Contractul de Autorizare a Prelucrării GDPR

Evnyo este autorizat să prelucreze pentru contul Clientului datele personale necesare furnizării Serviciilor așa cum sunt definite în Termenii și Condițiile. Caracteristicile acestor prelucrări sunt rezumate în tabelul de mai jos, conform cerințelor articolului 28 din GDPR:

Observații: Categoriile de persoane vizate de aceste prelucrări sunt în principal Invitații desemnați de Client (contacte profesionale sau particulare invitate la evenimentele sale). Clientul poate fi, de asemenea, nevoit să introducă date privind utilizatorii săi interni (ex. coordonatele unui colaborator organizator) în platformă – aceste date ale utilizatorilor Clientului țin în general de contul Clientului însuși și sunt prelucrate în cadrul funcționării serviciului (ex. gestionarea acceselor). În sfârșit, datele proprii Clientului (cum ar fi informațiile sale de facturare, identificatorii săi) sunt prelucrate de Evnyo în calitate de Operator de date în cadrul gestionării relației contractuale (cf. Politica de Confidențialitate Evnyo), și nu sunt detaliate aici fiind în afara domeniului prezentului Contract.

Este convenit că dacă Clientul utilizează Serviciile pentru a prelucra Date sau categorii de Date sau în cadrul unor scopuri altele decât cele descrise mai sus, o face pe propriul risc. Evnyo nu poate fi tras la răspundere în cazul nerespectării reglementării rezultate din prelucrări neprevăzute de Părți. Clientul se angajează să utilizeze platforma doar pentru scopurile pentru care este prevăzută, conform Termenilor și Condițiilor și prezentului tabel.

În calitate de Operator de Date, Clientul se angajează să:

• Conformitatea și instrucțiunile documentate: Respecte în toate punctele reglementarea aplicabilă datelor personale (GDPR, Legea nr. 190/2018) pentru prelucrările pe care le efectuează prin Evnyo. Clientul determină scopurile și mijloacele prelucrărilor încredințate lui Evnyo și garantează că instrucțiunile pe care le dă lui Evnyo sunt documentate, conforme cu contractul și cu reglementarea. Orice instrucțiune a Clientului care depășește perimetrul Serviciului sau contrară reglementării nu va fi executată de Evnyo. Clientul va utiliza platforma într-un mod conform documentelor contractuale și nu va instrui Evnyo să prelucreze date în încălcarea legilor.

• Legalitatea datelor prelucrate: Asigure că datele personale încredințate lui Evnyo au fost colectate și sunt prelucrate de Client în conformitate cu GDPR. Aceasta include, fără a se limita la: informarea prealabilă a persoanelor vizate de la colectarea datelor lor, comunicându-le toate mențiunile obligatorii (identitatea operatorului de date, scopul invitației, baza legală – consimțământ sau interes legitim, drepturile persoanelor etc.). Clientul trebuie să furnizeze Invitaților o informare clară, de exemplu prin propria sa politică de confidențialitate sau un text înmânat la colectarea email-urilor. Când baza legală a prelucrării este consimțământul (în special pentru trimiterea de email-uri/SMS de marketing către particulari), să obțină un consimțământ valid și demonstrabil de la fiecare persoană vizată înainte de trimiterea invitațiilor. Clientul trebuie să poată dovedi că Invitatul a consimțit să primească invitațiile, sau în lipsa acestuia, că trimiterea se bazează pe o altă bază legală valabilă (de exemplu, interesul legitim în B2B cu dreptul de opoziție respectat). Să țină cont de drepturile de opoziție ale persoanelor (ex: dacă un Invitat s-a opus să primească solicitări, să se asigure că nu îl mai importă sau nu îl mai invită). În general, să prelucreze prin Evnyo doar date adecvate, pertinente și limitate la ceea ce este necesar în raport cu scopurile urmărite (principiul minimizării).

• Exactitatea și actualizarea: Să vegheze la exactitatea datelor Invitaților și să le actualizeze dacă este necesar. Evnyo furnizează instrumente care permit Clientului să rectifice sau să șteargă date; îi revine Clientului să satisfacă eventualele cereri de rectificare ale persoanelor vizate. Evnyo poate, în măsura posibilului, să ajute Clientul să mențină date exacte conform instrucțiunilor sale.

• Măsuri de securitate ale Clientului: Să implementeze măsuri de securitate adecvate din partea Clientului pentru a asigura protecția datelor în timpul utilizării platformei. De exemplu, Clientul trebuie să securizeze accesul la contul său (parole puternice, autentificare dublă dacă este disponibilă), și să vegheze la confidențialitatea datelor când exportă sau descarcă informații de la Evnyo.

• Utilizarea conformă a platformei: Să nu deturneze funcționalitățile Evnyo pentru a colecta sau prelucra date sensibile sau foarte personale fără acordul prealabil al Evnyo. Platforma poate conține câmpuri libere (de exemplu, posibilitatea pentru Client să introducă un mesaj personalizat) care nu sunt destinate să conțină date sensibile (cum ar fi datele de sănătate, originea rasială, opiniile etc.). Clientul se angajează să nu introducă astfel de date speciale. Evnyo își declină orice responsabilitate în cazul utilizării neconforme a acestor câmpuri de către Client.

• Cooperarea: Mai general, să colaboreze cu bună-credință cu Evnyo pentru a permite conformitatea prelucrării. De exemplu, în cazul unei cereri de audit sau informații (vezi secțiunea 4.5), Clientul va participa în limita rezonabilului.

Clientul recunoaște că păstrează întreaga responsabilitate a Datelor cu caracter personal prelucrate pentru contul său. Clientul rămâne responsabil pentru conformitatea globală a prelucrării față de persoanele vizate și autorități, în cadrul obligațiilor sale ca Operator de Date. Evnyo își asumă responsabilitatea sa de Persoană Împuternicită cu Prelucrarea conform articolului 28 din GDPR, în special în materie de securitate, confidențialitate și cooperare. În cazul încălcării de către Client a obligațiilor sale de Operator de Date, consecințele financiare și juridice care rezultă revin responsabilității sale, sub rezerva responsabilității proprii a Evnyo ca Persoană Împuternicită cu Prelucrarea.

În calitate de Persoană Împuternicită cu Prelucrarea, Evnyo se angajează să respecte următoarele obligații, conform articolului 28 din GDPR:

4.1. Prelucrarea conformă cu instrucțiunile

Evnyo va prelucra datele personale ale Invitaților doar pe instrucțiunea documentată a Clientului și în scopul exclusiv de a furniza Serviciile așa cum sunt definite în Contract. Aceasta include operațiunile tehnice necesare cum ar fi găzduirea, stocarea, trimiterea email-urilor/SMS-urilor, formatarea invitațiilor, urmărirea răspunsurilor, întreținerea și suportul.

Evnyo nu va decide asupra scopurilor sau mijloacelor prelucrării în afara instrucțiunilor Clientului. Evnyo se va abține în special de la orice utilizare a datelor în alte scopuri (marketing propriu, profilare etc.), de la orice vânzare sau închiriere a datelor, și de la orice fuziune a datelor Invitaților cu alte baze, cu excepția obligației legale contrare.

Dacă Evnyo consideră că o instrucțiune a Clientului constituie o încălcare a GDPR sau a altor dispoziții aplicabile, va informa prompt Clientul. De asemenea, dacă Evnyo este obligat de dreptul Uniunii sau dreptul național să procedeze la o prelucrare care depășește instrucțiunile (ex. o divulgare pe ordin judecătoresc), va informa Clientul înainte de prelucrare (cu excepția cazului în care legea o interzice din motive importante de interes public).

