Acord de prelucrare a datelor #
Data intrării în vigoare: 22 aprilie 2026
Acest Acord de prelucrare a datelor („DPA”) face parte din acordul dintre client („Operatorul”) și EthicsPortal („Persoana împuternicită”) pentru furnizarea platformei EthicsPortal de raportare a avertizărilor de integritate („Serviciul”).
Aveți nevoie de o copie semnată? Scrieți la support@ethicsportal.eu pentru a solicita o versiune PDF contrasemnată a acestui DPA pentru arhiva dvs.
1. Părțile #
Operatorul: organizația care se abonează la EthicsPortal și stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal prin intermediul Serviciului.
Persoana împuternicită: EthicsPortal, operat de Yaroslav Shmarov, întreprinzător individual înregistrat în Polonia, ul. Obrzeżna 1A, 02-691 Varșovia, Polonia. Contact: support@ethicsportal.eu.
2. Domeniul și scopul prelucrării #
Persoana împuternicită prelucrează date cu caracter personal în numele Operatorului exclusiv pentru furnizarea Serviciului, ceea ce include:
- primirea și stocarea raportărilor;
- facilitarea comunicării securizate între persoanele care raportează și responsabilii de caz;
- gestionarea fluxurilor de lucru ale cazurilor (atribuire, urmărirea statutului, soluționare);
- generarea jurnalelor de audit și a evidențelor de conformitate;
- trimiterea notificărilor tranzacționale prin e-mail către responsabilii de caz și administratorii organizației;
- procesarea plăților pentru Serviciu.
Persoana împuternicită nu prelucrează date cu caracter personal pentru niciun alt scop decât furnizarea Serviciului conform instrucțiunilor Operatorului.
3. Tipuri de date cu caracter personal prelucrate #
| Categoria de date | Exemple | Criptate în repaus |
|---|---|---|
| Identitatea persoanei care raportează (opțional) | Nume, adresă de e-mail, număr de telefon | Da (nedeterminist) |
| Conținutul raportării | Descrierea situației raportate | Da (nedeterminist) |
| Conținutul comunicării | Mesaje între persoana care raportează și responsabilul de caz | Da (nedeterminist) |
| Fișiere atașate | Documente, imagini, audio, video încărcate de persoanele care raportează | Stocate după eliminarea metadatelor |
| Coduri de acces | Coduri unice folosite de persoanele care raportează pentru a-și accesa raportările | Da |
| Date ale responsabililor de caz și administratorilor | Nume, adresă de e-mail, rol, apartenență la organizație | Nu (date operaționale) |
| Înregistrări în jurnalul de audit | Marcaje temporale, identitatea actorului, tipul acțiunii | Nu (evidențe critice pentru integritate) |
| Date tehnice | Adrese IP transformate prin hash unidirecțional (nereversibil), folosite exclusiv pentru limitarea abuzului | Nu se aplică (hash, nu adresă IP stocată în clar) |
4. Categorii de persoane vizate #
- Avertizori / persoane care raportează — persoane care trimit raportări prin portal (pot rămâne anonime)
- Responsabili de caz — persoane desemnate de Operator pentru a primi și gestiona raportările
- Administratori ai organizației — persoane care gestionează contul și setările organizației în EthicsPortal
5. Durata prelucrării #
Persoana împuternicită prelucrează date cu caracter personal pe durata abonamentului Operatorului la Serviciu. La încetare:
- Operatorul își poate exporta datele înainte de expirarea abonamentului.
- Datele din raportări sunt păstrate conform perioadei de retenție configurate de Operator (12, 24, 36 sau 60 de luni de la închiderea raportării) și apoi sunt șterse definitiv.
- La solicitare scrisă, Persoana împuternicită va șterge toate datele rămase ale Operatorului în termen de 30 de zile de la încetarea abonamentului, cu excepția cazului în care păstrarea este impusă de legea aplicabilă.
6. Obligațiile Persoanei împuternicite #
6.1 Instrucțiuni de prelucrare #
Persoana împuternicită prelucrează date cu caracter personal numai pe baza instrucțiunilor documentate ale Operatorului, cu excepția cazului în care dreptul UE sau al unui stat membru impune altfel. Dacă apare o astfel de obligație legală, Persoana împuternicită va informa Operatorul înainte de prelucrare, cu excepția cazului în care legea interzice o astfel de notificare.
