Pogodba o obdelavi podatkov

1. Opredelitve

• Upravljavec — restavracijski partner (Uporabnik), ki določa namene in sredstva obdelave osebnih podatkov svojih končnih kupcev prek platforme FoxiFood.
• Obdelovalec — družba Elite Digital Services, LLC, ki obdeluje osebne podatke v imenu Upravljavca za zagotavljanje storitev platforme FoxiFood. Obdelovalec je edini upravljavec platforme FoxiFood in lahko za izvajanje določenih tehničnih nalog vključi pooblaščene podobdelovalce v različnih jurisdikcijah, kot je določeno v razdelku 5 te DPA.
• Posameznik, na katerega se nanašajo osebni podatki — posameznik, čigar osebni podatki se obdelujejo (običajno končni kupec, ki oddaja naročilo hrane).
• Osebni podatki — vsaka informacija, ki se nanaša na določeno ali določljivo fizično osebo, kot je opredeljeno v členu 4(1) GDPR.
• Obdelava — vsaka operacija, izvedena na osebnih podatkih, vključno z zbiranjem, shranjevanjem, uporabo, prenosom in izbrisom.
• Podobdelovalec — tretja oseba, ki jo Obdelovalec vključi za obdelavo osebnih podatkov v imenu Upravljavca.

2. Obseg in namen obdelave

2.1. Predmet

Obdelovalec obdeluje osebne podatke v imenu Upravljavca za namen zagotavljanja platforme za naročanje v restavracijah FoxiFood, vključno z gostovanjem spletnega mesta za naročanje Upravljavca, obdelavo naročil strank, upravljanjem računov strank, omogočanjem plačilnih transakcij in upravljanjem skupne infrastrukture za identiteto strank FOXI ID, ki končnim kupcem omogoča uporabo enega samega računa na več spletnih mestih za naročanje restavracij na platformi.

2.2. Trajanje

Obdelava osebnih podatkov v skladu s to DPA se nadaljuje za čas trajanja Pogodbe med Upravljavcem in Obdelovalcem. Ob prenehanju se s podatki ravna v skladu z razdelkom 8 te DPA.

2.3. Narava in namen

Narava in namen obdelave je zagotavljanje platforme programske opreme kot storitve, ki Upravljavcu omogoča prejemanje spletnih naročil hrane od svojih strank, upravljanje naročil in obdelavo plačil.

Obdelovalec ne določa namenov obdelave podatkov o naročilih končnih kupcev. Obdelovalec zagotavlja le tehnično infrastrukturo, ki jo Upravljavec uporablja za zbiranje in obdelavo takih podatkov.

Izjema — podatki računa FOXI ID: Za namene upravljanja skupne infrastrukture za identiteto strank FOXI ID družba Elite Digital Services, LLC deluje kot neodvisni upravljavec podatkov za podatke računa FOXI ID (poverilnice za prijavo, seje preverjanja pristnosti in kontaktni podatki, uporabljeni za predizpolnjevanje med restavracijami). Ti podatki se ne obdelujejo v skladu s to DPA, temveč v skladu z lastno Politiko zasebnosti Ponudnika. Pravice in obveznosti Upravljavca kot upravljavca podatkov v skladu s to DPA veljajo za podatke o naročilih, nastavitve strank in zgodovino naročil, ustvarjeno prek spletnega mesta za naročanje Upravljavca.

2.4. Kategorije posameznikov

• končni kupci restavracijskega partnerja (posamezniki, ki oddajajo naročila hrane);
• zaposleni ali predstavniki restavracijskega partnerja z dostopom do skrbniške nadzorne plošče.

2.5. Vrste osebnih podatkov

• Kontaktni podatki: ime, e-poštni naslov, telefonska številka;
• Naslov za dostavo (kadar je to primerno);
• podatki o naročilih: naročeni izdelki, zneski naročil, zgodovina naročil, prehranske nastavitve;
• plačilne reference: identifikatorji transakcij, status plačila (podatke o kartici obravnava izključno ponudnik plačilnih storitev in jih Obdelovalec ne shranjuje);
• tehnični podatki: naslov IP, informacije o napravi, podatki brskalnika (za preprečevanje goljufij in delovanje storitve);
• podatki računa FOXI ID: poverilnice za prijavo (e-pošta in zgoščeno geslo), žetoni sej preverjanja pristnosti.

2.6. Izolacija podatkov in FOXI ID

Platforma upravlja skupno infrastrukturo za identiteto strank (»FOXI ID«), ki končnim kupcem omogoča uporabo enega samega računa na več spletnih mestih za naročanje restavracij. Veljajo naslednja načela izolacije podatkov:

• vsak Upravljavec lahko dostopa le do podatkov o naročilih, nastavitev strank in zgodovine naročil, ustvarjenih prek svojega spletnega mesta za naročanje;
• noben Upravljavec nima dostopa do podatkov o naročilih, nastavitev ali zgodovine naročil končnih kupcev pri kateri koli drugi restavraciji na platformi;
• edini podatki, ki se prek FOXI ID delijo med Upravljavci, so kontaktni podatki končnega kupca (ime, e-pošta, telefonska številka, naslov za dostavo), in sicer izključno za namen predizpolnjevanja obrazca za naročilo, da se olajša postopek naročanja;
• Obdelovalec nobenemu Upravljavcu ne posreduje združenih, anonimiziranih ali medrestavracijskih podatkov, pridobljenih iz FOXI ID.

3. Obveznosti obdelovalca

Obdelovalec mora:

• obdelovati osebne podatke le na podlagi dokumentiranih navodil Upravljavca, vključno glede prenosov podatkov v tretje države, razen če to zahteva veljavno pravo;
• zagotoviti, da so se osebe, pooblaščene za obdelavo osebnih podatkov, zavezale k zaupnosti ali da zanje velja ustrezna zakonska obveznost zaupnosti;
• izvajati ustrezne tehnične in organizacijske ukrepe za zagotovitev ravni varnosti, ki ustreza tveganju, kot to zahteva člen 32 GDPR;
• ne vključiti drugega obdelovalca (podobdelovalca) brez predhodnega pisnega pooblastila Upravljavca, ob upoštevanju razdelka 5 te DPA;
• pomagati Upravljavcu pri odzivanju na zahteve posameznikov, na katere se nanašajo osebni podatki (dostop, popravek, izbris, omejitev, prenosljivost, ugovor), v rokih, ki jih zahteva GDPR;
• pomagati Upravljavcu pri zagotavljanju skladnosti z obveznostmi, povezanimi z ocenami učinka v zvezi z varstvom podatkov in predhodnim posvetovanjem z nadzornimi organi (člena 35 in 36 GDPR);
• po izbiri Upravljavca izbrisati ali vrniti vse osebne podatke po koncu zagotavljanja storitev in izbrisati obstoječe kopije, razen če pravo EU ali države članice zahteva njihovo hrambo;
• Upravljavcu dati na voljo vse informacije, potrebne za dokazovanje skladnosti z obveznostmi iz člena 28 GDPR, ter omogočati revizije in inšpekcijske preglede in prispevati k njim;
• voditi evidence dejavnosti obdelave, ki se izvajajo v imenu Upravljavca, v skladu s členom 30(2) GDPR;
• izvajati vgrajeno in privzeto varstvo podatkov v skladu s členom 25 GDPR ter zagotoviti, da se obdelujejo le osebni podatki, potrebni za vsak posamezen namen obdelave.

4. Varnostni ukrepi

Obdelovalec za zaščito osebnih podatkov izvaja naslednje tehnične in organizacijske ukrepe:

• Šifriranje podatkov med prenosom z uporabo TLS 1.2+ / SSL;
• Šifriranje občutljivih podatkov v mirovanju;
• nadzor dostopa z dovoljenji glede na vlogo in večkratno preverjanje pristnosti za skrbniški dostop;
• Redne avtomatizirane varnostne kopije z najmanj 30-dnevnim hranjenjem;
• varna infrastruktura gostovanja v oblaku s fizičnim nadzorom dostopa (DigitalOcean);
• Redne varnostne posodobitve, popravki in ocene ranljivosti;
• obdelava plačil je prepuščena ponudniku plačilnih storitev s certifikatom PCI DSS ravni 1 — Obdelovalec ne shranjuje nobenih podatkov o kartici;
• Zgoščevanje gesel z uporabo industrijskih standardnih kriptografskih algoritmov;
• Beleženje in spremljanje dostopa do osebnih podatkov;
• Postopki odzivanja na incidente in obveščanja o kršitvah podatkov.

5. Podobdelovalci

5.1. Pooblaščeni podobdelovalci

Upravljavec s tem podeljuje splošno pooblastilo, da Obdelovalec vključi naslednje podobdelovalce:

• Ponudnik plačilnih storitev (trenutno Stripe, Inc.) — obdelava plačil, preprečevanje goljufij (ZDA, PCI DSS raven 1, vzpostavljene SCC);
• DigitalOcean, LLC — gostovanje in infrastruktura v oblaku (podatkovni centri v EU in ZDA, vzpostavljene SCC);
• Brevo (Sendinblue) — dostava transakcijskih e-poštnih sporočil (Francija/EU).

