Prezenta anexă la Termenii și Condițiile de utilizare a serviciilor Retargeting.biz prevede regulile specifice în ceea ce privește prelucrarea datelor cu caracter personal trimise de către Beneficiar, în calitate de Operator, către Retargeting.biz, în calitate de Împuternicit.

În temeiul prevederilor:

- Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (denumit în continuare ”RGPD”);

- Legii 287/2009 (Noul Cod Civil);

Părțile convin următoarele:

 

1. Termenii din prezentul contract, vor fi interpretați în conformitate cu art. 4 din RGPD.

 

2. Obiectul prelucrării și instrucțiuni specifice:

 

2.1. Obiectul prelucrării

Prelucrarea datelor cu caracter personal se realizează în scopul furnizării serviciilor conform Termenilor și Conditiilor disponibile pe site-ul Retargeting.biz. și scopuri statistice.

Transferul datelor în state terțe va fi efectuat numai în baza unei intrucțiuni scrise, în limitele și cu respectarea instrucțiunii primite de la Operator, conform art. 9.

2.2. Instrucțiuni specifice

Prin prezentul contract Beneficiarul autorizează Împuternicitul să:

• colecteze, prelucreze și să găzduiască datele cu caracter personal specificate în articolul 5 primite de la Operator în mod direct prin integrarea codurilor puse la dispoziție de către Împuternicit în site-ul Operatorului, și să folosească aceste date în scopul profilării utilizatorilor proprii ai site-ului Operatorului.

• comunice în numele Operatorului cu vizitatorii sau clienții Operatorului, pe baza acțiunilor și/sau a profilării , după caz, prin:

a) trimitere automata email-uri in baza profilarii
b) afisare automata pop-up-uri in site-ul Operatorului, pe baza profilarii
c) afisare notificare push in browser, pe baza profilarii (automat sau manual)
d) trimitere automata SMS pe baza profilarii
e) afisare de produse in sectiune dinamica din site
f) oferirea de reclame personalizate în:
g) Facebook &Instagram prin programatic remarketing
h) Facebook &Instagram prin lookalike
i) Google programatic prin remarketing

 

3. Durata prelucrării:

 

Prelucrarea datelor personale se va face conform instrucțiunilor Operatorului, dar perioada nu poate depăşi durata Termenelor și Condițiilor.

 

4. Natura și scopul prelucrării:

 

În conformitate cu Termenii și Condițiile dintre cele două părti, cat și cu obiectul prelucrării prevăzut în art. 2, prelucrarea datelor personale se face în scopurile serviciilor de comunicare și marketing dorite de către Operator, cum ar fi:

• trimitere automata email-uri
• afisare automata pop-up-uri in site-ul Operatorului
• afisare notificare push in browser
• trimitere automata SMS
• afisare de produse in sectiune dinamica din site
• oferirea de reclame personalizate prin Facebook, Google sau Instagram

Chiar dacă majoritatea comunicărilor făcute de împuternicit sunt bazate pe informațiile din profilarea utilizatorilor Operatorului, acestea nu au efecte juridice și nici nu o afectează într-o măsura semnificativă. În orice caz, Operatorul poate introduce și acțiuni noi și numai el este cel care trebuie să se asigure că mesajele trimise nu pot fi interpretate ca având efectele impuse de art. 22 din RGPD.

 

5. Tipuri de date cu caracter personal prelucrate în temeiul acestui contract:

 

5.1. Date personale generale

Datele personale puse la dispoziție de către Operatorul prelucrate în temeiul acestui contract sunt, după caz, în funcție de nivelul de integrare cu serviciul de Retargeting.biz ales:

• e-mail
• numar de telefon
• nume
• prenume
• sex
• data nasterii
• oraș
• județ
• adresa IP (inclusiv posibila locație)
• browser
• order ID
• acțiuni ale utilizatorului în site-ul Operatorului, inclusiv cele acordate de către Operator către utilizator cum ar fi: cod de discount, valoare discount, cost transport, valoare totala comanda, pret individual produse comandate, variatii de produs, produse, device, OS, IP location, timestamps legate de vizitarea paginii, vizitare pagina, vizitare categorie, vizitare brand, click pe poza, mouse over cart, mouse over price, scroll up, scroll down,add to cart, remove from cart, selectare variatie, add to wishlist, comentariu, like pe facebook, vizitat pagina helppage, id-urile produselor din cos, categorii de pret, tag promotie, actiune in email, actiune in notificare push, actiune in sms, actiune in pop-up-uri.

