CLAUZE CONTRACTUALE INTRE OPERATOR SI IMPUTERNICIT

POLITICA DE PROTECTIE A DATELOR CU CARACTER PERSONAL

SC Operator SA, reprezentată prin …, în calitate de …. (denumit în continuare „Operator” sau

“Beneficiar”), avand CUI….., adresa……,
Si
SC Imputernicit SA reprezentată prin ….., în calitate de ….., denumit in continuare "Imputernicit”
sau ”Prestator”, avand CUI….., adresa……

AVAND IN VEDERE:
 Prevederile Regulamentului General de Protectie a Datelor nr. 679/2016 (in continuare
denumit ca atare sau “GDPR”) care se aplică referitor la
(i) datele personale apartinand cetatenilor si rezidentilor UE si
(ii) (ii) la orice furnizor de servicii care prestează servicii în interiorul UE;
 Raporturile contractuale intre Operator si Imputernicit reglementate prin contractul nr.
_____________din data ___________________(«Contractul»);
 In vederea asigurarii conformitatii cu legislatia aplicabila referitoare la protectia datelor cu
caracter personal si implementarii cerintelor GDPR;

Prestatorul se angajeaza sa implementeze in cadrul activitatilor desfasurate in relatia cu

Beneficiarul si sa respecte prezenta Politica de protectie a datelor cu caracter personal, care
devine parte integranta din Contract, si care are aplicabilitate fata de toate Contractele prezente si
viitoare incheiate intre Beneficiar si Prestator, pe toate perioada de valabilitate a acestora cat si
pana la stergerea/distrugerea definitiva a datelor cu caracter personal de catre Prestator, avand
urmatorul continut :

1. Descrierea operatiunilor de prelucrare

Prestatorul este autorizat sa prelucreze datele personale in numele Beneficiarului numai in
masura necesara furnizarii serviciilor conform Contractului/Contractelor.
Operatiunile de prelucrare a datelor personale autorizate sunt prevazute in Anexa nr. 1 denumita
“Descrierea Datelor Personale Prelucrate” si vor fi actualizate pe masura executarii
Contractului/Contractelor, daca va fi cazul.

2. Definitii aplicabile
Date cu carcter personal – înseamnă orice informații privind o persoană fizică identificată sau
identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi
identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un

Anexa 5 – pag. 1
nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai
multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice,
culturale sau sociale;
Persoana vizata- inseamana orice persoana fizica la care se refera direct sau indirect datele
prelucrate
Prelucrarea datelor cu caracter personal – înseamnă orice operațiune sau set de operațiuni
efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal,
cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea,
structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea
prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea,
restricționarea, ștergerea sau distrugerea;
Pseudonimiare - înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât
acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații
suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă
obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor
date cu caracter personal unei persoane fizice identificate sau identificabile;
Legea Aplicabila – Regulamentul UE 2016/679, Legea 506/2004, precum si orice prevederi
legale nationale, primare sau secundare, in vigoare la data semnarii Contractului/Contractelor sau
care vor intra in vigoare ulterior, dar care au fost reglementate si eliberate cu referire la
prelucrarea datelor cu caracter personal.
Autoritatea de supraveghere – Autoritatea Nationala de Supravehere a Prelucrarii Datelor cu
Caracter Personal (ANSPDCP)

3. Respectarea legislației protecției datelor cu caracter personal

3.1. Ambele părți vor respecta obligațiile ce le incumbă în temeiul oricărei legislații relevante în
materia protecției datelor cu caracter personal, precum și orice instrucțiuni, politici și coduri de
conduită comunicate de Operator. Ambele Părți se obligă să colaboreze activ pentru a permite
îndeplinirea formalităților declarative care incumbă Părților și, dacă este necesar, obținerea
autorizărilor emise de autoritățile competente.
3.2. Ambele Părți se vor abține de la orice acțiune care ar putea avea un efect advers asupra
respectării de către cealaltă Parte a legislației aplicabile în materia protecției datelor personale
(denumită în continuare „Legea Aplicabilă”).
3.3. În plus față de Legea Aplicabilă, ambele Părți au luat cunoștință despre prevederile
Regulamentului General de Protecție a Datelor nr. 2016-679 care se aplică la (i) datele personale
ale oricărui resortisant UE și (ii) la orice furnizor de servicii care prestează serviciul în interiorul
UE. Părțile vor coopera în vederea asigurării implementării cerințelor Regulamentului în cadrul
Serviciilor înainte de luna mai 2018.

