ACORD DE PRELUCRARE A DATELOR CU CARACTER PERSONAL
ACORD DE PRELUCRARE A DATELOR CU CARACTER PERSONAL
în legătură cu participarea la PROGRAMUL VAILLANT EXCELLENCE PARTNER
- versiune aplicabilă în relația dintre Operator și Sub-distribuitori -
Încheiat astăzi , de către și între:
(1) VAILLANT GROUP ROMANIA S.R.L. cu sediul social în șos. București Nord 10, Global City Business Park clădirea 21, parter, înregistrată la Registrul Comerțului sub numărul J23/5107/23.12.2016, având CUI 1555719, în calitate de operator de date cu caracter personal, denumită în continuare în mod generic „Vaillant” sau „Operatorul”; și
(2) ………………………………………………………………., persoană juridică Română, având sediul social în ………………………………………………………, înregistrată la Registrul comerțului sub nr. ………………, având CUI , în calitate de persoană
împuternicită de operator, denumită în continuare în mod generic „Împuternicitul” (în continuare denumite în mod individual “Partea” și împreună “Părțile”),
Având în vedere împrejurarea că,
(A) Vaillant oferă clienților săi produse variate din domeniul tehnologiei instalațiilor de încălzire și ventilație, prin intermediul rețelei de parteneri direcți (denumiți „Distribuitorii”), dar și prin rețeaua partenerilor acestora (denumiți „Sub-distribuitorii”);
(B) În vederea stimulării sau recompensării vânzărilor, Vaillant organizează Programul Vaillant Excellence Partners (denumit „Programul VEP”), în conformitate cu Termenii și Condițiile publicate pe web-site-ul Societății, disponibile Împuternicitului;
(C) În legătură cu participarea la Programul VEP, Împuternicitul prelucrează date cu caracter personal în numele Operatorului, pentru scopurile indicate în prezentul Acord;
(D) Începând cu data de 25 mai 2018, se aplică în mod direct și în plan național Regulamentul UE nr. 2016/679, denumit în mod generic „Regulamentul” sau „GDPR”;
(E) Vaillant are o politică de conformare strictă cu legislația privind protecția datelor cu caracter personal, inclusiv, dar fără a se limita la GDPR, solicitând totodată partenerilor săi să asigure cele mai înalte standarde privind protecția acestor date cu caracter personal;
(F) În conformitate cu prevederile Regulamentului, prelucrarea de către o persoană împuternicită de operatorul de date trebuie să fie reglementată printr-un act juridic care să aibă caracter obligatoriu pentru persoana împuternicită în raport cu operatorul și care stabilește: obiectul, durata prelucrării, natura și scopul, tipul de date cu caracter personal și categoriile de persoane vizate, obligațiile și drepturile părților,
Părțile înțeleg să încheie prezentul Acord de prelucrare a datelor cu caracter personal (denumit în continuare „Acordul”), prin care sunt stabilite rolurile și responsabilitățile Părților în legătură cu prelucrarea datelor cu caracter personal, după cum urmează:
1. DEFINIȚII
„Legislația aplicabilă” – înseamnă toate legile, reglementările și normele emise de către orice
guvern, agenție sau autoritate în ceea ce privește prelucrarea Datelor cu Caracter Personal, inclusiv Regulamentul;
„Date cu caracter personal” – înseamnă orice informații privind o persoana fizică identificată sau identificabilă („Persoana vizată”); o persoana identificabilă este o persoana care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
„Prelucrare” – înseamnă orice operațiune sau set de operațiuni care se efectuează asupra Datelor cu Caracter Personal, inclusiv, dar fără a se limita la: colectarea, înregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, diseminarea, dezvăluirea, alăturarea ori combinarea, blocarea, ștergerea sau distrugerea acestora;
„Operator” – înseamnă VAILLANT GROUP ROMANIA S.R.L., care pentru înscrierea, participarea la și derularea Programului VEP, stabilește scopurile si mijloacele de prelucrare a Datelor cu caracter personal, în conformitate cu legislația în vigoare;
„Împuternicit” – înseamnă ( ), care prelucrează date cu
caracter personal în numele, în interesul și conform instrucțiunilor Operatorului, strict în scopul participării la Programul VEP, conform Termenilor și Condițiilor programului VEP;
2. OBIECTUL ACORDULUI
2.1. Prezentul Acord guvernează Prelucrarea Datelor cu caracter personal de către Împuternicit pentru și în numele Operatorului, conform instrucțiunilor Operatorului, în legătura cu prelucrarea Datelor cu caracter personal în scopul participării Împuternicitului la Programul VEP conform regulamentului de participare la Programul VEP cuprins în Termenii și Condițiilor Programului VEP, care vor avea natura juridică a unui contract între Părți.
