Databehandleravtale

1. Definisjoner

• Behandlingsansvarlig — restaurantpartneren (brukeren) som bestemmer formålene med og midlene for behandlingen av personopplysningene til sine sluttkunder gjennom FoxiFood-plattformen.
• Databehandler — Elite Digital Services, LLC, som behandler personopplysninger på vegne av den behandlingsansvarlige for å levere tjenestene på FoxiFood-plattformen. Databehandleren er eneste operatør av FoxiFood-plattformen og kan engasjere autoriserte underdatabehandlere i ulike jurisdiksjoner for å utføre bestemte tekniske oppgaver, slik det er angitt i punkt 5 i denne DPA-en.
• Den registrerte — personen hvis personopplysninger behandles (vanligvis sluttkunden som legger inn en matbestilling).
• Personopplysninger — enhver opplysning om en identifisert eller identifiserbar fysisk person, slik det er definert i artikkel 4 nr. 1 i GDPR.
• Behandling — enhver operasjon som utføres på personopplysninger, inkludert innsamling, lagring, bruk, overføring og sletting.
• Underdatabehandler — en tredjepart som databehandleren engasjerer for å behandle personopplysninger på vegne av den behandlingsansvarlige.

2. Omfang og formål med behandlingen

2.1. Gjenstand

Databehandleren behandler personopplysninger på vegne av den behandlingsansvarlige med det formål å levere FoxiFood-restaurantbestillingsplattformen, inkludert å være vert for den behandlingsansvarliges bestillingsnettsted, behandle kundebestillinger, administrere kundekontoer, legge til rette for betalingstransaksjoner og drive FOXI ID-infrastrukturen for delt kundeidentitet som gjør det mulig for sluttkunder å bruke én enkelt konto på tvers av flere restaurantbestillingsnettsteder på plattformen.

2.2. Varighet

Behandlingen av personopplysninger under denne DPA-en skal pågå så lenge avtalen mellom den behandlingsansvarlige og databehandleren varer. Ved opphør skal data håndteres i samsvar med punkt 8 i denne DPA-en.

2.3. Art og formål

Behandlingens art og formål er å levere en programvare-som-en-tjeneste-plattform som gjør det mulig for den behandlingsansvarlige å motta matbestillinger på nett fra sine kunder, administrere bestillinger og behandle betalinger.

Databehandleren bestemmer ikke formålene med behandlingen av sluttkundenes bestillingsdata. Databehandleren leverer kun den tekniske infrastrukturen som den behandlingsansvarlige bruker til å samle inn og behandle slike data.

Unntak – FOXI ID-kontodata: Med henblikk på driften av FOXI ID-infrastrukturen for delt kundeidentitet opptrer Elite Digital Services, LLC som en uavhengig behandlingsansvarlig for FOXI ID-kontodata (påloggingsinformasjon, autentiseringsøkter og kontaktinformasjon som brukes til forhåndsutfylling på tvers av restauranter). Disse dataene behandles ikke under denne DPA-en, men under leverandørens egen personvernerklæring. Den behandlingsansvarliges rettigheter og plikter som behandlingsansvarlig under denne DPA-en gjelder for bestillingsdata, kundepreferanser og bestillingshistorikk som genereres gjennom den behandlingsansvarliges bestillingsnettsted.

2.4. Kategorier av registrerte

• Sluttkunder hos restaurantpartneren (personer som legger inn matbestillinger);
• Ansatte eller representanter for restaurantpartneren med tilgang til administrasjonspanelet.

2.5. Typer personopplysninger

• Kontaktdata: navn, e-postadresse, telefonnummer;
• Leveringsadresse (når aktuelt);
• Bestillingsdata: bestilte varer, bestillingsbeløp, bestillingshistorikk, kostholdspreferanser;
• Betalingsreferanser: transaksjons-ID-er, betalingsstatus (kortopplysninger håndteres utelukkende av betalingsformidleren og lagres ikke av databehandleren);
• Tekniske data: IP-adresse, enhetsinformasjon, nettleserdata (for svindelforebygging og tjenestedrift);
• FOXI ID-kontodata: påloggingsinformasjon (e-post og hashet passord), tokens for autentiseringsøkter.

