TERMENI
Acești termeni de prelucrare a datelor cu caracter personal un Acord între o entitate juridică, LIFEBLOOM NETWORK SRL , numărul companiei 123456, cu sediul social la Brasov, str. Stefan Cel Mare Si Sfant, ne. 20. Romania (care procesează Datele cu caracter personal în numele unui operator de date) (denumit în continuare „ Operatorul de date ”) și orice persoană sau entitate (care determină scopurile și mijloacele prelucrării) (denumit în continuare „Operatorul de date ” ) și, în continuare, împreună denumite părți .
Acest Acord de prelucrare a datelor stabilește cerințele tehnice pe care operatorul de date și operatorul de date trebuie să le respecte atunci când procesează datele. Aceasta include setarea termenilor pentru modul în care datele sunt stocate, protejate, procesate, accesate și utilizate.
ÎNTRUCÂT
(A) Procesatorul de date, în calitate de Furnizor de servicii, pune la dispoziția Operatorului de date platforma SUPRADESK, în conformitate cu Acordul privind Termenii și condițiile pentru utilizarea platformei SUPRADESK (denumit în continuare „Acordul de servicii”) semnat de părți .
(B) Atunci când utilizează Serviciile Procesatorului de date, Operatorul de date va trebui să încarce date cu caracter personal în sistemele Procesatorului de date, în privința cărora Operatorul de date acționează în calitate de Operator de date, iar Procesatorul de date acționează ca Procesor de date.
(C) Legislația privind protecția datelor, înseamnă: Regulamentul general privind protecția datelor (GDPR); GDPR din Romania;
(D) Părțile încearcă să implementeze un acord de prelucrare a datelor care să respecte Legislația privind protecția datelor;
(E) Părțile doresc să își stabilească drepturile și obligațiile.
SE ACORDA URMĂTORUL:
Definitii si interpretari
Cu excepția cazului în care sunt definite altfel în prezentul acord, termenii și expresiile cu primele litere majuscule utilizate în acest acord vor avea următorul sens:
„Acord” înseamnă acest Acord de prelucrare a datelor și toate programele (dacă există);
„Datele cu caracter personal ale operatorului de date” înseamnă orice Date cu caracter personal prelucrate de către Procesorul de date în numele operatorului de date în conformitate cu sau în legătură cu Acordul de servicii și acest Acord;
„Prelucrare” înseamnă orice operațiune sau set de operațiuni care se efectuează asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, fie prin mijloace automate sau nu, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, preluarea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminare sau punerea la dispoziție în alt mod, aliniere sau combinare, restricție, ștergere sau distrugere;
„Procesor contractat” înseamnă un subprocesor;
„Legile privind protecția datelor” înseamnă GDPR și, în măsura în care este aplicabil, legile privind protecția datelor sau confidențialitatea oricărei țări;
„SEE” înseamnă Spațiul Economic European;
„GDPR” înseamnă Regulamentul general al UE privind protecția datelor 2016/679, GDPR din Regatul Unit;
„Transfer de date” înseamnă:
-un transfer al Datelor cu caracter personal ale Controlorului de date de la Operatorul de date la Procesatorul de date; sau
-un transfer ulterior al Datelor cu caracter personal ale operatorului de date către un procesator contractat sau între doi procesatori contractați;
„Acord principal” înseamnă acordul dintre părțile menționat la punctul (A) de mai sus;
„Servicii” înseamnă serviciile furnizate de către Procesorul de date către Operatorul de date în conformitate cu Acordul principal;
„Subprocesor” înseamnă orice persoană desemnată de către sau în numele procesatorului de date să prelucreze date cu caracter personal în numele operatorului de date în legătură cu acest acord.
Alți termeni, inclusiv, fără a se limita la: „Comisie”, „Control”, „Subiect al datelor”, „Stat membru”, „Date cu caracter personal”, „Încălcarea datelor cu caracter personal”, „Prelucrare” și „Autoritate de supraveghere” vor avea același înțeles atribuit acestora în GDPR, iar termenii lor înrudiți vor fi interpretați în consecință.
Prelucrarea datelor cu caracter personal ale operatorului de date
2. Procesatorul de date:
să respecte toate legile aplicabile privind protecția datelor în prelucrarea datelor cu caracter personal ale operatorului de date; și
nu Prelucrează Datele cu caracter personal ale Controlorului de date în afara instrucțiunilor documentate ale Controlorului de date.
3. Dacă Prelucrarea implică date cu caracter personal care dezvăluie origine rasială sau etnică, opinii politice, convingeri religioase sau filozofice sau apartenență la sindicat, date genetice sau date biometrice în scopul identificării unice a unei persoane fizice, date referitoare la sănătate sau viața sexuală a unei persoane sau orientare sexuală, sau date referitoare la condamnări și infracțiuni penale, Procesatorul de date va aplica restricții specifice și/sau garanții suplimentare.
4. Controlorul de date instruiește Procesatorul de date să prelucreze Datele personale ale Controlorului de date în scopul specific al furnizării Serviciilor. Deoarece, atunci când utilizează Serviciile Procesatorului de date, Controlorul de date încarcă în mod independent Date cu caracter personal în sistemele Procesatorului de date, în legătură cu care Furnizorul de servicii acționează ca Procesor de date, părțile au convenit în special asupra anumitor limitări ale răspunderii Procesatorului de date, și anume:
- Operatorul de date își transferă datele cu caracter personal, iar Procesatorul de date colectează Date cu caracter personal ale operatorului de date în calitate de persoană vizată exclusiv în scopul de a oferi acces la Platformă (modulele acesteia), în special date precum numele complet al utilizator sau numele complet al companiei, datele de înregistrare, adresa de e-mail, alte date necesare înregistrării;
- După ce oferă Controlorului de date acces la Platformă, Controlorul de date în mod independent și la propria sa discreție colectează și încarcă Date personale ale angajaților săi, recrutorilor, terților în sistemele Procesatorului de date; Prin urmare, Procesatorul de date nu colectează astfel de Date personale, ci doar le stochează și, prin urmare, nu este responsabil pentru fiabilitatea, acuratețea, legalitatea, modalitatea legală de colectare a acestora etc.;
- Operatorul de date este singurul responsabil față de Subiecții datelor ale căror date le colectează și le încarcă în mod independent pe sistemele operatorului de date, inclusiv Datele cu caracter personal obținute din sisteme care se integrează cu Platforma, și anume pentru legalitatea, acuratețea, fiabilitatea, modalitatea legală de a colectarea acestora etc.
Personalul de subprocesare și procesator
6. Procesatorul de date are autorizația generală a Controlorului de date de a angaja Subprocesatori (denumite aici și Procesatorii Contractuali).
7. Controlorul de date Datele personale pot fi transferate către Procesatorii Contractați numai dacă Procesatorul de Date și Procesatorul Contractat semnează un acord de prelucrare a datelor cu termeni identici cu acest Acord.
8. Operatorul de date va lua măsurile necesare pentru a asigura fiabilitatea oricărui angajat, agent sau contractant al Procesatorului de date sau al oricărui Procesor contractat care ar putea avea acces la Datele cu caracter personal ale operatorului de date, asigurându-se în fiecare caz că accesul este strict limitat la acele persoane. persoanele care trebuie să cunoască/să acceseze datele cu caracter personal relevante ale operatorului de date, așa cum este strict necesar în sensul Acordului principal și să respecte legile aplicabile în contextul îndatoririlor persoanei respective față de Procesorul de date, asigurându-se că toate aceste persoane sunt supuse angajamentelor de confidențialitate sau obligațiilor profesionale sau statutare de confidențialitate.
9. Procesatorul de date va fi pe deplin răspunzător față de Operator pentru îndeplinirea obligațiilor Procesatorului prin contract în baza contractului său cu Procesatorul de date. Procesatorul de date va notifica Operatorul cu privire la orice neîndeplinire a obligațiilor contractuale de către Procesorul de Contract.
10. Acordul de prelucrare a datelor al Procesatorului de date și al Procesatorului Contractat (menționat în subsecțiunea 7 de mai sus) va include o clauză de beneficiar terță parte în baza căreia - în cazul în care Procesatorul de date a dispărut efectiv, a încetat să mai existe în drept sau a devin insolvabil - Operatorul de date va avea dreptul de a rezilia contractul Procesatorului Contractat și de a instrui Procesatorul Contractat să șteargă sau să returneze Datele Personale ale Operatorului de Date.
Securitate
11. Ținând cont de stadiul tehnicii, de costurile de implementare și de natura, domeniul de aplicare, contextul și scopurile Prelucrării, precum și de riscul de probabilitate și severitate variabile pentru drepturile și libertățile persoanelor fizice, Procesatorul de date va în relație cu operatorul de date Datele cu caracter personal implementează măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate adecvat acelui risc, inclusiv, după caz, măsurile menționate la articolul 32 alineatul (1) din GDPR.
12. În evaluarea nivelului adecvat de securitate, Procesatorul de date va ține seama în special de riscurile care sunt prezentate de Prelucrare, în special de o încălcare a datelor cu caracter personal.
