Confidential

ACORD PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL

Prezentul acord privind prelucrarea datelor (“Acord”) a fost incheiat azi 28.06.2023, de catre si intre:

DEVNEST HEALTH SRL, cu sediul social in Mun. Bistrita, Str. Tiberiu Brediceanu, Nr. 4B, Jud. Bistrita-Nasaud,
inregistrata la Oficiul Registrului Comertului de pe langa Tribunalul Bistrita Nasaud sub nr. J6/1585/05.12.2018, cod unic
de inregistrare nr. RO39228749 din 01.02.2023, avand contul nr. RO24BTRLRONCRT0440680701 deschis la Banca
Transilvania, reprezentata de catre Bordeianu Ovidiu-Tudor, cu functia de Administrator (denumita in continuare “
Imputernicit”)
si

RINF OUTSOURCING SOLUTIONS SRL, persoana juridica romana, cu sediul in Green Court Bucuresti, Str. Gara
Herastrau, nr. 4C, cladirea B, etaj 3, Sector 2, Bucuresti, cu numarul de inregistrare la Registrul Comertului
J40/1436/01.02.2006, cod fiscal RO18334380, reprezentata legal prin Constantin-Alin Iftime - administrator (denumita in
continuare “Operator” sau “RINF TECH”)
Operatorul si Imputernicitul sunt denumiti in continuare, in prezentul Acord, ca “Parte”, in mod individual, si colectiv
“Partile”,

INTRUCAT:
• Operatorul foloseste serviciile Imputernicitului conform Contractului nr. 562 K incheiat la 28.06.2023 („Contractul
Principal”),
• Partile au convenit sa incheie prezentul Acord pentru a asigura conformitatea cu Legile si Regulamentele UE privind
protectia datelor (astfel cum sunt definite mai jos) in legatura cu toate aceste Prelucrari (astfel cum sunt definite mai
jos),
• Prezentul Acord face parte integranta din Contractul Principal,
• Clauzele prezentului Acord se vor aplica tuturor Prelucrarilor (astfel cum sunt definite mai jos) efectuate pentru Operator
de catre Imputernicit si tuturor Datelor cu caracter personal (astfel cum sunt definite mai jos) detinute de Imputernicit
in legatura cu Prelucrarile respective, indiferent daca Datele respective cu caracter personal sunt detinute la data
prezentului Acord sau sunt primite ulterior,
• Imputernicitul ii garanteaza Operatorului ca Prelucrarea (astfel cum este definita mai jos) Datelor cu caracter personal
(astfel cum sunt definite mai jos) a fost si va fi in continuare efectuata in conformitate cu prevederile relevante ale
Legilor si Regulamentelor UE aplicabile privind protectia datelor si nu incalca prevederile relevante,
Avand in vedere cele de mai sus, partile au convenit urmatoarele:

1. Definitii
Daca este cazul, termenii definiti in Contractul Principal au acelasi inteles atunci cand sunt utilizati in prezentul Acord. In
plus, definitiile de mai jos se aplica prezentului Acord de prelucrare a datelor:
Societate Afiliata inseamna orice entitate care, in mod direct sau indirect, controleaza entitatea vizata, este controlata de
entitatea vizata sau se afla sub controlul comun al entitatii vizate. „Control”, in sensul prezentei definitii, desemneaza
proprietatea sau controlul direct(a) sau indirect(a) asupra majoritatii drepturilor de vot ale entitatii vizate.
Operator desemneaza entitatea care stabileste scopurile si mijloacele prelucrarii datelor cu caracter personal.
Legi si Regulamente UE privind protectia datelor desemneaza toate legile si regulamentele aplicabile in Romania,
indiferent daca sunt legislatie primara (cum ar fi legile nationale si/sau RGPD, definit mai jos) sau legislatia secundara
(cum ar fi Orientarile Grupului de Lucru Art. 29 sau alte orientari emise de Autoritatea de Supraveghere), aplicabile
Prelucrarii Datelor cu caracter personal in temeiul Acordului.
Persoana Vizata desemneaza persoana identificata sau identificabila la care se refera datele cu caracter personal.

