Version 1.0 · Effective 2026-07-01

GDPR DATA PROCESSING ADDENDUM

Polish is the controlling language.

Umowa powierzenia przetwarzania danych osobowych (DPA)

Wersja: 1.0

Obowiązuje od: 2026-07-01

Język rozstrzygający: polski

Niniejsza umowa powierzenia („DPA”) stanowi część umowy o Platformę SERVED między Obiektem („Administrator”) a placeholder1, adres: placeholder3, KRS placeholder5, NIP placeholder6, REGON placeholder7, sąd rejestrowy placeholder4, kapitał akcyjny placeholder8 („Procesor” lub „SERVED”).

DPA ma formę elektroniczną w rozumieniu art. 28 ust. 9 RODO. Zostaje zawarta wraz z akceptacją Regulaminu dla Obiektów lub Dokumentu Zamówienia i obowiązuje, gdy SERVED przetwarza Dane Osobowe Administratora.

1. Definicje i pierwszeństwo

Dane Osobowe Administratora — dane osobowe przetwarzane przez SERVED w imieniu Obiektu za pomocą Platformy, opisane w Załączniku 1; nie obejmują danych, dla których SERVED samodzielnie ustala cele jako administrator.

Incydent Danych Osobowych — naruszenie ochrony Danych Osobowych Administratora w rozumieniu art. 4 pkt 12 RODO.

Przepisy Ochrony Danych — RODO, właściwe przepisy państw członkowskich oraz inne przepisy o ochronie danych mające zastosowanie do przetwarzania.

Podprocesor — dalszy podmiot przetwarzający zaangażowany przez SERVED do Danych Osobowych Administratora.

RODO — rozporządzenie (UE) 2016/679.

Pojęcia „administrator”, „dane osobowe”, „osoba, której dane dotyczą”, „przetwarzanie” i „organ nadzorczy” mają znaczenie z RODO.

W razie sprzeczności pierwszeństwo mają: (a) obowiązkowe Standardowe Klauzule Umowne; (b) niniejsza DPA; (c) indywidualny Dokument Zamówienia; (d) Regulamin. DPA nie ogranicza obowiązków nałożonych bezpośrednio przez prawo.

2. Przedmiot, czas, charakter i cel

SERVED przetwarza Dane Osobowe Administratora wyłącznie, aby dostarczać, zabezpieczać, utrzymywać i wspierać funkcje wybrane przez Obiekt, w tym rezerwacje, bilety, CRM, wiadomości, kampanie, harmonogramy, szkolenia, czaty, dokumenty i zarządzanie opiniami.

Przedmiot, czynności, osoby i kategorie danych określa Załącznik 1. Przetwarzanie trwa przez okres umowy oraz ograniczony okres zwrotu, usuwania, kopii zapasowych i obowiązkowego przechowywania.

Każda konfiguracja i czynność Administratora w Platformie, Dokument Zamówienia, Regulamin, ta DPA oraz dalsza zgodna instrukcja przesłana przez upoważniony kontakt stanowią udokumentowane instrukcje.

SERVED nie sprzedaje Danych Osobowych Administratora, nie wykorzystuje ich do własnego marketingu ani nie używa ich do trenowania modeli Anthropic.

3. Polecenia Administratora

SERVED przetwarza dane tylko na udokumentowane polecenie Administratora, w tym w zakresie transferu do państwa trzeciego, chyba że obowiązujące prawo UE lub państwa członkowskiego nakazuje inne przetwarzanie. Wtedy, o ile prawo nie zabrania z ważnych względów interesu publicznego, SERVED informuje Administratora przed przetwarzaniem.

Jeżeli w ocenie SERVED polecenie narusza Przepisy Ochrony Danych, SERVED niezwłocznie informuje Administratora i może zawiesić wykonanie tej części do wyjaśnienia lub zmiany. Nie jest zobowiązany do wykonania bezprawnego polecenia.

Dodatkowa instrukcja wykraczająca poza Platformę może wymagać oceny wykonalności, uzgodnienia terminu i rozsądnej opłaty, o ile opłata jest dozwolona prawem. SERVED nie pobiera opłaty za standardowe wykonanie obowiązków procesora ani za obowiązkową zmianę dostawcy w zakresie zakazanym przez Data Act.

4. Obowiązki Administratora

Administrator zapewnia i dokumentuje, że:

Administrator nie przekazuje danych osobowych dotyczących wyroków lub czynów zabronionych ani szczególnych kategorii, poza ograniczonymi dobrowolnymi informacjami o alergiach, diecie lub dostępności, jeżeli ma właściwy warunek z art. 9 RODO, przejrzystość, minimalizację i ograniczony dostęp.

