Acord de prelucrare a datelor (DPA)

Acest Acord de prelucrare a datelor (DPA) este o anexă la Termenii și condiții și se aplică ori de câte ori Rentiva prelucrează date cu caracter personal în numele firmei client. El reglementează prelucrarea conform articolului 28 din Regulamentul (UE) 2016/679 (GDPR).

• Clientul (firma care folosește platforma) este operatorul de date. Firma decide ce date introduce și în ce scop.
• Rentiva (MOTIONLINK S.R.L.) este persoana împuternicită. Prelucrăm datele doar pentru a furniza serviciul, la instrucțiunile clientului.

Pentru datele de cont ale utilizatorilor și pentru datele colectate pe site, Rentiva este operator; acestea sunt acoperite de Politica de confidențialitate, nu de acest DPA.

Obiectul prelucrării este furnizarea platformei Rentiva pentru administrarea operațiunilor de rent-a-car ale clientului. Prelucrarea durează cât timp este activ contractul de abonament dintre părți și încetează la finalul lui, conform secțiunii „Ștergerea sau returnarea datelor".

Prelucrăm datele exclusiv pentru a opera platforma și a-i livra funcțiile către client. Operațiunile tipice includ:

• stocarea și organizarea datelor despre flotă, clienți finali, rezervări și contracte;
• generarea de oferte, contracte, procese-verbale de predare și retur și facturi;
• transmiterea facturilor către sistemul e-Factura ANAF, la comanda clientului;
• trimiterea de notificări operaționale (de exemplu alerte pentru documente de vehicul);
• realizarea de copii de siguranță și asigurarea funcționării tehnice a serviciului.

Nu folosim datele clienților finali în scopuri proprii și nu le comercializăm.

Persoane vizate

Clienții finali ai firmei (persoanele care închiriază vehicule) și, după caz, șoferii desemnați de aceștia.

Categorii de date

• Date de identificare: nume, CNP sau serie și număr de act de identitate.
• Permis de conducere: serie, număr, categorii, valabilitate.
• Date de contact: telefon, email, adresă.
• Date contractuale și de plată: rezervări, contracte, perioade de închiriere, sume, depozite, facturi și plăți.

Clientul nu trebuie să introducă în platformă categorii speciale de date (de exemplu date privind sănătatea). Dacă o face, răspunde de temeiul legal și de informarea persoanelor vizate.

Prelucrăm datele numai pe baza instrucțiunilor documentate ale clientului. Folosirea platformei conform funcțiilor ei și conform Termenilor reprezintă instrucțiunile standard ale clientului. Instrucțiuni suplimentare se pot transmite în scris, la contact@rentiva.ro. Dacă o instrucțiune ne pare că încalcă legea privind protecția datelor, îl informăm pe client.

Persoanele care prelucrează datele din partea noastră sunt obligate la confidențialitate, prin contract sau prin lege, și au acces la date doar în măsura necesară pentru sarcinile lor. Accesul intern este limitat și controlat.

Aplicăm măsuri de securitate adecvate riscului, conform articolului 32 GDPR. Printre ele:

• Criptare în tranzit: traficul către platformă este criptat prin HTTPS/TLS.
• Izolare per client: datele fiecărui client sunt separate logic în arhitectura multi-tenant, prin identificator de tenant, astfel încât un client să nu poată accesa datele altuia.
• Control de acces pe roluri: accesul utilizatorilor este guvernat de roluri și permisiuni (de exemplu administrator și operator). Parolele sunt stocate sub formă de hash.
• Copii de siguranță: facem backup periodic al datelor, pentru a le putea restaura în caz de incident.
• Infrastructură în Uniunea Europeană: serverele sunt găzduite în UE (Hetzner, Germania).

Pe măsură ce serviciul se maturizează, completăm aceste măsuri. Modificările nu reduc nivelul de protecție convenit.

Pentru a furniza serviciul, folosim sub-împuterniciți (alți prestatori care prelucrează date în numele nostru). Categoriile actuale sunt:

• Găzduire și infrastructură: Hetzner (Germania, UE).
• Trimitere de emailuri: furnizor de email tranzacțional (SMTP).
• Facturare electronică: SmartBill, pentru emiterea și transmiterea facturilor la ANAF.

Lista exactă a sub-împuterniciților, cu denumirea completă a fiecăruia, este menținută la zi și disponibilă la cerere [listă de completat]. Impunem fiecărui sub-împuternicit obligații de protecția datelor cel puțin echivalente cu cele din acest DPA.

Dreptul de obiecție

Vom anunța clientul înainte de a adăuga sau de a înlocui un sub-împuternicit. Clientul poate obiecta din motive rezonabile legate de protecția datelor, în scris, în termen de 30 de zile. Dacă obiecția nu poate fi soluționată, clientul poate înceta contractul pentru partea de serviciu afectată.

Clientul, în calitate de operator, răspunde de cererile clienților finali privind drepturile lor (acces, rectificare, ștergere, restricționare, portabilitate, opoziție). Punem la dispoziția clientului funcțiile platformei pentru a vedea, corecta, exporta și șterge aceste date. Dacă o cerere ne este adresată direct nouă, o redirecționăm către client și îl asistăm, în limite rezonabile, ca să poată răspunde la timp.

Dacă identificăm o încălcare a securității datelor care afectează datele clientului, îl anunțăm fără întârziere nejustificată, în cel mult 48 de ore de la identificare. Notificarea cuprinde, în măsura disponibilă, natura incidentului, datele și persoanele afectate, consecințele probabile și măsurile luate sau propuse. Îl asistăm pe client pentru notificarea către ANSPDCP și, dacă e cazul, către persoanele vizate, conform articolelor 33 și 34 GDPR.

La încetarea contractului, datele clientului rămân disponibile pentru export timp de 30 de zile, ca firma să le poată prelua într-un format de uz curent. După aceste 30 de zile, ștergem datele din platformă, cu excepția celor pe care suntem obligați prin lege să le păstrăm (de exemplu documente fiscale). La cererea scrisă a clientului, confirmăm ștergerea.

Punem la dispoziția clientului informațiile necesare pentru a demonstra respectarea obligațiilor din acest DPA. La o cerere rezonabilă, scrisă și anunțată din timp, permitem un audit privind prelucrarea, o dată pe an sau ori de câte ori legea o cere, fără a expune date ale altor clienți și fără a perturba nejustificat operarea serviciului.

Acest DPA face parte din contractul dintre părți. În caz de neconcordanță cu Termenii și condiții pe aspecte de protecția datelor, prevalează acest DPA. Pentru orice întrebare, scrie-ne la contact@rentiva.ro.