ACORD PRIVIND PRELUCRAREA DATELOR
ACORD PRIVIND PRELUCRAREA DATELOR
(„ACORDUL”)
Setrio Soft S.R.L., în calitate de Împuternicit, astfel cum acest termen este definit mai jos și beneficiarul serviciilor, în calitate de Operator, astfel cum este definit mai jos, au convenit să încheie Acordul pentru a asigura conformitatea cu Legile și Regulamentele Uniunii Europene privind protecția datelor (astfel cum sunt definite mai jos) în legătură cu toate aceste Prelucrări (definite mai jos).
Clauzele prezentului Acord se vor aplica tuturor Prelucrărilor efectuate pentru Operator de către Împuternicit și tuturor Datelor cu caracter personal (astfel cum sunt definite mai jos) deținute de Împuternicit în legătură cu Prelucrările respective, indiferent dacă datele respective cu caracter personal sunt deținute la data prezentului Acord sau sunt primite ulterior.
Împuternicitul îi garantează Operatorului că prelucrarea Datelor cu caracter personal a fost și va fi în continuare efectuată în conformitate cu prevederile relevante ale Legilor și Regulamentelor Uniunii Europene aplicabile privind protecția datelor și nu încalcă prevederile relevante.
Având în vedere cele de mai sus, Părțile au convenit să încheie prezentul Acord cu următoarele prevederi:
1. DEFINIȚII
„Societate Afiliată” | înseamnă orice entitate care, în mod direct sau indirect, controlează entitatea vizată, este controlată de entitatea vizată sau se află împreună cu entitatea vizată sub controlul comun al altei entități. „Control”, în sensul prezentei definiții, desemnează proprietatea sau controlul direct(ă) sau indirect(ă) asupra majorității drepturilor de vot ale entității vizate. |
„Operator” | desemnează entitatea care stabilește scopurile și mijloacele prelucrării datelor cu caracter personal. |
„Legi și Regulamente UE privind protecția datelor” | desemnează toate legile și regulamentele aplicabile în România, indiferent dacă sunt legislație primară (cum ar fi legile naționale și/sau RGPD, definit mai jos) sau legislație secundară (cum ar fi Orientările Grupului de Lucru Art. 29 sau alte orientări emise de Autoritatea de Supraveghere), aplicabile Prelucrării Datelor cu caracter personal în temeiul Acordului. |
„Persoană Vizată” | desemnează persoana identificată sau identificabilă la care se referă datele cu caracter personal. |
„RGPD” | înseamnă Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei 95/46/CE. |
“Date cu caracter personal” | înseamnă orice informație privind o persoană fizică identificată sau identificabilă. Informațiile diferite care, adunate, pot duce la identificarea unei anumite persoane constituie și ele date cu caracter personal. |
„Date cu caracter personal referitoare la condamnări și infracțiuni penale” | desemnează datele cu caracter personal referitoare la condamnările și infracțiunile penale. |
„Prelucrare” | desemnează orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal, cu sau fără utilizarea de mijloace automate, cum ar fi, de exemplu, colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea. |
„Împuternicit” | desemnează entitatea care efectuează prelucrarea datelor cu caracter personal în numele Operatorului. |
„Categorii speciale de date cu caracter personal” | desemnează datele cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filosofice sau apartenența la sindicate, prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală a unei persoane fizice fiind interzisă. |
„Subîmputernicit” | înseamnă orice persoană desemnată de către sau în numele Împuternicitului sau de către o Societate Afiliată pentru prelucrarea datelor cu caracter personal în numele oricărui membru al grupului de societăți în legătură cu Contractul. |
„Autoritate de Supraveghere” | înseamnă Autoritatea Națională de Supraveghere și Protecție a Datelor cu Caracter Personal sau oricare altă autoritate căreia i s-au atribuit responsabilitățile de protecție a datelor în conformitate cu Legile și Regulamentele UE privind protecția datelor din oricare Stat Membru. |
„Transfer“ | înseamnă divulgarea sau punerea în alt fel la dispoziția terțelor părți (inclusiv oricărei Societăți Afiliate sau oricărui Subîmputernicit) a Datelor cu caracter personal, fie prin transmiterea fizică a Datelor cu caracter personal respectivei terțe părți, fie prin permiterea accesului la Datele cu caracter personal prin alte mijloace. Din motive de claritate, stocarea și copierea de siguranță se califică drept transfer în sensul prezentului Acord. |
2. OBIECTUL ACORDULUI
2.1. Obiectul prezentului Acord constă în descrierea Prelucrării care urmează să fie efectuată de către Împuternicit ca efect al executării Contractului semnat cu Operatorul („Contractul”).
2.2. Împuternicitul prelucrează Datele cu caracter personal în numele Operatorului. Prelucrarea Datelor cu caracter personal de către Împuternicit va avea loc în temeiul Contractului și al prezentului Acord și numai în măsura în care:
2.2.1. se impune pentru a presta serviciile în baza Contractului; sau
2.2.2. Operatorul a dispus Împuternicitului în scris să facă acest lucru în legătură cu Contractul; sau
2.2.3. Se impune aceasta pentru a respecta legea (în acest caz, Împuternicitul trebuie să trimită în prealabil o
înștiințare scrisă Operatorului cu privire la această obligație legală).
2.3. Împuternicitul nu va efectua nicio altă Prelucrare a Datelor cu caracter personal, decât dacă Părțile au convenit acest lucru în scris.
3. DURATA ACORDULUI
3.1. Prezentul Acord produce efecte de la data Contractului și va rămâne în vigoare până la încetarea acestuia.
4. DETALIILE PRELUCRĂRII DE CĂTRE ÎMPUTERNICIT
4.1. În vederea executării Contractului în condiții optime, în funcție de serviciile principale prestate de către Împuternicit, Operatorul a definit următoarele categorii de Date cu caracter personal care vor face obiectul Prelucrării:
a) În vederea prestării de:
Servicii de stocare date (cloud PAAS/cloud storage/DataCenter); Servicii de implementare și suport utilizare aplicație;
Servicii de comunicare intermediară - dacă sunt prevăzute în Contract - între oOperator și persoanele vizate:
✓ Adresa
✓ Vârsta
✓ Cetățenia
✓ CNP-ul
✓ Denumirea societății
✓ Datele de autentificare (PIN parolă)
✓ Datele de autentificare (nume de utilizator)
✓ Data nașterii
✓ Adresa de e-mail
✓ Viața familială (copii, soț/soție, date familiale (se include numele de fată al mamei), pasiuni)
✓ Numărul de fax
✓ Prenumele și/sau numele
✓ Sexul
✓ IBAN
✓ Datele de asigurare
✓ Adresa IP
✓ Funcția
✓ Numărul (numerele) de telefon (contact)
✓ Seria și numărul cărții de identitate, pașaportului și/sau permisului de conducere
✓ Semnătura (de mână, copii electronice ale semnăturii).)
✓ Modulele cookie web
b) Date prelucrate cu frecventa redusa:
✓ Vocea
4.2. Operatorul a definit următoarele categorii de Persoane Vizate ale căror Date cu caracter personal vor face
obiectul Prelucrării în temeiul Contractului și al prezentului Acord:
✓ Pacienții
✓ Clienții (interni) angajați
✓ Angajații
✓ Colaboratorii, subantreprenorii
✓ Ucenicii, stagiarii, candidații Pensionarii, foștii angajați
✓ Furnizorii, prestatorii de servicii și partenerii de comunicare
✓ Reprezentanții autorităților
4.3. În temeiul prezentului Acord, Împuternicitul poate prelucra Categoriile speciale de date cu caracter personal: Da
Nu
4.4. În temeiul prezentului Acord, Împuternicitul poate prelucra Date cu caracter personal referitoare la
condamnări și infracțiuni penale:
Da Nu
4.5. Pe toată durata Contractului, pe cheltuiala proprie, fiecare dintre Părți va fi permanent responsabilă să monitorizeze, să detecteze și să o informeze pe cealaltă Parte despre orice modificare intervenită în ceea ce privește Prelucrarea legată de Datele cu caracter personal și/sau Persoanele Vizate. Orice modificare va fi
adusă în atenția celeilalte Părți în scris cât mai curând posibil după data la care a fost detectată o astfel de modificare.
4.6. Fără a aduce atingere celor de mai sus, pe cheltuiala proprie, Împuternicitul va permite desfășurarea
auditurilor efectuate de Operator sau alt auditor mandatat și va contribui la acestea.
5. OBLIGAȚIILE ÎMPUTERNICITULUI
5.1. Confidențialitatea. Împuternicitul se va asigura că personalul său implicat în Prelucrarea Datelor cu caracter personal a fost informat cu privire la caracterul confidențial al Datelor cu caracter personal, că a beneficiat de o pregătire adecvată cu privire la responsabilitățile sale și că a semnat acorduri scrise de confidențialitate.
5.2. Limitarea accesului. Împuternicitul se va asigura că accesul său la Datele cu caracter personal se limitează la angajații care prestează servicii în conformitate cu obiectul Contractului.
5.3. Responsabilul cu protecția datelor. Împuternicitul:
A desemnat un Responsabil cu protecția datelor, iar persoana desemnată poate fi contactată la xxx@xxxxxx.xx.
5.4. Măsurile tehnice corespunzătoare. Împuternicitul documentează punerea în aplicare a măsurilor tehnice în conformitate cu cerințele Legilor și Regulamentelor UE privind protecția datelor. Împuternicitul asigură punerea in aplicare cel puțin a măsurilor tehnice descrise în ANEXA nr. 1.
5.5. Măsurile de securitate adecvate. Împuternicitul este de acord și garantează că a pus în aplicare măsurile de securitate adecvate pentru a proteja Datele cu caracter personal împotriva distrugerii accidentale sau ilegale sau împotriva pierderii, modificării, dezvăluirii sau accesării neautorizate și împotriva tuturor celorlalte forme ilegale de Prelucrare și că aceste măsuri asigură un nivel de securitate adecvat riscurilor pe care le prezintă Prelucrarea și naturii Datelor cu caracter personal care trebuie protejate, ținând seama de stadiul actual al tehnicii și de costul punerii lor în aplicare. Împuternicitul asigură punerea în aplicare cel puțin a măsurilor de securitate descrise in ANEXA nr. 2 pentru prelucrarea datelor, prelucrare prin serviciile prevăzute la art. 4.1.
5.6. Datoria de colaborare. Operatorul și Împuternicitul vor colabora și/sau cu Autoritatea de Supraveghere în ceea ce privește orice anchete administrative, solicitări de informații privind Datele cu caracter personal sau prezentul Acord. Mai exact:
5.6.1. Cerere de la Persoană Vizată. În cel mult 2 (două) zile lucrătoare de la data primirii, Împuternicitul va informa Operatorul cu privire la orice cerere venită din partea unei Persoane Vizate de a exercita următoarele drepturi ale Persoanei Vizate: dreptul de acces, dreptul de rectificare, de restricționare a prelucrării, de ștergere („dreptul de a fi uitat”), dreptul la portabilitatea datelor, de opoziție în ceea ce privește Prelucrarea sau dreptul de a nu se supune unei decizii individuale automate („Cererea Persoanei Vizate”). Împuternicitul nu va răspunde Cererii unei Persoane Vizate fără a fi obținut în prealabil consimțământul scris al Operatorului. Împuternicitul va asigura, la cererea Operatorului, asistență rezonabilă pentru a onora o astfel de Cerere a Persoanei Vizate.
5.6.2. Cerere de la Autoritatea de Supraveghere. În cel mult 1 (o) zi lucrătoare de la înștiințare,
Împuternicitul va informa Operatorul cu privire la orice inspecție, solicitare de informații sau oricare altă acțiune a Autorității de Supraveghere.
5.7. Datoria de informare. Pe toată durata Contractului, Împuternicitul va informa Operatorul cu privire la orice infracțiune administrativă sau procedură penală sau acțiune în răspundere în temeiul legilor și regulamentelor UE, chiar dacă nu se referă la Datele cu caracter personal.
5.8. Datoria de evaluare a legalității dispozițiilor emise de către Operator. Împuternicitul se angajează să evalueze legalitatea dispozițiilor emise de către Operator în raport cu prevederile Legilor și Regulamentelor UE privind protecția datelor și să informeze în timp util Operatorul în cazul în care consideră că i s-au dat dispoziții care nu respectă aceste Legi și Regulamente UE privind protecția datelor.
5.9. Gestionarea și raportarea incidentelor privind Datele cu caracter personal. Împuternicitul va menține politici și proceduri de gestionare a incidentelor de securitate și va informa Operatorul, fără întârzieri nejustificate (în maximum 24 de ore), imediat ce a luat cunoștință de distrugerea, pierderea, modificarea accidentală sau ilegală sau divulgarea sau accesarea neautorizată a Datelor cu caracter personal transmise, stocate sau prelucrate în alt mod de către Împuternicit și/sau Subîmputerniciți („Incident privind Datele cu caracter personal”). Împuternicitul va informa Operatorul înaintea oricărei alte Autorități de Supraveghere. Împuternicitul va depune eforturi rezonabile pentru a descoperi cauza unui asemenea Incident privind Datele cu caracter personal și va lua toate măsurile pe care le consideră necesare și rezonabile pentru remedierea cauzei unui astfel de Incident privind Datele cu caracter personal.
5.10. Evaluarea impactului în plan privat. Împuternicitul va oferi asistență Operatorului în privința oricăror evaluări ale impactului asupra protecției datelor.
5.11. Evidențele prelucrării. Împuternicitul va crea și va păstra o evidență actualizată a prelucrării pentru Prelucrarea efectuată în temeiul prezentului Acord. Împuternicitul poate alege modul cel mai potrivit de organizare a acestei evidențe a prelucrării, conform prevederilor aplicabile ale Legilor și Regulamentelor UE privind protecția datelor.
5.12. Amprenta geografică a prelucrării. Împuternicitul se angajează ca Prelucrarea să se efectueze în permanență
în interiorul frontierelor Uniunii Europene și/sau ale Spațiului Economic European.
5.13. În cazul în care Împuternicitul nu poate asigura îndeplinirea obligațiilor sau prevede că nu își poate îndeplini obligațiile prevăzute în prezentul Acord, din orice motive, acesta este de acord să informeze prompt Operatorul cu privire la incapacitatea sa, în acest caz Operatorul având dreptul să suspende Contractul după trimiterea în prealabil a unei înștiințări scrise în acest sens.
6. SUBÎMPUTERNICIȚII ȘI SOCIETĂȚILE AFILIATE
6.1. Împuternicitul are o autorizare generală din partea Operatorului să subcontracteze obligațiile care îi revin în temeiul prezentului Acord unui Subîmputernicit, Operatorul având dreptul discreționar de a se opune numirii unui Subîmputernicit sau schimbării unui Subîmputernicit deja existent doar pe bază de justificări obiective.
6.2. Împuternicitul va fi răspunzător pentru acțiunile și omisiunile Subîmputerniciților săi în aceeași măsură în care el însuși ar fi răspunzător dacă ar presta direct serviciile fiecărui Subîmputernicit.
7. AUDITURILE ȘI INSPECȚIILE
7.1. La cererea Operatorului, Împuternicitul trebuie să pună la dispoziția Operatorului sau unei terțe părți desemnate de către acesta din urmă informații privind respectarea de către Împuternicit a obligațiilor prevăzute în prezentul Acord. Operatorul îi poate solicita Împuternicitului un audit la fața locului la nivelul arhitecturii, sistemelor și procedurilor relevante pentru protecția datelor cu caracter personal din locurile în care sunt stocate datele cu caracter personal. Înainte de începerea oricărui astfel de audit la fața locului, Operatorul și Împuternicitul vor stabili de comun acord obiectul, calendarul și durata auditului.
8. ÎNCETAREA PREZENTULUI ACORD ȘI ÎNAPOIEREA SAU ȘTERGEREA DATELOR CU CARACTER PERSONAL
8.1. Părțile confirmă în mod expres că prevederile Art. 2, Art. 5 și Art. 6 sunt esențiale pentru prezentul Acord, iar încălcarea lor poate duce la suspendarea și/sau rezilierea prezentului Acord prin decizia unilaterală a Operatorului. Într-un astfel de caz, Operatorul are dreptul discreționar de a informa Împuternicitul asupra deciziei sale de a suspenda Contractul și de a-i acorda un termen de remediere sau de a rezilia Contractul imediat sau într-un anumit interval de timp (necesar pentru descărcarea Împuternicitului și pentru preluarea Prelucrării).
8.2. Fără a aduce atingere celor de mai sus, prezentul Acord încetează la data încetării Contractului, indiferent
de cauză.
8.3. În momentul încetării Contractului, dar nu mai târziu de 10 (zece) zile lucrătoare de la data încetării, Datele cu caracter personal vor fi șterse și, dacă nu se permite acest lucru din punct de vedere juridic, vor fi returnate Operatorului de către Împuternicit și oricare alt Subîmputernicit implicat în executarea prezentului Acord.
8.4. Orice stocare a Datelor cu caracter personal va fi documentată și explicată în scris de către Împuternicit și poate fi contestată în mod rezonabil de către Operator.
9. SOLUȚIONAREA LITIGIILOR. DESPĂGUBIRI
9.1. Părțile au convenit ca toate neînțelegerile privind validitatea prezentului act sau rezultate din interpretarea, executarea ori încetarea acestuia să fie rezolvate pe cale amiabilă de reprezentanții lor.
9.2. Părțile sunt de acord prin prezentul să coopereze pe deplin în cazul oricăror anchete, litigii privind Datele cu
caracter personal și prezentul Acord, astfel încât să reducă la minimum pierderile.
9.3. În cazul în care una dintre Părți („Partea Vătămată”) suportă pierderi ca urmare a încălcării de către cealaltă Parte a oricăreia dintre declarațiile și garanțiile sale sau cealaltă Parte nu poate sau refuză să respecte vreunul dintre angajamentele sau vreuna dintre obligațiile sale în temeiul prezentului Acord („Partea Responsabilă”), atunci Partea Vătămată va avea dreptul de a fi despăgubită integral de către Partea Responsabilă și exonerată de răspundere de către Partea Responsabilă pentru asemenea pierderi și de a se folosi de orice cale de atac disponibilă pentru a fi pusă în postura în care ar fi fost dacă încălcarea sau Pierderea respectivă nu ar fi avut loc.
9.4. În sensul prezentului Acord, „pierderi” înseamnă oricare și toate daunele-interese, amenzile, taxele, penalitățile, investițiile și cheltuielile actuale și viitoare, incluzând, fără limitare: (i) dobânzile, (ii) cheltuielile judiciare; (iv) onorariile avocaților, (iv) cheltuielile cu contabilii și alți experți sau alte cheltuieli de
contencios; (v) alte proceduri sau orice pretenție; (vi) toate pierderile, daunele-interese sau alte plăți datorate Persoanelor Vizate în baza unei ordonanțe de autorizare sau hotărâri judecătorești definitive și executorii pentru nerespectarea Legilor și Regulamentelor UE privind protecția datelor, suportate de către una dintre Părți ca urmare a încălcării de către cealaltă Parte a declarațiilor și garanțiilor sale sau a obligațiilor și angajamentelor sale cuprinse în prezentul Acord.
10. PREVEDERILE FINALE
10.1. Prevederile prezentului Acord trebuie citite împreună cu Contractul. În cazul oricăror discrepanțe, prezentul Acord va prevala.
10.2. Prevederile prezentului Acord vor lua în considerare Legile și Regulamentele UE privind protecția datelor actualizate. Pe toată durata Acordului, orice modificare a Legilor și Regulamentelor UE privind protecția datelor se aplică de la data intrării în vigoare a prevederii legale, fără a ține cont de niciun preaviz între Părți.
10.3. Înțelegerea financiară între Operator și Împuternicit este inclusă în Contract și acoperă asistența și/sau costurile suportate – separat sau împreună – de către Împuternicit și/sau Subîmputernicit în executarea prezentului Acord.
10.4. Părțile sunt de acord că orice informație de orice fel (comercială, tehnică, financiară, operațională sau de alt fel) și sub orice formă (verbală, scrisă, înregistrată sau altfel), inclusiv Datele cu caracter personal, care poate fi divulgată în orice mod sau în orice privință de către una dintre Părți celeilalte Părți, referitor la sau ca urmare a prezentului Acord, se consideră a fi confidențială.
ANEXA NR. 1 la Acordul privind prelucrarea datelor MINIME MĂSURI TEHNICE CORESPUNZĂTOARE
1. Pseudonimizarea și criptarea datelor cu caracter personal;
2. Asigurarea confidențialității, integrității, disponibilității si prerlueczirsatreen;tȩ i continue ale sistemelor si serviciilor de
3. Posibilitatea de restabilire a disponibilității datelor cu caracter personal şi accesul la acestea în care are loc un incident de natură fizică sau tehnică;
timp util în cazul în
4. Testarea, evaluarea și aprecierea periodice ale eficacității măsurilor de securitate tehnice și organizatorice pentru a garanta securitatea prelucrării.
ANEXA NR. 2 la Acordul privind prelucrarea datelor MINIME MĂSURI DE SECURITATE ADECVATE
1. Anonimizarea datelor cu caracter personal (criptarea cu cheie secretă) în următoarele cazuri:
a) stocarea datelor (nivelul bazei de date)
b) transferul datelor peste internet si intre serverele instalate local
c) stocarea arhivelor (nivel fișiere)
2. Implementarea unei politici de control al accesului în aplicație care să permită:
a) accesul în aplicație pe baza de utilizator și parolă și care:
- să permită impunerea alegerii parolelor de calitate;
- să permită impunerea schimbării parolelor la prima logare;
- să permită impunerea de schimbări regulate ale parolei și după cum este necesar;
- să nu afișeze parole pe ecran când sunt introduse;
- să stocheze și să transmită parole în formă protejată.
b) accesul utilizatorilor la funcționalitățile pe baza unei matrice de drepturi;
c) accesul utilizatorilor la rapoarte pe baza unei matrice de drepturi;
d) închiderea sesiunilor inactive după o perioadă de inactivitate definita.
3. Securizarea accesului la baza de date.
4. Publicarea procedurilor de securizare a aplicație.
5. Limitarea opțiunilor de export si listare a datelor cu caracter personal sau special.
ANEXA NR. 3 la Acordul privind prelucrarea datelor
Persoanele din partea Împuternicitului care sunt autorizate să accepte dispoziții:
Nume | Funcție | Telefon | Adresă de e-mail |
Xxxxxx Xxxxxxxx | Reprezentant Administrator | 0213311540 |
9