CONDIȚII SPECIALE PRIVIND FURNIZAREA SERVICIILOR DE ARHIVARE ELECTRONICĂ

CONDIȚII SPECIALE PRIVIND FURNIZAREA SERVICIILOR DE ARHIVARE ELECTRONICĂ

A FACTURILOR DIN SPV

I. DISPOZIȚII INTRODUCTIVE

1.1. Comenzile pentru furnizarea serviciilor de arhivare electronică a facturilor din SPV sunt

reglementate de prezentele Conditii, precum si de conditiile cuprinse in comanda.

1.2. Prezentul înscris reprezintă un contract în sensul prevederilor Art. 1270 Noul Cod Civil, guvernează relația dintre „Prestator”, pe de o parte, și „Beneficiar”, pe de altă parte, în ceea ce privește furnizarea serviciilor de arhivare electronică.

1.3. Data acceptarii comenzii este considerata data la care certSIGN a transmis un e-mail de acceptare si inregistrare a comenzii dvs.

II. DEFINIȚII

„Prestator” - CERTSIGN S.A., cu sediul social în București, sos. Oltenitei 107A, corp C1, et.1, camera 16, sector 4, Cod Unic de identificare RO18288250, Nr. Reg. Com. J40/484/17.01.2006, cont IBAN nr. XX00XXXX0000000000000000, deschis la Banca RAIFFEISEN BANK, sucursala SMB, prestator autorizat să presteze servicii de arhivare electronică în conformitate cu Legea nr. 135/2007;

„Beneficiar” - persoana fizică sau juridică, ce achiziționează servicii de arhivare electronică a facturilor

din SPV;

„Legea nr. 135/2007” – reprezintă legea privind arhivarea documentelor în formă electronică, republicată;

„Servicii” – reprezintă serviciile care fac obiectul prezentelor Condiții de furnizare, respectiv servicii de arhivare electronică a facturilor din SPV prestate de către un prestator autorizat, în conformitate cu prevederile Legii nr. 135/2007 republicată;

„Titular al dreptului de dispoziţie asupra documentului” sau „TDD” – reprezintă atat persoana fizică sau juridică proprietară sau, după caz, emitentă a documentelor arhivate, care are dreptul de a stabili şi modifica regimul de acces al utilizatorilor la document, conform legislaţiei în vigoare, cât și persoana desemnată de către proprietarul sau emitentul documentelor arhivate, care va avea dreptul de adăugare și consultare documente în aplicația de arhivare electronică;

„Perioada de arhivare electronică” este perioada în care documentele se stochează în arhiva electronică, în limita a 250/500/1000 facturi pe an în funcție de pachetul achiziționat și are o durată de 5 (cinci) ani, care se calculează de la 1 ianuarie a anului urmator celui in care facturile au fost importate in arhiva electronica;

„Spatiul Privat Virtual sau SPV” – reprezintă serviciul pus la dispoziție de Ministerul Finanțelor Publice/Agenția Națională de Administrare Fiscală prin care se efectuează comunicarea electronică a informațiilor și înscrisurilor între Agenția Națională de Administrare Fiscală și contribuabil, în legătură cu situația fiscală proprie a acestuia;

„Condiții de furnizare” – reprezintă prezentul document „Condiții speciale privind furnizarea serviciilor

de arhivare electronică a facturior din SPV”.

III.OBIECT

3.1. Stabilește termenii și condițiile aplicabile Serviciilor.

3.2. Preluarea din SPV și transmiterea facturilor în arhiva electronică se face prin intermediul aplicatiei de arhivare electronica detinuta de Certsign, disponibilă pe Internet la xxxxx://xxxxxxxxx.xxxxxxxx.xx/xx- eArhivare/plugin/de.elo.ix.plugin.proxy/wf/apps/app/elo.webapps.Login/?debug=false&afterApp=xxxxx.xxx

.EloWeb. Accesul la contul SPV al Beneficiarului se realizează de către Beneficiar prin utilizarea credentialelor sale de acces la SPV care sunt sub controlul lui. Preluarea facturilor din contul SPV în vederea arhivării se face în mod automat odată cu asocierea dintre contul din SPV și serviciul de arhivă electronică al certSIGN. În cazul în care pe perioada de arhivare, credențialele Beneficiarului de autentificare și acces la SPV se modifică, comunicarea cu SPV nu se mai poate realiza.

Pentru reluarea comunicării, Beneficiarul trebuie să introducă în aplicația xxxxx://xxxxxxxxx.xxxxxxxx.xx/xx- eArhivare/plugin/de.elo.ix.plugin.proxy/wf/apps/app/elo.webapps.Login/?debug=false&afterApp=xxxxx.xxx

.EloWeb noile sale credențiale. Beneficiarul poate oricând să întrerupă conectivitatea dintre SPV și aplicația de arhivare electronică. Întreruperea accesului la SPV conduce la imposibilitatea prestării Serviciilor de către Prestator.

IV. DURATĂ

4.1. Prezentele Condiții de furnizare intra în vigoare la data acceptării de către Prestator a comenzii online realizată de către Beneficiar şi sunt valabile pe toată Perioada de arhivare prevăzută în cadrul pachetului achiziționat.

4.2. La încetarea prezentelor Condiții de furnizare, comunicarea cu SPV al Beneficiarului va fi intreruptă

automat.

4.3. Prezentele Condiții de furnizare se vor prelungi în cazul în care Beneficiarul solicită un nou pachet

de arhivare electronică de documente, pe toată perioada de arhivare prevăzută în pachet.

V. PERIOADA DE ARHIVARE. RESTITUIREA ARHIVEI

5.1. Transmiterea de documente noi spre arhivare se realizează în limita numărului de documente inclus în pachetul achiziționat pe o perioadă de 1 an, iar accesul Beneficiarului la arhiva electronică este asigurat pe toată Perioada de arhivare.

5.2. Cu 15 zile înainte ca perioada de 1 an să expire, Beneficiarul are posibilitatea să achiziționeze un nou pachet de stocare de 250/500/1000 facturi descărcate într-un an sau un alt pachet din oferta Prestatorului, disponibil în acel moment pentru a putea arhiva noi documente.

