Anexa - Acordul cu privire la prelucrarea datelor cu caracter personal ale Clientilor

Părțile recunosc și sunt de acord că Furnizorul administrează Platforma easySales și prestează în beneficiul Utilizatorului serviciile de intermediere contractate de Utilizator aferent vânzării Produselor Utilizatorului. În acest sens, Utilizatorul determina și îi indică prin prezentul Acord Furnizorului datele cu caracter personal care vor fi prelucrate de către Furnizor în scopul realizării procesului de vânzare prin intermediul Platformei easySales. Prelucrarea acestor date cu caracter personal se va realiza pe perioada Termenilor si Conditiilor ES, si cu scopul de a îndeplini obiectul Termenilor si Conditiilor ES. Părțile declară și garantează că în privința datelor personale ale Clienților, Utilizatorul va avea calitatea de OPERATOR DE DATE, în timp ce Furnizorul va fi calificat drept PERSOANĂ ÎMPUTERNICITĂ, în conformitate cu prevederile legale aplicabile, în special cu GDPR, i.e. Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor). Definițiile din GDPR se vor aplica în mod corespunzător.

1 Art. 28 (3) S.1 din GDPR Obiectul și durata ACORDULUI, tipul și scopul prelucrării datelor, tipurile de date cu caracter personal și categoriile de persoane vizate
  1. OPERATORUL DE DATE autorizează și cere PERSOANEI ÎMPUTERNICITE:
    • să prelucreze datele cu caracter personal în toate scopurile legitime și relevante legate de furnizarea Serviciilor de către PERSOANA ÎMPUTERNICITĂ de OPERATORUL DE DATE, conform prezentului;
    • să prelucreze datele cu caracter personal în măsura în care este necesar pentru a se conforma unei obligații legale a OPERATORULUI sau a PERSOANEI ÎMPUTERNICITE de OPERATORUL DE DATE, inclusiv divulgarea de Date cu Caracter Personal autorităților locale competente, conform prezentului;
    • să transfere subcontractanților datele cu caracter personal, conform prezentului.
  2. Obiectul ACORDULUI, natura și scopul prelucrării datelor, tipurile de date cu caracter personal și categoriile de persoane vizate sunt prevăzute în Anexa A, parte integrantă din prezentul Acord.
  3. Dacă nu se convine în alt mod, prezentul ACORD intră în vigoare la Data Semnării, astfel cum este definită în Termenii si Condițiile ES și se va aplica atâta timp cât PERSOANA ÎMPUTERNICITĂ prelucrează date cu caracter personal în numele și pe seama OPERATORULUI DE DATE. Pentru evitarea oricărui dubiu, încetarea Contractului (din orice motiv) va atrage încetarea automată a prezentului ACORD.
2 Art. 28 (3) a), S.3 din GDPR Prelucrarea datelor pe bază de instrucțiuni; Obligația de informare
  1. PERSOANA ÎMPUTERNICITĂ va prelucra datele cu caracter personal numai pe bază de instrucțiuni scrise din partea OPERATORULUI DE DATE - inclusiv în ceea ce privește transferurile de date cu caracter personal către o țară terță sau o organizație internațională (astfel cum se prevede în Anexa B), dacă nu i se impune să procedeze altfel prin legislația UE sau a statului membru care este aplicabilă PERSOANEI ÎMPUTERNICITE. În acest caz, PERSOANA ÎMPUTERNICITĂ va notifica OPERATORUL DE DATE cu privire la respectiva cerință legală înainte de prelucrare, cu condiția ca o astfel de notificare nu îi fie interzisă prin lege din motive importante de interes public. La Data Semnării, toate aceste instrucțiuni sunt în cuprinsul documentului Termeni și Condiții ES.
  2. PERSOANA ÎMPUTERNICITĂ va informa fără întârziere OPERATORUL DE DATE în cazul în care, în opinia sa, o instrucțiune emisă de OPERATORUL DE DATE încalcă prevederile GDPR sau orice alte prevederi aplicabile din domeniul protecției datelor.
  3. Pentru evitarea oricărui dubiu, PERSOANA ÎMPUTERNICITĂ nu este responsabilă prin prezentul de a acorda OPERATORULUI DE DATE consultanță juridică sau de conformitate, sau de orice alt fel, sau de a efectua analize și opinii juridice/de conformitate/de orice alt fel, pentru OPERATORUL DE DATE.
  4. Părțile nu au în vedere prin prezentul prelucrarea de date cu caracter special sau cu funcție de identificare, acestea fiind excluse din categoria datelor cu caracter personal care fac obiectul prezentului ACORD.
