Acord de prelucrare a datelor

În conformitate cu articolul 28 din GDPR.

Părți

  • Operator (Controller): clientul care utilizează Serviciul Buildmetrics („Operatorul”).
  • Persoană împuternicită (Processor): BUILDMETRICS SRL, CUI 51592519, sediu social: Str. Domnească 13, Bl. L, Sc. 3, Et. 1, Ap. 42, 800015 Galați, România („Buildmetrics” sau „Persoana împuternicită”).

Acest Acord de prelucrare a datelor („DPA”) face parte integrantă din Termenii și condițiile Buildmetrics. Prin acceptarea Termenilor, Operatorul acceptă și acest DPA.

1. Context și scop

Operatorul utilizează platforma Buildmetrics pentru a gestiona proiecte de construcții, sarcini, controlul calității și documentația aferentă. În legătură cu furnizarea Serviciului, Persoana împuternicită prelucrează Date cu caracter personal în numele Operatorului.

2. Definiții

Termenii utilizați în acest DPA au același înțeles ca în Regulamentul (UE) 2016/679 (GDPR).

3. Descrierea prelucrării (Anexa I)

Obiect și durată: furnizarea platformei SaaS Buildmetrics pentru managementul proiectelor de construcții pe durata utilizării Serviciului de către Operator.

Natura și scopul: găzduire, stocare, prelucrare, afișare, generare asistată de AI a descrierilor de sarcini și a listelor de verificare, traducere și suport tehnic pentru datele încărcate de Operator și de utilizatorii săi.

Tipuri de Date cu caracter personal:

  • Date de contact (nume, e-mail, telefon, nume companie, rol)
  • Date de identificare și profesionale ale participanților la proiect
  • Imagini și clipuri video care conțin persoane fizice (fotografii de pe șantiere)
  • Orice alte date cu caracter personal incluse de Operator în sarcini, comentarii, documente sau atașamente

Categorii de persoane vizate:

  • Angajați, reprezentanți și contractanți ai Operatorului
  • Inspectori, clienți și alți participanți la proiectele de construcții

Categorii speciale de date: categoriile speciale de date nu sunt solicitate sau necesare în mod intenționat pentru utilizarea Serviciului. Operatorul este responsabil de asigurarea unui temei juridic adecvat și a garanțiilor în cazul în care sunt încărcate categorii speciale de date.

4. Obligațiile Persoanei împuternicite

Persoana împuternicită va:

4.1 Prelucra Datele cu caracter personal numai pe baza instrucțiunilor documentate ale Operatorului (inclusiv prin interfața Serviciului), cu excepția cazului în care i se impune acest lucru prin dreptul Uniunii sau al unui stat membru. 4.2 Asigura că persoanele autorizate să prelucreze datele s-au angajat să respecte confidențialitatea. 4.3 Implementa măsuri tehnice și organizatorice adecvate (vezi Secțiunea 7 / Anexa II). 4.4 Nu angaja Subîmputerniciți fără autorizarea prealabilă specifică sau generală, în scris, a Operatorului. Operatorul acordă Persoanei împuternicite o autorizare generală scrisă pentru a angaja Subîmputerniciții enumerați în Secțiunea 5. 4.5 Asista Operatorul în soluționarea cererilor privind drepturile persoanelor vizate. 4.6 Notifica Operatorul fără întârzieri nejustificate (și, atunci când este posibil, în termen de 48 de ore) cu privire la orice Încălcare a securității datelor cu caracter personal. 4.7 La alegerea Operatorului, șterge sau returna toate Datele cu caracter personal după încetarea furnizării serviciilor legate de prelucrare, cu excepția cazului în care dreptul Uniunii sau al unui stat membru impune stocarea Datelor cu caracter personal. 4.8 Pune la dispoziția Operatorului informațiile rezonabil necesare pentru a demonstra respectarea articolului 28 GDPR și, atunci când legea aplicabilă o impune, contribui la audituri desfășurate într-un mod care nu perturbă în mod nejustificat activitatea Persoanei împuternicite și sub rezerva unor obligații de confidențialitate adecvate. 4.9 Informa prompt Operatorul dacă, în opinia Persoanei împuternicite, o instrucțiune încalcă GDPR sau alte legi aplicabile privind protecția datelor. 4.10 Ținând cont de natura prelucrării și de informațiile disponibile Persoanei împuternicite, asista Operatorul în asigurarea respectării obligațiilor sale referitoare la evaluările impactului asupra protecției datelor (articolul 35) și la consultarea prealabilă a autorității de supraveghere (articolul 36), furnizând informații și cooperare rezonabile la cererea Operatorului.

