Anexă privind procesarea datelor

Anexa de procesare a datelor

 

Această Anexă face parte integrantă din Contract și este încheiată de către:

 

  1. (i) Clientul ("Exportator de date")
  2. (ii) IQUALIF ("Importator de date")

 

Fiecare fiind o "Părți" și în mod obișnuit "Părți".

 

Preambul

ÎNTRUCÂT importatorul de date furnizează servicii software profesionale, servicii informatice și servicii conexe (cum ar fi browsere cu funcții avansate de căutare);

ÎNTRUCÂT, în conformitate cu Contractul, importatorul de date a convenit să furnizeze exportatorului de date serviciile specificate în Contract (denumite "Servicii");

ÎNTRUCÂT, prin furnizarea Serviciilor, importatorul de date primește sau beneficiază de acces la informațiile exportatorului de date sau ale altor persoane care au o relație (potențială) cu exportatorul de date, aceste informații putând fi calificate drept date cu caracter personal în sensul Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date ("GDPR") și alte legi aplicabile de protecție a datelor.

ÎNTRUCÂT această Anexă conține termenii și condițiile aplicabile colectării, prelucrării și utilizării acestor date cu caracter personal de către importatorul de date în calitatea sa de agent autorizat de prelucrare a datelor al exportatorului de date, pentru a asigura respectarea de către Părți a legislației aplicabile în domeniul protecției datelor.

 

PRIN URMARE, și pentru a permite Părților să își continue relația în mod legal, Părțile au încheiat această Anexă după cum urmează:

Partea 1

 

1. Structura documentului și definiții

1.1 Structură

Această Anexă cuprinde diferite părți după cum urmează:

 

Partea 1: 

conține prevederi generale, de exemplu referitoare la definițiile utilizate în această Anexă, conformitatea cu legile locale, termenele și încetarea

 
Partea 2:

conține corpul documentului standard de clauze contractuale nemodificate

 
Anexa 1.1 din Partea 2:

conține detaliile operațiunilor de prelucrare furnizate de către importatorul de date către exportatorul de date ca agent autorizat de prelucrare a datelor (inclusiv natura, scopul și procesul de prelucrare, tipul de date cu caracter personal și categoriile de subiecți de date) în cadrul acestei Anexe

 
Anexa 2 din Partea 2:

conține o descriere a măsurilor tehnice și organizatorice de securitate ale importatorului de date, aplicate în legătură cu toate activitățile de prelucrare descrise în Anexa 1.1 din Partea 2

 
Partea 3:

conține semnăturile Părților pentru a fi obligate prin această Anexă și identifică fiecare importator de date

 

 

1.2 Terminologie și definiții

În scopul acestei Anexe, terminologia și definițiile utilizate de GDPR sunt aplicabile (în corpul documentului standard de clauze contractuale din Partea 2, unde termenii definiți nu sunt scriși cu majuscule). 

 

"Stat membru"

înseamnă o țară aparținând Uniunii Europene sau Spațiului Economic European

 
"Categorii speciale de date (cu caracter personal)"

se referă la date personale care dezvăluie originea rasială sau etnică, opinii politice, convingeri religioase sau filozofice, apartenență la sindicate, și date genetice, date biometrice, dacă sunt prelucrate în scopul identificării unice a unei persoane, date privind sănătatea, date despre viața sexuală sau orientarea sexuală

 
"Clauze contractuale standard"

înseamnă clauzele contractuale standard pentru transferul datelor personale ale agenților de prelucrare stabiliți în țări terțe, conform Deciziei Comisiei 2010/87/UE din 5 februarie 2010, care a fost modificată prin Decizia de punere în aplicare a Comisiei (UE) 2016/2297 din 16 decembrie 2016

 
"Prelucrare de date"

înseamnă orice agent de prelucrare, situat în interiorul sau în afara UE/SEE, care acceptă să primească de la importatorul de date sau de la orice alt prelucrător al importatorului de date, date cu caracter personal exclusiv în scopul activităților de prelucrare care urmează a fi efectuate de către exportatorul de date după transfer, în conformitate cu instrucțiunile sale, termenii acestei Anexe și Contractul cu importatorul de date

 

 

 

2. Obligațiile exportatorului de date

2.1 Exportatorul de date are obligația de a asigura conformitatea cu toate obligațiile aplicabile în temeiul GDPR și orice alte legi aplicabile de protecție a datelor care se aplică exportatorului de date și de a demonstra această conformitate conform articolului 5 (2) din GDPR. Exportatorul de date garantează că importatorul de date a obținut consimțământul prealabil al subiecților de date în conformitate cu articolul 6 (a) din GDPR și a respectat obligația de a informa subiecții de date în conformitate cu articolele 13 și 14 din GDPR.

2.2 Exportatorul de date trebuie să furnizeze importatorului de date fișierele respective ale activităților de prelucrare în conformitate cu articolul 30 (1) din GDPR, legate de Servicii în cadrul acestei Anexe, în măsura necesară pentru ca importatorul de date să își îndeplinească obligația conform articolului 30 (2) din GDPR.

2.3 Exportatorul de date trebuie să numească un responsabil cu protecția datelor sau un reprezentant, în măsura în care legea aplicabilă de protecție a datelor o impune. Exportatorul de date trebuie să furnizeze datele de contact ale agentului sau reprezentantului de protecție a datelor, dacă este cazul, către importatorul de date.

2.4. Exportatorul de date confirmă, înainte de finalizarea prelucrării, prin acceptarea acestei Anexe, că măsurile tehnice și organizatorice de securitate ale importatorului de date, așa cum sunt stabilite în Anexa 2 din Partea 2, sunt adecvate și suficiente pentru a proteja drepturile subiectului de date și confirmă că importatorul de date asigură măsuri suficiente de protecție în acest sens.

 

3. Conformitatea cu legislația locală

Pentru a îndeplini cerințele implementării agenților de prelucrare conform articolului 28 din GDPR, se aplică următoarele modificări:

 

3.1 Instrucțiuni

  1. (i) Exportatorul de date instruiește importatorul de date să prelucreze date personale doar în numele său. Instrucțiunile exportatorului de date sunt furnizate în această Anexă și în Contract. Exportatorul de date are obligația de a se asigura că toate instrucțiunile date importatorului de date respectă legislația aplicabilă de protecție a datelor. Importatorul de date trebuie să prelucreze datele personale doar conform instrucțiunilor furnizate de exportatorul de date, cu excepția cazului în care legea Uniunii Europene sau legea statului membru (în cazul în care, în ultimul caz, se aplică, Clauza 3.2 (iv) (c) din Partea 1) impune altfel.
  2. (ii) Toate celelalte instrucțiuni care depășesc instrucțiunile din această Anexă sau din Contract trebuie să fie incluse în această Anexă și în Contract. Dacă implementarea acestei instrucțiuni suplimentare implică costuri pentru importatorul de date, acesta trebuie să informeze exportatorul de date despre aceste costuri și să ofere o explicație înainte de implementare. Numai după ce exportatorul de date confirmă acceptarea acestor costuri pentru implementarea instrucțiunii, importatorul de date va implementa această instrucțiune suplimentară. Exportatorul de date trebuie să ofere instrucțiuni suplimentare în scris, cu excepția cazului în care urgența sau alte circumstanțe speciale impun altă formă (de exemplu, oral, electronic). Instrucțiunile în altă formă decât în scris trebuie confirmate în scris și fără întârziere de către exportatorul de date.
  3. 1. În cazul în care exportatorul de date nu poate realiza rectificarea, ștergerea sau restricția datelor personale singur, instrucțiunile pot, de asemenea, să se refere la rectificarea, ștergerea și/sau restricția datelor personale, așa cum sunt stabilite în Clauza 3.3 din Partea 1.
  4. 2. Importatorul de date trebuie să informeze imediat exportatorul de date dacă, în opinia sa, o Instrucțiune încalcă GDPR sau alte prevederi aplicabile de protecție a datelor ale Uniunii Europene sau ale unui stat membru ("Instrucțiune contestată"). Dacă importatorul de date consideră că o Instrucțiune încalcă GDPR sau alte prevederi aplicabile, nu este obligat să o urmeze. Dacă exportatorul de date confirmă Instrucțiunea contestată după primirea informațiilor de la importatorul de date și recunoaște responsabilitatea sa pentru această Instrucțiune, importatorul de date va implementa Instrucțiunea contestată, cu excepția cazurilor în care aceasta se referă la (i) implementarea măsurilor tehnice și organizatorice de securitate, (ii) drepturile subiecților de date sau (iii) angajarea prelucrătorilor de date. În aceste cazuri, importatorul de date poate contacta o autoritate de supraveghere competentă pentru a evalua legal această Instrucțiune contestată. Dacă autoritatea de supraveghere declară legală Instrucțiunea contestată, importatorul de date o va implementa. Clauza 3.1 (ii) din Partea 1 va rămâne aplicabilă.

