ANEXA NR....
ANEXA NR....
LA PROTOCOL DE COLABORARE
PENTRU CONFIRMAREA MIJLOACELOR DE IDENTIFICARE ELECTRONICĂ certME
(„Contract principal”)
ACORD PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL
I. (denumire Beneficiar) va prelucra datele cu caracter personal ale Utilizatorilor
MIE certME, în scopul executării Protocolului de colaborare pentru confirmarea mijloacelor de identificare electronică certME și al demonstrării/probării emiterii și utilizării MIE certME ("Scopul"), în conformitate cu prevederile prezentei anexe. Termenii utilizați în cuprinsul acestei anexe vor avea înțelesul din Regulamentul general privind protecția datelor nr. 679/2016 ("GDPR").
II. ......... va fi considerat operator asociat în ceea ce privește prelucrarea datelor cu caracter personal ale Utilizatorilor în vederea îndeplinirii Scopului.
III. Datele cu caracter personal care vor fi prelucrate de către Părți pentru îndeplinirea Scopului vor fi următoarele:
a.
- referința generată de aplicația mobilă certME a Utilizatorului
- referința - codul criptat generat de aplicația certME Validator, rezultat în urma aplicării unor algoritmi matematici specifici asupra referințelor datelor personale ale Utilizatorului, pentru validarea datelor personale ale Utilizatorului de către Beneficiar,
iar pentru probarea/demonstrarea emiterii și utilizării MIE certME pot fi prelucrate și: b.
- Nume și prenume
- Nume și prenume la naștere
- Data nașterii
- Locul nașterii
- Sexul
- Adresa de domiciliu
- Perioada de valabilitate a actului de identitate (data emiterii și data încetării valabilității)
- Adresa de reședință
- CNP
- Modalitatea de verificare a identității
- Copie act de identitate.
IV. Părțile vor realiza informarea Utilizatorilor în condițiile GDPR cu privire la esența acordului de prelucrare a datelor lor existent între Părți, în conformitate cu art. 26 GDPR. Fără ca enumerarea să fie limitativă, fiecare Parte va aduce la cunoștința persoanelor vizate scopul operațiunilor de prelucrare de date cu caracter personal realizate de către operatorii asociați, drepturile persoanei vizate conform art. 13-22 GDPR și modul de exercitare a acestor drepturi de către persoana vizată.
V. certSIGN va comunica Utilizatorilor calitatea ............. de Furnizor de servicii și
produse înrolat în Sistemul MIE certME.
VI. Fiecare Parte va informa în timp util cealaltă parte cu privire la cererile formulate de către persoanele vizate în legătură cu exercitarea drepturilor prevăzute prin art. 15-22 GDPR în legătură cu o operațiunea de prelucrare a datelor realizata în vederea îndeplinirii Scopului, dacă pentru rezolvarea acestora este necesar sprijinul celeilalte Părți. Într-o asemenea situație, Părțile vor coopera pentru implementarea masurile solicitate de persoana vizata, daca este cazul și pentru ca Partea care a primit solicitarea sa răspundă direct persoanei vizate în termenul legal.
VII. Prelucrarea datelor cu caracter personal va avea loc numai prin intermediul / în cadrul unor sisteme de prelucrare ce au făcut obiectul implementării unor masuri tehnice și organizatorice adecvate pentru protejarea datelor cu caracter personal. Măsurile tehnice și organizatorice trebuie să respecte art. 25 și 32 din GDPR, asigurând un nivel adecvat de protecție și securitate a datelor cu caracter personal.
VIII. În măsura în care sunt aplicabile, Părțile se vor sprijini cu privire la toate evaluările de impact privind protecția datelor solicitate în temeiul articolului 35 GDPR și la orice consultări prealabile adresate oricărei autorități de supraveghere care sunt solicitate în temeiul articolului 36 GDPR.
IX. certSIGN va păstra toate datele prelucrate pentru îndeplinirea Scopului pentru o perioada de 10 ani de la data încetării valabilității fiecărui MIE certME emis în baza prezentului acord. După expirarea acestui termen, certSIGN va șterge toate datele cu caracter personal prelucrate în vederea îndeplinirii Scopului, cu excepția cazului în care dreptul Uniunii sau dreptul românesc impune certSIGN sau Beneficiarului stocarea acestor date pentru o perioada mai îndelungată.
În cazul în care Beneficiarul este obligat sa păstreze dovezi ale verificării identității Utilizatorilor și după termenul menționat mai sus, Părțile vor stabili de comun acord modalitatea de stocare a datelor prevăzute la art. III, a și b.
X. Fiecare Parte va pune la dispoziția celeilalte Părți informațiile necesare pentru a demonstra conformarea cu GDPR și legislația româna în domeniu.
XI. Fiecare Parte va informa cealaltă Parte în cel mult 1 (o) zi lucrătoare cu privire la orice inspecție, solicitare de informații sau orice altă acțiune a autorității de supraveghere sau a altei autorități având ca obiect prelucrările reglementate de prezentul acord.
XII. ....... nu recrutează o persoană împuternicită pentru realizarea prelucrărilor prevăzute de prezentul acord fără acordul certSIGN.
XIII. Fiecare Parte va informa cealaltă Parte imediat ce ia cunoștință de existența unui incident de securitate vizând datele cu caracter personal prelucrate în comun în vederea realizării Scopului, dar fără a depăși 48 de ore de la data luării la cunoștință și ii va oferi suportul, dacă va fi necesar, în vederea notificării ANSPDCP în legătură cu orice astfel de
incidente. Incidentul de securitate va fi notificat ANSPDCP și persoanei vizate, dacă este cazul, de către Partea la care a apărut incidentul de securitate, în termenul prevăzut de lege.
În informarea privind incidentul de securitate Partea în cauza trebuie, în măsura informațiilor
avute la momentul notificării:
a. să descrie natura încălcării securitatii Datelor cu caracter personal, numărul estimat de persoane vizate în cauza, precum și categoriile și numărul înregistrărilor de date cu caracter personal în cauza;
b. să includă numele și datele de contact ale responsabilului cu protecția datelor al Părții în cauza sau ale altei persoane de contact relevante, de la care pot fi obținute mai multe informații;
c. să descrie consecințele probabile ale încălcării securității Datelor cu caracter personal; și
d. să descrie măsurile luate sau propuse a fi luate pentru a soluționa încălcarea securității Datelor cu caracter personal.
În cazul în care nu este posibil ca să furnizeze toate informațiile menționate mai sus în termenul de 48 de ore de la data luării la cunoștință a incidentului, Partea, fără întârzieri nejustificate, va furniza informațiile în mai multe etape.
XIV. Datele de contact ale responsabililor cu protecția datelor cu caracter personal, căruia i se vor transmite orice notificări sau informări legate de prelucrarea datelor cu caracter personal reglementata prin acest acord, sunt următoarele:
• Pt certSIGN:
- Bd. Xxxxx Xxxxxxxxxxxx, nr.29A, AFI Tech Park 1, et.2, sect.5, București
- Tel. (x00) 000.000.000 sau (x00) 000.000.000.
• Pt ...........:
XV. Părțile se obligă ca, în cazul oricărei modificări a datelor de contact ale responsabililor cu protecția datelor de mai sus, sa notifice în cel mai scurt timp posibil datele de contact actualizate către cealaltă Parte.
CERTSIGN S.A. .................