Acord privind prelucrarea datelor personale de către REEA conform GDPR în calitate de împuternicit (DPA)

Acord privind prelucrarea datelor personale de către REEA conform GDPR în calitate de împuternicit (DPA)

Prezentul document reprezintă contractul care reglementează regulile specifice privind prelucrarea datelor cu caracter personal trimise de către Client, în calitate de Operator , către SC REEA SRL, în calitate de Împuternicit („persoană împuternicită de operator”) în conformitate cu dispozițiile Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (denumit în continuare „GDPR”), precum și orice legislație națională subsecventă cu privire la domeniul protecției datelor cu caracter personal.

Pentru a furniza serviciile mysign, Reea prelucrează anumite date personale cu privire la activitatea Clienților, reprezentanților, angajaților sau colaboratorilor Clienților din cadrul Aplicației mysign, acționând astfel în calitate de persoană împuternicită de Client. Acest acord este parte integrantă din Termenii și Condițiile privind utilizare mysign. Prezentul Acord nu acoperă prelucrarea datelor personale de către REEA pentru scopuri proprii, în calitate de Operator, precum datele de înregistrare în Aplicație furnizate de reprezentantul Clientului. Prelucrarea datelor de către Xxxx în calitate de operator în acest caz se realizează conform Politicii de Confidențialitate afișate pe xxxxxx.xx.

Art. 1. Termeni

În cuprinsul acestui Acord termenii folosiți vor fi interpretați în conformitate cu GDPR, iar acolo unde este cazul, termenii folosiți vor avea definițiile stipulate de art. 4 din GDPR.

Art. 2. Obiectul prelucrării

Obiectul prelucrării datelor personale îl reprezintă prelucrarea de către Împuternicit a datelor personale trimise de către Operator în scopul furnizării serviciilor mysign (denumit în cadrul acestui Acord „Condiții” sau „Condiții privind utilizarea mysign”). Părțile recunosc și sunt de acord că Clientul are calitatea de Operator de date și Reea are calitatea de Împuternicit în ceea ce privește activitatea Clientului din cadrul Aplicației mysign. Astfel, Clientul are calitate de Operator cu privire la crearea contului și conținutul creat în Aplicație de reprezentanții, colaboratorii, angajații sau partenerii Clientului.

Art. 3. Date prelucrate

Datele personale puse la dispoziție de către Operator prelucrate în temeiul Condițiilor sunt:

1. Datele personale colectate și prelucrate de către Operator pe durata utilizării serviciilor mysign pentru aplicarea semnăturilor electronice, examinarea și arhivarea documentelor electronice sau orice alt serviciu adițional mysign solicitat de Client: e-mail, nume, nr. de telefon ale reprezentanților, angajaților, colaboratorilor, partenerilor de afaceri ai Clientului sau reprezentanții și angajații partenerilor de afaceri ai Clientului; informațiile cuprinse în descrierea documentelor semnate electronic.

2. Datele personale colectate și prelucrate pe parcursul navigării Aplicației: datele tehnice de trafic informațional (de ex. Adresa IP anonimizată sau alte informații tehnice furnizate în mod direct de orice browser la o vizitare de pagină web), care pot cuprinde aspecte considerate date personale ale semnatarilor documentelor gestionate de Client.

Art. 4. Categorii de persoane vizate

Categoriile de persoane vizate sunt: utilizatorii Aplicației mysign, fie aceștia reprezentanți, angajați, colaboratori sau parteneri de afaceri ai Clientului, persoane invitate de Client să semneze sau să acceseze electronic documente prin intermediul mysign.

Art. 5. Instrucțiuni specifice

În temeiul acestui contract Operatorul dă următoarele instrucțiuni specifice Împuternicitului:

1. Să prelucreze datele cu caracter personal specificate în art. 3 în scopul prevăzut la art. 7 prin modurile identificate în mod detaliat, în scris, de către Operator în funcție de serviciile prestate.

2. Să prelucreze, acceseze sau sa transmită datele personale prelucrate către alți împuterniciți ai Operatorului, prin selectarea categoriilor de datelor a fi transmise.

Art. 6. Durata prelucrării

Durata prelucrării datelor cu caracter personal este identică cu durata Condițiilor, plus trei luni de la încetarea acestora, cu excepția cazului în care părțile convin altfel în scris. În cazul datelor de la punctul

3.2. acestea pot fi păstrate o perioadă de până la 3 ani de la momentul încetării Condițiilor, dacă aceste date pot fi utile pentru apărarea drepturilor și intereselor Împuternicitului.

Art. 7. Natura și scopul prelucrării

Natura și scopul prelucrării sunt cele stabilite de către Operator în vederea furnizării serviciilor mysign conform Condițiilor, în funcție de pachetul de servicii achiziționat de Client și conform altor instrucțiuni scrise ale Clientului în concordanță cu Condițiile. Datele personale pot fi, totodată, prelucrate de Împuternicit în numele Operatorului cu scopul de analiză a datelor, pentru a detecta eventuale conturi false sau alte anomalii și cu scopul de a îmbunătăți serviciile mysign.

Art. 8. Sub-împuterniciți

În cazul în care prelucrarea datelor Operatorului sau anumite părți are prelucrării se efectuează de către Împuternicit prin intermediul altor persoane, numite sub-împuterniciți, acesta trebuie să respecte următoarele principii:

1. În temeiul acestui articol Operatorul înțelege să autorizeze Împuternicitul să prelucreze datele sale prin următorii sub-împuterniciți pentru următoarele activități:

Hetzner Online GmbH (Germania) - pentru servicii de găzduire web;

alți sub-împuterniciți identificați în mod explicit în Termeni și Condiții, formularul de comandă sau prin canalele de comunicare stabilite contractual;

2. Pentru sub-împuterniciți viitori, Împuternicitul primește o autorizare generală de a subcontracta cu orice alt furnizor din Uniunea Europeană, Spațiul Economic European (EEA), țară cu nivel adecvat de protecție recunoscut prin decizie a Comisiei Europene, sau furnizor cu care s-au semnat Clauze Contractuale Standard, care este necesar pentru anumite părți ale procesării datelor conform Condițiilor, care oferă un nivel de securitate adecvat, cel puțin la nivelul Contractului. Această

autorizare include obligația de informare a Operatorului, care poate fi făcută și printr-un mesaj electronic prin website-ul mysign sau prin altă metodă contractuală stabilită. Operatorul are posibilitatea de a formula obiecții în termen de 2 zile lucrătoare și de a înceta Condițiile conform prevederilor specifice din Condiții.

Art. 9. Drepturile și obligațiile Operatorului

1. Dreptul să primească informații de la Împuternicit sau să verifice prin auditor mandatat dacă Împuternicitul are și pune în aplicare măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute de GDPR; verificarea va avea loc în baza unei notificări scrise prealabile, transmisă cu cel puțin 14 zile lucrătoare înainte de efectuarea verificării, după acoperirea costurilor estimate de Împuternicit;

2. Dreptul să primească asistență din partea Împuternicitului, în special pentru îndeplinirea obligației sale de a răspunde cererilor persoanelor vizate cu privire la exercitarea drepturilor lor prevăzute de GDPR, cu excepția cazului în care datele sunt disponibile în mod direct Operatorului, în sisteme informatice puse la dispoziție de Împuternicit, sau unde Împuternicitul a avut acces ;

3. Dreptul de a face obiecțiuni cu privire la alți sub-împuterniciți conform art. 8.2;

4. Să respecte obligațiile sale conform GDPR în calitate de Operator cu privire la datele cu caracter personal colectate sau prelucrate de Împuternicit, pe seama sa;

5. Obligația de a face informarea persoanelor vizate conform GDPR, inclusiv în ceea ce privește informarea cu privire la prelucrarea datelor de către Împuternicit în temeiul acestui contract;

6. Obligația să răspundă exclusiv de stabilirea temeiului legal pentru prelucrarea datelor cu caracter personal ce face obiectul prezentului contract;

7. Obligația de a implementa măsuri tehnice și organizatorice adecvate conform GDPR, inclusiv securizarea transferului datelor de la persoanele vizate sau alți prestatori către Împuternicit (sau invers);

8. Operatorul înțelege că din momentul ștergerii datelor după încetarea prestării serviciilor de către Împuternicit conform obligațiilor GDPR și a art. 10 a acestui contract, datele nu mai pot fi recuperate și este întreaga responsabilitate a Operatorului să se asigure că și-a făcut o copie completă a acestora.

9. În toate situațiile în care Operatorul este cel care trebuie să execute o obligație, cum este, spre exemplu, informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal, Împuternicitul nu poate fi ținut de inacțiunile Operatorului din sfera acelei obligații.

10. Dacă Clientul acționează în calitate de Împuternicit al altui Operator de date, Clientul garantează că Operatorul relevant a autorizat (i) instrucțiunile descrise în acest document și numirea Reea ca sub- împuternicit și (ii) angajarea de către Reea a sub-împuterniciților așa cum este descris în art. 8. Clientul va transmite imediat Operatorului relevant orice notificare furnizată Clientului de către Reea în temeiul prezentului Acord.

