Acord de prelucrare a datelor (DPA)

„Operator”, „Împuternicit”, „persoană vizată”, „date cu caracter personal”, „prelucrare” și „încălcare a securității datelor” au înțelesul din articolul 4 GDPR.

„Subîmputernicit” înseamnă orice terț angajat de Furnizor pentru a prelucra date cu caracter personal în numele Clientului. „Legislația aplicabilă” înseamnă GDPR și orice normă națională de punere în aplicare.

Pentru datele cu caracter personal pe care Clientul le introduce sau le colectează prin platformă cu privire la propriii utilizatori, vizitatori sau clienți (de ex. date de analiză a traficului, evenimente de securitate), Clientul este Operatorul, iar Furnizorul acționează ca Împuternicit.

Pentru datele de cont și de facturare ale Clientului (nume, e-mail, date de autentificare, date de plată), Furnizorul acționează ca operator independent, conform Politicii de confidențialitate.

Obiectul prelucrării îl reprezintă datele cu caracter personal furnizate sau generate prin utilizarea serviciilor de monitorizare, securitate, analiză și raportare ale platformei Synux.

Natura și scopul prelucrării constau în furnizarea funcționalităților platformei conform instrucțiunilor Clientului (monitorizare disponibilitate, analiză trafic, jurnalizare evenimente de securitate, generare rapoarte și notificări).

Durata prelucrării corespunde duratei contractuale a serviciului, plus perioadele de retenție prevăzute în Anexa A, după care datele sunt șterse sau returnate conform secțiunii 12.

Categorii de date: identificatori online (adrese IP, în formă trunchiată acolo unde se aplică), date despre dispozitiv și browser, pagini vizitate și date de utilizare agregate, evenimente de securitate și, după caz, datele pe care Clientul alege să le transmită platformei.

Categorii de persoane vizate: vizitatorii și utilizatorii site-urilor monitorizate de Client, precum și reprezentanții Clientului care administrează contul.

Prelucrăm datele cu caracter personal numai pe baza instrucțiunilor documentate ale Operatorului, inclusiv în ceea ce privește transferurile, cu excepția cazului în care suntem obligați prin lege; în acest caz vom informa Operatorul înainte de prelucrare, dacă legea nu interzice acest lucru.

Ne asigurăm că persoanele autorizate să prelucreze datele s-au angajat să respecte confidențialitatea sau au o obligație legală de confidențialitate.

Implementăm măsurile tehnice și organizatorice prevăzute la articolul 32 GDPR (Anexa B) și asistăm Operatorul în îndeplinirea obligațiilor sale conform secțiunilor 10 și 11.

Punem la dispoziția Operatorului informațiile necesare pentru a demonstra respectarea obligațiilor și permitem audituri conform secțiunii 13.

Operatorul garantează că dispune de un temei legal pentru prelucrarea datelor cu caracter personal și pentru transmiterea acestora către Împuternicit, precum și că instrucțiunile sale sunt conforme cu legislația aplicabilă.

Operatorul este responsabil pentru exactitatea, calitatea și legalitatea datelor cu caracter personal și pentru modul în care le-a obținut.

Luând în considerare stadiul actual al tehnologiei, costurile implementării și natura, domeniul, contextul și scopurile prelucrării, implementăm măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului, detaliate în Anexa B.

Operatorul acordă o autorizație generală pentru folosirea de subîmputerniciți. Lista subîmputerniciților curenți este prezentată în Anexa C.

Vom informa Operatorul cu privire la orice intenție de adăugare sau înlocuire a unui subîmputernicit, oferind posibilitatea de a formula obiecții întemeiate într-un termen rezonabil.

Impunem fiecărui subîmputernicit, prin contract, obligații de protecție a datelor echivalente cu cele din prezentul DPA. Rămânem răspunzători față de Operator pentru îndeplinirea obligațiilor subîmputerniciților.

Prelucrăm și stocăm datele cu caracter personal în cadrul Uniunii Europene / Spațiului Economic European. Dacă un transfer în afara SEE devine necesar, acesta se va realiza doar pe baza unui mecanism de transfer valabil conform GDPR (de ex. o decizie de adecvare sau clauzele contractuale standard).

