Introducere

Acest document stabilește modul în care PionierAI poate prelucra date cu caracter personal în numele clienților săi, atunci când aceștia utilizează platforma, creează spații de lucru, poartă conversații cu asistentul AI sau conectează PionierAI la NexusERP.

Documentul se aplică în special clienților persoane juridice și completează Termenii și condițiile, Politica de confidențialitate și orice contract sau ofertă comercială agreată între părți.

Acesta este un acord-cadru privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, încheiat între client, denumit în continuare Operatorul, și S.C. Nexus Media S.R.L., denumită în continuare Contractantul, Împuternicitul sau Persoana împuternicită de Operator.

Fiecare va fi denumită în continuare Parte, iar împreună Părțile. Prezentul acord reglementează prelucrarea datelor cu caracter personal în numele Operatorului, în conformitate cu art. 28 alin. 3 din Regulamentul General privind Protecția Datelor nr. 679/2016, denumit în continuare GDPR sau Regulamentul.

1. Având în vedere următoarele

  • Între Părți sunt în derulare sau urmează a se încheia contracte, comenzi, abonamente, oferte comerciale sau alte înțelegeri privind furnizarea platformei PionierAI și a serviciilor asociate.
  • În cadrul furnizării serviciilor PionierAI, Împuternicitul poate avea acces la informații ale Operatorului, inclusiv date cu caracter personal ale persoanelor fizice prelucrate de Operator.
  • Datele pot fi introduse direct de utilizatorii Operatorului, pot rezulta din conversațiile cu asistentul AI sau pot fi accesate din NexusERP, atunci când această conexiune este configurată de Operator.
  • Părțile doresc să stabilească prin prezentul acord condițiile în care Împuternicitul prelucrează date cu caracter personal în numele Operatorului, exclusiv în scopul furnizării serviciilor contractate.
  • Operatorul stabilește scopurile și mijloacele principale ale prelucrării datelor din propriile sisteme, iar Împuternicitul prelucrează aceste date conform instrucțiunilor Operatorului și în limitele serviciilor PionierAI.

2. Definirea termenilor utilizați

Termenii utilizați în prezentul acord au următorul înțeles:

  • Date cu caracter personal: orice informații privind o persoană fizică identificată sau identificabilă.
  • Persoană vizată: persoana fizică ale cărei date cu caracter personal sunt prelucrate de Operator și/sau de Împuternicit în numele Operatorului.
  • Operator: persoana fizică sau juridică ce stabilește scopurile și mijloacele prelucrării datelor cu caracter personal.
  • Persoană împuternicită de Operator sau Împuternicit: persoana juridică ce prelucrează date cu caracter personal în numele Operatorului.
  • Prelucrare: orice operațiune efectuată asupra datelor cu caracter personal, inclusiv colectarea, înregistrarea, organizarea, structurarea, stocarea, consultarea, accesarea, utilizarea, transmiterea, modificarea, restricționarea, ștergerea sau distrugerea.
  • Încălcarea securității datelor cu caracter personal: o încălcare a securității care duce, accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal.
  • Legislația aplicabilă privind protecția datelor: Regulamentul UE 679/2016, Legea nr. 190/2018 și orice alte acte normative, decizii sau reglementări aplicabile în România în materia protecției datelor cu caracter personal.
  • Servicii: serviciile furnizate prin PionierAI, inclusiv acces la platformă, asistent AI, spații de lucru, conexiuni la NexusERP, găzduire cloud, suport, mentenanță, consultanță și asistență tehnică.
  • Subîmputernicit: orice furnizor, subcontractant sau terță parte utilizată de Împuternicit pentru furnizarea serviciilor și care poate avea acces la date cu caracter personal prelucrate în numele Operatorului.
  • Platforma PionierAI: aplicația software, website-ul, serviciile cloud, modulele, componentele, interfețele și funcționalitățile puse la dispoziția Operatorului de către Împuternicit.
  • Spațiu de lucru: mediul creat în PionierAI pentru un utilizator, o companie sau o organizație, în care pot fi gestionate conversații, membri, setări, conexiuni și date asociate Operatorului.

