Anexa 1 – prelucrarea datelor personale de catre PYNBOOKING conform GDPR

Data ultimei actualizari: 17.04.2022


Contract prelucrare date personale Operator (Client)– Imputernicit (PYNBOOKING)
Prezenta anexa prevede regulile specifice in ceea ce priveste prelucrarea datelor cu caracter personal trimise de catre Beneficiar, in calitate de Operator, catre S.C. PYNBOOKING NET SRL, in calitate de imputernicit in conformitate cu Regulamentului (UE) 2016/679 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date (denumit in continuare ”GDPR”), ca si orice legislatie nationala subsecventa cu privire la domeniul protectiei datelor cu caracter personal.

Art 1. Termeni

In cuprinsul acestei anexe termenii folositi vor fi interpretati in conformitate cu GDPR, iar acolo unde este cazul, termenii folositi vor avea definitiile stipulate de art. 4 din GDPR.

Art 2. Obiectul prelucrarii

Obiectul prelucrarii datelor personale il reprezinta prelucrarea de catre Imputernicit a datelor personale trimise de catre Operator in scopul furnizarii serviciilor stipulate in contractul principal de servicii PYNBOOKING.

Art 3. Date colectate

Datele personale puse la dispozitie de catre Operator prelucrate in temeiul acestui contract sunt:

Datele personale ale oaspetilor (Clientului) Operatorului necesare pentru contractare, facturare, obligatii legale ale Operatorului sau alte temeiuri legale identificate de catre Operator colectate in mod direct sau indirect si prelucrate prin serviciile PYNBOOKING, cum ar fi nume, prenume, date de identificare ale acestuia si orice alte date personale suplimentare necesare in scopurile mai sus precizate.

Datele de trafic care cuprind si informatii tehnice (de ex. Adresa IP) considerate date personale ale vizitatorilor paginilor web sau aplicatiilor Operatorului, create prin intermediul serviciilor PYNBOOKING, daca este cazul.

Datele de card ale oaspetilor, doar in cazul completarii acestor date de catre oaspetii Operatorului, exclusiv in conditiile stabilite de catre platforma de rezervare, procesatorul de plata integrat si/sau a bancii

Nume, prenume, adresa de email, numar de telefon si alte date personale ale angajatilor Operatorului – stabilite exclusiv de Operator - folosite pentru acces la anumite servicii PYNBOOKING sau a fi integrate in informatiile prelucrate de serviciile PYNBOOKING (de ex. Facturi, etc.)

Art.4 Categorii de persoane vizate

Categoriile de persoane vizate sunt:
- oaspeti (clienti) ai Operatorului
- vizitatori ai site-urilor Operatorului
- angajati ai Operatorului

Art. 5. Instructiuni specifice

In temeiul acestui contract Operatorul da urmatoarele instructiuni specifice Imputernicitului:

Sa prelucreze datele cu caracter personal specificate in articolul 3 in scopul prevazut la art. 7 in urmatoarele moduri: date introduse in mod direct de Operator; date introduse de Operator de la alti prestatori prin integrarea acestora (prin API) cu serviciile PYNBOOKING (de ex. Import rezervari din alte sisteme de rezervari, servicii plata online); date colectate direct sau indirect de catre Prestator prin serviciile PYNBOOKING in numele Operatorului (de exemplu serviciul de Booking Engine, Guest app sau orice Serviciu accesibil direct oaspetilor Clientului).

Sa transmita datele personale prelucrate catre alti imputerniciti ai Operatorului, prin selectarea categoriilor de datelor a fi transmise si furnizarea credentialelor de acces (dupa caz) pentru trimiterea datelor catre acei prestatori unde Operatorul are un cont.

Sa trimita mesaje prin email sau SMS in numele Operatorului, pentru serviciul de transmitere mesaje email sau SMS (daca acest serviciu este folosit de catre Operator);

Sa afiseze datele cardurilor in contul Operatorului, doar in cazul completarii acestor date de catre oaspetii Operatorului, exclusiv in conditiile stabilite de catre platforma de rezervare, procesatorul de plata integrat si/sau a bancii;

Art. 6. Durata prelucrarii

Durata prelucrarii datelor cu caracter personal este identica cu durata functionarii contractului principal de furnizare servicii.

Art. 7 Natura si scopul prelucrarii

Natura si scopul prelucrarii sunt cele stabilite de catre Operator in temeiul contractului principal si anume furnizarea serviciilor PYNBOOKING, in functie de pachetul de servicii achizitionat.