 

3.2 Obligațiile importatorului de date

  1. (i) Importatorul de date trebuie să asigure că persoanele autorizate de către acesta să prelucreze date personale în numele exportatorului de date, în special angajații săi și angajații oricărui subcontractant, au convenit să păstreze confidențialitatea sau sunt supuse unei obligații legale de confidențialitate și că aceste persoane care au acces la datele personale le prelucrează în conformitate cu instrucțiunile exportatorului de date.
  2. (ii) Importatorul de date trebuie să implementeze măsurile tehnice și organizatorice de securitate stabilite în Anexa 2 din Partea 2 înainte de a prelucra datele personale în numele exportatorului de date. Aceste măsuri pot fi modificate din când în când dacă nu oferă o protecție mai mică decât cele stabilite în Anexa 2 din Partea 2.
  3. (iii) Importatorul de date trebuie să pună la dispoziția exportatorului de date, la cerere, informații care să demonstreze conformitatea cu obligațiile sale în cadrul acestei Anexe. Această obligație de informare este considerată îndeplinită prin furnizarea către exportatorul de date a unui raport de audit (acoperind securitatea principiilor, disponibilitatea sistemului și confidențialitatea) ("Raport de audit"). Dacă sunt necesare activități suplimentare de audit, exportatorul de date poate solicita efectuarea de inspecții de către acesta sau de către un auditor desemnat de acesta, cu condiția ca auditorul să semneze un acord de confidențialitate cu importatorul de date, satisfăcător pentru acesta ("Audit"). Acest Audit se va desfășura cu condițiile: (i) acceptarea prealabilă și scrisă a importatorului de date; și (ii) costurile pentru inspecția la fața locului vor fi suportate de către exportatorul de date. Exportatorul de date trebuie să creeze un raport de audit care să rezume rezultatele și observațiile inspecției la fața locului ("Raport de inspecție"). Aceste rapoarte sunt informații confidențiale ale importatorului de date și nu trebuie divulgate terților, cu excepția cazurilor în care legea aplicabilă de protecție a datelor sau consimțământul exportatorului de date prevede altfel.
  4. (iv) Importatorul de date are obligația să notifice fără întârziere exportatorul de date:
    1. a. cu privire la orice solicitare legală de divulgare a datelor personale de către o autoritate de aplicare a legii, cu excepția cazurilor în care este interzis, cum ar fi interdicția conform legii penale pentru a proteja confidențialitatea unei investigații;
    2. b. cu privire la orice plângere și solicitare primită direct de la subiectul de date (de exemplu, privind accesul, rectificarea, ștergerea, restricția prelucrării, portabilitatea datelor, opoziția față de prelucrare, decizii automate), fără a răspunde la acea solicitare, cu excepția cazului în care importatorul de date a fost autorizat să o facă;
    3. c. dacă importatorul de date sau prelucrătorul de date este obligat, conform legii Uniunii Europene sau a statului membru la care este supus, să prelucreze datele personale dincolo de instrucțiunile exportatorului de date, înainte de a efectua această prelucrare în afara instrucțiunilor, cu excepția cazului în care legile Uniunii Europene sau ale statului membru interzic această prelucrare din motive de interes public vital, caz în care notificarea către exportatorul de date va specifica cerința legală conform acelei legi a Uniunii Europene sau a statului membru; sau
    4. d. dacă importatorul de date constată o încălcare a datelor personale, doar din cauza sa sau a subcontractorului său, care ar afecta datele personale ale exportatorului de date acoperite de prezentul contract, caz în care va ajuta exportatorul de date să își îndeplinească obligația, conform legislației aplicabile de protecție a datelor, de a informa subiecții de date și, dacă este cazul, autoritățile de supraveghere, furnizând informațiile deținute, în conformitate cu Articolul 33 (3) din GDPR.
  5. (v) La cererea exportatorului de date, importatorul de date va fi obligat să asiste exportatorul de date în realizarea unei evaluări a impactului asupra protecției datelor, conform Articolului 35 din GDPR, și în consultarea prealabilă, conform Articolului 36 din GDPR, privind serviciile furnizate de către importatorul de date în cadrul acestei Anexe, furnizând informațiile și asistența necesare. Importatorul de date va oferi această asistență numai dacă exportatorul de date nu poate îndeplini această obligație prin alte mijloace. Costurile acestei asistențe vor fi comunicate de către importatorul de date. După ce exportatorul de date confirmă că poate suporta aceste costuri, importatorul de date va oferi această asistență.
  6. (vi) La finalizarea serviciilor, exportatorul de date poate solicita returnarea datelor personale prelucrate de către importatorul de date în cadrul acestei Anexe, în termen de o lună de la finalizarea serviciilor. Cu excepția cazului în care legislația statului membru sau a Uniunii Europene impune păstrarea sau stocarea acestor date, importatorul de date va șterge toate aceste date personale sau nepersonale după această perioadă de o lună, indiferent dacă au fost returnate la cererea exportatorului de date sau nu.

 

3.3 Drepturile persoanelor vizate

  1.  
    1. (i) Exportatorul de date gestionează și răspunde solicitărilor făcute de subiecții de date. Importatorul de date nu este obligat să răspundă direct subiecților de date.
    2. (ii) Dacă exportatorul de date solicită asistența importatorului de date în procesarea și răspunsul la solicitările subiectului de date, acesta va emite o instrucțiune suplimentară conform Clauzei 3.1 (ii) din Partea 1. Importatorul de date va asista exportatorul de date cu măsurile tehnice și organizatorice adecvate pentru a răspunde solicitărilor de exercitare a drepturilor subiecților de date prevăzute în Capitolul III din GDPR, după cum urmează:
    3. a. În cazul solicitărilor de informații, importatorul de date va furniza exportatorului de date doar informațiile solicitate de articolele 13 și 14 din GDPR, pe care le deține, dacă nu le poate găsi singur.
    4. b. În cazul solicitărilor de acces (articolul 15 din GDPR), importatorul de date va furniza exportatorului de date doar informațiile care trebuie furnizate subiectului de date pentru solicitarea de acces menționată, dacă nu le poate găsi singur.
    5. c. În cazul solicitărilor de rectificare (articolul 16 din GDPR), ștergere (articolul 17 din GDPR), restricție a prelucrării (articolul 18 din GDPR) sau portabilitate (articolul 20 din GDPR), și numai dacă exportatorul de date nu poate rectifica, șterge, limita sau transmite personal datele către o terță parte, importatorul de date va oferi exportatorului de date posibilitatea de a rectifica sau șterge, limita sau transmite datele personale către altă terță parte, sau, dacă nu este posibil, va oferi asistență pentru rectificarea, ștergerea, limitarea sau transmiterea datelor către altă terță parte.
    6. d. În cazul notificării privind rectificarea, ștergerea sau restricția prelucrării (articolul 19 din GDPR), importatorul de date va ajuta exportatorul de date notificând toți destinatarii datelor personale implicați, dacă acesta solicită și dacă nu poate remedia situația singur.
    7. e. În cazul exercitării dreptului de opoziție de către un subiect de date (articolele 21 și 22 din GDPR), exportatorul de date va decide dacă opoziția este legitimă și cum trebuie gestionată.
    8. (iii) Obligațiile de asistență ale importatorului de date se limitează la datele personale prelucrate în infrastructura sa (de exemplu, baze de date, sisteme, aplicații deținute sau furnizate de acesta).
    9. (iv) Exportatorul de date va decide dacă un subiect de date poate exercita drepturile subiecților de date prevăzute în Clauza 3.1 din această Partea 1 și va informa importatorul de date despre măsura în care asistența specificată în Clauzele 3.3 (ii), (iii) din Partea 1 este necesară.
    10. (v) Dacă exportatorul de date solicită măsuri tehnice și organizatorice suplimentare sau modificate pentru a satisface drepturile subiecților de date, care depășesc asistența furnizată de importatorul de date conform Sub-Clauzei 3.3 (ii), (iii) din Partea 1, acesta va informa exportatorul de date despre costurile implementării acestor măsuri suplimentare sau modificate. După ce exportatorul de date confirmă că poate suporta aceste costuri, importatorul de date va implementa aceste măsuri.
    11. (vi) Fără a limita domeniul de aplicare al Clauzei 3.3 (v) din Partea 1, exportatorul de date va fi obligat să ramburseze importatorului de date cheltuielile rezonabile suportate în răspunsul la solicitările subiecților de date.

 

3.4 Subprocesare

  1.  
    1. (i) Exportatorul de date autorizează utilizarea subcontractanților de către importatorul de date pentru furnizarea serviciilor în cadrul acestei Anexe. Importatorul de date va selecta cu grijă astfel de prelucrători de date. Exportatorul de date aprobă prelucrătorii de date enumerați în Anexa 1.1 la sfârșitul Partea 2.
    2. (ii) Importatorul de date va transfera obligațiile sale în cadrul acestei Anexe către prelucrătorii de date, în măsura în care acestea se aplică serviciilor subcontractate.
    3. (iii) Importatorul de date poate să respingă, să înlocuiască sau să numească alți prelucrători de date adecvați și de încredere, după discreția sa. Dacă este solicitat în scris de către exportatorul de date, acesta trebuie să urmeze procedura de mai jos:
  2.  
    1. a. Importatorul de date va informa exportatorul de date înainte de orice modificare a listei de prelucrători de date menționată în Clauza 3.4 (i) din Partea 1. Dacă exportatorul de date nu obiectează în termen de treizeci de zile de la primirea notificării de la importatorul de date, prelucrătorii suplimentari vor fi considerați acceptați.
    2. b. Dacă exportatorul de date are un motiv legitim să obiecteze unui prelucrător suplimentar, va notifica în prealabil în scris importatorul de date în termen de treizeci de zile de la primirea notificării și înainte de punerea în funcțiune a serviciului de către acesta. Dacă exportatorul de date obiectează utilizării unui prelucrător suplimentar, importatorul de date poate anula această opoziție prin una dintre următoarele opțiuni (aleasă după discreție): (A) va anula planurile de utilizare a unui prelucrător suplimentar pentru datele personale ale exportatorului de date; (B) va lua măsurile corective solicitate de către exportatorul de date în opoziția sa (anularea opoziției) și va utiliza prelucrătorul suplimentar pentru datele personale ale exportatorului de date; (C) poate înceta să furnizeze sau exportatorul de date poate conveni să nu utilizeze (temporar sau permanent) un anumit aspect al serviciului care implică utilizarea unui alt prelucrător al datelor personale ale exportatorului de date.
  3.  
    1. (iv) dacă prelucrătorul de date se află în afara UE-SEE, într-o țară care nu este recunoscută ca oferind un nivel adecvat de protecție a datelor în urma unei decizii a Comisiei Europene, importatorul de date va lua măsuri pentru a obține un nivel adecvat de protecție a datelor în conformitate cu GDPR (aceste măsuri pot include - printre altele - utilizarea contractelor de prelucrare a datelor bazate pe clauze ale Modelului UE, transferul către prelucrători de date auto-certificați în cadrul EU-US Privacy Shield sau un program similar).

 

3.5 Expirare

Expirarea acestei Anexe este identică cu data de expirare a Contractului corespunzător. Cu excepția cazurilor prevăzute altfel în această Anexă, drepturile și obligațiile referitoare la încetare vor fi aceleași cu cele din Contract.

 

4. Limitarea răspunderii

4.1 Fiecare parte își gestionează obligațiile în cadrul acestei Anexe și legislația aplicabilă de protecție a datelor.

4.2 Orice răspundere legată de încălcarea obligațiilor din această Anexă sau din legislația aplicabilă de protecție a datelor va fi supusă și guvernată de prevederile de răspundere stabilite în, sau aplicabile, Contract, cu excepția cazurilor în care se prevede altfel în această Anexă. Dacă răspunderea este guvernată de prevederile de răspundere din sau aplicabile Contractului, pentru calcularea limitelor de răspundere sau pentru determinarea aplicării altor limitări ale răspunderii, orice răspundere apărută în cadrul acestei Anexe va fi considerată ca apărând în cadrul Contractului.

 

5. Dispoziții generale

5.1 În cazul în care există inconsistențe sau discrepanțe între Partea 1 și Partea 2 ale acestei Anexe, Partea 2 va prevala. În mod specific, chiar și în astfel de cazuri, Partea 1, care depășește Partea 2 (adică termenii clauzelor standard), fără a o contrazice, va rămâne valabilă.

5.2 În cazul în care apar discrepanțe între prevederile acestei Anexe și cele ale altor contracte care le leagă pe părți, această Anexă va prevala în ceea ce privește obligațiile de protecție a datelor ale părților. În cazul îndoielii dacă clauzele din alte contracte privesc obligațiile de protecție a datelor ale părților, această Anexă va prevala.

5.3 În cazul în care orice prevedere a acestei Anexe este invalidă sau inaplicabilă, restul acestei Anexe va rămâne în vigoare și efect. Prevederea invalidă sau inaplicabilă va fi (i) modificată pentru a-i asigura valabilitatea și aplicabilitatea, păstrând, pe cât posibil, intenția părților, sau - dacă acest lucru nu este posibil - (ii) interpretată ca și cum partea invalidă sau inaplicabilă nu ar fi fost niciodată parte a contractului. Aceasta se aplică și în cazul unei omisiuni în această Anexă.

5.5 În măsura necesară, Părțile pot solicita modificări ale Clauzei 3 (Conformitatea cu legislația locală) sau ale altor părți ale Anexei pentru a respecta interpretările, directivele sau ordinele emise de autoritățile competente ale Uniunii sau ale statelor membre, prevederile naționale de aplicare, sau orice alte evoluții legale privind GDPR sau alte condiții de delegare către orice entități implicate în prelucrarea datelor și, în mod specific, referitor la utilizarea Clauzelor contractuale standard în GDPR. Termenii Clauzelor contractuale standard nu pot fi modificați sau înlocuiți decât dacă Comisia Europeană aprobă expres acest lucru (de exemplu, prin noi clauze adecvate și standarde de protecție a datelor).

5.6 Orice referire în această Anexă la "Clauze" va însemna toate prevederile acestei Anexe, cu excepția cazurilor în care se specifică altfel.

5.7 Alegerea legii în Clauza 9 din Partea 2 se aplică întregului Contract.

 

6. Date personale transmise și prelucrate de părți în scopuri personale (transfer de la controlorul de date la controlorul de date)

6.1 Părțile știu pe deplin că anumite date personale vor fi transferate de la exportatorul de date către importatorul de date și viceversa, și că aceste date sunt prelucrate de fiecare Parte în propriile scopuri. În ceea ce privește aceste date personale, nu afectează alte prevederi ale acestei Anexe (cu excepția acestei clauze 6).

6.2 Exportatorul de date poate transfera date personale referitoare la personalul importatorului de date, inclusiv informații despre incidente de securitate sau alte documente sau fișiere create sau stabilite de către exportatorul de date în legătură cu Serviciile furnizate de personalul importatorului de date. Importatorul de date poate prelucra aceste date personale în propriile scopuri, în special în relațiile sale profesionale cu personalul importatorului, pentru controlul calității și instruire, sau pentru scopuri de afaceri.

6.3 Importatorul de date poate transfera date personale către exportatorul de date, inclusiv numele și datele de contact ale personalului său. Exportatorul de date poate prelucra aceste date în propriile scopuri.

6.4 Ambele părți vor respecta legislația aplicabilă de protecție a datelor, inclusiv GDPR, în colectarea, prelucrarea și utilizarea acestor date personale primite de la cealaltă parte conform clauzei 1 din Partea 1. În special, ambele Părți vor lua măsuri de securitate adecvate, oferind un nivel similar de protecție cu cele stabilite în Anexa 2 din Partea 2. Accesul la aceste date personale va fi limitat la necesitatea cunoașterii lor.

6.5 Ambele Părți vor șterge aceste date personale cât mai curând posibil după atingerea obiectivelor.

Partea 2

 

DECIZIA COMISIEI

din 5 februarie 2010

privind clauzele contractuale standard pentru transferul datelor personale către prelucrători de date stabiliți în țări terțe conform Directivei 95/46/CE a Parlamentului European și a Consiliului

 

 

 

Clauza 1

Definiții

În sensul clauzelor:

a) 'date cu caracter personal', 'categorii speciale de date', 'prelucrare/prelucrare', 'controlor', 'prelucrător', 'subiect de date' și 'autoritate de supraveghere' vor avea același înțeles ca în Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (1);

b) 'Exportatorul de date' este controlorul de date care transferă datele personale;

c) 'Importatorul de date' este prelucrătorul de date care acceptă să primească de la exportatorul de date date cu caracter personal destinate a fi prelucrate în numele său după transfer, conform instrucțiunilor sale și în conformitate cu termenii acestor clauze și care nu este supus mecanismului unui stat terț care oferă un nivel adecvat de protecție în sensul articolului 25 (1) din Directiva 95/46/CE; (d) 'Prelucrător de date' înseamnă prelucrătorul de date angajat de către importatorul de date sau de către orice alt prelucrător al importatorului de date, care acceptă să primească de la importatorul de date sau de la orice alt prelucrător de date al acestuia, date cu caracter personal exclusiv pentru activitățile de prelucrare care urmează a fi efectuate în numele exportatorului de date după transfer, în conformitate cu instrucțiunile sale, în condițiile stabilite în aceste clauze și în contractul scris de subcontractare a prelucrării datelor;

e) 'legislație aplicabilă de protecție a datelor' înseamnă legislația care protejează drepturile și libertățile fundamentale ale persoanelor, inclusiv dreptul la viață privată în ceea ce privește prelucrarea datelor cu caracter personal, și se aplică controlorului din statul membru în care este stabilit exportatorul de date;

f) „măsuri tehnice și organizatorice referitoare la securitate” înseamnă măsuri destinate să protejeze datele personale împotriva distrugerii accidentale sau ilegale sau a pierderii accidentale, modificării, divulgării sau accesului neautorizat, în special atunci când prelucrarea implică transmiterea datelor prin rețele, și împotriva oricăror alte forme ilegale de prelucrare.

Clauza 2

Detalii despre transfer

Detaliile transferului, inclusiv, dacă este cazul, categorii speciale de date cu caracter personal, sunt specificate în Anexa 1, care face parte integrantă din aceste clauze.

Clauza 3

Clauza beneficiarului terț

1. Subiectul de date poate exercita împotriva exportatorului de date această Clauză, Clauza 4(b) până la (i), Clauza 5(a) până la (e) și (g) până la (j), Clauza 6 (1) și (2), Clauza 7, Clauza 8(2) și Clauzele 9 până la 12 ca beneficiar terț

2. Subiectul de date poate exercita această Clauză, Clauza 5 (a) până la (e) și (g), Clauza 6, Clauza 7, Clauza 8 (2) și Clauzele 9 până la 12 împotriva importatorului de date dacă exportatorul de date a dispărut fizic sau a încetat să existe în drept, cu excepția cazului în care toate obligațiile sale legale au fost transferate, prin contract sau prin operațiunea legii, către entitatea succesoare, către care drepturile și obligațiile exportatorului de date revin, și împotriva căreia subiectul de date poate exercita aceste clauze.

Subiectul de date poate exercita această Clauză, Clauza 5 (a) până la (e) și (g), Clauza 6, Clauza 7, Clauza 8 (2) și Clauzele 9 până la 12 împotriva prelucrătorului de date, dar numai în cazurile în care exportatorul de date și importatorul de date au dispărut fizic, au încetat să existe în drept sau au devenit insolvenți, cu excepția cazului în care toate obligațiile legale ale exportatorului de date au fost transferate, prin contract sau prin operațiunea legii, către succesorul legal, asupra căruia drepturile și obligațiile exportatorului de date sunt astfel învestite, și împotriva căruia subiectul de date poate exercita aceste clauze. Răspunderea prelucrătorului de date trebuie limitată la activitățile sale de prelucrare în conformitate cu aceste clauze.

4. Părțile nu se opun ca subiectul de date să fie reprezentat de o asociație sau alt organism, dacă acesta dorește și dacă legea națională permite acest lucru.

Clauza 4

Obligațiile exportatorului de date

Exportatorul de date acceptă și garantează următoarele:

a) prelucrarea, inclusiv transferul efectiv al datelor personale, a fost și va continua să fie realizată în conformitate cu prevederile relevante ale legislației aplicabile de protecție a datelor (și, dacă este cazul, a fost notificată autorităților competente ale statului membru în care este stabilit) și nu încalcă prevederile relevante ale acelui stat;

b) au instruit și vor instrui pe durata serviciilor de prelucrare a datelor, importatorul de date să prelucreze datele personale transferate exclusiv în numele său și în conformitate cu legislația aplicabilă de protecție a datelor și aceste clauze;

c) importatorul de date va oferi măsuri suficiente de protecție în ceea ce privește măsurile tehnice și organizatorice de securitate specificate în Anexa 2 a prezentului contract;

d) după evaluarea cerințelor legislației aplicabile de protecție a datelor, măsurile de securitate sunt adecvate pentru a proteja datele personale împotriva distrugerii accidentale sau ilegale sau a pierderii accidentale, modificării, divulgării sau accesului neautorizat, în special atunci când prelucrarea implică transmiterea datelor prin rețea, și împotriva oricăror alte forme ilegale de prelucrare și asigură un nivel de securitate adecvat riscurilor reprezentate de prelucrare și naturii datelor de protejat, având în vedere nivelul tehnologiei și costul implementării;

e) vor asigura respectarea măsurilor de securitate;

f) dacă transferul se referă la categorii speciale de date, subiectul de date a fost informat sau va fi informat înainte de transfer, sau cât mai curând posibil după transfer, că datele sale pot fi transferate către o țară terță care nu oferă un nivel adecvat de protecție în sensul Directivei 95/46/CE;

g) vor transmite orice notificare primită de la importatorul de date sau de la orice prelucrător de date conform Clauzelor 5 (b) și 8 (3) către autoritatea de supraveghere a protecției datelor dacă decid să continue transferul sau să ridice suspendarea;

h) vor pune la dispoziția subiecților de date, dacă solicită, o copie a acestor Clauze, cu excepția Anexei 2, și o descriere sumară a măsurilor de securitate, precum și o copie a oricărui acord de subcontractare încheiat în baza acestor Clauze, cu excepția cazului în care clauzele sau acordul conțin informații comerciale, caz în care poate retrage aceste informații;

i) în cazul subcontractării procesului de prelucrare a datelor, activitatea de prelucrare trebuie să fie realizată în conformitate cu Clauza 11 de către un prelucrător de date care oferă cel puțin același nivel de protecție a datelor personale și a drepturilor subiectului de date ca și importatorul de date în cadrul acestor clauze; și

j) va asigura respectarea Clauzei 4 (a) până la (i).

Clauza 5

Obligațiile importatorului de date

Importatorul de date acceptă și garantează următoarele:

a) vor prelucra datele personale doar în numele și conform instrucțiunilor exportatorului de date și acestor clauze; dacă nu pot respecta din orice motiv, vor informa exportatorul de date despre incapacitatea lor cât mai curând posibil, caz în care exportatorul de date poate suspenda transferul de date și/sau poate înceta contractul;

b) nu au motive să creadă că legea aplicabilă lor împiedică îndeplinirea instrucțiunilor date de exportatorul de date și obligațiilor ce le revin în temeiul contractului, și dacă această lege suferă modificări care pot avea un efect advers semnificativ asupra garanțiilor și obligațiilor din Clauze, vor notifica fără întârziere exportatorul de date despre schimbare, după ce devin conștienți de aceasta, caz în care exportatorul de date poate suspenda transferul de date și/sau poate înceta contractul; (c) au implementat măsurile tehnice și organizatorice de securitate specificate în Anexa 2 înainte de a prelucra datele personale transferate;

d) vor notifica exportatorul de date fără întârziere:

i) orice solicitare legală de divulgare a datelor personale de către o autoritate de aplicare a legii, cu excepția cazurilor în care este specificat altfel, cum ar fi interdicția conform legii penale pentru a păstra secretul unei investigații;

ii) orice acces incidental sau neautorizat; și

iii) orice solicitare primită direct de la persoanele vizate, fără a răspunde la aceasta, cu excepția cazului în care a fost autorizat să o facă; administratorii

e) vor trata prompt și corespunzător toate solicitările din partea exportatorului de date referitoare la prelucrarea datelor personale transferate și vor acționa conform opiniei autorității de supraveghere privind prelucrarea datelor transferate;

f) la cererea exportatorului de date, vor supune facilitățile lor de prelucrare a datelor unei inspecții a activităților de prelucrare acoperite de aceste clauze, care va fi efectuată de către exportatorul de date sau de o autoritate de supraveghere formată din membri independenți cu calificări profesionale necesare, cu obligația de confidențialitate și aleasă de către exportatorul de date, dacă este cazul, cu acordul autorității de supraveghere;

g) vor pune la dispoziția subiectului de date, dacă acesta solicită, o copie a acestor Clauze sau a oricărui contract de subcontractare a prelucrării datelor, cu excepția cazului în care clauzele sau contractul conțin informații comerciale, caz în care pot elimina aceste informații, cu excepția Anexei 2, care va fi înlocuită cu o descriere sumară a măsurilor de securitate, dacă subiectul de date nu poate obține o copie de la exportatorul de date;

h) în cazul subcontractării confidențiale a prelucrării datelor, va asigura că informează în avans exportatorul de date și obține consimțământul scris al acestuia;

i) serviciile de prelucrare furnizate de către prelucrătorul de date vor respecta Clauza 11;

j) va trimite prompt o copie a oricărui contract de subcontractare a prelucrării datelor încheiat în cadrul acestor Clauze către exportatorul de date.

Clauza 6

Responsabilitate

1. Părțile convin că orice subiect de date care a suferit prejudiciu din cauza încălcării obligațiilor prevăzute în Clauza 3 sau Clauza 11 de către o parte sau de către un prelucrător de date poate obține despăgubiri de la exportatorul de date pentru prejudiciul suferit.

2. Dacă un subiect de date este împiedicat să introducă o acțiune pentru despăgubiri conform alineatului 1 împotriva exportatorului de date pentru neconformitatea importatorului de date sau a prelucrătorului de date cu oricare dintre obligațiile sale în temeiul Clauzei 3 sau Clauzei 11, deoarece exportatorul de date a dispărut fizic, a încetat să existe în drept sau a devenit insolvent, importatorul de date acceptă ca subiectul de date să depună o plângere împotriva sa ca și cum ar fi fost exportatorul de date, cu excepția cazului în care toate obligațiile legale ale exportatorului de date au fost transferate, prin contract sau prin operațiunea legii, către succesorul său, asupra căruia drepturile și obligațiile exportatorului de date revin, și împotriva căruia subiectul de date poate exercita aceste clauze. Răspunderea prelucrătorului de date trebuie limitată la activitățile sale de prelucrare în conformitate cu aceste clauze.

3. Dacă un subiect de date este împiedicat să introducă acțiunea prevăzută la alineatele 1 și 2 împotriva exportatorului de date sau a importatorului de date pentru încălcarea obligațiilor de către prelucrătorul de date conform Clauzei 3 sau Clauzei 11, deoarece exportatorul de date și importatorul de date au dispărut fizic, au încetat să existe în drept sau au devenit insolvenți, prelucrătorul de date acceptă ca subiectul de date să depună o plângere împotriva sa cu privire la activitățile sale de prelucrare în conformitate cu aceste clauze, ca și cum ar fi fost exportatorul de date sau importatorul de date, cu excepția cazului în care toate obligațiile legale ale exportatorului de date sau ale importatorului de date au fost transferate, prin contract sau prin operațiunea legii, către succesorul legal, asupra căruia drepturile și obligațiile exportatorului de date sunt astfel învestite, și împotriva căruia subiectul de date poate exercita aceste clauze. Răspunderea prelucrătorului de date trebuie limitată la activitățile sale de prelucrare în conformitate cu aceste clauze.

 

Clauza 7

Medierea și jurisdicția

1. Importatorul de date acceptă că, dacă în cadrul acestor clauze, subiectul de date invocă împotriva sa dreptul beneficiarului terț și/sau solicită despăgubiri pentru prejudiciul suferit, va accepta decizia subiectului de date:

a) să supună disputa medierii de către o persoană independentă sau, dacă este cazul, autoritatea de supraveghere;

b) să aducă disputa în fața instanțelor din statul membru în care este stabilit exportatorul de date.

2. Părțile convin că alegerea făcută de subiectul de date nu va afecta dreptul procedural sau substanțial al subiectului de date de a obține despăgubiri în conformitate cu alte prevederi ale legii naționale sau internaționale.

Clauza 8

Cooperarea cu autoritățile de supraveghere

1. Exportatorul de date acceptă să depună o copie a prezentului contract la autoritatea de supraveghere dacă aceasta solicită sau dacă această depunere este prevăzută de legislația aplicabilă de protecție a datelor.

2. Părțile convin că autoritatea de supraveghere poate efectua verificări la importatorul de date și la orice prelucrător de date în aceleași condiții și în aceeași măsură ca și verificările efectuate la exportatorul de date, în conformitate cu legislația aplicabilă de protecție a datelor.

3. Importatorul de date va informa cât mai curând posibil exportatorul de date despre existența legislației referitoare la importatorul de date sau orice prelucrător de date care împiedică verificarea la importatorul de date sau la orice prelucrător de date, în conformitate cu alineatul 2. În astfel de cazuri, exportatorul de date poate lua măsurile prevăzute în Clauza 5 (b).

Clauza 9

Legea aplicabilă

Clauzele se aplică și sunt guvernate de legea statului membru în care este stabilit exportatorul de date.

Clauza 10

Modificarea contractului

Părțile se angajează să nu modifice aceste clauze. Părțile rămân libere să includă alte clauze comerciale pe care le consideră necesare, cu condiția ca acestea să nu contravină acestor clauze.

Clauza 11

Subcontractarea ulterioară

1. Importatorul de date nu va subcontracta nicio activitate de prelucrare efectuată în numele său în cadrul acestor clauze fără consimțământul prealabil scris al exportatorului de date. Importatorul de date va subcontracta obligațiile sale doar cu consimțământul exportatorului de date, printr-un acord scris cu prelucrătorul de date, care să impună aceluiași nivel de obligații ca și cele impuse importatorului de date în cadrul acestor clauze. Dacă prelucrătorul de date nu poate respecta obligațiile de protecție a datelor în cadrul acestui acord scris, importatorul de date va rămâne pe deplin responsabil față de exportatorul de date pentru îndeplinirea acestor obligații.

2. Acordul scris prealabil între importatorul de date și prelucrătorul de date va include, de asemenea, o clauză de beneficiar terț, conform Clauzei 3, pentru cazurile în care subiectul de date este împiedicat să depună plângere pentru despăgubiri conform Clauzei 6 (1), împotriva exportatorului de date sau a importatorului de date, deoarece acesta din urmă a dispărut fizic, a încetat să existe în drept sau a devenit insolvent, și toate obligațiile legale ale exportatorului de date nu au fost transferate, prin contract sau prin operațiunea legii, către succesorul său legal. Răspunderea prelucrătorului de date trebuie limitată la activitățile sale de prelucrare în conformitate cu aceste clauze.

3. Dispozițiile referitoare la aspectele de protecție a datelor ale subcontractării prelucrării datelor, menționate la alineatul 1, vor fi guvernate de legea statului membru în care este stabilit exportatorul de date.

4. Exportatorul de date va păstra o listă a contractelor de subcontractare a prelucrării datelor încheiate în baza acestor Clauze și notificate de către importatorul de date în conformitate cu Clauza 5 (j), care va fi actualizată cel puțin o dată pe an. Această listă va fi pusă la dispoziția autorității de protecție a datelor a exportatorului de date.

Clauza 12

Obligația după încetarea serviciilor de prelucrare a datelor personale

1. Părțile convin că, la finalizarea serviciilor de prelucrare a datelor, importatorul de date și prelucrătorul de date vor, la conveniența exportatorului de date, să returneze toate datele personale transferate și copiile acestora către exportatorul de date sau să distrugă toate aceste date și să furnizeze dovada distrugerii către exportatorul de date, cu excepția cazului în care legislația impusă importatorului de date împiedică returnarea sau distrugerea tuturor sau a unor părți ale datelor personale transferate. În acest caz, importatorul de date garantează că va asigura confidențialitatea datelor personale transferate și că nu va mai prelucra activ aceste date.

2. Importatorul de date și prelucrătorul de date vor asigura, dacă este solicitat de către exportatorul de date și/sau de autoritatea de supraveghere, verificarea măsurilor menționate la alineatul 1.

 

 

 

 

Anexa 1.1 la Partea 2

Detalii despre transfer

 

 

Exportatorul de date

Exportatorul de date este Clientul definit în acordul contractual.

 

Importatorul de date

Importatorul de date este IQUALIF și este desemnat să prelucreze datele, furnizând servicii către exportatorul de date.

 

Subiecții datelor

Datele personale transferate privesc următoarele categorii de subiecți de date:

☒ abonați telefonici enumerați în directorul universal

☐ Alții, inclusiv:

 

Categoriile de date

Datele personale transferate privesc următoarele categorii de date:

 

Categoriile de date personale ale subiecților de date ai exportatorului de date, în special,

☒ Numele complet

☒ Adresa poștală

☒ Detalii de contact (e-mail, telefon, adresă IP etc.)

☒ Detalii despre activitățile de marketing referitoare la abonatul telefonic

☒ Altele, inclusiv tipul de locuință, venituri și vârste medii pe oraș, realizate anonim

 

Categorii speciale de date (dacă este cazul)

Datele personale transferate privesc următoarele categorii speciale de date:

☒ Transferul categoriilor speciale de date nu este prevăzut

☐ Rasă sau origine etnică

☐ Convingeri religioase sau filozofice

☐ Apartenență la sindicat

☐ Opinii politice

☐ Informații genetice

☐ Informații biometrice

☐ Informații despre orientarea sexuală sau viața sexuală

☐ Date despre sănătate

 

Activități de prelucrare

Datele personale transferate vor fi supuse următoarelor activități de prelucrare de bază:

 

  •  
    •  Scopul prelucrării

Prelucrarea realizată în numele exportatorului de date se bazează pe următoarele subiecte, în special:

☒ Gestionarea produselor sau serviciilor oferite de către exportatorul de date

☒ Oferta unui produs sau serviciu solicitat de către persoana apelată

☒ Preluarea comenzilor de la persoanele apelate și prelucrarea ulterioară a acestor comenzi

☒ Chestionare de studiu și analize

☒ Telemarketing

☐ Altele, inclusiv:

 

  •  
    •  Natura și scopul prelucrării

Importatorul de date prelucrează datele personale ale subiecților de date în numele exportatorului de date, pentru a furniza următoarele servicii, și în mod deosebit:

☒ Vânzări și marketing

☒ Altele, inclusiv actualizarea bazelor de date ale primăriilor și partidelor politice

 

  •  
    •  Furnizarea de servicii și angajarea furnizorilor de servicii

 

IQUALIF combină, centralizează și furnizează în principal servicii către exportatorul de date. Serviciile furnizate de către acest prestator de servicii pot fi structurate (printre altele, după caz) în jurul următoarelor servicii auxiliare: (i) furnizarea de aplicații, instrumente, sisteme și infrastructură IT în legătură cu centrele de prelucrare a datelor utilizate, pentru a furniza și susține serviciile, inclusiv prelucrarea datelor cu caracter personal ale subiecților de date, așa cum sunt descrise mai sus, prin astfel de aplicații, instrumente și sisteme, (ii) furnizarea de suport IT, mentenanță și alte servicii legate de astfel de aplicații, instrumente, sisteme și infrastructură IT, inclusiv accesul potențial la datele personale stocate în astfel de aplicații, instrumente și sisteme, și (iii) furnizarea de servicii de protecție a datelor, monitorizare a protecției și servicii de răspuns la incidente, inclusiv accesul potențial la datele personale în timpul furnizării acestor servicii de protecție. IQUALIF poate angaja prelucrători de date conform celor de mai jos pentru a furniza serviciile, inclusiv servicii auxiliare.

 

  •  
    • • Furnizori externi de servicii terți, ca sub-enteități desemnate pentru prelucrarea datelor

 

IQUALIF angajează furnizori externi și terți, care nu sunt subsidiare ale IQUALIF, pentru a sprijini furnizarea serviciilor către exportatorul de date. Exportatorul de date aprobă acești furnizori externi ca sub-enteități desemnate pentru prelucrarea datelor.

 

Dacă o sub-enteitate implicată în prelucrarea datelor se află în afara UE/SEE, într-o țară considerată că nu oferă un nivel adecvat de protecție a datelor conform unei decizii a Comisiei Europene, importatorul de date va lua măsuri pentru a obține un nivel adecvat de protecție a datelor în conformitate cu GDPR și secțiunea 3.4 (iv) din Partea 1.

 

 

Anexa 2, Partea 2

Măsuri tehnice și organizatorice de protecție

 

Importatorul de date va lua următoarele măsuri tehnice și organizatorice de protecție, confirmate de către exportatorul de date, pentru a garanta un nivel adecvat de securitate pentru drepturile și libertățile persoanelor, în funcție de riscuri. În evaluarea nivelului de protecție, exportatorul de date a luat în considerare, în special, riscurile implicate în prelucrare, inclusiv distrugerea accidentală sau ilegală, pierderea, modificarea, divulgarea sau accesul neautorizat la datele personale transmise, stocate sau prelucrate în alt mod. Precizare: aceste măsuri tehnice și organizatorice de protecție nu se aplică aplicațiilor, instrumentelor, sistemelor și/sau infrastructurii IT furnizate de către exportatorul de date.

1. Măsuri generale tehnice și organizatorice de protecție
1.1 Strategii generale de protecție a datelor și informațiilor
Următorii pași trebuie urmați pentru a respecta strategiile generale de protecție a datelor și informațiilor:
  • a) luarea măsurilor pentru evaluarea celor luate în legătură cu protecția tehnică și organizatorică;
  • b) furnizarea de instruire pentru creșterea conștientizării angajaților;
  • c) realizarea unei descrieri a sistemelor vizate și acordarea de acces angajaților;
  • d) stabilirea unui proces formal de documentare ori de câte ori sunt implementate sau modificate sisteme;
  • e) documentarea structurii organizaționale, a proceselor, responsabilităților și evaluărilor respective;
 
1.2 Organizarea protecției informațiilor
Următorii pași trebuie urmați pentru a coordona activitățile de protecție a datelor și informațiilor:
  • a) responsabilități definite pentru protecția informațiilor și datelor (de exemplu, prin politica de management al protecției datelor);
  • b) expertiza necesară pentru protejarea informațiilor și datelor, menținând disponibilitatea acestora;
  • c) toți angajații sunt angajați să asigure confidențialitatea datelor personale și au fost informați despre consecințele potențiale ale încălcării acestei obligații.
 
1.3 Controlul accesului la zonele de prelucrare
Următoarele măsuri trebuie luate pentru a preveni accesul neautorizat la sistemele de prelucrare a datelor (în special software și hardware) atunci când datele personale sunt prelucrate, stocate sau transmise:
  • a) stabilirea de zone securizate;
  • b) protejarea și restricționarea accesului la sistemele de prelucrare a datelor;
  • c) stabilirea autorizațiilor de acces pentru angajați și terți, inclusiv documentele respective;
  • d) orice acces la centrele de prelucrare a datelor în care sunt stocate datele personale va fi înregistrat.
 
1.4 Controlul accesului la sistemele de prelucrare a datelor
Următoarele măsuri trebuie luate pentru a preveni accesul neautorizat la sistemele de prelucrare a datelor:
  • a) politici și proceduri de autentificare a utilizatorilor;
  • b) utilizarea parolelor pe toate sistemele informatice;
  • c) accesul de la distanță la rețea necesită autentificare multi-factor și este acordat persoanei vizate conform responsabilităților și autorizării;
  • d) accesul la funcții specifice se bazează pe funcțiile de serviciu și/sau atributele individuale atribuite contului utilizatorului;
  • e) drepturile de acces legate de datele personale sunt revizuite periodic;
  • f) înregistrările modificărilor drepturilor de acces sunt actualizate.
 
1.5 Controlul accesului la anumite zone de utilizare a sistemelor de prelucrare a datelor
Următoarele măsuri trebuie luate pentru a asigura că persoanele autorizate cu dreptul de a utiliza sistemul de prelucrare a datelor pot accesa doar datele în limitele responsabilităților și autorizațiilor lor și că datele personale nu pot fi citite, copiate, modificate sau șterse fără autorizare:
  1.  
    1. a) politici, instrucțiuni și instruirea angajaților privind obligațiile fiecăruia referitoare la confidențialitate, drepturile de acces la datele personale și domeniul de prelucrare a datelor personale;
  • b) măsuri disciplinare împotriva persoanelor care accesează datele personale fără autorizare;
  • c) accesul la datele personale va fi acordat doar persoanelor autorizate, pe baza necesității de cunoaștere;
  • d) menținerea unei liste a administratorilor de sistem și luarea măsurilor adecvate pentru monitorizarea administratorilor de sistem;
  • e) evitarea copierii sau reproducerii datelor personale pe orice sistem de stocare pentru a permite persoanelor neautorizate să elimine informațiile despre originator;
  • f) ștergerea sau distrugerea controlată și documentată a datelor;
  • g) stocarea sigură a tuturor datelor personale care trebuie păstrate din motive legale sau de reglementare (de exemplu, obligații de păstrare a datelor), și doar atât cât este prevăzut de lege.
 
1.6 Controlul transmisiunilor
Următoarele măsuri trebuie luate pentru a preveni ca datele personale să fie citite, copiate, modificate sau șterse de terți neautorizați în timpul transmiterii sau transportului dispozitivelor de stocare a datelor (în funcție de prelucrarea datelor personale efectuată):
  1.  
    1. a) utilizarea firewall-urilor;
  • b) evitarea stocării datelor personale pe dispozitive mobile pentru transport sau criptarea dispozitivelor;
  • c) utilizarea pe laptopuri și alte dispozitive mobile numai după activarea protecției criptografice;
  • d) înregistrarea transmiterilor de date personale.
 
1.7 Controlul introducerii datelor
Următoarele măsuri trebuie luate pentru a asigura că este posibil să se verifice și să se determine dacă datele personale au fost introduse sau șterse din sistemele de prelucrare a datelor și de către cine:
  1.  
    1. a) o politică pentru autorizarea citirii, modificării și ștergerii datelor stocate;
  • b) măsuri de protecție privind citirea, modificarea și ștergerea datelor stocate.
 
1.8 Controlul muncii
În cazul prelucrării delegate a datelor personale, următoarele măsuri trebuie luate pentru a asigura că aceste date sunt prelucrate conform instrucțiunilor Supervisorului:
  1.  
    1. a) entități sau sub-enteități desemnate pentru prelucrarea datelor, alese cu grijă (furnizori de servicii care prelucrează date personale în numele controlorului);
  • b) instrucțiuni privind domeniul oricărei prelucrări a datelor personale către angajați, entități sau sub-enteități desemnate pentru prelucrare;
  • c) drepturi de audit convenite cu entitățile sau sub-enteitățile desemnate pentru prelucrare;
  • d) acorduri în vigoare cu entitățile sau sub-enteitățile desemnate pentru prelucrare.
 
1.9 Separarea de prelucrarea pentru alte scopuri
Următoarele măsuri trebuie luate pentru a asigura că datele colectate pentru alte scopuri pot fi prelucrate separat:
  1.  
    1. a) acces separat la datele personale în conformitate cu drepturile existente ale utilizatorilor;
  • b) interfețe, procesare în lot și rapoarte pentru alte scopuri și funcții, astfel încât datele colectate pentru alte scopuri să poată fi prelucrate separat.
 
1.10 Pseudonimizare
Următoarele măsuri trebuie luate în ceea ce privește pseudonimizarea datelor personale:
  1.  
    1. a) Dacă exportatorul de date comandă o anumită operațiune de prelucrare sau dacă aceasta este considerată adecvată de către importatorul de date în conformitate cu legislația de protecție a datelor în vigoare referitoare la anumite activități de prelucrare, prelucrarea datelor personale va fi realizată astfel încât datele să nu mai poată fi atribuite unei persoane specifice fără utilizarea unor informații suplimentare. Aceste informații suplimentare vor fi păstrate separat;
  • b) utilizarea tehnicilor de pseudonimizare, inclusiv aleatorizarea listelor de alocare; crearea de valori sub formă de caractere speciale.
 
1.11 Criptare

Următoarele măsuri trebuie luate pentru criptarea datelor personale în aplicații și transmiteri care suportă criptarea:

  1.  
    1. a) utilizarea tehnicilor de criptare;
  • b) stabilirea managementului criptografiei pentru a sprijini tehnicile de criptare autorizate;
  • c) susținerea utilizării criptografiei prin proceduri și protocoale pentru generarea, modificarea, revocarea, distrugerea, distribuirea, certificarea, stocarea, captarea, utilizarea și arhivarea cheilor criptografice pentru a proteja împotriva modificărilor și divulgărilor neautorizate.
 
1.12 Completitudinea sistemelor și serviciilor de prelucrare a datelor
Următoarele măsuri trebuie luate pentru a asigura completitudinea sistemelor și serviciilor de prelucrare a datelor:
  1. a) protejarea sistemelor de prelucrare a datelor împotriva manipulării sau distrugerii prin mijloace adecvate (de exemplu, software antivirus, software de prevenire a pierderii datelor și software împotriva malware, patch-uri de software, firewall-uri și protecție gestionată a desktop-urilor);
  • b) interzicerea instalării oricărui serviciu sau software dăunător sistemelor de prelucrare a datelor, serviciilor sau manipulării datelor personale;
  • c) utilizarea unui sistem de detectare și prevenire a intruziunilor în rețea în structura rețelei în sine.
 
1.13 Disponibilitatea sistemelor și serviciilor de prelucrare a datelor și posibilitatea de a restabili accesul și utilizarea datelor personale în cazul unui incident material sau tehnic
Următoarele măsuri trebuie luate pentru a asigura disponibilitatea sistemelor de prelucrare a datelor, precum și pentru a putea restabili rapid disponibilitatea și accesul la datele personale, în cazul unui incident material sau tehnic (în special, asigurând protecția datelor personale împotriva distrugerii accidentale sau pierderii):
  • a) existența unor mijloace de control pentru păstrarea copiilor de rezervă și restaurarea datelor pierdute sau șterse;
  • b) redundanță infrastructurală și testarea performanței;
  • c) protecția fizică a resurselor informatice;
  • d) utilizarea unor instrumente pentru monitorizarea stării și disponibilității rețelei interne;
  • e) politici de raportare și răspuns la incidente, care guvernează procedura de gestionare a incidentelor și reiterarea respectării acestor politici ca parte a instruirii periodice;
  • f) backup-uri (uneori off-site) pentru a restabili sistemul și a-i permite să își reia funcțiile;
  • g) planuri de continuitate a afacerii / recuperare în caz de dezastru
 
1.14 Reziliența sistemelor și serviciilor de prelucrare a datelor
Următoarele măsuri trebuie luate pentru a asigura reziliența sistemelor și serviciilor de prelucrare a datelor:
  • a) sisteme și configurări armonizate, utilizând parametri de securitate aprobați;
  • b) redundanță în rețea;
  • c) protecție împotriva contaminării sistemelor critice.
 
1.15 Procedură pentru testarea, evaluarea și verificarea periodică a eficacității măsurilor tehnice și organizatorice pentru asigurarea securității prelucrării datelor
Procedură pentru testarea, evaluarea și verificarea periodică a eficacității măsurilor tehnice și organizatorice pentru protejarea datelor.
  • a) luarea măsurilor necesare pentru evaluarea riscurilor și strategiilor de atenuare;
  • b) întâlniri de analiză a serviciilor departamentului IT pentru abordarea problemelor curente;
  • c) planurile de continuitate a afacerii / recuperare în caz de dezastru sunt actualizate periodic.

 

Partea 3

Semnăturile părților și lista importatorilor de date

 

Când completați formularul de comandă online și îl validați bifând caseta de acceptare a termenilor și condițiilor generale de utilizare, se stabilește contractul care guvernează relația dintre Client și IQUALIF.

Trimiterea plății către IQUALIF va considera contractul acceptat și încheiat.

Notă: Acest text a fost tradus din limba franceză. Versiunea originală în limba franceză, care este valabilă și restrictivă din punct de vedere legal, este disponibilă aici.

Întrebări frecvente

Cum să instalați software-ul

Instalarea software-ului

Pentru a instala IQUALIF, tot ce trebuie să faceți este să faceți clic pe acest link de descărcare și să instalați versiunea de încercare.

📥 Pasul 1: Descărcare

După descărcare, este posibil ca browserul dvs. sau Chrome să afișeze un mesaj de avertizare.

Acest lucru se poate întâmpla pentru software-uri recente sau puțin distribuite.

În acest caz:

  • Faceți clic dreapta pe fișierul descărcat
  • Faceți clic pe "Păstrează" sau "Deschide totuși"

⚙️ Pasul 2: Instalare

La lansarea programului (dublu clic), Windows poate afișa o alertă de securitate (Windows Defender).

Acest lucru se întâmplă pur și simplu pentru că software-ul este încă puțin descărcat și nu are încă un volum mare de istoric pe serverele Microsoft.

Dacă apare acest mesaj:

  • Faceți clic pe "Informații suplimentare" sau pe cele trei puncte mici "..."
  • Apoi selectați "Execută totuși" sau "Deschide totuși"

✅ De ce puteți instala cu încredere?

IQUALIF este un software profesional editat din 2013.

Dezvoltăm soluții utilizate zilnic de către profesioniști.

Aceste mesaje de securitate sunt automate și legate exclusiv de numărul de descărcări, nu de conținutul software-ului.

Care este diferența dintre versiunea de încercare și versiunea plătită

Versiunea de încercare și versiunea plătită oferă exact aceleași funcționalități.

Diferența este simplă:

  • Versiunea de încercare este limitată la 3 zile.
  • Versiunea plătită funcționează de două ori mai rapid, pentru un câștig de timp optim zilnic.

Astfel, puteți testa liber toate funcționalitățile, apoi să beneficiați pe deplin de performanțele maxime cu versiunea completă

Ce care este inclus în Plan

Planurile vă oferă acces complet la toate programele IQUALIF pe întreaga durată a valabilității lor.

Imediat ce confirmați comanda, primiți cheia de activare prin email în doar 5 minute.

Dacă nu o găsiți, verificați folderul SPAM sau corespondența nedorită.

Reînnoirea automată este fără angajament: o puteți anula oricând din spațiul dvs. client.

Detaliile de acces vă sunt trimise prin email după comandă.

Și, bineînțeles, suntem disponibili prin chat, email sau telefon dacă aveți orice întrebare.

Ce este viteza

O viteză adaptată nevoilor dvs.

IQUALIF vă permite să recuperați datele în ritmul dvs., în funcție de volumul de care aveți nevoie.

Versiune de încercare

Până la 400 contacte pe oră

(ideal pentru a descoperi și testa toate funcționalitățile)

Versiune plătită

  • Viteză standard : până la 800 contacte pe oră
  • Viteză 5x : până la 4.000 contacte pe oră
  • Viteză 10x : până la 8.000 contacte pe oră

Vă alegeți viteza potrivită pentru activitatea dvs. și puteți evolua oricând.

Viteza poate varia în funcție de sursa selectată.

Există reduceri?

Promoții punctuale sunt oferite pe tot parcursul anului, fără un calendar fix.

De asemenea, reduceri sunt acordate clienților noștri fideli, cu tarife progresive în funcție de vechime.

Pentru mai multe informații, nu ezitați să ne contactați prin email sau telefon.

Am nevoie de asistență sau de o demonstrație la distanță

Puteți să ne contactați prin chat, email sau telefon: echipa noastră va fi încântată să vă asiste.

Dacă este necesar, putem interveni direct pe calculatorul dumneavoastră printr-un instrument sigur de asistență la distanță, pentru a vă ajuta rapid și eficient.

Tocmai am plasat comanda, cum pot activa produsul meu

  1. Deschideți IQUALIF.
  2. Faceți clic în partea de sus la stânga pe meniul ?, apoi pe Licență.
  3. În fereastra care se deschide, copiați cheia primită pe email și faceți clic pe OK.

Va apărea un mesaj de confirmare pentru a vă indica că produsul dvs. a fost activat cu succes.