5.2. Date personale cu caracter special/aparținând unor categorii de persoane vizate vulnerabile (ex. minori)

Serviciul Retargeting.biz nu este destinat colectării de date cu caracter special sau apartinand unor categorii de persoane vizate vulnerabile și avertizăm Operatorii să nu îl folosească în acest sens.

Cu toate acestea, este posibil ca Operatorul, dacă are activități într-un anumit domeniu specific, să poată tehnic să folosească anumite părți din serviciile Împuternicitului fără ca acesta să știe acest lucru.

Reamintim că Operatorul are sarcina să analizeze și sa aleaga temeiului legal corespunzator pe care se intemeiaza atunci cand prelucrează date cu caracter personal, inclusiv pe cele trimise către Retargeting.Biz pentru a fi prelucrate de acesta, in calitate de împuternicit al Operatorului.

 

6. Categoriile de persoane vizate:

 

Categoriile de persoane vizate sunt vizitatori, utilizatori înregistrați ai site-ului Operatorului și/sau clienți ai Operatorului după caz în funcție de serviciul ales.

 

7. Principiul obligativității încheierii contractului; forța obligatorie a contractului

 

Potrivit art. 28 alin. (3) din Regulamentul (UE) 2016/679 contractul este obligatoriu pentru părţile contractante.

 

8. Confidențialitatea datelor cu caracter personal

 

8.1. Împuternicitul se obligă ca, pe toată durata contractului și după încetarea acestuia, pe o perioadă de 5 ani să nu transmită date cu caracter personal și/sau informații confidențiale, ce pot fi date cu caracter personal, despre care a luat cunoștință în timpul executării contractului.

8.2. Împuternicitul se obligă ca, pe toată durata contractului, să asigure instruirea personalului autorizat să prelucreze datele cu caracter personal, cu privire la confidențialitatea acestor date.

8.3. Împuternicitul se obligă ca, pe toată durata contractului, să implementeze și să monitorizeze modul de aplicare a mecanismelor și procedurilor aferente asigurării, pe plan intern, a confidențialității datelor cu caracter personal, aparținând Operatorului.

Împuternicitul se obligă:

a. să nu copieze, să nu reproducă, să nu distribuie și să nu divulge, total sau parţial, niciunei persoane fizice sau juridice, niciuna din datele cu caracter personal prelucrate și/sau aspecte legate de acestea, cu excepțiile mentionate în acest contract la art. 9, prevazute de un act normativ imperativ sau cu acordul expres scris, inclusiv în format electronic, al Operatorului;

b. sa nu reutilizeze datele personale și nici informațiile și/sau documentele care conțin date personale și despre care a luat cunoștință în executarea contractului, în niciun fel și pentru niciun alt scop neprevăzut în prezentul contract, nici în interes propriu, nici în interesul unei alte terțe părți, nici cu titlu gratuit, nici cu titlu oneros.

8.4. Pe cale de excepție, Împuternicitul are dreptul să dezvăluie/să divulge anumite date cu caracter personal, inclusiv informații confidențiale, după caz, la solicitarea unei autorității, instituții publice sau instanțe judecătorești, ori a unui alt terț autorizat potrivit legislației, în virtutea unei obligații legale sau a unei alte condiții prevăzute de legislație.

 

9. Subcontractarea ( Împuterniciți secundari)

 

9.1. În cazul în care prelucrarea se efectuează de către Împuternicit, prin alte persoane împuternicite recrutate de acesta (denumite în continuare „împuterniciţi secundari”), această operațiune se va desfășura în baza acestui articol.

