Acord de prelucrare a datelor

Domeniul de aplicare și rolurile părților

Prezentul Acord de prelucrare a datelor („DPA”) face parte din acordul dintre client (denumit „Operatorul”) și Alpha Analytics s.r.o. (denumită „Persoana împuternicită”) pentru utilizarea serviciilor Carsdata.com („Serviciile”). Acesta reglementează prelucrarea datelor cu caracter personal pe care Persoana împuternicită o efectuează în numele Operatorului și se aplică ori de câte ori o astfel de prelucrare intră sub incidența Regulamentului (UE) 2016/679 („GDPR”).

Operatorul stabilește scopurile și mijloacele prelucrării datelor cu caracter personal și este responsabil de legalitatea acelei prelucrări. Persoana împuternicită prelucrează date cu caracter personal numai în numele și pe baza instrucțiunilor documentate ale Operatorului. Atunci când Persoana împuternicită stabilește scopurile și mijloacele prelucrării pentru propriile sale activități, aceasta acționează în calitate de operator, iar acea prelucrare este reglementată de Politica de confidențialitate, și nu de prezentul DPA.

În cazul oricărui conflict între prezentul DPA și restul acordului dintre părți în ceea ce privește prelucrarea datelor cu caracter personal, prezentul DPA prevalează.

Definiții

Termeni precum „date cu caracter personal”, „prelucrare”, „operator”, „persoană împuternicită”, „subîmputernicit”, „persoană vizată”, „încălcarea securității datelor cu caracter personal” și „autoritate de supraveghere” au înțelesurile care le sunt atribuite în GDPR. Prin „legislația aplicabilă în materie de protecție a datelor” se înțelege GDPR și orice alte legi privind protecția datelor sau confidențialitatea aplicabile prelucrării datelor cu caracter personal în temeiul acordului.

Obiectul, durata, natura și scopul prelucrării

Obiectul prelucrării îl constituie furnizarea Serviciilor. Persoana împuternicită prelucrează date cu caracter personal pe durata acordului și ulterior atât timp cât este necesar pentru a respecta obligațiile sale legale ori astfel cum se prevede în alt mod în prezentul DPA.

Natura și scopul prelucrării îl constituie operarea și furnizarea Serviciilor către Operator, inclusiv găzduirea, stocarea, analiza și operațiunile tehnice necesare pentru a pune Serviciile la dispoziție. Persoana împuternicită prelucrează categoriile de date cu caracter personal și de persoane vizate pe care Operatorul le transmite Serviciilor ori le pune la dispoziție prin intermediul acestora — de regulă, datele de identificare și de contact ale reprezentanților și ale utilizatorilor autorizați ai Operatorului, precum și orice date cu caracter personal conținute în înregistrările pe care Operatorul alege să le prelucreze prin intermediul Serviciilor.

Obligațiile Persoanei împuternicite

Persoana împuternicită se obligă:

• să prelucreze date cu caracter personal numai pe baza instrucțiunilor documentate ale Operatorului, inclusiv în ceea ce privește transferurile de date cu caracter personal către o țară terță, cu excepția cazului în care este obligată să facă acest lucru prin lege — caz în care Persoana împuternicită va informa Operatorul cu privire la acea cerință legală înainte de prelucrare, cu excepția cazului în care legea interzice o astfel de informare din motive importante de interes public;
• să informeze imediat Operatorul dacă, în opinia sa, o instrucțiune încalcă legislația aplicabilă în materie de protecție a datelor;
• să se asigure că persoanele autorizate să prelucreze date cu caracter personal s-au angajat să respecte confidențialitatea ori au o obligație legală corespunzătoare de confidențialitate;
• să implementeze și să mențină măsurile tehnice și organizatorice de securitate descrise în prezentul DPA;
• să respecte condițiile privind recurgerea la subîmputerniciți prevăzute în prezentul DPA;
• să asiste Operatorul, ținând seama de natura prelucrării, în soluționarea cererilor formulate de persoanele vizate care își exercită drepturile;
• să asiste Operatorul în asigurarea respectării obligațiilor sale privind securitatea prelucrării, notificarea încălcărilor, evaluările impactului asupra protecției datelor și consultarea prealabilă, ținând seama de natura prelucrării și de informațiile aflate la dispoziția Persoanei împuternicite;
• la alegerea Operatorului, să șteargă sau să returneze toate datele cu caracter personal după încetarea furnizării Serviciilor și să șteargă copiile existente, cu excepția cazului în care păstrarea este impusă de lege;
• să pună la dispoziția Operatorului informațiile necesare pentru a demonstra respectarea obligațiilor unei persoane împuternicite și să permită și să contribuie la audituri, astfel cum se prevede în prezentul DPA.

Obligațiile Operatorului

Operatorul este responsabil să se asigure că dispune de un temei juridic valabil pentru prelucrarea datelor cu caracter personal prin intermediul Serviciilor, că a furnizat eventualele informări și a obținut eventualele consimțăminte necesare din partea persoanelor vizate și că instrucțiunile sale către Persoana împuternicită respectă legislația aplicabilă în materie de protecție a datelor. Operatorul nu trebuie să transmită prin intermediul Serviciilor date cu caracter personal pe care nu are dreptul să le prelucreze.

Confidențialitate

Persoana împuternicită tratează toate datele cu caracter personal ca fiind confidențiale și se asigură că accesul este limitat la personalul care are nevoie de acestea pentru furnizarea Serviciilor. Acest personal este ținut de obligații scrise de confidențialitate și beneficiază de o instruire corespunzătoare în materie de protecție a datelor și de securitate.