5.3. La încetarea Perioadei de arhivare, în maxim 5 zile, Beneficiarul este obligat să preia documentele din arhivă. În vederea restituirii documentelor din arhivă, Beneficiarul va face o cerere semnată electronic, folosind modelul prevăzut în Anexa 1. Documentele vor fi predate exact în formatul intrării în arhivă și fiecare document va fi însoțit de un fișier care va conține indecșii individuali ai documentului înregistrați în arhivă. În cazul nesolicitării restituirii, Prestatorul va păstra documentele în arhiva la dispoziția Beneficiarului maxim 30 de zile de la data încetării Perioadei de arhivare electronică, moment după care prevederile art. 9.2 de mai jos devin aplicabile.

5.4. Beneficiarul înțelege că documentele ce intră în arhiva electronică conform legii trebuie semnate cu semnătura electronică calificată a TDD.

Pentru aceasta, Beneficiarul, prin acceptarea prezentelor Condiții de furnizare împuternicește certSIGN prin persoana expres desemnată să semneze în numele său documentele, respectiv prin persoana ce detine rol de responsabil semnare arhiva electronica SPV, anterior transmiterii lor în arhiva electronică, în conformitate cu art. 7 lit. a din Legea 135/2007. Semnarea se va face cu certificatul digital calificat al responsabil semnare arhivă electronică SPV, utilizat numai în acest scop.

VI. MODALITATI DE PLATA

Pretul prevazut in comanda se plăteşte online prin aplicație, la data lansării comenzii.

VII. OBLIGAŢIILE PĂRŢILOR

7.1. Obligaţiile Prestatorului:

7.1.1. Să furnizeze Serviciile în conformitate cu prevederile prezentelor Condiții;

7.1.2. Să asigure accesul la informaţiile necesare utilizării corecte şi în condiţii de siguranţă a Serviciilor pe

toată Perioada de arhivare electronică;

7.1.3. Să respecte prevederile legislaţiei române în vigoare în legătură cu serviciul furnizat si să realizeze serviciile prevăzute în contract cu profesionalismul şi promptitudinea cuvenite angajamentului contractual asumat, la un nivel calitativ corespunzător, coroborate cu legislaţia şi normativele în vigoare din România;

7.1.4. Să păstreze confidenţialitatea informaţiilor încredinţate în executarea prezentului contract;

7.1.5. Să înregistreze şi să ţină evidenţa tuturor documentelor în formă electronică în cadrul unui registru în formă electronică si să asigure mijloacele de control şi de securitate a documentelor şi a bazei de date;

7.1.6. Să informeze în scris Beneficiarul, în cel mult 5 zile lucrătoare, dacă i-a fost suspendată acreditarea

ca administrator de arhivă electronică;

7.1.7 Să permită Beneficiarului accesul on-line la fişa electronică ataşată în mod obligatoriu fiecărui document intrat în arhiva electronică conform legii.

7.2. Obligaţiile Beneficiarului:

7.2.1. Beneficiarul trebuie să asigure legatura (asocierea) dintre contul din SPV și aplicația de arhivare electronică prin intermediul certificatului digital pentru semnatură electronică calificată înrolat în SPV si valabil la plasarea comenzii.

7.2.2. Sa anunțe în scris orice schimbare cu privire la persoană/certificat inrolat in SPV, imediat la apariția acesteia, dar fără a depăși 2 zile lucrătoare la adresa de e-mail xxxxxx.xxxxxxxx@xxxxxxxx.xx pentru a se asigura continuitatea prestarii Serviciilor. Beneficiarul intelege si accepta ca schimbarea va atrage o nouă asociere între contul din SPV și aplicația de arhivare electronică.

In vederea continuității Serviciilor, Beneficiarul trebuie sa introducă credențialele și certificatul asociat in SPV de fiecare dată când are loc o întrerupere a funcționării SPV sau o schimbare a certificatului sau credențialelor aferente contului SPV.

7.2.3. Să păstreze confidenţialitatea informaţiilor încredinţate în executarea prezentului contract și a datelor de acces la aplicația de arhivare;

7.2.4 Să achite contravaloarea serviciilor conform condițiilor stabilite prin prezentele Condiții de furnizare

și prin comandă;

7.2.5. Să nu permită angajaților sau altor persoane să efectueze activități cu scopul de a bloca accesul, de a deteriora, a distruge sau de a împiedica buna funcționare a Serviciilor furnizate către Beneficiar sau către alți clienți ai Prestatorului;

7.2.6. Să utilizeze Xxxxxxxxxx numai în scopuri legitime conform prevederilor prezentelor Condiții de furnizare și nu va utiliza Serviciile în scopuri neautorizate sau nelegale, și nici nu va afecta în mod negativ operarea adecvată a Serviciilor.

7.2.7. Sa indeplineasca cerintele art. 7 din Legea 135/2007 pentru depunerea unui document in arhiva electronica a Prestatorului și orice alte obligații ce decurg din executarea prezentelor Condiții de furnizare și din prevederile Legii nr. 135/2007.

7.2.8. Beneficiarul înțelege și acceptă că Prestatorul nu este răspunzător pentru conținutul și

corectitudinea documentelor arhivate, neavând niciun control asupra conținutului acestora.

7.2.9. Să preia arhiva la încetarea prezentelor Condiții de furnizare în conformitate cu art. 5.3 și art. 9.2.

VIII. RĂSPUNDERI CONTRACTUALE

8.1. În caz de neexecutare sau de executare necorespunzătoare a oricăreia din obligaţiile contractuale asumate, partea prejudiciată va fi în drept a solicita părţii în culpă, plata de daune-interese, la valoarea prejudiciului patrimonial direct, creat şi dovedit.

8.2. Nicio Parte nu va fi responsabilă pentru prejudicii indirecte, beneficiul sau profitul nerealizat, pierderi ale reputatiei, de afaceri, clienti sau date si alte asemenea pierderi.

8.3. Răspunderea totală a Prestatorului nu poate depăși valoarea Serviciilor la data producerii prejudiciului.

8.4. Prestatorul nu este răspunzător pentru neprestarea Serviciilor în cazul în care Beneficiarul întrerupe accesul la SPV sau credentialele sale de acces la SPV expira sau se modifică și nu sunt actualizate de Beneficiar în aplicația disponibilă la adresa la xxxxx://xxxxxxxxx.xxxxxxxx.xx/xx- eArhivare/plugin/de.elo.ix.plugin.proxy/wf/apps/app/elo.webapps.Login/?debug=false&afterApp=xxxxx.xxx

.EloWeb. De asemenea, Prestatorul nu răspunde pentru neprestarea Serviciilor sau prestarea cu întârziere ori întreruperi datorate nefuncționării sau funcționării cu întrerupere a SPV ori a rețelelor de internet, și nici pentru conținutul și corectitudinea documentelor arhivate.

