Acord de Tractament de Dades (ATD)
Última actualització: 2026-07-01
Última actualització de la pàgina dels sub-responsables del tractament: 2026-07-04
Aquest DPA descriu els termes sota els quals processem les dades personals en nom seu.
Aquest Acord de Processament de Dades (Acord) descriu les obligacions i condicions sota les quals Petitions.com Group Oy (Proveïdor de Serveis) processa dades personals en nom de l'autor de la petició (Autor de la Petició o Responsable del Tractament) en la prestació de serveis d'allotjament de peticions en línia (Serveis).
Modificació dels Termes
Ens reservem el dret de canviar o modificar aquests Termes en qualsevol moment sense avís previ.
Definicions i rols
- Proveïdor de serveis: Peticions.cat (Petitions.com Group Oy), actuant com a encarregat del tractament, processa dades personals en nom del responsable del tractament segons sigui necessari per prestar els serveis.
- Responsable del tractament: L'Autor de la Petició, que determina les finalitats i els mitjans del tractament de les dades personals recollides dels signataris de la seva petició. Com a autor d'una petició allotjada a Peticions.cat, se't considera el Responsable del Tractament. Vostè decideix el contingut de la petició, què es demana als signants, les finalitats per al tractament de les seves dades personals i el temps durant el qual les dades personals es conserven. Peticions.cat ofereix una plataforma en línia per crear i allotjar peticions, facilitant el vostre paper com a Responsable del Tractament amb l'autonomia per modelar la recollida i ús de dades de la petició segons els vostres objectius i obligacions legals.
Abast del Tractament
The Service Provider will process personal data solely based on the Data Controller's instructions and only as necessary to provide the Services, unless required to do so by Union or Member State law to which the Service Provider is subject. In such a case, the Service Provider will inform the Data Controller of that legal requirement before processing, unless that law prohibits it on important grounds of public interest. L'àmbit de les activitats de processament es limita a allotjar, gestionar i facilitar peticions en línia.
As a Data Processor, the Service Provider does not erase signature data on its own initiative. Every erasure of signature data is carried out on the documented instructions of the Data Controller — whether given specifically or in advance through this Agreement.
The Data Controller's acceptance of this Agreement constitutes the Data Controller's documented instructions to the Service Provider, including the procedures for handling signatory erasure requests described below and any self-service tools the Service Provider makes available to signatories on the Data Controller's behalf.
Protecció de dades
El Proveïdor de Serveis es compromet a implementar mesures tècniques i organitzatives per garantir la seguretat de les dades personals contra l'accés no autoritzat, la pèrdua o el dany.
Recollida de Dades Prohibida
Està prohibit sol·licitar números d'identificació personals (com ara números d'identificació nacionals) als signants.
Subprocessadors
El Proveïdor de Servei pot contractar subencarregats del tractament per ajudar en la prestació dels Serveis. El Proveïdor de Serveis assegurarà que els subencarregats compleixin amb les obligacions de protecció de dades coherents amb aquest APD. Vostè reconeix i accepta que el Proveïdor de Serveis reté la discreció per seleccionar i substituir subproccesadors segons sigui necessari per proporcionar els Serveis de manera eficient.
Llista dels subencarregats del tractament. (Darrera Actualització: 2026-07-04)
Responsabilitats del Responsable del Tractament de Dades
El Responsable del Tractament és responsable de garantir que la recopilació, el processament i la gestió de dades personals compleixin amb totes les lleis i regulacions aplicables.
Identificació del responsable del tractament
Segons el Reglament General de Protecció de Dades (RGPD), és necessari que la identitat del responsable del tractament de dades estigui clarament indicada. Es preveuen les següents disposicions per als autors de peticions que utilitzen el nostre lloc web:
Autors de Peticions Individuals
Si vostè, com a individu, està creant una petició, està obligat a proporcionar el seu nom legal complet. Això serveix com la vostra identificació com a responsable del tractament de dades als efectes del RGPD.
Autors de Peticions Organitzacionals
Si es crea una petició en nom d'una organització, s'ha de proporcionar el nom legal complet de l'organització. A més, l'organització ha de designar i proporcionar les dades de contacte d'un representant responsable de les activitats de processament de dades, com ara un Delegat de Protecció de Dades (DPD) o similar.
Drets de la persona interessada
El responsable del tractament ha de garantir que els interessats (signataris de la petició) puguin exercir els seus drets d'acord amb el RGPD, com ara el dret d'accés, rectificació o supressió de les seves dades, o a presentar una reclamació davant una autoritat de control.
Gestió de sol·licituds d’esborrament de dades dels interessats per part dels signants
The roles differ depending on the data in question. For personal data collected through petition signatures, the Service Provider acts as the Data Processor and the Petition Author acts as the Data Controller. For the Service Provider's own operational data — such as account information, technical logs, and contact-form messages — the Service Provider acts as an independent Data Controller.
Because the Service Provider acts only on the Data Controller's documented instructions, the procedure below constitutes the Data Controller's standing instruction for handling such requests, authorising the Service Provider to act without seeking separate approval for each request.
When a signatory asks the Service Provider to erase personal data connected to a signature, the Service Provider will, without undue delay, hide the signature from public view and make information about the erasure available to the Petition Author within the Services (for example, on a data-protection overview page and through an in-account indicator). The Service Provider is not required to send a separate email for each erasure. The Petition Author is given 14 days to review the request and to erase any copies of the signatory's personal data that they have downloaded, exported, printed, or otherwise stored outside the Services. The Petition Author may object to the erasure only where there is a lawful ground to continue processing the data (for example, the establishment, exercise, or defence of legal claims); a mere preference to retain the signature is not a valid ground. Any such objection must be made by contacting the Service Provider within that period, stating the lawful ground; the Service Provider does not provide an automatic means for the Petition Author to reverse an erasure. If the Petition Author does not object on such grounds within that period, the Service Provider will permanently delete the signature data from the active database. The Service Provider aims to complete the process within the one-month period required by the GDPR.
The Service Provider may also make available a self-service tool — such as a removal link in signature confirmation messages or on the petition page — allowing signatories to remove their own signature directly. Where such a tool is used, the Service Provider acts on the Data Controller's behalf under the documented instructions set out in this Agreement.
Personal data may persist in routine backups for a limited period after deletion from the active database. Such backups are not used for day-to-day processing and are overwritten on a rolling cycle, after which the data is permanently removed.
Els registres tècnics poden contenir dades personals, com ara adreces IP o metadades d’entrega de correus electrònics. These logs are deleted within 30 days. Contact-form messages may be retained for up to 5 years for audit, security, and dispute-resolution purposes.
The Service Provider keeps a minimal record that an erasure was carried out (without retaining the erased personal data) in order to demonstrate compliance.
Handling Rectification Requests from Signatories
The right to rectification is handled on the same basis as erasure: as a Data Processor, the Service Provider does not alter signature data on its own initiative, but only on the Data Controller's documented instructions, including any self-service tool the Service Provider makes available to signatories on the Data Controller's behalf for correcting their own data.
Once a correction is made, the live signature list maintained within the Services reflects the corrected value. In accordance with the obligation to use up-to-date signature data, the Data Controller must rely only on a freshly retrieved copy and update or discard any outdated copies accordingly; the Service Provider is not required to disclose the previous (incorrect) value to the Data Controller.
The Service Provider may keep an internal record of the change (for example, the previous and new values, and the time of the change) for fraud prevention, security, and dispute-resolution purposes. This record is not made available to the Data Controller by default and is retained only for as long as necessary for those purposes.
Notifying Recipients
Where the Data Controller has disclosed signature data to any recipient (such as a decision-maker or other third party), the Data Controller is responsible, under Article 19 of the GDPR, for communicating any subsequent erasure or rectification of that data to each such recipient, unless this proves impossible or involves a disproportionate effort. The Service Provider's removal or correction of data within the Services does not discharge this obligation in respect of copies the Data Controller has shared outside the Services.
Responsabilitat i Compliment
El responsable del tractament ha de poder demostrar el compliment del RGPD, inclosa la resposta a les sol·licituds dels interessats pel que fa a les seves dades personals.
Política o Avís de Privacitat
S'ha de proporcionar una política o avís de privacitat clar i accessible, on es detallin com es processen les dades personals, les finalitats del processament i com els interessats poden exercir els seus drets.
Notificació de canvis
Els autors de peticions estan obligats a notificar a Peticions.cat (Petitions.com Group Oy) qualsevol canvi en el seu estat com a responsable del tractament o en les dades de contacte del seu representant.
Revisió Anual del Tractament de Dades
El creador de la petició està obligat a realitzar una revisió anual per verificar si encara hi ha una raó vàlida per continuar processant les dades personals dels signants. Aquesta revisió hauria d'avaluar la necessitat i la rellevància de les dades en relació amb la finalitat de la petició. Si l'Autor de la Petició determina que ja no hi ha una raó vàlida per seguir processant les dades, ha de prendre les mesures adequades per cessar el processament i iniciar l'eliminació de les dades d'acord amb les lleis de protecció de dades aplicables.
Use of Up-to-Date Signature Data
Before the Data Controller discloses signature data to any third party (such as a decision-maker or other recipient of the petition), or otherwise processes the data outside the Services — including contacting signatories by email — the Data Controller must retrieve a fresh copy of the signature list from the Services and use only that current version. Signatories may exercise their right to erasure at any time, and only the live list maintained within the Services reflects such erasures. The Data Controller must not rely on previously downloaded, exported, or printed copies for these purposes, and must securely discard outdated copies.
Conservació i Eliminació de Dades
En cas que el Responsable del Tractament (l'autor de la petició) incompleixi qualsevol dels termes del Contracte de Tractament de Dades (DPA), incloent-hi, però no limitant-se a, la manca de realització d'una revisió anual de les activitats de tractament de dades o la manca de justificació vàlida per al tractament continu de les dades personals dels signants, el Proveïdor de Serveis es reserva el dret d'eliminar o esborrar les dades personals associades amb la seva petició.
Limitació de responsabilitat
En cap cas la responsabilitat total del encarregat del tractament envers el responsable del tractament per tots els danys, pèrdues i causes d'acció, ja sigui per contracte, delicte (incloent-hi negligència) o d'altra manera, excedirà l'import total pagat pel responsable del tractament al encarregat del tractament sota aquest acord.
Llei aplicable
Aquest Acord es regirà per les lleis de Finlàndia.