Gegevensverwerkingsovereenkomst

Voor de doeleinden van deze VEO gelden de volgende definities:

• —"Controller": Klanten die zich registreren voor en gebruik maken van het Zita-platform (restauranteigenaren, managers, beheerders)
• —"Processor": Zita Software
• —"Personal data": GDPR Article 4(1)
• —"Processing": GDPR Article 4(2)
• —"Sub-processor": Zita maakt gebruik van de volgende subverwerkers op basis va…
• —"Data subject": Categorieën betrokkenen en persoonsgegevens (e.g., restaurant guest, employee)
• —"GDPR": Regulation (EU) 2016/679 of 27 April 2016

Deze VEO regelt de verwerking van persoonsgegevens door Zita als Verwerker namens de Klant als Verwerkingsverantwoordelijke in verband met de levering van het Zita-platform (de 'Service') zoals beschreven in de Servicevoorwaarden.

Deze VEO blijft van kracht gedurende de looptijd van de Serviceovereenkomst. Bij beëindiging van de Service zijn de bepalingen van Sectie 11 (Teruggave en verwijdering van gegevens) van toepassing.

Zita verwerkt persoonsgegevens namens de Verwerkingsverantwoordelijke voor de volgende doeleinden:

• —Reserveringsbeheer: opslaan en verwerken van gastnamen, contactgegevens, gezelschapsgrootte, reserveringsgeschiedenis, voorkeuren en allergenennotities
• —Kassabeheer en bestelbeheer: registreren van bestellingen, betalingen, tafelindeling en fiscale transactielogboeken
• —CRM en loyaliteit: bijhouden van gastprofielen, bezoekfrequentie, bestedingsgeschiedenis, loyaliteitspunten en communicatievoorkeuren
• —Personeelsbeheer: opslaan van personeelsnamen, roosters, prikklokregistraties en fooiverdeling
• —Rapportage en naleving: genereren van Z-rapporten, BTW-registraties en financiële overzichten vereist door het Belgisch fiscaal recht
• —Klantenondersteuning: Zita-ondersteuningspersoneel in staat stellen gegevens te raadplegen wanneer gemachtigd door de Verwerkingsverantwoordelijke

3.1 Account- en registratiegegevens: restaurantgasten, medewerkers van de Verwerkingsverantwoordelijke, walk-in klanten, reserveringshouders.

3.2 Operationele gegevens verwerkt namens Klanten:

• —Identiteitsgegevens: voornaam, achternaam
• —Contactgegevens: telefoonnummer, e-mailadres
• —Transactionele gegevens: ordergeschiedenis, betalingsoverzichten, betaalmethode
• —Gedragsgegevens: bezoekfrequentie, gemiddelde besteding, loyaliteitspunten
• —Voorkeursgegevens: tafelvoorkeur, dieetvereisten, allergeenopmerkingen
• —Arbeidsgegevens (alleen medewerkers): werkuren, geplande shifts, fooibedragen
• —Fiscale gegevens: FDM fiscale gebeurtenislogboeken zoals vereist door Belgisch recht

Zita verbindt zich ertoe:

• —Persoonsgegevens alleen verwerken op gedocumenteerde instructie van de Verwerkingsverantwoordelijke, inclusief overdrachten buiten de EER, tenzij wettelijk verplicht
• —Ervoor zorgen dat alle personen die gemachtigd zijn persoonsgegevens te verwerken een geheimhoudingsplicht zijn aangegaan of onderworpen zijn aan een wettelijke geheimhoudingsplicht
• —Passende technische en organisatorische maatregelen implementeren om een beveiligingsniveau te waarborgen dat past bij het risico, overeenkomstig artikel 32 AVG
• —De voorwaarden voor het inschakelen van sub-verwerkers zoals bedoeld in Sectie 8 respecteren
• —De Verwerkingsverantwoordelijke bijstaan bij het beantwoorden van verzoeken van betrokkenen die hun rechten uitoefenen op grond van artikelen 15-22 AVG
• —De Verwerkingsverantwoordelijke bijstaan bij het waarborgen van naleving van artikelen 32-36 AVG (beveiliging, inbreukmelding, DPIA, voorafgaande raadpleging)
• —De Verwerkingsverantwoordelijke alle informatie ter beschikking stellen die nodig is om naleving van artikel 28 AVG aan te tonen en audits mogelijk te maken
• —De Verwerkingsverantwoordelijke onmiddellijk informeren als Zita van mening is dat een instructie van de Verwerkingsverantwoordelijke de AVG of toepasselijke gegevensbeschermingswetgeving schendt

De Verwerkingsverantwoordelijke verbindt zich ertoe:

• —Ervoor zorgen dat er een rechtsgrondslag is voor elke categorie verwerking van persoonsgegevens die het Zita opdraagt uit te voeren
• —Betrokkenen de vereiste transparantiemeldingen verstrekken op grond van artikelen 13-14 AVG voordat hun gegevens in het Zita-platform worden ingevoerd
• —Alle vereiste toestemmingen verkrijgen (inclusief uitdrukkelijke toestemming voor bijzondere categorieën gegevens zoals allergeeninformatie)
• —Ervoor zorgen dat gegevens die in het platform worden ingevoerd juist zijn en beperkt tot wat noodzakelijk is
• —Zita onmiddellijk op de hoogte stellen van instructies waarvan het van mening is dat ze in strijd kunnen zijn met de AVG of toepasselijk recht
• —Uitsluitend verantwoordelijk zijn voor de rechtmatigheid van zijn instructies aan Zita

