Data Processing Agreement (DPA)

1. Părți și roluri

Clientul este operatorul datelor personale introduse, încărcate, generate sau administrate în aplicație, inclusiv date ale utilizatorilor săi, angajaților, colaboratorilor, agenților, clienților finali persoane fizice, lead-urilor, prospecților, persoanelor de contact, reprezentanților, vizitelor și datelor GPS. PRO COLOR FOTOGRAFIKA SRL, operatorul Clientero, este persoană împuternicită pentru aceste date, în măsura în care le prelucrează pentru furnizarea serviciului.

Pentru datele proprii ale Clientero, cum ar fi facturarea, securitatea, conturile Stripe, marketing B2B sau administrarea contractului, Clientero acționează ca operator independent, conform Politicii de confidențialitate.

2. Obiect, durată, natură și scop

Obiectul prelucrării este furnizarea, securizarea, administrarea și suportul platformei Clientero. Durata este durata contractului, plus perioadele limitate de retenție post-încetare prevăzute în Termeni, cu excepția cazurilor în care legea impune sau permite păstrarea mai îndelungată.

Natura operațiunilor include colectare prin formulare, stocare, găzduire, organizare, structurare, afișare, interogare, transmitere, sincronizare, backup operațional, ștergere, restaurare, export, depanare, securizare și suport tehnic.

3. Instrucțiuni documentate

Clientero va prelucra datele personale doar pe baza instrucțiunilor documentate ale Clientului, inclusiv instrucțiunile rezultate din folosirea funcționalităților aplicației, setările contului, solicitările de suport, acești Termeni și contractul individual. Dacă o instrucțiune pare să încalce GDPR sau alte norme aplicabile, Clientero poate informa Clientul și poate suspenda executarea instrucțiunii până la clarificare, dacă legea permite.

4. Categorii de date și persoane vizate

Datele pot include: nume, prenume, email, telefon, rol, companie, CUI/CIF, adrese, județe, orașe, contacte multiple, observații comerciale, comentarii de vizită, statusuri, follow-up-uri, marcaje temporale, coordonate GPS, locații asociate vizitelor sau clienților, date de utilizare, roluri, permisiuni, setări de cont, identificatori de cont, metadate tehnice și alte date introduse de Client.

Persoanele vizate pot include: administratorii și utilizatorii Clientului, agenți, angajați, colaboratori, clienți, lead-uri, prospecți, clienți finali persoane fizice, reprezentanți ai clienților și potențialilor clienți ai Clientului, persoane de contact ale partenerilor comerciali și destinatari ai linkurilor publice generate de Client.

5. Date de localizare și coordonate GPS

În măsura în care Clientul utilizează funcționalități care implică date de localizare sau coordonate GPS, aceste date sunt prelucrate pentru scopuri precum confirmarea vizitelor, organizarea activităților comerciale, evidența interacțiunilor cu clienții, optimizarea activității echipei de vânzări sau alte scopuri stabilite de Client.

Clientul este responsabil pentru stabilirea temeiului legal al prelucrării datelor de localizare și pentru informarea persoanelor vizate, inclusiv a angajaților, agenților, colaboratorilor sau altor utilizatori afectați. Clientero nu utilizează datele GPS introduse sau generate în contul Clientului pentru scopuri proprii, precum profilare, monitorizare independentă, publicitate sau vânzare către terți.

6. Date interzise sau cu risc ridicat

Clientul nu va introduce în Clientero date privind sănătatea, date genetice sau biometrice, date privind viața sexuală sau orientarea sexuală, opinii politice, convingeri religioase sau filosofice, apartenență sindicală, origine rasială sau etnică, condamnări penale sau infracțiuni, CNP-uri, serii și numere de acte de identitate, copii de acte de identitate, date ale minorilor, date financiare sensibile, date reglementate special sau alte date cu risc ridicat, cu excepția cazului în care a încheiat un acord scris specific cu Clientero și are toate temeiurile, informările, garanțiile și măsurile necesare.

Clientul este responsabil pentru câmpurile libere, comentarii, observații, notițe sau descrieri și trebuie să se asigure că acestea nu conțin date sensibile, excesive sau nejustificate.

7. Obligațiile Clientului ca operator

• să stabilească scopurile, temeiurile legale și minimizarea datelor introduse în aplicație;
• să informeze persoanele vizate, inclusiv angajații, colaboratorii, agenții, lead-urile, prospecții, persoanele de contact sau clienții finali persoane fizice ale căror date pot fi introduse în aplicație;
• să se asigure că are dreptul de a introduce Datele Clientului în aplicația Clientero și că datele sunt adecvate, relevante și limitate la ceea ce este necesar;
• să administreze rolurile, accesul, parolele, dispozitivele și dezactivarea utilizatorilor;
• să răspundă solicitărilor persoanelor vizate când Clientero acționează ca împuternicit;
• să nu folosească serviciul pentru monitorizare ascunsă, disproporționată sau ilegală;
• să respecte legislația privind protecția datelor, legislația muncii, comunicațiile comerciale și orice alte norme aplicabile activității sale;
• să verifice dacă funcțiile folosite sunt adecvate propriilor obligații legale și proceduri interne.

8. Confidențialitate

Clientero se va asigura că persoanele autorizate să prelucreze datele personale s-au angajat la confidențialitate sau sunt supuse unei obligații legale adecvate de confidențialitate. Accesul la datele Clientului este limitat la ceea ce este necesar pentru operare, suport, securitate sau obligații legale.