Evnyo garantează că datele personale prelucrate pentru contul Clientului vor fi păstrate strict confidențiale. În acest sens, Evnyo se angajează să:

• Nu divulge datele Invitaților decât membrilor personalului său, subcontractanților sau prestatorilor care au nevoie să acceseze acestea pentru nevoile executării Serviciilor, și doar în măsura strict necesară intervenției lor.
• Se asigure că aceste persoane autorizate sunt supuse unei obligații legale sau contractuale de confidențialitate. Evnyo integrează în contractele de muncă sau prestații clauze de confidențialitate conforme cu cerințele prezentului Contract.
• Să nu copieze, reproducă sau utilizeze datele Invitaților în scopuri altele decât cele prevăzute de Contract, și să nu păstreze copii ale datelor dincolo de ceea ce este necesar pentru serviciu sau pentru a se conforma legii.
• Să vegheze ca personalul său care prelucrează datele să fie format la cerințele de protecție a datelor și sensibilizat la importanța confidențialității.

Această obligație de confidențialitate persistă chiar și după sfârșitul contractului.

Evnyo va implementa toate măsurile de securitate tehnice și organizaționale adecvate pentru a garanta un nivel de securitate adaptat riscului, conform articolului 32 din GDPR. Evnyo se angajează să mențină un nivel de securitate conform stării artei. Ținând cont de starea cunoștințelor, costurile implementării și natura datelor, Evnyo ia în special următoarele măsuri:

• Securitatea logică a datelor: Protecția serverelor și bazelor de date împotriva intruziunilor (firewall-uri, sisteme de detectare a intruziunilor), criptarea comunicațiilor (ex: TLS pentru interfețele web, SMTP securizat pentru email-urile de ieșire), politici stricte de control al accesului (accesul la date rezervat persoanelor autorizate menționate mai sus, cu autentificare puternică). Datele Invitaților stocate pe servere sunt găzduite într-un mediu securizat care respectă standardele industriei (centre de date securizate, supraveghere 24/7 etc.).
• Securitatea fizică: Datele sunt găzduite prin servicii de hosting cloud recunoscute pentru securitatea lor (vezi Subcontractarea ulterioară mai jos).
• Reziliența și integritatea: Backup-uri regulate ale datelor (copii de rezervă) pentru a preveni pierderea datelor, teste de integritate, plan de reluare a activității în caz de incident major, pentru a asigura disponibilitatea datelor Clientului în măsura posibilului.
• Teste și audituri de securitate: Evnyo realizează periodic evaluări de securitate ale platformei sale (teste interne, audituri externe dacă sunt necesare) pentru a identifica și corecta vulnerabilitățile. Aceste teste sunt conduse în mod confidențial și rezultatele pot fi comunicate Clientului la cerere legitimă, sub rezerva confidențialității.

Evnyo se angajează să notifice Clientului orice încălcare a securității datelor cu caracter personal (incident de securitate antrenând accidental sau ilicit distrugerea, pierderea, alterarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal) despre care ar avea cunoștință și care privește datele Clientului. Această notificare va fi efectuată în 24 de ore după descoperirea incidentului. Evnyo va furniza Clientului toate informațiile pertinente despre natura încălcării, datele potențial afectate, consecințele probabile și măsurile corective luate, pentru a permite Clientului, dacă este necesar, să notifice acest incident autorității de protecție a datelor competente (ANSPDCP) și/sau persoanelor vizate, conform articolelor 33 și 34 din GDPR. Părțile vor coopera cu bună-credință în caz de incident pentru a atenua efectele.

Clientul consimte în mod expres ca Evnyo să poată face apel la subcontractanți ulteriori (numiți și subcontractanți subordonați sau prestatori terți) pentru a desfășura activități specifice de prelucrare pentru contul Clientului, în cadrul furnizării Serviciului. Poate fi vorba în special de următoarele categorii: hosting cloud, servicii de trimitere de e-mail-uri și SMS, instrumente de analize tehnice, corectarea datelor prin AI etc.

