Acord de prelucrare a datelor — flydeal.ro
Acasă Prețuri Cum funcționează Contact
Conectare
sau continuă cu
Google Facebook

Acord de prelucrare a datelor

Ultima actualizare: 1 martie 2026

Acest Acord de prelucrare a datelor („DPA") este încheiat între utilizatorul serviciului de alerte oferte de zbor flydeal.ro („Operator", „dumneavoastră") și Back Hills Assets LLC, o companie înregistrată în statul Delaware, Statele Unite („Persoana împuternicită", „flydeal.ro", „noi" sau „nostru").

Acest DPA constituie parte integrantă a Termenilor și condițiilor („Acordul") dintre Operator și Persoana împuternicită și reglementează prelucrarea datelor cu caracter personal de către Persoana împuternicită în numele Operatorului în legătură cu furnizarea serviciului de alerte oferte de zbor flydeal.ro („Serviciul").

Acest DPA este conceput pentru a asigura conformitatea cu Articolul 28 din Regulamentul General privind Protecția Datelor (UE) 2016/679 („GDPR") și cu toate celelalte legi aplicabile privind protecția datelor și va fi interpretat în conformitate cu GDPR.

Prin utilizarea Serviciului, Operatorul acceptă termenii acestui DPA. Dacă Operatorul nu este de acord cu acest DPA, nu trebuie să utilizeze Serviciul.

1. Definiții

În sensul prezentului DPA, termenii următori au semnificațiile stabilite mai jos. Toți termenii cu majusculă care nu sunt definiți în prezentul document au semnificațiile care le sunt atribuite în GDPR sau în Acord.

  • „Operator" înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal, conform definiției din Articolul 4 alineatul (7) din GDPR. În contextul prezentului DPA, Operatorul este utilizatorul Serviciului.
  • „Persoana împuternicită" înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează date cu caracter personal în numele Operatorului, conform definiției din Articolul 4 alineatul (8) din GDPR. În contextul prezentului DPA, Persoana împuternicită este Back Hills Assets LLC.
  • „Date cu caracter personal" înseamnă orice informație privind o persoană fizică identificată sau identificabilă („Persoana vizată"), conform definiției din Articolul 4 alineatul (1) din GDPR. O persoană fizică identificabilă este una care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
  • „Prelucrare" înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea, conform definiției din Articolul 4 alineatul (2) din GDPR.
  • „Persoana vizată" înseamnă persoana fizică identificată sau identificabilă la care se referă datele cu caracter personal.
  • „Sub-împuternicit" înseamnă orice terță parte angajată de Persoana împuternicită (sau de orice sub-împuternicit ulterior) pentru a prelucra date cu caracter personal în numele Operatorului.
  • „Încălcarea securității datelor cu caracter personal" înseamnă o încălcare a securității care duce la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat, în mod accidental sau ilegal, la datele cu caracter personal transmise, stocate sau prelucrate în alt mod, conform definiției din Articolul 4 alineatul (12) din GDPR.
  • „Autoritatea de supraveghere" înseamnă o autoritate publică independentă instituită de un stat membru al UE în temeiul Articolului 51 din GDPR. Autoritatea de supraveghere competentă este determinată de statul membru al UE al reședinței obișnuite, locului de muncă sau locului presupusei încălcări a Persoanei vizate.
  • „Clauze contractuale standard" (CCS) înseamnă clauzele contractuale aprobate de Comisia Europeană în temeiul Articolului 46 alineatul (2) litera (c) din GDPR pentru transferul de date cu caracter personal către țări din afara Spațiului Economic European (SEE) care nu beneficiază de o decizie de adecvare.
  • „SEE" înseamnă Spațiul Economic European, cuprinzând statele membre ale Uniunii Europene, plus Islanda, Liechtenstein și Norvegia.

2. Domeniul de aplicare și scopul prelucrării

2.1 Domeniul de aplicare

Acest DPA se aplică tuturor operațiunilor de prelucrare a datelor cu caracter personal efectuate de Persoana împuternicită în numele Operatorului în legătură cu furnizarea Serviciului. Persoana împuternicită va prelucra datele cu caracter personal doar în măsura necesară pentru îndeplinirea obligațiilor sale în temeiul Acordului și în conformitate cu instrucțiunile documentate ale Operatorului.

