Duomenų tvarkymo sutartis

1. Apibrėžimai

• Duomenų valdytojas — restoranas partneris (Naudotojas), kuris nustato savo galutinių klientų asmens duomenų tvarkymo tikslus ir priemones per FoxiFood platformą.
• Duomenų tvarkytojas — Elite Digital Services, LLC, kuri tvarko asmens duomenis Valdytojo vardu, kad teiktų FoxiFood platformos paslaugas. Tvarkytojas yra vienintelis FoxiFood platformos operatorius ir gali pasitelkti įgaliotus subtvarkytojus įvairiose jurisdikcijose konkrečioms techninėms užduotims atlikti, kaip nustatyta šios DPA 5 skirsnyje.
• Duomenų subjektas — fizinis asmuo, kurio asmens duomenys yra tvarkomi (paprastai galutinis klientas, pateikiantis maisto užsakymą).
• Asmens duomenys — bet kokia informacija, susijusi su fiziniu asmeniu, kurio tapatybė nustatyta arba kurią galima nustatyti, kaip apibrėžta BDAR 4 straipsnio 1 dalyje.
• Tvarkymas — bet kokia su asmens duomenimis atliekama operacija, įskaitant rinkimą, saugojimą, naudojimą, perdavimą ir ištrynimą.
• Subtvarkytojas — trečioji šalis, kurią Tvarkytojas pasitelkia tvarkyti asmens duomenis Valdytojo vardu.

2. Tvarkymo apimtis ir tikslas

2.1. Dalykas

Tvarkytojas tvarko asmens duomenis Valdytojo vardu, siekdamas teikti FoxiFood restoranų užsakymų platformą, įskaitant Valdytojo užsakymų svetainės talpinimą, klientų užsakymų apdorojimą, klientų paskyrų valdymą, mokėjimo operacijų palengvinimą ir bendros klientų tapatybės infrastruktūros FOXI ID valdymą, leidžiančios galutiniams klientams naudoti vieną paskyrą keliose platformos restoranų užsakymų svetainėse.

2.2. Trukmė

Asmens duomenų tvarkymas pagal šią DPA tęsiasi visą Sutarties tarp Valdytojo ir Tvarkytojo galiojimo laikotarpį. Nutraukus sutartį, duomenys tvarkomi vadovaujantis šios DPA 8 skirsniu.

2.3. Pobūdis ir tikslas

Tvarkymo pobūdis ir tikslas yra teikti programinės įrangos kaip paslaugos platformą, leidžiančią Valdytojui priimti internetinius maisto užsakymus iš savo klientų, valdyti užsakymus ir apdoroti mokėjimus.

Tvarkytojas nenustato galutinių klientų užsakymų duomenų tvarkymo tikslų. Tvarkytojas teikia tik techninę infrastruktūrą, kurią Valdytojas naudoja tokiems duomenims rinkti ir tvarkyti.

Išimtis — FOXI ID paskyros duomenys: valdydama bendrą klientų tapatybės infrastruktūrą FOXI ID, Elite Digital Services, LLC veikia kaip nepriklausomas FOXI ID paskyros duomenų (prisijungimo duomenų, autentifikavimo seansų ir kontaktinės informacijos, naudojamos automatiniam pildymui skirtinguose restoranuose) duomenų valdytojas. Šie duomenys tvarkomi ne pagal šią DPA, o pagal paties Teikėjo Privatumo politiką. Valdytojo, kaip duomenų valdytojo, teisės ir pareigos pagal šią DPA taikomos užsakymų duomenims, klientų nuostatoms ir užsakymų istorijai, sukurtai per Valdytojo užsakymų svetainę.

2.4. Duomenų subjektų kategorijos

• Restorano partnerio galutiniai klientai (asmenys, pateikiantys maisto užsakymus);
• Restorano partnerio darbuotojai ar atstovai, turintys prieigą prie administravimo skydelio.

2.5. Asmens duomenų rūšys

• Kontaktiniai duomenys: vardas, el. pašto adresas, telefono numeris;
• Pristatymo adresas (kai taikoma);
• Užsakymų duomenys: užsakyti patiekalai, užsakymų sumos, užsakymų istorija, mitybos nuostatos;
• Mokėjimų nuorodos: operacijų ID, mokėjimo būsena (kortelės duomenis tvarko išimtinai mokėjimų tvarkytojas, o Tvarkytojas jų nesaugo);
• Techniniai duomenys: IP adresas, įrenginio informacija, naršyklės duomenys (sukčiavimo prevencijai ir paslaugos veikimui);
• FOXI ID paskyros duomenys: prisijungimo duomenys (el. paštas ir maišos funkcija užšifruotas slaptažodis), autentifikavimo seanso prieigos raktai.

2.6. Duomenų izoliacija ir FOXI ID

Platforma valdo bendrą klientų tapatybės infrastruktūrą ('FOXI ID'), leidžiančią galutiniams klientams naudoti vieną paskyrą keliose restoranų užsakymų svetainėse. Taikomi šie duomenų izoliavimo principai:

• Kiekvienas Valdytojas gali pasiekti tik per savo užsakymų svetainę sukurtus užsakymų duomenis, klientų nuostatas ir užsakymų istoriją;
• Joks Valdytojas neturi prieigos prie galutinių klientų užsakymų duomenų, nuostatų ar užsakymų istorijos jokiame kitame platformos restorane;
• Vieninteliai duomenys, kuriais Valdytojai dalijasi per FOXI ID, yra galutinio kliento kontaktinė informacija (vardas, el. paštas, telefono numeris, pristatymo adresas), naudojama išimtinai užsakymo formai iš anksto užpildyti ir užsakymo procesui palengvinti;
• Tvarkytojas neteikia jokiam Valdytojui apibendrintų, anonimizuotų ar kelis restoranus apimančių duomenų, gautų iš FOXI ID.

3. Duomenų tvarkytojo pareigos

Duomenų tvarkytojas privalo:

• Tvarkyti asmens duomenis tik pagal dokumentais įformintus Valdytojo nurodymus, įskaitant duomenų perdavimą į trečiąsias šalis, nebent to reikalauja taikomi teisės aktai;
• Užtikrinti, kad asmenys, įgalioti tvarkyti asmens duomenis, būtų įsipareigoję laikytis konfidencialumo arba jiems būtų taikoma atitinkama teisės aktų nustatyta konfidencialumo prievolė;
• Įgyvendinti tinkamas technines ir organizacines priemones, užtikrinančias rizikai tinkamą saugumo lygį, kaip reikalaujama BDAR 32 straipsnyje;
• Nepasitelkti kito tvarkytojo (subtvarkytojo) be išankstinio rašytinio Valdytojo įgaliojimo, atsižvelgiant į šios DPA 5 skirsnį;
• Padėti Valdytojui atsakyti į Duomenų subjektų prašymus (susipažinti, ištaisyti, ištrinti, apriboti, perkelti, nesutikti) per BDAR nustatytus terminus;
• Padėti Valdytojui užtikrinti, kad būtų laikomasi pareigų, susijusių su poveikio duomenų apsaugai vertinimais ir išankstinėmis konsultacijomis su priežiūros institucijomis (BDAR 35 ir 36 straipsniai);
• Valdytojo pasirinkimu, baigus teikti paslaugas, ištrinti arba grąžinti visus asmens duomenis ir ištrinti esamas kopijas, nebent ES arba valstybės narės teisė reikalauja juos saugoti;
• Pateikti Valdytojui visą informaciją, būtiną įrodyti, kad laikomasi BDAR 28 straipsnyje nustatytų pareigų, taip pat sudaryti sąlygas atlikti auditus ir patikrinimus bei prie jų prisidėti;
• Tvarkyti Duomenų tvarkymo veiklos įrašus, atliekamus Valdytojo vardu, vadovaujantis BDAR 30 straipsnio 2 dalimi;
• Įgyvendinti pritaikytąją ir standartizuotąją duomenų apsaugą vadovaujantis BDAR 25 straipsniu, užtikrinant, kad būtų tvarkomi tik kiekvienam konkrečiam tvarkymo tikslui būtini asmens duomenys.

4. Saugumo priemonės

Tvarkytojas įgyvendina šias technines ir organizacines priemones asmens duomenims apsaugoti:

• Perduodamų duomenų šifravimas naudojant TLS 1.2+ / SSL;
• Jautrių duomenų šifravimas saugojimo metu;
• Prieigos kontrolė su vaidmenimis grįstomis teisėmis ir kelių veiksnių autentifikavimu administracinei prieigai;
• Reguliarios automatinės atsarginės kopijos su mažiausiai 30 dienų saugojimu;
• Saugi debesijos talpinimo infrastruktūra su fizinės prieigos kontrole (DigitalOcean);
• Reguliarūs saugumo atnaujinimai, pataisos ir pažeidžiamumų vertinimai;
• Mokėjimų apdorojimas pavestas PCI DSS 1 lygio sertifikuotam mokėjimų tvarkytojui — Tvarkytojas nesaugo jokių kortelės duomenų;
• Slaptažodžių maišos skaičiavimas naudojant pramonės standartų kriptografinius algoritmus;
• Prieigos prie asmens duomenų registravimas ir stebėsena;
• Incidentų reagavimo ir duomenų saugumo pažeidimų pranešimo procedūros.

5. Pagalbiniai duomenų tvarkytojai

5.1. Įgaliotieji pagalbiniai duomenų tvarkytojai

Valdytojas šiuo suteikia bendrą įgaliojimą Tvarkytojui pasitelkti šiuos subtvarkytojus:

• Mokėjimų tvarkytojas (šiuo metu Stripe, Inc.) — mokėjimų apdorojimas, sukčiavimo prevencija (JAV, PCI DSS 1 lygis, taikomos SCCs);
• DigitalOcean, LLC — debesijos talpinimas ir infrastruktūra (ES ir JAV duomenų centrai, taikomos SCCs);
• Brevo (Sendinblue) — sandorių el. laiškų pristatymas (Prancūzija/ES).

5.2. Pagalbinių duomenų tvarkytojų pakeitimai

Tvarkytojas informuos Valdytoją apie bet kokius numatomus pakeitimus, susijusius su subtvarkytojų pridėjimu ar pakeitimu, ne vėliau kaip prieš 30 dienų, suteikdamas Valdytojui galimybę nesutikti su tokiais pakeitimais. Jei Valdytojas pagrįstai nesutinka, šalys sąžiningai aptars iškilusias problemas. Jei susitarimo nepasiekiama, Valdytojas gali nutraukti Sutartį.

5.3. Pagalbinių duomenų tvarkytojų pareigos

Tvarkytojas užtikrina, kad kiekvienam subtvarkytojui būtų taikomos duomenų apsaugos pareigos, ne mažiau apsaugančios nei nustatytosios šioje DPA. Tvarkytojas lieka visiškai atsakingas Valdytojui už kiekvieno subtvarkytojo pareigų vykdymą.

6. Duomenų subjektų teisės

Duomenų tvarkytojas privalo:

• Nedelsiant informuoti Valdytoją, jei gauna prašymą tiesiogiai iš Duomenų subjekto dėl jo asmens duomenų;
• Neatsakyti į tokius prašymus tiesiogiai, nebent tai įgalioja Valdytojas arba reikalauja teisės aktai;
• Teikti Valdytojui pagrįstą pagalbą vykdant Duomenų subjektų prašymus, įskaitant technines priemones duomenims pasiekti, ištaisyti, ištrinti, apriboti ir perkelti;
• Suteikti Paslaugoje įrankius, leidžiančius Valdytojui savarankiškai valdyti, eksportuoti ir ištrinti klientų duomenis.

7. Poveikio duomenų apsaugai vertinimai

Kai dėl tvarkymo pobūdžio gali kilti didelė rizika fizinių asmenų teisėms ir laisvėms (BDAR 35 straipsnis), Valdytojas yra atsakingas už poveikio duomenų apsaugai vertinimo (PDAV) atlikimą. Tvarkytojas:

• pateikia Valdytojui visą pagrįstai būtiną informaciją PDAV atlikti;
• padeda Valdytojui atlikti PDAV pagal pagrįstą prašymą Valdytojo sąskaita;
• padeda Valdytojui iš anksto konsultuotis su priežiūros institucija, kai to reikalauja BDAR 36 straipsnis.

Valdytojas privalo iš anksto informuoti Tvarkytoją, jei PDAV rodo, kad tvarkymas keltų didelę riziką, jei Tvarkytojas nesiimtų priemonių.

8. Pranešimas apie duomenų saugumo pažeidimą

Asmens duomenų saugumo pažeidimo atveju duomenų tvarkytojas privalo:

• Nedelsiant, bet visais atvejais ne vėliau kaip per 24 valandas nuo sužinojimo apie pažeidimą, informuoti Valdytoją, kad jis galėtų įvykdyti savo 72 valandų pranešimo priežiūros institucijai pareigą pagal BDAR 33 straipsnį;
• Pateikti Valdytojui pakankamai informacijos, kad jis galėtų įvykdyti savo pareigą pranešti priežiūros institucijai ir nukentėjusiems Duomenų subjektams pagal BDAR 33 ir 34 straipsnius;
• Bendradarbiauti su Valdytoju ir imtis pagrįstų veiksmų pažeidimo padariniams sušvelninti;
• Dokumentuoti pažeidimą, įskaitant jo padarinius ir taikytas taisomąsias priemones.

Pranešime apie pažeidimą, kiek įmanoma, nurodoma: pažeidimo pobūdis, nukentėjusių Duomenų subjektų kategorijos ir apytikslis skaičius, tikėtini padariniai bei priemonės, kurių imtasi arba siūloma imtis pažeidimui pašalinti.

9. Duomenų saugojimas ir šalinimas

9.1. Duomenų valdytojo saugojimo atsakomybė

Valdytojas, kaip savo galutinių klientų užsakymų duomenų valdytojas, yra vienintelis atsakingas už tinkamų duomenų saugojimo terminų nustatymą ir už visų taikomų teisinių, mokestinių bei apskaitos duomenų saugojimo pareigų laikymąsi Valdytojo jurisdikcijoje. FOXI ID paskyros duomenų saugojimą tvarko Tvarkytojas kaip nepriklausomas duomenų valdytojas, kaip aprašyta Teikėjo Privatumo politikoje.

Paslauga gali teikti konfigūruojamus duomenų saugojimo nustatymus, leidžiančius Valdytojui nustatyti automatinio galutinių klientų duomenų ištrynimo terminus. Tvarkytojas tvarko ir trina galutinių klientų duomenis griežtai pagal dokumentais įformintus Valdytojo nurodymus, įskaitant Valdytojo platformoje sukonfigūruotus saugojimo nustatymus. Tvarkytojas neatsako už Valdytojo pasirinktus saugojimo terminus ar už bet kokias teisines pasekmes, kylančias dėl duomenų saugojimo ar ištrynimo pagal Valdytojo nurodymus.