2.2. Prelucrarea datelor cu caracter personal va fi efectuată cu respectarea termenilor și condițiilor menționate în instrucțiunile Operatorului cuprinse în prezentul Acord.
2.3. Dintre Părți, Operatorul este unicul proprietar al datelor cu caracter personal furnizate de Operator Împuternicitului sau colectate de către Împuternicit in numele Operatorului, iar Operatorul are dreptul de a controla modul de Prelucrare a datelor cu caracter personal de către Împuternicit.
2.4. Părțile se obliga sa păstreze confidențialitatea oricăror date si informații, cel puțin in aceeași măsura ca un operator de date cu caracter personal, indiferent de suportul pe care acestea sunt stocate și/sau transmise, precum și asupra documentelor de care au luat cunoștință, ca urmare a participării în Programul VEP.
2.5. Angajații Împuternicitului vor fi instruiți asupra naturii confidențiale a datelor și informațiilor transmise în legătură cu participarea la Programul VEP. Împuternicitul are obligația de a încheia acorduri de confidențialitate individuale cu reprezentanții, angajații, resursele sau colaboratorii săi.
2.6. Împuternicitul are obligația de a asigura separarea datelor Operatorului de datele altor clienți cu care întreține relații de afaceri. La solicitarea Operatorului, Împuternicitul va menține o evidență a operațiunilor de Prelucrare realizate pe seama Operatorului, în formatul ce poate fi comunicat de Operator periodic.
2.7. Împuternicitul are obligația de a acționa doar în baza instrucțiunilor primite de la Operator (astfel cum acestea pot fi modificate periodic de către Operator, în funcție de prelucrarea de Date cu caracter personal specifică relațiilor cu Împuternicitul) și de a aplica măsurile tehnice și organizatorice adecvate pentru protejarea Datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, în special dacă prelucrarea respectivă comporta transmisii de date în cadrul unei rețele, precum și împotriva oricărei alte forme de prelucrare ilegală.
2.8. În ceea ce privește Prelucrarea Datelor cu caracter personal în scopul vânzării produselor și în temeiul executării contractului de vânzare încheiat între Împuternicit și Persoana vizată, Împuternicitul va avea calitatea de operator de date cu caracter personal în sensul Regulamentului, acționând în mod independent de Vaillant în legătură cu respectiva Prelucrare. Pentru evitarea oricărui dubiu, aceste Prelucrări nu fac obiectul prezentului Acord, responsabilitatea pentru modul în care execută respectivele Prelucrări revenind în mod absolut Împuternicitului.
3. TIPURI DE DATE CU CARACTER PERSONAL PRELUCRATE, SCOPUL ȘI TEMEIUL PRELUCRĂRII
3.1. Pentru derularea Programului VEP, Împuternicitul va prelucra următoarele Date cu caracter personal ale clienților care achiziționează produse Vaillant, pe care le va colecta în mod direct: nume, prenume, adresă. Prelucrarea se va realiza în numele Operatorului și conform instrucțiunilor primite de la acesta.
3.2. Scopul pentru care sunt procesate Datele cu caracter personal este reprezentat de participarea la programul VEP (denumit în continuare „Scopul Permis”), în temeiul interesului legitim. În urma testului comparativ efectuat între interesul Operatorului și drepturile și libertățile fundamentale ale Persoanelor vizate, rezultă că interesul legitim al Operatorului constând în promovarea propriei activități comerciale, prin acordarea de recompense și bonusuri diverse partenerilor săi implicați în rețeaua de distribuire a produselor Vaillant, coroborat cu natura datelor colectate și modul cum sunt prelucrate, precum și cu garanțiile oferite de Părțile implicate în prelucrare (reprezentate de măsurile tehnice și organizaționale aplicate pentru implementarea GDPR, măsurile privind securitatea prelucrărilor, asigurarea drepturilor Persoanelor vizate), conduc la un impactul redus asupra Persoanelor vizate, astfel încât interesele, drepturile sau libertățile fundamentale ale acestora din urmă sunt mai puțin susceptibile a fi afectate.
