CONTRACT DE PRELUCRARE A DATELOR (ROMÂNIA)
ISTORIC
CONTRACT DE PRELUCRARE A DATELOR (ROMÂNIA)
(A) Prezentul acord de prelucrare a datelor ("DPA") stabilește termenii și condițiile pentru prelucrarea datelor cu caracter personal în temeiul Contractului (Contractelor) de prestări servicii („Contractul“) semnat între Iron Mountain și clientul său („Clientul“), în temeiul căruia Clientul achiziționează anumite servicii de la Iron Mountain și Iron Mountain furnizează aceste servicii Clientului. Acest DPA este încorporat în și formează prin trimitere o anexă inseparabilă la acest Contract.
(B) Iron Mountain acționează în calitate de procesator de date sau de sub-procesator, iar Clientul acționează ca operator de date sau ca procesator de date, concepte care sunt definite în continuare în legislația privind protecția datelor („Regulamentul privind protecția datelor“). În sensul prezentului DPA, Regulamentul privind protecția datelor reprezintă toate legile aplicabile privind protecția datelor, inclusiv, dar fără a se limita la Regulamentul general privind protecția datelor („GDPR“ (2016/679/UE)), precum și instrucțiunile și ordinele obligatorii ale autorităților de protecție a datelor. „Autoritate de supraveghere“ înseamnă autoritatea locală pentru protecția datelor sau orice altă autoritate de reglementare/supraveghere, organism guvernamental.
1. SCOPUL PRELUCRĂRII DATELOR
Scopul prelucrării datelor cu caracter personal de către Iron Mountain este efectuarea serviciilor în temeiul Contractului. Tipurile de date cu caracter personal prelucrate, categoriile de persoane vizate și datele de contact ale ofițerului responsabil de protecția datelor din cadrul Iron Mountain sunt specificate în Anexa 1 la prezentul DPA.
2. DREPTURILE ŞI OBLIGAŢIILE CLIENTULUI
Clientul va
(i) prelucra datele cu caracter personal în conformitate cu Regulamentul privind protecția datelor;
(ii) avea dreptul de a da instrucțiuni scrise către Iron Mountain cu privire la prelucrarea datelor cu caracter personal. Aceste instrucțiuni vor fi obligatorii pentru Iron Mountain, cu condiția ca, dacă finalizarea instrucțiunilor necesită prestarea de servicii în temeiul Contractului, sau duce la costuri survenite pentru Iron Mountain, Clientul va plăti simultan onorariile de servicii aplicabile/costurile survenite. Iron Mountain nu va respecta nicio instrucțiune a Clientului care contravine oricăror secțiuni ale acestui DPA;
(III) păstrează în permanență controlul și autoritatea asupra datelor cu caracter personal. În cazul în care orice persoane vizate au solicitat informații cu privire la prelucrarea datelor cu caracter personal, corectarea datelor cu caracter personal, au contestat legalitatea prelucrării datelor sau au solicitat în alt mod încetarea prelucrării datelor sau ștergerea sau blocarea datele cu caracter personal, Clientul va instrui imediat Iron Mountain să ia măsurile corespunzătoare; și
(IV) va informa Iron Mountain cu privire la categoriile de date cu caracter personal prelucrate în temeiul Contractului, precum și persoanele vizate de prelucrarea datelor. Iron Mountain atrage atenția Clientului că furnizează serviciile pe formatele fizice ale documentelor/datelor media ale Clientului (Articolele, Dosarele, Cutiile, Datele Media, Containerul Media etc.), dar nu direct pe conținutul acestor documente/dare media, în special pe datele cu caracter personal conținute în acestea. Având în vedere acest lucru, este responsabilitatea Clientului să înștiințeze în scris Iron Mountain în cazul în care datele cu caracter personal/persoanele vizate implicate în procesarea datelor ar fi altele decât cele enumerate în Anexa 1.
