Acord privind prelucrarea datelor cu caracter personal

Această Anexă la Termenii și Condițiile de utilizare a serviciilor theMarketer stabilește regulile specifice privind prelucrarea datelor cu caracter personal de către theMarketer, în calitate de Persoană Împuternicită/Mandatar pentru Beneficiar, în calitate de Operator.

Pentru aspectele legate de prelucrarea datelor cu caracter personal de către Furnizor în calitate de operator, acestea sunt detaliate în informarea persoanelor vizate disponibilă la https://www.themarketer.com/privacy-policy în conformitate cu prevederile:

Părțile convin următoarele:

2.1. Obiectul prelucrării

Prelucrarea datelor cu caracter personal se realizează în scopul furnizării serviciilor în conformitate cu Termenii și Condițiile disponibile pe site-ul theMarketer, setările și implementările specifice realizate de fiecare Beneficiar în parte și în scopuri statistice. Transferul datelor către țări terțe se va efectua doar pe baza unei instrucțiuni scrise, în limitele și cu respectarea instrucțiunii primite de la Operator, conform Articolului 9.

2.2. Instrucțiuni specifice

Beneficiarul autorizează prin prezenta Persoana Împuternicită, în funcție de setările și implementările specifice realizate de fiecare Beneficiar, să:

Prelucrarea datelor cu caracter personal se va efectua conform instrucțiunilor Operatorului, dar perioada nu poate depăși durata specificată în Termenii și Condițiile.

În conformitate cu Termenii și Condițiile dintre cele două părți, precum și cu scopul prelucrării stabilit la Articolul 2, prelucrarea datelor cu caracter personal se realizează în scopul serviciilor de comunicare, marketing și marketing ale theMarketer stabilite de Operator, cum ar fi:

Deși majoritatea comunicărilor realizate de Persoana Împuternicită se bazează pe informațiile din profilarea utilizatorilor Operatorului, acestea nu au efect juridic și nu afectează în mod semnificativ persoana vizată. În orice caz, Operatorul poate introduce și acțiuni noi, iar doar Operatorul trebuie să se asigure că mesajele trimise nu pot fi interpretate ca având efectele prevăzute de Articolul 22 din GDPR.

5.1. Date cu caracter personal generale

Datele cu caracter personal puse la dispoziție de Operator, prelucrate în baza prezentului acord pot fi, după caz, în funcție de nivelul de integrare cu serviciul theMarketer ales:

5.2. Date cu caracter personal de natură specială/aparținând categoriilor vulnerabile de persoane vizate (de ex. minori)

Serviciul theMarketer nu este destinat colectării de date speciale sau date ale categoriilor vulnerabile de persoane vizate și avertizăm Operatorii să nu îl utilizeze în acest scop.

Cu toate acestea, este posibil ca Operatorul, dacă activează într-un domeniu specific, să poată utiliza din punct de vedere tehnic părți ale serviciilor Persoanei Împuternicite fără cunoștința acesteia.

Reamintim că este responsabilitatea Operatorului să analizeze și să aleagă temeiul juridic adecvat pe care se bazează atunci când prelucrează date cu caracter personal, inclusiv cele transmise către theMarketer pentru prelucrare de către theMarketer în calitate de Operator.

Categoriile de persoane vizate sunt vizitatorii, utilizatorii înregistrezi ai site-ului Operatorului și/sau clienții Operatorului, după caz, în funcție de serviciul ales, setările Operatorului sau implementarea specifică pe site. Este responsabilitatea Operatorului să analizeze modul în care implementarea serviciilor Persoanei Împuternicite se adresează doar grupului țintă dorit.

Conform Articolului 28 alin. (3) din Regulamentul (UE) 2016/679, contractul este obligatoriu pentru părțile contractante.

8.1. Persoana Împuternicită se obligă să nu transmită nicio dată cu caracter personal și/sau informație confidențială, care poate constitui date cu caracter personal, de care a luat cunoștință pe parcursul executării contractului, pe toată durata contractului și după încetarea acestuia.

8.2. Persoana Împuternicită se obligă să asigure, pe toată durata contractului, instruirea personalului autorizat să prelucreze date cu caracter personal cu privire la confidențialitatea acestor date.

8.3. Persoana Împuternicită se obligă să implementeze și să monitorizeze implementarea mecanismelor și procedurilor de asigurare a confidențialității datelor cu caracter personal ale Operatorului la nivel intern, pe toată durata contractului.

