Anexa privind prelucrarea datelor

Prezenta Anexă face parte integrantă din Contract și este încheiată între și de către : 

1. (i) Clientul (« Exportator de date ») ; și
2. (ii) IQUALIF (« Importator de date »),

fiecare denumită « Parte » și împreună « Părțile ».

Preambul

AVÂND ÎN VEDERE CĂ Importatorul de date furnizează servicii software profesionale, servicii IT și asimilate (cum ar fi browsere cu funcții avansate de căutare) ;

AVÂND ÎN VEDERE CĂ, în temeiul Contractului, Importatorul de date a acceptat să furnizeze Exportatorului de date serviciile prevăzute în Contract (denumite « Servicii ») ;

AVÂND ÎN VEDERE CĂ, în furnizarea Serviciilor, Importatorul de date primește sau are acces la informațiile Exportatorului de date sau la informațiile altor persoane care au o relație (potențială) cu Exportatorul de date, aceste informații putând constitui date cu caracter personal în sensul Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (« RGPD ») și alte legi aplicabile privind protecția datelor ;

AVÂND ÎN VEDERE CĂ prezenta Anexă conține condițiile generale aplicabile colectării, prelucrării și utilizării acestor date cu caracter personal de către Importatorul de date în calitate de operator de date autorizat al Exportatorului de date, în scopul de a asigura că părțile respectă legislația aplicabilă privind protecția datelor.

PRIN URMARE, și pentru a permite Părților să își continue relația într-un mod conform legii, Părțile au convenit asupra prezentei Anexe după cum urmează :

Partea 1

1. Structura documentului și definiții

1.1 Structura

Prezenta Anexă este alcătuită din mai multe părți, după cum urmează :

Partea 1 :	conține dispozițiile generale, de exemplu referitoare la definițiile utilizate în prezenta Anexă, conformitatea cu legislația locală, durata și rezilierea ;
Partea 2 :	conține textul nealterat al Clauzelor standard ;
Anexa 1.1 și următoarele din Partea 2 :	conține detalii privind operațiunile de prelucrare furnizate de Importatorul de date Exportatorului de date în calitate de operator de date autorizat (incluzând obiectul prelucrării, natura și scopul prelucrării, tipul de date cu caracter personal și categoriile persoanelor vizate) în temeiul prezentei Anexe ;
Anexa 2 din Partea 2 :	conține o descriere a măsurilor tehnice și organizaționale de securitate ale Importatorului de date, care se aplică în mod consecvent în legătură cu toate activitățile de prelucrare descrise în Anexa 1.1 și următoarele din Partea 2 ;
Partea 3 :	conține semnăturile Părților care declară că sunt obligate de prezenta Anexă și identifică fiecare Importator de date.

1.2 Terminologie și definiții

În scopul prezentei Anexe, terminologia și definițiile utilizate de RGPD sunt aplicabile (de asemenea în corpul documentului Clauzelor standard din Partea 2, unde termenii definiți nu sunt scriși cu majusculă). În plus, 

« Stat membru"	înseamnă o țară membră a Uniunii Europene sau a Spațiului Economic European ;
« Categorii speciale de date (personale) »	se referă la datele cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, credințele religioase sau filozofice, apartenența la un sindicat, precum și date genetice, date biometrice atunci când sunt prelucrate pentru a identifica în mod unic o persoană fizică, date referitoare la sănătate sau date privind viața sexuală ori orientarea sexuală a unei persoane ;
« Clauze standard »	se referă la Clauzele contractuale standard pentru transferul datelor cu caracter personal de la operatori de date stabiliți în țări terțe, conform Deciziei Comisiei 2010/87/UE din 5 februarie 2010, modificată prin Decizia de punere în aplicare a Comisiei (UE) 2016/2297 din 16 decembrie 2016 ;
« Subcontractant »	înseamnă orice operator de date, situat în interiorul sau în afara UE/SEE, care acceptă să primească de la Importatorul de date sau de la orice alt subcontractant al Importatorului de date, date cu caracter personal în exclusivitate în scopul efectuării unor activități de prelucrare pentru Exportatorul de date după transfer, în conformitate cu instrucțiunile Exportatorului de date, cu condițiile prezentei Anexe și cu Contractul cu Importatorul de date.

2. Obligațiile Exportatorului de date

2.1 Exportatorul de date are obligația de a asigura conformitatea cu toate obligațiile aplicabile în temeiul RGPD și cu orice altă legislație aplicabilă privind protecția datelor care se aplică Exportatorului de date, precum și de a demonstra această conformitate conform Art. 5 (2) din RGPD. Exportatorul de date garantează Importatorului de date că a obținut în prealabil consimțământul persoanelor vizate conform articolului 6 (a) din RGPD și că și-a îndeplinit obligația de informare a persoanelor vizate conform articolelor 13 și 14 din RGPD.

2.2 Exportatorul de date are obligația de a furniza Importatorului de date evidențele activităților de prelucrare conform Art. 30 (1) din RGPD legate de Serviciile în temeiul prezentei Anexe, în măsura necesară pentru ca Importatorul de date să îndeplinească obligația prevăzută la Art. 30 (2) din RGPD. 

2.3 Exportatorul de date trebuie să desemneze un responsabil cu protecția datelor sau un reprezentant, în măsura în care este necesar conform legislației aplicabile privind protecția datelor. Exportatorul de date are obligația de a pune la dispoziția Importatorului de date datele de contact ale responsabilului sau reprezentantului pentru protecția datelor, după caz. 

2.4. Exportatorul de date confirmă înainte de realizarea prelucrării, prin acceptarea prezentei Anexe, că măsurile tehnice și organizaționale de securitate ale Importatorului de date, așa cum sunt definite în Anexa 2 la Partea 2, sunt adecvate și suficiente pentru a proteja drepturile persoanei vizate și confirmă că Importatorul de date furnizează garanții suficiente în această privință.

3. Conformitate cu legislația locală

Pentru a satisface cerințele privind executarea operatorilor de date conform Art. 28 din RGPD, următoarele amendamente sunt aplicabile :

3.1 Instrucțiuni

1. (i) Exportatorul de date îi dă Importatorului de date instrucțiunea de a prelucra datele cu caracter personal exclusiv în numele Exportatorului de date. Instrucțiunile Exportatorului de date sunt furnizate în prezenta Anexă și în Contract. Exportatorul de date are obligația de a se asigura că toate instrucțiunile date Importatorului de date sunt conforme cu legislația aplicabilă privind protecția datelor. Importatorul de date are obligația de a prelucra datele cu caracter personal doar în conformitate cu instrucțiunile furnizate de Exportatorul de date, cu excepția cazului în care este cerut altfel de către Uniunea Europeană sau de legislația statului membru (în acest din urmă caz, se aplică Partea 1 Clauza 3.2 (iv) (c)).
2. (ii) Orice alte instrucțiuni care depășesc instrucțiunile conținute în prezenta Anexă sau în Contract trebuie incluse în obiectul prezentei Anexe și al Contractului. Dacă punerea în aplicare a acestei instrucțiuni adiționale implică costuri pentru Importatorul de date, acesta va informa Exportatorul de date cu privire la aceste costuri și va furniza o explicație înainte de a pune în aplicare instrucțiunea. Importatorul de date va implementa instrucțiunea suplimentară numai după ce Exportatorul de date a confirmat acceptarea acestor costuri pentru punerea în aplicare a instrucțiunii. Exportatorul de date trebuie să dea instrucțiuni suplimentare în general în scris, cu excepția cazurilor în care urgența sau alte circumstanțe specifice impun o altă formă (de ex. oral, electronic). Instrucțiunile într-o altă formă decât cea scrisă trebuie confirmate în scris și fără întârziere de către Exportatorul de date.

