Acord de Prelucrare a Datelor Personale (DPA)

1. Părțile și Contextul Acordului

Prezentul Acord de Prelucrare a Datelor Personale (denumit în continuare "DPA" sau "Acordul") este încheiat între:

• Operatorul de date: Utilizatorul Platformei AjutAvocat.ro (avocatul sau forma de exercitare a profesiei de avocat), în calitate de operator al datelor cu caracter personal ale clienților săi și ale altor persoane vizate ale căror date sunt introduse în Platformă (denumit în continuare "Operatorul");
• Persoana împuternicită: AjutAvocat.ro, care prelucrează datele cu caracter personal în numele Operatorului în scopul furnizării Serviciilor Platformei (denumit în continuare "Persoana Împuternicită").

Acest DPA completează și face parte integrantă din Termenii și Condițiile Platformei AjutAvocat.ro și este încheiat în conformitate cu cerințele Articolului 28 din Regulamentul (UE) 2016/679 (GDPR).

Prin utilizarea Platformei și introducerea datelor cu caracter personal ale persoanelor vizate, Operatorul acceptă prevederile prezentului DPA și mandatează Persoana Împuternicită să prelucreze datele în condițiile stabilite prin acest acord.

2. Obiectul și Durata Prelucrării

Persoana Împuternicită prelucrează datele cu caracter personal exclusiv în scopul furnizării Serviciilor Platformei AjutAvocat.ro, conform instrucțiunilor documentate ale Operatorului, incluzând: stocarea și gestionarea dosarelor juridice, generarea de documente asistată de inteligență artificială, urmărirea termenelor judecătorești, funcționalitățile de comunicare și orice alte servicii oferite prin Platformă.

Durata prelucrării coincide cu perioada în care Operatorul utilizează Platforma (durata relației contractuale), plus perioadele de retenție prevăzute în Politica de Confidențialitate și eventualele perioade impuse de legislația aplicabilă.

Natura prelucrării include: colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea, modificarea, extragerea, consultarea, utilizarea, transmiterea, alăturarea, restricționarea, ștergerea și distrugerea datelor cu caracter personal, în format electronic.

3. Categorii de Date cu Caracter Personal Prelucrate

În cadrul utilizării Platformei, Persoana Împuternicită poate prelucra următoarele categorii de date cu caracter personal, introduse de Operator:

• Date de identificare: nume, prenume, CNP (cod numeric personal), serie și număr de act de identitate;
• Date de contact: adresă de domiciliu/reședință, adresă de e-mail, număr de telefon;
• Date profesionale: calitatea procesuală, datele referitoare la reprezentarea juridică, datele privind dosarele și procedurile judiciare;
• Date financiare: informații privind onorarii, pretenții financiare, date de facturare ale clienților;
• Date cuprinse în documente juridice: contracte, cereri de chemare în judecată, întâmpinări, note și orice alte documente încărcate sau generate prin Platformă;
• Orice alte categorii de date cu caracter personal pe care Operatorul alege să le introducă în Platformă în legătură cu gestionarea dosarelor.

Categorii speciale de date: Platforma nu este concepută pentru prelucrarea sistematică a categoriilor speciale de date cu caracter personal (Art. 9 GDPR). Cu toate acestea, în funcție de natura dosarelor gestionate de Operator, datele introduse pot conține incidental astfel de informații. Operatorul este responsabil pentru asigurarea unui temei legal adecvat pentru prelucrarea oricăror categorii speciale de date.

4. Categorii de Persoane Vizate

Datele cu caracter personal prelucrate prin intermediul Platformei pot aparține următoarelor categorii de persoane vizate:

• Clienții Operatorului (persoane fizice care beneficiază de servicii juridice);
• Părțile adverse și reprezentanții acestora în cadrul dosarelor gestionate;
• Martorii, experții și alte persoane implicate în procedurile judiciare;
• Terții menționați în documentele juridice gestionate prin Platformă;
• Colaboratorii și angajații Operatorului;
• Orice alte persoane fizice ale căror date sunt introduse în Platformă de către Operator.

