Contract
1. Detalierea Prelucrării
1.1. Obiectul Prelucrării este descris în Acordul principal / Contract și în anexa 1 la prezentul Acord.
1.2. DPA intră în vigoare la momentul semnării de către ambele Părți. Durata Prelucrării în temeiul prezentului DPA depinde de durata Acordului principal / Contractului. Dreptul Operatorului de a rezilia prezentul DPA fără preaviz, în mod întemeiat, rămâne neafectat. În cazul în care prezentul DPA este reziliat fără preaviz, în mod întemeiat, Acordul principal / Contractul între Părți încetează la rândul său.
1.3. Natura și scopul Prelucrării sunt descrise în Acordul principal / Contrat și în anexa 1 la prezentul Acord.
1.4. Tipurile de date cu caracter personal și categoriile de persoane vizate sunt descrise în anexa 1 la prezentul Acord.
2. Obligațiile Persoanei împuternicite de operator
2.1. Persoana împuternicită de operator este obligată să prelucreze datele cu caracter personal primite în temeiul sau în legătură cu executarea Acordului principal / Contractului exclusiv în scopul furnizării serviciilor convenite în Acordul principal / Contract sau pe baza unei instrucțiuni documentate din partea Operatorului (denumită în continuare „Instrucțiunea individuală”). Operatorul are dreptul de a emite Instrucțiuni individuale în orice moment. Acestea includ Instrucțiuni individuale cu privire la rectificarea, ștergerea și blocarea datelor cu caracter personal. Prezentul DPA reprezintă o instrucțiune inițială din partea Operatorului.
2.2. Persoanei împuternicite de operator i se interzice să prelucreze datele cu caracter personal pentru propriile sale scopuri sau în interesul unor părți terțe și să transfere datele cu caracter personal către părți terțe. În cazurile în care dreptul Uniunii Europene sau al statelor membre care se aplică Persoanei împuternicite de operator impune Persoanei împuternicite de operator cerințe suplimentare privind prelucrarea, aceasta va notifica Operatorul cu privire la aceste cerințe legale înainte de începerea Prelucrării.
2.3. Persoana împuternicită de operator respectă orice Instrucțiuni individuale ale Operatorului privind natura și sfera Prelucrării în termenul stabilit de Operator. Dacă Persoana împuternicită de operator nu poate respecta o instrucțiune, aceasta va informa Operatorul fără întârziere.
2.4. Persoana împuternicită de operator va informa Operatorul fără întârziere dacă, în opinia Persoanei împuternicite de operator, o Instrucțiune individuală emisă de Operator încalcă reglementările privind protecția datelor. Persoana împuternicită de operator are dreptul de a suspenda executarea Instrucțiunii individuale respective până în momentul în care aceasta este confirmată sau modificată de Operator.
2.5. Persoana împuternicită de operator este obligată să respecte dispozițiile GDPR și ale oricăror legi naționale aplicabile privind numirea unui responsabil cu protecția datelor. Persoana împuternicită de operator transmite datele de contact ale responsabilului cu protecția datelor Operatorului în scopul contactului direct. Persoana împuternicită de operator va informa de asemenea Operatorul fără întârziere în cazul în care o persoană diferită este numită în calitate de responsabil cu protecția datelor.
2.6. Dacă este necesar, Persoana împuternicită de operator este obligată să desemneze un reprezentant în conformitate cu cerințele articolului 27 din GDPR. Tezele 2 și 3 ale secțiunii 2.5 din prezentul DPA se aplică în consecință.
2.7. Persoana împuternicită de operator se asigură că toate persoanele autorizate să prelucreze date cu caracter personal s-au angajat să respecte confidențialitatea acestora sau intră sub incidența unei obligații legale sau conventionale de confidențialitate. Persoana împuternicită de operator documentează obligațiile în temeiul tezei 1 în scris și, la cererea Operatorului, le prezintă acestuia fără întârziere.
2.8. În cazul în care datele cu caracter personal care fac obiectul Prelucrării sunt expuse unor riscuri din cauza sechestrului sau confiscării determinate de o procedură de insolvență sau din cauza stingerii unei datorii ori a oricărui alt eveniment sau oricărei alte măsuri luate de părți terțe în timp ce aceste date sunt prelucrate, Persoana împuternicită de operator informează Operatorul fără întârziere. Persoana împuternicită de operator informează cu promptitudine toate părțile terțe afectate în această privință că Operatorul este cel care deține controlul exclusiv și dreptul de proprietate asupra datelor.
2.9. Prelucrarea datelor de către Persoana împuternicită de operator are loc exclusiv într-un stat membru al Uniunii Europene sau în alt sat care este parte la Acordul privind Spațiul Economic European. Orice relocare a prelucrării sau orice accesare a datelor cu caracter personal (inclusiv de către Subcontractanți) dintr-o țară din afara Uniunii Europene sau Spațiului Economic European necesită acordul prealabil scris al Operatorului și se poate realiza doar dacă se asigură un nivel adecvat de protecție a datelor prin conformitatea cu cerințele speciale de la articolul 44 și urm. din GDPR. Un nivel adecvat de protecție a datelor impune fie (a) o decizie a Comisiei Europene privind caracterul adecvat, (b) reguli corporative obligatorii, (c) utilizarea clauzelor standard ale UE privind protecția datelor sau (d) coduri de conduită aprobate.
3. Gestionarea drepturilor persoanelor vizate; sprijinul oferit Operatorului de Persoana împuternicită de operator
3.1. Doar Operatorul are dreptul și obligația de a răspunde cererilor de exercitare a drepturilor persoanelor vizate stabilite la articolele 12 - 23 din GDPR. Persoana împuternicită de operator confirmă că accesul la informații va fi acordat persoanelor vizate doar pe baza unei cereri de furnizare de informații, prin intermediul Operatorului sau al unei persoane autorizate de Operator. Persoana împuternicită de operator este obligată să furnizeze Operatorului informațiile necesare în timp util și să sprijine Operatorul.
3.2. Persoana împuternicită de operator este obligată să redirecționeze către Operator orice cereri ale persoanelor vizate care îi sunt adresate și care au legătură cu sfera Prelucrării, fără întârziere. Aceasta nu are dreptul de a răspunde acestor cereri în mod independent, fără acordul prealabil al Operatorului.
3.3. Persoana împuternicită de operator se obligă, de asemenea, să ofere asistență Operatorului utilizând măsurile tehnice și organizatorice adecvate, în legătură cu îndeplinirea obligației Operatorului de a răspunde cererilor de exercitare a drepturilor persoanelor vizate astfel cum sunt menționate mai sus.
3.4. Persoana împuternicită de operator poate rectifica, șterge sau limita prelucrarea datelor cu caracter personal în temeiul prezentului DPA sau asigura în alt mod exercitarea drepturilor persoanelor vizate doar la instrucțiunile Operatorului. Persoana împuternicită de operator rectifică, blochează și/sau șterge datele fără întârziere dar cel târziu în termen de cinci (5) zile,
în conformitate cu instrucțiunile Operatorului și informează Operatorul în acest sens în același termen.
3.5. Persoana împuternicită de operator oferă Operatorului orice asistență solicitată în mod rezonabil în vederea apărării acestuia împotriva cererilor de despăgubire bazate pe încălcări presupuse sau efective ale cerințelor privind protecția datelor. În ceea ce îl privește, Operatorul investighează plângerile din partea persoanelor vizate în mod corespunzător, ca parte a responsabilității sale în ceea ce privește protecția datelor în calitate de Operator, și prelucrează plângerile din partea persoanelor vizate.
3.6. Persoana împuternicită de operator oferă asistență Operatorului în legătură cu întocmirea evidențelor necesare ale activităților de prelucrare. Persoana împuternicită de operator păstrează o evidență a tuturor categoriilor de activități de prelucrare desfășurate în numele Operatorului, conținând toate informațiile specificate la articolul 30 alineatul (2) din GDPR. La cerere, evidențele sunt puse la dispoziția Operatorului, fără întârziere.
