Anexa privind procesarea datelor

Anexa procesării datelor

 

Această Anexă face parte integrantă din Contract și este încheiată de către:

 

  1. (i) Clientul („Exportator de date”)
  2. (ii) IQUALIF („Importator de date”)

 

Părți” și în mod comun „Părți”.

 

Preambul

ÎNTRUCÂT importatorul de date furnizează servicii software profesionale, servicii informatice și servicii conexe (cum ar fi browsere cu funcții avansate de căutare);

ÎNTRUCÂT, în conformitate cu Contractul, importatorul de date a convenit să furnizeze exportatorului de date serviciile specificate în Contract (denumite „Servicii”);

ÎNTRUCÂT, prin furnizarea Serviciilor, importatorul de date primește sau beneficiază de acces la informațiile exportatorului de date sau ale altor persoane care au o relație (potențială) cu exportatorul de date, aceste informații putând fi calificate drept date cu caracter personal în sensul Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date („GDPR”) și alte legi aplicabile privind protecția datelor.

ÎNTRUCÂT această Anexă conține termenii și condițiile aplicabile colectării, prelucrării și utilizării acestor date cu caracter personal de către importatorul de date în calitatea sa de agent autorizat de prelucrare a datelor al exportatorului de date, pentru a asigura conformitatea Părților cu legislația aplicabilă privind protecția datelor.

 

Partea 1

 

1. Structura documentului și definiții

1.1 Structură

Această Anexă cuprinde diferite părți după cum urmează:

 

Partea 1: 

conține prevederi generale, de exemplu privind definițiile utilizate în această Anexă, conformitatea cu legile locale, termenele și încetarea

 
Partea 2:

conține corpul documentului standard de clauze contractuale neamendate

 
Anexa 1.1 din Partea 2:

conține detaliile operațiunilor de prelucrare furnizate de către importatorul de date către exportatorul de date în calitatea sa de agent autorizat de prelucrare a datelor (inclusiv natura, scopul și procesul de prelucrare, tipul de date cu caracter personal și categoriile de subiecți de date) în cadrul acestei Anexe

 
Anexa 2 din Partea 2:

conține descrierea măsurilor tehnice și organizatorice de securitate ale importatorului de date, aplicate în legătură cu toate activitățile de prelucrare descrise în Anexa 1.1 din Partea 2

 
Partea 3:

conține semnăturile Părților pentru a fi obligate prin această Anexă și identifică fiecare importator de date

 

 

1.2 Terminologie și definiții

Pentru scopurile acestei Anexe, terminologia și definițiile utilizate de GDPR sunt aplicabile (în corpul documentului standard de clauze contractuale din Partea 2, unde termenii definiți nu sunt scriși cu majuscule). 

 

"Stat membru"

înseamnă o țară aparținând Uniunii Europene sau Spațiului Economic European

 
"Categorii speciale de date (cu caracter personal)"

se referă la datele personale care dezvăluie originea rasială sau etnică, opinii politice, convingeri religioase sau filozofice, apartenență la sindicate, și date genetice, biometrice, dacă sunt prelucrate în scopul identificării unice a unei persoane, date privind sănătatea, date despre viața sexuală sau orientarea sexuală

 
"Clauze contractuale standard"

înseamnă clauzele contractuale standard pentru transferul datelor personale ale agenților de prelucrare stabiliți în țări terțe, conform Deciziei Comisiei 2010/87/UE din 5 februarie 2010, care a fost modificată prin Decizia de punere în aplicare a Comisiei (UE) 2016/2297 din 16 decembrie 2016

 
"Prelucrare de date"

înseamnă orice agent de prelucrare, situat în interiorul sau în afara UE/SEE, care acceptă să primească de la importatorul de date sau de la orice alt prelucrător al importatorului de date, date cu caracter personal exclusiv în scopul activităților de prelucrare care urmează a fi efectuate de către exportatorul de date după transfer, conform instrucțiunilor sale, termenilor acestor clauze și contractului cu importatorul de date

 

 

 

2. Obligațiile exportatorului de date

2.1 Exportatorul de date are obligația de a asigura conformitatea cu toate obligațiile aplicabile în temeiul GDPR și orice alte legi aplicabile privind protecția datelor, și de a demonstra această conformitate conform articolului 5 (2) din GDPR. Exportatorul de date garantează că importatorul de date a obținut consimțământul prealabil al subiecților de date în conformitate cu articolul 6 (a) din GDPR și a respectat obligația de a informa subiecții de date conform articolelor 13 și 14 din GDPR.

2.2 Exportatorul de date trebuie să furnizeze importatorului de date fișierele respective ale activităților de prelucrare în conformitate cu articolul 30 (1) din GDPR, legate de Servicii în cadrul acestei Anexe, în măsura necesară pentru ca importatorul de date să își îndeplinească obligația conform articolului 30 (2) din GDPR.

2.3 Exportatorul de date trebuie să numească un responsabil cu protecția datelor sau un reprezentant, în măsura în care legea aplicabilă o impune. Exportatorul de date trebuie să furnizeze datele de contact ale agentului sau reprezentantului de protecție a datelor, dacă este cazul, către importatorul de date.

2.4. Exportatorul de date confirmă, înainte de finalizarea prelucrării, prin acceptarea acestei Anexe, că măsurile tehnice și organizatorice de securitate ale importatorului de date, așa cum sunt stabilite în Anexa 2 din Partea 2, sunt adecvate și suficiente pentru a proteja drepturile subiectului de date și confirmă că importatorul de date asigură garanții suficiente în acest sens.

 

3. Conformitatea cu legislația locală

Pentru a îndeplini cerințele implementării agenților de prelucrare conform articolului 28 din GDPR, se aplică următoarele modificări:

 

3.1 Instrucțiuni

  1. (i) Exportatorul de date instruiește importatorul de date să prelucreze datele personale doar în numele său. Instrucțiunile exportatorului de date sunt furnizate în această Anexă și în Contract. Exportatorul de date are obligația de a se asigura că toate instrucțiunile date importatorului de date respectă legislația aplicabilă privind protecția datelor. Importatorul de date trebuie să prelucreze datele personale doar conform instrucțiunilor furnizate de exportatorul de date, cu excepția cazului în care legea Uniunii Europene sau legea statului membru (în cazul acesta, Clauza 3.2 (iv) din Partea 1 se aplică).
  2. (ii) Toate celelalte instrucțiuni care depășesc instrucțiunile din această Anexă sau din Contract trebuie să fie incluse în această Anexă și în Contract. Dacă implementarea acestei instrucțiuni suplimentare implică costuri pentru importatorul de date, acesta trebuie să informeze exportatorul de date despre aceste costuri și să ofere o explicație înainte de implementare. Numai după ce exportatorul de date confirmă acceptarea acestor costuri pentru implementarea instrucțiunii, importatorul de date va implementa această instrucțiune suplimentară. Exportatorul de date trebuie să ofere instrucțiuni suplimentare în scris, cu excepția cazului în care urgența sau alte circumstanțe speciale impun altă formă (de exemplu, oral, electronic). Instrucțiunile în altă formă decât în scris trebuie confirmate în scris și fără întârziere de către exportatorul de date.
  3. 1. În cazul în care exportatorul de date nu poate realiza rectificarea, ștergerea sau restricția datelor personale singur, instrucțiunile pot include și aceste aspecte, conform Clauzei 3.3 din Partea 1.
  4. 2. Importatorul de date trebuie să informeze imediat exportatorul de date dacă, în opinia sa, o Instrucțiune încalcă GDPR sau alte prevederi aplicabile de protecție a datelor ale Uniunii Europene sau ale unui stat membru („Instrucțiune contestată”). Dacă importatorul de date consideră că o Instrucțiune încalcă GDPR sau alte prevederi, nu este obligat să o urmeze. Dacă exportatorul de date confirmă Instrucțiunea contestată după primirea informațiilor de la importator și își asumă responsabilitatea pentru aceasta, importatorul de date va implementa Instrucțiunea contestată, cu excepția cazurilor în care aceasta se referă la (i) implementarea măsurilor tehnice și organizatorice, (ii) drepturile subiecților de date sau (iii) angajarea prelucrătorilor de date. În aceste cazuri, importatorul de date poate contacta o autoritate de supraveghere competentă pentru a evalua legalitatea Instrucțiunii contestate. Dacă autoritatea de supraveghere declară legală Instrucțiunea contestată, importatorul de date o va implementa. Clauza 3.1 (ii) din Partea 1 rămâne aplicabilă.

 

