pOLITICA DE CONFIDENTIALITATE
1. PĂRŢILE CONTRACTANTE

S.C. AMHOTECH SOFTWARE S.R.L., cu sediul social în (localitatea) București, str. Șos. Chitilei, nr. 37, judet/sector 1, înregistrată la Oficiul Registrului Comerţului București, sub nr. J40/21395/2022, cod fiscal nr. 47079907, având contul nr. ROXX, deschis la Banca Raiffeisen – Suc. Chitilei, reprezentată de Adnana Isabelle Matei, cu funcţia de Administrator, proprietarul platformei Amhotech – HotelAdmin, în calitate de PROCESATOR

și

Clientul, utilizatorul platformei AMHOTECH – HotelAdmin și a tuturor serviciilor oferite prin intermediul acesteia, în calitate de OPERATOR

au convenit să încheie prezenta Anexă cu referire exclusivă la asigurarea protecției datelor cu caracter personal. Prezentul document trebuie acceptat înainte de utilizarea oricărui serviciu oferit de acesta. Orice comandă confirmată de Client, prin bifarea casuței „Politica de prelucrare a datelor cu caracter personal” reprezintă o acceptare din partea Clientului a condițiilor Procesatorului.

2. DEFINIȚII SI TERMENI

2.1. AMHOTECH – HotelAdmin – este denumirea comercială a S.C. AMHOTECH SOFTWARE S.R.L., persoana juridică de naționalitate română cu sediul social în (localitatea) București, str. Șos. Chitilei, nr. 37, judet/sector 1, înregistrată la Oficiul Registrului Comerţului București, sub nr. J40/21395/2022, cod fiscal nr. 47079907.

2.2. Clientul – Unitate cazare, utilizatorul platformei AMHOTECH – HotelAdmin, clasificat ca și structură de primire turistică, conform dispozitiilor legale în vigoare.

2.3. Platforma AMHOTECH – HotelAdmin – portal HotelAdmin.ro – website-ul de internet, precum și ansamblul serviciilor accesibile pe acest site web sau pe subdomeniile acestuia.

2.4. Conform Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 (denumit în continuare „Regulamentul”), parțile agrează urmatoarele definiții:

2.4.1. Date cu caracter personal: desemnează orice informații (orice suită de caractere, semne, cifre sau litere) referitoare la o persoană fizică identificată sau identificabilă (denumită în continuare “persoană vizată”). Este considerată a fi o “persoană fizică identificabilă” o persoană fizică ce poate fi identificată, în mod direct sau indirect, în special prin referire la un identificator, precum un nume, un număr de identificare, date de localizare, un identificator online, sau la mai multe elemente specifice proprii identitații sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

2.4.2. Operator: Beneficiarul serviciilor contractului principal, care stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal.

2.4.3. Procesator: Prestatorul serviciilor contractului principal.

2.4.4. Subcontractor: desemnează aici orice organism terț părților Contractului care are o relație contractuală cu Procesatorul pentru furnizarea serviciilor care fac obiectul Contractului.

2.4.5. Prelucrarea datelor cu caracter personal: desemnează orice operațiune sau orice ansamblu de operațiuni efectuate sau nu de către Operator cu ajutorul unor procedee automatizate și aplicate datelor sau ansamblurilor de date cu caracter personal, precum culegerea, înregistrarea, organizarea, structurarea, păstrarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, comunicarea prin transmisie, difuzarea sau orice altă formă de punere la dispoziție, apropierea sau interconectarea, limitarea, ștergerea sau distrugerea acestora.

3. Obiectul prelucrării

3.1. Prin prezentul acord Operatorul împuternicește Procesatorul să prelucreze datele Operatorului în scopul furnizării serviciilor stipulate în contractul principal de servicii.

3.2. Prezentul acord se aplică tuturor activităților procesatorului și ai subcontractanților acestuia care sunt necesare pentru a putea oferi serviciile stipulate în contractul principal de servicii.

4. Date colectate

Datele personale prelucrate în temeiul acestui contract sunt:

4.1. Datele personale care apar în mesajele transmise automat din platformă, comenzi, documente, abonare newsletter, creare cont, mesaje de contact, mesaje de cerere ofertă cum ar fi: Nume, prenume emitent document și date de identificare ale acestuia, email, telefon iar în cazul în care se emite documentul către un client persoană fizică: nume, prenume, adresă completă și, în funcție de caz, cont bancar, CNP. De asemenea, Operatorul poate adăuga și alte date personale suplimentare în mod direct în documentele emise, pe care Procesatorul nu are cum să le prevadă.

4.2. Datele personale care apar la configurarea transmiterii email-urilor către client – email utilizator și parola prin care se transmit email-urile, ca și adresele de email către care se trimit notificările și documentele.

