Acord privind Prelucrare de Date cu Caracter Personal încheiat între operator și persoana împuternicită
Acord privind Prelucrare de Date cu Caracter Personal
încheiat între operator și persoana împuternicită
Prezentul acord se încheie de către și între:
_______________________________ cu sediul în localitatea București, Str. _________________, Nr. ___, Sectorul ____, înregistrată la Registrul comerțului cu nr. _________________, cod unic de Înregistrare ____________________ cont bancar IBAN _____________________________ deschis la _______________ legal reprezentată de ___________________ în calitate de Administrator, (denumită în continuare Operator sau Beneficiar),
și
_______________________________, cu sediul în __________________ str. _____________, nr. _______________, înregistrată la Registrul Comerțului cu nr J___/___/______, cod fiscal _________, având contul bancar _________________________, deschis la _____________ reprezentată legal de _____________________, (denumită în continuare Persoană Împuternicita sau Prestator).
Preambul
Având în vedere că:
în desfășurarea relațiilor contractuale dintre părți, intervin și activități care constau în prelucrări de date cu caracter personal, realizate în numele Operatorului (Beneficiarului),
Operatorul recurge doar la persoane împuternicite care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate,
prelucrarea datelor trebuie să respecte cerințele prevăzute în Regulamentul nr. 679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (denumit în continuare „Regulamentul“ sau „GDPR“),
prelucrarea de către o persoană împuternicită de un operator trebuie să fie reglementată printr-un acord care are caracter obligatoriu pentru persoana împuternicită în raport cu operatorul și care stabilește obiectul și durata prelucrării, natura și scopul prelucrării, tipul de date cu caracter personal și categoriile de persoane vizate, obligațiile și drepturile operatorului,
Angajament față de legile și standardele naționale și Europene de protecție a datelor
Operatorul se angajează să respecte prevederile aplicabile protecției datelor aparținând legilor fiecărui stat membru al Operatorului și fiecărui stat membru al Persoanei împuternicite (fiecărei „Legi de Protecție a Datelor cu Caracter Personale a Statului Membru” și legilor aplicabile statelor membre Uniunii Europene împreună „Legi de Protecție a Datelor cu Caracter Personal a Statului Membru”) și Regulamentul European de Protecție a Datelor (Regulament (EU) 679/2016 – „GDPR”).
În caz de discrepanțe între prevederile unei Legi de Protecție a Datelor cu Caracter Personal a unui Stat Membru și GDPR, GDPR se va aplica cu prioritate. În măsura în care GDPR prevede posibilitatea edictării de norme naționale specifice și în cazul statului membru de care aparține Persoana Împuternicită sau statul membru de care aparține Persoana Împuternicită a emis asemenea norme naționale specifice, Persoana Împuternicită, se angajează să ia în considerație aceste norme naționale specifice.
Persoana Împuternicită este obligată să comunice Operatorului fără întârziere orice modificare care ar preveni sau ar restrânge posibilitatea executării contractului. În aceste cazuri, Operatorul și Persoana împuternicită au dreptul de a suspenda executarea contractului și/sau de a denunța contractul. Termenii utilizați în acest Acord care nu sunt definiți în mod specific, vor avea sensul dat prin GDPR.
Părțile au convenit să încheie prezentele clauze contractuale pentru a oferi garanții suficiente pentru ca prelucrarea să respecte cerințele prevăzute în Regulament și să asigure protecția drepturilor persoanei vizate:
1. Definiții ale termenilor folosiți în prezentul Acord
În interpretarea și aplicarea prezentului Acord, următorii termeni vor avea înțelesul explicitat mai jos:
„date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă ("persoana vizată");
„persoană vizată” înseamnă persoana fizică la care se referă datele, fiind acea persoană fizică identificabilă sau acea persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
„date genetice” înseamnă datele cu caracter personal referitoare la caracteristicile genetice moștenite sau dobândite ale unei persoane fizice, care oferă informații unice privind fiziologia sau sănătatea persoanei respective și care rezultă în special în urma unei analize a unei mostre de material biologic recoltate de la persoana în cauză;
„date biometrice” înseamnă date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice;
„date privind sănătatea” înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate a acesteia;
„destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță. Cu toate acestea, autoritățile publice 4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/33 cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice respective respectă normele aplicabile în materie de protecție a datelor, în conformitate cu scopurile prelucrării;
„parte terță” înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;
„prelucrare sau prelucrarea datelor cu caracter personal” înseamnă orice operațiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea;
„restricționarea prelucrării” înseamnă marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora;
„consimțământ” al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;
„operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile şi mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;
„sistem de evidență a datelor” înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice fie ele centralizate, descentralizate sau repartizate după criteriile funcționale sau geografice;
„persoană împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care prelucrează datele cu caracter personal în numele operatorului;
„contractul principal” este contractul al cărui obiect determină și stabilește relația comercială dintre operator și Persoana împuternicită stabilind cadrul convențional general cu, consecințe directe sau indirecte asupra activităților / operațiunilor de prelucrare a datelor cu caracter personal
„încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;
„reprezentant” înseamnă o persoană fizică sau juridică stabilită în Uniune, desemnată în scris de către operator sau persoana împuternicită de operator în temeiul articolului 27 din Regulament, care reprezintă operatorul sau persoana împuternicită în ceea ce privește obligațiile lor respective care le revin în temeiul prezentului regulament;
2. Obiectul și durata prezentului Acord
(1) Obiectul prezentului acord îl reprezintă reglementarea exclusiv și în mod specific a regimului activităților de prelucrare a datelor cu caracter personal în legătură directă cu Obiectul contractului principal de prestări servicii nr. .......... din data ....................... încheiat între operator (Beneficiar) și persoana împuternicită (Prestator).
