Preambul
Prezentul acord are in vedere principiile de protectie a datelor prevazute de Regulamentul general privind protectia datelor nr. 2016/679 aplicabil din data de 25 mai 2018 („GDPR”) si, in special, a cerintelor care reglementeaza colectarea, prelucrarea si utilizarea datelor personale de catre Imputernicit in numele Operatorului.
Definitii:
- a) „Date cu caracter personal” inseamna orice informatii privind o persoana fizica identificata sau identificabila; o persoana fizica identificabila este o persoana care poate fi identificata, direct sau indirect, in special prin referire la un element de identificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online ori la unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
- d) „Prelucrare” inseamna orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fara utilizarea de mijloace automatizate, cum ar fi colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea;
Articolul 1 – Obiectul si durata Acordului
1.1. Imputernicitul va prelucra, in numele Operatorului, datele personale ale acestuia cu scopul obtinerii unei finantari nerambursabile, cu exceptia situatiilor prevazute de lege care obliga Imputernicitul sa prelucreze datele personale si in scopuri proprii. In acest din urma caz, Imputernicitul informeaza Operatorul cu privire la aceasta cerinta legala inainte de prelucrare, cu exceptia cazului in care legea interzice aceasta informare din motive de interes public. Orice colectare, prelucrare sau utilizare a datelor cu caracter personal, inclusiv corectarea, stergerea, blocarea si transferul datelor cu caracter personal sunt supuse instructiunilor Operatorului, cu exceptia cazului in care se prevede altfel in acest Acord.
1.2. Imputernicitul va prelucra urmatoarele categorii de date: nume si prenume, CNP, adresa, e-mail, telefon, semnatura.
1.3. Orice instructiuni ale Operatorului pentru Imputernicit referitoare la prelucrarea datelor cu caracter personal vor fi definite in Acord. Operatorul va avea dreptul de a aduce modificari la aceste instructiuni, precum si de a transmite instructiuni noi.
1.4. Prevederile prezentului Acord au prioritate fata de prevederile Contractului Cadru cu privire la colectarea, procesarea si utilizarea in totalitate a datelor cu caracter personal de catre Imputernicit in numele si pe baza instructiunilor Operatorului. Orice prevederi existente in prezent in Contractul Cadru cu privire la prelucrarea datelor cu caracter personal de catre Imputernicit vor fi inlocuite cu prevederile prezentului Acord, de la data intrarii in vigoare a acestuia.
1.5. Imputernicitul garanteaza ca toate persoanele carora acesta le-a incredintat sarcina procesarii si realizarii activitatilor de prelucrare (salariati, subcontractori etc.), respecta intru-totul reglementarile legale cu privire la protectia datelor si ca informatiile dobandite de la Operator nu sunt divulgate unor terte parti neautorizate.
1.6.Datele cu caracter personal necesare realizarii activitatilor de prelucrare si grupul de persoane ale caror date sunt prelucrate, precum si detaliile legate de colectarea si prelucrarea datelor sunt specificate la art 1.1 si art. 1.2.
1.7. In considerarea caracterului accesoriu al prezentul Acord fata de Contractul Cadru, acesta este valabil si in vigoare pe intreaga durata a Contractului Cadru, urmand indisolubil evolutia acestuia, precum si incetarea acestuia, cu mentiunea faptului ca totusi acesta va continua sa produca efecte si ulterior incetarii Contractului Cadru sub aspectul prevederilor enumerate mai jos la art. 6 si art. 8.
Articolul 2 – Obligatiile Imputernicitului
2.1. In vederea indeplinirii obligatiilor sale contractuale conform Contractului Cadru, Imputernicitul este autorizat sa colecteze, prelucreze si utilizeze datele cu caracter personal indicate / transmise de Operator, in numele acestuia si in temeiul prezentului Acord. Imputernicitul va prelucra datele cu caracter personal exclusiv in sensul si scopul definit la art. 1.1., in temeiul Contractului Cadru si oricaror instructiuni specifice ulterior transmise de catre Operator. Orice astfel de instructiuni se vor transmite in scris.