2.2 Scopul prelucrării

Persoana împuternicită va prelucra datele cu caracter personal în numele Operatorului în următoarele scopuri specifice:

  • Crearea, menținerea și gestionarea conturilor de utilizator, inclusiv autentificarea, securitatea și recuperarea conturilor.
  • Stocarea și prelucrarea preferințelor de călătorie (aeroporturi de plecare, preferințe de destinație, intervale de buget, flexibilitate a datelor de călătorie) pentru generarea de alerte personalizate de oferte de zbor.
  • Livrarea notificărilor și alertelor de oferte de zbor prin email.
  • Procesarea plăților de abonament și gestionarea facturării prin procesatori de plăți autorizați.
  • Furnizarea de asistență pentru clienți și răspunsul la solicitările legate de Serviciu.
  • Generarea de analize anonimizate și agregate pentru monitorizarea, menținerea și îmbunătățirea Serviciului.
  • Asigurarea securității, integrității și disponibilității Serviciului și a infrastructurii sale de bază.
  • Respectarea obligațiilor legale aplicabile, inclusiv cerințele fiscale, contabile și de reglementare.

2.3 Durata prelucrării

Persoana împuternicită va prelucra datele cu caracter personal pe durata Acordului, cu excepția cazului în care se convine altfel în scris sau legislația aplicabilă prevede altfel. La încetarea Acordului, se aplică prevederile Secțiunii 13 (Returnarea și ștergerea datelor).

3. Categoriile de persoane vizate

Datele cu caracter personal prelucrate în temeiul prezentului DPA se referă la următoarele categorii de Persoane vizate:

  • Utilizatori înregistrați: Persoane fizice care au creat un cont pe platforma flydeal.ro, inclusiv utilizatorii planului Gratuit, planului Pro, planului Max și planului Ultra.
  • Vizitatorii site-ului: Persoane fizice care vizitează site-ul flydeal.ro și ale căror date pot fi colectate prin cookie-uri și tehnologii similare, așa cum este descris în Politica noastră privind cookie-urile.
  • Contactele de asistență pentru clienți: Persoane fizice care contactează flydeal.ro pentru asistență, solicitări sau feedback și ale căror date cu caracter personal sunt prelucrate în legătură cu respectivele comunicări.

4. Tipurile de date cu caracter personal

Următoarele categorii de date cu caracter personal sunt prelucrate în temeiul prezentului DPA:

  • Date de identitate: Adresa de email (utilizată ca identificator de cont).
  • Date de contact: Adresa de email.
  • Date de cont: Identificator de cont, parolă hashing, data creării contului, tipul de plan și starea contului.
  • Date privind preferințele de călătorie: Aeroportul/aeroporturile de plecare preferate, preferințe de destinație (regiuni, țări sau orașe specifice), intervale de buget, flexibilitate a datelor de călătorie, preferințe de durată a călătoriei, configurații de rute personalizate (planul Max).
  • Date privind preferințele de comunicare: Canalele de notificare alese (email), setările frecvenței notificărilor, starea de înscriere pentru comunicări promoționale.
  • Date de plată și abonament: Tipul de plan, datele de început și încheiere ale abonamentului, datele ciclului de facturare, identificatori de tranzacție, ultimele patru cifre ale cardului de plată, marca cardului, data de expirare a cardului, țara de facturare. Detaliile complete ale cardului de plată sunt procesate exclusiv de Stripe și nu sunt stocate de Persoana împuternicită.
  • Date de utilizare: Pagini vizitate, funcționalități utilizate, oferte vizualizate și cu care s-a interacționat, alerte deschise și accesate, durata sesiunii și marcajele temporale ale interacțiunilor.
  • Date tehnice: Adresa IP, tipul și versiunea browserului, sistemul de operare, tipul dispozitivului, rezoluția ecranului, setările de limbă ale dispozitivului și identificatorii unici ai dispozitivului.
  • Date de asistență: Conținutul solicitărilor de asistență, corespondența și feedback-ul furnizat de Persoana vizată.

