ACORD DE PRELUCRARE A DATELOR PERSONALE
ACORD DE PRELUCRARE A DATELOR PERSONALE
Acest acord de prelucrare date personale („Acordul”) este parte integrantă din Condiții si prevede aspectele cu privire la prelucrarea datelor cu caracter personal de către Innoship (ȋn continuare “Persoană Împuternicită de Operator”), ȋn numele și pe seama Clientului (ȋn continuare „Operator”) .
Termenii cu majuscule nedefiniți ȋn prezentul Acord, au sensul prevăzut ȋn Condiții.
1. DEFINIȚII
„Date Personale” înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
„Date Personale ale Operatorului” sau orice alta exprimare similară, înseamnă Datele Personale pe care Operatorul le pune la dispoziția Persoanei Împuternicite de Operator, în vederea îndeplinirii Condițiilor, precum și orice alte Date Personale deținute de Operator la care Persoana Împuternicită de Operator are sau dobândește acces în scopul îndeplinirii obligațiilor care îi revin conform Condițiilor, detaliate conform Anexei 2;
„GDPR” înseamnă Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul General privind Protecția Datelor);
„Incident de securitate privind Datele Personale” înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;
„Măsuri tehnice și organizatorice” înseamnă acele măsuri destinate protejării Datelor Personale stocate cât şi a celor transmise în cadrul rețelei interne sau către persoane terțe, precum criptare, pseudonimizare, firewall, antivirus etc.
„Prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
„Servicii” înseamnă serviciile prestate de Persoana Împuternicită de Operator care implică prelucrare de Date Personale, astfel cum sunt acestea prevăzute în Condiții.
2. PRELUCRAREA DATELOR PERSONALE
1. Îndeplinirea obligațiilor asumate prin Condiții şi furnizarea Serviciilor implică prelucrarea de Date Personale de către Persoana Împuternicită de Operator. În acest sens, Persoana Împuternicită de Operator se obligă să respecte toate dispozițiile legale aplicabile cu privire la protecția datelor cu caracter personal.
2. Persoana Împuternicită de Operator va prelucra Datele Personale ale Operatorului exclusiv în scopul furnizării Serviciilor către Operator. În acest sens, Persoana Împuternicită de Operator va acționa exclusiv în limitele prevăzute de Condiții şi de prezentul Acord, precum şi în limita oricăror instrucțiuni documentate ulterioare ale Operatorului.
3. În cazul în care, Persoana Împuternicită de Operator este obligată, prin dispoziții legale naționale sau UE, să transfere Datele Personale ale Operatorului într-un stat terț sau unei organizații internaționale, aceasta îl va informa pe Operator cu privire la aceste dispoziții înaintea demarării oricărei activități de prelucrare, cu excepția cazului în care legea interzice acest lucru.
4. Persoana Împuternicită de Operator informează imediat Operatorul în cazul în care, în opinia sa, o instrucțiune primită din partea Operatorului încalcă legislația aplicabilă privind protecția datelor personale.
5. Persoana Împuternicită de Operator va da curs tuturor solicitărilor de informații şi/sau documente formulate de Operator, în scopul verificării respectării de către Persoana Împuternicită de Operator a obligațiilor legale privind protecția Datelor Personale. De asemenea, Persoana Împuternicită de Operator va permite şi va contribui activ la orice inspecție desfășurată de către Operator în acest sens, fără ca aceasta să fie prea împovărătoare sau să necesite eforturi disproporționate sau nerezonabile din partea Persoanei Împuternicite de Operator. În măsura în care Operatorul nu identifică încălcări ale dispozițiilor legale în materia protecției datelor, acesta va rambursa cheltuielile rezonabile efectuate de Persoana Împuternicită de operator cu privire la inspecția desfășurată de Operator.
6. Persoana Împuternicită de Operator va crea și menține un registru al activităților de prelucrare desfășurate conform prezentului Acord și va pune la dispoziția Operatorului sau oricărui auditor sau mandatar numit de acesta, la cerere, toate informațiile incluse în registrul menționat necesare pentru a demonstra respectarea prezentului Acord.
