umowie używamy pojęć:
- RODO — Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
- Dane osobowe — wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (Art. 4.1 RODO)
- Przetwarzanie — operacje na danych osobowych (Art. 4.2 RODO)
- Klient — osoba fizyczna składająca zamówienie na platformie Podlaskie Papu
- Zamówienie — umowa o świadczenie usługi gastronomicznej zawarta między Klientem a Restauracją za pośrednictwem Podlaskie Papu
- Sub-procesor — podmiot, któremu Restauracja powierza dalsze przetwarzanie danych
- Naruszenie ochrony danych — naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub dostępu (Art. 4.12 RODO)
§ 3. Przedmiot i cel powierzenia
3.1 Cel przetwarzania
Podlaskie Papu powierza Restauracji przetwarzanie danych osobowych Klientów wyłącznie w celu realizacji Zamówień złożonych przez tych Klientów za pośrednictwem platformy Podlaskie Papu.
3.2 Czynności przetwarzania
Restauracja przetwarza dane Klientów w celu:
- Przyjęcia Zamówienia w systemie Podlaskie Papu (panel restauracji)
- Przygotowania posiłku zgodnie z zamówionymi pozycjami i modyfikatorami
- Spakowania zamówienia + przygotowania go do odbioru przez kuriera
- Komunikacji z Klientem w zakresie ograniczonym (np. telefon w razie braku składnika — przez Podlaskie Papu, nie bezpośrednio)
- Reklamacji i zwrotów (rozpatrywanie zgłoszeń klientów dotyczących posiłków)
- Statystyk i raportów w panelu restauracji (sprzedaż per pozycja, peak hours, oceny)
3.3 Wyłączenia (czego Restauracja NIE ROBI)
Restauracja nie jest uprawniona do:
- Wykorzystania danych Klientów do własnego marketingu
- Tworzenia własnej bazy klientów poza zakresem zamówień przez Podlaskie Papu
- Przekazywania danych podmiotom trzecim (poza dostawcami systemowymi Podlaskie Papu)
- Wykorzystania danych po rozwiązaniu Umowy Głównej
- Profilowania klientów na własne potrzeby
3.4 Charakter i zakres przetwarzania
| Aspekt | Określenie |
|---|---|
| Czas trwania | Czas obowiązywania Umowy Głównej + okres retencji (sekcja 9) |
| Charakter | Przetwarzanie wspomagające realizację umowy gastronomicznej |
| Cel | Realizacja Zamówień Klientów |
| Rodzaj danych | Patrz § 4 |
| Kategorie osób | Klienci Podlaskie Papu |
§ 4. Zakres powierzonych danych
4.1 Co Restauracja widzi w panelu (RBAC matrix)
Restauracja przetwarza wyłącznie poniższe dane Klientów:
| Dane | Źródło | Kiedy |
|---|---|---|
| Imię Klienta | customers.first_name |
Po przyjęciu zamówienia |
| Numer zamówienia | orders.order_number |
Po placement |
| Lista zamówionych pozycji + modyfikatory | order_items snapshot |
Po placement |
| Adres dostawy (snapshot — kopia immutable) | orders.delivery_address_snapshot |
Po placement |
| Notatka klienta (jeśli wpisał) | orders.customer_notes |
Po placement |
| Slot dostawy (czas) | orders.slot_pickup_at, slot_delivery_at |
Po placement |
| Status zamówienia | orders.status |
Cały lifecycle |
| Kwoty (subtotal, total) | orders.subtotal, total |
Po placement |
4.2 Co Restauracja NIE WIDZI (explicit DENY)
⚠ KRYTYCZNE: Restauracja NIGDY nie ma dostępu do:
- Numeru telefonu Klienta (kontakt przez Podlaskie Papu lub kuriera)
- Emaila Klienta
- Hasła (oczywiście)
- Profilu dietetycznego (RODO Art. 9 — dane wrażliwe; filtry alergenów wykonywane po stronie Podlaskie Papu)
- Historii zamówień w innych restauracjach
- Adresów dostawy poza tym konkretnym zamówieniem
- Danych płatniczych (P24 osobne)
- Foto przy dostawie (kurier robi, Podlaskie Papu przechowuje)
- Danych zgód RODO
- Audit log Podlaskie Papu
Mechanizm techniczny: backend Podlaskie Papu filtruje response przy każdym GET /restaurant/v1/orders/{id} (per routes_spec_v1.md sekcja 9.2 + RODO checklist sekcja 11.4).
