Acord de Prelucrare a Datelor

1. Definiții

Următorii termeni au semnificațiile de mai jos:

• Date Personale: Orice informație referitoare la o persoană fizică identificată sau identificabilă (clienții salonului)
• Prelucrare: Orice operațiune efectuată asupra datelor personale (colectare, stocare, transmitere, ștergere)
• Operator de Date: Salonul - determină scopurile și mijloacele de prelucrare a datelor clienților
• Procesator de Date: Primer (WISE PEOPLE SRL) - prelucrează date în numele salonului
• Persoană Vizată: Clienții salonului ale căror date sunt prelucrate
• Subprocesator: Terți angajați de Primer pentru a prelucra date (Twilio, Meta, etc.)
• GDPR: Regulamentul General privind Protecția Datelor (UE) 2016/679
• SCC-uri: Clauze Contractuale Standard aprobate de Comisia Europeană
• Încălcare a Securității Datelor Personale: Incident de securitate care duce la acces neautorizat, distrugere, pierdere sau divulgare a datelor personale

2. Obiectul și Durata

Obiectul

Acest DPA reglementează prelucrarea datelor personale de către Primer în numele Salonului în scopul furnizării serviciilor de mesagerie WhatsApp Business prin platforma Primer.

Durata

Acest DPA rămâne în vigoare pe durata abonamentului salonului la serviciile de mesagerie WhatsApp ale Primer. Obligațiile de păstrare a datelor supraviețuiesc încetării.

Natura Prelucrării

• Colectarea numerelor de telefon ale clienților și înregistrărilor de consimțământ
• Transmiterea mesajelor prin API-ul WhatsApp Business
• Stocarea jurnalelor de mesaje și starea livrării
• Procesarea cererilor de opt-in/opt-out

3. Tipuri de Date Personale Prelucrate

4. Categorii de Persoane Vizate

• Clienții Salonului care au furnizat numărul lor de telefon
• Clienții care și-au dat consimțământul să primească mesaje WhatsApp
• Persoanele care interacționează cu numărul WhatsApp Business al Salonului

5. Obligațiile Procesatorului (Angajamentele Primer)

Primer va:

5.1 Prelucrare Legală

• Prelucra date personale doar pe baza instrucțiunilor documentate de la Salon
• Prelucra date doar în scopurile specificate în acest DPA
• Informa Salonul dacă vreo instrucțiune încalcă GDPR

5.2 Confidențialitate

• Se asigura că tot personalul care prelucrează date este obligat prin obligații de confidențialitate
• Limita accesul la datele personale la cei care au nevoie pentru livrarea serviciului

5.3 Măsuri de Securitate

• Criptare a datelor în tranzit (TLS 1.2+) și în repaus (AES-256)
• Controale de acces și autentificare
• Testare și audituri de securitate regulate
• Centre de date securizate (Microsoft Azure, regiune UE)
• Înregistrare și monitorizare a accesului la date
• Instruire de securitate pentru angajați

5.4 Managementul Subprocesatorilor

• Obține consimțământul Salonului înainte de a angaja noi subprocesatori
• Se asigura că subprocesatorii sunt obligați prin obligații echivalente de protecție a datelor
• Rămâne responsabil pentru conformitatea subprocesatorilor
• Menține și furnizează lista subprocesatorilor actuali

5.5 Asistență pentru Drepturile Persoanelor Vizate

• Asista Salonul în răspunsul la cererile persoanelor vizate (acces, rectificare, ștergere, portabilitate)
• Furniza funcționalitate de export date
• Permite cererile de ștergere în 30 de zile
• Notifica Salonul despre orice cereri directe de la persoanele vizate

5.6 Notificarea Încălcărilor de Date

• Notifica Salonul în 48 de ore de la luarea la cunoștință a unei încălcări a datelor personale
• Furniza detalii despre încălcare inclusiv natura, categoriile afectate, consecințele probabile și măsurile luate
• Asista Salonul în îndeplinirea obligațiilor lor de notificare a încălcărilor către autoritățile de supraveghere

5.7 Evaluări ale Impactului asupra Protecției Datelor

• Asista Salonul cu DPIA-uri unde este necesar
• Furniza informațiile necesare despre activitățile de prelucrare

5.8 Drepturi de Audit

• Permite Salonului să efectueze audituri ale conformității cu acest DPA
• Furniza documentația relevantă la cerere
• Coopera cu inspecțiile autorităților de supraveghere

5.9 Ștergerea Datelor

• La încetare, șterge sau returnează toate datele personale în 30 de zile
• Furniza confirmare scrisă a ștergerii
• Excepție: Păstrează datele cerute de lege (înregistrări consimțământ, înregistrări financiare)

6. Obligațiile Operatorului (Responsabilitățile Salonului)

Salonul va:

6.1 Temei Legal

• Asigura un temei legal valid pentru prelucrare (consimțământ pentru marketing, interes legitim/contract pentru tranzacțional)
• Obține consimțământ adecvat înainte de a trimite mesaje WhatsApp
• Menține înregistrări ale consimțământului

6.2 Acuratețea Datelor

• Se asigura că datele clienților furnizate către Primer sunt corecte și actualizate
• Actualiza sau corecta prompt datele incorecte

6.3 Informarea Persoanelor Vizate

• Informa clienții despre prelucrare prin notificări de confidențialitate
• Furniza informații despre drepturile lor

6.4 Instrucțiuni

• Furniza instrucțiuni legale de prelucrare
• Nu instruiește Primer să prelucreze date ilegal

6.5 Conformitate

• Respecta GDPR și legile locale aplicabile privind protecția datelor
• Răspunde la cererile persoanelor vizate în termenele legale
• Raporta încălcările către autoritățile de supraveghere când este necesar

7. Subprocesatori

Prin semnarea acestui DPA, Salonul autorizează Primer să folosească următorii subprocesatori:

7.1 Subprocesatori Autorizați

7.2 Subprocesatori Noi

• Primer va notifica Salonul cu cel puțin 30 de zile înainte de a angaja noi subprocesatori
• Salonul poate obiecta în 14 zile cu motive rezonabile
• Dacă obiecția nu poate fi rezolvată, Salonul poate înceta serviciile WhatsApp

7.3 Conformitatea Subprocesatorilor

• Toți subprocesatorii sunt obligați prin acorduri scrise cu protecții echivalente
• Primer rămâne pe deplin responsabil pentru conformitatea subprocesatorilor

8. Transferuri Internaționale de Date

8.1 Locația Principală a Datelor

Datele personale sunt stocate în principal în centrele de date din Uniunea Europeană (regiuni Microsoft Azure UE).

8.2 Transferuri în Afara UE/SEE

• Clauze Contractuale Standard (SCC-uri) aprobate de Comisia Europeană
• Certificare Cadru de Confidențialitate UE-SUA (unde este aplicabil)
• Măsuri tehnice suplimentare (criptare, pseudonimizare)

8.3 Evaluări ale Impactului Transferurilor

Primer a efectuat evaluări ale impactului transferurilor pentru toate transferurile internaționale și a determinat că sunt în vigoare protecții adecvate.

9. Măsuri de Securitate

9.1 Măsuri Tehnice

• Criptare: TLS 1.2+ în tranzit, AES-256 în repaus
• Control Acces: Acces bazat pe roluri, autentificare multi-factor
• Securitate Rețea: Firewall-uri, detectare intruziuni, protecție DDoS
• Izolare Date: Separare logică a datelor salonului
• Backup: Backup-uri criptate regulate cu proceduri de recuperare testate

9.2 Măsuri Organizaționale

• Politici și proceduri de securitate
• Verificări ale antecedentelor angajaților și acorduri de confidențialitate
• Instruire regulată de securitate
• Proceduri de răspuns la incidente
• Evaluări de securitate ale furnizorilor

9.3 Securitate Specifică WhatsApp

• Criptare end-to-end furnizată de WhatsApp
• Autentificare API securizată cu Twilio
• Conținutul mesajelor nu este stocat dincolo de perioada de păstrare
• Înregistrare audit a întregii activități de mesagerie