  5. OPERATORUL DE DATE păstrează răspunderea legalității colectării datelor cu caracter personal (inclusiv pentru verificarea temeiniciei și scopurilor) și furnizării acestora către PERSOANA ÎMPUTERNICITĂ pentru executarea obligațiilor conform ACORDULUI, inclusiv pentru conformarea cu și obținerea oricărei autorizații/permisiuni, inclusiv prealabilă, care ar putea fi impusă (necesară) printr-un act normativ sau corporatist în acest sens.
3 Art. 28 (3) b) din GDPR Angajamentul de confidențialitate
  1. În executarea prezentului ACORD, PERSOANA ÎMPUTERNICITĂ se va asigura că va implica, ca persoane autorizate să prelucreze datele cu caracter personal, doar persoane care sunt ținute de un angajament de confidențialitate sau care sunt supuse unei obligații statutare adecvate de confidențialitate.
  2. PERSOANA ÎMPUTERNICITĂ va lucra cu diligența cuvenită pentru a se asigura de faptul că angajații săi/contractorii săi autorizați să prelucreze datele cu caracter personal cunosc toate cerințele legale aplicabile ACORDULUI privind protecția datelor și că nu divulgă datele personale prelucrate unor terțe persoane neautorizate, respectiv că datele personale nu sunt utilizate/exploatate de PERSOANA ÎMPUTERNICITĂ în alt mod decât cel autorizat conform ACORDULUI.
4 Art. 28 (3) c) din GDPR Securitatea prelucrării / Măsuri tehnice și organizatorice în conformitate cu art. 32 din GDPR
  1. PERSOANA ÎMPUTERNICITĂ va lua toate măsurile tehnice și organizatorice necesare în conformitate cu articolul 32 din GDPR. Aceste măsuri sunt prezentate în detaliu în Anexa 3.
  2. Măsurile tehnice și organizatorice (MTO) sunt condiționate de progresele și dezvoltarea tehnologice. Pe durata prezentului ACORD, PERSOANA ÎMPUTERNICITĂ va adapta MTO-urile în permanență conform cerințelor prezentului ACORD și în concordanță cu progresele tehnologice. Nivelul de securitate al MTO-urilor, astfel cum este stabilit prin prezentul ACORD și prin Anexa C, nu trebuie diminuat pe durata prezentului ACORD, față de versiunile existente la data implementării modificărilor.
  3. PERSOANA ÎMPUTERNICITĂ se angajează:
    • să documenteze în scris, inclusiv în format electronic, ajustările/modificările aduse măsurilor tehnice și organizatorice, care ar putea avea un impact semnificativ asupra nivelului garantat de securitate, și
    • să aducă aceste ajustări/modificări în atenția OPERATORULUI DE DATE, fără întârzieri nejustificate.
    Urmare a unor astfel de modificări notificate, Anexa 3 va fi considerată actualizată.
  4. La solicitarea prealabilă a OPERATORULUI DE DATE, PERSOANA ÎMPUTERNICITĂ va contribui la crearea și/sau actualizarea evidențelor privind activitățile de prelucrare ale OPERATORULUI DE DATE, în măsura în care acestea privesc orice activități de prelucrare a datelor efectuate prin intermediul PERSOANEI ÎMPUTERNICITIE sau înregistrarea măsurilor tehnice și organizatorice de securitate. La solicitarea OPERATORULUI DE DATE, PERSOANA ÎMPUTERNICITĂ va furniza informațiile și documentația necesară.
5 Art. 28 (3) d) din GDPR Acordarea unor alte persoane împuternicite (SUBACORDANȚII)
  1. Prin prezentul, OPERATORUL DE DATE confirmă aprobarea generală, în conformitate cu art. 28 (2) din GDPR, dată PERSOANEI ÎMPUTERNICITE, de a contracta alte persoane împuternicite pentru executarea totală sau parțială a operațiunilor de prelucrare conform prezentului; PERSOANA ÎMPUTERNICITĂ va informa OPERATORUL DE DATE cu privire la orice modificări preconizate legate de adăugarea sau înlocuirea altor persoane împuternicite. Informarea se va face în scris, inclusiv în format electronic. OPERATORUL DE DATE va avea posibilitatea de a trimite eventuala opoziție în termen de 1 (o) săptămână de la primirea informațiilor referitoare la aceste schimbări, cu oferirea justificării.
  2. La momentul încheierii ACORDULUI, subcontractanții declarați de PERSOANA ÎMPUTERNICITĂ, în lumina prevederilor art. 5.1, ca acționând în calitate de persoane împuternicite pentru PERSOANA ÎMPUTERNICITĂ cu privire la prezentul ACORD, sunt cei incluși în lista din Anexa 2, parte integrantă din prezentul ACORD. Prin semnarea prezentului ACORD, OPERATORUL DE DATE își dă acordul cu privire la contractarea acestor persoane împuternicite (subcontractanți) de către PERSOANA ÎMPUTERNICITĂ, cu aceeași rigoare utilizată pentru contractarea entităților din Anexa 2.
