UTILIZATORILOR MODULULUI CONTRIBUABILI AL PLATFORMEI REGISTA DE CĂTRE
ACORD PRIVIND PRELUCRAREA DATELOR PERSONALE ALE
UTILIZATORILOR MODULULUI CONTRIBUABILI AL PLATFORMEI REGISTA DE CĂTRE
REGISTA DIGITAL S.A.
Data: Decembrie 2021
I. Părțile
1. Dvs., utilizatorul modulului Contribuabili al platformei Regista® (“Platforma”), actionand in calitate de operator de date cu caracter personal (denumit in continuare „Dvs.” sau “Utilizatorul” sau “Operatorul”) și
2. Regista Digital S.A. CUI 00000000, J40/13259/2021, cu sediul în București, Sectorul 3, Splaiul Unirii, Nr. 165, clădirea TNO2, et. 6 e-mail: xxxxxxx@xxxxxxx.xx, (denumită în cele ce urmează „Regista”), proprietar exclusiv al Platformei, acționând in calitate de persoana imputernicita sa prelucreze date cu caracter personal (denumită “Regista” sau “noi”); și
denumite, în mod individual, ”Partea” și în mod colectiv ”Părțile”.
II. Preambul
1. În decursul utilizării Modulului Contribuabili al Platformei, Dvs. puteți introduce sau genera în Platformă diverse date cu caracter personal (”Date personale”) ale unor persoane vizate („Persoanele vizate”), așa cum sunt aceste concepte definite în legislația aplicabilă, în special dar fără a se limita la prevederile REGULAMENTULUI (UE) 2016/679 AL PARLAMENTULUI EUROPEAN și AL CONSILIULUI (”GDPR”);
2. Regista prelucrează Datele personale introduse in Platformă:
a. în calitate de operator de date cu caracter personal – respectiv, datele de contact ale utilizatorilor („Date personale prelucrate ca operator” ), potrivit distincțiilor din Politica de confidențialitate a Modulului Contribuabili al Platformei,
și
b. în calitate de persoana împuternicită să prelucreze date cu caracter personal – respectiv, datele introduse sau generate de Utilizatori pentru a beneficia de funcționalitățile Modulului Contribuabili al Platformei, respectiv pentru a putea realiza diverse formalități în relația cu primăria relevanta înrolată în Platforma Regista (“Date personale prelucrate ca împuternicit”)
3. In ceea ce privește Datele personale prelucrate ca împuternicit, este necesar, potrivit art.
28 din GDPR, să fie reglementată relația dintre Regista, în calitate de persoană împuternicită să prelucreze Date personale, și Utilizator, în calitate de operator de Date personale.
4. Luând în considerare dispozițiile Deciziei de punere în aplicare (UE) 2021/915 a Comisiei din 4 iunie 2021 privind clauzele contractuale standard dintre operatori și persoanele împuternicite de operatori prevăzute la articolul 28 alineatul (7) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului și la articolul 29 alineatul (7) din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului (“Decizia 2021/915”)
Partile au incheiat prezentul acord de prelucrare a datelor cu caracter personal („Acordul”).
III. Structura Acordului
1. Partea I care cuprinde:
a. Clauzele contractuale standard prevazute de Decizia 2021/915, precum si
b. Anexa I – Lista Părților;
c. Anexa II – Descrierea prelucrării;
d. Xxxxx XXX – Măsuri tehnice și organizatorice, inclusiv măsuri tehnice și organizatorice menite să asigure securitatea datelor;
e. Anexa IV – Lista subcontractanților (subîmputerniciții)
2. Partea II - Clauze suplimentare
● Partea I - Clauze contractuale-standard
SECȚIUNEA I
1 Clauza 1
Scopul și domeniul de aplicare
a) Scopul prezentelor clauze contractuale standard („clauzele”) este de a asigura conformitatea cu articolul 28 alineatele (3) și (4) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).
b) Operatorii și persoanele împuternicite de operatori enumerate în anexa I au convenit asupra prezentelor clauze pentru a asigura conformitatea cu articolul 28 alineatele (3) și (4) din Regulamentul (UE) 2016/679 și cu articolul 29 alineatele (3) și (4) din Regulamentul (UE) 2018/1725.
c) Prezentele clauze se aplică prelucrării datelor cu caracter personal, astfel cum se specifică în anexa II.
d) Anexele I-IV fac parte integrantă din clauze.
e) Prezentele clauze nu aduc atingere obligațiilor care îi revin operatorului în temeiul Regulamentului (UE) 2016/679 și/sau al Regulamentului (UE) 2018/1725.
f) Prezentele clauze nu asigură, prin ele însele, respectarea obligațiilor referitoare la transferurile internaționale în conformitate cu capitolul V din Regulamentul (UE) 2016/679 și/sau din Regulamentul (UE) 2018/1725.
