Lokalka ↔ Restauracja Partnerska
Wersja: v1.0 (DRAFT — wymaga review prawnika RODO przed podpisaniem) Status: Template do customizacji per restauracja pilotażowa
⚠ Status: Draft generowany przez CC bazujący na
rodo_checklist_v1.mdsekcja 11.2 (Restauracja jako Procesor — Opcja A rekomendacja). Wymaga review prawnika RODO + customizacji dla każdej z 4 restauracji pilotażowych. Bartek negocjuje + Adrian podpisuje.
Dane stron
ADMINISTRATOR DANYCH OSOBOWYCH
[Pełna nazwa prawna Lokalka Sp. z o.o.] NIP: [NIP Lokalka] REGON: [REGON] Adres rejestrowy: [adres], Białystok Reprezentowany przez: Adrian Czapla, [funkcja w spółce] (dalej: "Lokalka" lub "Administrator")
PROCESOR DANYCH OSOBOWYCH
[Pełna nazwa prawna restauracji partnerskiej] NIP: [NIP restauracji] REGON: [REGON] Adres: [adres rejestrowy] Reprezentowany przez: [imię i nazwisko, funkcja] (dalej: "Restauracja" lub "Procesor")
§ 1. Postanowienia ogólne
-
Niniejsza Umowa stanowi umowę powierzenia przetwarzania danych osobowych, o której mowa w Art. 28 RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.).
-
Umowa towarzyszy umowie głównej o współpracy gastronomicznej między Lokalka a Restauracją z dnia [DD-MM-RRRR] (dalej: "Umowa Główna").
-
W przypadku rozbieżności między Umową Główną a niniejszą DPA — postanowienia DPA mają pierwszeństwo w zakresie ochrony danych osobowych.
-
Strony oświadczają, że posiadają wszelkie wymagane upoważnienia do zawarcia niniejszej Umowy.
§ 2. Definicje
W niniejszej Umowie używamy pojęć:
- RODO — Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
- Dane osobowe — wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (Art. 4.1 RODO)
- Przetwarzanie — operacje na danych osobowych (Art. 4.2 RODO)
- Klient — osoba fizyczna składająca zamówienie na platformie Lokalka
- Zamówienie — umowa o świadczenie usługi gastronomicznej zawarta między Klientem a Restauracją za pośrednictwem Lokalka
- Sub-procesor — podmiot, któremu Restauracja powierza dalsze przetwarzanie danych
- Naruszenie ochrony danych — naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub dostępu (Art. 4.12 RODO)
§ 3. Przedmiot i cel powierzenia
3.1 Cel przetwarzania
Lokalka powierza Restauracji przetwarzanie danych osobowych Klientów wyłącznie w celu realizacji Zamówień złożonych przez tych Klientów za pośrednictwem platformy Lokalka.
3.2 Czynności przetwarzania
Restauracja przetwarza dane Klientów w celu:
- Przyjęcia Zamówienia w systemie Lokalka (panel restauracji)
- Przygotowania posiłku zgodnie z zamówionymi pozycjami i modyfikatorami
- Spakowania zamówienia + przygotowania go do odbioru przez kuriera
- Komunikacji z Klientem w zakresie ograniczonym (np. telefon w razie braku składnika — przez Lokalkę, nie bezpośrednio)
- Reklamacji i zwrotów (rozpatrywanie zgłoszeń klientów dotyczących posiłków)
- Statystyk i raportów w panelu restauracji (sprzedaż per pozycja, peak hours, oceny)
3.3 Wyłączenia (czego Restauracja NIE ROBI)
Restauracja nie jest uprawniona do:
- Wykorzystania danych Klientów do własnego marketingu
- Tworzenia własnej bazy klientów poza zakresem zamówień przez Lokalkę
- Przekazywania danych podmiotom trzecim (poza dostawcami systemowymi Lokalka)
- Wykorzystania danych po rozwiązaniu Umowy Głównej
- Profilowania klientów na własne potrzeby
3.4 Charakter i zakres przetwarzania
| Aspekt | Określenie |
|---|---|
| Czas trwania | Czas obowiązywania Umowy Głównej + okres retencji (sekcja 9) |
| Charakter | Przetwarzanie wspomagające realizację umowy gastronomicznej |
| Cel | Realizacja Zamówień Klientów |
| Rodzaj danych | Patrz § 4 |
| Kategorie osób | Klienci Lokalka |
§ 4. Zakres powierzonych danych