3.2 Obligațiile importatorului de date

  1. (i) Importatorul de date trebuie să asigure că persoanele autorizate de către acesta să prelucreze date cu caracter personal în numele exportatorului de date, în special angajații săi și angajații subcontractanților, au luat angajamentul de a respecta confidențialitatea sau sunt supuse unei obligații legale de confidențialitate și că aceste persoane care au acces la datele personale le prelucrează conform instrucțiunilor exportatorului de date.
  2. (ii) Importatorul de date trebuie să implementeze măsurile tehnice și organizatorice de securitate stabilite în Anexa 2 din Partea 2 înainte de a prelucra datele personale în numele exportatorului de date. Aceste măsuri pot fi modificate din când în când dacă nu oferă o protecție mai redusă decât cele stabilite în Anexa 2 din Partea 2.
  3. (iii) Importatorul de date trebuie să pună la dispoziția exportatorului de date, la cerere, informații care să demonstreze conformitatea cu obligațiile sale în cadrul acestei Anexe. Această obligație de informare este considerată îndeplinită prin furnizarea unui raport de audit către exportatorul de date (referitor la securitatea principiilor, disponibilitatea sistemului și confidențialitate) („Raport de audit”). Dacă sunt necesare activități suplimentare de audit, exportatorul de date poate solicita efectuarea de inspecții de către acesta sau de către un auditor independent, cu condiția ca auditorul să semneze un acord de confidențialitate cu importatorul de date, satisfăcând cerințele rezonabile ale acestuia („Audit”). Acest Audit se face cu condiția: (i) acceptarea prealabilă în scris de către importatorul de date; și (ii) exportatorul de date suportă toate costurile legate de Auditul la fața locului. Exportatorul de date trebuie să întocmească un raport de audit care să rezume rezultatele și observațiile Auditului („Raport de Audit la fața locului”). Aceste rapoarte sunt informații confidențiale ale importatorului de date și nu trebuie divulgate terților, cu excepția cazurilor în care legea impune altfel sau în conformitate cu consimțământul exportatorului de date.
  4. (iv) Importatorul de date are obligația să notifice fără întârziere exportatorul de date despre:
    1. a. orice solicitare legală de divulgare a datelor personale de către o autoritate de aplicare a legii, cu excepția cazurilor în care este interzis, cum ar fi interdicția conform legii penale pentru a proteja confidențialitatea unei investigații;
    2. b. orice plângere sau solicitare primită direct de la subiectul de date (de exemplu, privind accesul, rectificarea, ștergerea, restricția de prelucrare, portabilitatea datelor, opoziția față de prelucrare, decizii automate) fără a răspunde acesteia, cu excepția cazului în care importatorul de date a fost autorizat să o facă;
    3. c. dacă importatorul de date sau prelucrătorul de date este obligat, conform legii Uniunii Europene sau a statului membru în care este supus, să prelucreze datele personale dincolo de instrucțiunile exportatorului de date, înainte de a efectua această prelucrare în afara instrucțiunilor, cu excepția cazurilor în care legile Uniunii Europene sau ale statului membru interzic această prelucrare pe motive de interes public vital, caz în care notificarea către exportatorul de date trebuie să specifice cerința legală conform legii respective;
    4. d. dacă importatorul de date constată o încălcare a datelor personale, doar din cauza sa sau a subcontractorului său, care ar afecta datele personale ale exportatorului de date acoperite de prezentul contract, caz în care va ajuta exportatorul de date să își îndeplinească obligația, conform legii aplicabile, de a informa subiecții de date și, dacă este cazul, autoritățile de supraveghere, furnizând informațiile deținute, în conformitate cu Articolul 33 (3) din GDPR.
    5. (v) La cererea exportatorului de date, importatorul de date trebuie să asiste în evaluarea impactului asupra protecției datelor, conform Articolului 35 din GDPR, și în consultarea prealabilă, conform Articolului 36, privind serviciile furnizate în cadrul acestei Anexe, furnizând informațiile și asistența necesare. Importatorul de date va oferi această asistență numai dacă exportatorul de date nu poate îndeplini această obligație prin alte mijloace. Va informa despre costurile acestei asistențe. După ce exportatorul de date confirmă că poate suporta aceste costuri, importatorul de date va oferi această asistență.
    6. (vi) La finalizarea serviciilor, exportatorul de date poate solicita returnarea datelor personale prelucrate de importatorul de date în cadrul acestei Anexe, în termen de o lună de la finalizarea serviciilor. În cazul în care legislația statului membru sau a Uniunii Europene impune păstrarea datelor, importatorul de date va șterge toate datele personale sau nepersonale după această perioadă, indiferent dacă au fost returnate sau nu, cu excepția cazurilor în care legea impune altfel.

 

3.3 Drepturile persoanelor vizate

  1.  
    1. (i) Exportatorul de date gestionează și răspunde solicitărilor făcute de subiecții de date. Importatorul de date nu este obligat să răspundă direct subiecților de date.
    2. (ii) Dacă exportatorul de date solicită ajutorul importatorului de date pentru prelucrare și răspuns la solicitările subiectului de date, acesta va emite o instrucțiune suplimentară conform Clauzei 3.1 (ii) din Partea 1. Importatorul de date va ajuta exportatorul de date cu măsuri tehnice și organizatorice adecvate pentru a răspunde solicitărilor de exercitare a drepturilor subiecților de date, conform Capitolului III din GDPR, după cum urmează:
    3. a. Pentru solicitările de informații, importatorul de date va furniza exportatorului de date doar informațiile solicitate de articolele 13 și 14 din GDPR, dacă le are la dispoziție și dacă nu le poate găsi singur.
    4. b. Pentru solicitările de acces (articolul 15 din GDPR), importatorul de date va furniza exportatorului de date doar informațiile care trebuie furnizate subiectului de date pentru această solicitare, dacă le are la dispoziție și dacă nu le poate găsi singur.
    5. c. Pentru solicitările de rectificare (articolul 16), ștergere (articolul 17), restricție de prelucrare (articolul 18) sau portabilitate (articolul 20), și numai dacă exportatorul de date nu poate rectifica, șterge, limita sau transmite datele personale către alt terț, importatorul de date va oferi exportatorului posibilitatea de a rectifica sau șterge, limita sau transmite datele personale către alt terț, sau, dacă nu este posibil, va oferi asistență pentru aceste acțiuni.
    6. d. Pentru notificarea privind rectificarea, ștergerea sau restricția de prelucrare (articolul 19), importatorul de date va ajuta exportatorul de date notificând toți destinatarii datelor personale implicați, dacă acesta solicită și dacă nu poate remedia situația singur.
    7. e. Pentru dreptul de opoziție exercitat de subiectul de date (articolele 21 și 22), exportatorul de date va decide dacă opoziția este legitimă și cum să o gestioneze.
    8. (iii) Obligațiile de asistență ale importatorului de date sunt limitate la datele personale prelucrate în infrastructura sa (de exemplu, baze de date, sisteme, aplicații deținute sau furnizate de acesta).
    9. (iv) Exportatorul de date va decide dacă un subiect de date poate exercita drepturile prevăzute în Clauza 3.1 din această Partea 1 și va informa importatorul de date despre măsura în care asistența specificată în Clauzele 3.3 (ii), (iii) din Partea 1 este necesară.
    10. (v) Dacă exportatorul de date solicită măsuri tehnice și organizatorice suplimentare sau modificate pentru a respecta drepturile subiecților de date, care depășesc asistența oferită de importatorul de date conform Sub-clauzei 3.3 (ii), (iii), acesta va informa despre costurile acestor măsuri. După confirmarea suportului acestor costuri de către exportator, importatorul de date va implementa aceste măsuri suplimentare.
    11. (vi) Fără a limita domeniul de aplicare al Clauzei 3.3 (v), exportatorul de date va fi obligat să ramburseze importatorului de date cheltuielile rezonabile suportate pentru răspunsul la solicitările subiecților de date.

 

3.4 Subprocesare

  1.  
    1. (i) Exportatorul de date autorizează utilizarea subcontractorilor de către importatorul de date pentru furnizarea serviciilor în cadrul acestei Anexe. Importatorul de date va selecta cu grijă astfel de prelucrători de date. Exportatorul de date aprobă prelucrătorii de date enumerați în Anexa 1.1 la sfârșitul Partea 2.
    2. (ii) Importatorul de date va transfera obligațiile sale în temeiul acestei Anexe către prelucrătorii de date, în măsura în care acestea se aplică serviciilor subcontractate.
    3. (iii) Importatorul de date poate să respingă, să înlocuiască sau să numească alți prelucrători de date adecvați și de încredere, după discreția sa. La cerere scrisă a exportatorului de date, acesta trebuie să urmeze procedura de mai jos:
  2.  
    1. a. Importatorul de date va informa exportatorul de date înainte de orice modificare a listei de prelucrători de date menționați în Clauza 3.4 (i) din Partea 1. Dacă exportatorul de date nu se opune în termen de 30 de zile de la notificarea de către importator, acești prelucrători suplimentari vor fi considerați acceptați.
    2. b. Dacă exportatorul de date are motive legitime să se opună unui prelucrător suplimentar, va notifica în scris în avans importatorul de date în termen de 30 de zile de la primirea notificării și înainte de punerea în funcțiune a serviciului de către acesta. Dacă se opune utilizării unui prelucrător suplimentar, importatorul de date poate anula această intenție prin una dintre următoarele opțiuni (aleasă după discreție): (A) va anula planurile de utilizare a unui prelucrător suplimentar pentru datele personale ale exportatorului; (B) va lua măsurile corective solicitate de exportator în opoziție (anulând opoziția) și va folosi prelucrătorul suplimentar pentru datele exportatorului; (C) poate înceta să furnizeze sau exportatorul poate conveni să nu utilizeze (temporar sau permanent) un anumit aspect al serviciului care implică utilizarea unui alt prelucrător al datelor personale ale exportatorului.
  3.  
    1. (iv) dacă prelucrătorul de date are sediul în afara UE/SEE, într-o țară care nu este recunoscută ca oferind un nivel adecvat de protecție a datelor în urma unei decizii a Comisiei Europene, importatorul de date va lua măsuri pentru a asigura un nivel adecvat de protecție a datelor în conformitate cu GDPR (aceste măsuri pot include, printre altele, utilizarea contractelor de prelucrare a datelor bazate pe clauze ale modelului UE, transferul către prelucrători de date auto-certificați în cadrul EU-US Privacy Shield sau un program similar).

 

3.5 Perioada de valabilitate

Perioada de valabilitate a acestei Anexe este identică cu data de expirare a Contractului corespunzător. Cu excepția cazurilor prevăzute în mod contrar în această Anexă, drepturile și obligațiile referitoare la încetare vor fi aceleași cu cele din Contract.

 

4. Limitarea răspunderii

4.1 Fiecare parte își gestionează obligațiile în temeiul acestei Anexe și legislației aplicabile privind protecția datelor.

4.2 Orice răspundere legată de încălcarea obligațiilor din această Anexă sau din legislația aplicabilă privind protecția datelor va fi supusă și guvernată de prevederile de răspundere din Contract, cu excepția cazurilor în care se prevede altfel în această Anexă. Dacă răspunderea este guvernată de prevederile din Contract, pentru calcularea limitelor de răspundere sau aplicarea altor limitări, orice răspundere derivată din această Anexă va fi considerată ca fiind derivată din Contract.

 

5. Dispoziții generale

5.1 În cazul în care există inconsistențe sau discrepanțe între Partea 1 și Partea 2 ale acestei Anexe, Partea 2 va prevala. În mod specific, chiar și în astfel de cazuri, Partea 1, care depășește Partea 2 (adică termenii clauzelor standard), fără a o contrazice, va rămâne valabilă.