3.3. Operatorul stabilește scopurile pentru care Împuternicitul poate prelucra datele cu caracter personal. Împuternicitul va prelucra Datele cu caracter personal pentru sau în numele Operatorului, exclusiv în scopul stabilit pe baza prezentului Acord. Împuternicitul nu va prelucra Datele cu caracter personal pentru sau în numele Operatorului în niciun alt scop privat sau în niciun alt scop ce nu este permis în mod expres în prezentul Acord.
3.4. Totodată, Părțile prelucrează Datele cu caracter personal (i.e. nume, prenume, funcție deținută, număr de telefon, adresa de e-mail) ale reprezentanților legali ai fiecăreia dintre ele, precum si ale persoanelor de contact desemnate de fiecare dintre Părți. Temeiul acestor prelucrări este reprezentat de interesul legitim al Părților în gestionarea și administrarea relației de afaceri dintre ele, când fiecare Parte va avea calitatea de Operator în privința Datelor cu caracter personal aparținând Persoanelor vizate din cadrul celeilalte Părți. În categoria Prelucrării în baza interesului legitim prevăzut anterior sunt încadrate și următoarele scopuri specifice permise: desfășurarea de către fiecare Parte a activității periodice de analize interne (incluzând analize statistice) sau studii de piață atât cu privire la produse sau servicii, cât și cu privire la portofoliul de clienți, pentru
îmbunătățirea și dezvoltarea continuă a produselor, serviciilor și/sau proceselor interne; transmiterea către cealaltă Parte, prin telefon, SMS sau email, de comunicări comerciale în scop de marketing direct care au legătură cu activitățile desfășurate de Partea transmițătoare; transmiterea de informări sau oferte comerciale; planificarea unei dezvoltări strategice, realizarea previziunilor de business pe indicatori de performanță; înregistrarea sau păstrarea evidențelor interacțiunilor prin canalele oficiale de comunicare, cu scopul de a îmbunătăți calitatea serviciilor, dar și pentru a furniza dovada cererii/ acordului/ opțiunii cu privire la anumite produse sau servicii.
3.5. Pentru situațiile prevăzute la art. 3.4., fiecare Parte va implementa standarde de confidențialitate și transparență cu privire la Datele cu caracter personal pe care le prelucrează in activitatea curenta, în conformitate cu principiile prevăzute de Legislația aplicabilă. Fiecare Parte are, pentru situațiile prevăzute la art. 3.4., obligația de a efectua informarea Persoanei vizate cu privire la modul în care prelucrează Datele sale cu caracter personal, categoriile de date pe care le prelucrează, modalitatea și scopurile în care le folosește, durata procesării datelor, destinatarii către care transferă Datele cu caracter personal, drepturile Persoanei vizate și modul în care le poate exercita. De asemenea, fiecare Parte va asigura îndeplinirea tuturor cerințelor necesare pentru îndeplinirea tuturor obligațiilor privind drepturile Persoanelor vizate, cum ar fi dreptul de acces, dreptul de opoziție, rectificarea, portabilitatea datelor, ștergerea datelor în termenele prevăzute de lege. Fiecare Parte are obligația de a-și informa proprii salariați sau reprezentanți în legătură cu dezvăluirea Datelor lor pentru scopurile permise conform art. 3.4. de mai sus, aducându-le la cunoștință faptul că toate activitățile descrise în clauzele precedente constituie atribuții de serviciu.
4. OBLIGAȚIILE ÎMPUTERNICITULUI
4.1. Împuternicitul garantează faptul că prelucrarea datelor cu caracter personal va fi realizată cu respectarea și în limitele prevederilor art. 28 din GDPR. Totodată, Împuternicitul își asumă răspunderea de a implementa toate măsurile tehnice și organizaționale necesare pentru a asigura un nivel de securitate a datelor cu caracter personal, în conformitate cu cerințele GDPR.
4.2. Împuternicitul va respecta toate obligațiile sale legale referitoare la prelucrarea datelor cu caracter personal, inclusiv dar nelimitat la cele prevăzute în Legile privind protecția datelor cu caracter personal si toate obligațiile cuprinse în prezentul Acord.
4.3. Împuternicitul va prelucra datele cu caracter personal numai ca persoană Împuternicită ce acționează în conformitate cu instrucțiunile Operatorului, cu excepția cazului în care acest lucru este impus prin legislației căreia i se supune Împuternicitul. În acest caz, Împuternicitul va informa în acest sens Operatorul cu privire la această cerință înainte de prelucrare.
4.4. Împuternicitul va prelucra datele cu caracter personal cu bună credință, în conformitate cu Legile privind protecția datelor cu caracter personal.
4.5. Împuternicitul va prelucra Datele cu caracter personal într-un mod adecvat, relevant și ne- excesiv cu privire la scopurile pentru care sunt colectate si prelucrate ulterior.
4.6. Împuternicitul va lua toate măsurile necesare pentru a șterge sau a rectifica orice date inexistente sa incomplete, în baza instrucțiunilor Operatorului
4.7. Împuternicitul va ține evidența activităților de prelucrare a datelor cu caracter personal în forma stabilită în Anexa 1 a prezentului Acord.
4.8. Împuternicitul va oferi cooperare Operatorului, asistență și informații, pentru a permite Operatorului să își respecte obligațiile legale și pentru a putea finaliza orice evaluare a protecției datelor, în conformitate cu legile privind protecția datelor cu caracter personal.
4.9. Împuternicitul nu a folosi un subcontractant pentru a prelucra datele cu caracter personal fără autorizarea scrisă prealabilă din partea Operatorului. Forma, natura, amploarea și limitarea oricăror autorizații vor fi la discreția exclusivă a Operatorului. Această autorizare poate fi acordată în mod:
(i) specific, adică subcontractanții sunt menționați în mod specific prin nume,
(ii) general, ceea ce înseamnă că autorizarea nu este limitată la anumiți subcontractanți denumiți. în cazul unei autorizații generale, Împuternicitul va prezenta o notificare Operatorului cu privire la orice modificări vizate privind adăugarea sau înlocuirea unui subcontractant.
4.10. Împuternicitul va încheia cu orice subcontractant care este autorizat de către Operator să proceseze date cu caracter personal, un contract in forma scrisa care să impună subcontractantului sa respecte aceleași obligații privind protecția datelor cu caracter personal, cu cele prevăzute în prezentul Acord.
4.11. Măsurile minime pe care Împuternicitul le va implementa pentru a asigura un nivel sporit de conformitate cu cerințele GDPR:
4.11.1. punerea în aplicare a unor măsuri tehnice și organizatorice adecvate pentru a asigura și a demonstra că prelucrarea se realizează în conformitate cu GDPR, ținând seama de natura, scopul, contextul și scopurile prelucrării, precum și riscurile variatei probabilități și gravități a drepturilor și libertățile persoanelor fizice. Măsurile puse în aplicare în acest scop vor fi revizuite și actualizate acolo unde este necesar.
4.11.2. ținerea înregistrărilor prelucrării efectuate în numele Operatorului, în conformitate cu art. 30 alin. 5 din GDPR;
4.11.3. dacă este necesar din punct de vedere juridic, numirea unui ofițer de protecție a datelor care să-și poată îndeplini atribuțiile conform art. 37-39 GDPR și să furnizeze Operatorului datele de contact pentru comunicarea directă;
4.11.4. punerea în aplicare și respectarea oricăror măsuri tehnice și organizatorice necesare pentru acest Acord, precum și furnizarea de probe Operatorului, din are să rezulte nivelul de îndeplinire a măsurilor de siguranță în prelucrarea datelor cu caracter personal. În acest scop, Operatorul are dreptul de a solicita Împuternicitului rapoarte de audit actualizate emise de un organism care deține un nivel corespunzător de expertiză (de exemplu, ofițer de protecție a datelor, auditori de securitate a datelor, specialiști în securitatea datelor IT).
4.11.5. să raporteze imediat o încălcare a datelor în cazul în care are cunoștință de o încălcare a legii aplicabile sau a prevederilor prezentului Acord, pentru a permite Operatorului să își îndeplinească obligația de notificare privind încălcarea datelor în conformitate cu articolul 33 și articolul 34 GDPR.
