Acord de prelucrare a datelor

Prezentul Acord de prelucrare a datelor (Acordul sau DPA) este incheiat ca act aditional si face parte din, si completeaza, contractul/comanda sau orice alt acord executat intre Hazeloft Enterprise S.R.L., cu sediul in Ploiesti, judetul Prahova, Romania (Hazeloft) si clientul care a incheiat acordul principal (Clientul), privind furnizarea Serviciilor Hazeloft (denumite impreuna Acordul).

Acest DPA se aplica prelucrarii de catre Hazeloft a datelor cu caracter personal (Date cu caracter personal) in numele Clientului, in legatura cu Serviciile furnizate conform Acordului.

Clientul incheie acest DPA in nume propriu si, in masura in care este necesar conform legislatiei aplicabile in materia protectiei datelor, si in numele afiliatilor sai acoperiti de Acord. Exclusiv in sensul prezentului DPA, termenul Client poate include si afiliatii acoperiti.

Acest DPA devine obligatoriu din punct de vedere juridic la data intrarii in vigoare a Acordului.

2.1. Definitii. Termenii nedefiniti in prezentul DPA au sensul stabilit in Acord.

• Afiliat Orice entitate care controleaza, este controlata de sau se afla sub control comun cu o entitate. Control inseamna detinerea directa sau indirecta a mai mult de 50% din drepturile de vot.
• Legi aplicabile privind protectia datelor Toate legile si reglementarile aplicabile privind protectia datelor si confidentialitatea, inclusiv Regulamentul (UE) 2016/679 (GDPR) si, dupa caz, UK GDPR si legi non-UE aplicabile Clientului (de exemplu CCPA), in forma modificata sau inlocuita.
• Date de contact Date cu caracter personal pe care Hazeloft le prelucreaza in calitate de operator, de exemplu date de cont, date de facturare si informatii de contact.
• Date ale Clientului Date cu caracter personal prelucrate de Hazeloft in numele Clientului in legatura cu furnizarea Serviciilor.
• Persoana vizata Persoana fizica identificata sau identificabila la care se refera Datele cu caracter personal.
• Prelucrare Orice operatiune efectuata asupra Datelor cu caracter personal, inclusiv colectare, inregistrare, organizare, stocare, utilizare, divulgare, restrictionare, stergere sau distrugere.
• Date cu caracter personal Orice informatii care constituie date cu caracter personal, informatii personale sau un concept echivalent, conform Legilor aplicabile privind protectia datelor.
• Incident de securitate Orice incalcare confirmata a securitatii care conduce la distrugerea, pierderea, alterarea, divulgarea neautorizata sau accesul neautorizat la Date ale Clientului prelucrate de Hazeloft si/sau subprocesatorii sai. Nu include incercari nereusite care nu compromit securitatea datelor (de exemplu scanari, ping-uri, incercari esuate de autentificare).
• Date generate de Serviciu Date de utilizare si metadate generate prin utilizarea Serviciilor. Prezentul DPA se aplica acestor date numai in masura in care constituie Date cu caracter personal.
• Servicii Serviciile Hazeloft prevazute in Acord.
• Subprocesator Orice tert autorizat de Hazeloft sa prelucreze Date ale Clientului pentru a asista Hazeloft in furnizarea Serviciilor.

3.1. Integrare in Acord. Acest DPA face parte din Acord. Cu exceptia cazului in care se prevede expres in acest DPA, Acordul ramane neschimbat si in vigoare. In caz de conflict intre acest DPA si Acord, prezentul DPA prevaleaza pentru aspectele legate de prelucrarea Datelor Clientului.

3.2. Limitari de raspundere. Orice raspundere decurgand din acest DPA este supusa limitarilor de raspundere prevazute in Acord, in masura permisa de lege.

3.3. Lege aplicabila. Acest DPA este guvernat de clauzele privind legea aplicabila si competenta din Acord, cu exceptia cazului in care Legile aplicabile privind protectia datelor impun altfel.

3.4. Durata. Acest DPA ramane in vigoare pana la stergerea Datelor Clientului, in conditiile acestui DPA si ale Acordului, dupa care inceteaza automat.

4.1. Hazeloft ca imputernicit. Partile recunosc ca, in ceea ce priveste prelucrarea Datelor Clientului, Clientul actioneaza, dupa caz, ca operator (sau ca imputernicit al unui operator), iar Hazeloft actioneaza ca persoana imputernicita de operator. Hazeloft va prelucra Datele Clientului numai pe baza si in conformitate cu instructiunile Clientului, astfel cum sunt descrise in acest DPA.