4.3 Pracownicy restauracji (restaurant_users)
Restauracja zapewnia, że dostęp do panelu mają wyłącznie upoważnieni pracownicy w rolach:
- Owner — pełen dostęp + KSeF + billing + zarządzanie zespołem
- Manager — orders + menu CRUD + analytics (NIE billing)
- Waiter — orders queue accept/reject/ready (only)
Restauracja zobowiązuje się do: - Niezwłocznego cofania dostępu (account revoke) po zakończeniu zatrudnienia pracownika - Niedzielenia kont między pracownikami - Wymagania bezpiecznych haseł (zgodnie z polityką Podlaskie Papu) - Zgłaszania Podlaskie Papu każdego incydentu dotyczącego nieautoryzowanego dostępu
§ 5. Obowiązki Procesora (Restauracji)
Restauracja zobowiązuje się do:
5.1 Przetwarzanie tylko na polecenie
Przetwarzania danych osobowych wyłącznie na udokumentowane polecenie Podlaskie Papu zgodnie z niniejszą Umową, z wyjątkiem przypadków wymaganych przez prawo (np. nakaz sądowy) — wówczas Restauracja niezwłocznie informuje Podlaskie Papu, chyba że prawo zabrania.
5.2 Poufność
Zapewnienia, że osoby upoważnione do przetwarzania zostały zobowiązane do zachowania tajemnicy lub podlegają odpowiedniemu prawnemu obowiązkowi tajemnicy.
5.3 Bezpieczeństwo techniczne i organizacyjne (Art. 32 RODO)
Wdrożenia odpowiednich środków technicznych i organizacyjnych:
| Środek | Wymóg minimalny |
|---|---|
| Hasła | Minimum 8 znaków, 1 cyfra, 1 wielka litera. Bez współdzielenia. |
| Logowanie | Tylko z zaufanych urządzeń. 2FA TOTP rekomendowane dla owner. |
| Sesja | Auto-logout po 30 min nieaktywności. |
| Urządzenia | Aktualne systemy (Win/macOS/Linux). Antywirus aktywny. Hasło/biometria odblokowanie. |
| Sieć | Tylko zaufane WiFi/sieć (NIE publiczne hotspoty bez VPN). |
| Backup | Podlaskie Papu odpowiada za backupy bazy. Restauracja NIE robi własnych eksportów danych poza standardowymi raportami. |
| Drukowanie | Drukowanie zamówień (kuchnia) ok, ale wyrzucenie po realizacji (niszczarka lub spalenie). |
5.4 Pomoc Administratorowi
Pomocy Podlaskie Papu w wykonywaniu obowiązków RODO:
- Realizacja praw Klientów (Art. 15-22): w przypadku gdy Klient kontaktuje się z Restauracją (np. żądanie usunięcia, ograniczenia) — Restauracja przekierowuje Klienta do Podlaskie Papu (support@idziem.pl) i nie podejmuje samodzielnych działań poza normalnym procesem reklamacji.
- Naruszenia ochrony danych (Art. 33-34) — sekcja 8.
- DPIA (Art. 35) — w przypadku gdy Podlaskie Papu przeprowadza ocenę skutków, Restauracja udostępnia niezbędne informacje.