6.2 Confidențialitate #
Toate persoanele autorizate să prelucreze date cu caracter personal și-au asumat obligații de confidențialitate sau sunt supuse unei obligații legale adecvate de confidențialitate.
6.3 Măsuri de securitate #
Persoana împuternicită implementează și menține măsurile tehnice și organizatorice descrise pe pagina Securitate, inclusiv:
- criptare nedeterministă în repaus pentru toate datele sensibile din raportări;
- lipsa stocării adreselor IP brute ale persoanelor care raportează în baza de date (doar hash unidirecțional pentru limitarea abuzului);
- eliminarea automată a metadatelor fișierelor (EXIF, GPS, date despre autor);
- control al accesului bazat pe roluri, prin politici de autorizare Pundit;
- jurnal de audit doar cu adăugare pentru toate acțiunile;
- limitarea traficului pe toate endpoint-urile publice ale portalului;
- HTTPS/TLS pentru toate conexiunile;
- protecție CSRF.
6.4 Subprocesatori #
Persoana împuternicită utilizează subprocesatorii enumerați în secțiunea 8. Persoana împuternicită va notifica Operatorul cu cel puțin 30 de zile înainte de adăugarea sau înlocuirea unui subprocesator. Operatorul se poate opune modificării; dacă nu se ajunge la o soluție, Operatorul poate înceta acordul.
6.5 Drepturile persoanelor vizate #
Persoana împuternicită asistă Operatorul în răspunsul la solicitările persoanelor vizate care își exercită drepturile în temeiul GDPR (acces, rectificare, ștergere, restricționare, portabilitate, opoziție), prin furnizarea capabilităților tehnice necesare în cadrul Serviciului.
6.6 Notificarea încălcărilor securității datelor #
În cazul unei încălcări a securității datelor cu caracter personal, Persoana împuternicită va notifica Operatorul fără întârzieri nejustificate și, în orice caz, în termen de 72 de ore de la momentul la care a luat cunoștință de incident. Notificarea va include:
- o descriere a naturii incidentului;
- categoriile și numărul aproximativ al persoanelor vizate afectate;
- consecințele probabile ale incidentului;
- măsurile luate sau propuse pentru remediere.
6.7 Evaluări de impact asupra protecției datelor #
Persoana împuternicită asistă Operatorul în realizarea evaluărilor de impact asupra protecției datelor și în consultările prealabile cu autoritățile de supraveghere, în măsura în care activitățile Persoanei împuternicite impun o astfel de asistență.
6.8 Ștergerea și returnarea datelor #
La încetarea Serviciului, Persoana împuternicită va, la alegerea Operatorului:
- returna toate datele cu caracter personal către Operator în formatele de export puse la dispoziție de Serviciu la data încetării, inclusiv exporturile PDF ale cazurilor și fișierele asociate, sau
- șterge toate datele cu caracter personal și confirma ștergerea în scris,
cu excepția cazului în care dreptul UE sau al unui stat membru impune păstrarea în continuare.
Dacă Operatorul solicită în mod rezonabil un format suplimentar de portabilitate pentru migrare sau revizuire de reglementare, Persoana împuternicită va analiza solicitarea cu bună-credință și, acolo unde este fezabil din punct de vedere tehnic, îl va furniza în baza unei solicitări scrise separate.
6.9 Drepturi de audit #
Persoana împuternicită pune la dispoziția Operatorului toate informațiile necesare pentru a demonstra conformitatea cu obligațiile din articolul 28 GDPR. Operatorul poate efectua audituri, inclusiv inspecții, direct sau printr-un auditor mandatat, sub rezerva unei notificări prealabile rezonabile (cel puțin 30 de zile) și în timpul programului normal de lucru. Persoana împuternicită va coopera cu astfel de audituri.
