Datu apstrādes līgums

1. Definīcijas

• Pārzinis — restorāna partneris (Lietotājs), kas nosaka savu gala klientu personas datu apstrādes nolūkus un līdzekļus, izmantojot FoxiFood platformu.
• Apstrādātājs — Elite Digital Services, LLC, kas apstrādā personas datus Pārziņa vārdā, lai sniegtu FoxiFood platformas pakalpojumus. Apstrādātājs ir vienīgais FoxiFood platformas operators un var piesaistīt pilnvarotus apakšapstrādātājus dažādās jurisdikcijās konkrētu tehnisku uzdevumu veikšanai, kā noteikts šī DAL 5. sadaļā.
• Datu subjekts — fiziskā persona, kuras personas dati tiek apstrādāti (parasti gala klients, kas veic ēdiena pasūtījumu).
• Personas dati — jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu, kā noteikts VDAR 4. panta 1. punktā.
• Apstrāde — jebkura ar personas datiem veikta darbība, tostarp vākšana, glabāšana, izmantošana, pārsūtīšana un dzēšana.
• Apakšapstrādātājs — trešā persona, ko Apstrādātājs piesaista personas datu apstrādei Pārziņa vārdā.

2. Apstrādes apjoms un mērķis

2.1. Priekšmets

Apstrādātājs apstrādā personas datus Pārziņa vārdā, lai nodrošinātu FoxiFood restorānu pasūtīšanas platformu, tostarp Pārziņa pasūtīšanas vietnes mitināšanu, klientu pasūtījumu apstrādi, klientu kontu pārvaldību, maksājumu darījumu veicināšanu un FOXI ID koplietotās klientu identitātes infrastruktūras darbināšanu, kas ļauj gala klientiem izmantot vienu kontu vairākās restorānu pasūtīšanas vietnēs platformā.

2.2. Ilgums

Personas datu apstrāde saskaņā ar šo DAL turpinās visu Līguma starp Pārzini un Apstrādātāju darbības laiku. Pēc izbeigšanas dati tiks apstrādāti saskaņā ar šī DAL 8. sadaļu.

2.3. Raksturs un mērķis

Apstrādes raksturs un nolūks ir nodrošināt programmatūras kā pakalpojuma platformu, kas ļauj Pārzinim saņemt tiešsaistes ēdienu pasūtījumus no saviem klientiem, pārvaldīt pasūtījumus un apstrādāt maksājumus.

Apstrādātājs nenosaka gala klientu pasūtījumu datu apstrādes nolūkus. Apstrādātājs nodrošina tikai tehnisko infrastruktūru, ko Pārzinis izmanto šādu datu vākšanai un apstrādei.

Izņēmums — FOXI ID konta dati: lai darbinātu FOXI ID koplietoto klientu identitātes infrastruktūru, Elite Digital Services, LLC darbojas kā neatkarīgs datu pārzinis attiecībā uz FOXI ID konta datiem (pieteikšanās akreditācijas dati, autentifikācijas sesijas un kontaktinformācija, ko izmanto iepriekšējai aizpildei dažādos restorānos). Šie dati netiek apstrādāti saskaņā ar šo DAL, bet gan saskaņā ar Pakalpojuma sniedzēja paša Privātuma politiku. Pārziņa kā datu pārziņa tiesības un pienākumi saskaņā ar šo DAL attiecas uz pasūtījumu datiem, klientu preferencēm un pasūtījumu vēsturi, kas izveidota Pārziņa pasūtīšanas vietnē.

2.4. Datu subjektu kategorijas

• Restorāna partnera gala klienti (fiziskas personas, kas veic ēdienu pasūtījumus);
• Restorāna partnera darbinieki vai pārstāvji, kuriem ir piekļuve administratora vadības panelim.

2.5. Personas datu veidi

• Kontaktdati: vārds, e-pasta adrese, tālruņa numurs;
• Piegādes adrese (ja piemērojams);
• Pasūtījumu dati: pasūtītās vienības, pasūtījumu summas, pasūtījumu vēsture, uztura preferences;
• Maksājumu atsauces: darījumu ID, maksājuma statuss (kartes dati tiek apstrādāti tikai un vienīgi pie maksājumu apstrādātāja, un Apstrādātājs tos neglabā);
• Tehniskie dati: IP adrese, ierīces informācija, pārlūkprogrammas dati (krāpšanas novēršanai un pakalpojuma darbībai);
• FOXI ID konta dati: pieteikšanās akreditācijas dati (e-pasts un jaucējkodēta parole), autentifikācijas sesijas marķieri.

