Veri işleme sözleşmesi

1. Tanımlar

• Veri Sorumlusu — FoxiFood platformu aracılığıyla son müşterilerinin kişisel verilerinin işlenmesinin amaçlarını ve araçlarını belirleyen restoran ortağı (Kullanıcı).
• Veri İşleyen — FoxiFood platform hizmetlerini sunmak amacıyla Veri Sorumlusu adına kişisel verileri işleyen Elite Digital Services, LLC. Veri İşleyen, FoxiFood platformunun tek işletmecisidir ve bu VİS'in 5. Bölümünde belirtildiği üzere, belirli teknik görevleri yerine getirmek için çeşitli yargı alanlarında yetkili alt işleyenler görevlendirebilir.
• İlgili Kişi — kişisel verileri işlenen birey (genellikle yemek siparişi veren son müşteri).
• Kişisel Veri — GDPR'ın 4(1). Maddesinde tanımlandığı üzere, kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi.
• İşleme — kişisel veriler üzerinde gerçekleştirilen toplama, saklama, kullanma, aktarma ve silme dahil her türlü işlem.
• Alt İşleyen — Veri Sorumlusu adına kişisel verileri işlemek üzere Veri İşleyen tarafından görevlendirilen üçüncü taraf.

2. İşlemenin Kapsamı ve Amacı

2.1. Konu

Veri İşleyen, FoxiFood restoran sipariş platformunu sunmak amacıyla Veri Sorumlusu adına kişisel verileri işler; bu, Veri Sorumlusunun sipariş web sitesini barındırma, müşteri siparişlerini işleme, müşteri hesaplarını yönetme, ödeme işlemlerini kolaylaştırma ve son müşterilerin platformdaki birden fazla restoran sipariş web sitesinde tek bir hesap kullanmasını sağlayan FOXI ID ortak müşteri kimlik altyapısını işletmeyi içerir.

2.2. Süre

Bu VİS kapsamındaki kişisel verilerin işlenmesi, Veri Sorumlusu ile Veri İşleyen arasındaki Sözleşme süresince devam edecektir. Fesih halinde veriler, bu VİS'in 8. Bölümü uyarınca işlenecektir.

2.3. Nitelik ve Amaç

İşlemenin niteliği ve amacı, Veri Sorumlusunun müşterilerinden çevrimiçi yemek siparişleri almasını, siparişleri yönetmesini ve ödemeleri işlemesini sağlayan bir hizmet olarak yazılım platformu sunmaktır.

Veri İşleyen, son müşteri sipariş verilerinin işlenmesinin amaçlarını belirlemez. Veri İşleyen, yalnızca Veri Sorumlusu tarafından bu verilerin toplanması ve işlenmesi için kullanılan teknik altyapıyı sağlar.

İstisna — FOXI ID hesap verileri: FOXI ID ortak müşteri kimlik altyapısının işletilmesi amacıyla, Elite Digital Services, LLC, FOXI ID hesap verileri (oturum açma bilgileri, kimlik doğrulama oturumları ve restoranlar arası ön doldurma için kullanılan iletişim bilgileri) için bağımsız bir veri sorumlusu olarak hareket eder. Bu veriler, bu VİS kapsamında değil, Sağlayıcının kendi Gizlilik Politikası kapsamında işlenir. Veri Sorumlusunun bu VİS kapsamındaki veri sorumlusu olarak hak ve yükümlülükleri, Veri Sorumlusunun sipariş web sitesi aracılığıyla oluşturulan sipariş verileri, müşteri tercihleri ve sipariş geçmişi için geçerlidir.

2.4. İlgili Kişi Kategorileri

• Restoran ortağının son müşterileri (yemek siparişi veren bireyler);
• Yönetim paneline erişimi olan restoran ortağının çalışanları veya temsilcileri.

