Acord de prelucrare a datelor

1. Definiții

• Operator — partenerul restaurant (Utilizatorul) care stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal ale clienților finali prin intermediul platformei FoxiFood.
• Persoana împuternicită — Elite Digital Services, LLC, care prelucrează date cu caracter personal în numele Operatorului pentru a furniza serviciile platformei FoxiFood. Persoana împuternicită este unicul operator al platformei FoxiFood și poate angaja sub-persoane împuternicite autorizate în diverse jurisdicții pentru îndeplinirea unor sarcini tehnice specifice, conform Secțiunii 5 din prezentul APD.
• Persoana vizată — persoana fizică ale cărei date cu caracter personal sunt prelucrate (de regulă, clientul final care plasează o comandă de mâncare).
• Date cu caracter personal — orice informație referitoare la o persoană fizică identificată sau identificabilă, conform definiției din Articolul 4 alineatul (1) din GDPR.
• Prelucrare — orice operațiune efectuată asupra datelor cu caracter personal, inclusiv colectarea, stocarea, utilizarea, transmiterea și ștergerea.
• Sub-persoană împuternicită — un terț angajat de Persoana împuternicită pentru a prelucra date cu caracter personal în numele Operatorului.

2. Domeniul de aplicare și scopul prelucrării

2.1. Obiectul

Persoana împuternicită prelucrează date cu caracter personal în numele Operatorului în scopul furnizării platformei de comenzi pentru restaurante FoxiFood, inclusiv găzduirea website-ului de comenzi al Operatorului, procesarea comenzilor clienților, gestionarea conturilor clienților, facilitarea tranzacțiilor de plată și operarea infrastructurii comune de identitate a clienților FOXI ID, care permite clienților finali să utilizeze un singur cont pe mai multe website-uri de comenzi ale restaurantelor de pe platformă.

2.2. Durata

Prelucrarea datelor cu caracter personal în temeiul prezentului APD va continua pe durata Acordului dintre Operator și Persoana împuternicită. La încetare, datele vor fi gestionate în conformitate cu Secțiunea 8 din prezentul APD.

2.3. Natura și scopul

Natura și scopul prelucrării constau în furnizarea unei platforme de tip software-as-a-service care permite Operatorului să primească comenzi de mâncare online de la clienții săi, să gestioneze comenzile și să proceseze plățile.

Persoana împuternicită nu stabilește scopurile prelucrării datelor privind comenzile clienților finali. Persoana împuternicită furnizează doar infrastructura tehnică utilizată de Operator pentru colectarea și prelucrarea acestor date.

Excepție — datele contului FOXI ID: în scopul operării infrastructurii comune de identitate a clienților FOXI ID, Elite Digital Services, LLC acționează ca operator de date independent pentru datele contului FOXI ID (datele de autentificare, sesiunile de autentificare și informațiile de contact utilizate pentru precompletarea între restaurante). Aceste date nu sunt prelucrate în temeiul prezentului APD, ci în temeiul Politicii de confidențialitate proprii a Furnizorului. Drepturile și obligațiile Operatorului în calitate de operator de date în temeiul prezentului APD se aplică datelor privind comenzile, preferințelor clienților și istoricului de comenzi generate prin website-ul de comenzi al Operatorului.

2.4. Categorii de persoane vizate

• Clienții finali ai partenerului restaurant (persoane fizice care plasează comenzi de mâncare);
• Angajații sau reprezentanții partenerului restaurant cu acces la panoul de administrare.

2.5. Tipuri de date cu caracter personal

• Date de contact: nume, adresă de e-mail, număr de telefon;
• Adresa de livrare (când este cazul);
• Date privind comenzile: produsele comandate, sumele comenzilor, istoricul comenzilor, preferințele dietetice;
• Payment references: transaction IDs, payment status (card details are handled exclusively by the payment processor and not stored by the Processor);
• Date tehnice: adresa IP, informații despre dispozitiv, date despre browser (pentru prevenirea fraudelor și operarea serviciului);
• Datele contului FOXI ID: date de autentificare (e-mail și parolă criptată), token-uri de sesiune de autentificare.