Persoana Împuternicită se obligă:

a. să nu copieze, reproducă, distribuie sau divulge, integral sau parțial, niciunei persoane fizice sau juridice, niciunele dintre datele cu caracter personal prelucrate și/sau aspectele conexe, cu excepțiile menționate în prezentul contract la Articolul 9, prevăzute de un act normativ obligatoriu sau cu consimțământul scris expres, inclusiv în format electronic, al Operatorului;

b. să nu reutilizeze datele cu caracter personal sau informațiile și/sau documentele conținând date cu caracter personal de care a luat cunoștință în executarea contractului, în niciun mod sau în niciun alt scop neprevăzut de prezentul contract, nici în beneficiul propriu, nici în beneficiul unui alt terț, nici gratuit, nici contra cost.

8.4. Cu titlu de excepție, Persoana Împuternicită are dreptul de a divulga anumite date cu caracter personal, inclusiv informații confidențiale, după caz, la solicitarea unei autorități, instituții publice sau instanțe judecătorești, sau a altui terț autorizat prin lege, în temeiul unei obligații legale sau a altei condiții prevăzute de lege. De asemenea, are dreptul de a utiliza date statistice anonime în conformitate cu Termenii și Condițiile.

9.1. Atunci când prelucrarea este efectuată de Persoana Împuternicită prin intermediul altor persoane împuternicite recrutate de Persoana Împuternicită (denumite în continuare „persoane împuternicite secundare"), prelucrarea se va efectua pe baza prezentului Articol.

9.2. Pe baza prezentului articol, Operatorul înțelege să autorizeze Persoana Împuternicită să prelucreze datele sale prin intermediul următoarelor persoane împuternicite secundare:

și alți colaboratori pe care, din motive de confidențialitate, nu îi putem menționa, dar toți provin din UE, SEE sau țări cu un nivel adecvat de protecție recunoscut prin decizia Comisiei Europene (Art. 45 GDPR) sau alte garanții adecvate, inclusiv clauze standard de protecție a datelor (Art. 46 (2) GDPR) și au standarde de securitate cel puțin la nivelul celor asigurate de Persoana Împuternicită în conformitate cu Art. 28 (4) din GDPR.

9.3. Pentru viitoarele persoane împuternicite secundare, Persoana Împuternicită va primi o autorizare generală pentru subcontractarea cu orice altă Persoană Împuternicită din UE, SEE sau țări cu un nivel adecvat de protecție recunoscut printr-o decizie a Comisiei Europene sau alte garanții adecvate, în baza unui contract similar, informând Operatorul și oferindu-i posibilitatea de a obiecta în termen de 5 zile lucrătoare.

Persoana Împuternicită a stabilit implementarea unor măsuri adecvate de securitate organizatorică și tehnică internă. Măsurile menționate la punctul 10 sunt centralizate în Politica Internă de Securitate.

10.1. Încălcarea securității datelor și mecanismul de asistență tehnică

În funcție de domeniul de aplicare al serviciilor furnizate, conform Articolului 4 din prezentul contract, Persoana Împuternicită va asista Operatorul în notificarea acestuia cât mai curând posibil, fără întârzieri nejustificate, cu privire la o încălcare a securității datelor, o încălcare survenită în sistemele informatice ale Persoanei Împuternicite și/sau în prelucrarea efectuată de Persoana Împuternicită pentru Operator, după cum urmează:

a. Persoana Împuternicită va lua toate măsurile tehnic posibile pentru a identifica cauza și a remedia situația care a condus la încălcarea securității datelor cât mai curând posibil;

b. Persoana Împuternicită va salva și/sau captura toate informațiile tehnice posibile pentru a dovedi că a avut loc încălcarea securității datelor, condițiile și cauzele în care s-a produs și efectele atât asupra datelor cu caracter personal, cât și asupra persoanelor vizate ale căror date au fost afectate, în măsura în care este tehnic posibil;

c. Persoana Împuternicită va lua toate măsurile tehnice posibile pentru a remedia o posibilă situație viitoare de încălcare a securității datelor identică și/sau similară, după caz și în măsura în care este tehnic fezabil;

d. Persoana Împuternicită va centraliza toate informațiile menționate la 10.1(a-c) și le va pune la dispoziția Operatorului fără întârziere;

e. Persoana Împuternicită nu se va substitui Operatorului, care este singurul responsabil pentru notificarea autorității naționale de supraveghere.