Anexa 5 – pag. 2
4. Obligatiile Prestatorului fata de Beneficiar
Datele cu caracter personal divulgate de către Beneficiar, precum și acelea colectate sau produse
în decursul prestării serviciilor, nu vor face obiectul niciunei operațiuni de integrare într-un fișier de
date, indiferent de natura operațiunii de procesare, cu excepția celor prevăzute de in
Contract/Contracte.
Astfel, Prestatorul se obliga:
a. Sa prelucreze datele numai pentru scopul/urile furnizarii serviciilor conform
Contractului/Contractelor;
b. Sa prelucreze datele in conformitate cu instructiunile scrise sau formalizate in alt fel ale
Beneficiarului, incluzand fara a se limita, cele prevazute in Contract/Contracte. Daca
Prestatorul considera ca o astfel de instructiune reprezinta o incalcare a GDPR sau a unei
alte prevederi din legislatia Uniunii Europene sau din legislatia unui alt stat membru referitor
la protectia datelor, va informa imediat Beneficiarul. In plus, in cazul in care Prestatorul este
obligat, conform legislatiei Uniunii Europene sau legislatiei unui stat membru, aplicabila, sa
transfere date personale catre o tara terta sau catre o organizatie internationala, va notifica
Beneficiarul despre existenta obligatiei respective, inainte de procesare, cu exceptia cazului
in care notificarea Beneficiarului nu este permisa din motive de politici publice.
c. Sa garanteze confidentialitatea datelor personale prelucrate;
d. Sa se asigure ca persoanele autorizate sa proceseze date personale, conform prezentului
Cotract:
 se obliga sa mentina confidentialitatea datelor sau fac obiectul unei obligatii legale
adecvate de confidentialitate;
 participa la trainingul semestrial cu privire la protectia datelor personale.
e. Sa aplice principiile de protectia datelor personale in mod automat si implicit cu privire la
produsele, aplicatiile si serviciile sale;
f. Să coopereze cu Beneficiarul în ceea ce privește obligația de informare a persoanelor, astfel
cum este prevăzută de Legea Aplicabilă, și să asigure prezența pe chestionar sau formular,
inclusiv electronic, a informării prevăzute de Legea Aplicabilă inclusiv proceduri definite
pentru exercitarea dreptului de acces, de opoziție, de rectificare, ștergere, restricționarea
procesării și portabilitate a datelor, precum și dreptul la retragerea consimțământului;
g. să satisfacă prompt, prin notificare scrisă, în cinci [5] zile lucrătoare de la solicitarea primită în
acest sens, orice solicitare de informații provenită de la Beneficiar, pentru a permite acestuia
să răspundă la (i) cereri ale persoanelor vizate referitor la exercitarea drepturilor acestora sau
(ii) cereri ale autorităților de reglementare sau ale ofițerului de protecție a datelor al
Beneficiarului;
h. să prelucreze toate datele cu caracter personal prelucrate și stocate doar în conformitate cu
principiile de securitate ca opțiune standard, limitare și proporționalitate, în legătură cu
scopuri definite, și să implementeze toate măsurile tehnice și organizatorice pentru a se
asigura că datele cu caracter personal sunt protejate adecvat, iar securitatea acestora este
asigurata, și sunt procesate doar de personal autorizat, în conformitate cu scopuri definite;