5.5 Usunięcie/zwrot danych po zakończeniu
Po zakończeniu Umowy Głównej (lub na wniosek Podlaskie Papu) Restauracja:
- Usuwa wszystkie dane Klientów w swoich systemach (drukowane zamówienia, eksporty, lokalne kopie)
- Potwierdza usunięcie pisemnie lub emailem
- Wyjątek: dane wymagane prawem do przechowywania (np. faktury — jeśli Restauracja wystawia) — zachowane zgodnie z odpowiednim prawem podatkowym
5.6 Audyt
Podlaskie Papu ma prawo do audytu Restauracji w zakresie zgodności z DPA:
- Audyt zdalny (request raport) lub fizyczny (na miejscu)
- Powiadomienie 14 dni przed audytem fizycznym
- Restauracja udziela rozumnej współpracy
- Koszty audytu pokrywa Podlaskie Papu, chyba że audyt wykryje istotne naruszenia — wówczas koszty audytu pokrywa Restauracja
§ 6. Obowiązki Administratora (Podlaskie Papu)
Podlaskie Papu zobowiązuje się do:
- Udostępnienia panelu Restauracji z odpowiednimi mechanizmami RBAC (filtrowanie danych per role)
- Aktualizacji systemów zabezpieczających (TLS 1.3, encryption at rest, audit log)
- Szkolenia pracowników Restauracji na początku współpracy (onboarding obejmuje moduł RODO)
- Wsparcia w razie problemów z systemem
- Jasnej komunikacji zmian w DPA (z 30-dniowym wyprzedzeniem)
- Realizacji praw Klientów (Art. 15-22) — Restauracja kieruje Klientów do Podlaskie Papu
§ 7. Sub-procesorzy
7.1 Zakaz dalszego powierzania
Restauracja NIE może powierzać przetwarzania danych Klientów Podlaskie Papu podmiotom trzecim bez uprzedniej pisemnej zgody Podlaskie Papu.
7.2 Wyjątki dopuszczalne
Podlaskie Papu dopuszcza następujące standardowe sub-procesory Restauracji:
- Dostawca POS (system kasowy) — jeśli Restauracja używa POS do drukowania zamówień; wymaga DPA z dostawcą POS
- Dostawca usług księgowych — w zakresie faktur własnych Restauracji (NIE faktur KSeF Podlaskie Papu, które wystawia Podlaskie Papu)
- Niszczarka dokumentów — fizyczny dostawca usługi w zakresie zniszczenia drukowanych zamówień
Inni sub-procesorzy = wymagana zgoda Podlaskie Papu pisemna z 30 dni wyprzedzeniem.
§ 8. Naruszenia ochrony danych
8.1 Obowiązek powiadomienia
W przypadku stwierdzenia naruszenia ochrony danych osobowych Klientów (np. wyciek z drukowanych zamówień, nieautoryzowany dostęp do panelu, kradzież urządzenia z aktywną sesją) Restauracja:
- Niezwłocznie powiadamia Podlaskie Papu (max 24 godziny od momentu wykrycia)
- Kanały: - Email: incident@idziem.pl (priorytet) - Telefon: [22 ___ ___ ___] - W aplikacji: Panel restauracji → "Zgłoś incydent"
8.2 Co zawiera zgłoszenie
- Charakter naruszenia (rodzaj, kategoria danych, liczba osób)
- Czas wykrycia + szacowany czas naruszenia
- Możliwe konsekwencje
- Środki zaradcze podjęte/planowane
- Dane kontaktowe osoby odpowiedzialnej za zgłoszenie
8.3 Współpraca
Restauracja: - Udostępnia Podlaskie Papu wszelkie informacje wymagane do zgłoszenia UODO (Art. 33 RODO — 72h notification) - Współpracuje przy ewentualnym kontaktowaniu się z poszkodowanymi Klientami (Art. 34) - Implementuje rekomendowane przez Podlaskie Papu środki naprawcze
8.4 Kary umowne za naruszenia
W razie poważnych naruszeń obowiązków DPA przez Restaurację (rażące zaniedbanie, umyślne naruszenia, niezgłoszenie incydentu w terminie 24h):
- Pierwsze naruszenie: ostrzeżenie pisemne + plan naprawczy
- Drugie naruszenie: kara umowna 5,000 PLN
- Trzecie naruszenie / rażące: kara umowna 20,000 PLN + prawo Podlaskie Papu do natychmiastowego rozwiązania Umowy Głównej
- W razie kary UODO nałożonej na Podlaskie Papu wynikającej z winy Restauracji — Restauracja regresowo pokrywa kwotę kary
⚠ Postanowienia powyżej nie wykluczają roszczeń odszkodowawczych z tytułu szkody rzeczywistej.