9.2. Nutraukimas

• Nutraukus Sutartį, Tvarkytojas suteiks Valdytojui 30 kalendorinių dienų visiems asmens duomenims eksportuoti naudojant Paslaugos eksportavimo funkcijas;
• Pasibaigus 30 dienų laikotarpiui, Tvarkytojas ištrins visus Valdytojo vardu tvarkytus asmens duomenis, nebent jų saugojimo reikalauja taikomi teisės aktai;
• Ištrynimas bus atliekamas saugiais metodais, dėl kurių duomenų nebebus įmanoma atkurti;
• Tvarkytojas Valdytojo prašymu pateiks rašytinį duomenų ištrynimo patvirtinimą;
• Atsarginės kopijos bus ištrintos pagal įprastą atsarginių kopijų rotacijos grafiką (per 30 dienų nuo ištrynimo prašymo).

10. Tarptautiniai duomenų perdavimai

Kai asmens duomenys perduodami už Europos ekonominės erdvės (EEE) ribų, Tvarkytojas užtikrina, kad būtų taikomos tinkamos apsaugos priemonės, kaip reikalaujama BDAR V skyriuje, įskaitant:

• Standartines sutarčių sąlygas (SCCs), priimtas Europos Komisijos pagal 2021 m. birželio 4 d. Įgyvendinimo sprendimą (ES) 2021/914. Perdavimams subtvarkytojams taikomas atitinkamai antrasis modulis (valdytojas–tvarkytojui) arba trečiasis modulis (tvarkytojas–tvarkytojui);
• Kiekvieno subtvarkytojo perdavimo poveikio vertinimus, kad būtų įvertinta paskirties šalies teisinė sistema;
• Papildomas priemones, užtikrinančias tinkamą asmens duomenų apsaugą, kai perdavimo poveikio vertinimas nustato riziką.

Tvarkytojas informuoja Valdytoją apie bet kokius paskirties šalies teisės reikalavimus, galinčius paveikti asmens duomenų apsaugą ir galimybę laikytis šios DPA. Pasirašytų SCCs kopijos pateikiamos pateikus prašymą.

11. Auditai ir patikrinimai

Tvarkytojas pateikia Valdytojui visą pagrįstai būtiną informaciją, įrodančią, kad laikomasi BDAR 28 straipsnio. Valdytojas gali atlikti auditus, įskaitant patikrinimus, tiesiogiai arba per nepriklausomą trečiosios šalies auditorių, laikydamasis šių sąlygų:

• Protingas išankstinis pranešimas ne mažiau kaip prieš 30 kalendorinių dienų;
• Auditai atliekami įprastomis darbo valandomis ir tokiu būdu, kad būtų kuo mažiau trikdoma veikla;
• Auditorius turi būti įpareigotas laikytis konfidencialumo;
• Ne daugiau kaip vienas auditas per 12 mėnesių laikotarpį, nebent to reikalauja priežiūros institucija.

12. Atsakomybė

Kiekvienos šalies atsakomybei pagal šią DPA taikomi Paslaugų teikimo sąlygose nustatyti atsakomybės apribojimai ir išimtys. Jokia šios DPA nuostata neriboja nė vienos šalies atsakomybės už BDAR pažeidimus tiek, kiek toks apribojimas neleidžiamas pagal taikomus teisės aktus.

13. ES atstovas

Vadovaudamasis BDAR 27 straipsniu, Tvarkytojas paskyrė šį subjektą savo atstovu Europos Sąjungoje:

Euro business company Kft.
Rómer Flóris utca 8/B. 3. em., Budapest 1024, Hungary
Mokesčių mokėtojo kodas: HU28959364

Išsamesnės informacijos apie ES atstovą ir jo vaidmenį rasite FoxiFood svetainės Teisinės informacijos skiltyje esančiame BDAR puslapyje.

14. Kontaktai

Dėl klausimų apie šią Duomenų tvarkymo sutartį ar duomenų tvarkymo klausimų susisiekite su mumis adresu: support@foxi.food

Elite Digital Services, LLC
1111B S Governors Ave #21653
Dover, DE 19904, USA