4.1 Co Restauracja widzi w panelu (RBAC matrix)
Restauracja przetwarza wyłącznie poniższe dane Klientów:
| Dane | Źródło | Kiedy |
|---|---|---|
| Imię Klienta | customers.first_name |
Po przyjęciu zamówienia |
| Numer zamówienia | orders.order_number |
Po placement |
| Lista zamówionych pozycji + modyfikatory | order_items snapshot |
Po placement |
| Adres dostawy (snapshot — kopia immutable) | orders.delivery_address_snapshot |
Po placement |
| Notatka klienta (jeśli wpisał) | orders.customer_notes |
Po placement |
| Slot dostawy (czas) | orders.slot_pickup_at, slot_delivery_at |
Po placement |
| Status zamówienia | orders.status |
Cały lifecycle |
| Kwoty (subtotal, total) | orders.subtotal, total |
Po placement |
4.2 Co Restauracja NIE WIDZI (explicit DENY)
⚠ KRYTYCZNE: Restauracja NIGDY nie ma dostępu do:
- Numeru telefonu Klienta (kontakt przez Lokalkę lub kuriera)
- Emaila Klienta
- Hasła (oczywiście)
- Profilu dietetycznego (RODO Art. 9 — dane wrażliwe; filtry alergenów wykonywane po stronie Lokalka)
- Historii zamówień w innych restauracjach
- Adresów dostawy poza tym konkretnym zamówieniem
- Danych płatniczych (P24 osobne)
- Foto przy dostawie (kurier robi, Lokalka przechowuje)
- Danych zgód RODO
- Audit log Lokalka
Mechanizm techniczny: backend Lokalka filtruje response przy każdym GET /restaurant/v1/orders/{id} (per routes_spec_v1.md sekcja 9.2 + RODO checklist sekcja 11.4).
4.3 Pracownicy restauracji (restaurant_users)
Restauracja zapewnia, że dostęp do panelu mają wyłącznie upoważnieni pracownicy w rolach:
- Owner — pełen dostęp + KSeF + billing + zarządzanie zespołem
- Manager — orders + menu CRUD + analytics (NIE billing)
- Waiter — orders queue accept/reject/ready (only)
Restauracja zobowiązuje się do: - Niezwłocznego cofania dostępu (account revoke) po zakończeniu zatrudnienia pracownika - Niedzielenia kont między pracownikami - Wymagania bezpiecznych haseł (zgodnie z polityką Lokalka) - Zgłaszania Lokalka każdego incydentu dotyczącego nieautoryzowanego dostępu
§ 5. Obowiązki Procesora (Restauracji)
Restauracja zobowiązuje się do:
5.1 Przetwarzanie tylko na polecenie
Przetwarzania danych osobowych wyłącznie na udokumentowane polecenie Lokalka zgodnie z niniejszą Umową, z wyjątkiem przypadków wymaganych przez prawo (np. nakaz sądowy) — wówczas Restauracja niezwłocznie informuje Lokalka, chyba że prawo zabrania.
5.2 Poufność
Zapewnienia, że osoby upoważnione do przetwarzania zostały zobowiązane do zachowania tajemnicy lub podlegają odpowiedniemu prawnemu obowiązkowi tajemnicy.
5.3 Bezpieczeństwo techniczne i organizacyjne (Art. 32 RODO)
Wdrożenia odpowiednich środków technicznych i organizacyjnych:
| Środek | Wymóg minimalny |
|---|---|
| Hasła | Minimum 8 znaków, 1 cyfra, 1 wielka litera. Bez współdzielenia. |
| Logowanie | Tylko z zaufanych urządzeń. 2FA TOTP rekomendowane dla owner. |
| Sesja | Auto-logout po 30 min nieaktywności. |
| Urządzenia | Aktualne systemy (Win/macOS/Linux). Antywirus aktywny. Hasło/biometria odblokowanie. |
| Sieć | Tylko zaufane WiFi/sieć (NIE publiczne hotspoty bez VPN). |
| Backup | Lokalka odpowiada za backupy bazy. Restauracja NIE robi własnych eksportów danych poza standardowymi raportami. |
| Drukowanie | Drukowanie zamówień (kuchnia) ok, ale wyrzucenie po realizacji (niszczarka lub spalenie). |
5.4 Pomoc Administratorowi
Pomocy Lokalka w wykonywaniu obowiązków RODO:
- Realizacja praw Klientów (Art. 15-22): w przypadku gdy Klient kontaktuje się z Restauracją (np. żądanie usunięcia, ograniczenia) — Restauracja przekierowuje Klienta do Lokalki (support@lokalka.pl) i nie podejmuje samodzielnych działań poza normalnym procesem reklamacji.
- Naruszenia ochrony danych (Art. 33-34) — sekcja 8.
- DPIA (Art. 35) — w przypadku gdy Lokalka przeprowadza ocenę skutków, Restauracja udostępnia niezbędne informacje.
5.5 Usunięcie/zwrot danych po zakończeniu
Po zakończeniu Umowy Głównej (lub na wniosek Lokalka) Restauracja:
- Usuwa wszystkie dane Klientów w swoich systemach (drukowane zamówienia, eksporty, lokalne kopie)
- Potwierdza usunięcie pisemnie lub emailem
- Wyjątek: dane wymagane prawem do przechowywania (np. faktury — jeśli Restauracja wystawia) — zachowane zgodnie z odpowiednim prawem podatkowym
5.6 Audyt
Lokalka ma prawo do audytu Restauracji w zakresie zgodności z DPA:
- Audyt zdalny (request raport) lub fizyczny (na miejscu)
- Powiadomienie 14 dni przed audytem fizycznym
- Restauracja udziela rozumnej współpracy
- Koszty audytu pokrywa Lokalka, chyba że audyt wykryje istotne naruszenia — wówczas koszty audytu pokrywa Restauracja
§ 6. Obowiązki Administratora (Lokalka)
Lokalka zobowiązuje się do:
- Udostępnienia panelu Restauracji z odpowiednimi mechanizmami RBAC (filtrowanie danych per role)
- Aktualizacji systemów zabezpieczających (TLS 1.3, encryption at rest, audit log)
- Szkolenia pracowników Restauracji na początku współpracy (onboarding obejmuje moduł RODO)
- Wsparcia w razie problemów z systemem
- Jasnej komunikacji zmian w DPA (z 30-dniowym wyprzedzeniem)
- Realizacji praw Klientów (Art. 15-22) — Restauracja kieruje Klientów do Lokalki
§ 7. Sub-procesorzy
7.1 Zakaz dalszego powierzania
Restauracja NIE może powierzać przetwarzania danych Klientów Lokalka podmiotom trzecim bez uprzedniej pisemnej zgody Lokalka.
7.2 Wyjątki dopuszczalne
Lokalka dopuszcza następujące standardowe sub-procesory Restauracji:
- Dostawca POS (system kasowy) — jeśli Restauracja używa POS do drukowania zamówień; wymaga DPA z dostawcą POS
- Dostawca usług księgowych — w zakresie faktur własnych Restauracji (NIE faktur KSeF Lokalka, które wystawia Lokalka)
- Niszczarka dokumentów — fizyczny dostawca usługi w zakresie zniszczenia drukowanych zamówień
Inni sub-procesorzy = wymagana zgoda Lokalka pisemna z 30 dni wyprzedzeniem.
§ 8. Naruszenia ochrony danych
8.1 Obowiązek powiadomienia
W przypadku stwierdzenia naruszenia ochrony danych osobowych Klientów (np. wyciek z drukowanych zamówień, nieautoryzowany dostęp do panelu, kradzież urządzenia z aktywną sesją) Restauracja:
- Niezwłocznie powiadamia Lokalka (max 24 godziny od momentu wykrycia)
- Kanały: - Email: incident@lokalka.pl (priorytet) - Telefon: [22 ___ ___ ___] - W aplikacji: Panel restauracji → "Zgłoś incydent"
8.2 Co zawiera zgłoszenie
- Charakter naruszenia (rodzaj, kategoria danych, liczba osób)
- Czas wykrycia + szacowany czas naruszenia
- Możliwe konsekwencje
- Środki zaradcze podjęte/planowane
- Dane kontaktowe osoby odpowiedzialnej za zgłoszenie
8.3 Współpraca
Restauracja: - Udostępnia Lokalka wszelkie informacje wymagane do zgłoszenia UODO (Art. 33 RODO — 72h notification) - Współpracuje przy ewentualnym kontaktowaniu się z poszkodowanymi Klientami (Art. 34) - Implementuje rekomendowane przez Lokalkę środki naprawcze
8.4 Kary umowne za naruszenia
W razie poważnych naruszeń obowiązków DPA przez Restaurację (rażące zaniedbanie, umyślne naruszenia, niezgłoszenie incydentu w terminie 24h):
- Pierwsze naruszenie: ostrzeżenie pisemne + plan naprawczy
- Drugie naruszenie: kara umowna 5,000 PLN
- Trzecie naruszenie / rażące: kara umowna 20,000 PLN + prawo Lokalka do natychmiastowego rozwiązania Umowy Głównej
- W razie kary UODO nałożonej na Lokalka wynikającej z winy Restauracji — Restauracja regresowo pokrywa kwotę kary
⚠ Postanowienia powyżej nie wykluczają roszczeń odszkodowawczych z tytułu szkody rzeczywistej.