IX. INCETAREA PREZENTELOR CONDIȚII DE FURNIZARE

9.1. Prezentele Condiții de furnizare încetează a mai produce efecte în următoarele situaţii:

a) in mod automat si fara alte formalitati, la data incetarii valabilitatii conform art. V;

b) dacă vreuna dintre Părți nu își îndeplinește obligațiile contractuale, încetarea se va produce în termen de 30 de zile de la primirea de către Partea în culpă a unei notificări transmise de cealaltă Parte cu privire la încălcarea obligaţiilor sale, dacă această încălcare nu este remediată în acest interval. Dacă remedierea nu este posibilă încetarea va interveni imediat, odată cu comunicarea notificării;

c) în cazul în care Prestatorul pierde dreptul de furnizare a serviciilor de arhivare electronica ce fac obiectul contractului.

9.2. La încetarea prezentelor Condiții de furnizare, indiferent de motiv, Beneficiarul este obligat să preia arhiva electronică în condițiile prevăzute la art. 5.3 de mai sus. În cazul în care Beneficiarul nu preia arhiva în termenul prevăzut în prezentele Condiții de furnizare, Prestatorul va păstra arhiva electronică la dispoziția Beneficiarului, pe cheltuiala acestuia din urmă, maxim 30 zile de la încetarea prezentelor Condiții de furnizare în vederea preluării. Dacă până la această dată Beneficiarul nu preia arhiva, aceasta va fi considerată predată Beneficiarului, Prestatorul nemaiavând nicio responsabilitate cu privire la asigurarea securității și integrității acesteia, fără îndeplinirea vreunei formalități sau notificări prealabile. Beneficiarul înțelege că odată cu încetarea prezentelor Condiții de furnizare, Prestatorul pierde calitatea de administrator al arhivei, care revine automat Beneficiarului, acesta urmând să suporte toate consecințele prevăzute de lege pentru nerespectarea obligațiilor privind conservarea arhivelor proprii.

X. FORŢA MAJORĂ. CAZ FORTUIT

10.1. Părţile nu vor fi răspunzătoare pentru neexecutarea la termen şi/sau în mod corespunzător, total sau parţial, a oricăreia din obligaţiile care le incumbă în baza prezentelor Conditii sau celorlalte documente aplicabile, dacă neexecutarea obligaţiei respective a fost urmarea unui caz de forţă majoră sau caz fortuit.

10.2. Se înţelege prin caz de forţă majoră acel eveniment imprevizibil şi de neînlăturat produs ulterior perfectării contractului.

10.3. Se înţelege prin caz fortuit împrejurarea relativ imprevizibilă şi relativ invincibilă, neavând caracter extraordinar, precum: grevele, restricţiile legale, nefuncționarea rețelelor de internet sau a retelelor de utilitati, alte asemenea evenimente.

10.4. Partea care invocă vreunul din evenimentele mai sus menţionate este obligată să-l aducă la cunoştinţa celeilalte Părţi în cel mult 5 (cinci) zile lucrătoare de la producerea acestuia şi să probeze ulterior prin documente justificative emise de autorităţile competente.

10.5. Partea care a fost împiedicată să-şi execute obligaţiile din cauze stipulate la pct. 10.2. şi 10.3. va

continua să-și execute obligațiile după încetarea respectivului eveniment.

10.6. Dacă evenimentele menţionate la pct. 10.2. şi 10.3. durează mai mult de 60 (șaizeci) de zile calendaristice, prezentele condiții se consideră încetate de drept, fără a mai fi necesară îndeplinirea vreunei alte formalităţi.

10.7. Forţa majoră şi cazul fortuit exonerează părţile contractante de îndeplinirea obligaţiilor asumate prin prezentul contract, pe toată perioada în care acestea acţionează.

XI. LEGEA APLICABILĂ. SOLUŢIONAREA LITIGIILOR

11.1. Prezentele Condiții de furnizare se supun legii române.

11.2. Litigiile de orice fel decurgând din derularea prezentului contract se vor soluţiona cu prioritate pe cale amiabilă, iar în caz de nereușită ele vor fi supuse soluţionării instanţelor judecătoreşti competente de la sediul Prestatorului.

XII. CONFIDENȚIALITATE. PROTECȚIA DATELOR CU CARACTER PERSONAL

12.1. O parte contractantă nu are dreptul, fără acordul scris al celeilalte părţi, de a utiliza informaţiile şi documentele obţinute sau la care are acces în perioada de derulare a contractului, în alt scop decât acela de a-şi îndeplini obligaţiile contractuale.

12.2. O parte contractantă va fi exonerată de răspunderea pentru dezvăluirea de informaţii referitoare la prezentele Condiții de furnizare dacă: a) informaţia era cunoscută in mod legal părţii contractante înainte ca ea sa fi fost primită de la cealaltă parte contractantă si fara obligatia de confidentialitate sau b) informaţia a fost dezvăluită după ce a fost obţinut acordul scris al celeilalte părţi contractante pentru asemenea dezvăluire sau c) partea contractantă a fost obligată în mod legal să dezvăluie informaţia.

12.3. Dezvăluirea oricărei informaţii faţă de persoanele implicate în îndeplinirea prezentelor Condiții de furnizare se va face confidenţial şi se va extinde numai asupra acelor informaţii necesare în vederea îndeplinirii prezentelor condiții.

12.4 Fiecare Parte, în măsura în care va divulga celeilalte Părți date cu caracter personal privind reprezentanții sau angajații săi în scopul încheierii și executării prezentelor Condiții de furnizare („Scopul”), se va asigura că va divulga numai informațiile necesare acestui scop.