Administrator nie wprowadza do funkcji AI surowych danych Gości, identyfikatorów personelu, danych zdrowotnych, danych dzieci niewymaganych do usługi ani tajemnic, których przekazanie jest zabronione.

5. Poufność i personel

SERVED zapewnia, aby osoby upoważnione do przetwarzania były związane obowiązkiem poufności ustawowym lub umownym, otrzymały dostęp wyłącznie według potrzeby i odpowiednie przeszkolenie.

Dostęp administracyjny jest rejestrowany i ograniczony rolą. Upoważnienie jest odbierane po zmianie roli lub zakończeniu współpracy.

SERVED odpowiada za działania osób działających z jego upoważnienia w zakresie wymaganym prawem i umową.

6. Bezpieczeństwo

Uwzględniając stan wiedzy technicznej, koszt, charakter, zakres, kontekst i cel oraz ryzyko dla praw osób, SERVED wdraża i utrzymuje odpowiednie środki z art. 32 RODO, opisane w Załączniku 2.

Środki obejmują w odpowiednim zakresie: kontrolę tożsamości i dostępu, zasadę najmniejszych uprawnień, szyfrowanie transmisji, szyfrowanie w spoczynku tam, gdzie wspiera je infrastruktura, logiczną izolację tenantów, kopie zapasowe, logowanie i monitorowanie, zarządzanie podatnościami, reagowanie na incydenty, kontrolę zmian i proces podprocesorów.

Administrator przyjmuje, że bezpieczeństwo jest wspólną odpowiedzialnością. Środki po stronie Obiektu obejmują role, MFA, urządzenia, bezpieczny eksport, konfigurację pól i retencji oraz zgodne korzystanie z API.

SERVED może aktualizować środki wraz z rozwojem technicznym, pod warunkiem że ogólny poziom ochrony nie zostanie istotnie obniżony.

7. Podprocesorzy

Administrator udziela ogólnej pisemnej zgody na Podprocesorów z aktualnej Listy Podmiotów Przetwarzających. Lista wskazuje usługę, cel, typ lokalizacji i mechanizm transferu.

SERVED zawiadamia o planowanym dodaniu albo zastąpieniu Podprocesora co najmniej 15 dni przed jego zaangażowaniem, na e-mail administratora konta lub przez Platformę.

Administrator może w tym okresie wnieść na test3@example.com uzasadniony sprzeciw dotyczący ochrony danych, opisując konkretne ryzyko. Strony w dobrej wierze poszukają rozsądnego środka, dodatkowego zabezpieczenia lub alternatywy.

Jeżeli ryzyka nie da się rozsądnie usunąć, Administrator może bez kary zakończyć dotkniętą funkcję lub — jeśli nie da się jej oddzielić — umowę, przed rozpoczęciem przetwarzania przez nowego Podprocesora. Należności za już świadczone usługi pozostają wymagalne.

SERVED zawiera z Podprocesorem pisemną umowę nakładającą zasadniczo takie same obowiązki ochrony danych jak ta DPA. SERVED pozostaje wobec Administratora odpowiedzialny za wykonanie obowiązków Podprocesora zgodnie z art. 28 ust. 4 RODO.

Dostawcy płatności zakontraktowani bezpośrednio przez Obiekt, gdy działają dla Obiektu jako niezależny administrator lub procesor, nie są Podprocesorami SERVED w tym zakresie. Jeśli SERVED przekazuje im dane jako część własnej usługi procesora, właściwy zakres jest ujawniony na Liście.

8. Przekazywanie międzynarodowe

Główne zasoby Supabase i Upstash są konfigurowane w UE, ale globalne wsparcie, hosting/CDN, e-mail, mapy, wyszukiwanie, analityka, płatności, AI i dalsi dostawcy mogą obejmować transfer lub zdalny dostęp spoza EOG.

SERVED zapewnia mechanizm z rozdziału V RODO: decyzję o odpowiednim stopniu ochrony, EU–US Data Privacy Framework tylko dla aktualnie certyfikowanego odbiorcy i zakresu albo Standardowe Klauzule Umowne z decyzji 2021/914 wraz z oceną transferu i środkami uzupełniającymi, gdy są wymagane.

Gdy SERVED jest eksporterem, a Podprocesor importerem, stosuje właściwy moduł SCC. Gdy dla bezpośredniego transferu Administrator–SERVED potrzebne są SCC, strony włączają przez odniesienie Moduł 2 albo 3 odpowiednio do ról; prawo właściwe dla klauzul to prawo państwa UE pozwalające osobie wykonywać prawa, wskazane w formularzu transferowym, a właściwy organ wynika z Klauzuli 13.

Na wniosek SERVED udostępnia kopię właściwych zabezpieczeń z usunięciem informacji chronionych lub bezpieczeństwa.

