Introducere la prezentul amendament

Prelucrarea datelor cu caracter personal într-un mod sigur, corect și transparent este extrem de importantă pentru noi, la TaxDome. Ca parte a acestui efort, prelucrăm datele cu caracter personal în conformitate cu legile UE privind protecția datelor, inclusiv cu Regulamentul general privind protecția datelor al UE («GDPR») și cu Legea privind protecția datelor din Regatul Unit (UK) din 2018, în măsura în care este aplicabilă. De asemenea, prelucrăm datele cu caracter personal în conformitate cu Legile privind protecția datelor din afara UE care reglementează gestionarea diferitelor tipuri de date cu caracter personal, inclusiv California Consumer Privacy Act («CCPA»), Health Insurance Portability and Accountability Act («HIPAA») și Payment card card industry compliance («PCI»).

Pentru a proteja mai bine datele personale ale persoanelor fizice, vă oferim acești termeni pentru a reglementa modul în care TaxDome și dvs. gestionați datele personale («Amendamentul privind prelucrarea datelor» sau «DPA»). Acest DPA face parte și modifică Termenii de utilizare a serviciilor («ToS») și nu necesită nicio altă acțiune din partea dumneavoastră.

Dacă nu sunteți de acord cu acest DPA, puteți întrerupe utilizarea serviciului TaxDome și vă puteți anula contul.

Definiții

Este important ca toate părțile să înțeleagă ce date și ale cui date sunt protejate în temeiul prezentei DPA. Fiecare parte are obligațiile specifice de a proteja datele cu caracter personal; prin urmare, următoarele definiții explică domeniul de aplicare al prezentei APD și angajamentele reciproce de a proteja datele cu caracter personal.

«TaxDome», «noi», «ne» sau “al nostru» se referă la furnizorul site-ului și serviciilor TaxDome (denumite colectiv “Serviciul TaxDome.”).

«Dumneavoastră» sau “clientul» se referă la compania sau organizația care se înscrie pentru a utiliza Serviciul TaxDome pentru a gestiona relațiile cu consumatorii sau utilizatorii serviciilor dumneavoastră.

«Parte» se referă la TaxDome și/sau la client, în funcție de context.

«Personalul» se referă la acele persoane care sunt angajate de una dintre părți sau care au încheiat un contract pentru a presta un serviciu în numele uneia dintre părți. Personalul poate avea drepturi în ceea ce privește datele lor cu caracter personal (inclusiv informațiile de contact din domeniul de activitate) în cazul în care își au reședința în UE. Este important să fie clar modul în care sunt protejate drepturile personalului.

«Sub-procesator» sunt terți, contractori independenți, vânzători și furnizori care oferă servicii și produse specifice legate de site-ul TaxDome și de serviciile noastre, cum ar fi găzduirea, procesarea cărților de credit și depistarea fraudelor și găzduirea căsuțelor de poștă electronică («terți» sau «contractant extern» vor avea înțelesuri similare).

«Incident» înseamnă: (a) o plângere sau o solicitare cu privire la exercitarea drepturilor unei persoane fizice în temeiul GDPR; (b) o investigație sau o confiscare a datelor cu caracter personal de către autoritățile guvernamentale sau un indiciu specific că o astfel de investigație sau confiscare este iminentă; sau (c) orice încălcare a securității și/sau a confidențialității, astfel cum se prevede în prezentul DPA, care conduce la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat accidental sau ilegal la datele cu caracter personal sau orice indiciu că o astfel de încălcare a avut loc sau este pe cale să aibă loc.

The terms, «Data Subject», «Personal Data», «Member State», «Controller», «Processor», and «Processing» shall have the same meaning as in the GDPR, and their cognate terms shall be construed accordingly.

Termenii «persoană vizată», «date cu caracter personal», «stat membru», «operator», «persoană împuternicită de operator» și «prelucrare» au același înțeles ca în GDPR, iar termenii similari se interpretează în mod corespunzător.

“Legea privind protecția datelor” înseamnă întreaga legislație aplicabilă privind protecția datelor și a vieții private, inclusiv, fără a se limita la GDPR, împreună cu orice lege națională de punere în aplicare în orice stat membru al Uniunii Europene sau, în măsura în care este aplicabilă, în orice altă țară, astfel cum este modificată, abrogată, consolidată sau înlocuită periodic.

«SCC» se referă la clauzele contractuale standard pentru persoanele împuternicite de operatori, astfel cum au fost aprobate de Comisia Europeană sau de Autoritatea Federală Elvețiană pentru Protecția Datelor (după caz).

Din motive de lizibilitate, în prezentul APD nu folosim majusculele inițiale pentru termenii definiți. Termenii definiți sunt termeni definiți, indiferent de formatul acestora.

1. Angajamentele privind datele cu caracter personal

1.1    Fiecare parte este de acord ca datele cu caracter personal să fie tratate ca informații confidențiale în temeiul prezentului DPA. În plus, fiecare parte va respecta în orice moment legile aplicabile privind protecția datelor în jurisdicția relevantă în ceea ce privește datele personale ale celeilalte părți.

1.2    Datele cu caracter personal rămân proprietatea părții care le divulgă. TaxDome recunoaște clientul drept responsabilul care menține controlul asupra datelor cu caracter personal ale persoanei vizate.

1.3    TaxDome va prelucra datele cu caracter personal ale clientului numai în măsura strict necesară în scopul furnizării serviciilor în conformitate cu Termenii de utilizare și cu orice alte instrucțiuni scrise ale clientului care sunt convenite în scris de comun acord. Detaliile privind prelucrarea datelor cu caracter personal, astfel cum se prevede la articolul 28 alineatul (3) din GDPR, sunt prezentate în anexa B. TaxDome este de acord că:

1.3.1 va pune în aplicare și va menține un program de securitate rezonabil și adecvat care să cuprindă măsuri de securitate, tehnice și organizatorice adecvate pentru a se proteja împotriva prelucrării neautorizate, ilegale sau accidentale, a utilizării, ștergerii, pierderii, distrugerii sau deteriorării datelor cu caracter personal ale clienților;

1.3.2 nu va modifica, nu va altera, nu va șterge, nu va publica și nu va dezvălui datele cu caracter personal ale clienților unei terțe părți și nici nu va permite unei terțe părți să prelucreze astfel de date cu caracter personal în numele TaxDome, cu excepția cazului în care terța parte este obligată să respecte dispoziții similare privind confidențialitatea și gestionarea datelor;

1.3.3 Acesta se asigură că accesul la datele cu caracter personal este limitat la personalul care are nevoie de un astfel de acces pentru a-și îndeplini obligațiile care îi revin în temeiul Termenilor de utilizare, iar personalul său implicat în prelucrarea datelor cu caracter personal este informat cu privire la caracterul confidențial al datelor cu caracter personal și a beneficiat de o formare adecvată cu privire la responsabilitățile sale și a semnat acorduri de confidențialitate în scris. TaxDome se asigură că aceste obligații de confidențialitate rămân valabile și după încetarea activității personalului angajat; și

1.3.4 va prelucra datele cu caracter personal ale clienților numai în măsura în care este necesar pentru a-și îndeplini obligațiile care îi revin în temeiul Termenilor de utilizare, la instrucțiunile scrise ale clientului (numai în cazul în care se convine de comun acord) și în conformitate cu legile aplicabile.

1.4    La închiderea contului dvs., TaxDome va șterge sau, la cererea clientului, va returna toate datele cu caracter personal în conformitate cu politica noastră standard de backup și de păstrare a datelor conform Termenilor de utilizare, în mod normal, nu mai târziu de 90 de zile, cu excepția cazului în care ni se cere să păstrăm datele cu caracter personal din cauza legilor Uniunii, ale statelor membre sau ale Statelor Unite, caz în care TaxDome își rezervă dreptul de a
1.5    Părțile sunt de acord că, periodic, clienții pot fi în posesia datelor cu caracter personal referitoare la personalul TaxDome legate de utilizarea serviciului TaxDome. TaxDome garantează că a furnizat personalului respectiv toate notificările necesare și a obținut toate consimțămintele, autorizațiile, aprobările și/sau acordurile necesare, astfel cum sunt solicitate în conformitate cu orice lege aplicabilă, pentru a permite: (i) dezvăluirea datelor cu caracter personal ale personalului TaxDome către client în legătură cu utilizarea de către client a Serviciului TaxDome; și (ii) prelucrarea ulterioară a acestor date cu caracter personal TaxDome de către client în scopul utilizării Serviciului TaxDome.

2.  Angajamente privind subcontractanții

2.1    Părțile recunosc faptul că TaxDome poate angaja subcontractanți terți pentru îndeplinirea obligațiilor prevăzute în Termeni și condiții de utilizare. Pentru orice subcontractant angajat de TaxDome, vom încheia un acord scris care să conțină obligații de protecție a datelor nu mai puțin stricte decât cele din prezentul amendament și care să fie adecvate pentru a proteja datele cu caracter personal ale clientului la standardul cerut de GDPR

2.2    TaxDome va pune la dispoziția clienților lista actuală a subcontractanților prin publicarea
2.3    Pentru evitarea oricărui dubiu, autorizația de mai sus privind angajarea subcontractanților constituie consimțământul scris prealabil al clientului pentru subcontratarea de către TaxDome în sensul clauzei 9 din Clauzele contractuale standard.

3.  Angajamentele clienților și asistența TaxDome

3.1     Clientul garantează că are toate drepturile necesare pentru a furniza către TaxDome datele cu caracter personal pentru prelucrarea în legătură cu furnizarea serviciilor TaxDome.

3.2     În măsura în care legislația aplicabilă o impune, clientul este responsabil de asigurarea obținerii consimțământului persoanelor vizate care poate fi necesar pentru această prelucrare și de asigurarea păstrării unei evidențe a acestor consimțăminte, inclusiv a consimțământului pentru utilizarea datelor cu caracter personal obținut de la terți. În cazul în care un astfel de consimțământ este revocat de către o persoană vizată, clientul este responsabil pentru comunicarea faptului unei astfel de revocări către TaxDome, iar TaxDome rămâne responsabil pentru punerea în aplicare a oricărei instrucțiuni a clientului cu privire la prelucrarea ulterioară a datelor cu caracter personal respective sau, după caz, în conformitate cu oricare dintre obligațiile legale ale TaxDome.

3.3     Clientul înțelege, în calitate de operator, că el/ea este responsabil(ă) (între client și TaxDome) pentru:

3.3.1  determinarea legalității oricărei prelucrări, efectuarea oricăror evaluări de impact privind protecția datelor și raportarea către autoritățile de reglementare și persoanele fizice, după caz;

3.3.2  depunând eforturi corespunzătoare pentru a verifica consimțământul părinților atunci când sunt colectate date despre o persoană cu vârsta sub 16 ani;

3.3.3  furnizarea de notificări relevante privind confidențialitatea către persoanele vizate, după cum se poate solicita în jurisdicția dumneavoastră, inclusiv notificarea drepturilor acestora și furnizarea de mecanisme pentru ca persoanele să își exercite aceste drepturi;

3.3.4  răspunsul la solicitările persoanelor fizice cu privire la datele lor și la prelucrarea acestora, inclusiv la cererile de modificare, corectare sau ștergere a datelor cu caracter personal și furnizarea de copii ale datelor prelucrate efectiv;

3.3.5  punerea în aplicare a propriilor măsuri tehnice și organizatorice adecvate pentru a asigura și demonstra prelucrarea în conformitate cu prezenta DPA;

3.3.6  notificarea persoanelor fizice și a autorităților de reglementare sau a autorităților relevante cu privire la orice incident, așa cum prevede legea din jurisdicția dumneavoastră.

3.4     TaxDome va asista clientul prin punerea în aplicare a măsurilor tehnice și organizatorice adecvate, în măsura în care acest lucru este posibil în mod rezonabil și comercial, pentru a îndeplini obligațiile clientului de a răspunde la cererile persoanelor fizice de a-și exercita drepturile în temeiul GDPR.

3.5    TaxDome va asista clientul prin implementarea măsurilor tehnice și organizatorice adecvate, dacă acest lucru este posibil în mod rezonabil și comercial, pentru a asigura conformitatea cu articolele 32-36 (inclusiv) din GDPR.

3.6     Anual, TaxDome va achiziționa un audit independent al codului sursă și a sistemelor de către terți independenți pentru a demonstra conformitatea cu obligațiile sale în temeiul prezentului DPA. La cererea clientului și sub rezerva obligațiilor de confidențialitate, TaxDome va pune la dispoziția clientului informațiile necesare în mod rezonabil pentru a demonstra respectarea obligațiilor TaxDome în temeiul prezentului DPA. La cerere scrisă, TaxDome va prezenta clientului cel puțin un rezumat al oricărui raport de audit al unei terțe părți privind caracterul adecvat al măsurilor tehnice de securitate ale TaxDome, astfel cum sunt descrise în Politica de securitate.

4.  Gestionarea incidentelor

4.1     În cazul în care oricare dintre părți sesizează un incident care are un impact asupra prelucrării datelor cu caracter personal, aceasta informează imediat cealaltă parte cu privire la incident și cooperează în mod rezonabil pentru a permite celeilalte părți să efectueze o investigație amănunțită a incidentului, să formuleze un răspuns corect și să ia măsurile ulterioare adecvate legate de incident.

4.2    Ambele părți trebuie să dispună în permanență de proceduri scrise care să le permită să răspundă prompt celeilalte părți cu privire la un potențial incident. În cazul în care există o probabilitate rezonabilă ca incidentul să necesite o notificare a încălcării securității datelor în conformitate cu legislația aplicabilă, partea responsabilă de incident notifică cealaltă parte fără întârzieri nejustificate după ce a luat cunoștință de un astfel de incident.

4.3     Orice notificări efectuate în temeiul prezentei secțiuni vor fi trimise la help@taxdome.com (atunci când sunt făcute către TaxDome) și la punctul nostru de contact (atunci când sunt făcute către client) și vor conține: (i) o descriere a naturii incidentului, inclusiv, dacă este posibil, categoriile și numărul aproximativ de persoane vizate și categoriile și numărul aproximativ de înregistrări vizate; (ii) numele și datele de contact ale contactului unde pot fi obținute mai multe informații; (iii) o descriere a consecințelor probabile ale incidentului; și (iv) o descriere a măsurilor luate sau propuse pentru a soluționa incidentul, inclusiv, dacă este cazul, măsuri de atenuare a posibilelor efecte negative ale acestuia.

