Zmluva o spracúvaní údajov

1. Definície

• Správca údajov — reštauračný partner (Používateľ), ktorý určuje účely a prostriedky spracúvania osobných údajov svojich koncových zákazníkov prostredníctvom platformy FoxiFood.
• Spracovateľ — Elite Digital Services, LLC, ktorá spracúva osobné údaje v mene Prevádzkovateľa za účelom poskytovania služieb platformy FoxiFood. Spracovateľ je jediným prevádzkovateľom platformy FoxiFood a môže poveriť oprávnených ďalších spracovateľov v rôznych jurisdikciách plnením konkrétnych technických úloh, ako je stanovené v oddiele 5 tejto DPA.
• Dotknutá osoba — fyzická osoba, ktorej osobné údaje sa spracúvajú (typicky koncový zákazník zadávajúci objednávku jedla).
• Osobné údaje — akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby v zmysle článku 4 ods. 1 GDPR.
• Spracovanie — akákoľvek operácia vykonávaná s osobnými údajmi vrátane ich zhromažďovania, uchovávania, používania, prenosu a vymazania.
• Ďalší spracovateľ — tretia strana poverená Spracovateľom na spracovanie osobných údajov v mene Prevádzkovateľa.

2. Rozsah a účel spracúvania

2.1. Predmet

The Processor processes personal data on behalf of the Controller for the purpose of providing the FoxiFood restaurant ordering platform, including hosting the Controller's ordering website, processing customer orders, managing customer accounts, facilitating payment transactions, and operating the FOXI ID shared customer identity infrastructure that enables end customers to use a single account across multiple restaurant ordering websites on the platform.

2.2. Trvanie

Spracúvanie osobných údajov podľa tejto DPA trvá po celú dobu platnosti Zmluvy medzi Prevádzkovateľom a Spracovateľom. Po ukončení sa s údajmi nakladá v súlade s oddielom 8 tejto DPA.

2.3. Povaha a účel

Povahou a účelom spracúvania je poskytovanie platformy typu softvér ako služba (SaaS), ktorá umožňuje Prevádzkovateľovi prijímať online objednávky jedál od svojich zákazníkov, spravovať objednávky a spracovávať platby.

The Processor does not determine the purposes of processing of end customer order data. The Processor provides only the technical infrastructure used by the Controller to collect and process such data.

Výnimka — údaje účtu FOXI ID: Na účely prevádzky zdieľanej infraštruktúry zákazníckej identity FOXI ID vystupuje spoločnosť Elite Digital Services, LLC ako nezávislý prevádzkovateľ údajov účtu FOXI ID (prihlasovacie údaje, autentifikačné relácie a kontaktné informácie používané na predvyplnenie napríeač reštauráciami). Tieto údaje nie sú spracúvané podľa tejto DPA, ale podľa vlastných Zásad ochrany osobných údajov Poskytovateľa. Práva a povinnosti Prevádzkovateľa ako prevádzkovateľa údajov podľa tejto DPA sa vzťahujú na údaje o objednávkach, preferencie zákazníkov a históriu objednávok vytvorené prostredníctvom objednávkovej webstránky Prevádzkovateľa.

2.4. Kategórie dotknutých osôb

• Koncoví zákazníci reštauračného partnera (fyzické osoby zadávajúce objednávky jedál);
• Zamestnanci alebo zástupcovia reštauračného partnera s prístupom do administračného panela.

2.5. Typy osobných údajov

• Kontaktné údaje: meno, e-mailová adresa, telefónne číslo;
• Doručovacia adresa (ak je relevantná);
• Údaje o objednávkach: objednané položky, sumy objednávok, história objednávok, stravovacie preferencie;
• Payment references: transaction IDs, payment status (card details are handled exclusively by the payment processor and not stored by the Processor);
• Technical data: IP address, device information, browser data (for fraud prevention and service operation);
• Údaje účtu FOXI ID: prihlasovacie údaje (e-mail a zahashované heslo), tokeny autentifikačných relácií.

