Acord de prelucrare a datelor (DPA)

Data Efectivă: 20 august 2025
Ultima Actualizare: 20 august 2025

Formarea și Acceptarea Acordului

Proin bibendum, augue a auctor consectetur, nisi elit imperdiet dui, ac eleifend quam nibh quis mauris. Nullam consequat, nibh in faucibus euismod, justo nulla dignissim quam, sit amet aliquet enim felis ut est.

Scop și Grad

Scopul acestui DPA este să asigure măsuri de protecție adecvate în ceea ce privește protecția confidențialității și să asigure că prelucrarea Datelor Personale este în conformitate cu obligațiile legale ale Operatorului de Date și ale Counterpartului în conformitate cu legile aplicabile privind protecția datelor.

ACESTUL DPA INCLUDE:

  1. Clause Contractuale Standard, atașate ca EXHIBIT 1
  2. Anexa 1 la Clause Contractuale Standard (detalii transfer de date)
  3. Anexa 2 la Clause Contractuale Standard (măsuri tehnice și organizatorice de securitate)
  4. Lista Sub-Procesoarelor, atașată ca EXHIBIT 2

Definiții

"Controlor" înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu alții, stabilește scopurile și mijloacele Prelucrării Datelor Personale.

"Legea Protecției Datelor" înseamnă toată legislația aplicabilă referitoare la protecția datelor și confidențialitatea, inclusiv fără limitare GDPR, împreună cu orice legi naționale de implementare în orice Stat Membru al Uniunii Europene sau alte jurisdicții aplicabile.

"Data Subject" înseamnă individul la care se referă Datele Personale.

"GDPR" înseamnă Regulamentul General privind Protecția Datelor (UE) 2016/679.

"Instrucțiune" înseamnă instrucțiunea documentată, emisă de Controlor către Procesator, direcționând acela să execute o acțiune specifică în ceea ce privește Datele Personale.

"Date Personale" înseamnă orice informație referitoare la o persoană identificată sau identificabilă în care astfel de informații sunt cuprinse în Datele Clientului și sunt protejate ca date personale în temeiul legilor aplicabile privind protecția datelor.

"Violare de Date Personale" înseamnă o încălcare a securității care duce la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la Datele Personale.

"Prelucrare" înseamnă orice operațiune efectuată asupra Datelor Personale, inclusiv colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea, recuperarea, consultarea, utilizarea, divulgarea, alinierea, restricția sau ștergerea.

"Procesator" înseamnă o persoană fizică sau juridică care prelucrează Date Personale în numele Controlorului.

"Clause Contractuale Standard" înseamnă clauzele atașate ca Exhibit 1 conform deciziilor Comisiei Europene pentru măsuri adecvate de protecție a datelor.

Detalii despre Prelucrare

Categorii de Subiecți ai Datelor: Contactele clientului și utilizatorii finali, inclusiv angajați, contractori, colaboratori, clienți, potențiali clienți, furnizori și subfurnizori. Subiecții datelor includ de asemenea persoane care încearcă să comunice cu sau să transfere Date Personale către utilizatorii finali ai Clientului.

Tipuri de Date Personale: Informații de contact, date de navigare, date de e-mail, date de utilizare a sistemului, date de integrare a aplicațiilor și alte date electronice transmise, stocate, trimise sau primite prin serviciile noastre.

Subiectul Prelucrării și Natura Prelucrării: Furnizarea de servicii de platformă de comerț electronic care implică Prelucrarea Datelor Personale, așa cum este specificat în Acord.

Scopul Prelucrării: Datele Personale vor fi Prelucrate pentru a oferi serviciile prevăzute în Acord.

Durata Prelucrării: Pentru întreaga durată a Acordului, sub rezerva dispozițiilor de păstrare și ștergere a datelor de mai jos.

Responsabilități ale Clientului

Dvs. ca Controlor, sunteți singurul responsabil pentru:

  • Conformitatea cu toate cerințele aplicabile de protecție a datelor
  • Asigurarea dezvăluirii legale și transferului Datelor Personale către noi
  • Furnizarea instrucțiunilor legale pentru Prelucrare
  • Informarea noastră despre orice erori sau nereguli legate de cerințele de protecție a datelor

Instrucțiunile dvs. pentru Prelucrarea Datelor Personale trebuie să respecte Legea privind Protecția Datelor. Acest DPA reprezintă instrucțiunile dvs. complete către Tamio GmbH privind prelucrarea Datelor Personale. Instrucțiuni suplimentare necesită acord scris între părți.