2.2. Imputernicitul nu poate prelucra datele cu caracter personal ce fac obiectul prezentului Acord decat la cererea Operatorului. Imputernicitul nu trebuie, sub nicio forma, sa colecteze, prelucreze sau sa utilizeze datele cu caracter personal in interesul propriei afaceri sau in scop de marketing. Pentru orice prelucrare a datelor cu caracter personal care excede scopului stabilit de Operator, Imputernicitul este pe deplin responsabil, conform prevederilor GDPR.
2.3. Orice tip de colectare, procesare si utilizare a datelor cu caracter personal trebuie sa se desfasoare in spatiile Imputernicitului, cu exceptia cazului in care partile au stabilit altfel (in scris).
2.4. Operatorul poate, in orice moment, sa informeze Imputernicitul sa inceteze imediat activitatea de colectare, prelucrare sau utilizare a datelor cu caracter personal din orice motive, inclusiv suspiciunea de incalcare sau incalcarea reala a prezentului Acord sau a legilor si regulamentelor europene in vigoare cu privire la protectia datelor cu caracter personal.
2.5. Imputernicitul va trebui sa asigure respectarea cerintelor specifice privind protectia datelor cu caracter personal. Imputernicitul va implementa si va mentine masuri tehnice si organizatorice pentru a proteja in mod adecvat datele personale ale Operatorului in conformitate cu Sectiunea 32 GDPR si va asigura respectarea acestor masuri. Masurile tehnice si organizatorice vor fi implementate astfel cum sunt definite in prezentul Acord. Imputernicitul va avea dreptul de a modifica masurile de securitate convenite, cu exceptia cazului in care o astfel de modificare deroga de la nivelul de protectie a datelor convenit prin Acord.
2.6. La cererea Operatorului si cu exceptia cazului in care Operatorul poate sa obtina astfel de informatii direct, Imputernicitul va furniza toate informatiile necesare pentru intocmirea de catre Operator a evidentelor activitatilor de prelucrare definita in Sectiunea 30 GDPR, exclusiv pentru scopurile prelucrarii prevazute la art 1.1.
2.7. Imputernicitul va asista Operatorul, la cererea acestuia, pentru a asigura respectarea obligatiei Operatorului de a efectua o evaluare a impactului protectiei datelor in conformitate cu Sectiunea 35 GDPR, prin furnizarea de informatii relevante solicitate de Operator pentru scopul prelucrarii. In cazul in care o astfel de evaluare a impactului privind protectia datelor cu caracter personal indica un risc ridicat pentru drepturile si libertatile persoanelor fizice, Imputernicitul va asista Operatorul in procedura de consultare prealabila a Autoritatii de Supraveghere in conformitate cu Sectiunea 36 GDPR.
2.8. Imputernicitul se asigura ca orice salariat sau persoana ce actioneaza sub controlul sau, incredintat cu prelucrarea datelor Operatorului, este obligat din punct de vedere contractual sa respecte principiul confidentialitatii datelor in conformitate cu dispozitiile art. 28 alin. 3 lit. b) GDPR si a fost instruit in mod corespunzator cu privire la dispozitiile privind protectia datelor prevazute in Acord / Contractul Cadru. Aceasta obligatie va ramane si dupa incetarea activitatilor de prelucrare a datelor.
2.9. Imputernicitul trebuie sa informeze Operatorul, fara intarzieri nejustificate, despre orice incalcare semnificativa a oricarei dispozitii privind protectia datelor cu privire la datele personale ale Operatorului, indiferent daca acestea sunt comise de catre Imputernicit, personalul sau sau orice alt subcontractant sau in cazul oricaror alte nereguli aflate in legatura directa cu datele cu caracter personal ale Operatorului. Imputernicitul trebuie sa puna in aplicare masurile necesare pentru a asigura datele personale si pentru a reduce riscurile potentiale pentru persoana vizata si trebuie sa convina asupra acestor masuri in acord cu Operatorul, fara intarzieri nejustificate. Imputernicitul trebuie sa sprijine Operatorul in indeplinirea obligatiei acestuia de a notifica Autoritatea de Supraveghere si orice persoana vizata afectata cu privire la orice incalcare a datelor cu caracter personal si sa divulge informatiile conform Sectiunilor 33 si 34 GDPR.