Zita implementeert en handhaaft de volgende technische en organisatorische beveiligingsmaatregelen:

• —Versleuteling in transit: TLS 1.2+ op alle verbindingen
• —Versleuteling in rust: AES-256 voor databaseopslag
• —Authenticatie: HttpOnly, Secure sessiecookies; bcrypt wachtwoordhashing
• —Toegangscontrole: rolgebaseerde toegang met 62 granulaire machtigingen; principe van minimale bevoegdheden
• —Monitoring: realtime waarschuwingen voor afwijkende toegangspatronen via Sentry
• —Back-ups: geautomatiseerde dagelijkse databaseback-ups met point-in-time herstel
• —Multifactor-authenticatiemogelijkheid voor administratoraccounts
• —Regelmatige beveiligingsbeoordelingen en scannen op kwetsbaarheden van afhankelijkheden
• —Incidentresponsprocedures voor inbreuken op persoonsgegevens

De Verwerkingsverantwoordelijke verleent Zita algemene schriftelijke toestemming om subverwerkers in te schakelen voor de levering van de Service, onder de volgende voorwaarden:

• —Zita zal sub-verwerkers gelijkwaardige gegevensbeschermingsverplichtingen opleggen als die in deze VVO
• —Zita blijft volledig aansprakelijk jegens de Verwerkingsverantwoordelijke voor de nakoming van de verplichtingen van sub-verwerkers
• —Zita zal de Verwerkingsverantwoordelijke op de hoogte stellen van elke beoogde toevoeging of vervanging van sub-verwerkers minimaal 14 dagen voordat de wijziging van kracht wordt
• —De Verwerkingsverantwoordelijke kan binnen 14 dagen na kennisgeving bezwaar maken tegen een nieuwe sub-verwerker. Bij geen overeenstemming kan de Verwerkingsverantwoordelijke de Service beëindigen met 30 dagen schriftelijke opzegging

SCC = Standaard Contractuele Clausules (AVG Art. Privacybeleid (Section 6) 46(2)(c)). Een actuele lijst van subverwerkers is beschikbaar op schriftelijk verzoek aan info@zita.software. We zullen Klanten informeren over wezenlijke wijzigingen van subverwerkers met minimaal 14 dagen vooraankondiging.

Zita verwerkt gegevens voornamelijk binnen de Europese Economische Ruimte (EER). Wanneer gegevens worden overgedragen aan subverwerkers buiten de EER (inclusief de VS), worden dergelijke overdrachten beschermd door:

• —Standaard Contractuele Clausules (SCC's) aangenomen overeenkomstig EU-Commissiebesluit 2021/914/EU
• —Adequaatheidsbesluiten waar van toepassing
• —Aanvullende technische maatregelen (versleuteling) waar vereist door de transferimpactbeoordeling

Zita zal de Verwerkingsverantwoordelijke onverwijld, en waar mogelijk binnen 24 uur, informeren nadat zij kennis heeft genomen van een inbreuk op persoonsgegevens die van invloed is op gegevens die in het kader van deze VEO worden verwerkt. De kennisgeving wordt verstrekt aan het geregistreerde e-mailadres van de Verwerkingsverantwoordelijke en zal bevatten:

• —Een beschrijving van de aard van de inbreuk op persoonsgegevens inclusief categorieën en het geschatte aantal betrokken personen en records
• —De naam en contactgegevens van het contactpunt voor gegevensbescherming
• —De waarschijnlijke gevolgen van de inbreuk
• —De maatregelen die zijn genomen of voorgesteld om de inbreuk aan te pakken

U heeft het recht een klacht in te dienen bij de bevoegde toezichthoudende autoriteit. In België is dit:

Bij beëindiging van de Service om welke reden dan ook zal Zita:

• —Alle persoonsgegevens beschikbaar stellen voor export door de Verwerkingsverantwoordelijke gedurende 30 kalenderdagen na beëindiging
• —Alle persoonsgegevens permanent en veilig verwijderen uit actieve systemen binnen 60 dagen na beëindiging, inclusief van sub-verwerkersystemen
• —Een schriftelijke bevestiging van verwijdering verstrekken op schriftelijk verzoek van de Verwerkingsverantwoordelijke
• —Alleen gegevens bewaren die bewaard moeten worden op grond van toepasselijk Belgisch of EU-recht (inclusief fiscale gegevens)

Zita stelt de Verwerkingsverantwoordelijke alle redelijkerwijs noodzakelijke informatie ter beschikking om de naleving van AVG Artikel 28 aan te tonen. De Verwerkingsverantwoordelijke mag audits uitvoeren, inclusief inspecties, onder de volgende voorwaarden:

• —De Verwerkingsverantwoordelijke moet minimaal 30 dagen schriftelijke vooraankondiging geven
• —Audits moeten worden uitgevoerd tijdens normale kantooruren en mogen de activiteiten van Zita niet onredelijk verstoren
• —De Verwerkingsverantwoordelijke draagt alle kosten in verband met een audit, tenzij de audit een wezenlijke schending van deze VVO door Zita aan het licht brengt
• —De partijen zullen van tevoren overeenstemmen over de reikwijdte en methodologie van de audit
• —De Verwerkingsverantwoordelijke kan in plaats daarvan vertrouwen op de huidige beveiligingscertificaten en auditrapporten van derden van Zita, indien beschikbaar

Deze VEO wordt beheerst door Belgisch recht en valt onder de exclusieve bevoegdheid van de rechtbanken van Gent, België. Elke wijziging van deze VEO moet schriftelijk zijn en ondertekend door bevoegde vertegenwoordigers van beide partijen.