Contract
Pentru furnizorii companiilor din cadrul grupului Xella CONTRACT DE PRELUCRARE A DATELOR Operatorul și Persoana Împuternicită de către Operator sunt de asemenea denumite în mod colectiv „Părțile” și individual „Partea”. PREAMBUL (A) Operatorul este XELLA RO SRL. (B) Persoana Împuternicită de Operator este .... (C) [Operatorul a încheiat un contract cu Persoana Împuternicită de către Operator („Contractul Operațional"), în care Persoana Împuternicită de către Operator oferă anumite servicii de ssm („Serviciile Persoanei Împuternicite de către Operator") drept furnizor de servicii pentru Operator]. (D) Furnizarea Serviciilor de către Persoana Împuternicită de către Operator include prelucrarea datelor cu caracter personal în numele și în conformitate cu instrucțiunile Operatorului. (E) Prezentul Contract de Prelucrare a Datelor („DPA”) specifică obligațiile ambelor Părți de a respecta legislația aplicabilă privind protecția datelor, în special Regulamentul General de Protecție a Datelor („GDPR”). DREPT PENTRU CARE părțile au convenit următoarele: 1. OBLIGAȚIA PERSOANEI ÎMPUTERNICITE DE CĂTRE OPERATOR DE A RESPECTA INSTRUCȚIUNILE OPERATORULUI ȘI ALTE OBLIGAȚII ALE PERSOANEI ÎMPUTERNICITE DE CĂTRE OPERATOR 1.1 Persoana împuternicită de către operator garantează și se angajează cu privire la toate datele cu caracter personal pe care le prelucrează în numele Operatorului că în orice moment va prelucra datele cu caracter personal respective doar în scopul furnizării Serviciilor de către Persoana Împuternicită de către Operator în conformitate cu Lista 1 și, făcând acest lucru, va acționa exclusiv pe baza instrucțiunilor documentate ale Operatorului și în conformitate cu prezentul DPA și toate legile aplicabile. În special Persoana Împuternicită de către Operator nu va exercita controlul și nu va transfera sau încerca să transfere controlul asupra respectivelor Date cu caracter Personal către o terță parte decât dacă va fi obligată să facă acest lucru de o lege aplicabilă pe care Persoana Împuternicită de către Operator este obligată să o respecte și/sau Operatorul emite instrucțiuni specifice în acest sens. 1.2 Dacă Persoana Împuternicită de către Operator este obligată să prelucreze date cu caracter personal în conformitate cu legislația Uniunii sau a unui Stat Membru, pe care Persoana Împuternicită de către Operator trebuie să o respecte, Persoana Împuternicită de către Operator îl va | FOR ALL XELLA GROUP SUPPLIERS DATA PROCESSING AGREEMENT Controller and Processor are also referred to collectively as the "Parties" and each as a "Party". PREAMBLE (A) The Controller is XELLA RO SRL. (B) The Processor is … (C) [The Controller has entered into an agreement with the Processor (the "Operational Agreement"), under which the processor [offers certain safety services] (the "Processor Services") as service provider for the Controller]. (D) The provision of the Processor Services includes the processing of personal data on behalf of and in accordance with the instructions of the Controller. (E) This Data Processing Agreement (the “DPA”) specifies both Parties’ obligations to comply with applicable data protection law, in particular the EU General Data Protection Regulation ("GDPR"). NOW IT IS AGREED as follows: 1. PROCESSOR'S OBLIGATION TO COMPLY WITH CONTROLLER'S INSTRUCTIONS AND FURTHER PROCESSOR OBLIGATIONS 1.1 Processor warrants and undertakes in respect of all personal data that it processes on behalf of the Controller that, at all times it shall process such personal data only for the purposes of providing the Processor Services in accordance with Schedule 1 and, in so doing, shall act solely on the Controller‘s documented instructions and in compliance with this DPA and all applicable laws. In particular, the Processor shall not itself exercise control, nor shall it transfer, or purport to transfer, control of such Personal Data to a third party, unless required to do so by applicable law to which Processor is subject and/or the Controller specifically instructs the Processor to this effect. 1.2 In case Processor is required to process personal data under Union or Member State law, to which Processor is subject, Processor shall inform Controller hereof in writing before processing unless that law prohibits such information on important grounds of public interests, in which case Processor shall immediately inform Controller without undue delay once Processor is |
informa pe Operator în scris cu privire la acest lucru înainte de prelucrare cu excepția cazului în care legislația interzice respectivele informații din motive de interes public, caz în care Persoana Împuternicită de către Operator îl va informa imediat pe Operator fără întârziere inadecvată după ce Persoana Împuternicită de către Operator primește permisiunea de a-l informa pe Operator.
1.3 Operatorul va respecta obligațiile sale statutare în conformitate cu Art. 28 - 33 GDPR și va îndeplini cerințele suplimentare în conformitate cu 0.
1.4 Persoana Împuternicită de către Operator va obține toate autorizațiile necesare de la angajații săi și de la subcontractanții aprobați pentru a permite Operatorului să Prelucreze Datele cu Caracter Personal ale acestor persoane după cum este necesar pentru executarea Contractului Operațional de către Operator, inclusiv informațiile necesare pentru accesarea sistemelor sau facilităților Operatorului, întreținerea datelor metrice de performanță individuală și a informațiilor similare.
