Συμφωνία επεξεργασίας δεδομένων

1. Ορισμοί

• Υπεύθυνος Επεξεργασίας — ο συνεργάτης εστιατόριο (Χρήστης) που καθορίζει τους σκοπούς και τα μέσα επεξεργασίας προσωπικών δεδομένων των τελικών πελατών του μέσω της πλατφόρμας FoxiFood.
• Εκτελών την Επεξεργασία — Η Elite Digital Services, LLC, η οποία επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του Υπεύθυνου Επεξεργασίας προκειμένου να παρέχει τις υπηρεσίες της πλατφόρμας FoxiFood. Ο Εκτελών την Επεξεργασία είναι ο αποκλειστικός φορέας εκμετάλλευσης της πλατφόρμας FoxiFood και δύναται να αναθέσει σε εξουσιοδοτημένους υπο-εκτελούντες την επεξεργασία σε διάφορες δικαιοδοσίες τη διενέργεια συγκεκριμένων τεχνικών εργασιών, όπως ορίζεται στην Ενότητα 5 της παρούσας ΣΕΔ.
• Υποκείμενο Δεδομένων — το φυσικό πρόσωπο του οποίου τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία (τυπικά ο τελικός πελάτης που πραγματοποιεί παραγγελία φαγητού).
• Προσωπικά Δεδομένα — κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο, όπως ορίζεται στο Άρθρο 4(1) του GDPR.
• Επεξεργασία — κάθε πράξη που εκτελείται σε προσωπικά δεδομένα, συμπεριλαμβανομένης της συλλογής, αποθήκευσης, χρήσης, διαβίβασης και διαγραφής.
• Υπο-εκτελών την Επεξεργασία — τρίτο μέρος που αναθέτεται από τον Εκτελούντα την Επεξεργασία για την επεξεργασία προσωπικών δεδομένων για λογαριασμό του Υπεύθυνου Επεξεργασίας.

2. Πεδίο Εφαρμογής και Σκοπός Επεξεργασίας

2.1. Αντικείμενο

Ο Εκτελών την Επεξεργασία επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του Υπεύθυνου Επεξεργασίας με σκοπό την παροχή της πλατφόρμας παραγγελιών εστιατορίου FoxiFood, συμπεριλαμβανομένης της φιλοξενίας του ιστοτόπου παραγγελιών του Υπεύθυνου Επεξεργασίας, της επεξεργασίας παραγγελιών πελατών, της διαχείρισης λογαριασμών πελατών, της διευκόλυνσης συναλλαγών πληρωμών και της λειτουργίας της κοινής υποδομής ταυτοποίησης πελατών FOXI ID που επιτρέπει στους τελικούς πελάτες να χρησιμοποιούν έναν ενιαίο λογαριασμό σε πολλαπλούς ιστοτόπους παραγγελιών εστιατορίων στην πλατφόρμα.

2.2. Διάρκεια

Η επεξεργασία προσωπικών δεδομένων δυνάμει της παρούσας ΣΕΔ θα συνεχιστεί καθ' όλη τη διάρκεια της Συμφωνίας μεταξύ του Υπεύθυνου Επεξεργασίας και του Εκτελούντος την Επεξεργασία. Κατά τη λήξη, τα δεδομένα θα διαχειρίζονται σύμφωνα με την Ενότητα 8 της παρούσας ΣΕΔ.

2.3. Φύση και Σκοπός

Η φύση και ο σκοπός της επεξεργασίας είναι η παροχή πλατφόρμας λογισμικού ως υπηρεσίας (SaaS) που επιτρέπει στον Υπεύθυνο Επεξεργασίας να λαμβάνει ηλεκτρονικές παραγγελίες φαγητού από τους πελάτες του, να διαχειρίζεται παραγγελίες και να επεξεργάζεται πληρωμές.

Ο Εκτελών την Επεξεργασία δεν καθορίζει τους σκοπούς επεξεργασίας των δεδομένων παραγγελιών τελικών πελατών. Ο Εκτελών την Επεξεργασία παρέχει μόνο την τεχνική υποδομή που χρησιμοποιείται από τον Υπεύθυνο Επεξεργασίας για τη συλλογή και επεξεργασία τέτοιων δεδομένων.