Persoana împuternicită nu prelucrează categorii speciale de date cu caracter personal (conform definiției din Articolul 9 din GDPR) sau date cu caracter personal referitoare la condamnări penale și infracțiuni (conform definiției din Articolul 10 din GDPR) în temeiul prezentului DPA.

5. Obligațiile Persoanei împuternicite

Persoana împuternicită va:

5.1 Instrucțiuni de prelucrare

  • Prelucrarea datelor cu caracter personal doar pe baza instrucțiunilor documentate ale Operatorului, inclusiv în ceea ce privește transferurile de date cu caracter personal către o țară terță sau o organizație internațională, cu excepția cazului în care legislația Uniunii sau a statului membru la care este supusă Persoana împuternicită o impune. În acest caz, Persoana împuternicită va informa Operatorul cu privire la această cerință legală înainte de prelucrare, cu excepția cazului în care legislația respectivă interzice o astfel de notificare din motive importante de interes public.
  • Informarea imediată a Operatorului dacă, în opinia Persoanei împuternicite, o instrucțiune încalcă GDPR sau alte prevederi ale Uniunii sau ale statelor membre privind protecția datelor.

5.2 Confidențialitate

  • Asigurarea că toate persoanele autorizate să prelucreze date cu caracter personal și-au asumat angajamentul de confidențialitate sau sunt supuse unei obligații legale de confidențialitate corespunzătoare.
  • Limitarea accesului la datele cu caracter personal la acei angajați, contractori și agenți care au nevoie de acces pentru a-și îndeplini sarcinile în legătură cu Serviciul și care au fost instruiți cu privire la obligațiile de protecție a datelor.

5.3 Securitate

  • Implementarea unor măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului, în conformitate cu Articolul 32 din GDPR, astfel cum este descris în Secțiunea 8 (Măsuri de securitate a datelor) a prezentului DPA.

5.4 Sub-prelucrare

  • A nu recurge la un alt operator (sub-împuternicit) fără autorizarea prealabilă, generală sau specifică, în scris, a Operatorului, astfel cum este descris în Secțiunea 7 (Sub-împuterniciți) a prezentului DPA.

5.5 Asistarea Operatorului

  • Asistarea Operatorului, ținând cont de natura prelucrării, prin măsuri tehnice și organizatorice adecvate, în măsura în care acest lucru este posibil, pentru îndeplinirea obligației Operatorului de a răspunde cererilor de exercitare a drepturilor Persoanei vizate în temeiul Capitolului III din GDPR (dreptul de acces, rectificare, ștergere, restricționare, portabilitate și opoziție).
  • Asistarea Operatorului în asigurarea conformității cu obligațiile prevăzute la Articolele 32-36 din GDPR (securitatea prelucrării, notificarea încălcărilor securității datelor cu caracter personal, comunicarea încălcărilor către persoanele vizate și evaluările de impact asupra protecției datelor), ținând cont de natura prelucrării și de informațiile de care dispune Persoana împuternicită.

5.6 Demonstrarea conformității

  • Punerea la dispoziția Operatorului a tuturor informațiilor necesare pentru a demonstra conformitatea cu obligațiile prevăzute la Articolul 28 din GDPR și în prezentul DPA, și a permite și contribui la audituri, inclusiv inspecții, efectuate de Operator sau de un alt auditor mandatat de Operator, astfel cum este descris în Secțiunea 10 (Audituri și inspecții) a prezentului DPA.

6. Obligațiile Operatorului

Operatorul va:

  • Asigurarea că are o bază legală pentru prelucrarea datelor cu caracter personal și că toate consimțământurile, autorizațiile și notificările necesare au fost obținute sau furnizate în conformitate cu legislația aplicabilă privind protecția datelor.
  • Furnizarea către Persoana împuternicită a instrucțiunilor documentate privind prelucrarea datelor cu caracter personal și informarea promptă a Persoanei împuternicite cu privire la orice modificări ale acestor instrucțiuni.
  • Asigurarea că datele cu caracter personal furnizate Persoanei împuternicite sunt exacte, complete și actualizate.
  • Respectarea obligațiilor sale în calitate de Operator în temeiul GDPR și al legislației aplicabile privind protecția datelor.
  • Notificarea promptă a Persoanei împuternicite cu privire la orice cerere a Persoanei vizate care se referă direct la activitățile de prelucrare ale Persoanei împuternicite.