1.5 Persoana Împuternicită de către Operator trebuie să rămână informată privind cerințele legale și de reglementare pentru prelucrarea datelor cu caracter personal în conformitate cu prezentul DPA. În plus față de limitarea pentru furnizarea Serviciilor Persoanei Împuternicite de către Operator, prelucrarea de către Persoana Împuternicită de către Operator va respecta pe deplin toate legile aplicabile. Persoana Împuternicită de către Operator va oferi în mod prompt asistență și va coopera cu Operatorul pentru a permite operatorului să respecte toate legile aplicabile, inclusiv cu privire la autoritățile guvernamentale, de reglementare și de supraveghere și realizare unor evaluări a impactului asupra protecției datelor (dacă acestea sunt impuse de legile aplicabile pentru prelucrarea datelor în conformitate cu prezentul DPA).
2. PERSOANA ÎMPUTERNICITĂ DE CĂTRE OPERATOR VA MENȚINE CONFIDENȚIALITATEA DATELOR CU CARACTER PERSONAL PRELUCRATE ÎN CONFORMITATE CU PREZENTUL CONTRACT. PERSOANA ÎMPUTERNICITĂ DE CĂTRE OPERATOR VA FURNIZA DATELE CU CARACTER PERSONAL DOAR ANGAJAȚILOR ȘI CONTRACTANȚILOR SĂI CARE AU NEVOIE DE ACCES LA DATELE CU CARACTER PERSONAL PENTRU A FURNIZA SERVICIILE PERSOANEI
ÎMPUTERNICITE DE CĂTRE OPERATOR ȘI CARE S-AU ANGAJAT SĂ RESPECTE CONFIDENȚIALITATEA SAU ȘI-AU ASUMAT O OBLIGAȚIE DE CONFIDENȚIALITATE
STATUTARĂ ADECVATĂ. INSTRUCȚIUNILE OPERATORULUI
2.1 Operatorul va confirma instrucțiunile orale în scris.
2.2 Persoana Împuternicită de către Operator îl va înștiința pe Operator fără întârziere inadecvată dacă Persoana Împuternicită de către Operator consideră că o instrucțiune primită de la Operator încalcă legislația de protecție a datelor. Persoana Împuternicită de către Operator are dreptul de a suspenda prelucrarea în conformitate cu
permitted to inform Controller.
1.3 Controller will comply with its statutory obligations according to Art. 28 to 33 GDPR and meet the additional requirements according to Schedule 2.
1.4 Processor shall secure all necessary authorizations from its employees and approved subcontractors to allow the Controller to Process the Personal Data of these individuals as necessary for the performance of the Operational Agreement by the Controller, including information required to access the Controller systems or facilities, the maintenance of individual performance metrics and similar information.
1.5 Processor must stay informed of the legal and regulatory requirements for the processing of personal data under this DPA. In addition to being limited to satisfaction of the Processor Services, Processor’s processing shall fully comply with all applicable laws. Processor shall promptly assist and cooperate with the Controller to allow the Controller to comply with all applicable laws, including in respect of cooperation with government, regulatory and supervisory authorities, and performing a data protection impact assessments (if required under the applicable laws for the data processing under this DPA).
2. PROCESSOR SHALL KEEP THE CONFIDENTIALITY OF PERSONAL DATA PROCESSED HEREUNDER. PROCESSOR SHALL MAKE THE PERSONAL DATA AVAILABLE ONLY TO ITS EMPLOYEES AND CONTRACTORS WHO HAVE A NEED TO ACCESS THE PERSONAL DATA IN ORDER TO PERFORM THE PROCESSOR SERVICES AND HAVE COMMITTED THEMSELVES TO CONFIDENTIALITY OR ARE UNDER AN APPROPRIATE STATUTORY OBLIGATION OF CONFIDENTIALITY.CONTROLLER'S INSTRUCTIONS
2.1 Controller will confirm oral instructions in writing.
2.2 Processor will notify Controller without undue delay if Processor is of the opinion that an instruction received from Controller is in violation of applicable data protection law. Processor is entitled to suspend processing in compliance with such instruction until Controller confirms or changes the instruction.