4.11.6. să ofere suport Operatorului în conformitate cu art. 35 și art. 36 GDPR în ceea ce privește evaluarea impactului privind protecția datelor și consultarea cu autoritatea relevantă pentru protecția datelor.
4.11.7. să notifice imediat Operatorului acțiunile și măsurile de control inițiate de o autoritate de supraveghere a protecției datelor sau orice alte investigații
efectuate de o autoritate cu privire la eventualele încălcări ale legilor privind protecția datelor;
4.11.8. să autorizeze Operatorul să acceseze spațiile utilizate de Împuternicit și sistemele de acces utilizate de Împuternicit pentru a îndeplini aceste obligații contractuale în scopul verificării de către acesta a măsurilor de securitate luate de către Împuternicit;
4.11.9. Împuternicitul nu va transfera datele cu caracter personal în afara Spațiului Economic European fără acordul scris prealabil al Operatorului. Orice transfer către o țară terță necesită consimțământul scris al Operatorului și îndeplinirea cerințelor de la art. 44 până la art.50 din GDPR;
4.11.10. Împuternicitul prelucrează datele cu caracter personal numai pe baza instrucțiunilor documentate furnizate de Operator, inclusiv în ceea ce privește transferul datelor cu caracter personal către o țară terță sau către o organizație internațională, cu excepția cazului în care acest lucru este impus de legislația UE sau de legislația statului membru care i se aplică Împuternicitului; într-un astfel de caz, Împuternicitul informează Operatorul cu privire la această cerință juridică înainte de prelucrare, cu excepția cazului în care legea interzice aceste informații din motive de interes public importante;
4.11.11. dacă nu este prevăzut altfel în prezentul Acord, nu este furnizat accesul terților la Datele cu caracter personal;
4.11.12. Împuternicitul poate, la cererea scrisă și la alegerea Operatorului, să șteargă sau să returneze Operatorului toate datele cu caracter personal după încetarea furnizării serviciilor legate de prelucrare și obligația de a elimina copiile existente;
4.11.13. Împuternicitul se va asigura că accesul la datele cu caracter personal sunt limitate la:
i. acei angajați sau colaboratori care au nevoie de acces la datele angajaților pentru a îndeplini obligațiile prevăzute de participarea la Programul VEP. În acest sens, Împuternicitul păstrează o listă actualizată a angajaților/ colaboratorilor ce au acces la datele cu caracter personal furnizate Operatorului. Lista angajaților/ colaboratorilor autorizați de împuternicit va fi disponibilă în permanență Operatorului.
ii. accesul necesar unora dintre angajații sau colaboratorii Împuternicitului la anumite date cu caracter personal, pentru îndeplinirea anumitor atribuții, care țin de participarea la Programul VEP.
iii. Împuternicitul se va asigura ca angajații și colaboratorii săi:
(a) sunt informați cu privire la caracter confidențial al datelor cu caracter personal;
(b) participă la cursuri de formare în vederea aplicării corecte a măsurilor de protecția a datelor cu caracter personal;
(c) cunosc și urmează procedurile de prelucrare a datelor cu caracter personal, menite să asigure un înalt nivel de securitate a prelucrării; și
(d) sunt familiarizați atât cu obligațiile pe care Împuternicitul le are în temeiul legii cât și cu obligațiile personalului său, precum și cu obligațiile pe care aceștia le au în temeiul legii.
iv. Împuternicitul va implementa măsurile necesare pentru a se asigura că toți angajații și colaboratorii săi vor respecta standardele de securitate a prelucrării datelor cu caracter personal.
5. SECURITATEA ÎN PRELUCRAREA DATELOR CU CARACTER PERSONAL
5.1. Împuternicitul consimte și garantează ca datele cu caracter personal pe care le prelucrează în numele Operatorului se realizează în conformitate cu prevederile art. 32 din GDPR;
5.2. Împuternicitul va implementa măsuri cu caracter tehnic și organizațional adecvat pentru a asigura un nivel oportun de securitate, inclusiv:
(a) capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și reziliența în desfășurare a sistemelor și serviciilor de prelucrare;
(b) un proces de testare și evaluare periodică a eficacității măsurilor tehnice și organizatorice pentru asigurarea securității prelucrării.
5.3. La cererea Operatorului, Împuternicitul va furniza toate datele și dovezile necesare pentru a demonstra nivelul de îndeplinire a gradului de securitate în prelucrarea datelor cu caracter personal, impus de GDPR.
5.4. Împuternicit va lua măsuri de securitate tehnice și organizatorice adecvate pentru a proteja datele cu caracter personal împotriva accesului neautorizat și a procesării, utilizării, dezvăluirii ilegale, pierderii accidentale, deteriorării, modificării sau distrugerii și pentru a asigura confidențialitatea, securitatea, integritatea și disponibilitatea datelor și rezistenta sistemelor și serviciilor de prelucrare.
5.5. Operatorul va testa și va evalua în mod regulat eficacitatea măsurilor de securitate tehnică și organizațională pe care le-a implementat Împuternicitul. La solicitarea scrisă a Operatorului, Împuternicitul va pune la dispoziția Operatorului rezultatele testului, evaluarea eficacității măsurilor tehnice și organizatorice pe care le-a implementat Furnizorul, inclusiv detaliile acestor măsuri adoptate și care sunt suficiente pentru a demonstra respectarea Legilor privind protecția datelor sau va permite Operatorului sa desfășoare propriul audit in legătura cu aceste masuri.
5.6. Împuternicitul va păstra structurile de date, formatele fișierelor și specificațiile interfeței atunci când este posibil. În cazul în care există o modificare a structurii datelor, a formatelor fișierelor sau a specificației interfeței, Împuternicitul va coordona aceste modificări cu Operatorul și va furniza gratuit instrumente de conversie și consiliere pentru a minimiza efortul de conversie și pentru a evita orice întrerupere a operațiunilor comerciale ale Operatorului.
5.7. Împuternicitul garantează în permanență că datele cu caracter personal pot fi puse la dispoziție și restituite Operatorului fără întârziere nejustificată, in formatul solicitat de Operator și fără costuri pentru acesta.
6. DREPTURILE PERSOANELOR VIZATE DE PRELUCRAREA DATELOR CU CARACTER PERSONAL
6.1. Împuternicitul trebuie să asigure îndeplinirea tuturor cerințelor necesare pentru ca Operatorul să-și poată îndeplini toate obligațiile privind drepturile persoanelor vizate, cum ar fi dreptul de acces, rectificarea, portabilitatea datelor, ștergerea datelor în termenele prevăzute de lege. Împuternicitul trebuie să furnizeze Operatorului toate informațiile și datele relevante care derivă din operațiunile de prelucrare a datelor efectuate de acesta în conformitate cu prezentul Acord.
6.2. Împuternicitul notifică în scris Operatorului în termen de 24 (douăzeci și patru) de ore dacă primește o cerere de la o persoana vizată în legătură cu datele sale personale.
6.3. Împuternicitul trebuie să asigure cooperarea și asistența deplină cu Operatorul în legătură cu orice solicitare făcută de o persoană vizată în conformitate cu articolul 21 din GDPR și orice revocare a consimțământului în conformitate cu articolul 7 secțiunea 3 din GDPR.
6.4. Împuternicitul nu răspunde la niciun fel de solicitări de la persoanele vizate fără instrucțiuni prealabile ale Operatorului și nu va șterge date la cererea persoanei vizate decât dacă a primit instrucțiuni în acest sens, scrise, din partea Operatorului.
7. DREPTURILE OPERATORULUI
7.1. Operatorul este îndreptățit, cu respectarea unei notificări de cel puțin două zile, de a inspecta masurile de securitate implementate de împuternicit, incluzând verificarea modalității tehnice de stocare a datelor cu caracter personal, modalitatea în care angajații/colaboratorii Împuternicitului respectă procedurile de prelucrare a datelor cu caracter personal.
7.2. Pentru a se asigura că Împuternicitul respectă prevederile art. 28 și 32 ale GDPR, Operatorul are dreptul de a accesa spațiile utilizate de Împuternicit și de sistemele de acces utilizate de către Împuternicit pentru a efectua controale în prezența unui reprezentant informat al Împuternicitului și în coordonare cu Împuternicitul și/consilierii externi pentru exercitarea drepturilor sale de control, cu un preaviz rezonabil.
7.3. Împuternicitul trebuie să pună la dispoziția Operatorului, fără întârziere nejustificată, toate materialele, documentele și alte informații necesare pentru a demonstra respectarea obligațiilor prevăzute în Legile privind Protecția Datelor.
