Acord de Prelucrare a Datelor (DPA)

1.1. Operatorul de date

Stația ITP, persoana juridică sau persoana autorizată care creează contul și utilizează platforma SITP pentru activitatea proprie și pentru care se furnizează serviciile, identificată prin datele furnizate la înregistrare („Operatorul” sau „Clientul”).

1.2. Persoana împuternicită de operator

CORDOȘ NATHAN PERSOANĂ FIZICĂ AUTORIZATĂ
CUI: 54302920
Adresă profesională: Municipiul Arad, P-ța Gării, Nr. 2, Bloc B1, Apartament 7, Județ Arad
Email de contact: contact@sitp.ro
(„Procesatorul” sau „SITP”)

2.1. Obiect

Procesatorul furnizează Operatorului acces la platforma software SITP și procesează date cu caracter personal exclusiv în măsura necesară pentru furnizarea, securizarea, mentenanța și suportul serviciilor contractate.

2.2. Natura și scopul prelucrării

Prelucrarea poate include, după caz: colectare, înregistrare, organizare, stocare, consultare, utilizare, transmitere, corectare, restricționare, export, ștergere și alte operațiuni strict necesare pentru:

• administrarea contului Clientului;
• gestionarea bazei de date a stației ITP;
• gestionarea programărilor, inspecțiilor și documentației aferente;
• stocarea fotografiilor și fișierelor încărcate de Client;
• transmiterea de notificări SMS ori email la instrucțiunea Clientului;
• generarea de rapoarte, exporturi și funcționalități de suport și securitate.

2.3. Durata

Prelucrarea are loc pe durata existenței raportului contractual dintre părți și, după încetarea acestuia, pentru perioada necesară:

• exportului sau recuperării datelor la solicitarea Clientului;
• ștergerii ori returnării datelor conform prezentului DPA;
• respectării obligațiilor legale aplicabile Procesatorului;
• păstrării copiilor de siguranță pe ciclul standard de rotație și suprascriere.

3.1. Categorii de persoane vizate

În funcție de modul în care Clientul folosește platforma, datele pot privi:

• reprezentanți, administratori și utilizatori autorizați ai Clientului;
• inspectori tehnici și alți membri ai personalului Clientului;
• clienți ai stației ITP, proprietari sau utilizatori de vehicule;
• alte persoane ale căror date sunt introduse de Client în platformă.

3.2. Categorii de date

În funcție de utilizarea serviciului, pot fi prelucrate:

• date de identificare și contact;
• date de cont și autentificare;
• date despre vehicule și inspecții;
• fotografii, fișiere și atașamente încărcate;
• date privind programări, rezultate, istorice și observații;
• date legate de notificări și comunicări;
• date tehnice, jurnalizare de securitate și metadate asociate utilizării serviciului.

Clientul nu va încărca în platformă categorii speciale de date cu caracter personal, date privind condamnări penale sau alte date excesive pentru scopurile serviciului, cu excepția cazului în care are un temei legal clar și a informat în mod adecvat persoanele vizate, iar serviciul este configurat pentru astfel de date.

4.1.

Procesatorul prelucrează datele cu caracter personal numai pe baza instrucțiunilor documentate ale Operatorului, inclusiv în ceea ce privește eventualele transferuri către o țară terță sau către o organizație internațională, cu excepția cazului în care prelucrarea este impusă de dreptul Uniunii Europene sau de dreptul român aplicabil Procesatorului.

4.2.

Instrucțiunile documentate ale Operatorului sunt considerate, după caz:

• funcționalitățile standard activate sau folosite în platformă;
• setările configurate de Client în contul său;
• solicitările scrise trimise prin email ori prin canalele de suport;
• prevederile contractuale aplicabile dintre părți.

4.3.

Procesatorul poate refuza executarea unei instrucțiuni dacă:

• aceasta este vădit contrară legii;
• ar compromite securitatea, disponibilitatea sau integritatea serviciului;
• ar afecta datele ori drepturile altor clienți;
• depășește funcționalitatea ori obiectul normal al serviciului.

În măsura în care este permis de lege, Procesatorul va informa Operatorul dacă apreciază că o instrucțiune încalcă legislația aplicabilă în materie de protecția datelor.