2 Clauza 2
Caracterul invariabil al clauzelor
a) Părțile se angajează să nu modifice clauzele, cu excepția cazului în care trebuie să completeze sau să actualizeze informațiile prevăzute în anexe.
b) Acest lucru nu împiedică părțile să includă clauzele contractuale standard prevăzute în prezentele clauze în cadrul unui contract mai amplu sau să adauge alte clauze sau garanții suplimentare, atât timp cât acestea nu contravin, direct sau indirect, xxxxxxxxx sau nu aduc atingere drepturilor sau libertăților fundamentale ale persoanelor vizate.
3 Clauza 3
Interpretare
a) În cazul în care prezentele clauze utilizează termenii definiți în Regulamentul (UE) 2016/679 sau în Regulamentul (UE) 2018/1725, acești termeni au același sens ca în regulament.
b) Prezentele clauze trebuie citite și interpretate în lumina dispozițiilor Regulamentului (UE) 2016/679 sau ale Regulamentului (UE) 2018/1725.
c) Prezentele clauze nu trebuie interpretate într-un mod care contravine drepturilor și obligațiilor prevăzute în Regulamentul (UE) 2016/679/Regulamentul (UE) 2018/1725 sau într-un mod care aduce atingere drepturilor sau libertăților fundamentale ale persoanelor vizate.
4 Clauza 4
Ierarhie
În cazul unei contradicții între prezentele clauze și dispozițiile acordurilor conexe dintre părți care există la momentul în care sunt convenite prezentele clauze sau care sunt încheiate ulterior, prevalează prezentele clauze.
5 Clauza 5
Clauză privind aderarea unor părți noi
a) O entitate care nu este parte la prezentele clauze poate adera, cu acordul tuturor părților, la prezentele clauze în orice moment în calitate de operator sau de persoană împuternicită de operator prin completarea anexelor și prin semnarea anexei I.
b) După completarea și semnarea anexelor menționate la litera (a), entitatea care a aderat este considerată drept parte la prezentele clauze și are drepturile și obligațiile unui operator sau ale unei persoane împuternicite de operator, în conformitate cu desemnarea sa prevăzută în Anexa I.
c) Entitatea care a aderat nu are drepturi sau obligații ce decurg din prezentele clauze pentru perioada anterioară dobândirii calității de parte.
SECȚIUNEA II OBLIGAȚIILE PĂRȚILOR
6 Clauza 6
Descrierea prelucrării (prelucrărilor) datelor
Operațiunile de prelucrare, în special categoriile de date cu caracter personal și scopurile prelucrării datelor cu caracter personal în numele operatorului, sunt specificate în detaliu în anexa II.
7 CLAUZA 7 Obligațiile părților
7.1 Instrucțiuni
a) Persoana împuternicită de operator prelucrează datele cu caracter personal numai pe baza unor instrucțiuni documentate din partea operatorului, cu excepția cazului în care persoanei împuternicite de operator îi revine această obligație în temeiul dreptului
Uniunii sau al dreptului intern care i se aplică. În acest caz, persoana împuternicită de operator îl informează pe operator cu privire la respectiva obligație juridică înainte de prelucrare, cu excepția situației în care legislația interzice o astfel de informare din motive importante legate de interesul public. De asemenea, operatorul poate da instrucțiuni ulterioare pe întreaga durată a prelucrării datelor cu caracter personal. Aceste instrucțiuni trebuie să fie întotdeauna documentate.
b) Persoana împuternicită de operator îl informează imediat pe operator în cazul în care, în opinia sa, instrucțiunile date de operator încalcă Regulamentul (UE) 2016/679/Regulamentul (UE) 2018/1725 sau dispozițiile aplicabile ale dreptului Uniunii sau ale dreptului intern referitoare la protecția datelor.
7.2 Limitarea scopului
Persoana împuternicită de operator prelucrează datele cu caracter personal numai în scopul (scopurile) specific(e) al(e) prelucrării, astfel cum se prevede în anexa II, cu excepția cazului în care primește instrucțiuni suplimentare din partea operatorului.
7.3 Durata prelucrării datelor cu caracter personal
Prelucrarea de către persoana împuternicită de operator are loc numai pe durata specificată în anexa II.
