Fiecare in continuare denumita Parte, iar impreuna Parti.

Acesta este un acord privind prelucrarea datelor cu caracter personal în numele unui operator, în conformitate cu articolul 28 alin. 3 din Regulamentul General al UE 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (RGPD)

Având în vedere următoarele:

a. La data prezentului Acord sunt in derulare sau urmeaza a se incheia între Părţi unul sau mai multe contracte de prestari servicii de implementare sau suport in exploatarea aplicatiilor software Nexus ERP sau alte contracte de consultanta sau asistenta IT.

b. În cadrul activităţilor de service şi implementare prestate de Împuternicit, acesta poate avea acces la diverse informații ale Operatorului, informaţii care pot include și date cu caracter personal ale persoanelor fizice prelucrate în desfășurarea activității Operatorului.

c. În scopul asigurării conformității cu legislația aplicabilă privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (RGPD), prin prezentul Acord, părțile stabilesc condițiile de prelucrare a datelor cu caracter personal de către Împuternicit, în numele Operatorului, conform art. 28 alin. 3 din RUE 679/2016.

Definirea termenilor utilizaţi:

Termenii utilizați în prezentul acord au semnificațiile prezentate mai jos și termenii înrudiți trebuie interpretați în mod corespunzător:

a. ”prelucrare”, ”operator”, ”operator asociat”, ”persoană împuternicită de către operator”, ”persoană vizată”, ”date cu caracter personal”, ”categoriile speciale de date cu caracter personal” și ”parte terță” vor avea înțelesul atribuit prin Regulamentul UE 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date;

b. ”Autoritatea de Supraveghere” înseamnă Autoritatea Națională de Supraveghere a Prelucrării Datelor cu caracter Personal înființată prin Legea 102/03.05.2005.

c. ”Persoană vizată” înseamnă persoanele fizice ale căror date sunt prelucrate de către Operator în desfășurarea activității sale, precum membri ai Operatorului, angajați ai acestuia, colaboratori sau orice alte persoane ale căror date se regăsesc în evidențele Operatorului și/sau sunt stocate în aplicația software Nexus;

d. ”Date cu caracter personal ale Persoanei vizate” înseamnă orice date privind o persoană fizică identificată sau identificabilă, care se regăsesc în baza de date a Operatorului și/sau care sunt stocate pe echipamentele sale sau în aplicație;

e. ”Încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce la distrugerea, pierderea, modificarea, dezvăluirea neautorizată sau accesarea neautorizată a datelor cu caracter personal ale Persoanelor vizate, transmise, stocate sau prelucrate în alt mod, precum și orice încălcare a prezentului Act adițional sau a prevederilor din Contract privind protecția datelor cu caracter personal ale Persoanelor vizate, confidențialitatea sau securitatea;

f. ”Legislația aplicabilă privind protecția datelor” înseamnă Regulamentul UE 679/2016 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (RGPD), Legea 190/2018 privind măsuri de punere în aplicare a RUE 679/2016, precum și orice decizii, ordine, regulamente sau reglementări emise de Autoritatea de Supraveghere sau alte autorități competente de reglementare și care sunt menite să protejeze drepturile și libertățile fundamentale ale persoanelor vizate și, în particular, dreptul acestora la intimitate cu privire la prelucrarea datelor, aplicabile în România;

g. ”Servicii” înseamnă serviciile care vor fi furnizate de către Împuternicit Operatorului în conformitate cu Contractul;

h. ”Subcontractant” înseamnă orice persoană împuternicită (inclusiv orice terță parte și orice afiliat al Împuternicitului) desemnată de Împuternicit pentru a presta serviciile asumate în favoarea Beneficiarului și care poate avea acces, sub orice formă, la datele cu caracter personal ale Persoanelor vizate.



Părţile agreează cu privire la urmatoarele:

Art. 1. Obiectul, natura si scopul prelucrarii datelor cu caracter personal

1.1. Obiectul prelucrarii se refera la faptul ca Împuternicitul poate intra in contact cu Datele cu Caracter Personal ale Operatorului în Scopul executarii serviciilor prevazute în contractele de implementare şi suport aferente exploatării aplicaţiilor software Nexus ERP sau alte contracte de consultanta sau asistenta IT (denumite in continuare „Contractul”).