1. 1. Dacă Exportatorul de date nu poate efectua rectificarea, ștergerea sau restricționarea datelor cu caracter personal prin el însuși, instrucțiunile pot viza de asemenea rectificarea, ștergerea și/sau restricționarea datelor cu caracter personal așa cum sunt stabilite în Partea 1 Clauza 3.3. 
2. 2. Importatorul de date trebuie să informeze imediat Exportatorul de date dacă, în opinia sa, o instrucțiune încalcă RGPD sau alte dispoziții aplicabile privind protecția datelor ale Uniunii Europene sau ale unui stat membru (« Instrucțiune contestată »). Dacă Importatorul de date consideră că o instrucțiune încalcă RGPD sau alte dispoziții aplicabile privind protecția datelor ale Uniunii Europene sau ale unui stat membru, Importatorul de date nu este obligat să urmeze Instrucțiunea contestată. Dacă Exportatorul de date confirmă Instrucțiunea contestată la primirea informațiilor de la Importatorul de date și își recunoaște responsabilitatea pentru Instrucțiunea contestată, Importatorul de date va implementa acea Instrucțiune contestată, cu excepția cazului în care aceasta se referă la (i) implementarea măsurilor tehnice și organizaționale, (ii) drepturile persoanelor vizate sau (iii) angajarea Subcontractanților. În cazurile (i) până la (iii), Importatorul de date poate contacta o autoritate de supraveghere competentă pentru a solicita evaluarea legală a Instrucțiunii contestate. Dacă autoritatea de supraveghere declară că Instrucțiunea contestată este legală, Importatorul de date trebuie să aplice Instrucțiunea contestată. Partea 1 Clauza 3.1 (ii) rămâne aplicabilă.

3.2 Obligațiile Importatorului de date

1. (i) Importatorul de date este obligat să se asigure că persoanele autorizate de către Importatorul de date să prelucreze datele cu caracter personal în numele Exportatorului de date, în special angajații Importatorului de date precum și angajații oricărui Subcontractant, au fost obligate la confidențialitate sau sunt supuse unei obligații de confidențialitate statutară adecvate, și că aceste persoane care au acces la datele cu caracter personal le prelucrează în conformitate cu instrucțiunile Exportatorului de date.
2. (ii) Importatorul de date este obligat să implementeze măsurile tehnice și organizaționale așa cum sunt stabilite în Anexa 2 la Partea 2 înainte de a prelucra datele cu caracter personal în numele Exportatorului de date. Importatorul de date poate modifica măsurile tehnice și organizaționale din când în când, cu condiția ca acestea să nu ofere o protecție inferioară celor stabilite în Anexa 2 la Partea 2.
3. (iii) Importatorul de date trebuie să pună la dispoziția Exportatorului de date, la cererea acestuia, informații pentru a demonstra conformitatea cu obligațiile Importatorului de date în temeiul prezentei Anexe. Părțile convin că această obligație de informare este îndeplinită prin furnizarea către Exportatorul de date a unui raport de audit (care acoperă principiile de securitate, disponibilitatea sistemului și confidențialitatea) (« Raport de audit »). Dacă sunt necesare activități de audit suplimentare din motive legale, Exportatorul de date poate solicita efectuarea de inspecții de către Exportatorul de date sau un alt auditor mandatat de Exportatorul de date, sub rezerva ca auditorul respectiv să semneze un acord de confidențialitate cu Importatorul de date în termos satisfăcătoare pentru acesta (« Audit »). Acest Audit este supus următoarelor condiții : (i) aprobarea formală prealabilă în scris a Importatorului de date ; și (ii) Exportatorul de date va suporta toate costurile rezultate din sau legate de Auditul la sediu pentru Exportatorul de date și Importatorul de date. Exportatorul de date are obligația de a întocmi un raport de audit care să rezume rezultatele și observațiile Auditului la sediu (« Raport de audit la sediu »). Rapoartele de audit la sediu, precum și Rapoartele de audit, sunt informații confidențiale ale Importatorului de date și nu trebuie divulgate terților, cu excepția cazului în care legislația aplicabilă privind protecția datelor o impune sau conform consimțământului Importatorului de date. 
4. (iv) Importatorul de date are obligația de a notifica Exportatorul de date fără întârzieri nejustificate :
   1. a. privind orice solicitare juridic obligatorie de divulgare a datelor cu caracter personal din partea unei autorități de aplicare a legii, cu excepția unei alte interdicții, cum ar fi o interdicție prevăzută de legislația penală pentru protejarea confidențialității unei anchete a autorităților de aplicare a legii ;
   2. b. privind orice plângere și solicitare primită direct de la o persoană vizată (de ex. referitoare la acces, rectificare, ștergere, restricționare a prelucrării, portabilitatea datelor, opoziția la prelucrarea datelor, luarea deciziilor automatizate) fără a răspunde la această solicitare, cu excepția cazului în care Importatorul de date a primit autorizarea de a face acest lucru ;
   3. c. dacă are obligația, conform legislației Uniunii Europene sau a statului membru la care este supus Importatorul de date sau Subcontractantul, de a prelucra datele cu caracter personal dincolo de instrucțiunile Exportatorului de date, înainte de a proceda la această prelucrare dincolo de instrucțiune, cu excepția cazului în care această legislație a Uniunii Europene sau a statului membru interzice furnizarea acestor informații din motive importante de interes public, caz în care notificarea către Exportatorul de date va specifica cerința legală în temeiul acelei legislații a Uniunii Europene sau a statului membru ; sau
   4. d. dacă Importatorul de date are cunoștință despre o breșă privind datele cu caracter personal, imputabilă exclusiv acestuia sau subcontractantului său, care ar afecta datele cu caracter personal ale Exportatorului de date acoperite prin prezentul contract, caz în care Importatorul de date va asista Exportatorul de date în obligația sa, conform legislației aplicabile privind protecția datelor, de a informa persoanele vizate și, după caz, autoritățile de supraveghere, furnizând informațiile pe care le deține, în conformitate cu Art. 33 (3) din RGPD. 
   5. (v) La cererea Exportatorului de date, Importatorul de date va fi obligat să asiste Exportatorul de date în îndeplinirea obligației sale de a efectua o evaluare a impactului asupra protecției datelor care poate fi cerută de Art. 35 din RGPD și o consultare prealabilă care poate fi cerută de Art. 36 din RGPD referitoare la serviciile furnizate de Importatorul de date Exportatorului de date în temeiul prezentei Anexe, prin punerea la dispoziție a informațiilor necesare și disponibile Exportatorului de date. Importatorul de date va fi obligat să furnizeze această asistență numai în măsura în care Exportatorul de date nu poate îndeplini obligația prin alte mijloace. Importatorul de date va informa Exportatorul de date cu privire la costul acestei asistențe. După ce Exportatorul de date confirmă că poate suporta acest cost, Importatorul de date îi va acorda asistența respectivă.
   6. (vi) La încheierea furnizării serviciilor, Exportatorul de date poate solicita returnarea datelor cu caracter personal prelucrate de Importatorul de date în temeiul prezentei Anexe în termen de o lună de la încetarea serviciilor. Cu excepția cazului în care legislația statului membru sau a Uniunii Europene impune Importatorului de date să păstreze sau să arhiveze aceste date cu caracter personal, Importatorul de date va șterge toate aceste date cu caracter personal sau non-personale după termenul de o lună, indiferent dacă au fost sau nu returnate Exportatorului de date la cererea acestuia.

