Nota informativa date personale

Prezentul acord de protecție a datelor (“Acordul”) a fost încheiat astăzi [•]  între:

Deltatel SRL, societate cu răspundere limitată, înființată și funcționând conform legilor din România, cu sediul social în Timișoara, România, str. Gh. Lazăr nr. 11, cod poștal 300081, înregistrată la Registrul Comerțului sub numărul J35/1133/2003, având cod unic de înregistrare RO 15434490, reprezentată de dl. Gelu Crasnic, în calitate de administrator, denumită în continuare „Deltatel” sau „Operatorul

Și

[•], societate [•], înființată și funcționând conform legilor din [•], cu sediul social în [•], cod poștal [•], înregistrată la [•], sub numărul [•], cod unic de înregistrare [•], reprezentată de [•], în calitate de [•], denumită în continuare”Imputernicitul”

Denumite în continuare individual „Partea” și. în mod colectiv „Părţile”

ÎNTRUCÂT

  • Părţile au semnat Contractul [•] [•] din data de [•] (denumit în continuare „Contractul”).
  • În vederea îndeplinirii obligaţiilor sale conform Contractului, Împuternicitul va avea acces la Datele Personale, astfel cum sunt definite în Anexa nr. 1 la prezentul Contract.
  • Pentru a se asigura că Datele Personale sunt prelucrate cu respectarea Regulamentului (UE) 2016/679 din data de 27 aprilie 2016 (denumit în continuare „GDPR”) şi a legislației din România cu privire la protecţia datelor, cu modificările ulterioare (denumită în continuare „Legislația relevantă privind protecţia datelor cu caracter personal”),

Părţile au convenit următoarele:

  1. DEFINIŢII

Termenii scrişi cu majuscule care nu sunt definiţi altfel în prezentul Acord, vor avea sensul atribuit acestora după cum urmează:

- „Acord” înseamnă prezentul document şi anexele sale;

- „Operator de date” înseamnă persoana care,  determină scopurile şi mijloacele de prelucrare a Datelor Personale (în scopul prezentului Acord - Deltatel SRL);

- „Împuternicit” înseamnă persoana care acționează sub autoritatea şi conform instrucţiunilor Operatorului (în scopul prezentului Acord - [•]);

- „Autoritatea de Supraveghere” sau „DPA” înseamnă autoritatea de supraveghere abilitată să controleze prelucrarea Datelor Personale pe considerentul că (a) Operatorul sau Împuternicitul sunt stabiliţi pe teritoriul Statului Membru al autorităţii de supraveghere; (b) persoanele vizate care locuiesc în Statul Membru al acelei autorităţi de supraveghere sunt afectate în mod semnificativ sau pot fi afectate în mod semnificativ de Prelucrare; sau (c) a fost depusă o reclamaţie către acea autoritate de supraveghere;

- „Responsabilul cu protecţia datelor” înseamnă persoana desemnată de Operator sau de Împuternicit în conformitate cu Articolul 37 din GDPR;

- „Date Personale” înseamnă orice informaţie referitoare la o persoană fizică identificată sau identificabilă (denumită în continuare „Persoana Vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special făcând referire la un număr de identificare sau la unul sau mai mulţi factori specifici identităţii sale fizice, fiziologice, mentale, economice, culturale sau sociale;

- „Încălcare a Securității Datelor Personale”: înseamnă o încălcare a securităţii, care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a Datelor Personale transmise, stocate sau prelucrate în alt mod sau la accesul neautorizat la acestea;

- „Prelucrare” înseamnă orice operaţiune sau set de operaţiuni care sunt efectuate asupra Datelor Personale sau asupra seturilor de Date Personale, prin mijloace automatizate sau nu, precum colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, recuperarea, consultarea, utilizarea, divulgarea prin transmitere, diseminare sau punere la dispoziţie în alt fel, aliniere sau combinare, restricţie, ştergere sau distrugere;

„Scopul Prelucrării” se referă la motivul pentru care sunt prelucrate Datele Personale sau scopul care se va atinge prin Prelucrare;

„Transferul Datelor Personale” înseamnă orice transfer de Date cu caracter personal de la o entitate la altă entitate. Transferul se poate realiza prin orice comunicare, copiere, transfer sau divulgare a Datelor Personale prin intermediul unei reţele, inclusiv prin acces la distanţă al unei baze de date sau prin transfer de pe un suport pe altul, indiferent de tipul de suport (de exemplu, de pe hard disk-ul unui computer pe un server).

