Sunteți pe pagina 1din 11

ACORD DE PRELUCRARE A

DATELOR CU CARACTER PERSONAL


(PERSOANA IMPUTERNICITA)

PARTILE:
Societatea de Distributie a Energiei Electrice Muntenia Nord SA - S.R. Galati, având sediul in Galati,
str.N.Balcescu, nr.35A, înregistrată în Registrul Comerțului sub numărul J17/291/2002, cod unic de
identificare (CUI) RO 14565366; reprezentată de Director ec.Claudiu IACOB în calitate de Operator; și
SC AEG TEHNOLOGY SRL având sediul in GALATI, B-dul Otelarilor, nr 25, bloc D9E, birou 2, înregistrată în
Registrul Comerțului sub numărul J17/1211/2002, cod unic de identificare (CUI) RO15080180 reprezentată
de Administrator APOSTU LUCIAN în calitate de Persoana Împuternicită;

AVÂND ÎN VEDERE:

 Contractul (contractele) de executie încheiate între pǎrţi în perioada 06.01.2020 – 31.12.2020


având ca obiect lucrari de racordare la retelele electrice de interes public avand ca sursa de
finantare Tariful de Racordare (contractul principal) potrivit caruia Persoana Împuternicită
prelucrează date cu caracter personal în numele si pentru Operator.
 Regulamentul (UE) 2016/679 care obligă Operatorul să recurgă doar la persoane împuternicite ce
oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice
adecvate, astfel încât prelucrarea să respecte cerințele legale și să asigure protecția drepturilor
persoanei vizate,

CONVIN ÎNCHEIEREA PREZENTULUI ACORD referitor la prelucrarea datelor cu caracter personal


realizată de Persoana Împuternicită în numele Operatorului în scopul îndeplinirii contractului principal sau
in legatura cu acesta, in urmatoarele conditii.

1. SCOPUL ȘI NATURA PRELUCRĂRII DATELOR CU CARACTER PERSONAL

1.1. Prezentul Acord se aplică activităților de prelucrare a datelor cu caracter personal pe care Persoana
Împuternicită le realizează în numele Operatorului.
1.2. Persoana Împuternicită va prelucra datele cu caracter personal exclusiv în numele și în beneficiul
Operatorului, conform termenelor, masurilor si conditiilor prevazute de anexele la prezentul Acord, și nu va
avea drepturi independente în legătură cu ele. Dacă prelucrarea, în alte scopuri, este impusă prin legile
aplicabile Persoanei Împuternicite, aceasta va notifica, în scris, Operatorul în legătură cu această obligație,
înainte de prelucrarea datelor respective.
1.3 Persoana Împuternicită va comunica Operatorului, in termen de 10 zile de la semnarea Acordului,
numele și datele de contact ale responsabilului cu protecția datelor desemnat sau ale persoanei relevante,
de la care se pot obține informații necesare privind prelucrarea și protecția datelor cu caracter personal in
cadrul Persoanei Imputernicite.
1.4 Încălcarea clauzelor prezentului Acord sau a prevederilor legislației datelor cu caracter personal de
către Persoana Împuternicită dă dreptul Operatorului la rezilierea contractului principal din care face parte
prezentul Acord.
1.5. Părțile declară și recunosc că nicio dispoziție din prezentul Acord sau din Contractul Principal nu
absolvă Persoana Împuternicită de obligațiile prevăzute de legislația datelor cu caracter personal și nu
limitează răspunderea sa în caz de încălcare a obligațiilor respective, indiferent dacă aceastea fac sau nu
obiectul prezentului Acord.
2. PERSONALUL PERSOANEI ÎMPUTERNICITE