7. Persoane sub-împuternicite

7.1 Autorizare generală

Operatorul acordă prin prezenta Persoanei împuternicite o autorizare generală scrisă de a angaja persoane sub-împuternicite pentru prelucrarea datelor cu caracter personal în temeiul prezentului DPA, sub rezerva condițiilor prevăzute în prezenta Secțiune 7.

7.2 Persoane sub-împuternicite actuale

Următoarele persoane sub-împuternicite sunt în prezent angajate de Persoana împuternicită:

  • Amazon Web Services, Inc. (AWS)
    Scop: Infrastructură cloud, găzduire, stocare de date și servicii de calcul.
    Date prelucrate: Toate categoriile de date cu caracter personal enumerate în Secțiunea 4, stocate și prelucrate pe infrastructura AWS.
    Locație: Uniunea Europeană (regiunea EU-West, în principal Irlanda).
    Garanții: Anexa AWS privind prelucrarea datelor GDPR; certificări ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3.
  • Stripe, Inc.
    Scop: Procesarea plăților pentru facturarea abonamentelor (planurile Pro și Max).
    Date prelucrate: Detalii ale cardului de plată (procesate direct de Stripe), informații de facturare, identificatori de tranzacție, metadate de abonament.
    Locație: Uniunea Europeană și Statele Unite.
    Garanții: Acordul Stripe privind prelucrarea datelor; certificare PCI DSS Nivel 1; Cadrul de confidențialitate a datelor UE-SUA; Clauze contractuale standard.
  • Postmark (ActiveCampaign, LLC)
    Scop: Livrarea de e-mailuri tranzacționale și de notificare, inclusiv alerte de oferte de zbor și e-mailuri legate de serviciu.
    Date prelucrate: Adresă de e-mail, nume, conținut e-mail (detalii alerte oferte), metadate de livrare și implicare.
    Locație: Statele Unite, cu angajamente de prelucrare a datelor pentru datele UE.
    Garanții: Acord de prelucrare a datelor; Clauze contractuale standard; certificare SOC 2 Tip II.

7.3 Notificarea modificărilor

Persoana împuternicită va informa Operatorul în scris (inclusiv prin e-mail) cu privire la orice modificări intenționate ale listei persoanelor sub-împuternicite, inclusiv adăugarea sau înlocuirea acestora, cu cel puțin 14 zile calendaristice înainte ca modificarea să intre în vigoare. Notificarea va include numele persoanei sub-împuternicite, natura prelucrării și locația prelucrării datelor.

7.4 Dreptul de obiecție

Operatorul poate să se opună angajării unei noi persoane sub-împuternicite sau a uneia de înlocuire, notificând Persoana împuternicită în scris, în termen de 14 zile calendaristice de la primirea notificării descrise în Secțiunea 7.3. Obiecția trebuie să se bazeze pe motive rezonabile legate de protecția datelor. Dacă Operatorul se opune:

  • Persoana împuternicită va depune eforturi rezonabile pentru a oferi Operatorului o soluție alternativă care evită utilizarea persoanei sub-împuternicite contestate.
  • Dacă nu este disponibilă în mod rezonabil nicio alternativă și Persoana împuternicită stabilește în mod rezonabil că persoana sub-împuternicită este necesară pentru furnizarea Serviciului, oricare dintre părți poate rezilia Acordul cu un preaviz scris de 30 de zile.

7.5 Obligațiile persoanelor sub-împuternicite

Când Persoana împuternicită angajează o persoană sub-împuternicită, Persoana împuternicită va:

  • Efectuarea unei diligențe corespunzătoare pentru a se asigura că persoana sub-împuternicită este capabilă să ofere nivelul de protecție a datelor cerut de prezentul DPA și de GDPR.
  • Impunerea persoanei sub-împuternicite, prin contract scris, a acelorași obligații de protecție a datelor prevăzute în prezentul DPA, oferind în special garanții suficiente pentru implementarea unor măsuri tehnice și organizatorice adecvate.
  • Rămâne pe deplin responsabilă față de Operator pentru îndeplinirea obligațiilor persoanei sub-împuternicite în temeiul acordului de sub-prelucrare.