Drepturile subiectului datelor
13. Ținând cont de natura Prelucrării, Procesatorul va asista Operatorul de date prin implementarea măsurilor tehnice și organizatorice adecvate, în măsura în care acest lucru este posibil, pentru îndeplinirea obligațiilor Operatorului de date, așa cum este înțeles în mod rezonabil de către Operatorul de date, de a să răspundă solicitărilor de exercitare a datelor 14. Drepturile subiectului în conformitate cu Legile privind protecția datelor.
14. Procesatorul de date va:
să notifice prompt (dar în niciun caz mai târziu de 3 zile de la primirea unei astfel de solicitări) să notifice Controlorul de date dacă primește o solicitare de la o persoană vizată în temeiul oricărei legi privind protecția datelor cu privire la Datele cu caracter personal ale operatorului de date; și
să se asigure că nu răspunde la acea solicitare, cu excepția instrucțiunilor documentate ale operatorului de date sau conform cerințelor legilor aplicabile privind protecția datelor la care se supune Procesatorul de date, caz în care operatorul de date va informa Operatorul de date în măsura permisă de legile aplicabile. a respectivei cerințe legale înainte de trimiterea unui răspuns la cerere.
15. În plus față de obligația operatorului de date de a asista operatorul de date în conformitate cu subsecțiunile de mai sus, împuternicitul de date va ajuta, în plus, operatorul de date să asigure respectarea următoarelor obligații, ținând cont de natura prelucrării datelor și de informațiile disponibile pentru Procesorul de date:
obligația de a efectua o evaluare a impactului operațiunilor de prelucrare avute în vedere asupra protecției datelor cu caracter personal (o „evaluare a impactului asupra protecției datelor”) atunci când un tip de prelucrare este susceptibil să prezinte un risc ridicat pentru drepturile și libertățile naturale; persoane;
obligația de a consulta Autoritatea/Autoritățile de Supraveghere competente înainte de Prelucrare în cazul în care o evaluare a impactului asupra protecției datelor indică faptul că Prelucrarea ar avea ca rezultat un risc ridicat în absența măsurilor luate de către Operatorul de Date pentru a atenua riscul;
obligația de a se asigura că datele cu caracter personal sunt exacte și actualizate, informând fără întârziere Controlorul de date în cazul în care Procesatorul de date ia la cunoștință că datele personale pe care le Prelucrează sunt inexacte sau au devenit depășite.
Încălcarea datelor cu caracter personal
16. Procesatorul de date va notifica Operatorul de date fără întârzieri nejustificate (dar în nici un caz mai târziu de 24 de ore de la producerea unei astfel de încălcări a datelor cu caracter personal) atunci când Procesatorul ia cunoștință de o încălcare a datelor cu caracter personal care afectează Datele cu caracter personal ale operatorului de date, furnizând acestuia cu suficiente informații pentru a permite Controlorului de date să îndeplinească orice obligație de a raporta sau de a informa Subiecții datelor și Autoritatea/Autoritățile de Supraveghere cu privire la încălcarea datelor cu caracter personal în conformitate cu Legile privind protecția datelor.
17. În cazul unei încălcări a datelor cu caracter personal cu privire la datele cu caracter personal ale operatorului de date, operatorul de date îl va asiste pe operatorul de date:
(la cererea scrisă specifică a Operatorului de date) în notificarea încălcării datelor cu caracter personal către Autoritatea/Autoritățile de Supraveghere competente, fără întârzieri nejustificate după ce Operatorul de Date a luat cunoștință de aceasta, dacă este cazul/(cu excepția cazului în care este puțin probabil să rezulte încălcarea datelor cu caracter personal într-un risc pentru drepturile și libertățile persoanelor fizice);
la obținerea următoarelor informații care, în conformitate cu articolul 33 alineatul (3) GDPR, trebuie menționate în notificare și trebuie să includă cel puțin:
natura Datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile și numărul aproximativ de Subiecți ai datelor în cauză și categoriile și numărul aproximativ de înregistrări de date cu caracter personal în cauză;
consecințele probabile ale încălcării datelor cu caracter personal;
măsurile luate sau propuse a fi luate pentru a aborda încălcarea datelor cu caracter personal, inclusiv, după caz, măsuri pentru atenuarea posibilelor efecte adverse ale acesteia.
În cazul în care și în măsura în care nu este posibil să se furnizeze toate aceste informații în același timp, notificarea inițială conține informațiile disponibile atunci, iar informațiile suplimentare, pe măsură ce devin disponibile, sunt furnizate ulterior fără întârzieri nejustificate.
18. Procesatorul de date va coopera cu operatorul de date și va lua toate măsurile necesare, conform instrucțiunilor acestuia, pentru a ajuta la investigarea, atenuarea și remedierea fiecărei astfel de încălcări a datelor cu caracter personal.
Evaluarea impactului privind protecția datelor, consultarea prealabilă și drepturile de audit
19. Procesatorul de date va oferi asistență Controlorului de date cu orice evaluare a impactului asupra protecției datelor și consultări prealabile cu Autoritatea/Autoritățile de Supraveghere sau cu alte autorități competente pentru confidențialitatea datelor, pe care Operatorul de Date le consideră în mod rezonabil cerute de articolul 35 sau 36 din GDPR sau prevederi similare ale oricărei Legi privind protecția datelor, în legătură cu Prelucrarea Datelor cu caracter personal ale operatorului de date de către Procesatorul de date și ținând cont de natura Prelucrării și a informațiilor disponibile Procesatorului de date și Procesatorilor contractați.
20. Procesatorul de date va pune la dispoziția operatorului de date toate informațiile necesare pentru a demonstra respectarea obligațiilor care sunt prevăzute în prezentul acord și/sau decurg direct din GDPR sau din alte legi aplicabile privind protecția datelor. La solicitarea Operatorului de date, Procesatorul de date va permite și contribui la auditarea activităților de prelucrare acoperite de prezentul Acord, la intervale rezonabile sau dacă există indicii de nerespectare. Atunci când decide asupra unei revizuiri sau a unui audit, Operatorul de date poate lua în considerare certificările relevante deținute de Procesorul de date.
21. Operatorul de date poate alege să efectueze singur auditul sau să mandateze un auditor independent. Auditurile pot include, de asemenea, inspecții la sediul sau la unitățile fizice ale împuternicitului și, după caz, trebuie efectuate cu o notificare rezonabilă.
22. Operatorul de date poate pune la dispoziția Autorității/Autorităților de Supraveghere competente, la cerere, informațiile menționate în această secțiune, inclusiv rezultatele oricăror audituri.
23. Sub rezerva acestei secțiuni, Procesorul de date va pune la dispoziție Controlorului de date, la cerere, toate informațiile necesare pentru a demonstra conformitatea cu prezentul Acord și cu legile aplicabile privind protecția datelor și va permite și va contribui la audituri, inclusiv inspecții, de către Controlorul de date. sau un auditor mandatat de către Operatorul de date în legătură cu Prelucrarea Datelor cu caracter personal ale Controlorului de date de către Procesatorii Contractați.
Ștergerea sau returnarea datelor cu caracter personal ale operatorului de date
24. Procesatorul de date va trebui prompt și, în orice caz, în termen de 3 zile de la data încetării oricăror Servicii care implică prelucrarea datelor cu caracter personal ale operatorului de date (inclusiv, fără limitare, ștergerea contului operatorului de date, în conformitate cu acordul principal). sau rezilierea acestui acord), la alegerea Controlorului de date, ștergeți toate Datele cu caracter personal prelucrate în numele Controlorului de date și certificați Controlorului de date că a făcut acest lucru sau returnați toate Datele cu caracter personal către Operatorul de date și ștergeți copiile existente, cu excepția cazului în care legislația Uniunii sau a statelor membre impune stocarea datelor cu caracter personal. Până când datele sunt șterse sau returnate, Procesatorul de date va continua să asigure conformitatea cu prezentul Acord.
Transfer de date
25. Procesatorul de date nu va transfera sau autoriza transferul Datelor cu caracter personal ale operatorului de date către țări din afara UE și/sau din Spațiul Economic European (SEE) fără acordul prealabil, separat, în scris al operatorului de date. În cazul în care datele cu caracter personal prelucrate în temeiul prezentului acord sunt transferate dintr-o țară din Spațiul Economic European într-o țară din afara Spațiului Economic European, părțile se asigură că datele cu caracter personal sunt protejate în mod adecvat. Pentru a realiza acest lucru, părțile se vor baza, cu excepția cazului în care se convine altfel, pe clauze contractuale standard aprobate de UE pentru transferul de date cu caracter personal.
Confidențialitate
26. Fiecare parte trebuie să păstreze confidențiale acest acord și informațiile pe care le primește despre cealaltă parte și afacerile sale în legătură cu acest acord și orice Date cu caracter personal primite de la cealaltă parte („Informații confidențiale”) și nu trebuie să utilizeze sau să divulge acele informații confidențiale fără consimțământul prealabil scris al celeilalte părți, cu excepția cazului în care:
dezvăluirea este cerută de lege;
informațiile relevante sunt deja în domeniul public (cu excepția cazului în care sunt în domeniul public ca urmare a unei încălcări a obligației de confidențialitate).
