Umowa powierzenia przetwarzania danych

1. Definicje

• Administrator — partner restauracyjny (Użytkownik), który określa cele i sposoby przetwarzania danych osobowych swoich klientów końcowych za pośrednictwem platformy FoxiFood.
• Podmiot przetwarzający — Elite Digital Services, LLC, która przetwarza dane osobowe w imieniu Administratora w celu świadczenia usług platformy FoxiFood. Podmiot przetwarzający jest jedynym operatorem platformy FoxiFood i może angażować autoryzowanych podwykonawców przetwarzania w różnych jurysdykcjach do wykonywania określonych zadań technicznych, jak określono w Sekcji 5 niniejszej DPA.
• Osoba, której dane dotyczą — osoba fizyczna, której dane osobowe są przetwarzane (zazwyczaj klient końcowy składający zamówienie na żywność).
• Dane osobowe — wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, zgodnie z definicją zawartą w art. 4 ust. 1 RODO.
• Przetwarzanie — każda operacja wykonywana na danych osobowych, w tym zbieranie, przechowywanie, wykorzystywanie, przesyłanie i usuwanie.
• Podwykonawca przetwarzania — podmiot trzeci zaangażowany przez Podmiot przetwarzający do przetwarzania danych osobowych w imieniu Administratora.

2. Zakres i cel przetwarzania

2.1. Przedmiot

The Processor processes personal data on behalf of the Controller for the purpose of providing the FoxiFood restaurant ordering platform, including hosting the Controller's ordering website, processing customer orders, managing customer accounts, facilitating payment transactions, and operating the FOXI ID shared customer identity infrastructure that enables end customers to use a single account across multiple restaurant ordering websites on the platform.

2.2. Czas trwania

Przetwarzanie danych osobowych na podstawie niniejszej DPA będzie kontynuowane przez czas trwania Umowy pomiędzy Administratorem a Podmiotem przetwarzającym. Po rozwiązaniu umowy dane będą obsługiwane zgodnie z Sekcją 8 niniejszej DPA.

2.3. Charakter i cel

Charakter i cel przetwarzania polega na zapewnieniu platformy typu software-as-a-service, która umożliwia Administratorowi przyjmowanie zamówień na żywność online od swoich klientów, zarządzanie zamówieniami i przetwarzanie płatności.

The Processor does not determine the purposes of processing of end customer order data. The Processor provides only the technical infrastructure used by the Controller to collect and process such data.

Wyjątek — dane konta FOXI ID: W celu obsługi współdzielonej infrastruktury tożsamości klientów FOXI ID, Elite Digital Services, LLC działa jako niezależny administrator danych konta FOXI ID (dane logowania, sesje uwierzytelniania oraz dane kontaktowe wykorzystywane do międzyrestauracyjnego automatycznego wypełniania). Dane te nie są przetwarzane na podstawie niniejszej DPA, lecz na podstawie własnej Polityki prywatności Dostawcy. Prawa i obowiązki Administratora jako administratora danych na podstawie niniejszej DPA dotyczą danych zamówień, preferencji klientów oraz historii zamówień wygenerowanych za pośrednictwem strony zamówień Administratora.

2.4. Kategorie osób, których dane dotyczą

• Klienci końcowi partnera restauracyjnego (osoby składające zamówienia na żywność);
• Pracownicy lub przedstawiciele partnera restauracyjnego z dostępem do panelu administracyjnego.

2.5. Rodzaje danych osobowych

• Dane kontaktowe: imię i nazwisko, adres e-mail, numer telefonu;
• Adres dostawy (w stosownych przypadkach);
• Dane zamówień: zamówione pozycje, kwoty zamówień, historia zamówień, preferencje dietetyczne;
• Payment references: transaction IDs, payment status (card details are handled exclusively by the payment processor and not stored by the Processor);
• Technical data: IP address, device information, browser data (for fraud prevention and service operation);
• Dane konta FOXI ID: dane logowania (e-mail i zahaszowane hasło), tokeny sesji uwierzytelniania.