3. Obiectul, natura și scopul prelucrării

3.1. Obiectul prelucrării

Obiectul prezentului acord îl reprezintă stabilirea condițiilor în care Împuternicitul poate prelucra date cu caracter personal în numele Operatorului, în scopul furnizării serviciilor PionierAI.

Împuternicitul poate intra în contact cu date prin utilizarea platformei de către utilizatorii Operatorului, crearea și administrarea conturilor și spațiilor de lucru, conversațiile cu asistentul AI, conectarea la NexusERP, furnizarea suportului și loguri tehnice necesare securității platformei.

3.2. Natura prelucrării

Prelucrarea poate consta în accesarea, consultarea, stocarea, organizarea, transmiterea, extragerea, analizarea, utilizarea, ștergerea sau restricționarea datelor, în funcție de funcționalitățile utilizate de Operator și de solicitările adresate de utilizatorii săi.

Atunci când Operatorul configurează conexiunea dintre PionierAI și NexusERP, datele accesate depind de permisiunile configurate de Operator, configurația NexusERP, întrebările adresate, setările spațiului de lucru și funcționalitățile activate.

3.3. Scopul prelucrării

Datele cu caracter personal sunt prelucrate exclusiv pentru furnizarea serviciilor PionierAI către Operator: administrarea conturilor, gestionarea spațiilor de lucru, conversații cu asistentul AI, generarea de răspunsuri pe baza datelor disponibile în NexusERP, suport tehnic, remedierea erorilor, securizare, monitorizarea performanței tehnice, gestionarea abonamentelor și respectarea obligațiilor legale aplicabile Împuternicitului.

3.4. Limitarea scopului

Împuternicitul nu va utiliza datele Operatorului în scopuri proprii, în afara celor necesare furnizării serviciilor PionierAI, cu excepția cazurilor în care există o obligație legală sau un alt temei permis de legislația aplicabilă. Datele Operatorului nu vor fi vândute, închiriate sau puse la dispoziția unor terți în scopuri comerciale independente.

4. Durata prelucrării

Prelucrarea datelor cu caracter personal va avea loc pe durata relației contractuale dintre Operator și Împuternicit, inclusiv cât timp Operatorul are un cont activ, un spațiu de lucru activ, un abonament activ sau utilizează serviciile PionierAI.

În cazul serviciilor de suport, mentenanță, asistență tehnică sau investigare a unor incidente, accesul la date va fi limitat la perioada necesară soluționării solicitării Operatorului.

După încetarea relației contractuale, Împuternicitul va șterge sau returna datele Operatorului, în măsura în care acest lucru este tehnic posibil și legal permis. Unele date pot fi păstrate limitat pentru obligații legale, facturare, evidențe contabile, apărarea drepturilor, securitate, audit, prevenirea abuzurilor sau backup-uri temporare.

5. Tipuri de date, persoane vizate și prelucrări

5.1. Tipuri de date

În funcție de modul de utilizare, PionierAI poate prelucra date de identificare, date de contact, date profesionale, date de cont, date privind spațiile de lucru, date din conversații, date tehnice, date comerciale, date financiare sau contabile, date privind relațiile de muncă și alte date existente în NexusERP.

Operatorul este responsabil să limiteze datele accesibile prin PionierAI la ceea ce este necesar pentru scopul utilizării platformei.

5.2. Categorii speciale de date

Operatorul nu trebuie să introducă și să nu configureze accesul la categorii speciale de date, cum ar fi date privind sănătatea, apartenența sindicală, opiniile politice, religia, date biometrice sau alte date sensibile, decât dacă acest lucru este strict necesar, legal permis și acoperit de măsuri adecvate de protecție.

5.3. Categorii de persoane vizate

Datele pot privi utilizatori ai platformei, angajați, colaboratori, reprezentanți legali sau contractuali, clienți, potențiali clienți, furnizori, persoane de contact, delegați, parteneri comerciali și alte persoane ale căror date sunt introduse sau conectate de Operator în PionierAI.

