Servicii de Prelucrare Arhivistică Condiții contractuale

Servicii de Prelucrare Arhivistică Condiții contractuale

I. DISPOZIȚII INTRODUCTIVE

1.1. Acceptarea prezentului înscris, lansarea unei comenzi și plata pentru pachetul de servicii ales prin intermendiul xxxx.xxxxxxxx.xx reprezintă un contract în sensul prevederilor art. 1270 Noul Cod Civil între dvs. și Certsign S.A.

1.2. Contractul este alcătuit din:

a) Comanda lansată prin intermediul xxxx.xxxxxxxx.xx și documentele menționate în aceasta

b) Prezentele Condiții contractuale împreună cu Anexa nr. 1 – ’’Produsele şi serviciile ce fac obiectul contractului. Preţuri unitare’’ Anexa nr. 2 – ‘’Cerințe operaționale și proceduri de lucru’’ și Anexa nr. 3 –

„Acordul privind prelucrarea datelor cu caracter personal”.

II. DEFINIŢII

2.1. Prestator - CERTSIGN S.A., cu sediul social în București, Sos. Olteniței 107A, corp C1, et.1, camera 16, sector 4, Cod Unic de identificare RO18288250, Nr. Reg. Com. J40/484/17.01.2006, cont IBAN nr. XX00XXXX0000000000000000, deschis la Banca RAIFFEISEN BANK, sucursala SMB

2.2. Client - persoana fizică sau juridică, ce achiziționează servicii prin intermendiul xxxx.xxxxxxxx.xx

2.3. Serviciile vor însemna activităţile efectuate de către Prestator în conformitate cu condițiile contractuale şi descrise în Anexa I la acest Contract, respectiv Servicii de Prelucrare Arhivistică (verificare, inventariere, îndosariere, legare, numerotare, etichetare) si produse aferente Serviciilor (cum ar fi: cutii de stocare documente, coperti arhiva, etichete).

III. OBIECTUL CONDIȚIILOR CONTRACTUALE

3.1. Stabilește termenii și condițiile aplicabile Serviciilor.

IV. DURATĂ

4.1. Prezentele Condiții intră în vigoare la data acceptării de către Prestator a comenzii online realizată de către Client şi sunt valabile pe toată perioada de prestare a Serviciilor, respectiv perioada de prelucrare arhivistică a documentelor prevăzută în cadrul pachetului de Servicii achiziționat.

V. SUPLIMENTAREA SERVICIILOR CONTRACTULUI

5.1. În cazul în care Clientul va achiziționa un nou pachet de prelucrare arhivistică a documentelor, plata se va face conform Termeni și condiții generale magazin, în cazul achiziției online, sau prin ordin de plată, plată electronică, în contul Prestatorului menționat la pct. 2.1., la data emiterii comenzii către Prestator. Factura se emite electronic și se va transmite la adresa de e-mail comunicată în comandă.

VI. PROCEDURI OPERAŢIONALE

6.1. Clientul confirmă că a luat cunoştinţă de cerinţele operaţionale aplicabile Serviciilor cuprinse in Anexa II. Prestatorul va notifica Clientul despre orice modificare efectuată cu privire la cerinţele operaţionale cuprinse în Anexa II.

6.2. Prestatorul va prelua documentele Clientului, de la sediul acestuia, conform programului stabilit de comun acord cu Clientul. Reprezentantii Prestatorului care se vor prezenta la locația specificată de Client vor prezenta întotdeauna o legitimație de identificare. Clientul trebuie să asigure accesul la lifturi.

6.3. Transportul va fi efectuat numai în vehicule închise. Vehiculele vor fi descărcate numai în spațiul special amenajat pentru prelucrare arhivistică al Prestatorului care are elementele de securitate specificate în legea Arhivelor Naționale.

VII. OBLIGAŢIILE PĂRȚILOR

7.1. OBLIGAŢIILE PRESTATORULUI:

7.1.1. Dacă apar erori în prestarea Serviciilor din culpa exclusivă a Prestatorului, Prestatorul va trebui să remedieze aceste erori în termen de maximum 10 zile lucrătoare de la primirea notificării scrise a Clientului sau într-un termen mai lung stabilit de comun acord de părți.

7.1.2. Prestatorul deține personal instruit, calificat, care are experienţa şi specializarea necesare şi va putea executa serviciile care fac obiectul prezentului Contract, conform dispoziţiilor și reglementărilor legale în domeniul arhivării.

7.1.3. Prestatorul are încheiată o poliţă de asigurare pentru răspundere generală în valoare de 10.500.000 euro și se obligă să o menţină valabilă pe toată durata prezentului Contract. Răspunderea Prestatorului în cazul distrugerii sau dispariției cutiilor și a conținutului acestora este limitată la o valoare maximă de 20 euro/cutie.

7.1.4. Prestatorul va înregistra şi va ţine evidenţa tuturor cutiilor cu documente intrate şi ieşite din locatiile sale de arhiva si va păstra cutiile cu documente în condiţii corespunzătoare.

7.2. OBLIGAŢIILE CLIENTULUI

7.2.1. Clientul trebuie să pună la dispoziţia Prestatorului toate datele şi informaţiile necesare pentru ducerea la îndeplinire a Serviciilor.

7.2.2. Clientul declară şi garantează că valoarea registrelor în format hard-copy (documente), nu depaseşte în niciun caz valoarea de douazeci (20) Euro/cutie. În cazul în care Clientul intenţionează să transmit[ spre prelucrare documente a căror valoare depăşește această sumă, Clientul trebuie să încheie în numele și pe cheltuiala sa polițe de asigurare suplimentare.

