Acord de Prelucrare a Datelor (DPA)

Preambul

Acest Acord de Prelucrare a Datelor ("DPA") face parte integranta din Termenii si Conditiile de utilizare a platformei Financium si este incheiat intre:

si Utilizatorul platformei Financium, care actioneaza in calitate de Operator de date cu caracter personal, in sensul Regulamentului (UE) 2016/679 (GDPR).

1. Definitii

Termenii utilizati in acest DPA au urmatoarele semnificatii:

• "Date cu caracter personal" - orice informatii privind o persoana fizica identificata sau identificabila; o persoana fizica identificabila este o persoana care poate fi identificata, direct sau indirect, in special prin referire la un element de identificare.
• "Operator" - persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care, singur sau impreuna cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal.
• "Persoana imputernicita de operator (Procesator)" - persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care prelucreaza datele cu caracter personal in numele operatorului.
• "Prelucrare" - orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fara utilizarea de mijloace automatizate.
• "Persoana vizata" - persoana fizica identificata sau identificabila ale carei date cu caracter personal sunt prelucrate.
• "Incalcarea securitatii datelor" - o incalcare a securitatii care duce, in mod accidental sau ilegal, la distrugerea, pierderea, modificarea sau divulgarea neautorizata a datelor cu caracter personal.
• "Sub-procesator" - orice persoana (alta decat un angajat al Procesatorului) angajata de Procesator pentru a prelucra datele in numele Operatorului.

2. Obiectul si Durata Acordului

2.1 Obiectul

Acest DPA stabileste obligatiile si drepturile partilor in ceea ce priveste prelucrarea datelor cu caracter personal efectuata de Procesator in numele Operatorului, in contextul furnizarii serviciilor platformei Financium.

2.2 Durata

Acest DPA intra in vigoare la data acceptarii Termenilor si Conditiilor si ramane in vigoare pe toata durata utilizarii platformei Financium. Obligatiile de confidentialitate si securitate supravietuiesc incetarii acestui acord.

3. Natura si Scopul Prelucrarii

Procesatorul prelucreaza datele cu caracter personal exclusiv pentru urmatoarele scopuri:

• Furnizarea serviciilor de management financiar prin platforma Financium
• Emiterea, stocarea si gestionarea facturilor
• Gestionarea clientilor si furnizorilor Operatorului
• Integrarea cu sistemul e-Factura ANAF
• Procesarea platilor si reconcilierea tranzactiilor
• Generarea rapoartelor financiare
• Asigurarea suportului tehnic si al serviciului clienti
• Mentinerea securitatii si functionalitatii platformei

4. Tipurile de Date cu Caracter Personal Prelucrate

In cadrul furnizarii serviciilor, pot fi prelucrate urmatoarele categorii de date:

5. Categoriile de Persoane Vizate

Persoanele vizate ale caror date pot fi prelucrate includ:

• Utilizatorii platformei (angajati ai Operatorului)
• Clientii Operatorului (persoane fizice sau reprezentanti ai persoanelor juridice)
• Furnizorii Operatorului (persoane fizice sau reprezentanti ai persoanelor juridice)
• Persoane de contact desemnate de catre clienti sau furnizori

6. Obligatiile Procesatorului

FAINTECH SOLUTIONS SRL, in calitate de Procesator, se obliga sa:

• Prelucreze datele cu caracter personal numai pe baza instructiunilor documentate ale Operatorului
• Se asigure ca persoanele autorizate sa prelucreze datele s-au angajat sa respecte confidentialitatea
• Ia toate masurile necesare in conformitate cu articolul 32 din GDPR (securitatea prelucrarii)
• Respecte conditiile pentru recurgerea la un alt procesator (sub-procesator)
• Asiste Operatorul in asigurarea respectarii drepturilor persoanelor vizate
• Asiste Operatorul in indeplinirea obligatiilor privind securitatea datelor si notificarea incalcarilor
• La alegerea Operatorului, sterga sau returneze toate datele dupa incetarea acordului
• Puna la dispozitia Operatorului toate informatiile necesare pentru a demonstra conformitatea

7. Sub-procesatori

7.1 Autorizare Generala

Operatorul acorda Procesatorului o autorizare generala de a utiliza sub-procesatori pentru furnizarea serviciilor. Procesatorul va informa Operatorul cu privire la orice intentie de adaugare sau inlocuire a sub-procesatorilor.

7.2 Sub-procesatori Actuali

7.3 Obligatii pentru Sub-procesatori

Procesatorul se asigura ca fiecare sub-procesator este supus acelorasi obligatii de protectie a datelor prevazute in acest DPA, prin intermediul unui contract sau alt act juridic.

8. Drepturile Persoanelor Vizate

Procesatorul va asista Operatorul in indeplinirea obligatiei de a raspunde cererilor persoanelor vizate privind exercitarea drepturilor acestora conform GDPR:

• Dreptul de acces la date
• Dreptul la rectificare
• Dreptul la stergerea datelor ("dreptul de a fi uitat")
• Dreptul la restrictionarea prelucrarii
• Dreptul la portabilitatea datelor
• Dreptul la opozitie
• Dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automata

Procesatorul va notifica Operatorul fara intarziere nejustificata despre orice cerere primita direct de la o persoana vizata, fara a raspunde el insusi cererii respective (cu exceptia cazului in care este autorizat sa o faca).

9. Masuri de Securitate

Procesatorul implementeaza urmatoarele masuri tehnice si organizatorice pentru a asigura un nivel de securitate corespunzator riscului:

9.1 Masuri Tehnice

• Criptare SSL/TLS pentru toate conexiunile (HTTPS)
• Criptare AES-256 pentru datele stocate sensibile
• Autentificare in doi factori (2FA) disponibila pentru utilizatori
• Hashing securizat al parolelor (bcrypt)
• Firewall si protectie impotriva atacurilor DDoS
• Backup-uri automate zilnice cu criptare
• Monitorizare continua a securitatii sistemelor
• Izolarea datelor intre organizatii (multi-tenancy securizat)

9.2 Masuri Organizatorice

• Acces la date pe baza principiului "need-to-know"
• Instruirea personalului privind protectia datelor
• Acorduri de confidentialitate cu toti angajatii
• Proceduri de gestionare a incidentelor de securitate
• Revizuirea periodica a drepturilor de acces
• Politici de securitate documentate

10. Notificarea Incalcarilor de Securitate

10.1 Notificarea Operatorului

Procesatorul va notifica Operatorul fara intarziere nejustificata dupa ce ia cunostinta de o incalcare a securitatii datelor cu caracter personal, dar nu mai tarziu de 24 de ore de la constatare.

10.2 Continutul Notificarii

Notificarea va include cel putin:

• Descrierea naturii incalcarii, inclusiv categoriile si numarul aproximativ de persoane vizate
• Numele si datele de contact ale responsabilului cu protectia datelor
• Descrierea consecintelor probabile ale incalcarii
• Descrierea masurilor luate sau propuse pentru a remedia incalcarea

10.3 Asistenta

Procesatorul va asista Operatorul in indeplinirea obligatiilor de notificare catre autoritatea de supraveghere si, dupa caz, catre persoanele vizate.

11. Drepturi de Audit

Procesatorul va pune la dispozitia Operatorului toate informatiile necesare pentru a demonstra conformitatea cu obligatiile prevazute in prezentul DPA si in GDPR.

Procesatorul va permite si va contribui la efectuarea de audituri, inclusiv inspectii, realizate de Operator sau de un alt auditor mandatat de acesta, in urmatoarele conditii:

• Operatorul va transmite o notificare cu cel putin 30 de zile inainte de audit
• Auditul va fi efectuat in timpul orelor de lucru obisnuite
• Auditorul va semna un acord de confidentialitate
• Costurile auditului vor fi suportate de Operator
• Auditul nu va interfera cu operatiunile normale ale Procesatorului

12. Stergerea si Returnarea Datelor

12.1 La Incetarea Acordului

La alegerea Operatorului, Procesatorul va sterge sau va returna toate datele cu caracter personal dupa incetarea furnizarii serviciilor si va sterge copiile existente, cu exceptia cazului in care dreptul Uniunii sau dreptul intern impune stocarea datelor.

12.2 Perioada de Export

Operatorul va avea la dispozitie o perioada de 30 de zile de la incetarea acordului pentru a exporta datele. Dupa aceasta perioada, Procesatorul va proceda la stergerea definitiva a datelor in termen de 30 de zile suplimentare.

12.3 Certificare

La cererea Operatorului, Procesatorul va furniza o certificare scrisa privind stergerea datelor cu caracter personal.

13. Transferuri Internationale

In cazul in care datele cu caracter personal sunt transferate in afara Spatiului Economic European (SEE), Procesatorul se asigura ca:

• Transferul se efectueaza catre o tara care beneficiaza de o decizie de adecvare a Comisiei Europene, sau
• Sunt implementate garantii adecvate, cum ar fi Clauzele Contractuale Standard (SCCs), sau
• Se aplica una dintre derogarile prevazute la articolul 49 din GDPR

Procesatorul informeaza Operatorul cu privire la orice transfer catre terte tari si garantiile implementate.

14. Raspundere si Despagubiri

Fiecare parte este responsabila pentru propriile incalcari ale obligatiilor din acest DPA si din GDPR. Raspunderea este limitata conform prevederilor din Termenii si Conditiile generale ale platformei Financium.

Procesatorul va despagubi Operatorul pentru orice daune rezultate direct din incalcarea de catre Procesator a obligatiilor sale din acest DPA, sub rezerva limitarilor de raspundere stabilite.

15. Legea Aplicabila si Jurisdictia

Acest DPA este guvernat de legile din Romania. Orice disputa rezultata din sau in legatura cu acest DPA va fi solutionata de instantele competente din Bucuresti, Romania.

In ceea ce priveste activitatile de prelucrare care intra in sfera de aplicare a GDPR, acest DPA se interpreteaza in conformitate cu Regulamentul (UE) 2016/679.

16. Modificari ale DPA

Procesatorul isi rezerva dreptul de a modifica acest DPA pentru a reflecta modificarile legislative sau imbunatatirile aduse practicilor de protectie a datelor. Operatorul va fi notificat cu privire la orice modificare substantiala cu cel putin 30 de zile inainte de intrarea in vigoare a modificarilor.

17. Contact DPO

Pentru intrebari sau solicitari privind acest Acord de Prelucrare a Datelor sau protectia datelor cu caracter personal, ne puteti contacta la:

18. Acceptare

Prin utilizarea platformei Financium, confirmati ca ati citit, inteles si acceptat termenii acestui Acord de Prelucrare a Datelor.