Acordo de processamento de dados

1. Definições

• Responsável pelo Tratamento — o parceiro restaurante (Utilizador) que determina as finalidades e os meios de tratamento de dados pessoais dos seus clientes finais através da plataforma FoxiFood.
• Subcontratante — Elite Digital Services, LLC, que trata dados pessoais em nome do Responsável pelo Tratamento para prestar os serviços da plataforma FoxiFood. O Subcontratante é o único operador da plataforma FoxiFood e pode recorrer a subcontratantes ulteriores autorizados em várias jurisdições para realizar tarefas técnicas específicas, conforme estabelecido na Secção 5 do presente ATD.
• Titular dos Dados — a pessoa singular cujos dados pessoais são objeto de tratamento (tipicamente o cliente final que efetua uma encomenda alimentar).
• Dados Pessoais — qualquer informação relativa a uma pessoa singular identificada ou identificável, conforme definido no Artigo 4.º, n.º 1, do GDPR.
• Tratamento — qualquer operação efetuada sobre dados pessoais, incluindo recolha, armazenamento, utilização, transmissão e eliminação.
• Subcontratante Ulterior — um terceiro contratado pelo Subcontratante para tratar dados pessoais em nome do Responsável pelo Tratamento.

2. Âmbito e Finalidade do Tratamento

2.1. Objeto

O Subcontratante trata dados pessoais em nome do Responsável pelo Tratamento com a finalidade de prestar a plataforma de encomendas de restaurantes FoxiFood, incluindo o alojamento do website de encomendas do Responsável pelo Tratamento, o processamento de encomendas de clientes, a gestão de contas de clientes, a facilitação de transações de pagamento e a operação da infraestrutura partilhada de identidade de cliente FOXI ID que permite aos clientes finais utilizar uma única conta em múltiplos websites de encomendas de restaurantes na plataforma.

2.2. Duração

O tratamento de dados pessoais ao abrigo do presente ATD terá a duração do Acordo entre o Responsável pelo Tratamento e o Subcontratante. Após a cessação, os dados serão tratados em conformidade com a Secção 8 do presente ATD.

2.3. Natureza e Finalidade

A natureza e finalidade do tratamento consiste em fornecer uma plataforma de software como serviço que permite ao Responsável pelo Tratamento receber encomendas alimentares online dos seus clientes, gerir encomendas e processar pagamentos.

O Subcontratante não determina as finalidades do tratamento dos dados de encomenda dos clientes finais. O Subcontratante fornece apenas a infraestrutura técnica utilizada pelo Responsável pelo Tratamento para recolher e tratar tais dados.

Exceção — dados da conta FOXI ID: Para efeitos de operação da infraestrutura partilhada de identidade de cliente FOXI ID, a Elite Digital Services, LLC atua como responsável independente pelo tratamento dos dados da conta FOXI ID (credenciais de acesso, sessões de autenticação e informações de contacto utilizadas para pré-preenchimento entre restaurantes). Estes dados não são tratados ao abrigo do presente ATD, mas ao abrigo da Política de Privacidade do Prestador. Os direitos e obrigações do Responsável pelo Tratamento enquanto responsável pelo tratamento de dados ao abrigo do presente ATD aplicam-se aos dados de encomendas, preferências de clientes e histórico de encomendas gerados através do website de encomendas do Responsável pelo Tratamento.

2.4. Categorias de Titulares dos Dados

• Clientes finais do parceiro restaurante (pessoas singulares que efetuam encomendas alimentares);
• Funcionários ou representantes do parceiro restaurante com acesso ao painel de administração.

2.5. Tipos de Dados Pessoais

• Dados de contacto: nome, endereço de e-mail, número de telefone;
• Morada de entrega (quando aplicável);
• Dados de encomenda: artigos encomendados, montantes de encomenda, histórico de encomendas, preferências alimentares;
• Payment references: transaction IDs, payment status (card details are handled exclusively by the payment processor and not stored by the Processor);
• Dados técnicos: endereço IP, informações do dispositivo, dados do navegador (para prevenção de fraude e operação do serviço);
• Dados da conta FOXI ID: credenciais de acesso (e-mail e palavra-passe com hash), tokens de sessão de autenticação.