7.2.3. Clientul are obligația să respecte toate cerințele operaționale cuprinse în prezentul contract și în Anexa II, astfel cum acestea vor fi modificate și actualizate de către Prestator și comunicate Clientului printr-o notificare prealabilă.

7.2.4. Clientul are obligația de a anunța imediat orice schimbări cu privire la persoanele care au acces la documente, precum și cu privire la orice informații sau date de contact. În lipsa unei asemenea comunicări, Prestatorului nu-i vor fi opozabile schimbările intervenite.

7.2.5. Să preia documentele la încetarea perioadei de prelucrare arhivistică.

VIII. RĂSPUNDERI CONTRACTUALE

8.1. În caz de neexecutare sau de executare necorespunzătoare a oricăreia din obligaţiile contractuale asumate, partea prejudiciată va fi în drept a solicita părţii în culpă, plata de daune-interese, la valoarea prejudiciului patrimonial, direct creat şi dovedit.

8.2. În măsura permisă de lege, nicio Parte nu va fi responsabilă pentru prejudicii indirecte, beneficiul sau profitul nerealizat, pierderi ale reputatiei, de afaceri, clienți sau date și alte asemenea pierderi.

8.3. Răspunderea totală a Prestatorului nu poate depăși valoarea Serviciilor la data producerii prejudiciului și nu mai mult de 20 euro/cutie, oricare din aceste valori e mai mică.

IX. CONFIDENŢIALITATE

9.1. În scopul acestui Contract, „Informaţii confidenţiale” reprezintă toate datele dezvăluite reciproc de către Părţi sau obţinute de o Parte de la cealaltă Parte în ceea ce priveşte relaţia guvernată de prezentul Contract, care nu sunt publice. Aceste Informaţii confidenţiale cuprind, fără a se limita la, datele şi informaţiile de orice fel, fie că aceste

date şi informaţii au fost transmise oral, în scris, şi/sau prin mijloace electronice – iar în ultimul caz, indiferent de natura mediului sau de suportul de date. Informaţiile dezvăluite de către Client sunt şi rămân proprietatea sa. Prestatorul nu va încălca, contesta, discuta sau disputa acest drept şi va lua toate măsurile necesare ca Informaţiile să nu intre în posesia unor terţi, prin orice mijloace, directe sau indirecte fără autorizarea Clientului.

9.2. Fără a prejudicia prevederile contrarii menţionate în prezentul Contract, informaţiile nu vor fi considerate Informaţii confidenţiale dacă:

• sunt sau devin publice din motive care nu se datorează culpei Părţii care le-a primit;

• erau deja în posesia Părţii care le-a primit înainte de încheierea acestui Contract fără încălcarea nici unor obligaţii legale şi nu erau sub rezerva nici unor restricţii cu privire la utilizarea sau dezvăluirea lor;

• au fost dezvoltate independent de către Părţi fără a se încălca prezentul Contract;

• au fost dezvăluite la cererea unei autorități competente.

9.3. Părţile vor gestiona informaţiile confidenţiale cu toată atenţia şi nu vor dezvălui aceste informaţii terţilor. În scopul acestei prevederi, „terţi” nu includ angajaţii proprii ai fiecărei Părți sau cei ai societăţilor afiliate uneia dintre Părţi. Se înţelege că angajaţii societăţii afiliate unei Părţi vor gestiona informaţiile confidenţiale cu toată atenţia.

X. PRELUCRAREA DATELOR CU CARACTER PERSONAL

10.1. Fiecare Parte, în măsura în care va divulga celeilalte Părți date cu caracter personal privind reprezentanții sau angajații săi implicați în semnarea și derularea prezentului contract „Scop”, se va asigura că va divulga numai informațiile necesare acestui scop.

10.2. Fiecare Parte va solicita celeilalte Părți numai datele cu caracter personal necesare îndeplinirii Scopului și, în măsura în care există alt scop pentru care solicită datele cu caracter personal, va justifica această solicitare furnizând informațiile impuse de legislația aplicabilă, respectiv de art. 13-14 din Regulamentul nr. 679/2016 și/sau de orice articol sau normă care înlocuiește sau completează aceste prevederi.

10.3. Angajații/reprezentanții Clientului pot afla informații despre prelucrarea datelor personale efectuată de Prestator pentru realizarea Scopului din documentul „Informarea persoanelor vizate în conformitate cu GDPR” disponibil la xxxxx://xxx.xxxxxxxx.xx/xx/xxxxxxxxx-xxxxxxxx/xxxx/xxxxxxxxx-xxxx.

10.4. Fiecare Parte care divulgă date personale ale angajaților/reprezentanților săi se asigură că a furnizat acestora informațiile prevăzute la art. 13-14 din Regulamentul nr. 679/2016 și/sau din orice articol sau normă care înlocuiește sau completează aceste prevederi.

10.5. Pentru evitarea oricărui dubiu, Părțile iau cunoștință și convin că fiecare Parte își asumă în mod independent responsabilitatea privind prelucrarea acestor date cu caracter personal pentru realizarea Scopului. Încălcarea de către o Parte a prevederilor prezentului capitol precum și a prevederilor Regulamentului nr. 679/2016 și a normelor general obligatorii adoptate în legătură cu protecția datelor cu caracter personal, nu poate fi apreciată ca o încălcare comună și nu poate genera răspunderea solidară față de persoana sau autoritatea care constată această încălcare.

10.6. Pentru Serviciile care fac obiectul acestui contract, Prestatorul acționează ca un împuternicit al Clientului în ceea ce privește prelucrarea datelor cu caracter personal conținute în documentele supuse serviciilor de prelucrare arhivistica, predate Prestatorului în scopul prestării serviciilor. Aceste date vor fi prelucrate în conformitate cu prevederile prezentelor Conditii și a Anexei III - Acord privind prelucrarea datelor cu caracter personal.