7. Dacă Operatorul solicită, Persoana Împuternicită de Operator îl va asista pe Operator cu privire la desfășurarea unei evaluări a impactului asupra protecției datelor, ținând cont de natura prelucrării și de informațiile disponibile Persoanei Împuternicite de Operator.
3. MĂSURI TEHNICE ŞI ORGANIZATORICE
1. Persoana Împuternicită de Operator va obține și va menține toate licențele, autorizațiile și avizele, solicitate astfel prin legislația aplicabilă, necesare pentru a prelucra Date Personale, precum și orice alte date și informații derivate din acestea.
2. Persoana Împuternicită de Operator se obligă să implementeze și să mențină toate Măsurile tehnice și organizatorice prevăzute în Anexa 1 la acest Acord pe toată durata Acordului și ulterior, până la ștergerea sau distrugerea Datelor Personale ale Operatorului, conform art. 6.3.
3. Persoana Împuternicită de Operator va notifica Operatorul cu privire la orice Incident de Securitate privind Datele Personale, în cel mult 48 de ore din momentul în care a luat la cunoștință despre acesta. De asemenea, Persoana Împuternicită de Operator va comunica Operatorului, dacă este posibil, natura încălcării, volumul de date şi numărul aproximativ de persoane afectate, precum şi măsurile luate sau propuse spre a fi luate în vederea remedierii sau atenuării efectelor negative ale incidentului.
4. DREPTURILE PERSOANELOR VIZATE
1. Persoana Împuternicită de Operator, luând în considerare natura prelucrării şi în limita posibilităților, îl va asista pe Operator să dea curs oricăror plângeri sau solicitări formulate de persoanele vizate, cu privire la prelucrarea datelor personale, în conformitate cu drepturile persoanelor vizate prevăzute în Capitolul III din GDPR.
2. În acest sens, Persoana Împuternicită de Operator îl va informa pe Operator cu privire la orice plângere sau solicitare primită de la persoanele vizate, în termen de 7 zile din momentul recepționării, si va furniza acestuia orice informații sau documente relevante în vederea soluționării acestora.
5. SUBCONTRACTARE
1. Persoana Împuternicită de Operator este autorizată cu titlu general să contracteze o alta persoană împuternicită în vederea prestării Serviciilor, fără acordul prealabil scris dat de Operator. Cu toate acestea, Persoana Împuternicită de Operator îl va informa pe Operator cu privire la orice modificări preconizate cu privire la persoanele împuternicite ale celui dintâi, pentru a oferi Operatorului posibilitatea de a formula obiecții.
2. În cazul în care Persoana Împuternicită de Operator intenționează să subcontracteze furnizarea Serviciilor unei alte persoane împuternicite, Operatorul nu se va putea opune la subcontractarea Serviciilor, decât în cazul în care există o vădită încălcare a dispozițiilor legale aplicabile.
3. În cazul în care Persoana Împuternicită de Operator este autorizată să subcontracteze furnizarea Serviciilor sau unei părți a acestora, acesta va încheia un contract cu o persoana împuternicită, care va conține obligații cel puțin la fel de restrictive, precum cele care îi revin Persoanei Împuternicite de Operator față de Operator.
6. CONFIDENȚIALITATEA DATELOR PERSONALE
1. Obligațiile de confidențialitate prevăzute în Condiții, se aplică în mod corespunzător şi cu privire la Datele Personale ale Operatorului.
2. Persoana Împuternicită de Operator este obligat să se asigure că toate persoanele care au datoria de a prelucra Datele Personale ale Operatorului îndeplinesc în mod cumulativ următoarele condiții:
1. se află într-o relație contractuală cu Persoana Împuternicită de Operator prin care se asigură un mecanism de răspundere contractuală adecvat;
2. au încheiat angajamente de confidențialitate sau au obligații de confidențialitate profesionale sau legale, după caz;
3. sunt informate despre natura confidențială a Datelor Personale ale Operatorului și sunt conștiente de obligațiile Persoanei Împuternicite de Operator rezultate din prezentul Acord și din Condiții cu privire la Datele Personale ale Operatorului;
3. La încetarea prezentului Acord, din orice motiv, Persoana Împuternicită de Operator, la alegerea Operatorului, va șterge sau va returna toate Datele Personale ale Operatorului, inclusiv orice copii de rezervă a acestora, cu excepția cazului când stocarea acestora pe o perioadă mai lungă este prevăzută de dispozițiile legale aplicabile. Persoana Împuternicită de Operator va transmite Operatorului o declarație scrisă care să confirme îndeplinirea tuturor cerințelor de ștergere şi/sau returnare a Datelor Personale ale Operatorului.
7. ÎNCETARE
1. Prezentul Acord încetează de drept la momentul încetării Condițiilor.
2. Cu toate acestea, orice obligație a Persoanei Împuternicite de Operator în baza prezentului Acord, care prin natura ei supraviețuiește încetării Acordului, va continua să producă efecte şi după încetarea acestuia.
8. DISPOZIȚII FINALE
1. În cazul existenței unor neconcordanțe între prevederile acestui Acord și orice alte acorduri încheiate între Părți, inclusiv, dar fără a se limita la Condiții, prevederile acestui Acord vor prevala cu privire la obligațiile Părților de protecție a Datelor Personale.
2. Acest Acord şi disputele care pot apărea ca urmare a încheierii, executării, interpretării sau încetării sale vor fi guvernate de legile României.
3. În caz de dispute, pretenții sau alte asemenea decurgând din acest Acord, Părțile vor încerca să ajungă la o soluționare a acestora pe cale amiabilă. Dacă nu se poate ajunge la o soluționare pe cale amiabilă a acestora, disputa va fi supusă şi soluționată de instanța judecătorească competentă romană.
4. Acest Acord nu presupune plata unei remunerații suplimentare de către oricare dintre Părți și nu derogă de la Condiții în ceea ce privește condițiile financiare stabilite de către Părți.
5. Dacă orice prevedere a acestui Acord este sau devine nulă sau inaplicabilă, restul Acordului va rămâne valabil și va produce efecte. Daca orice prevedere a Acordului este sau devine nulă, ilegală sau inaplicabilă, se va considera ca fiind modificată strict cât este necesar pentru a o face validă, legală şi aplicabilă, cu condiția ca asta să nu declanșeze o modificare esențială cu privire la înțelegerea comercială inițială a Părților, conform acestui Acord. Xxxxxx, Părțile vor negocia cu bună-credință înlocuirea clauzei nule, ilegale sau inaplicabile, cu o clauză validă, legală şi aplicabilă, păstrând pe cât posibil, efectele comerciale ale clauzei inițiale.
6. Prezentul Acord, împreună cu anexele sale, precum și Condițiile, în măsura în care se referă la orice aspect ce vizează prelucrarea Datelor Personale, reprezintă întreaga voință a Părților referitor la prelucrarea Datelor Personale ale Operatorului în vederea furnizării Serviciilor și nu poate fi modificat decât cu acordul scris al ambelor Părți.
7. Părțile la acest Acord declară și agreează că acest Acord a fost prezentat fiecăreia dintre Părți, a fost în mod atent și detaliat analizat și evaluat de fiecare Parte, şi că au fost asistate pe tot parcursul redactării, negocierii şi semnării, de consultanți şi experți calificați (cel puțin dintr-o perspectivă legală, tehnică şi fiscală).
8. Părțile declară și agreează că acest Acord nu reprezintă un contract de adeziune, nu include clauze standard și/sau neuzuale, așa cum sunt acestea definite în legislația românească în mod expres și Acordul a fost negociat “clauză cu clauză” de către Părți. Fiecare Parte agreează și acceptă, în mod irevocabil de la semnarea Acordului de către fiecare Parte, toate clauzele acestuia, în special (dar fără a se limita la) următoarele articole 2.2, 2.3, 2.6, 3, 5.3, 6.2, 8.2, 8.3, 8.4.
