Acord de Prelucrare a Datelor
- PĂRȚILE
Prezentul acord privind colectarea, stocarea și utilizarea documentelor și informațiilor (denumit în continuare „Acord de Prelucrare a Datelor”) a fost încheiat de către și între:
WhistleSystem ApS în calitate de “Furnizor”
Nr. de înregistrare fiscală nr. 41576561
Adresă: Roholmsvej 12A, 2620 Albertslund
(„Operator de Date cu Caracter Personal”, „noi”, „al nostru”, „ne” etc.)
și
Organizația care acceptă acest acord.
(„Autoritatea de Control al Datelor”, „dumneavoastră”, „al dumneavoastră” etc.)
- DEFINIȚII
2.1. Termenii și expresiile cu majuscule folosite în Acordul de Prelucrare a Datelor au înțelesul stabilit în Acordul de Licență de Servicii semnat între părți sau în articolul 2. Orice altă expresie cu majusculă care nu este definită în prezentul document are înțelesul stabilit în GDPR.
2.2. „Informații Confidențiale” înseamnă toate schimburile de informații între părți, inclusiv, dar fără a se limita la informații de natură tehnică, comercială, infrastructurală sau de natură similară, indiferent dacă aceste informații au fost documentate sau nu, cu excepția informațiilor care sunt sau vor fi puse la dispoziție în alt mod decât prin încălcarea Acordului de Prelucrare a Datelor și a tuturor Datelor cu Caracter Personal.
2.3. „Client”, „dumneavoastră”, „al dumneavoastră”, etc. înseamnă un utilizator sau abonat al serviciului furnizat Operatorul de Date cu Caracter Personal.
2.4. „Persoana Vizată” înseamnă persoana fizică identificată sau identificabilă la care se referă Datele cu Caracter Personal.
2.5. „GDPR” înseamnă Regulamentul general privind protecția datelor (Regulamentul UE 2016/679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea Datelor cu Caracter Personal și privind libera circulație a acestor date. În Danemarca, GDPR este completat de Legea privind dispozițiile suplimentare la Regulamentul privind protecția persoanelor fizice în ceea ce privește prelucrarea Datelor cu Caracter Personal și privind libera circulație a acestor date (Legea nr. 502 din 23 mai 2018, cu modificările ulterioare) (Legea Privind Protecția Datelor). În cadrul Acordului de Prelucrare a Datelor, o trimitere la GDPR este, de asemenea, o trimitere la Legea privind protecția datelor.
2.6. „Părțile” înseamnă Clientul și Operatorul de date cu Caracter Personal, împreună și fiecare dintre ele este o „parte”.
2.7. „Date cu Caracter Personal” înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă („persoană vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un identificator, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online sau la unul sau mai multe elemente specifice identității fizice, fiziologice, genetice, mentale, economice, culturale sau sociale a persoanei fizice respective. Categoriile de Date cu Caracter Personal prelucrate de către Operatorul de Date cu Caracter Personal în temeiul Acordului de Prelucrare a Datelor sunt prevăzute în Anexa 1 la Acordul de Prelucrare a Datelor.
2.8. „Subcontractanții Pre-Aprobați” sunt subcontractanții noștri menționați în Anexa 2 a Acordului de Prelucrare a Datelor, care a fost aprobat de către Client.
2.9. „Servicii” înseamnă toate serviciile pe care vi le prestăm, inclusiv, dar fără a se limita la, furnizarea licenței de utilizare a Software-ului și a altor instrumente IT sau programe software dezvoltate de operatorul de date, hosting-ul datelor, servicii de asistență etc.
2.10. „Software” înseamnă WhistleSystem ca serviciu, așa cum este definit în Contractul de Licență de Servicii, inclusiv orice anexă la acesta.
2.11. „Terț” înseamnă o persoană fizică sau juridică, o autoritate publică, o agenție sau un organ, alta decât Persoana Vizată, Operatorul de Date cu Caracter Personal, Clientul și persoanele care, sub autoritatea directă a Operatorului de Date cu Caracter Personal sau a Clientului, sunt autorizate să prelucreze Datele cu Caracter Personal.
- SCOP
3.1. Acordul de Prelucrare a Datelor se referă la obligațiile părților în ceea ce privește prelucrarea de către noi a Datelor cu Caracter Personal pentru Client în legătură cu utilizarea de către Client a Serviciilor noastre.
3.2. În conformitate cu Acordul de Prelucrare a Datelor, Clientul decide în ce scop și prin utilizarea căror instrumente pot fi prelucrate Datele cu Caracter Personal.