XI. SOLUȚIONAREA LITIGIILOR

11.1. Orice dispută apărută ca urmare a încheierii, interpretării sau executării acestui contract sau cu privire la acesta vor fi soluţionate pe cale amiabilă. Dacă Părţile nu pot ajunge la o înţelegere amiabilă, această dispută va fi soluţionată de către instanța material competentă de la sediul Prestatorului.

11.2. Disputa se va soluţiona pe baza prevederilor prezentului Contract şi ale legislaţiei române. Legislaţia aplicabilă este legislaţia română.

XII. FORŢA MAJORĂ ȘI CAZUL FORTUIT

12.1. Dacă un eveniment de forţă majoră sau un caz fortuit împiedică o Parte să-şi execute obligaţiile asumate în baza acestui Contract, executarea obligaţiilor sale va fi amânată pe durata evenimentului de forţă majoră sau cazului fortuit.

12.2. Partea care invocă forţa majoră sau cazul fortuit trebuie să respecte procedura următoare pentru a fi exonerată de obligaţiile sale pe durata perioadei de derulare a evenimentului de forţă majoră/cazului fortuit:

a) Partea menţionată trebuie să anunţe imediat cealaltă Parte cu privire la începutul şi sfârşitul acestui eveniment de forţă majoră/caz fortuit.

b) Partea menţionată trebuie să trimită celeilalte Părţi un certificat eliberat de autorităţile competente/persoanele responsabile, prin care să se adeverească începutul şi sfârşitul evenimentului ce formează forţa majoră/cazul fortuit.

12.3. Evenimentele de forţă majoră sunt situaţiile care nu depind de voinţa Părţilor şi acestea cuprind, dar fără a se limita la, dezastre, cutremure, taifunuri, greve naţionale sau locale, inundaţii. Cazul fortuit este un eveniment care nu poate fi prevăzut şi nici împiedicat de către cel care ar fi fost chemat să răspundă dacă evenimentul nu s-ar fi produs.

12.4. Dacă durata unui eveniment de forţă majoră sau caz fortuit va depăşi 60 (şaizeci) de zile consecutive, Clientul şi Prestatorul vor avea dreptul să înceteze prezentul Contract fără nicio altă formalitate, trimiţând celeilalte Părţi o notificare scrisă.

12.5. Pe durata evenimentului de forţă majoră sau caz fortuit, Părțile nu pot solicita penalităţi, dobânzi sau amenzi pentru obligaţiile neexecutate în acest interval.

12.6. Forța majoră se constată de autoritățile competente: autoritati publice centrale sau locale, camere de comerț și industrie etc.

XIII. ÎNCETAREA CONTRACTULUI

13.1. Contractul încetează a mai produce efecte, fără intervenţia niciunei instanţe, de drept şi fără alte formalităţi, în următoarele situaţii:

a) prin acordul Părţilor, exprimat în scris;

b) dacă vreuna dintre Părți nu își îndeplinește obligațiile contractuale, prezentele Condiții contractuale se consideră desființate de plin drept, fără punere în întârziere și fără altă formalitate legală decât notificarea prealabilă cu 30 de zile calendaristice a Părții în culpă.

c) Prestatorul este îndreptățit să facă aplicarea pactului comisoriu reglementat de art. 1553 alin. 1 si alin. 2 teza finală din Legea nr. 287/2009 privind Codul Civil, contractul desființându-se de plin drept, fără punere în întârziere și fără intervenția vreunei instanțe judecătorești, printr-o notificare scrisă adresată Clientului, în cazul în care se încalcă o obligaţie semnificativă impusă de prezentele condiții contractuale, şi în cazul în care încălcarea prevederilor prezentelor condiții poate fi remediată, dar Partea în cauză nu remediază situaţia în termen de treizeci (30) de zile de la primirea înştiinţării prin care se solicită remedierea, sau în

cazul în care remedierea nu e posibilă, cealaltă Parte este îndreptăţită să rezilieze Contractul, această decizie urmând a intra în vigoare imediat, în baza înştiinţării în scris. Partea în culpă este de drept în întârziere la data la care obligația era scadentă.

d) În cazul pierderii de către Prestator a dreptului de a desfășura activitățile ce fac obiectul prezentului contract, cu un preaviz de minim 15 zile acordat Clientului.

13.2. La data încetării prezentelor Condiții/Contractului, indiferent de motiv, Clientul este obligat să preia documentele. În cazul în care Clientul refuză preluarea sau nu se prezintă la locul preluării, Prestatorul le va ține la depozitul său la dispoziția Clientului, pe cheltuiala acestuia, o perioadă de 30 zile în vederea preluării conform tarifelor de depozitare arhiva in vigoare la momentul aplicarii acestora, si va percepe o penalitate de 5 euro/zi/cutie pana la ridicarea acestora de catre Client, inclusiv dupa expirarea termenului de 30 de zile. Dacă după această dată Clientul nu ridică documentele, acestea vor fi considerate predate Clientului, Prestatorul nemaiavând nicio responsabilitate cu privire la asigurarea securității, integrității acestora, nefiind răspunzator pentru distrugerea, degradarea, sustragerea, pierderea sau dispariția documentelor stocate, nefiind obligat să le predea, să le transfere Clientului sau să le depoziteze în continuare. Clientul înțelege că detine calitatea de administrator al arhivei, urmând să suporte toate consecințele prevăzute de lege pentru nerespectarea obligațiilor privind conservarea arhivelor proprii.