8. Măsuri de securitate a datelor

Persoana împuternicită va implementa și menține următoarele măsuri de securitate tehnice și organizatorice, în conformitate cu Articolul 32 din GDPR, pentru a proteja datele cu caracter personal împotriva distrugerii, pierderii, modificării, divulgării sau accesului accidental sau ilegal:

8.1 Măsuri tehnice

  • Criptare în tranzit: Toate datele transmise între utilizatori și Serviciu sunt criptate utilizând Transport Layer Security (TLS) 1.3.
  • Criptare în repaus: Toate datele cu caracter personal stocate pe servere și baze de date sunt criptate în repaus utilizând criptarea AES-256.
  • Hasharea parolelor: Parolele utilizatorilor sunt stocate folosind hasharea criptografică bcrypt cu un factor de cost ridicat, asigurând că parolele nu pot fi recuperate în text simplu.
  • Firewall și securitate de rețea: Sistemele de producție sunt protejate de firewall-uri și segmentare de rețea. Accesul la rețelele interne este restricționat la personalul autorizat prin VPN cu autentificare multifactor.
  • Detectarea intruziunilor și monitorizare: Sunt implementate sisteme de monitorizare continuă și detectare a intruziunilor pentru a identifica și răspunde la potențiale amenințări de securitate în timp real.
  • Gestionarea vulnerabilităților: Se efectuează scanări de vulnerabilități și teste de penetrare regulate. Patch-urile de securitate sunt aplicate prompt tuturor sistemelor și software-ului.
  • Copii de siguranță automatizate: Se efectuează copii de siguranță automatizate și criptate în mod regulat. Copiile sunt stocate redundant în UE și testate periodic pentru a asigura restaurarea datelor.
  • Înregistrare și trasabilitate: Accesul la datele cu caracter personal este înregistrat, iar pistele de audit sunt menținute pentru a detecta accesul neautorizat sau activitatea anomală.
  • Dezvoltare securizată: Serviciul este dezvoltat urmând practici de dezvoltare software securizat, inclusiv revizuiri de cod, analiză statică, scanarea dependențelor și teste de securitate.

8.2 Măsuri organizatorice

  • Controale de acces: Controlul accesului bazat pe roluri (RBAC) este implementat conform principiului privilegiului minim. Accesul la datele cu caracter personal este acordat doar personalului care are nevoie de acesta pentru funcțiile lor desemnate.
  • Acorduri de confidențialitate: Toți angajații și contractorii cu acces la datele cu caracter personal sunt obligați prin obligații de confidențialitate scrise.
  • Instruire în protecția datelor: Personalul implicat în prelucrarea datelor cu caracter personal primește instruire regulată privind principiile de protecție a datelor, GDPR și politicile interne de protecție a datelor ale Persoanei împuternicite.
  • Plan de răspuns la incidente: Un plan documentat de răspuns la incidente este menținut și testat pentru a asigura un răspuns prompt și eficient la încălcările securității datelor cu caracter personal și alte incidente de securitate.
  • Continuitatea afacerii și recuperare în caz de dezastru: Planurile de continuitate a afacerii și de recuperare în caz de dezastru sunt menținute și testate periodic pentru a asigura disponibilitatea și reziliența sistemelor de prelucrare.
  • Gestionarea riscurilor furnizorilor: Persoanele sub-împuternicite sunt supuse evaluărilor de diligență și monitorizării continue pentru a se asigura că mențin standarde adecvate de protecție a datelor și securitate.

9. Notificarea încălcărilor de date

9.1 Notificarea Operatorului

În cazul unei Încălcări a Securității Datelor cu Caracter Personal, Persoana împuternicită va notifica Operatorul fără întârziere nejustificată și în orice caz nu mai târziu de 48 de ore de la luarea la cunoștință a încălcării. Notificarea va fi transmisă prin e-mail la adresa de e-mail înregistrată a Operatorului și va include:

  • O descriere a naturii Încălcării Securității Datelor cu Caracter Personal, incluzând, acolo unde este posibil, categoriile și numărul aproximativ de Persoane vizate afectate și categoriile și numărul aproximativ de înregistrări de date cu caracter personal afectate.
  • Numele și datele de contact ale punctului de contact pentru protecția datelor al Persoanei împuternicite, de la care se pot obține mai multe informații.
  • O descriere a consecințelor probabile ale Încălcării Securității Datelor cu Caracter Personal.
  • O descriere a măsurilor luate sau propuse de Persoana împuternicită pentru a remedia Încălcarea, inclusiv, acolo unde este cazul, măsuri pentru atenuarea posibilelor efecte adverse ale acesteia.

9.2 Cooperare continuă

În cazul în care nu este posibilă furnizarea simultană a tuturor informațiilor, Persoana împuternicită va furniza informațiile în etape, fără întârziere nejustificată suplimentară. Persoana împuternicită va:

  • Cooperarea cu Operatorul și luarea tuturor măsurilor rezonabile pentru a asista în investigarea, atenuarea și remedierea încălcării.
  • Luarea de măsuri imediate pentru a limita și minimiza impactul încălcării.
  • Păstrarea probelor legate de încălcare în scopul investigației criminalistice.
  • Asistarea Operatorului în îndeplinirea obligațiilor sale de notificare către Autoritatea de Supraveghere în temeiul Articolului 33 din GDPR și către Persoanele vizate în temeiul Articolului 34 din GDPR, acolo unde este cazul.
  • A nu face nicio declarație publică sau notificare cu privire la încălcare fără consimțământul scris prealabil al Operatorului, cu excepția cazului în care legislația aplicabilă o impune.

9.3 Păstrarea evidenței

Persoana împuternicită va menține o evidență a tuturor Încălcărilor Securității Datelor cu Caracter Personal, inclusiv faptele legate de încălcare, efectele acesteia și acțiunile corective întreprinse, în conformitate cu Articolul 33 alineatul (5) din GDPR.

10. Cererile Persoanelor vizate

10.1 Asistență

Persoana împuternicită va asista Operatorul în îndeplinirea obligației sale de a răspunde cererilor Persoanelor vizate de exercitare a drepturilor lor în temeiul Capitolului III din GDPR, inclusiv drepturile de acces, rectificare, ștergere, restricționare a prelucrării, portabilitate a datelor și opoziție.

10.2 Notificare

Dacă Persoana împuternicită primește o cerere de la o Persoană vizată cu privire la datele cu caracter personal prelucrate în numele Operatorului, Persoana împuternicită va notifica prompt Operatorul (și în orice caz în termen de 5 zile lucrătoare) și nu va răspunde direct la cerere decât dacă este autorizată de Operator sau obligată de legislația aplicabilă.

10.3 Măsuri tehnice

Persoana împuternicită va implementa măsuri tehnice și organizatorice adecvate pentru a permite Operatorului să răspundă eficient la cererile Persoanelor vizate, inclusiv capacitatea de a căuta, recupera, exporta, corecta și șterge date cu caracter personal la instrucțiunile Operatorului.

11. Audituri și Inspecții

11.1 Dreptul de audit

Persoana împuternicită va pune la dispoziția Operatorului toate informațiile necesare pentru a demonstra conformitatea cu obligațiile prevăzute la Articolul 28 din GDPR și în acest DPA și va permite și va contribui la auditurile, inclusiv inspecțiile, efectuate de Operator sau de un auditor independent mandatat de Operator.

11.2 Proceduri de audit

Auditurile vor fi efectuate cu respectarea următoarelor condiții:

  • Operatorul va furniza Persoanei împuternicite un aviz scris cu cel puțin 30 de zile calendaristice înainte de orice audit planificat.
  • Auditurile vor fi efectuate în timpul orelor normale de lucru și într-un mod care minimizează perturbarea operațiunilor Persoanei împuternicite.
  • Operatorul (sau auditorul său) va respecta cerințele rezonabile de securitate și confidențialitate ale Persoanei împuternicite.
  • Auditurile vor fi limitate la maximum unul pe an calendaristic, cu excepția cazului în care există motive rezonabile de a suspecta o încălcare semnificativă a acestui DPA sau a GDPR, sau dacă un audit este solicitat de o Autoritate de Supraveghere.
  • Operatorul va suporta costurile auditului, cu excepția cazului în care auditul relevă o neconformitate semnificativă din partea Persoanei împuternicite, caz în care Persoana împuternicită va suporta costurile rezonabile.