Pag 1 din 7

Str. Gara Herastrau nr. 4C, Cladirea B, Et. 3, Sector 2, Bucuresti, Romania
 Confidential

RGPD inseamna Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind
protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor
date si de abrogare a Directivei 95/46/CE.
Date cu caracter personal inseamna orice informatie privind o persoana fizica identificata sau identificabila si care este
protejata in temeiul Legilor si Regulamentelor UE aplicabile privind protectia datelor.
Prelucrare desemneaza orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal, cu sau fara
utilizarea de mijloace automate, cum ar fi, de exemplu, colectarea, inregistrarea, organizarea, structurarea, stocarea,
adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la
dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea.
Imputernicit desemneaza entitatea care efectueaza prelucrarea datelor cu caracter personal in numele Operatorului.
Categorii speciale de date cu caracter personal desemneaza datele cu caracter personal care dezvaluie originea rasiala
sau etnica, opiniile politice, confesiunea religioasa sau convingerile filosofice sau apartenenta la sindicate, prelucrarea de
date genetice, de date biometrice pentru identificarea unica a unei persoane fizice, de date privind sanatatea sau de date
privind viata sexuala sau orientarea sexuala a unei persoane fizice.
Autoritate de Supraveghere inseamna Autoritatea Nationala de Supraveghere si Protectie a Datelor cu Caracter
Personal sau oricare alta autoritate careia i s-au atribuit responsabilitatile de protectie a datelor in conformitate cu Legile
si Regulamentele UE privind protectia datelor din oricare Stat Membru.
Transfer inseamna divulgarea sau punerea in alt fel la dispozitia tertelor parti a Datelor cu caracter personal fie prin
transmiterea fizica a Datelor cu caracter personal respectivei terte parti, fie prin permiterea accesului la Datele cu caracter
personal prin alte mijloace. Din motive de claritate, stocarea si copierea de siguranta se califica drept transfer in sensul
prezentului Acord.
Destinatar inseamna persoana fizica sau juridica, autoritate publica, agentia sau alt organism careia (caruia) ii sunt
divulgate datele cu caracter personal, indiferent daca este sau nu o parte terta. Cu toate acestea, autoritatile publice carora
li se pot comunica date cu caracter personal in cadrul unei anumite anchete in conformitate cu dreptul Uniunii sau cu
dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de catre autoritatile publice respectiv respecta
normele aplicabile in materie de protectie a datelor, in conformitate cu scopurile prelucrarii.

2. Obiectul prezentului Acord

2.1. Obiectul prezentului Acord consta in descrierea Prelucrarii care urmeaza sa fie efectuata de catre Imputernicit in
legatura cu Contractul Principal.
2.2. Imputernicitul prelucreaza Datele cu caracter personal in numele Operatorului. Prelucrarea Datelor cu caracter
personal de catre Imputernicit va avea loc in temeiul Contractului Principal si al prezentului Acord si numai in masura in
care:
2.2.1. Se impune pentru a furniza serviciile in baza Contractului Principal; sau
2.2.2. Operatorul a dispus Imputernicitului in scris sa faca acest lucru in legatura cu Contractul Principal; sau
2.2.3. Se impune aceasta pentru a respecta legea (in acest caz, Imputernicitul trebuie sa trimita in prealabil o instiintare
scrisa Operatorului cu privire la aceasta obligatie legala).
2.3. Imputernicitul nu va efectua nicio alta Prelucrare a Datelor cu caracter personal, decat daca Partile au convenit acest
lucru in scris.

3. Durata Acordului
3.1. Prezentul Acord produce efecte de la data semnarii si va ramane in vigoare pana la incetarea Contractului
Principal.
4. Detaliile Prelucrarii De Catre Imputernicit
4.1. In temeiul prezentului Acord, Imputernicitul recunoaste si este de acord cu faptul ca Prelucrarea se va rezuma la
acele categorii de Date cu caracter personal necesare indeplinirii scopurilor definite in Contractul Principal.

Pag 2 din 7

Str. Gara Herastrau nr. 4C, Cladirea B, Et. 3, Sector 2, Bucuresti, Romania
 Confidential

4.2. Imputernicitul recunoaste si este de acord, de asemenea, cu faptul ca Prelucrarea se va rezuma la acele categorii
de Persoane Vizate necesare indeplinirii scopurilor definite in Contractul Principal.
4.3. In temeiul prezentului Acord, Imputernicitul poate prelucra Categoriile speciale de date cu caracter personal:
☐ Da
☑ Nu
4.4. In temeiul prezentului Acord, Imputernicitul poate prelucra Date cu caracter personal referitoare la condamnari si
infractiuni penale:
☐ Da
☑ Nu
4.5. Pe toata durata Contractului Principal, pe cheltuiala proprie, fiecare dintre Parti va fi permanent responsabila sa
monitorizeze, sa detecteze si sa o informeze pe cealalta Parte despre orice modificare intervenita in ceea ce priveste
Prelucrarea legata de Datele cu caracter personal si/sau Persoanele Vizate. Orice modificare va fi adusa in atentia
celeilalte Parti in scris cat mai curand posibil dupa data la care a fost detectata o astfel de modificare.
4.6. Fara a aduce atingere celor de mai sus, pe cheltuiala proprie, Imputernicitul are obligatia de a efectua un audit al
Prelucrarii cel putin o data in fiecare an al Contractului Principal sau inaintea incetarii Contractului Principal cu privire la
acuratetea categoriilor de Date cu caracter personal si/sau categoriilor de Persoane Vizate. Rezultatele auditului
(auditurilor) vor fi comunicate in scris Operatorului.

5. Obligatiile Imputernicitului
5.1. Confidentialitatea. Imputernicitul se va asigura ca angajatii sai sau oricare alte persoane autorizate implicate in
Prelucrarea Datelor cu caracter personal au fost informate cu privire la caracterul confidential al Datelor cu caracter
personal, ca au beneficiat de o pregatire adecvata cu privire la responsabilitatile acetora si ca au semnat acorduri scrise
de confidentialitate in acest sens.
5.2. Limitarea accesului. Imputernicitul se va asigura ca accesul sau la Datele cu caracter personal se limiteaza la
angajatii care presteaza servicii in conformitate cu Contractul Principal.
5.3. Transferul Datelor cu caracter personal. In lipsa acordului in scris din partea Operatorului, ii este interzis
Imputernicitului sa transfere Datele cu caracter personal.
5.4. Responsabilul cu protectia datelor. Imputernicitul:
☐ A desemnat un Responsabil cu protectia datelor, iar persoana desemnata poate fi contactata la
..................................... .
☑ Nu are obligatia de a desemna un Responsabil cu protectia datelor in conformitate cu Legile si Regulamentele
UE privind protectia datelor, insa persoana de contact pentru toate aspectele legate de prezentul Acord este Bordeianu
Ovidiu-Tudor.
5.5. Masurile tehnice corespunzatoare. Imputernicitul documenteaza punerea in aplicare a masurilor tehnice in
conformitate cu cerintele Legilor si Regulamentelor UE privind protectia datelor. Imputernicitul asigura punerea in aplicare
cel putin a masurilor tehnice descrise in ANEXA nr. 1.
5.6. Masurile de securitate adecvate. Imputernicitul este de acord si garanteaza ca a pus in aplicare masurile de
securitate adecvate pentru a proteja Datele cu caracter personal impotriva distrugerii accidentale sau ilegale sau impotriva
pierderii, modificarii, dezvaluirii sau accesarii neautorizate si impotriva tuturor celorlalte forme ilegale de Prelucrare si ca
aceste masuri asigura un nivel de securitate adecvat riscurilor pe care le prezinta Prelucrarea si naturii Datelor cu caracter
personal care trebuie protejate, tinand seama de stadiul actual al tehnicii si de costul punerii lor in aplicare. Imputernicitul
asigura punerea in aplicare cel putin a masurilor de securitate descrise in ANEXA nr. 1.
5.7. Datoria de colaborare. Operatorul si Imputernicitul vor colabora impreuna si/sau cu Autoritatea de Supraveghere
in ceea ce priveste orice anchete administrative, solicitari de informatii privind Datele cu caracter personal sau prezentul
Acord. Concret:

Pag 3 din 7

Str. Gara Herastrau nr. 4C, Cladirea B, Et. 3, Sector 2, Bucuresti, Romania
 Confidential

5.7.1. Cerere de la Persoana Vizata. In cel mult 24 ore de la data primirii, Imputernicitul va informa Operatorul cu privire
la orice cerere venita din partea unei Persoane Vizate de a exercita urmatoarele drepturi ale Persoanei Vizate: dreptul de
acces, dreptul de rectificare, de restrictionare a prelucrarii, de stergere („dreptul de a fi uitat”), dreptul la portabilitatea
datelor, de opozitie in ceea ce priveste Prelucrarea sau dreptul de a nu se supune unei decizii individuale automate
(„Cererea Persoanei Vizate”). Imputernicitul nu va raspunde Cererii unei Persoane Vizate fara a fi obtinut in prealabil
consimtamantul scris al Operatorului. Imputernicitul va asigura, la cererea Operatorului, asistenta rezonabila pentru a
onora o astfel de Cerere a Persoanei Vizate.
5.7.2. Cerere de la Autoritatea de Supraveghere. In cel mult 1 zi lucratoare de la instiintare, Imputernicitul va informa
Operatorul cu privire la orice inspectie, solicitare de informatii sau oricare alta actiune a Autoritatii de Supraveghere privind
Datele cu caracter personal.
5.8. Datoria de informare. Pe toata durata Contractului Principal, Imputernicitul va informa Operatorul cu privire la
orice infractiune administrativa sau procedura penala sau actiune in raspundere in temeiul legilor si regulamentelor UE,
chiar daca nu se refera la Datele cu caracter personal.
5.9. Datoria de evaluare a legalitatii dispozitiilor emise de catre Operator. Imputernicitul se angajeaza sa evalueze
legalitatea dispozitiilor emise de catre Operator in raport cu prevederile Legilor si Regulamentelor UE privind protectia
datelor si sa informeze in timp util Operatorul in cazul in care considera ca i s-au dat dispozitii care nu respecta aceste
Legi si Regulamente UE privind protectia datelor.
5.10. Gestionarea si raportarea incidentelor privind Datele cu caracter personal. Imputernicitul va mentine politici si
proceduri de gestionare a incidentelor de securitate si va informa Operatorul, fara intarzieri nejustificate (in maximum 24
de ore), imediat ce a luat cunostinta de distrugerea, pierderea, modificarea accidentala sau ilegala sau divulgarea sau
accesarea neautorizata a Datelor cu caracter personal transmise, stocate sau prelucrate in alt mod de catre Imputernicit
si/sau Subimputerniciti („Incident privind Datele cu caracter personal”). Imputernicitul va informa Operatorul inaintea
oricarei alte Autoritati de Supraveghere. Imputernicitul va depune eforturi rezonabile pentru a descoperi cauza unui
asemenea Incident privind Datele cu caracter personal si va lua toate masurile pe care le considera necesare si rezonabile
pentru remedierea cauzei unui astfel de Incident privind Datele cu caracter personal.
5.11. Evidentele prelucrarii. Imputernicitul va crea si va pastra o evidenta actualizata a prelucrarii pentru Prelucrarea
efectuata in temeiul prezentului Acord. Imputernicitul poate alege modul cel mai potrivit de organizare a acestei evidente
a prelucrarii, conform prevederilor aplicabile ale Legilor si Regulamentelor UE privind protectia datelor.
5.13. Locul prelucrarii. Imputernicitul se angajeaza ca Prelucrarea sa se efectueze in permanenta la interiorul
frontierelor Uniunii Europene si/sau ale Spatiului Economic European.
5.14. In cazul in care Imputernicitul nu poate asigura indeplinirea obligatiilor sau prevede ca nu isi poate indeplini
obligatiile prevazute in prezentul Acord, din orice motive, acesta este de acord sa informeze prompt Operatorul cu privire
la incapacitatea sa, in acest caz Operatorul avand dreptul sa suspende Contractul Principal dupa trimiterea in prealabil a
unei instiintari scrise in acest sens.

6. Subimputerniciti
6.1. Imputernicitul nu va subcontracta obligatiile care ii revin in temeiul prezentului Acord unui Subimputernicit fara a
fi obtinut in prealabil consimtamantul scris al Operatorului. Operatorul va avea dreptul discretionar de a se opune numirii
unui Subimputernicit sau schimbarii unui Subimputernicit deja existent.
6.2. Imputernicitul va fi raspunzator pentru actiunile si omisiunile Subimputernicitilor sai in aceeasi masura in care el
insusi ar fi raspunzator daca ar presta direct serviciile fiecarui Subimputernicit.
6.3. In cazul in care utilizarea unui Subimputernicit este permisa de catre Operator, Imputernicitul se va asigura ca un
astfel de Subimputernicit isi asuma, printr-un acord scris, aceleasi obligatii cu cele impuse Imputernicitului prin prezentul
Acord si Contractul Principal, cu modificarile si/sau completarile ulterioare.

Pag 4 din 7

Str. Gara Herastrau nr. 4C, Cladirea B, Et. 3, Sector 2, Bucuresti, Romania
 Confidential

7. Auditurile Si Inspectiile
7.1. La cererea Operatorului, Imputernicitul trebuie sa puna la dispozitia Operatorului sau unei terte parti desemnate
de catre acesta din urma informatii privind respectarea de catre Imputernicit a obligatiilor prevazute in prezentul Acord.
Operatorul ii poate solicita Imputernicitului un audit la fata locul la nivelul arhitecturii, sistemelor si procedurilor relevante
pentru protectia datelor cu caracter personal din locurile in care sunt stocate datele cu caracter personal. Inainte de
inceperea oricarui astfel de audit la fata locului, Operatorul si Imputernicitul vor stabili de comun acord obiectul, calendarul
si durata auditului.

8. Incetarea Prezentului Acord si Inapoierea sau Stergerea Datelor Cu Caracter Personal

8.1. Partile confirma in mod expres ca prevederile Art. 2, Art. 5 si Art. 6 sunt esentiale pentru prezentul Acord, iar
incalcarea lor poate duce la incetarea prezentului Acord prin decizia unilaterala a Operatorului. Intr-un astfel de caz,
Operatorul are dreptul discretionar de a informa Imputernicitul asupra deciziei sale de a-i acorda un termen de remediere
sau de a rezilia Contractul Principal imediat sau intr-un anumit interval de timp (necesar pentru descarcarea Imputernicitului
si pentru preluarea Prelucrarii).
8.2. Fara a aduce atingere celor de mai sus, prezentul Acord inceteaza la data incetarii Contractului Principal,
indiferent de cauza.
8.3. In momentul incetarii Contractului Principal, dar nu mai tarziu de 10 (zece) zile lucratoare de la data incetarii,
Datele cu caracter personal vor fi sterse si, daca nu se permite acest lucru din punct de vedere juridic, vor fi returnate
Operatorului de catre Imputernicit si oricare alt Subcimputernicit implicat in executarea prezentului Acord.
8.4. Orice stocare a Datelor cu caracter personal va fi documentata si explicata in scris de catre Imputernicit si poate
fi contestata in mod rezonabil de catre Operator.

9. Despagubirea
9.1. In cazul in care Operatorul(„Partea Vatamata”) suporta Pierderi ca urmare a incalcarii de catre Imputernicit a
oricareia dintre declaratiile si garantiile sale sau Imputernicitul nu poate sau refuza sa respecte vreunul dintre
angajamentele sau vreuna dintre obligatiile sale in temeiul prezentului Acord („Partea Responsabila”), atunci Partea
Vatamata va avea dreptul de a pretinde o despagubire integrala de la Partea Responsabila si de a fi despagubita si
exonerata de raspundere de catre Partea Responsabila pentru asemenea Pierderi, inclusiv toate costurile si cheltuielile,
si de a se folosi de toate caile de atac disponibile pentru a o pune in postura in care ar fi fost daca incalcarea sau Pierderea
respectiva nu ar fi avut loc.
9.2. In sensul prezentului Acord, „Pierderi” inseamna oricare si toate daunele-interese, amenzile, taxele, penalitatile,
investitiile si cheltuielile actuale si viitoare, incluzand, fara limitare: (i) dobanzile, (ii) cheltuielile judiciare; (iv) onorariile
avocatilor, (iv) cheltuielile cu contabilii si alti experti sau alte cheltuieli; (v) alte proceduri sau orice pretentie; (vi) toate
pierderile, daunele-interese sau alte plati datorate Persoanelor Vizate in baza unei hotarari judecatoresti definitive pentru
nerespectarea Legilor si Regulamentelor UE privind protectia datelor, suportate de catre Operator ca urmare a incalcarii
de catre Imputernicit a declaratiilor si garantiilor sale sau a obligatiilor si angajamentelor sale cuprinse in prezentul Acord.
9.3. Partile sunt de acord prin prezentul sa coopereze pe deplin in cazul oricaror anchete, litigii privind Datele cu
caracter personal si prezentul Acord, astfel incat sa reduca la minimum Pierderile.

10. Date cu caracter personal dezvaluite catre RINF TECH

10.1. In legatura cu derularea Contractului Principal, Imputernicitul intelege ca Operatorul poate prelucra date cu
caracter personal (de exemplu: nume, prenume, semnatura, numar de telefon, numar de fax, profesie, loc de munca,
imagine) ale angajatilor Imputernicitului, precum si ale altor persoane care lucreaza sub controlul sau supravegherea
acestuia (cum ar fi parteneri de afaceri, subcontractori, furnizori, vanzatori etc.), dezvaluite in timpul si in legatura cu
Contractul Principal.
10.2. Prelucrarea acestor date cu caracter personal de catre Operator va fi limitata la ceea ce este necesar pentru
indeplinirea Contractului Principal (astfel de operatiuni de prelucrare pot include transferul catre o tara terta catre orice

Pag 5 din 7

Str. Gara Herastrau nr. 4C, Cladirea B, Et. 3, Sector 2, Bucuresti, Romania
 Confidential

intreprindere afiliata sau catre reprezentantii sai) sau pentru indeplinirea intereselor legitime ale Operatorului (cum ar fi
divulgarea datelor cu caracter personal in cadrul grupului de companii, securitatea). Operatorul va pastra aceste date cu
caracter personal numai atata timp cat este necesar pentru scopul declarat, luand in considerare si nevoia de a raspunde
la intrebari sau de a rezolva probleme si de a respecta cerintele legale in conformitate cu legile aplicabile. Aceasta
inseamna ca datele cu caracter personal ar putea fi pastrate pentru o perioada rezonabila dupa ultima interactiune in
cadrul Contractului Principal.
10.3. Imputernicitul este responsabil cu informarea personalului, colaboratorilor, furnizorilor, etc.de faptul ca Operatorul
poate fi un destinatar al datelor lor cu caracter personal, alaturi de orice alte drepturi pe care le au ca persoane vizate.
10.4. Orice intrebari pe care Imputernicitul le poate avea cu privire la protectia datelor cu caracter se pot adresa la
adresa de e-mail dedicata data-protection@rinftech.com.