2.1 Persoana Împuternicită se obligă să trateze toate datele cu caracter personal ca fiind strict
confidențiale și va lua măsuri rezonabile pentru a informa toți angajații, colaboratorii și / sau sub-
procesatorii autorizați implicați în prelucrarea datelor cu caracter personal, despre natura confidențială a
datelor cu caracter personal.
2.2 Persoana Împuternicită se va asigura că accesul la datele cu caracter personal este strict limitat la
salariații, colaboratorii sau alte persoane autorizate ale acesteia care au nevoie să cunoască sau să
acceseze datele cu caracter personal relevante în scopul indeplinirii contractului principal si că aceste
persoane vor respecta legislația datelor cu caracter personal.
2.3 Persoana împuternicită se va asigura că orice persoană care acționează sub autoritatea sa și care are
acces la date cu caracter personal nu le prelucrează decât la cererea Operatorului și în conformitate cu
instrucțiunile acestuia.
2.4 Persoana Împuternicită se angajează să efectueze instruirea acestora în ceea ce privește obligațiile
legate de prelucrarea datelor cu caracter personal. De asemenea, va asigura participarea angajaților și/sau
colaboratorilor săi la instruirile efectuate de Operator.
2.5 Persoana împuternicită se va asigura că toate persoanele autorizate să prelucreze date cu caracter
personal pentru aceasta sunt ținute de o obligație legală de confidențialitate (au prin C.I.M./fișa postului
obligatii de confidentialitate a datelor prelucrate).

3. SECURITATE

3.1 Persoana Împuternicită garantează că va implementa măsuri tehnice și organizatorice


corespunzătoare pentru a proteja datele cu caracter personal împotriva distrugerii, pierderii, modificării,
dezvăluirii sau accesării accidentale și oricărei forme de prelucrare nelegală sau neautorizată a datelor cu
caracter personal.
3.2 Persoana Împuternicită va adopta și implementa efectiv măsuri tehnice și organizatorice adecvate
pentru a asigura un nivel de securitate corespunzător, incluzând, după caz:
-pseudonimizarea și criptarea datelor cu caracter personal;
-capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea datelor,
-capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util, în
cazul în care are loc un incident de natură fizică sau tehnică;
-evaluarea și aprecierea periodica a eficacității măsurilor tehnice și organizatorice, pentru a garanta
securitatea prelucrărilor datelor cu caracter personal.

4. ÎNCĂLCAREA SECURITĂȚII DATELOR CU CARACTER PERSONAL

4.1. Obligatia de a anunța ANSPDCP despre o eventuala incalcare a securitatii datelor prelucrate de
Persoana Imputernicita pentru Operator, îi revine Operatorului. Pentru aceasta, ținând seama de
informațiile aflate la dispoziția sa, Persoana Împuternicită are obligația de a anunța Operatorul de orice
încălcare a securității datelor cu caracter personal, care afectează datele cu caracter personal ale
Operatorului, nu mai târziu de 48 ore de la data la care a luat cunoștință de aceasta.

4.2. Persoana Împuternicită va oferi Operatorului suficiente informații pentru a-i permite să își
îndeplinească toate obligațiile de notificare a autorității de supraveghere competente și să informeze
persoanele vizate în caz de încălcare a securității datelor cu caracter personal, unde este cazul. Persoana
Împuternicită va utiliza Formularul de raportare a situațiilor de încălcare a securității datelor, din anexa 2 la
prezentul Acord. Acest formular va fi completat pe cât de detaliat posibil, și va include întotdeauna:

a) natura situației de încălcare a securității datelor cu caracter personal, inclusiv categoriile de


persoane vizate, categoriile de date cu caracter personal ale Operatorului și înregistrările
relevante;
b) consecințele situației de încălcare a securității datelor cu caracter personal;
c) măsurile propuse sau luate de Persoana Împuternicită pentru a soluționa încălcarea securității
datelor cu caracter personal.

4.3 Dacă și în măsura în care Persoana Împuternicită nu poate furniza Operatorului informațiile de la
clauza 4.2 de mai sus, în același timp, Persoana Împuternicită i le va transmite în mai multe etape, imediat
ce aceasta a luat cunoștință de ele și în toate cazurile fără întârzieri nejustificate, astfel încât Operatorul să
poată respecta obligațiile de notificare a ANSPDCP, în termen de 72 de ore.
4.1. Persoana Împuternicită va coopera continuu cu Operatorul și va lua măsurile rezonabile cerute de

2
Operator pentru a-l asista în investigarea încălcării securității datelor cu caracter personal și în atenuarea și
remedierea consecințelor acesteia.