2.5. Kişisel Veri Türleri

• İletişim verileri: ad, e-posta adresi, telefon numarası;
• Teslimat adresi (uygulanabilir olduğunda);
• Sipariş verileri: sipariş edilen ürünler, sipariş tutarları, sipariş geçmişi, diyet tercihleri;
• Payment references: transaction IDs, payment status (card details are handled exclusively by the payment processor and not stored by the Processor);
• Teknik veriler: IP adresi, cihaz bilgileri, tarayıcı verileri (dolandırıcılık önleme ve hizmet işletimi için);
• FOXI ID hesap verileri: oturum açma bilgileri (e-posta ve hash'lenmiş parola), kimlik doğrulama oturum belirteçleri.

2.6. Veri İzolasyonu ve FOXI ID

Platform, son müşterilerin birden fazla restoran sipariş web sitesinde tek bir hesap kullanmasını sağlayan ortak bir müşteri kimlik altyapısı ('FOXI ID') işletmektedir. Aşağıdaki veri izolasyonu ilkeleri geçerlidir:

• Her Veri Sorumlusu yalnızca kendi sipariş web sitesi aracılığıyla oluşturulan sipariş verilerine, müşteri tercihlerine ve sipariş geçmişine erişebilir;
• Hiçbir Veri Sorumlusu, platformdaki başka herhangi bir restorandaki son müşterilerin sipariş verilerine, tercihlerine veya sipariş geçmişine erişemez;
• FOXI ID aracılığıyla Veri Sorumluları arasında paylaşılan tek veri, yalnızca sipariş sürecini kolaylaştırmak amacıyla sipariş formunu ön doldurmak için son müşterinin iletişim bilgileridir (ad, e-posta, telefon numarası, teslimat adresi);
• Veri İşleyen, herhangi bir Veri Sorumlusuna FOXI ID'den elde edilen toplulaştırılmış, anonimleştirilmiş veya restoranlar arası veri sağlamaz.

3. Veri İşleyenin Yükümlülükleri

Veri İşleyen:

• Kişisel verileri yalnızca Veri Sorumlusunun belgelenmiş talimatlarına göre işlemek, üçüncü ülkelere veri aktarımı dahil, yürürlükteki yasaların gerektirdiği durumlar hariç;
• Kişisel verileri işlemeye yetkili kişilerin gizlilik taahhüdünde bulunduklarından veya uygun yasal gizlilik yükümlülüğü altında olduklarından emin olmak;
• GDPR'ın 32. Maddesi uyarınca, riske uygun bir güvenlik düzeyini sağlamak için uygun teknik ve organizasyonel tedbirleri uygulamak;
• Bu VİS'in 5. Bölümüne tabi olarak, Veri Sorumlusunun önceden yazılı izni olmadan başka bir veri işleyen (alt işleyen) görevlendirmemek;
• GDPR'ın gerektirdiği süreler içinde İlgili Kişi taleplerine (erişim, düzeltme, silme, kısıtlama, taşınabilirlik, itiraz) yanıt vermesinde Veri Sorumlusuna yardımcı olmak;
• Veri koruma etki değerlendirmelerine ve denetim makamlarıyla ön istişareye ilişkin yükümlülüklere uyumu sağlamada Veri Sorumlusuna yardımcı olmak (GDPR'ın 35. ve 36. Maddeleri);
• Veri Sorumlusunun tercihine bağlı olarak, hizmetlerin sona ermesinden sonra tüm kişisel verileri silmek veya iade etmek ve AB veya Üye Devlet hukuku saklamayı gerektirmedikçe mevcut kopyaları silmek;
• GDPR'ın 28. Maddesinde belirtilen yükümlülüklere uyumu kanıtlamak için gerekli tüm bilgileri Veri Sorumlusuna sunmak ve denetimlere ve incelemelere izin vermek ve katkıda bulunmak;
• GDPR'ın 30(2). Maddesi uyarınca, Veri Sorumlusu adına gerçekleştirilen İşleme Faaliyetlerinin Kayıtlarını tutmak;
• GDPR'ın 25. Maddesi uyarınca tasarım gereği ve varsayılan olarak veri korumayı uygulamak, yalnızca her bir özel işleme amacı için gerekli olan kişisel verilerin işlenmesini sağlamak.