2.6. Izolácia údajov a FOXI ID

Platforma prevádzkuje zdieľanú infraštruktúru zákazníckej identity („FOXI ID“), ktorá umožňuje koncovým zákazníkom používať jeden účet na viacerých objednávkových webstránkach reštaurácií. Platia nasledujúce zásady izolácie údajov:

• Každý Prevádzkovateľ má prístup len k údajom o objednávkach, preferenciám zákazníkov a histórii objednávok vytvoreným prostredníctvom jeho vlastnej objednávkovej webstránky;
• Žiadny Prevádzkovateľ nemá prístup k údajom o objednávkach, preferenciám ani histórii objednávok koncových zákazníkov v akejkoľvek inej reštaurácii na platforme;
• Jediné údaje zdieľané medzi Prevádzkovateľmi prostredníctvom FOXI ID sú kontaktné informácie koncového zákazníka (meno, e-mail, telefónne číslo, dodacia adresa), výlučne na účely predvyplnenia objednávkového formulára na uľahčenie procesu objednávania;
• Spracovateľ neposkytuje žiadnemu Prevádzkovateľovi agregované, anonymizované ani údaje odvodené z FOXI ID napríeač reštauráciami.

3. Povinnosti Spracovateľa

Spracovateľ je povinný:

• Spracúvať osobné údaje výhradne na základe zdokumentovaných pokynov Prevádzkovateľa, a to aj v súvislosti s prenosmi údajov do tretích krajín, pokiaľ to nevyžadujú platné právne predpisy;
• Zabezpečiť, aby sa osoby oprávnené na spracúvanie osobných údajov zaviažali k mlčanlivosti alebo aby podliehali primeranej zákonnej povinnosti mlčanlivosti;
• Implementovať primerané technické a organizačné opatrenia na zabezpečenie úrovne bezpečnosti zodpovedajúcej riziku, ako vyžaduje článok 32 GDPR;
• Nepoveriť iného spracovateľa (ďalšieho spracovateľa) bez predchádzajúceho písomného súhlasu Prevádzkovateľa, s výhradou oddielu 5 tejto DPA;
• Pomáhať Prevádzkovateľovi pri vybavovaní žiadostí dotknutých osôb (prístup, oprava, vymazanie, obmedzenie, prenosnosť, námietka) v lehotách vyžadovaných GDPR;
• Pomáhať Prevádzkovateľovi pri zabezpečovaní súladu s povinnosťami týkajúcimi sa posúdenia vplyvu na ochranu údajov a predchádzajúcej konzultácie s dozornými orgánmi (články 35 a 36 GDPR);
• Na základe rozhodnutia Prevádzkovateľa vymazať alebo vrátiť všetky osobné údaje po ukončení poskytovania služieb a vymazať existujúce kópie, pokiaľ právo EÚ alebo členského štátu nevyžaduje ich uchovávanie;
• Poskytnúť Prevádzkovateľovi všetky informácie potrebné na preukázanie súladu s povinnosťami stanovenými v článku 28 GDPR a umožniť a prispieť k auditom a kontrolám;
• Viesť záznamy o spracovateľských činnostiach vykonávaných v mene Prevádzkovateľa v súlade s článkom 30 ods. 2 GDPR;
• Implementovať ochranu údajov zámernou koncepciou a štandardným nastavením v súlade s článkom 25 GDPR, čím zabezpečí, že sa spracúvajú iba osobné údaje potrebné pre každý konkrétny účel spracúvania.

4. Bezpečnostné opatrenia

Spracovateľ implementuje nasledujúce technické a organizačné opatrenia na ochranu osobných údajov:

• Šifrovanie údajov počas prenosu pomocou TLS 1.2+ / SSL;
• Šifrovanie citlivých údajov v pokoji;
• Riadenie prístupu na základe rolí a viacfaktorová autentifikácia pre administrátorský prístup;
• Pravidelné automatizované zálohovanie s minimálnou dobou uchovávania 30 dní;
• Zabezpečená infraštruktúra cloudového hostingu s fyzickým riadením prístupu (DigitalOcean);
• Pravidelné bezpečnostné aktualizácie, záplaty a hodnotenie zraniteľností;Pravidelné bezpečnostné aktualizácie, záplatovanie a hodnotenie zraniteľností;
• Payment processing delegated to a PCI DSS Level 1 certified payment processor — no card data stored by the Processor;
• Hashovanie hesiel pomocou kryptografických algoritmov zodpovedajúcich priemyselným štandardom;
• Zaznamenávanie a monitorovanie prístupu k osobným údajom;
• Postupy pre reakciu na incidenty a oznamovanie narušenia údajov.

5. Ďalší spracovatelia

5.1. Schválení ďalší spracovatelia

Prevádzkovateľ týmto udeľuje všeobecné oprávnenie Spracovateľovi na zapojenie nasledujúcich ďalších spracovateľov:

• Platobný procesor (v súčasnosti Stripe, Inc.) — spracovanie platieb, prevencia podvodov (USA, PCI DSS Level 1, SCC zavedené);
• DigitalOcean, LLC — cloudový hosting a infraštruktúra (dátové centrá v EÚ a USA, SCC zavedené);
• Brevo (Sendinblue) — doručovanie transakčných e-mailov (Francúzsko/EÚ).

