Contract
ACORD DE PRELUCRARE A DATELOR PERSONALE |
Acest acord de prelucrare date personale („Acordul”) a fost încheiat între: |
ADMINISTRAŢIA SPITALELOR ȘI SERVICIILOR MEDICALE BUCUREȘTI, cu sediul în Bucureşti, Str. Sfânta Ecaterina, Nr. 3, Sector 4, tel. 000.000.00.00 fax 000.000.00.00, cod fiscal 25502860, cont IBAN nr. XX00XXXX00000000000XXXXX, deschis la Trezoreria Operativă a Municipiului București, reprezentată legal de Director General - Jr.Xxxxxx XXXXXXX, în calitate de Operator, respectiv PROMOTOR AL PROIECTULUI ”Testăm pentru a salva economia și locurile de muncă”, |
Și |
......................................................... cu sediul în localitatea ...................................., Str , Nr. ........................., Et....,..., Sector ........, CUI ............................, cont IBAN nr. ...................................………………….., deschis la reprezentată legal prin Dl./Dna. ..................................................................., pentru Unitatea Sanitară de Specialitate în testarea RT-PCR pentru depistarea infectării cu virusul SARS-CoV-2, în calitate de Persoană împuternicită de Operator, respectiv AFILIAT |
denumite in continuare in mod colectiv, „Părţile” si individual, „Partea” |
1. DEFINIŢII |
"Operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile şi mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern; "Persoană împuternicită de operator" înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care prelucrează datele cu caracter personal în numele operatorului, respectiv Afiliatul; „Date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale; |
„Date cu caracter personal ale beneficiarilor” sau orice altă exprimare similară, înseamnă datele personale ale beneficiarilor înscriși în proiect pe care Operatorul le pune la dispoziția persoanei împuternicite, în vederea îndeplinirii contractului de afiliere, precum şi orice alte date personale deținute de Operator la care Persoana Împuternicită are sau dobândește acces în scopul îndeplinirii obligațiilor care îi revin conform contractului, detaliate în Anexa 2; |
„GDPR” înseamnă Regulamentul (UE) nr. 679/2016 al Parlamentului European şi al Consiliului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul General privind Protectia Datelor); |
„Incident de securitate privind datele personale” înseamnă o încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor personale transmise, stocate sau prelucrate într-un alt mod sau la accesul neautorizat la acestea; |
„Măsuri tehnice şi organizatorice” înseamnă acele măsuri destinate protejării datelor personale stocate, cât şi a celor transmise, în cadrul reţelei interne sau către persoane terţe, măsuri ce constau în pseudonimizarea și criptarea datelor, capacitatea de asigurare a confidențialității, integrității, disponibilității și rezistența continuă a sistemelor și serviciilor de prelucrare, capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un |
incident de natură tehnică sau fizică, firewall, antivirus etc. |
„Prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor personale sau asupra seturilor de date personale, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea; |
„Servicii” înseamnă serviciile prestate de Persoana Împuternicită de Operator respectiv Afiliat, care implică prelucrare de date personale, astfel cum sunt acestea prevăzute în contract; |
2. PRELUCRAREA DATELOR PERSONALE 2.1. Îndeplinirea obligațiilor asumate prin contract şi furnizarea serviciilor implică prelucrarea de date cu caracter personal de către Operator prin Persoana Împuternicită respectiv prin Afiliat. În acest sens, Persoana Împuternicită de Operator se obligă să respecte toate dispozițiile legale aplicabile cu privire la protecția, prelucrarea și stocarea datelor cu caracter personal. 2.2. Afiliatul declară şi garantează prin prezenta că Datele Personale ale beneficiarilor care fac obiectul prelucrării de către Persoana Împuternicită de Afiliat în baza prezentului Acord au fost colectate cu respectarea tuturor dispozițiilor legale aplicabile şi pot fi prelucrate în condiţiile descrise în prezentul Acord. 2.3. Persoana Împuternicită de Operator va prelucra Datele Personale ale beneficiarilor furnizate de către Operator exclusiv în scopul asigurării Serviciilor către Afiliat. În acest sens, Persoana Împuternicită de Operator va acționa exclusiv în limitele prevăzute de Contract şi de prezentul Acord, precum şi în limita oricăror instrucțiuni documentate ulterioare ale Afiliatului. 2.4. Persoana Împuternicită informează imediat Operatorul în cazul în care, în opinia sa, o instrucțiune primită din partea Afiliatului încalcă legislația aplicabilă privind protecția si stocarea Datelor Personale. 