4. Güvenlik Tedbirleri

Veri İşleyen, kişisel verileri korumak için aşağıdaki teknik ve organizasyonel tedbirleri uygular:

• TLS 1.2+ / SSL kullanılarak aktarım sırasında verilerin şifrelenmesi;
• Hassas verilerin bekleme halinde şifrelenmesi;
• Rol tabanlı izinler ve yönetimsel erişim için çok faktörlü kimlik doğrulama ile erişim kontrolleri;
• Minimum 30 günlük saklama süreli düzenli otomatik yedeklemeler;
• Fiziksel erişim kontrolleri ile güvenli bulut barındırma altyapısı (DigitalOcean);
• Düzenli güvenlik güncellemeleri, yamalar ve güvenlik açığı değerlendirmeleri;Düzenli güvenlik güncellemeleri, yama ve güvenlik açığı değerlendirmeleri;
• Payment processing delegated to a PCI DSS Level 1 certified payment processor — no card data stored by the Processor;
• Endüstri standardı kriptografik algoritmalar kullanılarak şifre karma işlemi;Endüstri standardı kriptografik algoritmalar kullanılarak parola hash'leme;
• Kişisel verilere erişimin kaydedilmesi ve izlenmesi;
• Olay müdahale ve veri ihlali bildirim prosedürleri.

5. Alt İşleyenler

5.1. Yetkili Alt İşleyenler

Veri Sorumlusu, Veri İşleyenin aşağıdaki alt işleyenleri görevlendirmesi için genel yetki vermektedir:

• Ödeme işlemcisi (şu anda Stripe, Inc.) — ödeme işleme, dolandırıcılık önleme (ABD, PCI DSS Seviye 1, SHS'ler mevcut);
• DigitalOcean, LLC — bulut barındırma ve altyapı (AB ve ABD veri merkezleri, SHS'ler mevcut);
• Brevo (Sendinblue) — işlemsel e-posta teslimi (Fransa/AB).

5.2. Alt İşleyenlerdeki Değişiklikler

Veri İşleyen, alt işleyenlerin eklenmesi veya değiştirilmesine ilişkin planlanan değişiklikleri en az 30 gün önceden Veri Sorumlusuna bildirerek, Veri Sorumlusuna bu değişikliklere itiraz etme fırsatı tanıyacaktır. Veri Sorumlusu makul bir şekilde itiraz ederse, taraflar endişeleri iyi niyetle tartışacaktır. Bir çözüme ulaşılamazsa, Veri Sorumlusu Sözleşmeyi feshedebilir.

5.3. Alt İşleyen Yükümlülükleri

Veri İşleyen, her alt işleyenin bu VİS'te belirtilenlerden daha az koruyucu olmayan veri koruma yükümlülükleriyle bağlı olmasını sağlayacaktır. Veri İşleyen, her alt işleyenin yükümlülüklerinin yerine getirilmesinden Veri Sorumlusuna karşı tamamen sorumlu olmaya devam eder.

6. İlgili Kişi Hakları

Veri İşleyen:

• Kişisel verileri hakkında doğrudan bir İlgili Kişiden talep alırsa Veri Sorumlusunu derhal bilgilendirmek;
• Veri Sorumlusu tarafından yetkilendirilmedikçe veya yasal olarak zorunlu olmadıkça bu taleplere doğrudan yanıt vermemek;
• Veri erişimi, düzeltme, silme, kısıtlama ve taşınabilirlik için teknik tedbirler dahil olmak üzere İlgili Kişi taleplerinin yerine getirilmesinde Veri Sorumlusuna makul yardım sağlamak;
• Veri Sorumlusunun müşteri verilerini bağımsız olarak yönetmesini, dışa aktarmasını ve silmesini sağlayan araçları Hizmet kapsamında sunmak.

