NeuroCRMAct adițional privind prelucrarea datelor
Acest Act adițional privind prelucrarea datelor („DPA”) face parte din Termenii și condițiile serviciului dintre dumneavoastră („Clientul”, operatorul) și Empire Luxury International Corporation (DBA Neuro Empire) („NeuroCRM”, persoana împuternicită) și reglementează prelucrarea datelor cu caracter personal conținute în Conținutul clientului. În caz de conflict cu privire la aspecte de protecție a datelor, acest DPA prevalează asupra Termenilor.
1. Roluri și domeniu de aplicare
În ceea ce privește Conținutul clientului, Clientul este operatorul (sau persoana împuternicită care acționează pentru proprii săi clienți), iar NeuroCRM este persoana împuternicită (sau subîmputernicitul). NeuroCRM prelucrează Conținutul clientului numai pentru a furniza Serviciul și pe baza instrucțiunilor documentate ale Clientului, care includ Termenii, acest DPA și utilizarea funcțiilor Serviciului. NeuroCRM acționează ca operator independent numai pentru datele limitate privind contul, facturarea și securitatea descrise în Politica de confidențialitate.
2. Detalii privind prelucrarea
Obiect: furnizarea Serviciului NeuroCRM. Durată: durata abonamentului Clientului plus orice perioadă de încheiere. Natura și scopul: operațiuni de găzduire, stocare și prelucrare necesare pentru a furniza Serviciul așa cum este configurat de Client. Categorii de persoane vizate: contactele, clienții potențiali, clienții, personalul și alte persoane fizice ale Clientului ale căror date sunt introduse de Client. Categorii de date cu caracter personal: astfel cum sunt stabilite de Client, de regulă date de identificare și de contact, evidențe de afaceri și comunicări; Clientul nu trebuie să introducă date din categorii speciale, cu excepția cazului în care s-a convenit în scris.
3. Instrucțiunile clientului și conformitatea
NeuroCRM va prelucra Conținutul clientului numai pe baza instrucțiunilor documentate, inclusiv pentru transferuri, cu excepția cazului în care legislația aplicabilă o impune (situație în care NeuroCRM va informa Clientul, cu excepția cazului în care acest lucru este interzis). NeuroCRM va notifica Clientul dacă, în opinia sa, o instrucțiune încalcă legislația aplicabilă în materie de protecție a datelor. Clientul este responsabil de legalitatea Conținutului clientului și de deținerea tuturor notificărilor și consimțămintelor necesare.
4. Confidențialitatea personalului
NeuroCRM se asigură că personalul autorizat să prelucreze Conținutul clientului este obligat prin obligații de confidențialitate și prelucrează datele numai conform instrucțiunilor.
5. Măsuri de securitate
NeuroCRM implementează măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului, inclusiv criptarea în tranzit și a token-urilor de acces în repaus, izolarea logică a chiriașilor, controale de acces și jurnalizare, reziliență și copii de rezervă, precum și revizuire periodică. Un rezumat este disponibil la cerere și în Politica de confidențialitate.
6. Subîmputerniciți
Clientul acordă o autorizare generală pentru ca NeuroCRM să angajeze subîmputerniciți. O listă actualizată se găsește la /legal/subprocessors. NeuroCRM impune fiecărui subîmputernicit obligații de protecție a datelor care nu sunt mai puțin protective decât acest DPA și rămâne responsabil de prestația acestora. NeuroCRM va transmite o notificare cu cel puțin 30 de zile înainte privind orice subîmputernicit nou sau de înlocuire; Clientul poate formula obiecții din motive rezonabile de protecție a datelor, iar dacă părțile nu pot soluționa obiecția, Clientul poate înceta Serviciul afectat și poate primi o rambursare a tarifelor plătite în avans și neutilizate.
7. Cereri ale persoanelor vizate și asistență
Ținând cont de natura prelucrării, NeuroCRM va asista Clientul, prin măsuri adecvate și în măsura în care este rezonabil din punct de vedere comercial, în soluționarea cererilor persoanelor vizate și în îndeplinirea obligațiilor sale privind securitatea, notificarea încălcărilor, evaluările impactului asupra protecției datelor și consultarea prealabilă. Dacă NeuroCRM primește o cerere direct de la o persoană vizată, o va transmite Clientului și nu va răspunde decât conform instrucțiunilor sau astfel cum impune legea.
8. Notificarea încălcării securității datelor cu caracter personal
NeuroCRM va notifica Clientul fără întârzieri nejustificate și, în orice caz, în termen de 24 de ore de la luarea la cunoștință a unei încălcări confirmate sau suspectate în mod rezonabil a securității datelor cu caracter personal care afectează Conținutul clientului, și va furniza informațiile disponibile pentru a ajuta Clientul să își îndeplinească obligațiile de notificare, cu actualizări pe măsură ce investigația progresează. O astfel de notificare nu constituie o recunoaștere a vinei sau a răspunderii. Stabilirea oportunității notificării autorităților de supraveghere sau a persoanelor vizate și efectuarea unor astfel de notificări revin Clientului în calitate de operator; NeuroCRM oferă o cooperare rezonabilă.
9. Transferuri internaționale
Atunci când prelucrarea implică un transfer de date cu caracter personal în afara SEE, a Regatului Unit sau a Elveției către o țară care nu beneficiază de o decizie privind caracterul adecvat, părțile încorporează Clauzele contractuale standard (2021/914), Modulul Doi (operator către persoană împuternicită) ale Comisiei Europene, completate cu informațiile din acest DPA, împreună cu Actul adițional al Regatului Unit privind transferul internațional de date și adaptările elvețiene, după caz; ca alternativă, NeuroCRM se poate baza pe Cadrul UE-SUA privind confidențialitatea datelor (Data Privacy Framework) acolo unde este certificat. NeuroCRM aplică măsuri suplimentare după caz. În caz de conflict, SCC prevalează numai în măsura în care este necesar.
10. Contururul rusesc de date (152-FZ)
Pentru datele cu caracter personal ale persoanelor fizice din Federația Rusă, NeuroCRM menține un contur rusesc separat, cu înregistrarea și stocarea primară pe servere situate în Rusia, în conformitate cu Legea Federală nr. 152-FZ, și prelucrează aceste date la indicația Clientului în temeiul articolului 6(3) din 152-FZ. Acest contur și fluxul său de notificare a încălcărilor (preliminar în termen de 24 de ore și rezultatele în termen de 72 de ore către Roskomnadzor) funcționează independent de lanțul GDPR. A se vedea Politica de prelucrare a datelor cu caracter personal (Rusia).
11. Audit
NeuroCRM va pune la dispoziție informațiile necesare pentru a demonstra conformitatea cu acest DPA și va permite efectuarea de audituri. Pentru a reduce la minimum perturbările, NeuroCRM poate satisface cererile de audit prin furnizarea de certificări sau rapoarte actuale ale unor terți (precum ISO 27001 sau SOC 2 Type II) acolo unde sunt disponibile. Auditurile la fața locului sau detaliate sunt limitate la o dată pe an (cu excepția cazului în care urmează unei încălcări), necesită o notificare cu cel puțin 30 de zile înainte, un domeniu de aplicare convenit de comun acord, confidențialitate, și se desfășoară în timpul programului de lucru, fără perturbări nejustificate.
12. Restituire și ștergere
La încetare, la alegerea Clientului efectuată în termen de 30 de zile, NeuroCRM va restitui Conținutul clientului într-un format utilizat în mod obișnuit sau îl va șterge și, la cerere, va certifica ștergerea într-un termen rezonabil, cu excepția cazului în care păstrarea este impusă de lege. Copiile de rezervă de rutină sunt suprascrise în ciclul standard de rotație.
13. Răspundere și prevalență
Răspunderea fiecărei părți în temeiul acestui DPA este supusă limitărilor și excluderilor din Termenii și condițiile serviciului, inclusiv plafonul majorat pentru încălcările privind protecția datelor. Acest DPA, inclusiv SCC încorporate, prevalează asupra dispozițiilor contrare ale Termenilor în materie de protecție a datelor. DPA este reglementat de dispozițiile privind legea aplicabilă și soluționarea litigiilor din Termeni aplicabile Clientului.