5.4. Tipuri de prelucrări

Prelucrările pot include colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea, modificarea, extragerea, consultarea, utilizarea, analizarea, generarea de răspunsuri AI, transmiterea, punerea la dispoziție, combinarea, restricționarea, ștergerea sau distrugerea datelor.

6. Obligațiile și drepturile Părților

Părțile se obligă să respecte legislația aplicabilă privind protecția datelor cu caracter personal și să coopereze cu bună-credință pentru asigurarea conformității cu GDPR și pentru protejarea drepturilor persoanelor vizate.

Operatorul este responsabil pentru datele pe care le introduce, le conectează sau le face accesibile prin PionierAI, pentru configurarea accesului la NexusERP și pentru stabilirea permisiunilor acordate platformei.

Împuternicitul va accesa și prelucra datele doar în măsura necesară furnizării serviciilor și conform instrucțiunilor Operatorului. Dacă Operatorul transmite date care nu sunt necesare, răspunderea pentru această transmitere aparține Operatorului.

Părțile vor ține evidențele cerute de lege pentru activitățile de prelucrare, inclusiv activități realizate prin PionierAI, acces la date, solicitări de suport, incidente și măsuri de securitate.

7. Principalele obligații ale Operatorului

Operatorul trebuie să se asigure că are un temei legal adecvat pentru utilizarea PionierAI, să informeze persoanele vizate atunci când este necesar, să obțină consimțământul dacă este cerut de lege și să configureze corect conturile, spațiile de lucru, rolurile și permisiunile.

Operatorul trebuie să acorde acces la NexusERP doar în măsura necesară, să limiteze accesul PionierAI la datele strict necesare, să nu introducă date excesive sau irelevante, să nu introducă date sensibile fără temei legal și măsuri adecvate, să gestioneze cererile persoanelor vizate și să notifice Împuternicitul cu privire la solicitări, incidente sau obligații care necesită sprijin.

Operatorul trebuie să protejeze parolele, cheile API, token-urile și alte date secrete, să utilizeze parole sigure, să gestioneze accesul utilizatorilor, să asigure backup-ul datelor proprii, să auditeze datele și scenariile de acces permise prin PionierAI și să se asigure că utilizatorii săi sunt autorizați.

Atunci când Împuternicitul are nevoie de date pentru testare, diagnosticare sau reproducerea unei erori, Operatorul trebuie, pe cât posibil, să pună la dispoziție date anonimizate, pseudonimizate sau fictive.

8. Principalele obligații ale Împuternicitului

Împuternicitul va prelucra datele numai în baza prezentului acord, a contractului principal și a instrucțiunilor documentate ale Operatorului, exclusiv pentru furnizarea serviciilor PionierAI.

Împuternicitul trebuie să asigure confidențialitatea datelor, să limiteze accesul doar la persoanele care au nevoie de acest acces, să informeze sau să instruiască personalul autorizat, să implementeze măsuri tehnice și organizatorice adecvate, să nu acceseze date nenecesare și să nu divulge date către persoane neautorizate.

Împuternicitul va sprijini Operatorul, în măsura posibilului, în soluționarea cererilor persoanelor vizate, în gestionarea incidentelor de securitate, în ștergerea sau returnarea datelor și în demonstrarea respectării obligațiilor asumate.

9. Reguli privind accesul la date

Orice acces al Împuternicitului la datele Operatorului trebuie să aibă un scop justificat, precum furnizarea funcționalităților platformei, răspunsul la întrebări prin asistentul AI, configurarea sau verificarea unei conexiuni, soluționarea suportului, investigarea unei erori, investigarea unui incident de securitate sau îndeplinirea unei obligații legale.

În cazul serviciilor de suport, accesul poate fi realizat la solicitarea Operatorului prin email, formular de contact, conversație de suport, telefon sau alt mijloc agreat între Părți.

10. Confidențialitate

Împuternicitul va păstra confidențialitatea datelor cu caracter personal ale Operatorului și se va asigura că persoanele care au acces la aceste date sunt autorizate, au nevoie de acces pentru îndeplinirea atribuțiilor, sunt supuse unei obligații de confidențialitate și cunosc regulile interne privind securitatea și protecția datelor.

Obligația de confidențialitate continuă și după încetarea relației contractuale dintre Părți.

