Acord de prelucrare a datelor #
Data intrării în vigoare: 22 aprilie 2026
Acest Acord de prelucrare a datelor („DPA”) face parte din acordul dintre client („Operatorul”) și EthicsPortal („Persoana împuternicită”) pentru furnizarea platformei EthicsPortal de raportare a avertizărilor de integritate („Serviciul”).
Aveți nevoie de o copie semnată? Scrieți la legal@ethicsportal.eu pentru a solicita o versiune PDF contrasemnată a acestui DPA pentru arhiva dvs.
1. Părțile #
Operatorul: organizația care se abonează la EthicsPortal și stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal prin intermediul Serviciului.
Persoana împuternicită: EthicsPortal, operat de Yaroslav Shmarov, cu adresa înregistrată la ul. Obrzeżna 1A, 02-691 Varșovia, Polonia. Contact: legal@ethicsportal.eu .
2. Domeniul și scopul prelucrării #
Persoana împuternicită prelucrează date cu caracter personal în numele Operatorului exclusiv pentru furnizarea Serviciului, ceea ce include:
- primirea și stocarea raportărilor;
- facilitarea comunicării securizate între persoanele care raportează și responsabilii de caz;
- gestionarea fluxurilor de lucru ale cazurilor (atribuire, urmărirea statutului, soluționare);
- generarea jurnalelor de audit și a evidențelor de conformitate;
- trimiterea notificărilor tranzacționale prin e-mail către responsabilii de caz și administratorii organizației;
- procesarea plăților pentru Serviciu.
Persoana împuternicită nu prelucrează date cu caracter personal pentru niciun alt scop decât furnizarea Serviciului conform instrucțiunilor Operatorului.
3. Tipuri de date cu caracter personal prelucrate #
| Categoria de date | Exemple | Criptate în repaus |
|---|---|---|
| Identitatea persoanei care raportează (opțional) | Nume, adresă de e-mail, număr de telefon | Da (nedeterminist) |
| Conținutul raportării | Descrierea situației raportate | Da (nedeterminist) |
| Conținutul comunicării | Mesaje între persoana care raportează și responsabilul de caz | Da (nedeterminist) |
| Fișiere atașate | Documente, imagini, audio, video încărcate de persoanele care raportează | Stocate după eliminarea metadatelor |
| Coduri de acces | Coduri unice folosite de persoanele care raportează pentru a-și accesa raportările | Da |
| Date ale responsabililor de caz și administratorilor | Nume, adresă de e-mail, rol, apartenență la organizație | Nu (date operaționale) |
| Înregistrări în jurnalul de audit | Marcaje temporale, identitatea actorului, tipul acțiunii | Nu (evidențe critice pentru integritate) |
| Date tehnice | Adrese IP transformate prin hash unidirecțional (nereversibil), folosite exclusiv pentru limitarea abuzului | Nu se aplică (hash, nu adresă IP stocată în clar) |
4. Categorii de persoane vizate #
- Avertizori / persoane care raportează — persoane care trimit raportări prin portal (pot rămâne anonime)
- Responsabili de caz — persoane desemnate de Operator pentru a primi și gestiona raportările
- Administratori ai organizației — persoane care gestionează contul și setările organizației în EthicsPortal
5. Durata prelucrării #
Persoana împuternicită prelucrează date cu caracter personal pe durata abonamentului Operatorului la Serviciu. La încetare:
- Operatorul își poate exporta datele înainte de expirarea abonamentului.
- Datele din raportări sunt păstrate conform perioadei de retenție configurate de Operator (12, 24, 36 sau 60 de luni de la închiderea raportării) și apoi sunt șterse definitiv.
- La solicitare scrisă, Persoana împuternicită va șterge toate datele rămase ale Operatorului în termen de 30 de zile de la încetarea abonamentului, cu excepția cazului în care păstrarea este impusă de legea aplicabilă.
6. Obligațiile Persoanei împuternicite #
6.1 Instrucțiuni de prelucrare #
Persoana împuternicită prelucrează date cu caracter personal numai pe baza instrucțiunilor documentate ale Operatorului, cu excepția cazului în care dreptul UE sau al unui stat membru impune altfel. Dacă apare o astfel de obligație legală, Persoana împuternicită va informa Operatorul înainte de prelucrare, cu excepția cazului în care legea interzice o astfel de notificare.
6.2 Confidențialitate #
Toate persoanele autorizate să prelucreze date cu caracter personal și-au asumat obligații de confidențialitate sau sunt supuse unei obligații legale adecvate de confidențialitate.
6.3 Măsuri de securitate #
Persoana împuternicită implementează și menține măsurile tehnice și organizatorice descrise pe pagina Securitate , inclusiv:
- criptare nedeterministă în repaus pentru toate datele sensibile din raportări;
- lipsa stocării adreselor IP brute ale persoanelor care raportează în baza de date (doar hash unidirecțional pentru limitarea abuzului);
- eliminarea automată a metadatelor fișierelor (EXIF, GPS, date despre autor);
- control al accesului bazat pe roluri, prin politici de autorizare Pundit;
- jurnal de audit doar cu adăugare pentru toate acțiunile;
- limitarea traficului pe toate punctele de acces publice ale portalului;
- HTTPS/TLS pentru toate conexiunile;
- protecție CSRF.
Vulnerabilitățile și incidentele de securitate pot fi raportate la security@ethicsportal.eu . Întrebările privind drepturile persoanelor vizate și Responsabilul cu protecția datelor pot fi adresate la privacy@ethicsportal.eu sau dpo@ethicsportal.eu .
6.4 Subprocesatori #
Persoana împuternicită utilizează subprocesatorii enumerați în secțiunea 8. Persoana împuternicită va notifica Operatorul cu cel puțin 30 de zile înainte de adăugarea sau înlocuirea unui subprocesator. Operatorul se poate opune modificării; dacă nu se ajunge la o soluție, Operatorul poate înceta acordul.
6.5 Drepturile persoanelor vizate #
Persoana împuternicită asistă Operatorul în răspunsul la solicitările persoanelor vizate care își exercită drepturile în temeiul GDPR (acces, rectificare, ștergere, restricționare, portabilitate, opoziție), prin furnizarea capabilităților tehnice necesare în cadrul Serviciului.
6.6 Notificarea încălcărilor securității datelor #
În cazul unei încălcări a securității datelor cu caracter personal, Persoana împuternicită va notifica Operatorul fără întârzieri nejustificate și, în orice caz, în termen de 72 de ore de la momentul la care a luat cunoștință de incident. Notificarea va include:
- o descriere a naturii incidentului;
- categoriile și numărul aproximativ al persoanelor vizate afectate;
- consecințele probabile ale incidentului;
- măsurile luate sau propuse pentru remediere.
6.7 Evaluări de impact asupra protecției datelor #
Persoana împuternicită asistă Operatorul în realizarea evaluărilor de impact asupra protecției datelor și în consultările prealabile cu autoritățile de supraveghere, în măsura în care activitățile Persoanei împuternicite impun o astfel de asistență.
6.8 Ștergerea și returnarea datelor #
La încetarea Serviciului, Persoana împuternicită va, la alegerea Operatorului:
- returna toate datele cu caracter personal către Operator în formatele de export puse la dispoziție de Serviciu la data încetării, inclusiv exporturile PDF ale cazurilor și fișierele asociate, sau
- șterge toate datele cu caracter personal și confirma ștergerea în scris,
cu excepția cazului în care dreptul UE sau al unui stat membru impune păstrarea în continuare.
Dacă Operatorul solicită în mod rezonabil un format suplimentar de portabilitate pentru migrare sau revizuire de reglementare, Persoana împuternicită va analiza solicitarea cu bună-credință și, acolo unde este fezabil din punct de vedere tehnic, îl va furniza în baza unei solicitări scrise separate.
6.9 Drepturi de audit #
Persoana împuternicită pune la dispoziția Operatorului toate informațiile necesare pentru a demonstra conformitatea cu obligațiile din articolul 28 GDPR. Operatorul poate efectua audituri, inclusiv inspecții, direct sau printr-un auditor mandatat, sub rezerva unei notificări prealabile rezonabile (cel puțin 30 de zile) și în timpul programului normal de lucru. Persoana împuternicită va coopera cu astfel de audituri.