5. Categorii de persoane vizate

5.1. Categoriile de persoane vizate sunt: Angajații și Clienții.

5.2. Operatorul este și va rămâne proprietarul datelor cu caracter personal care fac obiectul prezentului Acord.

6. Instrucțiuni specifice

În temeiul acestui contract, Operatorul dă următoarele instrucțiuni specifice Procesatorului:

6.1. Să colecteze și să prelucreze date cu caracter personal primite de la Operator în mod direct, în scopul prevăzut la art.8. Aceste date sunt cele specificate în articolul 4.

6.2. Să trimită mesaje prin email în numele Operatorului, pentru serviciul de transmitere documente prin email.

7. Durata prelucrării

Durata prelucrării datelor cu caracter personal este identică cu durata funcționării contractului principal de furnizare servicii.

8. Natura și scopul prelucrării

Natura și scopul prelucrării sunt cele stabilite de către Operator în temeiul contractului principal și anume furnizarea serviciilor incluse pe platforma AMHOTECH – HotelAdmin.

9. Subcontractarea

9.1. Procesatorul are dreptul de a delega anumite activități de prelucrare a datelor către subcontractanții specificați mai jos:

OPTIC SERVERS – FEROTERM SRL Str. Crisan 3B, Gherla, Jud. Cluj – găzduire, servicii de stocare, backup și infrastructură

Schimbarea subcontractanților sau numirea unor subcontractanți suplimentari este permisă și va fi comunicată de procesator operatorului. În urma comunicării privind un subcontractant nou, operatorul are dreptul să se opună și să rezilieze relațiile contractuale cu procesatorul. Lipsa unui răspuns la comunicatul privind un subcontractant nou se va considera implicit acceptarea acestuia.

9.2. Procesatorul trebuie să selecteze cu grijă subcontractanții și să verifice ca prin integrarea afectivității acestora acordurile încheiate între operator și procesator să poată fi respectate nealterat. În special, procesatorul trebuie să verifice în avans și periodic, în timpul perioadei contractuale, ca fiecare subcontractant să întreprindă măsuri tehnice și organizatorice pentru protecția datelor cu caracter personal impuse de articolul 32 GDPR.

9.3. Procesatorul se va asigura că prevederile convenite în prezentul contract și, dacă este cazul, instrucțiunile suplimentare ale operatorului, se aplică și subcontractanților.

9.4. Nu se consideră ca fiind relații de subcontractare toate acele servicii auxiliare care nu servesc la funcționarea serviciului oferit de procesator. Procesatorul este totuși obligat să asigure măsuri de precauție rezonabile pentru a asigura protecția datelor cu caracter personal și în relație cu aceste servicii auxiliare.

10. Drepturile și obligațiile Operatorului

10.1. Dreptul să primească informații de la Procesator sau sa verifice prin auditor mandatat dacă acesta are și pune în aplicare măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute de GDPR; verificarea va avea loc în baza unei notificări scrise prealabile, transmisă cu cel puțin 14 zile lucrătoare înainte de efectuarea verificării.

10.2. Dreptul să primească asistență din partea Procesatorului, în special pentru îndeplinirea obligației sale de a răspunde cererilor persoanelor vizate cu privire la exercitarea drepturilor lor prevăzute de GDPR.

10.3. Dreptul de a face obiecțiuni cu privire la alți sub-contractanti conform art. 8.1.

10.4. Să respecte obligațiile sale conform GDPR cu privire la datele cu caracter personal colectate sau prelucrate de Procesator, pe seama sa.

10.5. Obligația de a face informarea persoanelor vizate conform GDPR, inclusiv în ceea ce privește informarea cu privire la prelucrarea datelor de către Procesator în temeiul acestui contract.

10.6. Obligația să răspundă exclusiv de stabilirea temeiului legal pentru prelucrarea datelor cu caracter personal ce face obiectul prezentului contract.

10.7. Obligația de a implementa măsuri tehnice și organizatorice adecvate conform GDPR, inclusiv securizarea transferului datelor de la persoanele vizate către Procesator.

10.8. Din momentul ștergerii datelor după încheierea prestării serviciilor de către Procesator, conform obligațiilor GDPR și a art. 10 a acestui contract, datele nu mai pot fi recuperate și este întreaga responsabilitate a Operatorului să se asigure că și-a făcut o copie completă a acestora.

10.9. În toate situațiile în care Operatorul este cel care trebuie să execute o obligație, cum este, spre exemplu, informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal, Procesatorul nu poate fi ținut de inacțiunile Clientului din sfera acelei obligații.