Obligațiile Noastre ca Operator

Conformitatea cu Instrucțiunile

Vom prelucra Date Personale doar în cadrul instrucțiunilor dvs. Dacă considerăm că o instrucțiune încalcă Legea privind protecția datelor, vă vom informa imediat. Dacă nu putem prelucra Date Personale conform instrucțiunilor din motive legale, vom:

  • Notificați imediat despre cerința legală (acolo unde este permis)
  • Opriți prelucrarea până când furnizați instrucțiuni conforme

Măsuri de Securitate

Implementăm măsuri tehnice și organizatorice adecvate pentru a proteja Datele Personale împotriva accesului neautorizat, modificării, divulgării sau distrugerii, inclusiv:

  • Controlul accesului fizic la sistemele de prelucrare
  • Controlul accesului logic pentru a preveni utilizarea neautorizată a sistemului
  • Controlele de acces la date asigurând accesul doar personalului autorizat la datele necesare
  • Controlele de transfer de date pentru transmitere și stocare securizate
  • Controlele de intrare documentând accesul și modificările în sistemele de date
  • Controlele de instrucțiuni asigurând prelucrarea doar conform instrucțiunilor dvs.
  • Controlele de disponibilitate protejând împotriva distrugerii sau pierderii accidentale

Vom furniza detalii despre programul nostru curent de securitate la cererea dvs. și vă vom facilita conformitatea cu obligațiile de securitate în temeiul articolelor 32-34 din GDPR.

Confidențialitate

Toți membrii personalului autorizați să prelucreze Date Personale sunt supuși obligațiilor de confidențialitate ce supraviețuiesc încetării activităților lor.

Inteligență Artificială și Prelucrare Automatizată

Dacă serviciile noastre includ orice funcții de inteligență artificială sau de luare a deciziei automate care prelucrează Date Personale, noi:

  • Oferiți informații clare despre logica implicată
  • Informați despre semnificația și consecințele prevăzute
  • Implementați măsuri de protecție pentru drepturile subiectilor datelor
  • Asigurați supraveghere umană acolo unde este cerut de legea aplicabilă

Localizarea și Rezidența Datelor

Menținem Date Personale în conformitate cu cerințele de localizare a datelor aplicabile. La cerere, putem furniza informații despre locul unde sunt stocate și prelucrate Datele dvs. Personale.

Cronologie de notificare a încălcărilor

Vă vom notifica despre orice încălcare a Datelor Personale:

  • fără întârziere nejustificată și, acolo unde este fezabil, în termen de 24 de ore de la luarea la cunoștință
  • cu toate informațiile disponibile la momentul notificării
  • cu informații suplimentare pe măsură ce devin disponibile

Cereri ale Subiectului Datelor

Vom oferi asistență rezonabilă pentru a vă permite să răspundeți la cererile subiectului datelor de a-și exercita drepturile conform legii privind protecția datelor. Dacă cereri sunt adresate direct nouă, vă vom informa prompt și îi vom îndruma pe Subiectul Datelor să vă contacteze. Sunteți responsabil numai pentru răspunsul la cererile Subiectului Datelor și veți rambursa costurile generate de astfel de asistențe.

Subprocesoare

Putem angaja subprocesoare pentru a îndeplini obligațiile noastre doar cu acordul dvs. Sunteți de acord cu angajarea noastră a companiilor afiliate și a terților enumerați în Anexa 2.

Pentru noii subprocesoare care nu sunt enumerați în Anexa 2, noi:

  • Vom pune la dispoziție o notificare scrisă (e-mail la adresa contului dvs. este suficient)
  • Vă vom oferi 30 de zile ca să obiectați pe motive întemeiate
  • Dacă obiecțiile nu pot fi rezolvate, oricare dintre părți poate înceta Acordul cu notificare scrisă

Toți sub-procesoarele trebuie să accepte aceleași obligații de protecție a datelor care se aplică nouă. Rămânem răspunzători pentru îndeplinirea acestor obligații de către subprocesoare.

Transferuri Internaționale de Date

Datele Personale pot fi transferate către Tamio GmbH în Germania și către subprocesoare în diferite locații. Ne asigurăm că măsuri adecvate de protecție sunt în vigoare pentru toate transferurile în afara SEE prin:

  • Clause Contractuale Standard (versiunea curentă 2021, să actualizăm la versiunea 2025 când este disponibilă)
  • Decizii de adecvare acolo unde este cazul
  • Alte mecanisme de transfer aprobate conform Capitolul V GDPR
  • Evaluări periodice ale impactului transferului (TIAs) după cum este necesar

Monitorizăm evoluțiile de reglementare privind transferurile internaționale și vom implementa orice măsuri suplimentare de securitate necesare autorităților de supraveghere.

Păstrarea și Ștergerea Datelor

La încetarea sau expirarea Acordului, vom șterge toate Datele Personale, cu excepția cazului în care legea solicită păstrarea lor. Dacă ștergerea nu este posibilă din motive tehnice, vom bloca prelucrarea datelor în continuare. Puteți solicita proceduri specifice de returnare sau ștergere prin furnizarea instrucțiunilor în cadrul termenului nostru specificat. Costuri suplimentare pentru returnarea sau ștergerea datelor după încetare vor fi suportate de dvs.