2.5. Persoana Împuternicită va da curs tuturor solicitărilor de informații şi/sau documente formulate de Operator, în scopul verificării respectării de către Persoana Împuternicită a obligațiilor legale privind protectia si stocarea datelor personale. De asemenea, Persoana Împuternicită de Operator va permite şi va contribui activ la orice inspecție desfășurată de către Operator în acest sens, fără ca aceasta să fie prea împovărătoare sau să necesite eforturi disproporționate sau nerezonabile din partea Persoanei Împuternicite. 2.6. În temeiul GDPR, Persoana Împuternicită de Operator va crea şi menține un registru al activităților de prelucrare desfășurate conform prezentului Acord și va pune la dispoziția Operatorului sau oricărui auditor sau mandatar numit de acesta, la cerere, toate informațiile incluse în registrul menționat necesare pentru a demonstra respectarea prezentului Acord. 2.7. Dacă Operatorul solicită, Persoana Împuternicită îl va asista pe acesta cu privire la desfăşurarea unei evaluări a impactului asupra protecţiei datelor, ţinând cont de natura prelucrării şi de informaţiile disponibile Persoanei Împuternicite. |
3. MĂSURI TEHNICE ŞI ORGANIZATORICE 3.1. Persoana Împuternicită va obține și va menține toate licențele, autorizațiile și avizele, solicitate astfel prin legislația aplicabilă, necesare pentru a prelucra Date Personale ale beneficiarilor, precum și orice alte date și informații derivate din acestea. 3.3. Persoana Împuternicită va notifica Operatorul cu privire la orice Incident de Securitate privind Datele Personale, în cel mult 48 de ore din momentul în care a luat la cunoștință despre acesta. |
De asemenea, Persoana Împuternicită va comunica Operatorului, dacă este posibil, natura încălcării, volumul de date şi numărul aproximativ de persoane afectate, precum şi măsurile luate sau propuse spre a fi luate, în vederea remedierii sau atenuării efectelor negative ale incidentului.
4. DREPTURILE PERSOANELOR VIZATE 4.1. Persoana Împuternicită, luând în considerare natura prelucrării şi în limita posibilităților, îl va asista pe Operator să dea curs oricăror plângeri sau solicitări formulate de persoanele vizate, cu privire la prelucrarea Datelor Personale, în conformitate cu drepturile persoanelor vizate prevăzute în Capitolul III din GDPR. 4.2. În acest sens, Persoana Împuternicită îl va informa pe Operator cu privire la orice plângere sau solicitare primită de la persoanele vizate, în termen de 5 zile din momentul recepționării, și va furniza acestuia orice informații sau documente relevante în vederea soluționării acestora. |
5. CONFIDENȚIALITATEA DATELOR PERSONALE 5.1. Părțile se obligă să păstreze confidențialitatea asupra datelor cu caracter personal prelucrate în raporturile cu terții. 5.2. Persoana Împuternicită de Operator este obligată să se asigure că toate persoanele care au ca atribuție prelucrarea Datele Personale ale beneficiarilor au încheiat angajamente de confidențialitate sau au obligații de confidențialitate profesionale sau legale, după caz. |
6. ÎNCETAREA ACORDULUI 6.1. Prezentul Acord încetează de drept la momentul încetării Contractului de Prestare de Servicii (Contract de Afiliere). 6.2. Cu toate acestea, orice obligație a Persoanei Împuternicite în baza prezentului Acord, care prin natura ei se menține și după încetarea Acordului, va continua să producă efecte. |
7. DISPOZIŢII FINALE 7.1. În cazul existenței unor neconcordanțe între prevederile prezentului Acord și orice alte acorduri încheiate între Părți, inclusiv, dar fără a se limita la Contract, prevederile acestui Acord vor prevala cu privire la obligațiile Părților, în cazul protejării Datelor cu Caracter Personal. 7.2. Prezentul Acord şi disputele care pot apărea ca urmare a încheierii, executării, interpretării sau încetării sale vor fi guvernate de legislația națională. 7.3. În caz de dispute, pretenții sau alte asemenea decurgând din acest Acord, Părțile vor încerca să ajungă la o soluționare a acestora pe cale amiabilă. Dacă nu se poate ajunge la o soluționare pe cale amiabilă a acestora, disputa va fi deferită instanței judecătorești competente. 7.4. Prezentul Acord nu presupune plata unei remunerații suplimentare de către oricare dintre Părți și nu derogă de la Contract în ceea ce privește condițiile financiare stabilite de către Părți. 7.5. Dacă orice prevedere a acestui Acord este sau devine nulă sau inaplicabilă, în temeiul unei hotărâri juduecătorești definitive, prin care se constată respectiva nulitate/inaplicabilitate a anumitei/anumitor clauze, restul Acordului va rămâne valabil și va produce efecte. Dacă orice prevedere a Acordului este sau devine nulă, ilegală sau inaplicabilă, se va considera ca fiind modificată strict cât este necesar pentru a o face validă, legală şi aplicabilă, cu condiția ca acest fapt |
să nu declanșeze o modificare esențială cu privire la înțelegerea comercială inițială a Părților, conform prezentului Acord. Xxxxxx, Părțile vor negocia cu bună-credință înlocuirea clauzei nule, ilegale sau inaplicabile, cu o clauză validă, legală şi aplicabilă, păstrând pe cât posibil, efectele comerciale ale clauzei inițiale.
