ACEASTĂ TRADUCERE ARE DOAR SCOP INFORMATIV ȘI ESTE POSIBIL SĂ NU REFLECTE CU EXACTITATE SENSUL ORIGINALULUI ÎN LIMBA ENGLEZĂ. SEMNIFICAȚIILE TERMENILOR, CONDIȚIILOR, DISPOZIȚIILOR ȘI GARANȚIILOR CONȚINUTE ÎN PREZENTUL DOCUMENT FAC OBIECTUL DEFINIȚIILOR ȘI INTERPRETĂRILOR LOR RESPECTIVE ÎN LIMBA ENGLEZĂ. ÎN CAZUL ORICĂREI DISCREPANȚE SAU NECONCORDANȚE ÎNTRE VERSIUNEA ÎN LIMBA ENGLEZĂ A ACESTUI TEXT ȘI ORICE TRADUCERE, VERSIUNEA ÎN LIMBA ENGLEZĂ VA PREVALA.

Acord de prelucrare a datelor

între

Client în conformitate cu CGC în calitate de controlor (denumit în continuare "Controlor"),

și

Spreadly GmbH, Forstenrieder Weg 1G, 82065 Baierbrunn, Deutschland în calitate de operator de date (denumit în continuare "operator de date", operatorul și operatorul de date fiind împreună "părți")

Preambul

Operatorul a însărcinat persoana împuternicită de operator cu prelucrarea datelor în CCG (denumit în continuare "contractul principal") pentru serviciile specificate în acesta. O parte a executării contractului este prelucrarea datelor cu caracter personal. În special, art. 28 GDPR impune cerințe specifice cu privire la o astfel de prelucrare comandată. Pentru a respecta aceste cerințe, părțile încheie următorul acord de prelucrare a datelor (denumit în continuare "acordul"), a cărui executare nu va fi remunerată separat decât dacă se convine în mod expres.

§ 1 Definiții

(1) În conformitate cu art. 4 alin. 4 (7) GDPR, operatorul este entitatea care, singură sau împreună cu alți operatori, determină scopurile și mijloacele de prelucrare a datelor cu caracter personal.

(2) În conformitate cu art. 4 alin. 4 (8) GDPR, un operator de date este o persoană fizică sau juridică, o autoritate, o instituție sau un alt organism care prelucrează date cu caracter personal în numele operatorului.

(3) În conformitate cu art. 4 alin. 4 (1) RGPD, date cu caracter personal înseamnă orice informații referitoare la o persoană fizică identificată sau identificabilă (denumită în continuare "persoana vizată"); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un identificator precum un nume, un număr de identificare, date de localizare, un identificator online sau la unul sau mai multe elemente specifice identității fizice, fiziologice, genetice, psihice, economice, culturale sau sociale a persoanei fizice respective.

(4) Datele cu caracter personal care necesită protecție specială sunt datele cu caracter personal în temeiul art. 9 9 GDPR care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filosofice sau apartenența sindicală a persoanelor vizate, datele cu caracter personal în temeiul art. 10 GDPR privind condamnările penale și infracțiunile sau măsurile de securitate aferente, precum și datele genetice în conformitate cu art. 4 alin. 4 (13) GDPR, date biometrice în conformitate cu art. 4 (14) GDPR, date privind sănătatea în conformitate cu art. 4 (15) GDPR și date privind viața sexuală sau orientarea sexuală a unei persoane fizice.

(5) În conformitate cu articolul 4 alineatul (2) din RGPD, prelucrarea este orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal, prin mijloace automate sau nu, cum ar fi colectarea, înregistrarea, organizarea, clasarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminare sau punere la dispoziție în alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

(6) În conformitate cu articolul 4 alineatul (21) din RGPD, autoritatea de supraveghere este un organism de stat independent instituit de un stat membru în temeiul articolului 51 din RGPD.