6.10 Nicio prelucrare AI sau LLM a datelor cu caracter personal #
Persoana împuternicită se angajează că datele cu caracter personal prelucrate în temeiul prezentei DPA — inclusiv conținutul raportărilor, identitatea persoanei care raportează, mesajele responsabililor de caz, atașamentele și înregistrările jurnalului de audit — nu sunt transmise către niciun model lingvistic mare, serviciu de AI generativă sau clasificator bazat pe AI, indiferent dacă este operat de Persoana împuternicită sau de un terț (inclusiv, dar fără a se limita la OpenAI, Anthropic, Google și Mistral). Serviciul nu efectuează categorizare, triere, sintetizare, traducere sau sugerare de răspunsuri prin AI asupra datelor cu caracter personal. Operatorul se poate baza pe acest angajament la evaluarea obligațiilor privind decizia automată în temeiul articolului 22 GDPR și la stabilirea sferei dezvăluirii subprocesatorilor în propriile note de informare și evaluări de impact (DPIA). Orice modificare a acestui angajament ar constitui o modificare substanțială a Serviciului și ar fi notificată Operatorului în conformitate cu Secțiunea 6.4 (Subprocesatori) și Secțiunea 11 (Durată și încetare).
Traducerea automată statistică găzduită local, care rulează în întregime pe infrastructură controlată de Persoana împuternicită (nicio dată nu părăsește această infrastructură, nicio chemare externă de inferență), nu intră în domeniul acestei restricții și poate fi utilizată pentru traducerea mesajelor persoanei care raportează sau ale responsabilului de caz, atunci când Operatorul a activat-o.
Acest angajament este revizuit anual. Data „Ultima actualizare" din partea de sus a prezentei DPA reflectă cea mai recentă confirmare. Dacă, la un moment dat, Persoana împuternicită intenționează să introducă prelucrare AI sau LLM a datelor cu caracter personal care intră în domeniul prezentei DPA, va notifica Operatorul în conformitate cu Secțiunea 6.4, iar modificarea va intra în vigoare nu mai devreme de expirarea perioadei de preaviz menționate acolo.
6.11 Chei de criptare gestionate de client (BYOK) #
Serviciul nu acceptă chei de criptare gestionate de client — fie că sunt descrise ca bring-your-own-key (BYOK), hold-your-own-key (HYOK) sau integrare cu un serviciu extern de gestionare a cheilor (KMS). Aceasta este o alegere arhitecturală deliberată, nu o limitare operațională, și se bazează pe două garanții de confidențialitate și de ciclu de viață pe care Persoana împuternicită și le asumă în alte secțiuni ale prezentei DPA:
- Limita cheilor între persoana care raportează și responsabilul de caz. Datele cu caracter personal acoperite de prezenta DPA sunt criptate în repaus cu chei gestionate de Persoana împuternicită și păstrate în cadrul Serviciului. Limita de criptare care protejează identitatea persoanei care raportează și conținutul raportării față de părți externe este aceeași limită care le protejează și față de proprii administratori IT ai Operatorului. Transferul custodiei cheilor către Operator ar muta această limită în mediul Operatorului, unde administratorii din partea Operatorului ar deveni, în principiu, capabili să decripteze identitatea persoanei care raportează — inversând modelul de confidențialitate impus de Art. 16 din Directiva 2019/1937.
- Garanția ștergerii de la un capăt la altul. Ștergerea bazată pe perioada de retenție (Art. 5(1)(e) GDPR) și ștergerea contractuală la încetare (Secțiunea 6.8 de mai sus) se bazează pe capacitatea Persoanei împuternicite de a distruge criptografic și fizic datele protejate prin cheie, independent de Operator. O cheie deținută de Operator ar crea o categorie de eșec în care Persoana împuternicită nu ar putea, singură, să garanteze ștergerea completă în intervalul contractual.
Schema de criptare în repaus, proprietățile de criptare nedeterministă și izolarea cheilor ale Persoanei împuternicite sunt documentate pe pagina Securitate . O modificare a acestei poziții ar constitui o modificare substanțială a Serviciului și ar fi notificată Operatorului în conformitate cu Secțiunea 6.4 (Subprocesatori) și Secțiunea 11 (Durată și încetare).
7. Obligațiile Operatorului #
Operatorul este responsabil pentru:
- asigurarea unui temei legal pentru prelucrarea datelor cu caracter personal prin intermediul Serviciului;
- furnizarea informărilor de confidențialitate necesare persoanelor vizate (EthicsPortal afișează o informare de confidențialitate în formularul public de raportare);
- configurarea perioadelor de retenție adecvate în cadrul Serviciului;
- desemnarea responsabililor de caz și a administratorilor autorizați;
- răspunsul la solicitările persoanelor vizate, cu asistența Persoanei împuternicite, așa cum este descris mai sus.