7.6. Prezentul Acord, împreună cu anexele sale, precum și Contractul, în măsura în care se referă la orice aspect ce vizează prelucrarea Datelor Personale, reprezintă întreaga voință a Părților referitor la prelucrarea Datelor cu Caracter Personal ale beneficiarilor proiectului furnizate de Operator în vederea furnizării Serviciilor și nu poate fi modificat decât cu acordul scris al ambelor Părți.
7.7. Părțile declară și agreează că prezentul Acord nu reprezintă un contract de adeziune, nu include clauze standard și/sau neuzuale, așa cum sunt acestea definite în legislația românească în mod expres .Error! Reference source not found.
Prezentul Acord a fost redactat şi semnat în (2) două exemplare originale, astăzi, .....................
ADMINISTRATIA SPITALELOR ȘI
SERVICIILOR MEDICALE BUCUREȘTI AFILIAT
în calitate de Operator, în calitate de Persoană Împuternicită
prin prin
DIRECTOR GENERAL Reprezentant legal
Director Direcția Economica Director Direcția Achizitii Director Direcția Juridică
ANEXA 1 – Măsuri tehnice și organizatorice |
1. Securitatea Datelor Personale 1.1. Luând în considerare stadiul tehnicii, costurile implementării și natura, scopul, contextul și scopurile prelucrării, precum și riscul variabil din punctul de vedere al producerii și al dimensiunii pentru drepturile și libertățile persoanelor fizice, Persoana Împuternicită de Operator va implementa măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate adecvat riscului de prelucrare a Datelor Personale ale beneficiarilor furnizate de către Operator, inclusiv, după caz: 1.1.1. Capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continuă a sistemelor și serviciilor de prelucrare; 1.1.2. Capacitatea de a restabili disponibilitatea și accesul la Datele Personale ale beneficiarilor furnizate de către Operator într-o manieră rapidă în cazul unui incident fizic sau tehnic; 1.1.3. O procedură de backup și de restaurare a Datelor Personale; 1.1.4. Implementarea unui sistem de control al accesului aplicabil tuturor utilizatorilor care accesează sistemul IT al Persoanei Împuternicite; 1.1.5. Utilizarea credențialelor de autentificare; 1.1.6. Traficul către și de la sistemul IT este monitorizat și controlat prin aplicații de firewall și antivirus, sau alte sisteme de detectare a accesului neautorizat, care sunt configurate corespunzător și actualizate regulat, conform actualizărilor disponibile de la dezvoltator; 1.1.7. Utilizatorii nu pot dezactiva sau evita setările de securitate, precum nici nu pot instala sau dezactiva aplicații software neautorizate. 1.2. În evaluarea nivelului adecvat de securitate, Persoana Împuternicită va lua în considerare toate riscurile pe care prelucrarea le prezintă, în special prin distrugerea accidentală sau nelegală, pierdere, alterare, dezvăluire sau acces neautorizat la Datele Personale ale beneficiarilor furnizate de către Operator transmise, stocate sau prelucrate în alt mod. |
2. Siguranță și protecție fizică 2.1. În încăperile și spațiile în care se găsesc elemente sau componente fizice ale infrastructurii sistemului IT sau terminale care permit accesarea acestuia în orice mod, nu este permis accesul personalului neautorizat. Vor fi luate măsuri tehnice (e.g. sisteme de detectare și alertare a intruziunilor, turnichete operate cu carduri, sistem de blocare a căilor de acces) sau organizatorice (e.g. agenți de securitate) adecvate pentru a proteja accesul în aceste încăperi și punctele de acces la acestea împotriva accesului persoanelor neautorizate. |