Subcontractanții actuali la care Evnyo face apel includ (listă neexhaustivă):

• Supabase – Baza de date și Hosting fișiere: Supabase este furnizorul nostru de infrastructură aplicativă. Rol: găzduirea bazei de date PostgreSQL conținând datele Evnyo (conturi, evenimente, invitații, răspunsuri etc.), și stocarea fișierelor asociate (ex. imaginile evenimentelor dumneavoastră) într-un spațiu dedicat. Localizare: Uniunea Europeană. Utilizăm serverele europene Supabase (regiunea UE) pentru ca toate datele și fișierele să fie găzduite exclusiv în Europa. Datele stocate sunt criptate în repaus și sunt accesibile doar aplicațiilor Evnyo și administratorilor noștri abilitați.

• Vercel – Hosting front-end: Vercel este platforma de hosting a front-end-ului aplicației noastre (site-ul web și interfața utilizator Evnyo). Rol: difuzarea aplicației web și a conținuturilor statice către utilizatorii finali, printr-o rețea mondială de difuziune (CDN) pentru performanțe optime. Localizare: principal în Statele Unite (Vercel Inc.), cu un CDN în întreaga lume (inclusiv servere în Europa). Garanții de transfer: Vercel este certificat la EU-US Data Privacy Framework și oferă un Data Processing Addendum standard conform cu GDPR.

• Postmark – Trimiterea email-urilor tranzacționale: serviciu de emailing utilizat pentru rutarea email-urilor generate de Evnyo. Rol: trimiterea fiabilă a email-urilor tranzacționale legate de evenimente (ex. invitații, confirmări de înscriere, reamintiri, urmăriri post-eveniment) în numele organizatorului. Localizare: principal în Statele Unite, cu infrastructuri redundante. Garanții de transfer: Postmark oferă un Data Processing Addendum standard conform cerințelor GDPR și garanții contractuale pentru transferurile internaționale.

• Twilio – Trimiterea SMS-urilor tranzacționale: platformă utilizată pentru trimiterea SMS-urilor (de exemplu invitațiile sau amintirile prin SMS, sau mesajele de verificare) către participanții care au furnizat un număr de telefon. Rol: rutarea SMS-urilor către operatorii telefonici ai contactelor dumneavoastră. Localizare: Twilio Inc. este o companie americană, dar dispune de puncte de prezență în UE. Garanții de transfer: Twilio dispune de Reguli Corporative Obligatorii (BCR) aprobate de autoritățile europene de protecție a datelor și oferă un Data Processing Addendum conform cu GDPR.

• CookieYes – Consent Management Platform: instrument de gestionare a consimțământurilor cookie-uri. CookieYes implementează pe site-ul nostru bannerul de cookie-uri și înregistrează alegerile fiecărui utilizator în materie de cookie-uri. Rol: garantarea că trackerele neesențiale sunt activate doar cu consimțământ, și păstrarea dovezii consimțământului sau refuzului utilizatorului. Localizare: CookieYes Limited este o societate înregistrată în Regatul Unit.

• OpenAI – Inteligența artificială: serviciu AI avansat pe care îl utilizăm prin API pentru funcționalități specifice (ex: corectarea datelor prost formatate, generarea imaginilor la cerere). Rol: prelucrarea algoritmică a conținutului pe care îl supunem pentru a produce un rezultat (fișier corectat sau imagine generată) returnat către Evnyo. Localizare: Statele Unite (OpenAI, Inc.). Garanții: Conform condițiilor de utilizare ale API-ului OpenAI, datele pe care le transmitem nu sunt utilizate de OpenAI pentru antrenarea modelelor lor AI și sunt eliminate automat din sistemele lor într-un termen maxim de 30 de zile după prelucrare.