§ 2 Obiectul contractului

(1) Prelucrătorul de date prestează serviciile specificate în contractul principal pentru operator. În acest sens, persoana împuternicită de operator obține acces la date cu caracter personal, pe care le prelucrează pentru operator exclusiv în numele și în conformitate cu instrucțiunile operatorului. Domeniul de aplicare și scopul prelucrării datelor de către persoana împuternicită de operator sunt stabilite în contractul principal și în orice descriere a serviciilor asociate. Operatorul este responsabil pentru evaluarea admisibilității prelucrării datelor.

(2) Părțile încheie prezentul acord pentru a preciza drepturile și obligațiile reciproce în temeiul legislației privind protecția datelor. În caz de îndoială, dispozițiile prezentului acord prevalează asupra dispozițiilor din contractul principal.

(3) Prevederile prezentului contract se aplică tuturor activităților legate de contractul principal în care persoana împuternicită de operator și angajații săi sau persoanele autorizate de persoana împuternicită de operator intră în contact cu date cu caracter personal provenind de la operator sau colectate pentru operator.

(4) Durata prezentului acord este reglementată de durata contractului principal, cu excepția cazului în care următoarele dispoziții dau naștere unor obligații suplimentare sau unor drepturi de reziliere.

§ 3 Dreptul de instruire

(1) Persoana împuternicită de operator poate colecta, prelucra sau utiliza datele numai în cadrul domeniului de aplicare al contractului principal și în conformitate cu instrucțiunile operatorului. (2) În cazul în care legislația Uniunii Europene sau a statelor membre cărora li se supune prelucrarea ulterioară a datelor le impune acesteia, Operatorul notifică aceste cerințe legale Operatorului înainte de prelucrare.

(2) Instrucțiunile controlorului sunt stabilite inițial prin prezentul acord. Ulterior, acestea pot fi modificate, completate sau înlocuite de controlor în scris sau sub formă de text prin instrucțiuni individuale (instrucțiuni individuale). Controlorul are dreptul de a emite astfel de instrucțiuni în orice moment. Aceasta include instrucțiuni cu privire la corectarea, ștergerea și blocarea datelor.

(3) Toate instrucțiunile emise sunt documentate de către controlor. Instrucțiunile care depășesc serviciul convenit în contractul principal sunt tratate ca o cerere de modificare a serviciului.

(4) În cazul în care procesatorul de date consideră că o instrucțiune a operatorului încalcă dispozițiile privind protecția datelor, acesta notifică acest lucru operatorului fără întârzieri nejustificate. Operatorul de date are dreptul de a suspenda punerea în aplicare a instrucțiunii respective până când aceasta este confirmată sau modificată de către operator. Operatorul de date poate refuza să pună în aplicare o instrucțiune vădit ilegală.

§ 4 Tipuri de date prelucrate, grup de persoane vizate, țară terță

(1) În cadrul punerii în aplicare a contractului principal, operatorul de date are acces la datele cu caracter personal specificate mai detaliat în anexa 1.

(2) Grupul de persoane vizate afectate de prelucrarea datelor este enumerat în anexa 1.

(3) Un transfer de date cu caracter personal către o țară terță poate avea loc în condițiile art. 44 et seq. GDPR.

§ 5 Măsuri de protecție ale procesatorului de date

(1) Prelucrătorul de date este obligat să respecte dispozițiile legale privind protecția datelor și să nu divulge terților informațiile obținute din domeniul operatorului și să nu le expună accesului acestora. Documentele și datele sunt securizate împotriva divulgării către persoane neautorizate, ținând seama de stadiul actual al tehnologiei.

(2) Operatorul de date organizează organizarea internă în domeniul său de responsabilitate astfel încât să îndeplinească cerințele speciale de protecție a datelor. Acesta trebuie să fi luat măsurile tehnice și organizatorice specificate în anexa 2 pentru a proteja în mod adecvat datele operatorului în conformitate cu art. 32 GDPR, pe care Operatorul le recunoaște ca fiind adecvate. Operatorul de date își rezervă dreptul de a modifica măsurile de securitate luate, asigurându-se în același timp că nivelul de protecție convenit prin contract nu este subminat.

