ACORD DE PRELUCRARE A DATELOR („DPA”)
ACORD DE PRELUCRARE A DATELOR („DPA”)
I) Aspecte generale
1. Sfera de aplicare
DPA este încorporat prin referință în și constituie parte integrantă din Acord (conform definiției din Termeni și Condiții), cu excepția cazului în care părțile încheie un acord separat privind prelucrarea datelor ca parte a unor acorduri specifice. În cazul unei neconcordanțe între DPA și orice alți termeni ai Acordului, DPA va prevala.
Prezentul DPA se aplică în cazul în care TD SYNNEX, acționând în calitate de persoană împuternicită de operator, prelucrează date cu caracter personal în numele și în conformitate cu instrucțiunile Cumpărătorului, acționând în nume propriu sau în numele clienților săi sau al utilizatorilor lor finali („Clienții”), în calitate de operator de date. Prezentul DPA se aplică, de asemenea, în cazul în care Cumpărătorul, în calitate de persoană împuternicită de operator, prelucrează date cu caracter personal în numele și în conformitate cu instrucțiunile TD SYNNEX, acționând [în nume propriu sau în numele unui terț], în calitate de operator de date.
Acest DPA nu se aplică TD SYNNEX și Cumpărătorului care își partajează date cu caracter personal unul cu celălalt, în calitate de operatori de date separați sau asociați.
TD SYNNEX acționează în mod obișnuit în calitate de operator de date separat dacă:
(a) colectează date cu caracter personal în legătură cu operațiunile Cumpărătorului (cum ar fi date cu caracter personal referitoare la angajații Cumpărătorului);
(b) TD SYNNEX prelucrează datele cu caracter personal ale utilizatorilor finali furnizate de clientul Cumpărătorului pentru:
(i) efectuarea de investigații legate de fraudă, combaterea spălării banilor, sancțiuni și orice alte verificări, inclusiv verificarea listelor părților respinse și investigarea și urmărirea penală a fraudelor, spălării banilor sau încălcărilor sancțiunilor în legătură cu stabilirea și menținerea unei relații cu clienții și furnizarea de servicii;
(ii) respectarea obligațiilor legale și de reglementare;
(iii) anonimizarea și/sau analiza datelor; și
(iv) aducerea la îndeplinire a Acordului, inclusiv transporturile directe și, dacă este necesar pentru aducerea la îndeplinire a Acordului, transferul acestor date cu caracter personal către terți care acționează în calitate de operator de date, cum ar fi transportatori, producători sau furnizori terți de servicii.
2. Definiții
Orice termen care nu este definit în prezentul DPA sau în alte părți ale Acordului va avea sensul atribuit acestuia în
temeiul Regulamentului General privind Protecția Datelor (UE 2016/679) („RGPD”). Referirile din prezentul DPA la articolele din RGPD [Art….RGPD] se vor aplica numai în măsura în care
prelucrarea se supune RGPD - pentru toate celelalte jurisdicții relevante se aplică legile corespunzătoare aplicabile privind protecția datelor.
„Țara Terță” înseamnă orice țară care nu este nici stat membru al Uniunii Europene („UE“) sau al Spațiului Economic European („SEE“), nici nu este confirmată de Comisia Europeană ca oferind o protecție adecvată a datelor cu caracter personal în conformitate cu art. 45 alin. (3) din RGPD.
„Prelucrarea Datelor cu Caracter Personal din SEE” în scopul prezentului DPA înseamnă prelucrarea datelor cu caracter personal care intră în sfera de aplicare a RGPD sau a Legilor privind Confidențialitatea din Regatul Unit sau Elveția.
„Clauze Contractuale Standard” sau „CSC” - înseamnă clauzele contractuale standard pentru transferul datelor cu caracter personal către țări terțe conform Deciziei de Punere în Aplicare (UE) 2021/914 a Comisiei din 4 iunie 2021 sau oricărei decizii succesoare sau de completare;
„Legislație privind Confidențialitatea” înseamnă toate legile și reglementările aplicabile privind prelucrarea datelor cu caracter personal și confidențialitatea, care pot exista în jurisdicțiile relevante, pentru statele membre ale UE sau SEE, inclusiv RGPD;
„Măsuri TOM” înseamnă măsurile tehnice și organizatorice în sensul Legilor privind Confidențialitatea;
„Sub-procesator” sau „Sub-(sub)procesator” înseamnă terți autorizați în temeiul prezentului DPA să aibă acces funcțional la și să prelucreze datele cu caracter personal în conformitate Acordul;
„Transferul Datelor” înseamnă orice parte care transmite sau oferă acces la date cu caracter personal.
