Anexa 1 — Acord de Prelucrare a Datelor cu Caracter Personal (DPA)

Prezenta anexă face parte integrantă din Termenii și Condițiile Sendino și reglementează prelucrarea de către Furnizor, în calitate de persoană împuternicită („Împuternicit”), a datelor cu caracter personal pentru care Beneficiarul are calitatea de operator („Operator”), în conformitate cu art. 28 din Regulamentul (UE) 2016/679 („GDPR”).

A1. Obiectul, natura și scopul prelucrării

Împuternicitul prelucrează datele personale ale contactelor Operatorului exclusiv în scopul prestării Serviciului: găzduirea listelor de contacte, expedierea comunicărilor electronice create de Operator, generarea de rapoarte și statistici, gestionarea dezabonărilor și a raportărilor de abuz. Operațiunile de prelucrare includ: colectarea (prin import sau formulare), stocarea, organizarea, consultarea, transmiterea prin e-mail, restricționarea și ștergerea.

A2. Durata prelucrării

Prelucrarea are loc pe durata Contractului și pe perioada de retenție prevăzută la art. 10.5 din Termeni (30 de zile pentru export, urmate de ștergerea din sistemele de producție și de rotația copiilor de siguranță în cel mult 90 de zile).

A3. Categoriile de persoane vizate și de date

  • Persoane vizate: contactele/abonații Operatorului (clienți, prospecți, abonați la newsletter).
  • Categorii de date: adresă de e-mail, nume, prenume și orice câmpuri suplimentare definite de Operator (de exemplu, oraș, preferințe); date privind interacțiunea cu mesajele (livrare, deschidere, click, dezabonare, adresă IP asociată acestor evenimente).
  • Operatorul se obligă să nu încarce în Platformă categorii speciale de date (art. 9 GDPR: sănătate, orientare sexuală, apartenență religioasă/politică/sindicală, date biometrice sau genetice) și nici date ale minorilor, cu excepția cazului în care a convenit în scris cu Împuternicitul condiții suplimentare adecvate.

A4. Obligațiile Împuternicitului

Împuternicitul se obligă:

  1. să prelucreze datele numai pe baza instrucțiunilor documentate ale Operatorului, exprimate prin utilizarea funcțiilor Platformei și prin prezentul Contract, cu excepția cazului în care legea îi impune altfel — situație în care va informa Operatorul înainte de prelucrare, dacă legea nu interzice această informare;
  2. să se asigure că persoanele autorizate să prelucreze datele s-au angajat să respecte confidențialitatea sau au o obligație statutară de confidențialitate;
  3. să implementeze măsurile tehnice și organizatorice prevăzute la art. A6;
  4. să respecte condițiile privind sub-împuterniciții prevăzute la art. A5;
  5. ținând seama de natura prelucrării, să asiste Operatorul, prin măsuri tehnice și organizatorice adecvate (funcții de export, rectificare, ștergere, dezabonare), în îndeplinirea obligației de a răspunde cererilor persoanelor vizate privind exercitarea drepturilor prevăzute de GDPR; dacă o persoană vizată se adresează direct Împuternicitului, acesta va redirecționa cererea către Operator fără întârzieri nejustificate;
  6. să asiste Operatorul în asigurarea respectării obligațiilor privind securitatea prelucrării, notificarea încălcărilor și evaluarea impactului asupra protecției datelor (art. 32–36 GDPR), în limita informațiilor de care dispune;
  7. notifice Operatorul fără întârzieri nejustificate, dar nu mai târziu de 48 de ore de la data la care a luat cunoștință de o încălcare a securității datelor care afectează datele Operatorului, furnizând informațiile necesare pentru ca Operatorul să își poată îndeplini obligația de notificare a autorității de supraveghere în termen de 72 de ore;
  8. la încetarea Contractului, să șteargă sau să returneze Operatorului, la alegerea acestuia, toate datele personale, conform art. A2, și să șteargă copiile existente, cu excepția datelor a căror stocare este impusă de lege;
  9. să pună la dispoziția Operatorului informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute la art. 28 GDPR și să permită și să contribuie la audituri, inclusiv inspecții, efectuate de Operator sau de un auditor mandatat de acesta, cu o notificare prealabilă rezonabilă de cel puțin 15 zile lucrătoare, maximum o dată pe an, în timpul programului de lucru și fără a afecta securitatea celorlalți clienți; costurile auditului sunt suportate de Operator;
  10. să nu utilizeze datele contactelor în scopuri proprii, să nu le vândă, închirieze sau divulge către terți în afara cazurilor prevăzute în prezenta anexă.

A5. Sub-împuterniciți

A5.1. Operatorul autorizează în mod general recurgerea de către Împuternicit la sub-împuterniciți pentru operarea infrastructurii Serviciului. Lista actuală a sub-împuterniciților include:

Sub-împuternicitRolLocația prelucrării
Amazon Web Services EMEA SARL (Amazon SES)infrastructură de expediere e-mailUniunea Europeană (regiunea eu-central-1, Frankfurt)
Hetzner Online GmbHgăzduire aplicație și baze de dateGermania (Uniunea Europeană)
NETOPIA S.A. (Netopia Payments)procesarea plăților online cu cardul (nu accesează datele contactelor)România (Uniunea Europeană)

A5.2. Împuternicitul va impune fiecărui sub-împuternicit, prin contract, obligații de protecție a datelor cel puțin echivalente celor din prezenta anexă și rămâne pe deplin răspunzător față de Operator pentru îndeplinirea obligațiilor de către sub-împuterniciți.

A5.3. Împuternicitul va informa Operatorul, prin e-mail sau prin Platformă, cu privire la orice adăugare sau înlocuire de sub-împuternicit, cu cel puțin 15 zile înainte. Operatorul poate formula obiecții justificate în acest termen; dacă părțile nu ajung la o soluție, Operatorul poate înceta Contractul, cu rambursarea proporțională a perioadei neutilizate.

A6. Măsuri de securitate

Împuternicitul implementează, între altele: criptarea comunicațiilor în tranzit (TLS/SSL), controlul accesului pe bază de roluri și autentificare, separarea logică a datelor clienților, jurnalizarea accesului, copii de siguranță periodice, actualizarea și întreținerea regulată a sistemelor, restricționarea accesului fizic și logic la infrastructură la personalul strict necesar.

A7. Transferuri în afara UE/SEE

Datele contactelor sunt stocate și prelucrate pe teritoriul Uniunii Europene. Orice transfer către o țară terță se va efectua numai cu respectarea capitolului V din GDPR (decizie de adecvare, clauze contractuale standard sau alte garanții adecvate) și cu informarea prealabilă a Operatorului conform art. A5.3.

A8. Răspundere

Fiecare parte răspunde pentru propriile obligații care îi revin în temeiul GDPR: Operatorul pentru legalitatea colectării datelor și a temeiurilor de prelucrare, Împuternicitul pentru respectarea obligațiilor prevăzute în prezenta anexă. Limitările de răspundere din art. 13 al Termenilor se aplică și prezentei anexe, în măsura permisă de lege.