2.10. Imputernicitul va informa, fara intarzieri nejustificate, Operatorul cu privire la orice masuri luate de catre Autoritatea de Supraveghere in conformitate cu dispozitiile art. 58 si 83 GDPR, sau de catre orice alta autoritate, in legatura directa cu datele cu caracter personal ale Operatorului.
2.11. Imputernicitul trebuie sa furnizeze Operatorului detalii cu privire la persoana de contact responsabila cu protectia datelor, in contextul Acordului, in sectiunea referitoare la identificarea Partilor.
2.12. Imputernicitul se asigura ca persoana de contact responsabila cu protectia datelor respecta obligatiile sale in conformitate cu Sectiunea 38 GDPR. Cele mentionate anterior includ, in special, obligatia Imputernicitului de a desemna un ofiter de protectie a datelor, in cazul in care acest lucru este aplicabil conform GDPR.
2.14. Numai daca si in masura in care Operatorul insarcineaza Imputernicitul, acesta din urma va corecta, va sterge sau va bloca datele. Cu exceptia cazului in care se prevede altfel in Acord sau este cerut altfel in conformitate cu legislatia aplicabila, Imputernicitul va distruge in siguranta suporturi de date si alte materiale conexe, la cererea Operatorului. Numai daca si in masura in care Operatorul il instruieste pe Imputernicit, Imputernicitul arhiveaza si/sau furnizeaza Operatorului suporturi de date si alte materiale conexe.
2.15. Imputernicitul va furniza Operatorului, la cererea acestuia, dupa terminarea sau expirarea prezentului Acord, orice date personale, suporturi de stocare a datelor si alte materiale conexe care au fost predate de catre Operator Imputernicitului.
2.16. La cererea Operatorului, Imputernicitul trebuie sa puna la dispozitie toate informatiile necesare pentru a demonstra conformitatea cu obligatiile care ii revin in temeiul prezentului Acord.
2.17. In cazul in care Imputernicitul considera ca una dintre instructiunile furnizate de catre Operator contravin legilor si regulamentelor in vigoare cu privire la protectia datelor, Imputernicitul va informa imediat Operatorul despre aceasta situatie. Imputernicitul va avea dreptul de a inceta punerea in aplicare a instructiunii corespunzatoare pana la momentul la care o astfel de indicatie a fost confirmata sau modificata de Operator.
2.18. In cazul suspectarii unor cazuri de incalcare a conditiilor privind protectia si securitatea datelor personale transmise de catre Operator Imputernicitului, pierderea acestor date sau alte brese de securitate, Imputernicitul va informa, fara intarziere, insa nu mai tarziu de 24 de ore de la constatarea incidentului, Operatorul si Responsabilul de protectia datelor care supravegheaza Operatorul, utilizand datele de contact precizate pe prima pagina a prezentului Acord, in vederea notificarii incidentului catre Autoritatea de Supraveghere si persoanele vizate, daca este cazul.
2.19. In cazul in care Autoritatile de Supraveghere a protectiei datelor intreprind audituri, verificari sau investigatii de orice tip la sediul Operatorului, asociate, direct sau indirect, de activitatile efectuate de Imputernicit conform prezentului Acord sau Contractului Cadru si in legatura directa cu datele cu caracter personal ale Operatorului aflate in posesia Imputernicitului, Imputernicitul va acorda suport corespunzator si la termenele prevazute, conform solicitarilor Operatorului.