Procesatorul:

1. va prelucra datele numai în condițiile prezentului DPA;
2. va asigura că persoanele autorizate să prelucreze datele sunt ținute de obligații legale ori contractuale de confidențialitate;
3. va implementa măsuri tehnice și organizatorice adecvate, proporționale cu natura serviciului și cu riscurile în mod rezonabil previzibile;
4. va asista Operatorul, ținând seama de natura prelucrării și de informațiile aflate la dispoziția Procesatorului, în măsura cerută de lege și în limite rezonabile, pentru îndeplinirea obligațiilor Operatorului privind:
   • securitatea prelucrării;
   • notificarea încălcărilor de securitate;
   • evaluările de impact și eventualele consultări prealabile;
   • exercitarea drepturilor persoanelor vizate;
5. la încetarea serviciului, va șterge sau va pune la dispoziție datele Operatorului, conform secțiunii 11;
6. va pune la dispoziția Operatorului informațiile cerute de lege pentru a demonstra respectarea obligațiilor aplicabile Procesatorului potrivit art. 28 GDPR, în condițiile secțiunii 10.

Operatorul este singurul responsabil pentru:

• stabilirea temeiului juridic și a scopurilor prelucrării;
• legalitatea colectării și introducerii datelor în platformă;
• corectitudinea, relevanța și minimizarea datelor;
• informarea persoanelor vizate și gestionarea cererilor acestora;
• legalitatea conținutului transmis prin SMS, email sau alte canale activate la instrucțiunea sa;
• existența consimțământului sau a altui temei legal valabil pentru comunicările comerciale ori alte comunicări reglementate;
• respectarea obligațiilor sectoriale aplicabile activității stației ITP, inclusiv obligațiile față de RAR, autorități fiscale, autorități de supraveghere sau alți terți.

Operatorul declară și garantează că are dreptul de a transmite Procesatorului datele personale și instrucțiunile corespunzătoare pentru prelucrarea acestora.

7.1.

Procesatorul menține măsuri tehnice și organizatorice adecvate pentru protejarea datelor împotriva distrugerii, pierderii, modificării, divulgării neautorizate sau accesului neautorizat.

7.2.

Măsurile pot include, după caz și în funcție de arhitectura serviciului:

• control al accesului și segregarea logică a conturilor;
• autentificare și gestionarea rolurilor;
• criptare în tranzit și protecții de securitate ale infrastructurii utilizate;
• jurnalizare, monitorizare și măsuri anti-abuz;
• copii de siguranță și proceduri de recuperare rezonabile;
• politici interne de acces și confidențialitate.

7.3.

Procesatorul poate modifica în mod rezonabil măsurile de securitate în timp, cu condiția să nu reducă în mod material nivelul general de protecție aferent serviciului.

8.1. Autorizație generală

Operatorul autorizează în mod general Procesatorul să folosească subprocesatori pentru furnizarea serviciului.

8.2. Lista curentă

Lista actuală a subprocesorilor și furnizorilor relevanți este publicată la pagina „Subprocesori”, astfel cum este actualizată periodic de Procesator, și face parte din documentația contractuală a serviciului.

8.3. Adăugarea sau înlocuirea subprocesorilor

Procesatorul poate adăuga, elimina sau înlocui subprocesori în măsura rezonabil necesară pentru operarea serviciului. În cazul unei modificări semnificative privind subprocesorii care afectează prelucrarea datelor Clientului, Procesatorul va publica sau transmite o notificare prealabilă rezonabilă.

8.4. Obiecții

Operatorul poate formula obiecții motivate exclusiv pe motive serioase și documentate privind protecția datelor, într-un termen rezonabil de la notificare. Dacă părțile nu identifică o soluție comercială sau tehnică rezonabilă, oricare parte poate înceta serviciul pentru viitor, fără alte despăgubiri.

8.5.

Procesatorul va impune subprocesorilor obligații de protecție a datelor substanțial similare celor prevăzute în prezentul DPA, în măsura în care acestea sunt relevante pentru serviciul prestat de fiecare subprocesor.

9.1.

În cazul în care Procesatorul ia cunoștință de o încălcare a securității datelor cu caracter personal care afectează datele prelucrate în numele Operatorului, Procesatorul va notifica Operatorul fără întârzieri nejustificate.