12.5 Fiecare Parte va solicita celeilalte Părți numai datele cu caracter personal necesare realizării Scopului menționat mai sus și, în măsura în care există alt scop pentru care solicită datele cu caracter personal, va justifica această solicitare furnizând informațiile impuse de legislația aplicabilă, respectiv de art. 13-14 din Regulamentul nr. 679/2016 și/sau de orice articol sau normă care înlocuiește sau completează aceste prevederi.

12.6 Angajații/reprezentanții Beneficiarului pot afla informații despre prelucrarea datelor personale efectuată de Prestator pentru realizarea Scopului din „Politica de Confidențialitate” disponibil la xxxxx://xxx.xxxxxxxx.xx/xx/xxxxxxxx-xx-xxxxxxxxxxxxxxxxx/.

12.7 Fiecare Parte care divulgă date personale ale angajaților/reprezentanților săi se asigură că a furnizat acestora informațiile prevăzute la art. 13-14 din Regulamentul nr. 679/2016 și/sau din orice articol sau normă care înlocuiește sau completează aceste prevederi.

12.8 Pentru evitarea oricărui dubiu, Părțile iau cunoștință și convin că fiecare Parte determină, în mod independent, Scopul și mijloacele de prelucrare și își asumă în mod independent responsabilitatea privind prelucrarea datelor cu caracter personal.

12.9. Pentru prelucrarea datelor cu caracter personal conținute în documentele arhivate, Prestatorul acționează ca un împuternicit al Beneficiarului în conformitate cu art. 28 din Regulamentul nr. 679/2016 . Aceste date vor fi prelucrate în conformitate cu prevederile prezentelor Condiții de furnizare și a Acordului privind prelucrarea datelor cu caracter personal, anexa la prezentele Condiții de furnizare.

XIII. COMUNICARI

13.1. Orice comunicare între părţi, referitoare la îndeplinirea prezentelor Condiții de furnizare, trebuie să fie transmisă în scris, fie prin serviciile poștale și de curierat, fie prin e-mail la adresa xxxxxx@xxxxxxxx.xx pentru certSIGN. Iar pentru Beneficiar la adresa de email a contului din aplicația de arhivare. Orice document scris trebuie înregistrat atât în momentul transmiterii, cât şi în momentul primirii.

XIV. CLAUZE ANTICORUPTIE

14.1 Prestatorul, în desfășurarea activităților și în gestionarea relațiilor sale, respectă principiile din propriul Cod de Conduită și Etică în Afaceri. Acestea se pot consulta la următoarea adresă: xxxxx://xxx.xxxxxxxx.xx/xx/xxxxx.

14.2 Beneficiarul declară că a luat la cunoștință angajamentele asumate de Prestator în propriul Cod de Conduită și Etică în Afaceri și că va respecta principii echivalente în desfășurarea afacerilor sale și în gestionarea relațiilor cu terții.

14.3 În cazul încălcării acestor obligații, Prestatorul își rezervă dreptul să rezilieze prezentele Condiții de furnizare și să solicite Beneficiarului acoperirea eventualelor daune.

XV. DREPTURI DE PROPRIETATE INTELECTUALA (DPI)

15.1. Fiecare Parte va rămâne titulara drepturilor de proprietate intelectuală, de autor și conexe și a know- how-ului pe care îl deține.

15.2. Părțile consimt în mod expres că niciun titlu sau DPI nu va fi transferat către cealaltă Parte drept rezultat al prezentelor Condiții de furnizare.

15.3. Nicio Parte nu acordă celeilalte Părți drepturi de autor sau drepturi asupra oricăror brevete, mărci

comerciale (înregistrate sau neînregistrate) sau secrete comerciale.

15.4. Sub rezerva respectării de către Beneficiar a prevederilor prezentelor Condiții de furnizare, certSIGN îi acordă acestuia o licență liberă de redevențe, revocabilă, neexclusivă, netransferabilă, necesionabilă, fără dreptul de a sublicenția, in vederea accesarii aplicației de arhivare electronică, în conformitate cu prezentele Condiții de furnizare.

15.6. Beneficiarul nu va întreprinde acțiunile de mai jos, și nici nu va autoriza diverse terțe persoane in

vederea efectuarii acestora:

- decompilarea, dezasamblarea, reconstituirea prin inginerie inversă, în orice alt mod, a codului sursă sau a tehnologiei, metodologiilor sau algoritmilor care stau la baza Serviciilor;

- utilizarea greșită a aplicației prin introducerea, chiar și neintenționată, de viruși, troieni, viermi, “bombe logice” sau alte materiale care ar afecta negativ, sub orice formă, utilizarea Serviciilor;

- ocolirea, dezactivarea, sub orice formă, cu orice elemente de securitate ale aplicației de arhivare electronică;

- colectarea oricăror date din aplicație, altfel decât în conformitate cu prevederile prezentelor

Condiții de furnizare;

- încărcarea de sau contribuirea cu materiale care conțin nuditate sau violență sau care sunt

amenințătoare, obscene, înșelătoare, neadevărate sau jignitoare;

- încărcarea de conținuturi pe care Beneficiarul nu le deține în proprietate sau pe care nu are dreptul să le utilizeze sau prin care se încalcă, în orice alt mod, drepturile de autor, mărcile comerciale sau alte drepturi ale terților;

- utilizarea oricăror sisteme automate, inclusiv, dar fără limitare la, 'roboți', 'bots', 'păianjeni web' sau 'cititori offline' pentru a accesa aplicatia de arhivare electronică de o manieră care se finalizează cu trimiterea de mai multe mesaje de solicitare către aplicația de arhivare electronică față de câte ar fi putut o persoană umană să producă, în mod rezonabil, în aceeași perioadă de timp.

15.7. Beneficiarul va apăra și despăgubi Prestatorul pentru orice încălcări aduse drepturilor de proprietate intelectuală și de autor, inclusiv pentru cele aduse asupra drepturilor terților ale căror software-uri sunt utilizate în prestarea serviciilor, în cazul încălcării oricăreia dintre obligațiile arătate mai sus, limitările de răspundere de la art. VIII nefiind aplicabile.

XVI. DISPOZIŢII FINALE

16.1 . Documentele contractului sunt:

- Anexa nr. 1 Cerere restituire arhiva electronica

- Anexei nr. 2 – Acord privind prelucrarea datelor cu caracter personal.

16.2. Prestatorul poate cesiona prezentele Condiții de furnizare către o terță parte, numai cu acordul prealabil al Beneficiarului, exprimat în scris.