7.4 Securitatea prelucrării
a) Persoana împuternicită de operator implementează cel puțin măsurile tehnice și organizatorice specificate în anexa III pentru a asigura securitatea datelor cu caracter personal. Printre aceste măsuri se numără protecția datelor împotriva unei încălcări a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată a datelor cu caracter personal sau la accesul neautorizat la acestea (încălcarea securității datelor cu caracter personal). La evaluarea nivelului adecvat de securitate, părțile iau în considerare în mod corespunzător stadiul actual al tehnologiei, costurile implementării, natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscurile la care sunt expuse persoanele vizate.
b) Persoana împuternicită de operator acordă membrilor personalului său acces la datele cu caracter personal care fac obiectul prelucrării numai în măsura în care acest lucru este strict necesar pentru executarea, gestionarea și monitorizarea contractului. Persoana împuternicită de operator se asigură că persoanele autorizate să prelucreze datele cu caracter personal primite s-au angajat să respecte confidențialitatea sau au o obligație statutară adecvată de confidențialitate.
7.5 Date sensibile
Dacă prelucrarea implică date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate, date genetice sau date biometrice pentru identificarea unică a unei persoane fizice, date privind sănătatea sau date privind viața sexuală sau orientarea sexuală a unei persoane fizice sau date referitoare la condamnări penale și infracțiuni („date sensibile”), persoana împuternicită de operator aplică restricții specifice și/sau garanții suplimentare, conform indicațiilor oferite de operator.
7.6 Documentație și conformitate
a) Părțile trebuie să fie în măsură să demonstreze respectarea prezentelor xxxxxx.
b) Persoana împuternicită de operator răspunde cu promptitudine și în mod adecvat cererilor de informații din partea operatorului cu privire la prelucrarea datelor în conformitate cu prezentele clauze.
c) Persoana împuternicită de operator pune la dispoziția operatorului toate informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute în prezentele clauze și care rezultă în mod direct din Regulamentul (UE) 2016/679 și/sau din Regulamentul (UE) 2018/1725. De asemenea, la cererea operatorului, persoana împuternicită de operator trebuie să permită efectuarea de audituri ale activităților de prelucrare care fac obiectul prezentelor clauze și să contribuie la aceste audituri, la intervale rezonabile sau dacă există indicii privind nerespectarea prezentelor clauze. În luarea unei decizii privind efectuarea unei analize sau a unui audit, operatorul poate ține seama de certificările relevante deținute de persoana împuternicită de operator.
d) Operatorul poate alege să efectueze el însuși auditul sau să mandateze în acest scop un auditor independent. Auditurile pot include, de asemenea, inspecții la sediile sau la instalațiile fizice ale persoanei împuternicite de operator și se efectuează, dacă este cazul, în urma transmiterii unui preaviz rezonabil.
e) La cerere, părțile pun la dispoziția autorității/autorităților de supraveghere competente informațiile menționate în prezenta clauză, inclusiv rezultatele oricărui audit.
7.7 Recurgerea la subcontractanți
a) AUTORIZAȚIE SCRISĂ GENERALĂ: Persoana împuternicită de operator deține autorizația generală din partea operatorului de a recruta subcontractanți care figurează pe o listă convenită. Persoana împuternicită de operator îi furnizează operatorului informațiile de care acesta are nevoie pentru exercitarea dreptului de a formula obiecții.
b) În cazul în care persoana împuternicită de operator recrutează un subcontractant pentru a desfășura activități de prelucrare specifice (în numele operatorului), trebuie să efectueze recrutarea printr-un contract care să prevadă, pe fond, aceleași obligații în materie de protecție a datelor ca cele care îi revin persoanei împuternicite de operator în conformitate cu prezentele clauze. Persoana împuternicită de operator se asigură că subcontractantul respectă obligațiile care îi revin persoanei împuternicite de operator în temeiul prezentelor clauze și al Regulamentului (UE) 2016/679 și/sau al Regulamentului (UE) 2018/1725.
c) La cererea operatorului, persoana împuternicită de operator îi furnizează operatorului o copie a acestui contract de subcontractare și a oricăror modificări ulterioare. În măsura în care acest lucru este necesar pentru a proteja secretul de afaceri sau alte informații confidențiale, inclusiv date cu caracter personal, persoana împuternicită de operator poate să mascheze textul contractului înainte de a transmite copia.
d) Persoana împuternicită de operator rămâne pe deplin responsabilă față de operator pentru îndeplinirea obligațiilor subcontractantului în conformitate cu contractul său cu persoana împuternicită de operator. Persoana împuternicită de operator notifică operatorului orice nerespectare de către subcontractant a obligațiilor sale contractuale.
e) Persoana împuternicită de operator convine cu subcontractantul asupra unei clauze privind terțul beneficiar, conform căreia – în cazul în care persoana împuternicită de operator a dispărut în fapt, și-a încetat existența de drept sau a devenit insolvabil – operatorul are dreptul de a rezilia contractul cu subcontractantul și de a-i da subcontractantului instrucțiuni să șteargă sau să returneze datele cu caracter personal.