  1. SCOPUL ACORDULUI

Prevederile prezentului Acord vor servi drept amendament al Contractului, în special în legătură cu obligaţiile Împuternicitului cu privire la operaţiunile de Prelucrare, aşa cum sunt acestea definite în Anexa 1, securitatea şi confidenţialitatea Datelor Personale în conformitate cu GDPR si Legislația relevantă privind protecţia datelor cu caracter personal. Împuternicitul se obligă să informeze Operatorul cu privire la orice modificare a informaţiilor din Anexa 1.

În contextul relaţiilor lor contractuale, Părţile se angajează să respecte GDPR şi Legislația relevantă privind protecţia datelor cu caracter personal.

Toate prevederile Contractului care nu sunt modificate prin prezentul Acord vor rămâne în vigoare între Părţi.

  1. DURATA ACORDULUI

Acordul va intra în vigoare începând cu data de [•] și va fi aplicabil pe întrega durată Contractului.

  1. OBLIGAŢIILE ÎMPUTERNICITULUI

4.1.  Obligaţii generale

Împuternicitul se obligă:

  • să respecte obligaţiile prevăzute în sarcina persoanei împuternicite conform GDPR şi Legislației relevante privind protecţia datelor cu caracter personal;
  • să respecte instrucţiunile Operatorului, în special fără a se limita la acele instrucţiuni care sunt necesare pentru a se asigura că Operatorul acționează conform GDPR şi Legislației relevante privind protecţia datelor cu caracter personal;
  • să prelucreze Datele Personale furnizate de Operator exclusiv pentru a-și îndeplini obligațiile conform Contractului, numai în conformitate cu termenele şi condiţiile Contractului şi/sau în conformitate cu instrucţiunile Operatorului, cu excepţia situaţiilor în care Împuternicitului îi este impusă o anumită conduită în baza GDPR şi a Legislației relevante privind protecţia datelor cu caracter personal. În acest caz, Împuternicitul va informa Operatorul de date cu privire la cerinţa legală relevantă înainte de Prelucrare, cu excepţia situaţiilor în care legea aplicabilă interzice o astfel de notificare din motive de interes public;
  • să informeze imediat Operatorul i) de incapacitatea de a respecta prevederile Acordului şi/sau ii) dacă, în opinia sa, o instrucţiune a Operatorului încalcă GDPR sau Legislația relevantă privind protecţia datelor cu caracter personal; şi
  • să furnizeze Operatorului detaliile de contact ale Responsabilului cu protecţia datelor dacă Împuternicitul a numit un Responsabil cu protecţia datelor în conformitate cu Articolul 37 din GDPR;

va da curs tuturor solicitărilor de informații şi/sau documente formulate de Operator, în scopul verificării respectării de către Împuternicit  a obligațiilor legale privind protecția datelor personale. De asemenea, Împuternicitul va permite şi va contribui activ la orice inspecție desfășurată de către Operator în acest sens, fără ca aceasta să fie prea împovărătoare sau să necesite eforturi disproporționate sau nerezonabile din partea Împuternicitului. În măsura în care Operatorul nu identifică încălcări ale dispozițiilor legale în materia protecției datelor, acesta va rambursa cheltuielile rezonabile efectuate de Împuternicit cu privire la inspecția desfășurată de Operator;

4.2 Obligaţii privind securitatea şi confidenţialitatea

Împuternicitul va păstra securitatea şi confidenţialitatea Datelor Personale şi va implementa toate măsurile adecvate pentru a asigura un nivel de securitate corespunzător al Datelor Personale ale Operatorului. În acest sens, Împuternicitul  va obține și va menține toate licențele, autorizațiile și avizele solicitate prin legislația aplicabilă, necesare pentru a prelucra Date Personale, precum și orice alte date și informații derivate din acestea.