Art. 8 Sub-imputerniciti

In cazul in care prelucrarea datelor Operatorului sau anumite parti are prelucrarii se efectueaza de catre Imputernicit prin intermediul altor persoane, numite sub-imputerniciti, acesta trebuie sa respecte urmatoarele principii:

8.1. In temeiul acestui articol Operatorul intelege sa autorizeze Imputernicitul sa prelucreze datele sale prin urmatorii sub-imputerniciti pentru urmatoarele activitati:
- Amazon (Irlanda/SUA) - pentru gazduire, serviciul de trimitere email, SMS
- DataTrans (Elvetia) – pentru serviciul de gazduire date de card
8.2. Pentru sub-imputerniciti viitori, Imputernicitul primeste o autorizare generala de a subcontracta cu orice alt furnizor din U.E., EEA sau tara cu nivel adecvat de protectie recunoscut prin decizie a Comisiei Europene, care este necesar pentru anumite parti ale procesarii datelor conform prezentului contract care ofera un nivel de securitate adecvat, cel putin la nivelul prezentului contract. Aceasta autorizare include obligatia de informare a Operatorului, printr-un mesaj prin contul de pe site-ul Imputernicitului sau prin email. Operatorul are posibilitatea de a formula obiectii in termen de 2 zile lucratoare si de a inceta contractul conform art 10 din Termeni si Conditii.

Art. 9. Drepturile si obligatiile Operatorului

Dreptul sa primeasca informatii de la Imputernicit sau sa verifice prin auditor mandatat daca Imputernicitul are si pune in aplicare masuri tehnice si organizatorice adecvate, astfel incat prelucrarea sa respecte cerintele prevazute de GDPR; verificarea va avea loc in baza unei notificari scrise prealabile, transmisa cu cel putin 14 zile lucratoare inainte de efectuarea verificarii, dupa acoperirea costurilor estimate de Imputernicit;

Dreptul sa primeasca asistenta din partea Imputernicitului, in special pentru indeplinirea obligatiei sale de a raspunde cererilor persoanelor vizate cu privire la exercitarea drepturilor lor prevazute de GDPR, cu exceptia cazului in care datele sunt disponibile in mod direct in interfata PYNBOOKING accesibila Operatorului;

Dreptul de a face obiectiuni cu privire la alti sub-imputerniciti conform art. 8.2;

Sa respecte obligatiile sale conform GDPR in calitate de Operator cu privire la datele cu caracter personal colectate sau prelucrate de Imputernicit, pe seama sa;

Obligatia de a face informarea persoanelor vizate conform GDPR, inclusiv in ceea ce priveste informarea cu privire la prelucrarea datelor de catre Imputernicit in temeiul acestui contract sau prin serviciile sale (in special in cazul serviciului de Booking Engine, Guest app sau orice Serviciu accesibil direct oaspetilor Clientului);

Obligatia sa raspunda exclusiv de stabilirea temeiului legal pentru prelucrarea datelor cu caracter personal ce face obiectul prezentului contract;

Obligatia de a implementa masuri tehnice si organizatorice adecvate conform GDPR, inclusiv securizarea transferului datelor de la persoanele vizate sau alti prestatori catre Imputernicit;

Operatorul intelege ca din momentul stergerii datelor dupa incetarea prestarii serviciilor de catre Imputernicit conform obligatiilor GDPR si a art. 10 a acestui contract, datele nu mai pot fi recuperate si este intreaga responsabilitate a Operatorului sa se asigure ca si-a facut o copie completa a acestora.

In toate situatiile in care Operatorul este cel care trebuie sa execute o obligatie, cum este, spre exemplu, informarea persoanei vizate cu privire la incalcarea securitatii datelor cu caracter personal, Imputernicitul nu poate fi tinut de inactiunile Operatorului din sfera acelei obligatii.

Art. 10. Drepturile si obligatiile Imputernicitului:

Obligatia sa informeze Operatorul in termen de maxim 10 zile, in cazul in care, in opinia Imputernicitului, o instructiune incalca GDPR si/sau alta dispozitie legala privind prelucrarea datelor cu caracter personal;

Obligatia de a informa Operatorul fara intarzieri nejustificate de o incalcare a securitatii datelor personale ale Operatorului pe parcursul prelucrarii realizate de catre Imputernicit;

Obligatia de a asista Operatorul cu toate informatiile necesare in vederea notificarii, daca este cazul, catre Autoritatea competenta pentru incalcarea securitatii datelor, dar fara a se substitui Operatorului in obligatia sa de notificare;

