Acord de Procesare a Datelor (DPA)

Acest Acord de Procesare a Datelor ("DPA") este încheiat între: Operatorul de Date (Clientul): Entitatea sau persoana care utilizează serviciile Kallina AI Împuternicitul (Procesatorul): MEGA PROMOTING S.R.L. IDNO: 1019600021765 Adresa: mun. Chișinău, str. Alexandru cel Bun 51, of.51 Republica Moldova Rezident IT Park Moldova Acest DPA completează Termenii de Serviciu și definește obligațiile părților privind protecția datelor personale procesate în contextul utilizării serviciilor Kallina AI.

În sensul acestui DPA: "Date Personale" - orice informație referitoare la o persoană fizică identificată sau identificabilă (Art. 4(1) GDPR) "Procesare" - orice operațiune efectuată asupra datelor personale (Art. 4(2) GDPR) "Operator" - entitatea care determină scopurile și mijloacele de procesare (Art. 4(7) GDPR) "Împuternicit" - entitatea care procesează date în numele operatorului (Art. 4(8) GDPR) "Sub-împuternicit" - entitate terță angajată de împuternicit pentru procesare "Încălcare a Securității Datelor" - incident de securitate care afectează datele personale

Obiectul procesării: Furnizarea serviciilor Kallina AI Voice, inclusiv: Procesarea apelurilor telefonice prin recepționerul AI Transcrierea și analiza convorbirilor Stocarea înregistrărilor și transcrierilor Generarea de rapoarte și analize Durata: Procesarea continuă pe durata contractului de servicii și pentru perioada de retenție specificată ulterior.

Categorii de date personale procesate: Date de identificare ale utilizatorilor (nume, email, telefon) Date vocale (înregistrări audio ale apelurilor) Transcrieri text ale convorbirilor Metadate ale apelurilor (dată, oră, durată, număr apelant) Date de utilizare a platformei Categorii de persoane vizate: Angajații și reprezentanții Operatorului Clienții și potențialii clienți ai Operatorului Apelanții (persoanele care contactează Operatorul prin telefon)

MEGA PROMOTING S.R.L., în calitate de împuternicit, se obligă să:

5.1 Procesare conform Instrucțiunilor: Procesăm datele personale doar pe baza instrucțiunilor documentate ale Operatorului, inclusiv în ceea ce privește transferurile de date către țări terțe (Art. 28(3)(a) GDPR).

5.2 Confidențialitate: Ne asigurăm că persoanele autorizate să proceseze datele personale s-au angajat să respecte confidențialitatea sau au o obligație legală corespunzătoare (Art. 28(3)(b) GDPR).

5.3 Măsuri de Securitate: Implementăm măsurile tehnice și organizatorice prevăzute în Anexa 1, în conformitate cu Art. 32 GDPR.

5.4 Sub-împuterniciți: Nu angajăm alt împuternicit fără autorizarea prealabilă scrisă a Operatorului. Lista actuală a sub-împuterniciților este disponibilă la /legal/subprocessors .

5.5 Asistență pentru Operator: Asistăm Operatorul în îndeplinirea obligațiilor privind: - Răspunsul la cererile persoanelor vizate (Art. 28(3)(e) GDPR) - Notificarea încălcărilor de securitate (Art. 33-34 GDPR) - Evaluările de impact asupra protecției datelor (Art. 35 GDPR)

5.6 Ștergerea sau Returnarea Datelor: La încetarea serviciilor, la alegerea Operatorului, ștergem sau returnăm toate datele personale și ștergem copiile existente, cu excepția cazului în care dreptul UE sau național impune stocarea (Art. 28(3)(g) GDPR).

5.7 Demonstrarea Conformității: Punem la dispoziția Operatorului toate informațiile necesare pentru demonstrarea conformității și permitem efectuarea de audituri (Art. 28(3)(h) GDPR).

Operatorul se obligă să: Furnizeze instrucțiuni legale și documentate pentru procesare Asigure un temei legal valid pentru procesarea datelor Informeze persoanele vizate conform Art. 13-14 GDPR Răspundă la cererile persoanelor vizate în termenele legale Notifice Împuternicitul despre orice modificări relevante Efectueze evaluări de impact când este necesar

Implementăm următoarele măsuri de securitate conform Art. 32 GDPR: Categorie Măsuri Criptare AES-256 pentru date în repaus, TLS 1.3 pentru date în tranzit Control Acces RBAC, MFA obligatoriu, principiul privilegiului minim Disponibilitate Redundanță geografică, backup-uri zilnice, RTO Monitorizare SIEM, detectare intruziuni, logging complet Fizic Centre de date certificate (ISO 27001, SOC 2) Organizatoric Politici de securitate, training angajați, NDAs

Operatorul acordă autorizare generală pentru angajarea de sub-împuterniciți, cu următoarele condiții: Informarea prealabilă cu 30 de zile despre orice modificare Posibilitatea Operatorului de a obiecta în 14 zile Obligații contractuale echivalente pentru sub-împuterniciți Răspunderea Împuternicitului pentru actele sub-împuterniciților Lista completă: /legal/subprocessors

Transferurile de date în afara SEE se efectuează doar cu garanții adecvate: Clauze contractuale standard (SCC) - Decizia (UE) 2021/914 Evaluări de impact asupra transferurilor (TIA) - efectuate pentru fiecare destinație Măsuri suplimentare - criptare, pseudonimizare, controale acces

În cazul unei încălcări a securității datelor personale: Împuternicitul notifică Operatorul în maxim 48 de ore de la luarea la cunoștință Notificarea include toate informațiile necesare pentru notificarea autorității (Art. 33(3) GDPR) Împuternicitul asistă Operatorul în investigarea și remedierea incidentului Împuternicitul documentează toate încălcările în registrul intern

Împuternicitul asistă Operatorul în răspunsul la cererile persoanelor vizate privind: Dreptul de acces (Art. 15 GDPR) Dreptul la rectificare (Art. 16 GDPR) Dreptul la ștergere (Art. 17 GDPR) Dreptul la restricționare (Art. 18 GDPR) Dreptul la portabilitate (Art. 20 GDPR) Dreptul la opoziție (Art. 21 GDPR) Cererile primite direct sunt redirecționate către Operator în termen de 5 zile lucrătoare.

Fiecare parte răspunde pentru prejudiciile cauzate de procesarea care încalcă GDPR, conform Art. 82 GDPR: Operatorul răspunde pentru încălcări ale obligațiilor sale Împuternicitul răspunde doar pentru încălcări ale obligațiilor specifice împuterniciților sau pentru acțiuni în afara instrucțiunilor legale ale Operatorului

Acest DPA intră în vigoare odată cu acceptarea Termenilor de Serviciu și rămâne în vigoare până la: Încetarea tuturor serviciilor Ștergerea sau returnarea completă a datelor Obligațiile de confidențialitate supraviețuiesc încetării.

Acest DPA este guvernat de legile Republicii Moldova și GDPR. Disputele se soluționează conform procedurii din Termenii de Serviciu.

Pentru întrebări privind acest DPA: MEGA PROMOTING S.R.L. IDNO: 1019600021765 Email: contact@kallina.info Telefon: +373 61 066 888 Subiect email: "DPA - [descrierea cererii]"