• OVH – Gestionarea numelui de domeniu și DNS: OVHcloud este registrarul nostru și gazda DNS pentru domeniul evnyo.com. Rol: gestionarea tehnică a numelui de domeniu, înregistrărilor DNS și găzduirea anumitor funcții anexe. Localizare: Franța (OVH, societate franceză). Date personale: foarte puține date în realitate – OVH prelucrează în esență date tehnice (interogări DNS de la vizitatori).

Evnyo se asigură că toți subcontractanții săi ulteriori dispun de mecanisme de transfer validate pentru țările terțe (BCR, Clauze Contractuale Standard, decizie de adecvare) și că DPA-urile lor standard respectă cerințele articolului 28 din GDPR. Evnyo se angajează ca fiecare subcontractant ulterior să ofere garanții suficiente privind implementarea măsurilor tehnice și organizaționale adecvate, astfel încât prelucrarea să răspundă cerințelor GDPR și să garanteze protecția drepturilor persoanelor vizate. Evnyo încheie cu fiecare dintre acești subcontractanți un contract scris impunând obligații de protecție a datelor echivalente cu cele din prezentul Contract, în special în termeni de confidențialitate, securitate și notificare a încălcărilor.

Evnyo rămâne pe deplin responsabil față de Client pentru executarea de către subcontractanții săi ulteriori a obligațiilor lor de protecție a datelor. Evnyo va supraveghea acești subcontractanți și va rămâne interlocutorul unic al Clientului.

Informarea și dreptul de opoziție: Evnyo va ține Clientul informat despre orice schimbare preconizată privind adăugarea sau înlocuirea subcontractanților ulteriori importanți implicând o prelucrare de date personale ale Clientului. Această informare va fi furnizată printr-o notificare (de exemplu, în interfața administratorului Clientului sau prin email) cu cel puțin 15 zile înainte de schimbare. Clientul dispune de facultatea de a emite obiecții rezonabile și legitime față de aceste schimbări în acest termen de 15 zile. O obiecție va trebui să fie motivată cu bună-credință, de exemplu dacă Clientul estimează că un nou subcontractant prezintă garanții insuficiente de conformitate.

În cazul unei obiecții nerezolvate privind un nou subcontractant, Evnyo va putea, la alegerea sa, fie să renunțe la angajarea acestui subcontractant, fie să propună o soluție alternativă Clientului. Dacă nu se găsește nicio soluție acceptabilă, Clientul va putea rezilia contractul fără penalitate din cauza acestei obiecții. Această reziliere va fi considerată legitimă și nefautivă din partea Evnyo.

La sfârșitul relației contractuale, adică în caz de reziliere sau expirare a Termenilor și Condițiilor, Clientul dispune de facultatea de a recupera ansamblul datelor personale prelucrate pentru contul său prin Evnyo. Evnyo furnizează, la cererea Clientului, datele într-un format standard lizibil (de exemplu, export CSV al listelor de invitați și răspunsuri).

Clientul va trebui să exercite această opțiune de restituire înainte de data sfârșitului contractului sau cel târziu în 15 zile următoare. Dincolo de aceasta, Evnyo va proceda la ștergerea completă a datelor personale ale Clientului aflate încă în posesia sa, conform următorului calendar:

• Ștergerea activă imediată: Imediat după sfârșitul contractului, Evnyo va face inaccesibile datele Clientului pe platformă (cont dezactivat). Datele vor putea fi păstrate temporar în backup-urile sistemului.
• Ștergerea definitivă: În absența instrucțiunii contrare a Clientului, Evnyo va șterge toate datele personale ale Clientului într-un termen maxim de 90 de zile după sfârșitul evenimentului sau rezilierea contractului, oricare dintre acestea survine prima. Aceasta include ștergerea bazelor de date active și suprascrierea sau criptarea backup-urilor conținând încă aceste date. La cererea scrisă a Clientului, Evnyo va putea atesta prin scris distrugerea efectivă a datelor odată ce aceasta este realizată.