(3) Persoanelor angajate în prelucrarea datelor de către Procesatorul de date le este interzis să colecteze, să prelucreze sau să utilizeze date cu caracter personal fără autorizație. Operatorul de date obligă toate persoanele cărora le-a încredințat prelucrarea și executarea prezentului contract (denumite în continuare "angajații") în consecință (obligația de confidențialitate, art. 28 (3) lit. b GDPR) și va asigura respectarea acestei obligații cu atenția cuvenită.

(4) Prelucrătorul de date a desemnat un responsabil cu protecția datelor. Responsabilul cu protecția datelor al Procesatorului de date este heyData GmbH, Schützenstr. 5, 10117 Berlin, datenschutz@heydata.eu, www.heydata.eu.

§ 6 Obligațiile de informare ale operatorului de date

(1) În caz de perturbări, suspiciuni de încălcări ale protecției datelor sau de încălcări ale obligațiilor contractuale ale persoanei împuternicite de către operator, suspiciuni de incidente legate de securitate sau alte nereguli în prelucrarea datelor cu caracter personal de către persoana împuternicită de către operator, de către persoanele angajate de acesta în cadrul contractului sau de către terți, persoana împuternicită de către operator informează operatorul fără întârzieri nejustificate. Același lucru se aplică și auditurilor efectuate de autoritatea de supraveghere a protecției datelor asupra persoanei împuternicite de operator. Notificarea unei încălcări a securității datelor cu caracter personal trebuie să conțină cel puțin următoarele informații:

(a) o descriere a naturii încălcării securității datelor cu caracter personal, inclusiv, în măsura posibilului, categoriile și numărul de persoane vizate afectate, categoriile afectate și numărul de înregistrări de date cu caracter personal afectate;

(b) o descriere a măsurilor luate sau propuse de către persoana împuternicită de operator pentru a remedia încălcarea și, dacă este cazul, măsuri de atenuare a posibilelor efecte negative ale acesteia;

(c) o descriere a consecințelor probabile ale încălcării securității datelor cu caracter personal.

(2) Operatorul de date ia imediat măsurile necesare pentru a securiza datele și pentru a atenua orice posibile consecințe negative pentru persoanele vizate, informează operatorul cu privire la aceasta și solicită instrucțiuni suplimentare.

(3) În plus, persoana împuternicită de operator este obligată să furnizeze operatorului informații în orice moment în măsura în care datele operatorului sunt afectate de o încălcare în temeiul alineatului (1).

(4) Operatorul de date informează operatorul cu privire la orice modificare semnificativă a măsurilor de securitate în temeiul secțiunii 5 alineatul (2).

§ 7 Drepturile de control ale operatorului

(1) Operatorul se poate asigura de măsurile tehnice și organizatorice ale persoanei împuternicite de operator înainte de începerea prelucrării datelor și, ulterior, în mod regulat, pe o bază anuală. În acest scop, operatorul poate, de exemplu, să obțină informații de la persoana împuternicită de operator, să obțină certificate existente de la experți, certificări sau audituri interne sau, după o coordonare în timp util, să inspecteze personal măsurile tehnice și organizatorice ale persoanei împuternicite de operator în timpul programului normal de lucru sau să le facă inspectate de o parte terță competentă, cu condiția ca partea terță să nu se afle într-o relație de concurență cu persoana împuternicită de operator. Operatorul efectuează verificări numai în măsura în care este necesar și nu perturbă în mod disproporționat operațiunile persoanei împuternicite de operator de date în acest proces.

(2) Prelucrătorul de date se angajează să furnizeze operatorului, la cererea verbală sau scrisă a acestuia din urmă și într-un termen rezonabil, toate informațiile și dovezile necesare pentru a efectua o verificare a măsurilor tehnice și organizatorice ale prelucrătorului de date.