respectiva instrucțiune până când Operatorul confirmă sau schimbă instrucțiunea. | 3. TECHNICAL AND ORGANISATIONAL MEASURES |
3. MĂSURI TEHNICE ȘI ORGANIZAȚIONALE 3.1 Persoana Împuternicită de către Operator va documenta implementarea măsurilor tehnice și organizaționale necesare descrise înainte de inițierea prelucrării datelor cu caracter personal, în special cu privire la realizarea specifică a Serviciilor Persoanei Împuternicite de către Operator și va furniza respectiva descriere către operator pentru inspecție. Dacă este acceptată de Operator, documentația va fi baza prelucrării datelor cu caracter personal. Dacă și în măsura în care inspecția sau un audit de către Operator arată necesitatea unor modificări ale măsurilor tehnice și organizaționale, acestea vor fi implementate pe baza unui acord. | 3.1 Processor will document the implementation of the necessary technical and organizational measures described before the start of the processing of personal data, in particular with regard to the specific performance of Processor Services and provide such description to Controller for inspection. If accepted by the Controller, the documented will become the basis for the processing of personal data. If and to the extent the inspection or an audit by the Controller reveals a need for changes of the technical and organizational measures, those will be implemented by mutual agreement. 3.2 Controller has to ensure the security according to Article 28 (3) c) GDPR in connection with Article 5 (1) 2 GDPR. Overall, the measures to be taken are data security measures and to ensure a level of protection appropriate to the risk in terms of confidentiality, integrity, availability and system resilience. The state of the art, implementation costs and the nature, scope and purpose of processing, as well as the different probability of occurrence and severity of the risk to the rights and freedoms of natural persons within the meaning of Article 32 (1) GDPR must be taken into account. As a minimum standard, the parties have agreed upon the measures defined in Schedule 3 at the time of the conclusion of this DPA. |
3.3 Măsurile tehnice și organizaționale fac obiectul progresului tehnic și a dezvoltării ulterioare. În acest sens, Operatorul are voie să implementeze măsuri alternative adecvate. Nivelul de securitate al măsurilor specificate nu trebuie omis. Modificările majore trebuie documentate. | 3.3 The technical and organizational measures are subject to technical progress and further development. In this respect, Processor is permitted to implement alternative adequate measures. The security level of the specified measures must not be undercut. Major changes must be documented. |
4. CORECTAREA, RESTRICȚIONAREA PRELUCRĂRII ȘI ȘTERGEREA | 4. CORRECTION, RESTRICTION OF PROCESSING AND DELETION |
4.1 Contractantul nu poate corecta, șterge sau restricționa prelucrarea datelor cu caracter personal prelucrate în numele Operatorului fără instrucțiuni documentate ale Operatorului. Dacă o persoană vizată abordează Persoana Împuternicită de către Operator în legătură cu datele sale personale, aceasta va transmite imediat acea comunicare Operatorului. | 4.1 Contractor may not correct, delete or restrict the processing of personal data processed Controller's behalf without documented instructions by the Controller. If a data subject directly approaches the Processor in relation to its personal data, Processor will immediately forward such communication to the Controller. |
4.2 Dacă și în măsura în care Serviciile Persoanei Împuternicite de către Operator includ conceptul de ștergere, dreptul de omitere, corectare, portabilitatea datelor și accesul persoanei vizate vor fi asigurate în mod direct de către Persoana Împuternicită de către Operator în conformitate cu instrucțiunile documentate ale Operatorului. | 4.2 If and to the extent Processor Services include deletion concept, right to be forgotten, correction, data portability and data subject access are to be ensured directly by Processor in accordance with documented instructions of the Controller. |
5. SUBCONTRACTAREA 5.2 Persoana Împuternicită de către Operator poate încheia contracte cu subcontractanți doar după aprobarea expresă prealabilă scrisă sau documentată a Operatorului. Aprobările Operatorului de la data sau după încheierea prezentului DPA sunt documentate în 0. 5.3 Persoana Împuternicită de către Operator nu poate modifica un subcontractant documentat 0, cu condiția ca 5.3.1 Persoana Împuternicită de către Operator să fi înștiințat Operatorul în scris sau în formă text cu un preaviz rezonabil și Persoana Împuternicită de către Operator este de acord cu modificarea dorită a unui subcontractant; 5.3.2 Operatorul nu invocă o obiecție împotriva transferului dorit al datelor personale către un nou subcontractant în scris sau în formă de text înainte de data dorită a respectivului transfer 5.3.3 furnizarea serviciilor de către noul subcontractant este bazată pe un acord contractual în conformitate cu Articolul 28 (2) – (4) GDPR. 5.4 Transferarea datelor cu caracter personal prelucrate în numele Operatorului către un subcontractant și prelucrarea de către acesta a respectivelor date va fi permisă doar dacă toate pre-condițiile pentru subcontractare sunt îndeplinite. 5.6 O altă subcontractare de către un subcontractant impune aprobarea expresă a Operatorului în formă de text. Toate contractele dintre Persoana Împuternicită de către | 5. SUBCONTRACTING 5.1 For the purposes of this provision, "subcontracting" shall mean those services which relate directly to the provision of the Processor Services and shall not include ancillary services used by Processor, e. g. as telecommunications services, postal/transport services, maintenance and user service or the disposal of data carriers, as well as other measures to ensure the confidentiality, availability, integrity and resilience of the hardware and software of data processing systems. However, the Processor is obliged to take appropriate and legally compliant contractual agreements and control measures to ensure data protection and data security of personal data processed on Controller's behalf also in case of outsourced ancillary services. 5.2 Processor may only commission subcontractors (sub processors) after prior express written or documented consent of the Controller. Controller's consents at the time of or after the conclusion of this DPA are documented in Schedule 4. 5.3 Processor may change a subcontractor documented Schedule 4, provided that 5.3.1 Processor has notified the Controller in writing or in text form with a reasonable notice period and the Controller agrees to the intended change of a subcontractor. 5.3.2 Controller does not raise an objection against the intended transfer of personal data to a new subcontractor in writing or in text form before the intended date of such transfer 5.3.3 the provision of services by the new subcontractor is based on a contractual agreement in accordance with Article 28 (2) – (4) GDPR. 5.4 The transfer of personal data processed on Controller's behalf to a subcontractor and its processing of such data shall only be permitted if all preconditions for sub- contracting are met. 5.5 If the subcontractor provides the agreed service outside the EU/EEA, the Processor shall ensure compliance with data protection law by means of appropriate measures. The same shall apply if the Processor uses third party service providers within the meaning of Section 5.1 sentence 2. 5.6 A further subcontracting by a subcontractor requires the express consent of the Controller in text form. All contracts between the Processor and any subcontractors engaged in compliance with this DPA shall not provide for a lower level of protection than this |
Operator și orice subcontractanți angajați în conformitatea cu prezentul DPA nu vor asigura un nivel mai mic de protecție decât cel din prezentul DPA cu privire la interesele Operatorului și trebuie să asigure controlul direct și drepturi de obligare pentru Operator față de subcontractanți echivalente cu drepturile din prezentul DPA. Operatorul, cel puțin de două ori într-un an calendaristic, va verifica regulat conformitatea cu cerințele contractuale și legale de către subcontractant, va documenta această inspecție în scris și o va furniza Operatorului.
6. DREPTURI DE CONTROL ȘI AUDIT
6.1 Operatorul va avea dreptul de a realiza audituri prin consultare cu Persoana împuternicită de către operator sau le va realiza prin intermediul unor auditori desemnați de la caz la caz. Operatorul va avea dreptul de a inspecta conformitatea cu prezentul DPA prin verificări aleatorii ale mostrelor la sediile Operatorului folosite pentru prelucrarea datelor cu caracter personal în numele Operatorului, care de obicei vor fi înștiințate către Persoana împuternicită de către operator în prealabil.
6.2 Persoana Împuternicită de către Operator se asigură că Operatorul se poate convinge de conformitatea Persoanei Împuternicite de către Operator cu obligațiile din Articolul 28 din GDPR. Persoana Împuternicită de către Operator va furniza Operatorului informațiile necesare la cerere și în special furnizarea unor dovezi cu privire la implementarea măsurilor tehnice și organizaționale.
6.3 Persoana împuternicită de către operator poate evidenția măsurile tehnice și organizaționale care nu sunt aplicabile doar pe baza unui ordin/instrucțiuni specifice de către Operator prin
6.3.1 conformitatea cu codurile de conduită aprobate în
conformitate cu Articolul 40 GDPR;
6.3.2 o atestare în conformitate cu o procedură de atestare aprobată în conformitate cu Articolul 42 din GDPR;
6.3.3 certificatele de audit actuale, rapoartele sau extrasele de rapoarte ale unor organisme independente (de exemplu responsabili cu protecția datelor ai auditorilor interni atestați sau interni, specialiști în securitate IT, auditori în protecția datelor sau de calitate);
6.3.4 atestare adecvată în securitatea IT sau protecția datelor (de exemplu, în conformitate cu „BSI-Grundschutz").
7. NOTIFICAREA ÎN CAZURILE DE NECONFORMITATE ALE OPERATORULUI
7.1 Persoana Împuternicită de către Operator va oferi asistență Operatorului în respectarea obligațiilor din Articolele 32-36 din GDPR privind securitatea datelor cu caracter personal, a obligațiilor de înștiințare în cazul unor încălcări ale securității datelor, evaluărilor impactului asupra protecției datelor și consultărilor prealabile.
DPA with regard to the interests of Controller and must provide for direct control and instruction rights for the Controller vis-à-vis such subcontractors equivalent to the rights according to this DPA. The Processor shall regularly, at least twice a calendar year, verify compliance with the contractual and legal requirements by the subcontractor, document this inspection in writing and make it available to the Controller.
6. CONTROL AND AUDIT RIGHTS
6.1 Controller shall have the right to carry out audits in consultation with Processor or to have them carried out by auditors designated on a case-by-case basis. The Controller shall have the right to verify compliance with this DPA by means of random sample checks at Processor's premises used for processing of personal data on Controller's behalf, which shall usually be notified to the Processor in advance.
6.2 Processor ensures that the Controller can satisfy himself/herself of Processor's compliance with the obligations under Article 28 GDPR. Processor will provide Controller with the necessary information on request and in particular to provide evidence of the implementation of the technical and organizational measures.
6.3 Processor may evidence technical and organizational measures not only applicable to a specific order/instruction by the Controller by
6.3.1 compliance with approved codes of conduct pursuant to Article 40 GDPR;
6.3.2 a certification according to an approved certification procedure in accordance with Article 42 GDPR;
6.3.3 current audit certificates, reports or report extracts of independent bodies (e.g. certified or internal auditors data protection officers, IT security specialists, data protection or quality auditors);
6.3.4 suitable IT security or data protection certification (e.
g. according to "BSI-Grundschutz").
7. NOTIFICATION IN CASES OF PROCESSOR'S NON- COMPLIANCE
7.1 Processor shall assist Controller in complying with the obligations set out in Articles 32 to 36 GDPR regarding the security of personal data, notification obligations in the event of data breaches, data protection impact assessments and prior consultations.
7.2 Asistența Persoanei împuternicite de către operator va include, fără limitare, 7.3 asigurarea unui nivel adecvat de protecție prin măsuri tehnice și organizaționale care iau în considerare circumstanțele și scopurile prelucrării și probabilitatea de estimare și gravitatea unei posibile încălcări a legii din cauza unor deficiențe de securitate și astfel va permite o detectare continuă a evenimentelor de încălcare relevante. 7.4 obligația de a raporta încălcările efective sau suspectate ale securității datelor către Operator fără întârziere dar în orice caz în maxim 36 de ore de la aflare; 7.5 obligația de a sprijini Operatorul în legătură cu obligațiile sale de înștiințare față de persoanele vizate și de a furniza Operatorului toate informațiile relevante în acest sens fără întârziere inadecvată; 7.6 oferirea de asistență Operatorului în minimalizarea oricăror daune potențiale, realizarea unei analize a cauzelor de bază și la cerere, partajarea rezultatelor analizei și a planului său de remediere cu Operatorul; 7.7 oferirea de asistență Operatorului în legătură cu evaluările impactului asupra protecției datelor; și 7.8 oferirea de asistență Operatorului în legătură cu consultările prealabile cu autoritatea de supraveghere. 8. ȘTERGEREA ȘI RETURNAREA DATELOR CU CARACTER PERSONAL 8.1 Copii sau duplicate ale datelor cu caracter personal prelucrate în numele Operatorului nu vor fi prezentate fără cunoștința Operatorului. Această obligație nu se aplică pentru copii de backup, dacă și în măsura în care acestea sunt necesare pentru a asigura prelucrarea adecvată a datelor, sau pentru datele necesare pentru conformitatea cu obligațiile statutare de păstrare. 8.2 Odată cu finalizarea Serviciilor Persoanei Împuternicite de către Operator sau mai devreme la cererea Operatorului - cel mai târziu la încetarea Contractului Operațional - Persoana Împuternicită de către Operator va furniza Operatorului toate documentele, rezultatele prelucrării și utilizării și fișierele de date produse sau obținute în legătură cu prelucrarea datelor cu caracter personal în numele Operatorului sau le va șterge/distruge în conformitate cu legislația de protecție a datelor pe baza instrucțiunilor Operatorului. Aceeași regulă se aplică pentru materialele de testare și reziduale. Registrul de ștergere va fi transmis Operatorului la cerere. 8.3 Persoana Împuternicită de către Operator este obligată să păstreze documentația care servește drept dovadă a prelucrării datelor în conformitate cu legislația aplicabilă și prezentul DPA în conformitate cu perioadele de păstrare respective după încetarea Contractului Operațional și a | 7.2 Processor's assistance shall include, but not be limited to 7.3 ensuring an adequate level of protection by means of technical and organizational measures which take into account the circumstances and purposes of the processing as well as the forecast probability and severity of a possible breach of the law due to security gaps and thus enable a continuous detection of relevant infringement events. 7.4 the obligation to report actual or suspected data breaches data to the Controller without delay but in any case within 36 hours of obtaining knowledge thereof; 7.5 the obligation to support the Controller in relation to is notification obligations vis-à-vis data subjects and to provide Controller with all relevant information in this respect without undue delay; 7.6 assisting the Controller in mitigating any potential damage, conduct a root cause analysis, and upon request, sharing the results of the analysis and its remediation plan with the Controller; 7.7 assisting the Controller in relation to data protection impact assessments; and 7.8 assisting the Controller in relation to prior consultations with the supervisory authority. 8. DELETION AND RETURN OF PERSONAL DATA 8.1 Copies or duplicates of personal data processed on Controller's behalf shall not be produced without Controller's knowledge. This obligation does not apply to backup copies, if and to the extent these are necessary to ensure proper data processing, or to data required for compliance with statutory retention obligations. 8.2 Upon completion of the Processor Services or earlier on Controller's request - at the latest upon termination of the Operational Agreement - the Processor shall provide the Controller with all documents, processing and usage results as well as data files produced or obtained in connection with the processing of personal data on Controller's behalf or to delete/destroy them in accordance with data protection law upon Controller's instruction. The same applies to test and scrap material. The deletion log shall be submitted to the Controller upon request. 8.3 Processor is obliged to retain documentation which serves as proof of data processing in compliance with applicable law and this DPA in accordance with the respective retention periods after the termination of the Operational Agreement and this DPA. Processor may |
prezentului DPA. Persoana Împuternicită de către Operator poate preda respectiva documentație către Operator. 9. RĂSPUNDEREA ȘI DESPĂGUBIREA 9.1 Persoana Împuternicită de către Operator va fi răspunzător pentru și îl va despăgubi pe (și va continua să despăgubească) Operator cu privire la oricare și toate acțiunile, procedurile, răspunderile, costurile, revendicările, pierderile, daunele, cheltuielile (inclusiv orice pierderi, pierderi de profituri, pierderi de reputație indirecte și secundare și toate dobânzile și penalitățile, calculate pe baza unei despăgubiri complete și orice alte costuri și cheltuieli profesionale rezonabile) sau suferite sau suportate de, acordate împotriva, sau convenite a fi achitate de către Operator care derivă direct sau indirect în legătură cu orice nerespectare de către Persoana împuternicită de către operator a prezentului DPA sau a legislației aplicabile. 