2.6. Dataisolering og FOXI ID

Plattformen driver en infrastruktur for delt kundeidentitet («FOXI ID») som gjør det mulig for sluttkunder å bruke én enkelt konto på tvers av flere restaurantbestillingsnettsteder. Følgende prinsipper for dataisolering gjelder:

• Hver behandlingsansvarlig har bare tilgang til bestillingsdata, kundepreferanser og bestillingshistorikk som genereres gjennom sitt eget bestillingsnettsted;
• Ingen behandlingsansvarlig har tilgang til bestillingsdata, preferanser eller bestillingshistorikk for sluttkunder ved noen annen restaurant på plattformen;
• De eneste dataene som deles på tvers av behandlingsansvarlige gjennom FOXI ID, er sluttkundens kontaktinformasjon (navn, e-post, telefonnummer, leveringsadresse), utelukkende med det formål å forhåndsutfylle bestillingsskjemaet for å forenkle bestillingsprosessen;
• Databehandleren gir ingen behandlingsansvarlig tilgang til aggregerte, anonymiserte eller restaurantovergripende data utledet fra FOXI ID.

3. Databehandlerens forpliktelser

Databehandleren skal:

• Behandle personopplysninger kun etter dokumenterte instrukser fra den behandlingsansvarlige, herunder med hensyn til overføring av data til tredjeland, med mindre gjeldende lovgivning krever noe annet;
• Sikre at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til taushetsplikt eller er underlagt en egnet lovbestemt taushetsplikt;
• Iverksette egnede tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er tilpasset risikoen, slik artikkel 32 i GDPR krever;
• Ikke engasjere en annen databehandler (underdatabehandler) uten skriftlig forhåndstillatelse fra den behandlingsansvarlige, med forbehold om punkt 5 i denne DPA-en;
• Bistå den behandlingsansvarlige med å besvare forespørsler fra registrerte (innsyn, retting, sletting, begrensning, dataportabilitet, innsigelse) innen de fristene som GDPR krever;
• Bistå den behandlingsansvarlige med å sikre overholdelse av forpliktelser knyttet til vurderinger av personvernkonsekvenser og forhåndsdrøftinger med tilsynsmyndigheter (artikkel 35 og 36 i GDPR);
• Etter den behandlingsansvarliges valg slette eller tilbakelevere alle personopplysninger etter at leveringen av tjenestene er avsluttet, og slette eksisterende kopier med mindre EU-retten eller en medlemsstats lovgivning krever lagring;
• Gjøre tilgjengelig for den behandlingsansvarlige all informasjon som er nødvendig for å påvise overholdelse av forpliktelsene fastsatt i artikkel 28 i GDPR, og muliggjøre og bidra til revisjoner og inspeksjoner;
• Føre protokoller over behandlingsaktiviteter som utføres på vegne av den behandlingsansvarlige, i samsvar med artikkel 30 nr. 2 i GDPR;
• Implementere innebygd personvern og personvern som standard i samsvar med artikkel 25 i GDPR, og sikre at kun personopplysninger som er nødvendige for hvert bestemt behandlingsformål, behandles.

4. Sikkerhetstiltak

Databehandleren iverksetter følgende tekniske og organisatoriske tiltak for å beskytte personopplysninger:

• Kryptering av data under overføring med TLS 1.2+ / SSL;
• Kryptering av sensitive data i hvile;
• Tilgangskontroller med rollebaserte tillatelser og flerfaktorautentisering for administrativ tilgang;
• Regelmessige automatiserte sikkerhetskopier med minimum 30 dagers oppbevaring;
• Sikker skybasert vertsinfrastruktur med fysisk tilgangskontroll (DigitalOcean);
• Regelmessige sikkerhetsoppdateringer, feilrettinger og sårbarhetsvurderinger;
• Betalingsbehandling delegert til en betalingsformidler sertifisert etter PCI DSS nivå 1 – ingen kortdata lagres av databehandleren;
• Passordhashing med kryptografiske algoritmer i henhold til bransjestandard;
• Logging og overvåking av tilgang til personopplysninger;
• Prosedyrer for hendelseshåndtering og varsling om databrudd.

5. Underdatabehandlere

5.1. Autoriserte underdatabehandlere

Den behandlingsansvarlige gir herved generell tillatelse til at databehandleren engasjerer følgende underdatabehandlere:

• Betalingsbehandler (for tiden Stripe, Inc.) — betalingsbehandling, svindelforebygging (USA, PCI DSS nivå 1, SCC-er på plass);
• DigitalOcean, LLC — skydrift og infrastruktur (datasentre i EU og USA, SCC-er på plass);
• Brevo (Sendinblue) — transaksjonell e-postlevering (Frankrike/EU).