Εξαίρεση — δεδομένα λογαριασμού FOXI ID: Για τους σκοπούς λειτουργίας της κοινής υποδομής ταυτοποίησης πελατών FOXI ID, η Elite Digital Services, LLC ενεργεί ως ανεξάρτητος υπεύθυνος επεξεργασίας δεδομένων για τα δεδομένα λογαριασμού FOXI ID (διαπιστευτήρια σύνδεσης, συνεδρίες ταυτοποίησης και στοιχεία επικοινωνίας που χρησιμοποιούνται για τη συμπλήρωση φορμών σε διαφορετικά εστιατόρια). Τα εν λόγω δεδομένα δεν υποβάλλονται σε επεξεργασία δυνάμει της παρούσας ΣΕΔ αλλά δυνάμει της Πολιτικής Απορρήτου του Παρόχου. Τα δικαιώματα και οι υποχρεώσεις του Υπεύθυνου Επεξεργασίας ως υπεύθυνου επεξεργασίας δυνάμει της παρούσας ΣΕΔ εφαρμόζονται στα δεδομένα παραγγελιών, τις προτιμήσεις πελατών και το ιστορικό παραγγελιών που δημιουργούνται μέσω του ιστοτόπου παραγγελιών του Υπεύθυνου Επεξεργασίας.

2.4. Κατηγορίες Υποκειμένων Δεδομένων

• Τελικοί πελάτες του συνεργάτη εστιατορίου (φυσικά πρόσωπα που πραγματοποιούν παραγγελίες φαγητού)·
• Υπάλληλοι ή εκπρόσωποι του συνεργάτη εστιατορίου με πρόσβαση στον πίνακα διαχείρισης.

2.5. Τύποι Προσωπικών Δεδομένων

• Στοιχεία επικοινωνίας: ονοματεπώνυμο, διεύθυνση ηλεκτρονικού ταχυδρομείου, αριθμός τηλεφώνου·
• Διεύθυνση παράδοσης (όπου εφαρμόζεται)·
• Δεδομένα παραγγελιών: παραγγελθέντα προϊόντα, ποσά παραγγελιών, ιστορικό παραγγελιών, διατροφικές προτιμήσεις·
• Αναφορές πληρωμών: αναγνωριστικά συναλλαγών, κατάσταση πληρωμής (τα στοιχεία κάρτας διαχειρίζονται αποκλειστικά από τον επεξεργαστή πληρωμών και δεν αποθηκεύονται από τον Επεξεργαστή)·
• Τεχνικά δεδομένα: διεύθυνση IP, πληροφορίες συσκευής, δεδομένα περιηγητή (για πρόληψη απάτης και λειτουργία υπηρεσίας)·
• Δεδομένα λογαριασμού FOXI ID: διαπιστευτήρια σύνδεσης (ηλεκτρονικό ταχυδρομείο και κατακερματισμένος κωδικός πρόσβασης), διακριτικά συνεδρίας ταυτοποίησης.

2.6. Απομόνωση Δεδομένων και FOXI ID

Η πλατφόρμα λειτουργεί κοινή υποδομή ταυτοποίησης πελατών («FOXI ID») που επιτρέπει στους τελικούς πελάτες να χρησιμοποιούν έναν ενιαίο λογαριασμό σε πολλαπλούς ιστοτόπους παραγγελιών εστιατορίων. Ισχύουν οι ακόλουθες αρχές απομόνωσης δεδομένων:

• Κάθε Υπεύθυνος Επεξεργασίας δύναται να έχει πρόσβαση μόνο στα δεδομένα παραγγελιών, τις προτιμήσεις πελατών και το ιστορικό παραγγελιών που δημιουργούνται μέσω του δικού του ιστοτόπου παραγγελιών·
• Κανένας Υπεύθυνος Επεξεργασίας δεν έχει πρόσβαση στα δεδομένα παραγγελιών, τις προτιμήσεις ή το ιστορικό παραγγελιών τελικών πελατών σε οποιοδήποτε άλλο εστιατόριο στην πλατφόρμα·
• Τα μόνα δεδομένα που κοινοποιούνται μεταξύ Υπεύθυνων Επεξεργασίας μέσω FOXI ID είναι τα στοιχεία επικοινωνίας του τελικού πελάτη (ονοματεπώνυμο, ηλεκτρονικό ταχυδρομείο, αριθμός τηλεφώνου, διεύθυνση παράδοσης), αποκλειστικά για τον σκοπό της προ-συμπλήρωσης της φόρμας παραγγελίας ώστε να διευκολυνθεί η διαδικασία παραγγελίας·
• Ο Εκτελών την Επεξεργασία δεν παρέχει σε κανέναν Υπεύθυνο Επεξεργασίας συγκεντρωτικά, ανωνυμοποιημένα ή διεστιατορικά δεδομένα που προέρχονται από το FOXI ID.

3. Υποχρεώσεις του Εκτελούντος την Επεξεργασία

Ο Εκτελών την Επεξεργασία οφείλει:

• Να επεξεργάζεται προσωπικά δεδομένα μόνο βάσει τεκμηριωμένων οδηγιών του Υπεύθυνου Επεξεργασίας, συμπεριλαμβανομένων των διαβιβάσεων δεδομένων σε τρίτες χώρες, εκτός εάν υποχρεούται από την εφαρμοστέα νομοθεσία·
• Να διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα προσωπικά δεδομένα έχουν αναλάβει δέσμευση εμπιστευτικότητας ή υπόκεινται σε κατάλληλη νόμιμη υποχρέωση εμπιστευτικότητας·
• Να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση επιπέδου ασφαλείας ανάλογου προς τον κίνδυνο, όπως απαιτείται από το Άρθρο 32 του GDPR·
• Να μην αναθέτει σε άλλον εκτελούντα την επεξεργασία (υπο-εκτελούντα) χωρίς προηγούμενη γραπτή εξουσιοδότηση του Υπεύθυνου Επεξεργασίας, υπό την επιφύλαξη της Ενότητας 5 της παρούσας ΣΕΔ·
• Να συνδράμει τον Υπεύθυνο Επεξεργασίας στην ανταπόκριση σε αιτήματα Υποκειμένων Δεδομένων (πρόσβαση, διόρθωση, διαγραφή, περιορισμός, φορητότητα, εναντίωση) εντός των προθεσμιών που απαιτεί ο GDPR·
• Να συνδράμει τον Υπεύθυνο Επεξεργασίας στη διασφάλιση συμμόρφωσης με τις υποχρεώσεις σχετικά με τις εκτιμήσεις αντικτύπου σχετικά με την προστασία δεδομένων και την προηγούμενη διαβούλευση με τις εποπτικές αρχές (Άρθρα 35 και 36 του GDPR)·
• Κατ' επιλογήν του Υπεύθυνου Επεξεργασίας, να διαγράψει ή να επιστρέψει όλα τα προσωπικά δεδομένα μετά το τέλος της παροχής υπηρεσιών, και να διαγράψει τα υπάρχοντα αντίγραφα, εκτός εάν η νομοθεσία της ΕΕ ή κράτους μέλους απαιτεί αποθήκευση·
• Να θέτει στη διάθεση του Υπεύθυνου Επεξεργασίας όλες τις πληροφορίες που είναι αναγκαίες για την απόδειξη συμμόρφωσης με τις υποχρεώσεις που ορίζονται στο Άρθρο 28 του GDPR και να επιτρέπει και να συμβάλλει σε ελέγχους και επιθεωρήσεις·
• Να τηρεί Αρχεία Δραστηριοτήτων Επεξεργασίας που εκτελούνται για λογαριασμό του Υπεύθυνου Επεξεργασίας, σύμφωνα με το Άρθρο 30(2) του GDPR·
• Να εφαρμόζει την προστασία δεδομένων εκ σχεδιασμού και εξ ορισμού σύμφωνα με το Άρθρο 25 του GDPR, διασφαλίζοντας ότι υποβάλλονται σε επεξεργασία μόνο τα προσωπικά δεδομένα που είναι αναγκαία για κάθε συγκεκριμένο σκοπό επεξεργασίας.