2.6. Izolacja danych i FOXI ID

Platforma obsługuje współdzieloną infrastrukturę tożsamości klientów ('FOXI ID'), która umożliwia klientom końcowym korzystanie z jednego konta na wielu stronach zamówień restauracji. Obowiązują następujące zasady izolacji danych:

• Każdy Administrator ma dostęp wyłącznie do danych zamówień, preferencji klientów i historii zamówień wygenerowanych za pośrednictwem własnej strony zamówień;
• Żaden Administrator nie ma dostępu do danych zamówień, preferencji ani historii zamówień klientów końcowych w jakiejkolwiek innej restauracji na platformie;
• Jedynymi danymi udostępnianymi pomiędzy Administratorami za pośrednictwem FOXI ID są dane kontaktowe klienta końcowego (imię i nazwisko, e-mail, numer telefonu, adres dostawy), wyłącznie w celu automatycznego wypełniania formularza zamówienia w celu ułatwienia procesu zamawiania;
• Podmiot przetwarzający nie udostępnia żadnemu Administratorowi zagregowanych, zanonimizowanych ani międzyrestauracyjnych danych pochodzących z FOXI ID.

3. Obowiązki Podmiotu przetwarzającego

Podmiot przetwarzający zobowiązuje się:

• Przetwarzać dane osobowe wyłącznie na podstawie udokumentowanych instrukcji Administratora, w tym w odniesieniu do przekazywania danych do państw trzecich, chyba że wymaga tego obowiązujące prawo;
• Zapewnić, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi poufności;
• Wdrożyć odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, zgodnie z wymogami art. 32 RODO;
• Nie angażować innego podmiotu przetwarzającego (podwykonawcy przetwarzania) bez uprzedniej pisemnej zgody Administratora, z zastrzeżeniem Sekcji 5 niniejszej DPA;
• Pomagać Administratorowi w odpowiadaniu na żądania osób, których dane dotyczą (dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw) w terminach wymaganych przez RODO;
• Pomagać Administratorowi w zapewnieniu zgodności z obowiązkami związanymi z oceną skutków dla ochrony danych i uprzednimi konsultacjami z organami nadzorczymi (art. 35 i 36 RODO);
• Na wybór Administratora usunąć lub zwrócić wszystkie dane osobowe po zakończeniu świadczenia usług i usunąć istniejące kopie, chyba że prawo UE lub państwa członkowskiego wymaga ich przechowywania;
• Udostępnić Administratorowi wszelkie informacje niezbędne do wykazania zgodności z obowiązkami określonymi w art. 28 RODO oraz umożliwić i przyczyniać się do przeprowadzania audytów i inspekcji;
• Prowadzić rejestry czynności przetwarzania wykonywanych w imieniu Administratora, zgodnie z art. 30 ust. 2 RODO;
• Wdrożyć ochronę danych w fazie projektowania i domyślną ochronę danych zgodnie z art. 25 RODO, zapewniając, że przetwarzane są wyłącznie dane osobowe niezbędne do każdego konkretnego celu przetwarzania.

4. Środki bezpieczeństwa

Podmiot przetwarzający wdraża następujące środki techniczne i organizacyjne w celu ochrony danych osobowych:

• Szyfrowanie danych w transmisji przy użyciu TLS 1.2+ / SSL;
• Szyfrowanie wrażliwych danych w spoczynku;
• Kontrola dostępu z uprawnieniami opartymi na rolach i uwierzytelnianiem wieloskładnikowym dla dostępu administracyjnego;
• Regularne automatyczne kopie zapasowe z minimalnym okresem przechowywania wynoszącym 30 dni;
• Bezpieczna infrastruktura hostingu w chmurze z fizyczną kontrolą dostępu (DigitalOcean);
• Regularne aktualizacje zabezpieczeń, łatki i oceny podatności;
• Payment processing delegated to a PCI DSS Level 1 certified payment processor — no card data stored by the Processor;
• Haszowanie haseł przy użyciu standardowych algorytmów kryptograficznych;Haszowanie haseł przy użyciu standardowych algorytmów kryptograficznych;
• Rejestrowanie i monitorowanie dostępu do danych osobowych;
• Procedury reagowania na incydenty i powiadamiania o naruszeniach danych.Procedury reagowania na incydenty i powiadamiania o naruszeniach danych.

5. Podwykonawcy przetwarzania

5.1. Autoryzowani podwykonawcy przetwarzania

Administrator niniejszym udziela ogólnej zgody na zaangażowanie przez Podmiot przetwarzający następujących podwykonawców przetwarzania:

• Procesor płatności (obecnie Stripe, Inc.) — przetwarzanie płatności, zapobieganie oszustwom (USA, PCI DSS Level 1, SCC wdrożone);
• DigitalOcean, LLC — hosting w chmurze i infrastruktura (centra danych w UE i USA, SCC wdrożone);
• Brevo (Sendinblue) — dostarczanie wiadomości e-mail transakcyjnych (Francja/UE).

