ACORD PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL

ANEXĂ LA CONVENȚIA-CADRU

ACORD PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL

Acest Acord privind prelucrarea datelor cu caracter personal (denumit în continuare "Acord" sau „Acordul”), încheiat la data de .................................. face parte integrantă și completează:

Convenția-cadru de colaborare privind efectuarea stagiului de practică în cadrul programelor de studii universitare de licenţă sau masterat numărul ....................... din data de ................

denumită în continuare „Convenția-cadru"

și este încheiat între:

ACADEMIA DE STUDII ECONOMICE din București, cu sediul în Xxxxx Xxxxxx xx. 0, xxxxxx 0, Xxxxxxxxx, cod poștal 010374, CIF 4433775, reprezentată de prof. univ. xx. Xxxxxxx XXXXXXX, în calitate de Rector, denumită în continuare „Organizatorul de practică”,

și

.................................................................................................................................................................... denumită în continuare „Partenerul de practică”

„Organizatorul de practică” și „Partenerul de practică” pot fi denumiți în continuare în mod individual „Partea” și în mod colectiv „Părțile”.

Având în vedere că:

• Încheierea și executarea Convenției-cadru presupune, de asemenea, Prelucrarea de către fiecare dintre Părți a unor Date cu caracter personal aparținând reprezentanților celeilalte Părți, Prelucrare care are ca scop documentarea încheierii și gestionarea executării Convenției-cadru, precum și îndeplinirea unor obligații legale în legatură cu încheierea și executarea Convenției-cadru, fiecare dintre Părți stabilind în mod individual scopurile și mijloacele de Prelucrare a respectivelor Date și acționând, în legătură cu aceste Prelucrări, în calitate de Operator independent;

• Părțile doresc încheierea unui acord care să guverneze drepturile și obligațiile acestora în ceea ce priveste activitățile de Prelucrare a Datelor cu caracter personal desfășurate în contextul executării Convenției-cadru;

În sensul prezentului Acord, termenii definiți enumerați mai jos au următoarele semnificații:

• Legislația aplicabilă în materie de protecție a datelor: desemnează Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei 95/46/CE – denumit GDPR; noțiunea astfel definită acoperă și se referă la toate celelalte legi și reglementări aplicabile în Romania care au incidență sau impact asupra prelucrării datelor cu caracter personal

• Operator: desemnează persoana fizică sau juridică, autoritate publică, agenție sau orice alt organism care, singur sau împreuna cu altele, stabilește scopurile și mijloacele de Prelucrare a Datelor cu caracter personal; în cazul în care scopurile și mijloacele prelucrării sunt stabilite de dreptul Uniunii sau dreptul intern, Operatorul sau criteriile specifice de numire a acestuia pot fi prevăzute de aceste legi.

• Persoană împuternicită de operator: desemnează o persoană fizică sau juridică, o autoritate publică, o agenție sau orice alt organism care Prelucrează Date cu caracter personal în numele Operatorului.

• Persoană vizată: desemnează o persoană fizică identificată sau identificabilă în legătură cu care se prelucrează Datele cu caracter personal.

• Date cu caracter personal: desemnează orice informație referitoare la o persoană fizică identificată sau identificabilă; o persoană identificabilă este una care poate fi identificată, direct sau indirect, în special prin referire la un identificator cum ar fi un nume, un număr de identificare, date despre locație, un identificator online sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

• Încălcarea securității Datelor cu caracter personal: desemnează o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a Datelor cu caracter personal transmise, stocate sau prelucrate în alt mod.

• Prelucrare: desemnează orice operațiune sau set de operațiuni efectuate cu privire la Datele cu caracter personal sau asupra seturilor de Date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, precum colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

1. Categoriile de date. Categorii de persoane vizate. Scopul prelucrării. Temei juridic

În vederea încheirii și executării Convenției-cadru, fiecare Parte, în calitate de Operator, poate prelucra următoarele categorii de date cu caracter personal:

• date de identificare și de contact ale reprezentanților legali ai Părților, prelucrate inclusiv pentru îndeplinirea unor obligații legale, respectiv: nume, prenume, serie și numar act de identitate/călătorie, emitent, data limită de valabilitate a documentului, cetățenie, adresa de e-mail instituțională, număr de telefon de serviciu, funcție;