Ținând cont de natura prelucrării, asistăm Operatorul, prin măsuri tehnice și organizatorice adecvate, în îndeplinirea obligației de a răspunde cererilor persoanelor vizate privind exercitarea drepturilor lor (acces, rectificare, ștergere, restricționare, portabilitate, opoziție).

Asistăm Operatorul în asigurarea conformității cu obligațiile privind securitatea, notificarea încălcărilor, evaluările de impact (DPIA) și consultarea prealabilă a autorității de supraveghere, în limita informațiilor de care dispunem.

În cazul în care luăm cunoștință de o încălcare a securității datelor cu caracter personal, notificăm Operatorul fără întârzieri nejustificate, oferind informațiile rezonabil disponibile pentru a-i permite să își îndeplinească propriile obligații de notificare către autoritate și, după caz, către persoanele vizate.

La încetarea serviciilor, la alegerea Operatorului, ștergem sau returnăm toate datele cu caracter personal și ștergem copiile existente, cu excepția cazului în care legislația aplicabilă impune păstrarea acestora.

Datele rămase în jurnale sau copii de rezervă sunt eliminate conform ciclurilor noastre de retenție și de rotație a copiilor de rezervă.

Punem la dispoziția Operatorului informațiile necesare pentru a demonstra respectarea prezentului DPA și permitem și contribuim la audituri, inclusiv inspecții, efectuate de Operator sau de un auditor mandatat de acesta, cu un preaviz rezonabil și cu respectarea confidențialității și securității celorlalți clienți.

Răspunderea fiecărei părți în temeiul prezentului DPA este guvernată de prevederile privind limitarea răspunderii din Termenii și condițiile Synux, în măsura permisă de legislația aplicabilă.

Prezentul DPA produce efecte pe durata prelucrării datelor cu caracter personal în numele Operatorului. Putem actualiza acest DPA pentru a reflecta modificări legislative sau ale serviciilor; versiunea aplicabilă este cea publicată pe această pagină, cu data ultimei actualizări de mai sus.

Pentru orice solicitare legată de protecția datelor sau de prezentul DPA, ne puteți contacta la contact@coolweb.ro. Operator: [denumire firmă], CUI [CUI], nr. înreg. [J__/____/____], cu sediul în [adresă sediu].

Obiect: furnizarea serviciilor de monitorizare, securitate, analiză și raportare Synux.

Durată: pe durata contractuală a serviciului, plus perioadele de retenție aplicabile (de ex. datele de analiză și evenimentele de securitate sunt păstrate pe ferestre limitate și ulterior eliminate).

Natură și scop: colectarea, stocarea, structurarea, analiza și afișarea datelor pentru a furniza funcționalitățile platformei conform instrucțiunilor Operatorului.

Tipuri de date: identificatori online, date despre dispozitiv/browser, date de utilizare și evenimente de securitate. Categorii de persoane vizate: vizitatori și utilizatori ai site-urilor monitorizate, reprezentanți ai Operatorului.

Criptarea datelor în tranzit (TLS/HTTPS) și stocarea securizată a credențialelor (parole stocate sub formă de hash).

Controlul accesului pe bază de roluri, autentificare cu doi factori disponibilă și gestionarea sesiunilor.

Izolarea datelor per cont, limitarea ratelor de acces și jurnalizarea evenimentelor relevante de securitate.

Politici de retenție și de eliminare periodică a datelor, copii de rezervă și proceduri de restaurare.

Măsuri organizatorice: principiul minimizării datelor, accesul limitat la nevoie și obligații de confidențialitate pentru personal.

Furnizor de infrastructură și găzduire — Hetzner Online GmbH (centre de date în Uniunea Europeană).

Procesator de plăți — Netopia (NETOPIA Financial Services), pentru încasarea plăților, acolo unde se aplică.

Furnizor de e-mail tranzacțional — pentru livrarea notificărilor și a e-mailurilor de sistem.

Lista actualizată a subîmputerniciților este disponibilă la cerere, la contact@coolweb.ro.