9.2. În baza acestui articol Operatorul înțelege sa autorizeze Împuternicitul să prelucreze datele sale prin următorii împuterniciţi secundari:

- Hetzner (Germania) – pentru servicii de găzduire
- Newsman.ro – pentru serviciile de trimitere email-urile
- ANY MEDIA DEVELOPMENT SRL (România) pentru servciii trimitere SMS
- OneSignal, SUA – pentru servicii de tip push notification, OneSignal este certificat în programul SUA-UE PrivacyShield .
- alti colaboratori pe care, din motive de confidentialitate nu ii putem mentiona, însa toți sunt din UE, EEA sau țară cu nivel adecvat de protecție recunoscut prin decizie a Comisiei Europene și au standarde de securitate cel puțin la nivelul celor oferite de către Împuternicit în conformitate cu art 28 (4) din RGPD.

9.3. Pentru împuterniciţi secundari viitori, Împuternicitul primește o autorizare generală de a subcontracta cu orice alt Împuternicit din U.E., EEA sau țară cu nivel adecvat de protecție recunoscut prin decizie a Comisiei Europene, în baza unui contract similar, cu informarea Operatorului și cu oferirea posibilității acestuia de a formula obiecții, în termen de 5 zile lucrătoare.

 

10. Securitatea datelor

 

Împuternicitul a stabilit aplicarea, pe plan intern de măsuri organizatorice și tehnice de securitate adecvate. Măsurile prevăzute la pct. 10 sunt centralizate în cadrul Politicii interne de securitate.

10.1. Încălcarea securității datelor și mecanismul de asistență tehnică

În funcție de obiectul serviciilor prestate, potrivit art. 4 din prezentul contract, Împuternicitul va sprijini Operatorul, în vederea notificării acestuia, în cel mai scurt timp posibil, fără întârzieri nejusitificate și dacă este posibil nu mai târziu de 2 zile lucrătoare de la data luării la cunoștință a unei încălcări a securității datelor, încălcare ivită în sisteme informatice ale Împuternicitului și/sau în cadrul prelucrării realizate de Împuternicit pentru Operator, astfel:

a. Împuternicitul va lua toate măsurile posibile, din punct de vedere tehnic, să identifice cauza și pentru a stopa în cel mai scurt timp posibil situația care a determinat o încălcare a securității datelor;

b. Împuternicitul va salva și/sau capta toate informațiile tehnice posibile, în vederea dovedirii situației de încălcare a securității datelor produsă, a condițiilor și cauzelor în care s-a produs și a efectelor produse atât asupra datelor personale, cât și din perspectiva persoanelor vizate ale căror date personale au fost afectate, în măsura posibilului, din punct de vedere tehnic;

c. Împuternicitul va lua toate măsurile tehnice posibile pentru a remedia o posibilă viitoare situație de încălcare a securității datelor identică și/sau similară, după caz și în măsura posibilului din punct de vedere tehnic;

d. Împuternicitul va centraliza informațiile toate informațiile prevăzute la 10.1. pct. a-c și le va pune de îndată la dispoziția Operatorului;

e. Împuternicitul nu se substituie Operatorului, căruia îi revine în mod unic obligația de a notifica autoritatea națională de supraveghere.

În măsura în care Operatorul are obligația de a notifica autoritatea națională de supraveghere și/sau persoanele vizate, Împuternicitul va sprijini Operatorul în vederea realizării acestor obligații, astfel:

e.1. va răspunde cu promptitudine oricărei solicitări primite din partea Operatorului și/sau a autorității naționale de supraveghere, în termenul impus de autoritate și/sau în termen de 2 zile lucrătoare, în relație cu Operatorul;

e.2. va pune la dispoziția Operatorului și/sau a autorității naționale de supraveghere toate informațiile necesare și/sau dispozitivele ce urmează a fi verificate, în cazul unui control, în termenul impus de autoritate și/sau în termen de 2 zile lucrătoare, în relație cu Operatorul;

e.3. va efectua, la cererea Operatorului, transmiterea notificării către personale vizate, prin email; orice altă formă de comunicare impusă de autoritate va fi realizată exclusiv de către Operator și pe cheltuiala Operatorului, cu excepția cazului în care se constată culpa Împuternicitului.

