Politica GDPR


Prezentul acord a fost conceput in scopul respectarii Regulamentului (UE) 2019/679 al Parlamentului European si al Consiliului Europei din 27.04.2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal.

 

1.       Obligatiile ambelor Parti privind protectia datelor cu caracter personal

1.1.    Atunci cand prelucreaza date cu caracter personal in legatura cu prezentul contract, fiecare Parte se obliga sa se conformeze cu legislatia aplicabila privind protectia datelor cu caracter personal, respectiv cu Regulamentul (UE) 2019/679 al Parlamentului European si al Consiliului Europei din 27.04.2016 si cu orice alte norme general obligatorii adoptate in legatura cu protectia datelor cu caracter personal.

 

1.2.    Partile contractante declara ca au cunostinta despre Regulamentul UE nr.679/2016, privind protectia datelor cu caracter personal si ca, in vederea respectarii dispozitiilor acestuia, partile vor gestiona in mod corespunzator toate datele cu caracter personal comunicate in baza prezentului contract si in executarea ulterioara a acestuia vor fi prelucrate si stocate de fiecare parte numai in vederea executarii prezentului contract, nu vor fi comunicate catre terti si nu vor face obiectul unei prelucrari ulterioare.

 

1.3.    Partile incheie un acord care cuprinde colectarea, prelucrarea si utilizarea datelor cu caracter personal, puse la dispozitie Executantului de catre Beneficiar sau colectate de catre Imputernicit in numele Beneficiarului in baza instructiunilor sale specifice, care reglementeaza aspectele legate de protectia datelor si securitatea informatiilor. Prezentul acord are in vedere principiile de protectie a datelor prevazute de Regulamentul general privind protectia datelor nr. 2016/679 aplicabil din data de 25 mai 2018 ("GDPR") si, in special, a cerintelor care reglementeaza colectarea, prelucrarea si utilizarea datelor personale de catre Imputernicit in numele Beneficiarului.

 

2.       Definitii:

a) Date cu caracter personal” inseamna orice informatii privind o persoana fizica identificata sau identificabila; o persoana fizica identificabila este o persoana care poate fi identificata, direct sau indirect, in special prin referire la un element de identificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online ori la unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;

d) Prelucrare” inseamna accesul datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fara utilizarea de mijloace automatizate;

2.1.   Fiecare parte se va asigura, atunci cand va divulga celeilalte parti date cu caracter personal privind angajatii / reprezentantii sai in scopul executarii contractului, ca va divulga numai informatiile necesare acestui scop.

 

2.2.   Fiecare Parte va solicita celeilalte Parti numai datele cu caracter personal necesare executarii contractului si in masura in care exista alt scop pentru care ar solicita datele cu caracter personal, va justifica aceasta solicitare furnizand informatiile impuse de legislatia aplicabila, respectiv articolele 13-14 din Regulamentul (UE) 2019/679 al Parlamentului European si al Consiliului Europei din 27.04.2016 si/sau de orice articol sau norma care inlocuieste sau completeaza aceste prevederi.


2.3.   Fiecare parte isi asuma in mod independent responsabilitatea privind prelucrarea datelor cu caracter personal. Incalcarea de catre o parte a prevederilor prezentului contract precum si a prevederilor Regulamentului (UE) 2019/679 al Parlamentului European si al Consiliului Europei din 27.04.2016 si a normelor general obligatorii adoptate in legatura cu protectia datelor cu caracter personal, nu poate fi apreciata ca o incalcare comuna si nu poate genera raspundere solidara fata de persoana sau autoritatea care constata aceasta incalcare.

 

2.4.   Fiecare Parte care divulga date personale ale angajatilor / reprezentantilor sai se asigura ca a furnizat acestora informatiile prevazute la art. 13-14 din Regulamentul (UE) 2019/679 al Parlamentului European si al Consiliului Europei din 27.04.2016 si/sau din orice articol sau norma care inlocuieste sau completeaza aceste prevederi.

 

2.5.   Partile vor asigura standardele de securitate cu privire la datele cu caracter personal, conform prevederilor art.32 din Regulamentul UE nr.679/2016 si vor aplica masuri tehnice si operationale adecvate in vederea protejarii datelor cu caracter personal impotriva oricaror distrugeri accidentale sau ilegale, pierderi, modificari, dezvaluiri sau acces neautorizat si impotriva procesarii ilegale.

2.6.    Pentru exercitarea drepturilor angajatilor / reprezentantilor Partilor asupra datelor lor cu caracter personal, acestia se pot adresa la urmatoarele date de contact:

-    adresa: Multisoft SRL, Aleea Albastrelelor, nr. 4, Cod Postal 900132, Localitatea Constanta, Judetul Constanta;-   adresa de e-mail: multisoft@multisoft.ro

 

3.       Obligatiile Executantului privind protectia datelor cu caracter personal

3.1.Avand in vedere ca Executantul, cu ocazia implementarii aplicatiilor, sau ulterior in vederea acordarii asistentei tehnice, realizarii de upgrade-uri, corectii de erori de operare etc are DOAR ACCES la bazele de date ale Beneficiarului, utilizate de programele comercializate de Executant si care pot contine date cu caracter personal, devine conform GDPR, TERT (sau imputernicit de catre operator) al Beneficiarului.

 3.2.      In calitatea sa de imputernicit, Executantul are urmatoarele obligatii:

 

3.3.   Acesta va prelucra, in numele Beneficiarului, datele personale ale angajatilor Beneficiarului cu scopul preluarii solicitarilor pentru Asigurarea de asistenta tehnica pentru aplicatia din Anexa 1 din Contractul de prestari servicii, in conformitate cu contractul de prestari servicii, cu exceptia situatiilor prevazute de lege care obliga Executantul sa prelucreze datele personale si in scopuri proprii.

 3.4.    Executantul va prelucra urmatoarele categorii de date:

-                      Identificare: nume, prenume,

-                      Contact: numar de telefon, adresa de email

3.5.   Executantul va accesa, in numele Beneficiarului, datele personale ale persoanelor fizice, clienti ai Beneficiarului cu scopul rezolvarii de la distanta a solicitarilor asistenta tehnica pentru aplicatia din Anexa 1 din Contractul de prestari servicii, in conformitate cu contractul de prestari  servicii, cu exceptia situatiilor prevazute de lege care obliga Executantul sa prelucreze datele personale si in scopuri proprii.

 3.6.                            Executantul va accesa urmatoarele categorii de date:

-Identificare: marca nume, prenume, CNP, seria nr CI

-Contact: adresa email, adresa, domiciliu (localitate, strada, numar, tara)

-Demografice: data nasterii, loc nastere

-Profesionale: functie

-Financiare: salariu, cont IBAN

-Alte caracteristici personale: preferinte client, cetatenia, data sosirii, data plecarii, scopul calatoriei

-DCS. Date cu caracter special.

-Clienti minori - Nume, Prenume, diagnostic

-Clienti adulti diagnostic, Informatii medicale si privind sanatatea: tip concediu medical, proceduri medicale, diagnostic, parafa medicului, fisa tratament, scrisoare medical, Fisa med. muncii (analize agajare/analize anuale)

-Identificare: nume prenume, CNP

-Profesionale: functia

-DCS. Date cu caracter special.

-Fisa med. muncii (analize agajare/analize anuale)

 

3.7.   In acest din urma caz, Executantul informeaza Beneficiarul cu privire la aceasta cerinta legala inainte de prelucrare, cu exceptia cazului in care legea interzice aceasta informare din motive de interes public. Orice colectare, prelucrare sau utilizare a datelor cu caracter personal, inclusiv corectarea, stergerea, blocarea si transferul datelor cu caracter personal sunt supuse instructiunilor Beneficiarului, cu exceptia cazului in care se prevede altfel in acest Acord.

3.8.   Orice instructiuni ale Beneficiarului pentru Imputernicit referitoare la prelucrarea datelor cu caracter personal vor fi definite in Acord. Beneficiarul va avea dreptul de a aduce modificari la aceste instructiuni, precum si de a transmite instructiuni noi.

3.9.   Prevederile prezentei anexe au prioritate fata de prevederile Contractului de prestari servicii cu privire la colectarea, procesarea si utilizarea in totalitate a datelor cu caracter personal de catre Imputernicit in numele si pe baza instructiunilor Beneficiarului. Orice prevederi existente in prezent in Contractul de prestari servicii cu privire la prelucrarea datelor cu caracter personal de catre Imputernicit vor fi inlocuite cu prevederile prezentului Acord, de la data intrarii in vigoare a acestuia.

 

 

3.10.Executantul garanteaza ca toate persoanele carora acesta le-a incredintat sarcina procesarii si realizarii activitatilor de prelucrare (salariati, subcontractori etc.), respecta intru-totul reglementarile legale cu privire la protectia datelor si ca informatiile dobandite de la Operator nu sunt divulgate unor terte parti neautorizate.

3.11.Datele cu caracter personal necesare realizarii activitatilor de prelucrare si grupul de persoane ale caror date sunt prelucrate, precum si detaliile legate de colectarea si prelucrarea datelor sunt specificate la art. 1.1 si art. 1.2, 1.3.


3.12.In considerarea caracterului accesoriu al prezentul Acord fata de Contractul de prestari servicii , acesta este valabil si in vigoare pe intreaga durata a Contractului de prestari servicii , urmand indisolubil evolutia acestuia, precum si incetarea acestuia, cu mentiunea faptului ca totusi acesta va continua sa produca efecte si ulterior incetarii Contractului de prestari servicii sub aspectul prevederilor enumerate mai jos la art. 6 si art. 8.

 

3.13.In vederea indeplinirii obligatiilor sale contractuale conform Contractului de prestari servicii , Executantul este autorizat sa prelucreze datele cu caracter personal indicate de Operator, in numele acestuia si in temeiul prezentului Acord. Executantul va prelucra datele cu caracter personal exclusiv in sensul si scopul definit la art. 1.1., 1.2. si 1.3, in temeiul Contractului de prestari servicii si oricaror instructiuni specifice ulterior transmise de catre Operator. Orice astfel de instructiuni se vor transmite in scris.

 

 

3.14.Executantul nu poate prelucra datele cu caracter personal ce fac obiectul prezentului Acord decat la cererea Beneficiarului. Executantul nu trebuie, sub nicio forma, sa colecteze, prelucreze sau sa utilizeze datele cu caracter personal in interesul propriei afaceri sau in scop de marketing. Pentru orice prelucrare a datelor cu caracter personal care excede scopului stabilit de Operator, Executantul este pe deplin responsabil, conform prevederilor GDPR.

 

3.15.Orice tip de colectare, procesare si utilizare a datelor cu caracter personal trebuie sa se desfasoare in spatiile Executantului, cu exceptia cazului in care partile au stabilit altfel (in scris).

 

3.16.Beneficiarul poate, in orice moment, sa informeze Executantul sa inceteze imediat activitatea de prelucrare a datelor cu caracter personal din orice motive, inclusiv suspiciunea de incalcare sau incalcarea reala a prezentului Acord sau a legilor si regulamentelor europene in vigoare cu privire la protectia datelor cu caracter personal.

 

3.17.Executantul va trebui sa asigure respectarea cerintelor specifice privind protectia datelor cu caracter personal. Executantul va implementa si va mentine masuri tehnice si organizatorice pentru a proteja in mod adecvat datele personale ale Beneficiarului in conformitate cu Sectiunea 32 GDPR si va asigura respectarea acestor masuri. Masurile tehnice si organizatorice vor fi implementate astfel cum sunt definite in prezentul Acord. Executantul va avea dreptul de a modifica masurile de securitate convenite, cu exceptia cazului in care o astfel de modificare deroga de la nivelul de protectie a datelor convenit prin Acord ori stabilite prin Regulamentul (UE) 2019/679 al Parlamentului European si al Consiliului Europei din 27.04.2016 si/sau din orice articol sau norma care inlocuieste sau completeaza aceste prevederi.

 

3.18.La cererea Beneficiarului si cu exceptia cazului in care Beneficiarul poate sa obtina astfel de informatii direct, Executantul va furniza toate informatiile necesare pentru intocmirea de catre Operator a evidentelor activitatilor de prelucrare definita in Sectiunea 30 GDPR, exclusiv pentru scopurile prelucrarii prevazute la art. 1.1.

 

3.19.Executantul va asista Beneficiarul, la cererea acestuia, pentru a asigura respectarea

obligatiei Beneficiarului de a efectua o evaluare a impactului protectiei datelor in conformitate cu


Sectiunea 35 GDPR, prin furnizarea de informatii relevante solicitate de Operator pentru scopul prelucrarii. In cazul in care o astfel de evaluare a impactului privind protectia datelor cu caracter personal indica un risc ridicat pentru drepturile si libertatile persoanelor fizice, Executantul va asista Beneficiarul in procedura de consultare prealabila a Autoritatii de Supraveghere in conformitate cu Sectiunea 36 GDPR.

 

3.20.Executantul se asigura ca orice salariat sau persoana ce actioneaza sub controlul sau, incredintat cu prelucrarea datelor Beneficiarului, este obligat din punct de vedere contractual sa respecte principiul confidentialitatii datelor in conformitate cu dispozitiile art. 28 alin. 3 lit. b) GDPR si a fost instruit in mod corespunzator cu privire la dispozitiile privind protectia datelor prevazute in Acord/Contractul de prestari servicii . Aceasta obligatie va ramane si dupa incetarea activitatilor de prelucrare a datelor.

 

3.21.Executantul trebuie sa informeze Beneficiarul, fara intarzieri nejustificate, despre orice incalcare semnificativa a oricarei dispozitii privind protectia datelor cu privire la datele personale ale Beneficiarului, salariatilor sau clientilor sai, indiferent daca acestea sunt comise de catre Imputernicit, personalul sau sau orice alt subcontractant sau in cazul oricaror alte nereguli aflate in legatura directa cu datele cu caracter personal ale Beneficiarului salariatilor ori clientilor sai. Executantul trebuie sa puna in aplicare masurile necesare pentru a asigura datele personale si pentru a reduce riscurile potentiale pentru persoana vizata si trebuie sa convina asupra acestor masuri in acord cu Beneficiarul, fara intarzieri nejustificate. Executantul trebuie sa sprijine Beneficiarul in indeplinirea obligatiei acestuia de a notifica Autoritatea de Supraveghere si orice persoana vizata afectata cu privire la orice incalcare a datelor cu caracter personal si sa divulge informatiile conform Sectiunilor 33 si 34 GDPR.

 

3.22.Executantul va informa, fara intarzieri nejustificate, Beneficiarul cu privire la orice masuri luate de catre Autoritatea de Supraveghere in conformitate cu dispozitiile art. 58 si 83 GDPR, sau de catre orice alta autoritate, in legatura directa cu datele cu caracter personal ale Beneficiarului.

 

3.23.Executantul trebuie sa furnizeze Beneficiarului detalii cu privire la persoana de contact responsabila cu protectia datelor, in contextul Acordului, in sectiunea referitoare la identificarea Partilor.

 

3.24.Executantul se asigura ca persoana de contact responsabila cu protectia datelor respecta obligatiile sale in conformitate cu Sectiunea 38 GDPR. Cele mentionate anterior includ, in special, obligatia Executantului de a desemna un ofiter de protectie a datelor, in cazul in care acest lucru este aplicabil conform GDPR.

 

3.25.Numai daca si in masura in care Beneficiarul insarcineaza Executantul, acesta din urma va corecta, va sterge sau va bloca datele. Cu exceptia cazului in care se prevede altfel in Acord sau este cerut altfel in conformitate cu legislatia aplicabila, Executantul va distruge in siguranta suporturi de date si alte materiale conexe, la cererea Beneficiarului. Numai daca si in masura in care Beneficiarul il instruieste pe Imputernicit, Executantul arhiveaza si/sau furnizeaza Beneficiarului suporturi de date si alte materiale conexe.

 

3.26.Executantul va furniza Beneficiarului, la cererea acestuia, dupa terminarea sau expirarea prezentului Acord, orice date personale, suporturi de stocare a datelor si alte materiale conexe care au fost predate de catre Operator Executantului.


3.27.La cererea Beneficiarului, Executantul trebuie sa puna la dispozitie toate informatiile necesare pentru a demonstra conformitatea cu obligatiile care ii revin in temeiul prezentului Acord.

 

 

3.28.In cazul in care Executantul considera ca una dintre instructiunile furnizate de catre Operator contravin legilor si regulamentelor in vigoare cu privire la protectia datelor, Executantul va informa imediat Beneficiarul despre aceasta situatie. Executantul va avea dreptul de a inceta punerea in aplicare a instructiunii corespunzatoare pana la momentul la care o astfel de indicatie a fost confirmata sau modificata de Operator.

 

3.29.In cazul suspectarii unor cazuri de incalcare a conditiilor privind protectia si securitatea datelor personale transmise de catre Operator Executantului, pierderea acestor date sau alte brese de securitate, Executantul va informa, fara intarziere, insa nu mai tarziu de 24 de ore de la constatarea incidentului, Beneficiarul si Responsabilul de protectia datelor care supravegheaza Beneficiarul, utilizand datele de contact precizate pe prima pagina a prezentului Acord, in vederea notificarii incidentului catre Autoritatea de Supraveghere si persoanele vizate, daca este cazul.

 

3.30.In cazul in care Autoritatile de Supraveghere a protectiei datelor intreprind audituri, verificari sau investigatii de orice tip la sediul Beneficiarului, asociate, direct sau indirect, de activitatile efectuate de Imputernicit conform prezentului Acord sau Contractului de prestari servicii si in legatura directa cu datele cu caracter personal ale Beneficiarului aflate in posesia Executantului, Executantul va acorda suport corespunzator si la termenele prevazute, conform solicitarilor Beneficiarului.

 

3.31.In cazul in care Executantul se gaseste in situatia de a fi supus unor astfel de audituri, verificari sau investigatii de orice tip intreprinse de Autoritatile de Supraveghere a protectiei datelor responsabile de activitatea Executantului, iar rezultatul acestor verificari semnaleaza deficiente sau neconformitati cu impact asupra datelor cu caracter personal ale Beneficiarului, acesta va notifica imediat cazul Beneficiarului, precizand motivul auditului si informatii suplimentare cu privire la rezultatele acestuia, care produc un efect direct sau indirect asupra relatiei contractuale dintre parti. Executantul va remedia imediat orice erori identificate pe parcursul unor astfel de activitati de audit.

 

4.        Obligatiile Beneficiarului

4.1.   Beneficiarul este responsabil de respectarea legislatiei aplicabile privind protectia datelor, inclusiv, dar fara a se limita la, legitimitatea colectarii, prelucrarii si utilizarii datelor cu caracter personal care fac obiectul prezentului Acord, inclusiv transferarea acestor date personale Executantului.

4.2.   Beneficiarul va informa Executantul, fara intarzieri nejustificate si in mod cuprinzator, asupra oricaror nereguli sau greseli pe care acesta le va detecta in activitatea sa sau in ceea ce priveste implementarea cerintelor legale privind protectia datelor, daca acestea au legatura cu activitatile de prelucrare a datelor personale de catre Imputernicit.


4.3.   Beneficiarul va tine un registru de evidenta a activitatilor de prelucrare a datelor in conformitate cu Sectiunea 30 GDPR, daca si in masura in care este necesar pentru a se conforma legislatiei aplicabile.5.        Confidentialitate

5.1.   Executantul isi asuma obligatia de a consulta normele privind confidentialitatea datelor aplicabile la nivel national si european, cu privire la activitatile de colectare, procesare si utilizare a datelor cu caracter personal in numele Beneficiarului. In acest sens, Executantul va aloca personal propriu in mod exclusiv pentru colectarea, procesarea si utilizarea Datelor cu caracter personal, personal instruit anterior corespunzator, supus unei obligatii individuale de a pastra confidentialitatea datelor.

5.2.   Executantul va garanta faptul ca subcontractorii sai aplica personalului propriu aceleasi reguli pentru respectarea caracterului secret si confidential, cu verificarea acestei obligatii la solicitarea Beneficiarului si va ramane responsabil in solidar cu acestia pentru prejudiciile produse Beneficiarului si/sau persoanelor vizate.

 

6.       Acces la resursele IT

6.1.   In cazul in care Executantului, in cadrul executarii Contractului de prestari servicii , i se permite accesul la resursele IT care apartin Beneficiarului (inclusiv hardware, retele, servere, baze de date etc.), astfel de resurse trebuie utilizate cu atentie extrema si exclusiv in conformitate stricta cu instructiunile Beneficiarului.

6.2.   Toti angajatii Executantului desemnati sa beneficieze de un astfel de acces la resursele IT care apartin Beneficiarului asa cum sunt descrise la art. 6.1, vor semna o declaratie individuala in acest sens, furnizata de Operator (“Acord privind nedivulgarea datelor”) anterior acordarii unui astfel de acces.

 

7.        Solicitari din partea persoanelor vizate

7.1.   In cazul in care, in conformitate cu legislatia aplicabila pentru protectia datelor, Beneficiarul este obligat sa raspunda la o solicitare a persoanei vizate referitoare la colectarea, prelucrarea sau utilizarea datelor acesteia, Executantul il va asista pe acesta in furnizarea informatiilor solicitate prin masuri organizatorice menite sa duca la indeplinirea obligatiei Beneficiarului de a raspunde solicitarii subiectului, in masura in care acest lucru este posibil. Prevederile precedente se vor aplica numai in masura in care Beneficiarul a solicitat acest lucru in scris Executantului si numai daca Beneficiarul ii ramburseaza Executantului costurile si cheltuielile suportate pentru furnizarea acestui sprijin. Executantul nu raspunde in mod direct la nicio solicitare a persoanelor vizate cu privire la prelucrarea datelor personale in calitatea sa de Imputernicit si va directiona subiectii prelucrarii datelor catre Operator. Cu toate acestea, Executantul ramane in continuare raspunzator in mod direct fata de persoanele vizate pentru acele activitati de prelucrare pe care acesta le desfasoara in calitatea sa de operator si va raspunde in mod direct solicitarilor adresate de catre persoanele vizate.

7.2.                            Atunci cand o persoana vizata solicita Executantului sa corecteze, sa stearga sau sa

blocheze orice date cu caracter personal, Executantul va directiona aceasta solicitare catre

Operator.

 

8.       Returnarea datelor personale


8.1.   Executantul va identifica si va mentiona in mod clar toate tipurile de transport/transfer de date pentru documentele/fisierele care contin datele cu caracter personal ce apartin Beneficiarului, inclusiv documentatie scrisa, in format electronic sau pe suport de hartie, alte dispozitive de stocare si materiale similare, cu obligatia pastrarii unor astfel de documente si date separat de celelalte documente si date care apartin Executantului, cu obligatia protejarii unor astfel de documente/fisierele si date, aplicand masurile corespunzatoare de securitate, tehnice si organizatorice, in vederea asigurarii acestora impotriva accesului neautorizat, a abuzurilor, duplicarii sau divulgarii lor, pe intreaga durata a Contractului-cadru si Acordului, dar si ulterior incetarii acestuia pe o durata nelimitata, pentru datele si informatiile ce nu vor putea fi sterse conform prevederilor legale sau din diverse motive si care vor ramane in posesia Executantului.

8.2.                            Executantul va returna si va transfera Beneficiarului orice astfel de documente si date la

solicitarea anticipata a Beneficiarului sau la data incetarii prezentului Acord si/sau Contractului de prestari servicii . In cazul in care Beneficiarul solicita distrugerea sau eliminarea iremediabila a unor astfel de documente si, respectiv, date, Executantul va garanta masuri de verificare in acest sens, in conformitate cu standardele relevante sau cele mai bune practici sau proceduri de operare specifice, furnizate de Operator. Datele stocate pe orice tip de dispozitive de stocare mobile vor fi sterse in mod fizic anterior eliminarii unor astfel de dispozitive. Executantul va fi responsabil de garantarea faptului ca niciuna dintre datele cu caracter personal care apartin Beneficiarului nu este transmisa tertilor sau ca datele cu caracter personal stocate pe sistem hardware si care urmeaza a fi modificate sunt sterse definitiv anterior transmiterii sistemului hardware unei astfel de terte parti.9.        Alte obligatii

9.1.   Orice tip de documentatie corespunzatoare verificarii activitatii adecvate de colectare, procesare si utilizare a datelor cu caracter personal va fi arhivata in conditii de securitate de catre Imputernicit si transmisa Beneficiarului, la solicitarea anticipata explicita a acestuia din urma si/sau la data incetarii Contractului de prestari servicii .

9.2.   Partile au obligatia, dupa incetarea prezentului Acord si a Contractului de prestari servicii , indiferent de modalitatea de incetare, de a pastra caracterul secret si confidential, conform precizarilor anterioare, pentru o perioada de timp nelimitata.

9.3.   Nicio modificare a prezentului Acord si/sau a vreuneia dintre componentele sale - inclusiv, dar fara a se limita la, obligatiile Executantului, daca este cazul - vor fi valabile si obligatorii daca sunt facute in scris si numai in masura in care se mentioneaza in mod expres ca aceste modificari respecta dispozitiile prezentului Acord si sunt respectate de ambele parti. Cele mentionate mai sus se aplica si oricarei derogari sau modificari cu privire la forma scrisa.

 

10.    Despagubiri

10.1.Drepturile individuale ale persoanelor afectate de prelucrarea si utilizarea datelor cu caracter personal efectuate de catre Imputernicit vor fi analizate si confirmate de catre Operator. Executantul va transmite Beneficiarului, fara intarzieri nejustificate, orice solicitare de informatii din partea unor astfel de persoane si va sprijini Beneficiarul, in masura posibilitatilor, in special in legatura cu notificarea, furnizarea de informatii, autorizarea, restrictionarea si stergerea datelor cu caracter personal, oferind sprijin in apararea impotriva reclamatiilor nejustificate.

10.2.Executantul va despagubi imediat si in totalitate Beneficiarul in cazul unor reclamatii justificate ale persoanelor afectate de colectarea, prelucrarea si utilizarea datelor cu caracter personal de catre Imputernicit sau in cazul unor amenzi aplicate de Autoritatile de Supraveghere


bazate pe actiuni necorespunzatoare sau ilegale de colectare, procesare sau utilizare intreprinse de Imputernicit sau subcontractorii acestuia sau cu privire la incalcari ale prevederilor prezentului Acord din partea Executantului.

 

11.    Drepturi de control si audit

11.1.Beneficiarul are dreptul de a initia un audit al masurilor de securitate tehnice si organizatorice intreprinse de Imputernicit precizate mai jos si asociate colectarii, prelucrarii si utilizarii datelor cu caracter personal conform prezentului Acord, inainte de initierea activitatilor de colectare, prelucrare si utilizare a datelor cu caracter personal in numele Beneficiarului si ulterior, la intervale periodice dupa cum considera rezonabil. Beneficiarul va documenta rezultatele auditului, iar aceasta documentatie va fi semnata de ambele parti.

11.2.Executantul, la cererea scrisa a Beneficiarului si intr-o perioada rezonabila de timp, contribuie la acest audit asociat colectarii, procesarii si utilizarii datelor cu caracter personal conform prezentului Acord si transmite Beneficiarului toate informatiile, documentatia si alte mijloace de proba necesare pentru efectuarea unui audit. In acest sens, Beneficiarul poate solicita, in mod special, transmiterea rapoartelor relevante intocmite de specialisti (auditorii Executantului sau terti auditori), inclusiv rapoarte cu privire la masurile de securitate IT sau verificari privind aplicarea masurilor de confidentialitate. La cerere, Executantul va furniza Beneficiarului toate informatiile necesare in acest sens si va intreprinde masurile de verificare corespunzatoare.

11.3.In cursul unui astfel de audit, Beneficiarul are dreptul, printr-o notificare scrisa si transmisa in prealabil cu cel putin 24 de ore in avans, sa efectueze o inspectie la fata locului a operatiunilor de prelucrare a datelor in timpul orelor de program si fara a intrerupe operatiunile de prelucrare ale Executantului sau sa efectueze aceeasi inspectie realizata de o terta parte calificata care nu va fi un concurent al Executantului, in vederea confirmarii/infirmarii faptului ca Executantul respecta obligatiile prevazute in prezentul Acord. Dreptul Beneficiarului de a initia un audit este limitat la activitatile de prelucrare a datelor, dupa cum este descris in prezentul Acord. Partile vor conveni in avans asupra domeniului de aplicare a unui astfel de audit. Costurile vor fi suportate de Operator.

11.4.Partile au dreptul de a contesta rezultatul auditului si pot aduce dovezi suplimentare pentru a confirma eficienta controlului realizat. Executantul va remedia si va implementa toate masurile necontestate ale auditului, suportand costurile aferente. In situatia in care Partile nu ajung la o intelegere cu privire la aplicarea rezultatelor auditului, Beneficiarul va avea dreptul sa rezilieze prezentul Acord si/sau Contractul de prestari servicii.

11.5.Securitatea informatiilor

11.6.Executantul va garanta respectarea masurilor corespunzatoare de securitate, tehnice si organizatorice, necesare protectiei si securitatii corespunzatoare a datelor cu caracter personal colectate, prelucrate si utilizate in numele Beneficiarului in conformitate cu standardele proprii de securitate Executantul va verifica periodic respectarea acestor masuri si va furniza Beneficiarului documentatia necesara in acest sens.

11.7.Standardul de securitate al Executantului trebuie sa poata pune in aplicare cel putin urmatoarele masuri de control:

a)Prevenirea obtinerii accesului persoanelor neautorizate la sistemele de prelucrare

de date dedicate prelucrarii sau utilizarii datelor cu caracter personal (control acces);

b)Prevenirea utilizarii sistemelor de prelucrare date fara autorizare (control acces);

c)Garantarea faptului ca persoanele autorizate sa utilizeze sistemul de prelucrare date au acces exclusiv la acele date pentru care au obtinut autorizarea si ca datele cu


caracter personal nu pot fi citite, copiate, modificate sau sterse fara autorizare pe durata prelucrarii, utilizarii si ulterior inregistrarii (control acces);

d)Garantarea faptului ca datele personale nu pot fi citite, copiate, modificate sau sterse fara autorizare pe durata transferului electronic sau transportului sau pe durata inregistrarii in dispozitive de stocare date si ca se aplica masuri de evaluare si verificare a organismelor carora li se transfera datele cu caracter personal, cu utilizarea mijloacelor de transfer date (control divulgare);

e)Garantarea posibilitatii de a verifica si evalua, retroactiv, daca datele cu caracter personal au fost inregistrate, modificate sau sterse din sistemele de procesare date si, in cazul in care se constata acest lucru, identificarea persoanei responsabile (control introducere);

f)Garantarea faptului ca datele personale prelucrate in numele altor entitati sunt prelucrate cu respectarea stricta a instructiunilor Beneficiarului respectiv (control activitate) si nu incalca drepturile si/sau interesele Beneficiarului din prezentul Acord;

g)Garantarea faptului ca datele cu caracter personal sunt protejate impotriva

distrugerii sau pierderii accidentale (control disponibilitate);

h)Garantarea faptului ca datele colectate in alte scopuri vor fi prelucrate separat de

datele apartinand Beneficiarului.

11.8.Una dintre masurile conforme cu pct. b) - d) o reprezinta, in special, utilizarea celor mai recente proceduri de criptare. Executantul garanteaza respectarea acestor masuri de securitate, tehnice si organizatorice independent de locatiile fizice reale in care are loc colectarea, prelucrarea si utilizarea datelor cu caracter personal. Acestea includ, dar fara a se limita la, domiciliile angajatilor sau birourile mobile ale Executantului.

11.9.Pe langa masurile de securitate de mai sus, Executantul se obliga sa implementeze si cerintele minime de Securitate a datelor personale statuate in Articolul 32 din GDPR.

 

Prezentul ACORD face parte integranta din contractul mai sus mentionat si se supune procedurii de

solutionare a litigiilor, prevazute de legislatia romana in vigoare.

Descarca protocolul

2022 @ Multisoft. All rights reserved. Developed by Touch-Media.