Споразумение за обработка на лични данни (DPA)
1. Дефиниции
За целите на настоящото DPA понятията "лични данни", "обработване", "администратор", "обработващ", "под-обработващ", "субект на данни" и "нарушение на сигурността на лични данни" имат значението, дадено им в чл. 4 от Регламент (ЕС) 2016/679 (GDPR).
- "Данни на крайни клиенти" означава лични данни на физически лица, които правят резервации или взаимодействат с услугите на Заведението чрез платформата (име, телефон, имейл, резервационни данни, диетични предпочитания, история на резервациите и др.), и които се обработват от Дружеството от името на Заведението.
- "Услугите" означава функционалностите на платформата Reservation.tools, които Заведението ползва съгласно действащите Общи условия.
- "Договорът" означава Общите условия (Terms of Use) на платформата, ведно с всички приети от Заведението планове и допълнения.
2. Предмет, естество, цел и срок на обработката
| Параметър | Описание |
|---|---|
| Предмет на обработката | Обработка на лични данни на крайни клиенти на Заведението, необходима за предоставянето на Услугите на платформата |
| Естество на обработката | Събиране, записване, организиране, структуриране, съхранение, адаптиране, извличане, консултиране, използване, предаване, разпространение, ограничаване, изтриване или унищожаване (всички операции по чл. 4(2) GDPR), доколкото са необходими за функционирането на платформата |
| Цел на обработката | Управление на резервации, обработване на запитвания, изпращане на потвърждения и напомняния (имейл/SMS), управление на масите и заетостта на Заведението, поддръжка на клиентска база на Заведението, статистика за работата на Заведението |
| Категории субекти на данни | Крайни клиенти на Заведението, които правят резервации или предоставят данни през платформата |
| Категории лични данни | Имена, телефонен номер, имейл, история на резервациите, диетични и други предпочитания, бележки от Заведението, външни идентификатори (Stripe customer ID, Google Reserve User ID — когато е приложимо) |
| Срок на обработката | За срока на действие на Договора между Заведението и Дружеството |
3. Задължения и права на Заведението (Администратор)
Заведението:
а) определя целите и средствата на обработката на Данните на крайни клиенти; б) гарантира, че разполага с валидно правно основание за всяко обработване, включително за предаването на тези данни към Дружеството; в) предоставя необходимата информация на своите крайни клиенти (Privacy Notice) относно обработката на личните им данни, включително относно ролята на Дружеството като обработващ; г) дава документирани указания на Дружеството относно обработката (стандартните указания са вградени в самата функционалност на платформата; допълнителни указания могат да се отправят писмено до [email protected]); д) отговаря за изпълнението на исканията на субекти на данни относно Данните на крайни клиенти; е) уведомява Дружеството своевременно за всяка промяна в правния статут или указанията си, която засяга обработката.
4. Задължения на Дружеството (Обработващ)
4.1 Обработка само по указания
Дружеството обработва Данните на крайни клиенти само по документирани указания на Заведението, включително относно международни трансфери, освен ако правото на ЕС или българското право не изисква друго. В последния случай Дружеството уведомява Заведението за това правно изискване преди започване на обработката, освен ако посоченото право не забранява такова уведомление.
4.2 Поверителност
Дружеството гарантира, че всички лица, упълномощени да обработват Данните на крайни клиенти от негово име, са поели задължение за поверителност или са обвързани със законово задължение за поверителност.
4.3 Сигурност на обработката (чл. 32 GDPR)
Дружеството прилага подходящи технически и организационни мерки за гарантиране на ниво на сигурност, съответстващо на риска, включително — според приложимостта:
- Криптиране при пренос (HTTPS/TLS) и в покой за резервните копия и съхранените файлове
- Контрол на достъпа на ролева основа (RBAC) и принцип на най-малките привилегии
- Multi-tenant изолация на ниво база данни, предотвратяваща случаен или умишлен достъп между заведения
- Аудиторски записи за съществени операции
- Хеширани пароли, поддръжка на MFA където е приложимо
- Автоматизирани резервни копия и план за възстановяване след инциденти
- Управление на уязвимостите и периодично обновяване на компонентите
Подробно описание на мерките е налично в Раздел 12 от Политиката за поверителност на Дружеството.
4.4 Под-обработващи
Заведението дава обща разрешителна ("general written authorisation") на Дружеството да ангажира под-обработващи за обработката на Данните на крайни клиенти. Актуалният списък на под-обработващите се поддържа в Раздел 7.2 на Политиката за поверителност на Дружеството.
При планирано добавяне или замяна на под-обработващ:
а) Дружеството уведомява Заведението по имейл преди новият под-обработващ да започне обработка на лични данни, в рамките на срок, който позволява обосновани възражения; б) Заведението може да възрази обосновано в рамките на разумен срок; в) при неразрешим спор всяка от страните има право да прекрати Договора, без това да създава отговорност за неустойки от страна на Заведението; г) Дружеството налага на всеки под-обработващ договорни задължения по защита на данните, които са не по-малко стриктни от тези по настоящото DPA.