2.20. In cazul in care Imputernicitul se gaseste in situatia de a fi supus unor astfel de audituri, verificari sau investigatii de orice tip intreprinse de Autoritatile de Supraveghere a protectiei datelor responsabile de activitatea Imputernicitului, iar rezultatul acestor verificari semnaleaza deficiente sau neconformitati cu impact asupra datelor cu caracter personal ale Operatorului, acesta va notifica imediat cazul Operatorului, precizand motivul auditului si informatii suplimentare cu privire la rezultatele acestuia, care produc un efect direct sau indirect asupra relatiei contractuale dintre parti. Imputernicitul va remedia imediat orice erori identificate pe parcursul unor astfel de activitati de audit.
Articolul 3 – Obligatiile Operatorului
3.1. Operatorul este responsabil de respectarea legislatiei aplicabile privind protectia datelor, inclusiv, dar fara a se limita la, legitimitatea colectarii, prelucrarii si utilizarii datelor cu caracter personal care fac obiectul prezentului Acord, inclusiv transferarea acestor date personale Imputernicitului.
3.2. Operatorul va informa Imputernicitul, fara intarzieri nejustificate si in mod cuprinzator, asupra oricaror nereguli sau greseli pe care acesta le va detecta in activitatea sa sau in ceea ce priveste implementarea cerintelor legale privind protectia datelor, daca acestea au legatura cu activitatile de prelucrare a datelor personale de catre Imputernicit.
Articolul 4 – Confidentialitate
4.1. Imputernicitul isi asuma obligatia de a consulta normele privind confidentialitatea datelor aplicabile la nivel national si european, cu privire la activitatile de colectare, procesare si utilizare a datelor cu caracter personal in numele Operatorului. In acest sens, Imputernicitul va aloca personal propriu in mod exclusiv pentru colectarea, procesarea si utilizarea Datelor cu caracter personal, personal instruit anterior corespunzator, supus unei obligatii individuale de a pastra confidentialitatea datelor.
4.3. Imputernicitul va garanta faptul ca subcontractorii sai aplica personalului propriu aceleasi reguli pentru respectarea caracterului secret si confidential, cu verificarea acestei obligatii la solicitarea Operatorului si va ramane responsabil in solidar cu acestia pentru prejudiciile produse Operatorului si/sau persoanelor vizate.
Articolul 5 – Acces la resursele IT
5.1. In cazul in care Imputernicitului, in cadrul executarii Contractului Cadru, i se permite accesul la resursele IT care apartin Operatorului (inclusiv hardware, retele, servere, baze de date etc.), astfel de resurse trebuie utilizate cu atentie extrema si exclusiv in conformitate stricta cu instructiunile Operatorului.
5.2. Toti angajatii Imputernicitului desemnati sa beneficieze de un astfel de acces la resursele IT care apartin Operatorului asa cum sunt descrise la art. 5.1, vor semna o declaratie individuala in acest sens, furnizata de Operator (“Acord privind nedivulgarea datelor”) anterior acordarii unui astfel de acces.
Articolul 6 – Solicitari din partea persoanelor vizate
6.1. In cazul in care, in conformitate cu legislatia aplicabila pentru protectia datelor, Operatorul este obligat sa raspunda la o solicitare a persoanei vizate referitoare la colectarea, prelucrarea sau utilizarea datelor acesteia, Imputernicitul il va asista pe acesta in furnizarea informatiilor solicitate prin masuri organizatorice menite sa duca la indeplinirea obligatiei Operatorului de a raspunde solicitarii subiectului, in masura in care acest lucru este posibil. Prevederile precedente se vor aplica numai in masura in care Operatorul a solicitat acest lucru in scris Imputernicitului si numai daca Operatorul ii ramburseaza Imputernicitului costurile si cheltuielile suportate pentru furnizarea acestui sprijin. Imputernicitul nu raspunde in mod direct la nicio solicitare a persoanelor vizate cu privire la prelucrarea datelor personale in calitatea sa de Imputernicit si va directiona subiectii prelucrarii datelor catre Operator. Cu toate acestea, Imputernicitul ramane in continuare raspunzator in mod direct fata de persoanele vizate pentru acele activitati de prelucrare pe care acesta le desfasoara in calitatea sa de operator si va raspunde in mod direct solicitarilor adresate de catre persoanele vizate.