Obligatia de a acorda asistenta Operatorului sa asigure respectarea obligatiilor prevazute la articolele 32-36 din GDPR, cu acoperirea costurilor suplimentarea ale Imputernicitului in acest sens;

Obligatia de a asista Operatorul pentru solutionarea cererilor persoanelor vizate sau de a transmite Operatorului orice cerere primita de la persoanele vizate, in legatura cu datele personale care au fost colectate si prelucrate de Imputernicit, in termen de maxim 5 zile calendaristice de la primirea acesteia. Aceasta asistenta nu se aplica in situatia in care Operatorul are deja in instrumentele tehnice furnizate de catre Imputernicit posibilitatea de a solutiona direct cererea persoanei vizate (de ex. Dreptul la acces – unde Operatorul are deja toate informatiile cu privire la ce date colecteaza);

Obligatia sa nu transmita date cu caracter personal si/sau informatii confidentiale, ce pot fi date cu caracter personal, despre care a luat cunostinta in timpul executarii contractului;

Obligatia sa asigure instruirea personalului propriu autorizat sa prelucreze datele cu caracter personal, cu privire la confidentialitatea acestor date;

Obligatia sa includa obligatii de confidentialitate contractuale catre angajati si sub-imputerniciti;

Dreptul sa dezvaluie anumite date cu caracter personal la solicitarea unei autoritatii, institutii publice sau instante judecatoresti, ori a unui alt tert autorizat potrivit legislatiei, in virtutea unei obligatii legale sau a unei alte conditii prevazute de legislatie.

Dreptul de a recruta sub-imputerniciti conform art. 8 sau in situatia in care a primit aprobare din partea Operatorului;

Dreptul la acoperirea costurilor generate de asigurarea asistentei Operatorului in situatiile prevazute de GDPR conform art. 9, daca acestea depasesc costul lunar al serviciilor prestate de catre Imputernicit.

Dreptul de a folosi informatii statistice anonimizate ca urmare a activitatilor prestate ca urmare a acestui contract sau a intregii sale activitati.

Obligatia de a sterge toate datele colectate ca urmare a acestui contract in calitate de Imputernicit in termen de maxim 15 zile de la incetarea contractului dintre cele doua parti, cu exceptia cazului in care Operatorul impune in scris un termen mai scurt;

Imputernicitul nu poate stabili scopuri sau mijloace de prelucrare a datelor cu caracter personal, acestea fiind stabilite exclusiv de catre Operator.

Art.11 Securitatea prelucrarii

11.1 Imputernicitul trebuie sa indeplineasca masuri tehnice si organizatorice adecvate pentru a asigura masurile adecvate de securitate raportate la risc, conforme cu bunele practici in industrie. In stabilirea nivelului adecvat de securitate, Imputernicitul trebuie sa ia in considerare stadiul actual al dezvoltarii, costurile implementarii si natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si riscul cu diferite grade de probabilitate si gravitate pentru drepturile si libertatile persoanelor fizice, ca si riscurile care apar ca urmare a prelucrarii, in special cu privire la cele care pot duce care duce, in mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizata a datelor cu caracter personal transmise, stocate sau prelucrate intr-un alt mod, sau la accesul neautorizat la acestea.

Art.12 Limitarea raspunderii

Operatorul este de acord sa exonereze Imputernicitul de orice raspundere pentru pagubele ce ar putea decurge din:
- nerespectarea contractului din cauza unor evenimente ce exced oricarei raspunderi a Imputernicitului;
- respectarea instructiunilor Operatorului sau nerespectarea instructiunilor Operatorului justificata in prealabil printr-o notificare referitoare la nelegalitatea ei;
- lipsa sau vicierea acordului persoanelor vizate sau a utilizarii unui temei legal gresit de catre Operator;
- nerespectarea contractului din cauza unor actiuni ale Operatorului.

Art.13 Delimitarea raspunderii

Operatorul si Imputernicitul isi delimiteaza responsabilitatile cu privire la asigurarea protectiei datelor cu caracter personal (de exemplu asigurarea confidentialitatii sau a securitatii prelucrarii), in functie de accesul si controlul efectiv exercitat asupra datelor, atat din punct de vedere contractual, cat si tehnic

Art.14 Intrare in vigoare si modificari

Aceasta anexa intra in vigoare pe 17 aprilie 2022 si este valabila pana la modificarea ei de catre PYNBOOKING si informarea clientilor in acest sens. Utilizarea contului dupa informarea clientilor inseamna acordul acestor cu privire la acest document.

Solicită o demonstrație
Your subscription could not be saved. Please try again.
Your subscription has been successful.