7. Veri Koruma Etki Değerlendirmeleri

Bir işleme türünün gerçek kişilerin hak ve özgürlükleri için yüksek risk oluşturma olasılığının bulunduğu durumlarda (GDPR'ın 35. Maddesi), Veri Koruma Etki Değerlendirmesi (VKED) yapmak Veri Sorumlusunun sorumluluğundadır. Veri İşleyen:

• VKED yapmak için makul olarak gerekli tüm bilgileri Veri Sorumlusuna sağlayacaktır;
• makul talep üzerine, Veri Sorumlusunun masrafları karşılığında VKED konusunda Veri Sorumlusuna yardımcı olacaktır;
• GDPR'ın 36. Maddesinin gerektirdiği durumlarda denetim makamıyla ön istişarede Veri Sorumlusuna yardımcı olacaktır.

Bir VKED, Veri İşleyen tarafından alınan tedbirlerin yokluğunda işlemenin yüksek riskle sonuçlanacağını gösteriyorsa, Veri Sorumlusu Veri İşleyeni önceden bilgilendirmelidir.

8. Veri İhlali Bildirimi

Kişisel veri ihlali durumunda, Veri İşleyen:

• Veri Sorumlusunun GDPR'ın 33. Maddesi kapsamında denetim makamına 72 saatlik bildirim yükümlülüğünü yerine getirmesini sağlamak için, ihlalden haberdar olduktan sonra gecikmeksizin ve her halükarda 24 saat içinde Veri Sorumlusunu bilgilendirmek;
• GDPR'ın 33. ve 34. Maddeleri kapsamında denetim makamını ve etkilenen İlgili Kişileri bilgilendirme yükümlülüğünü yerine getirmesi için Veri Sorumlusuna yeterli bilgiyi sağlamak;
• Veri Sorumlusuyla işbirliği yapmak ve ihlalin etkilerini azaltmak için makul adımlar atmak;
• İhlalin etkilerini ve alınan düzeltici önlemleri dahil ederek ihlali belgelemek.

İhlal bildirimi, mümkün olduğu ölçüde şunları içermelidir: ihlalin niteliği, etkilenen İlgili Kişilerin kategorileri ve yaklaşık sayısı, muhtemel sonuçları ve ihlali gidermek için alınan veya önerilen tedbirler.

9. Veri Saklama ve Silme

9.1. Veri Sorumlusunun Saklama Sorumluluğu

Veri Sorumlusu, son müşterilerinin sipariş verileri için veri sorumlusu olarak, uygun veri saklama sürelerini belirlemekten ve Veri Sorumlusunun yargı alanındaki tüm yürürlükteki yasal, vergisel ve muhasebe veri saklama yükümlülüklerine uyumdan münhasıran sorumludur. FOXI ID hesap verilerinin saklanması, Sağlayıcının Gizlilik Politikasında açıklandığı üzere, bağımsız veri sorumlusu sıfatıyla Veri İşleyen tarafından yönetilir.

Hizmet, Veri Sorumlusunun son müşteri verileri için otomatik silme süreleri belirlemesine olanak tanıyan yapılandırılabilir veri saklama ayarları sunabilir. Veri İşleyen, son müşteri verilerini, Veri Sorumlusunun platform içinde yapılandırdığı saklama ayarları dahil olmak üzere, Veri Sorumlusunun belgelenmiş talimatlarına göre kesinlikle işler ve siler. Veri İşleyen, Veri Sorumlusunun saklama süresi tercihleri veya Veri Sorumlusunun talimatlarına uygun olarak saklanan veya silinen verilerden kaynaklanan herhangi bir yasal sonuçtan sorumlu değildir.