9.2 Nicio prevedere din prezentul Contract nu o va exonera pe niciuna dintre Părți și nu va afecta răspunderea niciunei Părți față de nicio Persoană Vizată sau pentru orice altă încălcare a obligațiilor directe ale acelei Părți în conformitate cu Legislația Aplicabilă. 10. ÎNCĂLCAREA OBLIGAȚIILOR ÎN CONFORMITATE CU PREZENTUL DPA 10.1 Orice încălcare a prevederilor de mai sus din articolele 0-0 xx xxxxx Xxxxxxxx xxxxxxxxxxxxx xx xxxxx operator va fi considerată o încălcare semnificativă a Contractului Operațional de către Persoana împuternicită de către operator și va permite Operatorului rezilierea Contractului Operațional printr-o înștiințare de reziliere unilaterală cu valabilitate imediată (fără a fi necesare alte formalități sau intervenție a unui tribunal pentru ca Persoana împuternicită de către operator să fie pusă în întârziere). DREPT PENTRU CARE s-a executat prezentul Contract de Prelucrare a Datelor în 2 exemplare originale în limba [engleză/română], câte un exemplar original pentru fiecare Parte contractantă. [ În cazul unor discrepanțe, versiunea din limba română va avea întâietate. ] | hand over such documentation to the Controller. 9. LIABILITY AND INDEMNITY 9.1 The Processor shall be liable for, and shall indemnify (and keep indemnified) the Controller in respect of any and all action, proceeding, liability, cost, claim, loss, damage, expense (including any direct, indirect or consequential losses, loss of profit, loss of reputation and all interest and penalties, calculated on a full indemnity basis, and all other reasonable professional costs and expenses), or demand suffered or incurred by, awarded against, or agreed to be paid by, the Controller arising directly or in connection with any non- compliance by the Processor with this DPA or the applicable law. 9.2 Nothing in this Agreement shall relieve either Party of, or otherwise affect, the liability of either Party to any Data Subject, or for any other breach of that Party’s direct obligations under the Applicable Law. 10. BREACH OF OBLIGATIONS UNDER THIS DPA 10.1 Any breach of the above provisions in articles1 to 8 by the Processor shall be considered a material breach of the DPA as well as a material breach of the Operational Agreement by the Processor and shall allow the Controller to terminate the Operational Agreement by unilateral termination notice with immediate effect (no further formalities or court intervention being necessary for the Processor to be put in default). IN WHITNESS THEREOF, this Data Processing Agreement was executed in 2 original copies in [English/ Romanian] version, one original copy for each contracting Party. [ In case of discrepancies, the Romanian version prevails. ] |
Lista 1 Detaliile prelucrării 1. Obiectul și durata prelucrării 1.1 Obiectul procesării Obiectul prelucrării este definit în Contractul Operațional. Obiectul prelucrării în cazul executării sarcinilor este menționat în contract de către Operator 1.2 Durata prelucrării. Durata prelucrării (termenul) corespunde duratei Contractului Operațional. Comanda prelucrării este plasată în mod individual. Prelucrarea începe la data din contract și ia sfârșit conform legii in vigoare. Comanda prelucrării va fi valabilă o durată nelimitată și poate fi reziliată de fiecare Parte cu o perioadă de înștiințare de 15 zile la sfârșitul fiecărei luni calendaristice prin înștiințarea scrisă a celeilalte părți. Dreptul de a rezilia comanda din motive importante rămâne neafectat. 2. Specificație privind prelucrarea 2.1 Natura și scopul prelucrării datelor cu caracter personal Natura și scopul prelucrării datelor cu caracter personal de către Persoana Împuternicită de Operator în numele Operatorului sunt definite în Contractul Operațional. Natura și scopul prelucrării datelor cu caracter personal de către Persoana Împuternicită de Operator în numele Operatorului este indeplinirea contractului operational - | Schedule 1 Details of Processing 1. Subject matter and duration of the processing 1.1 Subject matter of the processing The subject matter of the processing is defined in the Operational Agreement The subject matter of the processing if the performance of the tasks by the Processor mentioned in the contract. - 1.2 Duration of the processing. The duration of the processing (term) corresponds to the duration of the Operational Agreement The order for processing is placed once-only. The processing starts on the contract date and ends according to the applicable law. | ||
The order for processing shall be effective for an unlimited term and may be terminated by each Party with a notice period of 15 days to the end of each calendar month by written notice to the other party. The right to terminate the order for important reason remains unaffected. | |||
2. Specification of the processing 2.1 Nature and purpose of the processing of personal data Nature and purpose of the processing of personal dat Controller is defined in the Operational Agreement Nature and purpose of the processing of personal data by the Processor on behalf of the Controller is the fulfilling of the operational contract | |||
2.2 Categoriile persoanelor vizate și categoriile datelor cu
caracter personal
2.2 Categories of data subjects and categories of personal data
Prelucrarea datelor cu caracter personal în numele Operatorului se referă la următoarele categorii de persoane vizate și date cu caracter personal: |
Date de bază |
Date de comunicare |
Date contractuale |
Date privind facturarea și plata |
Date privind istoricul contractual/relațiilor de afaceri |
Date de planificare și control |
Informații ale unor terțe părți (de exemplu evidențe publice, agenții de informații/credit |
The processing of personal data on behalf of the Controller relates to the following categories of data subjects and personal data: |
Basic data |
Communication data |
Contractual data |
Invoicing and payment data |
Data regarding contractual / business relation history |
Planning and control data |
Third party information (e.g. public records, information / credit agencies |
2.3 Locul prelucrării datelor
Prelucrarea datelor cu caracter personal este realizată exclusiv într-un Stat Membru al UE sau într-un alt stat contractant, parte a
acordului privind Spațiul Economic European
(SEE).
