Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (“ Regulamentul general privind protecția datelor”, “Regulamentul ” sau „ GDPR ”);
SO GOOD DAD SRL vrea să alinieze reglementarile privind prelucrarea datelor cu caracter personal cu prevederile Regulamentului,
1.1.1. „ Date cu Caracter Personal “ înseamnă orice informații privind o persoană fizică identificată sau identificabilă; o persoană identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
1.1.2. „ Încălcarea Securităţii Datelor cu Caracter Personal ” înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea sau divulgarea neautorizată a Datelor cu Caracter Personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.
1.1.3. „ Prelucrare “ (și derivatele sale, incluzând fără limitare ” Prelucra ”) înseamnă orice operaţiune sau set de operațiuni efectuate asupra Datelor cu Caracter Personal, incluzând fără limitare colectarea, înregistrarea, păstrarea, modificarea, utilizarea, dezvăluirea, accesul, transferul sau distrugerea acestora.
1.1.4. „Canal nesecurizat” reprezinta orice modalitate de transmitere a informatiei care nu respecta normele de securitate impuse de legislatia in vigoare. De exemplu, e-mail, SMS, comunicare telefonica s.a.m.d.
2. Cerințe generale
2.1. Prevederile acestui Anexa de Prelucrare Date se aplică în orice circumstanţă în care Prestatorul furnizează servicii conform anexei care implică Prelucrarea de Date cu Caracter Personal de către Prestator pentru sau în numele partenerului.
2.2. Prestatorul se va conforma tuturor legilor aplicabile referitoare la confidențialitatea şi securitatea Datelor cu Caracter Personal Prelucrate de către Prestator pentru sau în numele partenerului.
2.3. Prelucrarea Datelor cu Caracter Personal va fi efectuată cu respectarea termenilor și condițiilor menționate în instrucțiunile partenerului, care vor include cel puțin următoarele informații:
(i) obiectul prelucrării;
(ii) durata prelucrării;
(iii) natura și scopul prelucrării;
(iv) tipul de date cu caracter personal;
(v) categoriile de persoane vizate;
(vi) obligațiile și drepturile partenerului.
2.4. Partenerul poate modifica instrucțiunile date conform clauzei 2.2 de mai sus cu condiția ca acestea să fie în conformitate cu legislația aplicabilă. Prestatorul va fi ținut să se conformeze acestor cerințe în termen de 60 de zile calendaristice de la primirea noilor instrucțiuni, cu excepția cazului în care Părțile au agreat în scris un alt termen.
2.5. Prestatorul se obligă să păstreze confidențialitatea oricăror date și informații, cel puțin în aceeași măsură ca și partenerul, indiferent de suportul pe care acestea sunt stocate și/sau transmise, precum și asupra documentelor de care a luat cunoștință ca urmare a executării anexei, atât pe perioada derulării contractului, cât și ulterior, respectând reglementările legale în vigoare.
2.6. Reprezentanții, angajații, resursele, colaboratorii Prestatorului, care au acces și trebuie să cunoască astfel de date și informații în vederea îndeplinirii obligațiilor asumate prin contract, vor fi instruiți asupra naturii confidențiale a termenilor și condițiilor anexei precum și a datelor și informațiilor transmise în temeiul acestuia. Prestatorul are obligația de a încheia acorduri de confidențialitate individuale cu reprezentanții, angajații, resursele, colaboratorii săi.
2.7. Prestatorul are obligația de a asigura separarea datelor partenerului de datele altor clienți cu care întreține relații de afaceri.
2.8. Prestatorul are calitatea de persoană împuternicită a partenerului în privința Prelucrării Datelor cu Caracter Personal și are obligația de a aplica măsurile tehnice și organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, în special dacă prelucrarea respectivă comportă transmitere de date în cadrul unei rețele, precum și împotriva oricărei alte forme de prelucrare ilegală.
2.9. Prestatorul își va desemna în scris persoanele care vor Prelucra Datele cu Caracter Personal ale persoanelor vizate de către partener, precum și o persoană specializată în securitatea informației care să vegheze la Prelucrarea Datelor cu Caracter Personal, inclusiv la buna funcționare a sistemelor informatice utilizate. Prestatorul are obligația să actualizeze lista respectivelor persoane ori de câte ori aceasta se modifică.
2.10. Prestatorul va furniza toate informațiile necesare și va asigura tot suportul necesar partenerului pentru realizarea, de către acesta din urmă, a evaluării impactului asupra datelor, a evaluării riscurilor generate de încălcările de securitate a datelor cu caracter personal și, dacă este necesar, consultării prealabile cu autoritatea competentă cu privire la Prelucrarea Datelor cu Caracter Personal.
3. Prelucrarea Datelor cu Caracter Personal de către Prestatorul în alte scopuri
3.1. Prestatorul și angajații sau partenerii săi nu vor Prelucra nicio Dată cu Caracter Personal pentru sau în numele partenerului în scopuri personale sau alte scopuri nepermise prin contract.
3.2. Prestatorul nu va crea sau păstra date derivate din Prelucrarea Datelor cu Caracter Personal pentru sau în numele partenerului, decât cu scopul furnizării serviciilor în conformitate cu contractul.
3.3. Pe cale de excepție față de clauzele de mai sus, partenerul permite prin prezenta clauză ca Prestatorul să dea informații terților sau colaboratorilor partenerului care prezintă autorizarea scrisă din partea acestuia și persoanelor împuternicite expres de către partener pentru a prelucra date cu caracter personal.
4. Dezvăluirea Datelor cu Caracter Personal de către Prestator
4.1. Prestatorul nu va dezvălui Datele cu Caracter Personal Prelucrate pentru sau în numele partenerului niciunei persoane sau entităţi, fără aprobarea scrisă prealabilă din partea partenerului, cu excepția cazurilor în care:
4.1.1. acest lucru este necesar pentru prestarea serviciilor în conformitate cu contractul
4.1.2. o asemenea dezvăluire este cerută prin legile aplicabile sau proceduri legale obligatorii, caz în care Prestatorul:
4.1.2.1. va notifica imediat, în scris partenerul, înainte de a răspunde unei asemenea cereri de dezvăluire (cu excepția cazului în care o asemenea notificare ar constitui o încălcare a legii);
4.1.2.2. va face tot posibilul pentru a limita natura și scopul respectivei dezvăluiri;
4.1.2.3. va urma toate instrucțiunile rezonabile ale partenerului referitoare la asemenea dezvăluiri.
4.2. partenerul acordă prin prezenta Anexa de Prelucrare Date o autorizație generală pentru ca Prestatorul să intre în acorduri scrise cu persoane care asistă Prestatorul în furnizarea serviciilor ce fac obiectul contractului, cu condiția ca Prestatorul:
4.2.1. să încheie, cu aceștia acorduri privind confidențialitatea oricărei Date cu Caracter Personal prelucrate de Prestator pentru sau în numele partenerului.
4.2.2. să informeze partenerul cu privire orice modificare privind înlocuirea persoanelor autorizate să prelucreze datele cu caracter personal.
4.3. Prestatorul va fi responsabil pentru respectarea de către oricare angajat desemnat și aprobat către partener a clauzelor anexei de Prelucrare Date. Utilizarea de către Prestator a oricărei persoane agreate de partener nu va limita sau reduce obligațiile sau răspunderea Prestatorului conform anexei de Prelucrare Date. Prestatorul se va asigura că angajații săi execută activitățile stabilite în contract într-o manieră care permite Prestatorului să-și respecte obligațiile din Anexa GDPR și va răspunde de actele, erorile sau omisiunile subcontractantilor, ca și cum acestea ar fi actele, erorile sau omisiunile sale proprii.
5. Păstrarea și Returnarea Datelor cu Caracter Personal
5.1. Prestatorul va păstra Datele cu Caracter Personal furnizate de partener sau colectate pentru sau în numele partenerului doar atât timp cât este necesar pentru a atinge scopul pentru care i-au fost furnizate sau cât este cerut prin legile aplicabile.
5.2. Prestatorul va returna, şterge sau distruge toate Datele cu Caracter Personal Prelucrate pentru sau în numele partenerului, incluzând fără a se limita la toate documentele în original, precum şi copiile Datelor cu Caracter Personal pe orice suport de înregistrare şi orice materiale derivate din sau care includ astfel de Date cu Caracter Personal, în termen de maxim 30 zile de la cererea de returnare, ştergere sau distrugere pentru orice motiv, emisă de partener.
5.3. Prestatorul va confirma prin intermediul unei notificări scrise pe care o va transmite partenerului faptul că au fost îndeplinite operațiunile de returnare, ștergere sau distrugere conform celor menționate în prezenta clauză.
5.4. În cazul în care Prestatorul consideră, în limite rezonabile, că returnarea, ştergerea sau distrugerea Datelor cu Caracter Personal Prelucrate pentru sau în numele partenerului nu sunt fezabile la Data de Returnare sau dacă legile aplicabile împiedică sau exclud returnarea, ştergerea sau distrugerea Datelor cu Caracter Personal de către Prestator la Data de Returnare, Prestatorul va notifica partenerul în scris, detaliat, asupra motivului pentru care nu returnează, şterge sau distruge astfel de Date cu Caracter Personal la Data de Returnare.
6. Recepţionarea Solicitărilor de informații și a Reclamațiilor
6.1. Prestatorul îl va notifica în scris (inclusiv pe email) pe partener imediat sau, în orice caz, nu mai târziu de 15 zile lucrătoare de la primirea unei solicitări de informații, comunicări sau reclamaţii (” Comunicări ”) primite de Prestator de la:
6.1.1. orice persoană vizată ale cărei Date cu Caracter Personal au fost Prelucrate de către Prestator pentru sau în numele partenerului; sau
6.1.2. orice autoritate legală sau de reglementare care are legătură cu Prelucrarea de către Prestatorul a oricăror Date cu Caracter Personal pentru sau în numele partenerului.
6.2. Prestatorul va asigura în continuare asistenţă partenerului în răspunderea la toate Comunicările descrise în prezenta anexa.
7. Securitatea Datelor cu Caracter Personal
7.1. Prestatorul declară şi garantează că va implementa şi menţine garanții administrative, tehnice şi fizice, precum şi alte măsuri de securitate corespunzătoare tipului de Date cu Caracter Personal Prelucrate de către acesta pentru sau în numele partenerului şi riscul unei Încălcări a Securității Datelor cu Caracter Personal.
7.2. Prestatorul va cripta sau va lua alte măsuri similare cu privire la toate Datele cu Caracter Personal sensibile (asa cum acestea sunt definite de Regulament) pe care le primeşte sau le colectează în numele partenerului, pe durata stocării sau transmiterii lor
7.3. Prestatorul va transmite partenerului o notificare scrisă privind orice Încălcare a Securității Datelor cu Caracter Personal Prelucrate de către Prestator, cât se va putea de repede de la identificarea unei Încălcări a Securității Datelor cu Caracter Personal Prelucrate de Prestator. Prestatorul va asigura suportul necesar partenerului pentru evaluarea acestei încălcări.
7.4. Prestatorul va implementa măsurile de securitate rezonabile rezultate în urma evaluării incidentului. La cererea partenerului, va raporta stadiul implementării măsurilor de securitate recomandate în cadrul unor întălniri periodice de evaluare a Încălcărilor Securității Datelor cu Caracter Personal.
8. Drepturi de inspecție și de audit
8.1. Prestatorul va furniza partenerului toate materialele, documentele sau alte informaţii necesare pentru a permite partenerului să confirme că Prestatorul a acţionat în conformitate cu obligaţiile sale prevăzute în această Anexa de Prelucrare Date.
8.2. Dacă partenerul consideră în mod argumentat că informațiile puse la dispoziție conform clauzei de mai sus nu sunt suficiente pentru demonstrarea de către Prestator a respectării obligațiilor din prezentei Anexe de Prelucrare Date, partenerul va avea dreptul de a inspecta, în baza unei notificări rezonabile şi în timpul programului normal de lucru, procesele şi practicile de lucru ale Prestatorul care implică Prelucrarea Datelor cu Caracter Personal pentru asigurarea serviciilor furnizate pentru sau în numele partenerului.
8.3. Prestatorul se obligă ca, la cererea partenerului, să pună la dispoziția acestuia sau a unei firme specializate, mandatate de către acesta din urmă, documente justificative aflate în stricta legătură cu executarea anexei de Prelucrare Date.
9. Transferul de Date cu Caracter Personal în jurisdicții străine
9.1. Prestatorul nu va divulga sau transfera nicio Data cu Caracter Personal Prelucrată de acesta pentru sau în numele partenerului oricărei persoane sau entităţi aflate sub o jurisdicţie străină din afara UE/SEE decât:
9.1.1. dacă această persoană sau entitate este un subcontractant în sensul clauzei 4 de mai sus; și
9.1.2. Prestatorul a implementat, cu privire la respectivul transfer, cel puțin una dintre garanțiilor adecvate recunoscute de Regulament.
10. Răspunderea
10.1. Prevederile privind răspunderea din Anexa GDPR se aplică și cu privire la eventuale încălcări ale prezentei Anexe de Prelucrare Date.
11. Ordinea de prioritate
11.1. În cazul unor neconcordante între prezentul Anexa de Prelucrare Date și Anexa, prevederile anexei de Prelucrare Date vor prevala în ceea ce privește modalitățile și condițiile de prelucrare a datelor cu caracter personal.