Art. 10. Drepturile și obligațiile Împuternicitului:

1. Obligația să informeze Operatorul în termen de maxim 10 zile calendaristice, în cazul în care, în opinia Împuternicitului, o instrucțiune încalcă GDPR și/sau altă dispoziție legală privind prelucrarea datelor cu caracter personal;

2. Obligația de a informa Operatorul fără întârzieri nejustificate de o încălcare a securității datelor personale ale Operatorului pe parcursul prelucrării realizate de către Împuternicit;

3. Obligația de a asista Operatorul cu toate informațiile necesare în vederea notificării, dacă este cazul, către Autoritatea competentă pentru încălcarea securității datelor, dar fără a se substitui Operatorului în obligația sa de notificare;

4. Obligația de a acorda asistență Operatorului să asigure respectarea obligațiilor prevăzute la articolele 32-36 din GDPR, cu acoperirea costurilor suplimentare ale Împuternicitului în acest sens

5. Obligația de a asista Operatorul pentru soluționarea cererilor persoanelor vizate sau de a transmite Operatorului orice cerere primită de la persoanele vizate, în legătură cu datele personale care au

fost colectate și prelucrate de Împuternicit, în termen de maxim 5 zile calendaristice de la primirea acesteia. Această asistența nu se aplică în situația în care Operatorul are deja în instrumentele tehnice furnizate de către Împuternicit posibilitatea de a soluționa direct cererea persoanei vizate (de ex. acces la un cont unde Operatorul are deja toate informațiile cu privire la ce date prelucrează);

6. Obligația să nu transmită date cu caracter personal și/sau informații confidențiale, ce pot fi date cu caracter personal, despre care a luat cunoștință în timpul executării Contractului;

7. Obligația să asigure instruirea personalului propriu autorizat să prelucreze datele cu caracter personal, cu privire la confidențialitatea acestor date;

8. Obligația să includă obligații de confidențialitate contractuale către angajați și sub-împuterniciți;

9. Dreptul să dezvăluie anumite date cu caracter personal la solicitarea unei autorități, instituții publice sau instanțe judecătorești, ori a unui alt terț autorizat potrivit legislației, în virtutea unei obligații legale sau a unei alte condiții prevăzute de legislație.

10. Dreptul de a recruta sub-împuterniciți conform art. 8 sau în situația în care a primit aprobare din partea Operatorului;

11. Dreptul la acoperirea costurilor generate de asigurarea asistenței Operatorului în situațiile prevăzute de GDPR conform art. 9, dacă acestea depășesc costul lunar al serviciilor prestate de către Împuternicit.

12. Dreptul de a folosi informații statistice anonimizate ca urmare a activităților prestate în baza Contractului sau a întregii sale activități;

13. Obligația de a șterge toate datele colectate ca urmare a executării Condițiilor în calitate de Împuternicit conform termenelor de la art. 6, cu excepția cazului în care Operatorul impune în scris un termen mai scurt;

14. Împuternicitul nu poate stabili scopuri sau mijloace de prelucrare a datelor cu caracter personal, acestea fiind stabilite exclusiv de către Operator.

Art.11 Securitatea prelucrării

Împuternicitul trebuie să îndeplinească măsuri tehnice și organizatorice adecvate pentru a asigura măsurile adecvate de securitate raportate la risc, conforme cu bunele practici în industrie, inclusiv prin certificarea ISO 27001 obținută de SC REEA SRL. În stabilirea nivelului adecvat de securitate, Împuternicitul trebuie să ia în considerare stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, ca și riscurile care apar ca urmare a prelucrării, în special cu privire la cele care pot duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.

Art. 12. Limitarea răspunderii

Operatorul este de acord să exonereze Împuternicitul de orice răspundere pentru pagubele ce ar putea decurge din:

1. nerespectarea Acordului din cauza unor evenimente ce excedă oricărei răspunderi a Împuternicitului;

2. respectarea instrucțiunilor Operatorului sau nerespectarea instrucțiunilor Operatorului justificată în prealabil printr-o notificare referitoare la nelegalitatea ei;

3. lipsa sau vicierea acordului persoanelor vizate sau a utilizării unui temei legal greșit de către Operator

4. nerespectarea Acordului din cauza unor acțiuni ale Operatorului.

Art. 13. Delimitarea răspunderii

Operatorul și Împuternicitul își delimitează responsabilitățile cu privire la asigurarea protecției datelor cu caracter personal (de exemplu asigurarea confidențialității sau a securității prelucrării), în funcție de accesul și controlul efectiv exercitat asupra datelor, atât din punct de vedere contractual, cât și tehnic.

Art. 14. Intrare în vigoare și modificări

1. Acest Acord intră în vigoare la data acceptării Condițiilor de către Client și este valabil până la modificarea sa de către REEA și informarea Clientului în acest sens conform dispozițiilor Condițiilor.

2. Având în vedere că prezentul Acord este parte integrantă din Termenii și Condițiile privind utilizarea website-ului xxxxxx.xx și Aplicației mysign, nu este necesară semnarea sa în mod separat.