JustPortal

Conectează-te
DPA

Acord de prelucrare a datelor

Documentul-cadru pentru cabinete, societăți profesionale, companii și organizații care folosesc JustPortal pentru date operaționale proprii.

Rezumat

  • Clientul business rămâne, de regulă, operator pentru datele încărcate în contul propriu.
  • JustPortal acționează ca furnizor tehnic și, după caz, ca împuternicit, în limitele instrucțiunilor documentate.
  • Subprocesatorii relevanți și regulile de securitate sunt publicate separat și actualizate periodic.

1. Domeniu, părți și ordinea documentelor

Acest acord de prelucrare a datelor se aplică în relația dintre STERIE DANIEL PERSOANĂ FIZICĂ AUTORIZATĂ, operatorul platformei JustPortal.ro, denumit în continuare „JustPortal”, și clientul business care utilizează serviciul pentru activitatea proprie sau a organizației sale, denumit în continuare „Clientul”.

Prezentul document completează Termenii și condițiile, Politica de confidențialitate, lista publică de subprocesatori și acceptarea electronică a pachetului contractual din platformă. Pentru conturile business standard create și activate în aplicație, acest acord face parte din cadrul juridic aplicabil serviciului și produce efecte împreună cu documentele legale acceptate sau publicate în platformă. Dacă pentru un anumit client există ulterior un contract negociat separat care reglementează explicit prelucrarea datelor, acel document prevalează numai în măsura în care o prevede expres.

Pentru datele pe care Clientul le introduce, importă, organizează, stochează sau partajează în platformă, inclusiv documente, notițe, agende și date de colaborare, Clientul acționează, de regulă, ca operator, iar JustPortal ca persoană împuternicită de operator, în măsura în care prelucrează aceste date exclusiv pentru furnizarea serviciului și în baza instrucțiunilor documentate ale Clientului.

2. Definiții, obiect, natură și durată

În sensul acestui acord, „datele Clientului” înseamnă datele personale prelucrate de JustPortal în numele Clientului prin utilizarea serviciului, iar „serviciul” înseamnă platforma SaaS JustPortal și funcționalitățile ei active la momentul utilizării.

Obiectul prelucrării îl reprezintă furnizarea serviciilor contractate: autentificare, stocare, organizare, afișare, căutare, descărcare controlată, scanare malware, suport tehnic, jurnalizare de securitate, administrare tehnică, export și ștergere la încetarea relației, după caz.

Natura prelucrării poate include colectare, înregistrare, structurare, stocare, consultare, utilizare, comparare, transfer către subprocesatori autorizați, restricționare, ștergere și alte operațiuni strict necesare furnizării serviciului.

Prelucrarea durează pe perioada utilizării serviciului de către Client și, după încetarea relației, pentru intervalele necesare ștergerii sau returnării datelor prin fluxurile disponibile, respectării obligațiilor legale și apărării unor drepturi legitime documentate.

3. Categorii de date și persoane vizate

Datele prelucrate pot include, în funcție de utilizarea efectivă a serviciului, informații despre dosare, termene, părți, persoane reprezentate, persoane de contact, date de colaborare, evenimente de calendar, documente încărcate de utilizator, metadate asociate documentelor, date de billing și alte informații operaționale introduse de Client în cont.

Persoanele vizate pot include utilizatorii Clientului, clienți finali ai Clientului, colaboratori, reprezentanți, părți din litigii, persoane menționate în documente, contacte profesionale și alte persoane ale căror date sunt introduse de Client în platformă în contextul activității proprii.

Clientul rămâne responsabil pentru determinarea categoriilor efective de date încărcate, pentru minimizarea lor și pentru verificarea faptului că utilizarea serviciului este compatibilă cu obligațiile sale profesionale, contractuale și legale.

4. Instrucțiuni documentate ale Clientului

JustPortal prelucrează datele Clientului exclusiv pe baza instrucțiunilor documentate care rezultă din configurarea contului, utilizarea funcționalităților, setarea rolurilor, încărcarea datelor, gestionarea accesului, cererile de suport și din documentele legale aplicabile serviciului.

Clientul confirmă că are autoritatea de a instrui JustPortal și că a stabilit, în raport cu persoanele vizate, temeiul juridic, scopul, durata și necesitatea prelucrării datelor încărcate în platformă.

JustPortal nu va utiliza datele Clientului în scopuri comerciale independente și nu va decide în mod autonom scopul profesional al prelucrării. Dacă JustPortal consideră că o instrucțiune încalcă GDPR sau alte norme aplicabile, va semnala situația Clientului înainte de executare, în măsura în care acest lucru este posibil și permis.

5. Confidențialitatea persoanelor autorizate

JustPortal se asigură că persoanele autorizate să prelucreze datele Clientului sunt ținute de obligații de confidențialitate legale, contractuale sau profesionale adecvate rolului lor și că accesul lor este limitat la măsura necesară pentru furnizarea, securizarea, mentenanța și suportul serviciului.

Accesul intern la documente și la alte date operaționale ale Clientului este permis numai în situații justificate, precum suport solicitat de Client, mentenanță, securitate, investigarea incidentelor, prevenirea abuzului, recuperarea operațională sau respectarea obligațiilor legale.

6. Măsuri tehnice și organizatorice

JustPortal aplică măsuri tehnice și organizatorice rezonabile și proporționale cu riscurile serviciului, inclusiv controale de acces, separare logică a datelor, jurnalizare tehnică, scanare malware pentru documentele încărcate, protecții aplicative și măsuri pentru storage-ul operațional.

Măsurile concrete sunt detaliate în anexa de mai jos și pot fi ajustate în timp pentru a reflecta evoluția infrastructurii, a riscurilor și a bunelor practici de securitate, fără a reduce în mod nejustificat nivelul de protecție al serviciului.

