ADATFELDOLGOZÓI SZERZŐDÉS (DPA)

Jelen Adatfeldolgozói Szerződés (a továbbiakban: „DPA” – Data Processing Agreement) a Nagy György egyéni vállalkozó (a továbbiakban: „Bukio” vagy „Adatfeldolgozó”) és a Bukio Platformot előfizetőként igénybe vevő Étterem (a továbbiakban: „Étterem” vagy „Adatkezelő”) között jön létre, az Étterem foglalási rendszeréhez kapcsolódó Vendégek személyes adatainak feldolgozása tárgyában.

A jelen DPA az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR), különösen annak 28. cikke, valamint a 2011. évi CXII. törvény (Infotv.) rendelkezéseinek megfelelően készült.

A jelen DPA az ÁSZF 10. pontjának és az Adatkezelési tájékoztató vonatkozó fejezeteinek részletszabályait tartalmazza. Eltérés esetén – kifejezetten az adatfeldolgozói jogviszony tárgykörében – a jelen DPA rendelkezései az irányadók.

A DPA elválaszthatatlan részét képezik:

• 1. számú melléklet – A feldolgozott adatok körének leírása (16. pont)
• 2. számú melléklet – Engedélyezett aladatfeldolgozók listája (17. pont)
• 3. számú melléklet – Műszaki és szervezési intézkedések (TOM) (18. pont)
  

A jelen DPA kizárólag az Étterem foglalási rendszeréhez kapcsolódó Vendég-adatok Bukio általi feldolgozására vonatkozik. Nem terjed ki a Bukio önálló adatkezelői minőségben végzett adatkezeléseire (pl. éttermi fiók- és számlázási adatok, platformszintű biztonsági, autentikációs és visszaélés-megelőzési adatok); ezeket a Bukio Adatkezelési tájékoztatója szabályozza.

Cégnév: Nagy György egyéni vállalkozó

Székhely: 6726 Szeged, Középkikötő Sor 14/b

Adószám: 59721639-1-26

Adatvédelmi kapcsolat: privacy@bukio.hu

Általános kapcsolat: hello@bukio.hu

Az Étterem adatait a Platformon történő regisztráció során az Étterem képviselője adja meg, és azokat a Bukio a fiókjában tárolja. Az adatok naprakészségéért az Étterem felel.

A felek elismerik, hogy a jelen DPA elektronikus úton, az Étterem által a regisztrációkor (vagy az ÁSZF/DPA későbbi módosításának elfogadásakor) megtett – időbélyeggel és IP-címmel rögzített – elfogadó nyilatkozatával jön létre.

A DPA-ban használt fogalmak – eltérő rendelkezés hiányában – a GDPR 4. cikkében meghatározott jelentéssel bírnak. Külön kiemelve:

• Adatkezelő: az Étterem, aki a Vendég-adatok kezelésének célját és eszközeit meghatározza.
• Adatfeldolgozó: a Bukio, aki az Étterem nevében és utasításai szerint kezeli a Vendég-adatokat.
• Aladatfeldolgozó (sub-processzor): a Bukio által a Megbízás teljesítéséhez igénybe vett további adatfeldolgozó.
• Vendég: az a természetes személy, aki az Étterem foglalási űrlapján keresztül asztalfoglalást kezdeményez, és akinek adatai a jelen DPA tárgyát képezik.
• Megbízás: az Étterem által a Bukiónak adott, a foglalási rendszer üzemeltetésével összefüggő adatfeldolgozási megbízás.
• Adatvédelmi incidens: a biztonság sérülése, amely személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy hozzáférését eredményezi.
  

Az Étterem megbízza a Bukiót, hogy az Étterem foglalási rendszerének technikai üzemeltetése keretében az 1. számú mellékletben részletezett személyes adatokat az Étterem nevében és utasításai szerint feldolgozza.

A Megbízás célja:

• a foglalási rendszer technikai működtetése;
• a Vendég–Étterem foglalási jogviszony adminisztratív kiszolgálása;
• az Étterem adatkezelői feladatainak technikai támogatása;
• mentések és üzletmenet-folytonosság biztosítása.
  