2.6. Izolarea datelor și FOXI ID

Platforma operează o infrastructură comună de identitate a clienților ("FOXI ID") care permite clienților finali să utilizeze un singur cont pe mai multe website-uri de comenzi ale restaurantelor. Se aplică următoarele principii de izolare a datelor:

• Fiecare Operator poate accesa numai datele privind comenzile, preferințele clienților și istoricul comenzilor generate prin propriul website de comenzi;
• Niciun Operator nu are acces la datele privind comenzile, preferințele sau istoricul comenzilor clienților finali de la orice alt restaurant de pe platformă;
• Singurele date partajate între Operatori prin FOXI ID sunt informațiile de contact ale clientului final (nume, e-mail, număr de telefon, adresă de livrare), exclusiv în scopul precompletării formularului de comandă pentru a facilita procesul de comandă;
• Persoana împuternicită nu furnizează niciunui Operator date agregate, anonimizate sau inter-restaurant derivate din FOXI ID.

3. Obligațiile Persoanei împuternicite

Persoana împuternicită va:

• Prelucra date cu caracter personal numai pe baza instrucțiunilor documentate ale Operatorului, inclusiv în ceea ce privește transferurile de date către țări terțe, cu excepția cazului în care legislația aplicabilă impune altfel;
• Se asigura că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat la respectarea confidențialității sau sunt supuse unei obligații legale corespunzătoare de confidențialitate;
• Implementa măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului, conform cerințelor Articolului 32 din GDPR;
• Nu angaja o altă persoană împuternicită (sub-persoană împuternicită) fără autorizarea prealabilă în scris a Operatorului, sub rezerva Secțiunii 5 din prezentul APD;
• Asista Operatorul în răspunsul la solicitările persoanelor vizate (acces, rectificare, ștergere, restricționare, portabilitate, opoziție) în termenele prevăzute de GDPR;
• Asista Operatorul în asigurarea conformității cu obligațiile referitoare la evaluările impactului asupra protecției datelor și consultarea prealabilă cu autoritățile de supraveghere (Articolele 35 și 36 din GDPR);
• La alegerea Operatorului, șterge sau returna toate datele cu caracter personal după încetarea furnizării serviciilor și șterge copiile existente, cu excepția cazului în care legislația UE sau a statului membru impune stocarea;
• Pune la dispoziția Operatorului toate informațiile necesare pentru a demonstra conformitatea cu obligațiile prevăzute la Articolul 28 din GDPR și permite și contribuie la audituri și inspecții;
• Menține Evidențele activităților de prelucrare desfășurate în numele Operatorului, în conformitate cu Articolul 30 alineatul (2) din GDPR;
• Implementa protecția datelor prin proiectare și în mod implicit, în conformitate cu Articolul 25 din GDPR, asigurându-se că sunt prelucrate numai datele cu caracter personal necesare pentru fiecare scop specific de prelucrare.

4. Măsuri de securitate

Persoana împuternicită implementează următoarele măsuri tehnice și organizatorice pentru protecția datelor cu caracter personal:

• Criptarea datelor în tranzit utilizând TLS 1.2+ / SSL;
• Criptarea datelor sensibile în repaus;
• Controale de acces cu permisiuni bazate pe roluri și autentificare multi-factor pentru accesul administrativ;
• Copii de siguranță automate regulate cu păstrare minimă de 30 de zile;
• Infrastructură de găzduire cloud securizată cu controale fizice de acces (DigitalOcean);
• Actualizări de securitate regulate, aplicarea de patch-uri și evaluări ale vulnerabilităților;
• Payment processing delegated to a PCI DSS Level 1 certified payment processor — no card data stored by the Processor;
• Criptarea parolelor utilizând algoritmi criptografici conform standardelor industriei;
• Înregistrarea și monitorizarea accesului la datele cu caracter personal;
• Proceduri de răspuns la incidente și de notificare a încălcării securității datelor.

5. Sub-persoane împuternicite

5.1. Sub-persoane împuternicite autorizate

Operatorul acordă prin prezenta autorizarea generală pentru Persoana împuternicită de a angaja următoarele sub-persoane împuternicite:

• Procesator de plăți (în prezent Stripe, Inc.) — procesarea plăților, prevenirea fraudelor (SUA, PCI DSS Nivel 1, SCC-uri în vigoare);
• DigitalOcean, LLC — găzduire cloud și infrastructură (centre de date UE și SUA, SCC-uri în vigoare);
• Brevo (Sendinblue) — livrarea de e-mailuri tranzacționale (Franța/UE).