Împuternicitul se angajează să implementeze toate măsurile tehnice şi organizatorice corespunzătoare şi necesare în mod rezonabil cu ajutorul tehnologiei de ultimă generaţie, general acceptată, pentru protejarea Datelor Personale pe care le prelucrează în baza Contractului, împotriva accesării, modificării, transmiterii, divulgării, ştergerii sau distrugerii neautorizate sau accidentale şi, în special, toate măsurile menţionate în Anexa 2.

Împuternicitul va revizui şi va adapta astfel de măsuri în mod regulat pentru a ţine pasul cu progresele tehnologiei şi cu regulamentele în vigoare, şi anume măsuri privind securitatea fizică, necesare pentru asigurarea păstrării şi integrităţii Datelor Personale prelucrate pe durata executării Contractului (de exemplu, pentru asigurarea accesului la computere, pentru instalarea unui antivirus, pentru efectuarea de backup-uri regulate pe suporturi portabile şi pentru creşterea conştientizării angajaţilor şi furnizorilor cu privire la măsurile de securitate);

Fără a limita caracterul general al celor mai sus menţionate, Împuternicitul se obligă să respecte următoarele obligaţii şi se asigură că angajaţii şi/sau furnizorii săi le vor respecta la rândul lor:

  • Împuternicitul va prelucra Datele Personale numai în conformitate cu instrucţiunile Operatorului şi în măsura în care o astfel de prelucrare este necesară pentru îndeplinirea obligaţiilor Împuternicitului în legătură cu executarea Contractului;
  • Împuternicitul nu va utiliza Datele Personale cu niciun alt scop şi nu va reţine aceste date pentru o perioadă mai mare decât perioada menţionată de Operator;
  • Împuternicitul va utiliza numai personal care: (i) trebuie să prelucreze Datele Personale pentru a îndeplini obligaţiile Împuternicitului în baza Contractului, (ii) a semnat un acord de confidenţialitate; (iii) a fost instruit în mod corespunzător cu privire la protecţia Datelor Personale şi (iv) a fost informat cu privire la orice cerinţe specifice referitoare la protecţia datelor care reies din prezentul Acord şi cu privire la utilizarea restricţionată a Datelor Personale în scopuri specifice, conform instrucţiunilor. Împuternicitul se angajează în plus să comunice Operatorului, la cerere, lista persoanelor împuternicite conform celor de mai sus;
  • Datele Personale nu vor fi divulgate niciunei terţe părţi, indiferent dacă este persoană fizică sau juridică, publică sau privată, fără acordul anterior al Operatorului (în acest caz, Împuternicitul va păstra o evidenţă a oricărei divulgări a Datelor Personale unei terţe părţi şi va pune la dispoziţie o astfel de evidenţă Operatorului, la cerere, în cel mai scurt timp);
  • Împuternicitul nu va vinde, cesiona, închiria şi transfera, la modul general, Datele Personale pentru niciun motiv, fără acordul anterior scris al Operatorului;
  • Împuternicitul nu are dreptul să copieze sau să reproducă Datele Personale fără acordul prealabil scris al Operatorului, cu excepţia situaţiilor în care astfel de copii sau reproduceri sunt necesare pentru îndeplinirea obligaţiilor în baza Contractului.

4.3. Notificare privind încălcarea Datelor Personale

Împuternicitul va notifica Operatorul în scris cu privire la orice Încălcare a Securității Datelor Personale, în cel mai scurt timp și nu mai târziu de 24 de ore după ce află despre o astfel de Încălcare a Securității Datelor Personale.

O astfel de notificare trebuie să conţină cel puţin următoarele informaţii:

  • natura Încălcării Securității Datelor Personale, incluzând, acolo unde este posibil, categoriile de date şi numărul aproximativ de Persoane Vizate;
  • numele şi detaliile de contact ale Responsabilului cu Protecţia Datelor sau alte puncte de contact, în situaţia în care pot fi obţinute mai multe informaţii;
  • o descriere a consecinţelor probabile ale Încălcării Securității Datelor Personale;
  • o descriere a măsurilor luate sau propuse a fi luate pentru gestionarea Încălcării Securității Datelor Personal, inclusiv, acolo unde este cazul, măsuri pentru atenuarea eventualelor efecte adverse.

Acolo unde şi în măsura în care nu este posibilă furnizarea de informaţii în acelaşi timp, informaţiile pot fi furnizate în etape, fără nicio amânare suplimentară.

Împuternicitul se mai angajează şi să furnizeze Operatorului suport şi cooperare rezonabilă, pentru a notifica Autoritatea de Supraveghere cu privire la Încălcarea Securității Datelor Personale şi pentru a comunica o astfel de Încălcare a Securității Datelor Personale Persoanelor Vizate, în conformitate cu Articolele 33 şi 34 din GDPR şi cu Legislația relevantă privind protecţia datelor cu caracter personal.

Împuternicitul va concepe şi va implementa proceduri pentru gestionarea şi raportarea unei astfel de Încălcări a Securității Datelor Personale către Operator.

4.4. Exercitarea drepturilor Persoanelor Vizate

Împuternicitul va oferi Operatorului, ţinând cont de tipul Prelucrării, suport şi cooperare rezonabilă, pentru a permite Operatorului să răspundă (i) la cererile prezentate de Persoanele Vizate pentru exercitarea drepturilor acestora sau (ii) la cererile realizate de Autorităţile competente de protecţie a datelor în legătura cu Prelucrarea Datelor Personale. În special, Împuternicitul va implementa măsuri tehnice şi organizatorice corespunzătoare, pentru a satisface în scris, cu promptitudine, în termen de 5 zile lucrătoare, orice cerere de informare depusă de Operator.

Împuternicitul poate doar să ofere accesul pentru corectarea, ştergerea, blocarea, restricţionarea Prelucrării sau poate comunica către Persoanele Vizate Datele Personale prelucrate în numele Operatorului într-un format structurat, utilizat în mod obişnuit şi care să poată fi citit automat, atunci când primeşte instrucţiuni din partea Operatorului în acest sens.

Dacă o Persoană Vizată transmite direct o cerere sau o reclamaţie către Împuternicit, acesta din urmă se obligă să trimită mai departe această cerere sau reclamaţie Operatorului, fără întârziere, la [de inserat email si/sau adresa de corespondenta].

4.5. Subcontractarea

Împuternicitul nu are dreptul să divulge, să transfere, să închirieze sau să comunice Datele Personale niciunui subcontractant (indiferent dacă este din UE sau din afara UE) fără a informa şi fără a obţine consimţământul anterior scris specific al Operatorului în acest sens, cu excepţia situaţiilor în care prevederile legale sau prevederile obligatorii ale unui regulament impun astfel. În acest caz, Împuternictul va informa Operatorul cu privire la acea cerinţă legală înainte de prelucrare, cu excepţia situaţiilor în care o astfel de prevedere legală imperativă interzice astfel de informaţii din motive de interes public.

Împuternicitul va impune pentru subcontractantul său prin intermediul unui contract sau al oricărui alt document juridic, aceleaşi cerinţe legale pe care Împuternicitul se obligă să le respecte prin prezentul Acord, în special obligaţia de a furniza suficiente garanţii în legătură cu Prelucrarea prin implementarea de măsuri tehnice şi organizatorice corespunzătoare. Dacă subcontractantul nu îşi îndeplineşte obligaţiile de protecţie a datelor, Împuternicitul îşi asumă responsabilitatea totală faţă de Operator pentru îndeplinirea acelor obligaţii ale subcontractantului.

Lista de subcontractanţi cu care împuternicitul se află în relații contractuale în momentul de față este inclusă în Anexa 1. Împuternicitul se obligă să îl informeze pe Operator în cazul modificării acestei liste.

4.6. Transferul Datelor Personale în afara Spaţiului Economic European

Împuternicitul se angajează:

  1. să respecte instrucţiunile Operatorului în legătură cu Transferurile de Date în afara Spaţiului Economic European și să nu efectueze Transferul de Date Personale în afara Spaţiului Economic European fără acordul anterior scris al Operatorului, cu excepţia situaţiilor în care Împuternicitul trebuie să transfere Datele Personale în afara Spaţiului Economic European în baza legislaţiei în vigoare. În acest caz, Împuternicitul se obligă să informeze Operatorul cu privire la cerinţele legale relevante, cu excepţia situaţiilor în care legea relevantă interzice o astfel de notificare din motive de interes public;
  2. să se asigure că subcontractanţii, persoanele care acţionează sub coordonarea sau în numele Împuternictului, nu efectuează niciun Transfer de Date Personale cu privire la Datele Personale ale Operatorului în afara Spaţiului Economic European fără acordul anterior scris al Operatorului în acest sens;
  3. să informeze Operatorul în cazul modificării oricărei locaţii unde are loc Prelucrarea Datelor Personale ale Operatorului, indiferent de tipul operaţiei de Prelucrare (găzduire, back-up, mentenanţă, administrare, help-desk), astfel cum sunt detaliate în Anexa 1;
  4. dacă Împuternicitul angajează un subcontractant, localizat în afara Spaţiului Economic European, acesta se obligă să se asigure, înainte de orice Transfer de Date Personale, că transferul va fi efectuat în conformitate cu GDPR şi cu Legislația relevantă privind protecţia datelor cu caracter personal (de exemplu, asigurându-se de semnarea Clauzelor contractuale standard pentru UE aprobate de Comisia Europeană la 10 februarie 2010 (c2010/0593) între Operator şi subcontractant, dacă acesta din urmă este localizat într-o ţară care nu oferă un nivel adecvat de protecţie a Datelor Personale).

4.7. Evaluarea impactului asupra protecţiei datelor

Împuternicitul se angajează să ofere Operatorului suport şi cooperare în mod rezonabil pentru efectuarea unei evaluări a impactului operaţiilor de Prelucrare a Datelor Personale desfăşurate în baza prezentului Acord asupra protecţiei Datelor Personale şi să consulte autorităţile competente în materie de protecţie a datelor, dacă este cazul.

  1. EVIDENŢE ALE ACTIVITĂŢILOR DE PRELUCRARE

Împuternicitul se angajează să păstreze o evidenţă a activităţilor de Prelucrare a Datelor Personale efectuate în numele Operatorului, incluzând următoarele informaţii:

  1. numele şi detaliile de contact ale Operatorului, posibilii subcontractanţi şi, dacă este cazul, Responsabilul cu Protecţia Datelor;
  2. categoriile de operațiuni de Prelucrare, desfăşurate în numele Operatorului;
  3. dacă este cazul, Transferurile de Date Personale către un stat terţ, inclusiv documentarea unor garanţii corespunzătoare;
  4. dacă este posibil, o descriere generală a măsurilor de securitate tehnică şi organizatorică implementate pentru protejarea Datelor Personale.

 

  1. DOCUMENTAŢIE ŞI DREPTURI DE AUDIT ALE OPERATORULUI DE DATE

Operatorul are dreptul să auditeze sau să solicite unei terţe părţi să auditeze măsurile tehnice şi organizatorice implementate de Împuternicit, la intervale regulate, pentru a verifica dacă Împuternicitul respectă prevederile prezentului Acord.

Împuternicitul va coopera în scopul efectuării unui astfel de audit. În plus, Împuternictul, în baza unei notificări scrise trimisă de Operatorul Furnizorului se obligă ca în cel mai scurt timp i) să ofere Operatorului acces neîngrădit la locaţii, evidenţe şi personal şi/sau ii) să furnizeze în termen rezonabil Operatorului (sau auditorului -terţă parte) toate informaţiile, dosarele şi alte documente solicitate în legătură cu Prelucrarea Datelor Personale, după cum este necesar pentru efectuarea auditului şi/sau pentru demonstrarea conformităţii cu obligaţiile impuse de prezentul Acord.

Orice probleme, erori sau nereguli identificate şi aduse în atenţia Împuternicitului vor fi rectificate cu promptitudine de către acesta. Împuternicitul va asista Operatorul în legătură cu orice audituri sau controale privind protecţia datelor, efectuate de o Autoritate de Supraveghere sau de altă autoritate publică competentă, dacă aceste audituri sau controale au în vedere Prelucrarea datelor în conform Acordului.

Operatorul se angajează să respecte orice prevederi, politici şi/sau reguli privind confidenţialitatea, pe care Împuternicitul le-ar putea notifica Operatorului în contextul auditului.

  1. PĂSTRAREA, RETURNAREA SAU ŞTERGEREA DATELOR

Pe durata executării Acordului, Împuternicitul se angajează să implementeze măsuri tehnice şi organizatorice adecvate pentru a respecta perioadele de retenție a datelor în vigoare pentru Datele Personale ale Operatorului, prelucrate în baza Acordului, dacă se solicită astfel de către Operator.

În momentul expirării sau rezilierii Contractului, la solicitarea Operatorului, Împuternicitul se obligă (i) să returneze toate Datele Personale prelucrate şi copiile acestora către Operator sau (ii) să distrugă toate Datele Personale şi să certifice Operatorului, în scris, că a făcut acest lucru, sub rezerva oricăror obligaţii cu privire la păstrarea Datelor Personale, care se aplică Împuternicitului. În acest caz, Împuternicitul va informa Operatorul în scris cu privire la astfel de obligaţii.

8. RĂSPUNDERE ŞI DESPĂGUBIRI

În baza prevederilor Articolului 82 din GDPR, Împuternicitul va despăgubi, va apăra şi va proteja Operatorul împotriva oricăror acțiuni inițiate de orice Persoană Vizată, de Autoritatea de Supraveghere sau de orice terţă parte cu privire la încălcarea oricăror obligaţii ale Împuternicitului în baza prezentului Acord, în măsura în care Împuternicitul este responsabil de evenimentul care a determinat o astfel de acțiune.

9. ÎNCETARE

Prezentul Acord va înceta de drept în momentul încetării Contractului.

Cu toate acestea, orice obligație a Împuternicitului în baza prezentului Acord, care prin natura ei supraviețuiește încetării Acordului, va continua să producă efecte şi după încetarea acestuia.

În cazul în care Împuternicitul încalcă oricare dintre obligaţiile sale în baza prezentului Acord, Operatorul are dreptul:

  1. să suspende transferul Datelor Personale către Împuternict până când încălcarea este soluţionată conform aprecierii rezonabile a Operatorului sau până la rezilierea Contractului; sau
  2. să rezilieze Contractul, după acordarea un preaviz scris de treizeci (30) de zile Împuternicitului cu privire la decizia de a rezilia Contractul. Dacă pe durata acestei perioade de preaviz de treizeci de zile, Împuternicitul soluţionează încălcarea conform aprecierii rezonabile a Operatorului, Contractul va rămâne în vigoare.

10.  DISPOZIȚII FINALE

În cazul existenței unor neconcordanțe între prevederile acestui Acord și orice alte acorduri încheiate între Părți, inclusiv, dar fără a se limita la Contract, prevederile acestui Acord vor prevala cu privire la obligațiile Părților de protecție a Datelor Personale.

În caz de dispute, pretenții sau alte asemenea decurgând din acest Acord, Părțile vor încerca să ajungă la o soluționare a acestora pe cale amiabilă. Dacă nu se poate ajunge la o soluționare pe cale amiabilă a acestora, disputa va fi supusă şi soluționată de instanța judecătorească competentă din România.

Acest Acord nu presupune plata unei remunerații suplimentare de către oricare dintre Părți și nu derogă de la Contract în ceea ce privește condițiile financiare stabilite de către Părți.

Dacă orice prevedere a acestui Acord este sau devine nulă sau inaplicabilă, restul Acordului va rămâne valabil și va produce efecte. Altfel, Părțile vor negocia cu bună-credință înlocuirea clauzei nule sau inaplicabile, cu o clauză validă şi aplicabilă, păstrând pe cât posibil, efectele comerciale ale clauzei inițiale. 

Prezentul Acord, împreună cu anexele sale, precum și Contractul, în măsura în care se referă la orice aspect ce vizează prelucrarea Datelor Personale, reprezintă întreaga voință a Părților referitor la prelucrarea Datelor Personale ale Operatorului în vederea furnizării Serviciilor și nu poate fi modificat decât cu acordul scris al ambelor Părți.

Acest Acord a fost încheiat la data de [•], în 2 (două) exemplare, câte unul pentru fiecare Parte.

CONTROLLER
Represented by:
[name and capacity]

PROCESSOR
Represented by:
[name and capacity]

Anexa 1

Activități de Prelucrare a Datelor Personale

Obiectul Contractului/Servicii prestate conform Contractului

 

Tipul de operaţii de prelucrare

 

Scopul/Scopurile prelucrării

 

Categorie/i de date personale

 

Categorie/i de persoane vizate

 

Durata operaţiunilor de prelucrare

 

Identitatea subcontractantului / subcontractanţilor

 

ANEXA 2

Măsuri tehnice şi organizatorice de securitate pentru asigurarea protecţiei Datelor Personale şi/sau respectarea de către Împuternicită a unui cod de conduită aprobat sau a unui mecanism de certificare aprobat

Luând în considerare stadiul tehnicii, costurile implementării și natura, scopul, contextul și scopurile prelucrării, precum și riscul variabil din punctul de vedere al producerii și al dimensiunii pentru drepturile și libertățile persoanelor fizice, Împuternicitul va implementa măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate adecvat riscului pentru Datele Personale ale Operatorului.

În acest sens, Împuternicitul va avea în vedere următoarele:

  • Dispunerea de resurse suficiente pentru a asigura confidențialitatea, integritatea și disponibilitatea continuă a sistemelor și serviciilor de prelucrare;
  • Efectuarea analizelor preliminare de risc cu privire la datele cu caracter personal prelucrate, în colaborare cu Beneficiarul;
  • Asigurarea faptului că toate datele cu caracter personal sunt colectate, stocate sau prelucrate numai în scopul specific pentru care au fost colectate și numai pentru perioada de timp necesară îndeplinirii scopurilor pentru care au fost colectate;
  • Asigurarea faptului că numai angajații autorizați au posibilitatea tehnică de a avea acces la date;
  • Supravegherea accesului angajaților, salariaților, subcontractanților la datele cu caracter personal primite de la Beneficiar sau accesate în orice mod cu ocazia prestării serviciilor ce fac obiectul Contractelor;
  • Documentarea și adoptarea procedurilor de alocare a drepturilor de acces, a rolurilor în aplicațiile și sistemele informatice accesate de angajați, colaboratori, subcontractori, etc.;
  • Notificarea imediată a Beneficiarului cu privire la orice încălcare a securității în ceea ce privește datele cu caracter personal;
  • Să dispună de resurse adecvate pentru a se asigura că disponibilitatea și accesul la datele cu caracter personal sunt restabilite în timp util în cazul unui incident tehnic sau fizic;
  • Asigurarea faptului că a implementat măsuri tehnice adecvate pentru detectarea unei încălcări a securității Datelor Personale si are o procedură de răspuns la incidente/încălcări ale securității Datelor Personale, care asigură un răspuns efectiv la incidentele în legătură cu Datele Personale
  • Asigurarea unei proceduri de backup și de restaurare a Datelor Personale.

În evaluarea nivelului adecvat de securitate, Împuternicitul va lua în considerare toate riscurile pe care prelucrarea le prezintă, în special prin distrugerea accidentală sau nelegală, pierdere, alterare, dezvăluire sau acces neautorizat la Datele Personale ale Operatorului transmise, stocate sau prelucrate în alt mod.

Împuternicitul se asigură că a implementat măsuri tehnice adecvate pentru detectarea unei încălcări a securității Datelor Personale si are o procedură de răspuns la incidente/încălcări ale securității Datelor Personale, care asigură un răspuns efectiv la incidentele în legătură cu Datele Personale.

OPERATOR
Reprezentat prin
[nume si functie]

ÎMPUTERNICIT 
Reprezentat prin
[nume si functie]

 

Deltatel. Toate drepturile rezervate.
Integral Design

Cere oferta

Sunteți interesat de produsul nostru Nota informativa date personale?

Trimiteți-ne datele dvs. de contact prin formularul de mai jos și vă vom trimite oferta noastră în cel mai scurt timp.