1.2. Datele cu Caracter Personal ale Operatorului si la care Împuternicitul, pentru indeplinirea obiectului Contractului, precum si documentele, informatiile, cunostintele, indiferent de suportul pe care se afla, la care Contractantul va avea acces pe parcursul derularii Contractului vor fi prelucrate in conformitate cu prezentul Acord.

1.3. Împuternicitul şi Operatorul convin că Datele cu Caracter Personal ale Operatorului nu vor fi transferate către Împuternicit. Indiferent de tipul prestaţiei Împuternicitului şi modul de acces: de la distanţă sau prezenţă fizică, întotdeauna datele se vor afla doar pe sistemele informartice ale Operatorului. În acest sens, atunci când Împuternicitul are nevoie de diverse seturi de date de test, Operatorul va trebui să pună la dispoziţia Împuternicitului doar date anonimizate sau date fictive.

Art. 2. Durata Prelucrarii

Perioada pentru care se prelucreaza Datele cu Caracter Personal nu trebuie sa depaseasca perioada necesara indeplinirii scopurilor in care sunt prelucrate datele si anume executarea fiecarui serviciu de asistenta solicitat de Operator in baza Contractului.
Având în vedere că serviciile care implica prelucrarea Datelor cu Caracter Personal se vor presta exclusiv pe sistemele informatice ale Operatorului, durata prelucrării poate varia de la câteva minute şi până la maxim opt ore.

Art. 3. Tipul de date cu caracter personal, categoriile de persoane vizate şi tipurile de prelucrări

3.1. Tipurile de Date cu Caracter Personal ale Operatorului de date cu care Împuternicitul poate intra în contact, pentru îndeplinirea obiectului Contractului şi în conformitate cu prevederile prezentului Acord, sunt datele stocate în bazele de date ale aplicaţiilor utilizate de către Beneficiar şi acestea pot fi: Nume complet, CNP, Varsta, Data nasterii, Adresa, Dovada identitatii (carte de identitate, pasaport,…), Sex, Email, Conturi de socializare, Nume de utilizator sau parola de accesare a sistemelor informatice, Telefon, Nationalitate, Stare civila, Stare de sanatate, Imagine, Cumparaturi, Comisioane, Asigurari, Date privind executarea contractelor de munca sau colaborare (contracte, venituri, functii, pontaj, concedii de odihna, concedii medicale, cont bancar, persoane aflate in intretinere, popriri salariale).

3.2. Categoriile de Persoane Vizate a caror date cu caracter personal pot fi prelucrate in conformitate cu prevederile prezentului Acord sunt urmatoarele: Angajaţi (ai Operatorului sau ai terţilor acestuia în cazul firmelor care oferă servicii contabile), Asociati, Acţionari, Colaboratori şi Persoane fizice – având calitatea de Clienţi, Prospecţi, Delegaţi, Furnizori, Persoane de contact, etc.

3.3. Tipurile de prelucrări considerate în prezentul acord sunt: colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

Art. 4. Obligaţiile şi drepturile părţilor

Obligaţii comune:

4.1. Obligaţia generală de respectare a legislatiei aplicabile
În vederea derularii Contractului şi a prezentului Acord, Părţile sunt pe deplin responsabile de respectarea obligatiilor impuse de legislaţia incidentă fiecareia dintre acestea cu privire la prelucrarea Datelor cu Caracter Personal şi sunt obligate sa respecte Regulamentul (UE) 2016/679.

4.2. Responsabilitatea transferului de date
Fiecare Parte îşi asumă obligaţia de a nu transfera Date cu Caracter Personal către cealaltă Parte, răspunderea pentru un transfer neconform aparţinând Părţii care a iniţiat transferul.

4.3. Evidenţa prelucrărilor
În scopul monitorizării operaţiunilor de prelucrare efectuate conform prezentului Acord şi a respectării obligaţiilor asumate prin prezentul Acord, Operatorul va înregistra solicitarile de servicii adresate către Împuternicit care se refera la date cu caracter personal într-un registru de „Evidenţă a activităţilor de prelucrare”. Împuternicitul va înregistra intr-un registru de „Evidenţă a activităţilor de prelucrare” categoriile de activităţi de prelucrare desfăşurate pentru operator.

Registru de evidenţă a Împuternicitului este electronic şi este integrat în instrumentele de suport aflate pe site-ul Producătorului www.suport.nexuserp.ro.
În acest fel Operatorul poate oricând verifica activităţile derulate de Împuternicit.