(2) Activitățile de prelucrare ce pot face obiectul prezentului acord sunt următoarele: colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau alterarea, recuperarea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea a Datelor cu caracter personal
(3) Durata prezentului acord corespunde duratei Contractului principal de prestări servicii, încheiat între părți.
3. Natura și scopul prelucrării datelor
(1) Natura și scopul prelucrării datelor cu caracter personal de către Prestator pentru Beneficiar sunt stabilite în Contractul principal de prestării servicii.
4. Locul prelucrării
(1) Prelucrarea are loc în Uniunea Europeană (UE) sau în Spațiul Economic European (SEE). Prelucrarea datelor cu caracter personal conform prezentului acord se va desfășura exclusiv într-un Stat Membru al Uniunii Europene (UE) sau într-un Stat Membru al Spațiului Economic European (SEE).
(2) Xxxxxx transfer de date către un Stat care nu se află în Uniunea Europeană sau în Spațiul Economic European, nu se va efectua fără acordul prealabil al Beneficiarului, și numai cu îndeplinirea condițiilor prevăzute în cadrul Capitolului V din Regulament, precizându-se nivelul de protecție oferit în acel Stat.
5. Tipul (categorii) de date
(1) Următoarele categorii de date vor putea face obiectul prelucrării datelor cu caracter personal:
date personale de contact și de identificare, de exemplu: nume, prenume, pseudonim, domiciliu; resedinta; adresa de corespondență; adresa e-mail; număr de telefon fix/mobil; fax; data și locul nașterii; cetățenia; semnătura; cod numeric personal; date privind actul de identitate;
date bancare, de exemplu: conturi bancare; bănci.
(2) Modificările aduse Datelor Personale nu vor determina o schimbare a scopului în înțelesul acestui Acord/sau acestui Acord de Prelucrare a Datelor, atât timp cât aceste modificări sunt acoperite de scopul Acordului și de scopurile prelucrării de date.
6. Categorii de persoane vizate
Categoriile de persoane vizate se compun din: clienți; clienți potențiali; angajați, etc.
7. Măsuri tehnice și organizatorice
Înainte de a începe prelucrarea datelor cu caracter personal, Prestatorul va prezenta modalitatea în care a îndeplinit măsurile tehnice și organizatorice necesare, stabilite în prealabil, înainte de semnarea prezentului acord, în special cu privire la modalitatea în care va înțelege să presteze serviciile care fac obiectul prezentului contractului principal, și va prezenta Beneficiarului aceste măsuri pentru verificare.
Persoana împuternicită va documenta implementarea măsurilor tehnice și organizatorice înainte de încheierea Acordului și, înainte de prelucrarea datelor și va prezenta la cererea Operatorului, în vederea examinării, dovezi privind măsuri tehnice și organizatorice documentate.
În cazul în care Operatorul ajunge la concluzia că măsurile implementate sunt satisfăcătoare, măsurile documentate vor deveni baza acestui Acord de prelucrare a datelor. În cazul în care Operatorul ajunge la concluzia că sunt necesare ajustări pentru a se conforma GDPR sau reglementărilor naționale specifice sau legilor privind protecția datelor din statele membre, Persoana împuternicită se angajează să realizeze măsurile convenite de comun acord în scris între Persoana împuternicită și Operator. În urma acceptării de către Beneficiar a măsurilor prezentate de către Xxxxxxxxx, aceste măsuri vor fi obligatorii de îndeplinit pe întreaga durată contractuală, constituind unul din motivele pentru care prezentul acord s-a încheiat între cele două părți.
În cazul în care după efectuarea eventualelor inspecții / auditări de către beneficiar cu privire la măsurile tehnice și organizatorice aplicate de către Prestator, ar rezulta o necesitate în efectuarea unor modificări, acestea vor fi implementate de către Prestator.
În ceea ce privește măsurile tehnice și organizatorice, Prestatorul va aplica măsurile de securitate în conformitate cu articolul 28 alin. (3) punctul c) și articolul 32 din Regulament coroborat cu articolul 5 alin. (1) și (2) din Regulament. Măsurile care trebuie adoptate sunt măsuri legate de securitatea datelor și măsuri care garantează un nivel protecție corespunzător riscului privind confidențialitatea, integritatea, disponibilitatea și rezistența sistemelor de prelucrare a datelor. În acest sens, trebuie avute în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, în sensul articolului 32 alin. (1) din Regulament.
Măsurile tehnice și organizatorice sunt supuse progresului tehnic și dezvoltărilor ulterioare. În acest sens, Prestatorului i se permite să implementeze măsuri alternative corespunzătoare, daca acestea respectă dispozițiile Regulamentului. Cu toate acestea, prin implementarea măsurilor alternative nu trebuie să se reducă nivelul de securitate al măsurilor definite. În cazul în care prin implementarea unor măsuri alternative, modificările vor fi unele semnificative, aceste masuri trebuie să fie documentate și prezentate Beneficiarului, înainte de implementarea lor, pentru a fi acceptate în prealabil de acesta din urmă.
8. Corectarea, restricționarea și ștergerea datelor
Prestatorul nu poate corecta, șterge sau restricționa din proprie inițiativă prelucrarea datelor care sunt procesate în numele Beneficiarului, ci doar în baza unor instrucțiuni scrise primite din partea Beneficiarului.
În cazul în care o persoană vizată contactează direct Prestatorul în legătură cu o corectare, ștergere sau restricționare a prelucrării, Prestatorul va transmite imediat Beneficiarului solicitarea persoanei vizate.
În cazul în care este inclusă în obiectul serviciilor, politica privind ștergerea, corectarea, portabilitatea datelor și accesul la acestea vor fi asigurate de către Prestator în conformitate cu instrucțiunile primite din partea Beneficiarului. În consecință, eventualele obiecții în conformitate cu articolul 21 GDPR și orice revocări ale consimțământului conform articolului 7 alin. (3) GDPR care sunt adresate direct Persoanei împuternicite trebuie să fie raportate fără întârzieri nejustificate Operatorului. Persoana împuternicită nu va lua măsuri sau nu ia măsuri pentru astfel de solicitări fără instrucțiuni prealabile ale Operatorului. În special, Persoana împuternicită nu va șterge date la cererea persoanei vizate decât dacă a primit instrucțiuni prealabile în scris din partea Operatorului.
9. Instrucțiuni din partea Operatorului
Prelucrarea de Date se va limita la: ceea ce este necesar în relație cu scopul prelucrării; modalitatea compatibilă cu scopul prezentului Acord; indicațiile și instrucțiunile Operatorului.
Prelucrarea datelor trebuie să fie în conformitate cu Acordul și cu indicațiile Operatorului. Operatorul își rezervă dreptul de a oferi Prestatorului (Persoanei împuternicite) indicații cu privire la tipul, întinderea, și procedura Prelucrării de Date și să probeze indicațiile date cu indicații individuale. Modificări ale scopului și procedurilor vor fi coordonate împreună și documentate. Prestatorul va putea dezvălui doar informații terților sau persoanelor prevăzute conform acordului scris prealabil din partea Beneficiarului (Operatorului), cu excepția cazului în care Persoana împuternicită/ Prestatorul are această obligație legală.
Prestatorul nu va folosi Date Personale sau alte fragmente pentru un alt scop altul decât cel specificat în acest Acord privind Protecția Datelor, și în mod particular nu va fi îndreptățit să transfere Date Personale sau alte fragmente, sau să divulge Date Personale terților. Copiile și dublurile care depășesc stocarea tehnică intermediară, sau echivalentul, nu pot fi procesate fără aducerea la cunoștință sau consimțământul explicit al Operatorului. Prin excepție, Xxxxxxxxx împuternicite/ Prestatorului îi este permis să realizeze copii de rezervă în măsura în care acestea sunt necesare pentru asigurarea Prelucrării Datelor conform prevederilor legale obligatorii privind păstrarea înregistrărilor.
Prestatorul va informa imediat Beneficiarul (Operatorul), în conformitate cu art. 28 alin. 3 GDPR, în cazul în care Persoana împuternicită consideră că indicațiile Beneficiarului (Operatorului) încalcă orice prevedere privind protecția datelor. Prestatorul are dreptul de a suspenda executarea respectivelor instrucțiuni până la confirmarea sau modificarea din partea Beneficiarului (Operatorului).
10. Obligații ale Prestatorului
Prestatorul oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în Regulament și să asigure protecția drepturilor persoanei vizate.
Prestatorul nu recrutează o altă persoană împuternicită de operator fără a primi în prealabil o autorizație scrisă, specifică, din partea Beneficiarului.
Prestatorul prelucrează datele cu caracter personal numai pe baza unor instrucțiuni scrise din partea Beneficiarului, inclusiv în ceea ce privește transferurile de date cu caracter personal către o țară terță sau o organizație internațională, cu excepția cazului în care această obligație îi revine Prestatorului în temeiul dreptului Uniunii sau al dreptului intern care i se aplică; în acest caz, notifică această obligație juridică Beneficiarului înainte de prelucrare, cu excepția cazului în care dreptul respectiv interzice o astfel de notificare din motive importante legate de interesul public.
Prestatorul adoptă toate măsurile necesare privind securitatea prelucrării datelor, în conformitate cu articolul 32 din Regulament.
Prestatorul oferă asistență Beneficiarului prin măsuri tehnice și organizatorice adecvate pentru îndeplinirea obligației Beneficiarului de a răspunde cererilor privind exercitarea de către persoana vizată a drepturilor prevăzute în cadrul Regulamentului.
Prestatorul ajută Beneficiarul să asigure respectarea obligațiilor prevăzute la articolele 32-36 din Regulament, ținând seama de caracterul prelucrării și informațiile aflate la dispoziția Prestatorului.
In funcție de alegerea Beneficiarului, Prestatorul va șterge sau returna Beneficiarului toate datele cu caracter personal după încetarea furnizării serviciilor legate de prelucrare și elimină copiile existente, cu excepția cazului în care dreptul Uniunii sau dreptul intern impune stocarea datelor cu caracter personal.
Prestatorul pune la dispoziția Beneficiarului toate informațiile necesare pentru a dovedi respectarea obligațiilor prevăzute în cadrul Regulamentului.
Prestatorul permite desfășurarea auditurilor, inclusiv a inspecțiilor, efectuate de Beneficiar sau alt auditor mandatat de catre Beneficiar, iar Prestatorul va contribui în mod activ la acestea.
Prestatorul informează imediat Beneficiarul în cazul în care, în opinia sa, o instrucțiune din partea Beneficiarului încalcă Regulamentul sau alte dispoziții legale din dreptul intern sau din dreptul Uniunii referitoare la protecția datelor.
Prestatorul nu va prelucra date decât la cererea Beneficiarului, cu excepția cazului în care dreptul Uniunii sau dreptul intern îl obligă să facă acest lucru.
(12) În scopul respectării confidențialității, în conformitate cu articolul 28 alin. (3) punctul b), articolele 29 si 32 alin.(4) din Regulament, Prestatorul va desemna pentru procesarea datelor menționate în acest acord doar pe acei angajați care și-au asumat si au semnat un angajament de confidențialitate și care au luat la cunoștință în prealabil prevederile privind protecția datelor.
(13) Prestatorul și orice persoană care acționează sub autoritatea acestuia care are acces la date cu caracter personal nu va procesa acele date decât la instrucțiunile Beneficiarului, în afara cazului în care legea prevede contrariul.
(14) Prestatorul va implementa și respecta măsuri tehnice și organizatorice necesare pentru derularea prezentului acord, în conformitate cu articolul 28 alin. (3) punctul c) coroborat cu articolul 32 din Regulament.
(15) Prestatorul și Beneficiarul vor coopera, la cerere, cu autoritatea de supraveghere, furnizând orice informații si/sau documente solicitate de Autoritate.
