Accordo sul trattamento dei dati

1. Definizioni

• Titolare del trattamento — il partner ristorante (Utente) che determina le finalità e i mezzi del trattamento dei dati personali dei propri clienti finali attraverso la piattaforma FoxiFood.
• Responsabile del trattamento — Elite Digital Services, LLC, che tratta i dati personali per conto del Titolare del trattamento al fine di fornire i servizi della piattaforma FoxiFood. Il Responsabile del trattamento è l'unico operatore della piattaforma FoxiFood e può incaricare sub-responsabili autorizzati in varie giurisdizioni per svolgere specifici compiti tecnici, come stabilito nella Sezione 5 del presente DPA.
• Interessato — la persona fisica i cui dati personali sono oggetto di trattamento (tipicamente il cliente finale che effettua un ordine alimentare).
• Dati personali — qualsiasi informazione riguardante una persona fisica identificata o identificabile, come definito dall'Articolo 4, paragrafo 1, del GDPR.
• Trattamento — qualsiasi operazione eseguita sui dati personali, inclusa la raccolta, la conservazione, l'utilizzo, la trasmissione e la cancellazione.
• Sub-responsabile del trattamento — un soggetto terzo incaricato dal Responsabile del trattamento di trattare i dati personali per conto del Titolare del trattamento.

2. Ambito e finalità del trattamento

2.1. Oggetto

The Processor processes personal data on behalf of the Controller for the purpose of providing the FoxiFood restaurant ordering platform, including hosting the Controller's ordering website, processing customer orders, managing customer accounts, facilitating payment transactions, and operating the FOXI ID shared customer identity infrastructure that enables end customers to use a single account across multiple restaurant ordering websites on the platform.

2.2. Durata

Il trattamento dei dati personali ai sensi del presente DPA proseguirà per la durata del Contratto tra il Titolare e il Responsabile del trattamento. Alla cessazione, i dati saranno gestiti in conformità con la Sezione 8 del presente DPA.

2.3. Natura e finalità

La natura e la finalità del trattamento è fornire una piattaforma software-as-a-service che consenta al Titolare del trattamento di ricevere ordini alimentari online dai propri clienti, gestire gli ordini ed elaborare i pagamenti.

The Processor does not determine the purposes of processing of end customer order data. The Processor provides only the technical infrastructure used by the Controller to collect and process such data.

Eccezione — dati dell'account FOXI ID: Ai fini della gestione dell'infrastruttura di identità condivisa dei clienti FOXI ID, Elite Digital Services, LLC agisce come titolare del trattamento indipendente per i dati dell'account FOXI ID (credenziali di accesso, sessioni di autenticazione e dati di contatto utilizzati per la precompilazione tra ristoranti). Tali dati non sono trattati ai sensi del presente DPA, bensì ai sensi dell'Informativa sulla privacy del Fornitore. I diritti e gli obblighi del Titolare del trattamento in qualità di titolare ai sensi del presente DPA si applicano ai dati degli ordini, alle preferenze dei clienti e allo storico degli ordini generati attraverso il sito di ordinazione del Titolare.

2.4. Categorie di interessati

• Clienti finali del partner ristorante (persone fisiche che effettuano ordini alimentari);
• Dipendenti o rappresentanti del partner ristorante con accesso al pannello di amministrazione.

2.5. Tipologie di dati personali

• Dati di contatto: nome, indirizzo e-mail, numero di telefono;
• Indirizzo di consegna (ove applicabile);
• Dati degli ordini: articoli ordinati, importi degli ordini, storico degli ordini, preferenze alimentari;
• Payment references: transaction IDs, payment status (card details are handled exclusively by the payment processor and not stored by the Processor);
• Technical data: IP address, device information, browser data (for fraud prevention and service operation);
• Dati dell'account FOXI ID: credenziali di accesso (e-mail e password con hash), token di sessione di autenticazione.