5. RECRUTAREA UNUI SUBPROCESATOR

5.1. Persoana Împuternicită nu va putea recruta un potențial Subprocesator decât cu autorizarea prealabilă
scrisă a Operatorului si numai cu condiția ca Subprocesatorul să îndeplineasca obligațiile privind protecția
datelor cu caracter personal, cel putin la nivelul Persoanei Imputernicite.
5.2. Dacă Subprocesatorul nu își respectă obligațiile privind protecția Datelor cu Caracter Personal,
Persoana Împuternicită rămâne pe deplin răspunzătoare față de Operator în ceea ce privește îndeplinirea
obligațiilor respectivului Subprocesator. Recrutarea unui Subprocesator nu absolvă de răspundere Persoana
Împuternicită pentru îndeplinirea obligațiilor privind protecția datelor cu caracter personal.

6. EVALUAREA IMPACTULUI ASUPRA PROTECȚIEI DATELOR CU CARACTER PERSONAL ȘI


CONSULTAREA PREALABILĂ. AUDIT.

6.1. Persoana Împuternicită va coopera și va oferi asistență Operatorului la solicitarea acestuia transmisa
in scris, în vederea intocmirii evaluărilor de impact al operațiunilor de prelucrare realizate de Persoana
Împuternicita pentru Operator, asupra datelor persoanelor vizate.
6.2. Persoana Împuternicită va implementa măsurilor de protecție stabilite de Operator si transmise spre
implementare, in urma evaluarii de impact realizate pentru gestionarea riscurilor.
6.3. La cerere, Persoana Împuternicită va pune la dispoziția Operatorului toate informațiile necesare, va
permite și va contribui la misiuni de audit desfășurate de Operator sau de un auditor delegat de Operator,
în ceea ce privește prelucrarea datelor cu caracter personal ale Operatorului de către Persoana
Împuternicită și Sub-Procesatorii autorizați.
6.4. Costurile rezonabile pentru angajarea auditorilor Operatorului sunt acoperite de către Operator.
Persoana Împuternicită acoperă propriile sale costuri de audit. În cazul în care se constată incidente legate
de măsurile de securitate, Persoana Împuternicită întreprinde toate acțiunile pentru a remedia incidentele
depistate, pe cheltuiala sa.

7. DREPTURILE PERSOANELOR VIZATE

7.1 Ținând seama de natura prelucrării datelor cu caracter personal, Persoana Împuternicită se obligă
să ofere asistență Operatorului pentru îndeplinirea obligației acestuia de a răspunde cererilor persoanele
vizate in legatura cu drepturile pe care legislația datelor cu caracter personal le conferă acestora. Astfel,
Persoana Împuternicită va înștiința imediat, în scris, Operatorul dacă primește o cerere de la o persoană
vizată si va acorda suport Operatorului în soluționarea tuturor cererilor persoanelor vizate ce privesc sau
au legătură cu prelucrarea de date cu caracter personal realizată de Persoana Împuternicită;

8. EVIDENȚELE ACTIVITĂȚILOR DE PRELUCRARE

8.1. Persoana Împuternicită va tine evidenta tuturor activitatilor de prelucrare realizate pentru Operator,
evidente care vor cuprinde informații despre scopurile prelucrării, originea datelor cu caracter personal,
adică dacă sunt colectate direct de la persoanele vizate sau de la terți, categoriile datelor prelucrate,
categoriile de destinatari cărora le pot fi divulgate datele cu caracter personal ale Operatorului, modalitățile
de ștergere sau eliminare a datelor cu caracter personal ale operatorului, măsurile luate pentru a asigura
securitatea datelor cu caracter personal ale Operatorului și a prelucrării acestora și, unde este cazul,
transferurile datelor cu caracter personal către o țară terță sau o organizație internațională, inclusiv
identificarea țării sau organizației respective și documentația aferentă măsurilor de securitate aplicate
acestor transferuri.
8.2. Operatorul își rezervă dreptul de a solicita, în orice moment, o copie a înregistrărilor Persoanei
Împuternicite, pentru verificare.