(16) Beneficiarul va fi informat imediat de către Prestator cu privire la orice inspecții și măsuri efectuate de autoritatea de supraveghere, în măsura în care acestea se referă la prezentul acord. Aceasta se aplică în măsura în care Prestatorul face obiectul unei investigații sau este parte într-o investigație a unei autorități competente în legătură cu încălcarea oricărei legislații civile sau penale, sau regulamente ori reglementări administrative privind procesarea datelor cu caracter personal în baza prezentului acord.
(17) În cazul în care Beneficiarul face obiectul unei inspecții a Autorității de supraveghere, al unei proceduri administrative, contravenționale sau penale, al unei plângeri sau pretenții din partea unei persoane vizate sau a unui terț sau al oricărei alte pretenții în legătură cu prelucrarea datelor de către Prestator în baza prezentului acord, Prestatorul va depune toate eforturile să sprijine Beneficiarul în cadrul unor asemenea proceduri.
(18) Prestatorul va monitoriza periodic procedurile interne și măsurile tehnice și organizatorice pentru a se asigura că prelucrarea datelor efectuată în aria sa de responsabilitate este conformă cu cerințele legilor aplicabile privind protecția datelor și cu protecția drepturilor persoanelor vizate.
(19) Beneficiarul va putea verifica oricând măsurile tehnice și organizatorice aplicate în prelucrarea datelor în baza prezentului acord, în temeiul puterilor de supraveghere ale Beneficiarului.
11. Controale și alte obligații ale Persoanei Împuternicite
Persoana împuternicită se obligă:
să țină evidența activităților de prelucrare, în conformitate cu articolul 30 alin. 5 GDPR;
dacă este necesar din punct de vedere juridic, să desemneze un responsabil cu protecția datelor care să-și poată îndeplini sarcinile conform art. 37-39 GDPR și să furnizeze Operatorului datele de contact pentru comunicarea directă;
să păstreze confidențialitatea datelor cu caracter personal și a datelor confidențiale ale persoanelor juridice și să implice numai angajații care s-au angajat să respecte obligația de confidențialitate privind datele cu caracter personal sau care sunt obligați să îndeplinească obligațiile profesionale de păstrare a secretului profesional; în orice caz, obligațiile de confidențialitate rămân aplicabile după încetarea Acordului, acestui Acord de prelucrare a datelor sau contractului de muncă pe o perioadă nedeterminată, indiferent de prevederile privind alte obligații de păstrare a confidențialității;
să instruiască orice persoană care are acces la date personale despre obligațiile specifice de protecție a datelor referitoare la acest Acord de prelucrare a datelor, precum și obligațiile sale de a respecta instrucțiunile și de a folosi datele cu caracter personal în conformitate cu acest Acord de prelucrare a datelor;
să pună în aplicare și să respecte orice măsuri tehnice și organizatorice necesare pentru acest Acord de prelucrare a datelor, precum și să furnizeze Operatorului dovezi în legătură cu acesta (în acest scop, Persoana împuternicită poate prezenta opinii de audit actualizate, rapoarte sau extrase de rapoarte emise de agenții independente (de exemplu, auditori financiari, revizuiri, responsabili de protecția datelor, departamente de securitate IT, auditori de securitate a datelor, auditori de calitate) sau un certificat corespunzător eliberat de auditurile de securitate și de protecție a datelor);
să nu furnizeze niciunei terțe părți (i) acces direct, indirect, îngrădit sau neîngrădit la date personale sau (ii) chei de criptare utilizate pentru securizarea datelor cu caracter personal sau abilitatea de a întrerupe astfel de criptare;
să raporteze imediat o încălcare a securității datelor în cazul în care Persoana împuternicită constată o încălcare a datelor cu caracter personal care fac obiectul prelucrării datelor în conformitate cu acest Acord de prelucrare a datelor pentru a permite Operatorului să-și îndeplinească "obligația de notificare a încălcării de securitate a datelor" conform articolului 33 GDPR;
să notifice imediat Operatorului acțiunile și măsurile de control inițiate de o Autoritate de supraveghere a protecției datelor sau orice alte investigații efectuate de o autoritate în legătură cu posibile încălcări ale dispozițiilor privind protecția datelor sau a abaterilor în acest domeniu;
să revizuiască în mod frecvent realizarea și / sau îndeplinirea acestui Acord de prelucrare a datelor în sensul controlului comenzii, în special în ceea ce privește respectarea și eventuala ajustare necesară a prevederilor și măsurilor de punere în aplicare a acestui Acord de prelucrare a datelor.
să autorizeze Operatorul să acceseze spațiile utilizate de Persoana împuternicită și sistemele de acces utilizate de Persoana împuternicită pentru a îndeplini aceste obligații contractuale în scopul verificării de către acesta a măsurilor de securitate luate de către Persoana împuternicită în scopul prelucrării datelor și să permită accesul la sediile folosite de Persoana împuternicită. Acest acces la sediu sau accesul la sisteme va avea loc în termen de șapte zile de la anunțarea din partea Operatorului și se efectuează împreună cu un reprezentant autorizat al Persoanei împuternicite. În cazul în care există suspiciuni sau indicii de încălcare gravă a măsurilor de securitate de către Persoana împuternicită sau orice terță parte, Operatorului i se va acorda acces imediat la spații sau la sisteme.