10. Drepturile Persoanelor Vizate

10.1 Drepturi Suportate

• Dreptul de Acces: Export date clienți prin dashboard
• Dreptul la Rectificare: Actualizare informații clienți
• Dreptul la Ștergere: Ștergere date clienți și istoric mesaje
• Dreptul la Restricționare: Pauză mesagerie pentru clienți specifici
• Dreptul la Portabilitate: Export date în format lizibil de mașină
• Dreptul de Opoziție: Procesare cereri opt-out

10.2 Termen de Răspuns

• Primer va răspunde la cererile Salonului în 5 zile lucrătoare
• Aceasta permite Salonului să respecte termenul GDPR de 30 de zile

10.3 Cereri Directe

• Redirecționează persoanele vizate către Salonul relevant
• Notifică Salonul despre cerere
• Nu răspunde direct fără autorizația Salonului

11. Proceduri pentru Încălcări de Date

11.1 Detectare

• Tentative de acces neautorizat
• Modele neobișnuite de acces la date
• Intruziuni în sistem
• Tentative de exfiltrare a datelor

11.2 Notificare

• Notificare inițială către Salon în 48 de ore
• Raport detaliat în 72 de ore inclusiv descriere, categorii de date afectate, număr aproximativ de înregistrări, consecințe probabile și măsuri de remediere

11.3 Cooperare

• Cooperează cu investigația încălcării Salonului
• Asistă cu notificările către autoritățile de supraveghere și persoanele vizate
• Implementează garanții suplimentare după cum este necesar
• Furnizează raport post-incident

12. Audit și Conformitate

12.1 Documentație

• Categorii de prelucrare
• Transferuri de date
• Măsuri de securitate
• Acorduri cu subprocesatori

12.2 Drepturi de Audit

• Solicitare documentație de conformitate anual
• Efectuare audituri de la distanță cu preaviz de 30 de zile
• Efectuare audituri la fața locului cu preaviz de 60 de zile (pe cheltuiala Salonului)
• Utilizare auditori terți calificați (obligați prin confidențialitate)

12.3 Certificări

Primer va furniza copii ale certificărilor și rapoartelor de audit relevante la cerere.

13. Răspundere și Despăgubire

13.1 Răspunderea Primer

• Încalcă obligațiile procesatorului GDPR
• Încalcă acest DPA
• Acționează în afara sau contrar instrucțiunilor legale ale Salonului

13.2 Răspunderea Salonului

• Instrucțiuni ilegale de prelucrare
• Eșecul de a obține consimțământul adecvat
• Încălcarea obligațiilor operatorului GDPR
• Furnizarea de date incorecte

13.3 Limitare

Răspunderea totală în cadrul acestui DPA este limitată la taxele plătite de Salon pentru serviciile WhatsApp în cele 12 luni anterioare pretenției, cu excepția conduitei intenționate rele, neglijenței grave sau pretențiilor de la persoanele vizate sau autoritățile de supraveghere.

14. Termen și Încetare

14.1 Termen

Acest DPA intră în vigoare când Salonul activează serviciile WhatsApp și continuă până la încetarea serviciilor.

14.2 Efectele Încetării

• Primer oprește prelucrarea în 24 de ore
• Ștergerea datelor în 30 de zile
• Înregistrările de consimțământ păstrate 5 ani (cerință legală)
• Confirmare scrisă a ștergerii furnizată

14.3 Supraviețuire

• Obligații de confidențialitate
• Cerințe de păstrare a datelor
• Prevederi privind răspunderea
• Drepturi de audit (pentru 2 ani post-încetare)

15. Prevederi Generale

15.1 Legea Aplicabilă

Acest DPA este guvernat de legea română și GDPR. Disputele vor fi rezolvate în instanțele din Cluj-Napoca, România.

15.2 Amendamente

• Actualizări cerute de lege sau ghidare regulamentară
• Adăugarea subprocesatorilor (conform Secțiunii 7.2)
• Actualizări ale măsurilor de securitate (doar îmbunătățiri)

15.3 Conflict

În caz de conflict între acest DPA și Termenii și Condițiile principale, acest DPA prevalează pentru chestiunile de protecție a datelor.

15.4 Separabilitate

Dacă vreo prevedere este găsită invalidă, prevederile rămase continuă să fie în vigoare.

16. Informații de Contact

Pentru întrebări despre acest acord: