Prezentul acord a fost conceput in scopul respectarii Regulamentului
(UE) 2019/679 al Parlamentului European si al Consiliului Europei
din 27.04.2016 privind
protectia persoanelor fizice
in ceea ce priveste
prelucrarea datelor cu caracter personal.
1. Obligatiile ambelor Parti
privind protectia datelor
cu caracter personal
1.1. Atunci cand prelucreaza date cu caracter personal in legatura
cu prezentul contract, fiecare Parte se obliga sa se conformeze cu legislatia aplicabila privind protectia datelor
cu caracter personal, respectiv cu
Regulamentul (UE) 2019/679
al Parlamentului European si al Consiliului Europei din 27.04.2016 si cu orice alte norme
general obligatorii adoptate
in legatura cu protectia datelor
cu caracter personal.
1.2. Partile contractante declara
ca au cunostinta despre Regulamentul UE nr.679/2016, privind
protectia datelor cu caracter personal si ca,
in vederea respectarii dispozitiilor acestuia, partile
vor gestiona in mod
corespunzator toate datele
cu caracter personal comunicate in baza
prezentului contract si in executarea ulterioara a acestuia vor fi prelucrate si stocate de fiecare parte numai in vederea executarii prezentului contract, nu vor fi comunicate catre
terti si nu vor face
obiectul unei prelucrari ulterioare.
1.3. Partile incheie
un acord care cuprinde colectarea, prelucrarea si utilizarea datelor cu caracter personal, puse
la dispozitie Executantului de catre Beneficiar sau colectate de catre Imputernicit in numele
Beneficiarului in baza instructiunilor sale specifice, care reglementeaza
aspectele legate de protectia datelor si securitatea informatiilor.
Prezentul acord are in vedere principiile de protectie a datelor prevazute de Regulamentul general
privind protectia datelor
nr. 2016/679 aplicabil din data de 25 mai 2018 ("GDPR") si, in special, a cerintelor care
reglementeaza colectarea, prelucrarea si utilizarea datelor personale de catre Imputernicit in numele
Beneficiarului.
2.
Definitii:
a) „Date cu caracter personal” inseamna orice informatii privind o persoana fizica identificata sau identificabila;
o persoana fizica
identificabila este o persoana care
poate fi identificata, direct sau indirect, in special prin
referire la un element de identificare, cum ar fi un nume,
un numar de identificare, date
de localizare, un identificator online
ori la unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
d) „Prelucrare” inseamna accesul datelor cu caracter personal sau asupra seturilor de
date cu caracter personal, cu sau fara utilizarea de mijloace automatizate;
2.1. Fiecare parte se va asigura, atunci cand va divulga celeilalte parti
date cu caracter personal privind angajatii / reprezentantii sai in scopul executarii
contractului, ca va divulga numai informatiile necesare acestui scop.
2.2. Fiecare
Parte va solicita celeilalte Parti numai datele cu caracter personal necesare executarii contractului si in masura
in care exista
alt scop pentru
care ar solicita
datele cu caracter personal, va justifica aceasta
solicitare furnizand informatiile impuse de legislatia aplicabila, respectiv articolele 13-14 din Regulamentul (UE) 2019/679 al Parlamentului European
si al Consiliului Europei din
27.04.2016 si/sau de orice articol sau norma care inlocuieste sau completeaza
aceste prevederi.
2.3. Fiecare parte isi asuma in mod independent responsabilitatea privind prelucrarea datelor cu caracter
personal. Incalcarea de catre o parte a prevederilor prezentului contract precum si a
prevederilor Regulamentului (UE) 2019/679 al Parlamentului European
si al Consiliului Europei din 27.04.2016 si a normelor general obligatorii adoptate
in legatura cu protectia datelor
cu caracter personal, nu poate fi apreciata ca o incalcare comuna si nu poate genera
raspundere solidara fata de persoana
sau autoritatea care
constata aceasta incalcare.
2.4. Fiecare Parte care divulga date personale ale angajatilor / reprezentantilor sai se asigura ca a furnizat acestora
informatiile prevazute la art. 13-14 din Regulamentul (UE) 2019/679 al Parlamentului European si al Consiliului Europei din 27.04.2016 si/sau din orice
articol sau norma care inlocuieste sau completeaza aceste
prevederi.