4.4. Principalele drepturi şi obligaţii ale Operatorului de date sunt:

a. Operatorul poate solicita şi autoriza accesul Împuternicitului în interfata şi baza de date a aplicatiei software Nexus Erp in scopul asigurarii serviciilor prevazute in Contract. Operatorul poate acorda imputernicitului acces la alte date cu caracter personal cum ar fi: acces remote pe calculatoarele din reteaua interna a Operatorului, documente legate de relatiile de munca (contracte de munca, baze de date Revisal, certificate de concediu medical, etc.), tabele cu facturi de vanzare catre persoane fizice, declaratii fiscale, etc.

b. Operatorul este raspunzator pentru informarea Persoanelor Vizate şi, daca este cazul, obţinerea consimţământului acestora, privind prelucrarea de către cealaltă Parte a datelor cu caracter personal în conformitate cu prevederile prezentului Acord precum si asupra drepturilor acestora in conformitate cu Regulamentul (UE) 2016/679.

c. Operatorul de date este raspunzator de respectarea obligatiilor referitoare la prelucrarea datelor cu caracter personal prevazute de lege in contextul utilizarii aplicatiilor software Nexus ERP sau a altor sisteme IT pentru care Împuternicitul asigură serviciile de suport. Operatorul este raspunzator pentru exploatarea de catre angajaţii Operatorului, colaboratori sau terti contractati de catre Operator a sistemelor IT intr-un mod care poate genera încalcari ale Regulamentului. În acest sens, Operatorul este responsabil pentru:
  • auditarea tipurilor de prelucrari de date cu caracter personal pe care le efectueaza, a aplicatiilor software si sistemelor hardware utilizate, a scenariilor de acces, exploatare si backup a aplicatiilor software;
  • configurarea licentierii, userilor, interfetei, rapoartelor aplicatiei software astfel incat sa fie asigurat un nivel corespunzator de securitate si confidentialitate a datelor cu caracter personal;
  • asigurarea copiilor de siguranta periodice a bazelor de date, inclusiv criptarea acestora;
  • orice alte masuri tehnice si organizatorice pe care le considera necesare pentru protectia persoanelor fizice si asigurarea securitatii prelucrarii datelor, conform cerintelor prevazute in Regulamentul (UE) 2016/679.

    d. Atunci când Împuternicitul are nevoie de diverse seturi de date de test pentru realizarea Contractului, Operatorul are obligaţia să pună la dispoziţia Împuternicitului doar date anonimizate sau date fictive.

    e. Operatorul va garanta respectarea măsurilor corespunzătoare de securitate, tehnice şi organizatorice, necesare protecţiei şi securităţii corespunzătoare a Datelor cu caracter Personal prelucrate în conformitate cu standardele proprii de Securitate.
    Operatorul se obligă să facă cunoscute, angajante contractual și respectate de către personalul său a tuturor acestor măsuri.

    Împuternicitul poate asigura, la solicitarea Operatorului, servicii de asistenta (contra cost) pentru implementarea măsurilor care vizeaza prelucrari de date prin intermediul aplicatiilor software Nexus ERP sau a altor sisteme IT pentru care Împuternicitul asigură serviciile de suport.

    4.5. Principalele drepturi şi obligaţii ale Împuternicitului cu privire la prelucrarea datelor cu caracter personal ale Operatorului:

    a. Împuternicitul atunci când va prelucra date cu caracter personal este responsabil în ceea ce priveste masurile de securitate tehnice si organizatorice referitoare la operaţiunile de prelucrare a acestor date, astfel incat să respecte cerintele prevazute de Regulamentul (UE) 2016/679.
    Împuternicitul va prelucra Datele cu caracter Personal doar în baza prezentului acord, respectând prevederile legislației aplicabile.

    b. Împuternicitul se va asigura că prelucrarea datelor va respecta Regulamentul (UE) 2016/679, astfel:
  • Prelucrarea Datelor cu caracter Personal se va realiza doar pentru scopul executării Contractului si în niciun caz nu vor fi folosite ulterior în alte scopuri sau în folosul propriu al Împuternicitului.
  • Prelucrarea se va realiza exclusiv în conditii care pot asigura confidentialitatea și respectarea drepturilor Persoanelor Vizate.
  • Prelucrarea se va realiza cu bună-credință și într-un mod transparent, adecvat și neexcesiv în strictă concordanță cu scopul prelucrării.
  • Prelucrarea se va realiza în modalități care să asigure obligatoriu securitatea lor, inclusiv protecția împotriva accesării și prelucrării sau divulgării neautorizate sau ilegale a Datelor cu caracter Personal transmise.
  • Prelucrarea se va realiza cu simțul de răspundere si cu precauția necesare în vederea prevenirii încălcării securității Datelor cu caracter Personal, a pierderilor, distrugerilor sau deteriorărilor accidentale, Împuternicitul fiind obligat în acest sens să asigure implementarea măsurilor tehnice și organizatorice corespunzătoare.