2.6. Datu izolācija un FOXI ID

Platforma uztur koplietotu klientu identitātes infrastruktūru ('FOXI ID'), kas ļauj gala klientiem izmantot vienu kontu vairākās restorānu pasūtīšanas vietnēs. Tiek piemēroti šādi datu izolācijas principi:

• Katrs Pārzinis var piekļūt tikai pasūtījumu datiem, klientu preferencēm un pasūtījumu vēsturei, kas izveidota tā paša pasūtīšanas vietnē;
• Nevienam Pārzinim nav piekļuves gala klientu pasūtījumu datiem, preferencēm vai pasūtījumu vēsturei jebkurā citā restorānā platformā;
• Vienīgie dati, kas tiek koplietoti starp Pārziņiem, izmantojot FOXI ID, ir gala klienta kontaktinformācija (vārds, e-pasts, tālruņa numurs, piegādes adrese), tikai un vienīgi nolūkā iepriekš aizpildīt pasūtījuma veidlapu, lai atvieglotu pasūtīšanas procesu;
• Apstrādātājs nesniedz nevienam Pārzinim apkopotus, anonimizētus vai starprestorānu datus, kas iegūti no FOXI ID.

3. Apstrādātāja pienākumi

Apstrādātājam ir pienākums:

• apstrādāt personas datus tikai saskaņā ar Pārziņa dokumentētiem norādījumiem, tostarp attiecībā uz datu nosūtīšanu uz trešajām valstīm, ja vien to neprasa piemērojamie tiesību akti;
• nodrošināt, ka personas, kuras ir pilnvarotas apstrādāt personas datus, ir apņēmušās ievērot konfidencialitāti vai uz tām attiecas atbilstošs likumā noteikts konfidencialitātes pienākums;
• īstenot atbilstošus tehniskos un organizatoriskos pasākumus, lai nodrošinātu riskam atbilstošu drošības līmeni, kā to prasa VDAR 32. pants;
• nepiesaistīt citu apstrādātāju (apakšapstrādātāju) bez iepriekšējas rakstiskas Pārziņa atļaujas, ievērojot šī DAL 5. sadaļu;
• palīdzēt Pārzinim atbildēt uz Datu subjektu pieprasījumiem (piekļuve, labošana, dzēšana, ierobežošana, pārnesamība, iebildums) VDAR noteiktajos termiņos;
• palīdzēt Pārzinim nodrošināt atbilstību pienākumiem, kas saistīti ar datu aizsardzības ietekmes novērtējumiem un iepriekšēju apspriešanos ar uzraudzības iestādēm (VDAR 35. un 36. pants);
• pēc Pārziņa izvēles dzēst vai atgriezt visus personas datus pēc pakalpojumu sniegšanas beigām un dzēst esošās kopijas, ja vien ES vai dalībvalsts tiesību akti neprasa to glabāšanu;
• darīt Pārzinim pieejamu visu informāciju, kas nepieciešama, lai apliecinātu atbilstību VDAR 28. pantā noteiktajiem pienākumiem, kā arī atļaut un veicināt auditus un pārbaudes;
• uzturēt Pārziņa vārdā veikto apstrādes darbību reģistru saskaņā ar VDAR 30. panta 2. punktu;
• īstenot datu aizsardzību integrēti un pēc noklusējuma saskaņā ar VDAR 25. pantu, nodrošinot, ka tiek apstrādāti tikai katram konkrētajam apstrādes nolūkam nepieciešamie personas dati.

4. Drošības pasākumi

Apstrādātājs īsteno šādus tehniskos un organizatoriskos pasākumus personas datu aizsardzībai:

• Datu šifrēšana pārsūtīšanas laikā, izmantojot TLS 1.2+ / SSL;
• Jutīgu datu šifrēšana glabāšanā;
• piekļuves kontrole ar lomās balstītām atļaujām un daudzfaktoru autentifikāciju administratīvajai piekļuvei;
• Regulāras automātiskas dublējumkopijas ar vismaz 30 dienu saglabāšanu;
• droša mākoņa mitināšanas infrastruktūra ar fiziskas piekļuves kontroli (DigitalOcean);
• Regulāri drošības atjauninājumi, ielāpi un ievainojamību novērtējumi;
• maksājumu apstrāde uzticēta PCI DSS 1. līmeņa sertificētam maksājumu apstrādātājam — Apstrādātājs neglabā kartes datus;
• Paroļu jaukšana, izmantojot nozares standarta kriptogrāfijas algoritmus;
• Piekļuves personas datiem reģistrēšana un uzraudzība;
• Incidentu reaģēšanas un datu aizsardzības pārkāpumu paziņošanas procedūras.

