top of page

ȘABLON DE ACORD DE PRELUCRĂ A DATELOR (DPA) Între Client și Star Products SRL (Starmaster Marketing)

Data intrării în vigoare: __________

PĂRȚILE

Operator de date („Clientul”):

  • Denumire legală: ___________________________________

  • Număr de înregistrare: ___________________________________

  • Adresă: ___________________________________

  • Persoană de contact: ___________________________________

  • Email: ___________________________________

  • Telefon: ___________________________________

Împuternicit („Împuternicitul” sau „Starmaster Marketing”):

  • Denumire legală: Star Products SRL

  • Denumire comercială: Starmaster Marketing

  • Număr de înregistrare: [INSERAȚI NUMĂRUL DE ÎNREGISTRARE AL COMPANIEI]

  • Adresă: [INSERAȚI ADRESA ÎNREGISTRATĂ]

  • Persoană de contact: [INSERAȚI NUMELE]

  • Email: [INSERAȚI EMAIL-UL DE CONFIDENȚIALITATE]

  • Telefon: [INSERAȚI NUMĂRUL DE TELEFON]

  • Site web: www.starmastermarketing.com

CONSIDERENTE

AVÂND ÎN VEDERE că Clientul a angajat Starmaster Marketing pentru a furniza anumite servicii descrise în Acordul de Prestări Servicii din data de [DATA] („Acordul Principal”);

AVÂND ÎN VEDERE că, în cursul furnizării acestor servicii, Starmaster Marketing va prelucra date cu caracter personal în numele Clientului;

AVÂND ÎN VEDERE că părțile doresc să asigure că această prelucrare respectă Regulamentul General privind Protecția Datelor (UE) 2016/679 („GDPR”) și alte legislații aplicabile privind protecția datelor;

ÎN CONSECINȚĂ, părțile convin următoarele:

1. DEFINIȚII ȘI INTERPRETARE

1.1 Definiții

În sensul prezentului DPA:

„Lege aplicabilă privind protecția datelor” înseamnă:

  • Regulamentul (UE) 2016/679 (Regulamentul General privind Protecția Datelor – „GDPR”)

  • Legea română nr. 190/2018 privind protecția datelor

  • Orice altă legislație UE sau națională aplicabilă privind protecția datelor

„Date cu caracter personal ale Clientului” înseamnă orice date cu caracter personal prelucrate de Împuternicit în numele Clientului în temeiul sau în legătură cu Acordul Principal.

„Operator”, „Împuternicit”, „Subiect al datelor”, „Date cu caracter personal”, „Încălcare a datelor cu caracter personal”, „Prelucrare” și „Autoritate de supraveghere” au înțelesurile atribuite în GDPR.

„Servicii” înseamnă serviciile furnizate de Starmaster Marketing descrise în Acordul Principal, inclusiv, dar fără a se limita la:

  • Design și dezvoltare web

  • Servicii SEO

  • PR și managementul reputației

  • Creare de conținut

  • Gestionare Google My Business

  • Servicii de revitalizare imagini

  • Orice alte servicii de marketing

„Sub-împuternicit” înseamnă orice procesator terț angajat de Starmaster Marketing pentru a prelucra Date cu caracter personal ale Clientului.

1.2 Interpretare

  • Referințele la „Articole” se referă la articolele din GDPR, dacă nu se specifică altfel

  • Titlurile sunt doar pentru comoditate și nu afectează interpretarea

  • Prezentul DPA completează Acordul Principal și nu îl înlocuiește

  • În caz de conflict, prezentul DPA are prioritate față de Acordul Principal în ceea ce privește protecția datelor

2. DOMENIU DE APLICARE ȘI ROLURI

2.1 Relația părților Pentru prelucrarea Datelor cu caracter personal ale Clientului:

  • Clientul acționează ca Operator (sau ca Împuternicit, dacă Clientul prelucrează la rândul său în numele unei alte părți)

  • Starmaster Marketing acționează ca Împuternicit

2.2 Domeniul de prelucrare Prezentul DPA se aplică prelucrării Datelor cu caracter personal ale Clientului de către Starmaster Marketing în cursul furnizării Serviciilor conform Acordului Principal.

2.3 Responsabilitățile Clientului Clientul:

  • Declară că deține toate drepturile necesare pentru a furniza Datele cu caracter personal ale Clientului către Împuternicit

  • Este responsabil pentru respectarea legislației privind protecția datelor în calitate de Operator

  • Se obligă să obțină toate consimțămintele necesare și să furnizeze toate notificările cerute pentru ca Împuternicitul să poată prelucra Datele cu caracter personal ale Clientului conform Acordului Principal

  • Este singurul responsabil pentru acuratețea, calitatea, legalitatea Datelor cu caracter personal ale Clientului și mijloacele prin care le-a obținut

3. DETALII ALE PRELUCRĂRII

3.1 Obiectul prelucrării Prelucrarea Datelor cu caracter personal ale Clientului în legătură cu Serviciile descrise în Acordul Principal.