12. Notificare din partea persoanei împuternicite în cazul încălcărilor
În orice caz Persoana Împuternicită va notifica Operatorul dacă persoana împuternicită sau orice persoană angajată de Persoana împuternicită încalcă prevederile Operatorului privind protecția datelor cu caracter personal sau orice alte obligații care decurg din acest acord de prelucrare.
(2) Persoana împuternicită își recunoaște îndatoririle conform art.12.7 din prezentul acord de prelucrare a datelor pentru a informa Beneficiarul / Operatorul în cazul unei distrugeri accidentale sau ilegale, pierderi, modificări sau divulgări neautorizate sau accesul de date personale în conformitate cu Regulamentul 679/2016, legi naționale aplicabile și orice alte reglementări naționale specifice (fiecare fiind un „Incident de securitate”). Orice astfel de incidente trebuie să fie raportate Beneficiarului / Operatorului indiferent de cauza lor. Aceasta se aplică și în cazul unor întreruperi grave de flux operațional, cum sunt: pierderi de date; fișiere distruse sau șterse; viruși de calculator; defecțiuni ale tuturor componentelor hardware; întreruperi legate de software ca urmare a erorilor de programare sau a configurației greșite; alte încălcări suspectate privind dispozițiile privind protecția datelor cu caracter personal.
(3) Notificarea conține cel puțin informațiile menționate la articolul 33 alin. (3) GDPR. Persoana împuternicită va investiga Incidentul de Securitate și împreună cu Operatorul va lua orice măsură pentru asigurarea datelor cu caracter personal și pentru atenuarea efectelor și minimizarea oricăror daune rezultate din Incidentul de securitate.
13. Verificări efectuate de Beneficiar
(1) Beneficiarul are dreptul să efectueze inspecții, auditări, precum si să asigure efectuarea acestora de către un auditor care urmează sa fie desemnat de către Beneficiar, în scopul verificării modalității in care sunt îndeplinite toate obligațiile prevăzute în cadrul Regulamentului.
(2) Beneficiarul poate verifica modalitatea în care Prestatorul înțelege să își respecte obligațiile și să execute prezentul acord, inclusiv prin verificări prin sondaj.
(3) Prestatorul asigură posibilitatea Beneficiarului, de a efectua verificări cu privire la modalitatea în care Prestatorul înțelege să execute prezentul acord și să respecte obligațiile prevăzute în cadrul Regulamentului, în conformitate cu articolul 28 din Regulament.
(4) Prestatorul se obligă să furnizeze Beneficiarului toate informațiile necesare, pe care Beneficiarul le solicită.
14. Asistența acordată de către Prestator
(1) Prestatorul va asista Beneficiarul în respectarea obligațiilor privind securitatea datelor cu caracter personal, în raportarea încălcărilor securității datelor cu caracter personal, în efectuarea evaluărilor impactului asupra protecției datelor și în efectuarea consultării prealabile, prevăzute în cadrul articolele lor 32-36 din Regulament.
În acest sens, Prestatorul va avea următoarele obligații:
Asigurarea unui nivel adecvat de protecție prin adoptarea si implementarea unor măsuri tehnice și organizatorice care să aibă în vedere circumstanțele și scopurile prelucrării datelor cu caracter personal precum și probabilitatea și gravitatea prevăzute ale unei eventuale încălcări a Regulamentului ca urmare a vulnerabilităților de securitate și care să permită detectarea imediată a încălcărilor respective;
Obligația de raportare imediată către Beneficiar a încălcărilor legate de datele cu caracter personal;
Obligația de a asista Beneficiarul în privința obligației acestuia de a furniza informații persoanei vizate și de a pune imediat la dispoziția Beneficiarului toate informațiile relevante în această privință;
Asistarea Beneficiarului în evaluarea impactului asupra protecției datelor;
Asistarea Beneficiarului în privința consultării prealabile cu Autoritatea de supraveghere.
15. Regimul instrucțiunilor primite din partea Beneficiarului
(1) Beneficiarul va comunica către Prestator orice instrucțiuni, în scris, inclusiv prin e-mail, la adresele de contact confirmate de părțile contractante.
Pentru Prestator: Societatea xxxxxxxxxxxxxxxxx [Email]
Pentru Beneficiar: Societatea xxxxxxxxxxxxxxxxx [Email]
(2) Prestatorul va informa de îndată Beneficiarul în cazul în care, în opinia sa, o instrucțiune încalcă Regulamentul sau alte dispoziții din dreptul intern sau din dreptul Uniunii referitoare la protecția datelor.
16. Răspundere
(1) Beneficiarul răspunde pentru modalitatea în care se conformează cu dispozițiile Regulamentului și va încheia contracte numai cu prestatori (persoane împuternicite) care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în Regulament și să asigure protecția drepturilor persoanei vizate.
(2) Beneficiarul în calitate de operator implicat în operațiunile de prelucrare este răspunzător pentru prejudiciul cauzat de operațiunile sale de prelucrare care încalcă dispozițiile Regulamentului.
(3) În cazul în care Prestatorul (persoana împuternicita) încalcă dispozițiile Regulamentului și dispozițiile prezentului acord, prin stabilirea scopurilor și mijloacelor de prelucrare a datelor cu caracter personal, prestatorul (persoana împuternicită) este considerat a fi un operator în ceea ce privește prelucrarea respectivă si va răspunde ca atare, în conformitate cu articolul 28 alin. (10) din Regulament.
(4) Prestatorul în calitate de persoană împuternicită de operator este răspunzător pentru prejudiciul cauzat de prelucrare numai în cazul în care nu a respectat obligațiile din Regulament care revin în mod specific persoanelor împuternicite de operator sau a acționat în afara sau în contradicție cu instrucțiunile legale ale Beneficiarului.
(5) Prestatorul nu va prelucra date decât la cererea Beneficiarului, iar nicio clauză contractuală nu va exonera de răspundere Prestatorul pentru obligațiile sale, astfel cum sunt stipulate în cadrul Regulamentului.
(6) Prestatorul poate deveni subiectul unor anchete, investigații și/sau verificări ale Autorității de supraveghere, în conformitate cu articolul 58 din Regulament. În cazul în care Prestatorul nu își va îndeplini obligațiile sale, stipulate în cadrul Regulamentului, poate deveni subiectul unor sancțiuni administrative, în conformitate cu articolul 83 și 84 din Regulament.
(7) În cazul in care Operatorul și Împuternicitul sunt implicați în aceleași operațiuni de prelucrare și sunt responsabili pentru pierderi sau pagube materiale sau morale cauzate de aceste operațiuni, părțile contractante sunt răspunzătoare în mod proporțional pentru aceste pierderi sau pagube, în conformitate cu partea lor de responsabilitate. În situația în care una dintre părți plătește integral despăgubirile, atunci această are dreptul să ceară celeilalte părți contractante despăgubiri proporționale părții sale de responsabilitate pentru astfel de pierderi sau pagube.
(7) Beneficiarul sau Prestatorul este exonerat de răspundere în temeiul articolului 82 alin. (2) din Regulament dacă dovedește că nu este răspunzător în niciun fel pentru evenimentul care a cauzat prejudiciul.
17. Ștergerea și returnarea datelor cu caracter personal
(1) Persoana împuternicită este obligată să ia măsuri tehnice și organizatorice pentru a asigura drepturile Persoanelor Vizate, în special drepturile de acces ale persoanei vizate, dreptul de a corecta, dreptul la restricționarea prelucrării datelor, dreptul la portabilitatea datelor și dreptul de a șterge.
(2) Persoana împuternicită corectează, șterge sau blochează datele prelucrate sau permite prelucrarea restricționată a datelor în legătură cu acest Acord de prelucrare a datelor numai la instrucțiunile Operatorului.
(3) Prestatorul nu va crea niciodată copii sau duplicate ale datelor prelucrate fără acordul expres și prealabil al Beneficiarului. Fac excepție de la această interdicție copiile de siguranță (back-up) în măsura în care acestea sunt necesare pentru a asigura prelucrarea corespunzătoare a datelor cu caracter personal, precum și datele necesare pentru îndeplinirea cerințelor de legale privind păstrarea datelor.