2.6. Isolamento dei dati e FOXI ID

La piattaforma gestisce un'infrastruttura di identità condivisa dei clienti ('FOXI ID') che consente ai clienti finali di utilizzare un unico account su più siti web di ordinazione dei ristoranti. Si applicano i seguenti principi di isolamento dei dati:

• Ciascun Titolare del trattamento può accedere esclusivamente ai dati degli ordini, alle preferenze dei clienti e allo storico degli ordini generati attraverso il proprio sito web di ordinazione;
• Nessun Titolare del trattamento ha accesso ai dati degli ordini, alle preferenze o allo storico degli ordini dei clienti finali presso qualsiasi altro ristorante sulla piattaforma;
• Gli unici dati condivisi tra Titolari del trattamento attraverso FOXI ID sono i dati di contatto del cliente finale (nome, e-mail, numero di telefono, indirizzo di consegna), esclusivamente allo scopo di precompilare il modulo d'ordine per facilitare il processo di ordinazione;
• Il Responsabile del trattamento non fornisce ad alcun Titolare del trattamento dati aggregati, anonimizzati o tra ristoranti derivati da FOXI ID.

3. Obblighi del Responsabile del trattamento

Il Responsabile del trattamento deve:

• Trattare i dati personali esclusivamente sulla base delle istruzioni documentate del Titolare del trattamento, anche per quanto riguarda i trasferimenti di dati verso paesi terzi, salvo che sia tenuto a farlo dalla normativa applicabile;
• Garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza;
• Implementare misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio, come richiesto dall'Articolo 32 del GDPR;
• Non incaricare un altro responsabile del trattamento (sub-responsabile) senza la previa autorizzazione scritta del Titolare del trattamento, nel rispetto della Sezione 5 del presente DPA;
• Assistere il Titolare del trattamento nel rispondere alle richieste degli Interessati (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione) entro i termini previsti dal GDPR;
• Assistere il Titolare del trattamento nel garantire la conformità agli obblighi relativi alle valutazioni d'impatto sulla protezione dei dati e alla consultazione preventiva con le autorità di controllo (Articoli 35 e 36 del GDPR);
• A scelta del Titolare del trattamento, cancellare o restituire tutti i dati personali al termine della fornitura dei servizi, e cancellare le copie esistenti, salvo che il diritto dell'UE o degli Stati membri ne preveda la conservazione;
• Mettere a disposizione del Titolare del trattamento tutte le informazioni necessarie a dimostrare la conformità agli obblighi di cui all'Articolo 28 del GDPR e consentire e contribuire alle attività di revisione e ispezione;
• Tenere il Registro delle attività di trattamento svolte per conto del Titolare del trattamento, in conformità con l'Articolo 30, paragrafo 2, del GDPR;
• Implementare la protezione dei dati fin dalla progettazione e per impostazione predefinita in conformità con l'Articolo 25 del GDPR, garantendo che vengano trattati solo i dati personali necessari per ogni specifica finalità del trattamento.

4. Misure di sicurezza

Il Responsabile del trattamento implementa le seguenti misure tecniche e organizzative per proteggere i dati personali:

• Crittografia dei dati in transito tramite TLS 1.2+ / SSL;
• Crittografia dei dati sensibili a riposo;
• Controlli di accesso con permessi basati sui ruoli e autenticazione multifattore per l'accesso amministrativo;
• Backup automatici regolari con conservazione minima di 30 giorni;
• Infrastruttura di hosting cloud sicura con controlli di accesso fisico (DigitalOcean);
• Aggiornamenti di sicurezza regolari, patch e valutazioni delle vulnerabilità;Aggiornamenti di sicurezza regolari, patch e valutazioni delle vulnerabilità;
• Payment processing delegated to a PCI DSS Level 1 certified payment processor — no card data stored by the Processor;
• Hashing delle password utilizzando algoritmi crittografici standard del settore;Hashing delle password con algoritmi crittografici standard del settore;
• Registrazione e monitoraggio degli accessi ai dati personali;
• Procedure di risposta agli incidenti e notifica di violazione dei dati.Procedure di risposta agli incidenti e di notifica delle violazioni dei dati.

5. Sub-responsabili del trattamento

5.1. Sub-responsabili autorizzati

Il Titolare del trattamento concede con la presente un'autorizzazione generale al Responsabile del trattamento per incaricare i seguenti sub-responsabili:

• Processore di pagamento (attualmente Stripe, Inc.) — elaborazione dei pagamenti, prevenzione delle frodi (USA, PCI DSS Livello 1, SCC in vigore);
• DigitalOcean, LLC — hosting cloud e infrastruttura (data center UE e USA, SCC in vigore);
• Brevo (Sendinblue) — consegna di e-mail transazionali (Francia/UE).