(3) Operatorul documentează rezultatele inspecției și notifică acest lucru operatorului de date. În cazul unor erori sau nereguli pe care operatorul le descoperă, în special în timpul verificării rezultatelor controlului, operatorul informează fără întârzieri nejustificate operatorul de date. În cazul în care în timpul controlului se constată fapte a căror evitare viitoare necesită modificări ale procedurii ordonate, operatorul notifică fără întârziere operatorului de date modificările procedurale necesare.

§ 8 Utilizarea furnizorilor de servicii

(1) Serviciile convenite prin contract sunt prestate cu implicarea prestatorilor de servicii menționați în anexa 3 (denumiți în continuare "Subprocesatori"). Operatorul îi acordă Procesatorului de date autorizația sa generală în sensul articolului 28 alineatul (2) s. 1 din GDPR de a angaja Subprocesatori suplimentari în cadrul obligațiilor sale contractuale sau de a înlocui Subprocesatorii deja angajați.

(2) Operatorul de date informează operatorul înainte de orice modificare preconizată în legătură cu implicarea sau înlocuirea unui subcontractant. Operatorul se poate opune implicării sau înlocuirii preconizate a unui subcontractant pentru un motiv important în temeiul legislației privind protecția datelor.

(3) Obiecția cu privire la implicarea sau înlocuirea preconizată a unui subcontractant trebuie să fie ridicată în termen de 2 săptămâni de la primirea informațiilor privind schimbarea. Dacă nu se ridică nicio obiecție, implicarea sau înlocuirea se consideră aprobată. În cazul în care există un motiv important în temeiul legislației privind protecția datelor și nu este posibilă o soluție amiabilă între operator și subcontractant, operatorul are un drept special de reziliere la sfârșitul lunii următoare contestării.

(4) Atunci când angajează subcontractanți, operatorul de date îi obligă pe aceștia în conformitate cu dispozițiile prezentului acord.

(5) O relație de subcontractant în sensul prezentelor dispoziții nu există în cazul în care persoana împuternicită de operator comisionează terților servicii care sunt considerate servicii pur auxiliare. Acestea includ, de exemplu, serviciile poștale, de transport și de expediere, serviciile de curățenie, serviciile de telecomunicații fără nicio referire specifică la serviciile furnizate operatorului de către persoana împuternicită de către operator și serviciile de pază. Serviciile de întreținere și testare constituie relații de subprocesare care necesită consimțământ în măsura în care sunt furnizate pentru sisteme IT care sunt, de asemenea, utilizate în legătură cu furnizarea de servicii pentru operator.

§ 9 Solicitări și drepturi ale persoanelor vizate

(1) Prelucrătorul de date sprijină operatorul cu măsuri tehnice și organizatorice adecvate în îndeplinirea obligațiilor operatorului în temeiul articolelor 12-22 și 32-36 din RGPD.

(2) În cazul în care o persoană vizată își exercită drepturile, cum ar fi dreptul de acces, de rectificare sau de ștergere cu privire la datele sale, direct împotriva persoanei împuternicite de operator, aceasta din urmă nu reacționează independent, ci trimite persoana vizată la operator și așteaptă instrucțiunile operatorului.

§ 10 Răspunderea civilă

(1) În relația internă cu persoana împuternicită de operator, numai operatorul este răspunzător față de persoana vizată pentru repararea prejudiciului suferit de aceasta din cauza prelucrării inadmisibile sau incorecte a datelor în conformitate cu legislația privind protecția datelor sau a utilizării în cadrul domeniului de aplicare al prelucrării comandate.

(2) Operatorul de date are o răspundere nelimitată pentru prejudiciu în măsura în care cauza prejudiciului se bazează pe o încălcare intenționată sau din neglijență gravă a obligațiilor de către operatorul de date, reprezentantul său legal sau agentul său indirect.

(3) Operatorul de date este răspunzător numai pentru comportamentul neglijent în cazul încălcării unei obligații a cărei îndeplinire este o condiție prealabilă pentru buna executare a contractului și pe a cărei respectare operatorul se bazează în mod regulat și se poate baza, dar limitată la prejudiciul mediu tipic pentru contract. În toate celelalte privințe, răspunderea Operatorului - inclusiv pentru agenții săi vicari - este exclusă.