§ 9. Retencja danych
9.1 Okresy retencji
| Dane | Restauracja | Lokalka |
|---|---|---|
| Aktywne zamówienia w panelu | Do zakończenia statusu (delivered/cancelled) | Do erasure / 5 lat |
| Drukowane zamówienia (kuchnia) | Niezwłocznie po realizacji | n/a |
| Eksporty CSV (raporty miesięczne) | Max 13 miesięcy lokalnie | n/a (Restauracja ściąga z panelu) |
| Dane do faktury KSeF | Restauracja nie wystawia faktur w imieniu Lokalka | Lokalka wystawia w KSeF — 5 lat |
9.2 Po rozwiązaniu Umowy Głównej
Restauracja w ciągu 30 dni od rozwiązania Umowy: 1. Usuwa wszystkie eksporty CSV/PDF 2. Niszczy fizycznie drukowane zamówienia 3. Potwierdza pisemnie wykonanie
Lokalka dezaktywuje konta restaurant_users + zachowuje dane historyczne zgodnie z lifecycle_state_machines_v1.md (restaurant.status → closed → archived po 5 latach Ordynacji Podatkowej).
§ 10. Współadministrowanie — wykluczenie
Strony wyraźnie wykluczają model współadministrowania (Art. 26 RODO). Restauracja działa wyłącznie jako Procesor zgodnie z poleceniami Lokalka.
W przypadku gdyby Restauracja chciała wykorzystać dane Klientów do własnych celów (np. własny program lojalnościowy w restauracji bez pośrednictwa Lokalka) — wymagałoby to:
- Osobnej zgody Klienta (poza platformą Lokalka)
- Restauracja wówczas staje się Administratorem na własną rękę w tym zakresie
- Niniejsza DPA nie ma zastosowania do tego dodatkowego processing
§ 11. Odpowiedzialność
11.1 Zasada
Każda strona odpowiada za szkody wyrządzone z powodu naruszenia własnych obowiązków RODO + DPA.
11.2 Regres
Jeśli kara UODO zostanie nałożona solidarnie na obie strony — strona, która wyłącznie odpowiada za naruszenie (winę) — pokrywa kwotę kary regresowo.
11.3 Limit odpowiedzialności
Maksymalna łączna odpowiedzialność każdej strony wobec drugiej z tytułu DPA = wartość prowizji Lokalka wypłaconej Restauracji w ostatnich 12 miesiącach, chyba że szkoda wynikła z rażącego niedbalstwa lub winy umyślnej — wówczas brak limitu.
§ 12. Obowiązywanie i rozwiązanie
12.1 Wejście w życie
DPA wchodzi w życie z dniem podpisania przez obie strony.
12.2 Czas obowiązywania
DPA obowiązuje przez czas obowiązywania Umowy Głównej + 30 dni po rozwiązaniu (na wykonanie obowiązków usunięcia danych).
12.3 Wypowiedzenie
Każda strona może wypowiedzieć DPA w trybie natychmiastowym w razie:
- Rażącego naruszenia obowiązków przez drugą stronę
- Wpisania na listę przedsiębiorców niegodnych zaufania (UOKIK, UODO)
- Toczącego się postępowania karnego przeciwko reprezentantom firmy w zakresie ochrony danych
W razie wypowiedzenia — Strony wykonują obowiązki retencji (§ 9.2).
§ 13. Postanowienia końcowe
-
Forma pisemna: wszelkie zmiany DPA wymagają formy pisemnej pod rygorem nieważności.
