Smlouva o zpracování údajů

1. Definice

• Správce údajů — restaurační partner (Uživatel), který určuje účely a prostředky zpracování osobních údajů svých koncových zákazníků prostřednictvím platformy FoxiFood.
• Zpracovatel — Elite Digital Services, LLC, která zpracovává osobní údaje jménem Správce za účelem poskytování služeb platformy FoxiFood. Zpracovatel je jediným provozovatelem platformy FoxiFood a může pověřit oprávněné dílčí zpracovatele v různých jurisdikcích plněním konkrétních technických úkolů, jak je stanoveno v oddílu 5 této DPA.
• Subjekt údajů — fyzická osoba, jejíž osobní údaje jsou zpracovávány (typicky koncový zákazník zadávající objednávku jídla).
• Osobní údaje — veškeré informace vztahující se k identifikované nebo identifikovatelné fyzické osobě ve smyslu článku 4 odst. 1 GDPR.
• Zpracování — jakákoli operace prováděná s osobními údaji, včetně shromažďování, ukládání, používání, předávání a mazání.
• Dílčí zpracovatel — třetí strana pověřená Zpracovatelem zpracováním osobních údajů jménem Správce.

2. Rozsah a účel zpracování

2.1. Předmět

The Processor processes personal data on behalf of the Controller for the purpose of providing the FoxiFood restaurant ordering platform, including hosting the Controller's ordering website, processing customer orders, managing customer accounts, facilitating payment transactions, and operating the FOXI ID shared customer identity infrastructure that enables end customers to use a single account across multiple restaurant ordering websites on the platform.

2.2. Doba trvání

Zpracování osobních údajů podle této SZÚ trvá po dobu platnosti Smlouvy mezi Správcem a Zpracovatelem. Po ukončení Smlouvy se s údaji nakládá v souladu s oddílem 8 této SZÚ.

2.3. Povaha a účel

Povahou a účelem zpracování je poskytování platformy typu software jako služba (SaaS), která Správci umožňuje přijímat online objednávky jídel od svých zákazníků, spravovat objednávky a zpracovávat platby.

The Processor does not determine the purposes of processing of end customer order data. The Processor provides only the technical infrastructure used by the Controller to collect and process such data.

Výjimka — data účtu FOXI ID: Za účelem provozování sdílené infrastruktury zákaznické identity FOXI ID vystupuje Elite Digital Services, LLC jako nezávislý správce údajů pro data účtu FOXI ID (přihlašovací údaje, autentizační relace a kontaktní údaje používané pro předvyplnění napříč restauracemi). Tato data nejsou zpracovávána na základě této Smlouvy o zpracování údajů, ale na základě vlastních Zásad ochrany osobních údajů Poskytovatele. Práva a povinnosti Správce jako správce údajů podle této Smlouvy o zpracování údajů se vztahují na data objednávek, preference zákazníků a historii objednávek generovanou prostřednictvím objednávkového webu Správce.

2.4. Kategorie subjektů údajů

• Koncoví zákazníci restauračního partnera (fyzické osoby zadávající objednávky jídel);
• Zaměstnanci nebo zástupci restauračního partnera s přístupem do administračního panelu.

2.5. Druhy osobních údajů

• Kontaktní údaje: jméno, e-mailová adresa, telefonní číslo;
• Doručovací adresa (je-li to relevantní);
• Údaje o objednávkách: objednané položky, částky objednávek, historie objednávek, stravovací preference;
• Payment references: transaction IDs, payment status (card details are handled exclusively by the payment processor and not stored by the Processor);
• Technical data: IP address, device information, browser data (for fraud prevention and service operation);
• Data účtu FOXI ID: přihlašovací údaje (e-mail a hashované heslo), tokeny autentizačních relací.