§ 9. Retencja danych
9.1 Okresy retencji
| Dane | Restauracja | Podlaskie Papu |
|---|---|---|
| Aktywne zamówienia w panelu | Do zakończenia statusu (delivered/cancelled) | Do erasure / 5 lat |
| Drukowane zamówienia (kuchnia) | Niezwłocznie po realizacji | n/a |
| Eksporty CSV (raporty miesięczne) | Max 13 miesięcy lokalnie | n/a (Restauracja ściąga z panelu) |
| Dane do faktury KSeF | Restauracja nie wystawia faktur w imieniu Podlaskie Papu | Podlaskie Papu wystawia w KSeF — 5 lat |
9.2 Po rozwiązaniu Umowy Głównej
Restauracja w ciągu 30 dni od rozwiązania Umowy: 1. Usuwa wszystkie eksporty CSV/PDF 2. Niszczy fizycznie drukowane zamówienia 3. Potwierdza pisemnie wykonanie
Podlaskie Papu dezaktywuje konta restaurant_users + zachowuje dane historyczne zgodnie z lifecycle_state_machines_v1.md (restaurant.status → closed → archived po 5 latach Ordynacji Podatkowej).
§ 10. Współadministrowanie — wykluczenie
Strony wyraźnie wykluczają model współadministrowania (Art. 26 RODO). Restauracja działa wyłącznie jako Procesor zgodnie z poleceniami Podlaskie Papu.
W przypadku gdyby Restauracja chciała wykorzystać dane Klientów do własnych celów (np. własny program lojalnościowy w restauracji bez pośrednictwa Podlaskie Papu) — wymagałoby to:
- Osobnej zgody Klienta (poza platformą Podlaskie Papu)
- Restauracja wówczas staje się Administratorem na własną rękę w tym zakresie
- Niniejsza DPA nie ma zastosowania do tego dodatkowego processing
§ 11. Odpowiedzialność
11.1 Zasada
Każda strona odpowiada za szkody wyrządzone z powodu naruszenia własnych obowiązków RODO + DPA.
11.2 Regres
Jeśli kara UODO zostanie nałożona solidarnie na obie strony — strona, która wyłącznie odpowiada za naruszenie (winę) — pokrywa kwotę kary regresowo.
11.3 Limit odpowiedzialności
Maksymalna łączna odpowiedzialność każdej strony wobec drugiej z tytułu DPA = wartość prowizji Podlaskie Papu wypłaconej Restauracji w ostatnich 12 miesiącach, chyba że szkoda wynikła z rażącego niedbalstwa lub winy umyślnej — wówczas brak limitu.
§ 12. Obowiązywanie i rozwiązanie
12.1 Wejście w życie
DPA wchodzi w życie z dniem podpisania przez obie strony.
12.2 Czas obowiązywania
DPA obowiązuje przez czas obowiązywania Umowy Głównej + 30 dni po rozwiązaniu (na wykonanie obowiązków usunięcia danych).
12.3 Wypowiedzenie
Każda strona może wypowiedzieć DPA w trybie natychmiastowym w razie:
- Rażącego naruszenia obowiązków przez drugą stronę
- Wpisania na listę przedsiębiorców niegodnych zaufania (UOKIK, UODO)
- Toczącego się postępowania karnego przeciwko reprezentantom firmy w zakresie ochrony danych
W razie wypowiedzenia — Strony wykonują obowiązki retencji (§ 9.2).
§ 13. Postanowienia końcowe
-
Forma pisemna: wszelkie zmiany DPA wymagają formy pisemnej pod rygorem nieważności.
-
Jurysdykcja: spory rozstrzyga sąd właściwy dla siedziby Podlaskie Papu. Prawo właściwe: prawo polskie.
-
Ważność postanowień: w razie nieważności poszczególnych postanowień, pozostałe pozostają w mocy.