11.3 Certificări și Rapoarte

În locul unui audit la fața locului, Persoana împuternicită poate, la discreția sa, să furnizeze Operatorului rapoarte de audit terțe relevante, certificări (cum ar fi ISO 27001 sau SOC 2) sau altă documentație care demonstrează conformitatea cu cerințele de protecție a datelor din acest DPA.

12. Transferuri internaționale de date

12.1 Principiu general

Persoana împuternicită va stoca și prelucra datele cu caracter personal în principal în cadrul Spațiului Economic European (SEE). Persoana împuternicită nu va transfera date cu caracter personal către o țară din afara SEE sau către o organizație internațională decât dacă au fost implementate garanții adecvate în conformitate cu Capitolul V din GDPR.

12.2 Mecanisme de transfer

Când datele cu caracter personal sunt transferate în afara SEE (de exemplu, către subîmputerniciți situați în Statele Unite), Persoana împuternicită se va asigura că una sau mai multe dintre următoarele garanții sunt în vigoare:

  • Decizie de adecvare: Comisia Europeană a stabilit că țara terță sau organizația internațională asigură un nivel adecvat de protecție a datelor în temeiul Articolului 45 din GDPR.
  • Clauze Contractuale Standard: Transferul este supus Clauzelor Contractuale Standard adoptate de Comisia Europeană în temeiul Articolului 46 alineatul (2) litera (c) din GDPR, în versiunea lor cea mai recentă.
  • Cadrul de confidențialitate a datelor UE-SUA: Acolo unde este aplicabil, destinatarul și-a certificat participarea la Cadrul de confidențialitate a datelor UE-SUA, care a fost recunoscut de Comisia Europeană ca oferind un nivel adecvat de protecție.
  • Măsuri suplimentare: Acolo unde este necesar conform evaluării nivelului de protecție din țara destinatară, Persoana împuternicită va implementa măsuri tehnice suplimentare (cum ar fi criptarea și pseudonimizarea) și măsuri organizatorice pentru a se asigura că datele transferate beneficiază de un nivel de protecție în esență echivalent cu cel garantat în cadrul SEE.

12.3 Evaluarea impactului transferului

Persoana împuternicită va efectua și documenta o evaluare a impactului transferului pentru fiecare transfer internațional, evaluând legislația și practicile țării destinatare pentru a stabili dacă sunt necesare măsuri suplimentare pentru a asigura un nivel de protecție a datelor în esență echivalent.

13. Durata și Încetarea

13.1 Durata

Acest DPA intră în vigoare la momentul acceptării Acordului de către Operator și rămâne în vigoare pe durata prelucrării datelor cu caracter personal de către Persoana împuternicită în numele Operatorului.

13.2 Supraviețuire

Obligațiile Persoanei împuternicite în temeiul acestui DPA supraviețuiesc încetării Acordului în măsura necesară pentru finalizarea returnării sau ștergerii datelor cu caracter personal și pentru respectarea legislației aplicabile.

14. Returnarea și Ștergerea Datelor

14.1 Alegerea Operatorului

La încetarea Acordului sau la cererea scrisă a Operatorului, Persoana împuternicită, la alegerea Operatorului:

  • Returneze toate datele cu caracter personal Operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat (cum ar fi JSON sau CSV); sau
  • Șterge toate datele cu caracter personal și toate copiile existente, cu excepția cazului în care dreptul Uniunii sau al statelor membre impune păstrarea datelor cu caracter personal.

14.2 Termen

Persoana împuternicită va finaliza returnarea sau ștergerea datelor cu caracter personal în termen de 30 de zile calendaristice de la primirea instrucțiunii Operatorului sau, în absența unor instrucțiuni specifice, în termen de 30 de zile calendaristice de la încetarea Acordului.

14.3 Certificarea Ștergerii

La finalizarea ștergerii, Persoana împuternicită va furniza Operatorului o certificare scrisă că toate datele cu caracter personal au fost șterse în mod securizat, inclusiv din copii de siguranță și sisteme arhivate, cu excepția cazului în care păstrarea este impusă de legislația aplicabilă. În cazul în care se aplică cerințe legale de păstrare, Persoana împuternicită va informa Operatorul cu privire la datele specifice păstrate, temeiul legal al păstrării și perioada de păstrare preconizată.

14.4 Ștergerea copiilor de rezervă

Datele cu caracter personal conținute în sistemele de backup de rutină vor fi șterse în conformitate cu programul standard de rotație a backup-urilor al Persoanei împuternicite, care nu va depăși 90 de zile calendaristice. Pe durata perioadei de retenție, aceste date de backup vor continua să fie protejate în conformitate cu acest DPA și nu vor fi prelucrate activ.

15. Răspundere

15.1 Răspunderea Persoanei împuternicite

Persoana împuternicită va fi răspunzătoare pentru orice prejudiciu cauzat de o prelucrare care nu respectă obligațiile GDPR adresate în mod specific persoanelor împuternicite, sau în cazul în care Persoana împuternicită a acționat în afara sau contrar instrucțiunilor legale ale Operatorului, în conformitate cu Articolul 82 din GDPR.

15.2 Limitare

Prevederile de răspundere ale acestui DPA sunt supuse limitărilor prevăzute în Acord, cu excepția cazului în care legislația aplicabilă (inclusiv GDPR) nu permite o astfel de limitare.

15.3 Despăgubire

Fiecare parte va despăgubi cealaltă parte pentru orice costuri, pretenții, daune sau cheltuieli suportate de cealaltă parte sau pentru care cealaltă parte poate deveni răspunzătoare din cauza neîndeplinirii de către prima parte sau de către angajații, agenții sau subîmputerniciții săi a oricăreia dintre obligațiile sale în temeiul acestui DPA sau al GDPR.

16. Modificări

Acest DPA poate fi modificat de Persoana împuternicită din când în când pentru a reflecta schimbările în practicile de prelucrare a datelor, subîmputerniciți, cerințe legale sau măsuri de securitate. Persoana împuternicită va notifica Operatorul cu privire la orice modificări semnificative cu cel puțin 30 de zile calendaristice înainte de intrarea lor în vigoare. Dacă Operatorul nu este de acord cu modificările, Operatorul poate rezilia Acordul în conformitate cu termenii săi. Utilizarea continuă a Serviciului de către Operator după data intrării în vigoare a modificărilor constituie acceptarea DPA-ului revizuit.

17. Relația cu Acordul

În cazul oricărui conflict sau inconsistență între prevederile acestui DPA și Acord, prevederile acestui DPA vor prevala în ceea ce privește chestiunile de protecție a datelor. În toate celelalte privințe, termenii Acordului continuă să se aplice.

18. Legea Aplicabilă

Acest DPA va fi guvernat și interpretat în conformitate cu legile Statului Delaware, Statele Unite, fără a se ține cont de principiile privind conflictul de legi, și sub rezerva prevederilor obligatorii ale GDPR și ale altor acte legislative aplicabile ale UE privind protecția datelor. Orice dispute care decurg din sau în legătură cu acest DPA vor fi supuse jurisdicției exclusive a instanțelor competente din Delaware, Statele Unite, sub rezerva oricăror prevederi obligatorii privind protecția consumatorilor în temeiul dreptului UE.

19. Contact

Pentru orice întrebări, solicitări sau comunicări privind acest Acord de Prelucrare a Datelor, vă rugăm să contactați:

  • Email: [email protected]
  • Companie: Back Hills Assets LLC
  • Adresă: 30 N GOULD ST STE R,SHERIDAN, WY 82801,USA

De asemenea, puteți contacta Autoritatea locală de Protecție a Datelor pentru orice preocupări legate de protecția datelor. Puteți găsi autoritatea locală pe site-ul Comitetului European pentru Protecția Datelor.