Lista 2
Obligațiile Suplimentare ale Persoanei Împuternicite de către
Operator
3. Responsabilul cu Protecția Datelor, Persoana de
Contact, Reprezentant
2.3 Place of data processing
The processing of personal data is performed solely in an EU member state or another contracting state to the agreement on the European Economic Area (EEA).
Schedule 2 Additional Processor Obligations
3. Data Protection Officer, Contact Person, Representative
Persoana împuternicită de către operator este obligată să desemneze un responsabil cu protecția datelor în conformitate cu Articolele 38, 39 GDPR sau pe baza legislației locale privind protecția datelor. |
Orice modificare a responsabilului cu protecția datelor, persoanei de contact sau reprezentantului va fi înștiințată către Operator fără întârziere inadecvată în scris sau în formă de text. |
Processor is obliged to appoint a data protection officer according to Articles 38, 39 GDPR or on the basis of applicable local data protection law. |
Any change in the person of the data protection officer, the contact person or the representative shall be notified to the Controller without undue delay in writing or in text form. |
4. Confidențialitate Pentru a menține confidențialitatea în conformitate cu Articolele 28 (3) 2 b), 29, 32 (4) GDPR, Persoana împuternicită de către operator va folosi doar persoane care își asumă obligații de confidențialitate și care s-au familiarizat în prealabil cu prevederile de protecție a datelor relevante pentru acestea. Persoana împuternicită de către operator și orice persoană aflată sub controlul acesteia care are acces la datele cu caracter personal poate prelucra respectivele date exclusiv în conformitate cu instrucțiunile Operatorului, inclusiv drepturile acordate în prezentul DPA, cu excepția cazurilor în care sunt obligate legal să le prelucreze. 5. Înregistrarea activităților de prelucrare Persoana împuternicită de către operator va menține evidențe complete, corecte și actualizate ale tuturor categoriilor de activități de prelucrare realizate în numele Operatorului în conformitate cu Art. 30 (2) GDPR și le furnizează la cererea Operatorului. 6. Autorități de supraveghere 6.1 Părțile vor coopera cu autoritatea de supraveghere în îndeplinirea obligațiilor lor la cerere. 6.2 Persoana împuternicită de către operator îl va informa pe Operator imediat cu privire la orice acțiuni și măsuri luate de autoritatea de supraveghere în legătură cu prelucrarea în numele Operatorului. Această regulă se va aplica dacă și în măsura în care o autoritate competentă inițiază proceduri administrative sau penale cu privire la prelucrarea datelor cu caracter personal de către Operator. 6.3 Dacă și în măsura în care Operatorul face obiectul unui control de către autoritatea de supraveghere, unei proceduri administrative sau penale sau dacă persoanele vizate inițiază revendicări cu privire la daune sau de altă natură în legătură cu prelucrarea datelor personale în numele Operatorului, Persoana împuternicită de către operator va oferi sprijin Operatorului conform abilităților sale. 7. Audituri regulate Persoana împuternicită de către operator va monitoriza în mod regulat procesele interne și măsurile tehnice și organizaționale pentru a se asigura că prelucrarea datelor personale din acest domeniu de responsabilitate este realizată în conformitate cu cerințele legislației aplicabile privind protecția datelor și că drepturile persoanei vizate sunt protejate. | 4. Confidentiality In order to maintain confidentiality in accordance with Articles 28 (3) 2 b), 29, 32 (4) GDPR, Processor shall only use persons who are obliged to confidentiality and who have previously been familiarised with the data protection provisions relevant to them. Processor and any person under Processor's control who has access to personal data may process such data exclusively in accordance with the instructions of the Controller, including the powers granted in this DPA, unless they are legally obliged to process it. 5. Record of Processing Activities Processor shall maintain a complete, accurate and up to date written record of all categories of processing activities carried out on behalf of Controller according to Art. 30 (2) GDPR and provide those upon request to Controller. 6. Supervisory Authorities 6.1 The Parties shall cooperate with the supervisory authority in the performance of their duties upon request. 6.2 Processor shall inform Xxxxxxxxxx immediately of any actions and measures taken by the supervisory authority in relation to the processing on behalf of the Controller. This shall also apply if and to the extent a competent authority initiates administrative or criminal proceedings with regard to the processing of personal data by the Processor. 6.3 If and to the extent the Controller is subject to a control by the supervisory authority, an administrative or criminal procedure, or if data subjects raise damage or other claims in connection with the processing of personal data on behalf of the Controller, the Processor shall support the Controller to the best of his ability. 7. Regular Audits Processor shall regularly monitor the internal processes as well as the technical and organizational measures to ensure that the processing of personal data in his area of responsibility is carried out in accordance with the requirements of the applicable data protection law and that the rights of the data subject are protected. |
Lista 3
Măsuri tehnice și organizaționale
Măsurile tehnice și organizaționale sunt specificate în atașat la prezenta Lista 3 ca Atașament.