11. Măsuri tehnice și organizatorice de securitate

Împuternicitul va aplica măsuri tehnice și organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva accesului neautorizat, pierderii, distrugerii, modificării, divulgării sau prelucrării ilegale.

Măsurile pot include controlul accesului, autentificare, politici de parole, autentificare multi-factor unde este disponibilă, limitarea accesului pe roluri, separarea datelor între conturi și spații de lucru, criptare în tranzit, criptare în repaus unde este aplicabil, logare, monitorizare, protecție firewall, actualizări, backup-uri, proceduri de răspuns la incidente, restricționarea accesului intern, instruirea personalului și testarea periodică a măsurilor de securitate.

Operatorul înțelege că măsurile concrete pot depinde de arhitectura tehnică, furnizorii utilizați, tipul abonamentului și serviciile activate.

12. Securitatea sistemelor Operatorului

Operatorul este responsabil pentru securitatea NexusERP, infrastructură, rețele, conturi, parole, chei API și reguli de acces.

Operatorul răspunde pentru configurarea utilizatorilor și permisiunilor, stabilirea datelor accesibile prin PionierAI, configurarea conexiunilor, menținerea securității infrastructurii proprii, protecția credențialelor, backup-uri, actualizări, protejarea terminalelor și instruirea utilizatorilor.

Împuternicitul nu este responsabil pentru incidente cauzate de configurări greșite, permisiuni excesive, credențiale compromise, lipsa backup-urilor sau vulnerabilități ale sistemelor Operatorului care nu se află sub controlul Împuternicitului.

13. Subîmputerniciți

PionierAI poate utiliza subprocesatori pentru furnizarea serviciului, inclusiv furnizori de infrastructură cloud/hosting, servicii de autentificare, servicii de e-mail și notificări, procesatori de plăți, servicii de monitorizare, securitate, suport și, după caz, furnizori de servicii AI.

PionierAI se va asigura că subprocesatorii sunt obligați contractual să respecte cerințe adecvate de confidențialitate, securitate și protecție a datelor personale.

Lista subprocesatorilor relevanți poate fi pusă la dispoziția Operatorului sau publicată într-o pagină dedicată. PionierAI va informa Operatorul cu privire la modificările relevante ale subprocesatorilor, conform mecanismului prevăzut în prezentul acord sau în termenii aplicabili.

14. Transferuri internaționale

Dacă furnizarea serviciilor implică transferul datelor în afara Spațiului Economic European, Împuternicitul va lua măsuri pentru ca transferul să fie realizat în conformitate cu legislația aplicabilă.

Aceste măsuri pot include utilizarea unor furnizori aflați în Spațiul Economic European, decizii de adecvare emise de Comisia Europeană, clauze contractuale standard sau alte garanții permise de legislația aplicabilă.

Operatorul va fi informat, la cerere, cu privire la mecanismele relevante aplicabile transferurilor internaționale, în măsura în care acestea privesc datele prelucrate în numele său.

15. Asistență privind drepturile persoanelor vizate

Operatorul este responsabil pentru gestionarea cererilor primite de la persoanele vizate. În măsura în care natura prelucrării permite, Împuternicitul va sprijini Operatorul pentru soluționarea cererilor privind accesul, rectificarea, ștergerea, restricționarea, portabilitatea, opoziția, retragerea consimțământului și alte drepturi prevăzute de lege.

Împuternicitul nu va răspunde direct persoanelor vizate în numele Operatorului, cu excepția cazului în care Părțile convin altfel sau legea impune acest lucru.

16. Incidente de securitate

Împuternicitul va informa Operatorul fără întârzieri nejustificate după ce ia cunoștință de un incident de securitate care afectează datele cu caracter personal prelucrate în numele Operatorului.

Notificarea va include, în măsura în care informațiile sunt disponibile, natura incidentului, categoriile de date și persoane vizate afectate, consecințele probabile, măsurile luate sau propuse și recomandări pentru limitarea efectelor incidentului.

