Acord privind prelucrarea datelor
În conformitate cu cerințele Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice prin prisma prelucrării datelor cu caracter personal și prin prisma liberei circulații a acestor date, de abrogare a Directivei 95/46/CE (denumit în continuare „GDPR”), Furnizorul (denumit în continuare „Procesator”) și Dvs. (denumit în continuare „Controlor”) intrați în relația contractuală de prelucrare a datelor cu scopul de a defini termenii și condițiile de prelucrare a datelor cu caracter personal și modul de protecție a acestora, precum și pentru a defini alte drepturi și obligații ale ambelor părți prin prisma prelucrării datelor cu caracter personal ale persoanelor vizate în numele Controlorului pe durata îndeplinirii obiectului acestor Termeni ca principal contract.
1. Prelucrarea datelor cu caracter personal. Serviciile furnizate în conformitate cu acești Termeni includ prelucrarea informațiilor referitoare la o persoană fizică identificată sau identificabilă, informații specificate în Politica de confidențialitate (denumite în continuare „Date cu caracter personal”).
2. Autorizarea. Controlorul autorizează Procesatorul să prelucreze Datele cu caracter personal, inclusiv următoarele instrucțiuni:
(i) „Scopul prelucrării” se referă la furnizarea de servicii în conformitate cu acești Termeni, Procesatorului îi este permis să prelucreze Date cu caracter personal în numele Controlorului numai cu privire la furnizarea serviciilor solicitate de către Controlor. Toate informațiile colectate în scopuri suplimentare sunt prelucrate în afara relației contractuale Controlor-Procesator.
(ii) Perioada de prelucrare înseamnă perioada de la începerea cooperării, în conformitate cu acești Termeni, până la încetarea serviciilor,
(iii) Domeniul de aplicare și categoriile de Date cu caracter personal. Serviciile sunt destinate exclusiv prelucrării datelor generale cu caracter personal. Cu toate acestea, Controlorul este singurul responsabil pentru determinarea domeniului de aplicare al datelor cu caracter personal.
(iv) „Persoană vizată” înseamnă persoana fizică în calitate de utilizator autorizat al dispozitivelor Controlorului,
(v) Activități de prelucrare înseamnă orice operațiune necesară pentru prelucrare,
(vi) „Instrucțiunile documentate” se referă la instrucțiunile descrise în acești Termeni, în anexele acestor Termeni, în Politica de confidențialitate și în documentația asociată serviciului. Controlorul va fi responsabil pentru admisibilitatea legală a prelucrării Datelor cu caracter personal de către Procesator în ceea ce privește prevederile aplicabile respectiv din legea protecției datelor.
3. Obligațiile Procesatorului. Procesatorul va avea următoarele obligații:
(i) să proceseze Datele cu caracter personal numai pe baza instrucțiunilor documentate și în scopul definit în Termeni, în Anexele acestor Termeni, în Politica de confidențialitate și în documentația serviciului,
(ii) să instruiască persoanele autorizate să prelucreze Datele cu caracter personal (denumite în continuare "Persoane autorizate") cu privire la drepturile și obligațiile lor în conformitate cu GDPR, cu privire la răspunderea lor în caz de încălcare și să se asigure că Persoanele autorizate s-au angajat să respecte confidențialitatea și să urmeze instrucțiunile documentate,
(iii) să implementeze și să urmeze măsurile descrise în Termeni, în Anexele acestor termeni, în Politica de confidențialitate și în documentația serviciului,
(iv) să asiste Controlorul pentru a oferi răspunsuri la solicitările Persoanelor vizate în legătură cu drepturile lor. Procesatorul nu va corecta, șterge sau restricționa prelucrarea Datelor cu caracter personal în absența unor instrucțiuni din partea Controlorului. Toate solicitările din partea Persoanei vizate referitoare la Datele cu caracter personal prelucrate în numele controlorului vor fi transmise fără întârziere controlorului.
(v) să asiste Controlorul în legătură cu notificarea autorității de supraveghere și Persoanei vizate privind încălcarea securității Datelor cu caracter personal. Procesatorul va notifica Controlorul cu privire la orice încălcare a prelucrării Datelor cu caracter personal sau a securității Datelor cu caracter personal, imediat după descoperire. Procesatorul va coopera într-o măsură rezonabilă pentru investigarea și remedierea unei astfel de încălcări și va lua măsuri rezonabile pentru a limita alte implicații negative.
(vi) la alegerea Controlorului, să șteargă sau să returneze toate Datele cu caracter personal Controlorului după încheierea Perioadei de prelucrare. Controlorul se angajează să informeze Procesatorul cu privire la decizia sa în termen de zece (10) zile de la încheierea Perioadei de procesare. Această prevedere nu afectează dreptul Procesatorului de a păstra Datele cu caracter personal, în măsura necesară, în scopuri de arhivare în interes public, în scopuri de cercetare științifică, în scopuri statistice sau în scopul stabilirii, exercitării sau apărării împotriva revendicărilor legale.
(vi) să mențină un registru actualizat al tuturor categoriilor de activități de prelucrare pe care le-a desfășurat în numele Controlorului,
(viii) să pună la dispoziția Controlorului toate informațiile necesare pentru a demonstra conformitatea ca parte a Termenilor, a anexelor acestor Termeni, a Politicii de confidențialitate și a documentației serviciului. În cazul auditului sau controlului prelucrării Datelor cu caracter personal din partea Controlorului, Controlorul este obligat să informeze Procesatorul în scris cu cel puțin treizeci (30) de zile înainte de auditul sau controlul planificat.
4. Implicarea altui Procesator. Procesatorul are dreptul să implice un alt procesator pentru desfășurarea unor activități de prelucrare specifice, cum ar fi furnizarea de stocare în cloud și infrastructură pentru serviciu, în conformitate cu Termenii, cu Anexele acestor Termeni, cu Politica de confidențialitate și cu documentația aferentă serviciului. În prezent, Microsoft oferă soluții de stocare și infrastructură în cloud, ca parte a serviciului Cloud Azure. În acest caz, Procesatorul va rămâne singurul punct de contact și singura parte responsabilă pentru respectarea acestora. Procesatorul se angajează să informeze Controlorul cu privire la orice adăugare sau înlocuire a unei alte persoane împuternicite de operator în scopul posibilității de a se opune unei astfel de modificări.
5. Teritoriul în care are loc prelucrarea. Procesatorul se va asigura că prelucrarea are loc în Spațiul Economic European sau într-o țară desemnată drept sigură prin decizia Comisiei Europene, în funcție de decizia Controlorului. În cazul transferurilor și prelucrării în afara Spațiului Economic European sau în afara unei țări desemnate drept sigură prin decizia Comisiei Europene, se vor aplica clauzele contractuale standard, la solicitarea Controlorului.
6. Securitatea. Procesatorul este certificat ISO 27001:2013 și folosește cadrul ISO 27001 pentru a implementa o strategie de securitate stratificată atunci când aplică controale de securitate care vizează rețeaua, sistemele de operare, bazele de date, aplicațiile, personalul și procesele operaționale. Conformitatea cu cerințele de reglementare și contractuale este evaluată și revizuită în mod similar altor infrastructuri și operațiuni ale Procesatorului, urmând a se lua măsurile necesare pentru a se asigura continuitatea conformității. Procesatorul a organizat securitatea datelor folosind ISMS bazat pe ISO 27001. Documentația legată de securitate include în principal documente de politică pentru securitatea informațiilor, securitatea fizică și securitatea echipamentelor, gestionarea incidentelor, tratarea scurgerilor de date și incidentelor de securitate etc.
7. Măsuri tehnice și organizatorice. Procesatorul va proteja Datele cu caracter personal împotriva deteriorării și distrugerii ocazionale și ilegale, pierderii ocazionale, modificării, accesului neautorizat și divulgării. În acest scop, Procesatorul va adopta măsuri tehnice și organizatorice adecvate, corespunzătoare modului de prelucrare și riscului prezentat de prelucrare pentru drepturile Persoanelor vizate, în conformitate cu cerințele GDPR. O descriere detaliată a măsurilor tehnice și organizatorice poate fi găsită în Politica de securitate.
8. Informațiile de contact ale Procesatorului. Toate notificările, solicitările, revendicările și alte comunicări privind protecția datelor cu caracter personal vor fi adresate ESET, spol. s.r.o., în atenția: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.