„Exportator” înseamnă orice parte a unui Transfer de Date care se află în SEE, Regatul Unit sau Elveția.
II) Termeni speciali pentru TD SYNNEX, în calitate de Persoană Împuternicită de Operator
Această secțiune II se aplică în cazul în care TD SYNNEX, acționând în calitate de persoană împuternicită de operator, prelucrează date cu caracter personal în numele și în conformitate cu instrucțiunile Cumpărătorului, acționând în nume propriu sau în numele Clienților, în calitate de operator de date. Se aplică în plus față de secțiunea III de mai jos. În cazul unei neconcordanțe între secțiunile II și III, prezenta secțiune II va prevala.
1. Comunicare electronică. TD SYNNEX poate furniza Cumpărătorului informații și notificări în contextul prezentului DPA electronic, inclusiv prin e-mail, prin intermediul site-ului standard al TD SYNNEX sau prin intermediul unui site identificat de TD SYNNEX.
2. Detalii privind Prelucrarea. Prin utilizarea Serviciilor, Cumpărătorul este de acord cu detaliile prelucrării, inclusiv natura, scopul și obiectul prelucrării, categoriile de persoane vizate, tipurile de date cu caracter personal, categoriile speciale de date cu caracter personal, măsurile
TOM și alte persoane împuternicite de operator - în cazurile relevante - așa cum sunt definite în Acord (inclusiv acest DPA) și așa cum sunt altfel puse la dispoziție și comunicate de TD SYNNEX electronic, inclusiv prin
e-mail, prin intermediul site-ului standard al TD SYNNEX, sau prin intermediul unui site pe care îl identifică TD SYNNEX.
3. Clauzele Contractuale Standard. SCC, dacă se aplică între TD SYNNEX și Cumpărător, pot fi găsite pe site-ul standard al TD SYNNEX sau prin intermediul unui site identificat de TD SYNNEX.
4. Obligațiile TD SYNNEX și ale Cumpărătorului.
4.1. TD SYNNEX va respecta Legislația privind Confidențialitatea aplicabilă în rolul său de persoană împuternicită de operator. TD SYNNEX nu este responsabilă să respecte orice legi sau reglementări aplicabile industriei Cumpărătorului sau Clienților săi care nu sunt aplicabile în general furnizorilor Produselor respective. TD SYNNEX nu stabilește dacă datele
Cumpărătorului sau ale Clienților săi includ informații care se supun oricărei legi sau reglementări specifice.
4.2. Cumpărătorul va evalua și va determina adecvarea, caracterul corespunzător și conformitatea utilizării de către Cumpărător sau Clienții săi a Produselor cu legile și reglementările, inclusiv cu privire la Legislația privind Confidențialitatea, în special în ceea ce privește măsurile TOM, alte persoane împuternicite de operator implicate, locația centrului de date și transferul relevant de date, așa cum sunt descrise în Acord, inclusiv DPA și detaliile prelucrării.
4.3. În cazul în care Cumpărătorul nu este operatorul datelor cu caracter personal, dar prelucrează datele cu caracter personal în numele Clienților, Cumpărătorul garantează că a încheiat toate contractele și că deține toate permisiunile și autorizațiile necesare ale Clientului(Clienților) în următoarele scopuri:
- să acționeze în legătură cu TD SYNNEX în calitate de operator de date în temeiul prezentului DPA și să își exercite toate drepturile în calitate de operator de date față de TD SYNNEX și celelalte persoane împuternicite de operator în ceea ce privește DPA;
- să utilizeze TD SYNNEX în calitate de persoană împuternicită de operator pentru a prelucra date cu caracter personal, conform prevederilor din Acord, inclusiv prezentul DPA și detaliile prelucrării;
- să fie unicul punct de contact al TD SYNNEX pentru toate instrucțiunile, notificările, informațiile și comunicările legate de acest DPA și să asigure comunicarea relevantă dintre Clienți și TD SYNNEX, în cazurile în care legea impune acest lucru. TD SYNNEX va fi exonerată de
orice obligație de a informa sau de a notifica un Client atunci când TD SYNNEX a furnizat o astfel de informare sau notificare Cumpărătorului. TD SYNNEX va servi
ca punct unic de contact în vederea celorlalte persoane împuternicite de operator ale TD SYNNEX.