  3. Orice transferuri către țări terțe (inclusiv acordarea accesului la datele cu caracter personal prelucrate în numele și pe seama OPERATORULUI DE DATE) efectuate fie de către PERSOANA ÎMPUTERNICITĂ însăși, fie de către subcontractantul subsecvent, sunt supuse unei aprobări prealabile scrise, inclusiv în format electronic, din partea OPERATORULUI DE DATE. Prin semnarea prezentului ACORD, OPERATORUL DE DATE își dă acordul cu privire la efectuarea de transferuri către țări terțe, către subcontractanții prevăzuți în art. 5.2.
6 Art. 28 (3) e) din GDPR Obligații de cooperare și asistență
  1. PERSOANA ÎMPUTERNICITĂ va acorda asistență OPERATORULUI DE DATE prin toate mijloacele disponibile și rezonabile din punct de vedere economic, precum și prin măsuri tehnice și organizatorice adecvate, în vederea îndeplinirii de către OPERATORUL DE DATE a obligației sale de a răspunde solicitărilor privind exercitarea drepturilor persoanelor vizate prevăzute în cadrul capitolului III din GDPR (art. 12 - 23 din GDPR). OPERATORUL DE DATE va suporta costurile prilejuite de acordarea de asistență de către PERSOANA ÎMPUTERNICITĂ către OPERATORUL DE DATE în situațiile reglementate de prezentul articol.
  2. Comunicarea directă a PERSOANEI ÎMPUTERNICITE cu persoana vizată va avea loc numai cu acordul prealabil în scris al OPERATORULUI DE DATE. PERSOANA ÎMPUTERNICITĂ va transmite OPERATORULUI DE DATE toate solicitările privind drepturile persoanelor vizate, fără întârzieri nejustificate, în scris.
6 Art. 28 (3) f) din GDPR Asistență pentru asigurarea respectării obligațiilor OPERATORULUI DE DATE
  1. PERSOANA ÎMPUTERNICITĂ va acorda asistență OPERATORULUI DE DATE pentru asigurarea respectării obligațiilor în conformitate cu art. 32 – 36 din GDPR, ținând seama de natura prelucrării și de informațiile pe care le are la dispoziție PERSOANA ÎMPUTERNICITĂ. OPERATORUL DE DATE va suporta costurile prilejuite de acordarea de asistență de către PERSOANA ÎMPUTERNICITĂ către OPERATORUL DE DATE conform prezentul articol.
  2. Sub rezerva art. 28 (3) f) din GDPR, PERSOANA ÎMPUTERNICITĂ va sprijini OPERATORUL DE DATE la efectuarea unei evaluări a impactului asupra protecției datelor în conformitate cu art. 35 din GDPR și, dacă este cazul, și în momentul consultărilor cu autoritatea de supraveghere în conformitate cu art. 36 din GDPR. La cererea scrisă a OPERATORULUI DE DATE, PERSOANA ÎMPUTERNICITĂ va furniza toate informațiile și documentația necesare și solicitate, ținând seama de natura prelucrării și de informațiile pe care le are la dispoziție PERSOANA ÎMPUTERNICITĂ.
  3. PERSOANA ÎMPUTERNICITĂ va informa OPERATORUL DE DATE cu privire la orice încălcare a securității datelor cu caracter personal, în termen de maxim 24 (douăzecisipatru) ore de la momentul la care ia la cunoștință despre o astfel de situație și va furniza OPERATORULUI DE DATE cel puțin următoarele informații:
    1. natura încălcării datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile și numărul aproximativ de persoane vizate afectate, precum și categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;
    2. numele și detaliile de contact ale persoanei responsabile/responsabilului cu protecția datelor sau ale altui punct de contact de unde pot fi obținute mai multe informații;
    3. consecințele probabile ale încălcării securității datelor cu caracter personal, conform aprecierii PERSOANEI ÎMPUTERNICITE;
    4. măsurile luate PERSOANA ÎMPUTERNICITĂ sau propuse de PERSOANA ÎMPUTERNICITĂ a fi luate de către OPERATORUL DE DATE în vederea remedierii încălcării securității datelor cu caracter personal, inclusiv, acolo unde este cazul, măsurile pentru diminuarea posibilelor efecte negative ale acesteia.
  4. Atunci când și în măsura în care nu este posibilă furnizarea tuturor informațiilor în același timp, acestea pot fi furnizate în mai multe etape, fără întârzieri nejustificate.
  5. În cazul unor dezvoltări specifice efectuate de PERSOANA ÎMPUTERNICITĂ la solicitarea OPERATORULUI DE DATE, asupra sistemelor/aplicațiilor utilizate în prelucrarea datelor cu caracter personal, PERSOANA ÎMPUTERNICITĂ va acorda asistență și sprijin OPERATORULUI DE DATE pentru asigurarea conformității cu obligația prevăzută de art. 25 din GDPR (Protecția datelor începând cu momentul conceperii și în mod implicit). PERSOANA ÎMPUTERNICITĂ are în vedere, în special instrumentele, produsele, aplicațiile sau serviciile sale, principiile aplicabile protecției datelor începând cu momentul conceperii și în mod implicit. Costurile aferente unor astfel de conformări vor fi în sarcina OPERATORULUI DE DATE.