XIV. NOTIFICĂRI / COMUNICĂRI DE LA TERŢI

14.1. Orice comunicare, notificare sau documente pot fi transmise:

• Prestatorului la următoarele adrese și numere de fax:

SC CERTSIGN SA,Bdul Xxxxx Xxxxxxxxxxxx nr. 29A, cladirea AFI TECH XXXX 0, xxxx 0, xxxxxx 0, Xxxxxxxxx, Fax: (x0000)0000000, E-mail: xxxxxxx_xxxxxxxx@xxxxxxxx.xx

• Clientului: la adresa poștală și de email comunicate la momentul comenzii.

14.2. Orice comunicare trimisă prin poştă este considerată primită de către destinatar la momentul înmânării, dacă este depusă personal de către una din părţi, la momentul primirii de catre destinatar, în cazul trimiterii prin scrisoare recomandată cu confirmare de primire, sau în momentul primirii confirmării de către expeditor, în cazul în care comunicarea este făcută prin fax (cu condiţia ca trimiterea să nu fi intervenit într-o zi nelucrătoare, caz în care va fi considerată recepţionată la prima oră a zilei lucrătoare următoare.

14.3. Comunicările, notificările, înștiințările între părți pot fi transmise și prin curier specializat sau executor judecătoresc.

14.4. Orice modificare a adreselor și celorlalte date de contact menţionate mai sus trebuie adusă la cunoştinţa celeilalte Părţi. Dacă această modificare nu este adusă la cunoştinţă, orice document trimis la adresele menţionate mai sus va fi considerat trimis la data livrării la adresa menţionată.

XV. CLAUZE ANTICORUPȚIE

15.1. Prestatorul, în desfășurarea activităților și în gestionarea relațiilor sale, respectă principiile din propriul Cod de Conduită și Etică în Afaceri. Acestea se pot consulta la următoarea adresă: xxxxx://xxx.xxxxxxxx.xx/xx/xxxxx.

15.2. Clientul declară că a luat la cunoștință angajamentele asumate de Prestator în propriul Cod de Conduită și Etică în Afaceri și că va respecta principii echivalente în desfășurarea afacerilor sale și în gestionarea relațiilor cu terții.

15.3. În cazul încălcării acestor obligații, Prestatorul își rezervă dreptul să rezilieze contractul și să solicite Clientului acoperirea eventualelor daune.

XVI. PREVEDERI FINALE

16.1. Prestatorul îşi rezervă dreptul de a subcontracta Serviciile ce fac obiectul contractului.

16.2. Orice renunțare la orice drept sau remediu în baza prezentului Contract trebuie să fie făcută în scris. Cu excepția cazului în care se stipulează în mod expres altfel, orice renunțare va fi efectivă numai în cazul și scopul pentru care este dată.

16.4. Părţile garantează că reprezentanţii desemnaţi sa încheie prezentele Condiții au fost şi sunt investiţi la data încheierii cu toată puterea juridică să încheie şi să execute acest contract.

16.5. Părțile sunt de drept în întârziere la împlinirea termenului la care trebuia să-și execute oricare din obligații și nu și-au îndeplinit-o sau le-au îndeplinit în mod necorespunzător.

16.6. Prin încheierea prezentelor Condiții contractuale, Părțile declară pe proprie răspundere că:

• și-au exprimat în mod serios, liber și în cunoștință de cauză consimțământul privind încheierea prezentelor Condiții contractuale;

• au înțeles pe deplin clauzele sale pe care le-au citit integral și pe care le-au acceptat în mod expres;

• dețin experiența și cunostințe suficiente în vederea încheierii prezentelor Condiții contractuale.

CATALOG SERVICII ȘI PRODUSE PRELUCRARE ARHIVISTICĂ CERTSIGN

Denumire serviciu	UM	Preț fără TVA Unitar/Pachet
Pachetul de servicii de prelucrare arhivistică include: pregătirea documentelor pentru transportul la centrul de procesare certSIGN, asigurarea materialelor necesare pentru prelucrarea arhivei, prelucrarea arhivistică și returul la sediul Beneficiarului. Pentru clienții din zona București/Ilfov transportul cutiilor la centrul de procesare este asigurat gratuit de certSIGN, pentru clienții din țară se va adauga la costul Serviciului achiziționat și costul serviciului de curierat. Prețul pachetului este pentru prelucrarea unei cantități de 10 metri liniari de documente.	10 ml/an (respectiv 30 cutii de arhiva cu dimensiunea de 350x250x310 mm)	1600,00 €

CERINȚE OPERAȚIONALE ȘI PROCEDURI DE LUCRU

1. Preluarea documentelor

certSIGN va furniza cutiile de arhiva si codurile de bare de cutie in locatia arhivei Clientului. Documentele vor fi incarcate in cutii de arhiva de catre o echipa certSIGN. Se va intocmi o evidenta electronica (format excel) a documentelor preluate ce va contine cel putin: codul cutiei, codul dosarului/numarul de dosare din cutie, categoria de documente, anii extremi pentru documentele existente in cutie.

Documentele se vor prelua pe baza de proces-verbal incheiat in doua exemplare, semnat de reprezentantii ambelor parti, un exemplar pentru certSIGN si un exemplar pentru Client.

certSIGN va incarca cutiile in mijlocul de transport si va reloca aceste cutii la sediul depozitului certSIGN. La sediul depozitului, cutiile vor fi descarcate, se va verifica concordanta intre numarul de cutii trecute in PV si cele primite, se va verifica integritatea cutiilor si se vor introduce in zona de procesare sau depozitul de arhiva.