16.3. Prestatorul își rezervă dreptul de a modifica prezentele Condiții de furnizare atunci când modificarea este cerută de legislația aplicabilă serviciilor de arhivare electronică sau ca urmare a imbunătățirii Serviciilor ori la cererea autorităților competente.

Prezentele condiții se consideră acceptate prin semnarea lor sau prin confirmarea luării la cunoștință de conținutul acestora.

ANEXA NR. 1 CERERE

restituire arhiva electronica conform Comanda ……………………

Catre: CERTSIGN S.A.

In atentia : Administrator de arhiva electronica din partea CERTSIGN S.A.

Subsemnatul,           , in calitate de reprezentant legal al        , cu sediul social in        , Cod Unic de Identificare       , numar de inregistrare la Registrul Comertului

      , va solicit restituirea documentelor ce constituie arhiva electronica a          tabelul de mai jos, conform prevederilor Art. 5.3 din Conditiile de furnziare

din

Nr. Crt Categorie document Data arhivare Data expirare Termen de pastrare

Data: Semnatura

ANEXA NR. 2

ACORD PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL

Părţile contractante, Beneficiarul și Prestatorul, ÎNTRUCÂT:

a) Prestatorul asigură Beneficiarului serviciile de arhivare electronică în conformitate cu Condițiile privind

furnizarea serviciilor de arhivare electronică a facturior din SPV, denumite în cele ce urmează

„Contract Principal”,

b) executarea Contractului Principal va implica prelucrarea unor date cu caracter personal aparținând unor persoane fizice ale căror date cu caracter personal sunt în posesia Beneficiarului.

c) Beneficiarul este un operator de date cu caracter personal, astfel cum este definit la articolul 4 alineatul (7) din Regulament.

d) Prestatorul este un împuternicit al Beneficiarului cu privire la prelucrarea de date cu caracter personal, astfel cum este definit la articolul 4 alineatul (8) din Regulament.

în conformitate cu articolul 28 alineatul (3) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) ("Regulamentul"), încheie prezentul Acord de prelucrare date cu caracter personal ("Acordul") care va deveni anexa a Contractului Principal.

1. Scopul și obiectul Acordului

1.1. Scopul prezentului Acord este stabilirea drepturilor și obligațiilor Părților în legătură cu orice acte de prelucrare a datelor cu caracter personal care sunt implicate de furnizarea serviciilor de arhivare electronică, care fac obiectul Contractului Principal.

1.2. Obiectul prezentului Acord îl reprezintă angajamentul Prestatorului de a prelucra date cu caracter personal în numele Beneficiarului în conformitate cu prezentul Acord, cu Regulamentul și cu instrucțiunile Beneficiarului și cu respectarea prevederilor Legii 135/2007 privind arhivarea documentelor în formă electronică și a Legii 16/1996 a Arhivelor Naționale.

2. Prelucrarea datelor cu caracter personal

2.1. În scopul executării obiectului Contractului Principal, Părțile au dreptul să proceseze toate datele cu caracter personal necesare pentru atingerea acestui scop, astfel de date putând include, fără limitare: (a) numele şi prenumele, (b) adresa, (c) data nașterii, (d) codul numeric personal, (e) numărul de telefon și fax, (f) adresa de e-mail, (g) numărul de cont bancar, (h) istoricul tranzacțiilor financiare cu persoana vizata.

2.2. În cazul în care datele cu caracter personal din documentele arhivate conțin și un număr de identificare național sau categorii speciale de date așa cum sunt definite de art.9 din GDPR, Beneficiarul garantează că a îndeplinit condițiile prevăzute de GDPR și de Legea 190/2018 pentru prelucrarea acestora.

2.3. Beneficiarul declară că transmiterea către Prestator a tuturor datelor cu caracter personal în scopul prelucrării lor este legală și în conformitate cu Regulamentul.

2.4. Pentru scopurile menționate la articolul 1 secțiunea 1.1, Beneficiarul îl autorizează pe Prestator să prelucreze datele cu caracter personal enumerate în articolul 2 secțiunea 2.1 a prezentului Acord.

2.5. Părțile declară că obligațiile asumate prin prezentul Acord nu dau niciuneia dintre ele dreptul la vreo remunerație, singura remunerație fiind cea prevăzută în Contractul Principal.

3. Drepturile și obligațiile Beneficiarului

3.1. În executarea prezentului Acord, Beneficiarul este obligat să respecte Regulamentul și să își îndeplinească obligațiile în spiritul acestuia.

3.2. Pe parcursul derulării Acordului, Beneficiarul se obligă să coopereze cu bună-credință cu

Prestatorul în scopul îndeplinirii prezentului Acord.

3.3. Beneficiarul stabilește drepturile de acces la datele cu caracter personal prelucrate de Prestator, conform Legii 135/2007, iar Prestatorul va permite accesul acelor persoane la respectivele date cu caracter personal.

4. Drepturile și obligațiile Prestatorului

4.1. Prestatorul va respecta obligațiile ce revin Beneficiarului prin efectul unor hotărâri judecătorești, arbitrale sau administrative, al regulamentelor interne ale acestuia sau al contractelor la care este parte, cu condiția ca Prestatorul să fi fost înștiințat în legătură cu astfel de obligații de către Beneficiar și în conformitate cu prevederile Contractului Principal.

4.2. Prestatorul nu va putea transfera date cu caracter personal către terțe țări sau organizații internaționale în sensul articolelor 44 până la 50 din Regulament.

4.3. Prestatorul se obligă să prelucreze în numele Beneficiarului datele cu caracter personal prevăzute în secțiunea 2.1 a articolului 2 din prezentul Acord, numai în scopul, în limitele și în condițiile specificate în prezentul Acord și in Contractul Principal și pe baza instrucțiunilor explicite ale Beneficiarului, cu respectarea Legii 135/2007 și să nu utilizeze datele cu caracter personal la care are astfel acces pentru alte scopuri, cu excepția cazului în care o obligație de prelucrare îi revine Prestatorului în temeiul dreptului Uniunii sau al dreptului intern

4.4. Să permită accesul la datele prelucrate în numele Beneficiarului doar acelor persoane desemnate în scris de către acesta, precum și propriilor angajați implicați în prestarea serviciilor de arhivare electronică și administrarea sistemului informatic al Prestatorului.

