Părțile

Operatorul de date (denumit în continuare „Operatorul"): persoana fizică autorizată, întreprinderea individuală sau societatea care utilizează aplicația Amali pentru gestionarea activității proprii și care, în relația cu Clienții finali, are calitatea de operator de date cu caracter personal. Datele de identificare ale Operatorului sunt cele furnizate la crearea contului în Aplicație.

Persoana împuternicită (denumită în continuare „Amali"): AMALI S.R.L., persoană juridică română cu sediul social în Sat Sâncraiu de Mureș, Comuna Sâncraiu de Mureș, Strada Primăverii, Nr. 8, Județul Mureș, înregistrată la Oficiul Registrului Comerțului de pe lângă Tribunalul Mureș sub nr. J2026035299002, având CUI 54791095, reprezentată legal prin Halmaghi Georgiana, în calitate de administrator.

1. Definiții

Termenii folosiți în prezentul DPA au înțelesul atribuit de GDPR. În plus:

• Aplicație — platforma online Amali, descrisă în Termenii și Condițiile publicate pe www.amali.ro.
• Clienți finali — persoanele fizice cu care Operatorul are sau urmează să aibă relații profesionale și ale căror date sunt prelucrate în Aplicație.
• Subprocesator — orice persoană împuternicită angajată de Amali pentru a executa, în tot sau în parte, prelucrările prevăzute de prezentul DPA.
• Incident de securitate — orice încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea sau divulgarea neautorizată a datelor cu caracter personal.

2. Obiectul și durata acordului

2.1. Amali prelucrează date cu caracter personal în numele și pe seama Operatorului, exclusiv pentru a furniza Serviciul descris în Termenii și Condițiile aplicabile.

2.2. Prezentul DPA se aplică pe toată durata Contractului încheiat între părți (durata abonamentului) și continuă să producă efecte atât timp cât Amali deține date cu caracter personal aparținând Operatorului, până la ștergerea sau returnarea completă a acestora.

3. Natura, scopul și obiectul prelucrării

3.1. Natura prelucrării constă în operațiuni de colectare, stocare, organizare, structurare, consultare, modificare, transmitere și ștergere a datelor.

3.2. Scopul prelucrării este exclusiv furnizarea funcționalităților Aplicației către Operator.

3.3. Amali nu va prelucra datele Operatorului sau ale Clienților finali în scopuri proprii, comerciale sau de altă natură, în afara celor strict necesare furnizării Serviciului.

4. Categorii de persoane vizate

• Clienții finali ai Operatorului.
• Angajații, colaboratorii sau personalul recepției care utilizează Aplicația în numele Operatorului.

5. Categorii de date prelucrate

• Date de identificare și contact: nume, prenume, număr de telefon, adresă de e-mail.
• Date privind programările: servicii rezervate, date și ore, istoric vizite, sume facturate sau plătite.
• Date opționale introduse voluntar de Operator: data nașterii, note, preferințe, observații.

Operatorul se obligă să nu introducă în Aplicație categorii speciale de date (de exemplu, date privind sănătatea, originea etnică, convingerile religioase, orientarea sexuală) decât în condițiile strict prevăzute de art. 9 GDPR și își asumă întreaga răspundere pentru aceasta.

6. Obligațiile Persoanei împuternicite (Amali)

Amali se obligă:

• să prelucreze datele cu caracter personal numai pe baza instrucțiunilor documentate ale Operatorului, instrucțiuni care includ prezentul DPA, Termenii și Condițiile și acțiunile efectuate de Operator în Aplicație;
• să se asigure că persoanele autorizate să prelucreze datele s-au angajat la confidențialitate sau au o obligație legală de confidențialitate;
• să implementeze măsurile tehnice și organizatorice adecvate descrise în Anexa 2, pentru a asigura un nivel de securitate corespunzător riscului;
• să nu angajeze subprocesatori fără autorizarea generală prealabilă prevăzută la art. 9 din prezentul DPA și fără respectarea procedurii de informare/obiecție;
• să asiste Operatorul, în măsura posibilului, în îndeplinirea obligațiilor sale de a răspunde cererilor persoanelor vizate;
• să asiste Operatorul în asigurarea respectării obligațiilor prevăzute la art. 32-36 din GDPR;
• la încetarea contractului, să șteargă sau să returneze toate datele cu caracter personal, conform alegerii Operatorului, sub rezerva obligațiilor legale de păstrare;
• să pună la dispoziția Operatorului toate informațiile rezonabil necesare pentru a demonstra respectarea obligațiilor ce îi revin și să permită audituri, conform secțiunii 12.

7. Obligațiile Operatorului

Operatorul se obligă:

• să prelucreze datele cu caracter personal cu respectarea GDPR și a oricăror altor reglementări aplicabile;
• să dețină un temei legal valid pentru prelucrarea datelor Clienților finali și pentru transmiterea de comunicări către aceștia;
• să informeze Clienții finali cu privire la prelucrarea datelor lor, inclusiv prin furnizarea unei politici de confidențialitate proprii a salonului/cabinetului;
• să nu introducă în Aplicație date inutile, excesive sau categorii speciale fără temei legal;
• să gestioneze cererile primite direct de la persoanele vizate;
• să notifice Amali cu privire la orice cerere a unei autorități competente care privește datele prelucrate în Aplicație.