3.7. Persoana împuternicită de operator oferă asistență Operatorului în efectuarea de evaluări ale impactului asupra protecției datelor și în legătură cu orice necesitate aferentă de consultare ulterioară cu autoritățile de supraveghere în cazul în care Operatorul consideră că un tip de prelucrare va prezenta probabil un risc ridicat pentru drepturile și libertățile persoanelor fizice.
4. Securitatea prelucrării
4.1. Ținând seama de progresul tehnologic și de dezvoltarea ulterioară, de costurile implementării și de natura, domeniul de aplicare, contextul și scopurile Prelucrării, precum și de riscul cu probabilitate și gravitate variabilă pentru drepturile și libertățile persoanelor fizice, Persoana împuternicită de operator implementează măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate adecvat riscurilor. Măsurile adoptate includ, printre altele, aspecte legate de pseudonimizare, criptare, confidențialitate, integritate, disponibilitate și reziliența sistemelor și serviciilor și disponibilitatea datelor.
4.2. Măsurile tehnice și organizatorice individuale implementate de Persoana împuternicită de operator pentru Prelucrare sunt enumerate în anexa 2 la prezentul Acord și sunt parte integrantă a prezentului DPA. Persoana împuternicită de operator este responsabilă pentru asigurarea faptului că măsurile stabilite în anexa 2 la prezentul Acord creează un nivel adecvat de protecție împotriva riscurilor Prelucrării.
4.3. Persoana împuternicită de operator instituie un proces pentru testarea și evaluarea regulată a eficacității măsurilor în conformitate cu anexa 2 la prezentul Acord pentru a asigura securitatea prelucrării. Dacă măsurile care intră în sfera testării și evaluării se dovedesc, în special ținând seama de progresul tehnologic, ineficace pentru a asigura securitatea prelucrării, Persoana împuternicită de operator este obligată să implementeze măsuri tehnice și organizatorice adecvate fără întârziere, să documenteze această procedură și să informeze Operatorul în acest sens în scris. Persoana împuternicită de operator adaptează, de asemenea, în mod regulat măsurile la nivelul tehnologic actual, pe propria sa cheltuială, cu condiția ca nivelul convenit de protecție să nu fie redus ca urmare a acestei măsuri.
4.4. .
4.5. Persoana împuternicită de operator se asigură că sistemele de prelucrare a datelor utilizate în timpul Prelucrării respectă standardele „protecției datelor începând cu momentul conceperii și în mod implicit” în temeiul articolului 25 din GDPR și nivelul tehnologic actual.
5. Stabilirea relațiilor de subcontractare de către Persoana împuternicită de operator
5.1. În cazuri individuale, Persoana împuternicită de operator poate utiliza părți terțe (denumite în continuare „Subcontractanți”) pentru a efectua Prelucrarea, cu condiția ca Operatorul să își exprime consimțământul în acest sens în scris în prealabil. O aprobare generală a Operatorului privind utilizarea de Subcontractanți este suficientă. În acest caz, Xxxxxxxx împuternicită de operator informează întotdeauna Operatorul în prealabil și în scris cu privire la modificarea intenționată privind utilizarea de Subcontractanți sau utilizarea acestora în alte scopuri, dând Operatorului posibilitatea de a se opune unor astfel de modificări.
5.2. În cazul în care sunt angajați Subcontractanți, Persoana împuternicită de operator trebuie să se asigure prin contract că obligațiile Persoanei împuternicite de operator convenite în temeiul prezentului DPA se aplică în consecință și tuturor Subcontractanților. Persoana împuternicită de operator obține consimțământul Operatorului pentru angajarea de Subcontractanți trimițând instrucțiunile relevante. Consimțământul va fi exprimat în scris.
5.3. Persoana împuternicită de operator verifică măsurile tehnice și organizatorice necesare pentru protecția datelor cu caracter personal implementate de Subcontractanți în avans și regulat pe durata relației de subcontractare. Operatorul are un drept corespunzător de control cu privire la toți Subcontractanții. Prelucrarea datelor cu caracter personal ale Operatorului de către Subcontractanți este permisă doar dacă Subcontractanții au implementat măsurile tehnice și organizatorice necesare, cel puțin în conformitate cu dispozițiile prezentului DPA.