4.5. Prestatorul declară că, la data semnării prezentului Acord și ulterior pe toată perioada de derulare a Acordului, posedă și va menține condiții tehnice, materiale și de resurse umane suficiente pentru a asigura un nivel adecvat de protecție a drepturilor persoanelor ale căror date cu caracter personal sunt prelucrate în temeiul prezentului Acord. La cererea Beneficiarului, Prestatorul îi va pune la dispoziție dovezi privind îndeplinirea condițiilor cerute, atât înainte de intrarea în vigoare a Acordului, cât și pe toată durata acestuia.

4.6. Prestatorul are dreptul să prelucreze datele cu caracter personal, în special prin operațiuni de stocare pe suporturi de date, administrare, copiere de rezervă, restricționare, dezvăluire către persoane desemnate de către Beneficiar, precum și de distrugere a acestor date, în conformitate cu legislația aplicabilă în domeniu.

4.7. Prestatorul se angajează să pună în aplicare măsuri tehnice și organizatorice pentru protejarea datelor cu caracter personal și să ia măsuri pentru a elimina pe cât posibil orice risc de acces neautorizat sau accidental care ar duce la modificări, distrugeri sau pierderi, transferuri neautorizate, alte procese neautorizate sau alte întrebuințări greșite ale datelor cu caracter personal.

4.8. În cazul în care Beneficiarul solicită Prestatorului să distrugă datele cu caracter personal prelucrate de acesta în baza prezentului Acord, în termen de 15 zile lucrătoare de la data primirii solicitării de mai sus și în măsura în care Legea 16/1996 a Arhivelor Naționale permite, Prestatorul va șterge toate datele cu caracter personal pe care le deține și le procesează în baza prezentului Acord, din toate bazele de date și depozitele în care sunt păstrate, cu excepția cazului în care acestea sunt deja returnate Beneficiarului sau dreptul Uniunii ori dreptul intern impune stocarea datelor cu caracter personal. Această procedură referitoare la distrugerea sau returnarea datelor cu caracter personal se aplică și la intervenția cazurilor de încetare a prezentului Acord sau a Contractului Principal. Datele din copiile de siguranță se vor șterge în termen de 30 de zile.

4.9. Prestatorul va coopera cu Beneficiarul în vederea îndeplinirii obligațiilor Beneficiarului, în calitate de operator al datelor cu caracter personal, în baza solicitărilor privind exercitarea drepturilor persoanelor vizate, în conformitate cu articolele 15 - 21 din Regulament.

4.10. Temeinicia solicitării unei persoane ale cărei date cu caracter personal sunt supuse procesării va fi evaluată de către Beneficiar. Prestatorul va răspunde solicitării unei persoane vizate numai dacă a fost autorizat să facă acest lucru de către Beneficiar, fără a fi însă obligat să procedeze în acest fel.

4.11. Prestatorul va informa imediat Beneficiarul asupra tuturor modificărilor preconizate privind prelucrarea datelor cu caracter personal care trebuie notificate autorității de supraveghere și care afectează sau pot afecta drepturile și obligațiile care decurg din acest Acord sau din Contractul Principal.

4.12. În conformitate cu prevederile art. 33 alin. (2) din Regulament, Prestatorul va notifica Beneficiarul, fără întârzieri nejustificate, orice încălcare a securității prelucrării datelor cu caracter personal, descriind natura încălcării, categoriile și numărul aproximativ al persoanelor vizate în cauză, consecințele probabile ale încălcării securității datelor și măsurile luate, inclusiv pentru atenuanrea eventualelor sale efecte negative, categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal ce pot fi afectate, precum și coordonatele unui punct de contact de unde se pot obține mai multe informații privind încălcarea securității datelor. Prestatorul va transmite Beneficiarului informațiile menționate în măsura în care sunt sau devin disponibile.

4.13. Dacă autoritatea de supraveghere solicită informații de la Prestator (sau inițiază o inspecție a spațiilor relevante ale Prestatorului sau o anchetă a acestuia) privind modul de prelucrare a datelor cu caracter personal procesate de Prestator în numele Beneficiarului, Prestatorul va informa Beneficiarul cu privire la asemenea demersuri fără întârzieri nejustificate.

4.14. Prestatorul, și orice persoană implicată în prelucrarea datelor cu caracter personal pentru Prestator, este obligat să respecte confidențialitatea cu privire la prelucrarea datelor cu caracter personal precum și regulile de utilizare a sistemelor informatice.

4.15. La cererea Beneficiarului, Prestatorul îi va pune la dispoziție dovezi cu privire la instruirea personalului implicat în prelucrarea datelor cu caracter personal, în condițiile sus-menționate, pentru a lucra cu asemenea date.

4.16. În cazul în care Prestatorul nu mai îndeplinește condițiile de prelucrare a datelor cu caracter personal conform prevederilor Regulamentului sau celor din prezentul Acord, acesta informează Beneficiarul cu privire la aceasta, fără întârzieri nejustificate.

4.17. Prestatorul îi va permite Beneficiarului să verifice conformitatea modului său de prelucrare a datelor cu caracter personal cu prezentul Acord și cu Regulamentul. Verificarea va consta, în special, în revizuirea documentelor de suport solicitate de Beneficiar de la Prestator. În cazul în care se constată nereguli în timpul acestei verificări, Prestatorul va permite Beneficiarului sau persoanelor autorizate în mod specific de către acesta să efectueze un audit care să analizeze conformitatea modului de prelucrare a datelor cu caracter personal cu dispozițiile prezentului Acord și ale Regulamentului. Auditul se va desfășura la locațiile Prestatorului unde are loc prelucrarea efectivă a datelor cu caracter personal. Acest audit va fi efectuat de Beneficiar sau de un auditor autorizat de catre acesta, totalitatea costurilor fiind suportate de Beneficiar.

4.18. Beneficiarul va notifica în scris (inclusiv electronic) intenția sa de a efectua auditarea Prestatorului cu cel puțin 15 zile lucrătoare înainte de efectuarea acesteia. În același timp, Beneficiarul va comunica Prestatorului ce proceduri, baze de date și documente urmează să fie auditate, domeniul de aplicare și datele care urmează să fie puse la dispoziție sau furnizate persoanei care efectuează auditul.

