Prelucrarea datelor personale de către Feedback.trusted.ro conform GDPR Contract prelucrare date personale Operator (Magazin)– Împuternicit (Feedback.trusted.ro) Versiunea 1.1 valabilă din 1.03.2020

Anexa 2

Prelucrarea datelor personale de către Xxxxxxxx.xxxxxxx.xx conform GDPR Contract prelucrare date personale Operator (Magazin)– Împuternicit (Xxxxxxxx.xxxxxxx.xx)

Versiunea 1.1 valabilă din 1.03.2020

Sistemul Xxxxxxxx.xxxxxxx.xx (Xxxxxxxxxxxxxxxxx.xx) a fost dezvoltat de către SC Trusted Internet SRL având în vedere principiul minimizării datelor colectate și păstrării lor exclusiv pe durata absolut necesară, după care ele sunt anonimizate, principii care acum sunt integrate în cadrul GDPR.

Astfel, toate opiniile publicate pe Xxxxxxxx.xxxxxxx.xx devin opinii anonime ale clienților magazinelor online. Xxxxx opinie nu este legată de numele întreg al Clientului (doar de prenume, și doar dacă dorește acest lucru), de email-ul acestuia (care este șters după primirea opiniei), de IP-ul de la care a completat opinia (nu colectăm aceste date) sau de ID-ul comenzii (care este de asemenea șters).

Cu toate acestea avem nevoie de aceste date de la Magazin pentru scopul de a prelua, în mod independent, opinia clienților Magazinului - strict pe o durată limitată de timp. Ca atare conform GDPR trebuie să avem un contract care să stipuleze obligațiile pentru fiecare parte.

Prezenta anexă prevede regulile specifice în ceea ce privește prelucrarea datelor cu caracter personal trimise de către Magazin, în calitate de Operator, de către S.C. Trusted Internet S.R.L, în calitate de Împuternicit (Persoană împuternicită de operator) în conformitate cu prevederire art 28 al Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (denumit în continuare ”GDPR”), ca și orice legislație națională subsecventă cu privire la domeniul protecției datelor cu caracter personal.

Art 1. Termeni

În cuprinsul acestei anexe termenii folosiți vor fi interpretați în conformitate cu GDPR, iar acolo unde este cazul, termenii folosiți vor avea definițiile stipulate de art. 4 din GDPR.

Art 2. Obiectul prelucrării

Obiectul prelucrării datelor personale îl reprezintă prelucrarea de către Împuternicit a datelor personale trimise de către Operator în scopul furnizării serviciilor Xxxxxxxx.xxxxxxx.xx descris mai sus.

Art 3. Date colectate

Datele personale puse la dispoziție de către Operator prelucrate în temeiul acestui contract sunt următoare date ale clienților magazinului online care au plasat valid o comandă:

– Adresa de email

– ID-ul comenzii

– Județul

– Prenumele1

Art.4 Categorii de persoane vizate

Categoriile de persoane vizate sunt clienții magazinelor online care au plasat valid o comandă (clienți care au ajuns în pagina de Thank You a magazinului online) pe site-ul magazinului online.

Art. 5. Instrucțiuni specifice

În temeiul acestui contract Operatorul da următoarele instrucțiuni specifice Împuternicitului:

5.1. Sa colecteze și să prelucreze date cu caracter personal primite de la Operator în mod direct în scopul prevăzut la art.7 și pe durata prevăzută la art. 6 Aceste date sunt cele specificate în articolul 3.

5.2. Să trimită mesaje prin email cu titulatura Xxxxxxx.xx în numele Operatorului, pentru obținerea opiniei clienților magazinelor online în mod independent fața de operator;

5.3. Să anonimizeze datele primite de la magazin și opiniile, atunci când aceste informații nu mai sunt necesare scopului acestui contract conform datelor de la art. 6

Art. 6. Durata prelucrării

Durata prelucrării datelor cu caracter personal depinde de reacția clienților magazinelor online cu privire la opinia acestora, dar nu poate depăși 67 zile de la trimiterea email-ului după cum este detaliat mai jos:

• pentru clienții care nu răspund la email-ul de cerere a opiniei, toate datele se șterg sau se anonimizează în 10 zile de la trimiterea email-ului

• pentru clienții care răspund la email-ul de cerere a opiniei:

◦ dacă nota este peste 5, opinia se publică, iar datele se șterg sau se anonimizează în 10 zile de la publicarea opiniei

◦ dacă nota este sub 5, se dă posibilitatea magazinului să rezolve problema clientului:

▪ dacă magazinul nu marchează problema ca rezolvată, opinia se publică, iar datele se șterg sau se anonimizează în10 zile de la publicarea opiniei

▪ dacă magazinul marchează problema ca rezolvată, clientul primește un nou email de Opinie, la care poate răspunde sau nu

• dacă clientul răspunde la al doilea email și lasă o noua opinie, opinia se publică, iar datele se șterg sau se anonimizează în 10 zile de la publicarea opiniei

• dacă clientul nu răspunde la al doilea email, toate datele se șterg sau se anonimizează în 14 zile de la trimiterea email-ului

Art. 7 Natura și scopul prelucrării

Natura și scopul prelucrării sunt cele stabilite de către Operator în temeiul contractului principal și anume furnizarea serviciului oferite de Xxxxxxxx.xxxxxxx.xx și anume – obținerea în mod independent și publicarea opiniei clienților Magazinului.

1 Doar prenumele nu este o dată cu caracter personal, dar în corelatie cu alte informații poate fi considerată ca atare,

Art. 8 Sub-împuterniciți

În cazul în care prelucrarea datelor Operatorului sau anumite părți are prelucrării se efectuează de către Împuternicit prin intermediul altor persoane, numite sub-împuterniciți, acesta trebuie să respecte următoarele principii:

8.1. În temeiul acestui articol Operatorul înțelege să autorizeze Împuternicitul să prelucreze datele sale prin sub-împuternicitul NordLogic Software SRL pentru toate activitățile tehnice legate de acest contract (cum ar fi colectare și păstrare date, dezvoltare și mentenanță aplicație, trimitere email-uri, ștergerea datelor)

8.2. Pentru sub-împuterniciți viitori, Împuternicitul primește o autorizare generală din partea Operatorului de a subcontracta cu orice alt furnizor din U.E., EEA sau țară cu nivel adecvat de protecție recunoscut prin decizie a Comisiei Europene, care este necesar pentru anumite părți ale procesării datelor conform prezentului contract care oferă un nivel de securitate adecvat, cel puțin la nivelul prezentului contract. Aceasta autorizare include obligația de informare a Operatorului, printr-un mesaj în contul de pe site-ul Împuternicitului sau prin email. Operatorul are posibilitatea de a formula obiecții în termen de 15 zile lucrătoare.

Art. 9. Drepturile și obligațiile Operatorului

• Dreptul să primească informații sau sa verifice, direct sau prin auditor mandatat, modul în care Împuternicitul pune în aplicare măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute de GDPR; verificarea va avea loc în baza unei notificări scrise prealabile, transmisă cu cel puțin 30 zile lucrătoare înainte de efectuarea verificării;

• Dreptul să primească asistență din partea Împuternicitului, în special pentru îndeplinirea obligației sale de a răspunde cererilor persoanelor vizate cu privire la exercitarea drepturilor lor prevăzute de GDPR;

• Dreptul de a face obiecțiuni cu privire la alți sub-împuterniciți conform art. 8.2;

• Să respecte obligațiile sale conform GDPR în calitate de Operator cu privire la datele cu caracter personal colectate sau prelucrate de Împuternicit, pe seama sa;

• Obligația de a face informarea persoanelor vizate conform GDPR, inclusiv în ceea ce privește informarea cu privire la prelucrarea datelor de către Împuternicit în temeiul acestui contract. Împuternicitul recomandă folosirea următorului text în partea de informare a persoanelor vizate:

„Magazinul trimite anumite date personale ale clientilor săi (prenume, adresă de email) către împuternicitul Xxxxxxxx.xxxxxxx.xx pentru a obține – în mod independent față de magazin – și a publica opinia clienților Magazinului cu privire la serviciile acestuia. Datele personale sunt păstrate de împuternicit o perioadă maximă de 67 de zile. Toată opiniile publicate sunt anonime.”

• Obligația să răspundă exclusiv de stabilirea temeiului legal pentru prelucrarea datelor cu caracter personal ce face obiectul prezentului contract;

• Obligația de a implementa măsuri tehnice și organizatorice adecvate conform GDPR, inclusiv securizarea transferului datelor de la persoanele vizate către Împuternicit;

• Operatorul înțelege că din momentul ștergerii sau anonimizării datelor conform art 6 sau a art 10, datele nu mai pot fi recuperate și este întreaga responsabilitate a Operatorului să se asigure că și-a făcut o copie completă a acestora.

• În toate situațiile în care Operatorul este cel care trebuie să execute o obligație, cum este, spre exemplu, informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal, Împuternicitul nu poate fi ținut de inacțiunile Operatorului din sfera acelei obligații.

