Contract prelucrare date personale Operator (Client)– Împuternicit (ContExact.ro) Varianta 1.0 valabilă din 25 mai 2020

Iti multumim ca ai ales sa ne faci o vizita virtuala! Acest site este operat de S.C. CONTEXPERT SERV S.R.L.

Anexa 1 – prelucrarea datelor personale de către ContExact.ro conform GDPR
Contract prelucrare date personale Operator (Client)– Împuternicit (ContExact.ro) Varianta 1.0 valabilă din 25 mai 2020

Prezenta anexă prevede regulile specifice în ceea ce privește prelucrarea datelor cu caracter personal trimise de către Beneficiar, în calitate de Operator, de către S.C. CONTEXPERT SERV S.R.L, în calitate de împuternicit în conformitate cu Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (denumit în continuare ”GDPR”), ca și orice legislație națională subsecventă cu privire la domeniul protecției datelor cu caracter personal.

Art 1. Termeni
În cuprinsul acestei anexe termenii folosiți vor fi interpretați în conformitate cu GDPR, iar acolo unde este cazul, termenii folosiți vor avea definițiile stipulate de art. 4 din GDPR.

Art 2. Obiectul prelucrării
Obiectul prelucrării datelor personale îl reprezintă prelucrarea de către Împuternicit a datelor personale trimise de către Operator în scopul furnizării serviciilor stipulate în contractul principal de servicii ContExact.ro.

Art 3. Date colectate
Datele personale puse la dispoziție de către Operator prelucrate în temeiul acestui contract sunt:

3.1 Pentru serviciul ContExact.ro – datele personale sunt cele care apar pe documente, cum ar fi: Nume, prenume emitent document și date de identificare ale acestuia, email, telefon iar în cazul în care se emite documentul catre un client persoană fizică: nume, prenume, adresă completă, și în funcție de dorința Operatorului – cont bancar, CNP. De asemenea Operatorul poate adăuga și alte date personale suplimentare în mod direct în facturile emise, pe care Împuternicitul nu are cum să le prevadă.

3.2 Pentru serviciul ContExact.ro – configurare transmitere email-uri catre clienti, datele sunt – email utilizator și parola prin care se transmit email-urile, ca și adresele de email către care se trimit facturile.

Art.4 Categorii de persoane vizate

Categoriile de persoane vizate sunt:
• angajați ai Operatorului
◦ Doar cei care emit facturi (Art. 3.1)
◦ Doar cei care trimit facturi (Art. 3.2)
• clienți ai Operatorului (doar pentru datele specifice menționate expres la Art. 3)

Art. 5. Instrucțiuni specifice

În temeiul acestui contract Operatorul da următoarele instrucțiuni specifice Împuternicitului:
5.1. Sa colecteze și să prelucreze date cu caracter personal primite de la Operator în mod direct în scopul prevăzut la art.7. Aceste date sunt cele specificate în articolul 3.
5.2. Să trimită mesaje prin email în numele Operatorului, pentru serviciul de transmitere documente prin email (dacă acest serviciu este folosit de către Operator);
5.3. Să colecteze și să prelucreze informații dacă documentele sale trimise si găzduite pe platforma ContExact au fost deschise si/sau vizualizate de către Clienții Operatorului.

Art. 6. Durata prelucrării

Durata prelucrării datelor cu caracter personal este identică cu durata funcționării contractului principal de furnizare servicii.

Art. 7 Natura și scopul prelucrării

Natura și scopul prelucrării sunt cele stabilite de către Operator în temeiul contractului principal și anume furnizarea serviciilor ContExact, în funcție de pachetul de servicii achiziționat.

Art. 8 Sub-împuterniciți

În cazul în care prelucrarea datelor Operatorului sau anumite părți are prelucrării se efectuează de către Împuternicit prin intermediul altor persoane, numite sub-împuterniciți, acesta trebuie să respecte următoarele principii:

8.1. În temeiul acestui articol Operatorul înțelege să autorizeze Împuternicitul să prelucreze datele sale prin următorii sub-împuterniciți pentru următoarele activități:
– OVH SAS locatie Franta – pentru găzduire Firma OVH SAS, este certificata în programul UE- SUA Privacy Shield.

8.2. Pentru sub-împuterniciți viitori, Împuternicitul primește o autorizare generală de a subcontracta cu orice alt furnizor din U.E., EEA sau țară cu nivel adecvat de protecție recunoscut prin decizie a Comisiei Europene, care este necesar pentru anumite părți ale procesării datelor conform prezentului contract care oferă un nivel de securitate adecvat, cel puțin la nivelul prezentului contract. Aceasta autorizare include obligația de informare a Operatorului, printr-un mesaj prin contul de pe site-ul Împuternicitului sau prin email. Operatorul are posibilitatea de a formula obiecții în termen de 2 zile lucrătoare.

8.3 De asemenea ContExact poate trimite datele prelucrate de Operator către alți împuterniciți ai Operatorului (cum ar fi de exemplu procesatorii de plăți) doar daca există un contract între Operator și acești alți împuterniciți, ca și cererea Operatorului către ContExact de a trimite datele către acest împuternicit.

Art. 9. Drepturile și obligațiile Operatorului

• Dreptul să primească informații de la Împuternicit sau sa verifice prin auditor mandatat dacă Împuternicitul are și pune în aplicare măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute de GDPR; verificarea va avea loc în baza unei notificări scrise prealabile, transmisă cu cel puțin 14 zile lucrătoare înainte de efectuarea verificării;

• Dreptul să primească asistență din partea Împuternicitului, în special pentru îndeplinirea obligației sale de a răspunde cererilor persoanelor vizate cu privire la exercitarea drepturilor lor prevăzute de GDPR;

• Dreptul de a face obiecțiuni cu privire la alți sub-împuterniciți conform art. 8.2;

• Să respecte obligațiile sale conform GDPR în calitate de Operator cu privire la datele cu caracter personal colectate sau prelucrate de Împuternicit, pe seama sa;

• Obligația de a face informarea persoanelor vizate conform GDPR, inclusiv în ceea ce privește informarea cu privire la prelucrarea datelor de către Împuternicit în temeiul acestui contract;

• Obligația să răspundă exclusiv de stabilirea temeiului legal pentru prelucrarea datelor cu caracter personal ce face obiectul prezentului contract;

• Obligația de a implementa măsuri tehnice și organizatorice adecvate conform GDPR, inclusiv securizarea transferului datelor de la persoanele vizate către Împuternicit;

• Operatorul înțelege că din momentul ștergerii datelor după încheierea prestării serviciilor de către Împuternicit conform obligațiilor GDPR și a art. 10 a acestui contract, datele nu mai pot fi recuperate și este întreaga responsabilitate a Operatorului să se asigure că și-a făcut o copie completă a acestora.

• În toate situațiile în care Operatorul este cel care trebuie să execute o obligație, cum este, spre exemplu, informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal, Împuternicitul nu poate fi ținut de inacțiunile Operatorului din sfera acelei obligații.

Art. 10. Drepturile și obligațiile Împuternicitului:

• Obligația să informeze Operatorul în termen de maxim 10 zile, în cazul în care, în opinia Împuternicitului, o instrucțiune încalcă GDPR și/sau altă dispoziție legală privind prelucrarea datelor cu caracter personal;

• Obligația să asigure securitatea datelor cu caracter personal prelucrate în numele Operatorului în conformitate cu art 32 din GDPR și cu art 11 din prezenta Anexă;

• Obligația de a informa Operatorul fără întârzieri nejustificate de o încălcare a securității datelor personale ale Operatorului pe parcursul prelucrării realizate de către Împuternicit;

• Obligația de a asista Operatorul cu toate informațiile necesare în vederea notificării, dacă este cazul, către Autoritatea competentă pentru încălcarea securității datelor, dar fără a se substitui Operatorului în obligația sa de notificare;

• Obligația de a acorda asistență Operatorului să asigure respectarea obligațiilor prevăzute la articolele 32-36 din GDPR;

• Obligația de a asista Operatorul pentru soluționarea cererilor persoanelor vizate sau de a transmite Operatorului orice cerere primită de la persoanele vizate, în legătură cu datele personale care au fost colectate și prelucrate de Împuternicit, în termen de maxim 5 zile calendaristice de la primirea acesteia. Această asistența nu se aplică în situația în care Operatorul are deja în instrumentele tehnice furnizate de către Împuternicit posibilitatea de a soluționa direct cererea persoanei vizate (de ex. Dreptul la acces – unde Operatorul are deja toate informațiile cu privire la ce date colectează);

• Obligația să nu transmită date cu caracter personal și/sau informații confidențiale, ce pot fi date cu caracter personal, despre care a luat cunoștință în timpul executării contractului;

• Obligația să asigure instruirea personalului autorizat să prelucreze datele cu caracter personal, cu privire la confidențialitatea acestor date;

• Obligația să includă obligații de confidențialitate către angajați și sub-împuterniciți;

• Dreptul să dezvăluie anumite date cu caracter personal în virtutea unei obligații legale sau a unei alte condiții prevăzute de legislație la solicitarea unei autorității, instituții publice sau instanțe judecătorești.

• Dreptul de a recruta sub-împuterniciți conform art. 8 sau în situația în care a primit aprobare din partea Operatorului;

• Dreptul la acoperirea costurilor generate de asigurarea asistenței Operatorului, de catre Operator, în situațiile prevăzute de GDPR conform art. 9, dacă acestea depășesc costul lunar al serviciilor prestate de către Împuternicit.

• Dreptul de a folosi informații statistice anonimizate ca urmare a activităților prestate ca urmare a acestui contract sau a întregii sale activități.

• Împuternicitul nu poate stabili scopuri sau mijloace de prelucrare a datelor cu caracter personal, acestea fiind stabilite exclusiv de către Operator.

Art.11 Securitatea prelucrării

11.1 Împuternicitul trebuie să îndeplinească măsuri tehnice și organizatorice adecvate pentru a asigura măsurile adecvate de securitate raportate la risc, conforme cu bunele practici în industrie. În stabilirea nivelului adecvat de securitate, Împuternicitul trebuie să ia în considerare stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, ca și riscurile care apar ca urmare a prelucrării, în special cu privire la cele care pot duce care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.

11.2 În acest context Împuternicitul a stabilit aplicarea internă a următoarele măsuri organizatorice și tehnice de securitate pentru securitatea datelor personale, luând în considerare tipul de activitate prestată:

• implementare standarde de securitate ISO27001/ISO27017/ISO27018

• audit periodic de securitate realizat de experti in securitate cibernetica

• acces limitat la baza de date pentru un numar foarte restrans de angajati ai Imputernicitului

• monitorizarea permanenta a accesului la baza de date

• criptarea conexiunii folosite de Operator pentru accesarea serviciului folosind SSL

• parolele clienților stocate criptat

• copii de siguranță regulate

11.3 În mod voluntar, Împuternicitul poate trimite rezumatele concluziilor auditorilor de securitate (după ștergerea informațiilor comerciale sau confidențiale) realizate periodic către Operatori pentru a demonstra activitățile sale continue pe acest subiect. Art.12 Limitarea răspunderii Operatorul este de acord să exonereze Împuternicitul de orice răspundere pentru pagubele ce ar putea decurge din:

• nerespectarea contractului din cauza unor evenimente ce exced oricărei răspunderi a Împuternicitului;

• respectarea instrucțiunilor Operatorului sau nerespectarea instrucțiunilor Operatorului justificată în prealabil printr-o notificare referitoare la nelegalitatea ei;

• lipsa sau vicierea acordului persoanelor vizate sau a utilizării unui temei legal greșit de către Operator;

• nerespectarea contractului din cauza unor acțiuni ale Operatorului.

Art.13 Delimitarea răspunderii

Operatorul și Împuternicitul își delimitează responsabilitățile cu privire la asigurarea protecției datelor cu caracter personal (de exemplu asigurarea confidențialității sau a securității prelucrării), în funcție de accesul și controlul efectiv exercitat asupra datelor, atât din punct de vedere contractual, cât și tehnic
Art.14 Intrare în vigoare și modificări.
Această anexă intră în vigoare pe 25 mai 2018 și este valabilă până la modificarea ei de către ContExact.ro și informarea clienților în acest sens. Utilizarea contului după informarea clienților înseamna acordul acestor cu privire la acest document.