Jeżeli mechanizm stanie się nieważny, strony współpracują nad alternatywą. SERVED może zawiesić dotknięty transfer lub funkcję, jeśli nie ma legalnego rozwiązania.

9. Żądania organów państwa

SERVED ocenia ważność wiążącego żądania dostępu, ogranicza ujawnienie do wymaganego zakresu i, gdy jest prawnie dozwolone, informuje Administratora przed ujawnieniem.

Gdy jest to rozsądne i dozwolone, SERVED kieruje organ do Administratora, kwestionuje żądanie bez podstawy i dokumentuje odpowiedź. Nie udostępnia dobrowolnie Danych Osobowych Administratora organowi państwa trzeciego bez ważnego obowiązku.

SERVED publikuje lub udostępnia informacje wymagane Data Act o jurysdykcji infrastruktury i środkach przeciw bezprawnemu dostępowi organów państw trzecich także do danych nieosobowych UE.

10. Prawa osób

Biorąc pod uwagę charakter przetwarzania, SERVED pomaga Administratorowi odpowiednimi środkami technicznymi i organizacyjnymi odpowiadać na żądania z rozdziału III RODO.

Jeśli SERVED otrzyma żądanie dotyczące Danych Osobowych Administratora, niezwłocznie przekaże je Administratorowi i nie odpowie merytorycznie, chyba że zostanie upoważniony lub prawo wymaga odpowiedzi.

Dostępne funkcje wyszukiwania, eksportu, poprawiania i usuwania stanowią standardową pomoc. Dodatkowa, nietypowa pomoc może być odpłatna tylko w rozsądnym zakresie dozwolonym prawem i po wcześniejszym uzgodnieniu.

11. Pomoc w zgodności

Uwzględniając charakter przetwarzania i dostępne informacje, SERVED pomaga Administratorowi w obowiązkach z art. 32–36 RODO, w szczególności przez informacje o zabezpieczeniach, Incydencie, DPIA i konsultacji z organem.

SERVED dostarcza dostępne materiały potrzebne do oceny ryzyka, ale nie zastępuje prawnej oceny Administratora ani nie odpowiada za cel i podstawę ustalone przez Obiekt.

Administrator informuje SERVED przed uruchomieniem przetwarzania wysokiego ryzyka, masowych szczególnych kategorii, systematycznego monitorowania lub istotnych decyzji automatycznych. Takie użycie może wymagać odrębnego uzgodnienia albo zostać odmówione.

12. Incydenty Danych Osobowych

SERVED zawiadamia Administratora o potwierdzonym Incydencie Danych Osobowych bez zbędnej zwłoki i — tam, gdzie jest to praktycznie możliwe — w ciągu 48 godzin od powzięcia wiedzy. Termin jest celem operacyjnym, nie przedłuża terminów ustawowych Administratora.

W miarę dostępności zawiadomienie obejmuje: charakter Incydentu, kategorie i przybliżoną liczbę osób i rekordów, prawdopodobne skutki, zastosowane lub planowane środki, punkt kontaktowy oraz informacje potrzebne do zgłoszenia. Informacje mogą być przekazywane etapami.

Zawiadomienie nie jest przyznaniem odpowiedzialności. SERVED ogranicza skutki, zachowuje dowody, bada przyczynę i współpracuje przy ustawowym zawiadomieniu organu lub osób.

Administrator odpowiada za decyzję i zgłoszenie naruszenia dotyczącego jego danych, w tym termin 72 godzin z art. 33 RODO. SERVED odpowiada za zgłoszenia w zakresie, w którym sam jest administratorem.

Administrator nie opublikuje informacji mogącej zwiększyć ryzyko lub naruszyć poufność dochodzenia bez wcześniejszej konsultacji, chyba że prawo wymaga natychmiastowej publikacji.

13. Zwrot, eksport i usunięcie

Podczas umowy Administrator może korzystać z funkcji eksportu. Co najmniej jeden standardowy eksport oraz standardowy eksport związany ze zmianą dostawcy są bezpłatne. Format to odpowiednio CSV lub JSON oraz pliki w oryginalnym formacie.

Po rozwiązaniu aktywne dane pozostają dostępne do pobrania przez co najmniej 30 dni, chyba że Administrator wcześniej poleci ich usunięcie lub prawo zabrania dalszego dostępu.

Po okresie pobierania SERVED usuwa lub anonimizuje aktywne Dane Osobowe Administratora. Kopie zapasowe wygasają w zwykłym cyklu rotacji do 90 dni, pozostają odizolowane, nie są używane operacyjnie i zostaną objęte ochroną do usunięcia.

SERVED może zachować ograniczone dane, jeśli wymaga tego prawo lub są konieczne do ustalenia, dochodzenia albo obrony konkretnego roszczenia. Wtedy izoluje je, ogranicza cel i usuwa po ustaniu podstawy.