5. Răspunderea și despăgubirea

5.1     Răspunderea fiecărei părți față de cealaltă parte în temeiul sau în legătură cu acest DPA va fi limitată în conformitate cu dispozițiile din Termenii de utilizare.

5.2     Clientul recunoaște că TaxDome se bazează pe client pentru a primi indicații cu privire la măsura în care TaxDome are dreptul de a prelucra datele cu caracter personal ale clientului în numele acestuia în cadrul prestării serviciilor. În consecință, TaxDome nu va fi răspunzătoare, în conformitate cu Termenii de utilizare, pentru nicio reclamație formulată de o persoană vizată care rezultă din orice acțiune sau omisiune a TaxDome, în măsura în care o astfel de acțiune sau omisiune a rezultat din instrucțiunile clientului sau din nerespectarea de către client a obligațiilor sale în temeiul legislației aplicabile privind protecția datelor.

6. Durata și încetarea

6.1     Prezentul DPA intră în vigoare la 1 ianuarie 2022 și continuă până când este modificat sau reziliat în conformitate cu Termenii de utilizare.

6.2     Rezilierea sau expirarea prezentului DPA nu exonerează părțile de obligațiile de confidențialitate prevăzute în prezentul document.

7. Transferurile internaționale de date

7.1      Locațiile centrelor de date. Clientul recunoaște că TaxDome poate transfera și prelucra date cu caracter personal către și în Statele Unite și oriunde în lume, unde TaxDome, afiliații săi sau subcontractanții săi desfășoară operațiuni de prelucrare a datelor. TaxDome se va asigura în orice moment că aceste transferuri sunt efectuate în conformitate cu cerințele Legilor privind protecția datelor.

7.2      Transferuri europene de date. În măsura în care TaxDome este un destinatar al datelor cu caracter personal protejate de legile UE privind protecția datelor (“Date UE”), părțile sunt de acord ca TaxDome să pună la dispoziție mecanismele enumerate mai jos:

7.2.1    SCC-uri: TaxDome este de acord să respecte și să prelucreze datele UE în conformitate cu SCC, care sunt încorporate în întregime prin referință și fac parte integrantă din prezentul DPA. În sensul SCC-urilor:

7.2.1.1  TaxDome este de acord că este “importatorul de date”, iar clientul este “exportatorul de date” în conformitate cu SCC-urile (chiar dacă clientul poate fi o entitate situată în afara UE);

7.2.1.2  Anexa B include SCC-urile și anexele aferente De asemenea, părțile convin că SCC-urile se vor aplica datelor cu caracter personal care sunt transferate prin intermediul Serviciului din Europa în afara Europei, fie direct, fie prin transfer ulterior, către orice țară sau destinatar: (a) care nu este recunoscută de Comisia Europeană ca oferind un nivel adecvat de protecție a datelor cu caracter personal (așa cum este descris în Legea UE privind protecția datelor)

7.2.2     În cazul în care și în măsura în care Clauzele contractuale standard (dacă este cazul) intră în conflict cu orice dispoziție din prezentul DPA, Clauzele contractuale standard prevalează în măsura în care există un astfel de conflict.

Termeni specifici fiecărei jurisdicții

1. În măsura în care TaxDome prelucrează date cu caracter personal care provin din și sunt protejate de legile de protecție a datelor din una dintre jurisdicțiile enumerate în anexa A, atunci termenii specificați în anexa A cu privire la jurisdicția (jurisdicțiile) aplicabilă(e) (“Termeni specifici jurisdicției”) se aplică în plus față de termenii prezentului DPA. În cazul unui conflict sau al unei ambiguități între Termenii specifici jurisdicției și oricare alți termeni din prezentul DPA, Termenii specifici jurisdicției aplicabile vor avea prioritate, dar numai în măsura în care Termenii specifici jurisdicției se aplică TaxDome.

Anexa B – Clauze contractuale standard (“procesatori”)

Secțiunea 1

Clauza 1

Scopul și domeniul de aplicare

1. Scopul acestor clauze contractuale standard este de a asigura respectarea cerințelor Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (Regulamentul general privind protecția datelor) pentru transferul de date cu caracter personal către o țară terță.

2. Părțile:

a. persoana (persoanele fizice sau juridice, autoritatea (autoritățile) publică(e), agenția (agențiile) sau alt(e) organism(e) (denumite în continuare “entitate(e)”) care transferă datele cu caracter personal, astfel cum sunt enumerate în anexa I.A (denumit în continuare fiecare “exportator de date”), și

b. entitatea/entitățile dintr-o țară terță care primește datele cu caracter personal de la exportatorul de date, direct sau indirect, prin intermediul unei alte entități care este, de asemenea, parte la prezentele clauze, astfel cum sunt enumerate în anexa I.A (denumit în continuare fiecare “importator de date”)

3. au convenit asupra prezentelor clauze contractuale standard (denumite în continuare “clauze”).

4. Prezentele clauze se aplică în ceea ce privește transferul de date cu caracter personal, astfel cum se specifică în anexa I.B.

5. Anexa la prezentele clauze, care conține listele de anexe la care se face referire, face parte integrantă din prezentele clauze.

 

Clauza 2

Efectele și invariabilitatea clauzelor

1. Prezentele clauze stabilesc garanții adecvate, inclusiv drepturi executorii pentru persoanele vizate și căi de atac eficiente, în conformitate cu articolul 46 alineatul (1) și articolul 46 alineatul (2)© din Regulamentul (UE) 2016/679 și, în ceea ce privește transferurile de date de la responsabili cu prelucrarea la operatori și/sau de la operatori la operatori, clauze contractuale standard în conformitate cu articolul 28 alineatul (7) din Regulamentul (UE) 2016/679, cu condiția ca acestea să nu fie modificate, cu excepția selectării modulului (modulelor) corespunzător(e) sau a adăugării sau actualizării informațiilor din anexă. Acest lucru nu împiedică părțile să includă clauzele contractuale standard prevăzute în prezentele clauze într-un contract mai amplu și/sau să adauge alte clauze sau garanții suplimentare, cu condiția ca acestea să nu contrazică, direct sau indirect, prezentele clauze sau să aducă atingere drepturilor sau libertăților fundamentale ale persoanelor vizate.

2. Prezentele clauze nu aduc atingere obligațiilor la care exportatorul de date este supus în temeiul Regulamentului (UE) 2016/679.

Clauza 3

Beneficiarii terți

1. Persoanele vizate pot invoca și aplica aceste clauze, în calitate de terți beneficiari, împotriva exportatorului de date și/sau a importatorului de date, cu următoarele excepții:

a. Clauza 1, clauza 2, clauza 3, clauza 6, clauza 7;

b. Clauza 8.1 litera (b), 8.9 literele (a), (c), (d) și (e);

c. Clauza 9 literele (a), (c), (d) și (e);

d. Clauza 12 literele (a), (d) și (f);

e. Clauza 13;

f. Clauza 15.1 literele (c), (d) și (e);

g. Clauza 16 litera (e);

h. Clauza 18 literele (a) și (b).

2. Litera (a) nu aduce atingere drepturilor persoanelor vizate în temeiul Regulamentului (UE)2016/679.

Clauza 4

Interpretare

1. În cazul în care în prezentele clauze se utilizează termeni care sunt definiți în Regulamentul (UE) 2016/679, acești termeni au același înțeles ca în regulamentul respectiv.

2. Prezentele clauze se citesc și se interpretează în lumina dispozițiilor Regulamentului (UE) 2016/679.

3. Prezentele clauze nu pot fi interpretate într-un mod care să intre în conflict cu drepturile și obligațiile prevăzute în Regulamentul (UE) 2016/679.

Clauza 5

Ierarhie

În cazul în care există o contradicție între prezentele clauze și dispozițiile acordurilor conexe dintre părți, existente la momentul convenirii prezentelor clauze sau încheiate ulterior, prevalează prezentele clauze.

Clauza 6

Descrierea transferului (transferurilor)

Detaliile transferului (transferurilor) și, în special, categoriile de date cu caracter personal care sunt transferate și scopul (scopurile) pentru care sunt transferate, sunt specificate în anexa I.B.

Clauza 7 – Opțional

Clauza de aderare

1. O entitate care nu este parte la prezentele clauze poate, cu acordul părților, să adere în orice moment la prezentele clauze, fie în calitate de exportator de date, fie în calitate de importator de date, prin completarea anexei I.A. și semnarea acesteia.

2. După ce a completat și a semnat anexa I.A, entitatea aderentă devine parte la prezentele clauze și are drepturile și obligațiile unui exportator de date sau ale unui importator de date în conformitate cu desemnarea sa din anexa I.A.

3. Entitatea aderentă nu are niciun drept sau obligație care decurge din prezentele clauze din perioada anterioară dobândirii calității de parte.

Secțiunea 2 – Obligațiile părților

Clause 8

Garanții privind protecția datelor

Exportatorul de date garantează că a depus eforturi rezonabile pentru a stabili că importatorul de date este capabil, prin implementarea unor măsuri tehnice și organizatorice adecvate, să își îndeplinească obligațiile care îi revin în temeiul prezentelor clauze.

8.1 Instrucțiuni

1. Importatorul de date prelucrează datele cu caracter personal numai pe baza unor instrucțiuni documentate din partea exportatorului de date. Exportatorul de date poate da astfel de instrucțiuni pe întreaga durată a contractului.

2. Importatorul de date informează imediat exportatorul de date în cazul în care nu este în măsură să urmeze aceste instrucțiuni.

8.2 Limitarea scopurilor

Importatorul de date prelucrează datele cu caracter personal numai în scopul (scopurile) specific(e) al(e) transferului, astfel cum se prevede în anexa I.B, cu excepția cazului în care primește instrucțiuni suplimentare din partea exportatorului de date.

8.3 Transparență

La cerere, exportatorul de date pune gratuit la dispoziția persoanei vizate o copie a prezentelor clauze, inclusiv a anexei completate de către părți. În măsura în care este necesar pentru a proteja secretele de afaceri sau alte informații confidențiale, inclusiv măsurile descrise în anexa II și datele cu caracter personal, exportatorul de date poate redacta o parte din textul anexei la prezentele clauze înainte de a transmite o copie, dar trebuie să furnizeze un rezumat semnificativ în cazul în care persoana vizată nu ar putea altfel să înțeleagă conținutul acesteia sau să își exercite drepturile. La cerere, părțile furnizează persoanei vizate motivele care stau la baza redactării, în măsura în care acest lucru este posibil fără a dezvălui informațiile prelucrate. Prezenta clauză nu aduce atingere obligațiilor exportatorului de date în temeiul articolelor 13 și 14 din Regulamentul (UE) 2016/679.

8.4 Acuratețe

În cazul în care importatorul de date constată că datele cu caracter personal pe care le-a primit sunt inexacte sau au devenit depășite, acesta informează exportatorul de date fără întârzieri nejustificate. În acest caz, importatorul de date cooperează cu exportatorul de date pentru a șterge sau rectifica datele.

8.5 Durata prelucrării și ștergerea sau returnarea datelor

Prelucrarea de către importatorul de date are loc numai pe durata specificată în anexa I.B. După încetarea furnizării serviciilor de prelucrare, importatorul de date șterge, la alegerea exportatorului de date, toate datele cu caracter personal prelucrate în numele exportatorului de date și certifică exportatorului de date că a făcut acest lucru sau returnează exportatorului de date toate datele cu caracter personal prelucrate în numele său și șterge copiile existente. Până când datele sunt șterse sau returnate, importatorul de date continuă să asigure conformitatea cu prezentele clauze. În cazul în care există legi locale aplicabile importatorului de date care interzic returnarea sau ștergerea datelor cu caracter personal, importatorul de date garantează că va continua să asigure conformitatea cu prezentele Clauze și că le va prelucra numai în măsura și pe durata cerute de legea locală respectivă. Acest lucru nu aduce atingere clauzei 14, în special cerința ca importatorul de date, în temeiul clauzei 14 litera (e), să notifice exportatorul de date pe toată durata contractului dacă are motive să creadă că acesta face sau a făcut obiectul unor legi sau practici care nu sunt în conformitate cu cerințele prevăzute la clauza 14 litera (a).

8.6 Securitatea prelucrării

1. Importatorul de date și, în timpul transmiterii, și exportatorul de date pun în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura securitatea datelor, inclusiv protecția împotriva unei încălcări a securității care duce la distrugerea accidentală sau ilegală, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele respective (denumită în continuare “încălcarea securității datelor cu caracter personal”). La evaluarea nivelului adecvat de securitate, părțile țin seama în mod corespunzător de stadiul actual al tehnologiei, de costurile de punere în aplicare, de natura, domeniul de aplicare, contextul și scopul (scopurile) prelucrării, precum și de riscurile pe care le implică prelucrarea pentru persoanele vizate. Părțile iau în considerare, în special, posibilitatea de a recurge la criptare sau pseudonimizare, inclusiv în timpul transmiterii, în cazul în care scopul prelucrării poate fi îndeplinit în acest mod. În cazul pseudonimizării, informațiile suplimentare pentru atribuirea datelor cu caracter personal unei anumite persoane vizate rămân, în măsura posibilului, sub controlul exclusiv al exportatorului de date. Pentru a-și îndeplini obligațiile care îi revin în temeiul prezentului alineat, importatorul de date pune în aplicare cel puțin măsurile tehnice și organizatorice specificate în anexa II. Importatorul de date efectuează verificări periodice pentru a se asigura că aceste măsuri continuă să asigure un nivel adecvat de securitate.

2. Importatorul de date acordă acces la datele cu caracter personal membrilor personalului său numai în măsura strict necesară pentru punerea în aplicare, gestionarea și monitorizarea contractului. Acesta se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidențialitatea sau au o obligație legală corespunzătoare de confidențialitate.

3. În cazul unei încălcări a securității datelor cu caracter personal referitoare la datele cu caracter personal prelucrate de importatorul de date în temeiul prezentelor clauze, importatorul de date ia măsurile adecvate pentru a remedia încălcarea, inclusiv măsuri de atenuare a efectelor negative ale acesteia. Importatorul de date notifică, de asemenea, exportatorul de date, fără întârzieri nejustificate, după ce a luat cunoștință de încălcare. Această notificare conține detaliile unui contact de la care pot fi obținute mai multe informații, o descriere a naturii încălcării (inclusiv, dacă este posibil, categoriile și numărul aproximativ de persoane vizate și de înregistrări de date cu caracter personal în cauză), consecințele probabile ale acesteia și măsurile luate sau propuse pentru a remedia încălcarea, inclusiv, dacă este cazul, măsurile de atenuare a posibilelor efecte negative. În cazul în care și în măsura în care nu este posibil să se furnizeze toate informațiile în același timp, notificarea inițială conține informațiile disponibile la momentul respectiv, iar informațiile suplimentare sunt furnizate ulterior, pe măsură ce devin disponibile, fără întârzieri nejustificate.

4. Importatorul de date cooperează cu exportatorul de date și îi acordă asistență acestuia pentru a-i permite exportatorului de date să respecte obligațiile care îi revin în temeiul Regulamentului (UE) 2016/679, în special în ceea ce privește notificarea autorității de supraveghere competente și a persoanelor vizate afectate, ținând seama de natura prelucrării și de informațiile de care dispune importatorul de date.

8.7 Datele sensibile

În cazul în care transferul implică date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice sau apartenența sindicală, date genetice sau date biometrice în scopul identificării unice a unei persoane fizice, date privind sănătatea, viața sexuală sau orientarea sexuală a unei persoane sau date referitoare la condamnări penale și infracțiuni (denumite în continuare “date sensibile”), importatorul de date aplică restricțiile specifice și/sau garanțiile suplimentare descrise în anexa I.B.

8.8 Transferuri ulterioare

Importatorul de date divulgă datele cu caracter personal unei terțe părți numai pe baza unor instrucțiuni documentate din partea exportatorului de date. În plus, datele pot fi divulgate unei terțe părți situate în afara Uniunii Europene (în aceeași țară ca și importatorul de date sau într-o altă țară terță, denumită în continuare “transfer ulterior”) numai dacă partea terță este sau este de acord să fie obligată de prezentele clauze, , în temeiul modulului adecvat, sau dacă:

1. transferul ulterior se efectuează către o țară care beneficiază de o decizie de adecvare în temeiul articolului 45 din Regulamentul (UE) 2016/679 care acoperă transferul ulterior;

2. partea terță asigură în alt mod garanții adecvate în conformitate cu articolele 46 sau 47 din Regulamentul (UE) 2016/679 în ceea ce privește prelucrarea în cauză;

3. transferul ulterior este necesar pentru stabilirea, exercitarea sau apărarea unor pretenții legale în contextul unor proceduri administrative, de reglementare sau judiciare specifice; sau

4. transferul ulterior este necesar pentru a proteja interesele vitale ale persoanei vizate sau ale unei alte persoane fizice.

Orice transfer ulterior este condiționat de respectarea de către importatorul de date a tuturor celorlalte garanții prevăzute de prezentele clauze, în special limitarea scopului.

8.9.  Documentația și conformitatea

1. Importatorul de date tratează prompt și în mod adecvat cererile de informații din partea exportatorului de date care se referă la prelucrarea în temeiul prezentelor clauze.

2. Părțile trebuie să fie în măsură să demonstreze respectarea acestor clauze. În special, importatorul de date păstrează o documentație adecvată privind activitățile de prelucrare desfășurate în numele exportatorului de date.

3. Importatorul de date pune la dispoziția exportatorului de date toate informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute în prezentele clauze și, la cererea exportatorului de date, permite și contribuie la auditarea activităților de prelucrare reglementate de prezentele clauze, la intervale rezonabile sau în cazul în care există indicii de nerespectare. La luarea deciziei privind o revizuire sau un audit, exportatorul de date poate lua în considerare certificările relevante deținute de importatorul de date.

4. Exportatorul de date poate alege să efectueze singur auditul sau să mandateze un auditor independent. Auditurile pot include inspecții la sediile sau la instalațiile fizice ale importatorului de date și, dacă este cazul, se efectuează cu un preaviz rezonabil.

5. Părțile pun la dispoziția autorității de supraveghere competente, la cerere, informațiile menționate la literele (b) și (c), inclusiv rezultatele oricăror audituri.

Clauza 9

Utilizarea subcontractanților

1. AUTORIZAȚIE GENERALĂ SCRISĂ Importatorul de date dispune de autorizația generală a exportatorului de date pentru angajarea subcontractantului (subcontractanților) de pe o listă convenită. Importatorul de date informează în mod specific exportatorul de date în scris cu privire la orice modificare preconizată a listei respective, prin adăugarea sau înlocuirea subcontractanților, cu cel puțin zece (10) zile înainte, acordând astfel exportatorului de date suficient timp pentru a se putea opune unor astfel de modificări înainte de angajarea subcontractantului (subcontractanților). Importatorul de date furnizează exportatorului de date informațiile necesare pentru a permite exportatorului de date să își exercite dreptul de opoziție.

2. În cazul în care importatorul de date angajează un subcontractant pentru a efectua activități specifice de prelucrare (în numele exportatorului de date), acesta face acest lucru prin intermediul unui contract scris care prevede, în esență, aceleași obligații de protecție a datelor ca și cele care îl obligă pe importatorul de date în temeiul prezentelor clauze ACTIVE/110240378.1 7, inclusiv în ceea ce privește drepturile beneficiarilor terți pentru persoanele vizate. 1 Părțile convin că, prin respectarea acestei clauze, importatorul de date își îndeplinește obligațiile care îi revin în temeiul clauzei 8.8. Importatorul de date se asigură că subcontractantul respectă obligațiile la care este supus importatorul de date în conformitate cu aceste clauze.

3. Importatorul de date furnizează exportatorului de date, la cererea exportatorului de date, o copie a unui astfel de acord de subprelucrare și a oricăror modificări ulterioare. În măsura în care este necesar pentru a proteja secretele de afaceri sau alte informații confidențiale, inclusiv datele cu caracter personal, importatorul de date poate redacta textul acordului înainte de a transmite o copie.

4. Importatorul de date rămâne pe deplin responsabil față de exportatorul de date pentru îndeplinirea obligațiilor subcontractantului în temeiul contractului încheiat cu importatorul de date. Importatorul de date notifică exportatorul de date cu privire la orice neîndeplinire de către subcontractantul de date a obligațiilor care îi revin în temeiul contractului respectiv.

5. Importatorul de date convine cu subcontractantul o clauză de terț beneficiar prin care – în cazul în care importatorul de date a dispărut de fapt, a încetat să mai existe din punct de vedere juridic sau a devenit insolvabil – exportatorul de date are dreptul de a rezilia contractul de subprocesare și de a solicita subcontractantului să șteargă sau să returneze datele cu caracter personal.

Clauza 10

Drepturile persoanelor vizate

1. Importatorul de date notifică cu promptitudine exportatorul de date cu privire la orice cerere pe care a primit-o de la o persoană vizată. Acesta nu răspunde el însuși la cererea respectivă decât dacă a fost autorizat să facă acest lucru de către exportatorul de date.

2. Importatorul de date asistă exportatorul de date în îndeplinirea obligațiilor sale de a răspunde la cererile persoanelor vizate de a-și exercita drepturile în temeiul Regulamentului (UE) 2016/679. În acest sens, părțile stabilesc în anexa II măsurile tehnice și organizatorice adecvate, ținând seama de natura prelucrării, prin care se acordă asistența, precum și domeniul de aplicare și amploarea asistenței necesare.

3. În îndeplinirea obligațiilor care îi revin în temeiul literelor (a) și (b), importatorul de date se conformează instrucțiunilor primite de la exportatorul de date.

Clauza 11

Restituire

1. Importatorul de date informează persoanele vizate într-un format transparent și ușor accesibil, prin intermediul unei notificări individuale sau pe site-ul său internet, cu privire la un contact autorizat să trateze plângerile. Acesta tratează cu promptitudine orice reclamație pe care o primește de la o persoană vizată.

2. În cazul unui litigiu între o persoană vizată și una dintre părți în ceea ce privește respectarea prezentelor clauze, partea în cauză depune toate eforturile pentru a soluționa problema pe cale amiabilă și în timp util. Părțile se informează reciproc cu privire la astfel de litigii și, dacă este cazul, cooperează în vederea soluționării acestora:

a. să depună o plângere la autoritatea de supraveghere din statul membru în care își are reședința obișnuită sau locul de muncă, sau la autoritatea de supraveghere competentă în conformitate cu clauza 13;

b. să sesizeze instanțele competente în sensul clauzei 18.

În cazul în care persoana vizată invocă un drept al unui terț beneficiar în temeiul clauzei 3, importatorul de date acceptă decizia persoanei vizate de a:

3. Părțile acceptă că persoana vizată poate fi reprezentată de un organism, o organizație sau o asociație fără scop lucrativ, în condițiile prevăzute la articolul 80 alineatul (1) din Regulamentul (UE) 2016/679.

4. Importatorul de date trebuie să respecte o decizie care este obligatorie în temeiul legislației UE sau a statului membru aplicabile.

5. Importatorul de date este de acord ca alegerea făcută de persoana vizată să nu aducă atingere drepturilor materiale și procedurale ale acesteia de a solicita căi de atac în conformitate cu legislația aplicabilă.

 

Clauza 12

Răspundere

1. Fiecare parte este răspunzătoare față de cealaltă/celelalte părți pentru orice daune pe care le provoacă celeilalte/celelalte părți prin orice încălcare a prezentelor clauze..

2. Importatorul de date este răspunzător față de persoana vizată, iar persoana vizată are dreptul de a primi despăgubiri, pentru orice prejudiciu material sau moral pe care importatorul de date sau subcontractantul său îl cauzează persoanei vizate prin încălcarea drepturilor de beneficiar terț în temeiul prezentelor clauze..

3. Fără a aduce atingere literei (b), exportatorul de date este răspunzător față de persoana vizată, iar persoana vizată are dreptul de a primi despăgubiri, pentru orice daune materiale sau morale pe care exportatorul de date sau importatorul de date (sau subcontractantul acestuia) le cauzează persoanei vizate prin încălcarea drepturilor de beneficiar terț în temeiul prezentelor clauze. Acest lucru nu aduce atingere răspunderii exportatorului de date și, în cazul în care exportatorul de date este o persoană împuternicită de operator care acționează în numele unui operator, răspunderii operatorului în temeiul Regulamentului (UE) 2016/679 sau al Regulamentului (UE) 2018/1725, după caz.

4. Părțile convin că, în cazul în care exportatorul de date este tras la răspundere în temeiul literei (c) pentru daunele cauzate de importatorul de date (sau de subcontractantul acestuia), acesta are dreptul de a solicita importatorului de date rambursarea părții din despăgubire care corespunde responsabilității importatorului de date pentru daune.

5. În cazul în care mai multe părți sunt responsabile pentru orice prejudiciu cauzat persoanei vizate ca urmare a încălcării prezentelor clauze, toate părțile responsabile sunt răspunzătoare în mod solidar, iar persoana vizată are dreptul de a introduce o acțiune în instanță împotriva oricăreia dintre aceste părți.

6. Părțile convin că, în cazul în care una dintre părți este considerată responsabilă în temeiul literei (e), aceasta are dreptul de a solicita celeilalte părți partea de despăgubire care corespunde responsabilității sale/ale acestora pentru prejudiciu.

7. Importatorul de date nu poate invoca comportamentul unui subcontractant pentru a evita propria răspundere.

Clauza 13

Supravegherea

1. În cazul în care exportatorul de date este stabilit într-un stat membru al UE: Autoritatea de supraveghere care are responsabilitatea de a asigura respectarea de către exportatorul de date a Regulamentului (UE) 2016/679 în ceea ce privește transferul de date, astfel cum este indicat în anexa I.C, acționează în calitate de autoritate de supraveghere competentă. Autoritatea de supraveghere din statul membru în care este stabilit reprezentantul în sensul articolului 27 alineatul (1) din Regulamentul (UE) 2016/679, astfel cum este indicat în anexa I.C, acționează ca autoritate de supraveghere competentă. Autoritatea de supraveghere a unuia dintre statele membre în care se află persoanele vizate ale căror date cu caracter personal sunt transferate în temeiul prezentelor clauze în legătură cu furnizarea de bunuri sau servicii către acestea sau al căror comportament este monitorizat, astfel cum se indică în anexa I.C, acționează ca autoritate de supraveghere competentă.

2. Importatorul de date este de acord să se supună jurisdicției autorității de supraveghere competente și să coopereze cu aceasta în orice procedură menită să asigure respectarea prezentelor clauze. În special, importatorul de date este de acord să răspundă la anchete, să se supună auditurilor și să respecte măsurile adoptate de autoritatea de supraveghere, inclusiv măsurile de remediere și de compensare. Acesta furnizează autorității de supraveghere o confirmare scrisă a faptului că au fost luate măsurile necesare.

Secțiunea 3 – Legi și obligații locale în cazul accesului autorităților publice

Clauza 14

Legile și practicile locale care afectează conformitatea cu clauzele

1. Părțile garantează că nu au niciun motiv să creadă că legile și practicile din țara terță de destinație aplicabile prelucrării datelor cu caracter personal de către importatorul de date, inclusiv orice cerințe de divulgare a datelor cu caracter personal sau măsuri care să autorizeze accesul autorităților publice, împiedică importatorul de date să își îndeplinească obligațiile care îi revin în temeiul prezentelor clauze. Acest lucru se bazează pe înțelegerea faptului că legile și practicile care respectă esența drepturilor și libertăților fundamentale și nu depășesc ceea ce este necesar și proporțional într-o societate democratică pentru a proteja unul dintre obiectivele enumerate la articolul 23 alineatul (1) din Regulamentul (UE) 2016/679, nu sunt în contradicție cu prezentele clauze.

2. Părțile declară că, atunci când au oferit garanția de la litera (a), au ținut seama în mod corespunzător, în special, de următoarele elemente:

a. circumstanțele specifice ale transferului, inclusiv lungimea lanțului de prelucrare, numărul de actori implicați și canalele de transmisie utilizate; transferurile ulterioare preconizate; tipul de destinatar; scopul prelucrării; categoriile și formatul datelor cu caracter personal transferate; sectorul economic în care are loc transferul; locul de stocare a datelor transferate;

b. legile și practicile din țara terță de destinație – inclusiv cele care impun divulgarea datelor către autoritățile publice sau care autorizează accesul acestor autorități – relevante în lumina circumstanțelor specifice ale transferului, precum și limitările și garanțiile aplicabile;

c. orice garanții contractuale, tehnice sau organizatorice relevante puse în aplicare pentru a completa garanțiile prevăzute de prezentele clauze, inclusiv măsurile aplicate în timpul transmiterii și prelucrării datelor cu caracter personal în țara de destinație.

3. Importatorul de date garantează că, la efectuarea evaluării prevăzute la litera (b), a depus toate eforturile pentru a furniza exportatorului de date informațiile relevante și este de acord că va continua să coopereze cu exportatorul de date pentru a asigura conformitatea cu prezentele clauze.

4. Părțile convin să documenteze evaluarea efectuată în temeiul literei (b) și să o pună la dispoziția autorității de supraveghere competente, la cerere.

5. Importatorul de date este de acord să notifice cu promptitudine exportatorul de date în cazul în care, după ce a fost de acord cu prezentele clauze și pe durata contractului, are motive să creadă că face sau a făcut obiectul unor legi sau practici care nu sunt în conformitate cu cerințele de la litera (a), inclusiv ca urmare a unei modificări a legislației țării terțe sau a unei măsuri (cum ar fi o cerere de divulgare) care indică o aplicare în practică a unor astfel de legi care nu este în conformitate cu cerințele de la litera (a).

6. În urma unei notificări în conformitate cu litera (e) sau dacă exportatorul de date are în alt mod motive să creadă că importatorul de date nu își mai poate îndeplini obligațiile care îi revin în temeiul prezentelor clauze, exportatorul de date identifică de îndată măsurile adecvate (de exemplu, măsuri tehnice sau organizatorice pentru a asigura securitatea și confidențialitatea) care urmează să fie adoptate de către exportatorul de date și/sau importatorul de date pentru a remedia situația. Exportatorul de date suspendă transferul de date în cazul în care consideră că nu pot fi asigurate garanții adecvate pentru un astfel de transfer sau dacă a primit instrucțiuni în acest sens de la autoritatea de supraveghere competentă. În acest caz, exportatorul de date are dreptul de a rezilia contractul, în măsura în care acesta se referă la prelucrarea datelor cu caracter personal în temeiul prezentelor clauze. În cazul în care contractul implică mai mult de două părți, exportatorul de date poate exercita acest drept de reziliere numai în ceea ce privește partea relevantă, cu excepția cazului în care părțile au convenit altfel. În cazul în care contractul este reziliat în temeiul prezentei clauze, se aplică clauza 16 literele (d) și (e).

 

Clauza 15

Obligations of the data importer in case of access by public authorities

15.1 Notificare

1. Importatorul de date este de acord să notifice cu promptitudine exportatorul de date și, dacă este posibil, persoana vizată (dacă este necesar cu ajutorul exportatorului de date) în cazul în care:

a. primește o solicitare obligatorie din punct de vedere juridic din partea unei autorități publice, inclusiv a autorităților judiciare, în conformitate cu legislația țării de destinație, de divulgare a datelor cu caracter personal transferate în conformitate cu prezentele clauze; o astfel de notificare trebuie să includă informații despre datele cu caracter personal solicitate, autoritatea solicitantă, temeiul juridic al solicitării și răspunsul furnizat; sau

b. ia cunoștință de orice acces direct al autorităților publice la datele cu caracter personal transferate în temeiul prezentelor clauze, în conformitate cu legislația țării de destinație; o astfel de notificare include toate informațiile de care dispune importatorul.

2. În cazul în care importatorului de date îi este interzis să notifice exportatorul de date și/sau persoana vizată în conformitate cu legislația țării de destinație, importatorul de date este de acord să depună toate eforturile pentru a obține o derogare de la această interdicție, în vederea comunicării cât mai multor informații, cât mai curând posibil. Importatorul de date este de acord să își documenteze cele mai eficiente eforturi pentru a le putea demonstra la cererea exportatorului de date.

3. În cazul în care acest lucru este permis de legislația țării de destinație, importatorul de date este de acord să furnizeze exportatorului de date, la intervale regulate pe durata contractului, cât mai multe informații relevante cu putință cu privire la solicitările primite (în special, numărul de solicitări, tipul de date solicitate, autoritatea sau autoritățile solicitante, dacă solicitările au fost contestate și rezultatul acestor contestații etc.).

4. Importatorul de date este de acord să păstreze informațiile în conformitate cu literele (a)-(c) pe durata contractului și să le pună la dispoziția autorității de supraveghere competente, la cerere.

5. Alineatele (a)-(c) nu aduc atingere obligației importatorului de date, în temeiul clauzei 14 (e) și al clauzei 16, de a informa cu promptitudine exportatorul de date în cazul în care nu este în măsură să se conformeze acestor clauze.

 

15.2  Examinarea legalității și minimizarea datelor

1. Importatorul de date este de acord să examineze legalitatea cererii de divulgare, în special dacă aceasta rămâne în limitele competențelor acordate autorității publice solicitante, și să conteste cererea dacă, după o evaluare atentă, ajunge la concluzia că există motive întemeiate pentru a considera că cererea este ilegală în temeiul legislației țării de destinație, al obligațiilor aplicabile în temeiul dreptului internațional și al principiilor de curtoazie internațională. Importatorul de date trebuie, în aceleași condiții, să utilizeze căile de atac. Atunci când contestă o cerere, importatorul de date solicită măsuri provizorii în vederea suspendării efectelor cererii până când autoritatea judiciară competentă se pronunță asupra fondului acesteia. Acesta nu divulgă datele cu caracter personal solicitate până când nu este obligat să facă acest lucru în conformitate cu normele procedurale aplicabile. Aceste cerințe nu aduc atingere obligațiilor importatorului de date în temeiul clauzei 14 litera (e).

2. Importatorul de date este de acord să își documenteze evaluarea juridică și orice contestație la cererea de divulgare și, în măsura în care acest lucru este permis de legislația țării de destinație, să pună documentația la dispoziția exportatorului de date. De asemenea, acesta o pune la dispoziția autorității de supraveghere competente, la cerere.

3. Importatorul de date este de acord să furnizeze cantitatea minimă de informații permisă atunci când răspunde la o cerere de divulgare, pe baza unei interpretări rezonabile a cererii.

Secțiunea 4 – Dispoziții finale

Clauza 16

Nerespectarea clauzelor și rezilierea

1. Importatorul de date informează cu promptitudine exportatorul de date în cazul în care nu este în măsură să respecte prezentele clauze, indiferent de motiv.

2. În cazul în care importatorul de date încalcă prezentele clauze sau nu este în măsură să respecte aceste clauze, exportatorul de date suspendă transferul de date cu caracter personal către importatorul de date până când se asigură din nou conformitatea sau până la rezilierea contractului. Acest lucru nu aduce atingere clauzei 14 litera (f).

3. Exportatorul de date are dreptul de a rezilia contractul, în măsura în care acesta se referă la prelucrarea datelor cu caracter personal în temeiul prezentelor clauze, în cazul în care:

a. exportatorul de date a suspendat transferul de date cu caracter personal către importatorul de date în conformitate cu litera (b), iar conformitatea cu prezentele clauze nu este restabilită într-un termen rezonabil și, în orice caz, în termen de o lună de la suspendare;

b. importatorul de date încalcă în mod grav sau constant prezentele clauze; sau

c. importatorul de date nu respectă o decizie obligatorie a unei instanțe competente sau a unei autorități de supraveghere în ceea ce privește obligațiile care îi revin în temeiul prezentelor clauze.

