ANEXA NR....
ANEXA NR....
LA PROTOCOL DE COLABORARE
PENTRU EMITEREA DE MIJLOACE DE IDENTIFICARE ELECTRONICĂ
(„Contract principal”)
ACORD PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL
I. ............. (denumire Validator) va prelucra datele cu caracter personal ale Utilizatorilor MIE certME, in scopul executarii Protocolului de colaborare pentru emiterea de mijloace de identificare electronică ("Scopul"), in conformitate cu prevederile prezentei anexe. Termenii utilizati in cuprinsul acestei anexe vor avea intelesul din Regulamentul general privind protectia datelor nr. 679/2016 ("GDPR").
II. ......... va fi considerat operator asociat in ceea ce priveste prelucrarea datelor cu caracter personal ale Utilizatorilor in vederea indeplinirii Scopului.
III. Datele cu caracter personal care vor fi prelucrate de catre pentru indeplinirea
Scopului vor fi urmatoarele:
- Nume si prenume
- Nume si prenume la nastere
- Data nasterii
- Locul nasterii
- Sexul
- Adresa de domiciliu
- Perioada de valabilitate a actului de identitate (data emiterii si data incetarii valabilitatii)
- Adresa de resedinta
- CNP
- Modalitatea de verificare a identitatii
- Copie act de identitate
- referința generată de aplicația mobilă certME a Utilizatorului
- referinta - codul criptat generat de aplicatia de validare certME, rezultat in urma aplicarii unor algoritmi matematici specifici asupra referințelor datelor personale
IV. ........... va realiza informarea Utilizatorilor in conditiile GDPR cu privire la existenta operatorului asociat certSIGN si esenta acordului de prelucrare a datelor lor existent intre Parti, in conformitate cu art. 26 GDPR, astfel incat o alta informare din partea certSIGN in acest sens sa nu mai fie necesara. Fara ca enumerarea sa fie limitativa, ......... va aduce la cunostinta persoanelor vizate scopul operatiunilor de prelucrare de date cu caracter personal realizate de catre operatorii asociati, drepturile persoanei vizate conform art. 13-22 GDPR si modul de exercitare a acestor drepturi de catre persoana vizata. Fara ca enumerarea sa fie limitativa, va informa Utilizatorii cu privire la prelucrarea datelor cu caracter personal
realizata de catre in vederea emiterii MIE certME.
V. certSIGN va comunica Utilizatorilor calitatea ............. de Validator de identificare in vederea emiterii MIE certME
VI. .............. va colecta de la Utilizator datele prevazute mai sus si la va pastra in rapoartele mentionate in Contractul principal, precum si copia actului de identitate al Utilizatorului.
VII. Fiecare Parte va informa in timp util cealalta parte cu privire la cererile formulate de catre persoanele vizate in legatura cu exercitarea drepturilor prevazute prin art. 15-22 GDPR in legatura cu o operatiunea de prelucrare a datelor realizata in vederea indeplinirii Scopului, daca pentru rezolvarea acestora este necesar sprijinul celeilalte Parti. Intr-o asemenea situatie, Partile vor coopera pentru implementarea masurile solicitate de persoana vizata, daca este cazul si pentru ca Partea care a primit solicitarea sa raspunda direct persoanei vizate in termenul legal.
VIII. Prelucrarea datelor cu caracter personal va avea loc numai prin intermediul / in cadrul unor sisteme de prelucrare ce au facut obiectul implementarii unor masuri tehnice si organizatorice adecvate pentru protejarea datelor cu caracter personal. Masurile tehnice si organizatorice trebuie sa respecte art.25 si 32 din RGPD, asigurand un nivel adecvat de protectie si securitate a datelor cu caracter personal.
IX va respecta cel xxxxx conditiile de securitate prevazute in Contractul principal si
anexele acestuia.
X. In masura in care sunt aplicabile, Partile se vor saprijini cu privire la toate evaluarile de impact privind protectia datelor solicitate in temeiul articolului 35 GDPR si la orice consultari prealabile adresate oricarei autoritati de supraveghere care sunt solicitate in temeiul articolului 36 GDPR.