9.2.

Notificarea inițială poate fi sumară și completată ulterior pe măsură ce informațiile devin disponibile în mod rezonabil.

9.3.

Procesatorul nu are obligația de a evalua în numele Operatorului dacă incidentul trebuie notificat unei autorități ori persoanelor vizate, însă va furniza informațiile aflate în mod rezonabil la dispoziția sa pentru ca Operatorul să poată face propria evaluare.

10.1.

În măsura cerută de art. 28 GDPR, Procesatorul va pune la dispoziția Operatorului informațiile necesare pentru a demonstra conformitatea sa cu obligațiile relevante ale Procesatorului.

10.2.

Dreptul de audit sau inspecție al Operatorului se exercită gradual și proporțional, după următoarea ordine:

1. analizarea informațiilor și documentației standard furnizate de Procesator;
2. transmiterea unui chestionar scris rezonabil;
3. audit documentar la distanță;
4. numai dacă etapele anterioare sunt insuficiente și există un motiv rezonabil, audit printr-un auditor independent.

10.3.

Orice audit:

• se efectuează în timpul programului normal de lucru;
• nu poate avea loc mai des de o dată pe 12 luni, cu excepția cazului în care legea impune altfel ori a avut loc un incident material de securitate care afectează în mod direct Operatorul;
• nu poate include acces direct la cod sursă, secrete comerciale, datele altor clienți, teste de intruziune, scanări de vulnerabilități ori alte activități disruptive;
• se desfășoară cu respectarea obligațiilor stricte de confidențialitate;
• se realizează pe cheltuiala Operatorului, cu excepția cazului în care un audit doveștește o încălcare materială a prezentului DPA imputabilă Procesatorului.

10.4.

Procesatorul poate opune măsuri rezonabile pentru protejarea securității serviciului, a confidențialității comerciale și a drepturilor altor clienți.

11.1.

Pe durata raportului contractual și pentru o perioadă rezonabilă după încetarea acestuia, Operatorul poate utiliza funcționalitățile standard de export disponibile în platformă, dacă acestea sunt oferite pentru tipul de date relevant.

11.2.

La încetarea serviciului, Procesatorul va șterge sau va face disponibile datele personale într-o manieră rezonabilă comercial și tehnic, cu excepția cazului în care legea aplicabilă impune păstrarea anumitor date.

11.3.

Datele eliminate din mediile active pot rămâne temporar în copii de siguranță criptate sau arhive tehnice izolate până la expirarea ciclului standard de retenție și suprascriere, fără a mai fi folosite pentru prelucrare activă, cu excepția cazului în care este necesar pentru securitate, recuperare în caz de dezastru sau respectarea legii.

În măsura în care furnizarea serviciului implică transferuri de date cu caracter personal în afara SEE, Procesatorul va utiliza, după caz, un mecanism de transfer recunoscut de legislația aplicabilă, cum ar fi:

• o decizie de adecvare;
• clauze contractuale standard;
• alt mecanism permis de lege.

13.1.

Răspunderea fiecărei părți rezultată din prezentul DPA se supune limitărilor și excluderilor de răspundere prevăzute în Termenii și Condițiile SITP, în măsura permisă de lege.

13.2.

Procesatorul nu este responsabil pentru:

• legalitatea instrucțiunilor primite de la Operator;
• temeiul juridic invocat de Operator;
• conținutul datelor încărcate de Operator;
• exactitatea ori actualitatea datelor introduse de Operator;
• comunicările sau documentele generate ori transmise la instrucțiunea Operatorului;
• respectarea obligațiilor legale ale Operatorului față de persoanele vizate, autorități sau terți.

În cazul unui conflict între prezentul DPA și alți termeni contractuali dintre părți privind prelucrarea datelor personale, prezentul DPA prevalează numai în privința subiectului protecției datelor. În toate celelalte privințe, se aplică Termenii și Condițiile SITP.

Prezentul DPA se interpretează și se aplică în conformitate cu legislația română și cu Regulamentul (UE) 2016/679. Orice litigiu se soluționează de instanțele competente din Arad, România, dacă legea nu impune altfel.

Pentru întrebări privind protecția datelor sau prezentul DPA:

contact@sitp.ro