- să exercite drepturile Exportatorilor în conformitate cu Clauzele Contractuale Standard - acolo unde este cazul
- față de (i) TD SYNNEX și/sau (ii) celelalte persoane împuternicite de operator prin intermediul TD SYNNEX în numele Exportatorului.
III) Termeni generali de prelucrare
Această secțiune III se aplică în plus față de secțiunea II în cazul în care TD SYNNEX, acționând în calitate de persoană împuternicită de operator, prelucrează date cu caracter personal în numele și conform instrucțiunilor Cumpărătorului, acționând în nume propriu sau în numele Clienților, în calitate de operator de date. Această secțiune se aplică, de asemenea, în cazul în care Cumpărătorul, în calitate de persoană împuternicită de operator, prelucrează date cu caracter personal în numele și în conformitate cu instrucțiunile TD
SYNNEX, acționând [în nume propriu sau în numele unui terț], în calitate de operator de date.
1. Obligațiile Operatorului de Date
1.1. Operatorul de Date va fi unicul responsabil pentru respectarea tuturor obligațiilor legale ale unui operator în ceea ce privește prelucrarea în conformitate cu Legislația privind Confidențialitatea. Operatorul de Date va stipula, la încetarea sau expirarea Acordului și prin emiterea unei instrucțiuni, măsurile de returnare a suporturilor fizice de date, inclusiv a datelor cu caracter personal, sau de
ștergere a datelor cu caracter personal stocate și va notifica fără întârzieri nejustificate persoana împuternicită de operator cu privire la orice erori sau nereguli despre care ia cunoștință cu privire la prelucrarea datelor cu caracter personal de către persoana împuternicită de operator.
1.2. Operatorul de Date nu va utiliza Produsele împreună cu datele cu caracter personal în măsura în care acest lucru ar încălca Legislația privind Confidențialitatea și își va obliga Clienții în acest sens.
2. Obligațiile Persoanei Împuternicite de Operator
2.1. Respectarea obligațiilor Persoanei Împuternicite de Operator. Persoana împuternicită de operator
va respecta toate obligațiile aplicabile persoanelor împuternicite de operator în conformitate cu Legislația privind Confidențialitatea datelor din SEE. Persoana împuternicită de operator nu este responsabilă pentru determinarea cerințelor legilor aplicabile activității sau industriei operatorului de date sau Clienților sau pentru conformitatea furnizării de Produse de către persoana împuternicită de operator cu cerințele acestor legi.
2.2. Instrucțiuni. Persoana împuternicită de operator va prelucra datele cu caracter personal exclusiv în conformitate cu instrucțiunile scrise ale operatorului, definite în Acord, inclusiv prezentul DPA și anexele acestuia, - dacă este cazul - utilizarea și configurarea autorizate ale Produselor de către operatori sau în alt mod, în scris. Persoana împuternicită de operator va
informa operatorul imediat dacă persoana împuternicită de operator consideră că instrucțiunile operatorului încalcă legislația aplicabilă privind protecția datelor și/ sau obligațiile contractuale în temeiul Acordului, inclusiv prezentul DPA. Persoana împuternicită de operator are dreptul de a suspenda implementarea unei astfel de
instrucțiuni până când aceasta este examinată de operator și confirmată sau modificată în consecință. Persoana împuternicită de operator este autorizată să prelucreze date cu caracter personal fără instrucțiunile operatorului, dacă acest lucru este impus de legislația UE sau a statelor membre cărora li se supune persoana împuternicită de operator; în acest caz, persoana împuternicită de operator informează operatorul cu privire la respectiva cerință legală înainte de prelucrare, cu excepția cazului în care legea interzice astfel de informări din motive importante de interes public.