8 Art. 28 (3) g) din GDPR Ștergerea și restituirea datelor cu caracter personal
  1. În măsura în care este prevăzut de prevederi legale imperative sau urmare a solicitării scrise a OPERATORULUI DE DATE, la încetarea ACORDULUI, PERSOANA ÎMPUTERNICITĂ va returna OPERATORULUI DE DATE datele cu caracter personal (inclusiv copiile existente), cu excepția cazului în care legislația aplicabilă permite/impune stocarea/prelucrarea datelor respective de către PERSOANA ÎMPUTERNICITĂ (cu respectarea principiului minimizării prelucrării) sau dacă PERSOANA ÎMPUTERNICITĂ oferă OPERATORULUI DE DATE justificarea păstrării acestora (ex. apărarea unui drept al PERSOANEI ÎMPUTERNICITE).
9 Art. 28 (3) h) din GDPR Demonstrarea conformității cu obligațiile și contribuția la efectuarea auditurilor
  1. La solicitarea specifică a OPERATORULUI DE DATE și cu respectarea tuturor principiilor de la art. 7.1 de mai sus, PERSOANA ÎMPUTERNICITĂ va pune la dispoziția OPERATORULUI DE DATE toate informațiile de care dispune considerate rezonabile de către PERSOANA ÎMPUTERNICITĂ pentru a sprijini OPERATORUL DE DATE în a demonstra respectarea obligațiilor prevăzute de art. 28 din GDPR. PERSOANA ÎMPUTERNICITĂ va permite și va contribui la auditurile, inclusiv inspecțiile, desfășurate de OPERATORUL DE DATE sau de alt auditor mandatat de OPERATORUL DE DATE. Auditurile, inclusiv inspecțiile, se vor desfășura fără a afecta în niciun fel activitatea PERSOANEI ÎMPUTERNICITE și fără a împiedica, în nici un fel, respectarea și îndeplinirea obligațiilor de securitate și confidențialitate pe care aceasta și le-a asumat în relațiile cu alte persoane fizice și juridice sau de care consideră că este ținută conform legii. OPERATORUL DE DATE va transmite orice solicitare de audit și planul aferent auditului cu cel puțin 30 de zile înainte de derularea acestuia și Părțile vor agrea împreună planificarea auditului/inspecției. Costurile oricărui audit/oricărei inspecții vor fi suportate integral de către OPERATORUL DE DATE.
  2. OPERATORUL DE DATE va furniza PERSOANEI ÎMPUTERNICITE o copie a oricărui audit/raport de inspecție realizat conform prezentului ACORD, fără întârziere, de îndată ce se finalizează un astfel de raport/audit.
  3. OPERATORUL DE DATE se obligă să nu mandateze pentru audit/ inspecție un concurent al PERSOANEI ÎMPUTERNICITE, în caz contrar PERSOANA ÎMPUTERNICITĂ putând să refuze în mod valabil auditul/inspecția.
10 Obligații suplimentare
  1. În cazul unor încălcări ale securității datelor sau plângeri depuse la autoritatea de supraveghere (și comunicate și PERSOANEI ÎMPUTERNICITE) referitoare la prelucrarea datelor cu caracter personal care fac obiectul prezentului, sau măsuri/sancțiuni impuse PERSOANEI ÎMPUTERNICITE în urma inspecțiilor sau a altor măsuri luate de către autoritățile de supraveghere cu privire la datele care fac obiectul prezentului, OPERATORUL DE DATE va fi notificat fără întârziere. OPERATORUL DE DATE va oferi PERSOANEI ÎMPUTERNICITE tot suportul în soluționarea acestor evenimente, în cel mult 24 de ore de la solicitarea PERSOANEI ÎMPUTERNICITE.
  2. Acolo unde i se impune prin lege, PERSOANA ÎMPUTERNICITĂ va desemna în scris o persoană responsabilă de protecția datelor în conformitate cu art. 37 din GDPR și, dacă este cazul, un reprezentant, în conformitate cu art. 27 din GDPR. Detaliile de contact ale persoanei desemnate ca responsabilă de protecția datelor vor fi comunicate OPERATORULUI DE DATE.
  3. În conformitate cu art. 30, PERSOANA ÎMPUTERNICITĂ are obligația de a ține evidențe cu privire la toate categoriile de activități de prelucrare desfășurate în numele și pe seama unui operator de date.
  4. OPERATORUL DE DATE nu va da publicității (pe nici un mediu online sau offline) și nu va furniza niciunei terțe părți, niciun anunț/comunicat/știre privind executarea prezentului ACORD, inclusiv privind vreun incident/eveniment aferent (ex. incident de securitate) fără ca Părțile să se consulte în prealabil și să agreeze textul, formula comunicării și orice alte detalii privind o astfel de comunicare.