5.2. Zmeny ďalších spracovateľov

Spracovateľ informuje Prevádzkovateľa o akýchkoľvek zamýšľaných zmenách týkajúcich sa pridania alebo nahradenia ďalších spracovateľov najmenej 30 dní vopred, čím poskytne Prevádzkovateľovi možnosť vzniesť námietku voči takýmto zmenám. Ak Prevádzkovateľ vznesie oprávnenú námietku, strany prediskutujú obavy v dobrej viere. Ak sa nedosiahne riešenie, Prevádzkovateľ môže Zmluvu vypovedať.

5.3. Povinnosti ďalších spracovateľov

Spracovateľ zabezpečí, aby bol každý ďalší spracovateľ viazaný povinnosťami ochrany údajov, ktoré nie sú menej prísne ako povinnosti stanovené v tejto DPA. Spracovateľ zostáva plne zodpovedný voči Prevádzkovateľovi za plnenie povinností každého ďalšieho spracovateľa.

6. Práva dotknutých osôb

Spracovateľ je povinný:

• Bezodkladne informovať Prevádzkovateľa, ak priamo od dotknutej osoby prijme žiadosť týkajúcu sa jej osobných údajov;
• Na takéto žiadosti priamo neodpovedať, pokiaľ na to nie je oprávnený Prevádzkovateľom alebo to nevyžaduje zákon;
• Poskytnúť Prevádzkovateľovi primeranú súčinnosť pri vybavovaní žiadostí dotknutých osôb vrátane technických opatrení na prístup k údajom, ich opravu, vymazanie, obmedzenie a prenosnosť;
• Poskytnúť v rámci Služby nástroje, ktoré umožnia Prevádzkovateľovi samostatne spravovať, exportovať a vymazávať údaje zákazníkov.

7. Posúdenie vplyvu na ochranu údajov

Ak typ spracúvania pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb (článok 35 GDPR), Prevádzkovateľ je zodpovedný za vykonanie posúdenia vplyvu na ochranu údajov (DPIA). Spracovateľ je povinný:

• poskytnúť Prevádzkovateľovi všetky informácie primerane potrebné na vykonanie DPIA;
• pomáhať Prevádzkovateľovi s DPIA na základe primeranej žiadosti, na náklady Prevádzkovateľa;
• pomáhať Prevádzkovateľovi pri predchádzajúcej konzultácii s dozorným orgánom, ak to vyžaduje článok 36 GDPR.

Prevádzkovateľ musí vopred informovať Spracovateľa, ak DPIA naznačuje, že spracúvanie by viedlo k vysokému riziku bez opatrení prijatých Spracovateľom.

8. Oznamovanie porušení ochrany údajov

V prípade porušenia ochrany osobných údajov je Spracovateľ povinný:

• Oznámiť Prevádzkovateľovi bez zbytočného odkladu, a v každom prípade do 24 hodín od zistenia porušenia, aby mohol Prevádzkovateľ splniť svoju 72-hodinovú oznamovaciu povinnosť voči dozornému orgánu podľa článku 33 GDPR;
• Poskytnúť Prevádzkovateľovi dostatočné informácie, aby mohol splniť svoju povinnosť oznámiť porušenie dozornému orgánu a dotknutým osobám podľa článkov 33 a 34 GDPR;
• Spolupracovať s Prevádzkovateľom a prijať primerané opatrenia na zmiernenie následkov porušenia;
• Zdokumentovať porušenie vrátane jeho následkov a prijatých nápravných opatrení.

Oznámenie o porušení musí v dostupnom rozsahu obsahovať: povahu porušenia, kategórie a približný počet dotknutých osôb, pravdepodobné dôsledky a opatrenia prijaté alebo navrhované na riešenie porušenia.

9. Uchovávanie a vymazanie údajov

9.1. Povinnosť Prevádzkovateľa v oblasti uchovávania údajov

The Controller, as the data controller for order data of its end customers, is solely responsible for determining appropriate data retention periods and for compliance with all applicable legal, tax, and accounting data retention obligations in the Controller's jurisdiction. FOXI ID account data retention is managed by the Processor in its capacity as independent data controller, as described in the Provider's Privacy Policy.