Anexa 5 – pag. 3
 i. să execute toate controalele și misiunile de audit interne necesare pentru a se asigura că
toate regulile, dispozitivele și procesele de securitate sunt funcționale, și să asigure dovada
acestui caracter funcțional la prima cerere a Beneficiarului și/sau a autorității de
reglementare;
j. să notifice cu promptitudine Beneficiarul cu privire la orice cerere primită în legătură cu
protecția datelor cu caracter personal;
k. sa permita reprezentatilor Beneficiarului efectuarea inspectiilor necesare in vederea
verificarii de catre Beneficiar a implementarii de catre Prestator a instructiunilor
primite de la Beneficiar si a masurilor tehnice si organizatorice in conformitate cu
Legea Aplicabila;
l. sa notifice Beneficiarul in termen de maxim 24 h orice incalcare a securitatii datelor cu
caracter personal apartinand Beneficiarului si la care a dobandit acces in virtutea
Contractului/Contractelor si in conformitate cu Anexa 3.

5. Sub-contractarea
Datele cu caracter personal transmise de Beneficiar, prelucrate în conformitate cu
Contractul/Contractele, nu vor fi supuse niciunei dezvăluiri către terțe persoane, inclusiv
subcontractanți ai Prestatorului, cu excepția cazului în care Beneficiarul a autorizat expres si in
scris un astfel de transfer sau atunci cand se prevede altfel prin prevederi legale sau emise de
Autoritatea de Supraveghere.
Orice operațiune de subcontractare privitoare la datele cu caracter personal transmise de
Beneficiar va fi autorizată în mod expres si in scris în prealabil de către Beneficiar.
Daca va fi cazul, fiecare dintre sub-contractori trebuie sa respecte obligatiile conform
Contractului/Contractelor si instructiunile Beneficiarului. Prestatorul va fi responsabil si se va
asigura ca fiecare sub-contractor va oferi garantii cel putin echivalente celor prevazute, in
Contract/Contracte sau prezenta Politica, cu privire la implementarea masurilor tehnice si
organizatorice adecvate astfel incat procesarea sa fie conforma cu cerintele GDPR. Prestatorul va
fi pe deplin responsabil fata de Beneficiar pentru orice nerespectare de catre sub-contractori a
obligatiilor de protectie a datelor personale conform GDPR si Legsilatia Aplicabila.
Prestatorul se obliga sa notifice Beneficiarului toate locatiile de orice natura unde datele personale
sunt prelucrate (gazde, back-up-uri, intretinere, administrare, help desk, etc.) si sa actualizeze
Beneficiarul cu privire la orice modificari, inclusiv in situatia in care schimbarea unei locatii sau o
locatie ar implica transfer de date personale in UE sau in afara Spatiului Economic European.
O listă cu datele de identificare ale subcontractanților existenți la momentul încheierii
Contractului/Contractelor și ale operațiunilor care sunt atribuite către aceștia este prevăzută în
Anexa 2 la prezenta Politica, parte integranta din Contract/Contracte. Lista va fi actualizată în
cazul oricărei modificări privitoare la subcontractanți sau în cazul unui transfer de date, autorizat
de Beneficiar, inclusiv în afara Uniunii Europene.
În acest sens, Prestatorul se obligă să facă aplicabile obligațiile prevăzute de Contract/Contracte
tuturor furnizorilor și subcontractanților acesteia.