7.8 Transferuri internaționale
a) Orice transfer de date către o țară terță sau o organizație internațională realizat de persoana împuternicită de operator are loc pe baza instrucțiunilor documentate din partea operatorului sau pentru a îndeplini o cerință specifică în temeiul dreptului Uniunii sau al dreptului intern care i se aplică persoanei împuternicite de operator și se
desfășoară în conformitate cu capitolul V din Regulamentul (UE) 2016/679 sau din Regulamentul (UE) 2018/1725.
b) Operatorul este de acord că, în cazul în care persoana împuternicită de operator recrutează un subcontractant în conformitate cu clauza 7.7 pentru a desfășura activități de prelucrare specifice (în numele operatorului) și respectivele activități de prelucrare implică un transfer de date cu caracter personal în sensul capitolului V din Regulamentul (UE) 2016/679, persoana împuternicită de operator și subcontractantul pot asigura respectarea dispozițiilor prevăzute în capitolul V din Regulamentul (UE) 2016/679 prin recurgerea la clauzele contractuale standard adoptate de Comisie în conformitate cu articolul 46 alineatul (2) din Regulamentul (UE) 2016/679, cu condiția îndeplinirii condițiilor privind recurgerea la respectivele clauze contractuale standard.
8 Clauza 8
Asistența acordată operatorului
a) Persoana împuternicită de operator notifică imediat operatorului orice cerere primită din partea unei persoane vizate. Persoana împuternicită de operator răspunde cererii respective doar dacă a fost autorizată să facă acest lucru de către operator.
b) Persoana împuternicită de operator trebuie să îi acorde asistență operatorului în îndeplinirea obligațiilor acestuia de a răspunde cererilor formulate de persoanele vizate pentru a-și exercita drepturile, ținând seama de natura prelucrării. În îndeplinirea obligațiilor care îi revin în conformitate cu literele (a) și (b), persoana împuternicită de operator respectă instrucțiunile operatorului.
1 În plus față obligația persoanei împuternicite de operator de a-i acorda asistență operatorului în temeiul clauzei 8 litera (b), persoana împuternicită de operator îi acordă asistență acestuia și în ceea ce privește asigurarea respectării următoarelor obligații, ținând seama de natura prelucrării datelor și de informațiile aflate la dispoziția persoanei împuternicite de operator:
2 obligația de a efectua o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal (o „evaluare a impactului asupra protecției datelor”), în cazul în care un tip de prelucrare este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice;
3 obligația de a consulta autoritatea/autoritățile de supraveghere competentă/competente înainte de prelucrare, în cazul în care o evaluare a impactului asupra protecției datelor indică faptul că prelucrarea ar genera un risc ridicat în absența unor măsuri luate de operator pentru atenuarea riscului;
4 obligația de a se asigura că datele cu caracter personal sunt exacte și actualizate, prin înștiințarea operatorului fără întârziere în cazul în care persoana împuternicită de operator a luat cunoștință de faptul că datele cu caracter personal prelucrate sunt inexacte sau nu mai sunt de actualitate;
5 obligațiile prevăzute la [OPȚIUNEA 1] articolul 32 din Regulamentul (UE) 2016/679/[OPȚIUNEA 2] articolul 33, la articolele 36–38 din Regulamentul (UE) 2018/1725.
b) Părțile stabilesc în anexa III măsurile tehnice și organizatorice adecvate prin intermediul cărora persoana împuternicită de operator are obligația de a-i acorda asistență operatorului în aplicarea prezentei clauze, precum și domeniul de aplicare și amploarea asistenței necesare.