(4) Persoana împuternicită trebuie să garanteze toate cerințele tehnice și organizatorice pentru a se asigura că Operatorul își poate îndeplini toate obligațiile privind drepturile persoanelor vizate, în special, dar fără a se limita la dreptul de acces al persoanei vizate, la rectificare, la portabilitatea datelor, la restricționarea prelucrării datelor și ștergerea în termenele legale și în limitele impuse de lege. Persoana împuternicită va furniza Operatorului toate informațiile relevante și datele care derivă din prelucrarea datelor care fac obiectul prezentului Acord.
(5) Dacă una dintre Persoanele vizate intră în contact direct cu Persoana împuternicită în scopul accesării, rectificării, limitării procesării sau ștergerii datelor lor, Persoana împuternicită va transmite imediat această cerere către Operator. În consecință, eventualele obiecții în conformitate cu articolul 21 GDPR și orice revocări ale consimțământului conform articolului 7 alin. (3) GDPR care sunt adresate direct Persoanei împuternicite trebuie să fie raportate fără întârzieri nejustificate Operatorului. Persoana împuternicită nu va lua măsuri sau nu ia măsuri pentru astfel de solicitări fără instrucțiuni prealabile ale Operatorului. În special, Persoana împuternicită nu va șterge date la cererea persoanei vizate decât dacă a primit instrucțiuni prealabile în scris din partea Operatorului.
(6) La încetarea prezentului acord, indiferent de modalitatea de încetare a acestuia, și la alegerea Beneficiarului, Prestatorul va șterge sau va returna Beneficiarului toate datele cu caracter personal după încetarea furnizării serviciilor legate de prelucrare și elimina copiile existente, cu excepția cazului în care dreptul Uniunii Europene sau dreptul intern impune stocarea datelor cu caracter personal.
(7) În cazul în care Beneficiarul va opta pentru distrugerea datelor, Xxxxxxxxxxx va avea obligația de a distruge toate documentele, rezultatele prelucrărilor și utilizărilor și seturile de date aferente contractului care au ajuns în posesia acestuia, într-un mod conform cu dispozițiile legale aplicabile în domeniul protecției datelor. Aceste dispoziții contractuale se vor aplica inclusiv materialelor de testare, redundante și eliminate.
(8) Prestatorul va efectua și păstra evidența distrugerii sau ștergerii și o va pune la dispoziție la cererea Beneficiarului, pentru a face dovada distrugerii sau ștergerii datelor. Persoana împuternicitului va oferi Operatorului log-urile (înregistrările) de ștergere, după caz.
(9) Documentația necesară pentru a face dovada faptului că datele au fost prelucrate în mod conform cu dispozițiile legale și în conformitate prezentul acord, va fi păstrata de către Prestator și după încetarea prezentului acord, în conformitate cu dispozițiile legale.
(10) La alegerea Beneficiarului, Prestatorul va preda aceasta documentație către Beneficiar, la încetarea raporturilor contractuale dintre părți, sens în care Beneficiarul va elibera pe Prestator de obligația păstrării acestei documentații.
18. Responsabilul privind protecția datelor
(1) Beneficiarul / Operatorul și persoana împuternicită de operator, conform art. 37 din Regulamentul, vor desemna un responsabil cu protecția datelor, după caz.
(2) Orice modificare privind responsabilul pentru protecția datelor trebuie adusă la cunoștința celeilalte părți imediat.
19. Încetarea acordului
(1) Prezentul acord încetează potrivit dispozițiilor prevăzute în Contractului principal de prestări servicii.
20. Legea aplicabilă
(1) Interpretarea și executarea prezentelor clauze contractuale sunt guvernate de legea română. Dacă există neconcordanțe între legea română și reglementările europene în privința prelucrării datelor cu caracter personal, se vor aplica cu prioritate reglementările europene.
21. Litigii
(1) Părțile au convenit ca toate neînțelegerile privind validitatea prezentului acord sau rezultate din interpretarea, executarea ori încetarea acestuia să fie rezolvate pe cale amiabilă de reprezentanții lor.
(2) În cazul în care rezolvarea neînțelegerilor nu este posibilă pe cale amiabilă, ele vor fi supuse spre soluționare instanțelor judecătorești de drept comun competente.
22. Modificarea acordului
(1) Modificarea prezentului acord se face numai prin act adițional încheiat între părți, semnat și ștampilat de ambele părți contractante.
Prezentul acord a fost încheiat la __________ într-un număr de 2 exemplare, astăzi, ____________, data semnării lui.
Beneficiar: Prestator:
_______________________________ _______________________________
9