5. Apakšapstrādātāji

5.1. Pilnvaroti apakšapstrādātāji

Pārzinis ar šo piešķir Apstrādātājam vispārēju atļauju piesaistīt šādus apakšapstrādātājus:

• Maksājumu apstrādātājs (pašlaik Stripe, Inc.) — maksājumu apstrāde, krāpšanas novēršana (ASV, PCI DSS 1. līmenis, ir spēkā standarta līguma klauzulas);
• DigitalOcean, LLC — mākoņa mitināšana un infrastruktūra (ES un ASV datu centri, ir spēkā standarta līguma klauzulas);
• Brevo (Sendinblue) — darījumu e-pastu piegāde (Francija/ES).

5.2. Apakšapstrādātāju izmaiņas

Apstrādātājs vismaz 30 dienas iepriekš informēs Pārzini par jebkādām plānotām izmaiņām saistībā ar apakšapstrādātāju pievienošanu vai aizstāšanu, dodot Pārzinim iespēju iebilst pret šādām izmaiņām. Ja Pārzinis pamatoti iebilst, puses labticīgi apspriedīs šīs bažas. Ja vienošanās netiek panākta, Pārzinis var izbeigt Līgumu.

5.3. Apakšapstrādātāju pienākumi

Apstrādātājs nodrošina, ka katram apakšapstrādātājam ir saistoši datu aizsardzības pienākumi, kas nav mazāk aizsargājoši kā šajā DAL noteiktie. Apstrādātājs paliek pilnībā atbildīgs Pārziņa priekšā par katra apakšapstrādātāja pienākumu izpildi.

6. Datu subjektu tiesības

Apstrādātājam ir pienākums:

• nekavējoties informēt Pārzini, ja tas saņem pieprasījumu tieši no Datu subjekta par viņa personas datiem;
• neatbildēt uz šādiem pieprasījumiem tieši, ja vien to nav atļāvis Pārzinis vai to neprasa tiesību akti;
• sniegt Pārzinim saprātīgu palīdzību Datu subjektu pieprasījumu izpildē, tostarp tehniskos pasākumus datu piekļuvei, labošanai, dzēšanai, ierobežošanai un pārnesamībai;
• nodrošināt Pakalpojumā rīkus, kas ļauj Pārzinim patstāvīgi pārvaldīt, eksportēt un dzēst klientu datus.

7. Ietekmes uz datu aizsardzību novērtējumi

Ja apstrādes veids varētu radīt augstu risku fizisku personu tiesībām un brīvībām (VDAR 35. pants), Pārzinis ir atbildīgs par datu aizsardzības ietekmes novērtējuma (DAIN) veikšanu. Apstrādātājs:

• sniedz Pārzinim visu saprātīgi nepieciešamo informāciju DAIN veikšanai;
• pēc saprātīga pieprasījuma palīdz Pārzinim ar DAIN, par Pārziņa līdzekļiem;
• palīdz Pārzinim iepriekšējā apspriešanā ar uzraudzības iestādi, ja to prasa VDAR 36. pants.

Pārzinim ir iepriekš jāinformē Apstrādātājs, ja DAIN norāda, ka apstrāde radītu augstu risku, ja Apstrādātājs neveiktu attiecīgus pasākumus.

8. Paziņojums par datu aizsardzības pārkāpumu

Personas datu aizsardzības pārkāpuma gadījumā apstrādātājam ir pienākums:

• informēt Pārzini bez nepamatotas kavēšanās un jebkurā gadījumā 24 stundu laikā pēc pārkāpuma konstatēšanas, lai Pārzinis varētu izpildīt savu 72 stundu paziņošanas pienākumu uzraudzības iestādei saskaņā ar VDAR 33. pantu;
• sniegt Pārzinim pietiekamu informāciju, lai Pārzinis varētu izpildīt savu pienākumu informēt uzraudzības iestādi un skartos Datu subjektus saskaņā ar VDAR 33. un 34. pantu;
• sadarboties ar Pārzini un veikt saprātīgus pasākumus, lai mazinātu pārkāpuma sekas;
• dokumentēt pārkāpumu, tostarp tā sekas un veiktās korektīvās darbības.

Paziņojumā par pārkāpumu, ciktāl tas pieejams, iekļauj: pārkāpuma raksturu, skarto Datu subjektu kategorijas un aptuveno skaitu, iespējamās sekas un pasākumus, kas veikti vai ierosināti pārkāpuma novēršanai.

9. Datu saglabāšana un dzēšana

9.1. Pārziņa saglabāšanas atbildība

Pārzinis kā savu gala klientu pasūtījumu datu pārzinis ir vienpersoniski atbildīgs par atbilstošu datu glabāšanas periodu noteikšanu un par atbilstību visiem piemērojamiem juridiskajiem, nodokļu un grāmatvedības datu glabāšanas pienākumiem Pārziņa jurisdikcijā. FOXI ID konta datu glabāšanu pārvalda Apstrādātājs kā neatkarīgs datu pārzinis, kā aprakstīts Pakalpojuma sniedzēja Privātuma politikā.