Art. 10. Drepturile și obligațiile Împuternicitului:

• Obligația să informeze Operatorul în termen de maxim 10 zile, în cazul în care, în opinia Împuternicitului, o instrucțiune încalcă GDPR și/sau altă dispoziție legală privind prelucrarea datelor cu caracter personal;

• Obligația să asigure securitatea datelor cu caracter personal prelucrate în numele Operatorului în conformitate cu art 32 din GDPR și cu art 11 din prezenta Anexă;

• Obligația de a informa Operatorul fără întârzieri nejustificate de o încălcare a securității datelor personale ale Operatorului pe parcursul prelucrării realizate de către Împuternicit;

• Obligația de a asista Operatorul cu toate informațiile necesare în vederea notificării, dacă este cazul, către Autoritatea competentă pentru încălcarea securității datelor, dar fără a se substitui Operatorului în obligația sa de notificare;

• Obligația de a acorda asistență Operatorului să asigure respectarea obligațiilor prevăzute la articolele 32-36 din GDPR;

• Obligația de a asista Operator pentru soluționarea cererilor persoanelor vizate, în legătură cu datele personale care au fost colectate și prelucrate de Împuternicit, în termen de maxim 5 zile calendaristice de la primirea acesteia. Această asistența nu se aplică în situația în care Operatorul are deja în contul său pus la dispoziție de către Împuternicit toate informațiile pentru a soluționa direct cererea persoanei vizate;

• Obligația să nu transmită date cu caracter personal și/sau informații confidențiale, ce pot fi date cu caracter personal, despre care a luat cunoștință în timpul executării contractului;

• Obligația să asigure instruirea personalului autorizat să prelucreze datele cu caracter personal, cu privire la confidențialitatea acestor date;

• Obligația să includă obligații de confidențialitate către angajați și sub-împuterniciți;

• Dreptul să dezvăluie anumite date cu caracter personal la solicitarea unei autorității; instituții publice sau instanțe judecătorești, ori a unui alt terț autorizat potrivit legislației, în virtutea unei obligații legale sau a unei alte condiții prevăzute de legislație;

• Dreptul de a recruta sub-împuterniciți conform art. 8 sau în situația în care a primit aprobare din partea Operatorului;

• Dreptul de a folosi informații statistice anonimizate ca urmare a activităților prestate ca urmare a acestui contract sau a întregii sale activități;

• Obligația de a șterge toate datele colectate ca urmare a acestui contract în calitate de Împuternicit în termen de maxim 70 de zile de la încetarea prestării servicilor dintre cele două părți,

• Împuternicitul nu poate stabili scopuri sau mijloace de prelucrare a datelor cu caracter personal, acestea fiind stabilite exclusiv de către Operator.

Art.11 Securitatea prelucrării

Împuternicitul trebuie să îndeplinească măsuri tehnice și organizatorice adecvate pentru a asigura măsurile adecvate de securitate raportate la risc, conforme cu bunele practici în industrie. În stabilirea nivelului adecvat de securitate, Împuternicitul trebuie să ia în considerare stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, ca și riscurile care apar ca urmare a prelucrării, în special cu privire la cele care pot duce care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.

Art.12 Delimitarea răspunderii

Operatorul și Împuternicitul își delimitează responsabilitățile cu privire la asigurarea protecției datelor cu caracter personal (de exemplu asigurarea confidențialității sau a securității prelucrării), în funcție de accesul și controlul efectiv exercitat asupra datelor, atât din punct de vedere contractual, cât și tehnic

Art.13 Limitarea răspunderii

Operatorul este de acord să exonereze Împuternicitul de orice răspundere pentru pagubele ce ar putea decurge din:

• nerespectarea contractului din cauza unor evenimente ce exced oricărei răspunderi a Împuternicitului;

• respectarea instrucțiunilor Operatorului sau nerespectarea instrucțiunilor Operatorului justificată în prealabil printr-o notificare referitoare la nelegalitatea ei;

• lipsa sau vicierea acordului persoanelor vizate sau a utilizării unui temei legal greșit de către Operator;

• nerespectarea contractului din cauza unor acțiuni ale Operatorului.

Art.14 Intrare în vigoare și modificări.

Această anexă intră în vigoare pe 25 mai 2018, înlocuiește orice contract similar pe subiectul prelucrării datelor personale în cadrul proiectului Xxxxxxx.xx și este valabilă până la modificarea ei de către Xxxxxxxx.xxxxxxx.xx și informarea clienților în acest sens. Utilizarea contului după informarea clienților înseamna acordul acestor cu privire la acest document.