Acordul de prelucrare a datelor (APD)

Această pagină este pentru administratorii și moderatorii de comunitate. Explică acordul formal dintre Pinitto și persoanele care creează sau moderează o comunitate, acoperind modul în care gestionăm datele personale ale membrilor comunității în numele lor.

Acest Acord de Prelucrare a Datelor ("APD") este încheiat între:

• "Clientul" (acționând ca Operator de Date), definit ca utilizatorul care creează o comunitate pe platforma Pinitto. Clientul este responsabil pentru acțiunile oricăror moderatori sau administratori pe care îi numește, aceștia acționând în numele Clientului
• Și Mnemoly Community S.R.L. (acționând ca Procesator de Date), furnizorul platformei Pinitto

Acest APD este încorporat în Termenii și Condițiile noastre și se aplică prelucrării datelor cu caracter personal în numele Clientului.

1. Definiții

Termeni precum "Date cu Caracter Personal", "Operator de Date", "Procesator de Date" și "Prelucrare" vor avea înțelesurile care le sunt atribuite în Regulamentul General privind Protecția Datelor (GDPR) al UE.

2. Obiectul și domeniul de aplicare

• Obiect. Furnizarea platformei și a serviciilor Pinitto, așa cum sunt descrise în Termenii și Condițiile noastre
• Durată. Acest APD este în vigoare pe durata abonamentului Clientului la Serviciu
• Scop. Scopul prelucrării este de a permite Clientului să creeze și să gestioneze spațiul său privat de comunitate, inclusiv comunicarea, partajarea de resurse și organizarea între membrii săi
• Categoriile de persoane vizate. Membrii și utilizatorii comunității Clientului invitați să utilizeze Serviciul
• Tipurile de Date cu Caracter Personal. Adrese de e-mail, nume (care pot include identificatori de adresă), pseudonime, numere de telefon, date de localizare (adrese de plecare și destinație pentru mobilitate, locații de ridicare pentru obiecte), conținut generat de utilizatori (postări, comentarii, articole wiki, detalii despre activități de mobilitate, listări de articole) și date tehnice (adrese IP)

Clientul este responsabil să se asigure că fiecare membru pe care îl invită este eligibil să folosească Pinitto conform Termenilor și Condițiilor noastre, inclusiv cerința de vârstă minimă și orice consimțământ al părintelui sau al tutorelui cerut de legislația locală. Pinitto nu colectează și nu verifică dovada eligibilității.

Atunci când Clientul acționează în numele unui colectiv (cum ar fi o asociație de proprietari, o școală, un ONG sau orice organizație care invită membri în numele său), Clientul garantează că a obținut consimțământul individual, scris și conform GDPR de la fiecare membru înainte de a-i importa datele sau de a-i trimite invitații, și păstrează dovada acelui consimțământ. Clientul despăgubește Pinitto pentru orice investigații, amenzi sau pretenții ale unor terți din partea autorităților de supraveghere care decurg din datele membrilor încărcate sau invitate fără un temei juridic adecvat.

3. Obligațiile procesatorului (Pinitto)

Pinitto, în calitate de Procesator de Date, este de acord să:

• Prelucreze Datele cu Caracter Personal numai pe baza instrucțiunilor documentate ale Clientului (Operatorul)
• Se asigură că tot personalul autorizat să prelucreze date cu caracter personal s-a angajat să respecte confidențialitatea
• Implementeze și să mențină măsuri tehnice și organizatorice adecvate pentru a asigura securitatea Datelor cu Caracter Personal. Câmpurile sensibile (nume, date de contact, conținut de postări, conținut de discuții, conținut wiki, descrieri ale obiectelor împrumutabile și detalii ale activităților de mobilitate) sunt criptate la nivelul bazei de date folosind chei per comunitate gestionate de AWS KMS. Datele sunt transmise prin TLS și stocate în repaus cu criptare AES-256 pe servere localizate în Republica Federală Germania
• Notifice Clientul cu privire la orice solicitări din partea persoanelor vizate de a-și exercita drepturile conform GDPR și să ofere asistență Clientului în îndeplinirea acestor solicitări
• Notifice Clientul fără întârzieri nejustificate și în orice caz în termen de 72 de ore de la momentul în care ia cunoștință de o încălcare a securității datelor cu caracter personal
• La încetarea serviciului, șteargă instantaneu și permanent toate Datele cu Caracter Personal. Nu va fi disponibil niciun export de date după încetare
• Pună la dispoziția Clientului toate informațiile necesare pentru a demonstra conformitatea cu GDPR și pentru a permite și a contribui la auditurile efectuate de Client

Instrucțiunile documentate ale Clientului sunt prevăzute în acest APD, în Termenii și Condițiile noastre și în configurarea operațională normală a platformei. Clientul poate emite instrucțiuni scrise suplimentare prin persoana de contact pentru confidențialitate din secțiunea 5.

4. Sub-procesarea

Prin prezenta, Clientul acordă o autorizare generală pentru ca Pinitto să implice sub-procesatori terți în vederea furnizării Serviciului. Pinitto confirmă că toți sub-procesatorii sunt supuși unor obligații privind protecția datelor echivalente cu cele din prezentul APD.

Pinitto va menține o listă a sub-procesatorilor săi actuali și va notifica în scris Clientul cu cel puțin 30 de zile înainte de a adăuga sau înlocui orice sub-procesator. Clientul poate obiecta pe motive rezonabile de protecție a datelor în această perioadă. Dacă Clientul obiectează, Pinitto poate propune un aranjament alternativ sau poate încheia Serviciul cu o rambursare proporțională a taxelor plătite în avans.

Sub-procesatorii noștri actuali sunt:

• Amazon Web Services (AWS) găzduiește infrastructura noastră (Lambda, RDS PostgreSQL, S3, SES, KMS) în Frankfurt, Germania
• Hetzner Online GmbH găzduiește infrastructura noastră self-hosted de geocodare (Photon) și rutare (GraphHopper) pe servere din Germania
• Paddle.com Market Ltd. servește drept Merchant of Record pentru procesarea plăților și a abonamentelor
• Cloudflare, Inc. oferă protecție împotriva spam-ului și a boților pe paginile de înregistrare, autentificare și contact
• Google LLC oferă moderarea conținutului și anti-spam pe formularul de contact

Atunci când sub-procesatorii sunt situați în afara Spațiului Economic European, transferurile internaționale sunt protejate prin Cadrul UE-SUA privind confidențialitatea datelor (pentru sub-procesatorii din SUA), prin decizia de adecvare a Regatului Unit (pentru sub-procesatorii din Regatul Unit), sau, ca alternativă, prin Clauzele Contractuale Standard ale UE.

5. Responsabilul cu protecția datelor

Pinitto nu este obligată să numească un Responsabil cu Protecția Datelor conform art. 37 GDPR. Persoana de contact pentru toate aspectele legate de protecția datelor este contact [at] pinitto [dot] com.

6. Legea aplicabilă

Acest APD va fi guvernat de legile din România și de cele ale Uniunii Europene.