Audituri

Puteți audita măsurile noastre tehnice și organizatorice prin:

  • Solicitarea de informații de la noi
  • Solicitarea certificărilor sau atestărilor existente
  • Realizarea inspecțiilor la sediu în timpul orelor de afaceri cu notificare în prealabil rezonabilă

Vom furniza informații de audit necesare în cadrul controlului nostru și care nu sunt împiedicate de legile sau obligațiile de confidențialitate.

Dispoziții Generale

Modificări: Acest DPA poate fi actualizat conform prevederilor de modificare din Termeni de utilizare. Vom oferi notificare despre modificări semnificative.

Precedență: În caz de conflict, acest DPA are prioritate față de termenii generali ai Acordului. Dacă o prevedere este invalidă, celelalte prevederi rămân în vigoare.

Clause Contractuale Standard: Când este cazul, Clause Contractuale Standard din Anexa 1 prevalează asupra oricărui termen DPA în conflict. Comisia Europeană intenționează să actualizeze SCC în 2025, iar noi vom incorpora orice actualizări necesare.

Data Intrării în Vigoare: Acest DPA încorporează cerințele curente GDPR și va fi actualizat pentru a reflecta orice cerințe reglementare nouă.

Părți și Autoritate

Acceptând acest DPA în timpul înregistrării:

  • Afirmați că sunteți autorizat să acceptați acest DPA în numele organizației dvs.
  • Vă asumați acordul doar în numele entității de Controlor
  • Atât dvs., cât și Tamio GmbH deveniți părți ale acestui DPA și ale Clauselor Contractuale Standard încorporate

EXHIBIT 1: Clause Contractuale Standard (Procesatori)

În scopul Articolului 26(2) din Directiva 95/46/CE pentru transferul de date cu caracter personal către procesatori acreditați în țări terțe care nu asigură un nivel adecvat de protecție a datelor,

Cumpărătorul ("exportator de date")
Tamio GmbH ("importator de date")

S-A ÎNTOCM în privința următoarelor Clauze Contractuale pentru a asigura măsuri adecvate pentru transferul de date personale specificat în Anexa 1.

Clauza 1: Definiții

În scopul Clauzelor:

  1. ‘date personale’, ‘categorii speciale de date’, ‘prelucrare/postere, ‘controlor’, ‘prelucutor’, ‘persoana vizată’ și ‘autoritatea de supraveghere’ au aceeași semnificație ca în Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date;
  2. ‘exportatorul de date’ înseamnă controlorul care transferă datele;
  3. ‘importatorul de date’ înseamnă prelucrătorul care este de acord să primească de la exportatorul de date datele personale destinate prelucrării în numele său după transfer conform instrucțiunilor sale și termenilor Clauzelor și care nu este supus unui sistem dintr-un stat terț care asigură protecție adecvată în sensul articolului 25(1) din Directiva 95/46/CE;
  4. ‘subprelucrătorul’ înseamnă orice procesator angajat de importatorul de date sau de orice alt subprocesator al importatorului de date care este de acord să primească de la importatorul de date sau de la orice alt subprocesator al importatorului de date datele personale destinate exclusiv activităților de prelucrare ce urmează a fi efectuate în numele exportatorului de date după transfer în conformitate cu instrucțiunile sale, termenii Clauzelor și termenii subcontractului scris;
  5. ‘legea aplicabilă privind protecția datelor’ înseamnă legislația care protejează drepturile fundamentale și libertățile persoanelor și, în special, dreptul lor la viață privată în ceea ce privește prelucrarea datelor cu caracter personal aplicabilă unui operator de date în statul Membru în care importatorul de date este înființat;
  6. ‘măsuri de securitate tehnice și organizatorice’ înseamnă acele măsuri menite să protejeze datele cu caracter personal împotriva distrugerii accidentale sau ilicite sau a pierderii accidentale, alterării, divulgării sau accesului neautorizat, în special când prelucrarea implică transmiterea datelor printr-o rețea, și împotriva tuturor formelor ilegale de prelucrare.

Clauza 2: Detalii despre transferul

Detaliile sunt specificate în Anexa 1 care formează parte integrantă a Clauzelor.

Clauza 3: Clauza beneficiarului terț

Persoana vizată poate exercita împotriva exportatorului de date această Clauză, Clauzele 4(b) până la (i), Clauzele 5(a) până (e), și (g) până la (j), Clauza 6(1) și (2), Clauza 7, Clauza 8(2), și Clauzele 9 până la 12 ca beneficiar terț.

Persoana vizată poate exercita împotriva importatorului de date această Clauză, Clauza 5(a) până (e) și (g), Clauza 6, Clauza 7, Clauza 8(2), și Clauzele 9 până la 12, în cazurile în care exportatorul de date a dispărut faptic sau nu mai există în drept sau dacă o entitate succesorală a preluat întreaga obligație legală a exportatorului de date prin contract sau prin ordinea legii, ceea ce înseamnă că aceasta preia drepturile și obligațiile exportatorului de date; în acest caz, persoana vizată poate să-și exercite drepturile împotriva acelei entități.