3.2 Durata Durata prelucrării este pe durata Acordului Principal, plus orice perioadă de retenție cerută de lege sau convenită în Acordul Principal.

3.3 Natura și scopul prelucrării Împuternicitul va prelucra Datele cu caracter personal ale Clientului în următoarele scopuri:

  • Executarea Serviciilor descrise în Acordul Principal

  • Respectarea obligațiilor legale ale Împuternicitului

  • În măsura rezonabil necesară pentru operațiunile legitime de afaceri ale Împuternicitului (ex. evidențe interne, asigurarea calității)

3.4 Tipul de date cu caracter personal În funcție de Servicii, Datele cu caracter personal ale Clientului pot include:

Informații de contact:

  • Nume (angajați, clienți, contacte)

  • Adrese de email

  • Numere de telefon

  • Adrese poștale/de afaceri

  • Denumiri companii și poziții

Date clienți (dacă aplicabil Serviciilor):

  • Nume și detalii de contact clienți

  • Istoric achiziții

  • Date comportament pe site

  • Date demografice

  • Preferințe

Date angajați (dacă aplicabil):

  • Informații de contact personal angajați

  • Informații poziție/rol

  • Fotografii (pentru materiale web/marketing)

Identificatori online:

  • Adrese IP

  • Identificatori cookie

  • Date analitice site

  • Identificatori social media

Date marketing:

  • Metrici implicare email

  • Comportament vizitatori site

  • Interacțiuni publicitate

Alte date:

  • Orice alte date cu caracter personal furnizate de Client în legătură cu Serviciile

  • Fotografii, videoclipuri, înregistrări audio (pentru Servicii Revival)

3.5 Categorii de subiecți ai datelor

  • Angajați și contractori ai Clientului

  • Clienți și potențiali clienți ai Clientului

  • Contacte de afaceri ale Clientului

  • Vizitatori site

  • Abonați newsletter

  • Urmăritori social media

  • Alți indivizi ale căror date sunt furnizate de Client

3.6 Categorii speciale de date Împuternicitul nu anticipează prelucrarea Categoriilor speciale de date cu caracter personal (conform Art. 9 GDPR) decât dacă:

  • Este convenit expres în scris

  • Clientul a obținut consimțământ explicit sau alt temei legal

  • Sunt implementate garanții suplimentare

Dacă vor fi prelucrate Categorii speciale, acestea trebuie documentate în Anexa A cu măsuri de securitate specifice.

4. OBLIGAȚIILE ÎMPUTERNICITULUI

4.1 Respectarea instrucțiunilor Împuternicitul va:

  • Prelucra Datele cu caracter personal ale Clientului doar pe baza instrucțiunilor documentate ale Clientului, inclusiv privind transferurile internaționale

  • Informa imediat Clientul dacă, în opinia sa, o instrucțiune încalcă Legea aplicabilă privind protecția datelor

  • Nu prelucra Datele cu caracter personal ale Clientului în alt scop decât cel instruit de Client

Instrucțiuni documentate: Instrucțiunile Clientului sunt:

  1. Prezentul DPA și Anexele sale

  2. Acordul Principal

  3. Orice alte instrucțiuni scrise suplimentare furnizate de Client din când în când

4.2 Confidențialitate Împuternicitul va asigura că:

  • Persoanele autorizate să prelucreze Date cu caracter personal ale Clientului sunt supuse obligațiilor de confidențialitate (contractuale sau legale)

  • Aceste persoane prelucrează datele doar conform instrucțiunilor Clientului

  • Accesul la Date cu caracter personal ale Clientului este limitat la cei care au nevoie pentru executarea Serviciilor

4.3 Măsuri de securitate Împuternicitul va implementa măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului, inclusiv:

Măsuri tehnice:

  • Pseudonimizare și criptare a datelor cu caracter personal

  • Confidențialitate, integritate, disponibilitate și reziliență continuă a sistemelor de prelucrare

  • Testare și evaluare regulată a măsurilor de securitate

  • Capacitate de restaurare a disponibilității și accesului la date după incidente

  • Proceduri securizate de backup și recuperare date

  • Controale de acces și autentificare

  • Firewall-uri și detecție intruziuni

  • Protecție anti-virus și anti-malware

  • Proceduri sigure de eliminare date

Măsuri organizatorice:

  • Politici și proceduri de protecție a datelor

  • Instruire personal privind protecția datelor

  • Politici de control acces (acces bazat pe rol, principiul least privilege)

  • Proceduri răspuns incidente

  • Planuri continuitate afaceri și recuperare dezastre

  • Proceduri management furnizori

  • Audituri și revizuiri securitate regulate

Măsurile de securitate actuale sunt detaliate în Anexa B.

