ACORD DE PRELUCRARE A DATELOR CU CARACTER PERSONAL

Y OUR INTERNATIONAL HEALTHCARE PARTNER

ACORD DE PRELUCRARE A DATELOR CU CARACTER PERSONAL

Intre:

MEDIHELP BROKER INTERNATIONAL DE ASIGURARE S.R.L., o societate inregistrata conform legilor din Romania, avand sediul social in Bucuresti, str. Xxxxxxxxxx Xxxxxxx nr. 24, parter, sector 1, inregistrata la Registrul Comertului sub nr. J40/12942/2005, cod unic de inregistrare 17808893, inmatriculata in registrul companiilor de brokeraj sub nr. RBK – 366/11.10.2006, numarul autorizatiei de functionare 114.397/10.10.2006, reprezentată de catre xxx Xxxxx Xxxxxxxx, in calitate de Director Executiv,("Operator Asociat")

Si

…………………..., cu sediul in ….., inregistrata la Registrul Comertului cu nr……., C.U.I.: …, ……., reprezentata legal prin ………, in calitate de ……………., ("Operator Asociat")

Partile au convenit de comun acord sa prelucreze in asociere anumite date cu caracter personal, in sensul definit in art. 26 din GDPR.

PARTILE AU CONVENIT dupa cum urmeaza:

1. PRELUCRARE IN ASOCIERE

1.1. Cu privire la toate datele cu caracter personal pe care le prelucreaza, Operatorii Asociati garanteaza si se angajeaza ca:

1.1.1. vor procesa acele date cu caracter personal necesare in scopul prelucrarilor stabilite conform celor agreate in scris de catre parti si vor actiona in acest scop numai pe baza intelegerii partilor, documentata in prezentul Acord. Niciun Operator Asociat nu va exercita controlul asupra datelor cu caracter personal pentru un alt scop decat cel stabilit de catre parti si nici nu va transfera sau incerca sa transfere controlul asupra Datelor cu Caracter Personal catre o terta parte, cu exceptia cazului in care partile au stabilit in mod expres sa faca acest lucru

1.1.2. nu vor prelucra Datele cu Caracter Personal in alte scopuri decat in scopurile prevazute si necesare prelucrarilor stabilite. In cazul in care un Operator Asociat incalca prevederile legislatiei cu privire la protectia datelor cu character personal prin stabilirea altor scopuri si mijloace de prelucrare a datelor cu caracter personal, acesta este considerat a fi un operator independent in ceea ce priveste prelucrarea respectiva (conform art. 28 aliniatul 10)

1.2. Pentru a se asigura ca nivelul de conformitate agreat de Operatorii Asociati cu privire la prelucrarea datelor cu caracter personal este indeplinit conform cerintelor prezentului Acord, acestia se obliga sa instituie procese adecvate si sa ia toate masurile tehnice si organizatorice necesare, inclusiv urmatoarele:

1.2.1. sa defineasca rolurile si obligatiile fiecaruia dintre ei si sa implementeze mecanismele necesare pentru ca Persoanele Vizate sa isi poata exercita drepturile cu privire la datele lor cu caracter personal.

1.2.2. sa defineasca rolurile si obligatiile fiecaruia dintre ei si sa implementeze mecanismele pentru ca Persoanelor Vizate sa li se furnizeze informatiile prevazute la art. 13 si art. 14 din Regulamentul UE 32/2015.

1.2.3. implementarea de masuri tehnice si organizatorice adecvate pentru procesele specifice ale fiecarui Operator Asociat in parte, destinate sa asigure furnizarea tuturor categoriilor de informatii Persoanelor Vizate, in conformitate cu prevederile legislatiei specifice.

1.3. Fiecare Operator Asociat in parte se obliga sa respecte legislatia cu privire la protectia datelor cu caracter personal si sa indeplineasca obligatiile care ii revin in temeiul prezentului Acord in ceea ce priveste prelucrarea datelor cu caracter personal de o maniera care sa nu atraga incalcarea de catre celalalt Operator Asociat a obligatiilor care ii revin in temeiul GDPR.

1.4. Fiecare Operator Asociat in parte se obliga sa coopereze cu celalalt Operator Asociat si sa ofere acestuia asistenta si informatiile pe care le solicita in mod rezonabil pentru:

- a-si putea indeplini obligatiile care ii revin in temeiul GDPR,

- a coopera cu si a respecta instructiunile sau deciziile Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

astfel incat sa ii dea posibilitatea acestuia sa respecte toate termenele limita impuse de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

1.5. Inainte de inceperea Prelucrarii si oricand ulterior, fiecare Operator Asociat in parte va informa prompt celalalt Operator Asociat daca, in opinia sa, o instructiune (cerere, informatie etc.) primita de la acesta incalca dispozitiile din dreptul intern sau din dreptul Uniunii referitoare la protectia datelor.

1.6. Partile recunosc si sunt de acord ca niciunul dintre Operatorii Asociati nu are dreptul de a i se rambursa eventualele costuri pe care aceasta le-ar suporta ca urmare sau in legatura cu masurile convenite de comun acord in scopul prelucrarilor stabilite si/sau a oricareia din obligatiile care ii revin in temeiul prezentului Acord.

1.7. Partile au agreat de comun acord scopurile si mijloacele de prelucrare si au convenit sa prelucreze in comun datele cu caracter personal, cuprinzand descrierea prelucrarilor stabilite: natura si scopul prelucrarii (scopurile conexe), obiectul si durata acesteia, legalitatea prelucrarii, tipul si categoria de date cu caracter personal, persoanele vizate, destinatarii si perioada de pastrare a datelor cu caracter personal.

1.8. Partile numesc independent si declara ca puncte de contact pentru orice informatii legate de activitatea de protectie a datelor cu caracter personal, Responsabilii cu Protectia Datelor. Partile se obliga sa isi transmita reciproc o notificare scrisa, in cazul oricarei modificari a acestor informatii in cel mult cinci (5) zile lucratoare de la intrarea in vigoare a modificarilor.

2. SECURITATEA DATELOR CU CARACTER PERSONAL

2.1. Operatorii au obligatia de a institui si mentine in permanenta masuri de securitate tehnice si organizatorice adecvate, pentru a proteja datele cu caracter personal impotriva distrugerii accidentale sau ilegale sau a pierderii accidentale, deteriorarii, modificarii, dezvaluirii sau accesului neautorizat, in special atunci cand prelucrarea implica transmiterea de date printr-o retea, precum si impotriva oricaror alte forme ilegale de prelucrare.

3.PERSONALUL OPERATORILOR ASOCIATI SI AI PERSOANELOR IMPUTERNICITE DE ACESTIA. CONFIDENTIALITATE

3.1. Operatorii Asociati si Persoanele Imputernicite de acestia se obliga sa isi ia garantiile necesare pentru a asigura conformarea cu cerintele legislatiei cu privire la protectia datelor cu caracter personal a tuturor angajatilor si a personalului oricarei alte persoane similare subcontractante (subcontractantul serviciilor de prelucrare) care prelucreaza datele cu caracter personal si sa se asigure ca personalul respectiv a beneficiat de o instruire adecvata in domeniul protectiei si prelucrarii Datelor cu Caracter Personal si s-au angajat sa respecte confidentialitatea sau au o obligatie statutara de confidentialitate.

3.2. Fiecare Operator in parte ramane raspunzator pentru orice incalcare a securitatii datelor cu caracter personal de catre angajatii sai sau ai Persoanelor Imputernicite de el, ca si cand el insusi s-ar face vinovat de o atare incalcare.