2 Clauza 9
● Notificarea încălcării securității datelor cu caracter personal
● În cazul în care are loc o încălcare a securității datelor cu caracter personal, persoana împuternicită de operator cooperează cu operatorul și îi acordă asistența necesară pentru ca acesta să își respecte obligațiile care îi revin în temeiul articolelor 33 și 34 din Regulamentul (UE) 2016/679 sau în temeiul articolelor 34 și 35 din Regulamentul (UE) 2018/1725, dacă este cazul, ținând seama de natura prelucrării și de informațiile aflate la dispoziția persoanei împuternicite de operator.
2.1 Încălcarea securității datelor privind date prelucrate de operator
În cazul în care are loc o încălcare a securității datelor cu caracter personal privind date prelucrate de operator, persoana împuternicită de operator îi acordă asistența operatorului:
a) în notificarea încălcării securității datelor cu caracter personal către autoritatea/autoritățile de supraveghere competentă/competente, fără întârzieri nejustificate, după ce operatorul a luat cunoștință de aceasta, dacă este cazul / (cu excepția cazului în care încălcarea securității datelor cu caracter personal nu este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice);
b) în obținerea următoarelor informații care, în temeiul [OPȚIUNEA 1] articolului 33 alineatul (3) din Regulamentul (UE) 2016/679/[OPȚIUNEA 2] articolului 34 alineatul (3) din Regulamentul (UE) 2018/1725, trebuie să fie menționate în notificarea adresată operatorului și să includă cel puțin:
1 natura datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile și numărul aproximativ de persoane vizate în cauză, precum și categoriile și numărul aproximativ de înregistrări de date cu caracter personal în cauză;
2 consecințele probabile ale încălcării securității datelor cu caracter personal;
3 măsurile luate sau propuse spre a fi luate de operator pentru a remedia încălcarea securității datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.
Atunci când și în măsura în care nu este posibil să se furnizeze toate aceste informații în același timp, notificarea inițială trebuie să conțină informațiile disponibile la momentul respectiv, informațiile suplimentare urmând să fie puse la dispoziție ulterior, fără întârzieri nejustificate, pe măsură ce devin disponibile.
c) în respectarea, în temeiul [OPȚIUNEA 1] articolului 34 din Regulamentul (UE) 2016/679/[OPȚIUNEA 2] articolului 35 din Regulamentul (UE) 2018/1725, a obligației de a informa, fără întârzieri nejustificate, persoana vizată cu privire la încălcarea securității datelor cu caracter personal, atunci când încălcarea securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice.
2.2 Încălcarea securității datelor privind date prelucrate de persoana împuternicită de operator
În cazul în care are loc o încălcare a securității datelor cu caracter personal privind date prelucrate de persoana împuternicită de operator, aceasta din urmă, după ce a luat cunoștință de respectiva încălcare, transmite, fără întârzieri nejustificate, o notificare operatorului. Această notificare trebuie să conțină cel puțin:
a) o descriere a caracterului încălcării securității datelor (inclusiv, acolo unde este posibil, categoriile de persoane vizate în cauză, precum și numărul aproximativ de persoane vizate și de înregistrări de date în cauză);
b) coordonatele unui punct de contact de unde se pot obține mai multe informații privind încălcarea securității datelor cu caracter personal;
c) consecințele probabile ale încălcării securității datelor și măsurile luate sau propuse spre a fi luate pentru a remedia încălcarea securității datelor, inclusiv pentru atenuarea eventualelor sale efecte negative.
Atunci când și în măsura în care nu este posibil să se furnizeze toate aceste informații în același timp, notificarea inițială trebuie să conțină informațiile disponibile la momentul respectiv, informațiile suplimentare urmând să fie puse la dispoziție ulterior, fără întârzieri nejustificate, pe măsură ce devin disponibile.
Părțile stabilesc în anexa III toate celelalte elemente pe care trebuie să le furnizeze persoana împuternicită de operator atunci când îi acordă asistență operatorului pentru ca acesta să își respecte obligațiile care îi revin în temeiul [OPȚIUNEA 1] articolelor 33 și 34 din Regulamentul (UE) 2016/679/[OPȚIUNEA 2] articolelor 34 și 35 din Regulamentul (UE) 2018/1725.
SECȚIUNEA III DISPOZIȚII FINALE
3 Clauza 10
Nerespectarea clauzelor și rezilierea
a) Fără a aduce atingere dispozițiilor Regulamentului (UE) 2016/679 și/sau ale Regulamentului (UE) 2018/1725, în cazul în care persoana împuternicită de operator nu respectă obligațiile care îi revin în temeiul prezentelor clauze, operatorul poate da instrucțiuni persoanei împuternicite de operator să suspende prelucrarea datelor cu caracter personal până când aceasta din urmă se conformează prezentelor clauze sau până când se reziliază contractul. Persoana împuternicită de operator îl informează cu promptitudine pe operator în cazul în care nu este în măsură să respecte prezentele clauze, indiferent de motiv.
b) Operatorul are dreptul de a rezilia contractul în măsura în care acesta are ca obiect prelucrarea datelor cu caracter personal în conformitate cu prezentele clauze, dacă:
1 prelucrarea datelor cu caracter personal de către persoana împuternicită de operator a fost suspendată de operator în temeiul literei (a) și dacă respectarea prezentelor clauze nu este restabilită într-un termen rezonabil și, în orice caz, în termen de o lună de la suspendare;
2 persoana împuternicită de operator a încălcat în mod substanțial sau repetat prezentele clauze sau obligațiile care îi revin în temeiul Regulamentului (UE) 2016/679 și/sau al Regulamentului (UE) 2018/1725;
3 persoana împuternicită de operator nu respectă o decizie cu caracter obligatoriu pronunțată de o instanță competentă sau emisă de autoritatea/de autoritățile de supraveghere competentă/competente în legătură cu obligațiile care îi revin în temeiul prezentelor xxxxxx sau în temeiul Regulamentului (UE) 2016/679 și/sau al Regulamentului (UE) 2018/1725.
c) Persoana împuternicită de operator are dreptul de a rezilia contractul în măsura în care acesta are ca obiect prelucrarea datelor cu caracter personal în temeiul prezentelor clauze, în cazul în care, după ce l-a informat pe operator că instrucțiunile sale încalcă obligațiile juridice aplicabile în conformitate cu clauza 7.1 litera (b), operatorul insistă asupra respectării instrucțiunilor.
d) În urma rezilierii contractului, la alegerea operatorului, persoana împuternicită de operator șterge toate datele cu caracter personal prelucrate în numele operatorului și îi
prezintă operatorului dovada faptului că a întreprins această acțiune sau îi returnează operatorului toate datele cu caracter personal și șterge copiile existente, cu excepția cazului în care dreptul Uniunii sau dreptul intern prevede obligația stocării datelor cu caracter personal. Până la ștergerea sau returnarea datelor, operatorul trebuie să continue să asigure respectarea acestor clauze.
ANEXA I
Lista părților:
● Operator (operatori)
● Utilizatorii Platformei Regista
● Persoană (persoane) împuternicită (împuternicite) de operator:
o Regista Digital S.A. CUI 00000000, J40/13259/2021, cu sediul în București, Xxxxxxxx 0, Xxxxxxx Xxxxxx, Xx. 000, xxxxxxxx XXX0, et. 6 e-mail: xxxxxxx@xxxxxxx.xx, (denumită în cele ce urmează „Regista”)
Date de contact DPO: xxxxxxx@xxxxx.xxx
ANEXA II
Descrierea prelucrării
Categoriile de persoane vizate ale căror date cu caracter personal sunt prelucrate
▪ Utilizatorii Platformei Regista sau reprezentanții acestora.
Categoriile de date cu caracter personal prelucrate
● In cazul persoanelor fizice: nume, prenume, codul numeric personal, date privind cartea de identitate, adresa de domiciliu, numărul de telefon;
● In cazul persoanelor juridice: datele de identificare ale reprezentantului persoanei juridice.
● La datele de mai sus se adaugă si o serie de informații si date, inclusiv date personale, care va permit utilizarea Modulului Contribuabili sau care au legătura cu relația Utilizatorului cu primăria relevanta.
Datele sensibile prelucrate (dacă este cazul) și restricțiile sau garanțiile aplicate care țin seama pe deplin de caracterul datelor și de riscurile implicate, cum ar fi, de exemplu, limitarea strictă a scopului, restricții legate de acces (inclusiv permiterea accesului doar pentru membrii personalului care au urmat o formare specializată), ținerea unei evidențe a accesului la date, restricții aplicabile transferurilor ulterioare sau măsuri de securitate suplimentare.
(Nu este cazul)
Natura prelucrării
Prelucrările privesc Datele personale pe care Utilizatorii le introduc sau le fac accesibile în cadrul Platformei, pentru a beneficia de funcționalitățile acesteia, respectiv pentru a putea realiza diverse formalități in relația cu primăria relevantă înrolată în Platforma Regista.
De regulă, doar Utilizatorii au acces si control asupra acestor date (e.g. Utilizatorii pot alege să le introducă, șteargă, modifice, să limiteze accesul etc. la orice moment).