2.6. Isolamento de Dados e FOXI ID

A plataforma opera uma infraestrutura partilhada de identidade de cliente ('FOXI ID') que permite aos clientes finais utilizar uma única conta em múltiplos websites de encomendas de restaurantes. Aplicam-se os seguintes princípios de isolamento de dados:

• Cada Responsável pelo Tratamento apenas pode aceder a dados de encomendas, preferências de clientes e histórico de encomendas gerados através do seu próprio website de encomendas;
• Nenhum Responsável pelo Tratamento tem acesso a dados de encomendas, preferências ou histórico de encomendas de clientes finais em qualquer outro restaurante na plataforma;
• Os únicos dados partilhados entre Responsáveis pelo Tratamento através do FOXI ID são as informações de contacto do cliente final (nome, e-mail, número de telefone, morada de entrega), exclusivamente para efeitos de pré-preenchimento do formulário de encomenda para facilitar o processo de encomenda;
• O Subcontratante não fornece a qualquer Responsável pelo Tratamento dados agregados, anonimizados ou entre restaurantes derivados do FOXI ID.

3. Obrigações do Subcontratante

O Subcontratante deve:

• Tratar dados pessoais apenas com base em instruções documentadas do Responsável pelo Tratamento, incluindo no que respeita a transferências de dados para países terceiros, salvo se a tal for obrigado pela legislação aplicável;
• Garantir que as pessoas autorizadas a tratar os dados pessoais se tenham comprometido com a confidencialidade ou estejam sujeitas a uma obrigação legal adequada de confidencialidade;
• Implementar medidas técnicas e organizativas adequadas para garantir um nível de segurança adequado ao risco, conforme exigido pelo Artigo 32.º do GDPR;
• Não recorrer a outro subcontratante (subcontratante ulterior) sem autorização prévia por escrito do Responsável pelo Tratamento, sem prejuízo da Secção 5 do presente ATD;
• Assistir o Responsável pelo Tratamento na resposta a pedidos dos Titulares dos Dados (acesso, retificação, apagamento, limitação, portabilidade, oposição) dentro dos prazos exigidos pelo GDPR;
• Assistir o Responsável pelo Tratamento no cumprimento das obrigações relativas a avaliações de impacto sobre a proteção de dados e consulta prévia às autoridades de controlo (Artigos 35.º e 36.º do GDPR);
• Por escolha do Responsável pelo Tratamento, eliminar ou devolver todos os dados pessoais após o término da prestação dos serviços, e eliminar as cópias existentes, salvo se a legislação da UE ou de um Estado-Membro exigir a sua conservação;
• Disponibilizar ao Responsável pelo Tratamento todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas no Artigo 28.º do GDPR e permitir e contribuir para auditorias e inspeções;
• Manter Registos das Atividades de Tratamento realizadas em nome do Responsável pelo Tratamento, em conformidade com o Artigo 30.º, n.º 2, do GDPR;
• Implementar a proteção de dados desde a conceção e por defeito, em conformidade com o Artigo 25.º do GDPR, garantindo que apenas os dados pessoais necessários para cada finalidade específica do tratamento sejam tratados.

4. Medidas de Segurança

O Subcontratante implementa as seguintes medidas técnicas e organizativas para proteger os dados pessoais:

• Encriptação de dados em trânsito utilizando TLS 1.2+ / SSL;
• Encriptação de dados sensíveis em repouso;
• Controlos de acesso com permissões baseadas em funções e autenticação multifator para acesso administrativo;
• Cópias de segurança automatizadas regulares com retenção mínima de 30 dias;
• Infraestrutura de alojamento em nuvem segura com controlos de acesso físico (DigitalOcean);
• Atualizações de segurança regulares, patches e avaliações de vulnerabilidades;Atualizações de segurança regulares, correções e avaliações de vulnerabilidades;
• Payment processing delegated to a PCI DSS Level 1 certified payment processor — no card data stored by the Processor;
• Hashing de senhas usando algoritmos criptográficos padrão da indústria;Hashing de palavras-passe utilizando algoritmos criptográficos de padrão industrial;
• Registo e monitorização do acesso a dados pessoais;
• Procedimentos de resposta a incidentes e notificação de violações de dados.Procedimentos de resposta a incidentes e notificação de violações de dados.

5. Subcontratantes Ulteriores

5.1. Subcontratantes Ulteriores Autorizados

O Responsável pelo Tratamento concede, pelo presente, autorização geral ao Subcontratante para recorrer aos seguintes subcontratantes ulteriores:

• Processador de pagamentos (atualmente Stripe, Inc.) — processamento de pagamentos, prevenção de fraude (EUA, PCI DSS Nível 1, CCTs em vigor);
• DigitalOcean, LLC — alojamento em nuvem e infraestrutura (centros de dados na UE e nos EUA, CCTs em vigor);
• Brevo (Sendinblue) — entrega de e-mails transacionais (França/UE).