5.2. Endringer av underdatabehandlere

Databehandleren vil varsle den behandlingsansvarlige om eventuelle planlagte endringer som gjelder tilføyelse eller utskifting av underdatabehandlere minst 30 dager i forveien, slik at den behandlingsansvarlige får mulighet til å gjøre innsigelse mot slike endringer. Hvis den behandlingsansvarlige har rimelige innsigelser, skal partene drøfte bekymringene i god tro. Hvis det ikke oppnås en løsning, kan den behandlingsansvarlige si opp avtalen.

5.3. Underdatabehandleres forpliktelser

Databehandleren skal sikre at hver underdatabehandler er bundet av personvernforpliktelser som gir minst like sterk beskyttelse som dem som er fastsatt i denne DPA-en. Databehandleren forblir fullt ut ansvarlig overfor den behandlingsansvarlige for hver underdatabehandlers oppfyllelse av sine forpliktelser.

6. De registrertes rettigheter

Databehandleren skal:

• Omgående varsle den behandlingsansvarlige hvis den mottar en forespørsel direkte fra en registrert om vedkommendes personopplysninger;
• Ikke svare på slike forespørsler direkte med mindre den er autorisert av den behandlingsansvarlige eller pålagt ved lov;
• Gi den behandlingsansvarlige rimelig bistand med å oppfylle forespørsler fra registrerte, inkludert tekniske tiltak for innsyn i, retting, sletting, begrensning og portabilitet av data;
• Tilby verktøy i tjenesten som gjør det mulig for den behandlingsansvarlige å administrere, eksportere og slette kundedata på egen hånd.

7. Vurdering av personvernkonsekvenser

Når en type behandling sannsynligvis vil medføre høy risiko for fysiske personers rettigheter og friheter (artikkel 35 i GDPR), er den behandlingsansvarlige ansvarlig for å gjennomføre en vurdering av personvernkonsekvenser (DPIA). Databehandleren skal:

• gi den behandlingsansvarlige all informasjon som med rimelighet er nødvendig for å gjennomføre en DPIA;
• bistå den behandlingsansvarlige med DPIA-en ved rimelig forespørsel, for den behandlingsansvarliges regning;
• bistå den behandlingsansvarlige med forhåndsdrøfting med tilsynsmyndigheten der dette kreves etter artikkel 36 i GDPR.

Den behandlingsansvarlige må varsle databehandleren på forhånd dersom en DPIA viser at behandlingen ville medføre høy risiko i fravær av tiltak truffet av databehandleren.

8. Varsling om databrudd

Ved brudd på personopplysningssikkerheten skal databehandleren:

• Varsle den behandlingsansvarlige uten ugrunnet opphold, og uansett innen 24 timer etter å ha blitt oppmerksom på bruddet, slik at den behandlingsansvarlige kan overholde sin 72-timers varslingsplikt overfor tilsynsmyndigheten etter artikkel 33 i GDPR;
• Gi den behandlingsansvarlige tilstrekkelig informasjon til at den behandlingsansvarlige kan oppfylle sin plikt til å varsle tilsynsmyndigheten og berørte registrerte etter artikkel 33 og 34 i GDPR;
• Samarbeide med den behandlingsansvarlige og treffe rimelige tiltak for å begrense virkningene av bruddet;
• Dokumentere bruddet, inkludert dets virkninger og de korrigerende tiltakene som er truffet.

Bruddvarselet skal, i den grad det er tilgjengelig, omfatte: bruddets art, kategoriene og det omtrentlige antallet berørte registrerte, sannsynlige konsekvenser og tiltak som er truffet eller foreslått for å håndtere bruddet.

9. Datalagring og sletting

9.1. Behandlingsansvarliges lagringsansvar

Den behandlingsansvarlige, som behandlingsansvarlig for bestillingsdataene til sine sluttkunder, er alene ansvarlig for å fastsette egnede oppbevaringsperioder for data og for å overholde alle gjeldende juridiske, skattemessige og regnskapsmessige oppbevaringsforpliktelser i den behandlingsansvarliges jurisdiksjon. Oppbevaring av FOXI ID-kontodata håndteres av databehandleren i dens egenskap av uavhengig behandlingsansvarlig, slik det er beskrevet i leverandørens personvernerklæring.