9. INCETAREA ACORDULUI. ȘTERGEREA SAU RETURNAREA DATELOR CU CARACTER


PERSONAL

9.1. La încetarea sau expirarea Contractului principal sau la încetarea prestării serviciilor de prelucrare a
datelor, Persoanele Împuternicite vor înceta imediat toate activitățile de prelucrare a datelor cu caracter
personal ale Operatorului și vor stabili cu Operatorul cu privire la returnarea datelor sau la distrugerea lor

3
(inclusiv copiile acestora).
9.2. După ce Persoanele Împuternicite au returnat datele cu caracter personal stabilite cu Operatorul,
Persoanele Împuternicite vor distruge toate copiile datelor cu caracter personal și vor confirma acest lucru
Operatorului, cu excepția situației în care legislația aplicabilă interzice returnarea sau distrugerea integrală
sau parțială a datelor cu caracter personal. În acest caz, Persoana Împuternicită garantează că va asigura
confidențialitatea datelor cu caracter personal și nu le va mai prelucra în mod activ, prin completarea
formularului din anexa nr. 3 la prezentul Acord.
9.3. Prin „ștergere” în cuprinsul prezentului Acord se înțelege distugerea definitivă a tuturor datelor cu
caracter personal, inclusiv a tuturor copiilor acestora, în format fizic sau electronic, astfel încât acestea să
nu mai poată fi recuperate.
9.4. Persoana Împuternicită va transmite Operatorului o confirmare scrisă că a respectat în integralitate
dispozițiile acestei clauze, imediat ce acestea au fost aduse la îndeplinire (model formular in anexa 3).

10. TRANSFERUL DATELOR CU CARACTER PERSONAL

10.1. Persoana Împuternicită nu are dreptul sa transfere date cu caracter personal ale Operatorului în
afara Spațiului Economic European (SEE), fără a avea consimțământul prealabil scris al Operatorului.

11. ALTE CLAUZE

Orice modificare a prezentului Acord poate avea loc numai printr-un act adițional încheiat între Părți.

Disputele dintre părți izvorând din sau în legătură cu Contractul Principal ori în legătură cu acest Acord vor
fi soluționate de instanțele judecătorești competente.
Prezentul Acord intră în vigoare la data semnării lui de către ambele părți.
Prezentul Acord a fost încheiat în două exemplare originale, câte unul pentru fiecare Parte.
Anexele la prezentul Acord fac parte integrantă din acesta.

OPERATOR PERSOANA IMPUTERNICITA


SDEE MN SA
S.R. Galaţi SC AEG TEHNOLOGY SRL

DIRECTOR ADMINISTRATOR

Ec. Claudiu IACOB ING. APOSTU LUCIAN

Departament Juridic Departament Juridic

Cons.Jur. Elena DRAGAN .............................................................

Responsabil acord Responsabil acord

Ing. Florin VIERU Ec Budescu Violeta

4
Anexa 1.

I. Detalii privind prelucrarea datelor cu caracter personal de catre Persoana


Imputernicita

Categorii de Categorii de date cu Categoriile de angajați Activități pe care


persoane vizate la caracter personal ai Persoanei acești angajați le pot
care se referă Împuternicite care au desfășura folosind
prelucrarea acces la datele cu datele cu caracter
caracter personal ale personal
Operatorului

☐ Clienți, utilizatori ☐ Nume și adresă · [Specificați categoriile,


☐ Angajați ☐ Numere de telefon câte una per linie] □ Colectarea,
☐ Parteneri de afaceri ☐ Adrese de e-mail ....................................... □ Conservarea
□ Vizitatori ☐ Informații financiare, ....................................... □ Extragerea,
□ Altele .................. precum salarii, plăți. ....................................... □ Modificarea
....................................... Stocarea
........................... ☐ CNP □
....................................... Inregistrarea,
........................... ☐ CI/pasaport □
.......................................
......... ☐ Data nașterii sau vârsta □ Consultarea,
.......................................
☐ NLC, nume de utilizator □ Stergerea
.......................................
sau alte informații de □ Distrugerea,
.......................................
autentificare ....................................... □ Restricționarea,
☐ Date biometrice ....................................... □ Rombinarea,
Altele .................. □ Utilizarea,
□ Divulgarea prin
transmitere catre
alti destinatari

II. Măsuri tehnice și organizatorice

Descrierea măsurii de securitate


Se bifeaza masurile valabile prelucrarilor datelor in cadrul contractului principal.

Criptarea și pseudonimizarea datelor cu caracter personal: implementarea mecanismelor


de criptare și pseudonimizare la nivelul:
□ Aplicațiilor
□ Bazelor de date
□ Stațiilor de lucru
□ Echipamentelor de stocare
□ Comunicațiilor
□ Datelor în format nestructurat (de exemplu: fișiere de tip word, pdf, excel, etc.)