3. DREPTURILE ȘI OBLIGAȚIILE IRON MOUNTAIN
3.1. Iron Mountain
(i) nu va utiliza date cu caracter personal în alte scopuri decât cele specificate în Contract și în acest DPA;
(ii) va prelucra date cu caracter personal în conformitate cu Regulamentul privind protecția datelor;
(III) va prelucra date cu caracter personal numai în conformitate cu instrucțiunile scrise ale Clientului (ținând seama de secțiunea 2 (ii)). Iron Mountain va informa imediat Clientul dacă, în opinia sa, o instrucțiune încalcă Regulamentul privind protecția datelor. Cu toate acestea, Iron Mountain subliniază din nou că acesta procesează direct numai documentele/datele media ale Clientului , astfel încât, în cele mai multe cazuri, Iron Mountain nu este în măsură să evalueze dacă instrucțiunea Clientului a fost legală;
(IV) va asista Clientul în răspunsul său pentru a îndeplini solicitările din partea persoanelor vizate;
(v) va furniza Clientului toate informațiile necesare pentru a demonstra conformitatea cu obligațiile Iron Mountain prevăzute în prezentul DPA și în Regulamentul privind protecția datelor;
(vi) va permite și va contribui la auditurile desfășurate de Client, astfel cum sunt stabilite în secțiunea 7 din prezentul DPA;
(vii) va prelucra datele cu caracter personal numai pe durata acestui DPA;
(VIII) se va asigura că personalul său/subcontractanții autorizați să proceseze datele cu caracter personal s-au angajat să respecte confidențialitatea sau au obligația legală corespunzătoare de confidențialitate.
3.2. Acest DPA nu împiedică Iron Mountain să proceseze datele cu caracter personal conform cerințelor legii, reglementărilor sau cerințelor instanței competente sau a unei autorități de supraveghere. În cazul în care o autoritate de supraveghere sau o instanță competentă formulează o astfel de solicitare, Iron Mountain va informa Clientul cu privire la această cerință legală înainte de prelucrare sau dacă autoritatea/ordinul judecătoresc solicită un răspuns imediat sau scurt, dacă acesta este posibil, în cazul în care acest anunț nu este interzis de Regulamentul privind protecția datelor sau de mandatul respectiv.
Securitatea datelor
3.3 Iron Mountain va implementa și documenta măsuri tehnice și organizatorice rezonabile pentru a asigura confidențialitatea, integritatea și disponibilitatea datelor cu caracter personal și pentru a proteja datele cu caracter personal împotriva prelucrării ilegale.
3.4 Iron Mountain va testa, evalua și considera periodic eficiența măsurilor sale tehnice și organizatorice.
Înștiințare în legătură cu încălcarea datelor cu caracter personal
3.5 În cazul unei „Încălcări a datelor cu caracter personal“, și anume o încălcare a securității care conduce la distrugerea accidentală sau ilegală, pierderea, alternanța, dezvăluirea neautorizată sau accesul la datele cu caracter personal, Iron Mountain va înștiința Clientul fără întârzieri nejustificate prin intermediul e-mail.
3.6 Înștiințarea privind încălcarea datelor cu caracter personal trebuie să conțină cel puțin următoarele (în măsura în care Iron Mountain este informat de aceasta): o descriere a naturii încălcării datelor cu caracter personal, inclusiv categoriile și numărul aproximativ de persoane vizate categoriile și numărul aproximativ al înregistrării de date în cauză; o descriere a consecințelor probabile ale încălcării datelor cu caracter personal; și o descriere a măsurilor luate pentru a aborda încălcarea datelor cu caracter personal și pentru a atenua posibilele sale efecte negative.
3.7 În cazul în care și în măsura în care nu este posibil să se furnizeze toate aceste informații în același timp, informațiile pot fi furnizate în etape fără întârzieri nejustificate. În astfel de cazuri, atunci când anumite informații nu pot fi furnizate deloc de către Iron Mountain Clientului, Iron Mountain va informa clientul în consecință.
3.8 Iron Mountain va documenta toate încălcările datelor cu caracter personal și va avea disponibilă înregistrarea la cererea Clientului.
3.9 Iron Mountain trebuie să ia măsurile necesare pentru a proteja datele cu caracter personal după ce a luat cunoștință de o încălcare a datelor cu caracter personal pentru a limita orice efect negativ posibil asupra persoanelor vizate. Iron Mountain va coopera cu Clientul pentru a răspunde la încălcarea datelor cu caracter personal.
4. RETURNAREA SAU DISTRUGEREA DATELOR PERSONALE
4.1 În ceea ce privește datele cu caracter personal stocate pe activele fizice ale Clientului, cum ar fi Articolele și datele media, la rezilierea/expirarea Contractului, pe baza instrucțiunilor specifice ale Clientului, dar întotdeauna supuse onorariilor Iron Mountain (sau oricăror costuri survenite) plătibile de către Client, Iron Mountain fie va distruge fie va returna Clientului toate aceste active fizice. În cazul în care Clientul nu dă instrucțiuni în termen de 15 zile calendaristice de la rezilierea/expirarea Contractului, Iron Mountain trimite o înștiințare scrisă către Client prin care solicită să primească în termen de 15 zile calendaristice instrucțiuni specifice dacă să distrugă sau să returneze activele. În cazul în care Clientul nu furnizează instrucțiuni scrise în acest interval de timp și plătește onorariile aplicabile (costurile), atunci Clientul autorizează Iron Mountain ca, la propria discreție, să stocheze în continuare, să șteargă/distrugă sau să returneze toate aceste active chiar și după încetarea/expirarea Contractului.
4.2 În ceea ce privește datele cu caracter personal care nu sunt stocate în activele fizice ale Clientului, Iron Mountain va șterge datele cu caracter personal după încetarea/expirarea Contractului. Datele de rezervă ar putea fi păstrate pe casete de rezervă atâta timp cât aceste casete sunt anulate.
4.3 La cererea clientului, Iron Mountain va confirma Clientului în scris că ștergerea/distrugerea sau returnarea datelor cu caracter personal a fost îndeplinită.
5. TRANSFERUL DE DATE CU CARACTER PERSONAL
5.1 Iron Mountain va păstra întotdeauna toate activele fizice ale Clientului (inclusiv articole/cutii/date media/containere media) în România. În cazul RM (datelor înregistrate), serviciile de scanare și Moștenire, imaginile scanate luate din Articolele Clientului, precum și listele de inventar disponibile electronic/datele referitoare la activele stocate ale Clientului pot fi păstrate și procesate pe sisteme informatice/servere care se află în afara spațiului economic european (SEE), în țări terțe. Clientul consimte ca informațiile menționate mai sus, disponibile pe cale electronică, vor fi prelucrate pe sisteme informatice/servere situate în afara SEE în țările enumerate în Anexa 2. Dreptul de mai sus este supus unor astfel de transferuri în conformitate cu clauzele contractuale standard ale Comisiei UE sau cu mecanisme similare aprobate. Prin prezenta Clientul lasă în seama Iron Mountain intrarea în clauzele contractuale standard ale Comisiei Europene în numele Clientului.
5.2 Pentru orice transfer de date cu caracter personal, altul decât cel de la 5.1 (de exemplu, domeniul de aplicare mai larg al transferului, noua țară pentru locație), Iron Mountain informează Clientul în avans. Cu excepția cazului în care Clientul obiectează în scris în termen de 15 zile calendaristice de la informarea de către Iron Mountain la un astfel de transfer, Iron Mountain poate procesa acest transfer, cu condiția ca garanțiile corespunzătoare (de exemplu clauzele contractuale standard ale Comisiei UE) să fie implementate. În cazul în care Clientul a formulat o obiecție în termenul dat, Iron Mountain va depune eforturi rezonabile pentru a-și schimba sistemul de transfer de date sau poate recomanda o modificare rezonabilă din punct de vedere comercial a utilizării serviciilor de către Client în temeiul Contractului, pentru a evita transferul datelor cu caracter personal. În cazul în care Iron Mountain nu este în măsură să pună la dispoziție o astfel de modificare sau dacă Clientul respinge o astfel de modificare în termen de 60 de zile calendaristice, Clientul poate rezilia contractul în termen de 60 zile calendaristice de la înștiințarea Iron Mountain (sau – dacă Iron Mountain nu a răspuns – de la expirarea celor 60 zile disponibile pentru înștiințarea Iron Mountain). În cazul în care Clientul nu reușește să trimită o astfel de înștiințare de reziliere la Iron Mountain în acest termen, acest lucru este considerat ca fiind consimțământul pentru transferarea datelor cu caracter personal în modul menționat.
6. SUB-PROCESATORI (SUBCONTRACTORI)
6.1 Clientul recunoaște și este de acord ca (a) afiliații sau societățile-mamă ale Iron Mountain pot fi reținute ca sub-procesatori; și că (b) Iron Mountain și afiliații sau societățile- mamă ale acesteia pot angaja sub-procesatorii terți enumerați în Anexa 2 pentru a procesa date cu caracter personal pentru domeniul de aplicare indicat al serviciilor. Clientul înțelege că sub-procesarea globală a Iron Mountain va fi aplicată numai liniilor de servicii RM, scanare și Moștenire, atunci când imaginile scanate luate din Articolele Clientului, precum și listele de inventar disponibile pe cale electronică/datele asociate activelor stocate ale Clientului sunt procesate de aceste entități (a se vedea secțiunea 5.1).
6.2 În cazul oricăror adăugiri sau modificări ale listei curente, Iron Mountain va înștiința în avans clientul-indicând numele, localizarea țării și serviciul subcontractat al noului sub-procesator propus. Cu excepția cazului în care Clientul obiectează în scris în termen de 15 zile calendaristice de la informarea cu privire la utilizarea de către Iron Mountain a unui nou sub-procesator, Iron Mountain poate aplica noul sub-procesator pentru activitățile de procesare a datelor indicate. În cazul în care Clientul a formulat o obiecție în termenul dat, Iron Mountain va depune eforturi rezonabile pentru a schimba serviciile pentru a evita procesarea datelor cu caracter personal de către noul sub- procesator „obiectat.“ În cazul în care Iron Mountain nu poate implementa astfel de modificări în termen de 60 de zile calendaristice, Clientul în termenul următor de 60 de zile calendaristice de la înștiințarea din partea Iron Mountain (sau – dacă Iron Mountain nu a răspuns – de la expirarea perioadei de 60 zile calendaristice disponibile pentru înștiințarea Iron Mountain) poate rezilia Contractul. În cazul în care Clientul nu reușește să trimită la Iron Mountain o astfel de înștiințare de reziliere în acest termen, acest lucru poate fi considerat ca fiind consimțământul pentru aplicarea sub-procesatorului propus.
6.3 Iron Mountain este obligat să monitorizeze în mod regulat performanța subcontractanților săi și rămâne responsabilă pentru activitățile de prelucrare a datelor cu caracter personal ale subprocesoarelor sale, ca și activitățile de prelucrare au fost efectuate de către Iron Mountain însuși. Iron Mountain impune aceleași obligații de protecție a datelor precum cele stabilite în prezentul DPA pentru toți sub-procesatorii săi.
7. AUDIT
Iron Mountain pune la dispoziția Clientului toate informațiile necesare pentru a demonstra conformitatea cu obligațiile prevăzute în prezentul DPA și pentru a permite și a contribui la audituri, inclusiv inspecții, efectuate de Client sau de un alt auditor mandatat de Client. Cu toate acestea, drepturile de audit în temeiul acestui DPA nu acordă acces la nicio altă informație a altor clienți Iron Mountain sau la datele referitoare la sistemele/măsurile de securitate aplicate ale Iron Mountain. Iron Mountain asistă Clientul în evaluările de impact privind protecția datelor și la consultările prealabile cu autoritățile de supraveghere, în măsura în care această asistență este obligația Iron Mountain în temeiul Regulamentului privind protecția datelor.