3.3. Acordul de Prelucrare a Datelor se aplică tuturor Serviciilor actuale și viitoare ale Operatorului de Date către toate companiile din cadrul grupului de companii a Clientului, pentru care prelucrăm Date Personale.
3.4. Categoriile de Date cu Caracter Personal prelucrate de noi în temeiul Acordului de Prelucrare a Datelor sunt stabilite în Anexa 1 din Acordul de Prelucrare a Datelor.
- ORDINEA DE PRECEDENȚĂ
4.1. Acordul de Prelucrare a Datelor semnat în legătură cu Acordul de Licență de Servicii prevalează în cazul în care există neconcordanțe între Acordul de Prelucrare a Datelor și Acordul de Licență de Servicii.
- AUTORIZAREA DE PRELUCRARE A DATELOR CU CARACTER PERSONAL
5.1. Prelucrăm Datele cu Caracter Personal în conformitate cu GDPR, inclusiv cu legislația daneză aplicabilă emisă în conformitate cu GDPR sau ca o completare a acesteia.
5.2. Prin încheierea Acordului de Prelucrare a Datelor, suntem instruiți de dumneavoastră să prelucrăm Datele cu Caracter Personal în scopul de a vă furniza Servicii.
5.3. Nu avem dreptul de a utiliza Datele cu Caracter Personal furnizate de dumneavoastră, în alte scopuri decât îndeplinirea Acordului de Prelucrare a Datelor. Cu toate acestea, avem dreptul de a utiliza date anonime (care nu mai pot fi clasificate ca „Date cu Caracter Personal”) în scopuri istorice, statistice, științifice sau similare.
- STOCAREA DATELOR CU CARACTER PERSONAL ȘI TRANSFERUL DE DATE CU CARACTER PERSONAL CĂTRE ȚĂRI TERȚE
6.1. Ca regulă generală, operațiunile Operatorului de Date se desfășoară în UE/Spațiul Economic European. Cu toate acestea, subcontractanții noștri pot fi localizați sau pot prelucra Date cu Caracter Personal în afara UE/SEE, inclusiv, de exemplu, în SUA. Clientul și-a dat consimțământul pentru utilizarea de către Operatorul de date a Subcontractanților Pre-Aprobați în calitate de subcontractanți enumerați în Anexa 2 din Acordul de Prelucrare a Datelor.
6.2. Înainte de a transfera Date cu Caracter Personal către o țară terță sau o organizație internațională din afara UE/SEE, Operatorul de Date trebuie să evalueze dacă un astfel de transfer de date cu Caracter Personal asigură un nivel adecvat de protecție a Datelor cu Caracter Personal și să se asigure că transferul este în conformitate cu normele privind transferurile de Date cu Caracter Personal către țări terțe sau organizații internaționale în conformitate cu GDPR.
6.3. Ne vom asigura că orice acord de sub-procesare între Operatorul de Date și Subcontractanții Pre-Aprobați din afara UE sau SEE au un nivel adecvat de protecție a Datelor cu Caracter Personal și, dacă este necesar, sunt încheiate în conformitate cu Decizia Comisiei Europene 2010/87/UE privind modelul standard de contract pentru transferul de Date cu Caracter Personal către țări din afara UE sau SEE, în plus față de orice permisiune din partea autorităților de protecție a datelor, dacă este necesar din punct de vedere legal.
- CONFIDENȚIALITATE
7.1. Părțile acceptă, atât pe durata Acordului de Prelucrare a Datelor, cât și ulterior, să nu divulge nicio informație confidențială unei terțe părți. Această obligație de nedivulgare nu se aplică informațiilor pe care (a) o Parte este obligată să le divulge în temeiul legislației, reglementărilor sau normelor bursiere aplicabile (b) informațiile furnizate Clientului, în cazul în care aceste informații provin de la sau vizează un astfel de Client sau (c) informațiile pe care un document al unei Părți a fost creat chiar de către aceasta.
7.2. Părțile se asigură că angajații și consultanții care primesc informații confidențiale sunt obligați să accepte o obligație similară în ceea ce privește informațiile confidențiale ale celeilalte părți și cooperarea în general, în conformitate cu Acordul de Prelucrare a Datelor.
7.3. Ne vom asigura că toate persoanele angajate de noi și au acces la Datele cu Caracter Personal sunt familiarizate cu Acordul de Prelucrare a Datelor și se supun prevederilor acestuia.