Controlul accesului la echipamente:


□ Este interzis accesul persoanelor neautorizate la echipamente de prelucrare a datelor
utilizate pentru prelucrarea datelor cu caracter personal

Controlul suportului de date


Exista masuri prin care se previne
□ citirea,
□ copierea,
□ modificarea

5
Descrierea măsurii de securitate
Se bifeaza masurile valabile prelucrarilor datelor in cadrul contractului principal.

□ stergerea datelor aflate pe suporturile de hartie/electronice

Controlul utilizatorilor:
□ conturile utilizatorilor care au acces la date sunt create și modificate pe baza unei cereri
aprobate de către persoanele autorizate
□ conturile sunt dezactivate în momentul în care accesul nu mai este necesar
□ conturile și drepturile de acces asociate sunt revizuite periodic

Controlul accesului la date: asigurarea faptului că parolele folosite îndeplinesc condiții de


complexitate adecvate:
□ lungime minimă: 6 caractere
□ parola expiră la un interval de 60 zile
□ contul se blochează automat după 3 încercări nereușite

Controlul comunicării:
□ este posibilă verificarea și identificarea persoanelor cărora li s-au transmis sau li s-au pus la
dispoziție date cu caracter personal

Integritate:
□ sistemul este capabil de a crea copii de rezervă ce conțin datele integre și permite
restaurarea lor în cazul unei posibile erori de sistem.

Privacy by design:
□ încă din stadiul dezvoltării, sistemele ce prelucrează date cu caracter personal vor respecta
regulile și principiile stabilite de Regulament.

Privacy by default:
□ sunt procesate doar datele personale de care e nevoie pentru fiecare scop al prelucrării
□ datele nu sunt accesibile fără intervenția individului

Evaluare riscuri:
□ se realizeaza evaluări periodice a riscurilor asupra prelucrării datelor cu caracter personal

Protecția accesului fizic la date și controlul evenimentelor de mediu:


□ existența unor controale de prevenire a accesului fizic la suporturile pe care sunt stocate
datele cu caracter personal și existența unor măsuri adecvate de prevenire a evenimentelor
care pot afecta fizic echipamentele pe care sunt stocate date cu caracter personal
(incendiu, inundații, etc.)

Protecția împotriva virușilor:


□ asigurarea protecției datelor cu caracter personal împotriva atacurilor cu viruși informatici
(ex.: existența unei soluții de antivirus actualizată la zi)

Audit intern
□ se realizeaza audituri periodice a măsurilor implementate

Anexa 2.

6
III. Formular de raportare a încălcării securității datelor cu caracter personal

(completat de Persoana Împuternicită si transmis Operatorului)

· Încălcarea securității datelor cu caracter personal înseamnă o încălcare a securității care conduce în
mod accidental sau ilegal la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul la
datele cu caracter personal transmise, stocate sau prelucrate în alt mod.
· Formularul trebuie transmis de persoana Imputernicita Operatorului, conform datelor de contact
stabilite prin contractul principal sau Acord.

A. Detalii privind încălcarea securității datelor de catre Persoana Imputernicita:

· Au fost afectate informații prin care se ☐ Da


pot identifica persoane? ☐ Nu
de ex.: date ale clienților, angajaților ☐ Necunoscut
sau date referitoare la furnizori sau
parteneri de afaceri?

· Explicați ce s-a întâmplat sau ce a dus · ................................................................................


la producerea incidentului. Includeți ................................................................................
detalii precum disponibilitatea ................................................................................
registrelor-jurnal, oferind o explicație a ................................................................................
secvenței evenimentelor care au dus la ................................................................................
încălcare. Dacă puteți, includeți ................................................................................
informații privind confidențialitatea, ................................................................................
integritatea și disponibilitatea datelor. ................................................................................
................................................................................
......................................................

· Incidentul a avut loc pe un · ..................................................


echipament XXXXX XXXXX (includeți
denumirea acestuia)

· Data la care a început incidentul (dacă · ..........................................................................


se cunoaște) · ☐ Nu știm când a început încălcarea datelor

· Ora la care a avut loc incidentul · ..........................................................................