2.3. Divulgare/Acces. Persoana împuternicită de operator nu va divulga date cu caracter personal niciunui terț, cu excepția cazului în care este autorizată de operator sau acest lucru este impus de legislația UE sau a statelor membre. În cazul în care o astfel de legislație impune acordarea către un terț sau în cazul în care o autoritate guvernamentală, instanță sau autoritate de supraveghere pe baza unei astfel de legislații solicită accesul la datele cu caracter personal, persoana împuternicită de operator va notifica operatorul înainte de divulgare, cu excepția cazului în care acest lucru este interzis prin lege pe baza unor importante temeiuri de interes public. Cu excepția cazului în care este obligată să facă acest lucru potrivit legislației UE sau a statelor sale membre, persoana împuternicită de operator nu va divulga sau transmite
niciun fel de date cu caracter personal ca răspuns la o astfel
de solicitare transmisă persoanei împuternicite de operator fără a se consulta în prealabil cu operatorul. În cazul în care datele cu caracter personal ale operatorului sunt supuse percheziției și sechestrului, confiscării în timpul procedurii de faliment sau de insolvență sau în timpul unor evenimente sau măsuri similare de către terți în timpul prelucrării, persoana împuternicită de operator va informa operatorul de date fără întârzieri nejustificate.
2.4. Obligația de Confidențialitate. Persoana împuternicită de operator solicită întregului personal și persoanelor cărora le este încredințată prelucrarea datelor cu caracter personal să își asume obligația de confidențialitate -
cu excepția cazului în care se aplică o obligație legală corespunzătoare de confidențialitate - și să nu prelucreze aceste date cu caracter personal în niciun alt scop, cu excepția instrucțiunilor operatorului sau în alt mod solicitat de legislația UE sau a statelor sale membre.
2.5. Drepturile Persoanelor Vizate. Persoana împuternicită de operator va asista în mod rezonabil operatorul de date, la cererea operatorului și conform cerințelor legale, în furnizarea accesului persoanelor vizate și pentru a răspunde oricăror solicitări, plângeri sau altor comunicări din partea persoanei vizate, inclusiv solicitări din partea persoanelor vizate care doresc să își exercite drepturile conform Legislației privind Confidențialitatea. În cazul în care o astfel de cerere, plângere sau comunicare este primită de sau altfel transmisă persoanei împuternicite de operator, aceasta trebuie să informeze operatorul
de date fără întârzieri nejustificate, dacă persoana împuternicită de operator este capabilă să coreleze persoana vizată cu operatorul.
2.6. Încălcarea Securității Datelor. Persoana împuternicită de operator va notifica operatorul fără întârzieri
nejustificate după ce ia cunoștință de orice încălcare a securității datelor cu caracter personal („Încălcarea Securității Datelor”) care afectează datele cu caracter personal ale operatorului. Persoana împuternicită de
operator va lua măsuri și va depune eforturi rezonabile pentru a remedia sau diminua efectele Încălcării securității datelor cu caracter personal și va ajuta operatorul să asigure respectarea obligațiilor sale în temeiul Legislației aplicabile privind Confidențialitatea pentru a notifica Încălcarea Securității Datelor autorităților de supraveghere și persoanelor vizate, ținând cont de natura prelucrării
și de informațiile de care dispune operatorul. În special, persoanele împuternicite de operator vor coopera
cu operatorul, furnizând actualizări periodice și alte informații solicitate în mod rezonabil. Orice comunicat de presă, notificare, anunț public sau de reglementare sau comunicare cu privire la o încălcare a securității datelor
va fi făcută de operator la discreția exclusivă a acestuia, cu excepția cazului în care legislația aplicabilă impune altfel.
2.7. Asistență privind obligațiile Operatorului. Persoana împuternicită de operator va asista în mod rezonabil operatorul, la solicitarea acestuia din urmă, în legătură
cu obligațiile operatorului cu privire la securitatea prelucrării, evaluările impactului asupra protecției datelor și consultările prealabile luând în considerare informațiile de care dispune TD SYNNEX și natura prelucrării.