5.2 În cazul în care apar discrepanțe între prevederile acestei Anexe și cele ale altor contracte obligatorii pentru părți, această Anexă va prevala în ceea ce privește obligațiile de protecție a datelor ale părților. În cazul îndoielii dacă clauzele din alte contracte privesc obligațiile de protecție a datelor ale părților, această Anexă va prevala.

5.3 Dacă orice prevedere a acestei Anexe este invalidă sau inaplicabilă, restul Anexei va rămâne în vigoare și efectiv. Prevederea invalidă sau inaplicabilă va fi (i) modificată pentru a-i asigura valabilitatea și aplicabilitatea, păstrând, pe cât posibil, intenția părților, sau - dacă acest lucru nu este posibil - (ii) interpretată ca și cum partea invalidă sau inaplicabilă nu ar fi fost niciodată parte a contractului. Aceasta se aplică și în cazul unei omisiuni în această Anexă.

5.5 În măsura în care este necesar, Părțile pot solicita modificări ale Clauzei 3 (Conformitatea cu legislația locală) sau ale altor părți ale Anexei pentru a respecta interpretările, directivele sau ordinele emise de autoritățile competente ale Uniunii sau ale statelor membre, dispozițiile naționale de aplicare sau orice alte evoluții legale privind GDPR sau alte condiții de delegare către entitățile implicate în prelucrarea datelor, în special în ceea ce privește utilizarea clauzelor contractuale standard în GDPR. Termenii clauzelor standard nu pot fi modificați sau înlocuiți decât dacă Comisia Europeană aprobă expres acest lucru (de exemplu, prin noi clauze adecvate și standarde de protecție a datelor).

5.6 Orice referire în această Anexă la „Clauze” va însemna toate prevederile acestei Anexe, cu excepția cazurilor în care se specifică altfel.

5.7 Alegerea legii în Clauza 9 din Partea 2 se aplică întregului Contract.

 

6. Datele personale transmise și prelucrate de părți în scopuri personale (transfer de la controlorul de date la controlorul de date)

6.1 Părțile știu pe deplin că anumite date personale vor fi transferate de la exportatorul de date către importatorul de date și viceversa, și că aceste date sunt prelucrate de fiecare Parte în propriile scopuri. În ceea ce privește aceste date personale, nu afectează celelalte prevederi ale acestei Anexe (cu excepția acestei clauze 6).

6.2 Exportatorul de date poate transfera date personale referitoare la personalul importatorului de date, inclusiv informații despre incidente de securitate sau alte documente sau fișiere create sau întocmite de către exportatorul de date în legătură cu Serviciile furnizate de personalul importatorului de date. Importatorul de date poate prelucra aceste date personale în propriile scopuri, în special în relațiile sale profesionale cu personalul importatorului de date, pentru controlul calității și formare, sau pentru scopuri comerciale.

6.3. Importatorul de date poate transfera date personale către exportatorul de date, inclusiv numele și datele de contact ale personalului său. Exportatorul de date poate prelucra aceste date în propriile scopuri.

6.4 Ambele părți vor respecta legislația aplicabilă privind protecția datelor, inclusiv GDPR, în colectarea, prelucrarea și utilizarea acestor date personale primite de la cealaltă parte conform clauzei 1 din Partea 1. În special, ambele Părți vor lua măsuri de securitate adecvate, oferind un nivel similar de protecție cu cele stabilite în Anexa 2 din Partea 2. Accesul la aceste date personale va fi limitat la necesitatea cunoașterii lor.

6.5 Ambele Părți vor șterge aceste date personale cât mai curând posibil după atingerea scopurilor.

Partea 2

 

DECIZIA COMISIEI

din 5 februarie 2010

privind clauzele contractuale standard pentru transferul datelor personale către prelucrători de date stabiliți în țări terțe, în conformitate cu Directiva 95/46/CE a Parlamentului European și a Consiliului

 

 

 

Clauza 1

Definiții

În sensul clauzelor:

a) „date cu caracter personal”, „categorii speciale de date”, „prelucrare”, „controlor”, „prelucrător”, „subiect de date” și „autoritate de supraveghere” vor avea același înțeles ca în Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (1);

b) „Exportatorul de date” este controlorul de date care transferă datele personale;

c) „Importatorul de date” este prelucrătorul de date care acceptă să primească de la exportatorul de date date cu caracter personal destinate a fi prelucrate în numele său după transfer, conform instrucțiunilor sale și termenilor acestor clauze și care nu este supus mecanismului unui stat terț care asigură un nivel adecvat de protecție în sensul articolului 25 (1) din Directiva 95/46/CE; (d) „prelucrător de date” înseamnă prelucrătorul de date angajat de către importatorul de date sau de către orice alt prelucrător al importatorului de date, care acceptă să primească de la acesta sau de la alți prelucrători de date ai importatorului de date, date cu caracter personal exclusiv pentru activitățile de prelucrare care urmează a fi efectuate în numele exportatorului de date după transfer, conform instrucțiunilor sale, în condițiile stabilite în aceste clauze și în contractul scris de subcontractare a prelucrării datelor;

e) „legislație aplicabilă privind protecția datelor” înseamnă legislația care protejează drepturile și libertățile fundamentale ale persoanelor, inclusiv dreptul la intimitate în ceea ce privește prelucrarea datelor cu caracter personal, și se aplică unui controlor din statul membru în care este stabilit exportatorul de date;

f) „măsuri tehnice și organizatorice referitoare la securitate” înseamnă măsuri destinate să protejeze datele personale împotriva distrugerii accidentale sau ilegale sau a pierderii accidentale, modificării, divulgării sau accesului neautorizat, în special atunci când prelucrarea implică transmiterea datelor prin rețele, și împotriva oricăror alte forme ilegale de prelucrare.

Clauza 2

Detalii despre transfer

Detaliile transferului, inclusiv, dacă este cazul, categorii speciale de date cu caracter personal, sunt specificate în Anexa 1, care face parte integrantă din aceste clauze.

Clauza 3

Clauza beneficiarului terț

1. Subiectul de date poate exercita împotriva exportatorului de date această Clauză, Clauza 4(b) până la (i), Clauza 5(a) până la (e) și (g) până la (j), Clauza 6 (1) și (2), Clauza 7, Clauza 8(2) și Clauzele 9 până la 12 ca beneficiar terț

2. Subiectul de date poate exercita această Clauză, Clauza 5 (a) până la (e) și (g), Clauza 6, Clauza 7, Clauza 8 (2) și Clauzele 9 până la 12 împotriva importatorului de date dacă exportatorul de date a dispărut fizic sau a încetat să existe în drept, cu excepția cazului în care toate obligațiile sale legale au fost transferate, prin contract sau prin operațiunea legii, către entitatea succesoare, către care drepturile și obligațiile exportatorului de date revin, și împotriva căreia subiectul de date poate exercita aceste clauze.

Subiectul de date poate exercita această Clauză, Clauza 5 (a) până la (e) și (g), Clauza 6, Clauza 7, Clauza 8 (2) și Clauzele 9 până la 12 împotriva prelucrătorului de date, dar numai în cazurile în care exportatorul și importatorul de date au dispărut fizic, au încetat să existe în drept sau au devenit insolvenți, cu excepția cazului în care toate obligațiile legale ale exportatorului de date au fost transferate, prin contract sau prin operațiunea legii, către succesorul legal, asupra căruia subiectul de date își poate exercita drepturile. Răspunderea prelucrătorului de date trebuie limitată la activitățile sale de prelucrare în conformitate cu aceste clauze.

4. Părțile nu se opun ca subiectul de date să fie reprezentat de o asociație sau alt organism dacă dorește și dacă legea națională permite acest lucru.

Clauza 4

Obligațiile exportatorului de date

Exportatorul de date acceptă și garantează următoarele:

a) prelucrarea, inclusiv transferul efectiv al datelor personale, a fost și va continua să fie realizată în conformitate cu prevederile relevante ale legislației aplicabile privind protecția datelor (și, dacă este cazul, a fost notificată autorităților competente ale statului membru în care este stabilit exportatorul de date) și nu încalcă prevederile relevante ale acelui stat;

b) au instruit și vor instrui pe durata serviciilor de prelucrare a datelor, importatorul de date să prelucreze datele personale transferate doar în numele exportatorului de date și în conformitate cu legislația aplicabilă privind protecția datelor și aceste clauze;

c) importatorul de date va oferi garanții suficiente privind măsurile tehnice și organizatorice de securitate specificate în Anexa 2 a prezentului contract;

d) după evaluarea cerințelor legislației aplicabile privind protecția datelor, măsurile de securitate sunt adecvate pentru a proteja datele personale împotriva distrugerii accidentale sau ilegale sau a pierderii accidentale, modificării, divulgării sau accesului neautorizat, în special atunci când prelucrarea implică transmiterea datelor prin rețea, și împotriva oricăror alte forme ilegale de prelucrare și asigură un nivel de securitate adecvat riscurilor reprezentate de prelucrare și naturii datelor de protejat, având în vedere nivelul tehnologiei și costul implementării;

e) vor asigura respectarea măsurilor de securitate;

f) dacă transferul se referă la categorii speciale de date, subiectul de date a fost informat sau va fi informat înainte de transfer, sau cât mai curând posibil după transfer, că datele sale pot fi transferate către o țară terță care nu oferă un nivel adecvat de protecție în sensul Directivei 95/46/CE;

g) vor transmite orice notificare primită de la importatorul de date sau de la orice prelucrător de date conform Clauzelor 5 (b) și 8 (3) către autoritatea de supraveghere a protecției datelor dacă decid să continue transferul sau să ridice suspendarea;

h) vor pune la dispoziția subiecților de date, dacă solicită, o copie a acestor Clauze, cu excepția Anexei 2, și o descriere sumară a măsurilor de securitate, precum și o copie a oricărui acord de subcontractare încheiat în baza acestor Clauze, cu excepția cazului în care clauzele sau acordul conțin informații comerciale, caz în care pot retrage aceste informații;

i) în cazul subcontractării procesului de prelucrare a datelor, activitatea de prelucrare trebuie să fie realizată conform Clauzei 11 de către un prelucrător de date care asigură cel puțin același nivel de protecție a datelor și drepturilor subiecților de date ca și importatorul de date în cadrul acestor clauze; și

j) va asigura respectarea Clauzei 4 (a) până la (i).

Clauza 5

Obligațiile importatorului de date

Importatorul de date acceptă și garantează următoarele:

a) va prelucra datele personale doar în numele și conform instrucțiunilor exportatorului de date și acestor clauze; dacă nu poate respecta din orice motiv, va informa exportatorul de date cât mai curând posibil, caz în care acesta poate suspenda transferul de date și/sau poate înceta contractul;

b) nu are motive să creadă că legea aplicabilă îi împiedică să îndeplinească instrucțiunile date de exportatorul de date și obligațiile din contract, și dacă această lege suferă modificări care pot avea un efect material negativ asupra garanțiilor și obligațiilor din clauze, va notifica fără întârziere exportatorul de date despre această schimbare, caz în care acesta poate suspenda transferul de date și/sau poate înceta contractul; (c) a implementat măsurile tehnice și organizatorice de securitate specificate în Anexa 2 înainte de a prelucra datele personale transferate;

d) va notifica fără întârziere exportatorul de date:

  • i) orice solicitare obligatorie de divulgare a datelor personale de către o autoritate de aplicare a legii, cu excepția cazurilor în care este specificat altfel, cum ar fi interdicția conform legii penale pentru a păstra confidențialitatea unei investigații;
  • ii) orice acces incidental sau neautorizat; și
  • iii) orice solicitare primită direct de la persoanele vizate, fără a răspunde acesteia, cu excepția cazului în care are autorizație pentru aceasta; administratorii

e) vor trata prompt și corespunzător toate solicitările din partea exportatorului de date privind prelucrarea datelor personale transferate și vor acționa conform opiniei autorității de supraveghere privind prelucrarea datelor;

f) la cererea exportatorului de date, vor supune facilitățile de prelucrare a datelor unei inspecții a activităților de prelucrare acoperite de aceste clauze, efectuată de către exportator sau de către un organism de supraveghere format din membri independenți cu calificări profesionale necesare, cu obligația de confidențialitate și ales de către exportator, dacă este cazul, cu acordul autorității de supraveghere;

g) vor pune la dispoziția subiectului de date, dacă solicită, o copie a acestor Clauze sau a oricărui contract de subcontractare a prelucrării datelor, cu excepția cazului în care clauzele sau contractul conțin informații comerciale, caz în care pot elimina aceste informații, cu excepția Anexei 2, care va fi înlocuită cu o descriere sumară a măsurilor de securitate, dacă subiectul de date nu poate obține o copie de la exportatorul de date;

h) în cazul subcontractării confidențiale a prelucrării datelor, va asigura că informează în prealabil exportatorul de date și obține consimțământul scris al acestuia;

i) serviciile de prelucrare furnizate de prelucrătorul de date trebuie să fie conforme cu Clauza 11;

j) va trimite prompt o copie a oricărui contract de subcontractare a prelucrării datelor încheiat în baza acestor clauze către exportatorul de date.

Clauza 6

Responsabilitate

1. Părțile convin că orice subiect de date care a suferit prejudiciu din cauza încălcării obligațiilor prevăzute în Clauza 3 sau Clauza 11 de către o parte sau de către un prelucrător de date poate obține despăgubiri de la exportatorul de date pentru prejudiciul suferit.

2. Dacă un subiect de date este împiedicat să introducă acțiune pentru despăgubiri conform alineatului 1 împotriva exportatorului de date pentru neconformitatea importatorului de date sau a prelucrătorului său de date cu orice obligație din Clauza 3 sau Clauza 11, deoarece exportatorul de date a dispărut fizic, a încetat să existe în drept sau a devenit insolvent, importatorul de date acceptă că subiectul de date poate depune plângere împotriva sa ca și cum ar fi fost exportatorul de date, cu excepția cazului în care toate obligațiile legale ale exportatorului de date au fost transferate, prin contract sau prin operațiunea legii, către succesorul său, împotriva căruia subiectul de date își poate exercita drepturile. Răspunderea importatorului de date nu poate fi bazată pe încălcarea obligațiilor de către prelucrătorul de date.

3. Dacă un subiect de date este împiedicat să introducă acțiunea prevăzută în alineatele 1 și 2 împotriva exportatorului de date sau a importatorului de date pentru încălcarea obligațiilor de către prelucrătorul de date conform Clauzei 3 sau Clauzei 11, deoarece exportatorul de date și importatorul de date au dispărut fizic, au încetat să existe în drept sau au devenit insolvenți, prelucrătorul de date acceptă că subiectul de date poate depune plângere împotriva sa privind activitățile sale de prelucrare în conformitate cu aceste clauze, ca și cum ar fi fost exportatorul de date sau importatorul de date, cu excepția cazului în care toate obligațiile legale ale acestora au fost transferate, prin contract sau prin operațiunea legii, către succesorul legal, asupra căruia subiectul de date își poate exercita drepturile. Răspunderea prelucrătorului de date trebuie să fie limitată la activitățile sale de prelucrare în conformitate cu aceste clauze.

 

Clauza 7

Medierea și jurisdicția

1. Importatorul de date acceptă că, dacă în temeiul clauzelor, subiectul de date invocă împotriva sa dreptul beneficiarului terț și/sau solicită despăgubiri pentru prejudiciul suferit, va accepta decizia subiectului de date:

a) să supună disputa medierii de către o persoană independentă sau, dacă este cazul, autoritatea de supraveghere;

b) să aducă disputa în fața instanțelor din statul membru în care este stabilit exportatorul de date.

2. Părțile convin că alegerea făcută de subiectul de date nu va afecta dreptul procedural sau substanțial al subiectului de date de a obține despăgubiri în conformitate cu alte prevederi ale legii naționale sau internaționale.

Clauza 8

Cooperarea cu autoritățile de supraveghere

1. Exportatorul de date acceptă să depună o copie a prezentului contract la autoritatea de supraveghere dacă aceasta solicită sau dacă astfel de depuneri sunt prevăzute de legislația aplicabilă privind protecția datelor.

2. Părțile convin că autoritatea de supraveghere poate efectua verificări la importatorul de date și la orice prelucrător de date în aceleași condiții și în aceeași măsură ca și verificările efectuate la exportatorul de date, în conformitate cu legislația aplicabilă privind protecția datelor.

3. Importatorul de date va informa cât mai curând posibil exportatorul de date despre existența legislației care împiedică verificarea la importatorul de date sau la orice prelucrător de date, conform alineatului 2. În astfel de cazuri, exportatorul de date poate lua măsurile prevăzute în Clauza 5 (b).

Clauza 9

Legea aplicabilă

Clauzele se aplică și sunt guvernate de legea statului membru în care este stabilit exportatorul de date.

Clauza 10

Modificarea contractului

Părțile se angajează să nu modifice aceste clauze. Părțile pot include alte clauze comerciale considerate necesare, cu condiția să nu contrazică aceste clauze.

Clauza 11

Subcontractarea ulterioară

1. Importatorul de date nu va subcontracta nicio activitate de prelucrare efectuată în numele său în cadrul acestor clauze fără acordul scris prealabil al exportatorului de date. Importatorul de date va subcontracta obligațiile sale doar printr-un acord scris cu prelucrătorul de date, care să impună aceluiași nivel de obligații ca și cele impuse importatorului de date în aceste clauze. Dacă prelucrătorul nu poate respecta obligațiile de protecție a datelor în cadrul acestui acord scris, importatorul de date rămâne pe deplin responsabil față de exportatorul de date pentru îndeplinirea acestor obligații.

2. Acordul scris prealabil între importatorul de date și prelucrătorul de date trebuie să includă și o clauză pentru beneficiarul terț, conform Clauzei 3, pentru cazurile în care subiectul de date nu poate introduce acțiune pentru despăgubiri conform Clauzei 6 (1), împotriva exportatorului sau a importatorului de date, deoarece aceștia au dispărut fizic, au încetat să existe în drept sau au devenit insolvenți, dacă toate obligațiile legale ale acestora nu au fost transferate, prin contract sau prin operațiunea legii, către succesorul legal, asupra căruia drepturile și obligațiile se transferă, și împotriva căruia subiectul de date poate exercita aceste clauze. Răspunderea prelucrătorului trebuie să fie limitată la activitățile sale de prelucrare în conformitate cu aceste clauze.

3. Dispozițiile referitoare la aspectele de protecție a datelor în subcontractarea prelucrării datelor, menționate la alineatul 1, vor fi guvernate de legea statului membru în care este stabilit exportatorul de date.

4. Exportatorul de date va păstra o listă a contractelor de subcontractare a prelucrării datelor încheiate în cadrul acestor clauze și notificate de către importatorul de date conform Clauzei 5 (j), actualizată cel puțin o dată pe an. Această listă va fi pusă la dispoziția autorității de protecție a datelor a exportatorului de date.

Clauza 12

Obligația după încetarea serviciilor de prelucrare a datelor personale

1. Părțile convin că, după finalizarea serviciilor de prelucrare a datelor, importatorul de date și prelucrătorul de date vor, la conveniența exportatorului de date, să returneze toate datele personale transferate și copiile acestora către exportatorul de date sau să distrugă toate aceste date și să furnizeze dovada distrugerii către acesta, cu excepția cazului în care legislația impusă importatorului de date împiedică returnarea sau distrugerea tuturor sau a unor părți ale datelor transferate. În acest caz, importatorul de date garantează că va asigura confidențialitatea datelor personale transferate și că nu va mai prelucra activ aceste date.

2. Importatorul de date și prelucrătorul de date vor asigura, dacă este solicitat de către exportatorul de date și/sau autoritatea de supraveghere, verificarea măsurilor de protecție a datelor menționate la alineatul 1.