Fiecare in continuare denumita Parte, iar impreuna Parti.

INTRUCAT:

a. La data prezentului Acord sunt in derulare sau urmeaza a se incheia unul sau mai multe contracte de prestari servicii de implementare, actualizare sau suport in exploatarea aplicatiilor software Nexus Erp sau alte contracte de consultanta sau asistenta IT.

b. Pe parcursul derularii relatiei contractuale dintre Parti, in activitatile normale de prestare de servicii, Contractantul poate intra in contact cu Date cu caracter personal ale operatorului, salariatilor sau tertilor acestuia, date care trebuie protejate conform legislatiei aplicabile

c. Partile pot transfera una catre cealalta date cu caracter personal, date care trebuie protejate conform legislatiei aplicabile,

d. Incepand cu data de 25 mai 2018 va fi abrogata Directiva 95/46/CE (si Legea nationala nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date) si va fi aplicabil Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date (denumit in continuare si „Regulamentul general privind protectia datelor” sau „Regulamentul (UE) 2016/679”);

e. In conformitate cu prevederile Regulamentului general privind protectia datelor, prelucrarea de catre o persoana imputernicita de operatorul de date trebuie sa fie reglementata printr-un act juridic care sa aiba caracter obligatoriu pentru persoana imputernicita in raport cu operatorul si care stabileste: obiectul, durata prelucrarii, natura si scopul, tipul de date cu caracter personal si categoriile de persoane vizate, obligatiile si drepturile partilor,

Partile agreeaza cu privire la urmatoarele:

Art. 1. Obiectul, natura si scopul prelucrarii datelor cu caracter personal

1.1. Obiectul prelucrarii se refera la faptul ca Imputernicitul poate intra in contact sau ii pot fi transferate Datele cu Caracter Personal in Scopul executarii serviciilor prevazute in contractele de prestari servicii de implementare, actualizare si suport in exploatarea aplicatiilor software Nexus Erp sau alte contracte de consultanta sau asistenta IT (denumite in continuare „Contractul”).

1.2. Datele cu Caracter Personal ale Operatorului si la care Imputernicitul, pentru indeplinirea obiectului Contractului, precum si documentele, informatiile, cunostintele, indiferent de suportul pe care se afla (de exemplu, dar fara a se limita la: format fizic, format electronic, dischete, discuri, cd-uri, harduri), la care Contractantul va avea acces pe parcursul derularii Contractului vor fi prelucrate in conformitate cu prezentul Acord.

Art. 2. Durata Prelucrarii

a) Perioada pentru care se prelucreaza Datele cu Caracter Personal nu trebuie sa depaseasca perioada necesara indeplinirii scopurilor in care sunt prelucrate datele si anume executarea fiecarui serviciu de asistenta solicitat de Operator in baza Contractului.

b) In cazul incetarii Contractului, termenul de pastrare a Datelor cu Caracter Personal detinute de Imputernicit in scopul executarii Contractului nu poate depasi 6 luni de la data incetarii Contractului, cu exceptia datelor si informatiilor necesare conform legii pentru evidentierea activitatii, tinand cont si de obligatiile de arhivare si de raportare.

Art. 3. Tipul de date cu caracter personal si categoriile de persoane vizate

3.1. Tipurile de Date cu Caracter Personal ale Operatorului de date cu care Imputernicitul poate intra in contact, pentru indeplinirea obiectului Contractului, in conformitate cu prevederile prezentului Acord sunt, dar fara a se limita la, urmatoarele: Nume complet, CNP, Varsta, Data nasterii, Adresa, Dovada identitatii (carte de identitate, pasaport,…), Sex, Email, Conturi de socializare, Nume de utilizator sau parola de accesare a sistemelor informatice, Telefon, Nationalitate, Stare civila, Stare de sanatate, Imagine, Cumparaturi, Comisioane, Asigurari, Date privind executarea contractelor de munca sau colaborare (contracte, venituri, functii, pontaj, concedii de odihna, concedii medicale, cont bancar, persoane aflate in intretinere, popriri salariale)

3.2. Categoriile de "Persoane Vizate a caror date cu caracter personal pot fi prelucrate in conformitate cu prevederile prezentului Acord sunt, dar fara a se limita la, urmatoarele: Angajati (ai Operatorului sau ai tertilor acestuia), Relatii angajati (ai Operatorului sau ai tertilor acestuia), Membri in asociatii/fundatii/organisme profesionale, Persoane din structurile de management, Asociati, Actionari, Colaboratori, Persoane fizice – avand calitatea de clienti, Delegati, Parteneri de afaceri (furnizori, clienti, intermediari, persoane de contact, prospecti, etc.).

Art. 4. Obligatiile si drepturile partilor

Obligatii comune:

4.1. Obligatia generala de respectare a legislatiei aplicabile In vederea derularii Contractului si a prezentului Acord, Partile sunt pe deplin responsabile de respectarea obligatiilor impuse de legislatia incidenta fiecareia dintre acestea cu privire la prelucrarea Datelor cu Caracter Personal si, incepand cu data de 25 mai 2018, sunt obligate sa respecte Regulamentul (UE) 2016/679.

4.2. Responsabilitatea transferului de date
Fiecare parte isi asuma obligatia ca transferul datelor cu caracter personal catre cealalta Parte sa se realizeze exclusiv pentru scopul executarii Contractului si respectand cadrul activitatilor derulate de catre acestia, raspunderea pentru un transfer neconform apartinand Partii care a initiat transferul.

4.3. Transferul de date catre alti destinatari
Avand in vedere evolutia naturala a domeniului IT, destinata furnizarii de aplicatii informatice in scopul digitalizarii serviciilor prestate de catre furnizorii de servicii IT, se intelege ca, pentru derularea Contractului, Datele cu Caracter Personal transferate de catre Operator pot fi transferate catre alti destinatari, inclusiv catre alte companii din acelasi grup, autoritati publice (de exemplu, dar fara a se limita la: autoritatile de aplicare a legii si de infaptuire a justitiei in baza unei solicitari oficiale), imputernicitii si/sau colaboratorii partii in cauza.

4.4. Evidenta prelucrarilor
In scopul monitorizarii operatiunilor de prelucrare efectuate conform prezentului Acord si a respectarii obligatiilor asumate prin prezentul Acord, Operatorul va inregistra solicitarile de servicii adresate catre Imputernicit care se refera la date cu caracter personal intr-un registru de „Evidenta a activitatilor de prelucrare”. Imputernicitul va inregistra intr-un registru de „Evidenta a activitatilor de prelucrare” categoriile de activitati de prelucrare desfasurate pentru operator.
Partile convin asupra utilizarii unui registru de "Evidenta a activitatilor de prelucrare" inclusiv in situatia in care aceasta evidenta nu este obligatorie conform Art. 30 (5) din Regulamentul (UE) 2016/679.

4.5. Principalele obligatii ale Operatorului de date sunt:

a. Operatorul poate solicita si autoriza accesul Imputernicitului in interfata si baza de date a aplicatiei software Nexus Erp in scopul asigurarii serviciilor prevazute in Contract. Operatorul poate acorda imputernicitului acces la alte date cu caracter personal cum ar fi: acces remote pe calculatoarele din reteaua interna a Operatorului, documente legate de relatiile de munca (contracte de munca, baze de date Revisal, certificate de concediu medical, etc.), tabele cu facturi de vanzare catre persoane fizice, declaratii fiscale, etc.

b. Operatorul este raspunzator pentru informarea Persoanelor Vizate si, daca este cazul, obtinerea consimtamantului acestora, privind prelucrarea si transferul catre cealalta Parte a datelor cu caracter personal in conformitate cu prevederile prezentului Acord precum si asupra drepturilor acestora in conformitate cu Regulamentul (UE) 2016/679.

c. Operatorul de date este raspunzator de respectarea obligatiilor referitoare la prelucrarea datelor cu caracter personal prevazute de lege in contextul utilizarii aplicatiilor software Nexus Erp sau a altor sisteme IT pentru care Imputernicitul asigura serviciile de suport. Operatorul este raspunzator pentru exploatarea de catre angajatii Operatorului, colaboratori sau terti contractati de catre Operator a sistemelor IT intr-un mod care poate genera incalcari ale Regulamentului. In acest sens, Operatorul este responsabil pentru:
  • auditarea tipurilor de prelucrari de date cu caracter personal pe care le efectueaza, a aplicatiilor software si sistemelor hardware utilizate, a scenariilor de acces, exploatare si backup a aplicatiilor software;
  • configurarea licentierii, userilor, interfetei, rapoartelor aplicatiei software astfel incat sa fie asigurat un nivel corespunzator de securitate si confidentialitate a datelor cu caracter personal;
  • asigurarea copiilor de siguranta periodice a bazelor de date, inclusiv criptarea acestora;
  • orice alte masuri tehnice si organizatorice pe care le considera necesare pentru protectia persoanelor fizice si asigurarea securitatii prelucrarii datelor, conform cerintelor prevazute in Regulamentul (UE) 2016/679.

    Imputernicitul poate asigura, la solicitarea Operatorului, asistenta pentru implementarea masurilor care vizeaza prelucrari de date prin intermediul aplicatiilor software Nexus Erp sau a altor sisteme IT pentru care Imputernicitul asigura serviciile de suport.