-
Załączniki stanowią integralną część DPA: - Załącznik A: Wykaz pracowników restaurant_users z dostępem (aktualizowany co kwartał) - Załącznik B: Lista sub-procesorów Restauracji (POS, księgowość, niszczarka) - Załącznik C: Formularz zgłoszenia incydentu
-
Egzemplarze: sporządzono w 2 egzemplarzach, po jednym dla każdej Strony.
Podpisy
Za Administratora (Podlaskie Papu):
________________________
[Imię i nazwisko]
[Funkcja]
Data: [DD-MM-RRRR]
Miejscowość: [...]
Za Procesora (Restauracja):
________________________
[Imię i nazwisko]
[Funkcja]
Data: [DD-MM-RRRR]
Miejscowość: [...]
ZAŁĄCZNIK A — Wykaz pracowników z dostępem (aktualizowany kwartalnie)
| Imię i nazwisko | Rola | Data nadania | Data odwołania | |
|---|---|---|---|---|
| [...] | [...] | owner | [DD-MM-RRRR] | — |
| [...] | [...] | manager | [DD-MM-RRRR] | — |
| [...] | [...] | waiter | [DD-MM-RRRR] | — |
Restauracja zobowiązana do aktualizacji tej listy co najmniej raz na kwartał + przy każdej zmianie zatrudnienia (w 7 dni).
ZAŁĄCZNIK B — Sub-procesorzy Restauracji (deklaracja)
Restauracja deklaruje korzystanie z poniższych sub-procesorów w zakresie powiązanym z platformą Podlaskie Papu:
| Sub-procesor | Cel | Lokalizacja | Status DPA |
|---|---|---|---|
| [POS provider — np. iPos, MaxiPos] | Drukowanie zamówień w kuchni | [PL] | Standardowe DPA POS |
| [Księgowość — biuro księgowe / księgowy] | Faktury własne restauracji (NIE Podlaskie Papu) | PL | Umowa o świadczenie usług |
| [Niszczarka dokumentów] | Niszczenie wydruków po realizacji | PL | n/a (fizyczna usługa) |
| [Inne] | [...] | [...] | [status] |
Powiadomienie Podlaskie Papu o nowych sub-procesorach: 30 dni przed rozpoczęciem korzystania.
ZAŁĄCZNIK C — Formularz zgłoszenia naruszenia ochrony danych
DO: Podlaskie Papu Sp. z o.o.
EMAIL: incident@idziem.pl
Restauracja: [nazwa]
Osoba zgłaszająca: [imię i nazwisko, funkcja, email, telefon]
Data wykrycia naruszenia: [DD-MM-RRRR HH:MM]
Szacowany czas naruszenia: od [DD-MM-RRRR HH:MM] do [DD-MM-RRRR HH:MM]
Charakter naruszenia:
[ ] Wyciek danych (np. zgubione drukowane zamówienia)
[ ] Nieautoryzowany dostęp (np. kradzież urządzenia)
[ ] Utrata danych (np. usunięcie przez błąd)
[ ] Nieuprawniona modyfikacja
[ ] Inne: [...]
Kategorie danych objętych:
[ ] Imiona klientów
[ ] Adresy dostawy (snapshot)
[ ] Numery zamówień
[ ] Notatki klientów (free text)
[ ] Inne: [...]
Liczba osób, których dane dotyczą: [...]
Możliwe konsekwencje:
[opis krótki]
Środki zaradcze podjęte:
[lista]
Środki zaradcze planowane:
[lista]
Dodatkowe uwagi:
[...]
Podpis zgłaszającego: ____________________
Data zgłoszenia: [DD-MM-RRRR HH:MM]
Koniec DPA template.
Ten dokument jest draftem v1.0 napisanym przez asystenta AI bazującego na
rodo_checklist_v1.mdsekcja 11.2 (Restauracja=Procesor Opcja A) + DDL 001-007 + permission matrix sekcja 11.4. Przed podpisaniem wymaga review prawnika RODO + customizacji per restauracja (Bartek negotiation z 4 owner-ami pilotażowymi). Wszelkie placeholdery[…]muszą być uzupełnione.