Prezența politică de prelucrare a datelor personale în calitate de persoană împuternicită reprezintă un contract între Operator (Client) și Împuternicit (DOTRO TELECOM SRL) și prevede reguli specifice în ceea ce privește prelucrarea datelor cu caracter personal trimise de către Beneficiar, în calitate de Operator, către Împuternicit, în conformitate cu Regulamentul (UE) 2016/679 (GDPR) privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date.

Definiții

În cuprinsul acestei politici, termenii folosiți vor fi interpretați în conformitate cu GDPR, iar acolo unde este cazul, termenii folosiți vor avea definițiile stipulate în acesta.

1.Obiectul prelucrării

1.1. Obiectul prelucrării datelor personale îl reprezintă prelucrarea de către Împuternicit a datelor personale introduse de către Operator în platforma SmartCRM în scopul furnizării serviciilor stipulate în contractul și comanda de servicii.

2.Date colectate

2.1. Împuternicitul va prelucra datele personale introduse de Operator, cum ar fi: nume, prenume, date de identificare, email, telefon, adresă completă, date CI (Serie, număr, CNP, dacă este cazul), cont bancar și alte detalii pe care Operatorul le introduce în sistem.

3.Categorii de persoane vizate

3.1. Persoanele vizate pot fi clienții persoane fizice, angajații clienților, angajații furnizorilor și/sau angajații Operatorului.

4.Instrucțiuni specifice

- Să trimită mesaje de email în numele Operatorului, în funcție de preferințele pentru care acesta optează în platforma SmartCRM (trimitere facturi, oferte, feedback etc).

- Să colecteze și să prelucreze datele cu caracter personal primite de la Operator în mod direct în scopul prevăzut în această politică.

5.Durata prelucrării

5.1. Durata prelucrării datelor cu caracter personal este identică cu durata contractului plus numărul de zile în care datele mai sunt menținute în sistemul Împuternicitului după expirarea abonamentului, pentru a da posibilitatea Operatorului de a le salva. Numărul de zile de la încheierea contractului diferă în funcție de pachetul de servicii pentru care acesta a optat, dar nu mai mult de 30 de zile.

6.Natura și scopul prelucrării

6.1. Natura și scopul prelucrării sunt cele stabilite de către Operator conform contractului de servicii încheiat cu Împuternicitul și anume furnizarea serviciilor și a platformei SmartCRM, în funcție de pachetul ales.

7.Sub-împuterniciți

7.1. Pentru sub-împuterniciții actuali sau viitori, Împuternicitul primește autorizare generală din partea Operatorului de a subcontracta orice alt prestator din UE, EEA sau altă țară cu nivel adecvat de protecție recunoscut prin Decizia Comisiei Europene sau cu care s-au semnat Clauze Contractuale Standard, care este necesar pentru anumite părți ale procesării datelor conform prezentei politici care oferă un nivel de securitate adecvat.

8.Drepturile și obligațiile Operatorului

8.1. Operatorul are următoarele drepturi:

- Să primească informații de la Împuternicit sau să verifice prin auditor mandatat dacă Împuternicitul are și pune în aplicare măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute de GDPR. Verificarea va avea loc pe baza unei notificări prealabile, transmisă cu cel puțin 30 de zile înainte de efectuarea verificării.

- Să primească asistență din partea Împuternicitului pentru îndeplinirea obligației sale de a răspunde cererilor persoanelor vizate cu privire la exercitarea drepturilor lor prevăzute în GDPR.

8.2. Operatorul are următoarele obligații:

- Să respecte obligațiile GDPR în calitate de Operator.

- Să informeze persoanele vizate conform GDPR, inclusiv în ceea ce privește informarea cu privire la prelucrarea datelor de către Împuternicit pe baza prezentei politici.

- Să implementeze măsuri tehnice și organizatorice adecvate GDPR.

8.3. În toate situațiile în care Operatorul este cel care trebuie să execute o obligație, cum este, spre exemplu, informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal, Împuternicitul nu poate fi ținut de inacțiunile Operatorului.

