site.back

site.dpa.title

Wersja v1.0 · Data wejścia w życie: 1 czerwca 2026

Zawierana automatycznie z chwilą rejestracji Konta w Platformie Tavly.

Preambuła

Niniejsza Umowa Powierzenia Przetwarzania Danych („DPA") jest zawierana na podstawie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) i stanowi integralną część Umowy o świadczenie usług (Regulaminu Tavly).

DPA wchodzi w życie automatycznie z chwilą rejestracji Konta przez Klienta i nie wymaga odrębnego podpisu.

Strony:

  • Administrator (w rozumieniu RODO): Klient — przedsiębiorca prowadzący lokal gastronomiczny, który zawarł Umowę z Operatorem (dalej: „Administrator").
  • Podmiot przetwarzający (w rozumieniu RODO): Dawid Cichoń prowadzący jednoosobową działalność gospodarczą pod firmą D-Code Dawid Cichoń, z siedzibą w Zarzeczu, NIP: 6020141190, prowadzący Platformę pod nazwą handlową Tavly (dalej: „Procesor").

§1. Definicje

  1. Dane osobowe Pracowników — dane osobowe osób fizycznych zatrudnionych lub współpracujących z Administratorem, wprowadzone przez Administratora do Platformy Tavly w celu ewidencji i rozliczania napiwków.
  2. Czynności przetwarzania – operacje wykonywane przez Procesora na Danych osobowych Pracowników w imieniu Administratora, obejmujące: zbieranie, przechowywanie, organizowanie, przeglądanie, obliczanie podziału napiwków, generowanie Rozliczeń oraz usuwanie danych.
  3. Naruszenie ochrony danych — naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych osobowych Pracowników.
  4. Pozostałe definicje — zgodnie z §1 Regulaminu Tavly oraz art. 4 RODO.

§2. Przedmiot i charakter powierzenia

  1. Administrator powierza Procesorowi przetwarzanie Danych osobowych Pracowników wyłącznie w celu i zakresie niezbędnym do świadczenia usług określonych w Regulaminie Tavly, tj. ewidencji napiwków, obliczania ich podziału i generowania Rozliczeń.
  2. Procesor przetwarza powierzone dane wyłącznie na udokumentowane polecenie Administratora wyrażone poprzez konfigurację i korzystanie z Platformy, chyba że obowiązek przetwarzania wynika z przepisów prawa — w takim przypadku Procesor informuje Administratora o tym obowiązku przed rozpoczęciem przetwarzania, o ile prawo nie zakazuje udzielania takiej informacji.
  3. Procesor nie przetwarza Danych osobowych Pracowników w żadnym innym celu niż określony w ust. 1, w szczególności nie wykorzystuje ich do własnych celów marketingowych, analitycznych ani handlowych.

§3. Zakres i kategorie przetwarzanych danych

Kategorie osób, których dane dotyczą: Pracownicy Administratora — osoby fizyczne zatrudnione lub współpracujące z Administratorem w lokalu gastronomicznym.

Rodzaj przetwarzanych danych osobowych:

Kategoria danychOpis
Pseudonim Nazwa wyświetlana Pracownika w Platformie (nie musi być prawdziwym imieniem i nazwiskiem)
Adres e-mail Używany do identyfikacji i ewentualnej komunikacji z Pracownikiem
Opis Dowolny opis Pracownika wprowadzony przez Administratora (np. stanowisko, zmiana)

Platforma Tavly nie przetwarza szczególnych kategorii danych osobowych w rozumieniu art. 9 RODO (danych wrażliwych), numerów PESEL, numerów rachunków bankowych ani danych dotyczących wynagrodzenia. Wszelkie wypłaty napiwków są realizowane samodzielnie przez Administratora poza Platformą.

Charakter czynności przetwarzania: przechowywanie, organizowanie, odczyt, obliczanie, generowanie raportów, usuwanie na żądanie Administratora.

§4. Czas trwania powierzenia i retencja danych

  1. Powierzenie przetwarzania trwa przez cały okres obowiązywania Umowy (Regulaminu Tavly) zawartej między stronami.
  2. Administrator może usunąć dane konkretnego Pracownika w dowolnym momencie za pośrednictwem funkcji dostępnych w Platformie.
  3. Niezależnie od decyzji Administratora, Procesor przechowuje Dane osobowe Pracowników przez minimum 3 miesiące od daty ich ostatniej modyfikacji — w celu zapewnienia integralności rozliczeń i możliwości odtworzenia historii napiwków w razie sporu.
  4. Po rozwiązaniu Umowy Procesor usuwa lub zwraca Administratorowi wszelkie Dane osobowe Pracowników w terminie 30 dni, chyba że przepisy prawa zobowiązują do dalszego przechowywania. Administrator może pobrać dane w tym terminie za pośrednictwem funkcji eksportu w Platformie.
  5. Dane zawarte w kopiach zapasowych (backupach) są usuwane zgodnie z harmonogramem rotacji kopii, nie później jednak niż w ciągu 90 dni od rozwiązania Umowy.