Дружеството остава изцяло отговорно пред Заведението за изпълнението на задълженията на под-обработващите.
4.5 Помощ при упражняване на правата на субектите
Дружеството подпомага Заведението чрез подходящи технически и организационни мерки, доколкото е възможно, за изпълнение на задълженията му да отговаря на искания на субекти на данни, упражняващи правата си по Глава III от GDPR (право на достъп, коригиране, изтриване, ограничаване, преносимост, възражение).
Когато Дружеството получи директно искане от субект на данни относно Данни на крайни клиенти, то няма да отговаря директно на това искане, а ще го препрати към съответното Заведение без неоправдано забавяне и ще съдейства за изпълнението му.
4.6 Помощ при задължения по чл. 32–36 GDPR
Дружеството подпомага Заведението в изпълнението на задълженията му по чл. 32 (сигурност), чл. 33 и 34 (уведомяване за нарушения), чл. 35 (DPIA — оценка на въздействието) и чл. 36 (предварителни консултации с надзорния орган), доколкото това е разумно необходимо предвид естеството на обработката и информацията, с която Дружеството разполага.
4.7 Уведомяване за нарушения на сигурността
При установяване на нарушение на сигурността на личните данни ("data breach"), което засяга Данните на крайни клиенти, Дружеството уведомява Заведението без неоправдано забавяне след установяването му. Уведомлението съдържа поне:
а) описание на естеството на нарушението, включително категориите и приблизителния брой засегнати субекти и записи; б) име и контакти на лицето за връзка от страна на Дружеството; в) описание на вероятните последици от нарушението; г) описание на предприетите или предлаганите мерки за справяне с нарушението и за смекчаване на евентуалните негативни последици.
Това уведомление е предназначено да позволи на Заведението да изпълни собственото си задължение за уведомяване на надзорния орган в 72-часов срок съгласно чл. 33 GDPR.
4.8 Връщане или изтриване на данни след прекратяване
При прекратяване на Договора (по който и да е начин), Дружеството по избор на Заведението изтрива или връща всички Данни на крайни клиенти, обработвани от името на Заведението, и изтрива съществуващите копия, освен ако правото на ЕС или българското право не изисква по-дълго съхранение на конкретни данни.
Стандартното поведение, ако Заведението не направи изрично избор в рамките на 30 дни след прекратяване, е изтриване на данните в рамките на разумен технически срок.
4.9 Демонстриране на съответствие и одит
Дружеството предоставя на Заведението цялата информация, необходима за демонстриране на съответствие със задълженията по чл. 28 GDPR и настоящото DPA. По обосновано писмено искане, Заведението може да поиска допълнителна информация или да извърши одит — самостоятелно или чрез независим одитор — при следните условия:
а) одитът се извършва за сметка на Заведението; б) одитът се планира предварително с разумен срок (обикновено не по-кратък от 30 дни) и се извършва по време и начин, които не нарушават оперативната дейност на Дружеството и сигурността на други клиенти; в) одиторът подписва споразумение за поверителност и спазва multi-tenant изолацията — не получава достъп до данни на други заведения; г) Дружеството може да предостави като алтернатива доклад от външен одитор или сертификация (напр. ISO 27001, SOC 2), ако такава е налична.
5. Международни трансфери
Когато обработката на Данни на крайни клиенти включва трансфер към държава извън ЕС/ЕИП, Дружеството прилага подходящи механизми за защита съгласно чл. 44–49 GDPR — EU–U.S. Data Privacy Framework (за сертифицирани доставчици), Стандартни договорни клаузи (SCC), или други одобрени механизми.
Подробности за конкретни доставчици и юрисдикции — виж Раздел 7.2 и Раздел 8 на Политиката за поверителност на Дружеството.
6. Срок и прекратяване
Настоящото DPA е в сила от датата на регистрация на Заведението в платформата и продължава за срока на действие на Договора. Задълженията, които по своя характер следва да продължат и след прекратяване (поверителност, сигурност на остатъчни данни до изтриването им, помощ при разследване на минали нарушения), остават в сила и след прекратяването.
7. Отговорност
Отговорността на страните по настоящото DPA се регулира съгласно Договора и приложимото право. Никоя клауза от настоящото DPA не може да се тълкува като изключваща отговорността на страните пред субектите на данни по силата на чл. 82 GDPR.
8. Приложимо право и спорове
Настоящото DPA се регулира от българското право и от Регламент (ЕС) 2016/679. Споровете се решават по реда, предвиден в Договора, а при липса на такава клауза — пред компетентния български съд.
9. Йерархия на документи
В случай на противоречие между Договора (Общите условия), настоящото DPA и Политиката за поверителност, относно обработката на Данни на крайни клиенти приоритет имат разпоредбите на настоящото DPA.
"Резервейшън" ЕООД (Reservation Ltd) — ЕИК 203865762 Версия на DPA: 12 април 2026 г.
App Store
Google Play
Web App