ANEXA 1 – Măsuri tehnice și organizatorice
1. Securitatea Datelor Personale
1. Luând în considerare stadiul tehnicii, costurile implementării și natura, scopul, contextul și scopurile prelucrării, precum și riscul variabil din punctul de vedere al producerii și al dimensiunii pentru drepturile și libertățile persoanelor fizice, Persoana Împuternicită de Operator va implementa măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate adecvat riscului pentru Datele Personale ale Operatorului, incluzând, după caz:
1. Pseudonimizare și criptare;
2. Capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continua a sistemelor și serviciilor de prelucrare;
3. Capacitatea de a restabili disponibilitatea și accesul la Datele Personale ale Operatorului într-o manieră rapidă în cazul unui incident fizic sau tehnic;
4. O procedură de testarea regulată, pentru verificarea și pentru evaluarea eficacității măsurilor tehnice și organizatorice pentru asigurarea securității prelucrării;
5. O procedură de backup și de restaurare a Datelor Personale;
6. Implementarea unui sistem de control al accesului aplicabil tuturor utilizatorilor care accesează sistemul IT al Persoanei Împuternicite de Operator;
7. Utilizarea credențialelor de autentificare;
8. Traficul către și de la sistemul IT este monitorizat și controlat prin aplicații de firewall și antivirus, sau alte sisteme de detectare a accesului neautorizat, care sunt configurate corespunzător și actualizate regulat, conform actualizărilor disponibile de la dezvoltator;
9. Utilizatorii nu pot dezactiva sau evita setările de securitate, precum nici nu pot instala sau dezactiva aplicații software neautorizate.
2. În evaluarea nivelului adecvat de securitate, Persoana Împuternicită de Operator va lua în considerare toate riscurile pe care prelucrarea le prezintă, în special prin distrugerea accidentală sau nelegală, pierdere, alterare, dezvăluire sau acces neautorizat la Datele Personale ale Operatorului transmise, stocate sau prelucrate în alt mod.
2. Siguranță și protecție fizică
1. În încăperile și spațiile în care se găsesc elemente sau componente fizice ale infrastructurii sistemului IT sau terminale care permit accesarea acestuia în orice mod, nu este permis accesul personalului neautorizat. Vor fi luate măsuri tehnice (e.g. sisteme de detectare și alertare a intruziunilor, turnichete operate cu carduri, sistem de blocare a căilor de acces) sau organizatorice (e.g. agenți de securitate) adecvate pentru a proteja accesul în aceste încăperi și punctele de acces la acestea împotriva accesului persoanelor neautorizate.
3. Managementul resurselor umane
1. Persoana Împuternicită de Operator se asigură că toți angajații își înțeleg responsabilitățile și obligațiile în legătură cu prelucrarea Datelor Personale.
4. Politici și proceduri
1. Persoana Împuternicită de Operator are implementate politici și proceduri interne cu privire la prelucrarea Datelor Personale.
5. Încălcarea securității Datelor Personale
1. Persoana Împuternicită de Operator se asigură că a implementat măsuri tehnice adecvate pentru detectarea unei încălcări a securității Datelor Personale si are o procedură de răspuns la incidente/încălcări ale securității Datelor Personale, care asigură un răspuns efectiv la incidentele în legătură cu Datele Personale.
ANEXA 2 - Datele Personale ale Operatorului Categorii de Persoane Vizate
• Consumatori, clienți ai Operatorului;
• Persoane de contact și/sau reprezentanți legali, ȋn cazul clienților Operatorului care sunt persoane juridice;
Tipuri de Date Personale
• Date de identificare (nume, prenume);
• Date de contact (adresă de livrare, adresă de e-mail, număr de telefon);
• Observațiile din comenzi (dacă este cazul)
Operațiuni de Prelucrare
x colectare; □ înregistrarea; □ organizarea; x structurarea; x stocarea; □ adaptarea sau modificarea; □ extragerea; □ consultarea; □ utilizarea; x divulgarea prin transmitere, diseminarea sau punerea la dispoziție in orice alt mod; □ alinierea sau combinarea; □ restricționarea; □ ștergerea sau distrugerea.
Natura si scopul Prelucrării
Operațiunile de Prelucrare se desfășoară prin mijloace automate. Scopul prelucrării:
• Transmiterea comenzilor, inclusiv toate datele personale referitoare la aceasta, către curierii
agreați de Părți, ȋn vederea livrării;
• Stocarea datelor cu privire la comenzi in vederea consultării de catre Operator;
Durata Prelucrării
Prelucrarea se va desfășura pe perioada de valabilitate a Acordului.