10.2. Cooperarea dintre Operator și Împuternicit

a. Împuternicitul acţionează în baza instrucţiunilor date de către Operator conform art 2., sub autoritatea sa, şi prelucrează datele cu caracter personal ale persoanelor vizate, aşa cum sunt ele obţinute de către Operator. În cazul în care Împuternicitul colectează date cu caracter personal în baza acestui contract, acesta o face doar în numele Operatorului.

b. În relaţia cu Operatorul, Împuternicitul nu stabileşte niciodată scopuri sau mijloace de prelucrare a datelor cu caracter personal, nici în situaţia în care acordă consultanţă Operatorului cu privire la diverse mijloace de prelucrare.

c. Stă în responsabilitatea exclusivă a Operatorului stabilirea temeiului legal și, după caz, obţinerea acordului persoanelor vizate pentru prelucrarea datelor cu caracter personal ce face obiectul prezentului contract sau folosirea unui alt temei legal, inclusiv în situaţia în care Împuternicitul colectează datele cu caracter personal în numele Operatorului.

d. În toate situaţiile în care Operatorul este cel care trebuie să execute o obligaţie, cum este, spre exemplu informarea persoanei vizate cu privire la încălcarea securităţii datelor cu caracter personal, Împuternicitul nu poate fi ţinut de inacţiunile Operatorului din sfera acelei obligaţii.

e. Operatorul şi Împuternicitul îşi delimitează responsabilităţile cu privire la asigurarea protecţiei datelor cu caracter personal (de exemplu asigurarea confidențialității sau a securităţii prelucrării), în funcție de accesul și controlul efectiv exercitat asupra datelor, atât din punct de vedere contractual, cât şi tehnic.

f. În cazul în care Împuternicitul încalcă RGPD, prin stabilirea scopurilor și mijloacelor prelucrare a datelor cu caracter personal și/sau prin nerespectarea acestora, Împuternicitul este considerat a fi un operator doar în ceea ce privește prelucrarea respectivă.

 

11. Responsabilul cu protecția datelor

 

Responsabilul cu protecția datelor al Retargeting.biz este:

Operatorul are posibilitatea de a nominaliza un responsabil cu protecția datelor în contul său de pe platforma Retargeting.biz.

 

12. Drepturi

 

12.1. Operatorul are următoarele drepturi:

a. să decidă dacă permite sau nu subcontractarea unor împuterniciți secundari de către Împuternicit, în condițiile art. 9;

b. să primeasca informații sau să verifice, direct sau prin auditor mandatat, modul în care Împuternicitul pune în aplicare măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute de RGPD și să se asigure protecția drepturilor persoanei vizate; verificarea va avea loc în baza unei notificări prealabile, formulate în scris, inclusiv prin email, transmisă cu 10 zile lucrătoare înainte de efectuarea verificării;

c. să primească asistență din partea Împuternicitului, pentru îndeplinirea obligației sale de a răspunde cererilor privind exercitarea de către persoana vizată a drepturilor sale specifice.

12.2. Împuternicitul are următoarele drepturi:

a. de a recruta împuterniciți secundari, ce exced autorizării generale și speciale prevăzute în art. 9.2 şi 9.3, numai în situația în care a primit aprobare din partea Operatorului;

b. acoperirea costurilor generate de asigurarea asistenţei Operatorului în situaţiile prevăzute la art. 10.1.e, 12.1.b şi 12.1.c.

c. de a folosi informații statistice ce contin doar date anonimizate, rezultate ca urmare a activităților prestate in baza acestui contract si/sau a întregii activități a Imputernicitului, în scopuri proprii de cercetare, analiza și promovare a serviciilor Imputernicitului.