5.2. Modifiche ai sub-responsabili

Il Responsabile del trattamento informerà il Titolare del trattamento di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di sub-responsabili con almeno 30 giorni di anticipo, dando al Titolare del trattamento la possibilità di opporsi a tali modifiche. Se il Titolare del trattamento si oppone ragionevolmente, le parti discuteranno le preoccupazioni in buona fede. Se non si raggiunge una soluzione, il Titolare del trattamento può risolvere il Contratto.

5.3. Obblighi dei sub-responsabili

Il Responsabile del trattamento garantirà che ciascun sub-responsabile sia vincolato da obblighi di protezione dei dati non meno restrittivi di quelli stabiliti nel presente DPA. Il Responsabile del trattamento resta pienamente responsabile nei confronti del Titolare del trattamento per l'adempimento degli obblighi di ciascun sub-responsabile.

6. Diritti dell'interessato

Il Responsabile del trattamento deve:

• Informare tempestivamente il Titolare del trattamento qualora riceva una richiesta direttamente da un Interessato riguardante i propri dati personali;
• Non rispondere direttamente a tali richieste, salvo autorizzazione del Titolare del trattamento o obbligo di legge;
• Fornire al Titolare del trattamento ragionevole assistenza nell'adempimento delle richieste degli Interessati, incluse misure tecniche per l'accesso, la rettifica, la cancellazione, la limitazione e la portabilità dei dati;
• Fornire strumenti all'interno del Servizio che consentano al Titolare del trattamento di gestire, esportare e cancellare i dati dei clienti in modo indipendente.

7. Valutazioni d'impatto sulla protezione dei dati

Qualora un tipo di trattamento possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche (Articolo 35 GDPR), il Titolare del trattamento è responsabile della conduzione di una Valutazione d'impatto sulla protezione dei dati (DPIA). Il Responsabile del trattamento deve:

• fornire al Titolare del trattamento tutte le informazioni ragionevolmente necessarie per condurre una DPIA;
• assistere il Titolare del trattamento nella DPIA su ragionevole richiesta, a spese del Titolare;
• assistere il Titolare del trattamento nella consultazione preventiva con l'autorità di controllo ove previsto dall'Articolo 36 del GDPR.

Il Titolare del trattamento deve notificare preventivamente al Responsabile del trattamento qualora una DPIA indichi che il trattamento comporterebbe un rischio elevato in assenza di misure adottate dal Responsabile del trattamento.

8. Notifica di violazione dei dati

In caso di violazione dei dati personali, il Responsabile del trattamento deve:

• Informare il Titolare del trattamento senza indebito ritardo e, in ogni caso, entro 24 ore dal momento in cui è venuto a conoscenza della violazione, per consentire al Titolare del trattamento di adempiere al proprio obbligo di notifica entro 72 ore all'autorità di controllo ai sensi dell'Articolo 33 del GDPR;
• Fornire al Titolare del trattamento informazioni sufficienti per consentirgli di adempiere al proprio obbligo di notifica all'autorità di controllo e agli Interessati coinvolti ai sensi degli Articoli 33 e 34 del GDPR;
• Cooperare con il Titolare del trattamento e adottare misure ragionevoli per mitigare gli effetti della violazione;
• Documentare la violazione, compresi i suoi effetti e le azioni correttive adottate.

La notifica della violazione deve includere, nella misura in cui disponibili: la natura della violazione, le categorie e il numero approssimativo di Interessati coinvolti, le probabili conseguenze e le misure adottate o proposte per porre rimedio alla violazione.

9. Conservazione e cancellazione dei dati

9.1. Responsabilità di conservazione del Titolare del trattamento

The Controller, as the data controller for order data of its end customers, is solely responsible for determining appropriate data retention periods and for compliance with all applicable legal, tax, and accounting data retention obligations in the Controller's jurisdiction. FOXI ID account data retention is managed by the Processor in its capacity as independent data controller, as described in the Provider's Privacy Policy.