Nerespectarea Clauzelor și reziliere
27. Fără a aduce atingere oricăror prevederi din GDPR, în cazul în care operatorul de date încalcă obligațiile care îi revin în temeiul prezentului acord sau a legilor aplicabile privind protecția datelor, operatorul de date poate instrui operatorul de date să suspende prelucrarea datelor cu caracter personal ale operatorului de date. până când acesta din urmă respectă acest acord și Legile privind protecția datelor sau prezentul acord sunt reziliate. Procesatorul de date va informa cu promptitudine Controlorul de date în cazul în care nu este în măsură să respecte prezentul Acord sau Legile privind protecția datelor, indiferent de motiv.
28. Operatorul de date va avea dreptul de a rezilia prezentul acord (și acordul principal) dacă fără notificare:
Prelucrarea datelor de către operatorul de date a datelor cu caracter personal de către operatorul de date a fost suspendată de către operator, iar Legile privind protecția datelor nu sunt restabilite într-un termen rezonabil și, în orice caz, nu mai târziu de 14 zile de la suspendare;
Procesatorul de date se află într-o încălcare semnificativă sau persistentă a prezentului Acord sau a obligațiilor sale conform GDPR;
Procesatorul de date nu respectă o decizie obligatorie a unei instanțe competente sau a autorității de supraveghere competente cu privire la obligațiile care îi revin în temeiul prezentului acord și/sau GDPR și/sau a altor legi privind protecția datelor.
Motivele rezilierii de mai sus nu vor fi interpretate ca o limitare a vreunui drept de a rezilia Acordul principal, așa cum este prevăzut în acesta.
29. Operatorul de date va avea dreptul de a rezilia prezentul Acord dacă, după ce a informat Operatorul de date că instrucțiunile sale încalcă cerințele legale aplicabile, Operatorul de date insistă asupra conformării cu instrucțiunile.
Dispoziții diverse
30. Părțile convin că răspunderea Procesatorului de date față de Operatorul de date va apărea ca urmare a unei încălcări directe sau indirecte dovedite sau a nerespectării oricărei obligații specificate în prezentul Acord referitoare la protecția datelor (inclusiv, fără limitare, prevederile acestui acord sau GDPR) de către Procesorul de date.
31. Părțile sunt de acord că Procesatorul de date nu este responsabil pentru acțiunile Operatorului de date specificate în clauza 5, și anume pentru colectarea de către Operatorul de date și încărcarea în sistemele Procesatorului de date, a Datelor personale ale angajaților, recrutorilor, oricăror terți. ale Controlorului de date, inclusiv Datele cu caracter personal pe care Controlorul de date le colectează din sisteme care se integrează cu Platforma Procesatorului de date.
32. Toate notificările și comunicările furnizate în temeiul prezentului Acord trebuie să fie în scris și vor fi trimise prin e-mail la adresa indicată pe site-ul SUPRADESK.
33. Prezentul acord va fi citit și interpretat în lumina prevederilor GDPR. Prezentul acord nu va fi interpretat într-un mod care să contravină drepturilor și obligațiilor prevăzute în GDPR sau într-un mod care să prejudicieze drepturile sau libertățile fundamentale ale persoanelor vizate.
34. Operatorul de date va informa imediat Operatorul de date dacă, în opinia Procesatorului de date, instrucțiunile date de Operatorul de date încalcă GDPR sau alte legi aplicabile privind protecția datelor.
35. Părțile vor putea demonstra conformitatea cu prezentul acord.
36. Prevederile acestui acord vor fi guvernate și interpretate în conformitate cu legea engleză, iar părțile se supun jurisdicției exclusive a tribunalelor engleze.
Dreptul SUPRADESK de a schimba versiunea DPA
SUPRADESK își rezervă dreptul de a modifica sau modifica în mod unilateral acest DPA după cum se consideră necesar.
Controlorul de date recunoaște și este de acord că utilizarea continuă a serviciilor furnizate în temeiul prezentului APD după data intrării în vigoare a oricăror modificări constituie acceptarea de către acesta a APD modificată.
În cazul în care Clientul nu este de acord cu modificările propuse la DPA, acesta are opțiunea de a rezilia Contractul de servicii în conformitate cu prevederile de reziliere.
Ultima versiune actualizată a DPA din
19 IANUARIE 2023.