Na żądanie SERVED potwierdzi wykonanie standardowego usunięcia. Nie ma obowiązku naruszać integralności kopii zapasowej, jeżeli dane zostaną skutecznie wyłączone z użycia i usunięte przy rotacji.

14. Informacje i audyt

SERVED udostępnia informacje potrzebne do wykazania zgodności z art. 28 RODO, w tym niniejszą DPA, opis środków, Listę Podmiotów Przetwarzających oraz dostępne certyfikaty lub raporty niezależne, z zastrzeżeniem poufności.

Najpierw wykorzystuje się dokumentację, kwestionariusz i raport strony trzeciej. Jeżeli są niewystarczające do uzasadnionej oceny, Administrator może raz na 12 miesięcy zlecić niezależny audyt odnoszący się do własnych danych, z co najmniej 30-dniowym zawiadomieniem, w godzinach pracy i bez naruszenia bezpieczeństwa lub poufności innych klientów.

Ograniczenie częstotliwości nie obowiązuje po istotnym Incydencie dotyczącym Administratora, na żądanie organu albo gdy istnieją obiektywne dowody istotnego naruszenia.

Administrator ponosi koszty audytu, chyba że ujawni on istotne naruszenie DPA przez SERVED; wtedy SERVED pokrywa własne rozsądne koszty naprawy i zwraca rozsądny koszt audytu w zakresie przewidzianym umową i prawem.

Audytor nie może być konkurentem SERVED i musi podpisać odpowiednią poufność. Nie otrzyma danych innych klientów, kodu źródłowego, informacji zwiększających ryzyko ani dostępu do systemu produkcyjnego, jeśli równoważny dowód jest dostępny bez takiego dostępu.

15. AI i ograniczenia celu

Anthropic może być Podprocesorem wyłącznie dla funkcji AI włączonej przez Administratora i w zakresie opisanym na Liście. Standardowa retencja API może wynosić do 30 dni, o ile nie obowiązuje krótsze uzgodnienie.

SERVED stosuje filtry i instrukcje minimalizacyjne. Administrator nie kieruje do AI surowych danych Gości, personelu, danych z art. 9 lub 10 RODO ani danych dzieci, chyba że strony zawrą odrębne zgodne uzgodnienie — którego standardowa usługa nie przewiduje.

Dane klienta nie są przeznaczone do treningu modelu. Funkcja dobrowolnego udostępniania/feedbacku pozostaje wyłączona.

Wynik wymaga człowieka. Administrator nie używa Platformy do wyłącznie zautomatyzowanej istotnej decyzji o zatrudnieniu, wejściu, bezpieczeństwie, zdrowiu lub prawie.

16. Odpowiedzialność

Każda strona odpowiada za własne obowiązki wynikające z Przepisów Ochrony Danych. Żadne postanowienie nie ogranicza praw osoby z art. 82 RODO ani kompetencji organu.

W relacji między stronami roszczenia z DPA podlegają ograniczeniom odpowiedzialności z Regulaminu, z wyjątkiem zakresu, którego nie można ograniczyć, szkody umyślnej, oszustwa i odpowiedzialności nałożonej bezpośrednio przez prawo.

Jeżeli strona zapłaci pełne odszkodowanie osobie za szkodę, za którą odpowiadają obie strony, prawo regresu jest rozliczane według art. 82 ust. 5 RODO i stopnia odpowiedzialności.

17. Czas obowiązywania i kontakt

DPA obowiązuje tak długo, jak SERVED przetwarza Dane Osobowe Administratora. Postanowienia o poufności, usunięciu, audycie, transferach i odpowiedzialności trwają zgodnie ze swoim celem.

Kontakt operacyjny i dotyczący praw: test3@example.com. Zgłoszenia Incydentu przez Obiekt: test3@example.com z oznaczeniem „PILNE — INCYDENT”.

Prawo właściwe i sąd określa Regulamin, z zastrzeżeniem właściwości organów i sądów wynikającej z RODO oraz SCC.

Polska wersja DPA jest rozstrzygająca.

Załącznik 1 — opis przetwarzania

A. Przedmiot i cel

Dostarczenie hostowanej Platformy Obiektu: rezerwacji, przedpłat, biletów, CRM, komunikacji, kampanii, obsługi klienta, harmonogramów i szkoleń personelu, czatów, plików, dokumentów, analityki Obiektu, integracji płatniczej oraz opcjonalnego zarządzania pełnymi opiniami.

B. Charakter operacji

Zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, przeglądanie, wyszukiwanie, dopasowanie, przesyłanie, ograniczanie, eksport, poprawianie, usuwanie i tworzenie raportów zgodnie z konfiguracją Administratora. Brak sprzedaży danych i brak własnego marketingu SERVED na Danych Osobowych Administratora.