Persoana împuternicită de operator va acorda asistență în legătură cu auditurile oricărei autorități de supraveghere competente, în măsura în care auditul respectiv se referă la prelucrarea datelor cu caracter personal de către persoana împuternicită de operator în temeiul prezentului Acord și în măsura în care operatorul solicită acest lucru în mod rezonabil. Asistența persoanei împuternicite de operator poate fi supusă unei taxe rezonabile, cu excepția cazului în care asistența persoanei împuternicite de operator este deja menționată în Acord în mod corespunzător.
2.8. Încetarea Acordului. Persoana împuternicită de operator, la alegerea operatorului, va șterge sau va returna toate datele cu caracter personal operatorului la încetarea sau expirarea Acordului și va șterge copiile existente, cu excepția cazului în care legislația UE sau a statului membru impune stocarea datelor cu caracter personal de către persoana împuternicită de operator.
3. Măsuri Tehnice și Organizatorice de Securitate
3.1. Persoana împuternicită de operator și operatorul de date vor implementa și menține măsurile TOM, după cum impune legislația aplicabilă privind confidențialitatea. Aceasta include implementarea și menținerea măsurilor TOM pentru a asigura un nivel de securitate adecvat riscurilor sau daunelor aduse datelor cu caracter personal, corespunzătoare prejudiciului care ar putea rezulta din prelucrarea neautorizată sau ilegală sau din pierderea accidentală, distrugerea sau deteriorarea datelor, precum și natura acestora, având în vedere starea de dezvoltare tehnologică și costul implementării oricăror măsuri (aceste măsuri pot include, acolo unde este cazul, pseudonimizarea și criptarea datelor cu caracter personal, asigurarea confidențialității, integritatea, disponibilitatea și rezistența sistemelor și serviciilor sale).
3.2. Măsurile TOM sunt supuse progresului tehnic și dezvoltării ulterioare. Persoana împuternicită de operator își rezervă dreptul de a modifica măsurile și garanțiile implementate, cu condiția ca funcționalitatea și securitatea Produselor
să nu fie afectate. Orice decizii substanțiale legate de securitate cu privire la organizarea prelucrării datelor și procedurile aplicate vor fi notificate operatorului de date.
3.3. Prin utilizarea unui Produs, operatorul de date confirmă măsurile TOM, așa cum sunt descrise în Acord și/
sau furnizate de Persoana împuternicită de operator, și confirmă că măsurile TOM asigură un nivel adecvat de protecție în ceea ce privește riscurile asociate cu prelucrarea datelor cu caracter personal.
4. Documentație și Obligații de Audit
4.1. La cererea operatorului, persoana împuternicită de operator va pune la dispoziția operatorului sau a unei terțe părți autorizate, care acționează în numele operatorului, informațiile necesare operatorului sau clienților pentru a-și respecta obligațiile de audit în temeiul legilor aplicabile privind protecția datelor sau al solicitării unei autorități de supraveghere, și va permite și va contribui la revizuiri și audituri, inclusiv inspecții, după cum se prevede mai jos.
4.2. Operatorul poate solicita persoanei împuternicite de operator să furnizeze informații relevante cu privire la măsurile TOM, inclusiv - dacă sunt disponibile - certificatele, rapoartele sau extrasele auditorului din
rapoartele furnizate de organismele independente (de ex. auditor, responsabil cu protecția datelor, departamentul de securitate IT, auditor privind confidențialitatea datelor, auditor de calitate).
4.3. În măsura în care nu este posibil să se îndeplinească o obligație de audit impusă de Legislația aplicabilă privind Confidențialitatea, operatorul de date sau auditorul său mandatat poate efectua audituri personale la fața locului, pe cheltuiala operatorului, în mod individual, de obicei nu mai des de o dată pe an, în timpul programului de lucru obișnuit, cu interferențe rezonabile cu operațiunile persoanei împuternicite de operator și în urma unei notificări prealabile rezonabile. Persoana împuternicită de operator poate stabili că astfel de audituri și
inspecții fac obiectul respectării unui angajament de confidențialitate prin care se protejează datele altor clienți și confidențialitatea măsurilor TOM și a garanțiilor implementate.