A Megbízás az Étterem ÁSZF szerinti előfizetésének (illetve fiókjának) fennállásáig tart, és annak megszűnésével automatikusan megszűnik. Az Étterem jogosult a Megbízást a fiókja önkiszolgáló törlésével megszüntetni; ekkor a 15. pont rendelkezései az irányadók.

Az Étterem kizárólagos felelőssége annak biztosítása, hogy a Vendég-adatok feldolgozásának jogalapja, célja és időtartama a GDPR-nak és a magyar adatvédelmi szabályoknak megfeleljen.

Az Étterem köteles a Bukiónak adott utasításokat írásban vagy a Platform megfelelő funkciójának használatával megadni. A Platform rendeltetésszerű használata a Bukio részére adott írásbeli utasításnak minősül.

Az Étterem köteles:

• a Vendégek számára a saját Adatkezelési Tájékoztatóját megismerhetővé tenni, és annak elfogadását dokumentált módon rögzíteni;
• a Platformon csak valós és hiánytalan cégadatokkal regisztrálni;
• a Vendég GDPR szerinti jogai gyakorlása esetén adatkezelőként helytállni;
• a Bukio biztonsági és aladatfeldolgozó-változási értesítéseit követni.
  

Az Étterem Adatkezelési Tájékoztatójának érvényessége, jogszerűsége és tartalmi megfelelősége a GDPR alapján kizárólag az Éttermet mint adatkezelőt terheli. Amennyiben az Étterem a Platform által generált sablon-tájékoztatót használja, kifejezetten szavatolja, hogy azt előzetesen ügyvéddel ellenőriztette, és annak használatával kijelenti, hogy az saját viszonyaira jogi szempontból megfelelő. A generált tájékoztató bármely hibájából eredő következményekért – különösen NAIH-bírság, kártérítés – kizárólag az Étterem felel. A Bukio kizárólag műszaki keretet biztosít; a jogszerűséget nem szavatolja.

Az Étterem szavatolja, hogy rendelkezik a Vendég-adatok feldolgozására vonatkozó jogalappal, marketing-célú adatkezelésre kizárólag megfelelő jogalap alapján kerül sor, és a Vendég felé teljes körűen helytáll minden olyan ügyben, amely a Bukio adatfeldolgozói szerepkörén kívül esik.

A Bukio kifejezetten vállalja, hogy:

• a Vendég-adatokat kizárólag az Étterem írásbeli utasítása alapján kezeli, kivéve, ha az adatkezelést uniós vagy tagállami jog írja elő; ha megítélése szerint az utasítás adatvédelmi szabályba ütközik, haladéktalanul tájékoztatja az Étteremet;
• biztosítja, hogy a Vendég-adatokhoz hozzáférő munkavállalói és közreműködői titoktartási kötelezettség alá essenek;
• a GDPR 32. cikkének és a 3. számú mellékletnek megfelelő műszaki és szervezési intézkedéseket alkalmaz;
• aladatfeldolgozót kizárólag a 9. pont és a 2. számú melléklet szerint vesz igénybe;
• segíti az Étteremet a Vendégek érintetti jogainak teljesítésében (10. pont);
• segíti az Étteremet az adatbiztonság, incidens-bejelentés, DPIA és előzetes konzultáció szerinti kötelezettségekben;
• a Megbízás megszűnésekor a 15. pont szerint törli vagy visszaadja a Vendég-adatokat;
• az audithoz a 13. pont szerint biztosítja a szükséges információkat.
  

A Bukio a Vendég-adatokat bizalmasan kezeli; harmadik személy részére kizárólag az Étterem írásbeli engedélyével, vagy jogszabályi kötelezettség teljesítéséhez szükséges mértékben adhatók ki. A Vendég-adatokhoz hozzáférő munkavállalók és közreműködők a kapcsolat megszűnését követően is kötelesek a titoktartásra.

A Bukio jogosult a Platform működésével kapcsolatos adatokat olyan módon anonimizálni és aggregálni, hogy azokból természetes személy vagy konkrét Étterem ne legyen azonosítható; az így létrejött anonim statisztikai adatok személyes adatnak nem minősülnek.