4.2. Hazeloft ca operator. In masura in care Datele generate de Serviciu sau Datele de contact sunt prelucrate de Hazeloft in calitate de operator, Hazeloft le va prelucra conform documentelor sale privind confidentialitatea, inclusiv Politica de confidentialitate.

Fiecare parte va respecta obligatiile care ii revin potrivit Legilor aplicabile privind protectia datelor, pentru prelucrarile efectuate de acea parte.

6.1. Responsabilitatile Clientului. Clientul este responsabil pentru:

• obtinerea si mentinerea tuturor informarilor, consimtamintelor, permisiunilor si drepturilor necesare pentru a permite Hazeloft sa prelucreze in mod legal Datele Clientului
• legalitatea colectarii si furnizarii catre Hazeloft (si subprocesatori) a Datelor Clientului
• stabilirea instructiunilor si a scopurilor prelucrarii, in calitate de operator sau, dupa caz, obtinerea instructiunilor de la operator

6.2. Instructiunile Clientului. Hazeloft va prelucra Datele Clientului doar pe baza instructiunilor documentate, legale ale Clientului, cu exceptia cazului in care o obligatie legala aplicabila Hazeloft impune altfel. Prin incheierea Acordului, Clientul instruieste Hazeloft sa prelucreze Datele Clientului pentru:

• furnizarea Serviciilor
• exercitarea drepturilor si indeplinirea obligatiilor Hazeloft din Acord
• indeplinirea obligatiilor legale ale Hazeloft si stabilirea, exercitarea sau apararea unor pretentii

Daca Hazeloft considera, in mod rezonabil, ca o instructiune incalca Legile aplicabile privind protectia datelor, Hazeloft va notifica Clientul.

7.1. Autorizare. Clientul autorizeaza Hazeloft sa utilizeze afiliatii si subprocesatori pentru a prelucra Datele Clientului, in masura necesara pentru furnizarea Serviciilor.

7.2. Obligatii pentru subprocesatori. Hazeloft va incheia un acord scris cu fiecare subprocesator, impunand obligatii de protectie a datelor substantiale similare cu cele din acest DPA, in masura aplicabila. Hazeloft ramane responsabil pentru respectarea obligatiilor prezentului DPA si pentru actele sau omisiunile subprocesatorilor care determina incalcarea DPA.

7.3. Informare si obiectii. La cerere, Hazeloft poate furniza informatii despre subprocesatori, inclusiv roluri si locatii. Hazeloft poate actualiza subprocesatorii in timp. Daca Clientul are obiectii rezonabile de protectie a datelor cu privire la un subprocesator nou, Clientul va notifica Hazeloft intr-un termen rezonabil de la informare, iar partile vor discuta cu buna-credinta o solutie.

8.1. Masuri de securitate. Hazeloft va implementa si va mentine masuri tehnice si organizatorice adecvate pentru protejarea Datelor Clientului impotriva Incidentelor de securitate si pentru pastrarea confidentialitatii si integritatii acestora, luand in considerare riscurile prelucrarii.

8.2. Responsabilitatea Clientului. Clientul este responsabil sa evalueze daca Serviciile sunt adecvate cerintelor sale de securitate si obligatiilor legale. Fara a limita obligatiile Hazeloft, Clientul este responsabil pentru:

• utilizarea adecvata a Serviciilor
• securizarea credintialelor de autentificare, sistemelor si dispozitivelor utilizate pentru acces
• masuri proprii de backup, daca este cazul

8.3. Incident de securitate. La luarea la cunostinta a unui Incident de securitate confirmat, Hazeloft va notifica Clientul fara intarziere nejustificata, cu exceptia cazului in care legea interzice. Notificarea va descrie, in masura posibilului, detalii relevante si masuri de atenuare rezonabile. Clientul ramane responsabil pentru obligatiile sale de notificare catre autoritati sau persoane vizate, acolo unde este cazul.

9.1. Informatii de conformitate. La cerere si sub rezerva unor obligatii rezonabile de confidentialitate, Hazeloft poate pune la dispozitie informatii rezonabile pentru a demonstra conformitatea cu prezentul DPA.

9.2. Audit la solicitare. In masura in care este impus de legea aplicabila si in limite rezonabile, partile pot agrea un proces de audit, cu conditia ca auditul sa nu afecteze securitatea, confidentialitatea si operarea Serviciilor si sa fie supus unor masuri rezonabile de planificare si confidentialitate.