4. Μέτρα Ασφαλείας

Ο Εκτελών την Επεξεργασία εφαρμόζει τα ακόλουθα τεχνικά και οργανωτικά μέτρα για την προστασία προσωπικών δεδομένων:

• Κρυπτογράφηση δεδομένων κατά τη μεταφορά μέσω TLS 1.2+ / SSL·
• Κρυπτογράφηση ευαίσθητων δεδομένων σε αδράνεια·
• Έλεγχοι πρόσβασης με δικαιώματα βάσει ρόλου και ταυτοποίηση πολλαπλών παραγόντων για διοικητική πρόσβαση·
• Τακτικά αυτοματοποιημένα αντίγραφα ασφαλείας με ελάχιστη διατήρηση 30 ημερών·
• Ασφαλής υποδομή φιλοξενίας cloud με φυσικούς ελέγχους πρόσβασης (DigitalOcean)·
• Τακτικές ενημερώσεις ασφαλείας, διορθώσεις και αξιολογήσεις ευπαθειών·
• Η επεξεργασία πληρωμών ανατίθεται σε πιστοποιημένο επεξεργαστή πληρωμών PCI DSS Level 1 — κανένα δεδομένο κάρτας δεν αποθηκεύεται από τον Επεξεργαστή·
• Κατακερματισμός κωδικών πρόσβασης με χρήση κρυπτογραφικών αλγορίθμων βιομηχανικού προτύπου·
• Καταγραφή και παρακολούθηση της πρόσβασης σε προσωπικά δεδομένα·
• Διαδικασίες αντιμετώπισης περιστατικών και γνωστοποίησης παραβίασης δεδομένων.

5. Υπο-εκτελούντες την Επεξεργασία

5.1. Εξουσιοδοτημένοι Υπο-εκτελούντες

Ο Υπεύθυνος Επεξεργασίας παρέχει δια του παρόντος γενική εξουσιοδότηση στον Εκτελούντα την Επεξεργασία να αναθέσει στους ακόλουθους υπο-εκτελούντες:

• Πάροχος πληρωμών (επί του παρόντος Stripe, Inc.) — επεξεργασία πληρωμών, πρόληψη απάτης (ΗΠΑ, PCI DSS Level 1, Τυποποιημένες Συμβατικές Ρήτρες σε ισχύ)·
• DigitalOcean, LLC — φιλοξενία cloud και υποδομή (κέντρα δεδομένων ΕΕ και ΗΠΑ, Τυποποιημένες Συμβατικές Ρήτρες σε ισχύ)·
• Brevo (Sendinblue) — παράδοση μηνυμάτων συναλλαγών ηλεκτρονικού ταχυδρομείου (Γαλλία/ΕΕ).

5.2. Αλλαγές Υπο-εκτελούντων

Ο Εκτελών την Επεξεργασία θα ενημερώνει τον Υπεύθυνο Επεξεργασίας για τυχόν σκοπούμενες αλλαγές σχετικά με την προσθήκη ή αντικατάσταση υπο-εκτελούντων τουλάχιστον 30 ημέρες εκ των προτέρων, παρέχοντας στον Υπεύθυνο Επεξεργασίας τη δυνατότητα να αντιταχθεί στις εν λόγω αλλαγές. Εάν ο Υπεύθυνος Επεξεργασίας εύλογα αντιταχθεί, τα μέρη θα συζητήσουν τις ανησυχίες καλόπιστα. Εάν δεν επιτευχθεί λύση, ο Υπεύθυνος Επεξεργασίας δύναται να καταγγείλει τη Συμφωνία.

5.3. Υποχρεώσεις Υπο-εκτελούντων

Ο Εκτελών την Επεξεργασία οφείλει να διασφαλίζει ότι κάθε υπο-εκτελών δεσμεύεται από υποχρεώσεις προστασίας δεδομένων τουλάχιστον ισοδύναμες με αυτές που ορίζονται στην παρούσα ΣΕΔ. Ο Εκτελών την Επεξεργασία παραμένει πλήρως υπεύθυνος έναντι του Υπεύθυνου Επεξεργασίας για την εκπλήρωση των υποχρεώσεων κάθε υπο-εκτελούντος.

