ANEXĂ nr. 3 la Termenii de utilizare: Acord privind prelucrarea datelor

În vigoare de la 26 noiembrie 2025

Acest Acord privind prelucrarea datelor se aplică între Dvs. și ESET ori de câte ori Dvs. prelucrați date cu caracter personal în calitate de operator de date prin utilizarea Serviciilor ESET furnizate în conformitate cu Termenii, iar ESET prelucrează astfel de date cu caracter personal în numele Dvs.

În conformitate cu cerințele Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice prin prisma prelucrării datelor cu caracter personal și prin prisma liberei circulații a acestor date, de abrogare a Directivei 95/46/CE („GDPR”), ESET („Procesator”) și Dvs. („Controlor”) intrați în relația contractuală de prelucrare a datelor cu scopul de a defini termenii și condițiile de prelucrare a datelor cu caracter personal și modul de protecție a acestora, precum și pentru a defini alte drepturi și obligații ale ambelor părți prin prisma prelucrării datelor cu caracter personal ale persoanelor vizate în numele Controlorului pe durata îndeplinirii obiectului acestor Termeni ca principal contract.

1. Prelucrarea datelor cu caracter personal. Serviciile furnizate în conformitate cu acești Termeni includ prelucrarea informațiilor referitoare la o persoană fizică identificată sau identificabilă, în numele Controlorului, conform celor specificate în Politica de confidențialitate („Date cu caracter personal”).

2. Autorizarea. Controlorul autorizează Procesatorul să prelucreze Datele cu caracter personal, inclusiv următoarele instrucțiuni:

(i) „Scopul prelucrării” se referă la furnizarea de Servicii în conformitate cu acești Termeni și cu Documentația. Procesatorului îi este permis să prelucreze Date cu caracter personal în numele Controlorului numai cu privire la furnizarea serviciilor solicitate de către Controlor. Toate informațiile colectate în scopuri suplimentare sunt prelucrate în afara relației contractuale Controlor-Procesator.

(ii) Perioada de prelucrare înseamnă perioada de la începerea cooperării, în conformitate cu acești Termeni, până la încetarea lor,

(iii) Domeniu de aplicare și categorii de date cu caracter personal înseamnă orice date cu caracter personal furnizate sau puse la dispoziție de către Controlor în timpul furnizării Serviciilor. Serviciile sunt destinate exclusiv prelucrării datelor generale cu caracter personal. Cu toate acestea, Controlorul este singurul responsabil pentru determinarea domeniului de aplicare al datelor cu caracter personal.

(iv) „Persoană vizată” înseamnă persoana fizică în calitate de utilizator autorizat al dispozitivelor Controlorului pentru care sunt furnizate Serviciile,

(v) Activități de prelucrare înseamnă orice operațiune necesară pentru prelucrare,

(vi) „Instrucțiunile documentate” se referă la instrucțiunile descrise în acești Termeni, în anexele acestor Termeni, în Politica de confidențialitate și în documentația. Controlorul va fi responsabil pentru admisibilitatea legală a prelucrării Datelor cu caracter personal de către Procesator în ceea ce privește prevederile aplicabile respectiv din legea protecției datelor.

3. Obligațiile Procesatorului. Procesatorul va avea următoarele obligații:

(i) prelucrează date cu caracter personal numai pe baza instrucțiunilor documentate și în conformitate cu Scopul prelucrării,

(ii) să instruiască persoanele autorizate să prelucreze Datele cu caracter personal („Persoane autorizate”) cu privire la drepturile și obligațiile lor în conformitate cu GDPR, cu privire la răspunderea lor în caz de încălcare și să se asigure că Persoanele autorizate s-au angajat să respecte confidențialitatea și să urmeze instrucțiunile documentate,

(iii) să ia toate măsurile legate de securitatea prelucrării, astfel cum se solicită în conformitate cu articolul 32 din GDPR, ținând cont de stadiul tehnic, de costurile de implementare și de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscul de variere a probabilității și a gravității pentru drepturile și libertățile persoanelor fizice, pentru a asigura un nivel de securitate la prelucrarea Datelor cu caracter personal ale Controlorului care este adecvat riscului;

(iv) ținând cont de natura prelucrării, să asiste Controlorul pentru a oferi răspunsuri la solicitările Persoanelor vizate în legătură cu drepturile lor. Procesatorul nu va corecta, șterge sau restricționa prelucrarea Datelor cu caracter personal în absența unor instrucțiuni din partea Controlorului. Toate solicitările din partea Persoanei vizate referitoare la Datele cu caracter personal prelucrate în numele controlorului vor fi transmise fără întârziere controlorului.

(v) să asiste Controlorul în legătură cu notificarea autorității de supraveghere și Persoanei vizate privind încălcarea securității Datelor cu caracter personal. Procesatorul va notifica Controlorul cu privire la orice încălcare a prelucrării Datelor cu caracter personal sau a securității Datelor cu caracter personal, imediat după descoperire. Procesatorul va coopera într-o măsură rezonabilă pentru investigarea și remedierea unei astfel de încălcări și va lua măsuri rezonabile pentru a limita alte implicații negative.

(vi) la alegerea Controlorului, să șteargă sau să returneze toate Datele cu caracter personal Controlorului după încheierea Perioadei de prelucrare. Controlorul se angajează să informeze Procesatorul cu privire la decizia sa în termen de zece (10) zile de la încheierea Perioadei de procesare. Această prevedere nu afectează dreptul Procesatorului de a păstra Datele cu caracter personal, în măsura necesară, în scopuri de arhivare în interes public, în scopuri de cercetare științifică, în scopuri statistice sau în scopul stabilirii, exercitării sau apărării împotriva revendicărilor legale.

(vi) să mențină un registru actualizat al tuturor categoriilor de activități de prelucrare pe care le-a desfășurat în numele Controlorului,

(viii) să pună la dispoziția Controlorului toate informațiile necesare pentru a demonstra conformitatea ca parte a Termenilor, a anexelor acestor Termeni, a Politicii de confidențialitate și a documentației. În cazul auditului sau controlului prelucrării Datelor cu caracter personal din partea Controlorului, Controlorul este obligat să informeze Procesatorul în scris cu cel puțin treizeci (30) de zile înainte de auditul sau controlul planificat.

4. Implicarea altui Procesator. Procesatorul are în general dreptul să implice un alt procesator pentru desfășurarea unor activități de prelucrare specifice, cum ar fi furnizarea de stocare în cloud și infrastructură pentru serviciu, în conformitate cu Termenii, cu Anexele acestor Termeni, cu Politica de confidențialitate și cu Documentația. În acest caz, Procesatorul va rămâne singurul punct de contact și singura parte responsabilă pentru respectarea acestora. Procesatorul se angajează să informeze Controlorul cu privire la orice adăugare sau înlocuire a unei alte persoane împuternicite de operator în scopul posibilității de a se opune unei astfel de modificări. Subprocesatorii angajați în prezent sunt specificați în Politica de confidențialitate a Procesatorului.

5. Teritoriul în care are loc prelucrarea. Procesatorul se va asigura că prelucrarea are loc în Spațiul Economic European sau într-o țară desemnată drept sigură prin decizia Comisiei Europene, în funcție de decizia Controlorului. În cazul transferurilor și prelucrării în afara Spațiului Economic European sau în afara unei țări desemnate drept sigură prin decizia Comisiei Europene, se vor aplica clauzele contractuale standard, la solicitarea Controlorului.

6. Securitatea. Procesatorul este certificat ISO 27001 și folosește cadrul ISO 27001 pentru a implementa o strategie de securitate stratificată atunci când aplică controale de securitate care vizează rețeaua, sistemele de operare, bazele de date, aplicațiile, personalul și procesele operaționale. Conformitatea cu cerințele de reglementare și contractuale este evaluată și revizuită în mod similar altor infrastructuri și operațiuni ale Procesatorului, urmând a se lua măsurile necesare pentru a se asigura continuitatea conformității. Procesatorul a organizat securitatea datelor folosind ISMS bazat pe ISO 27001. Documentația legată de securitate include în principal documente de politică pentru securitatea informațiilor, securitatea fizică și securitatea echipamentelor, gestionarea incidentelor, tratarea scurgerilor de date și incidentelor de securitate etc.

7. Măsuri tehnice și organizatorice. Procesatorul va proteja Datele cu caracter personal împotriva deteriorării și distrugerii ocazionale și ilegale, pierderii ocazionale, modificării, accesului neautorizat și divulgării. În acest scop, Procesatorul va adopta măsuri tehnice și organizatorice adecvate, corespunzătoare modului de prelucrare și riscului prezentat de prelucrare pentru drepturile Persoanelor vizate, în conformitate cu cerințele GDPR. O descriere detaliată a măsurilor tehnice și organizatorice poate fi găsită în Politica de securitate.

8. Informații de contact ale Procesatorului. Toate notificările, solicitările, revendicările și alte comunicări privind protecția datelor cu caracter personal vor fi adresate ESET, spol. s.r.o., în atenția: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.