Anexa 1 – Prelucrarea datelor cu caracter personal de către Service365.ro, în calitate de procesator conform GDPR
Contract de prelucrare a datelor cu caracter personal Operator (Client) – Procesator (Service365.ro), versiunea 1.1 valabil din 10 februarie 2025.
Prezenta anexă prevede regulile specifice privind prelucrarea datelor cu caracter personal transmise de Beneficiar, în calitate de Operator, către S.C. Digisinergy S.R.L (Service365.ro), în calitate de procesator (Procesator), în conformitate cu Regulamentul (UE) 2016/679 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal și privind libera circulație a oricăror date cu caracter personal, denumită „GDPR”). legislația națională ulterioară privind protecția datelor cu caracter personal.
Această Anexă nu se referă la prelucrarea datelor efectuată de Service365 în calitate de operator; pentru detalii in acest sens, va rugam sa consultati politica de confidentialitate Service365.ro.
Art. 1. Termeni
În această anexă, termenii utilizați vor fi interpretați în conformitate cu GDPR, iar după caz, termenii folosiți vor avea definițiile prevăzute la art. 4 din GDPR.
Art. 2. Obiectul prelucrarii
Obiectul prelucrării datelor cu caracter personal este prelucrarea de către Agent a datelor cu caracter personal transmise de Operator în scopul prestării serviciilor prevăzute în contractul principal de servicii Service365.ro.
Art. 3. Date colectate
Datele cu caracter personal puse la dispoziție de Operator prelucrate în baza prezentului contract sunt:
3.1. Pentru serviciul Service365.ro, datele personale sunt cele care apar pe documente, precum: datele de identificare a vehiculului. De asemenea, Operatorul poate adăuga și alte date personale suplimentare direct facturilor emise, pe care Agentul nu are de unde să le prevadă.
3.2. Pentru serviciul Service365.ro, in ceea ce priveste configurarea trimiterii email-urilor catre clienti, datele sunt: email-ul utilizatorului si parola prin care se trimit email-urile, precum si adresele de email la care se trimit facturile.
Art. 4. Categorii de persoane vizate
Categoriile de persoane vizate sunt:
- angajații Operatorului
- Mecanici auto și directori de atelier
- Administratori
Art. 5. Instrucțiuni specifice
În cadrul acestui contract, Operatorul oferă Agentului următoarele instrucțiuni specifice:
5.1. Să colecteze și să prelucreze datele cu caracter personal primite de la Operator direct în scopul prevăzut la art.7. Aceste date sunt cele specificate la art.3.
5.2. Pentru a trimite mesaje prin e-mail în numele Operatorului, pentru serviciul de transmitere a documentelor prin e-mail (dacă acest serviciu este utilizat de către Operator).
5.3. Să colecteze și să proceseze informații dacă documentele sale trimise și găzduite pe platforma Service365 au fost deschise și/sau vizualizate de Clienții Operatorului.
5.4. Să colecteze și să prelucreze datele personale primite de la Operator direct în scopul prevăzut la art.7 sau preluate cu acordul Clientului din alte servicii sau baze de date (de ex. RAR sau date obținute prin API). Aceste date sunt cele specificate la articolul 3.
5.5. Pentru a transfera direct anumite date (care pot include date personale) de la/către alte companii selectate de operator, furnizându-le acreditările relevante (de exemplu chei API) pentru fiecare dintre acestea, fie prin introducerea acestor acreditări în cadrul aplicației, fie prin solicitarea explicită în scris a acestora. Pentru a evita orice dubiu, aceste companii nu sunt subprocesatori în temeiul acestui contract.
5.6. În cazul în care persoana vizată activează autentificarea prin recunoașterea profilului de tastare, să prelucreze aceste date exclusiv în scopul asigurării securității contului său.
Art. 6. Durata prelucrării
Durata prelucrării datelor cu caracter personal este identică cu durata contractului principal de prestare a serviciilor.
Art. 7. Natura și scopul prelucrării
Natura si scopul prelucrarii sunt cele stabilite de Operator prin contractul principal, respectiv prestarea serviciilor Service365, in functie de pachetul de servicii achizitionat.
Art. 8. Sub-procesori
În cazul în care prelucrarea datelor Operatorului sau a anumitor părți ale prelucrării este efectuată de către Operator prin alte persoane, denumite subprocesatori, acestea din urmă trebuie să respecte următoarele principii:
8.1. În conformitate cu acest articol, Operatorul este de acord să autorizeze Procesatorul să-și prelucreze datele prin următorii subprocesatori pentru următoarele activități:
– S.C. Digisinergy S.R.L. Romania – pentru securizarea autentificarii in produsele Service365, doar pentru utilizatorii care activeaza aceasta optiune.
