Acord de protecția datelor

Anexa nr. x la contractul de Servicii de brokeraj în asigurări asociate serviciilor de asigurare privată de

sănătate, nr. x din data de .............

Acord de protecția datelor

între

DELGAZ GRID S.A., cu sediul social în localitatea Târgu-Mureș, Bld. Pandurilor, Nr. 42, Et. 4, C.U.I. RO10976687, număr de înmatriculare la Registrul Comerţului Mureș: J26/326/2000, cont bancar IBAN: XX00 XXXX 000X X000 0000 0000, deschis la BRD Târgu-Mureş, reprezentată legal prin dl. Xxxxxxxx-Xxxxxxx Xxxxxxx – Director General și dna. Xxxx-Xxxxx Xxxxx – Director General Adjunct,

– “Operator” –

și

,

[adresa]

– “Imputernicit” –

– ambele denumite în cele de urmează “Părțile” –

Cuprins

Preambul 3

§ 1 Obiectul, durata și specificarea prelucrării datelor 3

§ 2 Dreptul Operatorului de a da instrucțiuni 3

§ 3 Măsuri tehnice și organizatorice 4

§ 4 Rectificarea, restricționarea, ștergerea și returnarea datelor cu caracter personal 4

§ 5 Alte obligații ale Împuternicitului 5

§ 6 Relațiile cu subcontractorii 7

§ 7 Legături cu țări terțe 7

§ 8 Dreptul la audit 8

§ 9 Răspunderea 8

§ 10 Remunerarea, modificări contractuale, clauza de separabilitate 8

Preambul‌

Acest acord de prelucrare a datelor (“DPA”) reglementează drepturile și obligațiile Părților cu privire la protecția datelor în conformitate cu Articolul 28 din Regulamentul General de Protecția Datelor (GDPR) în ceea ce privește prelucrarea datelor cu caracter personal ale Operatorului) de către Împuternicit și terțe părți Subcontractante în prestarea serviciilor prevăzute în [Contract de Servicii de brokeraj în asigurări asociate serviciilor de asigurare privată de sănătate, nr. x din data de ], inclusiv ale

anexelor sale (“Contractul”).

§ 1 Obiectul, durata și specificarea prelucrării datelor‌

(1) Obiectul și durata prelucrării datelor sunt specificate în Contract. Categoriile și tipurile de date

prelucrate precum și scopurile prelucrării datelor sunt descrise în Anexa 1.

(2) Operatorul are dreptul de a rezilia contractul și prezentul acord ( DPA) din motive întemeiate, fără înștiințare prealabilă, în cazul unei încălcări repetate sau însemnate a prevederilor legale sau contractuale de protecția datelor, sau în cazul în care Împuternicitul nu îndeplinește o instrucțiune legitimă dată de către Operator.

§ 2 Dreptul Operatorului de a da instrucțiuni‌

(1) Împuternicitul va prelucra datele cu caracter personal în numele și conform instrucțiunilor

Operatorului.

(2) Operatorul va da Împuternicitului instrucțiuni cu privire la natura, aria de aplicabilitate și procedurile privind prelucrarea datelor și la măsurile tehnice și organizaționale (”TOM”) de implementat. Împuternicitul are obligația de a prelucra datele cu caracter personal numai în conformitate cu instrucțiunile primite de la Operator. Acest lucru nu se aplică în cazurile prezentate în Articolul 28(3)(a) al GDPR și despre care Împuternicitul va informa Operatorul înainte de orice prelucrare a datelor cu caracter personal.

(3) Împuternicitul nu va utiliza datele cu caracter personal în nici un alt scop decât acelea descrise în

Anexa 1 și nu are dreptul să divulge datele către terțe părți.

(4) Accesul la datele cu caracter personal și orice prelucrare a datelor cu caracter personal în numele Operatorului se limitează la necesitatea îndeplinirii obligațiilor contractuale ale Împuternicitului conform Contractului. În mod special, nu se va face nici o copie a datelor fără știința Operatorului și fără autorizarea în scris de către acesta. Acest lucru nu se va aplica fișierelor de înregistrare a evenimentelor și copiilor de rezervă în măsura în care (i) este convenit contractual între Părți, sau

(ii) necesar pentru a asigura prelucrarea corespunzătoare a datelor, sau (iii) datele cu caracter

personal intră sub incidența obligațiilor legale de păstrare.

(5) Instrucțiunile Operatorului se vor da în formă scrisă sau în format electronic. În cazul instrucțiunilor verbale ale Operatorului, Împuternicitul va cere confirmarea lor în formă scrisă sau în format electronic.

(6) În cazul în care Împuternicitul este de părere că o instrucțiune a Operatorului încalcă prevederi legale, Împuternicitul va informa Operatorul în legătură cu acest lucru fără nici o întârziere necuvenită. Împuternicitul va avea dreptul să suspende executarea instrucțiunii în cauză până la momentul în care aceasta este confirmată sau modificată de către Operator.

§ 3 Măsuri tehnice și organizatorice‌

(1) Împuternicitul va respecta TOM corespunzătoare pentru a asigura securitatea prelucrării în baza Articolului 28(3)(c), Articolului 32 al GDPR în coroborare cu Articolul 5(1) și (2) al GDPR. În acest sens, se vor lua în considerare soluțiile tehnice, costurile implementării, natura, aria de aplicabilitate și scopurile prelucrării, precum și probabilitatea diferită de apariție și severitatea riscului privind drepturile și libertățile persoanelor fizice în în sensul Art. 32 (1) GDPR.

(2) Aria de aplicabilitate a TOM pe care Împuternicitul trebuie să o respecte este descrisă în Anexa 2.

La cererea Operatorului, Împuternicitul va face dovada implementării TOM.

(3) Avand în vedere tehnologiile de ultimă oră precum și de modificarile legislative și nivelul de protecție a datelor, imputernicitul va implementa o procedura pentru analizarea si evaluarea măsurilor tehnice si organizatorice implementate și le va ajusta în mod corespunzător. În acest context, nivelul de protecție nu trebuie să se situeze sub nivelul de protecție al ariei de aplicabilitate descrise în Anexa 2. Împuternicitul va informa Operatorul, în prealabil în formă scrisă sau în format electronic, cu privire la modificările semnificative ale TOM.

(4) Împuternicitul va implementa orice ajustări necesare la TOM ca urmare a modificărilor sau a altor cerințe legislative, dacă nu s-a convenit altfel de către Părți.

(5) Fără a aduce atingere ultimei propoziții de la § 3 (3), orice modificări vor fi documentate și comunicate în mod regulat (cel puțin anual) Operatorului, în scris sau în format electronic.

§ 4 Rectificarea, restricționarea, ștergerea și returnarea datelor cu caracter personal‌

(1) Împuternicitul nu va rectifica, restricționa sau șterge în mod arbitrar datele Operatorului prelucrate în numele acestuia, cu excepția cazului în care dă curs instrucțiunilor Operatorului.

(2) Împuternicitul va returna la solicitarea Operatorului, cel mai târziu la finalizarea prelucrării datelor, toate documentele care au intrat în posesia sa și toare rezultatele prelucrării și utilizării obținute precum și toate seturile de date ce țin de prelucrarea datelor inițiale, sau le va distruge conform prevederilor de confidențialitate a datelor cu caracter personal cu excepția cazului în care legislația UE sau legislația internă prevede termene de păstrare. Același lucru este valabil pentru materialele de testare și orice alte materiale rezultate în urma acestui proces. După ce datele cu caracter personal au fost returnate Operatorului, Împuternicitul va distruge datele menționate și orice copii ale datelor aflate în posesia sa într-o manieră conformă cu legislația protecției datelor, fără întârzieri nejustificate. Raportul de ștergere se va înainta Operatorului, la cerere.

(3) Împuternicitul va distruge datele menționate și orice copii ale datelor aflate în posesia sa în termenul stabilit în Anexa 1.

(4) Împuternicitul, în conformitate cu perioadele de retenție aplicabile în fiecare caz, va păstra orice documentație care dovedește prelucrarea corespunzătoare a datelor conform înțelegerii contractuale chiar și după rezilierea DPA sau va preda această documentație Operatorului până la încetarea acestui acord.

§ 5 Alte obligații ale Împuternicitului‌

(1) Împuternicitul va sprijini Operatorul în conformarea la obligațiile stabilite în Articolele 32-36 ale GDPR.

(2) Anterior începerii prelucrării datelor, Împuternicitul va numi în scris un ofițer de protecția datelor în conformitate cu prevederea stabilită în Articolul 37(f) al GDPR sau în reglementarea națională aplicabilă și va menține numirea până la data la care prelucrarea datelor se va finalizat sau, în cazul în care a încetat numirea, va numi un nou ofițer de protecția datelor fără nici o întârziere necuvenită. Dacă, în baza cerințelor GDPR, Împuternicitul nu are obligația de a numi un ofițer de protecția datelor, Împuternicitul va numi o persoană de contact pentru orice întrebări referitoare la protecția datelor care ar putea să apară în contextul Contractului cu Operatorul. Datele de contact ale ofițerului de protecția datelor/persoanei de contact sunt prezentate în Anexa 1.

(3) La cererea autorității de supraveghere, Operatorul și Împuternicitul vor coopera în ce privește conformarea la cerințele autorității de supraveghere.

(4) Dacă un titular își revendică drepturile în relația cu Operatorul în special dreptul de acces, , Operatorul va informa Împuternicitul în acest sens, iar Împuternicitul va întreprinde toate acțiunile necesare in vederea îndeplinirii obligațiilor titularului în cel mai scurt timp posibil, conform prezentului Acord și instrucțiunilor Operatorului. În situația în care nu există indicații privind gestionarea drepturilor titularului exercitate în relația cu Operatorul, Împuternicitul va conveni împreună cu Operatorul o abordare adecvată. Împuternicitul va sprijini Operatorul în conformarea acestuia la obligația de a furniza persoanei vizate informațiile și în acest context, va pune la dispoziție orice informații relevante fără întârziere nejustificată. Dacă titularul se adresează direct Împuternicitului în vederea exercitării drepturilor sale, Împuternicitul va direcționa titularul la Operator și va înainta cererea persoanei vizate către Operator fără nici o întârziere nejustificată.

(5) Împuternicitul va păstra confidențialitatea conform Articolul 28(3) litera (b), Articolul 29 și Articolul 32(4) din GDPR și/sau, acolo unde este cazul și confidențialitatea datelor privind comunicațiile electronice prevăzute în legi speciale. Împuternicitul se va asigura că transmite instrucțiunile Operatorului către toți angajații care au acces la datele cu caracter personal în legătură cu derularea obligațiilor contractuale ale Împuternicitului. În plus, Împuternicitul este obligat să le interzică acestor angajați – inclusiv după încetarea relațiilor contractuale cu ei – să prelucreze sau să utilizeze date cu caracter personal contrar instrucțiunilor Operatorului sau într-un scop diferit de acela de a îndeplini obligațiie contractuale față de Operator. Împuternicitul va asigura că persoanele autorizate să prelucreze datele cu caracter personal sunt familiarizate cu prevederile relevante referitoare la protecția datelor și și-au asumat obligația de confidențialitate sau că se află sub o obligație legală corespunzătoare de respectare a confidențialității.

(6) Dacă Împuternicitul ia cunoștință de o încălcare a protecției datelor cu caracter personal sau în cazul suspectării unei astfel de încălcări, inclusiv în cazurile de pierdere, divulgare și transfer ilicit, Împuternicitul va notifica Operatorul în această privință fără nici o întârziere nejustificată. Aceași obligație este valabilă și dacă Împuternicitul sau persoanele angajate de către acesta încalcă prevederile cu privire la protecția datelor cu caracter personal sau prevederile acestui acord sau dacă există motive pentru a suspecta acest lucru. Împuternicitul va lua măsurile necesare pentru asigurarea securității datelor și pentru minimizarea eventualelor consecințe adverse pentru titularii datelor și va colabora cu Operatorul în această privință fără nici o întârziere nejustificată. Împuternicitul va asista Operatorul prin toate mijloacele pe care le are la dispoziție pentru ca Operatorul să își poată îndeplini obligațiile ce îi revin în baza Articolului 33(1) al GDPR (obligația de notificare în termen de 72 de ore).

Notificarea se va transmite pe adresa: protectiadatelor [at]xxxxxx-xxxx.xx

(7) Notificarea conform paragrafului (6) va conține cel puțin informațiile următoare:

a. o descriere a caracterului încălcări securității datelor cu caracter personal, iar în măsura în care este posibil va cuprinde detalii cu privire la categoriile și numărul aproximativ de persoane vizate, precum și categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în cauză,

b. o descriere a consecințelor probabile ale încălcării, și

c. o descriere a măsurilor luate sau propuse de Împuternicit pentru soluționarea încălcării respectiv

măsurile luate pentru minimizarea posibilelor consecințe adverse.

Dacă și în măsura în care informațiile de mai sus nu pot fi furnizate deodată, Împuternicitul va furniza informațiile parțial, fiecare informație individuală cât de curând posibil.

(8) Dacă securitatea sau confidențialitatea datelor cu caracter personal sunt amenințate prin sechestru sau confiscare, prin insolvență sau prin procedurile de concordat sau de orice alte evenimente sau măsuri luate de terțe părți, Împuternicitul va informa Operatorul în cel mai scurt timp posibil. Împuternicitul va anunța în cel mai scurt timp posibil toate părțile responsabile în acestă situație că Operatorul deține controlul și dreptul de proprietate asupra datelor cu caracter personal.

(9) Împuternicitul va informa Operatorul despre activitățile de control și orice alte măsuri ale autorității de supraveghere fără întârziere nejustificată, în măsura în care acestea au legătură cu prelucrarea de date avută în vedere de acest acord. Acest lucru este valabil și în cazul în care o autoritate competentă desfășoară investigații împotriva Împuternicitului în cursul procedurilor de urmărire contravențională sau penală cu privire la prelucrarea datelor cu caracter personal în contextul prelucrării datelor de către un Împuternicit. În măsura în care Operatorul însuși este supus controlului de către autoritatea de supraveghere, urmăririi contravenționale sau penale, unei acțiuni în vederea compensării de către o persoană vizată sau a o terță parte sau oricărei alte acțiuni cu privire la prelucrarea datelor de către Împuternicit, acesta va depune toate eforturile pentru a sprijini Operatorul.

§ 6 Relațiile cu subcontractorii‌

(1) Numirea de subcontractanți de către Împuternicit este permisă doar dacă Operatorul a fost informat în prealabil în scris sau în format electornic și și-a exprimat acordul. Detaliile sunt prezentate în Anexa 1.

(2) Împuternicitul va selecta cu atenție orice Subcontractant – în măsura în care este permisă încredințarea sarcinilor conform secțiuni anterioare – și trebuie să fie convins înainte să-l angajeze, că poate respecta toate obligațiile Împuternicitului prevăzute în acest acord. În plus, Împuternicitul este obligat să impună obligațiile prevăzute în acest acord subcontractantului printr-o înțelegere contractuală în conformitate cu Articolul 28 paragrafele 2-4 ale GDPR, având ca efect faptul că obligațiile Împuternicitului stipulate în acest acord sunt impuse subcontractantului. Împuternicitul se angajează să dovedească în formă scrisă Operatorului, la cerere, că se conformează obligațiilor stipulate în prezentul document.

Obligațiile stipulate în acest paragraf se aplică Împuternicitului și în ceea ce privesc persoanele angajate care au acces la datele cu caracter personal și care sunt cooptate de către Împuternicit pentru îndeplinirea de către acesta a obligațiilor care îi revin conform acestui acord.

(3) Orice servicii auxiliare care sunt legate direct de prestarea prelucrării datelor reprezintă relații de subcontractare în înțelesul prezentei prevederi. Sunt excluse serviciile auxiliare utilizate de către Împuternicit cum ar fi serviciile de telecomunicații, serviciile poștale/de transport sau serviciile de eliminare a suporturilor de date precum și orice alte măsuri care asigură confidențialitatea, disponibilitatea, integritatea și fiabilitatea elementelor de hardware și software ale sistemelor de prelucrare a datelor. Totuși, în ceea ce privește asemenea servicii auxiliare externalizate, Împuternicitul va avea obligația de încheia aranjamente contractuale corespunzătoare și de a monitoriza conformarea acestora pentru a asigura protecția și securitatea datelor Operatorului.

§ 7 Legături cu țări terțe‌

(1) Desfășurarea activității de prelucrare a datelor stabiliă prin contract va avea loc exclusiv în Statele Membre ale U.E sau ale Zonei Economice Europene. Orice prelucrare într-o țară terță necesită acordul din partea Operatorului exprimat anterior în formă scrisă și poate avea loc doar dacă sunt îndeplinite cerințele Articolelor 44 și următoarele din GDPR. Orice prelucrare de date într-o țară terță va fi permisă exclusiv în baza prevederilor prezentate în Anexa 1.

(2) Împuternicitul va suporta toate costurile aferente îndeplinirii obligațiilor sale ce îi revin acestui acord care pot rezulta în urma retragerii Marii Britanii din Uniunea Europeană. Acest lucru va include în special costurile care decurg din respectarea legislației aplicabile la momentul respectiv. Dacă aceste costuri, având în vedere prevederile acestui Contract și interesele Operatorului în respectarea obligațiilor contractuale de către Împuternicit, creează un dezavantaj economic disproporționat pentru Împuternicit, iar Împuternicitul îi dovedește aceste costuri Operatorului, Partenerii contractuali vor încerca să ajungă la un acord amiabil privind distribuirea costurilor prin negociere. În cazul în care Părțile nu reușesc să ajungă la un acord, fiecare Parte va avea dreptul de a rezilia Contractul și prezentul acord cu o notificare de trei (3) luni în conformitate cu prevederile contractuale aplicabile.

§ 8 Dreptul la audit‌

Împuternicitul va acorda Operatorului, în special ofițerului acestuia de protecția datelor sau unei terțe părți instruite de către Operator, dreptul la audit inclusiv inspecții pentru a stabili dacă prelucrarea datelor este efectuată în conformitate cu prevederile privind protecția datelor, prevederile acestui acord și instrucțiunile date de către Operator. Operatorul are dreptul de a realiza monitorizarea sus-menționată cu asistența terților îndreptățiți să monitorizeze Operatorul (în special oricare din cliențiiOperatorului și autorități de supraveghere). De regulă, aceste audituri vor fi notificate din timp. Împuternicitul se angajează să asiste Operatorul în cadrul unui astfel de audit acolo unde aceste lucru este necesar în mod rezonabil, în special furnizând informațiile necesare și efectuând toate acțiunile necesare. Dovada măsurilor legate de această prelucrare specifică a datelor și nu numai poate fi furnizată prin intermediul opțiunilor agreate în Anexa 1.

§ 9 Răspunderea‌

Răspunderea Împuternicitului în condițiile prezentului acord este exhaustiv stabilită în Contract.

§ 10 Remunerarea, modificări contractuale, clauza de separabilitate‌

(1) Îndatoririle, acțiunile, prevederile și colaborările datorate de Împuternicit în baza acestui Acord sunt compensate prin prețul stipulat în Contractul de servicii încheiat cu Împuternicitul

(2) În cazul în care există contradicții între acest acord și Contract, vor prevala prevederile prezentului

acord.

(3) Modificările sau suplimentările acestui Acord, inclusiv ale acestei clauze, trebuie încheiate în scris pentru a fi valabile. Totodată, în afara formei scrise prevăzută/reglementată de lege, este permisă și semnarea (în forma) digitală a actului/documentului, care asigură de exemplu printr-un protocol digital istoricul documentului (certificatul de închidere) al furnizorului de servicii, că subsemnatul poate fi identificat și urmărește orice modificare ulterioară a datelor.

În ce privește conformarea la obligațiile referitoare la informații, este suficientă forma scrisă (de ex.

E-mail).

(4) În cazul unei contradicții între o dispoziție a prezentului acord și o prevedere a Contractului respectiv, prevederea prezentului acord prevalează. Părțile vor înlocui respectiva prevedere incompletă sau lipsită de valabilitate cu o prevedere al cărei efect economic sau legal, în conformitate cu legea aplicabilă, se apropie cât mai mult posibil de scopurile acordului și intențiile Părților.

(5) În cazul unor schimbări suferite de cerințele legale, în special datorită intrării în vigoare a Reglementării privind respectarea vieții private și protecția datelor cu caracter personal în comunicațiile electronice și abrogarea Directivei 2002/58/EC (”Reglementarea Confidențialității

Electronice”), inclusiv orice implementare de prevederi și legi asociate, Împuternicitul se angajează

ca, la cererea Operatorului, să facă modificările și/sau adăugirile corespunzătoare la acest acord.

Următoarele Anexe sunt parte integrantă a acestui acord:

Anexa 1: Detaliile prelucrării datelor

Anexa 2: Descrierea măsurilor tehnice și organizatorice (TOM) în conformitate cu secțiunea 3 al acestui acord

Locul, data Locul, data

Xxxxxxxx-Xxxxxxx Xxxxxxx (Director General)‌

Xxxx-Xxxxx Xxxxx (Director General Adjunct)‌

Semnătura Semnătura

Operator Împuternicit

ANEXA 1 la DPA:

Detaliile Prelucrării Datelor

I. Operatorul conform Art. 4 pct. 7 al GDPR

Operatorul este:

☒ DELGAZ GRID S.A.

II. Prezentare generală a datelor și activităților de prelucrare

1. Categorii de persoane vizate

☒ angajați (inclusiv aplicanți)	☐ intermediari (reprezentanți/agenți)
☐ rude ale angajaților;	☐ persoane pensionate/ persoane supraviețuitoare în întreținere
☐ furnizori/prestatori de servicii	☐ angajați ai unor entități externe
☐ clienți	☐ acționari
☐ copii (adică persoane care sunt minore)	☒ persoane interesate
☐ locatari, locatori, proprietari	☒ altele (vă rugăm specificați) membrii de familie ai unora dintre angajați

2. Categorii de date cu caracter personal

☒ date de identificare

nume și prenume / titlu / data nașterii / stradă / număr / oraș / municipiu / cod poștal / țară / număr de telefon fix / număr de telefon mobil / adresă de e-mail

☒ date de personal

informații organizaționale ale angajatului (numar telefon, e-mail) / departament / funcție / naționalitate / limbă / stare civilă / cariera și dezvoltarea profesională marcă / informații organizație angajat (telefon, mobil, fax, e-mail) / informații privind locația angajatului (număr clădire, stradă, oraș, cod poștal) / cod numeric personal / informații despre soț sau copii

,

3. Descrierea scopului și naturii prelucrării datelor cu caracter personal:

Pentru punerea la dispoziție a Angajaților și a membrilor de familie ai unora dintre aceștia, a beneficiului (serviciu de asigurare) constând în Asigurarea privată de sănătate.

Ștergerea și restricționarea prelucrării datelor (cf. § 4 (2) și (3))

Împuternicitul va restricționa prelucrarea datelor și le va șterge în termen de maxim 3 luni de la

finalizarea contractului. Raportul ștergerii se va înainta Operatorului, la cerere.

III. Prelucrarea în țări terțe

1. ☒ Prelucrarea datelor, inclusiv de către orice subcontractanți, va avea loc exclusiv în statele

membre UE/ Zona Economică Europeană. sau

2. ☐ Prelucrarea datelor, inclusiv de către orice subcontractant, va avea loc, integral sau parțial în

Marea Britanie.

3. ☐ Prelucrarea datelor va avea loc în terța țară/țările terțe următoare: […]. Nivelul adecvat de protecție

☐	a fost confirmat de o decizie de atestare a adecvării de către Comisie (Articolul 45(3) al GDPR)1;
☐	se realizează prin încheierea de clauze standard cu privire la protecția datelor (Articolul 46(2)(c) și (d) din GDPR);
☐	se realizează prin reglementări corporatiste cu caracter obligatoriu (Articolul 46(2)(b) în coroborare cu Articolul 47 al GDPR);
	Se realizează prin coduri de conduită aprobate (Articolul 46(2)(e) în coroborare cu Articolul 40 al GDPR)
	se realizează printr-un mecanism aprobat de certificare (Articolul 46(2)(f))
	Se realizează prin alte măsuri:   (Articolul 46(2)(a), Articolul 46(3)(a) și (b) din GDPR).

IV. Drepturile de audit

1. Dovada implementării măsurilor care nu țin exclusiv de această prelucrare specifică a datelor

(§ 8 (2)) poate fi furnizată în următoare moduri:

a) efectuarea unui audit intern

1 Inclusiv cadrul legal EU-US Privacy Shield.

V. Datele de contact ale ofițerului pentru protecția datelor/ punctului de contact și reprezentant din

UE:

Împuternicitul va comunica Operatorului cine este ofițerul pentru protecția datelor responsabil – dacă nu este necesar un ofițer de protecția datelor – un punct de contact pentru chestiunile de protecția datelor.

Ofițerul de protecția datelor numit de Împuternicit este: ......................

Punctul de contact al Împuternicitului în chestiunea protecției datelor este: ..................

Nume, prenume, tel., adresă de e-mail: ......................

În cazul în care ofițerul de protecția datelor/punctul de contact se schimbă, Operatorul trebuie

notificat în această privință în scris, fără nici o întârziere necuvenită.

VI. Subcontractanți

a) Operatorul consimte ca Împuternicitul să însărcineze următorii subcontractanți cu

condiția existenței unei înțelegeri contractuale în conformitate cu Articolul 28(2-4) al GDPR:

Subcontractor (numele entității, inclusiv forma sa juridică) Adresa/țara Serviciu

b) Angajarea subcontractantului și/sau schimbarea subcontractanților existenți

va fi permisă dacă:

- Împuternicitul notifică Operatorul în avans cu o perioadă de timp rezonabilă în legătură cu o astfel de angajare/schimbare în formă scrisă sau în format electronic, și

- Operatorul nu a obiectat împotriva desemnării subcontractantului de către Împuternicit în

formă scrisă sau în format electronic anterior transferului de date, și

- Există o relație de subcontractare în conformitate cu Articolul 28(2-4) al GDPR.

Transferul datelor personale ale Operatorului către subcontractanți nu va fi permis în cazul de la litera a) sau b) de mai sus până când sunt îndeplinite toate cerințele pentru subcontractant.

c) Angajarea de subcontractanți nu este permisă.

d) Angajarea de subcontractanți ulteriori de către subcontractant

nu este permisă;

necesită consimțământul expres al Operatorului în condițiile acestui acord (cel puțin sub formă de text), pentru care cerința minimă este ca toate prevederile contractuale din lanțul de contracte trebuie impuse și ele asupra subcontractantului următor. Împuternicitul va face dovada în acest sens față de Operator în condițiile acestui acord într-o formă corespunzătoare.

ANEXA 2 la DPA:

Cerințe de Securitatea Informațiilor și Măsuri Tehnice și Organizatorice pentru Protecția Datelor

1. Cerințe privind Securitatea Informațiilor

Cerințele globale sunt cerințe care se aplică, în general, furnizării tuturor serviciilor de către furnizor.

1.1. Surse recunoscute

FURNIZORUL se asigură că produsele hardware și software sunt obținute din surse cunoscute și renumite și că există un suport tehnic fiabil și un lanț de aprovizionare trasabil.

1.2. Guvernanța în domeniul securității

FURNIZORUL stabilește, menține și monitorizează un cadru de guvernanță în materie de securitate a informațiilor, care permite organului de conducere al furnizorilor să stabilească o direcție clară și să demonstreze angajamentul său față de securitatea informațiilor și gestionarea riscurilor.

1.3. Managementul Riscurilor Informaționale

FURNIZORUL se asigură că (i) înainte de implementarea unor noi medii IT care găzduiesc informații ale CLIENTULUI inclusiv date cu caracter personal (denumite în continuare „informațiile CLIENTULUI”, (ii) înainte de implementarea unor modificări majore la cele existente, și (iii) introducerea unor noi tehnologii semnificative, riscurile de securitatea informațiilor asociate sunt evaluate, tratate, monitorizate și păstrate în limite acceptabile. Informațiile referitoare la activitățile de gestionare a riscurilor sunt partajate fără întârziere cu CLIENTUL, la cerere.

1.4. Managementul Securității

FURNIZORUL (i) a stabilit o funcție de specialist în securitatea informațiilor, condusă de un manager cu puteri decizionale suficiente, căruia îi sunt încredințate autoritatea și resursele adecvate pentru a asigura aplicarea eficientă și consecventă a bunelor practici privind securitatea informațiilor în întreaga companie şi pentru a asigura respectarea cerințelor juridice, de reglementare și contractuale care afectează securitatea informațiilor. FURNIZORUL (ii) menține un program cuprinzător, actualizat, de conștientizare în domeniul securității informațiilor, pentru a promova și a integra comportamentul așteptat privind securitatea în raport cu toate persoanele care au acces la informațiile CLIENTULUI.

1.5. Proceduri Operaționale Documentate

FURNIZORUL a stabilit responsabilități și proceduri pentru administrarea și operarea serviciilor sale, pentru a se asigura că această documentație este (i) conformă cu standardele din industrie și bunele practici recunoscute, (ii) documentată în mod adecvat în scris și (iii) actualizată în orice moment în cursul aplicării prezentului Acord. Documentația privind procedurile de operare va fi partajată cu CLIENTUL la cerere, fără întârziere.

1.6. Managementul activelor

FURNIZORUL se asigură că (i) activele (hardware și software, denumite în continuare „active”) care sunt folosite pentru a crea, procesa, stoca sau transmite informațiile CLIENTULUI sunt protejate împotriva coruperii, pierderilor, furtului și divulgării neautorizate pe tot parcursul ciclului lor de viață. Furnizorul se asigură că aceste active sunt înregistrate într-un registru care este: (ii) protejat împotriva modificărilor neautorizate, (iii) actualizat, (iv) copiat periodic (backup) și (v) conține detaliile necesare privind activele și include - dacă este cazul - cerințele de conformitate referitoare la active. FURNIZORUL se asigură că (vi) toate activele sunt alocate unui proprietar care este responsabil pentru operarea (exploatarea) activului.

1.7. Securitate fizică

FURNIZORUL trebuie să ia măsurile de precauție adecvate pentru securitatea fizică și protecția accesului. În special, trebuie puse în aplicare măsuri pentru protecția împotriva incendiilor și a inundațiilor, protecția împotriva sau pentru evitarea temperaturilor extreme (aer condiționat), alimentarea de rezervă cu energie pentru urgențe.. Accesul la zone cu informații sau sisteme care prelucrează informațiile CLIENTULUI sau procese de suport care afectează securitatea informațiilor CLIENTULUI trebuie să fie limitat la un grup autorizat de persoane (cel mai mic privilegiu). Aceasta include, de asemenea, măsuri de protecție a accesului pentru centrele de date, inclusiv monitorizarea zonelor critice, jurnalele de acces, accesul de către angajații externi companiei se face numai dacă este însoțit și măsuri de securitate împotriva intruziunii.

1.8. Accesul la sistem

FURNIZORUL restricționează accesul la activele în care informațiile CLIENTULUI sunt create, procesate, stocate sau transmise persoanelor autorizate în scopuri comerciale specifice. Aceasta include cel puțin faptul că (i) doar utilizatorii autorizați pot avea acces la informațiile CLIENTULUI; (ii) privilegiile de acces sunt limitate la funcționalitatea aprobată a sistemului; (iii) există o separare adecvată a sarcinilor; (iv) privilegiile de acces nu sunt atribuite colectiv (numele de utilizator și parolele să poată fi partajate). FURNIZORUL se asigură că accesul administrativ la sistemele care stochează sau procesează informațiile CLIENTULUI este (v) limitat la un număr minim de administratori, (vi) protejat prin procedura de autentificare în doi pași sau în cazul în care autentificarea în doi pași nu este posibilă din punct de vedere tehnic, măsuri de securitate echivalente (de ex. parole generate temporar în sistemele de management). FURNIZORUL se asigură de asemenea că accesul administrativ este (vii) întotdeauna înregistrat pentru a permite detectarea și investigarea accesului neautorizat și a manipulării neautorizate a informațiilor CLIENTULUI. (viii) Mai mult decât atât, Furnizorul se asigură că există o procedură oficială in vigoare, care descrie modul în care sunt create, revizuite în mod regulat, modificate, blocate și șterse rolurile, conturile, drepturile de acces și privilegiile privind accesul administrativ.

1.9. Managementul Sistemului

FURNIZORUL administrează sisteme care creează, stochează, procesează sau transmit informații ale CLIENTULUI pentru a (i) face față volumului de muncă curent și preconizat și (ii) le configurează într-o manieră consecventă și precisă pentru a le proteja pe ele și informațiile CLIENTULUI pe care le procesează, stochează sau transmite, împotriva funcționării defectuoase, atacului cibernetic, divulgării neautorizate, coruperii, furtului și pierderii. FURNIZORUL gestionează securitatea sistemelor prin (iii) efectuarea de copii de rezervă a informațiilor esențiale și a software-ului, (iv) aplicarea unui proces riguros de gestionare a modificărilor și (v) monitorizarea acordurilor la nivel de servicii convenite.

1.10. Scanarea de Vulnerabilități

FURNIZORUL se asigură că (i) sistemele accesibile în mod public sunt testate în mod regulat (cel puțin lunar) împotriva vulnerabilităților și a defecțiunilor de configurare prin efectuarea de teste dinamice (teste de penetrare sau scanări de vulnerabilități). (ii) Toate rezultatele acestor teste relevante pentru CLIENT sunt partajate cu CLIENTUL fără întârziere; (iii) vulnerabilitățile critice vor fi raportate către CLIENT imediat. (iv) FURNIZORUL oferă asistență și sprijin pentru auditul patch-urilor de securitate și a managementului vulnerabilităților realizat de CLIENT. (v) Atenuarea vulnerabilităților de securitate va fi efectuată pe baza nivelului de risc și a intervalelor de timp convenite între părți.

1.11. Nivele de patch-uri actualizate

FURNIZORUL asigură remedierea vulnerabilităților tehnice prin administrarea unui proces de gestionare a patch- urilor care asigură (i) identificarea și obținerea de patch-uri din surse autorizate, imediat ce acestea sunt

disponibile, (ii) decizia când pot fi distribuite patch-urile, (iii) patch-uri de testare pe baza unor criterii cunoscute,

(iv) distribuirea patch-urilor în timp util, (v) înregistrarea de patch-uri care au fost aplicate într-o baza de date de management al configurarilor (CMDB). (v) FURNIZORUL este împuternicit să aplice patch-uri în mediul IT, inclusiv hipervizoare de virtualizare, mașini virtuale, sisteme de operare și aplicații, atâta timp cât acest lucru nu are un impact negativ asupra confidențialității, integrității sau disponibilității informațiilor CLIENTULUI.

1.12. Cerințe Minime de Autentificare

FURNIZORUL se asigură că cerințele minime ale CLIENTULUI pentru autentificare (autentificarea în doi paşi) sunt impuse prin intermediul soluției CLIENTULUI ”Federated Single Sign-On” pentru mediul IT operat pentru a stoca sau procesa informațiile CLIENTULUI. Trebuie aplicate principiile celor mai puține privilegii, al necesității de a cunoaşte şi de separare a sarcinilor. Mai mult, trebuie aplicat un model de control al accesului bazat pe roluri.

1.13. Criptarea

Datele în repaus și datele în mișcare (în tranzit) vor fi stocate și transmise numai utilizând protocoale securizate și criptare de ultimă generație. Funcțiile de autentificare (parole, PIN-uri) pot fi transmise doar criptate prin rețea. În plus, transporturile fizice ale dispozitivelor de stocare trebuie să fie securizate prin protecție fizică și criptare.

1.14. Securizare (Hardening)

Toate sistemele informatice și de rețea trebuie securizate. Aceasta include (i) dezactivarea aplicațiilor, serviciilor, instrumentelor, protocoalelor și interfețelor inutile, (ii) ștergerea sau cel puțin schimbarea numelor de utilizator și a parolelor livrate de furnizori, (iii) activarea opțiunilor de sporire a securității și (iv) prevenirea transferului de informații tehnice către entități externe.

1.15. Înregistrarea evenimentelor de securitate:

Pentru a permite detectarea și investigarea accesului neautorizat și a manipulării neautorizate a informațiilor CLIENTULUI, FURNIZORUL se asigură că (i) înregistrarea evenimentelor este activată permanent pentru toate sistemele operate de acesta pentru a crea, stoca, procesa sau transmite informațiile CLIENTULUI, (ii) sistemele sunt configurate astfel încât să genereze evenimente legate de securitate și evenimente cu relevanță pentru integritatea datelor (inclusiv tipuri de evenimente cum ar fi modificări ale informațiilor CLIENTULUI, încercările de conectare reușită și nereușită a utilizatorilor, crearea/ modificarea/ ștergerea serviciului, crearea/ modificarea/ ștergerea obiectelor, disfuncționalitatea sistemului, ștergerea conturilor de utilizator) precum şi atributele asociate fiecărui eveniment (de exemplu data, ora, ID-ul utilizatorului, numele fișierului și adresa IP), (iii) sursele coerente de date și de timp fiabile asigură că jurnalele de evenimente utilizează mărci temporale precise (de exemplu: prin utilizarea serverelor NTP), (iv) jurnalele de evenimente de securitate și jurnalele de evenimente cu relevanță pentru integritatea datelor sunt protejate împotriva accesului neautorizat și modificării/ suprascrierii accidentale sau intenționate.

1.16. Eliminarea Securizată și Reutilizarea

FURNIZORUL se asigură că hardware-ul care urmează a fi dezafectat este (i) fie complet șters înainte de a fi reutilizat, vândut sau returnat astfel încât toate informațiile CLIENTULUI să fie șterse în întregime în condiţii de siguranță (ii) sau este distrus în condiţii de siguranță. (iii) Ștergerea completă sau distrugerea trebuie realizată într- un mod securizat, utilizând cele mai moderne tehnologii și practici, cum ar fi instrumentele și practicile definite în NIST 800-88 "Ghid pentru formatarea suporturilor media". (iv) Conceptele pentru eliminarea şi ştergerea securizată, precum și dovezile privind eliminarea și ștergerea securizată a bunurilor informaţionale ale CLIENTULUI sunt partajate cu CLIENTUL, la cerere.

1.17. Securitatea Resurselor Umane

Pentru fiecare persoană care acționează în numele FURNIZORULUI și căreia i se acordă permisiuni de acces (la nivel local sau de la distanță), informațiile de identificare a persoanei trebuie puse la dispoziția CLIENTULUI. FURNIZORUL asigură o verificare personală a identității entităților umane și că nimeni nu abuzează de accesul sau permisiunea acordată persoanelor de către FURNIZOR. În plus, FURNIZORUL își asumă responsabilitatea pentru orice daune produse datorită accesului neautorizat și/ sau utilizării informațiilor CLIENTULUI. FURNIZORUL deleagă doar personalul care este calificat în mod demonstrabil pentru sarcinile necesare.

1.18. Securitatea Lanțului de Aprovizionare

FURNIZORUL asigură identificarea și gestionarea riscurilor aferente informațiilor pe parcursul fiecărei etape a relațiilor cu furnizorii externi de hardware și software în întregul lanț de aprovizionare prin (i) încorporarea cerințelor de securitate privind informațiile în contracte formale și (ii) obținerea asigurării că acestea sunt îndeplinite. (iii) FURNIZORUL se asigură că subcontractanții implicați în prelucrarea, stocarea, transmiterea sau eliminarea informațiilor CLIENTULUI îndeplinesc cel puțin cerințele convenite în prezenta Anexă. (iv) Furnizorul este responsabil pentru asigurarea unei guvernări adecvate a subcontractantului/ subcontractanților, precum și pentru conformitatea controalelor externalizate.

2. Cerințe referitoare la protecția datelor

2.1. Angajamentul de confidențialitate

FURNIZORUL obligă în scris toți angajații care prelucrează date cu caracter personal ale CLIENTULUI sau au acces la aceste date să păstreze confidențialitatea cu privire la prelucrarea datelor cu caracter personal.

Dacă este legat de comandă sau este o cerință legală, FURNIZORUL obligă angajații în scris să păstreze secretul privind telecomunicațiile (în conformitate cu Directiva Europeană nr. 58/2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice – ePrivacy Directive - sau reglementări privind confidențialitatea electronică în versiunea lor validă, coroborat cu normele naționale privind secretul telecomunicațiilor, de exemplu Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice.

FURNIZORUL va instrui toți angajații care prelucrează date cu caracter personal ale CLIENTULUI sau au acces la aceste date în ceea ce privește securitatea datelor și protecția datelor. Participarea va fi documentată pe bază de nume specific.

2.2. Protecția datelor prin design

Furnizorul va stabili reglementări privind „Protecția Datelor în etapa de Design/ dezvoltare” pentru a lua în considerare dreptul la protecția datelor în dezvoltarea și proiectarea produselor, serviciilor și aplicațiilor (de exemplu, prin măsuri precum minimizarea datelor, pseudonimizarea, setările implicite pentru protecția datelor).

3. Standarde

Furnizorul acceptă să mențină următoarele standarde:

• ISO/IEC 27001: Toate facilitățile de găzduire a datelor și de suport și procesele în care informațiile Clientului sunt stocate sau prelucrate sunt operate în conformitate cu ISO/IEC 27001 “Tehnologia informației – Tehnici de securitate – Sisteme de management a securității informației - Cerințe”.

• Furnizorul este de acord să partajeze Declarațiile de Conformitate cu Clientul la cerere.

4. Interfețele proceselor de securitate IT

Ambele părți sunt de acord să comunice și să pună la dispoziție persoane de contact pentru următoarele procese de securitate IT:

• Managementul Conformității: Pentru a schimba informaţii cu privire la respectarea cerințelor, a furniza în mod constant certificate și rapoarte, astfel cum sunt definite în prezenta Anexă, și a discuta și a conveni asupra acțiunilor de gestionare a neconformităților existente și a riscurilor aferente. Răspunsuri sincere la întrebările de „autoevaluare a furnizorului” prin intermediul platformei de gestionare a riscurilor CLIENTULUI.

• Managementul Incidentelor de Securitate IT și breșele privind datele personale: Pentru a schimba informații privind incidentele de securitate IT sau evenimentele de securitate IT care ar putea conduce la un incident de securitate IT care afectează sau ar putea afecta mediul IT utilizat pentru stocarea sau procesarea informațiilor CLIENTULUI. "Managementul incidentelor de securitate IT" include, de asemenea, gestionarea solicitărilor de expertiză/emise de către CLIENT. Breșele privind datele cu caracter personal și incidentele de securitate IT cu relevanță pentru protecția datelor trebuie raportate de FURNIZOR către CLIENT imediat, dar cel puțin în termenul legal stabilit; în acest sens, se face trimitere la dispozițiile relevante ale acordului de protecție a datelor.

• Managementul Riscurilor: Pentru a schimba informaţii privind activitățile de gestionare a riscurilor efectuate de FURNIZOR pentru a asigura identificarea, evaluarea, gestionarea, monitorizarea și menținerea într-o limită acceptabilă, în mod permanent, a riscurilor legate de securitatea informațiilor.

• Managementul Vulnerabilităților: Pentru a schimba informații privind vulnerabilitățile care afectează sau ar putea afecta mediul IT utilizat pentru stocarea sau procesarea informațiilor CLIENTULUI și pentru a discuta și a conveni asupra acțiunilor de atenuare a vulnerabilităților existente.

• Managementul Patch-urilor: Pentru a schimba informații privind ferestrele de mentenanță agreate și distribuirea de patch-uri.

• Managementul Identității și Accesului: Pentru a schimba informații privind subiectele legate de Managementul Identității și Accesului.

Ambele părți sunt de acord să colaboreze și să facă schimb de informații în cadrul fiecăruia dintre procesele de securitate menționate mai sus. Părțile vor conveni asupra unor mijloace tehnice privind schimbul de informații, precum și a indicatorilor-cheie de performanță (KPI) în vederea asigurării conformității cu procedurile de securitate convenite.

Ambele părți sunt de acord că persoanele de contact desemnate pentru procesele de securitate menționate mai sus există și pot fi înlocuite. În cazul înlocuirii, partea care înlocuiește o persoană de contact desemnată va informa prompt cealaltă parte.

Persoană de contact din partea Clientului

Nume şi prenume: Xxxxx Xxxxx

Adresă de e-mail: xxxxxxxxxxxxxxx@xxxxxx-xxxx.xx

Personă de contact din partea Furnizorului

Nume şi prenume: ...........................

Telefon: .......................

Adresă de e-mail: ..................