Anexa 5 – pag. 4
6. Aplicabilitatea legislatiei europeane referitoare la transferul datelor personale in afara
Spatiului Economic European
Prestatorul se obligă să se asigure că proprii săi subcontractanți și persoanele acționând sub
autoritatea sau în numele Prestatorului nu transferă în afara UE/ SEE datele cu caracter personal
comunicate de Beneficiar sau la care a dobandit acces in orice mod ca urmare a executarii
obiectului Contractului/Contractelor. Beneficiarul își rezervă dreptul de a efectua orice verificări
necesare pentru a evalua respectarea acestei obligații.
Prin excepție de la precedenta, si doar in urma solicitarii Beneficiarului si cu aprobarea prealabila,
expresa si in scris a Beneficiarului, Prestatorul este autorizat, în măsura în care este necesar
pentru prestarea serviciilor, să apeleze la mijloace de procesare situate pe teritoriul unui stat terț
care nu asigură un nivel adecvat de protecție în sensul Regulamentului no. 2016/679 dacă
Prestatorul și, subcontractanții Prestatorului, au încheiat contracte conținând Clauzele Standard
în condițiile stabilite de Comisia Europeană, pentru transferul datelor cu caracter personal
subcontractanților situați în state terțe si cu respectarea prevederilor Regulamentului UE
2016/679. Prestatorul a luat act, declară și garantează că orice schimburi transfrontaliere de date
personale vor fi guvernate de Clauze Standard eliberate in temeiul Regulamentului 2016/2016.
Dacă este necesar, Beneficiarul poate solicita Prestatorului să încheie Clauze Standard cu
subcontractanții acesteia. Prestatorul garantează semnarea și respectarea de către
subcontractanții acesteia a Clauzelor Standard. Dacă acest lucru este solicitat de legislația locală
sau de către Autoritatea de Supraveghere, procesare datelor va face obiectul autorizării
prealabile de către Autoritatea de Supraveghere. Îndeplinirea acestei condiții va fi considerată a
suspenda prestarea serviciilor vizate.

7. Drepturile persoanelor ale caror date sunt procesate

Beneficiarul este responsabil de furnizarea informatiilor persoanelor ale caror date sunt prelucrate,
la momentul colectarii datelor.

8. Drepturile persoanelor ale caror date sunt procesate si informatiile care trebuie furnizate
Beneficiarului
Prestatorul se obliga sa raspunda oricaror solicitari de informatii primite de la Beneficiar, in scris si
in timp util, si in niciun caz mai tarziu de (5) zile lucratoare de la data primirii solicitarii, pentru a
permite Beneficiarului sa (i) raspunda la solicitarile persoanelor ale caror date sunt procesate in
exercitarea drepturilor lor (ii) sa desfasoare o analiza de impact sau (iii) sa raspunda la solicitarile
autoritatilor de protectie a datelor personale sau Ofiterului de Protectie a Datelor Personale a
Beneficiarului.
Daca orice persoana ale carei date personale sunt procesate, inregistreaza orice cereri la
Prestator, in exercitarea drepturilor lor, Prestatorul va transmite aceste solicitari imediat dupa
primirea acesteia, prin email, catre dpo@operator.ro .

Anexa 5 – pag. 5
9. Notificarea incalcarilor legate de protectia datelor personale
Prestatorul va notifica Beneficiarul de orice incalcari legate de protectia datelor personale, nu mai
tarziu de 24 de ore de la momentul la care a luat cunostinta despre incalcare si prin urmatoarele
mijloace: prin email adresa dpo@operator.ro. Aceasta notificare va fi acompaniata de orice
documentatie relevanta pentru a permite Beneficiarului, daca va fi necesar, sa notifice autoritatea
de supraveghere competenta, despre respectiva incalcare.

10. Masuri de securitate

Prestatorul se obliga sa implementeze toate masurile de securitate necesare in vederea
asigurarii unei protectii adecvate a datelor personale, printre care, dupa cum urmeaza:

 Sa detina suficiente resurse disponibile pentru a asigura mentinerea continua a

confidentialitatii (folosirea de pseudonime sau criptarea datelor personale, etc.), integritate,
disponibilitate si rezilienta a sistemelor si serviciilor de procesare;
 Sa implementeze anonimizarea ori de câte ori este posibil, și să execute orice analize
prealabile de risc referitoare la datele cu caracter personal prelucrate, cu cooperarea
Beneficiarului;
 să facă demersuri active în scopul implementării abordărilor „data protection by design” și
„data protection by default”, direct în codul sursă și în regulile de management ale serviciilor
(și în cele ale tuturor serviciilor subcontractanților și furnizorilor care sunt utilizate în cadrul
serviciilor, inclusiv software, servere, servicii de găzduire sau cloud), asigurându-se că
toate datele personale colectate, stocate sau prelucrate sunt colectate, stocate sau
prelucrate doar în scopul specific pentru care au fost colectate, doar pe durata pentru care
au fost colectate, și asigurându-se că doar angajații autorizați să acceseze datele au
posibilitatea tehnică de a le accesa;
 să notifice, fără întârziere, Beneficiarul cu privire la orice breșă de securitate în ceea ce
privește datele personale și să consemneze măsurile paliative implementate (i) pentru a
preveni orice pierdere sau divulgare suplimentară de date și (ii) să limiteze consecințele
asupra persoanelor vizate;
 Sa detina resurse disponibile adecvate pentru a asigura restabilirea disponibilitatii si
accesului la datele personale in timp util in cazul unui incident tehnic sau fizic;
 Sa stabileasca, la cerere, o procedura de testare, analizare si evaluare periodica a
eficacitatii masurilor tehnice si organizatorice menite sa asigure securitatea procesarii si
care sa faca dovada indeplinirii obligatiei fata de Beneficiar si fata de autoritatea de
protectie a datelor ;
 Sa permita accesarea si vizualizarea datelor personale apartinand Beneficiarului numai de
catre acei angajati ai Prestatorului care sunt autorizati conform functiei si indatoririlor de
serviciu si strict pentru scopul indeplinirii indatoririlor lor.

Anexa 5 – pag. 6
11. Distrugerea datelor personale
La sfarsitul prestarii serviciilor, Prestatorul va restitui Beneficiarului (sau oricarui prestator de
servicii desemnat de catre Beneficiar) si va distruge, toate datele personale aflate pe orice fel de
suport. Prestatorul va certifica, in scris, distrugerea/stergerea datelor personale.

12. Ofiterul pentru protectia datelor personale

Prestatorul va informa Beneficiarul cu privire la numele si detaliile de contact ale ofiterului pentru
protectia datelor personale, daca este cazul.

13. Inregistrari privind protectia datelor

Prestatorul va pastra inregistrari cu privire la toate categoriile de activitati de prelucrare
desfasurate de catre Beneficiar. Aceste inregistrari trebuie sa contina toate informatiile de mai jos:
 Numele si detaliile de contact ale Operatorului in numele caruia actioneaza precum si ale
reprezentantului Operatorului ;
 Categoria de operatiuni de prelucrare efectuate in numele Beneficiarului precum;
 Scopurile in vederea carora se realizeaza fiecare categorie de prelucrare a datelor
personale;
 Unde este aplicabil, transferul datelor personale catre o tara terta sau organizatie
internationala, inclusiv numele tarii terte sau organizatiei internationale implicate si
documentatia cu masurile de protectie;
 Descrierea categoriilor de persoane vizate ale caror date sunt astfel prelucrate ;
 Descrierea categoriilor de date cu caracter personal prelucrate ;
 O descriere generala a masurilor de securitate tehnica sau organizationala care trebuie
luate, inclusiv fara a se limita, urmatoarele:
o resursele disponibile pentru asigurarea mentinerii confidentialitatii (utilizare de
pseudonime si incriptarea datelor personale, etc...), integritatea, disponibilitatea si
rezilienta sistemelor si serviciilor de procesare;
o resursele disponibile pentru restabilirea disponibilitatii si accesului la datele
personale, in timp util, in cazul aparitiei unui incident fizic sau tehnic;
o un proces pentru testarea, asesarea si evaluarea efectivitatii masurilor tehnice si
organizationale pentru asigurarea securitatii procesarii.

14. Documentare si audit

Prestatorul va furniza Beneficiarului inregistrarile necesare pentru a demonstra indeplinirea
de catre Prestator a tuturor obligatiilor si pentru a permite audituri, inclusiv inspectii din partea
Beneficiarului.