11 Alte prevederi
  1. Dacă îndeplinirea scopului ACORDULUI, astfel cum este prevăzut acesta în cadrul secțiunii 1 din prezentul ACORD, de către PERSOANA ÎMPUTERNICITĂ, este pusă în pericol ca urmare a introducerii unei acțiuni prin care se solicită falimentul său sau în cazul declarării falimentului acesteia; ori în cazul în care ar trebui să beneficieze de avantajele prevăzute de legea insolvenței din orice stat sau țară; ori în cazul în care ar trebuie să efectueze o cesiune în beneficiul creditorilor săi; sau în situația în care a fost desemnat un administrator judiciar, custode sau alt reprezentant judiciar cu privire la patrimoniul său; ori ca urmare a altor evenimente sau măsuri luate de terțe persoane, PERSOANA ÎMPUTERNICITĂ va notifica OPERATORUL DE DATE fără întârziere. PERSOANA ÎMPUTERNICITĂ va informa fără întârziere toate părțile implicate cu privire la faptul că dreptul de a dispune de date îi revine exclusiv OPERATORULUI DE DATE.
  2. Părțile vor păstra confidențialitatea tuturor secretelor comerciale și măsurilor privind securitatea datelor despre care iau cunoștință în cadrul relației contractuale (inclusiv în implementarea prezentului ACORD). Secretele comerciale reprezintă toate (fără limitare la) aspectele, circumstanțele și activitățile legate de afaceri care nu sunt accesibile în general, ci sunt accesibile unui grup limitat de persoane. Măsurile privind securitatea datelor reprezintă toate măsurile tehnice și organizatorice luate de o parte contractantă în conformitate cu Anexa 3. Această obligație de confidențialitate va rămâne în vigoare și timp de 2 (doi) ani după încetarea prezentului ACORD.
  3. Răspunderea Părților pentru încălcări ale obligațiilor privind protecției datelor este reglementată de art. 82 din GDPR.
  4. În cazul unor contradicții, neconcordanțe sau discrepanțe între prezentul ACORD și Termenii și Condițiile ES, prevederile prezentului ACORD vor prevala. Mai mult decât atât, prevederile clauzelor contractuale standard/clauzelor standard privind protecția datelor vor prevala, dacă este cazul.
  5. În cazul în care orice prevederi din prezentul ACORD sunt sau devin nevalabile, celelalte prevederi vor rămâne în continuare valabile și nu vor fi afectate.
  6. Dacă nu se prevede altfel, orice modificare a prezentului ACORD, inclusiv încetarea acestuia și prezenta clauză, trebuie efectuată în scris, prin acordul Părților. Cu titlu excepțional, în cazul în care PERESOANA ÎMPUTERNICITĂ, consideră la un anumit moment că există argumente pentru a susține că relația dintre Părți, cu privire la prelucrarea Datelor, este una în care Părțile au alte calități decât cele precizate în prezentul Acord, Părțile se obligă să reflecte o astfel de situație prin încheierea unui act adițional la prezentul, care să reflecte la nivel contractual situația faptică, în conformitate cu prevederile GDPR.
  7. Părțile convin în mod expres că PERSOANA ÎMPUTERNICITĂ va fi îndreptățită să prelucreze Datele clienților, pentru scopurile și în condițiile menționate în nota de informare de la www.easy-sales.com.
  8. Oricare Parte va avea dreptul de reziliere unilaterală a ACORDULUI din motive întemeiate, în cazul unor încălcări grave repetate ale oricărei prevederi privind protecția datelor prevăzute prin prezentul ACORD, fără a elimina sau limita în vreun fel răspunderea Părții care și-a încălcat obligațiile rezultate din acest ACORD sau impuse de cerințele și prevederile GDPR.
  9. Prezentul ACORD va fi guvernat de și va fi interpretat sub toate aspectele în conformitate cu legislația materială a statului în care este stabilită PERSOANA ÎMPUTERNICITĂ, fiind excluse orice reglementări privind conflictele de legi care ar putea prevedea faptul că trebuie aplicată legislația altei jurisdicții. Instanțele competente din București vor avea competență exclusivă cu privire la soluționarea tuturor disputelor decurgând din sau în legătură cu prezentul ACORD.
  10. Toate contractele privind prelucrarea datelor/actele/acordurile similare – dacă e cazul – care există între Părți la data prezentului (inclusiv eventualele clauze specifice privind prelucrarea datelor din Acordul principal) își vor înceta automat orice efecte și vor fi înlocuite de prezentul ACORD începând de la Data Semnării.