Služba môže poskytovať konfigurovateľné nastavenia uchovávania údajov, ktoré umožňujú Prevádzkovateľovi nastaviť automatické lehoty vymazania údajov koncových zákazníkov. Spracovateľ spracúva a vymazáva údaje koncových zákazníkov výlučne podľa zdokumentovaných pokynov Prevádzkovateľa vrátane nastavení uchovávania nakonfigurovaných Prevádzkovateľom v rámci platformy. Spracovateľ nenesie zodpovednosť za voľbu lehôt uchovávania Prevádzkovateľom ani za akékoľvek právne dôsledky vyplývajúce z uchovávania alebo vymazania údajov v súlade s pokynmi Prevádzkovateľa.

9.2. Ukončenie

• Po ukončení Zmluvy poskytne Spracovateľ Prevádzkovateľovi 30 kalendárnych dní na export všetkých osobných údajov prostredníctvom exportných funkcií Služby;
• Po uplynutí 30-dňovej lehoty Spracovateľ vymaže všetky osobné údaje spracúvané v mene Prevádzkovateľa, pokiaľ ich uchovávanie nevyžadujú platné právne predpisy;
• Vymazanie sa vykoná bezpečnými metódami, ktoré znemožnia obnovenie údajov;
• Spracovateľ na žiadosť Prevádzkovateľa poskytne písomné potvrdenie o vymazaní údajov;
• Záložné kópie budú vymazané podľa pravidelného harmonogramu rotácie záloh (do 30 dní od žiadosti o vymazanie).

10. Medzinárodné prenosy údajov

V prípade prenosu osobných údajov mimo Európsky hospodársky priestor (EHP) Spracovateľ zabezpečí zavedenie primeraných záruk vyžadovaných kapitolou V GDPR, vrátane:

• Štandardné zmluvné doložky (SCC) prijaté Európskou komisiou podľa vykonávacieho rozhodnutia (EÚ) 2021/914 zo 4. júna 2021. Pre prenosy sub-spracovateľom sa uplatňujú SCC Modul dva (prevádzkovateľ – spracovateľ) alebo Modul tri (spracovateľ – spracovateľ), podľa potreby;
• Posúdenia vplyvu prenosu pre každého sub-spracovateľa s cieľom vyhodnotiť právny rámec cieľovej krajiny;
• Doplnkové opatrenia na zabezpečenie primeranej ochrany osobných údajov v prípadoch, keď posúdenie vplyvu prenosu identifikuje riziká.

Spracovateľ informuje Prevádzkovateľa o akýchkoľvek právnych požiadavkách v cieľovej krajine, ktoré môžu ovplyvniť ochranu osobných údajov a schopnosť dodržiavať túto DPA. Kópie podpísaných štandardných zmluvných doložiek sú k dispozícii na vyžiadanie.

11. Audity a kontroly

Spracovateľ poskytne Prevádzkovateľovi všetky informácie primerane potrebné na preukázanie súladu s článkom 28 GDPR. Prevádzkovateľ môže vykonávať audity vrátane kontrol, a to priamo alebo prostredníctvom nezávislého audítora tretej strany, za týchto podmienok:

• Primeraný predchádzajúci oznam najmenej 30 kalendárnych dní vopred;
• Audity vykonávané počas bežnej pracovnej doby spôsobom, ktorý minimalizuje narušenie činnosti;
• Audítor je viazaný povinnosťou mlčanlivosti;
• Najviac jeden audit za 12-mesačné obdobie, pokiaľ to nevyžaduje dozorný orgán.

12. Zodpovednosť

Zodpovednosť každej strany podľa tejto DPA podlieha obmedzeniam a vylúčeniam zodpovednosti stanoveným v Obchodných podmienkach. Nič v tejto DPA neobmedzuje zodpovednosť žiadnej zo strán za porušenie GDPR v rozsahu, v akom takéto obmedzenie nie je prípustné podľa platných právnych predpisov.

13. Zástupca v EÚ

V súlade s článkom 27 GDPR Spracovateľ vymenoval nasledujúci subjekt ako svojho zástupcu v Európskej únii:

Euro business company Kft.
Rómer Flóris utca 8/B. 3. em., Budapest 1024, Hungary
Daňové identifikačné číslo: HU28959364

Úplné podrobnosti o zástupcovi v EÚ a jeho úlohe nájdete na stránke GDPR v sekcii Právne dokumenty na webovej stránke FoxiFood.

Kontakt

Ak máte otázky k týmto podmienkam, kontaktujte nás na: support@foxi.food

Elite Digital Services, LLC
1111B S Governors Ave #21653
Dover, DE 19904, USA