6.2. Atunci cand o persoana vizata solicita Imputernicitului sa corecteze, sa stearga sau sa blocheze orice date cu caracter personal, Imputernicitul va directiona aceasta solicitare catre Operator.
Articolul 7 – Returnarea datelor personale
7.1. Imputernicitul va identifica si va mentiona in mod clar toate tipurile de transport/transfer de date pentru documentele/fisierele care contin datele cu caracter personal ce apartin Operatorului, inclusiv documentatie scrisa, in format electronic sau pe suport de hartie, alte dispozitive de stocare si materiale similare, cu obligatia pastrarii unor astfel de documente si date separat de celelalte documente si date care apartin Imputernicitului, cu obligatia protejarii unor astfel de documente/fisierele si date, aplicand masurile corespunzatoare de securitate, tehnice si organizatorice, in vederea asigurarii acestora impotriva accesului neautorizat, a abuzurilor, duplicarii sau divulgarii lor, pe intreaga durata a Contractului-cadru si Acordului, dar si ulterior incetarii acestuia pe o durata nelimitata, pentru datele si informatiile ce nu vor putea fi sterse conform prevederilor legale sau din diverse motive si care vor ramane in posesia Imputernicitului.
7.2. Imputernicitul va returna si va transfera Operatorului orice astfel de documente si date la solicitarea anticipata a Operatorului sau la data incetarii prezentului Acord si/sau Contractului Cadru. In cazul in care Operatorul solicita distrugerea sau eliminarea iremediabila a unor astfel de documente si, respectiv, date, Imputernicitul va garanta masuri de verificare in acest sens, in conformitate cu standardele relevante sau cele mai bune practici sau proceduri de operare specifice, furnizate de Operator. Datele stocate pe orice tip de dispozitive de stocare mobile vor fi sterse in mod fizic anterior eliminarii unor astfel de dispozitive. Imputernicitul va fi responsabil de garantarea faptului ca niciuna dintre datele cu caracter personal care apartin Operatorului nu este transmisa tertilor sau ca datele cu caracter personal stocate pe sistem hardware si care urmeaza a fi modificate sunt sterse definitiv anterior transmiterii sistemului hardware unei astfel de terte parti.
Articolul 8 – Subcontractori
8.1. Imputernicitul este obligat sa transfere subcontractorilor toate obligatiile care ii revin in temeiul prezentului Acord, in special in ceea ce priveste cerintele de confidentialitate si securitatea datelor convenite intre parti.
8.2. Operatorul poate, in orice moment, solicita informatii sau copii ale Acordurilor referitoare la obligatiile subcontractorilor cu privire la prelucrarea datelor cu caracter personal izvorate din contractele relevante incheiate intre Imputernicit si subcontractorii sai.
8.3. La solicitarea scrisa a Operatorului, Imputernicitul trebuie sa furnizeze Operatorului informatii complete privind obligatiile subcontractorilor sai in ceea ce priveste confidentialitatea datelor si protectia datelor.
8.4. In cazul in care subcontractorii au sediul in afara Uniunii Europene , Imputernicitul isi asuma obligatia de a garanta un nivel de protectie corespunzator al datelor cu caracter personal, in conformitate cu GDPR privind protectia datelor, precum incheierea de acorduri cu subcontractorii in temeiul clauzelor standard Europene privind transferul datelor – inainte de inceperea oricarei procesari a datelor cu caracter personal apartinand Operatorului [Anexa la Decizia Comisiei din data de 5 februarie 2010 cu privire la clauzele contractuale standard referitoare la transmiterea datelor cu caracter personal Imputernicitilor de date din tari terte, in temeiul Directivei 95/46/CE].
8.5. Imputernicitul va garanta conformitatea operatiunii de transfer a datelor personale catre state terte si dreptului de control al Operatorului, cu referire la subcontractori, in baza prezentului Acord.