- MĂSURI TEHNICE ȘI ORGANIZATORICE ADECVATE
8.1. Luând în considerare riscurile legate de prelucrarea Datelor cu Caracter Personal pentru Client, Operatorul de Date trebuie să implementeze măsuri tehnice și organizatorice adecvate și rezonabile pentru a asigura un nivel de securitate care să corespundă riscurilor pe care le implică prelucrarea Datelor noastre cu Caracter Personal în temeiul Acordului de Prelucrare a Datelor, inclusiv asigurarea în mod rezonabil a) pseudonimizării și criptării Datelor cu Caracter Personal; b) confidențialității, integrității, disponibilității și robusteții continue a sistemelor și Serviciilor de prelucrare pentru care este responsabil Operatorul de Date; c) recuperarea în timp util a disponibilității și a accesului la Datele cu Caracter Personal în cazul unui incident fizic sau tehnic; d) o procedură pentru testarea, evaluarea și aprecierea periodică a eficacității măsurilor tehnice și organizatorice pentru a asigura securitatea prelucrării; e) faptul că Datele cu Caracter Personal nu sunt distruse, pierdute sau deteriorate în mod accidental sau ilegal și împotriva oricărei divulgări neautorizate, abuzuri sau în orice alt mod sunt prelucrate cu încălcarea oricărei legi aplicabile privind Datele cu Caracter Personal.
8.2. Clientul determină nivelul adecvat de măsuri tehnice și organizatorice. Cu toate acestea, Operatorul de Date cu Caracter Personal, la cererea prealabilă scrisă a Clientului și într-un termen rezonabil de la o astfel de cerere, furnizează Clientului informații suficiente pentru a documenta faptul că au fost luate măsurile tehnice și organizatorice de securitate menționate mai sus.
- DREPTURILE PERSOANELOR VIZATE
9.1. La cererea și pe cheltuiala Clientului și fără întârzieri nejustificate, Operatorul de Date va furniza Clientului toată asistența și informațiile rezonabile legate de solicitările Persoanelor Vizate cu privire la prelucrarea de către Operatorul de date a Datelor cu Caracter Personal pentru Client, inclusiv solicitările legate de exercitarea drepturilor Persoanelor Vizate în conformitate cu GDPR.
9.2. Onorariile Operatorului de Date pentru asistența acordată Clientului sunt reglementate în articolul 14.3.
- BREȘĂ DE SECURITATE A DATELOR
10.1. În cazul unei Breșe de Securitate a Datelor pentru care este responsabil Operatorul de Date (sau orice Subcontractant Pre-Aprobat), Operatorul De date va informa Clientul fără întârziere nejustificată și va oferi asistență în ceea ce este necesar pentru a opri breșa și a minimiza efectele acesteia.
- UTILIZAREA SUBCONTRACTANȚILOR
11.1. Operatorul de Date nu poate utiliza subcontractanți fără aprobarea prealabilă scrisă a Clientului.
11.2. Clientul și-a exprimat consimțământul pentru utilizarea de către operatorul de date a Subcontractanților Pre-Aprobați ca subcontractanți listați în anexa 2 din Acordul de Prelucrare a Datelor.
11.3. Operatorul de Prelucrare a Datelor trebuie să informeze Clientul cu privire la orice plan de adăugare sau de înlocuire a Subcontractanților Pre-Aprobați. Niciun subcontractant prelucrător de date nu poate fi adăugat pe lista Subcontractanților Pre-Aprobați fără o aprobare prealabilă scrisă a Clientului.
11.4. În cazul în care utilizăm un subcontractant pentru a efectua activități specifice de prelucrare în numele Clientului, aceleași obligații de protecție a datelor descrise în Acordul de Prelucrare a Datelor vor fi impuse subcontractantului printr-un acord scris.
11.5. Atunci când folosim un subcontractant pentru a vă furniza Serviciile în temeiul Acordului de Prelucrare a Datelor, rămânem răspunzători pentru acțiunile sau omisiunile de a acționa/nerespectarea contractului de către subcontractant în aceleași condiții ca și pentru propriile noastre Servicii.
11.6. Toate comunicările dintre Client și subcontractant vor fi transmise prin intermediul Operatorului de Date.
- ACCESUL CLIENTULUI LA DATELE CU CARACTER PERSONAL
12.1. Pe durata Acordului de Prelucrare a Datelor, Clientul are acces deplin la toate Datele cu Caracter Personal prelucrate de către Operatorul de Date pentru Client. Clientul va avea acces la Datele cu Caracter Personal prelucrate de către operatorul de date exclusiv pentru propria persoană.