5.2. Zmiany podwykonawców przetwarzania

Podmiot przetwarzający powiadomi Administratora o wszelkich planowanych zmianach dotyczących dodania lub zastąpienia podwykonawców przetwarzania z co najmniej 30-dniowym wyprzedzeniem, dając Administratorowi możliwość wniesienia sprzeciwu wobec takich zmian. Jeżeli Administrator wniesie uzasadniony sprzeciw, strony omówią zastrzeżenia w dobrej wierze. Jeżeli nie zostanie osiągnięte porozumienie, Administrator może rozwiązać Umowę.

5.3. Obowiązki podwykonawców przetwarzania

Podmiot przetwarzający zapewni, że każdy podwykonawca przetwarzania jest związany obowiązkami w zakresie ochrony danych nie mniej rygorystycznymi niż określone w niniejszej DPA. Podmiot przetwarzający pozostaje w pełni odpowiedzialny wobec Administratora za wykonanie obowiązków przez każdego podwykonawcę przetwarzania.

6. Prawa osób, których dane dotyczą

Podmiot przetwarzający zobowiązuje się:

• Niezwłocznie powiadomić Administratora, jeżeli otrzyma żądanie bezpośrednio od osoby, której dane dotyczą, w sprawie jej danych osobowych;
• Nie odpowiadać bezpośrednio na takie żądania, chyba że zostanie do tego upoważniony przez Administratora lub zobowiązany przez prawo;
• Zapewnić Administratorowi rozsądną pomoc w realizacji żądań osób, których dane dotyczą, w tym środki techniczne umożliwiające dostęp do danych, ich sprostowanie, usunięcie, ograniczenie i przenoszenie;
• Zapewnić narzędzia w ramach Usługi umożliwiające Administratorowi samodzielne zarządzanie, eksportowanie i usuwanie danych klientów.

7. Ocena skutków dla ochrony danych

W przypadku, gdy dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych (art. 35 RODO), Administrator jest odpowiedzialny za przeprowadzenie oceny skutków dla ochrony danych (DPIA). Podmiot przetwarzający zobowiązuje się:

• dostarczyć Administratorowi wszelkich informacji rozsądnie niezbędnych do przeprowadzenia DPIA;
• pomagać Administratorowi w przeprowadzeniu DPIA na rozsądne żądanie, na koszt Administratora;
• pomagać Administratorowi w uprzednich konsultacjach z organem nadzorczym, gdy wymaga tego art. 36 RODO.

Administrator musi z wyprzedzeniem powiadomić Podmiot przetwarzający, jeżeli DPIA wskaże, że przetwarzanie wiązałoby się z wysokim ryzykiem w przypadku braku środków podjętych przez Podmiot przetwarzający.

8. Powiadomienie o naruszeniu danych

W przypadku naruszenia danych osobowych Podmiot przetwarzający zobowiązuje się:

• Powiadomić Administratora bez zbędnej zwłoki, a w każdym przypadku w ciągu 24 godzin od powzięcia wiadomości o naruszeniu, aby umożliwić Administratorowi spełnienie 72-godzinnego obowiązku powiadomienia organu nadzorczego na podstawie art. 33 RODO;
• Dostarczyć Administratorowi wystarczających informacji umożliwiających Administratorowi spełnienie obowiązku powiadomienia organu nadzorczego i dotkniętych osób, których dane dotyczą, na podstawie art. 33 i 34 RODO;
• Współpracować z Administratorem i podjąć rozsądne kroki w celu złagodzenia skutków naruszenia;
• Udokumentować naruszenie, w tym jego skutki i podjęte działania naprawcze.

Powiadomienie o naruszeniu powinno zawierać, w zakresie dostępnym: charakter naruszenia, kategorie i przybliżoną liczbę dotkniętych osób, których dane dotyczą, prawdopodobne konsekwencje oraz środki podjęte lub proponowane w celu zaradzenia naruszeniu.

9. Przechowywanie i usuwanie danych

9.1. Odpowiedzialność Administratora za przechowywanie danych

The Controller, as the data controller for order data of its end customers, is solely responsible for determining appropriate data retention periods and for compliance with all applicable legal, tax, and accounting data retention obligations in the Controller's jurisdiction. FOXI ID account data retention is managed by the Processor in its capacity as independent data controller, as described in the Provider's Privacy Policy.

Usługa może zapewnić konfigurowalne ustawienia przechowywania danych, które umożliwiają Administratorowi ustawienie automatycznych okresów usuwania danych klientów końcowych. Podmiot przetwarzający przetwarza i usuwa dane klientów końcowych ściśle zgodnie z udokumentowanymi instrukcjami Administratora, w tym z ustawieniami przechowywania skonfigurowanymi przez Administratora w ramach platformy. Podmiot przetwarzający nie ponosi odpowiedzialności za wybór przez Administratora okresów przechowywania ani za jakiekolwiek konsekwencje prawne wynikające z przechowywania lub usuwania danych zgodnie z instrukcjami Administratora.

9.2. Rozwiązanie umowy

• Po rozwiązaniu Umowy Podmiot przetwarzający zapewni Administratorowi 30 dni kalendarzowych na wyeksportowanie wszystkich danych osobowych za pośrednictwem funkcji eksportu Usługi;
• Po upływie 30-dniowego okresu Podmiot przetwarzający usunie wszystkie dane osobowe przetwarzane w imieniu Administratora, chyba że przechowywanie jest wymagane przez obowiązujące prawo;
• Usunięcie zostanie przeprowadzone przy użyciu bezpiecznych metod uniemożliwiających odzyskanie danych;
• Podmiot przetwarzający dostarczy pisemne potwierdzenie usunięcia danych na żądanie Administratora;
• Kopie zapasowe zostaną usunięte zgodnie z regularnym harmonogramem rotacji kopii zapasowych (w ciągu 30 dni od żądania usunięcia).

10. Międzynarodowe przekazywanie danych

W przypadku przekazywania danych osobowych poza Europejski Obszar Gospodarczy (EOG) Podmiot przetwarzający zapewnia odpowiednie zabezpieczenia wymagane przez rozdział V RODO, w tym:

• Standardowe klauzule umowne (SCC) przyjęte przez Komisję Europejską na podstawie decyzji wykonawczej (UE) 2021/914 z dnia 4 czerwca 2021 r. W przypadku przekazywania danych podwykonawcom przetwarzania stosowane są odpowiednio SCC Modułu Drugiego (administrator-podmiot przetwarzający) lub Modułu Trzeciego (podmiot przetwarzający-podmiot przetwarzający);
• Oceny wpływu przekazywania danych dla każdego podwykonawcy przetwarzania w celu oceny ram prawnych kraju docelowego;
• Środki uzupełniające w celu zapewnienia odpowiedniej ochrony danych osobowych w przypadku, gdy ocena wpływu przekazywania danych zidentyfikuje ryzyka.

Podmiot przetwarzający poinformuje Administratora o wszelkich wymogach prawnych w kraju docelowym, które mogą mieć wpływ na ochronę danych osobowych i możliwość przestrzegania niniejszej DPA. Kopie podpisanych SCC są dostępne na żądanie.

11. Audyty i inspekcje

Podmiot przetwarzający udostępni Administratorowi wszelkie informacje rozsądnie niezbędne do wykazania zgodności z art. 28 RODO. Administrator może przeprowadzać audyty, w tym inspekcje, bezpośrednio lub za pośrednictwem niezależnego audytora zewnętrznego, z zastrzeżeniem:

• Rozsądnego wcześniejszego powiadomienia z co najmniej 30-dniowym wyprzedzeniem;
• Audytów przeprowadzanych w regularnych godzinach pracy i w sposób minimalizujący zakłócenia;
• Obowiązku poufności wiążącego audytora;
• Nie więcej niż jednego audytu w ciągu 12 miesięcy, chyba że wymaga tego organ nadzorczy.

12. Odpowiedzialność

Odpowiedzialność każdej ze stron na podstawie niniejszej DPA podlega ograniczeniom i wyłączeniom odpowiedzialności określonym w Warunkach korzystania z usługi. Żadne postanowienie niniejszej DPA nie ogranicza odpowiedzialności żadnej ze stron za naruszenia RODO w zakresie, w jakim takie ograniczenie nie jest dozwolone przez obowiązujące prawo.

13. Przedstawiciel w UE

Zgodnie z art. 27 RODO Podmiot przetwarzający wyznaczył następujący podmiot jako swojego przedstawiciela w Unii Europejskiej:

Euro business company Kft.
Rómer Flóris utca 8/B. 3. em., Budapest 1024, Hungary
Numer podatkowy: HU28959364

Pełne informacje o przedstawicielu w UE i jego roli znajdują się na stronie RODO w sekcji Dokumenty prawne na stronie FoxiFood.

14. Kontakt

W razie pytań dotyczących niniejszej Umowy powierzenia przetwarzania danych lub kwestii przetwarzania danych prosimy o kontakt pod adresem: support@foxi.food

Elite Digital Services, LLC
1111B S Governors Ave #21653
Dover, DE 19904, USA