 

13. Obligații

 

13.1. Împuternicitul are următoarele obligații:

a. de a acționa doar în baza instrucțiunilor legale, primite de la Operator și de a informa Operatorul, în termen de 5 zile, în cazul în care, în opinia Împuternicitului, o instrucțiune încalcă RGPD și/sau altă dispoziție legală privind prelucrarea datelor cu caracter personal;

b. de a prelucra datele personale exclusiv prin serviciile ce fac obiectul prezentului contract conform instrucțiunilor legale și cerințelor Operatorului, conform prezentului contract, a anexelor la acesta și în conformitate cu actele normative în vigoare în materie;

c. de a respecta confidențialitatea datelor cu caracter personal și a informațiilor ce pot fi date cu caracter personale și despre care a luat cunoștință, în cursul executării prezentului contract;

d. de a stabili, de comun acord cu Operatorul, termenele specifice de realizare a activităților de prelucrare ce decurg din contract și de a respecta termenele de realizare a activităților de prelucrare stabilite de Operator;

e. de a informa Operatorul despre stadiul și mersul activităților de prelucrare, prin orice mijloc de comunicare agreat între părți;

f. de a acorda asistență Operatorului conform art. 10.1. din prezentul contract;

h. de a transmite spre soluționare Operatorului orice cerere primită (ex. solicitare, sesizare, plângere etc.), în legătură cu datele personale care au fost colectate și prelucrate de Împuternicit, în baza contractului comercial dintre părți, în termen de maxim 5 zile calendaristice de la primirea acesteia;

i. de a șterge sau returna Operatorului toate datele cu caracter personal, după încetarea furnizării serviciilor legate de prelucrare și de a elimina copiile existente, în termen de 24 de luni.

j. de a pune la dispoziția Operatorului toate informațiile necesare pentru a demonstra respectarea obligațiilor impuse în sarcina sa, de RGPD;

k. de a permite desfășurarea auditurilor, inclusiv a inspecțiilor, efectuate de Operator sau alt auditor mandatat și să contribuie la acestea cu informaţiile necesare.

13.2. Operatorul are următoarele obligații:

a. de a respecta, în mod independent, RGPD având în vedere calitatea sa de Operator, în raport cu datele cu caracter personal prelucrate de Împuternicit, pe seama sa.

 

14. Răspundere

 

14.1. Împuternicitul este răspunzător pentru prejudiciul cauzat de prelucrare în cazul în care nu a respectat obligațiile din RGPD care îi revin în mod specific şi potrivit regulilor de colaborare prevăzute la art. 10.2 din prezentul contract.

14.2. Împuternicitul este răspunzător pentru prejudiciul cauzat de prelucrare dacă a acționat în afara sau în contradicție cu instrucțiunile legale ale Operatorului.

14.3. În cazul în care Împuternicitul a recrutat un împuternicit secundar și acesta nu își respectă obligațiile privind protecția datelor, Împuternicitul rămâne pe deplin răspunzător față de Operator în ceea ce privește îndeplinirea obligațiilor împuternicitului secundar.

14.4. Exonerarea de răspundere

Operatorul este de acord să exonereze Împuternicitul de orice răspundere pentru pagubele ce decurg din:

a) nerespectarea contractului din cauza unor evenimente ce exced oricărei răspunderi a Împuternicitului;

b) nerespectarea contractului din cauza unor acţiuni ale Operatorului;

c)respectarea instrucţiunilor Operatorului sau nerespectarea instrucţiunilor Operatorului justificată în prealabil printr-o notificare referitoare la nelegalitatea ei;

d) lipsa sau vicierea acordului persoanelor vizate.

 

15. Forța majoră/Cazul Fortuit

 

Nicio parte nu răspunde pentru prejudiciile cauzate de evenimente în legătură cu care aduce dovezi că nu este în niciun fel responsabilă, cum ar fi înscrisuri emise de către autorităţi care atestă intervenţia unui eveniment de forţă majoră.

 

16. Dispoziții finale

 

Prezentul contract este dependent de situaţia juridică a Termenilor și Condițiillor în măsura şi în limita obiectelor care presupun prelucrarea datelor cu caracter personal, aşa cum sunt menţionate la art. 2.1 şi se aplică cu prioritate faţă de Termenii și Condițiile, ce cuprind norme de drept comun.