Pakalpojums var nodrošināt konfigurējamus datu glabāšanas iestatījumus, kas ļauj Pārzinim noteikt gala klientu datu automātiskās dzēšanas periodus. Apstrādātājs apstrādā un dzēš gala klientu datus stingri saskaņā ar Pārziņa dokumentētajiem norādījumiem, tostarp glabāšanas iestatījumiem, ko Pārzinis konfigurējis platformā. Apstrādātājs neuzņemas atbildību par Pārziņa izvēlētajiem glabāšanas periodiem vai par jebkādām juridiskajām sekām, kas izriet no datu glabāšanas vai dzēšanas saskaņā ar Pārziņa norādījumiem.

9.2. Izbeigšana

• Pēc Līguma izbeigšanas Apstrādātājs nodrošinās Pārzinim 30 kalendārās dienas, lai eksportētu visus personas datus, izmantojot Pakalpojuma eksporta funkcijas;
• Pēc 30 dienu perioda Apstrādātājs dzēsīs visus Pārziņa vārdā apstrādātos personas datus, ja vien to glabāšanu neprasa piemērojamie tiesību akti;
• Dzēšana tiks veikta, izmantojot drošas metodes, kas padara datus neatgūstamus;
• Apstrādātājs pēc Pārziņa pieprasījuma sniegs rakstisku apstiprinājumu par datu dzēšanu;
• Rezerves kopijas tiks dzēstas saskaņā ar parasto rezerves kopiju rotācijas grafiku (30 dienu laikā pēc dzēšanas pieprasījuma).

10. Starptautiski datu pārsūtījumi

Ja personas dati tiek nosūtīti ārpus Eiropas Ekonomikas zonas (EEZ), Apstrādātājs nodrošina atbilstošu aizsardzības pasākumu esamību, kā to prasa VDAR V nodaļa, tostarp:

• Standarta līguma klauzulas (SLK), ko Eiropas Komisija pieņēmusi saskaņā ar 2021. gada 4. jūnija Īstenošanas lēmumu (ES) 2021/914. Nosūtīšanai apakšapstrādātājiem tiek piemērots otrais modulis (pārzinis–apstrādātājs) vai trešais modulis (apstrādātājs–apstrādātājs) atbilstoši situācijai;
• nosūtīšanas ietekmes novērtējumi katram apakšapstrādātājam, lai novērtētu galamērķa valsts tiesisko regulējumu;
• papildu pasākumi, lai nodrošinātu pienācīgu personas datu aizsardzību, ja nosūtīšanas ietekmes novērtējums konstatē riskus.

Apstrādātājs informē Pārzini par jebkādām galamērķa valsts juridiskajām prasībām, kas var ietekmēt personas datu aizsardzību un spēju ievērot šo DAL. Parakstīto SLK kopijas ir pieejamas pēc pieprasījuma.

11. Auditi un pārbaudes

Apstrādātājs dara Pārzinim pieejamu visu saprātīgi nepieciešamo informāciju, lai apliecinātu atbilstību VDAR 28. pantam. Pārzinis var veikt auditus, tostarp pārbaudes, vai nu tieši, vai izmantojot neatkarīgu trešās puses auditoru, ievērojot:

• Saprātīgs iepriekšējs paziņojums vismaz 30 kalendārās dienas iepriekš;
• auditi tiek veikti parastajā darba laikā un tā, lai pēc iespējas mazāk traucētu darbību;
• Revidentam jābūt saistītam ar konfidencialitātes pienākumiem;
• ne vairāk kā viens audits 12 mēnešu periodā, ja vien to neprasa uzraudzības iestāde.

12. Atbildība

Katras puses atbildība saskaņā ar šo DAL ir pakļauta Pakalpojumu sniegšanas noteikumos izklāstītajiem atbildības ierobežojumiem un izņēmumiem. Nekas šajā DAL neierobežo nevienas puses atbildību par VDAR pārkāpumiem, ciktāl šāds ierobežojums nav atļauts saskaņā ar piemērojamiem tiesību aktiem.

13. ES pārstāvis

Saskaņā ar VDAR 27. pantu Apstrādātājs ir iecēlis šādu struktūru par savu pārstāvi Eiropas Savienībā:

Euro business company Kft.
Rómer Flóris utca 8/B. 3. em., Budapest 1024, Hungary
Nodokļu maksātāja numurs: HU28959364

Pilnu informāciju par ES pārstāvi un tā lomu skatiet GDPR lapā FoxiFood tīmekļa vietnes juridiskajā sadaļā.

14. Kontakti

Jautājumu gadījumā par šo Datu apstrādes līgumu vai datu apstrādes jautājumiem sazinieties ar mums:: support@foxi.food

Elite Digital Services, LLC
1111B S Governors Ave #21653
Dover, DE 19904, USA