3.3 Drepturile persoanelor vizate

1. 1. (i) Exportatorul de date este în primul rând responsabil de gestionarea cererilor înaintate de persoanele vizate și de răspunsurile aferente. Importatorul de date nu este obligat să răspundă direct persoanelor vizate. 
   2. (ii) Dacă Exportatorul de date are nevoie de asistența Importatorului de date pentru a trata cererile persoanelor vizate și răspunsurile aferente, acesta va emite o instrucțiune complementară, conform Clausei 3.1 (ii) din Partea 1. Importatorul de date va asista Exportatorul de date prin măsurile tehnice și organizaționale adecvate și posibile pentru a răspunde la solicitările de exercitare a drepturilor persoanelor vizate expuse după cum urmează în Capitolul III din RGPD : 
   3. a. Referitor la solicitările de informare, Importatorul de date va pune la dispoziția Exportatorului de date informațiile cerute de Art. 13 și 14 din RGPD pe care le deține numai dacă Exportatorul de date nu este în măsură să le obțină singur.
   4. b. Referitor la solicitările de acces (Art. 15 din RGPD), Importatorul de date va pune la dispoziția Exportatorului de date informațiile care ar trebui furnizate unei persoane vizate pentru cererea de acces în cauză, pe care le deține, numai dacă Exportatorul de date nu este în măsură să le obțină singur.
   5. c. Referitor la solicitările de rectificare (Art. 16 din RGPD), solicitările de ștergere (Art. 17 din RGPD), restricționarea solicitărilor de prelucrare (Art. 18 din RGPD), sau solicitările de portabilitate (Art. 20 din RGPD), și doar dacă Exportatorul de date nu poate singur să rectifice sau, după caz, să șteargă, să restricționeze sau să transfere datele cu caracter personal către o terță parte, Importatorul de date va oferi Exportatorului de date posibilitatea de a rectifica sau, după caz, de a șterge, restricționa sau de a transmite datele cu caracter personal vizate către cealaltă terță parte, sau, dacă acest lucru nu este posibil, va furniza asistența necesară pentru a rectifica sau, după caz, a șterge, restricționa sau transmite către cealaltă terță parte datele cu caracter personal vizate.
   6. d. Referitor la notificarea privind rectificarea, ștergerea sau restricționarea prelucrării (Art. 19 din RGPD), Importatorul de date va asista Exportatorul de date prin informarea tuturor destinatarilor datelor cu caracter personal angajați de Importatorul de date ca subcontractanți, dacă Exportatorul de date i-o solicită și dacă Exportatorul de date nu este în măsură să facă acest lucru singur. 
   7. e. Referitor la dreptul de opoziție exercitat de o persoană vizată (Art. 21 și 22 din RGPD), Exportatorul de date va determina dacă opoziția este legitimă și cum să o gestioneze.
   8. (iii) Obligațiile de asistență ale Importatorului de date sunt limitate la datele cu caracter personal prelucrate în cadrul infrastructurilor sale (de ex., baze de date, sisteme, aplicații deținute sau furnizate de Importatorul de date).  
   9. (iv) Exportatorul de date trebuie să determine dacă o persoană vizată are sau nu dreptul de a exercita drepturile persoanelor vizate prezentate în Clauza 3.1 din această Partea 1 și trebuie să indice Importatorului de date în ce măsură asistența specificată în Clauzele 3.3 (ii), (iii) din Partea 1 este necesară.
   10. (v) Dacă Exportatorul de date solicită măsuri tehnice și organizaționale suplimentare sau modificate pentru a răspunde drepturilor persoanelor vizate, care depășesc asistența furnizată de Importatorul de date conform Clauzei 3.3 (ii), (iii) din Partea 1, Importatorul de date trebuie să informeze Exportatorul de date despre costurile implementării acestor măsuri tehnice și organizaționale suplimentare sau modificate.  După ce Exportatorul de date confirmă că poate suporta aceste costuri, Importatorul de date va implementa aceste măsuri tehnice și organizaționale suplimentare sau modificate pentru a ajuta Exportatorul de date să răspundă solicitărilor persoanelor vizate.
   11. (vi) Fără a limita aplicarea Clauzei 3.3 (v) din Partea 1, Exportatorul de date va rambursa Importatorului de date cheltuielile rezonabile ocazionate de solicitările persoanelor vizate.

3.4 Subcontractare

1. 1. (i) Exportatorul de date autorizează utilizarea subcontractanților de către Importatorul de date pentru furnizarea serviciilor în temeiul prezentei Anexe. Importatorul de date va selecta acești subcontractanți cu atenție. Exportatorul de date aprobă subcontractanții menționați în Anexa 1.1 la sfârșitul Părții 2.
   2. (ii) Importatorul de date va transfera subcontractanților obligațiile sale în temeiul prezentei Anexe în măsura în care sunt aplicabile serviciilor subcontractate. 
   3. (iii) Importatorul de date poate concedia, înlocui sau numi la discreția sa alți subcontractanți adecvați și de încredere. Dacă Exportatorul de date îi solicită în scris, Importatorul de date este obligat să urmeze procedura descrisă mai jos :

1. 1. a. Importatorul de date va informa în prealabil Exportatorul de date cu privire la orice modificări aduse listei subcontractanților, conform Clauzei 3.4 (i) din Partea 1. Dacă Exportatorul de date nu formulează obiecții în temeiul Clauzei 3.4. (b) din Partea 1 în termen de treizeci de zile de la primirea notificării din partea Importatorului de date, subcontractanții suplimentari vor fi considerați acceptați.
   2. b. Dacă Exportatorul de date are un motiv întemeiat pentru a se opune unui subcontractant suplimentar, îl va notifica în prealabil în scris pe Importatorul de date în termen de treizeci de zile de la primirea notificării de la Importatorul de date și, în orice caz, înainte de punerea în funcțiune a serviciului furnizat de acel subcontractant. Dacă Exportatorul de date se opune utilizării unui subcontractant suplimentar, Importatorul de date va avea dreptul de a înlătura obiecția prin una dintre următoarele opțiuni (la alegerea sa) : (A) Importatorul de date va anula planurile de utilizare a subcontractantului suplimentar pentru datele cu caracter personal ale Exportatorului de date ; (B) Importatorul de date va lua măsurile corective solicitate de Exportatorul de date în obiecția sa (ceea ce va anula obiecția respectivă) și va utiliza subcontractantul suplimentar pentru datele cu caracter personal ale Exportatorului de date ; (C) Importatorul de date poate înceta furnizarea sau Exportatorul de date poate accepta să nu utilizeze (temporar sau definitiv) un anumit aspect al serviciului care ar implica utilizarea subcontractantului suplimentar pentru datele cu caracter personal ale Exportatorului de date.

1. 1. (iv) În cazul în care subcontractantul este stabilit în afara UE-SEE, într-o țară care nu este recunoscută ca oferind un nivel adecvat de protecție a datelor în urma unei decizii a Comisiei Europene, Importatorul de date va lua măsurile necesare pentru a se conforma la un nivel adecvat de protecție a datelor conform RGPD (astfel de măsuri putând include – printre altele și, după caz – utilizarea de contracte de prelucrare a datelor bazate pe clauzele Modelului UE, transferul către subcontractanți auto-certificați în cadrul Privacy Shield UE-SUA, sau un program similar).

3.5 Durata

Durata prezentei Anexe este identică cu durata Contractului corespunzător. Cu excepția cazului prevăzut în mod contrar de prezenta Anexă, drepturile și obligațiile legate de reziliere vor fi identice cu cele prevăzute în Contract.

4. Limitarea răspunderii

4.1 Fiecare parte este responsabilă pentru obligațiile sale care decurg din prezenta Anexă și din legislația aplicabilă privind protecția datelor.