C. Czas

Przez okres umowy; domyślnie dane rezerwacji i biletów 24 miesiące po wizycie lub wydarzeniu, jeśli Administrator nie ustawi zgodnego okresu; 30 dni dostępu do eksportu po rozwiązaniu; kopie zapasowe do 90 dni; ograniczone wyjątki prawne lub roszczeniowe.

D. Kategorie osób

Goście, kupujący, uczestnicy i osoby objęte rezerwacją;

osoby kontaktujące się z Obiektem lub składające reklamację;

potencjalni i obecni klienci Obiektu objęci zgodną kampanią;

pracownicy, współpracownicy, kandydaci lub użytkownicy Obiektu wyłącznie, jeśli Obiekt zgodnie używa właściwej funkcji;

reprezentanci dostawców i partnerów Obiektu;

autorzy identyfikowalnych opinii w oddzielnej skrzynce zarządzania opiniami.

E. Kategorie danych

identyfikacyjne i kontaktowe: imię, nazwisko, e-mail, telefon, identyfikator;

rezerwacyjne i biletowe: usługa, data, lokalizacja, uczestnicy, miejsce, kod, status wejścia;

transakcyjne: kwota, waluta, status i identyfikator Operatora Płatności, informacja o zwrocie lub chargebacku; bez pełnych danych karty;

komunikacja, preferencje, zgody, sprzeciwy, reklamacje, notatki i odpowiedzi;

dane konta personelu, role, uprawnienia, harmonogram, aktywność, wyniki szkoleń i czaty;

pliki, dokumenty i treści wprowadzone przez Administratora;

dane techniczne powiązane z użytkownikiem: IP, czas, logowanie, urządzenie, zdarzenie audytowe;

pełne treści i dane publicznych recenzentów tylko w oddzielnej funkcji zarządzania opiniami na polecenie Obiektu;

potencjalnie szczególne kategorie ujawnione w opcjonalnym polu alergii, diety lub dostępności — wyłącznie z warunkiem art. 9 ustalonym przez Administratora.

F. Częstotliwość i skala

Ciągła przez okres korzystania, w zakresie zależnym od liczby użytkowników, Gości, rezerwacji, kampanii i funkcji wskazanych w Dokumencie Zamówienia.

Załącznik 2 — środki techniczne i organizacyjne

Środki są dobierane do ryzyka i mogą ewoluować bez istotnego obniżenia ogólnego poziomu ochrony.

Zarządzanie bezpieczeństwem: przypisane role, polityki, ocena ryzyka, przegląd co najmniej okresowy i proces wyjątków.

Personel: zobowiązania poufności, szkolenie bezpieczeństwa i ochrony danych, nadawanie i odbieranie uprawnień.

Tożsamość i dostęp: indywidualne konta, role, najmniejsze uprawnienia, MFA dla dostępu uprzywilejowanego tam, gdzie dostępne, okresowy przegląd i rejestrowanie działań administracyjnych.

Ochrona transmisji i przechowywania: TLS dla transmisji; szyfrowanie w spoczynku wspierane przez dostawców; bezpieczne zarządzanie sekretami; brak pełnych danych kart w systemach SERVED.

Izolacja i minimalizacja: logiczna separacja organizacji, kontrola zapytań i zasobów, ograniczenie pól i payloadów, środowiska testowe oddzielone od produkcji.

Bezpieczny rozwój i zmiana: przegląd kodu, kontrola zależności, zarządzanie konfiguracją, testy przed wydaniem i możliwość wycofania zmiany.

Podatności: aktualizacje, skanowanie lub równoważne wykrywanie, klasyfikacja i naprawa według ryzyka, kanał zgłoszeń bezpieczeństwa.

Logi i monitorowanie: logowanie uwierzytelnienia, dostępu uprzywilejowanego i istotnych zdarzeń; ochrona logów, alerty i retencja zgodna z Polityką Prywatności.

Dostępność i odtwarzanie: kopie zapasowe, rotacja, testy odtworzenia odpowiednie do ryzyka, procedury awarii i ciągłości.

Incydenty: kanał eskalacji, klasyfikacja, ograniczanie skutków, zachowanie dowodów, analiza przyczyny, komunikacja i działania naprawcze.

Podprocesorzy: ocena prywatności i bezpieczeństwa, umowa art. 28, transfery, lista, zawiadomienie i okresowy przegląd.

Usuwanie i eksport: funkcje eksportu; usuwanie aktywnych danych; izolowane kopie zapasowe do rotacji; bezpieczne usuwanie nośników przez dostawcę infrastruktury.