Tjenesten kan tilby konfigurerbare innstillinger for dataoppbevaring som lar den behandlingsansvarlige fastsette automatiske sletteperioder for sluttkundedata. Databehandleren behandler og sletter sluttkundedata strengt i samsvar med den behandlingsansvarliges dokumenterte instrukser, inkludert de oppbevaringsinnstillingene den behandlingsansvarlige har konfigurert i plattformen. Databehandleren bærer intet ansvar for den behandlingsansvarliges valg av oppbevaringsperioder eller for eventuelle rettslige konsekvenser som følger av at data oppbevares eller slettes i samsvar med den behandlingsansvarliges instrukser.

9.2. Oppsigelse

• Ved opphør av avtalen vil databehandleren gi den behandlingsansvarlige 30 kalenderdager til å eksportere alle personopplysninger via tjenestens eksportfunksjoner;
• Etter 30-dagersperioden vil databehandleren slette alle personopplysninger som behandles på vegne av den behandlingsansvarlige, med mindre oppbevaring er pålagt ved gjeldende lov;
• Sletting vil bli utført ved hjelp av sikre metoder som gjør data uopprettelige;
• Databehandleren vil gi skriftlig bekreftelse på sletting av data på forespørsel fra den behandlingsansvarlige;
• Sikkerhetskopier vil bli slettet i henhold til den ordinære rotasjonsplanen for sikkerhetskopier (innen 30 dager etter sletteforespørselen).

10. Internasjonale dataoverføringer

Når personopplysninger overføres ut av Det europeiske økonomiske samarbeidsområdet (EØS), sørger databehandleren for at egnede garantier er på plass slik kapittel V i GDPR krever, herunder:

• Standard personvernbestemmelser (SCC-er) vedtatt av Europakommisjonen i henhold til gjennomføringsbeslutning (EU) 2021/914 av 4. juni 2021. For overføringer til underdatabehandlere benyttes SCC-er etter modul to (behandlingsansvarlig-til-databehandler) eller modul tre (databehandler-til-databehandler), alt etter hva som er aktuelt;
• Vurderinger av overføringskonsekvenser for hver underdatabehandler for å evaluere det rettslige rammeverket i mottakerlandet;
• Supplerende tiltak for å sikre tilstrekkelig beskyttelse av personopplysninger der vurderingen av overføringskonsekvenser avdekker risikoer.

Databehandleren skal informere den behandlingsansvarlige om eventuelle lovkrav i mottakerlandet som kan påvirke beskyttelsen av personopplysninger og muligheten til å overholde denne DPA-en. Kopier av de signerte SCC-ene er tilgjengelige på forespørsel.

11. Revisjoner og inspeksjoner

Databehandleren skal gjøre tilgjengelig for den behandlingsansvarlige all informasjon som med rimelighet er nødvendig for å påvise overholdelse av artikkel 28 i GDPR. Den behandlingsansvarlige kan gjennomføre revisjoner, herunder inspeksjoner, enten direkte eller gjennom en uavhengig tredjepartsrevisor, med forbehold om:

• Rimelig forhåndsvarsel på minst 30 kalenderdager;
• Revisjoner gjennomføres i ordinær arbeidstid og på en måte som minimerer forstyrrelser;
• Revisoren må være bundet av taushetsplikt;
• Ikke mer enn én revisjon per 12-månedersperiode, med mindre en tilsynsmyndighet krever det.

12. Ansvar

Hver parts ansvar under denne DPA-en er underlagt ansvarsbegrensningene og ansvarsfraskrivelsene fastsatt i tjenestevilkårene. Ingenting i denne DPA-en begrenser noen av partenes ansvar for brudd på GDPR i den grad en slik begrensning ikke er tillatt etter gjeldende lov.

13. EU-representant

I samsvar med artikkel 27 i GDPR har databehandleren utnevnt følgende enhet som sin representant i Den europeiske union:

Euro business company Kft.
Rómer Flóris utca 8/B. 3. em., Budapest 1024, Hungary
Skattenummer: HU28959364

For fullstendige opplysninger om EU-representanten og dens rolle, se GDPR-siden i den juridiske delen av FoxiFood-nettstedet.

14. Kontakt

Hvis du har spørsmål om denne databehandleravtalen eller forhold knyttet til databehandling, kontakt oss på: support@foxi.food

Elite Digital Services, LLC
1111B S Governors Ave #21653
Dover, DE 19904, USA