Documente Academic
Documente Profesional
Documente Cultură
PARTILE:
Societatea de Distributie a Energiei Electrice Muntenia Nord SA - S.R. Galati, având sediul in Galati,
str.N.Balcescu, nr.35A, înregistrată în Registrul Comerțului sub numărul J17/291/2002, cod unic de
identificare (CUI) RO 14565366; reprezentată de Director ec.Claudiu IACOB în calitate de Operator; și
SC AEG TEHNOLOGY SRL având sediul in GALATI, B-dul Otelarilor, nr 25, bloc D9E, birou 2, înregistrată în
Registrul Comerțului sub numărul J17/1211/2002, cod unic de identificare (CUI) RO15080180 reprezentată
de Administrator APOSTU LUCIAN în calitate de Persoana Împuternicită;
AVÂND ÎN VEDERE:
1.1. Prezentul Acord se aplică activităților de prelucrare a datelor cu caracter personal pe care Persoana
Împuternicită le realizează în numele Operatorului.
1.2. Persoana Împuternicită va prelucra datele cu caracter personal exclusiv în numele și în beneficiul
Operatorului, conform termenelor, masurilor si conditiilor prevazute de anexele la prezentul Acord, și nu va
avea drepturi independente în legătură cu ele. Dacă prelucrarea, în alte scopuri, este impusă prin legile
aplicabile Persoanei Împuternicite, aceasta va notifica, în scris, Operatorul în legătură cu această obligație,
înainte de prelucrarea datelor respective.
1.3 Persoana Împuternicită va comunica Operatorului, in termen de 10 zile de la semnarea Acordului,
numele și datele de contact ale responsabilului cu protecția datelor desemnat sau ale persoanei relevante,
de la care se pot obține informații necesare privind prelucrarea și protecția datelor cu caracter personal in
cadrul Persoanei Imputernicite.
1.4 Încălcarea clauzelor prezentului Acord sau a prevederilor legislației datelor cu caracter personal de
către Persoana Împuternicită dă dreptul Operatorului la rezilierea contractului principal din care face parte
prezentul Acord.
1.5. Părțile declară și recunosc că nicio dispoziție din prezentul Acord sau din Contractul Principal nu
absolvă Persoana Împuternicită de obligațiile prevăzute de legislația datelor cu caracter personal și nu
limitează răspunderea sa în caz de încălcare a obligațiilor respective, indiferent dacă aceastea fac sau nu
obiectul prezentului Acord.
2. PERSONALUL PERSOANEI ÎMPUTERNICITE
2.1 Persoana Împuternicită se obligă să trateze toate datele cu caracter personal ca fiind strict
confidențiale și va lua măsuri rezonabile pentru a informa toți angajații, colaboratorii și / sau sub-
procesatorii autorizați implicați în prelucrarea datelor cu caracter personal, despre natura confidențială a
datelor cu caracter personal.
2.2 Persoana Împuternicită se va asigura că accesul la datele cu caracter personal este strict limitat la
salariații, colaboratorii sau alte persoane autorizate ale acesteia care au nevoie să cunoască sau să
acceseze datele cu caracter personal relevante în scopul indeplinirii contractului principal si că aceste
persoane vor respecta legislația datelor cu caracter personal.
2.3 Persoana împuternicită se va asigura că orice persoană care acționează sub autoritatea sa și care are
acces la date cu caracter personal nu le prelucrează decât la cererea Operatorului și în conformitate cu
instrucțiunile acestuia.
2.4 Persoana Împuternicită se angajează să efectueze instruirea acestora în ceea ce privește obligațiile
legate de prelucrarea datelor cu caracter personal. De asemenea, va asigura participarea angajaților și/sau
colaboratorilor săi la instruirile efectuate de Operator.
2.5 Persoana împuternicită se va asigura că toate persoanele autorizate să prelucreze date cu caracter
personal pentru aceasta sunt ținute de o obligație legală de confidențialitate (au prin C.I.M./fișa postului
obligatii de confidentialitate a datelor prelucrate).
3. SECURITATE
4.1. Obligatia de a anunța ANSPDCP despre o eventuala incalcare a securitatii datelor prelucrate de
Persoana Imputernicita pentru Operator, îi revine Operatorului. Pentru aceasta, ținând seama de
informațiile aflate la dispoziția sa, Persoana Împuternicită are obligația de a anunța Operatorul de orice
încălcare a securității datelor cu caracter personal, care afectează datele cu caracter personal ale
Operatorului, nu mai târziu de 48 ore de la data la care a luat cunoștință de aceasta.
4.2. Persoana Împuternicită va oferi Operatorului suficiente informații pentru a-i permite să își
îndeplinească toate obligațiile de notificare a autorității de supraveghere competente și să informeze
persoanele vizate în caz de încălcare a securității datelor cu caracter personal, unde este cazul. Persoana
Împuternicită va utiliza Formularul de raportare a situațiilor de încălcare a securității datelor, din anexa 2 la
prezentul Acord. Acest formular va fi completat pe cât de detaliat posibil, și va include întotdeauna:
4.3 Dacă și în măsura în care Persoana Împuternicită nu poate furniza Operatorului informațiile de la
clauza 4.2 de mai sus, în același timp, Persoana Împuternicită i le va transmite în mai multe etape, imediat
ce aceasta a luat cunoștință de ele și în toate cazurile fără întârzieri nejustificate, astfel încât Operatorul să
poată respecta obligațiile de notificare a ANSPDCP, în termen de 72 de ore.
4.1. Persoana Împuternicită va coopera continuu cu Operatorul și va lua măsurile rezonabile cerute de
2
Operator pentru a-l asista în investigarea încălcării securității datelor cu caracter personal și în atenuarea și
remedierea consecințelor acesteia.
5.1. Persoana Împuternicită nu va putea recruta un potențial Subprocesator decât cu autorizarea prealabilă
scrisă a Operatorului si numai cu condiția ca Subprocesatorul să îndeplineasca obligațiile privind protecția
datelor cu caracter personal, cel putin la nivelul Persoanei Imputernicite.
5.2. Dacă Subprocesatorul nu își respectă obligațiile privind protecția Datelor cu Caracter Personal,
Persoana Împuternicită rămâne pe deplin răspunzătoare față de Operator în ceea ce privește îndeplinirea
obligațiilor respectivului Subprocesator. Recrutarea unui Subprocesator nu absolvă de răspundere Persoana
Împuternicită pentru îndeplinirea obligațiilor privind protecția datelor cu caracter personal.
6.1. Persoana Împuternicită va coopera și va oferi asistență Operatorului la solicitarea acestuia transmisa
in scris, în vederea intocmirii evaluărilor de impact al operațiunilor de prelucrare realizate de Persoana
Împuternicita pentru Operator, asupra datelor persoanelor vizate.
6.2. Persoana Împuternicită va implementa măsurilor de protecție stabilite de Operator si transmise spre
implementare, in urma evaluarii de impact realizate pentru gestionarea riscurilor.
6.3. La cerere, Persoana Împuternicită va pune la dispoziția Operatorului toate informațiile necesare, va
permite și va contribui la misiuni de audit desfășurate de Operator sau de un auditor delegat de Operator,
în ceea ce privește prelucrarea datelor cu caracter personal ale Operatorului de către Persoana
Împuternicită și Sub-Procesatorii autorizați.
6.4. Costurile rezonabile pentru angajarea auditorilor Operatorului sunt acoperite de către Operator.
Persoana Împuternicită acoperă propriile sale costuri de audit. În cazul în care se constată incidente legate
de măsurile de securitate, Persoana Împuternicită întreprinde toate acțiunile pentru a remedia incidentele
depistate, pe cheltuiala sa.
7.1 Ținând seama de natura prelucrării datelor cu caracter personal, Persoana Împuternicită se obligă
să ofere asistență Operatorului pentru îndeplinirea obligației acestuia de a răspunde cererilor persoanele
vizate in legatura cu drepturile pe care legislația datelor cu caracter personal le conferă acestora. Astfel,
Persoana Împuternicită va înștiința imediat, în scris, Operatorul dacă primește o cerere de la o persoană
vizată si va acorda suport Operatorului în soluționarea tuturor cererilor persoanelor vizate ce privesc sau
au legătură cu prelucrarea de date cu caracter personal realizată de Persoana Împuternicită;
8.1. Persoana Împuternicită va tine evidenta tuturor activitatilor de prelucrare realizate pentru Operator,
evidente care vor cuprinde informații despre scopurile prelucrării, originea datelor cu caracter personal,
adică dacă sunt colectate direct de la persoanele vizate sau de la terți, categoriile datelor prelucrate,
categoriile de destinatari cărora le pot fi divulgate datele cu caracter personal ale Operatorului, modalitățile
de ștergere sau eliminare a datelor cu caracter personal ale operatorului, măsurile luate pentru a asigura
securitatea datelor cu caracter personal ale Operatorului și a prelucrării acestora și, unde este cazul,
transferurile datelor cu caracter personal către o țară terță sau o organizație internațională, inclusiv
identificarea țării sau organizației respective și documentația aferentă măsurilor de securitate aplicate
acestor transferuri.
