Acest Acord de Prelucrare a Datelor („Acordul") face parte din Contractul pentru Servicii („Acordul Principal") dintre:

(împreună denumite „Părțile")

(A) Compania acționează ca Operator de Date.

(B) Compania dorește să subcontracteze anumite Servicii, care implică prelucrarea datelor cu caracter personal, către Prelucrătorul de Date.

(C) Părțile urmăresc să implementeze un acord de prelucrare a datelor care să respecte cerințele cadrului legal actual în ceea ce privește prelucrarea datelor și Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul General privind Protecția Datelor - GDPR).

(D) Părțile doresc să-și stabilească drepturile și obligațiile.

1.1 Cu excepția cazului în care sunt definite altfel în prezentul document, termenii și expresiile cu majusculă utilizate în acest Acord vor avea următoarea semnificație:

1.1.1 „Acord" înseamnă acest Acord de Prelucrare a Datelor și toate Anexele;

1.1.2 „Date Personale ale Companiei" înseamnă orice Date Personale Prelucrate de un Prelucrător Contractat în numele Companiei în conformitate cu sau în legătură cu Acordul Principal;

1.1.3 „Prelucrător Contractat" înseamnă un Subprelucrător;

1.1.4 „Legile de Protecție a Datelor" înseamnă Legile UE de Protecție a Datelor și, în măsura aplicabilă, legile de protecție a datelor sau de confidențialitate din orice altă țară;

1.1.5 „SEE" înseamnă Spațiul Economic European;

1.1.6 „Legile UE de Protecție a Datelor" înseamnă Directiva UE 95/46/CE, transpusă în legislația internă a fiecărui Stat Membru și modificată, înlocuită sau înlocuită periodic, inclusiv prin GDPR și legile de implementare sau completare a GDPR;

1.1.7 „GDPR" înseamnă Regulamentul General UE privind Protecția Datelor 2016/679;

1.1.8 „Transfer de Date" înseamnă:

1.1.8.1 un transfer de Date Personale ale Companiei de la Companie către un Prelucrător Contractat; sau

1.1.8.2 un transfer ulterior al Datelor Personale ale Companiei de la un Prelucrător Contractat către un Subprelucrător Contractat, sau între două sedii ale unui Prelucrător Contractat, în fiecare caz, în cazul în care un astfel de transfer ar fi interzis de Legile de Protecție a Datelor;

1.1.9 „Servicii" înseamnă portalul de conformitate și serviciile de găzduire, Prelucrarea, prelucrarea datelor și alte activități care urmează să fie furnizate, efectuate de sau în numele Prelucrătorului de Date în beneficiul Companiei, după cum este prezentat mai detaliat în continuare;

1.1.10 „Subprelucrător" înseamnă orice persoană desemnată de sau în numele Prelucrătorului pentru a prelucra Date Personale în numele Companiei în legătură cu Acordul.

1.2 Termenii „Comisie", „Operator", „Persoană Vizată", „Stat Membru", „Date Personale", „Încălcare a Datelor Personale", „Prelucrare" și „Autoritate de Supraveghere" vor avea aceeași semnificație ca în GDPR, iar termenii lor derivați vor fi interpretați în consecință.

2.1 Prelucrătorul va:

2.1.1 respecta toate Legile aplicabile de Protecție a Datelor în Prelucrarea Datelor Personale ale Companiei; și

2.1.2 nu va Prelucra Date Personale ale Companiei altfel decât pe baza instrucțiunilor documentate ale Companiei relevante.

2.2 Compania instruiește Prelucrătorul să prelucreze Datele Personale ale Companiei.

Prelucrătorul va lua măsuri rezonabile pentru a asigura fiabilitatea oricărui angajat, agent sau contractant al oricărui Prelucrător Contractat care poate avea acces la Datele Personale ale Companiei, asigurându-se în fiecare caz că accesul este strict limitat la acele persoane care au nevoie să cunoască/să acceseze Datele Personale relevante ale Companiei, strict necesar pentru scopurile Acordului Principal, și pentru a respecta Legile Aplicabile în contextul îndatoririlor individului respectiv față de Prelucrătorul Contractat, asigurându-se că toate aceste persoane sunt supuse angajamentelor de confidențialitate sau obligațiilor profesionale sau statutare de confidențialitate.

4.1 Luând în considerare stadiul tehnicii, costurile de implementare și natura, amploarea, contextul și scopurile Prelucrării, precum și riscul de probabilitate și gravitate variabile pentru drepturile și libertățile persoanelor fizice, Prelucrătorul va implementa, în raport cu Datele Personale ale Companiei, măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate adecvat acelui risc, inclusiv, după caz, măsurile menționate în Articolul 32(1) al GDPR.

4.2 În evaluarea nivelului adecvat de securitate, Prelucrătorul va ține seama în special de riscurile prezentate de Prelucrare, în special din cauza unei Încălcări a Datelor Personale.

5.1 Prelucrătorul nu va desemna (sau nu va dezvălui niciun Date Personale ale Companiei către) niciun Subprelucrător cu excepția cazului în care este necesar sau autorizat de Companie.

6.1 Luând în considerare natura Prelucrării, Prelucrătorul va asista Compania prin implementarea măsurilor tehnice și organizatorice adecvate, în măsura în care acest lucru este posibil, pentru îndeplinirea obligațiilor Companiei, după cum este înțeles în mod rezonabil de Companie, de a răspunde cererilor de exercitare a drepturilor Persoanelor Vizate în temeiul Legilor de Protecție a Datelor.

6.2 Prelucrătorul va:

6.2.1 notifica prompt Compania dacă primește o cerere de la o Persoană Vizată în temeiul oricărei Legi de Protecție a Datelor în ceea ce privește Datele Personale ale Companiei; și

6.2.2 se asigura că nu răspunde la acea cerere, cu excepția instrucțiunilor documentate ale Companiei sau conform cerințelor Legilor Aplicabile cărora Prelucrătorul este supus, caz în care Prelucrătorul va informa, în măsura permisă de Legile Aplicabile, Compania despre acea cerință legală înainte ca Prelucrătorul Contractat să răspundă la cerere.

7.1 Prelucrătorul va notifica Compania fără întârziere nejustificată de îndată ce Prelucrătorul ia cunoștință de o Încălcare a Datelor Personale care afectează Datele Personale ale Companiei, furnizând Companiei suficiente informații pentru a permite Companiei să îndeplinească orice obligații de raportare sau informare a Persoanelor Vizate cu privire la Încălcarea Datelor Personale în temeiul Legilor de Protecție a Datelor.

7.2 Prelucrătorul va coopera cu Compania și va lua măsuri comerciale rezonabile conform indicațiilor Companiei pentru a asista în investigarea, atenuarea și remedierea fiecărei astfel de Încălcări a Datelor Personale.

Prelucrătorul va oferi asistență rezonabilă Companiei cu orice evaluări ale impactului asupra protecției datelor și consultări prealabile cu Autoritățile de Supraveghere sau alte autorități competente privind confidențialitatea datelor, pe care Compania le consideră în mod rezonabil ca fiind necesare conform articolului 35 sau 36 al GDPR sau prevederilor echivalente ale oricărei alte Legi de Protecție a Datelor, în fiecare caz exclusiv în legătură cu Prelucrarea Datelor Personale ale Companiei de către și luând în considerare natura Prelucrării și informațiile disponibile pentru Prelucrătorii Contractați.

9.1 Cu respectarea acestei secțiuni 9, Prelucrătorul va șterge prompt și în orice caz în termen de 10 zile lucrătoare de la data încetării oricăror Servicii care implică Prelucrarea Datelor Personale ale Companiei („Data Încetării"), și va asigura ștergerea tuturor copiilor acestor Date Personale ale Companiei.

10.1 Cu respectarea acestei secțiuni 10, Prelucrătorul va pune la dispoziția Companiei, la cerere, toate informațiile necesare pentru a demonstra conformitatea cu acest Acord și va permite și va contribui la audituri, inclusiv inspecții, de către Companie sau un auditor mandatat de Companie în legătură cu Prelucrarea Datelor Personale ale Companiei de către Prelucrătorii Contractați.

10.2 Drepturile de informare și audit ale Companiei apar în temeiul secțiunii 10.1 doar în măsura în care Acordul nu le oferă altfel drepturi de informare și audit care să îndeplinească cerințele relevante ale Legii de Protecție a Datelor.

11.1 Prelucrătorul nu poate transfera sau autoriza transferul de Date în țări din afara UE și/sau Spațiului Economic European (SEE) fără consimțământul prealabil scris al Companiei. În cazul în care datele personale prelucrate în temeiul acestui Acord sunt transferate dintr-o țară din Spațiul Economic European într-o țară din afara Spațiului Economic European, Părțile vor asigura că datele personale sunt protejate în mod adecvat. Pentru a realiza acest lucru, Părțile vor, cu excepția cazului în care se convine altfel, să se bazeze pe clauzele contractuale standard aprobate de UE pentru transferul de date personale.

12.1 Confidențialitate. Fiecare Parte trebuie să păstreze confidențial acest Acord și informațiile pe care le primește despre cealaltă Parte și afacerea sa în legătură cu acest Acord („Informații Confidențiale") și nu trebuie să utilizeze sau să divulge acele Informații Confidențiale fără consimțământul prealabil scris al celeilalte Părți, cu excepția cazului în care:

(a) divulgarea este cerută de lege;

(b) informațiile relevante sunt deja în domeniul public.

12.2 Notificări. Toate notificările și comunicările transmise în temeiul acestui Acord trebuie să fie în scris și vor fi livrate personal, trimise prin poștă sau trimise prin email la adresa sau adresa de email stabilită în antetul acestui Acord sau la orice altă adresă notificată periodic de Părțile care schimbă adresa.

13.1 Acest Acord este guvernat de legile din România.

13.2 Orice litigiu care rezultă în legătură cu acest Acord trebuie supus jurisdicției exclusive a instanțelor competente din România; cu condiția ca înainte ca orice Parte să inițieze orice acțiune în instanță, această Parte să notifice în scris celeilalte Părți natura litigiului respectiv și să încerce cu bună-credință să rezolve litigiul respectiv cu cealaltă Parte prin negocieri extrajudiciare; cu condiția în plus ca, dacă Părțile nu sunt de acord să rezolve un astfel de litigiu în termen de 60 de zile de la notificare, atunci oricare dintre Părți poate depune o acțiune în instanță.

Acest Acord este încheiat cu efect de la data stabilită mai jos.

Această Anexă 1 include anumite detalii ale Prelucrării Datelor Personale conform cerințelor Articolului 28(3) GDPR.

Detalii despre subiectul, natura și durata Prelucrării Datelor Personale și tipul de utilizatori ale căror Date Personale SaliPline.ro le Prelucrează sunt descrise în Politica de Confidențialitate a SaliPline.ro localizată la https://salipline.ro/politica-confidentialitate/, ale cărei termeni sunt încorporați prin referință în această Anexă 1.

Subprelucrătorii pe care SaliPline.ro îi utilizează în prezent pot fi găsiți la https://salipline.ro/conformitate-gdpr/.