8. Subprocesatori #
Următorii subprocesatori sunt autorizați la data intrării în vigoare a acestui DPA:
| Subprocesator | Scop | Locație | Garanții |
|---|---|---|---|
| Hetzner Online GmbH | Găzduirea aplicației, baza de date și stocarea fișierelor atașate | Nürnberg, Germania (UE) | Datele principale sunt prelucrate integral în UE |
| Stripe Payments Europe, Ltd | Procesarea plăților | Irlanda (UE) | Persoana împuternicită nu stochează credențiale de plată; Stripe este certificat PCI DSS Level 1 |
| Mailjet (Sinch) | Livrarea e-mailurilor tranzacționale | Franța (UE) | Datele sunt prelucrate integral în UE |
| Cloudflare, Inc. | CDN și livrare edge pentru site-ul de marketing | Statele Unite | Transferurile, atunci când implică date cu caracter personal, se bazează pe Clauze Contractuale Standard și pe garanții suplimentare |
| AppSignal B.V. | Monitorizarea erorilor și a performanței aplicațiilor pentru interfețele de administrare și de gestionare a cazurilor | Țările de Jos (UE) | Datele sunt prelucrate integral în UE; adresele IP ale persoanelor care raportează nu sunt niciodată jurnalizate |
| Crisp IM SARL | Mesagerie integrată în aplicație pentru responsabilii de caz și suport pentru verificarea identității organizațiilor | Franța (UE) | Încărcat numai în portalul responsabililor de caz; nu este încărcat nici pe site-ul de marketing, nici pe paginile destinate persoanelor care raportează |
Analiza de trafic pentru marketing (Cloudflare Web Analytics) nu folosește cookie-uri și nu prelucrează date cu caracter personal.
Niciun subprocesator AI sau LLM. Niciun model lingvistic mare, serviciu de AI generativă sau clasificator bazat pe AI nu este subprocesator al Persoanei împuternicite. Datele cu caracter personal prelucrate în temeiul prezentei DPA nu sunt transmise către OpenAI, Anthropic, Google, Mistral sau către niciun alt furnizor de inferență AI. Vezi Secțiunea 6.10.
9. Transferuri internaționale de date #
Datele principale ale raportărilor, inclusiv conținutul raportărilor și stocarea fișierelor atașate, sunt găzduite în Uniunea Europeană (Hetzner, Germania). Procesarea plăților are loc în UE (Stripe), iar e-mailurile tranzacționale sunt livrate din UE (Mailjet, Franța).
Solicitările către site-ul de marketing sunt direcționate prin Cloudflare (CDN, Statele Unite), care prelucrează metadate de rețea (adrese IP ale vizitatorilor și antete de solicitare) pentru livrarea conținutului și protecția împotriva atacurilor DDoS. Niciun raport, date ale responsabililor sau date de cont nu sunt partajate cu Cloudflare. Transferurile se bazează pe Clauze Contractuale Standard și pe garanții suplimentare. Portalul de raportare și portalul responsabililor nu încarcă Cloudflare. AppSignal (Țările de Jos) și Crisp (Franța) au sediul în UE; Crisp este încărcat numai în portalul responsabililor de caz.
10. Răspundere #
Răspunderea fiecărei părți în temeiul acestui DPA este supusă limitărilor de răspundere prevăzute în acordul principal de servicii dintre părți. În măsura maximă permisă de lege, pretențiile care decurg din sau sunt legate de acest DPA fac parte din același plafon agregat de răspundere care se aplică Serviciului.
11. Durată și încetare #
Acest DPA produce efecte de la momentul în care Operatorul începe să utilizeze Serviciul și rămâne în vigoare atât timp cât Persoana împuternicită prelucrează date cu caracter personal în numele Operatorului. Obligațiile din acest DPA supraviețuiesc încetării în măsura necesară pentru finalizarea ștergerii sau returnării datelor cu caracter personal.
12. Legea aplicabilă #
Acest DPA este guvernat de legile Republicii Polone, fără a ține seama de normele conflictuale. Instanțele competente din Varșovia, Polonia, au jurisdicție exclusivă asupra litigiilor care decurg din acest DPA.
Contact #
Pentru întrebări despre acest DPA sau pentru a solicita o copie semnată:
EthicsPortal
Yaroslav Shmarov
ul. Obrzeżna 1A, 02-691 Varșovia, Polonia
legal@ethicsportal.eu
Ultima actualizare: