Anexă Confidențialitatea Datelor

1. Definiții

Termenii cu majuscule care nu sunt definiti in acest document vor avea sensul atribuit in Acord. In plus, urmatorii termeni se aplica exclusiv in ceea ce priveste acest DPA:

1.1 “Legile Aplicabile” inseamna orice lege, reglementare, ordonanta si alte norme emise de o autoritate guvernamentala, care au forta juridica obligatorie si sunt in general aplicabile datelor cu caracter personal sau furnizarii Serviciilor in legatura cu datele cu caracter personal, inclusiv GDPR si Legea nr. 190/2018 privind masuri de punere in aplicare a GDPR in Romania.

1.2 “GDPR” inseamna Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date.

1.3 “Client” inseamna creatorul de continut educational sau persoana juridica care a incheiat un Acord cu S.C. Enlivy S.R.L. pentru utilizarea serviciilor Scoala Mea by Enlivy, in calitate de operator de date in relatia cu propriii cursanti.

1.4 “Cursant” inseamna orice persoana fizica care acceseaza platforma educationala configurata si administrata de catre Client prin intermediul serviciilor Scoala Mea by Enlivy.

1.5 “Persoana Vizata” inseamna o persoana fizica identificata sau identificabila ale carei date cu caracter personal sunt prelucrate in cadrul furnizarii Serviciilor, inclusiv Cursantii Clientului.

1.6 “Date cu Caracter Personal” inseamna orice informatie despre o persoana fizica identificata sau identificabila pe care S.C. Enlivy S.R.L. o va prelucra sau la care va avea acces in cadrul furnizarii Serviciilor catre Client, inclusiv datele tehnice generate prin utilizarea platformei de catre Cursanti.

1.7 “Prelucrare”, in ceea ce priveste Datele cu Caracter Personal, inseamna orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal, inclusiv colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea, modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea acestora, prin mijloace automate sau manuale.

1.8 “Eveniment de Securitate” inseamna oricare dintre urmatoarele: (i) prelucrarea neautorizata sau alta utilizare sau dezvaluire a Datelor cu Caracter Personal; (ii) accesul neautorizat la Datele cu Caracter Personal sau la sistemele pe care se realizeaza prelucrarea; (iii) orice coruptie sau pierdere semnificativa a Datelor cu Caracter Personal; (iv) orice eveniment care perturba semnificativ prelucrarea Datelor cu Caracter Personal in cadrul Serviciilor; si (v) orice incercare nereusita de acces neautorizat, excluzand evenimentele de rutina (scanari de porturi, atacuri DoS blocate, tentative esuate de autentificare).

1.9 “Servicii” inseamna platforma educationala Scoala Mea by Enlivy, inclusiv abonamentul lunar la platforma, add-on-urile optionale contractate si orice alte servicii prestate de S.C. Enlivy S.R.L. in baza Acordului.

1.10 “Subprocesor” inseamna orice terta parte angajata de S.C. Enlivy S.R.L. pentru a prelucra Date cu Caracter Personal in cadrul furnizarii Serviciilor.

2. Rolurile partilor

Partile recunosc ca, in ceea ce priveste Datele cu Caracter Personal ale Cursantilor prelucrate prin intermediul Serviciilor:

• Clientul actioneaza in calitate de operator de date, determinand scopurile si mijloacele de prelucrare a datelor Cursantilor sai.
• S.C. Enlivy S.R.L. actioneaza in calitate de persoana imputernicita, prelucrând Datele cu Caracter Personal ale Cursantilor exclusiv in instructiunile si in beneficiul Clientului, in scopul furnizarii Serviciilor.

In ceea ce priveste datele cu caracter personal ale Clientului insusi (date de contact, date de facturare etc.), S.C. Enlivy S.R.L. actioneaza in calitate de operator de date, conform Politicii de Confidentialitate.

3. Informatii Confidentiale

Datele cu Caracter Personal pe care S.C. Enlivy S.R.L. le prelucreaza in numele Clientului in cadrul Serviciilor sunt Informatii Confidentiale acoperite de angajamentele de confidentialitate mentionate in Acord. S.C. Enlivy S.R.L. isi asuma angajamentele suplimentare mentionate in acest DPA referitoare la Datele cu Caracter Personal.