11. Drepturile și obligațiile Procesatorului:

11.1. Obligația să informeze Operatorul în termen de maxim 10 zile, în cazul în care, în opinia sa, o instrucțiune încalcă GDPR și/sau altă dispoziție legală privind prelucrarea datelor cu caracter personal.

11.2. Obligația să asigure securitatea datelor cu caracter personal prelucrate în numele Operatorului în conformitate cu art 32 din GDPR și cu art 11 din prezenta Anexă.

11.3. Obligația de a informa Operatorul fără întârzieri nejustificate de o încălcare a securității datelor personale ale Operatorului pe parcursul prelucrării realizate de către acesta.

11.4. Obligația de a asista Operatorul cu toate informațiile necesare în vederea notificării, dacă este cazul, către Autoritatea competentă pentru încălcarea securității datelor, dar fără a se substitui Clientului în obligația sa de notificare.

11.5. Obligația de a acorda asistență Operatorului să asigure respectarea obligațiilor prevăzute la articolele 32-36 din GDPR.

11.6. Obligația de a asista Operatorul pentru soluționarea cererilor persoanelor vizate sau de a transmite Operatorului orice cerere primită de la persoanele vizate, în legătură cu datele personale care au fost colectate și prelucrate de Procesator, în termen de maxim 5 zile calendaristice de la primirea acesteia.

11.7. Obligația să nu transmită date cu caracter personal și/sau informații confidențiale, ce pot fi date cu caracter personal, despre care a luat cunoștință în timpul executării contractului.

11.8. Obligația să asigure instruirea personalului autorizat să prelucreze datele cu caracter personal, cu privire la confidențialitatea acestor date.

11.9. Obligația de a șterge toate datele colectate ca urmare a acestui contract în calitate de Procesator în termen de maxim 3 luni de la încetarea contractului dintre cele două părți.

11.10. Dreptul să dezvăluie anumite date cu caracter personal în virtutea unei obligații legale sau a unei alte condiții prevăzute de legislație la solicitarea unei autorității, instituții publice sau instanțe judecătorești.

11.11. Dreptul de a recruta sub-contractanți conform art. 8 sau în situația în care a primit aprobare din partea Operatorului.

11.12. Dreptul la acoperirea costurilor generate de asigurarea asistenței Operatorului, de catre Operator, în situațiile prevăzute de GDPR conform art. 9.

11.13. Dreptul de a folosi informații statistice anonimizate ca urmare a activităților prestate ca urmare a acestui contract sau a întregii sale activități.

12. Securitatea prelucrării

12.1. Procesatorul trebuie să îndeplinească măsuri tehnice și organizatorice pentru a asigura măsurile adecvate de securitate raportate la risc, conforme cu bunele practici în industrie. În stabilirea nivelului adecvat de securitate, Procesatoul trebuie să ia în considerare stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, ca și riscurile care apar ca urmare a prelucrării, în special cu privire la cele care pot duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.

12.2. În acest context Procesatorul a stabilit aplicarea internă a următoarele măsuri organizatorice și tehnice de securitate pentru securitatea datelor personale, luând în considerare tipul de activitate prestată:

• acces limitat la baza de date pentru un număr foarte restrâns de angajați ai Procesatorului

• monitorizarea permanentă a accesului la baza de date

• criptarea conexiunii folosite pentru accesarea serviciului folosind SSL

• parolele clienților stocate criptat

• copii de siguranță

13. Limitarea răspunderii

Operatorul este de acord să exonereze Procesatorul de orice răspundere pentru pagubele ce ar putea decurge din:

• nerespectarea contractului din cauza unor evenimente ce exced oricărei răspunderi a Procesatorulului.

• respectarea sau nerespectarea instrucțiunilor Procesatorului justificată în prealabil printr-o notificare referitoare la legalitatea ei.

• lipsa sau vicierea acordului persoanelor vizate sau a utilizării unui temei legal greșit.

• nerespectarea contractului din cauza unor acțiuni ale Operatorului.

14. Delimitarea răspunderii

Părțile își delimitează responsabilitățile cu privire la asigurarea protecției datelor cu caracter personal (de exemplu asigurarea confidențialității sau a securității prelucrării), în funcție de accesul și controlul efectiv exercitat asupra datelor, atât din punct de vedere contractual, cât și tehnic.

15. Intrare în vigoare și modificări

Prezenta Anexa intră în vigoare prin bifarea casuței „Politica de prelucrare a datelor cu caracter personal” la data inregistrării contului pe platforma Amhotech – HotelAdmin, fiind valabilă până la modificarea ei de către SC AMHOTECH SOFTWARE SRL și informarea clienților în acest sens. Utilizarea platformei HotelAdmin după informarea clienților resprezintă acordul acestora cu privire la acest document și la documentele ulterior modificate.