7.4. Operatorul va avea dreptul de a inspecta și de a audita procesele și practicile comerciale ale Împuternicitului care implică date cu caracter personal pentru respectarea termenilor Legilor privind protecția datelor, iar Împuternicitul se angajează să permită accesul deplin la aceste date.
7.5. Împuternicitul se angajează, la solicitarea Operatorului, să furnizeze Operatorului sau unei societăți specializate autorizate în mod corespunzător de către Operator, toate documentele care susțin și sunt strict legate de prelucrarea datelor cu caracter personal. Pe întreaga durată a prezentului Acord, Împuternicitul va ține situații și alte evidențe sau registre adecvate, conform practicii obișnuite.
Auditul poate avea loc numai în următoarele condiții cumulative:
(i) Operatorul va trimite o notificare scrisă prealabilă cu cel puțin două (2) zile lucrătoare înainte de începerea auditului;
(ii) Auditul va fi efectuat în timpul programului de lucru normal al Împuternicitului;
(iii) Orice informație sau document solicitat(ă) în scopuri de audit va include documentația în mod rezonabil necesară pentru a confirma respectarea de către Împuternicita obligațiilor sale în acest sens;
7.6. Xxxxx drept de audit nu va fi extins în niciun fel asupra personalului care nu are acces la evidențele privind datele cu caracter personal sau la salarizare sau la orice alt document irelevant în ceea ce privește prelucrarea datelor cu caracter personal;
8. PĂSTRAREA, ȘTERGEREA ȘI RESTITUIREA DATELOR CU CARACTER PERSONAL
8.1. Împuternicitul va returna toate documentele în original si va șterge sau distruge toate materialele aflate pe orice suport, conținând datele cu caracter personal, inclusiv orice copii, și orice materiale derivate din sau care includ astfel de date, în termen de 30 de zile calendaristice de la cererea Operatorului de returnare, ștergere sau distrugere pentru orice motiv.
8.2. Furnizorul va restitui toate datele cu caracter personal către Operator, fără a păstra copii ale acestora, într-un format care va fi stabilit de Operator fără costuri pentru Operator, cu excepția cazului in care:
(i) justifica un interes legitim de a le păstra si/sau
(ii) are obligația legala de a arhiva aceste date.
9. NOTIFICĂRI PRIVIND ÎNCĂLCAREA SECURITĂȚII
9.1. Împuternicitul va informa în maxim 24 de ore Operatorul în ipoteza în care datele cu caracter personal sunt, în tot sau în parte, șterse, distruse, divulgate fără temei sau cu depășirea scopului legal sau devin neutilizabile.
9.2. Împuternicitul va investiga cauze producerii incidentului împreună cu Operatorul și va depune toate diligențele pentru a încerca soluționarea cererilor formulate de persoana vizata în legătură cu incidentul produs.
9.3. Notificarea va specifica cel puțin:
(i) ora, data și locația Încălcării Securității și o descriere a naturii încălcării securității, inclusiv o descriere a datelor cu caracter personal afectate și potențial afectate; și
(ii) categoriile și numărul aproximativ al persoanelor vizate respective, precum și categoriile și numărul aproximativ de înregistrări de date cu caracter personal; și
(iii) o evaluare a circumstanțelor încălcării securității pentru datele cu caracter personal; și
(iv) măsurile luate și/sau care vor fi luate pentru a diminua consecințele Încălcării Securității.