Operatorul este responsabil pentru notificarea autorității de supraveghere și a persoanelor vizate atunci când legea impune acest lucru, cu excepția cazului în care Părțile convin altfel. Împuternicitul va coopera cu Operatorul pentru investigarea și limitarea efectelor incidentului.

17. Audit și demonstrarea conformității

În măsura permisă de lege și în limite rezonabile, PionierAI va pune la dispoziția Operatorului informațiile necesare pentru demonstrarea respectării obligațiilor prevăzute de prezentul acord.

Atunci când este posibil și adecvat, PionierAI poate răspunde unei solicitări de audit prin furnizarea de documentație, rezumate de securitate, chestionare completate, rapoarte, certificări sau alte dovezi rezonabile privind măsurile tehnice și organizatorice aplicate.

Orice audit sau solicitare de informații trebuie să fie proporțională, justificată, notificată în prealabil și realizată astfel încât să nu afecteze securitatea, confidențialitatea, disponibilitatea serviciului sau drepturile altor clienți și utilizatori.

18. Ștergerea sau returnarea datelor

La încetarea furnizării serviciului sau la solicitarea justificată a Operatorului, PionierAI va șterge sau, dacă este posibil și aplicabil, va returna datele personale prelucrate în numele Operatorului, cu excepția cazului în care păstrarea acestora este necesară sau permisă de lege.

În cazul în care ștergerea unui cont sau a unui spațiu de lucru este inițiată din platformă, aceasta poate fi precedată de o perioadă limitată de recuperare sau de pași administrativi suplimentari, conform Termenilor și condițiilor și opțiunilor afișate în platformă.

Perioada de recuperare aplicabilă este cea afișată în platformă sau cea stabilită conform configurării serviciului la momentul inițierii cererii.

Anumite copii de siguranță, loguri sau date tehnice pot fi păstrate pentru o perioadă limitată, conform politicilor de backup, securitate și retenție, după care vor fi șterse sau suprascrise conform procedurilor aplicabile.

19. Răspunderea Părților

Fiecare Parte este responsabilă pentru respectarea obligațiilor care îi revin conform legislației aplicabile privind protecția datelor.

Operatorul este responsabil pentru legalitatea datelor introduse sau conectate în PionierAI, informarea persoanelor vizate, stabilirea temeiurilor legale, configurarea accesului la date, instrucțiunile transmise Împuternicitului, utilizarea platformei de către utilizatori și respectarea obligațiilor sale în calitate de Operator.

Împuternicitul este responsabil pentru prelucrarea datelor conform instrucțiunilor Operatorului, aplicarea măsurilor de securitate adecvate, respectarea prezentului acord, confidențialitatea datelor accesate și cooperarea cu Operatorul în limitele acordului.

Neîndeplinirea culpabilă sau îndeplinirea necorespunzătoare a obligațiilor asumate poate constitui motiv de încetare a contractului principal. Partea afectată poate acorda un termen rezonabil de remediere, cu excepția cazurilor grave, urgente sau imposibil de remediat.

20. Comunicarea dintre Părți și notificări

Solicitările privind serviciile PionierAI care pot implica prelucrarea datelor pot fi transmise prin email, formular de suport, conversație de suport, telefon sau alte mijloace agreate între Părți.

Notificările legate de prezentul acord vor fi transmise la datele de contact indicate în contract, contul de client, platformă sau alte documente agreate.

Operator: clientul care utilizează PionierAI, prin datele indicate în contract, cont sau comandă. Împuternicit: S.C. Nexus Media S.R.L., email protecția datelor office@nexusmedia.ro, email suport office@pionier.ro, telefon 0332.730.730.

21. Relația cu alte documente

Prezentul acord completează Termenii și condițiile, contractul principal, oferta comercială, abonamentul sau orice alt document contractual încheiat între Părți.

În cazul unui conflict între prezentul acord și alte documente contractuale, prevederile prezentului acord prevalează strict în ceea ce privește prelucrarea datelor cu caracter personal în numele Operatorului.

Pentru datele pe care PionierAI le prelucrează în calitate de operator independent, se aplică Politica de confidențialitate PionierAI.

22. Dispoziții finale

22.1. Modificări

Orice modificare a prezentului acord va fi realizată în scris, prin publicarea unei versiuni actualizate, notificare în platformă, email sau alt mijloc agreat de Părți. Dacă modificările afectează semnificativ drepturile sau obligațiile Operatorului, Împuternicitul va încerca să informeze Operatorul prin mijloace rezonabile.

22.2. Validitatea prevederilor

Dacă una sau mai multe prevederi devin invalide, ilegale sau inaplicabile, celelalte prevederi rămân valabile. Părțile vor depune eforturi rezonabile pentru a înlocui prevederea invalidă cu una validă, care să producă efecte cât mai apropiate de scopul inițial.

22.3. Legea aplicabilă

Prezentul acord este guvernat de legislația din România, cu respectarea legislației europene aplicabile privind protecția datelor.

22.4. Intrarea în vigoare

Prezentul acord intră în vigoare la data acceptării Termenilor și condițiilor, la data semnării contractului principal, la data activării abonamentului sau la data începerii utilizării serviciilor PionierAI, după caz.

Anexa 1. Descrierea prelucrării

Obiectul prelucrării: furnizarea platformei PionierAI și a serviciilor asociate, inclusiv acces la aplicație, conversații AI, administrare spații de lucru, conectare la NexusERP, suport, mentenanță și asistență tehnică.

Durata prelucrării: pe durata relației contractuale dintre Părți și ulterior conform perioadelor de retenție aplicabile sau obligațiilor legale.

Natura și scopul prelucrării: Persoana Împuternicită prelucrează datele personale în numele Operatorului pentru furnizarea serviciului PionierAI, inclusiv pentru:

  • crearea și administrarea conturilor de utilizator;
  • administrarea spațiilor de lucru;
  • furnizarea funcționalităților de conversație și asistență AI;
  • conectarea la NexusERP, acolo unde această conexiune este configurată de Operator;
  • afișarea, interpretarea sau utilizarea datelor disponibile prin conexiunea cu NexusERP în cadrul funcționalităților PionierAI;
  • asigurarea securității, monitorizării, diagnosticării și funcționării serviciului;
  • furnizarea suportului tehnic și operațional.

Tipuri de date personale prelucrate: Datele personale prelucrate pot include, în funcție de modul de utilizare a serviciului și de configurările realizate de Operator:

  • date de identificare și contact ale utilizatorilor, precum nume, prenume, adresă de e-mail și alte date asociate contului;
  • date privind autentificarea, rolurile și permisiunile utilizatorilor;
  • date privind spațiile de lucru și apartenența utilizatorilor la acestea;
  • conținutul conversațiilor, întrebărilor, răspunsurilor și interacțiunilor din platformă;
  • date tehnice, precum adrese IP, identificatori tehnici, loguri, informații despre dispozitiv, browser și sesiune;
  • date accesibile prin conexiunea cu NexusERP, în măsura în care acestea sunt disponibile prin configurările realizate de Operator și sunt necesare pentru furnizarea funcționalităților PionierAI.

Categorii de persoane vizate: utilizatori ai platformei, angajați, colaboratori, reprezentanți, clienți, furnizori, parteneri, persoane de contact, delegați și alte persoane ale căror date se regăsesc în sistemele sau documentele Operatorului.

Categorii de destinatari: personal autorizat al Împuternicitului, subîmputerniciți utilizați pentru furnizarea serviciului, furnizori de infrastructură, servicii AI, suport, email, monitorizare tehnică, procesatori de plăți și autorități publice, atunci când legea impune acest lucru.

Anexa 2. Măsuri minime de securitate

Împuternicitul va aplica, după caz, următoarele măsuri minime:

  • autentificare utilizatori și control al accesului pe bază de roluri;
  • limitarea accesului la date și separarea datelor între spații de lucru;
  • criptare în tranzit și, acolo unde este aplicabil, criptare în repaus;
  • logare, monitorizare, backup-uri și protecție infrastructură;
  • actualizări tehnice și proceduri de răspuns la incidente;
  • restricționarea accesului intern și ștergerea accesului pentru personalul care nu mai are nevoie de acesta;
  • instruirea personalului relevant și revizuirea periodică a măsurilor de securitate.