În măsura în care Operatorul este obligat să notifice autoritatea națională de supraveghere și/sau persoanele vizate, Persoana Împuternicită va asista Operatorul în îndeplinirea acestor obligații, după cum urmează:

e.1. va răspunde prompt oricărei solicitări primite de la Operator și/sau autoritatea națională de supraveghere în termenul impus de autoritate și/sau în termen de 2 zile lucrătoare în relația cu Operatorul;

e.2. va pune la dispoziția Operatorului și/sau autorității naționale de supraveghere toate informațiile și/sau dispozitivele necesare pentru verificare în cazul unei inspecții în legătură cu Operatorul;

e.3. va transmite, la cererea Operatorului, notificarea către persoanele vizate prin e-mail; orice altă formă de comunicare solicitată de autoritate va fi efectuată exclusiv de Operator și pe cheltuiala Operatorului, cu excepția cazului în care se constată culpa Persoanei Împuternicite.

10.2. Cooperarea dintre Operator și Persoana Împuternicită

a. Persoana Împuternicită acționează pe baza instrucțiunilor date de Operator în conformitate cu Articolul 2, sub autoritatea acestuia și prelucrează datele cu caracter personal ale persoanelor vizate așa cum au fost obținute de Operator. Atunci când Persoana Împuternicită colectează date cu caracter personal în baza prezentului contract, o face exclusiv în numele Operatorului.

b. În relația cu Operatorul, Persoana Împuternicită nu stabilește niciodată scopurile sau mijloacele de prelucrare a datelor cu caracter personal, nici categoriile specifice de persoane vizate, nici atunci când consiliază Operatorul cu privire la diverse mijloace de prelucrare.

c. Este responsabilitatea exclusivă a Operatorului să stabilească temeiul juridic pentru fiecare operațiune de prelucrare, să selecteze categoria de persoane vizate, să le informeze în mod adecvat și, după caz, să obțină consimțământul persoanelor vizate pentru prelucrarea datelor cu caracter personal acoperite de prezentul contract sau să utilizeze un alt temei juridic, inclusiv atunci când Persoana Împuternicită colectează date cu caracter personal în numele Operatorului.

d. În toate situațiile în care Operatorul este cel căruia îi revine obligația de a îndeplini o obligație, cum ar fi, de exemplu, informarea persoanei vizate cu privire la o încălcare a securității datelor cu caracter personal, Persoana Împuternicită nu poate fi trasă la răspundere pentru inacțiunile Operatorului în limitele respectivei obligații.

e. Operatorul și Persoana Împuternicită își vor delimita responsabilitățile pentru asigurarea protecției datelor cu caracter personal (de ex. asigurarea confidențialității sau securității prelucrării), în funcție de accesul efectiv la date și controlul asupra acestora, atât contractual, cât și tehnic.

f. Dacă Persoana Împuternicită încalcă GDPR prin stabilirea scopurilor și mijloacelor de prelucrare a datelor cu caracter personal și/sau prin nerespectarea acestora, Persoana Împuternicită va fi considerată operator exclusiv în ceea ce privește prelucrarea respectivă.

Responsabilul cu Protecția Datelor al theMarketer este => Alina Ionciu

theMarketer International SRL

În atenția => Responsabilului cu Protecția Datelor din cadrul theMarketer

Adresă => Str. Badea Cartan 66, Sector 2, Bucharest, Office 3, zone II, Room 2, Bl. 40, Sc.A, Et.5, Ap.26

e-mail => [email protected]

Operatorul are posibilitatea de a nominaliza un responsabil cu protecția datelor în contul său de pe platforma theMarketer.

12.1. Operatorul are următoarele drepturi:

a. de a decide dacă permite sau nu subcontractarea Persoanelor Împuternicite Secundare de către Persoana Împuternicită în condițiile Articolului 9;

b. de a primi informații sau de a verifica, direct sau prin intermediul unui auditor mandatat, modul în care Persoana Împuternicită implementează măsuri tehnice și organizatorice adecvate astfel încât prelucrarea să respecte cerințele GDPR și protecția drepturilor persoanei vizate să fie asigurată; verificarea se va desfășura pe baza unei notificări prealabile scrise, inclusiv prin e-mail, transmise cu 10 zile lucrătoare înainte de verificare;

c. de a primi asistență din partea Persoanei Împuternicite în îndeplinirea obligației sale de a răspunde cererilor privind exercitarea de către persoana vizată a drepturilor sale specifice.