5.2. Alterações aos Subcontratantes Ulteriores

O Subcontratante notificará o Responsável pelo Tratamento de quaisquer alterações previstas relativas à adição ou substituição de subcontratantes ulteriores com pelo menos 30 dias de antecedência, dando ao Responsável pelo Tratamento a oportunidade de se opor a tais alterações. Se o Responsável pelo Tratamento se opuser fundamentadamente, as partes discutirão as preocupações de boa-fé. Se não for alcançada uma resolução, o Responsável pelo Tratamento pode resolver o Acordo.

5.3. Obrigações dos Subcontratantes Ulteriores

O Subcontratante garantirá que cada subcontratante ulterior está vinculado por obrigações de proteção de dados não menos protetoras do que as estabelecidas no presente ATD. O Subcontratante permanece plenamente responsável perante o Responsável pelo Tratamento pelo cumprimento das obrigações de cada subcontratante ulterior.

6. Direitos dos Titulares dos Dados

O Subcontratante deve:

• Notificar prontamente o Responsável pelo Tratamento se receber um pedido diretamente de um Titular dos Dados relativamente aos seus dados pessoais;
• Não responder a tais pedidos diretamente, salvo se autorizado pelo Responsável pelo Tratamento ou exigido por lei;
• Prestar ao Responsável pelo Tratamento assistência razoável no cumprimento dos pedidos dos Titulares dos Dados, incluindo medidas técnicas para acesso, retificação, apagamento, limitação e portabilidade de dados;
• Disponibilizar ferramentas no Serviço que permitam ao Responsável pelo Tratamento gerir, exportar e eliminar dados de clientes de forma autónoma.

7. Avaliações de Impacto sobre a Proteção de Dados

Quando um tipo de tratamento for suscetível de resultar num elevado risco para os direitos e liberdades das pessoas singulares (Artigo 35.º do GDPR), o Responsável pelo Tratamento é responsável pela realização de uma Avaliação de Impacto sobre a Proteção de Dados (AIPD). O Subcontratante deve:

• fornecer ao Responsável pelo Tratamento todas as informações razoavelmente necessárias para a realização de uma AIPD;
• assistir o Responsável pelo Tratamento na AIPD mediante pedido razoável, a expensas do Responsável pelo Tratamento;
• assistir o Responsável pelo Tratamento na consulta prévia à autoridade de controlo quando exigido pelo Artigo 36.º do GDPR.

O Responsável pelo Tratamento deve notificar previamente o Subcontratante caso uma AIPD indique que o tratamento resultaria num elevado risco na ausência de medidas tomadas pelo Subcontratante.

8. Notificação de Violação de Dados

Em caso de violação de dados pessoais, o Subcontratante deve:

• Notificar o Responsável pelo Tratamento sem demora injustificada, e em todo o caso no prazo de 24 horas após tomar conhecimento da violação, para permitir ao Responsável pelo Tratamento cumprir a sua obrigação de notificação de 72 horas à autoridade de controlo nos termos do Artigo 33.º do GDPR;
• Fornecer ao Responsável pelo Tratamento informações suficientes para permitir o cumprimento da sua obrigação de notificar a autoridade de controlo e os Titulares dos Dados afetados nos termos dos Artigos 33.º e 34.º do GDPR;
• Cooperar com o Responsável pelo Tratamento e tomar medidas razoáveis para mitigar os efeitos da violação;
• Documentar a violação, incluindo os seus efeitos e as medidas corretivas tomadas.

A notificação de violação deve incluir, na medida do disponível: a natureza da violação, categorias e número aproximado de Titulares dos Dados afetados, consequências prováveis e medidas tomadas ou propostas para tratar a violação.

9. Conservação e Eliminação de Dados

9.1. Responsabilidade de Conservação do Responsável pelo Tratamento

O Responsável pelo Tratamento, enquanto responsável pelo tratamento dos dados de encomendas dos seus clientes finais, é exclusivamente responsável pela determinação de períodos de conservação de dados adequados e pelo cumprimento de todas as obrigações legais, fiscais e contabilísticas de conservação de dados aplicáveis na jurisdição do Responsável pelo Tratamento. A conservação dos dados da conta FOXI ID é gerida pelo Subcontratante na sua qualidade de responsável independente pelo tratamento de dados, conforme descrito na Política de Privacidade do Prestador.