11. Prevederile Finale

11.1. Prevederile prezentului Acord trebuie citite impreuna cu Contractul Principal. In cazul oricaror discrepante,
prezentul Acord va prevala.
11.2. Prevederile prezentului Acord intra in vigoare incepand cu data semnarii si vor lua in considerare Legile si
Regulamentele UE privind protectia datelor actualizate. Pe toata durata Acordului, orice modificare a legislatiei privind
protectia datelor se aplica de la data intrarii in vigoare a prevederii legale.
11.3. Intelegerea financiara intre Operator si Imputernicit este inclusa in Contractul Principal si acopera asistenta si/sau
costurile suportate – separat sau impreuna – de catre Imputernicit si/sau Subimputernicit in executarea prezentului Acord.
11.4. Partile sunt de acord ca orice informatie de orice fel (comerciala, tehnica, financiara, operationala sau de alt fel)
si sub orice forma (verbala, scrisa, inregistrata sau altfel), inclusiv Datele cu caracter personal, care poate fi divulgata in
orice mod sau in orice privinta de catre una dintre Parti celeilalte Parti, referitor la sau ca urmare a prezentului Acord, se
considera a fi confidentiala.
PRIN URMARE, Partile au semnat acest Acord, prin reprezentantii lor autorizati in mod legal.

Beneficiar, Prestator,
RINF OUTSOURCING SOLUTIONS SRL DEVNEST HEALTH SRL
Administrator, Administrator,
Constantin-Alin Iftime Bordeianu Ovidiu-Tudor

Pag 6 din 7

Str. Gara Herastrau nr. 4C, Cladirea B, Et. 3, Sector 2, Bucuresti, Romania
 Confidential

ANEXA Nr. 1

MINIME MASURI TEHNICE SI DE SECURITATE

1. O evidenta a tuturor activitatilor de prelucrare este tinuta, actualizata si revizuita in mod regulat;

2. Stocarea datelor sensibile se pastreaza separat de orice alte date cu caracter personal sau se supune unor reguli /
restrictii specifice de marcare, securitate sau manipulare;

3. Exista garantii adecvate pentru datele arhivate existente in cadrul organizatiei Imputernicitului, precum si pentru datele
arhivate existente in incintele tertilor;

4. Exista politici si proceduri pentru gestionarea accesului la aplicatii/baze de date/ sisteme informatice care stocheaza
date cu caracter personal;

5. Monitorizarea accesului la aplicatii/baze de date/sisteme informatice;

6. Accesul utilizatorilor la aplicatii/baze de date/sisteme informatice este revizuit periodic;

7. Comunicarea intre propriile sisteme informatice (de exemplu, aplicatii si baze de date) este criptata;

8. Exista proceduri pentru detectarea si tratarea breselor de securitate;

9. Exista proceduri pentru raportarea catre Operator a breselor de securitate;

10. Aplicatiile/bazele de date/sistemele informatice sunt auditate periodic;

11. Se pastreaza dovezi ale investigatiilor;

12. Un plan de recuperare in caz de catastrofe exista pentru aplicatiile/bazele de date/ sistemele informatice care
stocheaza sau prelucreaza date cu caracter personal;

13. Se fac periodic copii de rezerva;

14. Exista o procedura de stergere a datelor;

15. Se desfasoara regulat testari privind eficienta masurilor puse in aplicare.

Pag 7 din 7

Str. Gara Herastrau nr. 4C, Cladirea B, Et. 3, Sector 2, Bucuresti, Romania