· ☐ Nu știm ora la care a început încălcarea datelor

· Data la care s-a încheiat incidentul · ..........................................................................


(dacă s-a încheiat)
· ☐ Incidentul nu s-a încheiat încă

· În ce localitate a avut loc incidentul? · ..........................................................................


(eventual punctul de lucru)

· Ce credeți că a cauzat incidentul? · ................................................................................


................................................................................
................................................................................
· ☐ Nu știm care a fost cauza incidentului.

· Care este numărul (estimativ) de · Min: ................................................................


persoane afectate? · Max: .................................................................
Oferiți un număr estimativ ☐ Nu știm câte persoane sunt afectate.

· Ați putea clasifica grupul de persoane ☐ Clienți


afectate de incident? ☐ Angajați
Vă rugăm să selectați una sau mai ☐ Parteneri de afaceri
multe categorii. □ Vizitatori

7
☐ Alte persoane: .......................................................

· Ați putea clasifica tipul de date cu ☐ Nume și adresă


caracter personal afectate de incident? ☐ Numere de telefon
Vă rugăm să selectați una sau mai ☐ Adrese de e-mail
multe categorii. ☐ Informații financiare, precum salarii, plăți.
☐ CNP
☐ CI
☐ Data nașterii sau vârsta
☐ Nume de utilizator, parole sau alte informații de
autentificare
☐ Date biometrice
☐ Altele ................................................

B. Detalii privind consecințele încălcării securității datelor

· Care sunt posibilele consecințe pentru De exemplu:


persoanele vizate? ☐ Fraudă identitate
Vă rugăm să selectați una sau mai ☐ Pierderi financiare
multe categorii, dacă este cazul. ☐ Utilizare neautorizată a datelor cu caracter personal
☐ Defăimare
☐ Altele, vă rugăm să precizați:
................................................................................
................................................................................

Încălcarea confidențialității: Este ☐ Distribuire mai largă decât e necesară sau decât a fost
posibil să apară următoarele consecințe, consimțită de către persoanele vizate
ca urmare a încălcării confidențialității ☐ Datele ar putea fi coroborate cu alte informații despre
datelor (selectați toate opțiunile aplicabile) persoanele vizate
☐ Datele ar putea fi exploatate în alte scopuri și/sau în
mod injust
☐ Altele
......................................................................................
....................................................................................
· Încălcarea integrității: Este posibil ☐ E posibil ca datele să fi fost modificate și folosite, chiar
să apară următoarele consecințe, ca dacă nu mai sunt valide
urmare a încălcării integrității datelor ☐ E posibil ca datele să fi fost modificate în alte date
(selectați toate opțiunile aplicabile) valide și folosite în alte scopuri

Altele .............................................................................
......................................................................................
.......

· Încălcarea disponibilității: Este ☐ Pierderea abilității de a oferi un serviciu către persoana


posibil să apară următoarele vizată afectată
consecințe, ca urmare a încălcării ☐ Alterarea abilității de a oferi un serviciu către persoana
disponibilității datelor(selectați toate vizată afectată
opțiunile aplicabile) ☐ Altele, vă rugăm să precizați:
......................................................................................
.....................................................................................

C. Măsuri luate pentru remedierea încălcării securității datelor

8
· A fost raportată încălcarea vreunei alte ☐ Nu
dispozitii legale? ☐ Da, vă rugăm să precizați:
De ex.: Declarare furt laptop in care se ......................................................................................
aflau datele. ......................................................................................
......................................................................................

· Datele cu caracter personal afectate ☐ Nu


au fost recuperate? ☐ Da
☐ Parțial, vă rugăm să precizați:
..................................................................................

· Au fost luate măsuri tehnice și ☐ Nu s-au luat măsuri


organizatorice pentru a aplana ☐ Da, vă rugăm să precizați măsurile luate:
consecințele? ......................................................................................
......................................................................................
......................................................................................
......................................................................................

· Dacă este cazul: datele afectate erau ☐ Nu


criptate? ☐ Da; vă rugăm să precizați ce metode de criptare au fost
aplicate: .................................................................