Persoana vizată poate să își exercite împotriva subprelucrătorului această Clauză, Clauza 5(a) până (e) și (g), Clauza 6, Clauza 7, Clauza 8(2), și Clauzele 9 până la 12, în cazuri în care atât exportatorul de date, cât și importatorul de date au dispărut faptic sau nu mai există în drept sau au devenit insolvabili, cu excepția cazului în care vreo entitate succesoare și-a asumat toate obligațiile legale ale exportatorului de date prin contract sau prin operarea legii. O astfel de răspundere terță a subprelucrătorului este limitată la propriile sale operațiuni de prelucrare în baza Clauzelor.

Părțile nu se pot opune ca subiectul datelor să fie reprezentat de o asociație sau alt organism dacă subiectul datelor dorește în mod expres acest lucru și dacă legea națională permite.

Clauza 4: Obligațiile exportatorului de date

Exportatorul de date este de acord și garantează:

  1. că prelucrarea, inclusiv transferul în sine, a datelor personale a fost și va continua să fie efectuată în conformitate cu dispozițiile relevante ale legii aplicabile privind protecția datelor (și, dacă este cazul, a fost notificată autorităților relevante din Statul Membru în care exportatorul de date este înființat) și nu încalcă dispozițiile relevante ale acelui stat;
  2. că a furnizat instrucțiuni și pe durata serviciilor de prelucrare a datelor personale va instrui importatorul de date să proceseze datele transferate numai în numele exportatorului și în conformitate cu legea aplicabilă privind protecția datelor și cu Clauzele;
  3. că importatorul de date va oferi suficiente garanții în ceea ce privește măsurile de securitate tehnice și organizatorice specificate în Anexa 2 la acest contract;
  4. că, după evaluarea cerințelor legale aplicabile privind protecția datelor, măsurile de securitate sunt adecvate pentru a proteja datele personale împotriva distrugerii accidentale sau ilicite sau a pierderii accidentale, alterării, divulgării sau accesului neautorizat, în special atunci când prelucrarea implică transmiterea datelor printr-o rețea, și împotriva tuturor altor forme de prelucrare ilicite, și că aceste măsuri asigură un nivel de securitate adecvat pentru riscurile prezentate de prelucrare și natura datelor de protejat, având în vedere stadiul tehnicii și costul implementării;
  5. că va asigura conformitatea cu măsurile de securitate;
  6. că, dacă transferul implică categorii speciale de date, subiectul datelor a fost informat sau va fi informat înainte de transfer sau cât mai curând după transfer că datele sale ar putea fi transmise către un terț care nu oferă protecție adecvată în înțelesul Directivei 95/46/CE;
  7. să remită orice notificare primită de la importatorul de date sau de la orice subprelucrător în conformitate cu Clauza 5(b) și Clauza 8(3) către autoritatea de supraveghere a protecției datelor dacă exportatorul de date decide să continue transferul sau să ridice suspendarea;
  8. să pună la dispoziție subiectelor datelor, la cerere, o copie a Clauzelor, cu excepția Anexe 2, și o descriere sumară a măsurilor de securitate, precum și o copie a oricărui contract pentru servicii de subprelucrare care trebuie încheiat în conformitate cu Clauzele, cu excepția cazului în care Clauzele sau contractul conțin informații comerciale, în care caz poate elimina astfel de informații comerciale;
  9. că, în cazul subprelucrarea, activitatea de prelucrare este efectuată în conformitate cu Clauza 11 de către un subprelucrător care asigură cel puțin același nivel de protecție pentru datele personale și drepturile subiectului datelor ca importatorul de date în temeiul Clauzelor; și
  10. că va asigura conformitatea cu Clauza 4(a) până la (i).

Clauza 5: Obligațiile importatorului de date

Importatorul de date este de acord și garantează:

  1. să prelucreze datele personale numai în numele exportatorului de date și în conformitate cu instrucțiunile sale și cu Clauzele; dacă nu poate oferi această conformitate din orice motiv, este de acord să informeze prompt exportatorul de date despre incapacitatea sa de conformare, caz în care exportatorul de date are dreptul să suspende transferul de date și/sau să rezilieze contractul;
  2. că nu există motiv să creadă că legislația aplicabilă îi împiedică să îndeplinească instrucțiunile primite de la exportatorul de date și obligațiile sale în cadrul contractului și că, în cazul unei modificări a acestei legislații susceptibilă să aibă un efect negativ semnificativ asupra garanțiilor și obligațiilor prevăzute de Clauze, va notifica prompt schimbarea exportatorului de date imediat ce ia cunoștință, caz în care exportatorul de date are dreptul să suspende transferul de date și/sau să rezilieze contractul;
  3. că a implementat măsurile de securitate tehnice și organizatorice specificate în Anexa 2 înainte de a prelucra datele transferate;
  4. că va notifica prompt exportatorul de date despre: orice cerere legale obligatorii pentru divulgarea datelor personale de către o autoritate de aplicare a legii cu excepția cazului în care se interzice altfel, cum ar fi o interdicție în drept penal pentru a păstra confidențialitatea unei investigații de aplicare a legii, orice acces accidental sau neautorizat; și orice cerere primită direct de la subiectii datelor fără a răspunde la acea cerere, cu excepția cazului în care nu i s-a autorizat altfel;
  5. să gestioneze prompt și corespunzător toate solicitările din partea exportatorului de date referitoare la prelucrarea datelor personale supuse transferului și să respecte sfaturile autorității de supraveghere cu privire la prelucrarea datelor transferate;
  6. la cererea exportatorului de date să își supună facilitățile de prelucrare a datelor pentru auditul operațiunilor de prelucrare acoperite de Clauze, care vor fi efectuate de exportatorul de date sau de un organism de inspecție format din membri independenți și deținând calificările profesionale necesare, legați prin obligația de confidențialitate, selectați de exportatorul de date, dacă este cazul, în acord cu autoritatea de supraveghere;
  7. să ofere subiectelor date, la cerere, o copie a Clauzelor, sau orice contract existent pentru subprelucrare, cu excepția cazului în care Clauzele sau contractul conțin informații comerciale, în care caz poate elimina astfel de informații comerciale, cu excepția Anexa 2 care va fi înlocuită de o descriere sumară a măsurilor de securitate în acele cazuri în care subiectul datelor nu poate obține o copie de la exportatorul de date;
  8. că, în cazul subprelucrării, a informat anterior exportatorul de date și a obținut consimțământul său scris anterior;
  9. că serviciile de prelucrare de către subprelucrător vor fi efectuate în conformitate cu Clauza 11;
  10. pentru a trimite prompt o copie a oricărui acord cu subprocesatorul încheiat în temeiul Clauzelor către exportatorul de date.

Clauza 6: Răspundere

Părțile convin că orice subiect al datelor, care a suferit daune ca rezultat al oricărei încălcări a obligațiilor menționate în Clauza 3 sau în Clauza 11 de către oricare dintre părți sau de către vreun subprocesator are dreptul să primească despăgire de la exportatorul de date pentru daunele suferite.

În cazul în care un subiect al datelor nu poate să introducă o cerere de despăgubire în conformitate cu paragraful 1 împotriva exportatorului de date, rezultând dintr-o încălcare de către importatorul de date sau de către subprocesatorul său a oricăreia dintre obligațiile lor prevăzute în Clauza 3 sau în Clauza 11, deoarece exportatorul de date a dispărut faptic sau nu mai există în drept sau a devenit insolvabil, importatorul de date este de acord ca subiectul datelor să poată formula o cerere împotriva importatorului de date ca și cum acesta ar fi fost exportatorul de date, cu excepția cazului în care o entitate succesoare a preluat întreaga obligație legală a exportatorului de date prin contract sau prin aplicarea legii, caz în care subiectul datelor își poate asigura drepturile împotriva respectivei entități.

Importatorul de date nu poate să se bazeze pe o încălcare a obligațiilor sale de către un subprocesator pentru a evita răspunderea proprie.

Dacă un subiect al datelor nu poate să introducă o cerere împotriva exportatorului de date sau a importatorului de date menționați în paragrafele 1 și 2, rezultat dintr-o încălcare a obligațiilor oricărui subprocesator referitoare la Clauza 3 sau în Clauza 11 pentru că atât exportatorul de date, cât și importatorul de date au dispărut faptic sau nu mai există în drept sau au devenit insolvabili, subprocesatorul este de acord ca subiectul datelor să poată formula o cerere împotriva subprocesatorului său în legătură cu propriile sale operațiuni de prelucrare în temeiul Clauzelor ca și cum ar fi fost exportatorul de date sau importatorul de date, cu excepția cazului în care o entitate succesoare a preluat întreaga obligație legală a exportatorului de date sau a importatorului de date prin contract sau prin aplicarea legii. Răspunderea subprocesatorului este limitată la propriile sale operațiuni de prelucrare în temeiul Clauzelor.

Clauza 7: Medieri și jurisdicție

  1. Importatorul de date este de acord că dacă subiectul datelor invocă în fața sa drepturi de beneficiar terț și/sau solicită despăgubiri pentru daune în temeiul Clauzelor, importatorul de date va accepta decizia subiectului datelor:
  2. să predea disputa medierii, de către o persoană independentă sau, dacă este cazul, de către autoritatea de supraveghere;
  3. să trimită disputa spre instanțele din statul Membru în care exportatorul de date este înființat.
  4. Părțile convin că alegerea făcută de subiectul datelor nu va prejudicia drepturile sale substanțiale sau procedurale de a căuta remedii în conformitate cu alte prevederi ale dreptului național sau internațional.

Clauza 8: Cooperare cu autoritățile de supraveghere

Exportatorul de date este de acord să depună o copie a acestui contract la autoritatea de supraveghere dacă aceasta solicită sau dacă depozitarea este cerută în conformitate cu legea aplicabilă privind protecția datelor.

Părțile convin că autoritatea de supraveghere are dreptul de a efectua un audit asupra importatorului de date, și a oricărui subprocesator, care are același scop și este supus acelorași condiții ca ar aplica asupra unui audit al exportatorului de date în temeiul legii aplicabile privind protecția datelor.

Importatorul de date va informa prompt exportatorul de date despre existența legislației aplicabile pentru el sau pentru orice subprocesator care împiedică efectuarea unui audit asupra importatorului de date, sau asupra oricărui subprocesator, conform paragrafului 2. Într-un astfel de caz, exportatorul de date va avea dreptul să ia măsurile prevăzute în Clauza 5(b).

Clauza 9: Legea aplicabilă

Clauzele vor fi guvernate de legea țării sau statului în care exportatorul de date este înființat.

Clauza 10: Variația contractului

Părțile se angajează să nu varieze sau să modifice Clauzele. Aceasta nu împiedică părțile să adauge clauze referitoare la aspecte de afaceri atunci când este necesar, atât timp cât nu contrazic Clauza.

Clauza 11: Subprelucrare

Importatorul de date nu poate subcontracta nicio operațiune de prelucrare efectuată în numele exportatorului de date în temeiul Clauzelor fără consimțământul scris prealabil al exportatorului de date. Când importatorul de date subcontractează obligațiile sale în temeiul Clauzelor, cu consimțământul exportatorului de date, o face doar printr-un acord scris cu subprocesatorul care impune aceleași obligații asupra subprocesatorului ca cele impuse asupra importatorului de date în temeiul Clauzelor. În cazul în care subprocesatorul nu își îndeplinește obligațiile de protecție a datelor în temeiul acelui acord scris, importatorul de date rămâne pe deplin răspunzător față de exportatorul de date pentru îndeplinirea obligațiilor subprocesatorului în temeiul acelui acord.

Contractul scris anterior încheiat între importatorul de date și subprocesator va prevedea de asemenea o clauză de terț beneficiar așa cum este prevăzut în Clauza 3 pentru cazurile în care subiectul datelor nu poate să introducă cererea de despăgubire menționată în paragraful 1 al Clauzei 6 împotriva exportatorului de date sau a importatorului de date deoarece au dispărut faptic sau nu mai există în drept sau nu există o entitate succesoare care să fi preluat întreaga obligație legală a exportatorului de date sau a importatorului de date prin contract sau prin aplicarea legii. O astfel de răspundere terță a subprocesatorului poate fi limitată la propriile sale operațiuni de prelucrare în temeiul Clauzelor.

Dispozițiile referitoare la aspectele de protecție a datelor pentru subprelucrarea contractului menționat în paragraful 1 vor fi guvernate de legea Statului Membru în care este înființat exportatorul de date.

Exportatorul de date va menține o listă a acordurilor de subprelucrare încheiate în temeiul Clauzelor și notificate de către importatorul de date conform Clauzei 5(j), care va fi

actualizată cel puțin o dată pe an. Lista va fi disponibilă autorității de protecție a datelor a exportatorului de date.

Clauza 12: Obligația după încetarea serviciilor de prelucrare a datelor

Părțile sunt de acord că la încetarea furnizării serviciilor de prelucrare a datelor, importatorul de date și subprocesatorul vor, la alegerea exportatorului de date, să returneze toate datele personale transferate și copiile acestora sau să distrugă toate datele personale și să certifice exportatorului de date că au făcut acest lucru, cu condiția ca legislația să nu împiedice returnarea sau distrugerea în întregime sau parțial a datelor personale transferate. În acest caz, importatorul de date garantează că va asigura confidențialitatea datelor transferate și nu va procesa în continuare datele personale transferate.

Importatorul de date și subprocesatorul garantează că, la cererea exportatorului de date și/sau a autorității de supraveghere, își vor supune facilitățile de prelucrare a datelor pentru un audit al măsurilor menționate la paragraful 1.