Operatorul este responsabil pentru asigurarea unui temei legal valid pentru prelucrarea datelor fiecărei categorii de persoane vizate și pentru informarea adecvată a acestora, conform Art. 13 și 14 GDPR.

5. Obligațiile Persoanei Împuternicite

Persoana Împuternicită se obligă să:

• Prelucreze datele cu caracter personal exclusiv pe baza instrucțiunilor documentate ale Operatorului, inclusiv în ceea ce privește transferurile de date către țări terțe, cu excepția cazului în care este obligată prin dreptul Uniunii sau al statului membru, informând Operatorul în prealabil;
• Se asigure că persoanele autorizate să prelucreze datele cu caracter personal și-au asumat obligația de confidențialitate sau au o obligație legală adecvată de confidențialitate;
• Ia toate măsurile necesare conform Art. 32 GDPR privind securitatea prelucrării;
• Respecte condițiile prevăzute la Art. 28 alin. (2) și (4) GDPR pentru recrutarea unui alt sub-procesator;
• Asiste Operatorul prin măsuri tehnice și organizatorice adecvate, în măsura posibilului, pentru îndeplinirea obligației de a răspunde cererilor persoanelor vizate;
• Asiste Operatorul în asigurarea respectării obligațiilor prevăzute la Art. 32-36 GDPR (securitate, notificarea încălcărilor, evaluarea impactului, consultarea prealabilă);
• La alegerea Operatorului, șteargă sau returneze toate datele cu caracter personal după încetarea prestării serviciilor și șteargă copiile existente, cu excepția cazului în care dreptul aplicabil impune stocarea datelor;
• Pună la dispoziția Operatorului toate informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute la Art. 28 GDPR.

6. Sub-procesatori Autorizați

Operatorul acordă Persoanei Împuternicite autorizarea generală scrisă de a angaja sub-procesatori pentru prelucrarea datelor cu caracter personal, sub rezerva respectării prevederilor prezentei secțiuni.

Lista actuală a sub-procesatorilor autorizați este următoarea:

Persoana Împuternicită va informa Operatorul cu privire la orice modificare preconizată a listei de sub-procesatori (adăugare sau înlocuire), cu cel puțin 15 zile calendaristice înainte de efectuarea modificării, oferind Operatorului posibilitatea de a formula obiecții. Informarea se va face prin publicarea listei actualizate pe Platformă și/sau prin notificare pe e-mail.

În cazul în care Operatorul formulează o obiecție justificată privind un sub-procesator, Persoana Împuternicită va depune eforturi rezonabile pentru a pune la dispoziția Operatorului o alternativă. Dacă o alternativă nu este posibilă, Operatorul poate rezilia acordul conform prevederilor Termenilor și Condițiilor.

Persoana Împuternicită se asigură că fiecare sub-procesator este supus acelorași obligații de protecție a datelor ca cele stabilite prin prezentul DPA, prin încheierea de acorduri scrise cu fiecare sub-procesator.

7. Măsuri Tehnice și Organizatorice de Securitate

Persoana Împuternicită implementează și menține următoarele măsuri tehnice și organizatorice de securitate, în conformitate cu Art. 32 GDPR, ținând cont de stadiul actual al dezvoltării tehnologice, de costurile implementării, de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscurile pentru drepturile și libertățile persoanelor fizice:

Măsuri tehnice:

• Criptarea datelor în tranzit utilizând protocoalele TLS 1.2 sau superior pentru toate comunicațiile;
• Criptarea datelor în repaus (at rest) utilizând algoritmi de criptare standard în industrie (AES-256);
• Hashing-ul parolelor utilizând algoritmi securizați (bcrypt/argon2);
• Securitate la nivel de rând în baza de date (Row Level Security – RLS) pentru izolarea completă a datelor între utilizatori;
• Firewall-uri și sisteme de detectare a intruziunilor;
• Backup-uri automate regulate cu criptare;
• Monitorizare continuă a infrastructurii și alertare automată;
• Jurnalizarea tuturor accesurilor la date și a operațiunilor critice.