Fizyczne bezpieczeństwo: centra danych i sprzęt produkcyjny są chronione przez zakontraktowanych dostawców chmurowych; SERVED ocenia ich raporty i warunki zamiast utrzymywać własne centrum danych.

AI: allowlista przypadków użycia, minimalizacja, zakaz danych szczególnych i surowych identyfikatorów, komercyjne API, wyłączony trening/feedback i obowiązkowa ocena człowieka.

GDPR DATA PROCESSING ADDENDUM

Polish is the controlling language.

Data Processing Addendum (DPA)

Version: 1.0

Effective from: 2026-07-01

Controlling language: Polish

This Data Processing Addendum (“DPA”) forms part of the SERVED Platform agreement between the Venue (“Controller”) and placeholder1, address placeholder3, KRS placeholder5, NIP placeholder6, REGON placeholder7, registry court placeholder4, share capital placeholder8 (“Processor” or “SERVED”).

This DPA is in electronic form for Article 28(9) GDPR. It is concluded when the Venue Terms or an Order Form is accepted and applies while SERVED processes Controller Personal Data.

1. Definitions and priority

Controller Personal Data means personal data processed by SERVED for the Venue through the Platform, as described in Annex 1; it excludes data for which SERVED independently determines purposes as controller.

Data Protection Law means the GDPR, applicable Member State legislation and other data-protection law applying to the processing.

Personal Data Incident means a personal data breach of Controller Personal Data under Article 4(12) GDPR.

Subprocessor means a further processor engaged by SERVED for Controller Personal Data.

GDPR means Regulation (EU) 2016/679.

“Controller”, “personal data”, “data subject”, “processing” and “supervisory authority” have their GDPR meanings.

In a conflict, the order is: (a) mandatory Standard Contractual Clauses; (b) this DPA; (c) an individual Order Form; (d) the Venue Terms. This DPA does not limit obligations imposed directly by law.

2. Subject matter, duration, nature and purpose

SERVED processes Controller Personal Data only to provide, secure, maintain and support Venue-selected functions including reservations, tickets, CRM, messages, campaigns, schedules, training, chats, documents and review management.

Subject matter, operations, people and data categories are in Annex 1. Processing continues for the agreement and a limited return, deletion, backup and mandatory-retention period.

Venue configuration and activity in the Platform, the Order Form, Venue Terms, this DPA and later lawful instructions sent by an authorised contact are documented instructions.

SERVED does not sell Controller Personal Data, use it for its own marketing or use it to train Anthropic models.

3. Controller instructions

SERVED processes only on documented Controller instructions, including for third-country transfers, unless EU or Member State law requires otherwise. Where law permits, SERVED informs the Controller before such processing.

If SERVED believes an instruction violates Data Protection Law, it promptly informs the Controller and may suspend that part pending clarification or change. It need not perform an unlawful instruction.

An extra instruction outside Platform functionality may require feasibility review, a timeline and a reasonable fee where lawful. SERVED does not charge for standard processor duties or mandatory switching where the Data Act prohibits a charge.

4. Controller duties

The Controller ensures and documents that:

The Controller does not provide conviction/offence data or special-category data except limited optional allergy, dietary or accessibility information where it has an Article 9 GDPR condition, transparency, minimisation and restricted access.

The Controller does not submit to AI raw Guest data, staff identifiers, health data, unnecessary child data or secrets that cannot lawfully be disclosed.

5. Confidentiality and personnel

SERVED ensures authorised persons are bound by statutory or contractual confidentiality, receive need-to-know access and appropriate training.

Administrative access is logged and role-limited. Authorisation is removed after a role change or relationship ends.

SERVED is responsible for persons acting under its authority to the extent required by law and contract.

6. Security

Considering state of the art, cost, nature, scope, context, purpose and risk to people, SERVED implements and maintains appropriate Article 32 GDPR measures described in Annex 2.

They include as appropriate identity and access control, least privilege, encryption in transit, at-rest encryption where infrastructure supports it, logical tenant isolation, backups, logging and monitoring, vulnerability management, incident response, change control and subprocessor management.

Security is shared. Venue-side measures include roles, MFA, devices, secure exports, field and retention configuration and compliant API use.

SERVED may update controls with technical development, provided the overall protection level is not materially reduced.

7. Subprocessors

The Controller gives general written authorisation for Subprocessors in the current Subprocessor List, which states service, purpose, location type and transfer mechanism.

SERVED gives at least 15 days' notice before adding or replacing a Subprocessor, by account-administrator email or the Platform.

During that period, the Controller may send a reasoned data-protection objection to test3@example.com, describing a concrete risk. The parties will in good faith seek a reasonable measure, safeguard or alternative.

If the risk cannot reasonably be resolved, the Controller may terminate the affected feature without penalty or, if inseparable, the agreement before the new processing begins. Charges for services already supplied remain payable.

SERVED signs a written agreement imposing substantially the same data-protection duties on the Subprocessor and remains responsible under Article 28(4) GDPR.

Payment Providers directly contracted by the Venue are not SERVED Subprocessors where they act for the Venue as independent controller or processor. If SERVED discloses to them as part of its processor service, the relevant scope appears on the List.

8. International transfers

Main Supabase and Upstash resources are configured in the EU, but global support, hosting/CDN, email, maps, search, analytics, payments, AI and further providers may involve transfer or remote access outside the EEA.

SERVED ensures a Chapter V GDPR mechanism: an adequacy decision, the EU–US Data Privacy Framework only for a currently certified recipient and scope, or Decision 2021/914 Standard Contractual Clauses with a transfer assessment and supplementary measures where required.

Where SERVED exports to a Subprocessor, the appropriate SCC module applies. If SCCs are needed for a direct Controller–SERVED transfer, the parties incorporate Module 2 or 3 according to roles; governing law is that of an EU state allowing data subjects to enforce rights as stated in the transfer form, and the Clause 13 authority applies.

On request SERVED supplies a copy of safeguards with protected or security information redacted.

If a mechanism becomes invalid, the parties cooperate on an alternative. SERVED may suspend the affected transfer or feature if no lawful solution exists.

9. Government requests

SERVED assesses a binding access request, limits disclosure to what is required and, where lawful, informs the Controller before disclosure.

Where reasonable and permitted, SERVED redirects the authority to the Controller, challenges an unsupported request and documents the response. It does not voluntarily disclose Controller Personal Data to a third-country authority without a valid duty.

SERVED publishes or supplies Data Act information about infrastructure jurisdiction and safeguards against unlawful third-country government access, including for non-personal EU data.

10. Data-subject rights

Taking account of the processing, SERVED assists the Controller through appropriate technical and organisational measures with Chapter III GDPR requests.

If SERVED receives a request concerning Controller Personal Data, it promptly forwards it and does not answer substantively unless authorised or legally required.

Search, export, correction and deletion features are standard assistance. Additional unusual help may be charged only to a reasonable lawful extent and after advance agreement.

11. Compliance assistance

Taking account of the processing and information available, SERVED assists with Articles 32–36 GDPR, including security, incidents, DPIAs and supervisory consultation information.

SERVED supplies available risk-assessment material but does not replace the Controller's legal assessment or assume responsibility for the Venue's purpose and basis.

The Controller informs SERVED before high-risk processing, large-scale special categories, systematic monitoring or significant automated decisions. Such use may require a separate agreement or be refused.

12. Personal Data Incidents

SERVED notifies the Controller of a confirmed Personal Data Incident without undue delay and, where practicable, within 48 hours after awareness. This operational target does not extend the Controller's statutory time.

As available, notice includes the nature, categories and approximate numbers of people and records, likely consequences, measures taken or planned, contact and information needed for reporting. Information may arrive in stages.

Notice is not an admission of liability. SERVED contains the incident, preserves evidence, investigates the cause and assists statutory notification to authorities or people.

The Controller decides and makes reports for its data, including the Article 33 GDPR deadline to notify within 72 hours. SERVED handles reports where it is controller.

The Controller will not publish information that increases risk or compromises an investigation without prior consultation unless law requires immediate publication.

13. Return, export and deletion

During the agreement, the Controller can use export features. At least one standard export and a standard switching export are free. Formats are CSV or JSON as appropriate plus original uploaded files.

After termination, active data remains retrievable for at least 30 days, unless the Controller orders earlier deletion or law prohibits continued access.

After retrieval, SERVED deletes or anonymises active Controller Personal Data. Backups expire through normal rotation within 90 days, remain isolated, are not used operationally and stay protected until deletion.

SERVED may retain limited data where law requires or a particular claim makes it necessary. It isolates the data, limits purpose and deletes it when the basis ends.

On request SERVED confirms standard deletion. It need not compromise backup integrity where data is excluded from use and deleted through rotation.

14. Information and audit

SERVED supplies information needed to demonstrate Article 28 GDPR compliance, including this DPA, control descriptions, the Subprocessor List and available independent reports or certifications, subject to confidentiality.

Documentation, a questionnaire and third-party report are used first. If insufficient for a justified assessment, the Controller may once per 12 months appoint an independent audit concerning its data on 30 days' notice, during business hours and without harming security or other customers' confidentiality.

Frequency limits do not apply after a material incident affecting the Controller, on authority request or where objective evidence indicates a material breach.

The Controller pays audit costs unless it identifies SERVED's material DPA breach; SERVED then bears reasonable remediation costs and reimburses a reasonable audit cost to the extent the agreement and law provide.

The auditor cannot be a SERVED competitor and must sign confidentiality. It receives no other customer's data, source code, risk-increasing information or production access where equivalent evidence is available without it.

15. AI and purpose limitations

Anthropic may be a Subprocessor only for a Controller-enabled AI feature within the List. Standard API retention may be up to 30 days unless shorter terms apply.

SERVED applies filters and minimisation instructions. The Controller does not send AI raw Guest or staff data, Article 9 or 10 GDPR data, or child data unless the parties make a separate lawful arrangement, which the standard service does not offer.

Customer data is not intended for model training. Voluntary sharing/feedback remains off.

Output requires a human. The Controller does not use the Platform for a solely automated significant decision in employment, admission, safety, health or law.

16. Liability

Each party is responsible for its own Data Protection Law duties. Nothing limits an Article 82 GDPR data-subject right or a supervisory authority's powers.

Between the parties, DPA claims are subject to the Venue Terms' liability limits except where a limit is prohibited, for intentional harm, fraud or liability directly imposed by law.

If a party pays full compensation for damage for which both are responsible, recourse follows Article 82(5) GDPR and each party's share of responsibility.

17. Term and contact

This DPA continues while SERVED processes Controller Personal Data. Confidentiality, deletion, audit, transfer and liability terms survive according to purpose.

Operational and rights contact: test3@example.com. Venue incident reports: test3@example.com marked “URGENT — INCIDENT”.

Governing law and court follow the Venue Terms, subject to GDPR and SCC authority and jurisdiction rules.

The Polish DPA controls.

Annex 1 — processing description

A. Subject matter and purpose

Supply of the hosted Venue Platform: reservations, prepayments, tickets, CRM, communications, campaigns, customer service, staff schedules and training, chats, files, documents, Venue analytics, payment integration and optional identifiable review management.

B. Nature of operations

Collection, recording, organisation, structuring, storage, viewing, retrieval, matching, transmission, restriction, export, correction, deletion and reporting under Controller configuration. No data sale and no SERVED own marketing using Controller Personal Data.

C. Duration

For the agreement; reservation and ticket data default to 24 months after visit/event unless lawfully configured otherwise; 30 days' retrieval after termination; backups up to 90 days; limited legal or claim exceptions.

D. Data-subject categories

Guests, buyers, participants and people in a reservation;

people contacting the Venue or complaining;

prospective and current Venue customers in a lawful campaign;

Venue employees, contractors, applicants or users only where the Venue lawfully uses the relevant feature;

representatives of Venue suppliers and partners;

authors of identifiable reviews in the separate review-management inbox.

E. Personal-data categories

identifiers and contact: name, email, phone, ID;

reservation and ticket: service, date, location, participant, seat, code, admission status;

transaction: amount, currency, Payment Provider status and ID, refund or chargeback information, without full card details;

communication, preferences, consents, objections, complaints, notes and responses;

staff account, role, permission, schedule, activity, training result and chat;

files, documents and content supplied by the Controller;

user-linked technical data: IP, time, login, device and audit event;

full review content and public reviewer data only in the separate management feature on Venue instruction;

potential special categories disclosed in an optional allergy, dietary or accessibility field, only with an Article 9 condition determined by the Controller.

F. Frequency and scale

Continuous while used, at a scale determined by users, Guests, reservations, campaigns and Order Form features.

Annex 2 — technical and organisational measures

Controls are risk-based and may evolve without materially reducing overall protection.

Security governance: assigned roles, policies, risk assessment, periodic review and an exception process.

Personnel: confidentiality, security and privacy training, access grant and revocation.

Identity and access: individual accounts, roles, least privilege, MFA for privileged access where available, periodic review and administrative logging.

Transmission and storage: TLS in transit; provider-supported at-rest encryption; secure secret management; no full card details in SERVED systems.

Isolation and minimisation: logical organisation separation, query/resource controls, field and payload minimisation, test/production separation.

Secure development and change: code review, dependency control, configuration management, pre-release testing and rollback.

Vulnerabilities: updates, scanning or equivalent detection, risk ranking and remediation, security-reporting channel.

Logs and monitoring: authentication, privileged-access and material-event logging; log protection, alerts and Privacy Policy retention.

Availability and recovery: backups, rotation, risk-appropriate restore tests, outage and continuity procedures.

Incidents: escalation, classification, containment, evidence preservation, cause analysis, communication and remediation.

Subprocessors: privacy/security review, Article 28 contract, transfers, list, notice and periodic review.

Deletion and export: export functions; active-data deletion; isolated backups until rotation; cloud-provider media disposal.

Physical security: production data centres and hardware are protected by contracted cloud providers; SERVED evaluates their reports and terms rather than operating its own data centre.

AI: use-case allowlist, minimisation, ban on special-category/raw identifiers, commercial API, training/feedback off and mandatory human review.