§5. Obowiązki Procesora

Procesor zobowiązuje się do:

  1. Poufności — przetwarzania Danych osobowych Pracowników wyłącznie przez osoby upoważnione, które zobowiązały się do zachowania poufności lub podlegają ustawowemu obowiązkowi zachowania tajemnicy.
  2. Bezpieczeństwa — wdrożenia i utrzymywania odpowiednich środków technicznych i organizacyjnych zgodnie z art. 32 RODO, w szczególności: szyfrowania danych w tranzycie (TLS/HTTPS), kontroli dostępu, regularnych kopii zapasowych oraz monitorowania bezpieczeństwa.
  3. Pomocy Administratorowi — wspierania Administratora w wypełnianiu obowiązków wynikających z art. 32–36 RODO, w zakresie wynikającym z charakteru przetwarzania.
  4. Realizacji praw osób — niezwłocznego informowania Administratora o żądaniach Pracowników dotyczących realizacji ich praw wynikających z RODO i nierozpatrywania tych żądań samodzielnie bez zgody Administratora, o ile przepisy prawa nie stanowią inaczej.
  5. Zgłaszania naruszeń — niezwłocznego, nie później niż w ciągu 72 godzin od stwierdzenia, powiadomienia Administratora o każdym Naruszeniu ochrony danych dotyczącym Danych osobowych Pracowników.
  6. Rozliczalności — udostępniania Administratorowi wszelkich informacji niezbędnych do wykazania przestrzegania obowiązków wynikających z niniejszej DPA, w formie odpowiedzi na pisemne zapytania skierowane na contact@tavly.pl. Procesor nie jest zobowiązany do umożliwienia przeprowadzenia audytów na miejscu ani inspekcji infrastruktury.

§6. Podprocesorzy

  1. Administrator niniejszym wyraża ogólną zgodę na korzystanie przez Procesora z podprocesorów, tj. podmiotów trzecich, którym Procesor powierza przetwarzanie Danych osobowych Pracowników w zakresie niezbędnym do świadczenia usług Tavly.
  2. Aktualna lista podprocesorów przetwarzających Dane osobowe Pracowników:
    Podprocesor Cel przetwarzania Lokalizacja Podstawa transferu
    Hetzner Online GmbH Hosting infrastruktury — serwery i bazy danych Niemcy (EOG)Art. 28 RODO
    Grafana LabsMonitorowanie i logi systemoweUSAStandardowe Klauzule Umowne (SCC)
  3. Procesor zobowiązuje się nakładać na podprocesorów obowiązki ochrony danych równoważne określonym w niniejszej DPA, poprzez zawarcie z nimi umów powierzenia zgodnych z art. 28 ust. 4 RODO.
  4. Procesor informuje Administratora o planowanych zmianach dotyczących podprocesorów z wyprzedzeniem 14 dni, publikując zaktualizowaną listę na Data Processing Agreement (DPA). Brak sprzeciwu w tym terminie jest równoznaczny z akceptacją zmiany.
  5. Jeżeli Administrator wniesie uzasadniony sprzeciw wobec zmiany podprocesora, a Procesor nie będzie w stanie świadczyć usług bez udziału tego podprocesora, każda ze stron może rozwiązać Umowę ze skutkiem na koniec okresu rozliczeniowego.

§7. Przekazywanie danych poza EOG

  1. Dane osobowe Pracowników mogą być przekazywane poza Europejski Obszar Gospodarczy wyłącznie do podprocesorów wskazanych w §6 ust. 2, na podstawie Standardowych Klauzul Umownych przyjętych decyzją Komisji Europejskiej z dnia 4 czerwca 2021 r.
  2. Procesor zapewnia, że każdy podprocesor z siedzibą poza EOG posiada aktualnie zawarte SCC lub inny odpowiedni mechanizm transferu w rozumieniu art. 46 RODO.

§8. Obowiązki Administratora

Administrator zobowiązuje się do:

  1. Przetwarzania Danych osobowych Pracowników zgodnie z RODO, w szczególności do posiadania właściwej podstawy prawnej dla przetwarzania tych danych i wypełnienia wobec Pracowników obowiązków informacyjnych wynikających z art. 13 lub 14 RODO przed wprowadzeniem ich danych do Platformy.
  2. Wprowadzania do Platformy wyłącznie danych niezbędnych do realizacji celu (ewidencja i rozliczanie napiwków) — zgodnie z zasadą minimalizacji danych.
  3. Niezwłocznego informowania Procesora o wszelkich zmianach mających wpływ na zgodność przetwarzania z RODO.
  4. Niepolecania Procesorowi czynności przetwarzania, które byłyby niezgodne z RODO lub innymi przepisami prawa.

§9. Odpowiedzialność

  1. Procesor odpowiada wobec Administratora za szkody wynikające z niewykonania lub nienależytego wykonania obowiązków wynikających z niniejszej DPA, wyłącznie w przypadku winy umyślnej lub rażącego niedbalstwa.
  2. Całkowita odpowiedzialność Procesora z tytułu niniejszej DPA jest ograniczona do kwoty określonej w §9 ust. 3 Regulaminu Tavly.
  3. Administrator odpowiada wobec Procesora i osób trzecich (w tym Pracowników) za szkody wynikające z naruszenia przez Administratora przepisów RODO lub postanowień niniejszej DPA.

§10. Postanowienia końcowe

  1. W sprawach nieuregulowanych niniejszą DPA zastosowanie mają przepisy RODO, polskiej ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. oraz Regulamin Tavly.
  2. W przypadku sprzeczności między postanowieniami niniejszej DPA a Regulaminem Tavly, w zakresie ochrony danych osobowych pierwszeństwo mają postanowienia DPA.
  3. Wszelkie pytania dotyczące niniejszej DPA należy kierować na adres: contact@tavly.pl
  4. DPA podlega prawu polskiemu. Sądem właściwym do rozstrzygania sporów jest sąd właściwy dla siedziby Procesora.