Măsurile tehnice și organizaționale sunt specificate
mai jos:
1. CONFIDENȚIALITATE (ART. 32 (1) B) GDPR)
1.1 Controlul accesului în zonele de prelucrare
Xxxxxx acces neautorizat în zonele de prelucrare a datelor
1.2 Controlul accesului la sistemele de prelucrare a datelor
Nicio utilizare neautorizată a sistemelor de prelucrare a
datelor.
1.3 Controlul accesului la zone specifice ale sistemului
Nicio citire, copiere, modificare sau ștergere neautorizată în cadrul sistemului.
1.4 Controlul separării
Prelucrare separată a datelor colectate în diverse.
1.5 Pseudonimizare (Art. 32 Abs. 1 a) GDPR; Art. 25 Abs. 1 GDPR)
Prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații
suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică.
2. INTEGRITATE (ART. 32 (1) B) GDPR)
2.1 Controlul transferului
Nicio citire, copiere, modificare sau ștergere în timpul
transmiterii sau transportului.
2.2 Controlul informațiilor primite
Verificarea și documentarea dacă și de către cine date cu caracter personal au fost introduse în sistemele de prelucrare a datelor sau eliminate .
3. DISPONIBILITATE ȘI REZISTENȚĂ (ART. 32 (1) B) GDPR)
3.1 Controlul disponibilității
Schedule 3
Technical and Organizational Measures
The technical and organizational measures are spec attached to this Schedule 3 as an Exhibit.
The technical and organizational measures are speci
1. CONFIDENTIALITY (ART. 32 (1) B) GDPR)
1.1 Access control of processing areas
No unauthorized access to data processing areas
1.2 Access control to data processing systems
No unauthorized use of data processing systems
1.3 Access control to specific system areas
No unauthorized reading, copying, changing or deletion within the system.
1.4 Separation control
Separate processing of data collected for different purposes
1.5. Pseudonymisation (Art. 32 Abs. 1 a) GDPR; Art. 25 Abs. 1 GDPR)
The processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures.
2. INTEGRITY (ART. 32 (1) B) GDPR)
2.1 Transfer control
No unauthorized reading, copying, alteration or deletion during the transmission or the transport.
2.2. Input control
Checking and documenting whether and by whom personal data have been input into data processing systems or removed.
Protecție împotriva distrugerii sau pierderii accidentale. 3.2 Recuperare Recuperare la timp (Articolul 32 (1) c) GDPR) . 4.PROCESE PENTRU TESTE ȘI EVALUĂRI REGULATE (ART. 32 (1) D) GDPR; ART. 25 (1) GDPR) 4.1. Gestionarea protecției datelor 4.2 Gestionarea reacției la incidente 4.3 Confidențialitate implicită (Articolul 25 (2) GDPR) prin 4.4 Controlul comenzilor Fără prelucrarea datelor pe bază de comandă în conformitate cu Articolul 28 GDPR fără o instrucțiune corespunzătoare din partea operatorului. Lista 4 Operatorul este de acord cu desemnarea următorilor subcontractanți pentru următoarele servicii în legătură cu prelucrarea datelor cu caracter personal în numele Operatorului: Sub-contractant Datele de Serviciile contact subcontractanților | 3. AVAILABILITY AND RESILIENCE (ART. 32 (1) B) GDPR) 3.1 Availability control Protection against accidental destruction or loss 3.2 Restoration Restoration in a timely manner (Article 32 (1) c) GDPR) 4. PROCESSES FOR REGULAR TESTS, ASSESSMENTS AND EVALUATION (ART. 32 (1) D) GDPR; ART. 25 (1) GDPR) 4.1 Data protection management 4.2 Incident response management 4.3 Privacy by default (Article 25 (2) GDPR 4.4 Order control No commissioned data processing within the meaning of Article 28 GDPR without corresponding instruction by the controller Schedule 4 Subcontractors The Controller agrees to the assignment of the following subcontractors for the following services in connection with the processing of personal data on behalf of the Controller: Subcontractor Contact details Subcontractor services |