Юридический документ

Соглашение об обработке данных

Данное Соглашение об обработке данных (DPA) является частью договора между QRest и заведениями, использующими нашу платформу.

Последнее обновление: Февраль 2026

Данное DPA устанавливает условия, на которых QRest обрабатывает персональные данные от имени заведений (Контролёров данных) в связи с предоставлением услуг заказа и управления заведением. Это дополнение разработано для обеспечения соответствия GDPR и другим применимым нормам защиты данных.

Главенствующая версия

Английская версия данного Соглашения об обработке данных является главенствующей. Переводы на другие языки предоставлены исключительно для удобства. В случае расхождений между английской версией и переводом, английская версия имеет преимущественную силу.

1

Стороны

Контролёр данных (Заведение)

Заведение, заключившее договор с QRest на использование услуг платформы. Заведение определяет цели и средства обработки данных клиентов, связанных с его деятельностью.

Обработчик данных (QRest)

QRest Limited, управляющая платформой QRest, обрабатывает персональные данные от имени заведения в соответствии с настоящим DPA и документированными инструкциями.

2

Предмет и срок действия

Предмет

Обработка персональных данных для предоставления услуг заказа, управления заведением, улучшения клиентского опыта и связанных услуг через платформу QRest.

Срок действия

На срок действия договора между QRest и заведением, плюс сроки хранения, требуемые законом или указанные в нашей Политике хранения данных.

3

Характер и цель обработки

  • Аутентификация и управление сессиями для гостей и персонала
  • Обработка и выполнение заказов
  • Уведомления о статусе заказа в реальном времени
  • Поддержка клиентов и решение проблем
  • Мониторинг безопасности и предотвращение злоупотреблений
  • Аналитика и отчётность (агрегированные/анонимизированные по возможности)
4

Категории субъектов данных

Гости и клиенты заведения
Персонал заведения с аккаунтами на платформе
Курьеры (если применимо)
5

Категории персональных данных

  • Идентификаторы: номер телефона, email (если предоставлен), имя (опционально)
  • Данные заказов: позиции заказа, особые пожелания, предпочтения
  • Технические данные: тип устройства, браузер, IP-адрес, логи использования
  • Данные о местоположении: только для поиска заведений, с разрешения пользователя
  • Платёжные ссылки: только ID транзакций (данные карт не хранятся)
6

Обязанности Контролёра

  • Предоставлять соответствующие уведомления клиентам об обработке данных
  • Обеспечивать наличие законного основания для всех операций обработки
  • Осуществлять сбор согласий от клиентов, где это требуется
  • Отвечать на запросы субъектов данных с помощью обработчика
  • Уведомлять обработчика о любых изменениях, влияющих на обработку данных
7

Обязанности Обработчика (Статья 28 GDPR)

В соответствии со Статьёй 28 GDPR

  • Обрабатывать данные только по документированным инструкциям контролёра
  • Обеспечивать обязательства конфиденциальности для всего персонала
  • Применять соответствующие технические и организационные меры безопасности
  • Содействовать в обработке запросов на доступ к данным (DSAR)
  • Уведомлять контролёра об утечках данных без неоправданной задержки
  • Удалять или возвращать все персональные данные после окончания услуг (с учётом требований хранения)
  • Предоставлять информацию, необходимую для демонстрации соответствия
8

Технические и организационные меры (TOMs)

QRest применяет комплексные меры безопасности, подробно описанные на странице Безопасность. Ключевые меры включают:

Шифрование TLS 1.3 при передаче
Шифрование AES-256 при хранении
Контроль доступа на основе ролей (RBAC)
Непрерывный мониторинг и журналирование
Зашифрованные бэкапы (ежедневные/еженедельные/ежемесячные)
Документированные процедуры реагирования на инциденты
Подробнее о безопасности и соответствии
9

Суб-обработчики

Текущие суб-обработчики

Iyzico

Обработка платежей

Согласно политике PCI DSS провайдера

Mapbox

Карты и геолокация

Анонимизированные, согласно политике провайдера

Контролёр получит предварительное уведомление о новых суб-обработчиках с правом возражения в течение 14 дней.

10

Международные передачи

При передаче персональных данных за пределы ЕЭЗ QRest обеспечивает наличие соответствующих гарантий, включая Стандартные договорные положения (SCC) где применимо. Основная обработка данных происходит в ЕЭЗ (Нидерланды).

11

Помощь с DSAR

  • Обработчик содействует Контролёру в ответах на запросы субъектов данных
  • Целевой срок ответа: 30 дней (с возможностью продления до 60 для сложных запросов)
  • Действуют процедуры безопасной верификации личности
  • Доступны автоматизированные инструменты для экспорта и удаления данных
12

Аудит и соответствие

  • Предоставлять разумную информацию для демонстрации соответствия по запросу
  • Допускать аудиты в согласованном объёме и с согласованной периодичностью (обычно ежегодно)
  • Вести записи об операциях обработки согласно Статье 30 GDPR
13

Инциденты безопасности / Уведомление об утечке

Уведомление без неоправданной задержки (в течение 72 часов с момента обнаружения)

Содержание уведомления включает:

  • Характер и масштаб утечки
  • Категории и приблизительное количество затронутых субъектов данных
  • Вероятные последствия утечки
  • Меры, принятые или предложенные для устранения утечки
14

Возврат/Удаление данных

По окончании предоставления услуг QRest удалит или анонимизирует все персональные данные, обработанные от имени заведения, за исключением случаев, когда хранение требуется по закону или указано в нашей Политике хранения данных.

Политика хранения данных
15

Ответственность и применимое право

Ответственность за нарушения защиты данных определяется в соответствии с положениями GDPR и основным договором между сторонами.

Настоящее DPA регулируется законодательством Турецкой Республики. Для обработки персональных данных резидентов ЕЭЗ применяется GDPR в объёме, требуемом законом.

Вопросы по данному DPA?

Свяжитесь с нами для уточнений или запроса подписанной копии.

qrestreply@gmail.com