(4) Limitarea răspunderii în conformitate cu § 10.3 nu se aplică cererilor de despăgubire care decurg din vătămarea vieții, a corpului, a sănătății sau din asumarea unei garanții.

§ 11 Încetarea contractului principal

(1) După încetarea Contractului principal, Operatorul de date returnează Operatorului toate documentele, datele și suporturile de date care i-au fost furnizate sau - la cererea Operatorului, cu excepția cazului în care există o obligație de a stoca datele cu caracter personal în temeiul dreptului Uniunii sau al dreptului Republicii Federale Germania - le șterge. Acest lucru se aplică, de asemenea, oricăror copii de siguranță ale datelor la autoritatea de prelucrare a datelor. Prelucrătorul de date furnizează, la cerere, o dovadă documentată a ștergerii corespunzătoare a oricăror date.

(2) Operatorul are dreptul de a controla în mod corespunzător returnarea sau ștergerea completă și contractuală a datelor la operatorul de date.

(3) Operatorul de date este obligat să păstreze confidențialitatea datelor de care a luat cunoștință în legătură cu contractul principal chiar și după încheierea contractului principal. Prezentul acord rămâne valabil după încheierea contractului principal atât timp cât operatorul de date are la dispoziție date cu caracter personal care i-au fost transmise de operator sau pe care le-a colectat pentru operator.

§ 12 Dispoziții finale

(1) În măsura în care Prelucrătorul de date nu efectuează în mod expres acțiuni de asistență în temeiul prezentului acord în mod gratuit, acesta poate percepe Controlorului o taxă rezonabilă în acest sens, cu excepția cazului în care acțiunile sau omisiunile proprii ale Prelucrătorului de date au făcut această asistență direct necesară.

(2) Modificările și completările la prezentul acord trebuie să fie făcute în scris. Aceasta se aplică, de asemenea, oricărei derogări de la această cerință formală. Prioritatea acordurilor contractuale individuale rămâne neschimbată.

(3) În cazul în care anumite dispoziții ale prezentului acord sunt sau devin total sau parțial invalide sau inaplicabile, acest lucru nu afectează validitatea celorlalte dispoziții.

(4) Prezentul acord se supune legislației germane.

Anexa 1 - Descrierea datelor/categoriilor de date și a persoanelor vizate/grupurilor de persoane vizate afectate

Tipul de client Categorii de persoane vizate Categorii de date
Conturile societății Angajați Nume, date de contact, poziție, departament, fotografie, detalii despre companie, linkuri către rețelele de socializare
Conturi de companie și utilizatori individuali Părțile interesate Adresa IP (oraș, țară), date de contact, nume, companie, mesaj (opțional)

Anexa 2 - Măsuri tehnice și organizatorice ale operatorului de date

1. Introducere

Acest document sintetizează măsurile tehnice și organizatorice luate de către operator în sensul art. 32 alin. 1 GDPR. Acestea sunt măsurile luate de către Procesator pentru a proteja datele cu caracter personal. Scopul documentului este de a sprijini Operatorul în îndeplinirea obligațiilor sale de responsabilitate în temeiul art. 5 alin. 2 GDPR.

2. Confidențialitate (art. 32 alin. 1 lit. b GDPR)

2.1 Controlul intrării

Următoarele măsuri implementate împiedică accesul persoanelor neautorizate la sistemele de prelucrare a datelor:

  • Lucrul de acasă: persoanele neautorizate nu au acces la locuințele angajaților

  • Lucrul în biroul de acasă: instruirea angajaților să lucreze într-un birou separat de camera lor de zi, dacă este posibil

2.2 Controlul admiterii

Următoarele măsuri implementate împiedică accesul persoanelor neautorizate la sistemele de prelucrare a datelor:

  • Autentificare cu utilizator și parolă

  • Utilizarea firewall-urilor

  • Utilizarea gestionării dispozitivelor mobile

  • Criptarea suporturilor de date

  • Blocare automată a desktop-ului

  • Gestionarea autorizațiilor utilizatorilor

  • Crearea profilurilor de utilizator

  • Reguli privind parola centrală

  • Utilizarea autentificării cu 2 factori

  • Politica companiei privind parolele securizate

  • Instrucțiuni generale pentru blocarea manuală a desktop-ului atunci când părăsiți stația de lucru

2.3 Controlul accesului

Următoarele măsuri implementate asigură că persoanele neautorizate nu au acces la datele cu caracter personal:

  • Înregistrarea accesului la aplicații (în special la introducerea, modificarea și ștergerea datelor)

  • Numărul de administratori este cât mai mic posibil

  • Gestionarea drepturilor utilizatorilor de către administratorii de sistem

  • Instruirea angajaților că datele vor fi șterse numai după consultare

2.4 Controlul separării

Următoarele măsuri garantează că datele cu caracter personal colectate în scopuri diferite sunt prelucrate separat:

  • stocare separată fizic pe sisteme sau suporturi de date separate

  • Separarea sistemelor de producție și de testare

  • Separarea logică a clienților (pe partea de software)

  • Definirea drepturilor asupra bazei de date

  • Instrucțiunea internă de a anonimiza/pseudonimiza datele cu caracter personal în cazul divulgării sau după expirarea perioadei legale de ștergere, dacă este posibil.

3. Integritate (art. 32 alin. 1 lit. b GDPR)

3.1 Controlul transferului

Se asigură că datele cu caracter personal nu pot fi citite, copiate, modificate sau eliminate fără autorizație în timpul transmiterii sau stocării pe suporturi de date și că este posibil să se verifice ce persoane sau organisme au primit date cu caracter personal. Următoarele măsuri au fost puse în aplicare pentru a asigura acest lucru:

  • Criptare WLAN (WPA2 cu parolă puternică)

  • Înregistrarea accesărilor și extragerilor

  • Furnizarea de date prin conexiuni criptate, cum ar fi SFTP sau HTTPS

  • Interzicerea încărcării datelor companiei pe servere externe

3.2 Controlul intrării

Următoarele măsuri asigură posibilitatea de a verifica cine a prelucrat date cu caracter personal în sistemele de prelucrare a datelor și în ce moment:

  • Înregistrarea introducerii, modificării și ștergerii datelor

  • Controlul manual sau automat al jurnalelor

  • Trasabilitatea introducerii, modificării și ștergerii datelor prin intermediul numelor de utilizatori individuali (nu al grupurilor de utilizatori)

  • Responsabilități clare pentru ștergeri

legal.dpa.latest.annexes.2.3.2.text.6

4. Disponibilitate și reziliență (art. 32 alin. 1 lit. b GDPR)

Următoarele măsuri asigură că datele cu caracter personal sunt protejate împotriva distrugerii sau pierderii accidentale și sunt întotdeauna disponibile pentru client:

  • Extinctoare de incendiu în camerele serverelor

  • Dispozitive pentru monitorizarea temperaturii și umidității în sălile de servere

  • Aer condiționat în camerele serverului

  • Benzi de protecție pentru prize în sălile de servere

  • Sursă de alimentare neîntreruptibilă (UPS)

  • Supraveghere video în camerele serverelor

  • Mesaj de alarmă pentru accesul neautorizat în camerele serverelor

  • Copii de rezervă regulate

  • Verificarea procesului de backup

  • Stocarea copiilor de siguranță ale datelor într-o locație sigură, în afara amplasamentului

  • Teste regulate de recuperare a datelor și înregistrarea rezultatelor

  • Nu există instalații sanitare în sau deasupra camerei serverului

  • găzduire (cel puțin a celor mai importante date) la un hoster profesionist

5. Proceduri de revizuire, apreciere și evaluare periodică (art. 32 alin. 1 lit. d RGPD; art. 25 alin. 1 RGPD)

5.1 Gestionarea protecției datelor

Următoarele măsuri sunt menite să asigure că organizația îndeplinește cerințele de bază ale legislației privind protecția datelor:

  • Utilizarea platformei heyData pentru gestionarea protecției datelor

  • Numirea responsabilului cu protecția datelor heyData

  • Obligația angajaților de a păstra secretul datelor

  • Formarea periodică a angajaților în domeniul protecției datelor

  • Menținerea unei imagini de ansamblu a activităților de prelucrare (articolul 30 din GDPR)

5.2 Gestionarea răspunsului la incidente

Următoarele măsuri sunt menite să asigure declanșarea proceselor de raportare în cazul încălcării protecției datelor:

  • Procesul de raportare a încălcărilor protecției datelor în conformitate cu Art. 4 nr. 12 GDPR către autoritățile de supraveghere (art. 33 GDPR)

  • Procesul de notificare a încălcării securității datelor în conformitate cu Art. 4 nr. 12 GDPR către persoanele vizate (art. 34 GDPR)

  • Implicarea responsabilului cu protecția datelor în incidente de securitate și încălcări ale securității datelor

  • Utilizarea firewall-urilor

5.3 Setări implicite favorabile protecției datelor (art. 25 alin. 2 GDPR)

Următoarele măsuri sunt menite să asigure declanșarea proceselor de raportare în cazul încălcării protecției datelor:

  • Procesul de raportare a încălcărilor protecției datelor în conformitate cu Art. 4 nr. 12 GDPR către autoritățile de supraveghere (art. 33 GDPR)

  • Procesul de notificare a încălcării securității datelor în conformitate cu Art. 4 nr. 12 GDPR către persoanele vizate (art. 34 GDPR)

5.4 Controlul comenzilor

Următoarele măsuri garantează că datele cu caracter personal pot fi prelucrate numai în conformitate cu instrucțiunile:

  • Instrucțiuni scrise către contractant sau instrucțiuni sub formă de text (de exemplu, printr-un acord de prelucrare a datelor)

  • Asigurarea distrugerii datelor după finalizarea comenzii, de exemplu prin solicitarea confirmărilor corespunzătoare

  • Confirmarea din partea contractanților că își obligă proprii angajați să păstreze secretul datelor (de obicei în acordul de prelucrare a datelor)

  • Selectarea atentă a contractanților (în special în ceea ce privește securitatea datelor)

  • Evaluarea continuă a contractanților și a activităților acestora

  • Asigurarea distrugerii datelor după finalizarea comenzii, de exemplu prin solicitarea confirmărilor corespunzătoare

Anexa 3 - Subprocesatorii actuali

Toți subprelucrătorii din SUA sunt certificați în conformitate cu [Data Privacy Framework] (https://www.dataprivacyframework.gov/).

Nume Adresa Funcția Locația serverului
Hetzner Online GmbH Industriestr. 25, 91710 Gunzenhausen, Germany Găzduire și infrastructură UE
Cloudflare, Inc. 101 Townsend Street, San Francisco, CA 94107, USA Rețeaua de livrare de conținut și securitate Global, în funcție de locația utilizatorului
ActiveCampaign, LLC 1 N Dearborn St., 5th Floor, Chicago, Illinois 60602, USA Livrare e-mail SUA
Functional Software, Inc. 132 Hawthorne Street San Francisco, CA 94107, USA Raportarea și monitorizarea erorilor UE
Microsoft Ireland Operations, Ltd. One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Ireland Serviciul Clienți și comunicare UE
HubSpot, Inc. 25 1st Street Cambridge, MA 0214, USA Serviciul Clienți și comunicare UE

Versiunea 1.3, în vigoare de la 10 aprilie 2024

Doriți o copie semnată a acordului nostru de prelucrare a datelor?
Imprimați acest Acord de prelucrare a datelor și trimiteți o versiune semnată la privacy@spreadly.app, cu numărul dvs. de client atașat. Veți primi o versiune semnată de la noi în următoarele zile lucrătoare.