4.4 Sub-prelucrare

4.4.1 Autorizare generală Clientul acordă autorizare generală pentru angajarea Sub-împuterniciților de către Împuternicit. Sub-împuterniciții actuali sunt listați în Anexa C.

4.4.2 Cerințe pentru Sub-împuterniciți Împuternicitul va:

  • Efectua due diligence asupra tuturor Sub-împuterniciților

  • Impune obligații de protecție a datelor Sub-împuterniciților cel puțin la nivelul prezentului DPA

  • Asigura că Sub-împuterniciții oferă garanții suficiente de măsuri de securitate adecvate

  • Rămâne pe deplin răspunzător față de Client pentru performanța Sub-împuterniciților

4.4.3 Notificare schimbări Împuternicitul va:

  • Notifica Clientul cu privire la orice schimbări intenționate (adăugiri sau înlocuiri) ale Sub-împuterniciților

  • Acorda cel puțin 30 de zile notificare prealabilă

  • Actualiza Anexa C în consecință

4.4.4 Dreptul de obiecție al Clientului Clientul poate obiecta la un nou sau înlocuitor Sub-împuternicit pe motive rezonabile de protecție a datelor, notificând Împuternicitul în termen de 14 zile de la notificare. Dacă Clientul obiectează:

  • Părțile vor discuta de bună-credință

  • Dacă nu se ajunge la rezolvare, Clientul poate rezilia Serviciile afectate cu notificare de 30 de zile fără penalități

4.5 Drepturile subiecților datelor

4.5.1 Asistență pentru Client Împuternicitul va asista Clientul, ținând cont de natura prelucrării, prin implementarea măsurilor tehnice și organizatorice adecvate pentru îndeplinirea obligațiilor Clientului de a răspunde cererilor Subiecților datelor pentru exercitarea drepturilor conform Legii aplicabile privind protecția datelor, inclusiv:

  • Dreptul de acces (Art. 15)

  • Dreptul la rectificare (Art. 16)

  • Dreptul la ștergere (Art. 17)

  • Dreptul la restricționarea prelucrării (Art. 18)

  • Dreptul la portabilitatea datelor (Art. 20)

  • Dreptul la opoziție (Art. 21)

  • Drepturi privind deciziile automate (Art. 22)

4.5.2 Redirecționarea cererilor Dacă Împuternicitul primește direct o cerere de la un Subiect al datelor:

  • Va redirecționa cererea către Client fără întârziere nejustificată (în maxim 2 zile lucrătoare)

  • Nu va răspunde direct Subiectului datelor decât dacă este autorizat de Client

  • Poate notifica Subiectul datelor că trebuie să adreseze cererile către Client

4.5.3 Taxe pentru asistență Împuternicitul va furniza asistență rezonabilă fără costuri suplimentare. Dacă asistența necesită efort semnificativ suplimentar față de domeniul Serviciilor, Împuternicitul poate percepe taxe rezonabile convenite în prealabil.

4.6 Încălcarea datelor cu caracter personal

4.6.1 Notificare către Client Împuternicitul va notifica Clientul fără întârziere nejustificată (și în orice caz în maxim 24 de ore) după ce ia cunoștință de o Încălcare a datelor cu caracter personal care afectează Datele cu caracter personal ale Clientului.

4.6.2 Conținut notificare încălcare Notificarea va include, în măsura posibilului:

  • Descrierea naturii încălcării

  • Categorii și număr aproximativ al Subiecților datelor afectați

  • Categorii și număr aproximativ al înregistrărilor de date afectate

  • Consecințe probabile ale încălcării

  • Măsuri luate sau propuse pentru remediere

  • Punct de contact pentru informații suplimentare

4.6.3 Investigație și remediere Împuternicitul va:

  • Investiga încălcarea și furniza actualizări regulate

  • Lua măsuri rezonabile pentru atenuarea încălcării

  • Coopera cu investigația Clientului

  • Furniza toate informațiile necesare pentru ca Clientul să notifice autoritățile/Subiecții datelor dacă este necesar

  • Documenta toate încălcările, inclusiv fapte, efecte și acțiuni remediale

4.6.4 Fără recunoaștere a răspunderii Notificarea unei încălcări conform acestei secțiuni nu constituie recunoaștere a vinei sau răspunderii.

4.7 Evaluarea impactului asupra protecției datelor (DPIA) Împuternicitul va furniza asistență rezonabilă Clientului pentru efectuarea DPIA atunci când este cerut conform Art. 35 GDPR, inclusiv furnizarea:

  • Descrierii operațiunilor de prelucrare

  • Evaluării necesității și proporționalității

  • Informațiilor despre măsuri de securitate

  • Alte informații solicitate rezonabil

4.8 Consultare prealabilă Împuternicitul va furniza asistență rezonabilă pentru îndeplinirea obligațiilor de consultare cu Autoritățile de supraveghere conform Art. 36 GDPR, dacă este necesar.