Anexa A la Acordul privind prelucrarea datelor cu caracter personal:

Obiectul (prezentului Acord)
  • Operatorul de date
Seller-ul
  • Persoana împuternicită
Prestarea de servicii de intermediere online de către ES în beneficiul Seller-ului; ES acționează drept agent comercial al Seller-ului.
Tipul/Categoriile de date cu caracter personal
  • Categoriile de date cu character personal
Date personale:
  • numele de familie și prenumele,
  • nr. telefon mobil,
  • adresa de livrare,
  • adresa de e-mail
  • istoric cumpărături
  • AWB-uri
  • Facturi
  • Categorii speciale de date cu caracter personal
NU ESTE CAZUL
Persoanele vizate Cumpărători ai Produselor (Clienți)
Natura și scopul prelucrării
  • Operații de prelucrare
  • Suport tehnic în plasare și implementare Comenzi pentru achiziția de Produse;
  • Suport tehnic în corespondență privind finalizarea/statusul Comenzilor;
  • Suport tehnic în generare AWB-uri;
  • Suport tehnic în generare facturi pentru Produse;
  • Suport tehnic aferent încasării prețului Produselor;
  • Suport tehnic pentru operațiuni asupra comenzilor finalizate – anulare, renunțare, înlocuire (modificare), retur
  • Suport tehnic pentru răspuns la întrebări și reclamații ale Clienților;
  • Suport tehnic în documentarea feed-back-ului Clienților,
  • Suport și mentenanță.
  • Natura prelucrării
Următoarele forme/tipuri de prelucrare a datelor cu caracter personal se aplică și fac obiectul contractului dintre Părți (art. 4 nr. 2 din GDPR)
  • adaptare sau modificare,
  • recuperare,
  • consultare,
  • utilizare
  • divulgare prin transmitere,
  • diseminare sau punere la dispoziție în alt mod,
  • aliniere sau combinare,
  • restricționare,
  • ștergere sau distrugere,
  • alt tip de prelucrare:

Anexa B la Acordul cu privire la prelucrarea datelor - Lista subcontractanților contractați

Subcontractantul
Locul prelucrării Data contractului privind prelucrarea datelor Descrierea măsurilor de securitate implementate cu privire la transferurile către Țări Terțe (art. 44 GDPR) Link la nota de informare privind prelucrarea datelor personale
Servicii de arhivare/stocare documente (inclusiv furnizori de servicii de stocare în cloud), Amazon Web Services Inc, 410 Terry Avenue North, Seattle, WA 98109-5210, USA. Frankfurt - https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf https://aws.amazon.com/agreement/
Servicii de trimitere automatizată de e-mailuri, Amazon Web Services Inc, 410 Terry Avenue North, Seattle, WA 98109-5210, USA. Frankfurt - https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf https://aws.amazon.com/agreement/
Servicii de facturare, Amazon Web Services Inc, 410 Terry Avenue North, Seattle, WA 98109-5210, USA. Frankfurt - https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf https://aws.amazon.com/agreement/

Anexa C la Acordul cu privire la prelucrarea datelor: Măsurile tehnice și organizatorice ale PERSOANEI ÎMPUTERNICITE în conformitate cu art. 32 din GDPR

Având în vedere

  • tehnologia de ultimă generație
  • costurile de implementare
  • natura, obiectul, contextul și
  • scopurile prelucrării, precum și
  • variația probabilității și gravității riscului pentru drepturile și libertățile persoanelor fizice,

Persoana împuternicită implementează măsuri tehnice și organizatorice corespunzătoare pentru asigurarea unui nivel de securitate adecvat riscului.

La evaluarea nivelului adecvat de securitate se va acorda o atenție specială riscurilor asociate cu prelucrarea efectuată în numele și pe seama Operatorului de Date (în conformitate cu Anexa 1). Acest lucru din cauza, în special, a riscului distrugerii, pierderii, modificării sau divulgării neautorizate a ori accesului neautorizat, fie în mod accidental sau ilegal, (la) date(lor) cu caracter personal care sunt transmise, stocate sau prelucrate în alt mod, în special dacă aceasta poate conduce la prejudicii fizice, materiale sau imateriale.

SE VA DETALIA ASUPRA RISCURILOR SI, CORELATIV, ASUPRA MASURILOR DE SECURITATE

Prin urmare, PERSOANA ÎMPUTERNICITĂ va lua în special următoarele măsuri:

I. Măsuri pentru asigurarea confidențialității* (art. 32 (1) b) din GDPR)

  1. Asigurarea controlului accesului la sediul unde sunt prelucrate datele cu caracter personal
    • Persoanele neautorizate nu au acces fizic in imprejurimi, cladiri, birouri unde sistemele de prelucrare a datelor cu caracter personal sunt situate
    • Exceptiile includ terte parti ale caror obiect de activitate reprezinta auditarea facitilitatilor cat timp tertele parti sunt supravegheate.
  2. Asigurarea controlului accesului la sistemul în care sunt prelucrate datele cu caracter personal ale Operatorului De Date
    • Toate sistemele de prelucrare a datelor cu caracter personal sunt protejate cu parole, inclusiv pentru accesul de la distanta, pentru a preveni accesul neautorizat la aceste sisteme,
    • Exista implementat un sistem de management al utilizatorilor care se pot autentifica pe baza unui identificator unic
    • Fiecarui utilizator ii este asignata o parola pentru autentificare,
    • Exista un sistem de management implementat pentru asigurarea drepturilor utilizatorilor la sistemul de prelucrare a datelor cu caracter personal,
    • Sistemul este configurat astfel incat sa fie asignat un control minim personalului care are acces pentru a-si executa atributiile,
    • Este implementata o solutie pentru logarea accesului la sistemele critice
    • Este implementata o procedura de dezactivare a accesului cand un angajat paraseste compania
  3. Asigurarea controlului accesului pentru utilizarea sistemului în care sunt prelucrate datele cu caracter personal
    • Toate sistemele de prelucrare a datelor cu caracter personal sunt protejate cu parole, inclusiv pentru accesul de la distanta, pentru a preveni accesul neautorizat la aceste sisteme,
    • Exista implementat un sistem de management al utilizatorilor care se pot autentifica pe baza unui identificator unic
    • Fiecarui utilizator ii este asignata o parola pentru autentificare,
    • Exista un sistem de management implementat pentru asigurarea drepturilor utilizatorilor la sistemul de prelucrare a datelor cu caracter personal,
    • Sistemul este configurat astfel incat sa fie asignat un control minim personalului care are acces pentru a-si executa atributiile,
    • Este implementata o solutie pentru logarea accesului la sistemele critice
    • Este implementata o procedura de dezactivare a accesului cand un angajat paraseste compania

II. Măsuri pentru asigurarea integrității datelor* (art. 32 (1) b) din GDPR)

  1. Măsuri pentru asigurarea integrității datelor* (art. 32 (1) b) din GDPR)
    • Datele transmise intre sistemele ES se transmit prin protocolul de comunicare SSL
    • Datele transmise sunt encriptate pe parcursul transmisiei intre sistemele ES
  2. Controlul introducerii datelor

    Măsuri pentru asigurarea posibilității de verificare și stabilire la o etapă ulterioară dacă și de către cine au fost introduse, modificate sau eliminate datele cu caracter personal în/din sistemele de prelucrare a datelor:

    • Logarea actiunilor intreprinse de utilizator in interfata ES
    • Exista un sistem de logare a tuturor cererilor de inregistrare si de trimitere a informatiilor cu caracter personal

III. Măsuri pentru asigurarea disponibilitățiii și rezilienței datelor* (art. 32 (1) b) c) din GDPR)

  • Datele cu caracter personal sunt salvate in backup-uri pentru a putea fi restaurate in cel mai scurt timp
  • Au fost concepute proceduri de recuperare in caz de dezastru
  • Au fost concepute proceduri care nu permit stergerea datelor cu caracter personal fara acordul personalului autorizat

IV. Măsuri pentru asigurarea limitării scopului prelucrării datelor cu caracter personal

  • Au fost implementate modalitati de control care permit modificarea datelor cu caracter personal doar personalului autorizat