    c. Împuternicitul este responsabil de instruirea Personalului propriu în ceea ce priveste masurile de securitate tehnice si organizatorice referitoare la operatiunile de prelucrare a datelor cu caracter personal.
    În acest sens, Împuternicitul:
    i) va limita si permite accesul la Datele cu Caracter Personal numai pentru angajatii sai care au rolul de a duce la indeplinire obligatiile contractului;
    ii) este pe deplin responsabil in ceea ce priveste instruirea Personalului propriu cu privire la obligatiile prevazute in prezentul Acord si in Regulamentul (UE) 2016/679;
    iii) se asigura că în cazul incetarii, din orice motiv, a relatiei de colaborare cu Personalul propriu, toate si oricare abilitati informatice acordate Personalului vor fi şterse, iar datele cu caracter personal vor ramane in deplina siguranta;
    iv) Contractantul nu va dezvalui Datele cu Caracter Personal altor categorii de persoane decat cele care sunt implicate în mod direct pentru derularea Contractului;
    v) Împuternicitul va restrictiona accesul persoanelor neautorizate la calculatoarele utilizate pentru prelucrarea datelor cu caracter personal prin măsuri de securitate corespunzătoare.

    d. Împuternicitul este raspunzator pentru comportamentul Personalului propriu şi se obliga sa respecte urmatoarele reguli în ceea ce priveste operatiunile de prelucrare a datelor cu caracter personal, dupa cum urmeaza:
    i) orice prelucrare a datelor cu caracter personal de catre Împuternicit va fi efectuata doar la solicitarea operatorului, transmisa telefonic, prin email, prin sistemul de ticketing al aplicatiilor software Nexus ERP sau prin alta forma de comunicare prevazuta in Contracte.
    ii) să aibă acces la datele cu caracter personal numai in scopul derularii Contractului;
    iii) să păstreze confidenţialitatea datelor cu caracter personal primite în scopul executarii Contractului sau la care au avut acces ca urmare a unei vulnerabilitati a sistemelor informatice;
    iv) să nu acceseze Date cu Caracter Personal care nu fac obiectul executarii Contractelor şi pentru care nu a primit autorizare prealabilă a Operatorului;

    e. La data încetării efectelor juridice ale Contractului, indiferent de motivul încetării, Împuternicitul se obligă să nu mai acceseze sistemele informatice ale Operatorului la care a primit acces în scopul executarii contractului;

    f. Cu privire la masurile de securitate necesare pentru prelucrarea datelor cu caracter personal, Imputernicitul se obliga, avand in vedere ca are acces la Date cu caracter personal, sa aplice masurile tehnice si organizatorice adecvate pentru protejarea oricaror date si in special a celor cu caracter personal primite, impotriva distrugerii accidentale sau ilegale, pierderii, modificarii, dezvaluirii sau accesului neautorizat, in special daca prelucrarea respectiva comporta transmisii de date in cadrul unei retele, precum si impotriva oricarei alte forme de prelucrare ilegala.

    g. Având în vedere toate prevederile de mai sus, Împuternicitul va pune la dispozitia Operatorului, la solicitarea acestuia, informatiile necesare pentru a demonstra respectarea obligatiilor asumate - Registru de evidenţă a activităţilor de prelucrare.

    h. Împuternicitul va garanta respectarea măsurilor corespunzătoare de securitate, tehnice şi organizatorice, necesare protecţiei şi securităţii corespunzătoare a Datelor cu caracter Personal prelucrate în numele Operatorului în conformitate cu standardele proprii de Securitate.
    Împuternicitul se obligă să facă cunoscute, angajante contractual și respectate de către personalul său a tuturor acestor măsuri.

    i. Împuternicitul va verifica periodic respectarea acestor măsuri şi va oferi Operatorului acces la Registrul de evidenţă a prelucrărilor unde vor fi notificate inclusiv măsurile de securitate care au fost luate.
    Împuternicitul va testa eficiența măsurilor și va revizui aceste măsuri și controale. Cerințe tehnice și de securitate suplimentare pot fi prevăzute, de la caz la caz.

    j. Împuternicitul nu poate delega sau subcontracta efectuarea serviciilor prevazute în Contract în cazul în care aceasta presupune accesul subcontractanţilor la datele cu caracter personal ale Operatorului.
    Operatorul dacă va dori un alt prestator de servicii care să completeze serviciile prestate va încheia un acord separat cu acesta iar Împuternicitul nu va avea nici o răspundere legată de activităţile prestate de cei doi.

    k. Împuternicitului trebuie să poată pune în aplicare cel puţin următoarele măsuri de securitate:
    a) Controlul accesului în spații și facilități pe bază de card de acces sau ID personal.
    b) Prevenirea obţinerii accesului persoanelor neautorizate la sistemele de prelucrare a Datelor cu caracter Personal prin utilizarea parolelor de acces şi stabilirea unei scheme de drepturi de acces ale utilizatorilor la sistemele informatice.
    c) Va folosi protectie firewall şi software antivirus instalat pe sistemele de prelucrare a datelor.
    d) Având în vedere că majoritatea intervenţiilor Împuternicitului se efectuează utilizând conexiuni la distanţă acesta va utiliza, în comun acord cu Operatorul, soluţii sofware de proveninţă sigură, cum ar fi: MS SQL Server Management Studio, MS Quick Assist, Team Viewer, Splashtop Business, etc.

    Art. 5. Răspunderea Părţilor

    5.1. Neîndeplinirea culpabila sau îndeplinirea necorespunzatoare a obligatiilor asumate prin prezentul Acord de către una dintre Părţi poate fi invocată de cealaltă parte ca motiv de încetare a Contractului aflat în derulare între părţi.

    5.2. Părţile convin ca, înainte de a solicita încetarea Contractului conform prezentului articol din Acord, să acorde celeilalte Parti o perioada de 30 zile pentru remedierea deficienţelor.

    5.3. Prezentul Acord are scopul de a stabili modalitatea de colaborare între Operator şi Împuternicit în ceea ce priveşte respectarea Regulamentul (UE) 2016/679. Nu se vor plăti între Părţi daune-interese, cheltuieli, taxe de orice natură, în situatia neexecutarii sau executarii necorespunzatoare a obligaţiilor din prezentul Acord. Părţile răspund pentru nerespectarea obligaţiilor stabilite în Regulamentul (UE) 2016/679 doar în faţa autorităţilor competente.

    5.4. Conform legislatiei în vigoare, persoanele fizice vizate dacă au suferit daune ca rezultat al încălcării GDPP pot solicita despăgubiri fie de la operatorul de date, fie de la persoana împuternicită de operatorul de date - în funcţie de culpa dovedită a fiecărei părţi în parte.

    Art. 6. Comunicarea dintre părţi. Notificări

    6.1. Operatorul va solicita Împuternicitului efectuarea serviciilor prevazute în Contracte, servicii care implică prelucrari de date cu caracter personal conform prezentului Acord, prin orice modalitate de comunicare considerată adecvata prelucrarii respective, cum ar fi, dar fara a se limita la: telefonic, prin email, prin sistemul de ticketing al aplicatiilor software Nexus ERP sau prin alta forma de comunicare prevazuta in Contracte.

    6.2. Notificările legate de prezentul Acord vor fi transmise celeilalte părţi prin procedura agreată în Contractul existent între părţi

    Art. 7. Dispoziţii Finale

    7.1. Amendamente si adaugari la acest Acord devin efective doar daca au fost convenite in scris si semnate de reprezentantii legal autorizati ai celor doua Parti, mentionati in prezentul Acord sau notificati ulterior in scris.

    7.2. Dacă una sau mai multe prevederi ale prezentului Acord devin invalide, ilegale sau neaplicabile in orice fel, validitatea, legalitatea sau aplicabilitatea prevederilor ramase in Acord nu vor fi afectate sau primejduite. Cu toate acestea, Părţile sunt de acord sa depuna toate diligentele necesare pentru a atinge scopul prevederilor invalide prin intermediul unor noi prevederi valide din punct de vedere legal.