12.2. Dacă este cazul și dacă Clientul solicită acest lucru, Operatorul de Date cu Caracter Personal este obligat să păstreze o copie de rezervă a Datelor cu Caracter Personal și a informațiilor suplimentare disponibile în sistemele Operatorului de Date cu Caracter Personal timp de până la treizeci (30) de zile după expirarea sau rezilierea Acordului de Prelucrare a Datelor. Cu condiția ca o astfel de cerere să fi fost făcută, Clientul poate, până la expirarea acestei perioade de 30 de zile și indiferent de motivul expirării Acordului de Prelucrare a Datelor, să solicite accesul la orice Date cu Caracter Personal și informații suplimentare înregistrate în această copie de rezervă.
12.3. Operatorul de date poate dezvălui datele și informațiile personale doar Clientului și/sau unei terțe părți desemnate de Client.
- COOPERAREA CU AUTORITATEA DE SUPRAVEGHERE
13.1. Operatorul de Date trebuie să ofere întotdeauna autorităților de supraveghere și Clientului accesul necesar la Datele cu Caracter Personal care sunt prelucrate și la sistemele utilizate, precum și o perspectivă asupra acestora.
13.2. Clientul și Operatorul de Date cu Caracter Personal și, dacă este cazul, reprezentanții acestora, trebuie să coopereze, la cerere, cu autoritatea de supraveghere în îndeplinirea sarcinilor acesteia.
- ASISTENȚĂ, COSTURI ȘI TARIFE
14.1. Pentru toată asistența necesară și/sau pentru a-și exercita dreptul la audit, Operatorul de Date notifică Furnizorul, în scris, cu cel puțin zece (10) zile calendaristice înainte, specificând auditul sau asistența necesară, scopul acesteia și durata preconizată a asistenței sau a auditului menționat. Orice cheltuieli pe care Furnizorul le-ar putea suporta atunci când i se solicită să ajute Clientul să își exercite drepturile în calitate de Operator de Date, inclusiv, dar fără a se limita la dreptul de a efectua un audit, de a revizui, de a inspecta și/sau de a asista Clientul în vederea respectării obligațiilor sale în calitate de Operator de date, vor fi suportate de către Client.
14.2. Cu excepțiile prevăzute la articolul 14.1-14.3, costurile legate de obligațiile Operatorului de Date în temeiul Acordului de Prelucrare a Datelor sunt incluse în taxele plătite de Client către Furnizor pentru utilizarea Serviciilor de către Client.
14.3. Fără a contraveni clauzei 14.1, avem dreptul de a percepe o taxă pentru asistența pe care v-o acordăm în legătură cu revizuirea, inspecția sau auditul nostru în calitate de Operator de Date. Onorariul va fi perceput în funcție de timpul necesar, cu un tarif orar de 150 de euro. Suma este supusă unei indexări anuale în conformitate cu „Indicele prețurilor de producție pentru servicii” publicat de Statistics Denmark.
14.4. În plus față de onorariul menționat la articolul 14.3 de mai sus, avem dreptul la un onorariu separat pentru următoarele Servicii:
14.4.1. Asistență acordată Clientului cu privire la răspunsul la solicitările din partea Persoanelor Vizate.
14.4.2. Sprijin acordat Clientului în legătură cu Analiza Impactului asupra Confidențialității;
14.4.3. Implementarea unor măsuri speciale de securitate tehnică sau organizațională la cererea Clientului (cu condiția și numai în măsura în care Operatorul de date poate implementa măsurile de securitate tehnică sau organizațională în cauză).
14.5. Taxele menționate mai sus vor fi percepute în conformitate cu articolul 14.3.
- RESPONSABILITATE
15.1. Sub rezerva termenilor Acordului semnat între Părți, răspunderea Părților în legătură cu prelucrarea Datelor cu Caracter Personal în conformitate cu Acordul de Prelucrare a Datelor este reglementată în conformitate cu GDPR.
15.2. În nicio circumstanță pretențiile de răspundere și despăgubire nu vor depăși de cinci ori (5x) taxa de abonament anuală convenită în Acordul semnat de Părți.
15.3. Nu suntem răspunzători pentru nicio amendă pe care o primiți pentru încălcări ale GDPR, fie că este vorba de o hotărâre, o decizie sau o măsură similară a unei instanțe, a unei agenții guvernamentale sau a unei autorități de supraveghere.
- GARANȚIE:
16.1. Prin încheierea Contractului de Prelucrare a Datelor, Clientul garantează că putem prelucra în mod legal Datele cu Caracter Personal pentru furnizarea de Servicii. Clientul este de acord să ne despăgubească de orice cerere de daune, compensații sau alte plăți, pe care suntem obligați să le plătim, fie prin hotărâre, judecată sau măsură similară de către orice instanță competentă, agenție guvernamentală sau autoritate de supraveghere, ca urmare a încălcării de către Client a obligațiilor sale în conformitate cu această clauză.