2.5. Partile vor asigura standardele de securitate cu privire la datele cu caracter personal, conform prevederilor art.32 din Regulamentul UE nr.679/2016 si vor aplica
masuri tehnice si operationale adecvate in vederea
protejarii datelor cu caracter personal
impotriva oricaror distrugeri accidentale sau ilegale, pierderi, modificari, dezvaluiri sau acces neautorizat si impotriva procesarii ilegale.
2.6. Pentru exercitarea drepturilor angajatilor / reprezentantilor Partilor asupra datelor lor cu caracter personal, acestia se pot adresa la urmatoarele date de contact:
- adresa: Multisoft SRL, Aleea Albastrelelor, nr. 4, Cod Postal 900132, Localitatea Constanta, Judetul Constanta;- adresa de e-mail: multisoft@multisoft.ro
3. Obligatiile Executantului privind protectia datelor cu caracter personal
3.1.Avand in vedere
ca Executantul, cu ocazia implementarii aplicatiilor, sau ulterior in vederea acordarii asistentei tehnice, realizarii de upgrade-uri, corectii
de erori de operare etc are DOAR ACCES la bazele de date ale Beneficiarului, utilizate de programele comercializate de Executant si care pot contine
date cu caracter
personal, devine conform
GDPR, TERT (sau imputernicit de catre operator) al Beneficiarului.
3.2. In calitatea sa de imputernicit, Executantul are urmatoarele obligatii:
3.3. Acesta va prelucra, in numele Beneficiarului, datele personale ale angajatilor Beneficiarului cu scopul preluarii solicitarilor pentru Asigurarea de asistenta tehnica
pentru aplicatia din Anexa 1 din Contractul de prestari servicii, in conformitate cu contractul de prestari servicii, cu exceptia
situatiilor
prevazute de lege care obliga Executantul sa prelucreze datele personale si in scopuri proprii.
3.4. Executantul va prelucra urmatoarele categorii de date:
-
Identificare: nume, prenume,
-
Contact: numar de telefon, adresa
de email
3.5. Executantul va accesa, in numele Beneficiarului, datele personale ale persoanelor fizice, clienti ai Beneficiarului cu scopul rezolvarii de la distanta a solicitarilor asistenta tehnica pentru aplicatia din Anexa 1 din Contractul de prestari servicii, in conformitate cu contractul de prestari servicii, cu exceptia situatiilor prevazute de lege care obliga Executantul sa prelucreze datele personale si in scopuri proprii.
3.6. Executantul va accesa urmatoarele categorii de date:
-Identificare: marca nume,
prenume, CNP, seria
nr CI
-Contact: adresa email,
adresa, domiciliu (localitate, strada, numar, tara)
-Demografice: data nasterii, loc nastere
-Profesionale: functie
-Financiare: salariu, cont
IBAN
-Alte caracteristici personale: preferinte client,
cetatenia, data sosirii,
data plecarii, scopul calatoriei
-DCS. Date cu caracter special.
-Clienti minori - Nume, Prenume, diagnostic
-Clienti adulti
– diagnostic, Informatii medicale si privind sanatatea: tip concediu
medical, proceduri medicale, diagnostic,
parafa medicului, fisa tratament, scrisoare medical, Fisa med. muncii (analize agajare/analize anuale)
-Identificare: nume prenume,
CNP
-Profesionale: functia
-DCS. Date cu caracter special.
-Fisa med. muncii
(analize agajare/analize anuale)
3.7. In acest
din urma caz,
Executantul informeaza Beneficiarul cu privire
la aceasta cerinta legala inainte de prelucrare, cu exceptia cazului
in care legea
interzice aceasta informare din motive de interes
public. Orice colectare, prelucrare sau utilizare a datelor cu caracter personal, inclusiv corectarea, stergerea, blocarea si transferul datelor cu caracter
personal sunt supuse instructiunilor Beneficiarului, cu exceptia cazului
in care se prevede altfel in acest Acord.
3.8. Orice instructiuni ale Beneficiarului pentru
Imputernicit referitoare la prelucrarea datelor cu caracter personal vor fi definite
in Acord. Beneficiarul va avea dreptul
de a aduce modificari la aceste instructiuni, precum si de a transmite instructiuni noi.