7. Subprocesatori și actualizarea listei publice

Clientul autorizează JustPortal să utilizeze subprocesatori pentru furnizarea și securizarea serviciului, în măsura în care aceștia sunt necesari pentru hosting, storage documente, email, notificări, facturare, infrastructură și alte funcții tehnice compatibile cu serviciul.

JustPortal rămâne responsabil pentru selectarea subprocesatorilor relevanți și va impune, prin contract sau alte instrumente adecvate, obligații de protecție a datelor corespunzătoare naturii serviciului furnizat de aceștia.

Lista publică a subprocesatorilor relevanți este disponibilă la pagina de subprocesatori și poate fi actualizată periodic pentru a reflecta schimbările operaționale sau tehnice. Versiunea publicată pe site reprezintă informarea curentă privind categoriile sau furnizorii relevanți.

8. Transferuri internaționale

În măsura în care utilizarea unor subprocesatori sau a unor servicii tehnice implică transferuri de date în afara Spațiului Economic European, JustPortal va utiliza mecanisme legale adecvate de protecție, precum clauze contractuale standard, evaluări suplimentare sau alte garanții recunoscute de lege.

Clientul înțelege că anumite servicii conexe, precum push notifications, analytics sau servicii globale de infrastructură, pot implica fluxuri tehnice internaționale, chiar dacă datele operaționale principale sunt găzduite într-o anumită regiune.

9. Asistență pentru drepturile persoanelor vizate

JustPortal oferă asistență rezonabilă Clientului pentru solicitările privind accesul, rectificarea, ștergerea, exportul, restricționarea sau opoziția, în măsura în care acestea pot fi gestionate prin funcționalitățile disponibile ori prin suport tehnic rezonabil.

În măsura în care JustPortal primește direct o solicitare a unei persoane vizate care privește date prelucrate în numele Clientului, JustPortal poate redirecționa solicitarea către Client, cu excepția cazului în care legea impune altfel.

10. Incidente, DPIA și consultare prealabilă

În cazul unui incident de securitate care afectează date aflate sub acest acord, JustPortal notifică fără întârzieri nejustificate Clientul relevant și transmite informațiile rezonabil disponibile necesare evaluării obligațiilor sale legale, inclusiv cele privind notificarea autorității competente sau a persoanelor vizate.

JustPortal va oferi, la cerere și într-o măsură rezonabilă, informații utile Clientului pentru evaluări de impact privind protecția datelor, consultări prealabile sau analize de risc legate de utilizarea standard a serviciului, în limitele informațiilor și resurselor disponibile.

11. Audit și demonstrarea conformității

JustPortal va pune la dispoziția Clientului informațiile rezonabil necesare pentru a demonstra respectarea obligațiilor relevante din acest acord, prin documentația publică, politici, răspunsuri de suport sau alte materiale adecvate contextului standard SaaS.

Orice solicitare suplimentară de audit, chestionar sau verificare aprofundată se analizează de la caz la caz, într-un mod rezonabil, proporțional și compatibil cu securitatea serviciului, confidențialitatea altor clienți și resursele operaționale disponibile.

12. Returnare, ștergere și retenție la încetare

La încetarea relației, datele operaționale ale Clientului sunt șterse sau returnate conform fluxurilor disponibile în serviciu și politicii de retenție aplicabile, cu excepția datelor care trebuie păstrate prin lege sau a datelor necesare apărării unui drept legitim documentat.

Documentele și obiectele eliminate de Client din platformă sunt șterse din aplicație și din storage-ul operațional conform fluxurilor tehnice disponibile și capabilităților infrastructurii active.

13. Răspundere și corelarea cu termenii serviciului

Prezentul acord trebuie interpretat împreună cu Termenii și condițiile și cu Politica de confidențialitate aplicabile serviciului. În măsura permisă de lege, regulile privind limitarea răspunderii și remediile prevăzute în Termenii și condițiile JustPortal se aplică și acestui acord, fără a exclude obligațiile sau răspunderile care nu pot fi limitate ori înlăturate potrivit legii aplicabile în materia protecției datelor.

Clientul rămâne responsabil pentru legalitatea datelor încărcate, corectitudinea instrucțiunilor transmise, configurarea rolurilor și utilizarea serviciului într-un mod compatibil cu obligațiile sale profesionale și legale.

JustPortal rămâne responsabil pentru obligațiile care îi revin în mod direct în calitate de furnizor tehnic și, după caz, de persoană împuternicită, inclusiv pentru măsurile de securitate aflate sub controlul său, pentru gestionarea subprocesatorilor și pentru respectarea instrucțiunilor documentate în limitele serviciului.

Anexa 1. Măsuri tehnice și organizatorice

  • Control acces la conturi, zone administrative și resurse tehnice relevante.
  • Separare logică a documentelor și a metadatelor la nivel de utilizator și de flux operațional.
  • Utilizarea HTTPS pentru comunicațiile cu platforma.
  • Parole stocate sub formă de hash și controale standard de autentificare.
  • Jurnalizare tehnică și audit pentru acțiuni relevante de securitate și pentru operațiuni-cheie asupra documentelor.
  • Scanare malware pentru documentele încărcate, în funcție de configurația activă a serviciului.
  • Storage documente cu opțiuni de criptare server-side configurabile la nivel de infrastructură.
  • Storage operațional configurat pentru protejarea fișierelor și pentru ștergerea obiectelor în limitele capabilităților tehnice active.
  • Limitarea accesului intern la personal sau colaboratori autorizați, numai pentru suport, mentenanță, securitate sau obligații legale.