8.2. Operatorul își rezervă dreptul de a solicita, în orice moment, o copie a înregistrărilor Persoanei
Împuternicite, pentru verificare.
9.1. La încetarea sau expirarea Contractului principal sau la încetarea prestării serviciilor de prelucrare a
datelor, Persoanele Împuternicite vor înceta imediat toate activitățile de prelucrare a datelor cu caracter
personal ale Operatorului și vor stabili cu Operatorul cu privire la returnarea datelor sau la distrugerea lor
3
(inclusiv copiile acestora).
9.2. După ce Persoanele Împuternicite au returnat datele cu caracter personal stabilite cu Operatorul,
Persoanele Împuternicite vor distruge toate copiile datelor cu caracter personal și vor confirma acest lucru
Operatorului, cu excepția situației în care legislația aplicabilă interzice returnarea sau distrugerea integrală
sau parțială a datelor cu caracter personal. În acest caz, Persoana Împuternicită garantează că va asigura
confidențialitatea datelor cu caracter personal și nu le va mai prelucra în mod activ, prin completarea
formularului din anexa nr. 3 la prezentul Acord.
9.3. Prin „ștergere” în cuprinsul prezentului Acord se înțelege distugerea definitivă a tuturor datelor cu
caracter personal, inclusiv a tuturor copiilor acestora, în format fizic sau electronic, astfel încât acestea să
nu mai poată fi recuperate.
9.4. Persoana Împuternicită va transmite Operatorului o confirmare scrisă că a respectat în integralitate
dispozițiile acestei clauze, imediat ce acestea au fost aduse la îndeplinire (model formular in anexa 3).
10.1. Persoana Împuternicită nu are dreptul sa transfere date cu caracter personal ale Operatorului în
afara Spațiului Economic European (SEE), fără a avea consimțământul prealabil scris al Operatorului.
Orice modificare a prezentului Acord poate avea loc numai printr-un act adițional încheiat între Părți.
Disputele dintre părți izvorând din sau în legătură cu Contractul Principal ori în legătură cu acest Acord vor
fi soluționate de instanțele judecătorești competente.
Prezentul Acord intră în vigoare la data semnării lui de către ambele părți.
Prezentul Acord a fost încheiat în două exemplare originale, câte unul pentru fiecare Parte.
Anexele la prezentul Acord fac parte integrantă din acesta.
DIRECTOR ADMINISTRATOR
4
Anexa 1.
5
Descrierea măsurii de securitate
Se bifeaza masurile valabile prelucrarilor datelor in cadrul contractului principal.
Controlul utilizatorilor:
□ conturile utilizatorilor care au acces la date sunt create și modificate pe baza unei cereri
aprobate de către persoanele autorizate
□ conturile sunt dezactivate în momentul în care accesul nu mai este necesar
□ conturile și drepturile de acces asociate sunt revizuite periodic
Controlul comunicării:
□ este posibilă verificarea și identificarea persoanelor cărora li s-au transmis sau li s-au pus la
dispoziție date cu caracter personal
Integritate:
□ sistemul este capabil de a crea copii de rezervă ce conțin datele integre și permite
restaurarea lor în cazul unei posibile erori de sistem.
Privacy by design:
□ încă din stadiul dezvoltării, sistemele ce prelucrează date cu caracter personal vor respecta
regulile și principiile stabilite de Regulament.
Privacy by default:
□ sunt procesate doar datele personale de care e nevoie pentru fiecare scop al prelucrării
□ datele nu sunt accesibile fără intervenția individului
Evaluare riscuri:
□ se realizeaza evaluări periodice a riscurilor asupra prelucrării datelor cu caracter personal
Audit intern
□ se realizeaza audituri periodice a măsurilor implementate
Anexa 2.