3. Managementul resurselor umane 3.1. Persoana Împuternicită de Afiliat se asigură că toți angajații își înțeleg responsabilitățile și obligațiile în legătură cu prelucrarea Datelor Personale. |
4. Politici și proceduri 4.1. Persoana Împuternicită are implementate politici și proceduri interne cu privire la prelucrarea Datelor Personale ale beneficiarilor furnizate de către Operator. |
5. Încălcarea securității Datelor Personale |
5.1. Persoana Împuternicită se asigură că a implementat măsuri tehnice adecvate pentru detectarea unei încălcări a securității de prelucrare a Datelor Personale și are o procedură de răspuns la incidente/încălcări ale securității acestora. |
ADMINISTRATIA SPITALELOR ȘI
SERVICIILOR MEDICALE BUCUREȘTI AFILIAT
în calitate de Operator, în calitate de Persoană Împuternicită de Operator
prin prin
Reprezentant legal
Director General
Director Direcția Economica Director Direcția Achizitii Director Direcția Juridică
ANEXA 2 - DATELE PERSONALE ALE PERSOANELOR VIZATE
/BENEFICIARILOR PROIECTULUI
I. Categorii de Persoane Vizate |
- beneficiarii selectați de Afiliat pentru proiectul care constă în testarea PCR pentru SARS- CoV-2 sunt angajați ai farmaciilor, cei din domeniul alimentației publice, reprezentanții mass-media, angajații firmelor de curierat din municipiul București și sportivilor din cadrul Clubului Sportiv Municipal București, potrivit Contractului de afiliere (Proiectul ”Testăm pentru a salva economia și locurile de muncă”); - personalul medical specializat din unitățile medicale de specialitate publică sau privată |
II. Tipuri de Date Personale: |
A. Pentru beneficiarii Proiectului: |
- Nume și prenume; |
- cod numeric personal; - adresă de domiciliu; - sex; - telefon; - adresă de email; - serie si nr. CI; |
- Denumirea instituției la care este angajat beneficiarul - CUI instituție |
B. Pentru personalul medical: - nume; - prenume; - cod numeric personal; - contract individual de muncă (cu toate datele personale include în acestea); - certificate și atestate profesionale (documente de calificare și autorizații de liberă practică, inclusiv asigurări de malpraxis); - alte date personale ce se pot regăsi pe documentele prezentate Persoanei Împuternicite de Operator, după caz. |
III.Operațiuni de Prelucrare |
- înregistrarea Datelor Personale ale beneficiarilor furnizate de Operator şi de către unităţile medicale care furnizează servicii medicale în beneficiul persoanei vizate, în cadrul Proiectului; |
- stocarea Datelor Personale prin mijloace electronice si suport hartie; |
- întocmirea de deconturi detaliate pentru fiecare persoană vizată, în legătură cu serviciile medicale de care aceasta a beneficiat şi comunicarea acestora către Afiliat prin mijloace |
electronice si suport hartie;
- orice alte activități necesare în vederea executării obiectului contractului sau cu privire la care persoana împuternicită de Afiliat a primit instrucțiuni din partea Operatorului.
IV. Durata prelucrării
- prelucrarea datelor personale ale persoanelor vizate/beneficiarilor proiectului se poate extinde ulterior încetării contractului, cu privire la datele medicale (care vor fi transmise de Afiliat către INSP, DSP), în temeiul executării Contractului de afiliere.
V. Locul prelucrării
- la sediile Părților.
ADMINISTRATIA SPITALELOR ȘI
SERVICIILOR MEDICALE BUCUREȘTI AFILIAT
în calitate de Operator, în calitate de Persoană Împuternicită de Operator
prin prin Reprezentant legal
DIRECTOR GENERAL
Director Direcția Economica Director Direcția Achizitii Director Direcția Juridică