Măsuri organizatorice:

• Principiul minimizării datelor – accesul la date este limitat la persoanele care au nevoie de acces pentru îndeplinirea atribuțiilor;
• Politici de control al accesului bazate pe roluri;
• Obligații de confidențialitate pentru tot personalul care are acces la date;
• Proceduri de gestionare a incidentelor de securitate;
• Revizuirea periodică a măsurilor de securitate și actualizarea acestora.

8. Notificarea Încălcărilor Securității Datelor

Persoana Împuternicită va notifica Operatorul fără întârzieri nejustificate, și în orice caz în termen de cel mult 48 de ore de la momentul în care a luat cunoștință de o încălcare a securității datelor cu caracter personal care afectează datele prelucrate în numele Operatorului.

Notificarea va conține cel puțin următoarele informații, în măsura în care sunt disponibile:

• Descrierea naturii încălcării securității datelor cu caracter personal, inclusiv, dacă este posibil, categoriile și numărul aproximativ al persoanelor vizate afectate, precum și categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal afectate;
• Numele și datele de contact ale persoanei de la care se pot obține mai multe informații;
• Descrierea consecințelor probabile ale încălcării securității datelor;
• Descrierea măsurilor luate sau propuse pentru a remedia încălcarea securității datelor, inclusiv, după caz, măsurile pentru atenuarea posibilelor efecte negative.

Persoana Împuternicită va coopera pe deplin cu Operatorul pentru a-l asista în îndeplinirea obligației de notificare a autorității de supraveghere (ANSPDCP) în termen de 72 de ore de la luarea la cunoștință a încălcării, conform Art. 33 GDPR, precum și a obligației de informare a persoanelor vizate, conform Art. 34 GDPR, după caz.

Persoana Împuternicită va documenta toate încălcările securității datelor, inclusiv circumstanțele, efectele și măsurile corective luate, și va pune aceste informații la dispoziția Operatorului la cerere.

9. Dreptul de Audit

Persoana Împuternicită pune la dispoziția Operatorului toate informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute de Art. 28 GDPR și permite și contribuie la audituri, inclusiv inspecții, efectuate de Operator sau de un auditor mandatat de acesta.

Condițiile de desfășurare a auditurilor sunt următoarele: (a) Operatorul va notifica Persoana Împuternicită cu cel puțin 30 de zile calendaristice înainte de data planificată a auditului; (b) auditul se va desfășura în timpul orelor de lucru normale și nu va perturba în mod nerezonabil activitatea Persoanei Împuternicite; (c) auditorul va fi supus unor obligații adecvate de confidențialitate; (d) costurile auditului sunt suportate de Operator, cu excepția cazului în care auditul relevă o neconformitate semnificativă, caz în care costurile sunt suportate de Persoana Împuternicită.

În cazul în care mai mulți Operatori solicită audituri similare, Persoana Împuternicită poate pune la dispoziția acestora rapoarte de audit sau certificări realizate de auditori independenți terți, care acoperă măsurile tehnice și organizatorice implementate.

10. Transferuri Internaționale de Date

Persoana Împuternicită nu va transfera date cu caracter personal către o țară terță sau o organizație internațională decât dacă sunt îndeplinite cerințele Capitolului V din GDPR (Art. 44-49), în special Art. 46 privind garanțiile adecvate.

Pentru transferurile către sub-procesatorii situați în Statele Unite ale Americii, Persoana Împuternicită a implementat următoarele garanții: (a) Clauze Contractuale Standard (SCCs) conform Deciziei de Punere în Aplicare (UE) 2021/914, incluse în acordurile cu fiecare sub-procesator; (b) Evaluări ale impactului transferului (Transfer Impact Assessment) pentru a verifica eficacitatea garanțiilor în contextul legislației țării destinatare; (c) Măsuri suplimentare tehnice (criptare end-to-end, pseudonimizare, acces restricționat) acolo unde este necesar.