4.4. Operatorul de date va informa imediat persoana împuternicită de operator cu privire la orice erori sau nereguli detectate în timpul unui audit.
5. Subîmputernicit
5.1. Operatorul autorizează prin prezentul DPA persoana împuternicită de operator să transfere date cu caracter personal sau să ofere acces la datele cu caracter personal altor persoane împuternicite de operator contractate
de acesta (și permite altor persoane împuternicite de operator să facă acest lucru în conformitate cu prezenta Clauză 5) în scopul furnizării Produselor în conformitate cu obligațiile operatorului în temeiul prezentei Clauze
5. Autorizația de mai sus constituie consimțământul
scris prealabil al operatorului pentru implicarea altor persoane împuternicite de operator, în cazul în care un astfel de consimțământ este necesar în temeiul
Clauzelor contractuale standard sau al legislației privind confidențialitatea. Persoana împuternicită de operator rămâne responsabilă pentru respectarea de către celelalte persoane împuternicite de operator a obligațiilor
prezentului DPA. Persoana împuternicită de operator pune la dispoziția operatorului o listă curentă a altor persoane împuternicite de operator - de ex., pe un site al persoanei împuternicite de operator.
5.2 Operatorul de date are dreptul de a se opune contractăriii unei noi persoane împuternicite de către operator în termen de 10 zile de la notificare. În caz contrar, se
va considera că operatorul a aprobat o astfel de nouă desemnare sau modificare. În cazul în care există un motiv important pentru o obiecție și în cazul în care părțile nu soluționează în mod amiabil această problemă, operatorul va avea dreptul de a rezilia Acordul cu privire la Produsul în cauză.
5.3 Persoana împuternicită de operator încheie acorduri scrise cu fiecare altă persoană împuternicită de operator pe care o contractează, care să ofere cel puțin aceeași protecție precum prevederile stipulate în acest DPA. Un
astfel de acord oferă, în special, garanții suficiente pentru a implementa măsurile TOM corespunzătoare.
6. Transfer Internațional de Date
6.1. Operatorul autorizează persoana împuternicită de operator cu privire la transferul sau acordarea accesului la datele cu caracter personal în contextul serviciilor descrise în Acord, detaliile prelucrării și/sau CCS - acolo unde este cazul.
6.2. Orice prelucrare a datelor cu caracter personal în afara țării sau regiunii în care se află operatorul de date este supusă unui mecanism adecvat de transfer al datelor, dacă și după cum impune Legislația privind Confidențialitatea.
6.3. Pentru transferurile internaționale de date în contextul prelucrării datelor cu caracter personal din SEE, CCS trebuie semnate între TD SYNNEX și Cumpărător, dacă partea care transmite sau oferă acces la datele cu caracter personal se află în SEE, Regatul Unit sau Elveția și cealaltă parte care primește sau are acces la aceste date se află
într-o Țară Terță. Termenii prezentului DPA nu au scopul de a modifica sau modifica CCS, ci de a oferi claritate în ceea ce privește procesele și procedurile de conformitate cu CCS. În cazul unui conflict între termenii prezentului DPA și CCS, CCS vor prevala.
6.4. Pentru Transferurile de Date în legătură cu persoanele împuternicite de operator care contractează alte persoane împuternicite de operator, persoana împuternicită
de operator încheie Clauzele Contractuale Standard aplicabile (persoană împuternicită de operator cu persoană împuternicită de operator) cu celelalte persoane împuternicite de operator și impune celorlalte persoane împuternicite de operator obligații corespunzătoare cu privire la orice transfer ulterior.
7. Confidențialitate
Părțile nu vor divulga nicio informație confidențială partajată în legătură cu acest DPA, cu excepția (i) prevederilor din acest DPA sau din instrucțiunile părților, (ii) prevederilor legale,
(iii) ca răspuns la o autoritate competentă sau agenție de reglementare sau guvernamentală, și (iv) pentru dezvăluiri către angajații, agenții și contractanții săi care sunt obligați să respecte confidențialitatea pe baza necesității de a cunoaște.