5.2. Spremembe podobdelovalcev

Obdelovalec bo Upravljavca o vseh nameravanih spremembah glede dodajanja ali zamenjave podobdelovalcev obvestil vsaj 30 dni vnaprej in mu tako omogočil, da takim spremembam ugovarja. Če Upravljavec utemeljeno ugovarja, stranki pomisleke v dobri veri obravnavata. Če rešitev ni dosežena, lahko Upravljavec odpove Pogodbo.

5.3. Obveznosti podobdelovalcev

Obdelovalec zagotovi, da je vsak podobdelovalec zavezan k obveznostim varstva podatkov, ki niso nič manj zaščitne od tistih, določenih v tej DPA. Obdelovalec ostaja v celoti odgovoren Upravljavcu za izpolnjevanje obveznosti vsakega podobdelovalca.

6. Pravice posameznikov, na katere se nanašajo osebni podatki

Obdelovalec mora:

• nemudoma obvestiti Upravljavca, če neposredno od posameznika, na katerega se nanašajo osebni podatki, prejme zahtevo glede njegovih osebnih podatkov;
• ne odgovarjati neposredno na take zahteve, razen če to pooblasti Upravljavec ali zahteva zakon;
• Upravljavcu zagotoviti razumno pomoč pri izpolnjevanju zahtev posameznikov, na katere se nanašajo osebni podatki, vključno s tehničnimi ukrepi za dostop do podatkov, popravek, izbris, omejitev in prenosljivost;
• v okviru Storitve zagotoviti orodja, ki Upravljavcu omogočajo samostojno upravljanje, izvoz in izbris podatkov o strankah.

7. Ocene učinka v zvezi z varstvom podatkov

Kadar bi vrsta obdelave verjetno povzročila veliko tveganje za pravice in svoboščine fizičnih oseb (člen 35 GDPR), je Upravljavec odgovoren za izvedbo ocene učinka v zvezi z varstvom podatkov (DPIA). Obdelovalec:

• Upravljavcu zagotovi vse informacije, ki so razumno potrebne za izvedbo DPIA;
• Upravljavcu na razumno zahtevo in na stroške Upravljavca pomaga pri DPIA;
• Upravljavcu pomaga pri predhodnem posvetovanju z nadzornim organom, kadar to zahteva člen 36 GDPR.

Upravljavec mora Obdelovalca vnaprej obvestiti, če DPIA pokaže, da bi obdelava brez ukrepov, ki jih sprejme Obdelovalec, povzročila veliko tveganje.

8. Obvestilo o kršitvi podatkov

V primeru kršitve osebnih podatkov mora obdelovalec:

• obvestiti Upravljavca brez nepotrebnega odlašanja, v vsakem primeru pa v 24 urah po seznanitvi s kršitvijo, da se Upravljavcu omogoči izpolnitev njegove obveznosti obveščanja nadzornega organa v 72 urah v skladu s členom 33 GDPR;
• Upravljavcu zagotoviti zadostne informacije, da lahko izpolni svojo obveznost obveščanja nadzornega organa in prizadetih posameznikov, na katere se nanašajo osebni podatki, v skladu s členoma 33 in 34 GDPR;
• sodelovati z Upravljavcem in sprejeti razumne ukrepe za ublažitev posledic kršitve;
• dokumentirati kršitev, vključno z njenimi posledicami in sprejetimi popravnimi ukrepi.

Obvestilo o kršitvi vsebuje, kolikor je na voljo: naravo kršitve, kategorije in približno število prizadetih posameznikov, na katere se nanašajo osebni podatki, verjetne posledice ter sprejete ali predlagane ukrepe za obravnavo kršitve.

9. Hranjenje in brisanje podatkov

9.1. Odgovornost upravljavca za hranjenje

Upravljavec je kot upravljavec podatkov za podatke o naročilih svojih končnih kupcev izključno odgovoren za določitev ustreznih obdobij hrambe podatkov in za skladnost z vsemi veljavnimi pravnimi, davčnimi in računovodskimi obveznostmi hrambe podatkov v jurisdikciji Upravljavca. Hrambo podatkov računa FOXI ID upravlja Obdelovalec v vlogi neodvisnega upravljavca podatkov, kot je opisano v Politiki zasebnosti Ponudnika.