Persoana Împuternicită va informa Operatorul cu privire la orice solicitare de acces la date primită din partea autorităților unui stat terț, cu excepția cazului în care o astfel de informare este interzisă prin legea statului respectiv, caz în care Persoana Împuternicită va depune toate eforturile legale disponibile pentru a contesta interdicția.

11. Obligațiile Operatorului

Operatorul se obligă să:

• Se asigure că prelucrarea datelor cu caracter personal prin intermediul Platformei are un temei legal valid conform GDPR;
• Informeze în mod corespunzător persoanele vizate ale căror date sunt introduse în Platformă, conform Art. 13 și 14 GDPR;
• Obțină consimțământul persoanelor vizate sau identifice un alt temei legal adecvat, acolo unde este necesar;
• Transmită instrucțiuni legale și rezonabile Persoanei Împuternicite cu privire la prelucrarea datelor;
• Respecte obligațiile care îi revin în calitate de operator conform GDPR, inclusiv răspunsul la cererile persoanelor vizate;
• Notifice Persoana Împuternicită cu privire la orice modificare a instrucțiunilor de prelucrare sau a categoriilor de date prelucrate.

Operatorul recunoaște că, în calitatea sa de avocat, este supus obligațiilor de secret profesional și că introducerea datelor clienților în Platformă se face pe propria responsabilitate, cu respectarea normelor deontologice aplicabile.

12. Restituirea și Ștergerea Datelor

La încetarea relației contractuale, Persoana Împuternicită, la alegerea Operatorului, fie: (a) returnează toate datele cu caracter personal Operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat (funcționalitate de export); fie (b) șterge toate datele cu caracter personal și confirmă ștergerea.

Operatorul dispune de o perioadă de 30 de zile calendaristice de la încetarea relației contractuale pentru a-și exporta datele. După expirarea acestei perioade, datele vor fi șterse definitiv în termen de 30 de zile suplimentare, cu excepția datelor pe care Persoana Împuternicită este obligată să le păstreze conform legislației aplicabile (obligații fiscale, jurnale de securitate).

Ștergerea datelor de la sub-procesatori se efectuează în conformitate cu politicile de retenție ale fiecărui sub-procesator, dar nu mai târziu de 90 de zile calendaristice de la solicitarea de ștergere.

13. Răspunderea

Fiecare parte este răspunzătoare pentru respectarea obligațiilor care îi revin conform GDPR și prezentului DPA. Răspunderea părților față de persoanele vizate este stabilită conform Art. 82 GDPR.

Persoana Împuternicită este răspunzătoare pentru daunele cauzate de prelucrare numai în cazul în care nu a respectat obligațiile din GDPR care sunt destinate în mod specific persoanelor împuternicite sau a acționat în afara sau contrar instrucțiunilor legale ale Operatorului.

Limitările de răspundere prevăzute în Termenii și Condițiile Platformei se aplică în mod corespunzător și prezentului DPA.

14. Dispoziții Finale

Prezentul DPA este guvernat de legislația României și se interpretează în conformitate cu dreptul român.

În cazul conflictului între prevederile prezentului DPA și Termenii și Condițiile Platformei, prevederile DPA prevalează în ceea ce privește protecția datelor cu caracter personal.

Modificările prezentului DPA vor fi comunicate Operatorului prin publicarea versiunii actualizate pe Platformă, cu cel puțin 15 zile calendaristice înainte de intrarea în vigoare, oferind Operatorului posibilitatea de a rezilia acordul dacă nu este de acord cu modificările.

Pentru orice întrebări referitoare la prezentul DPA, vă rugăm să ne contactați la: dosare@ajutavocat.ro.