5. Subîmputerniciți

Operatorul acordă Persoanei împuternicite o autorizare generală de a angaja următorii Subîmputerniciți:

SubîmputernicitScopLocație
Hetzner Online GmbHGăzduire și bază de dateGermania / Finlanda (UE)
OpenAI, Anthropic, GoogleGenerare AI de descrieri și liste de verificareSUA
CloudflareCDN și analizăUE / global
Furnizor e-mail / SMTPNotificăriUE

Atunci când Persoana împuternicită angajează un Subîmputernicit, va face acest lucru printr-un contract scris care impune respectivului Subîmputernicit aceleași obligații de protecție a datelor ca cele prevăzute în prezentul Acord, în special furnizarea de garanții suficiente pentru implementarea unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să îndeplinească cerințele Regulamentului (UE) 2016/679. În cazul în care un Subîmputernicit nu își îndeplinește obligațiile de protecție a datelor, Persoana împuternicită rămâne pe deplin răspunzătoare față de Operator pentru îndeplinirea obligațiilor respectivului Subîmputernicit.

Persoana împuternicită informează Operatorul cu privire la orice modificări preconizate privind adăugarea sau înlocuirea Subîmputerniciților cu cel puțin 30 de zile în avans, acordând Operatorului suficient timp pentru a se opune înainte ca Subîmputernicitul respectiv să fie angajat. Dacă Operatorul se opune din motive rezonabile legate de protecția datelor în termen de 14 zile de la notificare, părțile vor colabora cu bună-credință pentru a găsi o soluție; dacă nu se ajunge la niciuna, Operatorul poate suspenda sau înceta partea afectată a Serviciului. Lista Subîmputerniciților poate fi actualizată din când în când în conformitate cu prezenta Secțiune.

6. Transferuri internaționale de date

Datele cu caracter personal sunt stocate în principal în UE (Hetzner). Transferurile către SUA (furnizorii AI) sunt protejate prin Clauzele Contractuale Standard (SCC, 2021) emise de Comisia Europeană, completate cu măsuri tehnice și organizatorice suplimentare. După caz, se poate recurge la EU–US Data Privacy Framework.

7. Măsuri de securitate (Anexa II)

Persoana împuternicită implementează măsuri tehnice și organizatorice adecvate, inclusiv:

  • Criptare în tranzit cu protocoale conforme standardelor din industrie
  • Criptare în repaus (at rest) acolo unde este fezabil din punct de vedere tehnic
  • Control al accesului bazat pe roluri (RBAC)
  • Jurnalizarea acțiunilor (audit logging)
  • Copii de rezervă periodice
  • Practici de dezvoltare securizată

8. Răspundere

Răspunderea Persoanei împuternicite în temeiul prezentului DPA este supusă limitărilor și excluderilor prevăzute în Termenii și condițiile Buildmetrics.

9. Durată și încetare

Prezentul DPA rămâne în vigoare atât timp cât Persoana împuternicită prelucrează Date cu caracter personal în numele Operatorului. La încetare, Persoana împuternicită returnează sau șterge datele în conformitate cu punctul 4.7.

10. Legea aplicabilă

Prezentul DPA este guvernat de legislația României. Părțile se supun jurisdicției exclusive a instanțelor din România, cu excepția cazului în care normele imperative aplicabile prevăd altfel.

Anexe

  • Anexa I — Detalii privind prelucrarea: Secțiunea 3.
  • Anexa II — Măsuri tehnice și organizatorice: Secțiunea 7.
  • Anexa III — Lista Subîmputerniciților: Secțiunea 5.

Acceptare

Prin acceptarea Termenilor și condițiilor Buildmetrics, Operatorul confirmă și acceptă prezentul DPA.