3.9. Prevederile prezentei anexe au prioritate fata de prevederile Contractului de prestari servicii cu privire
la colectarea, procesarea si utilizarea in totalitate a datelor cu caracter personal de catre Imputernicit in numele si pe baza
instructiunilor Beneficiarului. Orice
prevederi existente
in prezent
in Contractul de prestari servicii
cu privire la prelucrarea datelor
cu caracter personal de catre Imputernicit vor fi inlocuite cu prevederile prezentului Acord, de la data intrarii
in vigoare a acestuia.
3.10.Executantul garanteaza
ca toate persoanele carora acesta le-a incredintat sarcina procesarii si realizarii activitatilor de prelucrare (salariati, subcontractori etc.),
respecta intru-totul reglementarile legale cu privire la protectia datelor
si ca informatiile dobandite de la Operator nu
sunt divulgate unor terte parti neautorizate.
3.11.Datele cu caracter personal
necesare realizarii activitatilor de prelucrare si grupul de persoane ale caror date
sunt prelucrate, precum
si detaliile legate
de colectarea si prelucrarea
datelor sunt specificate la art. 1.1 si art. 1.2, 1.3.
3.12.In considerarea caracterului accesoriu al prezentul Acord
fata de Contractul de prestari servicii , acesta este
valabil si in vigoare pe intreaga durata
a Contractului de prestari servicii
, urmand indisolubil evolutia acestuia, precum si incetarea acestuia, cu mentiunea faptului ca totusi acesta va continua sa produca efecte
si ulterior incetarii Contractului de prestari
servicii sub aspectul prevederilor enumerate mai jos la art. 6 si art. 8.
3.13.In vederea indeplinirii
obligatiilor sale contractuale conform Contractului de prestari servicii , Executantul este
autorizat sa prelucreze datele cu caracter
personal indicate de Operator,
in numele acestuia
si in temeiul prezentului Acord.
Executantul va prelucra
datele cu caracter personal exclusiv
in sensul si scopul definit la art. 1.1.,
1.2. si 1.3, in temeiul
Contractului de prestari servicii si oricaror instructiuni specifice ulterior transmise de catre Operator.
Orice astfel de instructiuni se vor transmite
in scris.
3.14.Executantul nu poate
prelucra datele cu caracter personal ce fac obiectul prezentului Acord decat la cererea
Beneficiarului. Executantul nu trebuie, sub
nicio forma, sa colecteze, prelucreze sau sa utilizeze datele
cu caracter personal in interesul propriei afaceri
sau in scop de marketing. Pentru orice prelucrare a datelor cu caracter personal care excede scopului stabilit de Operator, Executantul este
pe deplin responsabil, conform prevederilor GDPR.
3.15.Orice tip de colectare, procesare si utilizare a datelor cu caracter personal
trebuie sa se desfasoare in spatiile Executantului, cu exceptia cazului
in care partile
au stabilit altfel
(in scris).
3.16.Beneficiarul
poate, in orice moment, sa informeze Executantul sa inceteze imediat activitatea de prelucrare a datelor cu caracter personal din orice motive,
inclusiv suspiciunea de incalcare sau incalcarea reala
a prezentului Acord
sau a legilor si regulamentelor europene in vigoare cu privire la protectia datelor
cu caracter personal.
3.17.Executantul va trebui sa asigure respectarea cerintelor specifice privind protectia
datelor cu caracter personal. Executantul va implementa si va mentine
masuri tehnice si organizatorice
pentru a proteja
in mod adecvat datele personale ale Beneficiarului in conformitate cu Sectiunea 32
GDPR si va asigura respectarea acestor masuri. Masurile
tehnice si organizatorice vor fi implementate astfel
cum sunt definite in prezentul Acord.
Executantul va avea dreptul de a
modifica
masurile de securitate convenite, cu exceptia cazului in care
o astfel de modificare deroga de la
nivelul de protectie a datelor convenit prin Acord ori stabilite prin Regulamentul (UE) 2019/679 al Parlamentului European si al Consiliului Europei
din 27.04.2016 si/sau
din orice articol sau norma
care inlocuieste sau completeaza aceste
prevederi.
3.18.La cererea Beneficiarului si cu exceptia
cazului in care Beneficiarul poate sa obtina
astfel de informatii direct,
Executantul va furniza
toate informatiile necesare
pentru intocmirea de catre
Operator a evidentelor activitatilor de prelucrare definita
in Sectiunea 30 GDPR, exclusiv
pentru scopurile prelucrarii prevazute
la art. 1.1.
3.19.Executantul
va asista Beneficiarul, la cererea acestuia, pentru a asigura
respectarea
obligatiei Beneficiarului de a efectua
o evaluare a impactului protectiei datelor in conformitate cu
Sectiunea 35 GDPR, prin furnizarea de informatii relevante solicitate de Operator pentru
scopul prelucrarii. In cazul in care o astfel de evaluare a impactului privind
protectia datelor cu caracter
personal indica un risc ridicat
pentru drepturile si libertatile persoanelor fizice, Executantul va asista Beneficiarul in procedura de consultare prealabila a Autoritatii de Supraveghere in
conformitate cu Sectiunea 36 GDPR.
3.20.Executantul se asigura ca orice salariat sau persoana ce
actioneaza sub controlul sau, incredintat cu prelucrarea datelor Beneficiarului, este obligat din punct de vedere contractual sa respecte principiul confidentialitatii datelor in conformitate cu dispozitiile art. 28 alin.
3 lit. b) GDPR si a fost instruit in mod corespunzator cu privire la dispozitiile privind
protectia datelor prevazute in Acord/Contractul de prestari servicii . Aceasta obligatie va ramane si dupa incetarea activitatilor de prelucrare a datelor.
3.21.Executantul trebuie sa informeze Beneficiarul, fara
intarzieri nejustificate, despre orice incalcare semnificativa a oricarei
dispozitii privind protectia datelor cu privire
la datele personale ale Beneficiarului, salariatilor sau clientilor sai, indiferent daca acestea sunt comise de catre
Imputernicit,
personalul sau sau orice alt subcontractant sau in cazul oricaror alte nereguli aflate in legatura directa cu datele cu caracter personal ale Beneficiarului salariatilor ori clientilor sai. Executantul trebuie sa puna in aplicare
masurile necesare pentru
a asigura datele
personale si pentru a reduce riscurile potentiale pentru persoana
vizata si trebuie sa convina asupra
acestor masuri in acord cu Beneficiarul, fara intarzieri
nejustificate. Executantul trebuie sa sprijine
Beneficiarul
in indeplinirea obligatiei acestuia de a notifica Autoritatea de Supraveghere si orice
persoana vizata afectata
cu privire la orice incalcare
a datelor cu caracter personal
si sa divulge informatiile conform Sectiunilor 33 si 34 GDPR.
3.22.Executantul va informa,
fara intarzieri nejustificate, Beneficiarul cu privire
la orice masuri luate de catre Autoritatea de Supraveghere in conformitate cu dispozitiile art.
58 si 83 GDPR, sau de
catre orice alta autoritate, in legatura directa
cu datele cu caracter personal ale Beneficiarului.
3.23.Executantul trebuie
sa furnizeze Beneficiarului detalii cu privire
la persoana de contact responsabila cu protectia
datelor, in contextul
Acordului, in sectiunea referitoare la identificarea Partilor.
3.24.Executantul se asigura
ca persoana de contact responsabila cu protectia datelor
respecta obligatiile sale in conformitate cu Sectiunea 38 GDPR. Cele
mentionate anterior includ,
in special, obligatia Executantului de a desemna
un ofiter de protectie a datelor, in cazul in care acest lucru
este aplicabil conform GDPR.
3.25.Numai daca si in masura
in care Beneficiarul insarcineaza Executantul, acesta
din urma va corecta, va sterge sau va bloca
datele. Cu exceptia cazului in care se prevede
altfel in Acord
sau este cerut altfel
in conformitate cu legislatia aplicabila, Executantul va distruge
in siguranta suporturi de date si alte materiale conexe,
la cererea Beneficiarului. Numai daca si in masura
in care Beneficiarul il instruieste pe Imputernicit, Executantul
arhiveaza si/sau furnizeaza Beneficiarului suporturi de date si alte materiale conexe.
3.26.Executantul va furniza
Beneficiarului, la cererea
acestuia, dupa terminarea sau expirarea
prezentului Acord, orice
date personale, suporturi de stocare a datelor si alte materiale conexe care au fost predate de catre Operator
Executantului.
3.27.La cererea
Beneficiarului, Executantul trebuie
sa puna la dispozitie toate
informatiile necesare pentru a demonstra conformitatea cu obligatiile care ii revin
in temeiul prezentului Acord.
3.28.In cazul in care Executantul considera
ca una dintre instructiunile furnizate de catre Operator contravin legilor
si regulamentelor in vigoare cu privire la protectia datelor,
Executantul va informa imediat
Beneficiarul despre aceasta
situatie. Executantul va avea dreptul
de a inceta punerea in aplicare
a instructiunii corespunzatoare pana la momentul
la care o astfel de indicatie
a fost
confirmata sau modificata de Operator.
3.29.In cazul
suspectarii unor cazuri
de incalcare a conditiilor privind
protectia si securitatea datelor personale transmise de catre
Operator Executantului, pierderea acestor date sau alte
brese de securitate, Executantul va informa, fara
intarziere, insa nu mai tarziu
de 24 de ore de la
constatarea
incidentului, Beneficiarul si Responsabilul de protectia datelor
care supravegheaza
Beneficiarul, utilizand datele
de contact precizate pe prima pagina
a prezentului Acord,
in vederea
notificarii incidentului catre Autoritatea de Supraveghere si persoanele vizate,
daca este cazul.
3.30.In
cazul in care Autoritatile de Supraveghere a protectiei datelor intreprind audituri, verificari sau investigatii de orice tip la sediul Beneficiarului, asociate, direct sau indirect, de activitatile efectuate de Imputernicit conform
prezentului Acord sau Contractului de prestari
servicii si in legatura directa
cu datele cu caracter personal ale Beneficiarului aflate
in posesia Executantului, Executantul va acorda
suport corespunzator si la termenele
prevazute, conform solicitarilor Beneficiarului.
3.31.In cazul
in care Executantul se gaseste in situatia de a fi supus unor
astfel de audituri, verificari sau investigatii de orice tip intreprinse de Autoritatile de Supraveghere a protectiei
datelor responsabile de activitatea
Executantului, iar rezultatul acestor verificari semnaleaza deficiente sau
neconformitati cu impact asupra datelor cu caracter personal ale
Beneficiarului, acesta va notifica imediat cazul Beneficiarului,
precizand motivul auditului si informatii suplimentare cu privire la rezultatele acestuia, care produc un efect direct
sau indirect asupra relatiei
contractuale dintre parti. Executantul va remedia imediat orice erori identificate pe parcursul unor astfel de activitati de audit.
4. Obligatiile Beneficiarului
4.1. Beneficiarul este responsabil de respectarea legislatiei aplicabile privind protectia datelor, inclusiv, dar fara a se limita
la, legitimitatea colectarii, prelucrarii si utilizarii datelor cu caracter personal care fac obiectul
prezentului Acord, inclusiv transferarea acestor date personale Executantului.
4.2. Beneficiarul va informa Executantul, fara intarzieri nejustificate si in mod cuprinzator,
asupra oricaror nereguli
sau greseli pe care acesta
le va detecta in activitatea sa sau in ceea ce priveste
implementarea cerintelor legale privind protectia datelor, daca acestea au
legatura cu activitatile de prelucrare a datelor personale de catre Imputernicit.
4.3. Beneficiarul va tine un registru de evidenta a activitatilor de prelucrare a datelor in conformitate cu Sectiunea 30 GDPR, daca si in masura in care este necesar pentru a se conforma legislatiei aplicabile.
5. Confidentialitate
5.1. Executantul isi asuma obligatia de a consulta normele
privind confidentialitatea datelor aplicabile
la nivel national si european, cu privire la activitatile de colectare, procesare si utilizare a datelor
cu caracter personal
in numele Beneficiarului. In acest sens, Executantul va aloca
personal propriu in mod exclusiv pentru
colectarea, procesarea si utilizarea Datelor
cu caracter personal, personal
instruit anterior corespunzator, supus unei obligatii individuale de a pastra
confidentialitatea datelor.
5.2. Executantul va garanta faptul ca subcontractorii sai aplica
personalului propriu aceleasi reguli pentru
respectarea caracterului secret
si confidential, cu verificarea acestei
obligatii la solicitarea Beneficiarului si va ramane
responsabil in solidar
cu acestia pentru
prejudiciile produse Beneficiarului si/sau persoanelor vizate.
6. Acces la resursele IT
6.1. In cazul
in care Executantului, in cadrul executarii Contractului de prestari servicii , i se
permite accesul la resursele IT care apartin
Beneficiarului (inclusiv hardware, retele, servere, baze de date etc.), astfel de resurse trebuie
utilizate cu atentie
extrema si exclusiv in conformitate
stricta cu instructiunile Beneficiarului.
6.2. Toti angajatii Executantului desemnati sa beneficieze de un astfel
de acces la resursele IT care
apartin Beneficiarului asa
cum sunt descrise
la art. 6.1, vor
semna o declaratie individuala in
acest sens, furnizata de Operator (“Acord privind nedivulgarea datelor”)
anterior acordarii unui astfel de acces.
7. Solicitari din partea persoanelor vizate
7.1. In cazul in care,
in conformitate cu legislatia aplicabila pentru protectia datelor, Beneficiarul este obligat
sa raspunda la o solicitare a persoanei vizate referitoare la colectarea,
prelucrarea
sau utilizarea datelor acesteia, Executantul il va asista pe acesta in
furnizarea informatiilor solicitate prin masuri organizatorice
menite sa duca la indeplinirea obligatiei Beneficiarului de a raspunde solicitarii subiectului, in masura in care acest
lucru este posibil. Prevederile precedente se vor aplica
numai in masura
in care Beneficiarul a solicitat acest lucru
in scris
Executantului si numai
daca Beneficiarul ii ramburseaza Executantului costurile si cheltuielile suportate
pentru furnizarea acestui sprijin. Executantul nu raspunde in mod direct la
nicio solicitare
a persoanelor vizate cu privire la prelucrarea datelor personale in calitatea
sa de Imputernicit
si va directiona subiectii prelucrarii datelor catre Operator. Cu toate
acestea, Executantul ramane in continuare raspunzator in mod direct
fata de persoanele vizate pentru acele activitati de prelucrare pe care acesta
le desfasoara in calitatea sa de operator
si va raspunde in mod direct
solicitarilor adresate de catre persoanele vizate.
7.2.
Atunci cand o persoana vizata
solicita Executantului sa corecteze, sa stearga sau sa
blocheze orice date cu caracter personal, Executantul va directiona aceasta
solicitare catre
Operator.
8. Returnarea datelor personale
8.1. Executantul va identifica si va mentiona in mod clar
toate tipurile de transport/transfer de date pentru documentele/fisierele
care contin datele cu caracter personal ce apartin Beneficiarului, inclusiv
documentatie scrisa, in format electronic sau pe suport
de hartie, alte dispozitive de stocare si materiale similare, cu obligatia pastrarii unor astfel de documente si date
separat de celelalte documente si date care
apartin Executantului, cu obligatia protejarii unor astfel de documente/fisierele si date, aplicand
masurile corespunzatoare de securitate, tehnice
si organizatorice, in vederea
asigurarii acestora impotriva accesului neautorizat, a abuzurilor, duplicarii sau
divulgarii lor, pe intreaga durata
a Contractului-cadru si Acordului, dar si ulterior incetarii acestuia pe o durata nelimitata, pentru datele si informatiile ce nu vor
putea fi sterse conform prevederilor legale sau din
diverse motive si care
vor ramane in posesia Executantului.
8.2.
Executantul va returna
si va transfera Beneficiarului orice
astfel de documente si date la
solicitarea anticipata a Beneficiarului sau la data incetarii prezentului Acord si/sau Contractului de prestari servicii . In cazul in care Beneficiarul solicita distrugerea sau eliminarea iremediabila a unor astfel de documente si, respectiv, date, Executantul va garanta masuri de verificare in acest sens, in conformitate cu standardele relevante sau cele mai bune practici sau proceduri de operare specifice, furnizate de Operator. Datele stocate pe orice tip de dispozitive de stocare mobile vor fi sterse in mod fizic anterior eliminarii unor astfel de dispozitive. Executantul va fi responsabil de garantarea faptului ca niciuna dintre datele cu caracter personal care apartin Beneficiarului nu este transmisa tertilor sau ca datele cu caracter personal stocate pe sistem hardware si care urmeaza a fi modificate sunt sterse definitiv anterior transmiterii sistemului hardware unei astfel de terte parti.
9. Alte obligatii
9.1. Orice tip
de documentatie corespunzatoare verificarii activitatii adecvate
de colectare, procesare si utilizare a datelor cu caracter personal va fi arhivata
in conditii de securitate de catre
Imputernicit si transmisa Beneficiarului, la solicitarea anticipata explicita a acestuia din
urma si/sau la data incetarii Contractului de prestari servicii
.
9.2. Partile au obligatia, dupa incetarea prezentului Acord si a Contractului de prestari servicii , indiferent de modalitatea de incetare, de a pastra
caracterul secret si confidential, conform precizarilor anterioare, pentru o perioada
de timp nelimitata.
9.3. Nicio modificare a prezentului Acord
si/sau a vreuneia
dintre componentele sale - inclusiv, dar fara a se limita la, obligatiile Executantului, daca este cazul
- vor fi valabile si obligatorii daca sunt facute
in scris si numai in masura in care se mentioneaza in mod expres
ca aceste modificari respecta dispozitiile prezentului Acord si sunt respectate de ambele
parti. Cele mentionate mai sus se aplica
si oricarei derogari
sau modificari cu privire la forma scrisa.
10. Despagubiri
10.1.Drepturile individuale ale persoanelor afectate
de prelucrarea si utilizarea datelor
cu caracter personal efectuate de catre Imputernicit vor fi analizate si confirmate de catre Operator. Executantul va transmite Beneficiarului, fara intarzieri nejustificate, orice solicitare de informatii
din partea unor astfel de persoane si va sprijini
Beneficiarul, in masura
posibilitatilor, in special in legatura cu notificarea, furnizarea de informatii, autorizarea, restrictionarea si stergerea
datelor cu caracter personal, oferind sprijin in apararea impotriva reclamatiilor nejustificate.
10.2.Executantul va despagubi imediat
si in totalitate Beneficiarul in cazul unor reclamatii
justificate ale persoanelor afectate de colectarea, prelucrarea si utilizarea datelor cu caracter personal de catre
Imputernicit sau in cazul unor
amenzi aplicate de Autoritatile de Supraveghere
bazate pe actiuni necorespunzatoare sau ilegale de colectare, procesare sau utilizare intreprinse de Imputernicit sau subcontractorii acestuia sau cu privire la incalcari ale prevederilor prezentului Acord din
partea Executantului.
11. Drepturi de control si audit
11.1.Beneficiarul are
dreptul de a initia un audit al masurilor de securitate tehnice si
organizatorice intreprinse de Imputernicit precizate mai jos si asociate colectarii, prelucrarii si utilizarii datelor cu caracter personal
conform prezentului Acord, inainte de initierea activitatilor de colectare, prelucrare si utilizare a datelor cu caracter personal in numele Beneficiarului si ulterior, la intervale periodice dupa cum considera
rezonabil. Beneficiarul va documenta rezultatele auditului, iar aceasta
documentatie va fi semnata de ambele parti.
11.2.Executantul, la cererea scrisa a Beneficiarului si intr-o perioada
rezonabila de timp, contribuie la acest audit
asociat colectarii, procesarii si utilizarii datelor
cu caracter personal conform prezentului Acord si transmite Beneficiarului toate informatiile, documentatia si alte mijloace de proba
necesare pentru efectuarea unui audit. In acest sens,
Beneficiarul poate solicita, in mod special, transmiterea rapoartelor relevante intocmite de specialisti (auditorii Executantului sau terti auditori), inclusiv rapoarte cu privire la masurile de securitate IT sau verificari privind aplicarea masurilor
de confidentialitate. La cerere, Executantul va furniza Beneficiarului toate informatiile necesare
in acest sens si va intreprinde masurile de verificare corespunzatoare.
11.3.In cursul unui
astfel de audit,
Beneficiarul are dreptul, printr-o
notificare scrisa si transmisa
in prealabil cu cel putin
24 de ore in avans,
sa efectueze o inspectie la fata locului
a operatiunilor de prelucrare a datelor in timpul orelor
de program si fara a intrerupe operatiunile de prelucrare ale Executantului sau
sa efectueze aceeasi
inspectie realizata de o terta
parte calificata care nu va fi
un concurent al Executantului, in vederea confirmarii/infirmarii faptului ca Executantul respecta obligatiile prevazute in prezentul Acord.
Dreptul Beneficiarului de a initia
un audit este
limitat la activitatile de prelucrare a datelor, dupa cum este descris in prezentul Acord. Partile vor conveni
in avans asupra domeniului de aplicare a unui astfel
de audit. Costurile
vor fi suportate de
Operator.
11.4.Partile au dreptul de a contesta rezultatul auditului si pot aduce dovezi suplimentare pentru a confirma eficienta controlului realizat. Executantul va remedia si va implementa toate masurile necontestate ale auditului, suportand costurile aferente. In situatia in care Partile nu ajung la o intelegere cu privire la aplicarea rezultatelor auditului, Beneficiarul va avea dreptul sa rezilieze prezentul Acord si/sau Contractul de prestari servicii.
11.5.Securitatea informatiilor
11.6.Executantul va garanta
respectarea masurilor corespunzatoare de securitate, tehnice
si organizatorice, necesare protectiei si securitatii corespunzatoare a datelor cu caracter personal colectate, prelucrate si utilizate in numele Beneficiarului in conformitate cu standardele proprii
de securitate Executantul va verifica
periodic respectarea acestor
masuri si va furniza Beneficiarului documentatia necesara
in acest sens.
11.7.Standardul de securitate al Executantului trebuie
sa poata pune in aplicare
cel putin urmatoarele masuri
de control:
a)Prevenirea obtinerii accesului persoanelor neautorizate la sistemele de prelucrare
de date
dedicate prelucrarii sau
utilizarii datelor cu caracter personal (control acces);
b)Prevenirea utilizarii sistemelor de prelucrare date
fara autorizare (control
acces);
c)Garantarea
faptului ca persoanele autorizate sa utilizeze sistemul de prelucrare date au acces exclusiv
la acele date
pentru care au obtinut autorizarea si ca datele
cu
caracter personal nu pot fi citite,
copiate, modificate sau sterse fara autorizare pe durata
prelucrarii, utilizarii si ulterior inregistrarii (control acces);
d)Garantarea faptului ca datele
personale nu pot fi citite,
copiate, modificate sau sterse fara autorizare pe durata transferului electronic sau transportului sau
pe durata inregistrarii in dispozitive de stocare date
si ca se aplica masuri
de evaluare si verificare a organismelor carora li se transfera datele
cu caracter personal,
cu utilizarea mijloacelor de transfer date (control divulgare);
e)Garantarea posibilitatii de a verifica
si evalua, retroactiv, daca datele cu caracter
personal au fost inregistrate, modificate sau sterse din sistemele de procesare date
si, in cazul in
care se constata acest lucru, identificarea persoanei responsabile (control introducere);
f)Garantarea faptului ca datele
personale prelucrate in numele altor
entitati sunt prelucrate cu
respectarea stricta a instructiunilor Beneficiarului respectiv (control
activitate) si nu incalca drepturile si/sau interesele Beneficiarului din prezentul Acord;
g)Garantarea faptului ca datele cu caracter personal
sunt protejate impotriva
distrugerii sau pierderii accidentale (control
disponibilitate);
h)Garantarea faptului ca datele colectate in alte scopuri
vor fi prelucrate separat
de
datele
apartinand Beneficiarului.
11.8.Una dintre
masurile conforme cu pct. b) - d) o reprezinta, in special, utilizarea celor mai recente proceduri de criptare. Executantul garanteaza respectarea acestor
masuri de securitate, tehnice si organizatorice independent de locatiile fizice
reale in care
are loc colectarea, prelucrarea si utilizarea datelor cu caracter
personal. Acestea includ, dar fara a se limita la, domiciliile angajatilor sau birourile mobile
ale Executantului.
11.9.Pe langa masurile de securitate de mai sus,
Executantul se obliga
sa implementeze si cerintele minime de Securitate a datelor personale statuate in Articolul 32 din GDPR.
Prezentul ACORD face parte integranta din contractul mai
sus mentionat si se supune
procedurii de
solutionare a
litigiilor, prevazute de legislatia romana in vigoare.