4.UTILIZAREA SUBCONTRACTANTILOR DE SERVICII DE PRELUCRARE DE DATE CU CARACTER PERSONAL

4.1. Persoana Imputernicita de Operatorul Asociat se obliga sa nu subcontracteze sau sa externalizeze prelucrarea datelor cu caracter personal catre nicio alta persoana sau entitate, inclusiv niciunei companii apartinand Grupului de companii al Persoanei Imputernicite de Operator, decat daca si numai dupa ce:

4.1.1. Persoana Imputernicita de Operator a comunicat Operatorului Asociat in scris numele si sediul social sau sediul de activitate principal al Subcontractantului

4.1.2. Persoana Imputernicita de Operator a furnizat Operatorului Asociat detaliile (inclusiv categoriile de date) referitoare la prelucrarea de Date cu Caracter Personal care urmeaza a fi efectuata de Subcontractant, precum si orice alte informatii pe care Operatorul Asociat le solicita in scopul respectarii legislatiei cu privire la protectia datelor cu character personal.

4.1.3. Persoana Imputernicita de Operator a impus Subcontractatului clauze angajante din punct de vedere juridic, nu mai putin oneroase decat cele prevazute in prezentul Acord

4.2. In toate cazurile, Operatorul Asociat trebuie sa se asigure ca Persoana Imputernicita de Operator ramane pe deplin raspunzatoare fata de acesta pentru orice actiune sau omisiune comisa de Subcontractant sau de orice terta parte desemnata de aceasta, ca si cum ar fi actiuni sau omisiuni ale Persoanei Imputernicite de Operator, indiferent daca Persoana Imputernicita de Operator si-a indeplinit obligatiile prevazute la Clauza 4.1 de mai sus.

5. INCALCAREA SECURITATII DATELOR CU CARACTER PERSONAL SI CERINTE DE NOTIFICARE

5.1. Fiecare Operator Asociat in parte va notifica celalalt Operator Asociat in termen de maxim 72 de ore dupa ce ia la cunostinta de incalcarea securitatii datelor cu caracter personal.

Notificarea:

(i) descrie caracterul incalcarii Datelor cu Caracter Personal, inclusiv, acolo unde este posibil, categoriile si numarul aproximativ al persoanelor vizate in cauza, precum si categoriile si numarul aproximativ al inregistrarilor de date cu caracter personal in cauza

(ii) comunica numele si datele de contact ale Responsabilului cu Protectia Datelor sau un alt punct de contact de unde se pot obtine mai multe informatii

(iii) descrie consecintele probabile ale incalcarii securitatii datelor cu caracter personal

(iv) descrie masurile luate sau propuse pentru a remedia problema incalcarii securitatii datelor cu caracter personal, inclusiv masurile pentru atenuarea eventualelor sale efecte negative.

Operatorul Asociat va include in notificarea respectiva sau intr-o notificare ulterioara, de indata ce va fi in masura sa culeaga sau sa aiba acces, orice alte informatii solicitate de celalalt Operator Asociat in mod rezonabil, referitoare la incalcarea securitatii datelor cu caracter personal.

5.2. Operatorul Asociat va lua masuri imediate pentru a investiga incalcarea securitatii datelor cu caracter personal si pentru a identifica, preveni si a atenua cat mai mult posibil efectele acesteia, in conformitate cu obligatiile care ii revin in temeiul prezentului articol 5 si, sub rezerva informarii prealabile a celuilalt Operator Asociat, va proceda la actiuni necesare remedierii Incalcarii Securitatii Datelor cu caracter Personal.

6. EVALUAREA IMPACTULUI ASUPRA PROTECTIEI DATELOR

In cazul in care un Operator Asociat solicita evaluarea impactului asupra protectiei datelor, celalalt Operator Asociat va pune la dispozitia acestuia toate informatiile necesare pentru a demonstra conformitatea Operatorului Asociat cu legislatia cu privire la protectia datelor cu caracter personal, il va ajuta sa efectueze o evaluare a impactului asupra protectiei datelor cu privire la serviciile de prelucrare si va colabora cu Operatorul Asociat la implementarea masurilor agreate de atenuare a impactului, pentru a elimina riscurile identificate.