6. Δικαιώματα Υποκειμένων Δεδομένων

Ο Εκτελών την Επεξεργασία οφείλει:

• Να ενημερώνει αμέσως τον Υπεύθυνο Επεξεργασίας εάν λάβει αίτημα απευθείας από Υποκείμενο Δεδομένων σχετικά με τα προσωπικά του δεδομένα·
• Να μην απαντά σε τέτοια αιτήματα απευθείας, εκτός εάν εξουσιοδοτηθεί από τον Υπεύθυνο Επεξεργασίας ή απαιτηθεί από τον νόμο·
• Να παρέχει στον Υπεύθυνο Επεξεργασίας εύλογη συνδρομή για την εκπλήρωση αιτημάτων Υποκειμένων Δεδομένων, συμπεριλαμβανομένων τεχνικών μέτρων για πρόσβαση, διόρθωση, διαγραφή, περιορισμό και φορητότητα δεδομένων·
• Να παρέχει εργαλεία εντός της Υπηρεσίας που επιτρέπουν στον Υπεύθυνο Επεξεργασίας να διαχειρίζεται, εξάγει και διαγράφει δεδομένα πελατών ανεξάρτητα.

7. Εκτιμήσεις Αντικτύπου σχετικά με την Προστασία Δεδομένων

Όταν ένας τύπος επεξεργασίας είναι πιθανό να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων (Άρθρο 35 GDPR), ο Υπεύθυνος Επεξεργασίας είναι υπεύθυνος για τη διενέργεια Εκτίμησης Αντικτύπου σχετικά με την Προστασία Δεδομένων (ΕΑΠΔ). Ο Εκτελών την Επεξεργασία οφείλει:

• να παρέχει στον Υπεύθυνο Επεξεργασίας όλες τις πληροφορίες που είναι εύλογα αναγκαίες για τη διενέργεια ΕΑΠΔ·
• να συνδράμει τον Υπεύθυνο Επεξεργασίας με την ΕΑΠΔ κατόπιν εύλογου αιτήματος, με έξοδα του Υπεύθυνου Επεξεργασίας·
• να συνδράμει τον Υπεύθυνο Επεξεργασίας στην προηγούμενη διαβούλευση με την εποπτική αρχή όπου απαιτείται από το Άρθρο 36 του GDPR.

Ο Υπεύθυνος Επεξεργασίας οφείλει να ενημερώσει εκ των προτέρων τον Εκτελούντα την Επεξεργασία εάν μια ΕΑΠΔ υποδεικνύει ότι η επεξεργασία θα επιφέρει υψηλό κίνδυνο ελλείψει μέτρων από τον Εκτελούντα.

8. Γνωστοποίηση Παραβίασης Δεδομένων

Σε περίπτωση παραβίασης προσωπικών δεδομένων, ο Εκτελών την Επεξεργασία οφείλει:

• Να ενημερώσει τον Υπεύθυνο Επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση, και σε κάθε περίπτωση εντός 24 ωρών από τη στιγμή που αντιλήφθηκε την παραβίαση, ώστε να καταστεί δυνατή η τήρηση της υποχρέωσης γνωστοποίησης 72 ωρών προς την εποπτική αρχή σύμφωνα με το Άρθρο 33 του GDPR·
• Να παρέχει στον Υπεύθυνο Επεξεργασίας επαρκείς πληροφορίες ώστε να καταστεί δυνατή η εκπλήρωση της υποχρέωσης γνωστοποίησης προς την εποπτική αρχή και τα θιγόμενα Υποκείμενα Δεδομένων σύμφωνα με τα Άρθρα 33 και 34 του GDPR·
• Να συνεργάζεται με τον Υπεύθυνο Επεξεργασίας και να λαμβάνει εύλογα μέτρα για τον μετριασμό των επιπτώσεων της παραβίασης·
• Να τεκμηριώνει την παραβίαση, συμπεριλαμβανομένων των επιπτώσεών της και των διορθωτικών μέτρων που ελήφθησαν.

Η γνωστοποίηση παραβίασης θα περιλαμβάνει, στο μέτρο του δυνατού: τη φύση της παραβίασης, τις κατηγορίες και τον κατά προσέγγιση αριθμό των θιγόμενων Υποκειμένων Δεδομένων, τις πιθανές συνέπειες και τα μέτρα που ελήφθησαν ή προτείνονται για την αντιμετώπιση της παραβίασης.

9. Διατήρηση και Διαγραφή Δεδομένων

9.1. Ευθύνη Διατήρησης του Υπεύθυνου Επεξεργασίας

Ο Υπεύθυνος Επεξεργασίας, ως υπεύθυνος επεξεργασίας δεδομένων παραγγελιών των τελικών πελατών του, φέρει αποκλειστική ευθύνη για τον καθορισμό κατάλληλων περιόδων διατήρησης δεδομένων και για τη συμμόρφωση με όλες τις εφαρμοστέες νομικές, φορολογικές και λογιστικές υποχρεώσεις διατήρησης δεδομένων στη δικαιοδοσία του. Η διατήρηση δεδομένων λογαριασμού FOXI ID διαχειρίζεται από τον Εκτελούντα υπό την ιδιότητά του ως ανεξάρτητου υπεύθυνου επεξεργασίας, όπως περιγράφεται στην Πολιτική Απορρήτου του Παρόχου.

Η Υπηρεσία δύναται να παρέχει ρυθμιζόμενες ρυθμίσεις διατήρησης δεδομένων που επιτρέπουν στον Υπεύθυνο Επεξεργασίας να ορίζει αυτόματες περιόδους διαγραφής δεδομένων τελικών πελατών. Ο Εκτελών την Επεξεργασία επεξεργάζεται και διαγράφει δεδομένα τελικών πελατών αυστηρά σύμφωνα με τις τεκμηριωμένες οδηγίες του Υπεύθυνου Επεξεργασίας, συμπεριλαμβανομένων των ρυθμίσεων διατήρησης που ρυθμίζονται από τον Υπεύθυνο Επεξεργασίας εντός της πλατφόρμας. Ο Εκτελών δεν φέρει ευθύνη για την επιλογή περιόδων διατήρησης από τον Υπεύθυνο Επεξεργασίας ή για τυχόν νομικές συνέπειες που απορρέουν από τη διατήρηση ή διαγραφή δεδομένων σύμφωνα με τις οδηγίες του.

9.2. Λήξη

• Κατά τη λήξη της Συμφωνίας, ο Εκτελών θα παρέχει στον Υπεύθυνο Επεξεργασίας 30 ημερολογιακές ημέρες για την εξαγωγή όλων των προσωπικών δεδομένων μέσω των λειτουργιών εξαγωγής της Υπηρεσίας·
• Μετά την περίοδο 30 ημερών, ο Εκτελών θα διαγράψει όλα τα προσωπικά δεδομένα που υποβλήθηκαν σε επεξεργασία για λογαριασμό του Υπεύθυνου, εκτός εάν η διατήρηση απαιτείται από την εφαρμοστέα νομοθεσία·
• Η διαγραφή θα πραγματοποιηθεί με ασφαλείς μεθόδους που καθιστούν τα δεδομένα μη ανακτήσιμα·
• Ο Εκτελών θα παρέχει γραπτή επιβεβαίωση διαγραφής δεδομένων κατόπιν αιτήματος του Υπεύθυνου Επεξεργασίας·
• Τα αντίγραφα ασφαλείας θα διαγραφούν σύμφωνα με το τακτικό πρόγραμμα εναλλαγής αντιγράφων ασφαλείας (εντός 30 ημερών από το αίτημα διαγραφής).

10. Διεθνείς Διαβιβάσεις Δεδομένων

Όταν τα προσωπικά δεδομένα διαβιβάζονται εκτός του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ), ο Εκτελών διασφαλίζει ότι υπάρχουν κατάλληλες εγγυήσεις όπως απαιτείται από το Κεφάλαιο V του GDPR, συμπεριλαμβανομένων:

• Τυποποιημένων Συμβατικών Ρητρών (ΤΣΡ) που εγκρίθηκαν από την Ευρωπαϊκή Επιτροπή σύμφωνα με την Εκτελεστική Απόφαση (ΕΕ) 2021/914 της 4ης Ιουνίου 2021. Για διαβιβάσεις σε υπο-εκτελούντες, εφαρμόζονται ΤΣΡ Ενότητας 2 (υπεύθυνος επεξεργασίας προς εκτελούντα) ή Ενότητας 3 (εκτελών προς εκτελούντα), κατά περίπτωση·
• Εκτιμήσεων αντικτύπου μεταφοράς για κάθε υπο-εκτελούντα ώστε να αξιολογηθεί το νομικό πλαίσιο της χώρας προορισμού·
• Συμπληρωματικών μέτρων για τη διασφάλιση επαρκούς προστασίας προσωπικών δεδομένων όπου η εκτίμηση αντικτύπου μεταφοράς εντοπίζει κινδύνους.

Ο Εκτελών οφείλει να ενημερώνει τον Υπεύθυνο Επεξεργασίας για τυχόν νομικές απαιτήσεις στη χώρα προορισμού που ενδέχεται να επηρεάσουν την προστασία προσωπικών δεδομένων και τη δυνατότητα συμμόρφωσης με την παρούσα ΣΕΔ. Αντίγραφα των υπογεγραμμένων ΤΣΡ διατίθενται κατόπιν αιτήματος.

11. Έλεγχοι και Επιθεωρήσεις

Ο Εκτελών οφείλει να θέτει στη διάθεση του Υπεύθυνου Επεξεργασίας όλες τις πληροφορίες που είναι εύλογα αναγκαίες για την απόδειξη συμμόρφωσης με το Άρθρο 28 του GDPR. Ο Υπεύθυνος Επεξεργασίας δύναται να διενεργεί ελέγχους, συμπεριλαμβανομένων επιθεωρήσεων, είτε απευθείας είτε μέσω ανεξάρτητου ελεγκτή τρίτου μέρους, υπό τους εξής όρους:

• Εύλογη προηγούμενη ειδοποίηση τουλάχιστον 30 ημερολογιακών ημερών·
• Έλεγχοι που διενεργούνται κατά τις κανονικές εργάσιμες ώρες και κατά τρόπο που ελαχιστοποιεί τη διαταραχή·
• Ο ελεγκτής να δεσμεύεται από υποχρεώσεις εμπιστευτικότητας·
• Όχι περισσότεροι από έναν έλεγχο ανά δωδεκάμηνη περίοδο, εκτός εάν απαιτείται από εποπτική αρχή.

12. Ευθύνη

Η ευθύνη κάθε μέρους δυνάμει της παρούσας ΣΕΔ υπόκειται στους περιορισμούς και τις εξαιρέσεις ευθύνης που ορίζονται στους Όρους Χρήσης. Τίποτα στην παρούσα ΣΕΔ δεν περιορίζει την ευθύνη κανενός μέρους για παραβιάσεις του GDPR στο μέτρο που τέτοιος περιορισμός δεν επιτρέπεται από την εφαρμοστέα νομοθεσία.

13. Εκπρόσωπος στην ΕΕ

Σύμφωνα με το Άρθρο 27 του GDPR, ο Εκτελών έχει ορίσει την ακόλουθη οντότητα ως εκπρόσωπό του στην Ευρωπαϊκή Ένωση:

Euro business company Kft.
Rómer Flóris utca 8/B. 3. em., Budapest 1024, Hungary
Αριθμός φορολογικού μητρώου: HU28959364

Για πλήρεις λεπτομέρειες σχετικά με τον εκπρόσωπο στην ΕΕ και τον ρόλο του, ανατρέξτε στη σελίδα GDPR στην ενότητα Νομικά του ιστοτόπου FoxiFood.

14. Επικοινωνία

Για ερωτήσεις σχετικά με την παρούσα Συμφωνία Επεξεργασίας Δεδομένων ή θέματα επεξεργασίας δεδομένων, επικοινωνήστε μαζί μας στο: support@foxi.food

Elite Digital Services, LLC
1111B S Governors Ave #21653
Dover, DE 19904, USA