2. Prelucrarea arhivistica a documentelor

certSIGN presteaza serviciile de prelucrare arhivistica a documentelor respectand cerintele Legii Arhivelor Nationale nr. 16 din 2 aprilie 1996, Instructiunile privind activitatea de arhiva la creatorii şi deţinătorii de documente, aprobate de conducerea Arhivelor Nationale prin Ordinul de zi nr. 217 din 23 mai 1996.

Serviciile vor fi prestate si tarifate conform ofertei financiare si a tarifelor unitare din Anexa 1 a prezentelor conditii.

3. Ordonarea documentelor

Proces de grupare a unităţilor arhivistice după un anumit criteriu stabilit: pe ani, cronologic, pe compartimente,

alfabetic, pe probleme, pe tip de document, pe termen de pastrare etc., conform nomenclatorului arhivistic.

4. Numerotare documente

Proces de tinere a evidentelor volumelor de documente arhivate. In acest sens, se va numerota fiecare fila din dosar, in ordine cronologica. La finalul unitatii arhivistice se a adauga o certificare pe care se va inscrie numarul total de file.

5. Inscripționare

Pe coperta dosarului se menționează: denumirea unităţii şi a departamentului, numărul de dosar din inventar, anul, indicativul din nomenclator, datele de început şi de sfârşit, numărul de file, volumul şi termenul de păstrare.

6. Inventariere documente

Documentele sunt luate în evidență dupa ordonarea acestora. Se va întocmi o lista de inventar a documentelor prelucrate. Inventarul se va intocmi pe ani şi termene de păstrare conform nomenclatorului arhivistic. Inventarul întocmit va fi predat către Client pe suport de xxxxxx și suport electronic si se va completa in registrul de intrări- ieșiri.

7. Introducere în cutii

Dosarele cu documentele prelucrate se introduc în cutii special concepute, respectând principiile ordonării, cât și în baza inventarului. Pe lângă siguranța fizică, cutiile cu documente pot fi manipulate cu ușurință pe parcursul transportului spre locația de prelucrare a documentelor

ANEXA III

ACORD PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL

efectuată în cadrul executării serviciilor de prelucrare arhivistică

ÎNTRUCÂT:

a) Executarea Condițiilor Ccontractuale Servicii de Prelucrare Arhivistică (denuite în cele ce urmează „Contract Principal”) va implica prelucrarea unor date cu caracter personal aparținând unor persoane fizice ale căror date cu caracter personal sunt în posesia Clientului.

b) Clientul este un operator de date cu caracter personal, astfel cum este definit la articolul 4 alineatul (7) din Regulament.

c) Prestatorul este un împuternicit al Clientului cu privire la prelucrarea de date cu caracter personal, astfel cum este definit la articolul 4 alineatul (8) din Regulament.

în conformitate cu articolul 28 alineatul (3) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) ("Regulamentul"), încheie prezentul Acord de prelucrare date cu caracter personal ("Acordul") care va deveni anexa a Contractului Principal.

Termenii folosiți vor avea înțelesul prevăzut în Contractul Principal și în Regulament.

1. Scopul și obiectul Acordului

1.1. Scopul prezentului Acord este stabilirea drepturilor și obligațiilor Părților în legătură cu orice acte de prelucrare a datelor cu caracter personal care sunt implicate de furnizarea Serviciilor așa cum sunt definite în Contractul Principal.

1.2. Obiectul prezentului Acord îl reprezintă angajamentul Prestatorului de a prelucra date cu caracter personal în numele Clientului în conformitate cu prezentul Acord, cu Regulamentul și instrucțiunile Clientului și cu respectarea prevederilor Legii 16/1996 a Arhivelor Naționale.

2. Prelucrarea datelor cu caracter personal

2.1. În scopul executării obiectului Contractului Principal, Părțile vor procesa datele cu caracter personal existente in documentele Clientului care vor fi prelucrate arhivistic, astfel de date putând include, fără limitare: (a) numele şi prenumele, (b) adresa, (c) data nașterii, (d) codul numeric personal, (e) numărul de telefon și fax, (f) adresa de e-mail, (g) numărul de cont bancar, (h) istoricul tranzacțiilor financiare cu persoana vizata, (i) date despre starea de sănătate.

2.2. Număr de identificare național poate fi prelucrat și utilizat numai în baza unei prevederi legale, conform articolului 87 din Regulament, sau cu acordul scris al persoanei vizate sau al tutorelui acesteia; în acest din urmă caz, Clientul se obligă să obțină consimțământul în scris și, la solicitarea Prestatorului sau al autorității de reglementare, sa facă dovada acestui lucru.

2.3. Categoriile speciale de date cu caracter personal nu vor putea fi prelucrate decât dacă este aplicabilă vreuna din excepțiile prevăzute la Articolul 9 din Regulament.

2.4. Clientul declară că transmiterea către Prestator a tuturor datelor cu caracter personal în scopul prelucrării lor este legală și în conformitate cu Regulamentul și legislația națională din domeniul prelucrării datelor cu caracter personal.

2.5. Pentru scopurile menționate la articolul 1 secțiunea 1.1, Clientul îl autorizează pe Prestator să prelucreze datele cu caracter personal enumerate exemplificativ în articolul 2 secțiunea 2.1 a prezentului Acord.

2.6. Părțile declară că obligațiile asumate prin prezentul Acord nu dau niciuneia dintre ele dreptul la vreo remunerație, singura remunerație fiind cea prevăzută în Contractul Principal.

3. Drepturile și obligațiile Clientului

3.1. În executarea prezentului Acord, Clientul este obligat să respecte Regulamentul și legislația națională din domeniul prelucrării datelor cu caracter personal și să își îndeplinească obligațiile în spiritul acestora.

3.2. Pe parcursul derulării Acordului, Clientul se obligă să coopereze cu bună-credință cu Prestatorul în scopul îndeplinirii prezentului Acord. Cu particularitate Clientul, în cazul în care este necesar să pună la dispoziția Prestatorului anumite documente pentru ca acesta să își poată îndeplini obligațiile în baza prezentului Acord, Clientul va furniza aceste documente în termen de 7 zile de la solicitarea Prestatorului.

3.3. În cazul în care Prestatorul trebuie să primească o împuternicire sau orice altă autorizație sau permisiune pentru îndeplinirea obligațiilor care îi revin în temeiul prezentului Acord, Clientul se angajează să acorde Prestatorului o astfel de împuternicire sau altă autorizație sau permisiune fără întârziere nejustificată, după ce i s-a solicitat acest act de către Prestator.

3.4. Clientul va putea acorda unor terțe părți, persoane fizice sau juridice, accesul la datele cu caracter personal procesate de către Prestator, care, după ce va fi notificat de către Client, va permite accesul acelor terți la respectivele date cu caracter personal, cu respectarea obligației de confidențialitate pe care Prestatorul o are față de clienții săi. În cazul în care terții sunt persoane juridice, acordul de accesare a datelor cu caracter personal aflate în prelucrarea Prestatorului se va extinde și asupra angajaților și împuterniciților acelor persoane juridice, pe care Clientul îi va specifica.

4. Drepturile și obligațiile Prestatorului

4.1. Pe tot parcursul derulării prezentului Acord, Prestatorul este obligat să respecte prevederile Regulamentului, în toate activitățile de prelucrare de date cu caracter personal.

4.2. Prestatorul va respecta, de asemenea, actele normative și regulamentele aplicabile în general prezentului Acord, precum și, în calitatea sa de împuternicit al Clientului, instrucțiunile documentate ale acestuia.

4.3. În conformitate cu prevederile Legii 16/1996 a Arhivelor Naționale, Prestatorul va putea angaja, în sensul articolului 28 alineatul (2) din Regulament, un sub-contractant pentru activitățile de prelucrare arhivistică ce presupun si prelucrare a datelor cu caracter personal, cu înștiințarea prealabilă a Clientului.

4.4. Prestatorul nu va putea transfera date cu caracter personal către terțe țări sau organizații internaționale în sensul articolelor 44 până la 50 din Regulament.

4.5. Prestatorul se obligă să prelucreze în numele Clientului datele cu caracter personal numai în scopul, în limitele și în condițiile specificate în prezentul Acord și al Contractului Principal și pe baza instrucțiunilor explicite ale Clientului și să nu utilizeze datele cu caracter personal la care are astfel acces pentru alte scopuri.

4.6. Să permită accesul la datele prelucrate în numele Clientului doar acelor terți sau angajați ai Clientului desemnați în scris de către Client.

4.7. Prestatorul declară că, la data intrării în vigoare a prezentului Acord și ulterior pe toată perioada de derulare a Acordului, posedă și va menține condiții tehnice, materiale și de resurse umane suficiente pentru a asigura un nivel adecvat de protecție a drepturilor persoanelor ale căror date cu caracter personal sunt prelucrate în temeiul prezentului Acord. La cererea Clientului, Prestatorul îi va pune la dispoziție dovezi privind îndeplinirea condițiilor cerute, atât înainte de intrarea în vigoare a Acordului, cât și pe toată durata acestuia.

4.8. Prestatorul are dreptul să prelucreze datele cu caracter personal, în special prin operațiuni de stocare pe suporturi de date, administrare și păstrare (arhivare), copiere de rezervă, restricționare, dezvăluire către persoane desemnate de către Client precum și de distrugere a acestor date, în conformitate cu legislația aplicabilă în domeniul arhivării.

4.9. Prestatorul se angajează să pună în aplicare măsuri tehnice și organizatorice pentru protejarea datelor cu caracter personal și să ia măsuri pentru a elimina pe cât posibil orice risc de acces neautorizat sau accidental care ar duce la modificări, distrugeri sau pierderi, transferuri neautorizate, alte procese neautorizate sau alte întrebuințări greșite ale datelor cu caracter personal.

4.10. La solicitarea Clientului, Prestatorul va returna sau distruge/șterge datele cu caracter personal prelucrate în numele Clientului. În cazul în care Clientul solicită Prestatorului să distrugă datele cu caracter personal prelucrate de acesta în baza prezentului Acord, în termen de 15 zile lucrătoare de la data primirii solicitării de mai sus și în măsura în care Legea 16/1996 a Arhivelor Naționale permite, Prestatorul va șterge toate datele cu caracter personal pe care le deține și le procesează în baza prezentului Acord, din toate bazele de date și locațiile în care sunt păstrate și va distruge documentele care conțin date cu caracter personal prelucrate, cu excepția cazului în care acestea sunt deja returnate Clientului sau dreptul Uniunii ori dreptul intern impune stocarea datelor cu caracter personal. Această procedură referitoare la distrugerea datelor cu caracter personal se aplică și la intervenția cazurilor de încetare a prezentului Acord.

4.11. Prestatorul va coopera cu Clientul în vederea îndeplinirii obligațiilor Clientului, în calitate de operator al datelor cu caracter personal, în baza solicitărilor privind exercitarea drepturilor persoanelor vizate, în conformitate cu articolele 15 - 21 din Regulament.

4.12. Temeinicia solicitării unei persoane ale cărei date cu caracter personal sunt supuse procesării va fi evaluată de către Client. Atunci când este instruit astfel de către Client, Prestatorul va înregistra imediat cererea solicitantului în cadrul activității de prelucrare a datelor cu caracter personal pe care o efectuează.

4.13. Prestatorul va informa imediat Clientul asupra tuturor modificărilor preconizate privind prelucrarea datelor cu caracter personal care trebuie notificate atorității de supraveghere și care afectează sau pot afecta drepturile și obligațiile care decurg din acest Acord sau din Contractul Principal.

4.14. În conformitate cu prevederile art. 33 alin. (2) din Regulament, Prestatorul va notifica Clientul, fără întârzieri nejustificate, orice încălcare a securității prelucrării datelor cu caracter personal, descriind natura încălcării, categoriile și numărul aproximativ al persoanelor vizate în cauză, precum și categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal ce pot fi afectate.

4.15. Dacă autoritatea de supraveghere solicită informații de la Prestator (sau inițiază o inspecție a spațiilor relevante ale Prestatorului sau o anchetă a acestuia) privind modul de prelucrare a datelor cu caracter personal procesate de Prestator în numele Clientului, Prestatorul va informa Clientul cu privire la asemenea demersuri fără întârzieri nejustificate.

4.16. Prestatorul, și orice persoană implicată în prelucrarea datelor cu caracter personal pentru Prestator, este obligat să respecte confidențialitatea cu privire la prelucrarea datelor cu caracter personal precum și regulile de utilizare a sistemelor informatice și de manipulare a documentelor care conțin date cu caracter personal.

4.17. La cererea Clientului, Prestatorul îi va pune la dispoziție dovezi cu privire la instruirea personalului implicat

în prelucrarea datelor cu caracter personal, în condițiile sus-menționate.

4.18. În cazul în care Prestatorul nu mai îndeplinește condițiile de prelucrare a datelor cu caracter personal conform prevederilor Regulamentului sau celor din prezentul Acord, acesta informează Clientul cu privire la aceasta, fără întârzieri nejustificate.

4.19. La cererea Clientului, Prestatorul va permite acestuia, angajaților săi sau persoanelor desemnate de acesta accesul la datele cu caracter personal în curs de prelucrare, cu respectarea obligațiilor de confidențialitate pe care Prestatorul le are față de clienții săi.

4.20. In plus, Prestatorul îi va permite Clientului să verifice conformitatea modului său de prelucrare a datelor cu caracter personal cu prezentul Acord și cu Regulamentul. Verificarea va consta, în special, în revizuirea documentelor de suport solicitate de Client de la Prestator. În cazul în care se constată nereguli în timpul acestei verificări, Prestatorul va permite Clientului sau persoanelor autorizate în mod specific de către acesta să efectueze un audit care să analizeze conformitatea modului de prelucrare a datelor cu caracter personal cu dispozițiile prezentului Acord și ale Regulamentului. Auditul se va desfășura la locațiile Prestatorului unde are loc prelucrarea efectivă a datelor cu caracter personal. Acest audit va fi efectuat de Client sau de un auditor autorizat de Client, totalitatea costurilor fiind suportate de Client.

4.21. Clientul va notifica în scris (inclusiv electronic) intenția sa de a efectua auditarea Prestatorului cu cel puțin 15 zile lucrătoare înainte de efectuarea acesteia. În același timp, Clientul va comunica Prestatorului ce proceduri, baze de date și documente urmează să fie auditate, domeniul de aplicare și datele care urmează să fie puse la dispoziție sau furnizate persoanei care efectuează auditul.

4.22. Persoana care efectuează, pe baza instrucțiunilor Clientului, auditul menționat anterior trebuie să respecte toate măsurile de securitate ale Prestatorului conform instrucțiunilor acestuia. Persoana respectivă este de asemenea obligată să respecte obligația de confidențialitate prevăzută la punctul 4.16 din prezentul Acord.

4.23. În cazul în care din audit reiese neconformitatea prelucrării datelor cu caracter personal cu prevederile Acordului sau Regulamentului, Clientul este îndreptățit să solicite Prestatorului remedierea situației.

5. Durata și încetarea Acordului

5.1. Prezentul Acord este valabil pe toată perioada de valabilitatea a Contractului Principal.

5.2. Prezentul Acord poate fi reziliat prin acordul scris al ambelor Părți sau printr-o notificare scrisă ce trebuie să respecte un termen de preaviz de 30 de zile înainte ca încetarea să se producă. Termenul începe să curgă din prima zi a lunii care urmează celei în care a fost primită notificarea de reziliere.

5.3. Rezilierea prezentului Acord atrage în subsidiar și rezilierea Contractului Principal, Prestatorul urmând să înceteze prelucrarea datelor cu caracter.

5.4. La încetarea Acordului, Părțile vor proceda în ceea ce privește datele cu caracter personal prelucrate în

temeiul prezentului Acord în conformitate cu articolul 4 alineatul 4.10 din Acord și cu Regulamentul.

6. Dispoziții finale

6.1. Prezentul Acord este guvernat de legea româna iar prevederile sale vor fi completate cu orice prevederi din Codul Civil sau Regulament necesare pentru a realiza intenția prezentului Acord și a Contractului Principal. Orice modificare a prezentului Acord trebuie făcută prin acordul Părților.

6.3. Dacă o dispoziție a prezentului Acord este lovită de nulitate sau lipsită de efecte, acest aspect nu va atrage nulitatea altor dispoziții sau a întregului Acord, cu excepția cazului în care rezultă din natura sau conținutul acestei clauze că dispoziția anulată sau inaplicabilă este de esența Acordului sau în lipsa acesteia Acordul nu s-ar fi încheiat. În cazul în care o clauză a prezentului Acord devine nulă sau invalidă, Părțile vor negocia și agrea asupra modului in care vor proceda pentru a păstra și realiza intenția inițială a Acordului.

MĂSURI TEHNICE ȘI ORGANIZATORICE

Cerinţele minime de securitate a Prelucrărilor Datele cu caracter personal asigurate de CERTSIGN în calitate de

Prestator de servicii de arhivare fizică și electronică:

1. Identificarea şi autentificarea utilizatorului

Prin utilizator se înţelege orice persoană care acţionează sub autoritatea Prestatorului, cu drept recunoscut de acces la Datele cu caracter personal ale clientului.

Utilizatorii care trebuie sa aiba acces la date cu caracter personal trebuie să se identifice. Identificarea si autentificarea se pot face prin mai multe metode, cum ar fi: cont de utilizator si parola, card de acces, certificat digital. Prin fiecare dintre aceste metode, fiecare utilizator are propriul său cod unic de identificare. Niciodată mai mulţi utilizatori nu vor avea acelaşi cod de identificare.

2. Accesul la date

Prestatorul desemnează utilizatori autorizaţi pentru operaţiile de utilizare și administrare a aplicațiilor informatice folosite în activitățile prestate. Orice prelucrare a Datelor cu caracter personal ale clientului se face numai de către utilizatori autorizaţi desemnaţi de Prestator.

Angajații Prestatorului acceseaza numai datele cu caracter personal ale clientului necesare pentru îndeplinirea scopului stabilit in Contract.

Pentru aceasta Prestatorul stabileste tipurile de acces după funcţionalitate şi după acţiunile aplicate asupra datelor cu caracter personal conform definiției „prelucrarii” care înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

Compartimentul care asigură suportul tehnic poate avea acces la Datele cu caracter personal ale clientului pentru

rezolvarea unor cazuri excepţionale.

Prestatorul asigura protectia Datelor cu caracter personal ale clientului in toate etapele fluxului de lucru: prelucrare, salvare, recuperare și distrugere. Autorizarile pentru aceste prelucrari de Date cu caracter personal sunt limitate la utilizatorii care sunt numiți în echipa de proiect, în vederea prestării activităților prevăzute în contract.

3. Înregistrarea accesului

Prestatorul ia măsuri ca orice accesare la Datele clientului în sistemele informatice de tip server să fie înregistrată

într-un fişier de acces (numit log). Logurile vor fi pastrate pentru o perioadă maximă de 24 de luni. Informaţiile înregistrate în fişierul de acces sau în registru sunt:

• codul de identificare (numele utilizatorului pentru accesarea Datelor cu caracter personal);

• numele fişierului accesat (fişei);

• tipul de acces;

• codul operaţiei executate sau programul folosit;

• data accesului (an, lună, zi);

• timpul (ora, minutul)

• Orice încercare de acces neautorizat este, de asemenea, înregistrată.

4. Securitatea retelei

Securitatea retelei este asigurata la toate nivelele prin echipamente dedicate. configurate pentru asigura protectia in profunzime. Accesul de la distanta se face doar prin VPN cu autentificare puternica. Intreaga retea este

monitoriza operational din NOC-ul local cu ajutorul unor aplicatii software dedicate. Asigurarea securitatii retelei este completata cu sisteme de tip Network IDS, Host IDS si SIEM.

5. Securitatea serverelor

Toate serverele din productie trec prin acelasi ciclu de viata al securitatii. Securitatea este bazata pe analize de riscuri, configurari sigure conform bunelor practici, evaluari de securitate independente, managementul vulnerabilitatilor si monitorizare. Majoritatea aplicatiilor software prin care furnizam servicii sunt dezvoltate in house conform unei metodologii de dezvoltare proprii care are la baza principiile de security by design si by default.

6. Securitatea statiilor de lucru

Toate statiile de lucru sunt administrate centralizat si conform unor politici de securitate. Utilizatorii nu pot schimba aceste politici. Protectia fata de malware este asigurata prin proxy-uri web si e-mail si prin sisteme locale de tip Endpoint Detection and Response. Managementul vulnerabilitatilor statiilor se realizeaza in mod automat.

7. Securitatea personalului

Procedura de angajare presupune verificarea competentei iar activitatile de risc crescut sunt efectuate doar de catre angajati selectati printr-un process riguros.

8. Instruirea personalului

Prestatorul instruieste toți angajatii proprii care au acces la Date cu caracter personal asupra modului în care trebuie să asigure securitatea prelucrarii acestora.

Prestatorul se obligă să facă informarea propriilor angajați cu privire la prevederile Legislaţiei aplicabile privind protecția Datelor precum şi cu privire la riscurile pe care le comportă prelucrarea datelor cu caracter personal.

9. Securitatea fizica

Toate spatiile de lucru au unul sau mai multe perimetre de securitate cu acces controlat si monitorizat si dispun de senzori pentru detectia accesului neautorizat. Incidentele sunt monitorizate din centre speciale care comunica permanent cu echipe mobile de intereventie.

10. Managementul securitatii

Securitatea serviciilor certSIGN este administrata printr-un sistem de management al securitatii certificat ISO 27001:2018.

11. Execuţia copiilor de siguranţă

Prestatorul stabileste intervalul de timp la care se executa copiile de siguranţă ale Datelor cu caracter personal ale clientilor, precum şi ale programelor folosite pentru prelucrările automatizate. Utilizatorii care execută aceste copii de siguranţă sunt numiţi de Prestator, într-un număr restrâns.

Prestatorul a luat toate măsurile ca accesul la copiile de siguranţă să fie monitorizat.