Documente Academic
Documente Profesional
Documente Cultură
AVAND IN VEDERE:
Prevederile Regulamentului General de Protectie a Datelor nr. 679/2016 (in continuare
denumit ca atare sau “GDPR”) care se aplică referitor la
(i) datele personale apartinand cetatenilor si rezidentilor UE si
(ii) (ii) la orice furnizor de servicii care prestează servicii în interiorul UE;
Raporturile contractuale intre Operator si Imputernicit reglementate prin contractul nr.
_____________din data ___________________(«Contractul»);
In vederea asigurarii conformitatii cu legislatia aplicabila referitoare la protectia datelor cu
caracter personal si implementarii cerintelor GDPR;
2. Definitii aplicabile
Date cu carcter personal – înseamnă orice informații privind o persoană fizică identificată sau
identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi
identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un
Anexa 5 – pag. 1
nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai
multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice,
culturale sau sociale;
Persoana vizata- inseamana orice persoana fizica la care se refera direct sau indirect datele
prelucrate
Prelucrarea datelor cu caracter personal – înseamnă orice operațiune sau set de operațiuni
efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal,
cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea,
structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea
prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea,
restricționarea, ștergerea sau distrugerea;
Pseudonimiare - înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât
acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații
suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă
obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor
date cu caracter personal unei persoane fizice identificate sau identificabile;
Legea Aplicabila – Regulamentul UE 2016/679, Legea 506/2004, precum si orice prevederi
legale nationale, primare sau secundare, in vigoare la data semnarii Contractului/Contractelor sau
care vor intra in vigoare ulterior, dar care au fost reglementate si eliberate cu referire la
prelucrarea datelor cu caracter personal.
Autoritatea de supraveghere – Autoritatea Nationala de Supravehere a Prelucrarii Datelor cu
Caracter Personal (ANSPDCP)
Anexa 5 – pag. 2
4. Obligatiile Prestatorului fata de Beneficiar
Datele cu caracter personal divulgate de către Beneficiar, precum și acelea colectate sau produse
în decursul prestării serviciilor, nu vor face obiectul niciunei operațiuni de integrare într-un fișier de
date, indiferent de natura operațiunii de procesare, cu excepția celor prevăzute de in
Contract/Contracte.
Astfel, Prestatorul se obliga:
a. Sa prelucreze datele numai pentru scopul/urile furnizarii serviciilor conform
Contractului/Contractelor;
b. Sa prelucreze datele in conformitate cu instructiunile scrise sau formalizate in alt fel ale
Beneficiarului, incluzand fara a se limita, cele prevazute in Contract/Contracte. Daca
Prestatorul considera ca o astfel de instructiune reprezinta o incalcare a GDPR sau a unei
alte prevederi din legislatia Uniunii Europene sau din legislatia unui alt stat membru referitor
la protectia datelor, va informa imediat Beneficiarul. In plus, in cazul in care Prestatorul este
obligat, conform legislatiei Uniunii Europene sau legislatiei unui stat membru, aplicabila, sa
transfere date personale catre o tara terta sau catre o organizatie internationala, va notifica
Beneficiarul despre existenta obligatiei respective, inainte de procesare, cu exceptia cazului
in care notificarea Beneficiarului nu este permisa din motive de politici publice.
c. Sa garanteze confidentialitatea datelor personale prelucrate;
d. Sa se asigure ca persoanele autorizate sa proceseze date personale, conform prezentului
Cotract:
se obliga sa mentina confidentialitatea datelor sau fac obiectul unei obligatii legale
adecvate de confidentialitate;
participa la trainingul semestrial cu privire la protectia datelor personale.
e. Sa aplice principiile de protectia datelor personale in mod automat si implicit cu privire la
produsele, aplicatiile si serviciile sale;
f. Să coopereze cu Beneficiarul în ceea ce privește obligația de informare a persoanelor, astfel
cum este prevăzută de Legea Aplicabilă, și să asigure prezența pe chestionar sau formular,
inclusiv electronic, a informării prevăzute de Legea Aplicabilă inclusiv proceduri definite
pentru exercitarea dreptului de acces, de opoziție, de rectificare, ștergere, restricționarea
procesării și portabilitate a datelor, precum și dreptul la retragerea consimțământului;
g. să satisfacă prompt, prin notificare scrisă, în cinci [5] zile lucrătoare de la solicitarea primită în
acest sens, orice solicitare de informații provenită de la Beneficiar, pentru a permite acestuia
să răspundă la (i) cereri ale persoanelor vizate referitor la exercitarea drepturilor acestora sau
(ii) cereri ale autorităților de reglementare sau ale ofițerului de protecție a datelor al
Beneficiarului;
h. să prelucreze toate datele cu caracter personal prelucrate și stocate doar în conformitate cu
principiile de securitate ca opțiune standard, limitare și proporționalitate, în legătură cu
scopuri definite, și să implementeze toate măsurile tehnice și organizatorice pentru a se
asigura că datele cu caracter personal sunt protejate adecvat, iar securitatea acestora este
asigurata, și sunt procesate doar de personal autorizat, în conformitate cu scopuri definite;
Anexa 5 – pag. 3
i. să execute toate controalele și misiunile de audit interne necesare pentru a se asigura că
toate regulile, dispozitivele și procesele de securitate sunt funcționale, și să asigure dovada
acestui caracter funcțional la prima cerere a Beneficiarului și/sau a autorității de
reglementare;
j. să notifice cu promptitudine Beneficiarul cu privire la orice cerere primită în legătură cu
protecția datelor cu caracter personal;
k. sa permita reprezentatilor Beneficiarului efectuarea inspectiilor necesare in vederea
verificarii de catre Beneficiar a implementarii de catre Prestator a instructiunilor
primite de la Beneficiar si a masurilor tehnice si organizatorice in conformitate cu
Legea Aplicabila;
l. sa notifice Beneficiarul in termen de maxim 24 h orice incalcare a securitatii datelor cu
caracter personal apartinand Beneficiarului si la care a dobandit acces in virtutea
Contractului/Contractelor si in conformitate cu Anexa 3.
5. Sub-contractarea
Datele cu caracter personal transmise de Beneficiar, prelucrate în conformitate cu
Contractul/Contractele, nu vor fi supuse niciunei dezvăluiri către terțe persoane, inclusiv
subcontractanți ai Prestatorului, cu excepția cazului în care Beneficiarul a autorizat expres si in
scris un astfel de transfer sau atunci cand se prevede altfel prin prevederi legale sau emise de
Autoritatea de Supraveghere.
Orice operațiune de subcontractare privitoare la datele cu caracter personal transmise de
Beneficiar va fi autorizată în mod expres si in scris în prealabil de către Beneficiar.
Daca va fi cazul, fiecare dintre sub-contractori trebuie sa respecte obligatiile conform
Contractului/Contractelor si instructiunile Beneficiarului. Prestatorul va fi responsabil si se va
asigura ca fiecare sub-contractor va oferi garantii cel putin echivalente celor prevazute, in
Contract/Contracte sau prezenta Politica, cu privire la implementarea masurilor tehnice si
organizatorice adecvate astfel incat procesarea sa fie conforma cu cerintele GDPR. Prestatorul va
fi pe deplin responsabil fata de Beneficiar pentru orice nerespectare de catre sub-contractori a
obligatiilor de protectie a datelor personale conform GDPR si Legsilatia Aplicabila.
Prestatorul se obliga sa notifice Beneficiarului toate locatiile de orice natura unde datele personale
sunt prelucrate (gazde, back-up-uri, intretinere, administrare, help desk, etc.) si sa actualizeze
Beneficiarul cu privire la orice modificari, inclusiv in situatia in care schimbarea unei locatii sau o
locatie ar implica transfer de date personale in UE sau in afara Spatiului Economic European.
O listă cu datele de identificare ale subcontractanților existenți la momentul încheierii
Contractului/Contractelor și ale operațiunilor care sunt atribuite către aceștia este prevăzută în
Anexa 2 la prezenta Politica, parte integranta din Contract/Contracte. Lista va fi actualizată în
cazul oricărei modificări privitoare la subcontractanți sau în cazul unui transfer de date, autorizat
de Beneficiar, inclusiv în afara Uniunii Europene.
În acest sens, Prestatorul se obligă să facă aplicabile obligațiile prevăzute de Contract/Contracte
tuturor furnizorilor și subcontractanților acesteia.
Anexa 5 – pag. 4
6. Aplicabilitatea legislatiei europeane referitoare la transferul datelor personale in afara
Spatiului Economic European
Prestatorul se obligă să se asigure că proprii săi subcontractanți și persoanele acționând sub
autoritatea sau în numele Prestatorului nu transferă în afara UE/ SEE datele cu caracter personal
comunicate de Beneficiar sau la care a dobandit acces in orice mod ca urmare a executarii
obiectului Contractului/Contractelor. Beneficiarul își rezervă dreptul de a efectua orice verificări
necesare pentru a evalua respectarea acestei obligații.
Prin excepție de la precedenta, si doar in urma solicitarii Beneficiarului si cu aprobarea prealabila,
expresa si in scris a Beneficiarului, Prestatorul este autorizat, în măsura în care este necesar
pentru prestarea serviciilor, să apeleze la mijloace de procesare situate pe teritoriul unui stat terț
care nu asigură un nivel adecvat de protecție în sensul Regulamentului no. 2016/679 dacă
Prestatorul și, subcontractanții Prestatorului, au încheiat contracte conținând Clauzele Standard
în condițiile stabilite de Comisia Europeană, pentru transferul datelor cu caracter personal
subcontractanților situați în state terțe si cu respectarea prevederilor Regulamentului UE
2016/679. Prestatorul a luat act, declară și garantează că orice schimburi transfrontaliere de date
personale vor fi guvernate de Clauze Standard eliberate in temeiul Regulamentului 2016/2016.
Dacă este necesar, Beneficiarul poate solicita Prestatorului să încheie Clauze Standard cu
subcontractanții acesteia. Prestatorul garantează semnarea și respectarea de către
subcontractanții acesteia a Clauzelor Standard. Dacă acest lucru este solicitat de legislația locală
sau de către Autoritatea de Supraveghere, procesare datelor va face obiectul autorizării
prealabile de către Autoritatea de Supraveghere. Îndeplinirea acestei condiții va fi considerată a
suspenda prestarea serviciilor vizate.
8. Drepturile persoanelor ale caror date sunt procesate si informatiile care trebuie furnizate
Beneficiarului
Prestatorul se obliga sa raspunda oricaror solicitari de informatii primite de la Beneficiar, in scris si
in timp util, si in niciun caz mai tarziu de (5) zile lucratoare de la data primirii solicitarii, pentru a
permite Beneficiarului sa (i) raspunda la solicitarile persoanelor ale caror date sunt procesate in
exercitarea drepturilor lor (ii) sa desfasoare o analiza de impact sau (iii) sa raspunda la solicitarile
autoritatilor de protectie a datelor personale sau Ofiterului de Protectie a Datelor Personale a
Beneficiarului.
Daca orice persoana ale carei date personale sunt procesate, inregistreaza orice cereri la
Prestator, in exercitarea drepturilor lor, Prestatorul va transmite aceste solicitari imediat dupa
primirea acesteia, prin email, catre dpo@operator.ro .
Anexa 5 – pag. 5
9. Notificarea incalcarilor legate de protectia datelor personale
Prestatorul va notifica Beneficiarul de orice incalcari legate de protectia datelor personale, nu mai
tarziu de 24 de ore de la momentul la care a luat cunostinta despre incalcare si prin urmatoarele
mijloace: prin email adresa dpo@operator.ro. Aceasta notificare va fi acompaniata de orice
documentatie relevanta pentru a permite Beneficiarului, daca va fi necesar, sa notifice autoritatea
de supraveghere competenta, despre respectiva incalcare.
Anexa 5 – pag. 6
11. Distrugerea datelor personale
La sfarsitul prestarii serviciilor, Prestatorul va restitui Beneficiarului (sau oricarui prestator de
servicii desemnat de catre Beneficiar) si va distruge, toate datele personale aflate pe orice fel de
suport. Prestatorul va certifica, in scris, distrugerea/stergerea datelor personale.
Anexa 5 – pag. 7
acces, in orice mod, cu ocaia furnizorii serviciilor obiect al Contractului/Contractelor. Astfel, daca
Beneficiarului i se va aplica o sanctiune de catre orice auroritate de supraveghere care actioneaza
in temeiul Regulamentului UE nr. 2016/679, ca urmare a incalcarii de catre Prestator a obligatiilor
prevazute in prezenta Politica, in GDPR sau in legislatia nationala a persoanei vizate sau a
Beneficiarului, Prestatorul va putea fi obligat de catre Beneficiar la achitarea contravalorii
respectivei sanctiuni.
De asemenea, daca Beneficiarul va fi obligat la acoperirea de prejudicii/ daune de catre
persoanlele vizate afectate, ca urmare a incalcarii de catre Prestator a obligatiilor prevazute in
prezenta Politica, in GDPR sau in legislatia nationala a persoanei vizate sau a Beneficiarului,
Prestatorul va putea fi obligat de catre Beneficiar la achitarea contravalorii prejudiciilor/daunelor la
care Beneficiarul a fost in acest fel obligat.
PRESTATOR, BENEFICIAR,
..... .....
PRIN: …….. PRIN: ……..
In calitate de: ………….. In calitate de: …………..
Anexa 5 – pag. 8
Anexa nr.1: Descrierea Datelor Personale Procesate
Operatii de Scopul Categorii Categorii de Durata Locul Sub-
prelucrare prelucrari de date persoane procesarii prelucrarii contractori
i datelor personale vizate ale
cu prelucrate caror date
caracter sunt
personal prelucrate
Procesarea
nr.1
Procesarea
nr.2
Procesarea
nr.3
Anexa 3:
Raport incalcarea securitatii datelor cu caracter personal
Numele Companiei Raspuns
Natura incidentului de incalcare a securtatii datelor Confidentialitate/ Disponibilitate/
personale Integritate
Categoriile de date personale afectate
Categoriile de persoane vizate afectate
Numarul aproximativ al datelor personale afectate/ numarul
aproximativ al inregistrarilor de date personale afectate
Numele Ofiterului pentru protectia datelor
Posibilele consecinte ale incalcarii securitatii datelor
personale
Masurile luate pentru a stopa consecintele negative asupra
persoanelor vizate
Anexa 5 – pag. 9
Masuri propuse spre a fi luate in vederea reducerii
consecintelor negative si pentru a preveni producerea in
viitor a unor astfel de incidente
Anexa 5 – pag. 10