-
Jurysdykcja: spory rozstrzyga sąd właściwy dla siedziby Lokalka. Prawo właściwe: prawo polskie.
-
Ważność postanowień: w razie nieważności poszczególnych postanowień, pozostałe pozostają w mocy.
-
Załączniki stanowią integralną część DPA: - Załącznik A: Wykaz pracowników restaurant_users z dostępem (aktualizowany co kwartał) - Załącznik B: Lista sub-procesorów Restauracji (POS, księgowość, niszczarka) - Załącznik C: Formularz zgłoszenia incydentu
-
Egzemplarze: sporządzono w 2 egzemplarzach, po jednym dla każdej Strony.
Podpisy
Za Administratora (Lokalka):
________________________
[Imię i nazwisko]
[Funkcja]
Data: [DD-MM-RRRR]
Miejscowość: [...]
Za Procesora (Restauracja):
________________________
[Imię i nazwisko]
[Funkcja]
Data: [DD-MM-RRRR]
Miejscowość: [...]
ZAŁĄCZNIK A — Wykaz pracowników z dostępem (aktualizowany kwartalnie)
| Imię i nazwisko | Rola | Data nadania | Data odwołania | |
|---|---|---|---|---|
| [...] | [...] | owner | [DD-MM-RRRR] | — |
| [...] | [...] | manager | [DD-MM-RRRR] | — |
| [...] | [...] | waiter | [DD-MM-RRRR] | — |
Restauracja zobowiązana do aktualizacji tej listy co najmniej raz na kwartał + przy każdej zmianie zatrudnienia (w 7 dni).
ZAŁĄCZNIK B — Sub-procesorzy Restauracji (deklaracja)
Restauracja deklaruje korzystanie z poniższych sub-procesorów w zakresie powiązanym z platformą Lokalka:
| Sub-procesor | Cel | Lokalizacja | Status DPA |
|---|---|---|---|
| [POS provider — np. iPos, MaxiPos] | Drukowanie zamówień w kuchni | [PL] | Standardowe DPA POS |
| [Księgowość — biuro księgowe / księgowy] | Faktury własne restauracji (NIE Lokalka) | PL | Umowa o świadczenie usług |
| [Niszczarka dokumentów] | Niszczenie wydruków po realizacji | PL | n/a (fizyczna usługa) |
| [Inne] | [...] | [...] | [status] |
Powiadomienie Lokalka o nowych sub-procesorach: 30 dni przed rozpoczęciem korzystania.
ZAŁĄCZNIK C — Formularz zgłoszenia naruszenia ochrony danych
DO: Lokalka Sp. z o.o.
EMAIL: incident@lokalka.pl
Restauracja: [nazwa]
Osoba zgłaszająca: [imię i nazwisko, funkcja, email, telefon]
Data wykrycia naruszenia: [DD-MM-RRRR HH:MM]
Szacowany czas naruszenia: od [DD-MM-RRRR HH:MM] do [DD-MM-RRRR HH:MM]
Charakter naruszenia:
[ ] Wyciek danych (np. zgubione drukowane zamówienia)
[ ] Nieautoryzowany dostęp (np. kradzież urządzenia)
[ ] Utrata danych (np. usunięcie przez błąd)
[ ] Nieuprawniona modyfikacja
[ ] Inne: [...]
Kategorie danych objętych:
[ ] Imiona klientów
[ ] Adresy dostawy (snapshot)
[ ] Numery zamówień
[ ] Notatki klientów (free text)
[ ] Inne: [...]
Liczba osób, których dane dotyczą: [...]
Możliwe konsekwencje:
[opis krótki]
Środki zaradcze podjęte:
[lista]
Środki zaradcze planowane:
[lista]
Dodatkowe uwagi:
[...]
Podpis zgłaszającego: ____________________
Data zgłoszenia: [DD-MM-RRRR HH:MM]
Koniec DPA template.
Ten dokument jest draftem v1.0 napisanym przez asystenta AI bazującego na
rodo_checklist_v1.mdsekcja 11.2 (Restauracja=Procesor Opcja A) + DDL 001-007 + permission matrix sekcja 11.4. Przed podpisaniem wymaga review prawnika RODO + customizacji per restauracja (Bartek negotiation z 4 owner-ami pilotażowymi). Wszelkie placeholdery[…]muszą być uzupełnione.