15. Raspunderea Prestatorului

Prestatorul este raspunzator fata de Beneficiar cu privire la protectia si la modalitatea de
prelucrare a datelor cu caracter personal pe care le-a primit de la Beneficiar sau la care a dobandit

Anexa 5 – pag. 7
acces, in orice mod, cu ocaia furnizorii serviciilor obiect al Contractului/Contractelor. Astfel, daca
Beneficiarului i se va aplica o sanctiune de catre orice auroritate de supraveghere care actioneaza
in temeiul Regulamentului UE nr. 2016/679, ca urmare a incalcarii de catre Prestator a obligatiilor
prevazute in prezenta Politica, in GDPR sau in legislatia nationala a persoanei vizate sau a
Beneficiarului, Prestatorul va putea fi obligat de catre Beneficiar la achitarea contravalorii
respectivei sanctiuni.
De asemenea, daca Beneficiarul va fi obligat la acoperirea de prejudicii/ daune de catre
persoanlele vizate afectate, ca urmare a incalcarii de catre Prestator a obligatiilor prevazute in
prezenta Politica, in GDPR sau in legislatia nationala a persoanei vizate sau a Beneficiarului,
Prestatorul va putea fi obligat de catre Beneficiar la achitarea contravalorii prejudiciilor/daunelor la
care Beneficiarul a fost in acest fel obligat.

16. Intrarea in vigoare

Prezenta Politica privind prelucrarea Datelor cu caracter personal este aplicabila din momentul
inceperii operatiunilor de prelucrare de Date cu caracter personal de catre Prestator in numele si
pe seama Beneficiarului.
Prestatorul acceptă faptul că încălcarea Legislatiei aplicabile sau a prezentei Politici, parte
integranta din Contract/Contracte, va atrage incetarea de drept a Contractului/Contractelor, fara
indeplinirea vreunei formalitati si fara interventia unei instante judecatoresti, printr-o notificare
transmisa de catre Beneficiar, acesta urmand sa recupereze eventuale daune-interese suferite din
cauza incalcarii sus-mentinate, conform legii.

PRESTATOR, BENEFICIAR,
..... .....
PRIN: …….. PRIN: ……..
In calitate de: ………….. In calitate de: …………..

Anexa 5 – pag. 8
 Anexa nr.1: Descrierea Datelor Personale Procesate
Operatii de Scopul Categorii Categorii de Durata Locul Sub-
prelucrare prelucrari de date persoane procesarii prelucrarii contractori
i datelor personale vizate ale
cu prelucrate caror date
caracter sunt
personal prelucrate
Procesarea
nr.1
Procesarea
nr.2
Procesarea
nr.3

Anexa 2: Lista subontractorilor si a locatiilor unde datele personale sunt prelucrate

Obiectul Numele Reprezenta Locatia Categoriile Categoriile de Termenul
Prelucr subcontracto ntul legal prelucrarii de date persoane vizate de retentie
arii rului subcontract datelor de prelucrate ale caror date a datelor de
or catre de sunt prelucrate catre
subcontra subcontract de subcontractor subcontract
ctor or or

Anexa 3:
Raport incalcarea securitatii datelor cu caracter personal
Numele Companiei Raspuns
Natura incidentului de incalcare a securtatii datelor Confidentialitate/ Disponibilitate/
personale Integritate
Categoriile de date personale afectate
Categoriile de persoane vizate afectate
Numarul aproximativ al datelor personale afectate/ numarul
aproximativ al inregistrarilor de date personale afectate
Numele Ofiterului pentru protectia datelor
Posibilele consecinte ale incalcarii securitatii datelor
personale
Masurile luate pentru a stopa consecintele negative asupra
persoanelor vizate

Anexa 5 – pag. 9
Masuri propuse spre a fi luate in vederea reducerii
consecintelor negative si pentru a preveni producerea in
viitor a unor astfel de incidente

Anexa 5 – pag. 10