Datele pot fi accesibile și unor terțe părți selectate de Utilizatori- de exemplu ele pot fi transmise in mod activ la inițiativa Utilizatorilor către Primarii sau către procesatorul de plăți. De asemenea, datele mai pot fi accesate în mod incidental, în cazul unor activități de mentenanța tehnică a Platformei Regista realizate de către Societate.
Scopul (scopurile) în care sunt prelucrate datele cu caracter personal în numele operatorului
Folosirea Platformei de către Utilizatori in vederea realizării de diverse formalități în relația cu primăria relevantă înrolată in Platforma Regista.
Durata prelucrării
Datele vor fi prelucrate de Regista in mod direct sau prin subimputerniciti, pe durata când Utilizatorii au un cont activ în cadrul Platformei sau până la momentul la care alegeți să le ștergeți.
ANEXA III
Măsuri tehnice și organizatorice, inclusiv măsuri tehnice și organizatorice menite să asigure securitatea datelor
NOTĂ EXPLICATIVĂ:
Măsurile tehnice și organizatorice trebuie să fie descrise în mod concret, nu generic.
Descrierea măsurilor de securitate tehnice și organizatorice implementate de persoana (persoanele) împuternicită (împuternicite) de operator (inclusiv orice certificări relevante) pentru a asigura un nivel de securitate adecvat, ținând seama de natura, domeniul de aplicare, contextul și scopul prelucrării, precum și riscurile pentru drepturile și libertățile persoanelor fizice:
● măsuri de criptare a datelor cu caracter personal;
● măsuri de asigurare a confidențialității, a integrității, a disponibilității și a rezilienței continue ale sistemelor și serviciilor de prelucrare;
● măsuri de asigurare a capacității de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
● procese de testare, evaluare și apreciere cu regularitate a eficacității măsurilor tehnice și organizatorice pentru a se asigura securitatea prelucrării;
● măsuri de identificare și autorizare a utilizatorilor;
● măsuri de asigurare a protecției datelor cu caracter personal pe durata transmiterii;
● măsuri de asigurare a protecției datelor cu caracter personal pe durata stocării;
● măsuri de asigurare a securității fizice a locurilor în care sunt prelucrate date cu caracter personal;
● măsuri de asigurare a configurării sistemului, inclusiv a configurării implicite;
● măsuri privind guvernanța și gestionarea sistemelor informatice interne și a securității informatice;
● măsuri de asigurare a reducerii la minimum a datelor;
● măsuri de asigurare a calității datelor;
● implementarea unui program de training pentru angajați;
● măsuri care permit portabilitatea datelor și asigură ștergerea acestora.
NOTĂ EXPLICATIVĂ:
ANEXA IV
Lista subcontractanților (subimputernicitilor)
Operatorul a autorizat recurgerea la următorii subcontractanți:
Denumire | Adresa | Descriere servicii | Date contact/ măsurile tehnice și organizatorice specifice |
Microsoft Corp | One Microsoft Way, Xxxxxx WA, Statele Unite ale Americii | Servicii cloud | xxxxx://xxx.xx/xxxxxxxxxxxxxx e xxxxx://xxxx.xxxxxxxxx.xxx/xx- us/compliance/regulatory/gdpr |
MailerLite Limited | Ground Floor, 00 Xxxxx Xxxxxx Xxxxxx, Xxxxxx 0, X00 P593, Irlanda | Facilitare trimitere comunicari informative | xxxxx://xxx.xxxxxxxxxx.xxx/xxx r-compliance |
Zoho Corporation B.V. | Xxxxxxxxxxx 0X, 0000 XX Xxxxxxx, Tarile de Jos | Intermediere servicii suport | xxxxx://xxx.xxxx.xxx/xxxx.xx ml |
Twilio Inc. | 00-00 Xxxxx Xxxx Xxxx, Xxxxxx 0, Irlanda | Notificari automate prin utilizarea mijloacelor electronice de comunicare | |
Hotjar Ltd. | Dragonara Business Centre, 5th Floor, Dragonara Road, Paceville St Julian's STJ 3141, Malta | Monitorizare activitate utilizatori | xxxxx://xxx.xxxxxx.xxx/xxxxx/x ompliance/gdpr-commitment/ |
Google Inc. | Xxxxxx House, Barrow St, Dublin 4, Irlanda | Servicii cloud | xxxxx://xxxxx.xxxxxx.xxx/xxxxx ity/gdpr |
Atlassian. Pty Ltd | Singel 236 1016 AB, Amsterdam, Tarile de Jos | Intermediere planificare dezvoltare produs si suport | xxxxx://xxx.xxxxxxxxx.xxx/xxxx t/privacy/country/europe-and-g dpr |
Zitec COM S.R.L. | Splaiul Unirii Nr. 165, Clădirea TNO2, Etajul 6, Sector 3, București, România | Dezvoltare si mentenanta software |
● PARTEA II
1 INTERPRETAREA ACORDULUI
1.2 Orice prevederi existente cu privire la prelucrarea datelor cu caracter personal de către Părți vor fi înlocuite cu prevederile prezentului Acord, de la data intrării sale în vigoare.