Dacă Clientul dorește o restituire a datelor înainte de ștergere, Evnyo îl va putea asista (acest serviciu poate fi facturat dacă generează un cost important). În orice caz, Evnyo nu va păstra nicio dată personală a Clientului dincolo de perioada menționată, cu excepția obligației legale de păstrare mai lungă. De exemplu, Evnyo va putea păstra jurnale de conexiune sau tranzacții conținând accesoric date personale dacă legea îl impune, dar în acest caz aceste date vor rămâne protejate și arhivate separat.

Obligațiile Evnyo în materie de confidențialitate și securitate continuă să se aplice cât timp Evnyo păstrează datele.

În caz de reziliere de urgență (suspendare imediată pentru neîndeplinire gravă), Clientul dispune de un termen de 7 zile pentru a-și recupera datele prin export automatizat din interfața sa. Trecut acest termen, se aplică procedura normală de ștergere (termen de 90 de zile maxim conform modalităților definite mai sus).

Pentru orice întrebare sau instrucțiune relativă la protecția datelor personale în cadrul prezentului Contract, Clientul poate contacta referentul protecție date al Evnyo. Acest referent nu dispune de statutul de DPO în sensul articolului 37 GDPR. Coordonatele de contact sunt indicate în Politica de Confidențialitate și/sau pe site-ul Evnyo (ex. o adresă email dedicată cum ar fi privacy@evnyo.com).

Evnyo se angajează să trateze orice cerere a Clientului relativă la prezentul Contract în cei mai buni termeni.

7.1. Ierarhia documentelor

Prezentul Contract face parte din Termenii și Condițiile. În caz de contradicție între o dispoziție din Termenii și Condițiile și o dispoziție din prezentul Contract privind prelucrarea datelor personale, Contractul va prevala. În caz de conflict între documentele contractuale și obligațiile legale imperative, acestea din urmă prevalează automat. Celelalte stipulații din Termenii și Condițiile rămân pe deplin aplicabile pentru tot ceea ce nu este tratat în Contract.

7.2. Durata

Obligațiile Evnyo ca Persoană Împuternicită cu Prelucrarea în virtutea prezentului Contract se aplică pe toată durata prestației Serviciilor implicând o prelucrare de date personale pentru contul Clientului, și până la ștergerea datelor. Obligațiile care prin natură persistă (confidențialitate, asistență etc.) vor supraviețui atât cât este nevoie după sfârșitul contractului.

7.3. Legea aplicabilă și jurisdicția

Prezentul Contract este supus aceleiași legi ca Termenii și Condițiile (vezi articolul 9 din Termenii și Condițiile). Orice diferend relativ la executarea sau interpretarea sa va fi reglat conform modalităților de reglementare a litigiilor prevăzute în Termenii și Condițiile. Cu toate acestea, în caz de litigiu specific protecției datelor, Părțile vor coopera cu bună-credință pentru a găsi o soluție conformă cu reglementarea și, dacă este necesar, vor consulta autoritatea de control competentă (ex. ANSPDCP) pentru aviz.

7.4. Integralitatea și modificarea

Acest Contract constituie întreg acordul Părților privind protecția datelor pentru Serviciile Evnyo. Poate fi completat sau modificat printr-un scris semnat de ambele Părți (inclusiv prin consimțământ electronic explicit). Evnyo își rezervă dreptul să propună actualizări ale acestui Contract în caz de evoluție a reglementării sau Serviciilor, urmând aceleași modalități ca modificarea Termenilor și Condițiilor. Clientul va fi informat despre orice modificare substanțială și va putea să o refuze reziliind Serviciul înainte de intrarea sa în vigoare dacă îi este prejudiciabilă.

În caz de declarare de nulitate a unei clauze de către un tribunal, părțile se angajează să negocieze cu bună-credință înlocuirea ei cu o clauză echivalentă și licită.

Prin semnarea sau acceptarea electronică a Termenilor și Condițiilor, Clientul și Evnyo recunosc că au citit și înțeles prezentul Contract și se angajează să respecte toate dispozițiile sale.