5.4. Persoana împuternicită de operator este pe deplin răspunzătoare pentru Subcontractanții pe care i-a angajat.
5.5. Orice externalizare ulterioară a prelucrării de către un Subcontractant către alți Subcontractanți necesită consimțământul expres al Operatorului (cel puțin în format text).
5.6. În Anexa 3 la prezentul Acord sunt enumerați toți Subcontractanții Persoanei împuternicite de operator la momentul semnării prezentului DPA. La momentul semnării prezentului DPA, Subcontractanții enumerați în anexa 3 la prezentul Acord sunt considerați a fi fost aprobați de Operator.
5.7. Serviciile pe care Persoana împuternicită de operator le utilizează de la părți terțe ca servicii auxiliare în sprijinul executării Comenzii nu sunt considerate subcontractare în sensul prezentei dispoziții. Acestea includ, de exemplu, servicii de telecomunicații, servicii poștale/de transport, întreținere și servicii pentru utilizatori, personal de curățenie și măsuri de asigurare a confidențialității, disponibilității, integrității și rezilienței echipamentelor hardware, produselor software și echipamentelor de prelucrare a datelor. Persoana împuternicită de operator este totuși obligată să implementeze acorduri contractuale adecvate și obligatorii din punct de vedere juridic și să ia măsuri adecvate de inspecție pentru a asigura protecția și securitatea datelor în legătură cu datele cu caracter personal ale Operatorului, chiar și în cazul unor astfel de servicii auxiliare.
6. Notificările privind încălcările; auditurile efectuate de autoritățile de supraveghere
6.1. Persoana împuternicită de operator notifică Operatorul cel puțin în format text și fără întârziere dar cel târziu cu patruzeci si opt (48) de ore lucrătoare după ce ia cunoștință de orice caz care constituie o încălcare a securității datelor cu caracter personal sau orice altă încălcare a dispozițiilor prezentului DPA. Această prevedere se aplică și încălcărilor comise de Subcontractanți.
6.2. Persoana împuternicită de operator este obligată să informeze Operatorul cu privire la orice încălcare a securității datelor cu caracter personal și orice pierdere, transfer ilegal sau achiziție de date cu caracter personal de către părți terțe, indiferent de cauză. În consultare cu Operatorul, Persoana împuternicită de operator ia măsuri adecvate pentru a securiza datele cu caracter personal, precum și pentru a reduce posibilele consecințele dezavantajoase pentru persoanele vizate.
6.3. În măsura în care Operatorul intră sub incidența obligațiilor de raportare către persoanele vizate și/sau autoritatea de supraveghere în cazul unei încălcări a protecției datelor, Persoana împuternicită de operator sprijină Operatorul în îndeplinirea acestor obligații.
6.4. Obligațiile care decurg din prezenta secțiune 6 se aplică în consecință încălcărilor presupuse comise de Persoana împuternicită de operator.
6.5. Persoana împuternicită de operator se obligă să informeze Operatorul fără întârziere cu privire la rezultatele auditurilor efectuate de autoritățile de supraveghere a protecției datelor, în măsura în care acestea sunt asociate Prelucrării. Persoana împuternicită de operator informează Operatorul cu privire la orice plângeri efectuate de autoritățile de supraveghere a protecției datelor care au legătură cu aria de responsabilitate a Persoanei împuternicite de operator și remediază aceste plângeri atunci când i se impune prin lege sau de către autoritatea de supraveghere.
7. Dreptul de audit al Operatorului
7.1. Operatorul are dreptul să verifice conformitatea Persoanei împuternicite de operator cu dispozițiile prezentului DPA și cu reglementările aplicabile privind protecția datelor în orice moment în timpul programului normal de lucru (în continuare, „Auditul”).
7.2. Persoana împuternicită de operator convine să furnizeze Operatorului într-un termen rezonabil toate informațiile care sunt necesare pentru desfășurarea Auditului.