8.2. Pentru viitorii subprocesatori, Procesatorul primește o autorizație generală de a subcontracta oricărui alt furnizor din UE, SEE sau țară cu un nivel adecvat de protecție recunoscut printr-o decizie a Comisiei Europene sau cu care au fost semnate Clauze Contractuale Standard (SCC), care este necesară pentru anumite părți ale prelucrării datelor în cadrul acestui contract care oferă un nivel adecvat de securitate, cel puțin la nivelul acestui contract. Această autorizare include obligația de a informa Operatorul, printr-un mesaj prin intermediul contului de pe site-ul Procesatorului sau prin e-mail. Operatorul are posibilitatea de a se opune în termen de 2 zile lucrătoare.
8.3. De asemenea, Service365 poate trimite datele prelucrate de Operator către alți procesatori ai Operatorului numai dacă există un contract între Operator și acești alți procesatori, ca cererea Operatorului către Service365 de a trimite datele acestui procesator.
Art. 9. Drepturile și obligațiile Controlorului
9.1. Controlorul are următoarele drepturi:
9.1.1. Dreptul de a primi informații de la Procesor sau de a verifica prin intermediul unui auditor mandatat dacă Procesatorul are și implementează măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele GDPR. Verificarea va avea loc pe baza unei notificări scrise prealabile, transmise cu cel puțin 14 zile lucrătoare înainte de efectuarea verificării.
9.1.2. Dreptul de a primi asistență din partea Procesatorului, în special pentru îndeplinirea obligației sale de a răspunde solicitărilor din partea persoanelor vizate cu privire la exercitarea drepturilor acestora conform GDPR.
9.1.3. Dreptul de a se opune altor subprocesatori în conformitate cu art. 8.2.
9.2. Operatorul are următoarele obligații:
9.2.1. Să-și respecte obligațiile conform GDPR în calitate de Operator cu privire la datele cu caracter personal colectate sau prelucrate de către Procesor în numele său.
9.2.2. Obligația de a informa persoanele vizate în conformitate cu GDPR, inclusiv cu privire la prelucrarea datelor de către Procesor în temeiul prezentului contract.
9.2.3. Obligația de a fi singurul responsabil pentru stabilirea temeiului legal pentru prelucrarea datelor cu caracter personal care face obiectul prezentului contract.
9.2.4. Obligația de a implementa măsuri tehnice și organizatorice adecvate în conformitate cu GDPR, inclusiv asigurarea transferului de date de la persoanele vizate către Procesor.
9.2.5. Operatorul înțelege că din momentul ștergerii datelor după încetarea prestării serviciilor de către Procesor în conformitate cu obligațiile GDPR și art. 10 din prezentul contract, datele nu mai pot fi recuperate și este responsabilitatea exclusivă a Operatorului să se asigure că a făcut o copie completă a acestora.
În toate situațiile în care Operatorul este cel care trebuie să îndeplinească o obligație, cum ar fi, de exemplu, informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal, Procesatorul nu poate fi tras la răspundere pentru inacțiunile Operatorului în sfera respectivei obligații.
Art. 10. Drepturile și obligațiile Procesatorului:
10.1. Procesatorul are următoarele drepturi:
10.1.1. Dreptul de a dezvălui anumite date cu caracter personal în virtutea unei obligații legale sau a unei alte condiții prevăzute de lege la solicitarea unei autorități, instituții publice sau instanțe.
10.1.2. Dreptul de a recruta subprocesatori conform art. 8 sau în cazul în care a primit aprobarea de la Operator.
10.1.3. Dreptul de a acoperi costurile generate de asigurarea asistenței Operatorului, de către Operator, în situațiile prevăzute de GDPR conform art. 9, în cazul în care acestea depășesc costul lunar al serviciilor furnizate de Procesator.
10.1.4. Dreptul de a utiliza informații statistice anonimizate ca urmare a activităților prestate ca urmare a prezentului contract sau a întregii sale activități.
Procesatorul nu poate determina scopurile sau mijloacele de prelucrare a datelor cu caracter personal, care sunt determinate exclusiv de Operator.
10.2. Procesatorul are următoarele obligații:
10.2.1. Obligația de a informa Operatorul în termen de maximum 10 zile dacă, în opinia Procesatorului, o instrucțiune încalcă GDPR și/sau altă prevedere legală privind prelucrarea datelor cu caracter personal.