EXHIBIT 2: Lista Sub-Procesoarelor

Sub-ProcesatorDescrierePolitica de confidențialitate
StripeProcesare plăți cu cardul de credithttps://stripe.com/en-gb-ro/privacy
Meta (Facebook)Urmărire Pixel pentru vizite și vânzărihttps://www.facebook.com/policy.php
Google AnalyticsAnaliză trafic website și comportament utilizatori (anonymized)https://policies.google.com/privacy
Google OptimizeTestare versiune de conținut (anenomizat)https://policies.google.com/privacy

APPENDIX 1: Detalii despre Transferul Datelor

Exportator de Date: dvs., entitatea Client care acceptă acest DPA

Importator de Date: Tamio GmbH, furnizor de servicii platformă de comerț electronic

Subiecti de Date: angajații dvs., contractanți, clienți și utilizatori ai platformei dvs. de comerț electronic

Categorii de Date: ID-uri de utilizator, adrese de email, documente, imagini, intrări în calendar, sarcini și alte date electronice transmise prin serviciile noastre

Categorii Speciale: Orice date de categorie specială transmise de utilizatorii finali prin intermediul serviciilor

Operațiuni de Prelucrare:

  • Furnizarea de servicii platformă de comerț electronic
  • Detectarea, prevenirea și remedierea problemelor de securitate
  • Răspuns la solicitările de asistență ale clienților
  • Respectarea obligațiilor în temeiul acordului de servicii

Termen: Durata prelucrării urmează termenul acordului de servicii, cu acces rezonabil post-încetare pentru exportul de date.

APPENDIX 2: Măsuri tehnice și organizatorice de securitate

Acest Anexă face parte din Clauze.

Descrierea măsurilor tehnice și organizatorice de securitate implementate de importatorul de date în conformitate cu Clauzele 4(d) și 5(c) (sau documentul/legea atașat):

Tamio GmbH respectă în prezent practicile de securitate descrise în această Anexă 2. Fără a prejudicia orice alte prevederi agreate în mod contrar de exportatorul de date, Tamio GmbH poate modifica sau actualiza aceste practici la discreția sa, cu condiția ca astfel de modificări și actualizări să nu producă o degradare semnificativă a protecției oferite de aceste practici. Toate termenii cu literă mare, nealocați în alt mod, vor avea înțelesurile așa cum sunt stabilite în Acord.

1. Controlul Accesului

Prevenirea accesului neautorizat la produse

Prelucrare externalizată: Tamio GmbH găzduiește Serviciul său cu furnizori de infrastructură cloud externalizați. În plus, Tamio GmbH menține relații contractuale cu furnizori pentru a oferi Serviciul în conformitate cu Acordul nostru de Prelucrare a Datelor. Tamio GmbH se bazează pe acorduri contractuale, politici de confidențialitate și programe de conformitate ale furnizorilor pentru a proteja datele prelucrate sau stocate de acești furnizori.

Securitate fizică și de mediu: Tamio GmbH găzduiește infrastructura produsului cu furnizori de infrastructură multi-tenant, externalizați. Controalele fizice și de mediu sunt auditate pentru conformitatea ISO 27001, printre alte certificări.

Autentificare: Tamio GmbH a implementat o politică de parolă uniformă pentru produsele sale. Clienții care interacționează cu produsele prin interfața de utilizator trebuie să se autentifice înainte de a accesa datele clienților nepublice.

Autorizare: Datele clienților sunt stocate în sisteme de stocare multi-tenant accesibile clienților numai prin interfețe de utilizator ale aplicațiilor și API-urilor. Clienții nu au acces direct la infrastructura de aplicații de bază. Modelul de autorizare din fiecare produs Tamio GmbH este conceput pentru a asigura că doar persoanele adecvat autorizate pot accesa funcțiile, vizualizările și opțiunile de personalizare relevante. Autorizarea seturilor de date se efectuează prin validarea permisiunilor utilizatorului în raport cu atributele asociate fiecărui set de date.

Acces API (Interfață de Programare a Aplicațiilor): API-urile publice ale produselor pot fi accesate printr-o cheie API sau prin autorizare Oauth.

2. Prevenirea utilizării neautorizate a produsului

Tamio GmbH implementează controale de acces industriale și capacități de detectare pentru rețelele interne care susțin produsele sale.

Controle de acces: mecanismele de control al accesului la rețea sunt concepute pentru a preveni traficul de rețea folosind protocoale neautorizate de a ajunge la infrastructura produsului. Măsurile tehnice implementate diferă între furnizorii de infrastructură și includ implementări de Virtual Private Cloud (VPC), alocare de grupuri de securitate și reguli tradiționale de firewall.

Detecția și prevenția intruziunilor: Tamio GmbH a implementat o soluție de Web Application Firewall (WAF) pentru a proteja site-urile clienților găzduite și alte aplicații accesibile pe internet. WAF este proiectat să identifice și să prevină atacurile împotriva serviciilor de rețea disponibile public.

Analiză de cod static: Revizii de securitate ale codului stocat în depozitele sursă ale Tamio GmbH sunt efectuate, verificând bune practici de programare și defecte software identificabile.

Testare de penetrare: Tamio GmbH menține relații cu furnizori de servicii de testare de penetrare recunoscuți în industrie pentru patru teste anuale de penetrare. Scopul testelor de penetrare este de a identifica și remedia vectorii de atac previzibili și scenariile de abuz potențial.