Il Servizio può fornire impostazioni configurabili di conservazione dei dati che consentono al Titolare del trattamento di impostare periodi di cancellazione automatica per i dati dei clienti finali. Il Responsabile del trattamento tratta e cancella i dati dei clienti finali rigorosamente secondo le istruzioni documentate del Titolare del trattamento, incluse le impostazioni di conservazione configurate dal Titolare all'interno della piattaforma. Il Responsabile del trattamento non è responsabile della scelta dei periodi di conservazione del Titolare né di eventuali conseguenze legali derivanti dalla conservazione o cancellazione dei dati in conformità con le istruzioni del Titolare.

9.2. Risoluzione

• Alla risoluzione del Contratto, il Responsabile del trattamento concederà al Titolare del trattamento 30 giorni di calendario per esportare tutti i dati personali tramite le funzioni di esportazione del Servizio;
• Trascorso il periodo di 30 giorni, il Responsabile del trattamento cancellerà tutti i dati personali trattati per conto del Titolare del trattamento, salvo che la conservazione sia richiesta dalla normativa applicabile;
• La cancellazione sarà effettuata utilizzando metodi sicuri che rendono i dati irrecuperabili;
• Il Responsabile del trattamento fornirà conferma scritta della cancellazione dei dati su richiesta del Titolare del trattamento;
• Le copie di backup saranno cancellate secondo il regolare programma di rotazione dei backup (entro 30 giorni dalla richiesta di cancellazione).

10. Trasferimenti internazionali di dati

Qualora i dati personali vengano trasferiti al di fuori dello Spazio Economico Europeo (SEE), il Responsabile del trattamento garantisce che siano in atto garanzie adeguate come richiesto dal Capo V del GDPR, tra cui:

• Clausole contrattuali tipo (SCC) adottate dalla Commissione Europea ai sensi della Decisione di esecuzione (UE) 2021/914 del 4 giugno 2021. Per i trasferimenti ai sub-responsabili, si applicano le SCC del Modulo Due (titolare-responsabile) o del Modulo Tre (responsabile-responsabile), a seconda dei casi;
• Valutazioni d'impatto del trasferimento per ciascun sub-responsabile per valutare il quadro giuridico del paese di destinazione;
• Misure supplementari per garantire un'adeguata protezione dei dati personali qualora la Valutazione d'impatto del trasferimento identifichi dei rischi.

Il Responsabile del trattamento informerà il Titolare del trattamento di eventuali requisiti legali nel paese di destinazione che possano influire sulla protezione dei dati personali e sulla capacità di conformarsi al presente DPA. Copie delle SCC firmate sono disponibili su richiesta.

11. Audit e ispezioni

Il Responsabile del trattamento metterà a disposizione del Titolare del trattamento tutte le informazioni ragionevolmente necessarie per dimostrare la conformità all'Articolo 28 del GDPR. Il Titolare del trattamento può condurre audit, incluse ispezioni, direttamente o tramite un revisore indipendente di terze parti, nel rispetto di:

• Preavviso ragionevole di almeno 30 giorni di calendario;
• Audit condotti durante il normale orario lavorativo e in modo da ridurre al minimo le interruzioni;
• Il revisore è vincolato da obblighi di riservatezza;
• Non più di un audit per periodo di 12 mesi, salvo richiesta di un'autorità di controllo.

12. Responsabilità

La responsabilità di ciascuna parte ai sensi del presente DPA è soggetta alle limitazioni e alle esclusioni di responsabilità stabilite nei Termini di servizio. Nulla nel presente DPA limita la responsabilità di ciascuna parte per violazioni del GDPR nella misura in cui tale limitazione non sia consentita dalla normativa applicabile.

13. Rappresentante nell'UE

In conformità con l'Articolo 27 del GDPR, il Responsabile del trattamento ha nominato il seguente soggetto come proprio rappresentante nell'Unione Europea:

Euro business company Kft.
Rómer Flóris utca 8/B. 3. em., Budapest 1024, Hungary
Codice fiscale: HU28959364

Per informazioni complete sul rappresentante nell'UE e il suo ruolo, consultare la pagina GDPR nella sezione Aspetti legali del sito web FoxiFood.

14. Contatti

Per domande sul presente Accordo sul trattamento dei dati o su questioni relative al trattamento dei dati, ci contatti all'indirizzo: support@foxi.food

Elite Digital Services, LLC
1111B S Governors Ave #21653
Dover, DE 19904, USA