2.6. Izolace dat a FOXI ID

Platforma provozuje sdílenou infrastrukturu zákaznické identity („FOXI ID“), která umožňuje koncovým zákazníkům používat jeden účet napříč více objednávkovými weby restaurací. Platí následující zásady izolace dat:

• Každý Správce má přístup pouze k datům objednávek, preferencím zákazníků a historii objednávek generovaným prostřednictvím svého vlastního objednávkového webu;
• Žádný Správce nemá přístup k datům objednávek, preferencím ani historii objednávek koncových zákazníků u jakékoli jiné restaurace na platformě;
• Jediná data sdílená mezi Správci prostřednictvím FOXI ID jsou kontaktní údaje koncového zákazníka (jméno, e-mail, telefonní číslo, doručovací adresa), a to výhradně za účelem předvyplnění objednávkového formuláře pro usnadnění procesu objednávání;
• Zpracovatel neposkytuje žádnému Správci agregovaná, anonymizovaná ani data napříč restauracemi odvozená z FOXI ID.

3. Povinnosti Zpracovatele

Zpracovatel je povinen:

• Zpracovávat osobní údaje pouze na základě doložených pokynů Správce, včetně pokynů týkajících se předávání údajů do třetích zemí, ledaže je ke zpracování povinen na základě příslušných právních předpisů;
• Zajistit, aby osoby oprávněné zpracovávat osobní údaje se zavázaly k mlčenlivosti nebo podléhaly příslušné zákonné povinnosti mlčenlivosti;
• Přijmout vhodná technická a organizační opatření k zajištění úrovně zabezpečení odpovídající danému riziku, jak vyžaduje článek 32 GDPR;
• Nezapojit dalšího zpracovatele (dílčího zpracovatele) bez předchozího písemného souhlasu Správce, s výhradou oddílu 5 této SZÚ;
• Napomáhat Správci při vyřizování žádostí subjektů údajů (přístup, oprava, výmaz, omezení zpracování, přenositelnost, námitka) ve lhůtách stanovených GDPR;
• Napomáhat Správci při plnění povinností souvisejících s posouzením vlivu na ochranu osobních údajů a s předchozí konzultací s dozorovými orgány (články 35 a 36 GDPR);
• Na základě rozhodnutí Správce smazat nebo vrátit veškeré osobní údaje po ukončení poskytování služeb a vymazat existující kopie, pokud právo EU nebo členského státu nevyžaduje jejich uchovávání;
• Poskytnout Správci veškeré informace nezbytné k prokázání souladu s povinnostmi stanovenými v článku 28 GDPR a umožnit a napomáhat provádění auditů a inspekcí;
• Vést záznamy o činnostech zpracování prováděných jménem Správce v souladu s článkem 30 odst. 2 GDPR;
• Uplatňovat ochranu údajů již od návrhu a ve výchozím nastavení v souladu s článkem 25 GDPR a zajistit, aby byly zpracovávány pouze osobní údaje nezbytné pro každý konkrétní účel zpracování.

4. Bezpečnostní opatření

Zpracovatel přijímá následující technická a organizační opatření na ochranu osobních údajů:

• Šifrování dat při přenosu pomocí TLS 1.2+ / SSL;
• Šifrování citlivých dat v úložišti;
• Řízení přístupu s oprávněními na základě rolí a vícefaktorovým ověřováním pro administrátorský přístup;
• Pravidelné automatické zálohy s minimální dobou uchování 30 dní;
• Zabezpečená cloudová hostingová infrastruktura s fyzickým řízením přístupu (DigitalOcean);
• Pravidelné bezpečnostní aktualizace, záplaty a hodnocení zranitelností;Pravidelné bezpečnostní aktualizace, záplaty a hodnocení zranitelností;
• Payment processing delegated to a PCI DSS Level 1 certified payment processor — no card data stored by the Processor;
• Hashování hesel pomocí kryptografických algoritmů odpovídajících průmyslovým standardům;Hashování hesel pomocí kryptografických algoritmů odpovídajících oborovým standardům;
• Protokolování a monitoring přístupu k osobním údajům;
• Postupy pro reakci na incidenty a oznamování narušení dat.Postupy pro reakci na incidenty a oznámení o narušení bezpečnosti údajů.

5. Dílčí zpracovatelé

5.1. Schválení dílčí zpracovatelé

Správce tímto uděluje obecný souhlas s tím, aby Zpracovatel zapojil následující dílčí zpracovatele:

• Platební procesor (v současnosti Stripe, Inc.) — zpracování plateb, prevence podvodů (USA, PCI DSS Level 1, zavedeny standardní smluvní doložky);
• DigitalOcean, LLC — cloudový hosting a infrastruktura (datová centra v EU a USA, zavedeny standardní smluvní doložky);
• Brevo (Sendinblue) — doručování transakčních e-mailů (Francie/EU).

5.2. Změny dílčích zpracovatelů

Zpracovatel informuje Správce o jakýchkoli zamýšlených změnách týkajících se přidání nebo nahrazení dílčích zpracovatelů nejméně 30 dní předem a poskytne Správci možnost proti takovým změnám vznést námitku. Pokud Správce oprávněně vznese námitku, strany projednají své výhrady v dobré víře. Pokud nedojde k vyřešení, může Správce Smlouvu vypovědět.

5.3. Povinnosti dílčích zpracovatelů

Zpracovatel zajistí, aby každý dílčí zpracovatel byl vázán povinnostmi ochrany údajů, které nejsou méně přísné než povinnosti stanovené v této SZÚ. Zpracovatel zůstává vůči Správci plně odpovědný za plnění povinností každého dílčího zpracovatele.

6. Práva subjektů údajů

Zpracovatel je povinen:

• Neprodleně informovat Správce, pokud obdrží žádost přímo od subjektu údajů týkající se jeho osobních údajů;
• Na takové žádosti přímo neodpovídat, pokud k tomu není oprávněn Správcem nebo to nevyžaduje zákon;
• Poskytnout Správci přiměřenou součinnost při plnění žádostí subjektů údajů, včetně technických opatření pro přístup k údajům, jejich opravu, výmaz, omezení zpracování a přenositelnost;
• Poskytovat v rámci Služby nástroje, které Správci umožňují samostatně spravovat, exportovat a mazat zákaznická data.

7. Posouzení vlivu na ochranu osobních údajů

Pokud je pravděpodobné, že určitý druh zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob (článek 35 GDPR), je Správce odpovědný za provedení posouzení vlivu na ochranu osobních údajů (DPIA). Zpracovatel je povinen:

• poskytnout Správci veškeré informace přiměřeně nezbytné k provedení DPIA;
• napomáhat Správci s provedením DPIA na základě přiměřené žádosti, na náklady Správce;
• napomáhat Správci při předchozí konzultaci s dozorovým orgánem, pokud to vyžaduje článek 36 GDPR.

Správce musí Zpracovatele předem informovat, pokud DPIA naznačí, že zpracování by vedlo k vysokému riziku bez přijetí opatření ze strany Zpracovatele.

8. Oznámení o narušení bezpečnosti údajů

V případě narušení bezpečnosti osobních údajů je Zpracovatel povinen:

• Oznámit Správci bez zbytečného odkladu, a v každém případě do 24 hodin od zjištění narušení, aby Správce mohl splnit svou 72hodinovou oznamovací povinnost vůči dozorovému orgánu podle článku 33 GDPR;
• Poskytnout Správci dostatečné informace umožňující mu splnit povinnost oznámit narušení dozorovému orgánu a dotčeným subjektům údajů podle článků 33 a 34 GDPR;
• Spolupracovat se Správcem a přijmout přiměřená opatření ke zmírnění následků narušení;
• Zdokumentovat narušení včetně jeho následků a přijatých nápravných opatření.

Oznámení o narušení musí v dostupném rozsahu obsahovat: povahu narušení, kategorie a přibližný počet dotčených subjektů údajů, pravděpodobné důsledky a opatření přijatá nebo navrhovaná k řešení narušení.

9. Uchovávání a mazání údajů

9.1. Odpovědnost Správce za uchovávání údajů

The Controller, as the data controller for order data of its end customers, is solely responsible for determining appropriate data retention periods and for compliance with all applicable legal, tax, and accounting data retention obligations in the Controller's jurisdiction. FOXI ID account data retention is managed by the Processor in its capacity as independent data controller, as described in the Provider's Privacy Policy.

Služba může poskytovat konfigurovatelná nastavení uchovávání údajů, která Správci umožňují nastavit dobu automatického mazání údajů koncových zákazníků. Zpracovatel zpracovává a maže údaje koncových zákazníků výhradně v souladu s dokumentovanými pokyny Správce, včetně nastavení uchovávání nakonfigurovaných Správcem v rámci platformy. Zpracovatel nenese odpovědnost za volbu dob uchovávání Správcem ani za jakékoli právní důsledky vyplývající z uchovávání nebo mazání údajů v souladu s pokyny Správce.

9.2. Ukončení

• Po ukončení Smlouvy Zpracovatel poskytne Správci 30 kalendářních dní na export veškerých osobních údajů prostřednictvím exportních funkcí Služby;
• Po uplynutí 30denní lhůty Zpracovatel smaže veškeré osobní údaje zpracovávané jménem Správce, pokud příslušné právní předpisy nevyžadují jejich uchovávání;
• Mazání bude provedeno bezpečnými metodami, které znemožňují obnovení údajů;
• Zpracovatel na požádání Správce poskytne písemné potvrzení o smazání údajů;
• Záložní kopie budou smazány v souladu s pravidelným cyklem rotace záloh (do 30 dnů od žádosti o smazání).

10. Mezinárodní předávání údajů

Pokud jsou osobní údaje předávány mimo Evropský hospodářský prostor (EHP), Zpracovatel zajistí zavedení odpovídajících záruk v souladu s kapitolou V GDPR, včetně:

• Standardních smluvních doložek (SCC) přijatých Evropskou komisí na základě prováděcího rozhodnutí (EU) 2021/914 ze dne 4. června 2021. Pro předávání dílčím zpracovatelům se použijí SCC podle Modulu dva (správce-zpracovatel) nebo Modulu tři (zpracovatel-zpracovatel), podle okolností;
• Posouzení dopadu předání pro každého dílčího zpracovatele za účelem vyhodnocení právního rámce cílové země;
• Doplňkových opatření k zajištění odpovídající ochrany osobních údajů v případech, kdy Posouzení dopadu předání identifikuje rizika.

Zpracovatel informuje Správce o jakýchkoli právních požadavcích v cílové zemi, které mohou ovlivnit ochranu osobních údajů a schopnost plnit tuto SZÚ. Kopie podepsaných SCC jsou k dispozici na vyžádání.

11. Audity a kontroly

Zpracovatel poskytne Správci veškeré informace přiměřeně nezbytné k prokázání souladu s článkem 28 GDPR. Správce může provádět audity, včetně inspekcí, přímo nebo prostřednictvím nezávislého externího auditora, za následujících podmínek:

• Přiměřené předchozí oznámení v délce nejméně 30 kalendářních dnů;
• Audity prováděné v běžné pracovní době a způsobem, který minimalizuje narušení provozu;
• Auditor je vázán povinností mlčenlivosti;
• Nejvýše jeden audit za období 12 měsíců, pokud to nevyžaduje dozorový orgán.

12. Odpovědnost

Odpovědnost každé ze stran podle této SZÚ podléhá omezením a výlukám odpovědnosti stanoveným v Obchodních podmínkách. Nic v této SZÚ neomezuje odpovědnost žádné ze stran za porušení GDPR v rozsahu, v jakém takové omezení není přípustné podle příslušných právních předpisů.

13. Zástupce v EU

V souladu s článkem 27 GDPR Zpracovatel jmenoval následující subjekt jako svého zástupce v Evropské unii:

Euro business company Kft.
Rómer Flóris utca 8/B. 3. em., Budapest 1024, Hungary
Daňové identifikační číslo: HU28959364

Úplné podrobnosti o zástupci v EU a jeho úloze naleznete na stránce GDPR v sekci Právní dokumenty na webu FoxiFood.

Kontakt

Máte-li dotazy k těmto podmínkám, kontaktujte nás na: support@foxi.food

Elite Digital Services, LLC
1111B S Governors Ave #21653
Dover, DE 19904, USA