Bug bounty: Un program de recompense pentru erori invită și stimulează cercetători independenți în securitate să descopere etic vulnerabilități de securitate. Tamio GmbH a implementat un program de bug bounty pentru a extinde oportunitățile de a interacționa cu comunitatea de securitate și de a îmbunătăți apărătoarele produsului împotriva atacurilor sofisticate.

3. Limitările privilegiilor & cerințelor de autorizare

Accesul la produs: un subset din angajații Tamio GmbH au acces la produse și datele clienților prin interfețe controlate. Scopul acordării accesului unui subset de angajați este de a oferi suport eficient clienților, de a depana posibile probleme, de a detecta și răspunde la incidente de securitate și de a implementa securitatea datelor. Accesul este permis prin cereri „doar în timp” pentru acces; toate cererile sunt înregistrate. Angajații primesc acces în funcție de rol, iar revizuirile acordurilor de privilegii cu risc înalt sunt inițiate zilnic. Rolurile angajaților sunt revizuite cel puțin o dată la fiecare șase luni.

Verificări de background: Toți angajații Tamio GmbH trec printr-o verificare de background terță parte înainte de a primi o ofertă de angajare, în conformitate cu legile aplicabile. Toți angajații sunt obligați să se comporte în mod conform cu normele companiei, cerințele de necunoaștere și standardele etice.

4. Controlul Transmisiei

În tranzit: Tamio GmbH oferă criptarea HTTPS (denumită și SSL sau TLS) pe fiecare interfață de autentificare și gratuit pe fiecare site al clientului găzduit pe produsele Tamio GmbH. Implementarea HTTPS a Tamio GmbH folosește algoritmi și certificate standard din industrie.

În repaus: Tamio GmbH stochează parolele utilizatorului urmând politici care respectă practicile standard din industrie pentru securitate. Din 25 mai 2018, Tamio GmbH a implementat tehnologii pentru a asigura că datele stocate sunt criptate în repaus.

5. Controlul Intrării

Detectare: Tamio GmbH a proiectat infrastructura sa pentru a înregistra informații extinse despre comportamentul sistemului, trafic primit, autentificare a sistemului și alte cereri de aplicații. Sistemele interne agregă datele din jurnale și alertează angajații relevanți despre activități malițioase, neintenționate sau anomale. Personalul Tamio GmbH, inclusiv securitatea, operațiunile și personalul de suport, este receptiv la incidente cunoscute.

Răspuns și urmărire: Tamio GmbH păstrează un registru al incidentelor de securitate cunoscute care include descrierea, datele și orele activităților relevante, și soluționarea incidentului. Incidentelor suspectate și confirmate de securitate li se investigă de către securitate, operațiuni sau personalul de suport; și se identifică și se documentează pașii de rezolvare adecvată. Pentru orice incident confirmat, Tamio GmbH va lua măsuri adecvate pentru a minimiza daunele produsului și clienților sau divulgarea neautorizată.

Comunicare: Dacă Tamio GmbH află de acces ilegal la datele clienților stocate în produsele sale, Tamio GmbH va: 1) notifica clienții afectați despre incident; 2) oferi o descriere a pașilor pe care Tamio GmbH îi ia pentru rezolvarea incidentului; 3) oferi actualizări de stare la contactul clientului, după cum este necesar. Notificările incidente, dacă există, vor fi transmise la unul sau mai multe contacte ale Clientului într-o formă aleasă de Tamio GmbH, care poate include prin e-mail sau telefon.

6. Controlul Disponibilității

Disponibilitatea infrastructurii: Furnizorii de infrastructură folosesc eforturi comerciale rezonabile pentru a asigura o disponibilitate minimă de 99,95%. Furnizorii mențin o redundanță minimă N+1 pentru alimentare, rețea și servicii HVAC.

Rezistența la defecțiuni: Strategiile de backup și replicare sunt concepute pentru a asigura redundanță și protecție în caz de eșec semnificativ al procesării. Datele clienților sunt backup-uite în mai multe depozite de date durabile și replicate în mai multe zone de disponibilitate.

Relații online și backup-uri: Dacă este fezabil, bazele de date de producție sunt proiectate pentru a repica date între nu mai puțin de 1 primar și 1 secundar. Toate bazele de date sunt backup-ate și menținute folosind metode standard din industrie.

Produsele Tamio GmbH sunt proiectate pentru a asigura redundanță și failover fără întreruperi. Instanțele de server care susțin produsele sunt, de asemenea, architecturate cu scopul de a preveni puncte unice de eșec. Acest design ajută operațiunile Tamio GmbH să mențină și să actualizeze aplicațiile produsului și backend-ul în timp ce limitează timpul de inactivitate.

Informații de contact:
Tamio GmbH
Rahmannstr. 11
65760 Eschborn, Germania
TVA: DE329477216
Director General: George Spitaliotis

Acest DPA este în vigoare începând cu 20 august 2025 și se aplică tuturor înregistrărilor de client începând cu această dată cu Tamio GmbH.