XI. .......... se obliga sa pastreze toate datele prelucrate pentru indeplinirea Scopului pentru o perioada de 10 ani de la data incetarii valabilitatii fiecarui MIE certME emis in baza prezentului acord. Dupa expirarea acestui termen, ..... va sterge toate datele cu caracter personal prelucrate in vederea indeplinirii Scopului, cu exceptia cazului in care dreptul Uniunii sau dreptul romanesc impune stocarea acestor date pentru o perioada mai indelungata sau situatiei in care acestea sunt utilizate de catre ............ si in alte scopuri, caz in care ............
va actiona ca operator independent.
XII. Fiecare Parte va pune la dispozitia celeilalte Parti informatiile necesare pentru a demonstra conformare cu GDPR si legislatia romana in domeneniu.
XIII. Fiecare Parte va informa cealalta Parte in cel mult 1 (o) zi lucratoare cu privire la orice inspectie, solicitare de informatii sau orice alta actiune a autoritatii de supraveghere avand ca obiect prelucrarile reglementate de prezentul acord.
XIV. ....... nu recrutează o persoana imputernicita pentru realizarea prelucrarilor prevazute de prezentul acord fara acordul certSIGN.
XV. La incetarea Contractului principal inainte de termen, indiferent de cauza, ..............
va furniza certSIGN copia actelor de identitate ale utilizatorilor, precum si rapoatele mentionate in Contractul principal care contin toate datele prelucrate de pentru
atingerea Scopului si va sterge/distruge orice date ale Utilizatorilor prelucrate pentru atingerea Scopului.
XVI. Fiecare Parte va informa celalata Parte imediat ce ia cunostinta de existenta unui incident de securitate vizand datele cu caracter personal prelucrate in vederea realizarii Scopului, dar fara a depasi 48 de ore de la data luarii la cunostinta si ii va oferi suportul, daca va fi necesar, in vederea notificarii ANSPDCP in legatura cu orice astfel de incidente. Incidentul de securitate va fi notificat ANSPDCP si persoanei vizate, daca este cazul, de catre Partea la care a aparut incidentul de securitate, in termenul prevazut de lege.
In informarea privind incidentul de securitate trebuie, in masura informatiilor avute
la momentul notificarii:
a. sa descrie natura incalcarii securitatii Datelor cu caracter personal certSIGN, numarul estimat de persoane vizate in cauza, precum si categoriile si numarul inregistrarilor de date cu caracter personal in cauza;
b. sa includa numele si datele de contact ale responsabilului cu protectia datelor al
....... sau ale altei persoane de contact relevante, de la care pot fi obtinute mai multe informatii;
c. sa descrie consecintele probabile ale incalcarii securitatii Datelor cu caracter personal; si
d. sa descrie masurile luate sau propuse a fi luate pentru a solutiona incalcarea securitatii Datelor cu caracter personal.
In cazul in care nu este posibil ca sa furnizeze toate informatiile mentionate mai sus in termenul de 48 de ore de la data luarii la cunostinta a incidentului, Partea, fara intarzieri nejustificate, va furniza informatiile in mai multe etape.
XVII. Datele de contact ale responsabilului cu protectia datelor cu caracter personal, caruia i se vor transmite orice notificari sau informari legate de prelucrarea datelor cu caracter personal reglementata prin acest acord, sunt urmatoarele:
• Pt certSIGN:
- Bd. Xxxxx Xxxxxxxxxxxx, nr.29A, AFI Tech Park 1, et.2, sect.5, Bucuresti
- Tel. (x00) 000 000.000 sau (x00) 000.000.000.
• Pt ...........:
XVIII. Partile se obliga ca, in cazul oricarei modificari a datelor de contact ale responsabililor cu protectia datelor de mai sus, sa notifice in cel mai scurt timp posibil datele de contact actualizate catre cealalta Parte.
CERTSIGN S.A. .................