ACORD PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL

Anexa nr. ......... la contractul de prestari servicii nr. ...........

ACORD PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL

CNCIR SA și ____________ fiind în continuare numiți în mod individual „Partea” sau „Părțile”, Prestator, respectiv Beneficiar. În cadrul prezentului acord, ambele părți au calitatea de operator. Termenii utilizați în cadrul acordului sunt definiți prin Regulamentul (UE) 2016/679 al Parlamentului European.

1. Obiectul acordului

Obiectul prezentului acord este reprezentat de stabilirea modului și modalităților în care fiecare Parte va prelucra datele cu caracter personal ale celeilalte Părți.

Fiecare dintre Părți va realiza activitățile de prelucrare a acestor date în conformitate cu prevederile legale în vigoare, aplicabile momentului procesării.

2. Scopurile și temeiurile juridice ale prelucrării

Părțile vor putea prelucra datele cu caracter personal ale angajaților și/sau altor beneficiari sau reprezentanților desemnați de Părți în conformitate cu prevederile legale aplicabile și:

• În scopul îndeplinirii obligațiilor asumate de către Părți prin Contract pentru acordarea serviciilor contractate.

• În scopul transmiterii de comunicări/înștiințări/notificări angajaţilor şi/sau altor beneficiari desemnaţi de Părți şi/sau reprezentanţilor Părților referitoare la prestarea serviciului și scadența la plată a facturilor.

Alte scopuri în care mai pot fi utilizate datele cu caracter personal ale Părților, în situații specifice, sunt următoarele:

• În scopul comunicării cu autoritățile publice (inclusiv ISCIR), auditori sau instituții cu competențe în realizarea de inspecții și controale asupra activității și activelor Părților, după caz.

• În scopul executării contractelor cu organismul național de acreditare - RENAR și cu organisme de certificare.

• În scopul recuperării debitelor restante, dacă este cazul.

• În scopul soluționării disputelor și litigiilor, punerea în executare a unor hotărâri judecătoreşti, arbitrale, ordine judecătoreşti etc., dacă este cazul.

Temeiul juridic al prelucrării este conform:

1. art. 6 alin. 1 lit. b) din GDPR, respectiv "prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract";

2. art. 6 alin. 1 lit. c) din GDPR, respectiv "prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului";

3. art. 6 alin. 1 lit. f) din GDPR, respectiv "prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță".

3. Categorii de date supuse prelucrării

Datele care urmează a fi prelucrate de către Părți în scopurile menționate sunt urmatoarele:

Nume, prenume, semnătură, funcție, telefon, adresă de e-mail.

În situații specifice pentru scopurile menționate mai pot fi solicitate și alte date cum ar fi datele din cartea de identitate/cartea de identitate provizorie/buletinul de identitate/pașaportul/pașaport diplomatic/permis de ședere temporară în România/certificat de naștere sau altele.

4. Valabilitate

Prezentul Acord își produce efectele de la data semnării lui de către Părți și va rămâne în vigoare pe toată perioada în care acestea vor face prelucrări de date cu caracter personal în temeiul Contractului.

5. Prelucrarea datelor și obligațiile Părților privind conformitatea prelucrării

Părţile se obligă să respecte prevederile aplicabile privind protecţia datelor cu caracter personal, inclusiv prevederile GDPR, ale legislaţiei de punere în aplicare, precum şi deciziile pe care Autoritatea de supraveghere din România (ANSPDCP) le emite periodic în legătură cu acestea, atunci când prelucrează date cu caracter personal în executarea comenzii.

Datele cu caracter personal ale angajaţilor Părților şi/sau ale altor beneficiari desemnaţi de acestea şi/sau reprezentanţilor acestora implicați în prestarea serviciului, vor fi colectate de către Părți în contextul furnizării serviciilor conform comandă/contract.

Părțile vor divulga doar acele date personale pe care sunt autorizate sau pentru care au dreptul, conform prevederilor legale aplicabile şi a contractelor/comenzilor la care sunt Părți, să le divulge, asigurându-se că există un temei legal adecvat pentru prelucrarea datelor şi asigurând informarea adecvată a persoanelor vizate cu privire la dezvăluirea datelor lor cu caracter personal, conform comandă/contract.

Părţile convin să nu divulge în nicio împrejurare alte date cu caracter personal în legătură cu angajaţii Părților şi/sau alţi beneficiari desemnaţi de acestea şi/sau reprezentanţii acestora decât cele necesare pentru prestarea serviciilor conform comandă/contract.

Fiecare dintre Părți va implementa măsuri tehnice și organizatorice adecvate pentru a proteja datele personale ale Beneficiarilor împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale și care oferă un nivel de securitate corespunzător.