4.2 Orice răspundere care ar apărea în temeiul sau în legătură cu o încălcare a obligațiilor care decurg din prezenta Anexă sau din legislația aplicabilă privind protecția datelor va fi reglementată de prevederile privind răspunderea indicate în Contract, sau aplicabile acestui contract, și va fi guvernată de acestea, cu excepția cazului prevăzut în mod contrar de prezenta Anexă. Dacă răspunderea este guvernată de prevederile privind răspunderea indicate în Contract sau aplicabile acestui contract, în vederea calculării plafoanelor de răspundere sau determinării aplicării altor limitări ale răspunderii, o răspundere care apare în cadrul prezentei Anexe va fi considerată că apare în cadrul Contractului.

5. Dispoziții generale

5.1 În măsura în care există contradicții sau divergențe între Părțile 1 și 2 ale prezentei Anexe, dispozițiile Părții 2 vor prevala. Mai precis, chiar și în acest caz, dispozițiile Părții 1 care doar completează Partea 2 (adică condițiile din Clauza tip) fără a le contrazice, vor rămâne valabile.

5.2 În caz de divergențe între dispozițiile prezentei Anexe și cele din alte contracte care leagă părțile, dispozițiile prezentei Anexe vor prevala în ceea ce privește obligațiile părților legate de protecția datelor. În caz de îndoială cu privire la faptul dacă clauzele din alte contracte se referă la obligațiile părților legate de protecția datelor, prezenta Anexă va prevala.

5.3 Dacă o dispoziție a prezentei Anexe se dovedește a fi invalidă sau inaplicabilă, restul prezentei Anexe va rămâne pe deplin valabil. Dispoziția invalidă sau inaplicabilă va fi (i) modificată, după caz, pentru a îi asigura validitatea și aplicabilitatea, păstrând pe cât posibil intenția părților, sau – dacă acest lucru nu este posibil – (ii) interpretată ca și cum partea invalidă sau inaplicabilă nu ar fi făcut niciodată parte din contract.  Cele de mai sus se vor aplica și în cazul în care prezenta Anexă conține vreo omisiune.

5.5 În măsura necesară, Părțile au dreptul de a solicita modificări ale Părții 1, Clauza 3 (Conformitatea cu legislația locală)  sau ale altor părți ale Anexei, pentru a se conforma interpretărilor, directivelor sau ordinelor emise de autoritățile competente ale Uniunii sau ale statelor membre, dispozițiilor naționale de punere în aplicare, sau oricăror alte evoluții juridice privind RGPD sau alte condiții de delegare către orice entități implicate în prelucrarea datelor în general, și în mod specific în ceea ce privește utilizarea Clauzelor standard în contextul RGPD. Termenii Clauzelor standard nu pot fi modificați sau înlocuiți decât dacă Comisia Europeană aprobă expressis verbis (de exemplu prin noi clauze adecvate și standarde de protecție a datelor).

5.6 Orice referire în prezenta Anexă la „Clauze” trebuie înțeleasă ca făcând referire la toate dispozițiile prezentului document, cu excepția cazului în care se prevede altfel. 

5.7 Alegerea legii menționate în partea 2, clauza 9, se aplică în întregime Contractului.

6. Date cu caracter personal transmise și prelucrate de părți în scopuri proprii (transfer de la un operator la alt operator)

6.1 Părțile sunt pe deplin conștiente că anumite date cu caracter personal vor fi transferate de la Exportatorul de date către Importator și invers, și că aceste date sunt prelucrate de fiecare parte în scopurile sale proprii. În ceea ce privește aceste date cu caracter personal, celelalte dispoziții ale prezentei Anexe nu sunt aplicabile (cu excepția prezentei clauze 6).

6.2 Exportatorul de date poate transfera date cu caracter personal referitoare la personalul Importatorului de date, către același Importator, inclusiv informații privind incidentele de securitate, sau orice alte documente sau fișiere create sau întocmite de către Exportatorul de date în legătură cu Serviciile furnizate de personalul Importatorului de date. Importatorul de date poate prelucra aceste date cu caracter personal în scopurile sale proprii, inclusiv în contextul relațiilor sale profesionale cu personalul Importatorului de date, în controlul calității și formare, sau în scopuri comerciale.

6.3. Importatorul de date poate transfera date cu caracter personal către Exportatorul de date, în special numele și detaliile de contact ale personalului Importatorului de date. Exportatorul de date poate prelucra acest tip de date cu caracter personal în scopurile sale proprii.

6.4 Ambele părți se conformează oricărei legislații în vigoare privind protecția datelor, inclusiv RGPD, în colectarea, prelucrarea și utilizarea acestor date cu caracter personal primite de la cealaltă parte în temeiul prezentei clauze 1 din partea 1. În special, ambele părți vor lua măsuri adecvate de securitate, oferind un nivel de protecție similar cu măsurile de securitate enunțate în Anexa 2 din Partea 2. Orice acces la aceste date cu caracter personal va fi limitat la strictul necesar.

6.5 Ambele părți sunt obligate să șteargă aceste date cu caracter personal cât mai curând posibil, odată ce scopurile au fost atinse.

Partea 2

 DECIZIA COMISIEI 

din 5 februarie 2010

referitoare la clauzele contractuale standard pentru transferul de date cu caracter personal către subcontractanți stabiliți în țări terțe în temeiul directivei 95/46/CE a Parlamentului European și a Consiliului

Clauza întâi 

Definiții 

În sensul clauzelor: 

a) „date cu caracter personal”, „categorii de date particulare”, „prelucrare”, „operator”, „subcontractant”, „persoană vizată” și „autoritate de supraveghere” au aceeași semnificație ca în directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal și libera circulație a acelor date ( 1 ); 

b) „exportatorul de date” este operatorul care transferă datele cu caracter personal; 

c) „importatorul de date” este subcontractantul care acceptă să primească de la exportatorul de date date cu caracter personal ce urmează a fi prelucrate în numele acestuia după transfer, conform instrucțiunilor și termenilor prezentei clauze și care nu este supus mecanismului unui stat terț care asigură o protecție adecvată în sensul articolului 25, alineatul (1), din directiva 95/46/CE; d) „subcontractantul ulterior” este subcontractantul angajat de importatorul de date sau de orice alt subcontractant ulterior al acestuia, care acceptă să primească de la importatorul de date sau de la orice alt subcontractant ulterior al acestuia date cu caracter personal exclusiv destinate activităților de prelucrare care urmează a fi efectuate în numele exportatorului de date după transfer, conform instrucțiunilor acestuia, în condițiile prevăzute în prezentele clauze și conform termenilor contractului scris de subcontractare; 

e) „dreptul aplicabil protecției datelor” este legislația care protejează libertățile și drepturile fundamentale ale persoanelor, inclusiv dreptul la viață privată în ceea ce privește prelucrarea datelor cu caracter personal, și care se aplică unui operator în statul membru în care exportatorul de date este stabilit; 

f) „măsuri tehnice și organizatorice referitoare la securitate” sunt măsurile menite să protejeze datele cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii accidentale, modificării, divulgării sau accesului neautorizat, în special atunci când prelucrarea implică transmiterea datelor prin rețea, și împotriva oricărei alte forme ilicite de prelucrare. 

Clauza 2 

Detalii privind transferul 

Detaliile transferului și, după caz, categoriile particulare de date cu caracter personal, sunt specificate în anexa 1 care face parte integrantă din prezentele clauze. 

Clauza 3 

Clauza beneficiarului terț 

1. Persoana vizată poate aplica împotriva exportatorului de date prezenta clauză, precum și clauza 4, punctele b) până la i), clauza 5, punctele a) până la e) și punctele g) până la j), clauza 6, alineatele 1 și 2, clauza 7, clauza 8, alineatul 2, și clauzele 9 până la 12 în calitate de beneficiar terț. 

2. Persoana vizată poate aplica împotriva importatorului de date prezenta clauză, precum și clauza 5, punctele a) până la e) și g), clauza 6, clauza 7, clauza 8, alineatul 2, și clauzele 9 până la 12 în cazurile în care exportatorul de date a dispărut efectiv sau a încetat să existe conform legii, cu excepția cazului în care toate obligațiile sale juridice au fost transferate, prin contract sau prin efectul legii, către entitatea care îi succede, care preia consecvent drepturile și obligațiile exportatorului de date, și împotriva căreia persoana vizată poate aplica aceste clauze. 

3. Persoana vizată poate aplica împotriva subcontractantului ulterior prezenta clauză, precum și clauza 5, punctele a) până la e) și g), clauza 6, clauza 7, clauza 8, alineatul 2, și clauzele 9 până la 12, dar numai în cazurile în care exportatorul de date și importatorul de date au dispărut efectiv, au încetat să existe conform legii sau au devenit insolvabili, cu excepția cazului în care toate obligațiile juridice ale exportatorului de date au fost transferate, prin contract sau prin efectul legii, succesorului legal, care preia consecvent drepturile și obligațiile exportatorului de date, și împotriva căruia persoana vizată poate aplica aceste clauze. Răspunderea civilă a subcontractantului ulterior trebuie limitată la propriile sale activități de prelucrare în conformitate cu prezentele clauze. 4. Părțile nu se opun ca persoana vizată să fie reprezentată de o asociație sau alt organism dacă aceasta își exprimă dorința și dacă dreptul național o permite. 

Clauza 4 

Obligațiile exportatorului de date 

Exportatorul de date acceptă și garantează următoarele: 

a) prelucrarea, inclusiv transferul efectiv al datelor cu caracter personal, a fost și va continua să fie efectuată în conformitate cu dispozițiile relevante ale dreptului aplicabil privind protecția datelor (și, după caz, a fost notificată autorităților competente din statul membru în care exportatorul de date este stabilit) și nu încalcă dispozițiile relevante ale acelui stat; 

b) a desemnat și va desemna pe toată durata serviciilor de prelucrare a datelor cu caracter personal, importatorul de date pentru a prelucra datele cu caracter personal transferate în numele exclusiv al exportatorului de date și în conformitate cu dreptul aplicabil privind protecția datelor și cu prezentele clauze; 

c) importatorul de date va oferi garanții suficiente în ceea ce privește măsurile tehnice și organizatorice legate de securitate specificate în anexa 2 a prezentului contract; 

d) după evaluarea cerințelor dreptului aplicabil privind protecția datelor, măsurile de securitate sunt adecvate pentru a proteja datele cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii accidentale, modificării, divulgării sau accesului neautorizat, în special atunci când prelucrarea implică transmiterea datelor prin rețea, și împotriva oricărei alte forme ilicite de prelucrare și asigură un nivel de securitate adecvat riscurilor legate de prelucrare și de natura datelor care trebuie protejate, ținând cont de nivelul tehnologic și de costul implementării; 

e) va asigura respectarea măsurilor de securitate; 

f) dacă transferul vizează categorii particulare de date, persoana vizată a fost informată sau va fi informată înainte de transfer sau cât mai curând posibil după transfer că datele sale ar putea fi transmise într-o țară terță care nu oferă un nivel adecvat de protecție în sensul directivei 95/46/CE; 

g) va transmite orice notificare primită de la importatorul de date sau de la orice subcontractant ulterior conform clauzei 5, litera b), și clauzei 8, alineatul 3), autorității de supraveghere competente pentru protecția datelor dacă decide să continue transferul sau să ridice suspendarea acestuia; 

h) la cererea persoanelor vizate, va pune la dispoziția acestora o copie a prezentei clauze, cu excepția anexei 2, și o descriere sumară a măsurilor de securitate, precum și o copie a oricărui contract de subcontractare ulterioară încheiat conform prezentei clauze, cu excepția cazului în care clauzele sau contractul conțin informații comerciale, caz în care le va putea retrage; 

i) în cazul subcontractării ulterioare, activitatea de prelucrare este efectuată conform clauzei 11 de către un subcontractant ulterior care oferă cel puțin același nivel de protecție a datelor cu caracter personal și a drepturilor persoanei vizate ca importatorul de date conform prezentei clauze; și 

j) va asigura respectarea clauzei 4, literele a) până la i). 

Clauza 5 

Obligațiile importatorului de date  

Importatorul de date acceptă și garantează următoarele: 

a) va prelucra datele cu caracter personal în numele exclusiv al exportatorului de date și conform instrucțiunilor acestuia și prezentei clauze; dacă nu poate respecta aceste instrucțiuni din orice motiv, va informa exportatorul de date fără întârziere, caz în care acesta din urmă are dreptul de a suspenda transferul de date și/sau de a rezilia contractul; 

b) nu are niciun motiv să creadă că legislația care îl privește îl împiedică să îndeplinească instrucțiunile date de exportatorul de date și obligațiile care îi revin conform contractului, iar dacă această legislație suferă o modificare susceptibilă de a avea consecințe negative semnificative pentru garanțiile și obligațiile oferite prin clauze, va comunica modificarea exportatorului de date fără întârziere după ce a luat la cunoștință de aceasta, caz în care exportatorul de date are dreptul să suspende transferul de date și/sau să rezilieze contractul; c) a implementat măsurile tehnice și organizaționale legate de securitate specificate în anexa 2 înainte de a prelucra datele cu caracter personal transferate;

d) va comunica fără întârziere exportatorului de date: 

i) orice solicitare constrângătoare de divulgare a datelor cu caracter personal din partea unei autorități de aplicare a legii, cu excepția cazului în care este prevăzut altfel, cum ar fi o interdicție de natură penală menită să păstreze confidențialitatea unei anchete polițienești; 

ii) orice acces accidental sau neautorizat; și 

iii) orice solicitare primită direct de la persoanele vizate fără a răspunde acesteia, cu excepția cazului în care a fost autorizat să facă acest lucru; 

e) va trata prompt și în mod corespunzător toate cererile de informații din partea exportatorului de date referitoare la prelucrarea datelor cu caracter personal care fac obiectul transferului și se va conforma opiniilor autorității de supraveghere în ceea ce privește prelucrarea datelor transferate; 

f) la cererea exportatorului de date, va supune mijloacele sale de prelucrare a datelor unei verificări a activităților de prelucrare acoperite de prezentele clauze care va fi efectuată de exportatorul de date sau de un organism de control alcătuit din membri independenți cu calificările profesionale necesare, supuși unei obligații de secret și aleși de exportatorul de date, după caz, cu acordul autorității de supraveghere; 

g) la cererea persoanei vizate, va pune la dispoziție o copie a prezentei clauze sau orice contract de subcontractare ulterioară existent, cu excepția cazului în care clauzele sau contractul conțin informații comerciale, caz în care va putea elimina aceste informații, cu excepția anexei 2, care va fi înlocuită de o descriere sumară a măsurilor de securitate, atunci când persoana vizată nu poate obține o copie de la exportatorul de date; 

h) în cazul subcontractării ulterioare, va informa exportatorul de date în prealabil și va obține acordul scris al acestuia; 

i) serviciile de prelucrare furnizate de subcontractantul ulterior vor fi conforme cu clauza 11; 

j) va trimite de îndată o copie a oricărui acord de subcontractare ulterioară încheiat de el în temeiul prezentei clauze exportatorului de date. 

Clauza 6 

Răspundere 

1. Părțile convin că orice persoană vizată care a suferit un prejudiciu din cauza unei încălcări a obligațiilor prevăzute la clauza 3 sau la clauza 11 de către una dintre părți sau de către un subcontractant ulterior are dreptul de a obține de la exportatorul de date repararea prejudiciului suferit. 

2. Dacă o persoană vizată este împiedicată să acționeze în reparație, conform alineatului 1, împotriva exportatorului de date pentru încălcarea de către importatorul de date sau de către subcontractantul ulterior a uneia sau alteia dintre obligațiile sale prevăzute la clauza 3 sau la clauza 11, deoarece exportatorul de date a dispărut efectiv, a încetat să existe conform legii sau a devenit insolvabil, importatorul de date acceptă ca persoana vizată să poată depune o plângere împotriva sa ca și cum ar fi exportatorul de date, cu excepția cazului în care toate obligațiile juridice ale exportatorului de date au fost transferate, prin contract sau prin efectul legii, către entitatea care îi succede, împotriva căreia persoana vizată poate, în consecință, reclama drepturile sale. Importatorul de date nu poate invoca o încălcare de către un subcontractant ulterior a obligațiilor sale pentru a se eschiva de la propriile responsabilități. 

3. Dacă o persoană vizată este împiedicată să inițieze acțiunea prevăzută la alineatele 1 și 2 împotriva exportatorului de date sau importatorului de date din cauza încălcării de către subcontractantul ulterior a uneia sau alteia dintre obligațiile sale prevăzute la clauza 3 sau la clauza 11, deoarece exportatorul de date și importatorul de date au dispărut efectiv, au încetat să existe în drept sau au devenit insolvabili, subcontractantul ulterior acceptă ca persoana vizată să poată depune o plângere împotriva sa cu privire la propriile activități de prelucrare în conformitate cu prezentele clauze ca și cum ar fi exportatorul de date sau importatorul de date, cu excepția cazului în care toate obligațiile juridice ale exportatorului de date sau ale importatorului de date au fost transferate, prin contract sau prin efectul legii, către succesorul legal, împotriva căruia persoana vizată își poate exercita drepturile. Răspunderea subcontractantului ulterior trebuie limitată la propriile sale activități de prelucrare în conformitate cu prezentele clauze. 

Clauza 7 

Mediere și jurisdicție 

1. Importatorul de date este de acord că, dacă, în temeiul clauzelor, persoana vizată invocă împotriva sa dreptul beneficiarului terț și/sau solicită repararea prejudiciului suferit, va accepta decizia persoanei vizate: 

a) de a supune disputa medierii de către o persoană independentă sau, după caz, de autoritatea de supraveghere; 

b) de a aduce disputa în fața instanțelor statului membru în care exportatorul de date este stabilit. 

2. Părțile convin că alegerea făcută de persoana vizată nu va afecta dreptul procedural sau substanțial al acesteia de a obține reparații conform altor dispoziții ale dreptului național sau internațional. 

Clauza 8 

Cooperare cu autoritățile de supraveghere 

1. Exportatorul de date este de acord să depună o copie a prezentului contract la autoritatea de supraveghere dacă aceasta o solicită sau dacă o astfel de depunere este prevăzută de dreptul aplicabil privind protecția datelor. 

2. Părțile convin că autoritatea de supraveghere are dreptul de a efectua verificări la importatorul de date și la orice subcontractant ulterior în aceeași măsură și în aceleași condiții ca în cazul verificărilor efectuate la exportatorul de date conform dreptului aplicabil privind protecția datelor. 

3. Importatorul de date va informa exportatorul de date, fără întârziere, despre existența unei legislații care îl privește pe el sau orice subcontractant ulterior care împiedică efectuarea verificărilor la furnizorul respectiv sau la orice subcontractant ulterior conform alineatului 2. În acest caz, exportatorul de date are dreptul să ia măsurile prevăzute la clauza 5, litera b). 

Clauza 9 

Drept aplicabil 

Clauzele sunt guvernate de dreptul statului membru în care exportatorul de date este stabilit., 

Clauza 10 

Modificarea contractului 

Părțile se angajează să nu modifice prezentele clauze. Părțile rămân libere să includă alte clauze comerciale pe care le consideră necesare, cu condiția să nu contrazică prezentele clauze. 

Clauza 11 

Subcontractare ulterioară 

1. Importatorul de date nu sub-contractează nicio activitate de prelucrare efectuată în numele exportatorului de date conform prezentei clauze fără acordul scris prealabil al exportatorului de date. Importatorul de date subcontractează obligațiile care îi revin conform prezentei clauze, cu acordul exportatorului de date, numai printr-un contract scris încheiat cu subcontractantul ulterior, impunându-i acestuia aceleași obligații care revin importatorului de date conform prezentei clauze ). În cazul în care subcontractantul ulterior nu respectă obligațiile privind protecția datelor care îi revin conform acelui acord scris, importatorul de date rămâne pe deplin responsabil pentru respectarea acestor obligații față de exportatorul de date. 

2. Contractul scris prealabil între importatorul de date și subcontractantul ulterior va include, de asemenea, o clauză a beneficiarului terț astfel cum este enunțată la clauza 3 pentru cazurile în care persoana vizată este împiedicată să inițieze acțiunea de reparare prevăzută la clauza 6, alineatul 1, împotriva exportatorului de date sau importatorului de date deoarece acestea au dispărut efectiv, au încetat să existe în drept sau au devenit insolvabile, și în care toate obligațiile juridice ale exportatorului de date sau importatorului de date nu au fost transferate, prin contract sau prin efectul legii, către o altă entitate care le-a succedat. Această răspundere civilă a subcontractantului ulterior trebuie limitată la propriile sale activități de prelucrare în conformitate cu prezentele clauze. 

3. Dispozițiile referitoare la aspectele subcontractării ulterioare legate de protecția datelor din contractul menționat la alineatul 1 sunt guvernate de dreptul statului membru în care exportatorul de date este stabilit. 

4. Exportatorul de date păstrează o listă a acordurilor de subcontractare ulterioară încheiate în temeiul prezentei clauze și notificate de importatorul de date conform clauzei 5, litera j), care va fi actualizată cel puțin o dată pe an. Această listă va fi pusă la dispoziția autorității de supraveghere competente pentru protecția datelor a exportatorului de date. 

Clauza 12 

Obligație după rezilierea serviciilor de prelucrare a datelor cu caracter personal 

1. Părțile convin că la încheierea serviciilor de prelucrare a datelor, importatorul de date și subcontractantul ulterior vor returna exportatorului de date, la alegerea acestuia, toate datele cu caracter personal transferate precum și copiile acestora, sau vor distruge toate aceste date și vor demonstra acest lucru exportatorului de date, cu excepția cazului în care legislația impusă importatorului de date îi împiedică să restituie sau să distrugă totalitatea sau o parte din datele cu caracter personal transferate. În acest caz, importatorul de date garantează că va asigura confidențialitatea datelor cu caracter personal transferate și că nu va mai prelucra activ aceste date. 

2. Importatorul de date și subcontractantul ulterior garantează că, dacă exportatorul de date și/sau autoritatea de supraveghere solicită, vor supune mijloacele lor de prelucrare a datelor unei verificări a măsurilor vizate la alineatul 1. 

Anexa 1.1 din partea 2

Detalii privind transferul

Exportator de date

Exportatorul de date este Clientul definit în Contract.

Importator de date

Importatorul de date este IQUALIF și este alocat prelucrării datelor, furnizând servicii Exportatorului de date.

Persoane vizate

Datele cu caracter personal transferate se referă la următoarele categorii de persoane vizate :

☒ abonații telefonici înregistrați în registrul universal

☐ Alte, în special :

Categorii de date

Datele cu caracter personal transferate se referă la următoarele categorii de date :

Categorii de date cu caracter personal ale persoanelor vizate ale Exportatorului de date, în special,

☒ Nume complet

☒ Adresă poștală

☒ Date de contact (e-mail, telefon, adresă IP, etc.)

☒ Detalii privind activitățile de marketing referitoare la abonatul telefonic

☒ Alte, în special : tipul locuinței, venituri și vârste medii pe orașe făcute anonime

Categorii speciale de date (dacă este cazul)

Datele cu caracter personal transferate se referă la următoarele categorii speciale de date :

☒ Transferul categoriilor speciale de date nu este prevăzut

☐ Rasă sau origine etnică

☐ Credințe religioase sau filozofice

☐ Apartenență sindicală

☐ Opinii politice

☐ Informații genetice 

☐ Informații biometrice

☐ Informații privind orientarea sexuală sau viața sexuală

☐ Date privind sănătatea

Activități de prelucrare

Datele cu caracter personal transferate vor fi supuse următoarelor activități elementare de prelucrare :

• • • Obiectul prelucrării

Prelucrarea efectuată în numele Exportatorului de date se concentrează pe următoarele subiecte, în special :

☒ Gestionarea produselor sau serviciilor oferite de Exportatorul de date

☒ Oferirea unui produs sau serviciu pe care persoana apelată îl poate solicita

☒ Comenzi primite de la persoanele apelate și prelucrarea ulterioară a acelor comenzi

☒ Chestionare, studii și analize

☒ Telemarketing

☐ Altele, în special :

• • • Natura și scopul prelucrării

Importatorul de date prelucrează datele cu caracter personal ale persoanelor vizate în numele Exportatorului de date, pentru a furniza următoarele servicii, în special :

☒ Vânzări și marketing

☒ Altele, în special : actualizarea bazelor de date ale primăriilor și ale partidelor politice

• • • Furnizarea serviciilor și utilizarea prestatorilor de servicii

IQUALIF combină, centralizează și furnizează în principal serviciile către Exportatorul de date. Serviciile furnizate de prestatorul de servicii menționat pot include (printre altele și, după caz) următoarele servicii auxiliare : (i) punerea la dispoziție a aplicațiilor, instrumentelor, sistemelor și a unei infrastructuri IT în legătură cu centrele de procesare a datelor utilizate, pentru a furniza și a susține serviciile, inclusiv prelucrarea datelor cu caracter personal ale persoanelor vizate descrise mai sus, prin intermediul acestor tipuri de aplicații, instrumente și sisteme ; (ii) furnizarea de asistență IT, mentenanță și alte servicii referitoare la aceste aplicații, instrumente, sisteme și infrastructură IT, inclusiv un acces potențial la datele cu caracter personal stocate în aceste aplicații, instrumente și sisteme ; și (iii) furnizarea de servicii de protecție a datelor, monitorizare a protecției și servicii de intervenție în caz de incidente, inclusiv un acces potențial la datele cu caracter personal în timpul furnizării acestor tipuri de servicii de protecție. IQUALIF poate angaja subcontractanți, așa cum este indicat mai jos, pentru a furniza serviciile, inclusiv serviciile auxiliare.

• • • Furnizori terți externi de servicii ca sub-entități implicate în prelucrarea datelor

IQUALIF angajează furnizori terți externi de servicii, care nu sunt filiale ale IQUALIF, pentru a sprijini furnizarea serviciilor către Exportatorul de date. Exportatorul de date aprobă acest tip de furnizori terți externi ca sub-entități implicate în prelucrarea datelor

Dacă o sub-entitate implicată în prelucrarea datelor se află în afara UE/SEE, într-o țară considerată a nu avea un nivel adecvat de protecție a datelor conform unei decizii a Comisiei Europene, Importatorul de date va lua măsuri pentru a obține un nivel adecvat de protecție a datelor conform RGPD, precum și secțiunii 3.4 (iv) din Partea 1.

Anexa 2, partea 2

Măsuri tehnice și organizatorice de protecție

Importatorul de date ia următoarele măsuri tehnice și organizaționale de protecție, după caz confirmate de Exportatorul de date, pentru a asigura un nivel adecvat de securitate a drepturilor și libertăților persoanelor, în funcție de riscuri. În evaluarea nivelului de protecție relevant, Exportatorul de date a luat în considerare în special riscurile legate de prelucrare, inclusiv distrugerea accidentală sau ilegală, modificarea, divulgarea neautorizată sau accesul la datele cu caracter personal transmise, stocate sau prelucrate în orice alt mod. Pentru clarificare : Aceste măsuri tehnice și organizaționale de protecție nu se aplică aplicațiilor, instrumentelor, sistemelor și/sau infrastructurilor IT furnizate de Exportatorul de date.

1 Măsuri generale tehnice și organizaționale de protecție

1.1 Strategii generale de protecție a informațiilor și datelor

Următoarele măsuri trebuie luate pentru a urma strategiile generale de protecție a datelor și informațiilor :

a) lua măsuri pentru a evalua măsurile luate în materie de protecție tehnică și organizațională ;

b) oferi instruire pentru a crește conștientizarea angajaților ;

c) deține o descriere a sistemelor relevante și a acorda acces angajaților ;

d) implementa un proces oficial de documentare de fiecare dată când sunt implementate sau modificate sisteme ;

e) documentarea structurii organizaționale, a proceselor, a responsabilităților și a evaluărilor respective ;

1.2 Organizarea protecției informațiilor

Următoarele măsuri trebuie luate pentru a coordona activitățile de protecție a datelor și informațiilor :

a) responsabilități definite în materie de protecție a informațiilor și datelor (de ex., prin politica de gestionare a protecției datelor) ;

b) menținerea competențelor necesare în materie de protecție a informațiilor și datelor ;

c) toți angajații s-au angajat să păstreze confidențialitatea datelor cu caracter personal și au fost informați cu privire la consecințele posibile în caz de încălcare a acestui angajament.

1.3 Controlul accesului la zonele de prelucrare

Următoarele măsuri trebuie luate pentru a împiedica persoanele neautorizate să acceseze sistemele de prelucrare a datelor (inclusiv software-ul și hardware-ul) atunci când datele cu caracter personal sunt prelucrate, stocate sau transmise :

a) stabilirea unor zone securizate ;

b) protecția și restricționarea accesului la sistemele de prelucrare a datelor ;

c) stabilirea autorizațiilor de acces pentru angajați și terți, inclusiv documentele respective ;

d) orice acces la centrele de prelucrare a datelor în care sunt găzduite date cu caracter personal va fi înregistrat.

1.4 Controlul accesului la sistemele de prelucrare a datelor

Următoarele măsuri trebuie luate pentru a preveni orice acces neautorizat la sistemele de prelucrare a datelor:

a) politici și proceduri de autentificare a utilizatorilor ;

b) utilizarea parolelor pe toate sistemele informatice ;

c) accesul de la distanță la rețea necesită autentificare multifactor și este acordat personalului relevant în funcție de responsabilități și pe bază de autorizare ;

d) accesul la funcții specifice se bazează pe roluri profesionale și/sau atribute atribuite individual contului unui utilizator ;

e) dreptele de acces legate de datele cu caracter personal sunt revizuite periodic ;

f) păstrarea evidențelor modificărilor aduse drepturilor de acces.

1.4 Controlul accesului la zone particulare de utilizare a sistemelor de prelucrare a datelor

Următoarele măsuri trebuie luate astfel încât persoanele autorizate să utilizeze sistemul de prelucrare a datelor să poată accesa doar datele care intră în responsabilitățile și autorizațiile lor de acces respective, și astfel încât datele cu caracter personal să nu poată fi citite, copiate, modificate sau șterse fără autorizare:

a) politici, instrucțiuni și formare a angajaților privind obligațiile fiecăruia în materie de confidențialitate, drepturile de acces la datele cu caracter personal și sfera prelucrării datelor cu caracter personal;

b) măsuri disciplinare împotriva persoanelor care accesează datele cu caracter personal fără autorizare ;

c) accesul la datele cu caracter personal va fi acordat doar persoanelor autorizate, în funcție de necesitatea de a cunoaște acele date ;

d) ținerea unei liste a administratorilor de sistem și luarea de măsuri pentru monitorizarea administratorilor de sistem ;

e) nu copiați sau reproduceți datele cu caracter personal pe toate sistemele de stocare, pentru a preveni ca persoane neautorizate să elimine informațiile sursei acestora ;

f) ștergere controlată și documentată sau distrugere a datelor ;

g) stocarea în siguranță a tuturor datelor cu caracter personal care trebuie păstrate din motive legale sau de reglementare (de ex., obligații de păstrare a datelor), și doar pentru perioada în care legea o cere.

1.6 Controlul transmisiilor

Următoarele măsuri trebuie luate pentru a împiedica ca datele cu caracter personal să fie citite, copiate, modificate sau șterse de terți neautorizați, în timpul transmiterii sau transportului dispozitivelor de stocare a datelor (în funcție de prelucrarea efectuată asupra datelor cu caracter personal) :

a) utilizarea firewall-urilor ;

b) evitarea stocării datelor cu caracter personal pe dispozitive de stocare mobile, în scopuri de transport, sau criptarea dispozitivelor c) Nu le utilizați pe laptopuri și alte dispozitive mobile decât după ce protecția prin criptare este activată ;

d) înregistrarea transmisiilor de date cu caracter personal.

1.7 Controlul înregistrării

Următoarele măsuri trebuie luate pentru a asigura că este posibil să se verifice și să se determine dacă datele cu caracter personal au fost introduse în sistemele de prelucrare a datelor sau șterse și de către cine :

a) o politică de autorizare pentru citirea, modificarea și ștergerea datelor stocate ;

b) măsuri de protecție referitoare la citirea, modificarea și ștergerea datelor stocate.

1.8 Controlul muncii

În cazul unei prelucrări delegate a datelor cu caracter personal, următoarele măsuri trebuie luate pentru a garanta că aceste date sunt prelucrate în conformitate cu instrucțiunile operatorului :

a) entități sau sub-entități implicate în prelucrarea datelor alese cu atenție (prestatori de servicii care prelucrează date cu caracter personal în numele operatorului);

b) instrucțiuni privind sfera oricărei prelucrări de date cu caracter personal pentru angajați, entități sau sub-entități implicate în prelucrarea datelor ;

c) drepturile de audit convenite cu entitățile sau sub-entitățile implicate în prelucrarea datelor

d) acorduri în vigoare cu entitățile sau sub-entitățile implicate în prelucrarea datelor.

1,9 Scoaterea prelucrării pentru alte scopuri

Următoarele măsuri trebuie luate pentru a garanta că datele colectate pentru alte scopuri pot fi prelucrate separat :

a) separarea accesului la datele cu caracter personal în conformitate cu drepturile utilizatorilor aplicabile ;

b) interfețele, procesele batch și rapoartele sunt destinate altor obiective și funcții, astfel încât datele colectate în scopuri diferite pot fi prelucrate separat.

1.10 Pseudonimizare

Următoarele măsuri trebuie luate în ceea ce privește pseudonimizarea datelor cu caracter personal :

a) Dacă Exportatorul de date ordonă o prelucrare specifică sau dacă este considerat adecvat de către importatorul de date, și conform legislației aplicabile privind protecția datelor referitoare la anumite activități de prelucrare, prelucrarea datelor cu caracter personal va fi efectuată astfel încât datele să nu mai poată fi atribuite unei persoane specifice fără utilizarea unor informații suplimentare. Aceste informații suplimentare vor fi păstrate separat ;

b) utilizarea tehnicilor de pseudonimizare, inclusiv randomizarea pe baza listei de alocare ; creare de valori sub formă de hash.

1,11 Criptare

Următoarele măsuri trebuie luate pentru a cripta datele cu caracter personal în contextul aplicațiilor și transmisiilor care suportă criptarea : a) utilizarea tehnicilor de criptare ;

b) instituirea unei gestionări a criptării pentru a susține tehnicile aferente autorizate de utilizat ;

c) sprijinirea utilizării criptografiei prin proceduri și protocoale de generare, modificare, revocare, distrugere, distribuire, certificare, stocare, introducere, utilizare și arhivare a cheilor criptografice ca măsură de protecție împotriva modificării și divulgării neautorizate.

1.12 Integritatea sistemelor de prelucrare a datelor și a serviciilor

Următoarele măsuri trebuie luate pentru a garanta integritatea sistemelor de prelucrare a datelor și a serviciilor :

a) protecția sistemelor de prelucrare a datelor împotriva manipulării sau distrugerii, prin mijloace adecvate (ex. software antivirus, software de prevenire a pierderilor de date și software anti-malware, patch-uri software, firewall și protecție gestionată a stațiilor de lucru) ;

b) interzicerea instalării oricărui serviciu sau software dăunător sistemelor de prelucrare a datelor, serviciilor sau manipulării datelor cu caracter personal ;

c) utilizarea unui sistem de detectare și prevenire a intruziunilor în rețea în structura rețelei în sine.

1,14 Disponibilitatea sistemelor de prelucrare a datelor și a serviciilor, precum și posibilitatea restabilirii accesului și utilizării datelor cu caracter personal în caz de incident hardware sau tehnic

Următoarele măsuri trebuie luate pentru a asigura disponibilitatea sistemelor de prelucrare a datelor, precum și pentru a restabili rapid disponibilitatea datelor cu caracter personal și accesul la acestea în caz de incident hardware sau tehnic (inclusiv prin asigurarea că datele cu caracter personal sunt protejate împotriva oricărei distrugeri sau pierderi accidentale):

a) dispunerea de mijloace de control pentru păstrarea copiilor de rezervă și pentru restaurarea datelor pierdute sau șterse ;

b) redundanță infrastructurală și teste de bună funcționare ;

c) protecție hardware a resurselor IT ;

d) utilizarea instrumentelor pentru monitorizarea stării și disponibilității rețelei interne ;

e) rapoarte privind incidentele și politici de intervenție care guvernează procedura de gestionare a incidentelor, și reamintirea aderenței la aceste politici în cadrul formării regulate ;

f) backup-uri (uneori off-site) care permit restaurarea sistemului și astfel refacerea funcțiilor sale ;

g) planuri de continuitate a activității / recuperare în caz de dezastru.

1.12 Reziliența sistemelor de prelucrare a datelor și a serviciilor

Următoarele măsuri trebuie luate pentru a asigura reziliența sistemelor de prelucrare a datelor și a serviciilor :

a) sisteme și configurări armonizate, prin parametri de securitate aprobați ;

b) redundanță a rețelei ;

c) protecție prin izolare a sistemelor critice.

1,16 Procedura de testare, evaluare și apreciere periodică a eficacității măsurilor tehnice și organizaționale menite să asigure securitatea prelucrării datelor

Procedura de testare, evaluare și apreciere periodică a eficacității măsurilor tehnice și organizaționale menite să protejeze prelucrarea datelor

a) lua măsurile necesare pentru a evalua riscurile și strategiile de atenuare ;

b) ședințe de analiză a serviciului departamentului IT pentru a aborda problemele curente ;

c) planurile de continuitate a activității / recuperare în caz de dezastru sunt actualizate periodic.

Partea 3

Semnăturile părților și lista Importatorilor de date

În momentul completării comenzii online și al validării acesteia, bifând caseta de acceptare a termenilor și condițiilor, contractul care guvernează relația dintre Client și IQUALIF se încheie. 

Trimiterea plății către IQUALIF va fi suficientă pentru a considera contractul încheiat.