7. Obligațiile Operatorului #
Operatorul este responsabil pentru:
- asigurarea unui temei legal pentru prelucrarea datelor cu caracter personal prin intermediul Serviciului;
- furnizarea informărilor de confidențialitate necesare persoanelor vizate (EthicsPortal afișează o informare de confidențialitate în formularul public de raportare);
- configurarea perioadelor de retenție adecvate în cadrul Serviciului;
- desemnarea responsabililor de caz și a administratorilor autorizați;
- răspunsul la solicitările persoanelor vizate, cu asistența Persoanei împuternicite, așa cum este descris mai sus.
8. Subprocesatori #
Următorii subprocesatori sunt autorizați la data intrării în vigoare a acestui DPA:
| Subprocesator | Scop | Locație | Garanții |
|---|---|---|---|
| Hetzner Online GmbH | Găzduirea aplicației, baza de date și stocarea fișierelor atașate | Nürnberg, Germania (UE) | Datele principale sunt prelucrate integral în UE |
| Stripe Payments Europe, Ltd | Procesarea plăților | Irlanda (UE) | Persoana împuternicită nu stochează credențiale de plată; Stripe este certificat PCI DSS Level 1 |
| Mailjet (Sinch) | Livrarea e-mailurilor tranzacționale | Franța (UE) | Datele sunt prelucrate integral în UE |
| Cloudflare, Inc. | CDN și livrare edge pentru site-ul de marketing | Statele Unite | Transferurile, atunci când implică date cu caracter personal, se bazează pe Clauze Contractuale Standard și pe garanții suplimentare |
| Honeybadger Industries, LLC | Monitorizarea erorilor pentru interfețele de administrare și de gestionare a cazurilor | Statele Unite | Adresele IP ale persoanelor care raportează nu sunt niciodată jurnalizate; transferurile se bazează pe Clauze Contractuale Standard și pe garanții suplimentare |
| Crisp IM SARL | Chat pentru clienți și suport pentru verificarea identității organizațiilor | Franța (UE) | Nu este încărcat pe paginile destinate persoanelor care raportează; niciun script, cookie sau identificator Crisp nu ajunge în portalul public de raportare |
Analitica de marketing (Cloudflare Web Analytics) este fără cookie-uri și nu prelucrează date cu caracter personal.
9. Transferuri internaționale de date #
Datele principale ale raportărilor, inclusiv conținutul raportărilor și stocarea fișierelor atașate, sunt găzduite în Uniunea Europeană (Hetzner, Germania). Procesarea plăților are loc în UE (Stripe), iar e-mailurile tranzacționale sunt livrate din UE (Mailjet, Franța).
Date personale limitate, legate de site-ul de marketing și de operațiunile administrative / ale responsabililor de caz, pot fi prelucrate în afara UE/SEE prin Cloudflare și Honeybadger. Acolo unde astfel de transferuri au loc, ele se bazează pe Clauze Contractuale Standard și pe garanții suplimentare. Crisp are sediul în Franța și nu este încărcat pe paginile destinate persoanelor care raportează.
10. Răspundere #
Răspunderea fiecărei părți în temeiul acestui DPA este supusă limitărilor de răspundere prevăzute în acordul principal de servicii dintre părți. În măsura maximă permisă de lege, pretențiile care decurg din sau sunt legate de acest DPA fac parte din același plafon agregat de răspundere care se aplică Serviciului.
11. Durată și încetare #
Acest DPA produce efecte de la momentul în care Operatorul începe să utilizeze Serviciul și rămâne în vigoare atât timp cât Persoana împuternicită prelucrează date cu caracter personal în numele Operatorului. Obligațiile din acest DPA supraviețuiesc încetării în măsura necesară pentru finalizarea ștergerii sau returnării datelor cu caracter personal.
12. Legea aplicabilă #
Acest DPA este guvernat de legile Republicii Polone, fără a ține seama de normele conflictuale. Instanțele competente din Varșovia, Polonia, au jurisdicție exclusivă asupra litigiilor care decurg din acest DPA.
Contact #
Pentru întrebări despre acest DPA sau pentru a solicita o copie semnată:
EthicsPortal
Yaroslav Shmarov
ul. Obrzeżna 1A, 02-691 Varșovia, Polonia
support@ethicsportal.eu
Ultima actualizare: