Acord privind Prelucrarea Datelor cu Caracter Personal

Prezentul Acord („Acord” sau „Acordul”) este încheiat între:

[Introduceți entitatea din Contractul Cadru], o [introduceți tipul de societate comercială, dacă
este cazul], societate înființată și desfășurându-și activitatea în baza legislației [introduceți
țara unde este înregistrată compania], cu sediul la [adresa], reprezentată de [numele persoanei
care semnează documentul pentru firma XXXXX], în calitate de [Operator]
(denumită în continuare „Operator”)

și
[Denumirea terțului], o [introduceți tipul de societate comercială, dacă este cazul], societate
înființată și desfășurându-și activitatea în baza legislației [introduceți țara unde este
înregistrată compania], cu sediul la [adresa], reprezentată de [numele persoanei care semnează
documentul pentru terț], în calitate de [Operator Asociat]

(denumită în continuare „Operator Asociat”)

Fiecare denumită individual „Partea” și/sau împreună „Părțile”

Au convenit încheierea prezentului Acord, ca parte a Contractului nr. ___/______ (denumit în

continuare „Contract Cadru”) , în condițiile de mai jos:

PREAMBUL:

(1) Următorul Acord încheiat între Operator și Operatorul asociat reflectă termenii pe care
cele două Părți i-au convenit, pentru a-i pune în aplicare, în vederea facilitării schimbului de
date cu caracter personal între Părțile care acționează ca operatori de date și explică
scopurile în care pot fi prelucrate datele respective, in conformitate cu prevederile
Regulamentului UE 679/2016.
(2) Ca atare, Operatorul este de acord să transmită datele cu caracter personal Operatorului
Asociat în condițiile stabilite în acest Acord; și
(3) Operatorul Asociat este de acord să utilizeze datele personale în conformitate cu termenii
stabiliți în acest Acord.
 1. DEFINIȚII

Obiective agreate: înseamnă acele scopuri, in care pot fi prelucrate datele cu caracter
personal, enunțate în clauza 2.3 a prezentului Acord
Autoritatea responsabilă cu protecția datelor: înseamnă autoritatea relevantă pentru
protecția datelor în teritoriile în care sunt stabilite Părțile la prezentul Acord, aici ANSPDCP
Furnizorul Datelor: Partea care transferă datele cu caracter personal către Destinatarul
Datelor.
Destinatarul Datelor: Partea care primește datele cu caracter personal de la Furnizorul
Datelor.
Încălcarea securității datelor cu caracter personal: înseamnă o încălcare a securității care
duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea
neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod,
sau la accesul neautorizat la acestea.
Date personale transmise: Datele Personale și Datele cu caracter Personal Sensibile /
Categoriile Speciale care vor fi partajate între Părți în temeiul clauzei 4 din prezentul Acord.
Drepturile persoanei vizate: înseamnă existența dreptului de a solicita operatorului, în ceea
ce privește datele cu caracter personal referitoare la persoana vizată, accesul la acestea,
rectificarea sau ștergerea acestora sau restricționarea prelucrării sau a dreptului de a se opune
prelucrării, precum și a dreptului la portabilitatea datelor.
Contract cadru: contractul de servicii încheiat între cele două părți.
Operator: înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism
care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu
caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul
Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi
prevăzute în dreptul Uniunii sau în dreptul intern.
Persoană împuternicită de operator: înseamnă persoana fizică sau juridică, autoritatea
publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele
operatorului.
Operatori asociați: înseamnă doi sau mai mulți operatori care stabilesc împreună scopurile și
mijloacele de procesare.
Persoana vizată: înseamnă o persoană care poate fi identificată, direct sau indirect, în special
prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date
de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii
identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

Date cu caracter personal: înseamnă orice informații privind o persoană fizică identificată
sau identificabilă („persoana vizată”).
Prelucrare înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu
caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de
mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea,
adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere,
diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea,
restricționarea, ștergerea sau distrugerea.
Date Personale Speciale: înseamnă date cu caracter personal care dezvăluie originea rasială
sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența
la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a
unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea
sexuală ale unei persoane fizice.
SEE: înseamnă Spațiul Economic European.

Servicii: înseamnă serviciile și alte activități care urmează să fie prestate sau desfășurate
conform Contractului Cadru

ANSPDCP: înseamnă Autoritatea Națională de Supraveghere a Prelucrării Datelor cu

Caracter Personal, în calitate de autoritate publică centrală autonomă din Romania cu
competență generală în domeniul protecției datelor personale

2. SCOPUL ȘI NATURA PRELUCRARII DATELOR CU CARACTER PERSONAL

2.1. Prezentul Acord stabilește cadrul pentru schimbul de date cu caracter personal între cele
două Părți, în calitate de Operatori de date cu caracter personal, și definește principiile
și procedurile pe care Părțile le respectă, precum și responsabilitățile pe care Părțile și le
datorează reciproc, referitor la prelucrarea datelor cu caracter personal.
2.2. Acest Acord este necesar a fi încheiat între cei doi Operatori ce prelucrează date cu
caracter personal, pentru a garanta ca această prelucrare va respecta în orice moment
cerințele G.D.P.R.
2.3. Transmiterea datelor cu caracter personal este necesară pentru a îndeplini următoarele
Scopuri de prelucrare convenite între cele doua Părți: - Descrieți toate SCOPURILE
în care se prelucrează datele personale transferate între cei 2 Operatori
2.4. Părțile au înțeles și sunt de acord că prezentul document reprezintă cadrul legal
pentru transferul de date cu caracter personal între cei doi Operatori.
2.5. Părțile nu vor procesa Datele cu Caracter Personal într-un mod incompatibil cu
Scopurile de prelucrare convenite in prezentul Acord.
2.6. [Denumire Companie], în calitate de Operator, transmite Datele Personale menționate
în Anexa 1 din prezentul Acord pentru a fi prelucrate numai în conformitate cu
scopurile de prelucrare convenite, enumerate în clauza 2.3. [Denumire Companie],
in calitate de Operator asociat, rămâne responsabil pentru a se asigura că toate
prelucrările de Date Personale Transferate sunt în conformitate cu G.D.P.R. și că
respectă toate legile și regulamentele aplicabile privind protecția datelor cu caracter
personal.

3. CONFORMITATEA CU G.D.P.R.

3.1. Fiecare Operator trebuie să asigure conformitatea cu G.D.P.R. și cu legile naționale

aplicabile privind protecția datelor personale, în orice moment, pe durata contractului.
3.2. Părțile se obligă să respecte prevederile aplicabile privind protecția datelor cu caracter
personal, inclusiv prevederile G.D.P.R., ale legislației de punere în aplicare, astfel cum
aceasta va fi adoptată, precum și deciziile pe care Autoritatea Națională de
Supraveghere a Prelucrării Datelor cu Caracter Personal le emite periodic în legătura
cu acestea, atunci când prelucrează date cu caracter personal în executarea contractului
cadru.

4. TRANSFERUL DE DATE CU CARACTER PERSONAL ÎNTRE PĂRȚI

4.1. În vederea îndeplinirii Scopurilor de Prelucrare Convenite, ce sunt menționate la clauza
2.3 din prezentul Acord, următoarele tipuri de Date cu Caracter Personal pot fi
transferate între Părți în timpul contractului, astfel cum sunt descrise în Anexa 1 la
prezentul Acord.
4.2. Datele Personale Transferate nu trebuie să fie excesive în ceea ce privește Scopurile de
Prelucrare Convenite.

5. PROCESAREA CORECTĂ ȘI LEGALĂ A DATELOR CU CARACTER

PERSONAL

5.1. Fiecare Parte se obligă să proceseze Datele cu Caracter Personal, transferate în mod
corect și legal, în conformitate cu clauza 5.2, pe toată perioada prezentului Acord.
5.2. În vederea îndeplinirii Scopurilor de Prelucrare Convenite, enumerate în clauza 2.3 a
prezentului Acord, fiecare Parte se obligă să proceseze Datele cu Caracter Personal
Transferate, respectând următoarele temeiuri impuse de G.D.P.R., în funcție de fiecare
situație de prelucrare a datelor personale:
a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter
personal pentru unul sau mai multe scopuri specifice; (G.D.P.R. Art. 6. 1 (a) ) sau,
b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este
parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea
unui contract; (G.D.P.R. Art. 6. 1 (b) ) sau,
c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine
operatorului; (G.D.P.R. Art. 6. 1 (c) ) sau,
d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale
altei persoane fizice; (G.D.P.R. Art. 6. 1 (d) ) sau,
e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes
public sau care rezultă din exercitarea autorității publice cu care este învestit
operatorul; (G.D.P.R. Art. 6. 1 (e) ) sau,
f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o
parte terță, cu excepția cazului în care prevalează interesele sau drepturile și
libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu
caracter personal, în special atunci când persoana vizată este un copil. (G.D.P.R. Art.
6. 1 (f) )
5.3. În cazul în care sunt transferate Categorii Speciale de Date cu Caracter Personal,
acestea se vor baza pe următoarele motive suplimentare (G.D.P.R. Art. 9.2):
a) persoana vizată și-a dat consimțământul explicit pentru prelucrarea acestor date cu
caracter personal pentru unul sau mai multe scopuri specifice, cu excepția cazului în
care dreptul Uniunii sau dreptul intern prevede ca interdicția prevăzută la alineatul
(1) să nu poată fi ridicată prin consimțământul persoanei vizate;
b) prelucrarea este necesară în scopul îndeplinirii obligațiilor și al exercitării unor
drepturi specifice ale operatorului sau ale persoanei vizate în domeniul ocupării
forței de muncă și al securității sociale și protecției sociale, în măsura în care acest
lucru este autorizat de dreptul Uniunii sau de dreptul intern ori de un Acord colectiv
de muncă încheiat în temeiul dreptului intern care prevede garanții adecvate pentru
drepturile fundamentale și interesele persoanei vizate;
c) prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau
ale unei alte persoane fizice, atunci când persoana vizată se află în incapacitate fizică
sau juridică de a-și da consimțământul;
d) prelucrarea este efectuată în cadrul activităților lor legitime și cu garanții adecvate de
către o fundație, o asociație sau orice alt organism fără scop lucrativ și cu specific
 politic, filozofic, religios sau sindical, cu condiția ca prelucrarea să se refere numai la
membrii sau la foștii membri ai organismului respectiv sau la persoane cu care acesta
are contacte permanente în legătură cu scopurile sale şi ca datele cu caracter personal
să nu fie comunicate terților fără consimțământul persoanelor vizate;
e) prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod
manifest de către persoana vizată;
f) prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în
instanță sau ori de câte ori instanțele acţionează în exerciţiul funcţiei lor judiciare;
g) prelucrarea este necesară din motive de interes public major, în baza dreptului
Uniunii sau a dreptului intern, care este proporţional cu obiectivul urmărit, respectă
esenţa dreptului la protecţia datelor şi prevede măsuri corespunzătoare şi specifice
pentru protejarea drepturilor fundamentale şi a intereselor persoanei vizate;
h) prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii, de
evaluarea capacităţii de muncă a angajatului, de stabilirea unui diagnostic medical,
de furnizarea de asistenţă medicală sau socială sau a unui tratament medical sau de
gestionarea sistemelor şi serviciilor de sănătate sau de asistenţă socială, în temeiul
dreptului Uniunii sau al dreptului intern sau în temeiul unui contract încheiat cu un
cadru medical şi sub rezerva respectării condiţiilor şi garanţiilor prevăzute la
alineatul (3);
i) prelucrarea este necesară din motive de interes public în domeniul sănătăţii publice,
cum ar fi protecţia împotriva ameninţărilor transfrontaliere grave la adresa sănătăţii
sau asigurarea de standarde ridicate de calitate şi siguranţă a asistenţei medicale şi a
medicamentelor sau a dispozitivelor medicale, în temeiul dreptului Uniunii sau al
dreptului intern, care prevede măsuri adecvate şi specifice pentru protejarea
drepturilor şi libertăţilor persoanei vizate, în special a secretului profesional;
j) prelucrarea este necesară în scopuri de arhivare în interes public, în scopuri de
cercetare ştiinţifică sau istorică ori în scopuri statistice, în conformitate cu articolul
89 alineatul (1), în baza dreptului Uniunii sau a dreptului intern, care este
proporţional cu obiectivul urmărit, respectă esenţa dreptului la protecţia datelor şi
prevede măsuri corespunzătoare şi specifice pentru protejarea drepturilor
fundamentale şi a intereselor persoanei vizate.
5.4. Ambele Părți se angajează să informeze persoanele vizate, conform prevederilor
aplicabile privind protecția datelor cu caracter personal, cu privire la propriile operațiuni
de prelucrare a datelor cu caracter personal, inclusiv cu privire la prelucrarea datelor cu
caracter personal în baza contractului cadru.

6. CONFIDENȚIALITATEA DATELOR CU CARACTER PERSONAL

6.1. Datele cu Caracter Personal transferate vor fi limitate la Datele descrise în clauza 4.1 și
în clauza 4.2 din prezentul Acord.
6.2. Destinatarul Datelor se obligă să trateze toate Datele cu caracter personal ca fiind
strict confidențiale și sa instituie politici, proceduri și/sau coduri de bune practici
privind prelucrarea datelor cu caracter personal în condiții de securitate și de siguranță ,
informând toți angajații, agenții și / sau Persoanele Împuternicite, implicați în
prelucrarea datelor cu caracter personal, de natura confidențială a datelor cu caracter
personal.
6.3. Destinatarul Datelor va asigura în fiecare caz că accesul este limitat strict la
persoanele care au nevoie să cunoască / să aibă acces la Datele cu caracter personal
relevante, ale Furnizorului Datelor, acest lucru fiind necesar în vederea executării
 Contractului Cadru, cât și în vederea respectării Legilor aplicabile în domeniul
protecției datelor cu caracter personal.
6.4. Destinatarul Datelor se angajează în mod ferm să ia toate masurile necesare pentru ca
persoanele autorizate să prelucreze Datele cu caracter personal, atât în scopul
Contractului Cadru, cât și în scopul acestui Acord, inclusiv personalul său și personalul
Persoanelor Împuternicite, doar după ce au semnat clauze de confidențialitate sau și-au
asumat o obligație statutară de confidențialitate.
6.5. Destinatarul Datelor se angajează ca angajații și subcontractanții săi se vor conforma
Legislației de protecție a datelor cu caracter personal și se angajează să efectueze
instruirea acestora în ceea ce privește obligațiile legate de prelucrarea Datelor cu
caracter personal.
6.6. Destinatarul Datelor nu va lua, cu privire la Datele cu caracter personal, nicio măsură
ce ar putea reprezenta o încălcare a legii, a drepturilor persoanelor vizate sau a
prevederilor prezentului Acord.

7. DREPTURILE PERSOANEI VIZATE

7.1. Persoana vizată are dreptul de a obține din partea Operatorului o confirmare că se
prelucrează sau nu date cu caracter personal care o privesc.
7.2. Persoana vizată are dreptul de a obține acces la datele personale care îi aparțin, putând
solicita, de asemenea, rectificarea, ștergerea, portabilitatea, restricționarea prelucrării
sau blocarea procesării datelor personale.
7.3. Fiecare Parte va deține un Registru de Evidență al solicitărilor venite din partea
persoanelor vizate, a deciziilor luate și a informațiilor care au fost furnizate.
Registrul trebuie să includă copii ale solicitării persoanei vizate, detalii privind datele
accesate și furnizate și, dacă este cazul, note ale oricărei întâlniri, corespondențe sau
apeluri telefonice referitoare la cerere.
7.4. Părțile sunt de acord că responsabilitatea pentru soluționarea unei solicitări
referitoare la drepturile persoanei vizate, revine Operatorului care primește
solicitarea cu privire la datele cu caracter personal deținute de respectivul
Operator.
7.5. Părțile convin să-și ofere asistență în decurs de 5 Zile Lucrătoare de la o astfel de
cerere, pentru a se conforma solicitărilor privind drepturile persoanei vizate, și să
răspundă la orice alte întrebări sau reclamații din partea Persoanelor Vizate.
7.6. Părțile convin să obligă să respecte timpul de răspuns impus de G.D.P.R. pentru
rezolvarea cererii unei Persoane Vizate (G.D.P.R. Art. 12 (3), (4)): Operatorul va
furniza informații despre acțiunile întreprinse pe baza unei solicitări pentru unul sau mai
multe drepturi, Persoanei Vizate fără întârzieri nejustificate și, în orice caz, în termen
de cel mult o lună de la primirea cererii. Această perioadă poate fi prelungită cu două
luni atunci când este necesar, ţinându-se seama de complexitatea şi numărul cererilor.
Operatorul informează persoana vizată cu privire la orice astfel de prelungire, în termen
de o lună de la primirea cererii, prezentând şi motivele întârzierii.
7.7. Dacă Operatorul nu ia măsuri cu privire la cererea persoanei vizate, Operatorul
informează persoana vizată, fără întârziere şi în termen de cel mult o lună de la primirea
cererii, cu privire la motivele pentru care nu ia măsuri şi la posibilitatea de a depune o
plângere în faţa unei autorităţi de supraveghere şi de a introduce o cale de atac judiciară.
7.8. Operatorul va comunica orice rectificare sau ștergere a datelor cu caracter personal sau
restricție de procesare fiecărui destinatar căruia i-au fost dezvăluite datele cu caracter
personal, cu excepția cazului în care acest lucru se dovedește imposibil sau implică
 eforturi disproporționate. Operatorul informează persoana vizată despre acești
destinatari, în cazul în care persoana vizată o solicită. (G.D.P.R. Art. 19)

8. PERIOADA DE PĂSTRARE ȘI ȘTERGEREA DATELOR CU CARACTER

PERSONAL

8.1. Destinatarul Datelor nu va păstra sau procesa Date cu Caracter Personal pentru mai
mult timp decât este necesar pentru realizarea Scopurilor de prelucrare convenite in prezentul
Acord.
8.2. Fără a aduce modificări clauzei 8.1, Părțile vor continua să păstreze Datele cu Caracter
Personal în conformitate cu orice perioade de păstrare legale sau profesionale
8.3. Destinatarul Datelor trebuie să se asigure că orice Date cu Caracter Personal, ce au fost
primite de la Furnizorul Datelor, sunt returnate Furnizorului Datelor sau distruse, în
următoarele situații:
a) la încetarea prezentului Acord, din orice motiv, cu excepția cazului în care legislația
Uniunii sau a statului membru impune stocarea datelor personale pentru o anumita
perioada de timp la expirarea contractului cadru cu excepția cazului în care se
prelungesc termenii prezentului Acord, cu excepția cazului în care legislația Uniunii
sau a statului membru impune stocarea datelor personale pentru o anumita perioada de
timp; o dată ce prelucrarea Datelor cu Caracter Personal nu mai este necesară pentru
scopurile pentru care au fost inițial transferate, conform prevederilor clauzei 2.3;
b) la alegerea Furnizorului Datelor, se vor șterge sau returna toate datele cu caracter
personal primite de la Furnizorul Datelor, după încetarea furnizării de servicii legate
de procesarea datelor personale și se vor șterge copiile existente, cu excepția cazului în
care legislația Uniunii sau a statului membru impune stocarea datelor personale pentru
o anumită perioadă de timp.

9. TRANSFERURI DE DATE CU CARACTER PERSONAL CĂTRE ŢĂRI TERŢE

SAU ORGANIZAŢII INTERNAŢIONALE

9.1. În sensul prezentei clauze, se consideră că Destinatarul Datelor realizează un transfer

al datelor cu caracter personal, prelucrate conform condițiilor prezentului Acord, în
următoarele situații, incluzând dar fără a se limita la:
a) transmiterea Datelor cu caracter personal către orice altă terță parte cu care
colaborează Destinatarul Datelor;
b) publicarea Datelor cu caracter personal pe surse media cu caracter public: site-uri
social media, site-uri web, comunicații disponibile publicului;
c) stocarea Datelor cu caracter personal pe servere din afara SEE (Spațiul Economic
European);
d) subcontractarea prelucrării Datelor cu Caracter Personal către procesatorii de date
localizați în afara SEE;
e) transmiterea datelor cu caracter personal către terți aflați în afara SEE.
9.2. Destinatarul Datelor nu va transfera Datele cu caracter personal, ce sunt
prelucrate conform condițiilor prezentului Acord, către o terță parte din interiorul
SEE, fără consimțământul scris al Furnizorului de Date.
9.3. De asemenea, Destinatarul Datelor nu va transfera datele cu caracter personal într-o
țară din afara SEE, fără consimțământul scris expres al Furnizorului de Date.
9.4. În cazul în care permisiunea scrisă expresă a fost acordată în conformitate cu clauza 9.2
sau cu clauza 9.3, Destinatarul Datelor nu va divulga sau transfera Date cu Caracter
Personal în afara SEE, fără a se asigura că va fi acordată protecție adecvată și
echivalentă Datelor cu Caracter Personal, ce sunt prelucrate conform condițiilor
convenite în prezentul Acord.
10. SECURITATEA DATELOR CU CARACTER PERSONAL

10.1.1. Părțile se obligă să pună în aplicare măsuri tehnice și organizatorice adecvate pentru a
proteja Datele Personale transferate între cele două Părți, pentru scopurile specifice de
prelucrare, împotriva prelucrării neautorizate sau ilegale și împotriva pierderii,
distrugerii, deteriorării, modificării sau dezvăluirii accidentale, incluzând dar fără a se
limita la măsurile prevăzute în Anexa 2.

11. ÎNCĂLCĂRI DE SECURITATE ȘI PROCEDURI DE RAPORTARE

11.1. Responsabilitatea de a notifica Autoritatea Națională de Supraveghere a Prelucrării

Datelor cu Caracter Personal, precum și Persoanele Vizate afectate, revine Operatorului
la care are loc încălcarea securității datelor. După ce a luat cunoștință de aceasta,
încălcarea securității datelor personale trebuie raportată în termen de 72 de ore
Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal și, fără
întârzieri nejustificate, persoanelor vizate.
11.2. Părțile au obligația strictă de a notifica celeilalte părți cât mai curând posibil orice
pierderi potențiale sau reale ale Datelor cu Caracter Personal transferate și, în orice caz,
în cel mult 24 de ore de la identificarea oricărei pierderi potențiale sau reale, pentru a
permite Părților să decidă ce măsuri sunt necesare pentru a rezolva problema în
conformitate cu legile și îndrumările naționale aplicabile în materie de protecție a
datelor.
11.3. Părțile convin să ofere asistență reciproc, după cum este necesar, pentru a facilita
remedierea oricăror încălcări a securității datelor într-o manieră rapidă și conformă cu
termenele impuse de G.D.P.R. si prezentul acord.

12. DREPTURI DE AUDIT

12.1. Operatorul Asociat va permite și va contribui la misiunile de audit, inclusiv inspecțiile,

efectuate de Operator sau de un alt auditor delegat de Operator.
12.2. Operatorul Asociat acoperă propriile sale costuri în legătură cu auditul. În cazul în care
se constată incidente legate de măsurile de securitate, Operatorul Asociat întreprinde
toate acțiunile pentru a remedia incidentele depistate.
12.3. Operatorul Asociat va permite efectuarea de inspecții și evaluări de către cealaltă Parte
(adică de către Operator) pentru a demonstra îndeplinirea obligațiilor prevăzute de
G.D.P.R. și de prezentul Acord.

13. ÎNCETAREA ACORDULUI

13.1. Prezentul Acord începe la [specificați data de începere] și va continua să fie valabil pe
toată durata Contractului Cadru.
13.2. Acordul se va încheia în mod automat la expirarea contractului, cu excepția cazului în
care, în urma revizuirii termenilor Acordului, părțile convin să prelungească acordul
pentru o perioadă suplimentară.
13.3. Orice reînnoire va fi semnată în scris de un semnatar autorizat al ambelor părți, iar
părțile vor căuta să fie de acord cu orice astfel de reînnoire cu cel puțin [x] luni înainte
de expirarea contractului cadru.

14. ROLURI ȘI RESPONSABILITĂȚI

14.1. Fiecare Parte va desemna un singur punct de contact în cadrul organizației care poate fi
contactat în ceea ce privește interogările sau plângerile referitoare la G.D.P.R. și / sau
conformitatea în condițiile prezentului Acord. Acesta poate fi fie Responsabilul cu
Protecția Datelor, fie o altă persoană responsabilă cu securitatea datelor personale.

15. MODIFICĂRI LA LEGEA APLICABILĂ

15.1. În cazul în care legislația aplicabilă în materie de protecție a datelor cu caracter personal
se modifică într-un mod care să nu mai fie adecvat pentru a se desfășura condițiile
legale de prelucrarea datelor cu caracter personal, Părțile convin să negocieze cu bună
credință revizuirea prezentului Acord în lumina noii legislații.

16. NOTIFICARE

16.1. Orice notificare care trebuie furnizată în temeiul prezentului Acord trebuie să fie în scris
și să primească un număr de înregistrare .
16.2. Adresele și contactele Părților sunt:

DENUMIRE COMPANIE ………………., în calitate de Operator

Responsabilul cu Protecția Datelor………………….
Adresa Operatorului ……………..

DENUMIRE COMPANIE ………………., in calitate de Operator Asociat

Responsabilul cu Protecția Datelor………………….
Adresa Operatorului Asociat……………..

Prezentul Acord, împreună cu Anexele 1 și 2, face parte integrantă din Contractul nr.
____/_____ și a fost încheiat în două exemplare originale, câte un exemplar pentru fiecare
Parte.

[Denumire Operator] [Denumire Operator Asociat]

Data: _________________________ Data : ______________________

Nume: _________________________ Nume: ______________________

Funcție: _________________________ Funcție: _____________________

Semnătură: ______________________ Semnătură: __________________

Anexa 1 la

Act Adițional la Contractul nr._____/_________

Anexa 1. Detalii privind Datele cu caracter personal pe care le prelucrează cei doi
Operatori

Prezenta Anexă 1 include datele cu caracter personal care vor fi transmise Operatorului
Asociat.

Obiectul și durata prelucrării Datelor cu caracter personal

Obiectul și durata prelucrării Datelor cu caracter personal sunt prevăzute în Contractul Cadru
și în acest Acord.

Natura și scopul prelucrării Datelor cu caracter personal

[Includeți o descriere detaliată a naturii și scopului prelucrării, descriind dacă prelucrarea

constă în adunarea, modificarea, conservarea, extragerea, distrugerea etc. a datelor cu caracter
personal.]

Tipurile de Date cu caracter personal care vor fi prelucrate

Categorii de Categorii de Categoriile de Angajați Activități pe care Nume

Persoane date cu ai Operatorilor care au acești angajați le Operator
Vizate la care caracter acces la Datele cu pot desfășura
se referă personal caracter personal folosind datele
prelucrarea cu caracter
personal
· [Specificați · [Specificaț · [Specificați · [Specificați ·
categoriile, i categoriile, câte una activitățile,
câte una per categoriile, per linie câte una per
linie] câte una (departamente)] linie]
per linie]
· · · · ·
[Denumire Operator] [Denumire Operator Asociat]

Data: _________________________ Data: ______________________

Nume: _________________________ Nume: ______________________

Funcție: _________________________ Funcție: _____________________

Semnătură: _________________________ Semnătură: __________________

Anexa 2 la

Act Adițional la Contractul nr._____/_________

Anexa 2. Măsuri tehnice și organizaționale

1. Activitatea de prelucrare a Datelor cu caracter personal trebuie să se desfășoare pe sisteme

de prelucrare a datelor, pe care au fost implementate măsuri tehnice și organizatorice de
protejare a datelor cu caracter personal, in concordanta cu standardele ISO 27001 și ISO
27002). Acolo unde datele sunt prelucrate pe suport hârtie, mecanisme de securitate
similare trebuie implementate. În acest context, Operatorul Asociat asigură Operatorul că
va lua toate măsurile necesare pentru prelucrarea Datelor cu caracter personal,
implementând cel puțin măsurile indicate în tabelul de mai jos, care sunt conform Art. 32
G.D.P.R.:

Descrierea măsurii de securitate Descrierea implementării măsurii de

securitate
Criptarea și pseudonimizarea datelor cu [Completați măsura de implementat]
caracter personal: implementarea
mecanismelor de criptare și pseudonimizare la
nivelul:
 Aplicațiilor
 Bazelor de date
 Stațiilor de lucru
 Echipamentelor de stocare
 Comunicațiilor
 Datelor în format nestructurat (de
exemplu: fișiere de tip word, pdf, excel,
etc.)
Controlul accesului la echipamente: [Completați măsura de implementat]
interzicerea accesului persoanelor neautorizate
la echipamente de prelucrare a datelor utilizate
pentru prelucrarea datelor cu caracter personal
Controlul suportului de date: prevenirea [Completați măsura de implementat]
Descrierea măsurii de securitate Descrierea implementării măsurii de
securitate
citirii, copierii, modificării sau îndepărtării
neautorizate a suporturilor de date
Controlul depozitării: introducerea de date cu [Completați măsura de implementat]
caracter personal și inspecția, modificarea sau
ștergerea a datelor cu caracter personal bazată
pe o matrice de drepturi ale categoriilor de
angajați
Controlul utilizatorilor: conturile utilizatorilor [Completați măsura de implementat]
care au acces la date sunt create și modificate pe
baza unei cereri aprobate de către persoanele
autorizate. Conturile sunt dezactivate în
momentul în care accesul nu mai este necesar.
Conturile și drepturile de acces asociate sunt
revizuite periodic.
Controlul accesului la date: asigurarea [Completați măsura de implementat]
faptului că persoanele autorizate, în vederea
utilizării unui sistem automat de prelucrare a
datelor, au acces exclusiv la datele cu caracter
personal acoperite de permisiunea lor de acces,
cu acces nominal
Controlul accesului la date: asigurarea
faptului că parolele folosite îndeplinesc condiții
de complexitate adecvate:
 Lungime minimă: 8 caractere
 Parola trebuie să conțină caractere alfa-
numerice
 Parola expiră la un interval de 30-45 zile
 Istoric parole: minim 12 parole reținute
 Contul se blochează automat după 3
încercări nereușite
Controlul comunicării: asigurarea faptului că [Completați măsura de implementat]
este posibilă verificarea și identificarea
persoanelor cărora li s-au transmis, li s-au putut
transmite sau li s-au pus la dispoziție date cu
caracter personal
Logarea activităților: asigurarea posibilității [Completați măsura de implementat]
verificării și stabilirii ulterioare a acțiunii
efectuate asupra datelor cu caracter personal,
momentul efectuării prelucrării și persoana care
le-a operat.
Controlul transportului: prevenirea citirii, [Completați măsura de implementat]
copierii, modificării sau ștergerii neautorizate a
Descrierea măsurii de securitate Descrierea implementării măsurii de
securitate
datelor cu caracter personal pe durata
transferului acestor date sau transportului
suporturilor de date
Recuperare: asigurarea posibilității recuperării [Completați măsura de implementat]
sistemelor instalate în caz de necesitate.
Existența unui plan de continuitate a afacerii
(BCP) și a unui plan de recuperare în caz de
dezastru (DRP). Acestea trebuie testate
periodic.
Integritate: asigurarea capabilității sistemului [Completați măsura de implementat]
de a avea copii de rezervă ce conțin datele
integre și permit restaurarea lor în cazul unei
posibile erori de sistem. Copiile sunt testate
periodic pentru a se asigura că pot fi restaurate
Managementul schimbărilor: asigurarea [Completați măsura de implementat]
faptului că schimbările implementate în
sisteme/aplicații sunt adecvate, revizuite,
aprobate, testate și implementate corespunzător,
astfel încât să nu afecteze integritatea,
confidențialitatea și disponibilitatea datelor cu
caracter personal
Privacy by design: asigurarea faptului că, încă [Completați măsura de implementat]
din stadiul dezvoltării, sistemele ce prelucrează
date cu caracter personal vor respecta regulile și
principiile stabilite de Regulament.

Privacy by default: asigurarea faptului că sunt [Completați măsura de implementat]

procesate doar datele personale de care e nevoie
pentru fiecare scop al prelucrării. În particular,
prin definiție, datele nu sunt accesibile fără
intervenția individului, de către un număr
indefinit de persoane
Evaluare riscuri: realizarea unei evaluări [Completați măsura de implementat]
periodice a riscurilor asupra prelucrării datelor
cu caracter personal și implementarea de
controale (măsuri tehnice și operaționale) care
să reducă aceste riscuri
Prevenirea accesului din afară: asigurarea [Completați măsura de implementat]
implementării unor sisteme de securitate pentru
a preveni accesul neautorizat al datelor din afara
companiei (ex.: firewall, IDS/IPS, etc.)
 Descrierea măsurii de securitate Descrierea implementării măsurii de
securitate
Protecția accesului fizic la date și controlul [Completați măsura de implementat]
evenimentelor de mediu: existența unor
controale de prevenire a accesului fizic la
suporturile pe care sunt stocate datele cu
caracter personal și existența unor măsuri
adecvate de prevenire a evenimentelor care pot
afecta fizic echipamentele pe care sunt stocate
date cu caracter personal (incendiu, inundații,
etc.)
Patch management: existența unui proces de [Completați măsura de implementat]
management al patch-urilor care să
monitorizeze achiziționarea, testarea și
instalarea de patch-uri multiple (modificări de
cod) pe aplicațiile și instrumentele software
existente pe un computer
Protecția împotriva virușilor: asigurarea [Completați măsura de implementat]
protecției datelor cu caracter personal împotriva
atacurilor cu viruși informatici (ex.: existența
unei soluții de antivirus actualizată la zi)

Audit intern și realizarea unor audituri [Completați măsura de implementat]

periodice a măsurilor implementate,
incluzând teste de tip ethical hacking.

[Denumire Operator] [Denumire Operator Asociat]

Data: _________________________ Data:

_________________________

Nume: _________________________ Nume:

_________________________

Funcție: _________________________ Funcție:

_________________________

Semnătură: _________________________ Semnătură:

_________________________