Politica de Confidențialitate și Acordul de Prelucrare a Datelor - DPA

Art. 1 – Definiții

În sensul prezentei Anexe, termenii de mai jos au următoarele înțelesuri:

Date cu caracter personal – orice informații privind o persoană fizică identificată sau identificabilă, în sensul Regulamentului (UE) 2016/679 („GDPR”).

Prelucrare – orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal, cu sau fără utilizarea de mijloace automatizate, în sensul GDPR.

Operator – persoana fizică sau juridică ce stabilește scopurile și mijloacele prelucrării datelor cu caracter personal.

Persoană împuternicită de operator – persoana fizică sau juridică ce prelucrează date cu caracter personal în numele Operatorului.

Persoană vizată – persoana fizică la care se referă datele cu caracter personal prelucrate.

Subprocesator – orice terță parte desemnată de Putaway pentru a prelucra date cu caracter personal în numele Beneficiarului, în măsura necesară furnizării Serviciilor.

Legislația privind protecția datelor – GDPR, precum și orice alte acte normative aplicabile în materia protecției datelor cu caracter personal.

Servicii – serviciile furnizate de Putaway conform Contractului, incluzând, după caz, accesul la platforma WMS, găzduirea, mentenanța, suportul, funcționalitățile operaționale, integrările, serviciile auxiliare și funcționalitățile de billing.

Servicii terțe – serviciile furnizate de terți și conectate de Beneficiar la platforma Putaway sau utilizate de Putaway pentru furnizarea Serviciilor, cum ar fi servicii de plată, infrastructură, stocare, curieri, email, autentificare, marketplace-uri sau alte integrări externe.

Valabilitate – perioada cuprinsă între data intrării în vigoare a prezentei Anexe și încetarea efectelor Contractului, cu aplicarea obligațiilor post-contractuale prevăzute de legislația aplicabilă și de prezenta Anexă.

Orice alți termeni nedefiniți expres în prezenta Anexă au înțelesul atribuit prin Contract și/sau prin GDPR.

Art. 2 – Obiectul și domeniul de aplicare

Prezenta Anexă reglementează prelucrarea datelor cu caracter personal în contextul furnizării Serviciilor de către Putaway către Beneficiar.

În măsura în care Putaway prelucrează date cu caracter personal pentru organizarea, operarea, securizarea, monitorizarea, susținerea și furnizarea Serviciilor către Beneficiar, această prelucrare se realizează conform prezentei Anexe, Contractului și Legislației privind protecția datelor.

În cazul oricărei neconcordanțe între prevederile prezentei Anexe și alte prevederi contractuale privind protecția datelor, prevederile prezentei Anexe vor prevala în ceea ce privește aspectele de protecție a datelor cu caracter personal.

Art. 3 – Calitatea Părților

3.1 Calitatea Beneficiarului

În raport cu datele cu caracter personal introduse, încărcate, importate, colectate, organizate sau utilizate de Beneficiar în cadrul Serviciilor, Beneficiarul acționează, de regulă, în calitate de Operator.

3.2 Calitatea Putaway

În măsura în care prelucrează aceste date în numele Beneficiarului pentru furnizarea Serviciilor, Putaway acționează în calitate de Persoană împuternicită de operator, în sensul art. 28 GDPR.

3.3 Prelucrări proprii

Pentru datele prelucrate în nume propriu de Putaway, în scopuri precum administrarea relației contractuale, emiterea facturilor, gestionarea plăților, apărarea drepturilor și intereselor legitime, securitatea serviciilor, logarea accesului, auditul și conformarea legală, Putaway poate avea calitatea de Operator independent, în limitele prevăzute de lege.

Art. 4 – Valabilitate și intrare în vigoare

Prezenta Anexă intră în vigoare la data acceptării sale prin mijloace electronice împreună cu Contractul și rămâne aplicabilă pe întreaga durată a Valabilității.

Obligațiile care, prin natura lor, trebuie să continue după încetarea Contractului, inclusiv cele privind confidențialitatea, securitatea, ștergerea sau păstrarea legală a datelor, vor continua să producă efecte și după încetarea relației contractuale.

Art. 5 – Principii generale privind prelucrarea datelor

Beneficiarul și Putaway se obligă să respecte Legislația privind protecția datelor și să coopereze cu bună-credință pentru a asigura o prelucrare legală, echitabilă, transparentă și adecvată scopurilor pentru care datele sunt utilizate.

  1. Beneficiarul garantează că datele comunicate sau puse la dispoziția Putaway au fost colectate și vor fi utilizate în mod legal, în baza unui temei juridic valabil.
  2. Putaway va prelucra datele personale în numele Beneficiarului numai în baza instrucțiunilor documentate ale acestuia, astfel cum rezultă din Contract, din configurațiile și setările utilizate în platformă, din operațiunile inițiate de Beneficiar sau din solicitările ulterioare transmise în mod documentat.
  3. Dacă Putaway consideră că o instrucțiune a Beneficiarului încalcă Legislația privind protecția datelor, Putaway va informa Beneficiarul, în măsura permisă de lege.
  4. În cazul în care Putaway este obligată prin lege să prelucreze anumite date în afara instrucțiunilor Beneficiarului, va informa Beneficiarul înainte de această prelucrare, în măsura permisă de lege.

Art. 6 – Scopurile prelucrării

Datele pot fi prelucrate de Putaway, în funcție de contextul concret, pentru următoarele scopuri:

  1. configurarea, operarea, monitorizarea și furnizarea Serviciilor conform Contractului;
  2. gestionarea conturilor de acces, autentificării, autorizării și securității utilizatorilor Beneficiarului;
  3. administrarea operațiunilor logistice desfășurate prin platformă, precum recepție, stocare, putaway, picking, packing, transferuri, ajustări, inventariere, trasabilitate și expediere;
  4. gestionarea comenzilor, comenzilor la furnizor, NIR-urilor, documentelor operaționale și a fluxurilor asociate acestora;
  5. integrarea cu servicii terțe solicitate sau activate de Beneficiar, precum marketplace-uri, curieri, procesatori de plăți sau alte servicii conectate;
  6. furnizarea suportului tehnic, diagnosticarea problemelor, remedierea incidentelor și menținerea continuității Serviciilor;
  7. asigurarea jurnalizării, auditului, trasabilității, prevenirii fraudelor, securității cibernetice și protejării infrastructurii;
  8. gestionarea relației contractuale, facturării, plăților, notificărilor operaționale și documentelor legale aferente;
  9. respectarea obligațiilor legale, de conformitate, fiscale, contabile și de cooperare cu autoritățile competente;
  10. realizarea de statistici, rapoarte și analize interne pe date agregate sau anonimizate, fără identificarea persoanelor vizate.

Art. 7 – Natura operațiunilor de prelucrare

În contextul furnizării Serviciilor, Putaway poate efectua, după caz, următoarele operațiuni de prelucrare: colectare, înregistrare, organizare, structurare, stocare, adaptare, modificare, consultare, utilizare, divulgare prin transmitere, punere la dispoziție, corelare, limitare, arhivare, ștergere sau distrugere.

Prelucrarea se realizează prin mijloace electronice și organizatorice adecvate, inclusiv prin utilizarea infrastructurii software, bazelor de date, sistemelor de logare, sistemelor de backup, instrumentelor de suport și serviciilor terțe utilizate pentru furnizarea Serviciilor.

Art. 8 – Categorii de date cu caracter personal

În funcție de modul în care Beneficiarul utilizează Serviciile, Putaway poate prelucra, în numele Beneficiarului, inclusiv următoarele categorii de date:

  1. date de identificare și profil pentru utilizatori, angajați, colaboratori sau reprezentanți ai Beneficiarului, precum nume, prenume, adresă de email, număr de telefon, funcție sau identificatori interni;
  2. date privind autentificarea și utilizarea platformei, precum adrese IP, identificatori de dispozitiv, jurnale de acces, istoric de autentificare, acțiuni efectuate în platformă, date de sesiune și evenimente de securitate;
  3. date despre clienții finali ai Beneficiarului, inclusiv nume, prenume, email, telefon, adrese de facturare și livrare, detalii de contact și alte date introduse de Beneficiar în comenzi sau profiluri;
  4. date privind furnizorii, partenerii logistici sau alți parteneri comerciali ai Beneficiarului, inclusiv date de identificare și date de contact;
  5. date conținute în comenzi, comenzi la furnizor, NIR-uri, ajustări, expediții, retururi, facturi, AWB-uri, documente operaționale și alte înregistrări generate în cadrul Serviciilor;
  6. date privind produse, stocuri, loturi, locații, trasabilitate, operațiuni de depozit și alte date operaționale asociate activității Beneficiarului, în măsura în care acestea includ sau pot include date privind persoane fizice;
  7. date de billing, contractare și plată, inclusiv nume firmă, identificatori fiscali, date de contact, adresă, email de billing, telefon, statusuri contractuale și metadate de plată;
  8. date transmise prin tichete, mesaje, solicitări de suport sau alte comunicări inițiate de Beneficiar sau utilizatorii săi;
  9. orice alte date personale pe care Beneficiarul alege să le introducă, importe, sincronizeze sau prelucreze prin intermediul Serviciilor, pe propria răspundere și cu respectarea legii.

Art. 9 – Categorii de persoane vizate

Categoriile de persoane vizate pot include, după caz:

  1. utilizatori ai Beneficiarului, administratori, angajați, colaboratori, contractori și reprezentanți autorizați;
  2. clienți finali, destinatari, persoane de contact, reprezentanți de livrare sau facturare;
  3. furnizori, parteneri, transportatori, reprezentanți ai acestora sau alte persoane de contact operaționale;
  4. persoane care interacționează cu Beneficiarul prin intermediul Serviciilor sau ale căror date sunt introduse în Servicii de către Beneficiar.

Art. 10 – Temeiurile juridice ale prelucrării

În măsura în care Putaway acționează ca Operator independent, prelucrarea datelor se poate baza, după caz, pe unul sau mai multe dintre următoarele temeiuri juridice:

  1. executarea Contractului sau efectuarea de demersuri necesare la cererea persoanei vizate ori a Beneficiarului înainte de încheierea Contractului;
  2. îndeplinirea unor obligații legale aplicabile Putaway;
  3. interesul legitim al Putaway de a asigura securitatea, funcționarea, auditarea, apărarea drepturilor sale și buna administrare a Serviciilor;
  4. consimțământul persoanei vizate, atunci când acesta este necesar și aplicabil potrivit legii;
  5. alte temeiuri juridice permise de Legislația privind protecția datelor.

În măsura în care Putaway acționează ca Persoană împuternicită de operator, temeiul juridic al prelucrării în raport cu persoanele vizate revine Beneficiarului, în calitate de Operator.

Art. 11 – Obligațiile Beneficiarului

  1. Beneficiarul este singurul răspunzător pentru legalitatea colectării și utilizării datelor personale introduse în Servicii.
  2. Beneficiarul se obligă să furnizeze persoanelor vizate informațiile necesare, să stabilească temeiurile legale aplicabile și să răspundă pentru exactitatea și actualitatea datelor introduse.
  3. Beneficiarul este responsabil pentru setările, permisiunile, accesul utilizatorilor, parolele, dispozitivele și mediile prin care utilizează Serviciile.
  4. Beneficiarul nu va solicita Putaway efectuarea unor prelucrări contrare legii și va utiliza Serviciile exclusiv în scopuri licite și conforme cu Contractul.
  5. În cazul utilizării unor Servicii terțe, Beneficiarul este responsabil pentru a se asigura că acestea sunt utilizate în condiții legale și sigure.

Art. 12 – Confidențialitate și personal autorizat

Putaway se asigură că persoanele autorizate să prelucreze date cu caracter personal au fost instruite corespunzător și sunt ținute de obligații contractuale sau legale de confidențialitate.

Accesul la date este limitat la personalul și colaboratorii care au nevoie de aceste date pentru furnizarea, administrarea, securizarea sau susținerea Serviciilor.

Art. 13 – Măsuri tehnice și organizatorice de securitate

Putaway va implementa măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului, în conformitate cu art. 32 GDPR.

Aceste măsuri pot include, după caz:

  1. controlul accesului, autentificare, autorizare și gestionarea rolurilor și permisiunilor;
  2. logare, audit, trasabilitate și monitorizare a utilizării Serviciilor;
  3. măsuri de protecție împotriva accesului neautorizat, distrugerii, pierderii, alterării sau divulgării neautorizate a datelor;
  4. backup, restaurare și continuitate operațională;
  5. măsuri de izolare logică, inclusiv segregarea datelor pe client;
  6. măsuri de securitate aplicabile infrastructurii, comunicațiilor, stocării și sistemelor auxiliare folosite pentru furnizarea Serviciilor;
  7. procese interne rezonabile pentru gestionarea vulnerabilităților, incidentelor și accesului la date.

Putaway nu garantează securitate absolută, dar se obligă să mențină un nivel adecvat de protecție raportat la riscurile rezonabil previzibile.

Art. 14 – Solicitările persoanelor vizate

Putaway va asista Beneficiarul, în măsura rezonabilă și posibilă tehnic, pentru a răspunde solicitărilor persoanelor vizate privind exercitarea drepturilor prevăzute de GDPR, inclusiv dreptul de acces, rectificare, ștergere, restricționare, opoziție și portabilitate, după caz.

În cazul în care Putaway primește direct o cerere sau reclamație privind datele prelucrate în numele Beneficiarului, va informa Beneficiarul fără întârzieri nejustificate, în măsura permisă de lege.

În cazul în care solicitarea presupune intervenții suplimentare semnificative din partea Putaway, care depășesc funcționalitățile standard deja disponibile Beneficiarului în Servicii, Putaway poate percepe un cost rezonabil, comunicat în prealabil.

Art. 15 – Încălcări ale securității datelor

În cazul în care Putaway constată sau are suspiciuni rezonabile cu privire la un incident de securitate care afectează datele personale prelucrate în numele Beneficiarului, va notifica Beneficiarul fără întârzieri nejustificate, folosind datele de contact furnizate de acesta.

Putaway va depune eforturi rezonabile pentru a furniza informațiile relevante disponibile și pentru a limita efectele incidentului, precum și pentru a remedia, în măsura posibilului, cauza și consecințele acestuia.

Beneficiarul rămâne responsabil pentru evaluarea obligațiilor sale legale de notificare față de autorități și persoane vizate, în calitate de Operator.

Art. 16 – Subprocesatori

16.1 Autorizare generală

Beneficiarul autorizează în mod general Putaway să utilizeze Subprocesatori pentru furnizarea Serviciilor, cu respectarea prezentei Anexe și a Legislației privind protecția datelor.

16.2 Obligațiile Putaway

Putaway va încheia cu Subprocesatorii obligațiilor contractuale adecvate, care să ofere un nivel de protecție a datelor cel puțin echivalent cu obligațiile relevante aplicabile Putaway conform prezentei Anexe.

16.3 Schimbarea Subprocesatorilor

Putaway poate actualiza lista Subprocesatorilor utilizați pentru furnizarea Serviciilor. În măsura în care este necesar și rezonabil, Beneficiarul va fi informat despre modificări relevante, inclusiv despre adăugarea sau înlocuirea unui Subprocesator care poate avea impact semnificativ asupra prelucrării.

16.4 Obiecții rezonabile

Dacă Beneficiarul formulează, în scris și motivat, obiecții rezonabile cu privire la desemnarea unui nou Subprocesator, Părțile vor coopera cu bună-credință pentru a identifica o soluție rezonabilă din punct de vedere comercial și tehnic. Dacă o astfel de soluție nu este posibilă, Beneficiarul poate înceta utilizarea serviciului afectat sau, dacă este cazul, poate solicita încetarea Contractului în condițiile prevăzute de acesta.

Art. 17 – Transferuri internaționale de date

Putaway nu va transfera date cu caracter personal în afara Spațiului Economic European decât în măsura în care acest lucru este necesar pentru furnizarea Serviciilor și este permis de Legislația privind protecția datelor.

În cazul unor astfel de transferuri, Putaway va utiliza mecanisme legale adecvate, inclusiv clauze contractuale standard, decizii de adecvare sau alte garanții recunoscute de lege, după caz.

Art. 18 – Audit și demonstrarea conformității

La solicitarea rezonabilă a Beneficiarului, Putaway va pune la dispoziția acestuia informațiile rezonabil necesare pentru a demonstra conformitatea cu obligațiile relevante prevăzute la art. 28 GDPR.

Orice audit sau inspecție va fi planificat(ă) în mod rezonabil, cu notificare prealabilă, fără a afecta securitatea, confidențialitatea, continuitatea Serviciilor sau drepturile altor clienți ai Putaway.

Putaway poate solicita condiții rezonabile privind confidențialitatea, domeniul, durata și modalitatea de desfășurare a auditului și poate percepe costuri rezonabile dacă auditul presupune resurse suplimentare semnificative.

Art. 19 – Servicii terțe

În cazul în care Beneficiarul activează, conectează sau utilizează Servicii terțe împreună cu platforma Putaway, acesta este responsabil pentru verificarea legalității și securității relației sale cu furnizorii respectivi.

Prezenta Anexă nu reglementează raportul juridic dintre Beneficiar și furnizorii acelor Servicii terțe, în măsura în care aceștia prelucrează date în baza propriilor termeni și condiții sau în calitate de operatori independenți ori procesatori desemnați direct de Beneficiar.

Art. 20 – Date agregate și anonimizate

Putaway poate utiliza date agregate, statistice sau anonimizate rezultate din utilizarea Serviciilor, exclusiv în măsura în care aceste date nu permit identificarea directă sau indirectă a persoanelor vizate sau a Beneficiarului, pentru scopuri precum analiză, îmbunătățirea Serviciilor, raportare internă, benchmarking și dezvoltare de produse.

Art. 21 – Durata stocării datelor

Putaway va prelucra și stoca datele cu caracter personal atât timp cât este necesar pentru furnizarea Serviciilor, executarea Contractului, respectarea obligațiilor legale, apărarea drepturilor sale și îndeplinirea scopurilor legitime descrise în prezenta Anexă.

Durata exactă a stocării poate varia în funcție de categoria de date, natura operațiunii, configurația Serviciilor, obligațiile legale de păstrare și instrucțiunile documentate ale Beneficiarului.

Art. 22 – Ștergerea și returnarea datelor

22.1 În timpul Valabilității

În măsura în care Serviciile permit inițierea sau efectuarea de către Beneficiar a ștergerii anumitor date, Putaway va procesa aceste operațiuni potrivit funcționalităților existente și arhitecturii tehnice a Serviciilor.

Dacă Beneficiarul solicită intervenții suplimentare de ștergere care nu sunt disponibile prin funcționalitățile standard, Putaway va analiza cererea și îi va da curs în măsura în care aceasta este posibilă tehnic, rezonabilă și compatibilă cu obligațiile legale aplicabile.

22.2 La încetarea Contractului

După încetarea Contractului și expirarea eventualelor perioade operaționale sau legale aplicabile, Putaway va șterge sau face inaccesibile datele prelucrate în numele Beneficiarului, cu excepția situațiilor în care legislația aplicabilă impune păstrarea lor pentru o perioadă mai lungă.

Operațiunile de ștergere pot fi realizate etapizat, în funcție de arhitectura sistemului, ciclurile de backup, obligațiile legale și procesele interne rezonabile de retenție și securitate.

Art. 23 – Drepturile persoanelor vizate și date de contact

Persoanele vizate beneficiază de drepturile prevăzute de GDPR, în măsura în care acestea sunt aplicabile: dreptul la informare, acces, rectificare, ștergere, restricționare, opoziție, portabilitate, precum și dreptul de a formula plângere la autoritatea competentă de supraveghere.

În măsura în care Putaway acționează ca Operator independent, solicitările legate de protecția datelor pot fi transmise la adresa de contact: [email protected] sau la orice altă adresă comunicată oficial de Putaway pentru astfel de solicitări.

În măsura în care Putaway acționează ca Persoană împuternicită de operator, solicitările privind datele prelucrate în numele Beneficiarului trebuie adresate cu prioritate Beneficiarului, în calitate de Operator.

Art. 24 – Dispoziții finale

Beneficiarul confirmă că a citit, a înțeles și acceptă prezenta Anexă și că aceasta reflectă în mod adecvat relația juridică dintre Părți în materia protecției datelor, atât din perspectiva informării generale privind confidențialitatea, cât și din perspectiva prelucrării datelor în numele Beneficiarului, în condițiile art. 28 GDPR.

Prezenta Anexă se interpretează în strânsă legătură cu Contractul și cu celelalte documente legale aplicabile în cadrul platformei Putaway.

Prezenta Anexă face parte integrantă din Contractul încheiat între SC BRAND DISTRIBUTION TRADE SRL, identificată comercial sub denumirea Putaway și Beneficiar.

Această Anexă stabilește atât condițiile generale privind confidențialitatea și protecția datelor, cât și termenii în care Putaway prelucrează date cu caracter personal în numele Beneficiarului, în legătură cu furnizarea Serviciilor.

Versiunea 1 • Publicat 27 aprilie 2026