10.2.2. Obligația de a asigura securitatea datelor cu caracter personal prelucrate în numele Operatorului în conformitate cu art. 32 din GDPR și art. 11 din prezenta anexă.
10.2.3. Obligația de a informa Operatorul fără întârzieri nejustificate cu privire la o încălcare a securității datelor cu caracter personal ale Controlorului în timpul prelucrării efectuate de către Operator.
10.2.4. Obligația de a asista Operatorul cu toate informațiile necesare pentru notificarea, dacă este cazul, către Autoritatea competentă pentru încălcarea securității datelor, dar fără a se substitui Operatorului în obligația sa de notificare.
10.2.5. Obligația de a oferi asistență Operatorului pentru a asigura respectarea obligațiilor prevăzute la articolele 32-36 din GDPR.
10.2.6. Obligația de a asista Operatorul în soluționarea solicitărilor persoanelor vizate sau de a transmite Operatorului orice solicitare primită de la persoanele vizate, în legătură cu datele personale care au fost colectate și prelucrate de către Operator, în termen de maximum 5 zile calendaristice de la primirea acesteia. Această asistență nu se aplică în situația în care Operatorul are deja posibilitatea, în instrumentele tehnice puse la dispoziție de către Operator, de a soluționa direct solicitarea persoanei vizate (de exemplu, Dreptul de acces – în care Operatorul are deja toate informațiile cu privire la ce date colectează).
10.2.7. Obligația de a nu transmite date cu caracter personal și/sau informații confidențiale, care pot fi date cu caracter personal, de care a luat cunoștință în timpul executării contractului.
10.2.8. Obligația de a asigura pregătirea personalului autorizat să prelucreze date cu caracter personal, cu privire la confidențialitatea acestor date.
10.2.9. Obligația de a include obligații de confidențialitate față de angajați și subagenți.
Art. 11. Securitatea prelucrării
11.1. Operatorul de date va implementa măsuri tehnice și organizatorice adecvate pentru a asigura măsuri de securitate adecvate în raport cu riscul, în conformitate cu bunele practici din industrie. La determinarea nivelului adecvat de securitate, Operatorul de date va lua în considerare starea actuală de dezvoltare, costurile de implementare și natura, sfera, contextul și scopurile prelucrării, precum și riscul de probabilitate și severitate variabile pentru drepturile și libertățile persoanelor fizice, precum și riscurile care decurg din prelucrare, în special cele care pot duce la distrugerea accidentală sau ilegală, la distrugerea ilegală sau ilegală. sau accesul la datele personale transmise, stocate sau prelucrate în alt mod.
11.2. În acest context, Operatorul de date a stabilit aplicarea internă a următoarelor măsuri organizatorice și tehnice de securitate pentru securitatea datelor cu caracter personal, ținând cont de tipul activității desfășurate:
- audit periodic de securitate efectuat de experți în securitate cibernetică;
- acces limitat la baza de date pentru un număr foarte limitat de angajați ai Agentului;
- monitorizarea permanentă a accesului la baza de date;
- criptarea conexiunii utilizate de Operator pentru a accesa serviciul folosind SSL;
- stocarea criptată a parolelor utilizatorului;
- copii de rezervă regulate.
11.3. În mod voluntar, Agentul poate trimite rezumate ale concluziilor auditorilor de securitate (după ștergerea informațiilor comerciale sau confidențiale) efectuate periodic Operatorilor pentru a-și demonstra activitățile continue pe acest subiect.
Art. 12. Limitarea răspunderii
Operatorul este de acord să exonereze Agentul de orice răspundere pentru daune care pot apărea din:
- nerespectarea contractului din cauza unor evenimente care depășesc orice răspundere a Agentului;
- respectarea instructiunilor Operatorului sau nerespectarea instructiunilor Operatorului justificata in prealabil printr-o notificare privind ilegalitatea acestora;
- lipsa sau defectul consimțământului persoanelor vizate sau utilizarea unui temei juridic incorect de către Operator;
- nerespectarea contractului din cauza acțiunilor Operatorului.
Art. 13. Delimitarea răspunderii
Operatorul și Procesatorul își delimitează responsabilitățile în ceea ce privește asigurarea protecției datelor cu caracter personal (de exemplu, asigurarea confidențialității sau securității prelucrării), în funcție de accesul și controlul efectiv exercitat asupra datelor, atât din punct de vedere contractual, cât și tehnic.
Art. 14. Intrare în vigoare și modificări.
Această anexă intră în vigoare la data de 25 mai 2018 și este valabilă până la modificarea acesteia de către Service365 și informarea clienților în acest sens. Utilizarea contului după informarea clienților înseamnă acordul acestora cu acest document.