- DATA INTRĂRII ÎN VIGOARE ȘI REZILIEREA
17.1. Acordul de Prelucrare a Datelor se încheie prin semnătura părților și intră în vigoare la data semnării.
17.2. Prin abonarea la Serviciile noastre și, prin urmare, prin încheierea Acordului de Prelucrare a Datelor, confirmați că sunteți autorizat să acționați legal în numele Clientului și vă angajați la termenii Acordului de Prelucrare a Datelor.
17.3. Acordul de Prelucrare a Datelor expiră la data încetării efective a utilizării de către Client a Serviciilor Operatorului de Date. Cu toate acestea, termenii Acordului de Prelucrare a Datelor se aplică atâta timp cât procesatorul de date prelucrează Date cu Caracter Personal în numele Clientului.
17.4. După încetarea efectivă a Acordului de Prelucrare a Datelor, vom șterge sau vom returna Datele cu Caracter Personal pe care le deținem pentru dumneavoastră în temeiul Acordului de Prelucrare a Datelor în termen de 12 luni. Dacă doriți să vi se returneze Datele Caracter Personal, trebuie să ne transmiteți cererea dumneavoastră de returnare a Datelor cu Caracter Personal fără întârzieri nejustificate și nu mai târziu de treizeci (30) de zile de la încetarea efectivă a Contractului de prelucrare a datelor.
- MODIFICĂRI ALE LEGISLAȚIEI APLICABILE ÎN MATERIE DE PROTECȚIE A DATELOR
18.1. Dacă o modificare a legislației obligatorii aplicabile privind protecția datelor aplicabile Clientului sau Operatorului de Date cu Caracter Personal necesită ca Operatorul de Date cu Caracter Personal să (i) semneze orice documentație suplimentară în scopul respectării obligatorii a protecției datelor sau (ii) să implementeze măsuri tehnice și organizatorice suplimentare față de cele enumerate în prezentul document sau (iii) să accepte obligații suplimentare față de cele prevăzute în prezentul document, iar o astfel de cerință menționată la punctele (i) – (iii) determină costuri sau riscuri suplimentare pentru Operatorul de Date cu Caracter Personal, părțile convin să negocieze cu bună credință o ajustare echitabilă a oricăror taxe aplicabile. În cazul în care părțile nu pot conveni asupra unei ajustări echitabile a oricăror taxe aplicabile, procesatorul de date are dreptul de a rezilia Serviciile cu un preaviz scris de treizeci (30) de zile.
18.2. Articolul 18.1 se aplică în mod corespunzător, în cazul în care (i) Clientul instruiește Operatorul de date să efectueze Servicii care nu sunt prevăzute în Acordul de Prelucrare a Datelor sau (ii) în cazul în care legislația obligatorie privind protecția datelor aplicabilă Clientului sau Operatorului de Date sau autorității de supraveghere relevante impune obligații suplimentare față de cele prevăzute în prezentul document.
- LEGEA APLICABILĂ ȘI COMPETENȚA JURIDICĂ
19.1. Acordul de Prelucrare a Datelor este guvernat de legislația daneză, cu sediul juridic la Tribunalul din Copenhaga, cu posibilitatea de sesizare și de apel în conformitate cu Legea Daneză privind Administrarea Justiției. Convenția Națiunilor Unite privind contractele de vânzare internațională de mărfuri (CISG) nu se aplică Acordului de Prelucrare a Datelor.
Anexa 1 – Categorii de date cu Caracter Personal
Categorii de date cu Caracter Personal
- Operatorul de date va prelucra în numele Clientului următoarele categorii de Date cu Caracter Personal:
Date cu Caracter Personal al pentru administrarea și executarea acordului semnat de către părți:
- Informații de contact, inclusiv numele, numele de utilizator, adresa, numărul de telefon, adresa de e-mail și funcția profesională
- Date cu Caracter Personal în scopul facturării
- Date cu Caracter Personal raportate în sistem de către Client
- Categorii speciale de date cu Caracter Personal
Operatorul de date nu prelucrează categorii speciale de Date cu ca Caracter Personal în numele clientului, cu excepția cazului în care acest lucru este raportat în sistem de către Client.
Anexa 2 – Subcontractanți Pre-Aprobați
AWS | Furnizor de gazduire | EEA/EU | |
iSphere ApS | Dezvoltare de software | EEA/EU | |
Microsoft | Depozitarea contractelor și documentelor | EEA/EU | |
HubSpot | CMS | EEA/EU |