4.19. Persoana care efectuează, pe baza instrucțiunilor Beneficiarului, auditul menționat anterior trebuie să respecte toate măsurile de securitate ale Prestatorului conform instrucțiunilor acestuia. Persoana respectivă este de asemenea obligată să respecte obligația de confidențialitate prevăzută la punctul 4.14 din prezentul Acord.

4.20. În cazul în care din audit reiese neconformitatea prelucrării datelor cu caracter personal cu prevederile Acordului sau Regulamentului, Beneficiarul este îndreptățit să solicite Prestatorului remedierea situației.

4.21. Prestatorul îl va informa pe Xxxxxxxxxx în cazul în care, în opinia sa, o instrucțiune încalcă prevederile Regulamentului sau alte dispoziții legale din dreptul intern referitoare la protecția datelor. Lipsa unei informări din partea Prestatorului nu va da naștere vreunei forme de răspundere din partea acestuia. Prestatorul are dreptul de a refuza executarea unei instrucțiuni atunci când apreciază că este neconfromă Regulamentului sau oricăror dispoziții legale aplicabile în materia protecției datelor.

5. Durata și încetarea Acordului

5.1. Prezentul Acord intră în vigoare și își produce efectele de la data semnării sale de către reprezentanții Părților și își va menține valabilitatea pe toata durata Contractului Principal.

5.2. La încetarea Acordului, Părțile vor proceda în ceea ce privește datele cu caracter personal prelucrate în temeiul prezentului Acord în conformitate cu articolul 4 alineatul 4.8 din Acord și cu Regulamentul.

6. Răspundere și limitări

6.1. Prezentul Acord nu aduce atingere obligațiilor care îi revin Beneficiarului în temeiul Regulamentului sau al altor dispoziții legale aplicabile în materia protecției datelor cu caracter personal prelucrate prin intermediul Prestatorului și nici nu transferă în sarcina Prestatorului vreo obligație și/sau formă de răspundere ce revine Beneficiarului. Beneficiarul este în integralitate și în mod unic răspunzător pentru conformitatea oricăror instrucțiuni transmite Prestatorului, atât față de Prestator, cât și față de persoanele vizate și răspunde pentru prejudiciile materiale sau morale cauzate oricărei persoane ca urmare a operațiunilor de prelucrare.

6.2. Executarea conformă de către Prestator a unei instrucțiuni primite din partea Beneficiarului îl exonerează întotdeauna de răspundere pe Prestator. Prestatorul este responsabil numai pentru prejudiciile cauzate ca urmare a încălcării obligațiilor legale care îi revin în mod specific sau dacă prejudiciul a fost cauzat de acțiunea Prestatorului contrară instrucțiunilor exprese ale Beneficiarului, numai atunci când fapta a fost săvârșită de Prestator cu intenție sau din culpă gravă. În mod particular, Prestatorul nu va fi ținut responsabil pentru vreun prejudiciu cauzat Beneficiarului din încălcarea securității datelor cu caracter personal, atât timp cât Prestatorul a aplicat măsurile tehnice și organizatorice corespunzătoare stadiului actual al tehnologiei utilizate de Prestator.

6.3. În cazul în care Prestatorul nu mai poate realiza prelucrarea datelor în conformitate cu prevederile prezentului Acord sau a oricăror alte reglementări legale, Prestatorul are dreptul de a suspenda operațiunile de prelucrare, comunicând de îndată acest aspect Beneficiarului.

6.4. În cazul în care Prestatorul l-a informat pe Beneficiar în temeiul clauzei 4.21 că o anumită instrucțiune încalcă dispozițiile legale și/sau contractuale aplicabile și Beneficiarul insistă asupra respectării instrucțiunilor, Prestatorul are dreptul de a rezilia Contractul Principal precum și o orice alte înțelegeri legate de acesta, cu o notificare prealabilă și fără vreo despăgubire. Neexercitarea dreptului de reziliere de către Prestator nu va fi considerată vreo acceptare a responsabilității asupra prelucrării de către Prestator.

6.5. Beneficiarul are obligația a aduce la cunoștința Prestatorului orice plângere, comunicare, litigiu, inspecție, investigație, acțiune a unei autorități publice, pretenție și altele asemenea, care ar putea ridica problema răspunderii Prestatorului, în cel mult 5 zile de la data la care Beneficiarul a luat cunoștință de această situație. Neîndeplinirea acestei obligații de către Beneficiar îl exonerează de orice răspundere pe Prestator. Prestatorul și Beneficiarul se vor sprijini reciproc pentru soluționarea oricărei situații care ar putea ridica problema răspunderii acestora.

6.6. În cazul în care Prestatorul a suportat în totalitate despăgubirile pentru un prejudiciu cauzat, în situația prevăzută de art. 82 para. (4) din Regulament, Prestatorul are dreptul de a recupera toate sumele plătite persoanelor vizate și costurile suportate de Prestator care nu se datorează părții

sale de răspundere. Sumele vor fi actulizate cu rata dobânzii legale penalizatoare, calculată de la momentul suportării costului de către Prestator.

7. Dispoziții finale

7.1. Prezentul Acord este guvernat de legea româna, iar prevederile sale vor fi completate cu orice prevederi din Regulament, Codul Civil sau Legea 135/2007 necesare pentru a realiza intenția prezentului Acord și a Contractului Principal. Orice modificare a prezentului Acord trebuie făcută prin acte adiționale în formă scrisă, semnate de ambele Părți, și care fac parte integrantă din prezentul Acord.

7.3. Dacă o dispoziție a prezentului Acord este lovită de nulitate sau lipsită de efecte, acest aspect nu va atrage nulitatea altor dispoziții sau a întregului Acord, cu excepția cazului în care rezultă din natura sau conținutul acestei clauze că dispoziția anulată sau inaplicabilă este de esența Acordului sau în lipsa acesteia Acordul nu s-ar fi încheiat. În cazul în care o clauză a prezentului Acord devine nulă sau invalidă, Părțile vor negocia și agrea asupra modului in care vor proceda pentru a păstra și realiza intenția inițială a Acordului.

7.4. Interpretarea noțiunilor utilizate în prezentul Acord va fi realizată conform înțelesului specific al

termenilor prevăzut în Regulament și/sau în dreptul intern privind protecția datelor.