9. Măsuri tehnice și organizatorice

Clientero aplică măsuri rezonabile, proporționale cu riscul, incluzând: autentificare și control de acces, control al accesului pe bază de roluri, reguli de acces per tenant, segregare logică a datelor, reguli de acces la baza de date, limitări anti-abuz, backup operațional, jurnalizare tehnică, monitorizare pentru prevenirea abuzurilor, criptare în tranzit unde este disponibilă prin furnizori, administrare restrânsă, limitarea accesului intern la date, actualizări și proceduri de suport sau gestionare a incidentelor.

Clientul înțelege că măsurile concrete pot depinde de furnizorii cloud și de configurația serviciului. Clientero poate actualiza măsurile pentru a răspunde riscurilor, tehnologiei și evoluției serviciului.

10. Subprocesatori

Clientul acordă o autorizare generală pentru folosirea subprocesatorilor necesari operării serviciului. Lista actuală este disponibilă în pagina de Subprocesatori. Clientero poate adăuga sau înlocui subprocesatori, cu informare prin actualizarea paginii, email sau alt canal rezonabil.

Clientul poate formula o obiecție motivată în termen de 10 zile lucrătoare de la informare, dacă schimbarea creează un risc real și demonstrabil pentru protecția datelor. Dacă părțile nu pot soluționa obiecția rezonabil, Clientul poate înceta serviciul afectat pentru viitor.

Clientero va impune subprocesatorilor obligații de protecție a datelor echivalente în mod substanțial cu cele asumate prin acest DPA, în măsura aplicabilă serviciilor furnizate de aceștia. Clientero nu permite subprocesatorilor să utilizeze Datele Clientului în scopuri proprii, ci numai în scopul furnizării serviciilor contractate de Clientero.

11. Transferuri internaționale

Dacă datele personale sunt transferate în afara SEE, Clientero va urmări utilizarea unui mecanism de transfer permis de GDPR, cum ar fi decizii de adecvare, clauze contractuale standard, măsuri suplimentare sau alte garanții recunoscute. Clientul autorizează aceste transferuri în măsura necesară furnizării serviciului.

12. Asistență pentru drepturile persoanelor vizate

Ținând cont de natura prelucrării, Clientero va oferi asistență rezonabilă Clientului pentru răspunsul la solicitări de acces, rectificare, ștergere, restricționare, portabilitate sau opoziție, în măsura în care Clientul nu poate răspunde direct prin funcțiile aplicației.

Asistența poate include identificarea datelor disponibile în contul Clientului, exportul datelor, rectificarea sau actualizarea datelor, ștergerea sau anonimizarea datelor, restricționarea accesului și furnizarea de informații tehnice necesare pentru răspunsul Clientului către persoana vizată. Clientul rămâne responsabil pentru analizarea cererii, verificarea identității solicitantului, stabilirea temeiului legal și comunicarea răspunsului către persoana vizată. Asistența care depășește suportul standard poate fi tarifată dacă necesită efort semnificativ și Clientul acceptă costul în prealabil.

13. Asistență pentru securitate, DPIA și consultări

Clientero va oferi informații rezonabile disponibile pentru obligațiile Clientului privind securitatea, notificarea încălcărilor, evaluările de impact și consultările cu autoritățile, în măsura în care obligațiile sunt legate de prelucrarea realizată de Clientero ca împuternicit. Clientul rămâne responsabil să determine dacă o evaluare DPIA este necesară, în special pentru folosirea datelor GPS în context profesional.

14. Încălcări ale securității datelor

Clientero va informa Clientul fără întârzieri nejustificate după ce devine conștient de o încălcare a securității datelor personale care afectează Datele Clientului. Notificarea va include informațiile rezonabil disponibile despre natura incidentului, datele afectate, măsurile luate sau propuse și recomandările de reducere a riscului.

Clientul este responsabil pentru analizarea obligațiilor de notificare către autoritatea de supraveghere sau persoanele vizate atunci când acționează ca operator. Clientero va oferi asistență rezonabilă Clientului în acest proces.

15. Returnare, export și ștergere

La încetarea serviciului, Clientul poate solicita exportul datelor conform Termenilor, prin email la suport@clientero.ro. Datele exportabile pot include, în funcție de datele existente în cont, utilizatori, clienți, contacte, vizite, comentarii, follow-up-uri, date GPS asociate vizitelor sau clienților, setări de tenant, roluri și metadate generate direct prin utilizarea serviciului. Exportul poate fi furnizat în formate uzuale, structurate și care pot fi citite automat, precum CSV, JSON, XLSX sau alte formate disponibile în serviciu.

Sunt excluse de la export codul sursă, arhitectura internă, interfețele interne, logurile interne de securitate, secretele comerciale, datele altor clienți, cheile tehnice, modelele interne, know-how-ul și elementele protejate de drepturi de proprietate intelectuală. După perioadele de recuperare și retenție aplicabile, Clientero poate șterge sau anonimiza datele, cu excepția copiilor păstrate în backup-uri până la expirarea ciclurilor tehnice, a logurilor de securitate și a datelor care trebuie păstrate legal.

16. Audit și demonstrarea conformității

Clientero va pune la dispoziție informații rezonabile pentru demonstrarea respectării acestui DPA. Auditurile se vor desfășura astfel încât să nu afecteze securitatea, confidențialitatea altor clienți, secretele comerciale, disponibilitatea serviciului sau infrastructura furnizorilor. Auditurile on-site sunt permise doar dacă sunt impuse de lege sau justificate excepțional, cu notificare prealabilă rezonabilă, acord de confidențialitate și pe cheltuiala Clientului.

17. Răspundere

Răspunderea părților pentru prelucrarea datelor este guvernată de GDPR, de legislația aplicabilă și de limitările de răspundere din Termeni, în măsura permisă de lege. Clientul răspunde pentru legalitatea instrucțiunilor și a datelor introduse în aplicație.

18. Anexa 1: detaliile prelucrării