7.3.
7.4. Operatorul are dreptul de a angaja o parte terță (un auditor) care să efectueze Audituri și care va fi numită în fiecare caz în parte. Operatorul va transmite o notificare scrisă cu cel puțin cinci
(5) zile lucrătoare înainte de efectuarea unui Audit. Costuile Auditului sunt suportate de Operator
8. Atribuțiile la încetarea prezentului DPA
8.1. La încetarea prezentului DPA, Persoana împuternicită de operator va preda Operatorului toate datele pe care le-a prelucrat pentru Operator sau, după consimțământul prealabil al Operatorului, le va distruge în conformitate cu reglementările privind protecția datelor sau le va șterge în condiții de securitate în conformitate cu nivelul tehnologic actual. Jurnalul de evidență a ștergerii datelor va fi furnizat Operatorului la cerere.
8.2. Un drept de păstrare al Persoanei împuternicite de operator va fi exclus în ceea ce privește documentele, datele, prelucrarea și rezultatele utilizării și suporturile de date asociate, cu excepția cazului în care dreptul Uniunii Europene sau al unui stat membru al UE impune Persoanei împuternicite de operator să păstreze datele.
9. Răspundere
9.1. Operatorul este responsabil pentru evaluarea caracterului permisibil al prelucrării datelor și pentru protejarea drepturilor persoanelor vizate.
9.2. Prin derogare de la secțiunea 9.1, Persoana împuternicită de operator este responsabilă pentru toate pretențiile persoanelor vizate care decurg din încălcarea din culpă a dispozițiilor legale aplicabile sau a prevederilor prezentei DPA sau a unei Instrucțiuni individuale și va fi pe deplin răspunzător față de persoanele vizate în conformitate cu prevederile legale. prevederi. Limitările posibile ale răspunderii din Acordul principal se aplică in mod corespunzător.
9.3. Persoana împuternicită de operator va despăgubi Operatorul împotriva tuturor pretențiilor terților (inclusiv autorităților) care rezultă dintr-o încălcare din culpă a prevederilor legale aplicabile sau a prevederilor DPA sau a unei instrucțiuni individuale.
10. Dispoziții finale
10.1. Operatorul prelucrează date specifice cu caracter personal care fac obiectul Prelucrării în calitate de contractant pentru societăți care îi sunt afiliate („Societățile afiliate”) și acționează ca reprezentant al acestora în măsura în care Societățile afiliate sunt considerate operator de date în sensul articolului 4 alineatul (7) din GDPR.
10.2. Operatorul nu datorează Persoanei împuternicite de operator nicio remunerație în temeiul prezentului DPA. Orice cereri de remunerare ale Persoanei împuternicite de operator sunt reglementate în mod concludent în Contract.
10.3. În cazul în care există discrepanțe între DPA și Contract, dispozițiile prezentului DPA prevalează.
10.4. Pentru comunicările între părți, formatul text (e-mailul) este suficient cu excepția situațiilor în care un format mai oficial este prevăzut de prezentul DPA sau de lege.
10.5. Termenii utilizați în prezentul DPA au același înțeles ca în GDPR, cu excepția cazului în care se prevede în mod expres altfel în prezentul document.
10.6. Anexele la prezentul DPA sunt parte integrantă a DPA.
10.7. Orice modificări ale prezentului DPA trebuie să fie făcute în scris. Această prevedere se aplică și modificărilor aduse prezentei cerințe privind forma scrisă.
10.8. Prezentul DPA este guvernat de legislația aplicabila din Romania.
10.9. Inaplicabilitatea uneia sau mai multor dispoziții ale prezentului DPA nu va afecta aplicabilitatea restului DPA. În cazul în care una sau mai multe dintre dispozițiile prezentului DPA sunt sau devin neaplicabile, Părțile înlocuiesc dispoziția nevalidă cu o dispoziție validă din punct de vedere legal care, în termeni comerciali, se apropie cel mai mult de conținutul dispoziției nevalide. Același principiu se aplică în consecință oricărei omisiuni din prezentul Acord.