4. În aceste cazuri, informează autoritatea de supraveghere competentă cu privire la această nerespectare. În cazul în care contractul implică mai mult de două părți, exportatorul de date poate exercita acest drept de reziliere numai în ceea ce privește partea relevantă, cu excepția cazului în care părțile au convenit altfel.

5. Datele cu caracter personal care au fost transferate înainte de rezilierea contractului în conformitate cu litera (c) sunt, la alegerea exportatorului de date, returnate imediat exportatorului de date sau șterse în întregime. Același lucru este valabil și pentru orice copii ale datelor. Importatorul de date certifică exportatorului de date că datele au fost șterse. Până când datele sunt șterse sau returnate, importatorul de date continuă să asigure conformitatea cu prezentele clauze. În cazul în care există legi locale aplicabile importatorului de date care interzic returnarea sau ștergerea datelor cu caracter personal transferate, importatorul de date garantează că va continua să asigure conformitatea cu prezentele clauze și va prelucra datele numai în măsura și pe durata impuse de legislația locală respectivă.

6. Oricare dintre părți poate revoca acceptul său de a fi obligat prin prezentele clauze în cazul în care (i) Comisia Europeană adoptă o decizie în temeiul articolului 45 alineatul (3) din Regulamentul (UE) 2016/679 care acoperă transferul de date cu caracter personal la care se aplică prezentele clauze; sau (ii) Regulamentul (UE) 2016/679 devine parte a cadrului juridic al țării în care sunt transferate datele cu caracter personal. Acest lucru nu aduce atingere altor obligații care se aplică prelucrării în cauză în temeiul Regulamentului (UE) 2016/679.

 

Clauza 17

Legea aplicabilă

Prezentele clauze sunt guvernate de legislația unuia dintre statele membre ale UE, cu condiția ca această legislație să permită drepturile terților beneficiari. Părțile convin ca aceasta să fie legea Irlandei.

Clauza 18

Alegerea forului și a jurisdicției

1. Orice litigiu care decurge din prezentele clauze se soluționează de către instanțele unui stat membru al UE.

2. Părțile convin ca acestea să fie instanțele din Irlanda.

3. O persoană vizată poate, de asemenea, să introducă o acțiune în justiție împotriva exportatorului de date și/sau a importatorului de date în fața instanțelor din statul membru în care își are reședința curentă.

4. Părțile convin să se supună jurisdicției acestor instanțe.

Anexa

Anexa I

1. Lista părților

	EXPORTATOR DE DATE (CLIENT)	IMPORTATOR DE DATE (TAXDOME)
NUMELE COMPANIEI		TaxDome, LLC
ADRESA		1178 Broadway, New York, NY 10001
NUMELE, FUNCȚIA ȘI DATELE PERSOANEI DE CONTACT		Victor Radzinsky, CEO dpo@taxdome.com
SEMNĂTURA ȘI DATA:
ROL:	Controlor	Prelucrător

 

Activitățile relevante pentru datele transferate în temeiul acestor clauze: A se vedea anexa I.B.

 

B. DESCRIEREA TRANSFERULUI

Categorii de persoane vizate ale căror date cu caracter personal sunt transferate

Datele cu caracter personal se referă la utilizatorii finali ai clienților noștri.

 

Categorii de date cu caracter personal transferate

Platforma TaxDome se adresează unei baze largi de clienți și de utilizatori finali care se întinde pe întreg spectrul de industrii. TaxDome nu controlează și nici nu limitează subiectul pe care utilizatorii finali ai clienților noștri îl transmit prin utilizarea instrumentului nostru. Ținând cont de acest lucru, de natura produsului și de rolul de procesator al TaxDome, inventarierea unei liste absolute a categoriilor de date preluate și procesate nu este posibilă. TaxDome procesează date care ar putea include, dar nu se limitează la: nume, vârstă, sex, gen, statut familial, adresă, nivel de educație, stil de viață și obiceiuri, adresă IP și date de localizare, satisfacția clienților, profesie, statut de angajare, date de utilizare și înregistrări de imagini (fotografie digitală sau video).

Datele sensibile transferate (dacă este cazul) și restricțiile sau măsurile de protecție aplicate care iau pe deplin în considerare natura datelor și riscurile implicate, cum ar fi, de exemplu, limitarea strictă a scopului, restricții de acces (inclusiv accesul numai pentru personalul care a urmat o formare specializată), păstrarea unei evidențe a accesului la date, restricții pentru transferurile ulterioare sau măsuri de securitate suplimentare.

TaxDome prelucrează date care ar putea include, dar nu se limitează la categoriile speciale de date: date privind sănătatea, date genetice, originea rasială și etnică, orientarea și/sau obiceiurile sexuale, opiniile politice, afilierea sau convingerile religioase, apartenența politică sau sindicală, condamnări penale și infracțiuni.

 

Frecvența transferului (de exemplu, dacă datele sunt transferate o singură dată sau în mod continuu).

Datele cu caracter personal sunt preluate în mod continuu.

 

Natura prelucrării

Datele cu caracter personal sunt preluate prin utilizarea zilnică a platformei. Datele pot fi introduse prin intrări manuale de către clienții TaxDome sau în mod automat prin intermediul colecțiilor de jurnale de pe platformă. Datele sunt stocate în baza de date de producție a TaxDome.

 

Scopul (scopurile) transferului de date și al prelucrării ulterioare

Datele cu caracter personal sunt prelucrate în scopul furnizării serviciului TaxDome și al funcționării site-ului TaxDome și a serviciilor platformei.

 

Perioada pentru care vor fi păstrate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a determina această perioadă

The subject matter and duration of the processing of the personal data are set out in the Terms of Service.

Obiectul și durata prelucrării datelor cu caracter personal sunt stabilite în Condițiile de utilizare.

 

Pentru transferurile către (sub)operatori, specificați, de asemenea, obiectul, natura și durata prelucrării.

TaxDome utilizează subcontractanții găsiți online la www.taxdome.com/ro-ro/policies/sub-processors/ atunci când furnizează servicii clienților săi. Lista specifică obiectul și natura activităților de prelucrare efectuate de subcontractanții  TaxDome și mecanismul de transfer de date aplicabil.

C. AUTORITATEA DE SUPRAVEGHERE COMPETENTĂIdentificați autoritatea sau autoritățile de supraveghere competente în conformitate cu clauza 13

Locația exportatorului de date/reprezentantul din UE al exportatorului de date/Locația celei mai mari baze de clienți a exportatorului de date

Anexa II

MĂSURI TEHNICE ȘI ORGANIZATORICE, INCLUSIV MĂSURI TEHNICE ȘI ORGANIZATORICE PENTRU A ASIGURA SECURITATEA DATELOR

Descrierea măsurilor tehnice și organizatorice puse în aplicare de importatorul (importatorii) de date (inclusiv orice certificări relevante) pentru a asigura un nivel adecvat de securitate, ținând seama de natura, domeniul de aplicare, contextul și scopul prelucrării, precum și de riscurile pentru drepturile și libertățile persoanelor fizice.

Măsurile tehnice și organizatorice luate de TaxDome pentru a proteja datele cu caracter personal transferate în afara Spațiului Economic European către o țară neadecvată sunt publicate și disponibile la: https://www.taxdome.com/ro-ro/policies/security/