Споразумение за обработка на данни

1. Определения

• Администратор — ресторантът партньор (Потребител), който определя целите и средствата за обработване на личните данни на своите крайни клиенти чрез платформата FoxiFood.
• Обработващ — Elite Digital Services, LLC, който обработва лични данни от името на Администратора с цел предоставяне на услугите на платформата FoxiFood. Обработващият е единственият оператор на платформата FoxiFood и може да ангажира оторизирани подизпълнители (подобработващи) в различни юрисдикции за изпълнение на конкретни технически задачи, както е посочено в Раздел 5 от това DPA.
• Субект на данни — физическото лице, чиито лични данни се обработват (обикновено крайният клиент, който прави поръчка за храна).
• Лични данни — всяка информация, свързана с идентифицирано или подлежащо на идентификация физическо лице, съгласно определението в член 4, параграф 1 от GDPR.
• Обработка — всяка операция, извършвана с лични данни, включително събиране, съхранение, използване, предаване и изтриване.
• Подизпълнител — трета страна, ангажирана от Обработващия да обработва лични данни от името на Администратора.

2. Обхват и цел на обработката

2.1. Предмет

Обработващият обработва лични данни от името на Администратора с цел предоставяне на платформата за ресторантски поръчки FoxiFood, включително хостване на уебсайта за поръчки на Администратора, обработване на клиентски поръчки, управление на клиентски акаунти, улесняване на платежни транзакции и поддържане на споделената инфраструктура за идентичност на клиентите FOXI ID, която позволява на крайните клиенти да използват един акаунт в множество уебсайтове за ресторантски поръчки в платформата.

2.2. Продължителност

Обработването на лични данни съгласно това DPA продължава за срока на Договора между Администратора и Обработващия. При прекратяване данните се обработват в съответствие с Раздел 8 от това DPA.

2.3. Характер и цел

Естеството и целта на обработването е да се предостави платформа от типа софтуер като услуга (SaaS), която позволява на Администратора да получава онлайн поръчки за храна от своите клиенти, да управлява поръчки и да обработва плащания.

Обработващият не определя целите на обработването на данните за поръчките на крайните клиенти. Обработващият предоставя само техническата инфраструктура, използвана от Администратора за събиране и обработване на такива данни.

Изключение — данни за акаунт FOXI ID: За целите на поддържането на споделената инфраструктура за идентичност на клиентите FOXI ID, Elite Digital Services, LLC действа като независим администратор на данни по отношение на данните за акаунт FOXI ID (идентификационни данни за вход, сесии за удостоверяване и информация за контакт, използвана за предварително попълване между ресторантите). Тези данни не се обработват съгласно това DPA, а съгласно собствената Политика за поверителност на Доставчика. Правата и задълженията на Администратора в качеството му на администратор на данни съгласно това DPA се прилагат към данните за поръчките, предпочитанията на клиентите и историята на поръчките, генерирани чрез уебсайта за поръчки на Администратора.

2.4. Категории субекти на данни

• крайни клиенти на ресторанта партньор (физически лица, които правят поръчки за храна);
• служители или представители на ресторанта партньор с достъп до административния панел.

2.5. Видове лични данни

• Данни за контакт: име, имейл адрес, телефонен номер;
• Адрес за доставка (когато е приложимо);
• данни за поръчки: поръчани продукти, суми на поръчките, история на поръчките, хранителни предпочитания;
• платежни референции: идентификатори на транзакции, статус на плащане (данните за картите се обработват изключително от платежния процесор и не се съхраняват от Обработващия);
• технически данни: IP адрес, информация за устройството, данни за браузъра (за предотвратяване на измами и функциониране на услугата);
• данни за акаунт FOXI ID: идентификационни данни за вход (имейл и хеширана парола), токени за сесия за удостоверяване.

2.6. Изолиране на данни и FOXI ID

Платформата поддържа споделена инфраструктура за идентичност на клиентите („FOXI ID“), която позволява на крайните клиенти да използват един акаунт в множество уебсайтове за ресторантски поръчки. Прилагат се следните принципи за изолация на данните:

• всеки Администратор има достъп само до данните за поръчки, предпочитанията на клиентите и историята на поръчките, генерирани чрез собствения му уебсайт за поръчки;
• никой Администратор няма достъп до данните за поръчки, предпочитанията или историята на поръчките на крайни клиенти в който и да е друг ресторант в платформата;
• Единствените данни, споделяни между Администраторите чрез FOXI ID, са информацията за контакт на крайния клиент (име, имейл, телефонен номер, адрес за доставка), единствено с цел предварително попълване на формуляра за поръчка, за да се улесни процесът на поръчване;
• Обработващият не предоставя на нито един Администратор обобщени, анонимизирани или междуресторантски данни, получени от FOXI ID.