ANEXA: MĂSURI TEHNICE ȘI ORGANIZATORICE

Cerinţele minime de securitate a Prelucrărilor Datele cu caracter personal asigurate de certSIGN în calitate de prestator de servicii de arhivare electronică:

1. Identificarea şi autentificarea utilizatorului

Prin utilizator se înţelege orice persoană care acţionează sub autoritatea Prestatorului, cu drept recunoscut de acces la datele cu caracter personal ale Beneficiarului.

Utilizatorii care vor trebui sa aiba acces la date cu caracter personal trebuie să se identifice. Identificarea si autentificarea se pot face prin : cont de utilizator si parola, care se poate suplimenta, la cerere, printr-un cod de autentificare in pasi (2FA prin OTP). Fiecare utilizator are propriul său cod de identificare. Niciodată mai mulți utilizatori nu vor avea același cod de identificare.

Mijloacele de identificare nefolosite o perioadă mai îndelungată trebuie dezactivate sau distruse după un control prealabil intern al Prestatorului. Perioada după care acestea trebuie dezactivate sau distruse se stabilește de către Xxxxxxxxx prin proceduri interne. Parolele de acces se supun politicii de securitate informatică a companiei certSIGN, iar certificatele digitale sunt utilizate și administrate conform Codului de Practici și Proceduri al CA-ului emitent.

Comunicarea de date cu caracter personal se va realiza doar între persoanele responsabile din partea Prestatorului și a Beneficiarului. Pentru toate comunicăarile, în special cele în care sunt vehiculate date cu caracter personal se vor utiliza adresele de email stabilite în contract.

Orice utilizator care primeşte un mijloc de identificare şi un mijloc de autentificare trebuie să păstreze confidenţialitatea acestora şi să răspundă în acest sens în faţa Prestatorului.

Prestatorul aplica proceduri proprii de administrare şi gestionare a mijloacelor de identificare si

autentificare.

Prestatorul autorizează anumiţi utilizatori pentru administrarea mijloacelor de identificare si autentificare. Acesti utilizatori speciali (administratori) dezactiveaza, revoca, suspenda, sterg sau distrug mijloacele de identificare si autentificare dacă utilizatorul acestora a încetat contractul cu certSIGN, a fost transferat la alt serviciu şi noile sarcini nu îi solicită accesul la date cu caracter personal.

2. Instruirea personalului

Prestatorul va instrui toți angajatii proprii care au acces la Date cu caracter personal asupra modului în care trebuie să asigure securitatea prelucrarii acestora.

Prestatorul se obligă să facă informarea propriilor angajați cu privire la prevederile legislaţiei aplicabile în domeniul protecției datelor cu caracter personal precum şi cu privire la riscurile pe care le comportă prelucrarea datelor cu caracter personal.

3. Accesul la date

Prestatorul desemnează utilizatori autorizaţi pentru operaţiile de utilizare și administrare a aplicațiilor informatice folosite în activitățile prestate conform contractului. Orice prelucrare a datelor cu caracter personal ale Beneficiarului se va face numai de către utilizatori autorizaţi desemnaţi de Prestator.

Angajații Prestatorului vor accesa numai datele cu caracter personal ale Beneficiarului necesare pentru îndeplinirea scopului stabilit in Contract.

Pentru aceasta Prestatorul va stabili tipurile de acces după funcţionalitate şi după acţiunile aplicate asupra datelor cu caracter personal conform definiției „prelucrarii” care înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizare de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminare sau punere la dispoziție în orice alt mod, elinierea sau combinarea, restrictionarea, ștergerea sau distrugerea.

Compartimentul care asigură suportul tehnic poate avea acces la datele cu caracter personal ale Beneficiarului pentru rezolvarea unor cazuri excepţionale.

Prestatorul va asigura protectia datelor cu caracter personal ale Beneficiarului in toate etapele fluxului de lucru: prelucrare, salvare, recuperare și distrugere. Autorizarea pentru aceste operațiuni de prelucrare este limitată la utilizatorii care sunt numiți în echipa de proiect, în vederea prestării activităților prevăzute în contract.

4. Computerele şi terminalele de acces

Computerele şi alte terminale de acces vor fi instalate în încăperi cu acces restricţionat prin sisteme de control acces monitorizate. Accesul este acordat doar angajaților Prestatorului alocați în proiect.

Computerele vor fi utilizate strict pentru activitățile de prelucrare prevăzute în contract. Accesul este limitat în rețea doar la aplicațiile și locațiile de pe server în care datele sunt salvate în scopul proiectului.

Pentru menţinerea securităţii prelucrării datelor cu caracter personal (în special împotriva viruşilor

informatici) Prestatorul va lua măsuri care vor consta în:

a) interzicerea folosirii de către utilizatori a programelor software care provin din surse neautorizate sau fără licență;

b) informarea utilizatorilor în privinţa pericolului privind viruşii informatici;

c) implementarea unor sisteme automate de devirusare şi de securizare a sistemelor informatice.

5. Înregistrarea accesului

Prestatorul va lua măsuri ca orice accesare la datele Beneficiarului în sistemele informatice să fie înregistrată într-un fişier de acces (numit log).

Informaţiile înregistrate în fişierul de acces sau în registru vor fi:

- codul de identificare (numele utilizatorului pentru accesarea datelor cu caracter personal);

- numele fişierului accesat (fişei);

- tipul de acces;

- codul operaţiei executate sau programul folosit;

- data accesului (an, lună, zi);

- timpul (ora, minutul)

Orice încercare de acces neautorizat va fi, de asemenea, înregistrată.

6. Execuţia copiilor de siguranţă

Prestatorul va stabili intervalul de timp la care se vor executa copiile de siguranţă ale datelor cu caracter personal ale clientilor, precum şi ale programelor folosite pentru prelucrările automatizate. Utilizatorii care execută aceste copii de siguranţă vor fi numiţi de Prestator, într-un număr restrâns.

Copiile de siguranță sunt realizate într-un centru de Recuperare de date în caz de dezastre (Disaster Recovery - DR), care respectă cerintele prevăzute de standardele de securitate, precum ISO 27001.

Prestatorul a luat toate măsurile ca accesul la copiile de siguranţă să fie monitorizat.