9.4. Dacă survine o încălcare a securității, Împuternicitul va întreprinde și următoarele:
(i) va furniza prompt toate celelalte informații și asistența solicitată în mod rezonabil de către Operator in vederea respectării de catre Operator a obligațiilor legale legate de o încălcare a securității în conformitate cu legislația în vigoare (inclusiv Legile privind Protecția Datelor) (de exemplu, în raportarea către autoritatea de supraveghere); și
(ii) va ține la curent Operatorul cu privire la orice informații suplimentare legate de încălcarea securității ce ar putea deveni disponibile Împuternicitului după notificarea inițială; și
(iii) nu va informa xxxxx terță parte despre o asemenea încălcare a securității fără acordul scris prealabil al Operatorului, cu excepția cazului în care împuternicitul este obligat prin legislația în vigoare. În cazul în care Împuternicitul este obligat prin legislația în vigoare, va obține aprobarea prealabilă scrisă a Operatorului cu privire la conținutul
respectivei notificări; și
(iv) dacă este solicitat de Operator, va efectua o analiză a cauzelor de bază a încălcării securității și va informa prompt Operatorul cu privire la rezultatele analizei; și
(v) va stabili dacă încălcarea securității poate fi repetată sau este continuă; și
(vi) va întreprinde acțiuni imediate pentru a preveni survenirea repetată a încălcării securității; și
(vii) la cerere, va rambursa Operatorului toate costurile rezonabile pe care acesta le poate contracta în legătură cu remedierea eforturilor, inclusiv, dar fără limitare la costurile contractate în legătură cu: (a) dezvoltarea și furnizarea de notificări legale prevăzute prin legislația în vigoare; (b) stabilirea unui număr de telefon fără taxă la care persoanele afectate pot primi informații legate de încălcarea datelor cu caracter personal; și (c) furnizarea de recuperare / asigurare a identității persoanelor afectate timp de un (1) an de la anunțarea sau dezvăluirea încălcării datelor cu caracter personal sau în urma unei notificări adresate persoanelor afectate, oricare survine ultima.
10. MĂSURI PROVIZORII
10.1. Împuternicitul înțelege și declară că orice încălcare a obligațiilor, declarațiilor și garanțiilor cuprinse în prezentul Acord poate provoca prejudicii substanțiale Operatorului, prejudicii ce sunt susceptibile a nu putea fi reparate prin despăgubiri. În consecință, în măsura în care identifică o încălcare efectivă ori iminenta a obligațiilor, declarațiilor și garanțiilor Împuternicitului, Operatorul este îndreptățit să ia toate măsurile necesare, inclusiv prin solicitarea unor măsuri și restricții temporare în instanță, pentru a limita efectele încălcării. Asemenea măsuri nu înlătura și nu prejudiciază dreptul Operatorului la reparație pentru prejudiciile și costurile suportate.
11. DESPĂGUBIRI
11.1. Împuternicitul va despăgubi și proteja pe Operator, afiliații săi, organele sale de conducere si angajații săi față de:
(i) orice pretenții ale unor terțe părți referitoare la încălcarea oricăror drepturi ale acelei terțe părți; și
(ii) orice amenzi aplicate de către orice autoritate publică sau organism de reglementare; și
(iii) împotriva oricăror alte pierderi, costuri, plăți, daune, cheltuieli, taxe (inclusiv, dar fără limitare la onorariile rezonabile ale avocatului) suportate de către Operator sau de către respectiva terță parte,
(iv) ce rezultă din neglijența, culpa sau fapta intenționată a Împuternicitului sau o încălcare de către Împuternicit sau subcontractanții săi a oricărei obligații referitoare la prelucrarea datelor personale prin nerespectarea instrucțiunilor și măsurilor tehnice ale Operatorului și / sau a Legislației aplicabile.
11.2. Xxxxx limitare privind răspunderea nu se aplică obligației Împuternicitului de a despăgubi Operatorul așa cum este descris în prezenta clauză.
DREPT PENTRU CARE, prezentul Acord de prelucrare a datelor cu caracter personal de către Împuternicit în numele Operatorului intră în vigoare de la data semnării acestuia de către Părți, astfel cum este menționată mai sus.
Operator, VAILLANT GROUP ROMANIA S.R.L. prin Administrator Xxxxxxx Xxxxx | Împuternicit, [_] prin Administrator [_] |
Anexa 1 – „Datele Operatorului- Descrierea procesării datelor”
Tip de date (Date cu caracter personal sau alte Date) | Persoana vizată(e) | Descrierea datelor | Locația procesării (din punct de vedere geografic, inclusiv locația pentru recuperare în caz de dezastru/creare de copii de siguranță/oglindă) | Scopul procesării (Care este obiectul prelucrării) | Durata prelucrării | Măsuri de siguranță tehnică și organizațională aplicate | Transfer către o terță țară în afara Spațiului Economic European | |
1 | ||||||||
2 | ||||||||
3 | ||||||||
4 | ||||||||
5 | ||||||||
6 | ||||||||
7 | ||||||||
8 | ||||||||
9 |