8. Drepturile persoanelor vizate

8.1. Operatorul este responsabil pentru a răspunde cererilor persoanelor vizate (acces, rectificare, ștergere, restricționare, portabilitate, opoziție, retragere a consimțământului).

8.2. Aplicația oferă Operatorului mijloacele tehnice de a vizualiza, modifica, exporta și șterge datele Clienților finali.

8.3. Dacă o persoană vizată se adresează direct Amali, aceasta va transmite cererea Operatorului fără întârziere nejustificată.

9. Subprocesatori

9.1. Operatorul autorizează în mod general utilizarea de către Amali a subprocesatorilor listați în Anexa 1.

9.2. Amali va informa Operatorul cu privire la orice modificare a listei de subprocesatori, cu o perioadă rezonabilă înainte de schimbare. Operatorul are dreptul să se opună, caz în care Amali poate, la alegerea sa, fie să renunțe la noul subprocesator, fie să permită Operatorului încetarea Contractului fără penalități.

9.3. Amali răspunde pentru obligațiile subprocesatorilor săi ca pentru propriile sale obligații.

10. Notificarea incidentelor de securitate

Amali va notifica Operatorul fără întârziere nejustificată după ce ia cunoștință de un Incident de securitate care afectează datele prelucrate în numele Operatorului. Notificarea va conține informațiile rezonabil disponibile despre natura încălcării, categoriile și numărul aproximativ al persoanelor vizate afectate, consecințele probabile și măsurile luate.

11. Transferuri internaționale

11.1. Datele cu caracter personal sunt găzduite, în principal, pe servere localizate în Uniunea Europeană / Spațiul Economic European.

11.2. În cazul în care anumite operațiuni implică transferuri în afara SEE, aceste transferuri vor fi efectuate exclusiv către țări care asigură un nivel adecvat de protecție, conform deciziilor Comisiei Europene, sau pe baza unor garanții corespunzătoare prevăzute de GDPR.

12. Audit și inspecții

12.1. Amali va pune la dispoziția Operatorului, la cerere scrisă rezonabilă, informațiile necesare pentru a demonstra respectarea obligațiilor sale din prezentul DPA.

12.2. Operatorul are dreptul, o dată pe an calendaristic și cu o notificare prealabilă de minim 30 de zile, să solicite un audit privind respectarea de către Amali a obligațiilor sale. Costurile sunt suportate de Operator, cu excepția cazului în care auditul evidențiază încălcări semnificative ale prezentului DPA.

12.3. Amali se poate baza, în îndeplinirea acestei obligații, pe certificările sau rapoartele de audit ale subprocesatorilor săi.

13. Returnarea sau ștergerea datelor

13.1. La încetarea Contractului, Amali va proceda, la alegerea Operatorului, la:

• returnarea datelor Operatorului într-un format structurat și utilizat în mod curent (de exemplu, CSV); sau
• ștergerea definitivă a tuturor datelor cu caracter personal.

13.2. Copiile de siguranță (backup) realizate automat se rotaționează și se șterg conform politicii de backup, în mod normal în termen de maximum 30 de zile de la încetare.

13.3. Amali poate păstra datele în măsura în care legea aplicabilă o impune (de exemplu, obligațiile financiar-contabile privind facturile fiscale).

13.4. Cererile de export sau ștergere se transmit în scris la support@amali.ro și se onorează în termen de maximum 30 de zile.

14. Răspundere

14.1. Fiecare parte răspunde pentru încălcările proprii ale GDPR și ale prezentului DPA, în limitele permise de lege.

14.2. Răspunderea financiară a Amali față de Operator este limitată conform clauzelor de limitare a răspunderii din Termenii și Condițiile aplicabile.

14.3. În cazul în care o autoritate de supraveghere aplică o sancțiune unei părți pentru o încălcare care este, în tot sau în parte, imputabilă celeilalte părți, partea responsabilă va despăgubi cealaltă parte proporțional cu gradul său de vinovăție.

15. Modificarea acordului

Amali poate actualiza prezentul DPA pentru a reflecta modificări legislative, ale practicilor sau ale subprocesatorilor utilizați. Modificările semnificative se comunică Operatorului prin email și/sau în Aplicație, cu o notificare prealabilă rezonabilă. Continuarea utilizării Aplicației după intrarea în vigoare a modificărilor reprezintă acceptarea lor tacită.

16. Legea aplicabilă și soluționarea litigiilor

Prezentul DPA este guvernat de legea română și de dreptul Uniunii Europene aplicabil. Litigiile se soluționează potrivit clauzelor din Termenii și Condițiile aplicabile.

17. Dispoziții finale

17.1. În caz de conflict între prezentul DPA și Termenii și Condițiile, în privința aspectelor de protecție a datelor cu caracter personal, prevalează prezentul DPA.

17.2. Nullitatea unei clauze nu afectează valabilitatea celorlalte clauze.

17.3. Prezentul DPA, împreună cu anexele sale, constituie întregul acord între părți cu privire la prelucrarea datelor cu caracter personal.