3. Задължения на обработващия

Обработващият данни е длъжен:

• обработва лични данни само въз основа на документирани инструкции от Администратора, включително по отношение на предаването на данни към трети държави, освен ако приложимото право не изисква друго;
• гарантира, че лицата, оправомощени да обработват личните данни, са поели задължение за поверителност или са обвързани с подходящо законово задължение за поверителност;
• прилага подходящи технически и организационни мерки, за да осигури ниво на сигурност, съответстващо на риска, както се изисква съгласно член 32 от GDPR;
• не ангажира друг обработващ (подобработващ) без предварително писмено разрешение от Администратора, при спазване на Раздел 5 от това DPA;
• съдейства на Администратора при отговор на искания на субекти на данни (достъп, коригиране, изтриване, ограничаване, преносимост, възражение) в сроковете, изисквани от GDPR;
• съдейства на Администратора за осигуряване на съответствие със задълженията, свързани с оценките на въздействието върху защитата на данните и предварителната консултация с надзорните органи (членове 35 и 36 от GDPR);
• по избор на Администратора изтрива или връща всички лични данни след приключване на предоставянето на услугите и изтрива съществуващите копия, освен ако правото на ЕС или на държава членка не изисква тяхното съхранение;
• предоставя на Администратора цялата информация, необходима за доказване на съответствие със задълженията, предвидени в член 28 от GDPR, и позволява и допринася за извършването на одити и проверки;
• поддържа Записи на дейностите по обработване, извършвани от името на Администратора, в съответствие с член 30, параграф 2 от GDPR;
• прилага защита на данните на етапа на проектирането и по подразбиране в съответствие с член 25 от GDPR, като гарантира, че се обработват само личните данни, необходими за всяка конкретна цел на обработването.

4. Мерки за сигурност

Обработващият прилага следните технически и организационни мерки за защита на личните данни:

• Криптиране на данните при пренос чрез TLS 1.2+ / SSL;
• Криптиране на чувствителни данни в покой;
• контрол на достъпа с разрешения, базирани на роли, и многофакторно удостоверяване за административен достъп;
• Редовни автоматизирани резервни копия с минимално съхранение от 30 дни;
• сигурна облачна хостинг инфраструктура с контрол на физическия достъп (DigitalOcean);
• Редовни актуализации за сигурност, корекции и оценки на уязвимости;
• обработването на плащания е делегирано на платежен процесор, сертифициран по PCI DSS Ниво 1 — Обработващият не съхранява данни за карти;
• Хеширане на пароли чрез стандартни криптографски алгоритми;
• Регистриране и наблюдение на достъпа до лични данни;
• Процедури за реакция при инциденти и уведомяване при нарушения на данните.

5. Подобработващи данни

5.1. Оторизирани подобработващи данни

С настоящото Администраторът предоставя общо разрешение на Обработващия да ангажира следните подобработващи:

• Обработващ плащания (понастоящем Stripe, Inc.) — обработване на плащания, предотвратяване на измами (САЩ, PCI DSS Ниво 1, налични стандартни договорни клаузи);
• DigitalOcean, LLC — облачен хостинг и инфраструктура (центрове за данни в ЕС и САЩ, налични стандартни договорни клаузи);
• Brevo (Sendinblue) — доставка на транзакционни имейли (Франция/ЕС).

5.2. Промени в подобработващите данни

Обработващият ще уведоми Администратора за всякакви планирани промени, свързани с добавянето или замяната на подобработващи, най-малко 30 дни предварително, като предостави на Администратора възможност да възрази срещу такива промени. Ако Администраторът възрази на разумни основания, страните ще обсъдят опасенията добросъвестно. Ако не бъде постигнато решение, Администраторът може да прекрати Договора.

5.3. Задължения на подобработващите данни

Обработващият гарантира, че всеки подобработващ е обвързан със задължения за защита на данните, които не са по-малко защитни от посочените в това DPA. Обработващият остава изцяло отговорен пред Администратора за изпълнението на задълженията на всеки подобработващ.

6. Права на субектите на данни

Обработващият данни е длъжен:

• уведомява незабавно Администратора, ако получи искане директно от субект на данни относно неговите лични данни;
• не отговаря пряко на такива искания, освен ако не е оправомощен от Администратора или ако това не се изисква от закона;
• предоставя на Администратора разумно съдействие при изпълнението на исканията на субектите на данни, включително технически мерки за достъп, коригиране, изтриване, ограничаване и преносимост на данните;
• предоставя инструменти в рамките на Услугата, които позволяват на Администратора самостоятелно да управлява, експортира и изтрива клиентски данни.

7. Оценки на въздействието върху защитата на данните

Когато даден вид обработване е вероятно да доведе до висок риск за правата и свободите на физическите лица (член 35 от GDPR), Администраторът отговаря за извършването на оценка на въздействието върху защитата на данните (ОВЗД). Обработващият:

• предоставя на Администратора цялата информация, разумно необходима за извършване на ОВЗД;
• съдейства на Администратора при ОВЗД при разумно поискване, за сметка на Администратора;
• съдейства на Администратора при предварителната консултация с надзорния орган, когато това се изисква съгласно член 36 от GDPR.

Администраторът трябва предварително да уведоми Обработващия, ако дадена ОВЗД сочи, че обработването би довело до висок риск при липсата на мерки, предприети от Обработващия.

8. Уведомяване при нарушение на данните

При нарушение на личните данни обработващият данни е длъжен:

• уведомява Администратора без неоправдано забавяне и във всеки случай в рамките на 24 часа, след като узнае за нарушението, за да даде възможност на Администратора да изпълни своето задължение за уведомяване на надзорния орган в срок от 72 часа съгласно член 33 от GDPR;
• предоставя на Администратора достатъчно информация, за да му даде възможност да изпълни задължението си да уведоми надзорния орган и засегнатите субекти на данни съгласно членове 33 и 34 от GDPR;
• сътрудничи с Администратора и предприема разумни стъпки за намаляване на последиците от нарушението;
• документира нарушението, включително неговите последици и предприетите коригиращи действия.

Уведомлението за нарушение включва, доколкото е налично: естеството на нарушението, категориите и приблизителния брой засегнати субекти на данни, вероятните последици и предприетите или предложените мерки за справяне с нарушението.

9. Съхранение и изтриване на данни

9.1. Отговорност на администратора за съхранение

Администраторът, в качеството си на администратор на данни по отношение на данните за поръчките на своите крайни клиенти, носи цялата отговорност за определянето на подходящи срокове за съхранение на данните и за спазването на всички приложими правни, данъчни и счетоводни задължения за съхранение на данни в юрисдикцията на Администратора. Съхранението на данните за акаунт FOXI ID се управлява от Обработващия в качеството му на независим администратор на данни, както е описано в Политиката за поверителност на Доставчика.

Услугата може да предоставя конфигурируеми настройки за съхранение на данни, които позволяват на Администратора да задава автоматични срокове за изтриване на данните на крайните клиенти. Обработващият обработва и изтрива данните на крайните клиенти строго в съответствие с документираните инструкции на Администратора, включително настройките за съхранение, конфигурирани от Администратора в платформата. Обработващият не носи отговорност за избора на Администратора на срокове за съхранение, нито за каквито и да е правни последици, произтичащи от съхраняването или изтриването на данни в съответствие с инструкциите на Администратора.

9.2. Прекратяване

• При прекратяване на Договора Обработващият предоставя на Администратора 30 календарни дни за експортиране на всички лични данни чрез функциите за експорт на Услугата;
• След изтичането на 30-дневния период Обработващият изтрива всички лични данни, обработвани от името на Администратора, освен ако приложимото право не изисква тяхното съхранение;
• Изтриването се извършва чрез сигурни методи, които правят данните невъзстановими;
• Обработващият предоставя писмено потвърждение за изтриването на данните по искане на Администратора;
• Резервните копия се изтриват в съответствие с обичайния график за ротация на резервните копия (в рамките на 30 дни от искането за изтриване).

10. Международни трансфери на данни

Когато лични данни се предават извън Европейското икономическо пространство (ЕИП), Обработващият гарантира, че са налице подходящи гаранции, както се изисква съгласно Глава V от GDPR, включително:

• Стандартни договорни клаузи (СДК), приети от Европейската комисия съгласно Решение за изпълнение (ЕС) 2021/914 от 4 юни 2021 г. За предаване на данни към подобработващи се прилагат СДК по Модул Две (администратор към обработващ) или Модул Три (обработващ към обработващ), според приложимото;
• оценки на въздействието на предаването за всеки подобработващ с цел оценка на правната рамка на държавата получател;
• допълнителни мерки за осигуряване на адекватна защита на личните данни, когато оценката на въздействието на предаването установи рискове.

Обработващият информира Администратора за всякакви правни изисквания в държавата получател, които може да повлияят на защитата на личните данни и на възможността за спазване на това DPA. Копия от подписаните СДК са на разположение при поискване.

11. Одити и проверки

Обработващият предоставя на Администратора цялата информация, разумно необходима за доказване на съответствие с член 28 от GDPR. Администраторът може да извършва одити, включително проверки, пряко или чрез независим външен одитор, при спазване на:

• Разумно предварително уведомяване от поне 30 календарни дни;
• одитите се извършват в обичайното работно време и по начин, който свежда до минимум смущенията;
• Одиторът да бъде обвързан от задължения за поверителност;
• не повече от един одит на период от 12 месеца, освен ако това не се изисква от надзорен орган.

12. Отговорност

Отговорността на всяка от страните съгласно това DPA е подчинена на ограниченията и изключенията на отговорността, посочени в Общите условия за ползване. Нищо в това DPA не ограничава отговорността на която и да е от страните за нарушения на GDPR, доколкото такова ограничение не е разрешено от приложимото право.

13. Представител в ЕС

В съответствие с член 27 от GDPR Обработващият е назначил следното дружество за свой представител в Европейския съюз:

Euro business company Kft.
Rómer Flóris utca 8/B. 3. em., Budapest 1024, Hungary
Данъчен номер: HU28959364

За пълна информация относно представителя в ЕС и неговата роля вижте страницата за GDPR в раздел „Правна информация“ на уебсайта на FoxiFood.

14. Контакт

За въпроси относно това Споразумение за обработване на данни или относно въпроси, свързани с обработването на данни, свържете се с нас на: support@foxi.food

Elite Digital Services, LLC
1111B S Governors Ave #21653
Dover, DE 19904, USA