8. TERMEN ŞI ANEXE
Acest DPA intră în vigoare atunci când Contractul a fost semnat corespunzător de ambele Părți și va exista până când toate datele cu caracter personal ale Clientului sunt fie returnate Clientului, fie șterse/distruse în alt mod. Anexele formează parte integrantă din acest DPA.
***
Anexa 1
Categorii de date cu caracter personal și persoanele vizate
Categoriile de date cu caracter personal prelucrate în temeiul Contractului (Contractelor):
☒ nume ☒ adresă, domiciliu
☒ număr de telefon ☒ adresa de corespondență
☒ naționalitate, date despre etnie ☒ data şi locul naşterii
☒ starea civilă ☒ numere personale de identificare (ex. număr personal de identificare)
☒ date de înregistrare fiscală (ex. cod de înregistrare fiscală) ☒ date despre salariu (ex. salariu)
☒ date despre proprietate și venit ☒ date referitoare la bonitate
☒ date referitoare la muncă (e.g. funcția, locul de muncă) ☒ imagine (ex. fotografie)
☒ calificare și date despre studii ☒ utilizator, parolă
☒ adresa IP ☒ număr individual de identificare (ex. date de identificare client)
Grupurile de persoane vizate ale căror date personale sunt procesate în baza acestui Contract:
☒ angajați ☒ subcontractanți
☒ clienți ☒ furnizori
☒ persoane asigurate ☒ clienți, angajați, persoane de contact ale unor terți
☒ pacient ☒ candidați
Clientul nu va livra către Iron Mountain date cu caracter personal în afara domeniului de aplicare indicat mai sus, sau va notifica Iron Mountain în scris și în avans cu privire la orice nou tip de date/persoane vizate în cauză.
Datele de contact ale responsabilului de protecția datelor din partea Iron Mountain
În atenția Biroului de Protecția datelor a Iron Mountain Xxxxxx.xxxxxxx@xxxxxxxxxxxx.xxx
Iron Mountain Europe Xxxxxxx xxxx 00, 5th floor 1093 Budapesta UNGARIA
Anexa 2 (Lista de sub-procesatori)
SUB-PROCESATORI GLOBALI | SERVICIUL FURNIZAT | TARA | MĂSURILE DE PROTECȚIE APLICATE |
HCL Technologies Limited/ HCL America Incorporated Technology Hub, SEZ, Plot No. 3A, Sector 126, Noida – 201304, India 000 Xxxxxxx Xxx, Xxxxxxxxx, Xxxxxxxxxx 00000, XXX | Suport IT | India/SUA | Clauze Model |
Iron Mountain Information Management LLC / Iron Mountain Incorporated / Iron Mountain Intellectual Property Management, Inc. Xxx Xxxxxxx Xxxxxx, Xxxxxx, XX 00000, SUA | Suport IT & operațional | S.U.A. | Clauze Model |
Iron Mountain Marea Britanie PLC Ground Floor, 0 Xxxx Xxxxxx Xxxxxxxxx, Xxxxxx XX0 0XX, XX | Suport IT & operațional | MAREA BRITANIE | Clauze Model |
Iron Mountain Services Private Limited Level 02, Block A, WTC-2, Bagmane World Technology Centre (BWTC) K.R. Puram – Marathahalli Ring Road, Mahadevpura, Bangalore – 560048, India | Suport IT | India | Clauze Model |
Sub-procesatori locali:
Entitate locala (denumire si sediu ) | Tipul Serviciului prestat | TARA |
DMS-MIT S.R.L. Brasov, Branduselor street xx. 00-00, xxx. Brasov, CIF 37423492 | Sortare | Romania |
VRANCART SA Adjud, str. Xxxxxxxxx Xxxxxxxxx, nr. 17, judetul Xxxxxxx, CUI RO 1454846 | Distrugere Confidentiala | Romania |
ECOBURN SRL Ploiesti, str. Democratiei, nr. 103, jud. Prahova, CUI 2433377 | Distrugere Confidentiala | Romania |