Nu vom utiliza, dezvălui sau prelucra Datele cu Caracter Personal decât în măsura permisă de Acord sau de alte instrucțiuni scrise ale dumneavoastră, sau strict necesare pentru scopurile noastre administrative interne legate de furnizarea Serviciilor noastre. Vom pune la dispoziția dumneavoastră o listă a oricăror subprocesori pe care îi utilizăm în conformitate cu Legile Aplicabile. Vom solicita fiecărui subprocesor să fie de acord contractual cu termeni cel puțin la fel de protectivi pentru Datele cu Caracter Personal ale dumneavoastră ca și cei prevăzuți în această DPA și în Acord.

4. Utilizare si Dezvaluire

S.C. Enlivy S.R.L. nu va utiliza, dezvalui sau prelucra Datele cu Caracter Personal ale Cursantilor Clientului decat:

• in masura permisa de Acord sau de alte instructiuni scrise ale Clientului; sau
• strict necesar pentru scopurile administrative interne legate de furnizarea Serviciilor.

S.C. Enlivy S.R.L. va pune la dispozitia Clientului, la cerere, lista subprocesorilor utilizati in conformitate cu Legile Aplicabile. S.C. Enlivy S.R.L. va solicita fiecarui subprocesor sa fie de acord contractual cu termeni cel putin la fel de protectivi pentru Datele cu Caracter Personal ca cei prevazuti in acest DPA.

5. Conformitate cu Legile Aplicabile

Fiecare parte va respecta Legile Aplicabile in ceea ce priveste indeplinirea obligatiilor sale in temeiul Acordului. Clientul este responsabil sa se asigure ca:

• dispune de un temei legal valabil pentru colectarea si prelucrarea datelor Cursantilor sai;
• a informat Cursantii cu privire la prelucrarea datelor lor, inclusiv cu privire la utilizarea serviciilor Scoala Mea by Enlivy ca instrument tehnic;
• respecta toate drepturile Persoanelor Vizate prevazute de GDPR in relatia cu Cursantii sai.

6. Notificare cu privire la solicitarile Persoanelor Vizate

S.C. Enlivy S.R.L. va notifica prompt Clientul daca primeste o solicitare de la o Persoana Vizata (Cursant) privind accesul, rectificarea, stergerea, portabilitatea sau orice alta actiune cu privire la Datele cu Caracter Personal, cu exceptia cazului in care notificarea este interzisa de Legile Aplicabile.

Cu exceptia cazului in care este ceruta de Legile Aplicabile, S.C. Enlivy S.R.L. nu va intreprinde nicio actiune independenta in raspuns la o solicitare a unei Persoane Vizate fara instructiunea scrisa prealabila a Clientului. S.C. Enlivy S.R.L. va coopera cu cererile rezonabile ale Clientului pentru acces la Datele cu Caracter Personal si alte informatii necesare pentru a raspunde la o solicitare sau plangere din partea unei Persoane Vizate.

7. Evenimente de Securitate

In cazul in care este descoperit sau suspectat un Eveniment de Securitate, S.C. Enlivy S.R.L. va furniza o notificare fara intarziere nejustificata — si in orice caz in termen de maximum 72 de ore de la momentul constatarii, conform art. 33 GDPR — contactelor tehnice si de cont ale Clientului, prin mijloacele stabilite pentru comunicarile obisnuite legate de cont.

Notificarea va include, in masura disponibila la momentul transmiterii:

• data si ora constatarii Evenimentului de Securitate;
• faptele care stau la baza descoperirii sau suspiciunii;
• o descriere a Datelor cu Caracter Personal implicate (specific sau prin referire la seturile de date afectate);
• masurile planificate sau in curs de implementare pentru remediere si atenuarea riscurilor.

S.C. Enlivy S.R.L. va lua toate masurile disponibile pentru a aborda vulnerabilitatea care a generat Evenimentul de Securitate, va coopera cu investigatiile rezonabile ale Clientului si va pastra toate informatiile relevante care ar putea constitui dovada intr-o actiune legala.

Cu exceptia cazului cerut de lege, S.C. Enlivy S.R.L. nu va dezvalui catre nicio terta parte existenta unui Eveniment de Securitate sau a unei investigatii asociate, fara consimtamantul prealabil scris al Clientului.

8. Reprezentarile Clientului privind Datele cu Caracter Personal

In ceea ce priveste Datele cu Caracter Personal ale Cursantilor pe care Clientul le introduce sau le face accesibile prin intermediul Serviciilor, Clientul declara si garanteaza urmatoarele:

• Datele cu Caracter Personal au fost colectate in conformitate cu Legile Aplicabile;
• transferul acestora catre S.C. Enlivy S.R.L. in scopul furnizarii Serviciilor este autorizat conform Legilor Aplicabile;
• Clientul va respecta Legile Aplicabile cu privire la cererile Persoanelor Vizate in legatura cu Datele cu Caracter Personal;
• Clientul va furniza S.C. Enlivy S.R.L. doar Datele cu Caracter Personal strict necesare pentru furnizarea Serviciilor; si
• Clientul nu va solicita S.C. Enlivy S.R.L. sa intreprinda nicio actiune cu privire la Datele cu Caracter Personal pe care Clientul insusi nu este autorizat sa o efectueze direct.

9. Subprocesori

Clientul autorizeaza in mod general S.C. Enlivy S.R.L. sa utilizeze subprocesori pentru furnizarea Serviciilor. S.C. Enlivy S.R.L. va informa Clientul cu privire la orice modificare intentionata privind adaugarea sau inlocuirea subprocesorilor, oferind Clientului posibilitatea de a formula obiectii in termen rezonabil.

Subprocesorii utilizati in cadrul serviciilor Scoala Mea by Enlivy pot include furnizori de infrastructura cloud si hosting, furnizori de servicii de email si furnizori de analiza a utilizarii. Lista actualizata este disponibila la cerere.

10. Transferuri internationale de date

Datele cu Caracter Personal sunt stocate pe servere situate in Uniunea Europeana (Frankfurt, Germania). In cazul in care utilizarea unui subprocesor implica transferul de date in afara Spatiului Economic European, S.C. Enlivy S.R.L. se va asigura ca transferul se efectueaza cu garantii adecvate, in conformitate cu art. 44–49 GDPR, inclusiv prin Clauze Contractuale Standard aprobate de Comisia Europeana.

11. Masuri de securitate

S.C. Enlivy S.R.L. va implementa si mentine masuri tehnice si organizatorice adecvate pentru a proteja Datele cu Caracter Personal impotriva distrugerii accidentale sau ilegale, pierderii, alterarii, dezvaluirii neautorizate sau accesului neautorizat, inclusiv:

• criptarea datelor in tranzit (HTTPS/TLS);
• controlul accesului intern bazat pe roluri;
• gestionarea infrastructurii de hosting exclusiv in-house, in cadrul UE;
• proceduri documentate de raspuns la incidente de securitate.

12. Audit si Inregistrari

S.C. Enlivy S.R.L. va respecta orice solicitare de audit in masura in care este ceruta de lege sau prin proces legal. S.C. Enlivy S.R.L. va pastra inregistrari rezonabile pentru a dovedi respectarea obligatiilor asumate prin acest DPA si va pastra aceste inregistrari timp de cel putin doi (2) ani de la data evenimentelor reflectate in ele.

La incetarea Acordului, S.C. Enlivy S.R.L. va sterge sau returna Clientului, la alegerea acestuia, toate Datele cu Caracter Personal prelucrate in cadrul Serviciilor, cu exceptia cazului in care legislatia aplicabila impune pastrarea acestora.

13. Contact

Pentru orice intrebare sau solicitare legata de acest Acord de Prelucrare a Datelor, puteti contacta S.C. Enlivy S.R.L. prin:

• Formular de contact: scoalamea.eu/contact