9.Drepturile și obligațiile Împuternicitului

9.1. Împuternicitul are următoarele drepturi:

- Să dezvăluie anumite date cu caracter personal în virtutea unei obligații legale sau a unei alte condiții prevăzute de legislație, la solicitarea unei autorități, instituții publice sau instanțe judecătorești.

- De a avea sub-împuterniciți.

- De acoperire a costurilor generate de asigurarea asistenței Operatorului, de către Operator, în situațiile prevăzute de GDPR, dacă acestea depășesc costul lunar al serviciilor prestate de către Împuternicit.

9.2. Împuternicitul are următoarele obligații:

- Să informeze Operatorul în termen de 10 zile, în cazul în care, în opinia Împuternicitului, o instrucțiune încalcă GDPR și/sau altă dispoziție legală privind prelucrarea datelor cu caracter personal.

- Să asigure securitatea datelor cu caracter personal prelucrate în numele Operatorului în conformitate cu GDPR.

- Să informeze Operatorul fără întârzieri nejustificate despre o încălcare a securității datelor cu caracter personal ale Operatorului pe parcursul prelucrării realizate de Împuternicit.

- De a asista Operatorul cu toate informațiile necesare în vederea notificării, dacă este cazul, către Autoritatea competentă pentru încălcarea securității datelor, dar fără a substitui Operatorul în obligația sa de notificare.

- De a asista Operatorul pentru soluționarea cererilor persoanelor vizate sau de a transmite Operatorului orice cerere primită de la persoanele vizate, în legătură cu datele personale care au fost colectate și prelucrate de Împuternicit, în termen de maxim 5 zile calendaristice de la primirea acesteia. Această asistență nu se aplică în situația în care Operatorul are deja în instrumentele tehnice furnizate de către Împuternicit posibilitatea de a soluționa direct cererea persoanei vizate.

- Să asigure instruirea personalului autorizat să prelucreze datele cu caracter personal, cu privire la confidențialitatea acestor date.

- Să includă obligații de confidențialitate pentru angajați și sub-împuterniciți.

10.Securitatea prelucrării

10.1. Împuternicitul trebuie să îndeplinească măsuri tehnice și organizatorice adecvate pentru a asigura măsuri adecvate de securitate raportate la risc, conforme cu bunele practici în industrie. În stabilirea nivelului adecvat de securitate, Împuternicitul trebuie să ia în considerare stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, precum și riscurile care apar ca urmare a prelucrării, în special cu privire la cele care pot duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.

10.2. În acest context, Împuternicitul a stabilit aplicarea internă a următoarelor măsuri organizatorice și tehnice de securitate pentru securitatea datelor personale, luând în considerare tipul de activitate prestată:

- Audit periodic de securitate realizat de experți în securitate cibernetică;

- Acces limitat la baza de date pentru un număr foarte restrâns de angajați ai Împuternicitului;

- Monitorizarea permanentă a accesului la baza de date;

- Criptarea conexiunii folosite de Operator pentru accesarea serviciului folosind SSL;

- Parolele clienților stocate criptat;

- Copii de siguranță regulate.

11.Limitarea răspunderii

- Nerespectarea contractului din cauza unor evenimente ce exced oricărei răspunderi a Împuternicitului;

- Respectarea instrucțiunilor Operatorului sau nerespectarea instrucțiunilor Operatorului justificată în prealabil printr-o notificare referitoare la nelegalitatea ei;

- Lipsa sau vicierea acordului persoanelor vizate sau a utilizării unui temei legal greșit de către Operator;

- Nerespectarea contractului din cauza unor acțiuni ale Operatorului.

12.Delimitarea răspunderii

12.1. Operatorul și Împuternicitul își delimitează responsabilitățile cu privire la asigurarea protecției datelor cu caracter personal (de exemplu, asigurarea confidențialității sau a securității prelucrării), în funcție de accesul și controlul efectiv exercitat asupra datelor, atât din punct de vedere contractual, cât și tehnic.

Această anexă intră în vigoare pe 06.06.2024 și este valabilă până la modificarea ei de către Împuternicit și informarea clienților în acest sens. Utilizarea contului după informarea clienților înseamnă acordul acestora cu privire la acest document.