O Serviço pode disponibilizar definições configuráveis de conservação de dados que permitem ao Responsável pelo Tratamento definir períodos de eliminação automática para dados de clientes finais. O Subcontratante trata e elimina dados de clientes finais estritamente de acordo com as instruções documentadas do Responsável pelo Tratamento, incluindo as definições de conservação configuradas pelo Responsável pelo Tratamento na plataforma. O Subcontratante não assume qualquer responsabilidade pela escolha dos períodos de conservação do Responsável pelo Tratamento ou por quaisquer consequências legais decorrentes da conservação ou eliminação de dados em conformidade com as instruções do Responsável pelo Tratamento.

9.2. Cessação

• Após a cessação do Acordo, o Subcontratante concederá ao Responsável pelo Tratamento 30 dias corridos para exportar todos os dados pessoais através das funções de exportação do Serviço;
• Após o período de 30 dias, o Subcontratante eliminará todos os dados pessoais tratados em nome do Responsável pelo Tratamento, salvo se a conservação for exigida pela legislação aplicável;
• A eliminação será efetuada utilizando métodos seguros que tornem os dados irrecuperáveis;
• O Subcontratante fornecerá confirmação escrita da eliminação de dados mediante pedido do Responsável pelo Tratamento;
• As cópias de segurança serão eliminadas de acordo com o calendário regular de rotação de cópias de segurança (no prazo de 30 dias após o pedido de eliminação).

10. Transferências Internacionais de Dados

Quando os dados pessoais forem transferidos para fora do Espaço Económico Europeu (EEE), o Subcontratante garante que são implementadas as garantias adequadas conforme exigido pelo Capítulo V do GDPR, incluindo:

• Cláusulas Contratuais-Tipo (CCTs) adotadas pela Comissão Europeia nos termos da Decisão de Execução (UE) 2021/914 de 4 de junho de 2021. Para transferências para subcontratantes ulteriores, são aplicadas CCTs do Módulo Dois (responsável pelo tratamento para subcontratante) ou Módulo Três (subcontratante para subcontratante), conforme aplicável;
• Avaliações de Impacto de Transferência para cada subcontratante ulterior para avaliar o enquadramento legal do país de destino;
• Medidas suplementares para garantir a proteção adequada dos dados pessoais quando a Avaliação de Impacto de Transferência identifique riscos.

O Subcontratante informará o Responsável pelo Tratamento de quaisquer requisitos legais no país de destino que possam afetar a proteção dos dados pessoais e a capacidade de cumprir o presente ATD. Cópias das CCTs assinadas estão disponíveis mediante pedido.

11. Auditorias e Inspeções

O Subcontratante disponibilizará ao Responsável pelo Tratamento todas as informações razoavelmente necessárias para demonstrar o cumprimento do Artigo 28.º do GDPR. O Responsável pelo Tratamento pode realizar auditorias, incluindo inspeções, diretamente ou através de um auditor independente terceiro, sujeito a:

• Notificação prévia razoável de pelo menos 30 dias corridos;
• Auditorias realizadas durante o horário normal de trabalho e de forma a minimizar perturbações;
• O auditor estar vinculado por obrigações de confidencialidade;
• Não mais de uma auditoria por período de 12 meses, salvo se exigido por uma autoridade de controlo.

12. Responsabilidade

A responsabilidade de cada parte ao abrigo do presente ATD está sujeita às limitações e exclusões de responsabilidade estabelecidas nos Termos de Serviço. Nada no presente ATD limita a responsabilidade de qualquer das partes por violações do GDPR na medida em que tal limitação não seja permitida pela legislação aplicável.

13. Representante na UE

Em conformidade com o Artigo 27.º do GDPR, o Subcontratante designou a seguinte entidade como seu representante na União Europeia:

Euro business company Kft.
Rómer Flóris utca 8/B. 3. em., Budapest 1024, Hungary
Número de identificação fiscal: HU28959364

Para detalhes completos sobre o representante na UE e o seu papel, consulte a página GDPR na secção Jurídico do website FoxiFood.

14. Contacto

Para questões sobre o presente Acordo de Tratamento de Dados ou matérias de tratamento de dados, contacte-nos em: support@foxi.food

Elite Digital Services, LLC
1111B S Governors Ave #21653
Dover, DE 19904, USA