Acord de prelucrare a datelor (DPA)

Atunci când Blackbone prelucrează date personale în numele unui client (în calitate de persoană împuternicită), încheiem un Acord de Prelucrare a Datelor (DPA) conform art. 28 din Regulamentul (UE) 2016/679 (GDPR). Acest document descrie clauzele standard pe care le aplicăm.

1. Părți

Operator: Clientul (entitatea care contractează serviciile Blackbone și care determină scopurile și mijloacele prelucrării).
Persoană împuternicită: Blackbone SRL, CUI 54833093, sediu Chiajna, Ilfov.

2. Obiectul, durata, natura și scopul prelucrării

Blackbone prelucrează datele personale ale Operatorului doar în scopul prestării serviciilor descrise în contractul principal de servicii (Master Services Agreement / SOW). Durata prelucrării coincide cu durata contractului principal și a perioadelor de retenție agreate.

3. Tipuri de date & categorii de persoane vizate

Detaliate per proiect, în Anexa I la DPA. De regulă includ: date de identificare și contact ale angajaților Operatorului, utilizatorilor finali ai aplicațiilor dezvoltate, prospecți și clienți ai Operatorului.

4. Obligațiile Persoanei împuternicite

Blackbone se obligă să:

Prelucreze datele exclusiv conform instrucțiunilor documentate ale Operatorului (art. 28 alin. 3 lit. a GDPR).
Asigure confidențialitatea persoanelor autorizate să prelucreze datele.
Implementeze măsurile de securitate prevăzute de art. 32 GDPR.
Respecte regulile de implicare a subîmputerniciților (alin. 2 și 4).
Asiste Operatorul cu respectarea drepturilor persoanelor vizate (cap. III GDPR).
Asiste Operatorul cu obligațiile sale de securitate, notificare incidente și DPIA (art. 32-36).
Șteargă sau returneze datele la încetarea contractului, la alegerea Operatorului.
Pună la dispoziția Operatorului toate informațiile necesare pentru audit.

5. Sub-împuterniciții

Operatorul autorizează în general Blackbone să folosească subîmputerniciții listați în pagina GDPR, secțiunea 4. Orice modificare a listei este notificată cu cel puțin 30 zile înainte de implementare, iar Operatorul are dreptul de obiecție rezonabilă.

Blackbone încheie cu fiecare subîmputernicit un contract cu obligații cel puțin echivalente cu cele din prezentul DPA, conform art. 28 alin. 4.

6. Transferuri internaționale

Pentru transferuri către țări terțe, aplicăm Clauzele Contractuale Standard (Decizia 2021/914) și, după caz, certificarea EU-U.S. Data Privacy Framework. Eventualele măsuri suplimentare („supplementary measures") sunt documentate per proiect.

7. Asistență drepturi persoane vizate

Blackbone oferă Operatorului asistența rezonabilă, prin mijloace tehnice și organizatorice, pentru a permite Operatorului să răspundă cererilor de exercitare a drepturilor în termenele prevăzute de GDPR (de regulă 30 zile).

8. Notificarea încălcării securității

Blackbone notifică Operatorul fără întârzieri nejustificate (de regulă în maximum 24 ore) după luarea cunoștinței despre o încălcare a securității care implică date prelucrate în numele Operatorului. Notificarea include informațiile prevăzute la art. 33 alin. 3 GDPR atunci când sunt disponibile.

9. Audit

Operatorul are dreptul, cu preaviz rezonabil (de regulă 30 zile) și nu mai mult de o dată pe an (excepție: incident, schimbare materială), să auditeze respectarea acestui DPA prin:

Chestionare scrise și revizia documentației interne Blackbone (politici, registru prelucrări, rapoarte de audit terț).
Inspecție la sediile relevante, în orele de program, cu respectarea regulilor de confidențialitate și securitate.

10. Ștergere / restituire date

La încetarea relației contractuale, Blackbone, la alegerea Operatorului:

Returnează datele într-un format structurat și uzual.
Sau șterge datele și confirmă ștergerea în scris.

Excepție: datele a căror păstrare este impusă de lege (de exemplu obligații fiscale 10 ani).

11. Răspundere

Răspunderea părților este reglementată de contractul principal și de art. 82 GDPR.

12. Cum obții DPA-ul

Modelul nostru de DPA standard este disponibil la cerere. Scrie la dpo@blackbone.ro cu obiectul „Cerere DPA" și menționează numele firmei tale. Trimitem un draft personalizat pentru semnare în 2 zile lucrătoare.

13. Contact DPO

Responsabilul cu protecția datelor (DPO) Blackbone: dpo@blackbone.ro.

4. Obligațiile Persoanei împuternicite

Blackbone se obligă să:

Prelucreze datele exclusiv conform instrucțiunilor documentate ale Operatorului (art. 28 alin. 3 lit. a GDPR).

Asigure confidențialitatea persoanelor autorizate să prelucreze datele.

Implementeze măsurile de securitate prevăzute de art. 32 GDPR.

Respecte regulile de implicare a subîmputerniciților (alin. 2 și 4).

Asiste Operatorul cu respectarea drepturilor persoanelor vizate (cap. III GDPR).

Asiste Operatorul cu obligațiile sale de securitate, notificare incidente și DPIA (art. 32-36).

Șteargă sau returneze datele la încetarea contractului, la alegerea Operatorului.

Pună la dispoziția Operatorului toate informațiile necesare pentru audit.

5. Sub-împuterniciții

Blackbone încheie cu fiecare subîmputernicit un contract cu obligații cel puțin echivalente cu cele din prezentul DPA, conform art. 28 alin. 4.

8. Notificarea încălcării securității

9. Audit

Operatorul are dreptul, cu preaviz rezonabil (de regulă 30 zile) și nu mai mult de o dată pe an (excepție: incident, schimbare materială), să auditeze respectarea acestui DPA prin:

Chestionare scrise și revizia documentației interne Blackbone (politici, registru prelucrări, rapoarte de audit terț).

Inspecție la sediile relevante, în orele de program, cu respectarea regulilor de confidențialitate și securitate.