4.9 Evidențe ale activităților de prelucrare Împuternicitul va menține evidențe exacte și actualizate ale activităților de prelucrare conform Art. 30 GDPR, inclusiv:

  • Nume și detalii de contact ale Împuternicitului și fiecărui Sub-împuternicit

  • Categorii de prelucrare efectuate în numele fiecărui Operator

  • Unde aplicabil, transferuri internaționale cu documentația garanțiilor

  • Descriere generală a măsurilor tehnice și organizatorice de securitate

Aceste evidențe vor fi puse la dispoziția Clientului sau a Autorităților de supraveghere la cerere.

5. TRANSFERURI INTERNAȚIONALE DE DATE

5.1 Restricții transfer Împuternicitul nu va transfera Date cu caracter personal ale Clientului în afara Spațiului Economic European (SEE) fără:

  • Autorizare scrisă prealabilă a Clientului ȘI

  • Garanții adecvate conform Capitolului V GDPR

5.2 Transferuri autorizate Următoarele transferuri internaționale sunt autorizate:

Țări cu decizii de adecvare:

  • Transferuri către țări considerate adecvate de Comisia Europeană sunt permise

Clauze Contractuale Standard (SCC):

  • Împuternicitul poate transfera date către Sub-împuterniciți folosind Clauzele Contractuale Standard UE

  • Transferurile acoperite de SCC actuale sunt listate în Anexa C

Alte garanții:

  • Reguli Corporative Obligatorii (dacă aplicabil)

  • Coduri de conduită aprobate sau mecanisme de certificare

  • Alte mecanisme aprobate conform Art. 46 GDPR

5.3 Obligații pentru transferuri Pentru transferuri în afara deciziilor de adecvare, Împuternicitul va:

  • Executa mecanisme de transfer adecvate (ex. SCC)

  • Asigura că Sub-împuterniciții din țări terțe oferă garanții adecvate

  • Informa Clientul despre orice incapacitate de a respecta cerințele de transfer

  • Asista Clientul în efectuarea Evaluărilor de Impact al Transferului dacă este necesar

5.4 Cereri de acces guvernamental Dacă Împuternicitul primește o cerere obligatorie legal de la o autoritate publică pentru divulgarea Datelor cu caracter personal ale Clientului transferate în afara SEE:

  • Va notifica Clientul, cu excepția cazului în care legea interzice

  • Va contesta cererea dacă există motive rezonabile

  • Va furniza doar datele minim necesare în răspuns

6. DREPTURI DE AUDIT

6.1 Drepturi de audit ale Clientului Clientul (sau auditorul desemnat) poate, cu notificare rezonabilă (cel puțin 30 de zile) și în orele normale de afaceri:

  • Audita conformitatea Împuternicitului cu prezentul DPA

  • Inspecta facilitățile, sistemele și documentația relevante de prelucrare

  • Intervievă personalul relevant

6.2 Limitări audit Frecvență:

  • Audituri de rutină: O dată pe an

  • Audituri suplimentare dacă există dovezi de neconformitate sau după o Încălcare a datelor

Notificare: Cel puțin 30 de zile notificare scrisă; auditurile nu trebuie să interfereze nejustificat cu afacerea Împuternicitului.

Domeniu: Limitat la aspecte relevante obligațiilor DPA; supus confidențialității; nu include audituri ale Sub-împuterniciților decât dacă convenit.

Costuri: Clientul suportă propriile costuri; Împuternicitul poate percepe taxe rezonabile pentru participare peste 1 zi pe an.

6.3 Certificări third-party În loc de audit, Împuternicitul poate furniza:

  • Rapoarte audit third-party (ex. SOC 2, ISO 27001)

  • Evaluări securitate independente

  • Certificări conformitate

Aceste rapoarte pot satisface drepturile de audit ale Clientului dacă demonstrează adecvat conformitatea.

6.4 Remediere Dacă un audit relevă neconformități:

  • Împuternicitul va remedia prompt problemele identificate

  • Va furniza un plan de remediere în 14 zile

  • Clientul poate efectua audituri de follow-up pentru verificare

7. RETURNĂREA ȘI ȘTERGEREA DATELOR

7.1 Returnare sau ștergere la terminare La terminarea sau expirarea Acordului Principal, sau mai devreme la cererea Clientului, Împuternicitul va, [continuarea textului pe pagină pare trunchiată în extras, dar în mod tipic continuă cu: returna sau șterge toate Datele cu caracter personal ale Clientului, conform opțiunii Clientului, cu excepția cazurilor în care legea cere retenție; va confirma ștergerea în scris etc.]

bottom of page