Securitatea prelucrării

Ținând seama de stadiul actual al tehnologiei, de costurile implementării și de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscul pentru drepturile și libertățile persoanelor vizate, Persoana împuternicită implementează măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului, în conformitate cu articolul 32 din GDPR. Aceste măsuri sunt descrise în Prezentarea generală a securității și includ, după caz, criptarea datelor cu caracter personal, capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor de prelucrare, capacitatea de a restabili disponibilitatea și accesul în timp util în urma unui incident, precum și un proces de testare și evaluare periodică a eficacității acestor măsuri.

Subîmputerniciți

Operatorul acordă Persoanei împuternicite o autorizare generală de a recurge la subîmputerniciți pentru a sprijini furnizarea Serviciilor (de exemplu, furnizorii de infrastructură și de stocare în cloud). Persoana împuternicită menține o listă actualizată a subîmputerniciților și informează Operatorul cu privire la orice modificări preconizate privind adăugarea sau înlocuirea subîmputerniciților, oferind Operatorului posibilitatea de a se opune din motive rezonabile legate de protecția datelor.

Persoana împuternicită impune fiecărui subîmputernicit, prin intermediul unui contract, obligații în materie de protecție a datelor care nu sunt mai puțin protective decât cele prevăzute în prezentul DPA și rămâne pe deplin răspunzătoare față de Operator pentru îndeplinirea obligațiilor fiecărui subîmputernicit.

Asistență privind drepturile persoanelor vizate

Ținând seama de natura prelucrării, Persoana împuternicită asistă Operatorul prin măsuri tehnice și organizatorice adecvate, în măsura în care acest lucru este posibil, în îndeplinirea obligației Operatorului de a răspunde cererilor persoanelor vizate care își exercită drepturile de acces, rectificare, ștergere, restricționare, portabilitate și opoziție. Atunci când Persoana împuternicită primește o cerere direct de la o persoană vizată, aceasta va transmite cererea Operatorului, fără întârzieri nejustificate, și nu va răspunde ea însăși la aceasta decât dacă primește instrucțiuni în acest sens de la Operator.

Notificarea încălcării securității datelor cu caracter personal

Persoana împuternicită notifică Operatorul fără întârzieri nejustificate după ce ia cunoștință de o încălcare a securității datelor cu caracter personal care afectează date cu caracter personal prelucrate în numele Operatorului. Notificarea include, în măsura disponibilă, o descriere a naturii încălcării, a consecințelor probabile, a măsurilor luate sau propuse pentru a o remedia, precum și un punct de contact pentru informații suplimentare. Persoana împuternicită asistă Operatorul în îndeplinirea propriilor sale obligații de notificare și de comunicare a încălcării către autoritățile de supraveghere și către persoanele vizate.

Evaluările impactului asupra protecției datelor

Persoana împuternicită oferă Operatorului asistență rezonabilă în legătură cu orice evaluare a impactului asupra protecției datelor și cu orice consultare prealabilă a autorităților de supraveghere pe care Operatorul le consideră în mod rezonabil necesare în temeiul articolelor 35 sau 36 din GDPR, în fiecare caz exclusiv în legătură cu prelucrarea datelor cu caracter personal de către Persoana împuternicită în numele Operatorului și ținând seama de informațiile aflate la dispoziția Persoanei împuternicite.

Transferurile internaționale de date

Persoana împuternicită prelucrează și stochează în principal datele cu caracter personal în interiorul Uniunii Europene / Spațiului Economic European. Persoana împuternicită nu transferă date cu caracter personal către o țară din afara SEE care nu beneficiază de o decizie privind caracterul adecvat decât dacă a pus în aplicare un mecanism de transfer adecvat recunoscut în temeiul GDPR, cum ar fi clauzele contractuale standard ale Comisiei Europene, împreună cu eventualele măsuri suplimentare necesare pentru a asigura un nivel adecvat de protecție.

Audituri și inspecții

Persoana împuternicită pune la dispoziția Operatorului informațiile necesare în mod rezonabil pentru a demonstra respectarea prezentului DPA și permite și contribuie la audituri, inclusiv inspecții, desfășurate de Operator ori de un auditor mandatat de acesta. Auditurile se desfășoară cu o notificare prealabilă rezonabilă, în timpul programului normal de lucru, de cel mult o dată pe an (cu excepția cazului în care acest lucru este impus de o autoritate de supraveghere ori în urma unei încălcări a securității datelor cu caracter personal) și într-un mod care nu perturbă operațiunile Persoanei împuternicite și nu compromite confidențialitatea datelor altor clienți. Persoana împuternicită poate satisface cererile de audit prin furnizarea de rapoarte sau certificări de audit relevante ale terților, atunci când acestea sunt disponibile.

Returnarea și ștergerea datelor

La încetarea sau expirarea Serviciilor, Persoana împuternicită va șterge sau va returna, la alegerea Operatorului, toate datele cu caracter personal prelucrate în numele Operatorului și va șterge copiile existente, cu excepția cazului în care legislația aplicabilă impune păstrarea în continuare. Copiile de rezervă standard ale sistemului sunt șterse în conformitate cu ciclul de păstrare documentat al Persoanei împuternicite.

Răspunderea, durata și legea aplicabilă

Răspunderea fiecărei părți în temeiul prezentului DPA este supusă limitărilor și excluderilor de răspundere prevăzute în acordul dintre părți. Prezentul DPA produce efecte de la data intrării în vigoare a acordului și rămâne în vigoare atât timp cât Persoana împuternicită prelucrează date cu caracter personal în numele Operatorului. Prezentul DPA este reglementat de legislația Republicii Cehe, cu excepția cazului în care acordul dintre părți prevede altfel, și fără a aduce atingere dispozițiilor imperative ale GDPR.

Pentru a solicita un exemplar contrasemnat al prezentului DPA ori pentru a discuta modalități specifice de protecție a datelor, contactați-ne la adresa info@carsdata.com.