12.2. Persoana Împuternicită are următoarele drepturi:

a. de a recruta Persoane Împuternicite Secundare, care depășesc autorizarea generală și specială prevăzută de Articolele 9.2 și 9.3, numai dacă a primit aprobarea Operatorului;

b. de a acoperi costurile furnizării asistenței Operatorului în situațiile menționate la Articolele 10.1.e, 12.1.b și 12.1.c.

c. de a utiliza informații statistice conținând exclusiv date anonimizate rezultate din activitățile desfășurate în baza prezentului contract și/sau din întreaga activitate a Persoanei Împuternicite, în scopul cercetării proprii, analizei și promovării serviciilor Persoanei Împuternicite.

13.1. Persoana Împuternicită are următoarele obligații:

a. de a acționa exclusiv pe baza instrucțiunilor legale primite de la Operator și de a informa Operatorul în termen de 5 zile dacă, în opinia Persoanei Împuternicite, o instrucțiune încalcă GDPR și/sau orice altă dispoziție legală referitoare la prelucrarea datelor cu caracter personal;

b. de a prelucra datele cu caracter personal exclusiv prin intermediul serviciilor acoperite de prezentul contract, în conformitate cu instrucțiunile și cerințele legale ale Operatorului, în conformitate cu prezentul contract, anexele sale și cu reglementările relevante în vigoare;

c. de a respecta confidențialitatea datelor cu caracter personal și a informațiilor care îi pot fi furnizate pe parcursul executării prezentului contract;

d. de a stabili, de comun acord cu Operatorul, termenele specifice pentru desfășurarea activităților de prelucrare care decurg din contract și de a respecta termenele pentru desfășurarea activităților de prelucrare stabilite de Operator;

e. de a informa Operatorul cu privire la stadiul și progresul activităților de prelucrare prin orice mijloace de comunicare convenite între părți;

f. de a asista Operatorul în conformitate cu Articolul 10.1. din prezentul contract, inclusiv în ceea ce privește cererile persoanelor vizate;

g. de a transmite Operatorului orice cerere primită (de ex. solicitare, sesizare, plângere etc.) în legătură cu datele cu caracter personal care au fost colectate și prelucrate de Persoana Împuternicită în baza contractului comercial dintre părți;

h. de a șterge sau returna Operatorului toate datele cu caracter personal după încetarea furnizării serviciilor legate de prelucrare și de a elimina copiile existente în termen de maximum 3 luni.

i. de a furniza Operatorului toate informațiile necesare pentru a demonstra conformitatea cu obligațiile sale în temeiul GDPR;

j. de a permite efectuarea de audituri, inclusiv inspecții, de către Operator sau alt auditor mandatat și de a contribui la acestea cu informațiile necesare.

13.2. Operatorul are următoarele obligații:

14.1. Persoana Împuternicită va fi răspunzătoare pentru orice prejudiciu cauzat de prelucrare dacă nu și-a respectat obligațiile în temeiul GDPR în mod specific și în conformitate cu regulile de cooperare stabilite la Articolul 10.2 din prezentul contract.

14.2. Persoana Împuternicită va fi răspunzătoare pentru prejudiciul cauzat de prelucrare dacă acționează în afara sau contrar instrucțiunilor legale ale Operatorului.

14.3. Dacă Persoana Împuternicită a recrutat o persoană împuternicită secundară și aceasta din urmă nu își respectă obligațiile de protecție a datelor, Persoana Împuternicită rămâne pe deplin răspunzătoare față de Operator pentru îndeplinirea obligațiilor persoanei împuternicite secundare.

14.4. Exonerare de răspundere. Operatorul este de acord să despăgubească și să exonereze Persoana Împuternicită de orice răspundere pentru daunele rezultate din:

a. neexecutarea contractului din cauza unor evenimente care depășesc orice răspundere a Persoanei Împuternicite;

b. nerespectarea contractului din cauza acțiunilor Operatorului;

c. conformarea cu instrucțiunile Operatorului sau neconformarea cu instrucțiunile Operatorului justificată în prealabil printr-o notificare de ilegalitate;

d. lipsa sau vicierea consimțământului persoanelor vizate.

Nicio parte nu va fi răspunzătoare pentru daunele cauzate de evenimente pentru care dovedește că nu poartă nicio responsabilitate, cum ar fi documente emise de autorități care atestă producerea unui eveniment de forță majoră.

Prezentul contract este dependent de statutul juridic al Termenilor și Condițiilor în ceea ce privește obiectele care implică prelucrarea datelor cu caracter personal menționate la Articolul 2.1 și se aplică cu prioritate față de Termenii și Condițiile, care conțin norme de drept comun.