Părțile se vor asigura că accesul la datele cu caracter personal ale Beneficiarilor este limitat la personalul implicat în acordarea Serviciilor și/sau persoanele împuternicite în mod special de către fiecare dintre ele.

Părțile vor urmări reducerea volumului de date prelucrate numai la acele date strict necesare fiecărui scop specific de prelucrare.

Părțile se obligă să garanteze seriozitate tuturor angajaților și a personalului oricărei alte persoane similare subcontractate (subcontractantul seviciilor de prelucrare), care accesează Date cu Caracter Personal.

Părţile sunt responsabile, conform prevederilor privind protecţia datelor cu caracter personal aplicabile, să informeze în mod corespunzător persoanele vizate cu privire la propriile operaţiuni de prelucrare a datelor cu caracter personal, inclusiv cu privire la prelucrarea datelor cu caracter personal în baza comenzii.

Drepturile părților vizate sunt în conformitate cu Regulamentul (UE) 2016/679 al Parlamentului European și sunt prezentate în Politica privind prelucrarea datelor cu caracter personal în cadrul CNCIR SA postată pe site-ul CNCIR SA, xxx.xxxxx.xxx.xx, secțiunea Protecția datelor.

Părțile se vor informa reciproc cu privire la:

1. orice solicitări sau plângeri de la Persoanele Vizate cu privire la Prelucrarea Datelor lor Personale; sau

2. orice solicitări sau plângeri de la terți cu privire la Prelucrarea Datelor Personale de către Părți, sau

3. orice solicitări din partea autorităților pentru acces la sau informare cu privire la Prelucrarea Datelor Personale efectuată de către Părți în contextul comenzii.

6. Securitatea datelor cu caracter personal

Părțile au obligația de a institui și menține în permanență măsuri de securitate tehnice și organizatorice adecvate, pentru a proteja datele cu caracter personal împotriva distrugerii accidentale sau ilegale sau a pierderii accidentale, deteriorării, modificării, dezvăluirii sau accesului neautorizat, în special atunci când Prelucrarea implică transmiterea de date printr-o rețea, precum și împotriva oricăror alte forme ilegale de Prelucrare.

Părțile trebuie să întreprindă măsuri tehnice și organizatorice adecvate, pentru a proteja securitatea oricăror rețele sau servicii de comunicații electronice sau utilizate pentru transferul sau transmiterea Datelor cu Caracter Personal (inclusiv măsuri menite să asigure secretul comunicațiilor și accesul neautorizat la orice computer sau sistem, garantându-se astfel securitatea comuncațiilor).

7. Incidente de securitate a datelor personale și cerințe de notificare

Oricare dintre Părți va notifica cealaltă parte, în cel mai scurt timp posibil în împrejurările date, și, în orice caz, în cel mult 24 de ore, cu privire la orice distrugere, pierdere, modificare, dezvăluire sau accesare a Datelor cu Caracter Personal accidentală, neautorizată sau ilegală (incident de Securitate). Notificarea va menționa detaliile incidentului de securitate, tipul de date care au făcut obiectul incidentului de securitate și identitatea fiecărei persoane afectate (sau, dacă nu este posibil, numărul aproximativ de persoane vizate și de înregistrări de date cu caracter personal vizate).

8. Legea aplicabilă

Prezentul Acord este guvernat de legea română.

Părțile convin să depună toate eforturile pentru a rezolva amiabil orice diferență aparută în legatură cu prezentul Acord. În cazul în care părțile nu reușesc să rezolve pe cale amiabilă asemenea diferențe, acestea vor fi deduse spre soluționare instanțelor de judecată competente.

9. Răspundere

Fiecare Parte va acţiona ca un operator de date independent pentru propria prelucrare a datelor în legătură cu Contractul şi nici una dintre Părţi nu va accepta vreo răspundere pentru o încălcare de către cealaltă Parte a legislaţiei aplicabile privind protecţia datelor cu caracter personal.

10. Dispoziții finale

Prezentul Acord reprezintă înţelegerea Părţilor cu privire la prelucrarea datelor cu caracter personal în legătură cu executarea Contractului şi înlocuieşte orice alte prevederi, alt acord şi înţelegere anterioară, indiferent de formă, încheiate de Părţi în ceea ce priveşte rolurile şi obligaţiile ce revin acestora în legătură cu prelucrarea datelor cu caracter personal pentru executarea Contractului.

Prezentul Acord poate fi completat sau modificat numai în scris, prin acordul de voință al părților.

Prestator/ Operator	Beneficiar/Operator
CNCIR SA	....................................
Director Sucursala Regională ................ ......................................
Responsabil contract .....................................