Az Étterem a jelen DPA elfogadásával általános, előzetes engedélyt ad a Bukiónak arra, hogy a Megbízás teljesítéséhez aladatfeldolgozót vegyen igénybe. Az engedélyezett aladatfeldolgozók aktuális listáját a 2. számú melléklet (17. pont) tartalmazza.

Új aladatfeldolgozó bevonását a Bukio – legalább 30 nappal az igénybevétel előtt – közli az Étteremmel. Az Étterem indokolt adatvédelmi okból kifogást emelhet. Ha a kifogás nem orvosolható, az Étterem jogosult a Megbízást az új aladatfeldolgozó igénybevételének kezdőnapjára megszüntetni.

A Bukio az általa igénybe vett aladatfeldolgozók tevékenységéért úgy felel, mintha azt maga végezte volna – figyelemmel a jogszabály által megengedett felelősség-korlátozásokra. Az aladatfeldolgozókkal a GDPR 28. cikke szerinti adatfeldolgozói szerződés van érvényben.

A Bukio – az Étterem utasítására – segíti az Étteremet a Vendégek GDPR-jogainak teljesítésében (tájékoztatás, hozzáférés, helyesbítés, törlés, korlátozás, adathordozhatóság, tiltakozás). A Platform egyes érintetti jogok gyakorlásához önkiszolgáló funkciót is biztosíthat (pl. a Foglalások oldalon történő lemondás/törlés).

Amennyiben a Vendég közvetlenül a Bukióhoz fordul érintetti joggal, a Bukio – ha a kérelem az Étterem adatkezelői körébe tartozik – továbbítja a kérelmet az illetékes Étteremnek, és adatfeldolgozóként együttműködik a teljesítésben. A Bukio legfeljebb 30 napos technikai határidőt vállal a kérelem támogatására, kivéve az azonnali önkiszolgáló funkciókat.

A Bukio indokolatlan késedelem nélkül, az incidens tudomásra jutását követő legkésőbb 48 órán belül értesíti az Étteremet minden olyan adatvédelmi incidensről, amely az Étterem jelen DPA hatálya alá tartozó Vendég-adatait érinti.

Az értesítés – a tudomásra jutott információk mértékéig – tartalmazza az incidens jellegét, az érintett adatok és érintettek hozzávetőleges számát és kategóriáit, a kapcsolattartót, a várható következményeket, valamint a megtett vagy tervezett intézkedéseket.

A jelen DPA tárgyát képező Vendég-adatok vonatkozásában a NAIH felé történő bejelentés és a Vendégek értesítése elsődlegesen az Étterem mint adatkezelő kötelezettsége. A Bukio a saját önálló adatkezelői minőségében kezelt adatokat érintő incidens esetén külön teljesíti a rá vonatkozó jogszabályi kötelezettségeket.

Amennyiben az Étteremnek DPIA-t kell végeznie vagy előzetes konzultációt kell kezdeményeznie, a Bukio az Étterem írásbeli kérésére biztosítja a Platform működésével kapcsolatos észszerűen szükséges információkat. A segítségnyújtás nem terjed ki a DPIA dokumentum elkészítésére vagy a hatósági konzultáció lefolytatására.

Az Étterem jogosult a jelen DPA-ban foglalt kötelezettségek Bukio általi betartását ellenőrizni. Az audit legfeljebb évente egy alkalommal, legalább 30 nappal előre bejelentve, munkaidőben, titoktartás mellett, az Étterem költségére gyakorolható, és nem érintheti a Bukio más Éttermekre vonatkozó adatait, üzleti titkait vagy forráskódját.

A Bukio elsődlegesen naprakész biztonsági összefoglalókkal, aladatfeldolgozói dokumentációval és írásbeli megfelelőségi nyilatkozatokkal teljesíti az auditjog gyakorlását. Mélyebb technikai audit akkor kérhető, ha ezek az adott konkrét adatvédelmi kockázat vizsgálatához nem elegendők.

Az Étterem tudomásul veszi és engedélyezi, hogy a Bukio – a 2. számú mellékletben felsorolt egyes aladatfeldolgozók székhelye vagy globális infrastruktúrája miatt – a Vendég-adatokat az Európai Gazdasági Térségen kívülre is továbbíthatja, különösen az Egyesült Államokba. A Bukio elsődleges alkalmazás-, adatbázis- és cache-infrastruktúrája az EU-ban, Frankfurt régióban működik.

A Bukio garantálja, hogy minden ilyen adattovábbítás megfelelő garanciák mellett történik, így különösen EU–USA Data Privacy Framework (DPF), Általános Szerződési Feltételek (SCC), valamint szükség esetén kiegészítő intézkedések alkalmazásával. Az alkalmazott garanciák másolatát az Étterem a privacy@bukio.hu címen kérheti.

A Megbízás megszűnésekor a Bukio – az Étterem választása szerint – az érintett Vendég-adatokat:

• a megszűnést követő 30 napon belül törli, vagy
• a megszűnést követő 30 napon belül visszaadja az Étteremnek (pl. export útján).
  
  Választás hiányában a Bukio a törlést hajtja végre. Az önkiszolgáló fiók-törlés az Étterem részéről törlés-választásnak minősül.
  

A törlés nem érinti azokat az adatokat, amelyek megőrzésére a Bukiót uniós vagy magyar jog kötelezi; ezeket a Bukio elkülönítetten, kizárólag a megőrzési cél szerint tartja meg. A biztonsági mentésekben szereplő törölt adatok a mentési rotációs ciklusnak megfelelően, legfeljebb 30 napon belül kerülnek véglegesen eltávolításra vagy felülírásra, és üzemszerűen nem kerülnek visszaállításra, kivéve üzletmenet-folytonossági vagy incidenskezelési célból.

A felek elismerik, hogy az Étterem elsősorban a saját adatkezelési tevékenysége vonatkozásában felel, a Bukio pedig akkor, ha kifejezetten az adatfeldolgozókra vonatkozó GDPR-kötelezettségeit megszegte, vagy az Étterem jogszerű utasítását figyelmen kívül hagyta. A Bukio kárfelelőssége az ÁSZF 8. pontjában foglalt korlátok között áll fenn; a korlátozás nem alkalmazandó a GDPR 82. cikke alapján fennálló kógens felelősségi szabályokra. Az Étterem kártalanítja a Bukiót minden olyan igénnyel és bírsággal szemben, amely az Étterem adatkezelői kötelezettségeinek megszegéséből ered.

Az Étterem foglalási rendszerét használó Vendégek – természetes személyek.

Műveletek: gyűjtés, rögzítés, tárolás, módosítás, lekérdezés, megjelenítés, exportálás, mentés (backup), helyreállítás, törlés, továbbítás aladatfeldolgozóknak.



Különleges adatok: a Bukio a Megbízás keretében nem kér be a GDPR 9. cikke szerinti különleges adatkategóriákat. A „speciális kérés” mezőbe a Vendég önként megadhat ilyet (pl. allergia); ezt az Étterem (adatkezelő) kizárólag a foglalás teljesítéséhez szükséges mértékben kezeli.

A Bukio a jelen melléklet aktualizálása előtt a 9.2. pont szerinti előzetes értesítési kötelezettségét teljesíti.

• Vercel Inc. (USA; futtatási régió: Frankfurt, EU) – tárhely, alkalmazás-hosting, infrastruktúra. Garanciák: DPF / SCC.
• MongoDB, Inc. (Atlas) (USA; régió: Frankfurt, EU) – adatbázis és adattárolás. Garanciák: DPF / SCC.
• Upstash Inc. (USA; régió: Frankfurt, EU) – Redis cache, OTP ideiglenes tárolása, rate limit. Garanciák: DPF / SCC.
• Twilio SendGrid Inc. (USA; globális érintettség lehetséges) – tranzakciós e-mailek kézbesítése. Garanciák: DPF / SCC.
  
  Megjegyzés: online bankkártyás fizetési szolgáltató (pl. Stripe) jelenleg nincs bekötve; a számlázás manuálisan, banki átutalással történik. Online fizetés bevezetése esetén a fizetési szolgáltató a Bukio saját számlázási adatkezeléséhez kapcsolódik, és a jelen DPA tárgyát képező Vendég-adatokhoz nem fér hozzá.