Storitev lahko zagotavlja nastavljive nastavitve hrambe podatkov, ki Upravljavcu omogočajo, da določi obdobja samodejnega izbrisa za podatke končnih kupcev. Obdelovalec obdeluje in izbriše podatke končnih kupcev strogo v skladu z dokumentiranimi navodili Upravljavca, vključno z nastavitvami hrambe, ki jih Upravljavec konfigurira v platformi. Obdelovalec ne nosi nobene odgovornosti za izbiro obdobij hrambe Upravljavca ali za morebitne pravne posledice, ki izhajajo iz hrambe ali izbrisa podatkov v skladu z navodili Upravljavca.

9.2. Prenehanje

• ob prenehanju Pogodbe bo Obdelovalec Upravljavcu zagotovil 30 koledarskih dni za izvoz vseh osebnih podatkov prek izvoznih funkcij Storitve;
• po izteku 30-dnevnega obdobja bo Obdelovalec izbrisal vse osebne podatke, obdelane v imenu Upravljavca, razen če hrambo zahteva veljavno pravo;
• izbris bo izveden z varnimi metodami, ki onemogočijo obnovitev podatkov;
• Obdelovalec bo na zahtevo Upravljavca zagotovil pisno potrdilo o izbrisu podatkov;
• varnostne kopije bodo izbrisane v skladu z rednim ciklom rotacije varnostnih kopij (v 30 dneh od zahteve za izbris).

10. Mednarodni prenosi podatkov

Kadar se osebni podatki prenašajo zunaj Evropskega gospodarskega prostora (EGP), Obdelovalec zagotovi vzpostavitev ustreznih zaščitnih ukrepov, kot jih zahteva poglavje V GDPR, vključno z:

• standardnimi pogodbenimi klavzulami (SCC), ki jih je sprejela Evropska komisija na podlagi Izvedbenega sklepa (EU) 2021/914 z dne 4. junija 2021. Za prenose podobdelovalcem se uporabljajo SCC modul dva (upravljavec-obdelovalcu) ali modul tri (obdelovalec-obdelovalcu), kakor je primerno;
• ocenami učinka prenosa za vsakega podobdelovalca za oceno pravnega okvira namembne države;
• dopolnilnimi ukrepi za zagotovitev ustreznega varstva osebnih podatkov, kadar ocena učinka prenosa prepozna tveganja.

Obdelovalec obvesti Upravljavca o vseh pravnih zahtevah v namembni državi, ki lahko vplivajo na varstvo osebnih podatkov in zmožnost izpolnjevanja te DPA. Kopije podpisanih SCC so na voljo na zahtevo.

11. Revizije in pregledi

Obdelovalec da Upravljavcu na voljo vse informacije, ki so razumno potrebne za dokazovanje skladnosti s členom 28 GDPR. Upravljavec lahko izvaja revizije, vključno z inšpekcijskimi pregledi, bodisi neposredno bodisi prek neodvisnega zunanjega revizorja, ob upoštevanju:

• Razumen predhodni obvestilni rok najmanj 30 koledarskih dni;
• revizije se izvajajo med rednim delovnim časom in na način, ki čim bolj zmanjša motnje;
• Revizor mora biti vezan z obveznostmi zaupnosti;
• največ ena revizija na 12-mesečno obdobje, razen če to zahteva nadzorni organ.

12. Odgovornost

Odgovornost vsake stranke v skladu s to DPA je predmet omejitev in izključitev odgovornosti, določenih v Pogojih uporabe. Nič v tej DPA ne omejuje odgovornosti katere koli stranke za kršitve GDPR, kolikor taka omejitev po veljavnem pravu ni dovoljena.

13. Predstavnik v EU

V skladu s členom 27 GDPR je Obdelovalec za svojega predstavnika v Evropski uniji imenoval naslednji subjekt:

Euro business company Kft.
Rómer Flóris utca 8/B. 3. em., Budapest 1024, Hungary
Davčna številka: HU28959364

Za vse podrobnosti o predstavniku v EU in njegovi vlogi glejte stran GDPR v pravnem razdelku spletnega mesta FoxiFood.

14. Kontakt

Za vprašanja o tej Pogodbi o obdelavi podatkov ali o zadevah glede obdelave podatkov nas kontaktirajte na: support@foxi.food

Elite Digital Services, LLC
1111B S Governors Ave #21653
Dover, DE 19904, USA