• date de identificare și de contact de la locul de muncă ale persoanelor de contact desemnate de Părți, respectiv: nume, prenume, adresa de e-mail instituțională, număr de telefon instituțional, departament, funcție;

date de identificare și date de contact aparținând studenților ASE, în calitate de practicanți conform prevederilor Convenției-cadru, respectiv: nume, prenume, CNP, ziua naşterii, locul naşterii, cetăţenia, identificatorul de paşaport (dacă este cazul), identificatorul permisului de şedere (dacă este cazul), adresa de domiciliu, adresa unde va locui studentul pe durata desfăşurării stagiului de practică, anul  universitar,  facultatea, anul de studii, seria, grupa, adresa de email instituțional, numărul telefon;

• date de identificare și date de contact aparținând cadrelor didactice ale ASE, având responsabilități în derularea Convenției-cadru, respectiv: nume, prenume, adresa de e-mail instituțională, număr de telefon instituțional, departament, funcție);

Xxxxxx pot fi colectate de către una dintre Părți de la cealaltă Parte sau direct de la persoana vizată. Partea care dezvăluie aceste date confirmă că este autorizată să furnizeze acele date cu caracter personal Părții destinatare.

Fiecare Parte va utiliza datele cu caracter personal care fac obiectul Convenției-cadru exclusiv în scopul validării și exercitării atribuțiilor și obligațiilor legale, în scopul executării Convenției-cadru și în vederea comunicării cu angajații și practicanții.

Prelucrarea datelor cu caracter personal ale persoanelor vizate este necesară pentru a permite Părților sa încheie și sa execute Convenția-cadru.

2. Prelucrarea datelor. Măsuri de securitate

În ceea ce privește prelucrarea datelor cu caracter personal ale persoanelor vizate mentionate mai sus, Organizatorul de practică și Partenerul de practică vor determina în mod individual scopurile și mijloacele prelucrării pentru prelucrările individuale și împreună pentru prelucrările aferente calității de operatori asociați.

Fiecare Parte va prelucra Date cu caracter personal exclusiv în scopul încheierii și executarii Convenției-cadru, inclusiv dezvăluirea Datelor cu caracter personal către cealaltă Parte și garantează că Prelucrează Datele cu caracter personal în deplină conformitate cu Legislația aplicabilă în materie de protecție a datelor și că își va respecta obligația de a informa Xxxxxxxxxx vizate conform dispozițiilor legale în vigoare.

Fiecare dintre Operatori se angajează:

• să își respecte toate obligațiile aferente calității de Operator prevăzute de GDPR;

• să se asigure că datele personale sunt prelucrate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri;

• să asigure minimizarea datelor personale procesate în raport cu scopurile pentru care sunt prelucrate;

• să asigure restricționarea accesului la prelucrarea datelor cu caracter personal doar către personal autorizat (principiul „need to know”),

• să ia toate măsurile necesare pentru a asigura responsabilizarea întregului său personal cu acces la datele cu caracter personal și pentru a se asigura că toți membrii personalului său sunt obligați să păstreze confidențialitatea datelor cu caracter personal;

• să pună în aplicare și să mențină măsuri tehnice și organizatorice adecvate privind prelucrarea datelor cu caracter persoanal, care să îndeplinească cerințele GDPR;

• să își respecte obligațiile aferente calității de Operator cu privire la încălcarea securității datelor cu caracter personal și să informeze cealaltă Parte cu privire la orice asemenea încălcare semnificativă a securității datelor cu caracter personal de interes pentru cealaltă Parte, fără nicio întârziere nejustificată.

3. Exactitatea datelor

Este important ca datele personale prelucrate de fiecare Parte să fie corecte și actuale. Fiecare Parte va informa cealaltă Parte în cazul în care ia la cunoștință că au intervenit modificări privind datele cu caracter personal prelucrate în conformitate cu cele de mai sus, în măsura în care informațiile sunt relevante pentru executarea Convenției-cadru.

4. Stocarea datelor

Fiecare parte va păstra datele cu caracter personal atât timp cât este necesar pentru executarea Convenției-cadru, inclusiv în scopul îndeplinirii oricăror obligații legale de păstrare, obligații contabile, de raportare sau arhivare, care pot implica prelucrarea acestor date.

Datele personale ale studenților ASE, în calitate de practicanți conform prevederilor Convenției-cadru vor fi șterse de către Partenerul de practică dupa încetarea valabilității Convenției-cadru, într-un termen de maximum 30 zile.