5.2. Modificări ale sub-persoanelor împuternicite

Persoana împuternicită va notifica Operatorul cu privire la orice modificări intenționate privind adăugarea sau înlocuirea sub-persoanelor împuternicite cu cel puțin 30 de zile în avans, oferind Operatorului posibilitatea de a formula obiecții cu privire la aceste modificări. Dacă Operatorul formulează obiecții rezonabile, părțile vor discuta preocupările cu bună-credință. Dacă nu se ajunge la o soluție, Operatorul poate rezilia Acordul.

5.3. Obligațiile sub-persoanelor împuternicite

Persoana împuternicită se va asigura că fiecare sub-persoană împuternicită este obligată prin obligații de protecție a datelor nu mai puțin protectoare decât cele prevăzute în prezentul APD. Persoana împuternicită rămâne pe deplin responsabilă față de Operator pentru îndeplinirea obligațiilor fiecărei sub-persoane împuternicite.

6. Drepturile persoanelor vizate

Persoana împuternicită va:

• Notifica prompt Operatorul dacă primește o solicitare direct de la o Persoană vizată cu privire la datele cu caracter personal ale acesteia;
• Nu răspunde direct la astfel de solicitări decât dacă este autorizată de Operator sau obligată prin lege;
• Furniza Operatorului asistență rezonabilă în îndeplinirea solicitărilor persoanelor vizate, inclusiv măsuri tehnice pentru accesul la date, rectificare, ștergere, restricționare și portabilitate;
• Furniza instrumente în cadrul Serviciului care permit Operatorului să gestioneze, exporteze și șteargă datele clienților în mod independent.

7. Evaluările impactului asupra protecției datelor

În cazul în care un tip de prelucrare este susceptibil de a genera un risc ridicat pentru drepturile și libertățile persoanelor fizice (Articolul 35 GDPR), Operatorul este responsabil pentru efectuarea unei Evaluări a impactului asupra protecției datelor (EIPD). Persoana împuternicită va:

• furniza Operatorului toate informațiile necesare în mod rezonabil pentru efectuarea unei EIPD;
• asista Operatorul în realizarea EIPD la cerere rezonabilă, pe cheltuiala Operatorului;
• asista Operatorul în consultarea prealabilă cu autoritatea de supraveghere acolo unde Articolul 36 din GDPR impune acest lucru.

Operatorul trebuie să notifice în prealabil Persoana împuternicită dacă o EIPD indică faptul că prelucrarea ar genera un risc ridicat în absența măsurilor luate de Persoana împuternicită.

8. Notificarea încălcării securității datelor

În cazul unei încălcări a securității datelor cu caracter personal, Persoana împuternicită va:

• Notifica Operatorul fără întârziere nejustificată și, în orice caz, în termen de 24 de ore de la luarea la cunoștință a încălcării, pentru a permite Operatorului să își îndeplinească obligația de notificare în termen de 72 de ore către autoritatea de supraveghere conform Articolului 33 din GDPR;
• Furniza Operatorului informații suficiente pentru a-i permite să își îndeplinească obligația de a notifica autoritatea de supraveghere și Persoanele vizate afectate în temeiul Articolelor 33 și 34 din GDPR;
• Coopera cu Operatorul și lua măsuri rezonabile pentru atenuarea efectelor încălcării;
• Documenta încălcarea, inclusiv efectele acesteia și măsurile corective luate.

Notificarea privind încălcarea va include, în măsura disponibilității: natura încălcării, categoriile și numărul aproximativ al Persoanelor vizate afectate, consecințele probabile și măsurile luate sau propuse pentru remedierea încălcării.

9. Păstrarea și ștergerea datelor

9.1. Responsabilitatea Operatorului privind păstrarea datelor

Operatorul, în calitate de operator de date pentru datele privind comenzile clienților săi finali, este singurul responsabil pentru stabilirea perioadelor adecvate de păstrare a datelor și pentru conformitatea cu toate obligațiile legale, fiscale și contabile aplicabile privind păstrarea datelor în jurisdicția Operatorului. Păstrarea datelor contului FOXI ID este gestionată de Persoana împuternicită în calitatea sa de operator de date independent, conform descrierii din Politica de confidențialitate a Furnizorului.

Serviciul poate oferi setări configurabile de păstrare a datelor care permit Operatorului să stabilească perioade de ștergere automată pentru datele clienților finali. Persoana împuternicită prelucrează și șterge datele clienților finali strict conform instrucțiunilor documentate ale Operatorului, inclusiv setările de păstrare configurate de Operator în cadrul platformei. Persoana împuternicită nu poartă nicio responsabilitate pentru alegerea perioadelor de păstrare de către Operator sau pentru orice consecințe juridice rezultate din păstrarea sau ștergerea datelor în conformitate cu instrucțiunile Operatorului.

9.2. Încetarea

• La încetarea Acordului, Persoana împuternicită va acorda Operatorului 30 de zile calendaristice pentru a exporta toate datele cu caracter personal prin funcțiile de export ale Serviciului;
• După perioada de 30 de zile, Persoana împuternicită va șterge toate datele cu caracter personal prelucrate în numele Operatorului, cu excepția cazului în care păstrarea este impusă de legislația aplicabilă;
• Ștergerea va fi efectuată prin metode securizate care fac datele irecuperabile;
• Persoana împuternicită va furniza confirmarea scrisă a ștergerii datelor la cererea Operatorului;
• Copiile de siguranță vor fi șterse conform programului regulat de rotație a copiilor de siguranță (în termen de 30 de zile de la cererea de ștergere).

10. Transferuri internaționale de date

În cazul în care datele cu caracter personal sunt transferate în afara Spațiului Economic European (SEE), Persoana împuternicită se asigură că sunt instituite garanții adecvate conform cerințelor Capitolului V din GDPR, inclusiv:

• Clauze contractuale standard (SCC-uri) adoptate de Comisia Europeană în temeiul Deciziei de punere în aplicare (UE) 2021/914 din 4 iunie 2021. Pentru transferurile către sub-persoane împuternicite, se aplică SCC-urile Modulul Doi (operator-persoană împuternicită) sau Modulul Trei (persoană împuternicită-persoană împuternicită), după caz;
• Evaluări ale impactului transferului pentru fiecare sub-persoană împuternicită, în vederea evaluării cadrului juridic al țării de destinație;
• Măsuri suplimentare pentru a asigura protecția adecvată a datelor cu caracter personal în cazul în care Evaluarea impactului transferului identifică riscuri.

Persoana împuternicită va informa Operatorul cu privire la orice cerințe legale din țara de destinație care pot afecta protecția datelor cu caracter personal și capacitatea de conformare cu prezentul APD. Copii ale SCC-urilor semnate sunt disponibile la cerere.

11. Audituri și inspecții

Persoana împuternicită va pune la dispoziția Operatorului toate informațiile necesare în mod rezonabil pentru a demonstra conformitatea cu Articolul 28 din GDPR. Operatorul poate efectua audituri, inclusiv inspecții, fie direct, fie prin intermediul unui auditor terț independent, sub rezerva:

• Notificării prealabile rezonabile de cel puțin 30 de zile calendaristice;
• Auditurilor efectuate în timpul programului normal de lucru și într-un mod care minimizează perturbările;
• Obligației de confidențialitate a auditorului;
• Maximum un audit pe o perioadă de 12 luni, cu excepția cazului în care este solicitat de o autoritate de supraveghere.

12. Răspunderea

Răspunderea fiecărei părți în temeiul prezentului APD este supusă limitărilor și excluderilor de răspundere prevăzute în Termenii și condițiile de utilizare. Nimic din prezentul APD nu limitează răspunderea niciunei părți pentru încălcarea GDPR în măsura în care o astfel de limitare nu este permisă de legislația aplicabilă.

13. Reprezentantul UE

În conformitate cu Articolul 27 din GDPR, Persoana împuternicită a desemnat următoarea entitate ca reprezentant în Uniunea Europeană:

Euro business company Kft.
Rómer Flóris utca 8/B. 3. em., Budapest 1024, Hungary
Număr fiscal: HU28959364

Pentru detalii complete privind reprezentantul UE și rolul acestuia, consultați pagina GDPR din secțiunea Juridic a website-ului FoxiFood.

14. Contact

Pentru întrebări privind prezentul Acord de prelucrare a datelor sau aspecte legate de prelucrarea datelor, contactați-ne la: support@foxi.food

Elite Digital Services, LLC
1111B S Governors Ave #21653
Dover, DE 19904, USA