9.2. Fesih

• Sözleşmenin feshedilmesi üzerine, Veri İşleyen, Veri Sorumlusuna tüm kişisel verileri Hizmetin dışa aktarma işlevleri aracılığıyla dışa aktarması için 30 takvim günü süre tanıyacaktır;
• 30 günlük sürenin ardından, yürürlükteki yasalar saklamayı gerektirmedikçe, Veri İşleyen, Veri Sorumlusu adına işlenen tüm kişisel verileri silecektir;
• Silme işlemi, verileri kurtarılamaz hale getiren güvenli yöntemler kullanılarak gerçekleştirilecektir;
• Veri İşleyen, Veri Sorumlusunun talebi üzerine veri silme işleminin yazılı onayını sağlayacaktır;
• Yedek kopyalar, düzenli yedek rotasyon programına göre (silme talebinden itibaren 30 gün içinde) silinecektir.

10. Uluslararası Veri Aktarımları

Kişisel verilerin Avrupa Ekonomik Alanı (AEA) dışına aktarıldığı durumlarda, Veri İşleyen, GDPR'ın V. Bölümünün gerektirdiği uygun güvencelerin mevcut olmasını sağlar; bunlar şunları içerir:

• 4 Haziran 2021 tarihli Uygulama Kararı (AB) 2021/914 uyarınca Avrupa Komisyonu tarafından kabul edilen Standart Sözleşme Hükümleri (SSH'ler). Alt işleyenlere yapılan aktarımlarda, uygulanabilir olduğu şekilde Modül İki (sorumludan işleyene) veya Modül Üç (işleyenden işleyene) SSH'ler uygulanır;
• Hedef ülkenin hukuki çerçevesini değerlendirmek üzere her alt işleyen için Aktarım Etki Değerlendirmeleri;
• Aktarım Etki Değerlendirmesinin risk tespit ettiği durumlarda kişisel verilerin yeterli korunmasını sağlamak için ek tedbirler.

Veri İşleyen, hedef ülkedeki kişisel verilerin korunmasını ve bu VİS'e uyum sağlama yeteneğini etkileyebilecek herhangi bir yasal gereklilik hakkında Veri Sorumlusunu bilgilendirecektir. İmzalanmış SSH'lerin kopyaları talep üzerine mevcuttur.

11. Denetimler ve İncelemeler

Veri İşleyen, GDPR'ın 28. Maddesine uyumu kanıtlamak için makul olarak gerekli tüm bilgileri Veri Sorumlusuna sunacaktır. Veri Sorumlusu, aşağıdaki koşullara tabi olarak doğrudan veya bağımsız bir üçüncü taraf denetçi aracılığıyla incelemeler dahil denetimler gerçekleştirebilir:

• En az 30 takvim günlük makul önceden bildirim;
• Denetimlerin normal iş saatleri içinde ve aksaklığı en aza indirecek şekilde yapılması;
• Denetçinin gizlilik yükümlülükleriyle bağlı olması;
• Denetim makamı tarafından gerekli görülmedikçe, 12 aylık dönem başına en fazla bir denetim.

12. Sorumluluk

Bu VİS kapsamında her bir tarafın sorumluluğu, Hizmet Şartlarında belirtilen sorumluluk sınırlamalarına ve istisnalarına tabidir. Bu VİS'teki hiçbir hüküm, yürürlükteki yasaların izin vermediği ölçüde, tarafların GDPR ihlallerine ilişkin sorumluluğunu sınırlamaz.

13. AB Temsilcisi

GDPR'ın 27. Maddesi uyarınca, Veri İşleyen aşağıdaki kuruluşu Avrupa Birliği'ndeki temsilcisi olarak atamıştır:

Euro business company Kft.
Rómer Flóris utca 8/B. 3. em., Budapest 1024, Hungary
Vergi numarası: HU28959364

AB temsilcisi ve rolü hakkında tüm ayrıntılar için FoxiFood web sitesinin Hukuki bölümündeki GDPR sayfasına bakınız.

14. İletişim

Bu Veri İşleme Sözleşmesi veya veri işleme konularıyla ilgili sorularınız için bize aşağıdaki adresten ulaşın: support@foxi.food

Elite Digital Services, LLC
1111B S Governors Ave #21653
Dover, DE 19904, USA