1.3 Dacă nu au altă definiție expres menționată în cuprinsul acestui document sau dacă din context nu rezultă altceva, termenii folosiți cu majusculă au înțelesul folosit în legea aplicabila.
1.4 Cu privire la următoarele articole din clauzele standard (Partea I) sunt făcute următoarele precizări:
a) Referirile la Regulamentul (UE) 2018/1725 nu sunt aplicabile în ceea ce privește obiectul Acordului.
b) Art. 7.1– In acest caz, instrucțiunile documentate ale operatorului sunt comenzile introduse în cadrul Platformei, ce permit îndeplinirea către Utilizator a formalităților cu primăriile relevante.
c) Art. 7.5 – Nu sunt prelucrate date sensibile.
d) Art. 7.6 – Auditurile operatorului vor fi efectuate in principal prin analiza documentelor si informațiilor puse la dispoziția operatorului de către persoana împuternicită de operator. Orice inspecție la instalațiile fizice ale persoanei împuternicite de operator va trebui temeinic justificată și nu va putea aduce atingere confidențialității informațiilor cu caracter sensibil aparținând persoanei împuternicite de operator, și nici nu va putea perturba, în mod abuziv, activitatea persoanei împuternicite de operator.
2 NOTIFICĂRI
2.1 Orice comunicări între Părți (inclusiv notificări, plângeri, solicitări sau răspunsuri) vor fi transmise în scris prin poștă cu scrisoare cu confirmare de primire, prin fax sau prin email, cu confirmare de primire, folosindu-se datele de contact menționate în antetul Acordului.
2.2 Notificările transmise prin poștă se consideră primite la data menționată pe confirmarea de primire.
2.3 Notificările transmise prin fax sau email se consideră primite în ziua următoare transmiterii acestora.
2.4 Orice schimbare a datelor de contact va fi notificată celeilalte Părți în scris, sub sancțiunea neluării în considerare.
3 ÎNCHEIEREA, MODIFICAREA ȘI ÎNCETAREA ACORDULUI
3.1 Prin crearea contului Dvs. si utilizarea Platformei deveniți parte a acestui Acord, în calitate de operator de date cu caracter personal, având drepturile și prevăzute de acesta, precum și de legislația aplicabilă.
3.2 Din timp în timp, în funcție de modificările legislative sau de modificarea practicilor noastre, putem decide să modificăm prezentul Acord, cu respectarea cerințelor minimale impuse de lege. Orice asemenea notificare va fi notificată către dvs. prin e-mail, cu 5 zile înainte de intrarea în vigoare. In situația în care nu sunteți de acord cu modificarea Acordului, aveți posibilitatea de a denunța acest Acord în termen de 5 zile de la primirea notificării de modificare din partea noastră.
4 RĂSPUNDERE
4.1 Fiecare Parte poartă întreaga răspundere pentru modul în care obține și transmite către cealaltă Parte Datele personale prevăzute în prezentul Acord.
5 DIVERSE
5.1 Acordul intră în vigoare de la data creării contului Dvs. de utilizator în Platforma Regista, în forma de la momentul respectiv.
5.2 Acordul poate fi modificat, din timp în timp, din motive operaționale sau ca urmare a unor schimbări legislative. Regista va face eforturi rezonabile pentru a notifica Utilizatorii cu privire la orice asemenea modificare prin e-mail transmis la adresele relevante de contact.
5.3 Acordul este guvernat de legea română. Orice litigiu între Părți cu privire la Acord se soluționează de instanțele competente de la sediul Regista.
5.4 In cazul unui transfer al drepturilor privind Platforma Regista, cesionarul/succesorul Regista se va subroga in drepturile Regista, fara niciun fel de alta formalitate. Pentru scopuri de opozabilitate, transferul va fi notificat catre Utilizatori de catre Regista, potrivit prezentului.