7. DREPT DE AUDIT

Oricare dintre Operatorii Asociati se obliga sa permita celuilalt Operator Asociat sau unei firme specializate de audit mandatata de acesta (denumita in continuare „Parte Auditoare”), sa aiba acces la sediile, computerele si alte sisteme informatice, inregistrarile, documentele si acordurile aferente activitatii de prelucrare realizate de Operator si/sau Persoane Imputernicite ale acestuia dupa cum solicita in mod rezonabil Partea Auditoare. Aceasta va verifica daca acestia isi respecta obligatiile in temeiul prezentului Acord (sau al oricarui acord de subcontractare ulterior).

Entitatea care efectueaza auditul isi asuma obligatii de confidentialitate fata de Operatorul Asociat sau de Persoana Imputernicita de acesta, necesare in mod rezonabil pentru a proteja confidentialitatea intereselor de afaceri ale acestora si a datelor si informatiilor apartinand unor parti terte, pe care entitatea de audit le-ar putea afla in cursul procedurii de audit.

In toate cazurile, auditarea va avea loc cu respectarea unui termen de notificare prealabil de cel putin 10 zile, cu exceptia cazului cand auditarea intr-un termen mai scurt se impune dupa imprejurari, aceasta urmand a fi efectuata doar in timpul programului normal de lucru, daca partile nu convin altfel.

8. STERGEREA DATELOR CU CARACTER PERSONAL

8.1. Perioada pentru care se prelucrează Datele cu Caracter Personal nu trebuie sa depaseasca perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele si anume executarea Contractului de asigurare. In consecinta, in termen de 10 ani de la expirarea politei, Partile se obliga sa stearga datele salvate in sistemele si arhivele proprii, cu exceptia datelor si informatiilor necesare in cadrul unei proceduri litigioase sau a celor necesar a fi pastrate conform legii pentru evidentierea activitatii, tinand cont si de obligatiile de arhivare si de raportare sau, dupa caz, pentru indeplinirea scopului de marketing, in conditiile obtinerii acordului Persoanelor Vizate pentru acest scop.

9. SOLICITARI DE DIVULGARE DE DATE CU CARACTER PERSONAL DIN PARTEA PARTILOR TERTE

Cu exceptia cazului in care legislatia interzice acest lucru, Operatorii Asociati se obliga reciproc sa se informeze, fara intarzieri nejustificate, cu privire la orice ancheta, comunicare, cerere sau reclamatie primita (de oricare dintre ei sau de Persoanele Imputernicite sau subcontractantii acestora) din partea:

- oricarei autoritati guvernamentale, de reglementare sau de supraveghere, inclusiv din partea Autoritatii Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal

- oricarei persoane vizate

10. DURATA

10.1. Prezentul Acord incepe la data semnarii sale si ramane in vigoare pana la cea mai tarzie dintre urmatoarele date:

(i) data incetarii sau expirarii Acordului

(ii) data incetarii ultimelor prelucrari de date cu caracter personal care urmeaza a fi efectuate in conformitate cu prezentul Acord.

11. LEGEA APLICABILA

Prezentul Acord este guvernat de si interpretat in conformitate cu legislatia Romaniei si se supune jurisdictiei exclusive a instantelor din Romania. Daca toate elementele relevante pentru prelucrare sunt situate in Romania, Acordul va fi guvernat de si interpretat in conformitate cu legea romana si se va supune jurisdictiei exclusive a instantelor din Romania.

Prezentul acord a fost incheiat astazi …, in 2 exemplare, cate unul pentru fiecare parte.

MEDIHELP INTERNATIONAL BROKER DE ASIGURARE S.R.L.

Semnatura

………………………………………… BROKER DE ASIGURARE

Semnatura

7