Hazeloft va oferi cooperare rezonabila Clientului, in masura in care informatiile relevante sunt disponibile si Clientul nu le poate obtine altfel in mod rezonabil, pentru evaluari de impact privind protectia datelor sau consultari cu autoritati, atunci cand sunt cerute de Legile aplicabile privind protectia datelor.

Hazeloft va oferi asistenta rezonabila Clientului pentru a raspunde cererilor persoanelor vizate (de exemplu acces, rectificare, stergere, restrictionare, portabilitate, opozitie), in masura in care Clientul nu poate indeplini cererea prin functionalitati self-service.

Daca Hazeloft primeste o cerere direct de la o persoana vizata cu privire la Datele Clientului, Hazeloft poate directiona persoana vizata catre Client, iar Clientul ramane responsabil pentru raspuns.

Clientul poate sterge sau exporta Datele Clientului in timpul utilizarii Serviciilor, in masura in care functionalitatile permit. Incetarea sau expirarea Acordului constituie instructiune pentru Hazeloft de a sterge Datele Clientului intr-un termen rezonabil din punct de vedere comercial.

Hazeloft poate pastra anumite Date ale Clientului daca o obligatie legala impune pastrarea, caz in care datele raman supuse prevederilor acestui DPA.

Hazeloft poate prelucra si transfera Datele Clientului in afara Spatiului Economic European, daca este necesar pentru furnizarea Serviciilor sau pentru utilizarea subprocesatorilor. Hazeloft va asigura ca astfel de transferuri sunt efectuate in conformitate cu Legile aplicabile privind protectia datelor, inclusiv prin aplicarea unor mecanisme de transfer adecvate (de exemplu clauze contractuale standard), atunci cand este necesar.

14.1. Natura si scop. Hazeloft prelucreaza Date cu caracter personal in masura necesara pentru a furniza Serviciile conform Acordului. Hazeloft nu vinde Datele Clientului si nu le divulga tertilor pentru compensatie, in afara cazurilor prevazute in Acord, in acest DPA sau impuse de lege.

14.2. Activitati de prelucrare. Datele Clientului pot face obiectul unor activitati precum stocare, acces, transmitere, operare, diagnosticare, suport, securitate, prevenirea fraudei si divulgari conforme cu Acordul sau impuse de lege.

14.3. Durata. Hazeloft prelucreaza Datele Clientului pe durata Acordului si le sterge conform sectiunii privind stergerea/retinerea.

14.4. Categorii de persoane vizate. Pot include utilizatori ai Clientului, clienti ai Clientului, vizitatori, utilizatori finali sau alte persoane ale caror date sunt incluse in Datele Clientului.

14.5. Categorii de date. Sunt determinate de Client si pot include identificatori (de exemplu nume, email, identificatori de cont), date de utilizare, loguri, configuratii, continut transmis prin Servicii si alte date incarcate sau generate in legatura cu Serviciile.

14.6. Date sensibile. Clientul nu va transmite catre Servicii date din categorii speciale, date privind sanatatea sau alte date sensibile, decat daca Acordul permite expres si Clientul are un temei legal adecvat si implementeaza masuri corespunzatoare.

Hazeloft mentine masuri adecvate, care pot include, in functie de Servicii:

• criptare in tranzit si, dupa caz, criptare la repaus
• control al accesului pe baza de rol si principiul minimului privilegiu
• jurnalizare si monitorizare pentru detectarea incidentelor
• proceduri de management al modificarilor si al vulnerabilitatilor
• politici interne de confidentialitate si instruire pentru personal
• backup si continuitate a serviciilor, acolo unde este cazul

Atunci cand transferurile internationale necesita un mecanism de transfer, partile pot aplica clauze contractuale standard adoptate de Comisia Europeana (SCC 2021) si, dupa caz, un addendum de transfer international pentru Regatul Unit (UK IDTA) sau un mecanism echivalent recunoscut de lege.

17.1. California. Daca si in masura in care CCPA este aplicabila, Hazeloft va actiona ca furnizor de servicii/procesator pentru Datele Clientului si nu va vinde Datele Clientului.

17.2. EEA. Pentru prelucrari supuse GDPR, acest DPA urmareste cerintele aplicabile pentru relatia operator-imputernicit, inclusiv obligatiile privind subprocesarea, securitatea, asistenta la cereri si stergere.

17.3. Regatul Unit si Elvetia. Pentru transferuri sau prelucrari supuse UK GDPR sau legislatiei elvetiene aplicabile, mecanismele de transfer adecvate se aplica in mod corespunzator.