Prelucrare date
1. Obiect și durată
Persoana împuternicită (Simon Kappelmeir – Dienstleistung, Weiherbachweg 6, 82216 Maisach, Germania, support@horticum.com) pune la dispoziția operatorului software-ul „Horticum" ca aplicație SaaS și prelucrează date cu caracter personal exclusiv în numele operatorului în conformitate cu art. 28 RGPD. Acest Acord de prelucrare a datelor (DPA) intră în vigoare la încheierea contractului principal (contractul de utilizare a aplicației) și încetează automat odată cu acesta. Prelucrarea are loc exclusiv în UE/SEE sau în țări terțe acoperite de o decizie de adecvare ori prin garanții adecvate (Clauze contractuale standard, SCC).
2. Natura și scopul prelucrării
Scopul prelucrării este furnizarea funcționalităților aplicației, în special: • Planificarea straturilor, planificarea culturilor, gestionarea sarcinilor și a planului zilnic • Pontajul și gestionarea absențelor angajaților • Documentarea fitosanitară și a fertilizării • Registrul de prim ajutor (conform DGUV) • Gestionarea contactelor (clienți, furnizori, persoane de contact) • Tipărirea etichetelor și a listelor (abonament Pro+) • Sincronizarea între dispozitive • Gestionarea contului și a abonamentului
3. Tipuri de date cu caracter personal
• Date de bază și de comunicare (nume, adresă, telefon, e-mail) • Date de autentificare/cont (e-mail, hash de parolă, jeton de sesiune, adrese IP) • Date de bază comerciale (cod fiscal, CIF, IBAN/BIC) • Date operaționale de planificare și control • Date de pontaj și absențe • Categorii speciale conform art. 9 RGPD: date privind sănătatea angajaților din registrul digital de prim ajutor (păstrare legală 5 ani conform Regulamentului DGUV 1) • Date privind aplicarea produselor fitosanitare (date privind calificarea, numele aplicatorilor, aplicări — conform § 11 PflSchG, 3 ani) • Date privind fertilizarea (conform DüV)
4. Categorii de persoane vizate
• Proprietarul sau conducerea operatorului • Angajații și ucenicii operatorului • Clienții, furnizorii și persoanele de contact ale operatorului • Clienții finali ai operatorului (în măsura în care sunt stocați în gestionarea contactelor)
5. Obligațiile persoanei împuternicite
Persoana împuternicită se angajează să prelucreze datele cu caracter personal exclusiv în cadrul acestui acord și conform instrucțiunilor documentate ale operatorului (art. 28 alin. (3) lit. a RGPD). Toate persoanele implicate în prelucrare sunt obligate la confidențialitate (art. 28 alin. (3) lit. b, art. 29, art. 32 alin. (4) RGPD). Persoana împuternicită îl sprijină pe operator în garantarea drepturilor persoanelor vizate (art. 12–22 RGPD) și în îndeplinirea obligațiilor conform art. 32–36 RGPD (evaluarea impactului, consultarea prealabilă, notificarea încălcărilor). Solicitările adresate vizibil operatorului sunt redirecționate fără întârziere. Persoana de contact pentru protecția datelor: Simon Kappelmeir, support@horticum.com. În prezent nu este obligatorie numirea unui responsabil cu protecția datelor.
6. Măsuri tehnice și organizatorice (MTO)
Persoana împuternicită implementează toate măsurile tehnice și organizatorice necesare conform art. 32 RGPD, în special: • Controlul accesului fizic: găzduire în centru de date certificat în Germania (ISO 27001), control fizic al accesului și supraveghere 24/7 • Controlul accesului la sistem: autentificare prin e-mail/parolă, hashuri Argon2id/Bcrypt, cheie SSH publică pentru admin, limitarea numărului de încercări, expirarea sesiunii • Controlul accesului la date: separarea pe operator prin echipe Appwrite, model de permisiuni bazat pe roluri • Controlul transferului: exclusiv TLS 1.2+ (HTTPS), HSTS activat • Controlul introducerii: pistă de audit (createdAt, updatedAt) pe toate înregistrările relevante • Controlul comenzii: DPA cu toate persoanele subîmputernicite • Controlul disponibilității: backup zilnic (păstrare 14 zile), monitorizare, RTO/RPO < 24 h, firewall, actualizări periodice • Controlul separării: medii separate test/dezvoltare/producție, separarea pe operator la nivel de bază de date • Pseudonimizare: ID-uri interne în loc de nume reale în jurnalele server
7. Persoane subîmputernicite
Prin încheierea acestui acord, operatorul acordă autorizarea generală pentru utilizarea următoarelor persoane subîmputernicite (art. 28 alin. (2) RGPD): • dogado GmbH (Dortmund, DE) — găzduire web/mail, proxy server pentru validare VIES • dogado GmbH sau gazdă comparabilă (DE) — operarea serverului Appwrite în Germania • Stripe Payments Europe Ltd. (Dublin, IE) — procesarea plăților abonamentelor Pro/Pro+ (pentru transferuri SUA: SCC + DPF) • Apple Distribution International Ltd. (Cork, IE) — procesarea plăților iOS/macOS prin In-App Purchase • fintectura GmbH / openiban.com (Berlin, DE) — validare IBAN • Comisia Europeană, DG TAXUD (Bruxelles, BE) — verificare CIF VIES • komoot GmbH (Karlsruhe, DE) — geocodare Photon • zippopotam.us — căutare cod poștal → oraș Persoana împuternicită notifică operatorul în formă text cu cel puțin 30 de zile înainte de orice modificare. Operatorul poate obiecta în termen de 14 zile pentru motive importante. Persoana împuternicită răspunde pentru respectarea obligațiilor de protecția datelor de către subîmputerniciți (art. 28 alin. (4) RGPD).
8. Evaluarea impactului și consultarea prealabilă
Persoana împuternicită îl sprijină pe operator, în limitele posibilităților sale, la efectuarea unei evaluări a impactului asupra protecției datelor (art. 35 RGPD) și a unei consultări prealabile a autorității de supraveghere (art. 36 RGPD), în special prin furnizarea informațiilor necesare privind operațiunile de prelucrare, MTO și subîmputerniciții.
9. Notificarea încălcărilor
Încălcările privind datele cu caracter personal sunt raportate operatorului fără întârziere, cel târziu în 48 de ore de la luarea la cunoștință, prin e-mail la adresa de contact înregistrată — pentru ca operatorul să poată respecta propriul termen de 72 de ore (art. 33 RGPD). Notificarea conține natura și amploarea încălcării, categoriile de date și numărul aproximativ al persoanelor vizate, consecințele probabile și măsurile luate sau propuse.
10. Încetarea prelucrării
La încetarea contractului principal, persoana împuternicită șterge toate datele cu caracter personal ale operatorului în termen de 30 de zile, cu excepția cazului în care există o obligație legală de păstrare. La cererea operatorului, datele sunt puse la dispoziție în prealabil într-un format care poate fi citit automat (export JSON). Datele supuse păstrării legale (înregistrări de prim ajutor: 5 ani conform DGUV; date fitosanitare: 3 ani conform PflSchG) sunt păstrate blocate până la expirarea termenului și apoi șterse. Ștergerea este confirmată în scris la cerere.
11. Dovezi și audit
Operatorul poate verifica respectarea prezentului acord de către persoana împuternicită (art. 28 alin. (3) lit. h RGPD). Verificarea se realizează în primul rând prin solicitarea de dovezi actuale (concept de protecție a datelor, MTO, lista subprocesatorilor, rapoarte de audit). Inspecțiile la fața locului sunt posibile o dată pe an în timpul orelor normale de lucru, după programare prealabilă cu cel puțin 4 săptămâni înainte. Efortul pentru însoțire se rambursează la un tarif orar convenit în prealabil.
12. Dispoziții finale
Modificările și completările prezentului acord necesită formă text; aceasta se aplică și pentru anularea acestei clauze. Dacă anumite prevederi sunt nule, valabilitatea celorlalte prevederi nu este afectată. Prevederea nulă va fi înlocuită cu o prevedere valabilă care se apropie cel mai mult de scopul economic. Se aplică dreptul german. Instanța competentă este — în măsura permisă de lege — Maisach (sediul persoanei împuternicite). Răspunderea este reglementată de art. 82 RGPD, iar în rest de contractul principal.