Articolul 9 – Alte obligatii
9.1. Orice tip de documentatie corespunzatoare verificarii activitatii adecvate de colectare, procesare si utilizare a datelor cu caracter personal va fi arhivata in conditii de securitate de catre Imputernicit si transmisa Operatorului, la solicitarea anticipata explicita a acestuia din urma si/sau la data incetarii Contractului Cadru.
9.2. Partile au obligatia, dupa incetarea prezentului Acord si a Contractului Cadru, indiferent de modalitatea de incetare, de a pastra caracterul secret si confidential, conform precizarilor anterioare, pentru o perioada de timp nelimitata.
9.3. Nicio modificare a prezentului Acord si/sau a vreuneia dintre componentele sale – inclusiv, dar fara a se limita la, obligatiile Imputernicitului, daca este cazul – vor fi valabile si obligatorii daca sunt facute in scris si numai in masura in care se mentioneaza in mod expres ca aceaste modificari respecta dispozitiile prezentului Acord si sunt respectate de ambele parti. Cele mentionate mai sus se aplica si oricarei derogari sau modificari cu privire la forma scrisa.
Articolul 10 – Responsabilul cu protectia datelor al Imputernicitului
10.1. In vederea aplicarii GDPR, Imputernicitul va desemna un Responsabil cu protectia datelor care va intreprinde masuri in vederea respectarii legilor si regulamentelor in vigoare cu privire la protectia datelor in legatura cu prezentul Acord.
10.2. La solicitarea scrisa a Operatorului, Imputernicitul va pune la dispozitia Operatorului orice rapoarte de audit privind protectia datelor intocmite de responsabilul cu protectia datelor asociate colectarii, procesarii si utilizarii datelor cu caracter personal de catre Imputernicit in baza Acordului, in situatia in care rezultatul acestor rapoarte de audit semnaleaza deficiente sau neconformitati cu impact asupra datelor cu caracter personal ale Operatorului. Imputernicitul va remedia, fara intarziere nejustificata, toate erorile identificate in astfel de rapoarte.
10.3. Imputernicitul va notifica Operatorul, fara intarziere nejustificata, cu privire la orice modificari de personal intreprinse in legatura cu responsabilul cu protectia datelor al Imputernicitului. Prezenta clauza se aplica exclusiv cu privire la personalul care va avea atributii directe in gestionarea datelor cu caracter personal ale Operatorului.
Articolul 11 – Despagubiri
11.1. Drepturile individuale ale persoanelor afectate de colectarea, prelucrarea si utilizarea datelor cu caracter personal efectuate de catre Imputernicit vor fi analizate si confirmate de catre Operator. Imputernicitul va transmite Operatorului, fara intarzieri nejustificate, orice solicitare de informatii din partea unor astfel de persoane si va sprijini Operatorul, in masura posibilitatilor, in special in legatura cu notificarea, furnizarea de informatii, autorizarea, restrictionarea si stergerea datelor cu caracter personal, oferind sprijin in apararea impotriva reclamatiilor nejustificate.
11.2. Imputernicitul va despagubi imediat si in totalitate Operatorul in cazul unor reclamatii justificate ale persoanelor afectate de colectarea, prelucrarea si utilizarea datelor cu caracter personal de catre Imputernicit sau in cazul unor amenzi aplicate de Autoritatile de Supraveghere bazate pe actiuni necorespunzatoare sau ilegale de colectare, procesare sau utilizare intreprinse de Imputernicit sau subcontractorii acestuia sau cu privire la incalcari ale prevederilor prezentului Acord din partea Imputernicitului.
Articolul 12 – Incetarea Acordului
12.1. Operatorul are dreptul de a rezilia prezentul Acord si/sau Contractul Cadru in baza unei justificari intemeiate si cu efect imediat, partial sau in intregime, in cazul in care Imputernicitul nu isi respecta obligatiile prevazute in prezentul Acord, inclusiv, dar fara a se limita la orice incalcare a legislatiei si regulamentelor in vigoare privind protectia datelor cu caracter personal, fie in mod intentionat, fie din neglijenta.
12.2. In acest sens, rezilierea prezentului Acord si/sau Contractul Cadru va fi efectuata pe baza unei notificari simple, fara interventia vreunei instante judecatoresti sau alta formalitate, transmise cu 5 zile inainte de rezilierea efectiva a Acordului si/sau Contractului Cadru.
12.3. In cazul unor incalcari de o insemnatate redusa, Operatorul va fixa un termen rezonabil pentru remedierea acestora, acesta pastrandu-si dreptul de a rezilia Acordul si/sau Contractul Cadru, daca Imputernicitul nu remediaza incalcarile in termenul stabilit.
Articolul 13 – Drepturi de control si audit
13.1.Operatorul are dreptul de a initia un audit al masurilor de securitate tehnice si organizatorice intreprinse de Imputernicit precizate mai jos si asociate colectarii, prelucrarii si utilizarii datelor cu caracter personal conform prezentului Acord, inainte de initierea activitatilor de colectare, prelucrare si utilizare a datelor cu caracter personal in numele Operatorului si ulterior, la intervale periodice dupa cum considera rezonabil. Operatorul va documenta rezultatele auditului, iar aceasta documentatie va fi semnata de ambele parti.
13.2. Imputernicitul, la cererea scrisa a Operatorului si intr-o perioada rezonabila de timp, contribuie la acest audit asociat colectarii, procesarii si utilizarii datelor cu caracter personal conform prezentului Acord si transmite Operatorului toate informatiile, documentatia si alte mijloace de proba necesare pentru efectuarea unui audit. In acest sens, Operatorul poate solicita, in mod special, transmiterea rapoartelor relevante intocmite de specialisti (auditorii Imputernicitului sau terti auditori), inclusiv rapoarte cu privire la masurile de securitate IT sau verificari privind aplicarea masurilor de confidentialitate. La cerere, Imputernicitul va furniza Operatorului toate informatiile necesare in acest sens si va intreprinde masurile de verificare corespunzatoare.
13.3. In cursul unui astfel de audit, Operatorul are dreptul, printr-o notificare scrisa si transmisa in prealabil cu cel putin 24 de ore in avans, sa efectueze o inspectie la fata locului a operatiunilor de prelucrare a datelor in timpul orelor de program si fara a intrerupe operatiunile de prelucrare ale Imputernicitului sau sa efectueze aceeasi inspectie realizata de o terta parte calificata care nu va fi un concurent al Imputernicitului, in vederea confirmarii/infirmarii faptului ca Imputernicitul respecta obligatiile prevazute in prezentul Acord. Dreptul Operatorului de a initia un audit este limitat la activitatile de prelucrare a datelor, dupa cum este descris in prezentul Acord. Partile vor conveni in avans asupra domeniului de aplicare a unui astfel de audit. Costurile vor fi suportate de Operator.
13.4. Partile au dreptul de a contesta rezultatul auditului si pot aduce dovezi suplimentare pentru a confirma eficienta controlului realizat. Imputernicitul va remedia si va implementa toate masurile necontestate ale auditului, suportand costurile aferente. In situatia in care Partile nu ajung la o intelegere cu privire la mitigarea rezultatelor auditului, Operatorul va avea dreptul sa rezilieze prezentul Acord si/sau Contractul Cadru in conditiile art. 12 de mai sus.
Articolul 14 – Securitatea informatiilor
14.1. Imputernicitul va garanta respectarea masurilor corespunzatoare de securitate, tehnice si organizatorice, necesare protectiei si securitatii corespunzatoare a datelor cu caracter personal colectate, prelucrate si utilizate in numele Operatorului in conformitate cu standardele proprii de securitate Imputernicitul va verifica periodic respectarea acestor masuri si va furniza Operatorului documentatia necesara in acest sens.
14.2.Standardul de securitate al Imputernicitului trebuie sa poata pune in aplicare cel putin urmatoarele masuri de control:
- a) Prevenirea obtinerii accesului persoanelor neautorizate la sistemele de prelucrare de datededicate prelucrarii sau utilizarii datelor cu caracter personal (control acces);
- b) Prevenirea utilizarii sistemelor de prelucrare date fara autorizare (control acces);
- c) Garantarea faptului ca persoanele autorizate sa utilizeze sistemul de prelucrare date au acces exclusiv la acele date pentru care au obtinut autorizarea si ca datele cu caracter personal nu pot fi citite, copiate, modificate sau sterse fara autorizare pe durata rprelucrariii, utilizarii si ulterior inregistrarii (control acces);
- d) Garantarea faptului ca datele personale nu pot fi citite, copiate, modificate sau sterse fara autorizare pe durata transferului electronic sau transportului sau pe durata inregistrarii in dispozitive de stocare date si ca se aplica masuri de evaluare si verificare a organismelor carora li se transfera datele cu caracter personal, cu utilizarea mijloacelor de transfer date (control divulgare);
- e) Garantarea posibilitatii de a verifica si evalua, retroactiv, daca datele cu caracter personal au fost inregistrate, modificate sau sterse din sistemele de procesare date si, in cazul in care se constata acest lucru, identificarea persoanei responsabile (control introducere);
- f) Garantarea faptului ca datele personale prelucrate in numele altor entitati sunt prelucrate cu respectarea stricta a instructiunilor operatorului respectiv (control activitate) si nu incalca drepturile si/sau interesele Operatorului din prezentul Acord;
- g) Garantarea faptului ca datele cu caracter personal sunt protejate impotriva distrugerii sau pierderii accidentale (control disponibilitate);
- h) Garantarea faptului ca datele colectate in alte scopuri vor fi prelucrate separat de datele apartinand Operatorului.
14.3. Una dintre masurile conforme cu pct. b) – d) o reprezinta, in special, utilizarea celor mai recente proceduri de criptare. Imputernicitul garanteaza respectarea acestor masuri de securitate, tehnice si organizatorice, independent de locatiile fizice reale in care are loc colectarea, prelucrarea si utilizarea datelor cu caracter personal. Acestea includ, dar fara a se limita la, domiciliile angajatilor sau birourile mobile ale Imputernicitului.
14.4. Pe langa masurile de securitate de mai sus, Imputernicitul se obliga sa implementeze si cerintele minime de Securitate a datelor personale statuate in Sectiunea 32 din GDPR.
Articolul 15 – Prevederi finale
15.1. Orice modificari aduse prezentului Acord trebuie facute in scris, putand fi efectuate numai printr-un act aditional convenit de ambele parti.
15.2. In cazul in care una sau mai multe prevederi mai sus mentionate este sau devine nula sau incompleta, partial sau in intregime, aceasta nu va afecta validitatea celorlalte prevederi.
15.3. Prezentul Acord va fi guvernat, interpretat si pus in executare in conformitate cu legislatia romana in vigoare si a celei aplicabile in Romania, partile urmand sa recurga la solutionarea pe cale amiabila a oricaror controverse, dispute, plangeri si/sau litigii aparute din sau in legatura cu prezentul Acord. In cazul in care nu se poate ajunge la o solutie amiabila, orice litigiu care va lua nastere ca urmare a incheierii sau in legatura cu executarea prezentului Contract va fi inaintat instantelor de judecata competente de la sediul Operatorului.
15.4. Niciuna din Parti nu va fi raspunzatoare pentru neexecutarea obligatiilor sale contractuale, daca o astfel de neexecutare la termen si/sau in mod corespunzator, total sau partial este datorata unui eveniment de forta majora sau imposibilitate fortuita de executare, care consta intr-un eveniment imprevizibil, in afara controlului partilor si care nu poate fi evitat. Daca in termen de 15 (cincisprezece) zile de la data producerii lui, respectivul eveniment nu inceteaza, fiecare parte va avea dreptul sa notifice celeilalte parti incetarea de plin drept a Acordului fara ca vreuna dintre ele sa poata pretinde celeilalte alte daune-interese.
15.5. Orice notificare va fi adresata la office@younique.ro.