5. Transferul către terțe Părți - Subcontractarea

În executarea Convenției-cadru, fiecare Parte, în calitatea sa de Operator, poate contracta furnizori de servicii care vor căpăta calitatea de Persoane împuternicite de Operator, cu condiția ca acestea să fie ținute de a respecta obligațiile prevăzute de GDPR.

În acest sens, Operatorul trebuie să încheie cu Persoana împuternicită de Operator un acord de prelucrare a datelor (în conformitate cu cerințele legale prevăzute la articolul 28 al GDPR), sau un echivalent al acestuia, pentru a asigura conformitatea legală cu privire la prelucrarea acestor date.

Partenerul de practică este autorizat cu titlu general să contracteze terțe părți în vederea prestării serviciilor, fără acordul prealabil scris dat de Organizatorul de practică. Cu toate acestea, Partenerul de practică va informa Organizatorul de practică cu privire la orice modificări preconizate cu privire la respectivele terțe părți, pentru a oferi Organizatorului de practică posibilitatea de a formula obiecţii.

În cazul în care Partenerul de practică intenţionează să subcontracteze servicii unei terțe părți, Organizatorul de practică nu se va putea opune în mod discreționar la subcontractarea serviciilor.

6. Transferul datelor către terțe țări

Niciun Operator nu va transfera date cu caracter personal către nicio țară din afara Spațiului Economic European, cu excepția cazului în care oferă garanții adecvate pentru transferul efectuat, cum ar fi: (i) transfer către orice țară considerată de către Comisia UE că asigură un nivel de protecție adecvat; (ii) transfer în conformitate cu principiile Privacy Shield (sau o schemă echivalentă) sau (iii) transfer supus unui alt mecanism de transfer de date sau a unor alte garanții adecvate conform cerințelor GDPR.

7. Drepturile persoanelor vizate ale căror date sunt prelucrate în legătură cu Convenția-cadru

În temeiul Regulamentului GDPR, persoanele vizate își pot exercita următoarele drepturi cu privire la datele personale prelucrate în legatură cu Convenția-cadru, în raport cu fiecare dintre Operatori, după caz: dreptul de acces la date (art. 15 al GDPR), dreptul la rectificare (art. 16 al GDPR) în conformitate cu prevederile legale în vigoare, dreptul la ștergerea datelor („dreptul de a fi uitat” – art. 17 al GDPR), dreptul la restricționarea prelucrării (art. 18 al GDPR), dreptul la portabilitatea datelor (art. 20 al GDPR), dreptul la opoziție (art. 21 al GDPR), dreptul de a nu fi supus unei decizii individuale automatizate (art. 22 al GDPR), dreptul de intervenție asupra datelor (art. 22 alin. 3 al GDPR), dreptul de adresare către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal și/sau către instanțele de judecată competente (art. 12 alin. 4 al GDPR).

Pentru a revizui, verifica, rectifica sau solicita ștergerea informațiilor personale, a se opune prelucrării datelor cu caracter personal, sau pentru a exercita oricare dintre drepturile de mai sus, Părțile pot fi contactate în scris la următoarele adrese de email:

• Pentru Organizatorul de practică: xxxx@xxx.xx

• Pentru Partenerul de practică: ..................................................

8. Informarea persoanelor vizate

Fiecare Operator este responsabil de faptul că toate persoanele vizate ale căror date sunt prelucrate pentru executarea și îndeplinirea Convenției-cadru cadru sunt informate cu privire la prelucrarea datelor lor cu caracter personal.

Prin semnarea Convenției-cadru, fiecare dintre semnatari confirmă că a fost informat asupra prelucrării datelor sale cu caracter personal.

9. Valabilitate. Răspundere

Fiecare dintre Operatori îl va despăgubi pe celălalt pentru pierderile, daunele, costurile, cheltuielile și alte obligații (inclusiv taxele juridice și altele) suportate sau impuse celuilalt Operator și referitoare la o pretenție a unui terț, în măsura în care aceasta se datorează nerespectării de către cealaltă Parte a obligațiilor de protecție a datelor cu caracter personal care îi revin.

Prezentul Acord va înceta în momentul încetării Convenției-cadru.

Toate modificările și completările la prezentul Acord sunt valabile numai daca sunt efectuate în scris.

ACADEMIA DE STUDII ECONOMICE DIN BUCUREȘTI	PARTENER
R E C T O R,

Data semnării .......................... Data semnării ..........................