6
III. Formular de raportare a încălcării securității datelor cu caracter personal
· Încălcarea securității datelor cu caracter personal înseamnă o încălcare a securității care conduce în
mod accidental sau ilegal la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul la
datele cu caracter personal transmise, stocate sau prelucrate în alt mod.
· Formularul trebuie transmis de persoana Imputernicita Operatorului, conform datelor de contact
stabilite prin contractul principal sau Acord.
7
☐ Alte persoane: .......................................................
Încălcarea confidențialității: Este ☐ Distribuire mai largă decât e necesară sau decât a fost
posibil să apară următoarele consecințe, consimțită de către persoanele vizate
ca urmare a încălcării confidențialității ☐ Datele ar putea fi coroborate cu alte informații despre
datelor (selectați toate opțiunile aplicabile) persoanele vizate
☐ Datele ar putea fi exploatate în alte scopuri și/sau în
mod injust
☐ Altele
......................................................................................
....................................................................................
· Încălcarea integrității: Este posibil ☐ E posibil ca datele să fi fost modificate și folosite, chiar
să apară următoarele consecințe, ca dacă nu mai sunt valide
urmare a încălcării integrității datelor ☐ E posibil ca datele să fi fost modificate în alte date
(selectați toate opțiunile aplicabile) valide și folosite în alte scopuri
☐
Altele .............................................................................
......................................................................................
.......
8
· A fost raportată încălcarea vreunei alte ☐ Nu
dispozitii legale? ☐ Da, vă rugăm să precizați:
De ex.: Declarare furt laptop in care se ......................................................................................
aflau datele. ......................................................................................
......................................................................................
Anexa 3
9
IV. Formular de eliminare a datelor cu caracter personal în condiții de siguranță
1. Persoana Împuternicită se asigură, în numele ei cât și în numele Sub-Procesatorilor autorizați, daca exista,
și pune la dispoziție Operatorului dovezi că a eliminat în condiții de siguranță toate datele cu caracter
personal ale Operatorului, inclusiv dar nelimitându-se la datele în format tipărit, date stocate pe servere,
datele integrate în sisteme și în copii de rezervă.
2. În măsura în care Persoana Împuternicită este obligată prin lege să păstreze datele cu caracter personal
ale Operatorului pentru o anumită perioadă de timp, Persoana Împuternicită a reținut o copie a Datelor cu
caracter personal ale Operatorului în vederea respectării legislației în vigoare și va stoca următoarele Date
cu caracter personal pe durata specificată, după care Persoana Împuternicită declară că va elimina datele
cu caracter personal ale Operatorului în condiții de siguranță.
Anexa 4
10
V. DEFINIȚII.
Următorii termeni vor avea sensurile atribuite conform definițiilor de mai jos:
„GDPR” înseamnă Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește
prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei
95/46/CE;
„Persoana vizată” înseamnă o persoană care poate fi identificată, direct sau indirect, în special prin referire
la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un
identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice,
genetice, psihice, economice, culturale sau sociale;
„Operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur
sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal;
atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern,
operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în
dreptul intern;
„Persoana împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția
sau alt organism care prelucrează datele cu caracter personal în numele operatorului;
„Sub-Procesator Autorizat” înseamnă orice entitate sau parte terță desemnată de Persoana Împuternicită și
aprobată în mod expres de către Operator, această aprobare făcând obiectul respectării stricte a acestui
Act Adițional;
„Date cu caracter personal ale Operatorului” înseamnă orice Date cu caracter personal prelucrate de o
Persoană Împuternicită contractată în numele Operatorului, conform prevederilor Contractului principal și
acestui Acord;
„Prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal
sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi
colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea,
consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod,
alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
„Breșă(e) de securitate” înseamnă orice incident(e) de distrugere, pierdere, modificare, dezvăluire sau
accesare a datelor cu caracter personal accidentală, neautorizată sau ilegală intervenit în cadrul
operațiunilor de prelucrare efectuate în cadrul Contractului principal;
„Servicii” înseamnă serviciile și alte activități care urmează să fie prestate sau desfășurate de către
persoana imputernicita în numele Operatorului conform Contractului principal;
11