Anexa 3

9
IV. Formular de eliminare a datelor cu caracter personal în condiții de siguranță

1. Persoana Împuternicită se asigură, în numele ei cât și în numele Sub-Procesatorilor autorizați, daca exista,
și pune la dispoziție Operatorului dovezi că a eliminat în condiții de siguranță toate datele cu caracter
personal ale Operatorului, inclusiv dar nelimitându-se la datele în format tipărit, date stocate pe servere,
datele integrate în sisteme și în copii de rezervă.

2. În măsura în care Persoana Împuternicită este obligată prin lege să păstreze datele cu caracter personal
ale Operatorului pentru o anumită perioadă de timp, Persoana Împuternicită a reținut o copie a Datelor cu
caracter personal ale Operatorului în vederea respectării legislației în vigoare și va stoca următoarele Date
cu caracter personal pe durata specificată, după care Persoana Împuternicită declară că va elimina datele
cu caracter personal ale Operatorului în condiții de siguranță.

3. Pentru a dovedi indeplinirea obligatiilor de distrugere, Persoana Imputernicita transmite Operatorului


urmatorul formular:

Categorii de date cu Modalitatea de Data distrugerii Persoana responsabila


caracter personal distrugere de distrugere (cea care
distruse confirma distrugerea) si
calitatea (functia)

☐ Date stocate pe □ Tocate (cu shredder) ......................................... .........................................


suport de hartie □ Arse ......................................... .........................................
☐ Date stocate pe □ Sterse ......................................... .........................................
suporturi electronice □ Altele .......................... ......................................... ........................................
....................................
....................................
..........

4. In cazul de la pct. 2, Persoana Imputernicita transmite Operatorului urmatorul FORMULAR PRIVIND


DATELE PASTRATE:

Categorii de persoane Categorii de date cu Temei legal pentru Perioada de pastrare


vizate ce au facut caracter personal pastrarea datelor (luni)
obiectul prelucrarii pastrate

☐ Clienți, utilizatori ☐ Nume și adresă · Introduceți legislație .........................................


☐ Angajați ☐ Numere de telefon aplicabilă per .........................................
☐ Parteneri de afaceri ☐ Adrese de e-mail categorie de date cu .........................................
□ altele .................. ☐ Informații financiare, caracter personal .........................................
.......................... precum salarii, plăți. ......................................... .........................................
.......................... ......................................... .........................................
☐ CNP
................. ......................................... .........................................
☐ Copie CI
......................................... .........................................
☐ Nume de utilizator, ......................................... .........................................
parole sau alte ......................................... .........................................
informații de ......................................... .........................................
autentificare ......................................... .........................................
☐ Date biometrice .........................................
altele .................. .........................................
.........................................

Anexa 4

10
V. DEFINIȚII.

Următorii termeni vor avea sensurile atribuite conform definițiilor de mai jos:

„GDPR” înseamnă Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește
prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei
95/46/CE;

„Persoana vizată” înseamnă o persoană care poate fi identificată, direct sau indirect, în special prin referire
la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un
identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice,
genetice, psihice, economice, culturale sau sociale;

„Operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur
sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal;
atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern,
operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în
dreptul intern;

„Persoana împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția
sau alt organism care prelucrează datele cu caracter personal în numele operatorului;

„Sub-Procesator Autorizat” înseamnă orice entitate sau parte terță desemnată de Persoana Împuternicită și
aprobată în mod expres de către Operator, această aprobare făcând obiectul respectării stricte a acestui
Act Adițional;

„Date cu caracter personal ale Operatorului” înseamnă orice Date cu caracter personal prelucrate de o
Persoană Împuternicită contractată în numele Operatorului, conform prevederilor Contractului principal și
acestui Acord;

„Prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal
sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi
colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea,
consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod,
alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;

„Breșă(e) de securitate” înseamnă orice incident(e) de distrugere, pierdere, modificare, dezvăluire sau
accesare a datelor cu caracter personal accidentală, neautorizată sau ilegală intervenit în cadrul
operațiunilor de prelucrare efectuate în cadrul Contractului principal;

„Servicii” înseamnă serviciile și alte activități care urmează să fie prestate sau desfășurate de către
persoana imputernicita în numele Operatorului conform Contractului principal;

„ANSPDCP” înseamnă Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, în


calitate de autoritate publică centrală autonomă cu competență generală în domeniul protecției datelor
personale;

11