    4.6. Principalele obligatiile ale Imputernicitului cu privire la prelucrarea datelor cu caracter personal sunt:

    a. Imputernicitul declara si garanteaza ca ofera suficiente garantii in ceea ce priveste masurile de securitate tehnice si organizatorice referitoare la operatiunile de prelucrare a datelor cu caracter personal si respecta normele de securitate, astfel incat prelucrarea Datelor cu Caracter Personal ale persoanelor vizate sa respecte cerintele prevazute de Regulamentul (UE) 2016/679, sa asigure protectia drepturilor persoanei vizate si securitatea prelucrarii datelor, in conformitate cu prevederile articolului 32 din Regulamentul (UE) 2016/679.

    b. Imputernicitul declara si garanteaza ca s-a asigurat de faptul ca Personalul propriu ofera suficiente garantii in ceea ce priveste masurile de securitate tehnice si organizatorice referitoare la operatiunile de prelucrare a datelor cu caracter personal. In acest sens, Imputernicitul:
    i) va limita si permite accesul la Datele cu Caracter Personal numai pentru angajatii sai care au rolul de a duce la indeplinire obligatiile contractului;
    ii) este pe deplin responsabil in ceea ce priveste instruirea Personalului propriu cu privire la obligatiile prevazute in prezentul Acord si in Regulamentul (UE) 2016/679;
    iii) se asigura ca in cazul incetarii, din orice motiv, a relatiei de colaborare cu Personalul propriu, toate si oricare abilitati informatice acordate Personalului vor fi sterse, iar datele cu caracter personal vor ramane in deplina siguranta;
    iv) Contractantul nu va dezvalui Datele cu Caracter Personal altor categorii de persoane decat cele care sunt implicate in mod direct pentru derularea Contractului.

    c. Imputernicitul poate delega sau subcontracta efectuarea serviciilor prevazute in Contract, cu conditia de a se asigura ca angajatii sau tertii cu care colaboreaza in vederea indeplinirii obligatiilor contractuale sunt informati si ofera garantii suficiente in ceea ce priveste protectia persoanelor fizice si asigurarea securitatii prelucrarii datelor, conform cerintelor prevazute in Regulamentul (UE) 2016/679.

    d. Imputernicitul este raspunzator pentru comportamentul Personalului propriu sau a tertilor catre care a delegat sau subcontractat efectuarea serviciilor prevazute in Contract si se obliga sa respecte urmatoarele reguli in ceea ce priveste operatiunile de prelucrare a datelor cu caracter personal, dupa cum urmeaza:
    i) orice prelucrare a datelor cu caracter personal de catre Imputernicit va fi efectuata doar la solicitarea operatorului, transmisa telefonic, prin email, prin sistemul de ticketing al aplicatiilor software Nexus ERP sau prin alta forma de comunicare prevazuta in Contracte.
    ii) sa utilizeze datele cu caracter personal numai in scopul derularii Contractului;
    iii) sa pastreze confidentialitatea datelor cu caracter personal primite in scopul executarii Contractului sau la care au avut acces ca urmare a unei vulnerabilitati a sistemelor informatice;
    iv) sa nu acceseze Date cu Caracter Personal care nu fac obiectul executarii Contractelor si pentru care nu a primit autorizare prealabila a Operatorului;

    e. La data incetarii efectelor juridice ale Contractului, indiferent de motivul incetarii, Imputernicitul se obliga sa nu mai acceseze sistemele informatice ale Operatorului la care a primit acces in scopul executarii contractului;

    f. In termen de 6 luni de la data incetarii efectelor juridice ale Contractului, Imputernicitul se obliga:
    i) sa inapoieze sau sa stearga toate Datele cu Caracter Personal furnizate de Operator sau pe care Imputernicitul le poseda in scopul executarii Contractului;
    ii) sa distruga sau sa anonimizeze toate copiile si inregistrarile Datelor cu Caracter Personal, cu exceptia autorizarii exprese din partea Operatorului sau a cazurilor cand legea sau reglementarile interne permite si/sau obliga la pastrarea acestora.


    g. Cu privire la masurile de securitate necesare pentru prelucrarea datelor cu caracter personal, Imputernicitul se obliga, avand in vedere ca are acces la Date cu caracter personal, sa aplice masurile tehnice si organizatorice adecvate pentru protejarea oricaror date si in special a celor cu caracter personal primite, impotriva distrugerii accidentale sau ilegale, pierderii, modificarii, dezvaluirii sau accesului neautorizat, in special daca prelucrarea respectiva comporta transmisii de date in cadrul unei retele, precum si impotriva oricarei alte forme de prelucrare ilegala.

    h. Avand in vedere toate prevederile de mai sus, Imputernicitul va pune la dispozitia Operatorului, la solicitarea acestuia, informatiile necesare pentru a demonstra respectarea obligatiilor asumate.

    Art. 5. Raspunderea Partilor

    5.1. Neindeplinirea culpabila sau indeplinirea necorespunzatoare a obligatiilor asumate prin prezentul Acord de catre una dintre Parti poate fi invocata de cealalta parte ca motiv de incetare a Contractului in baza caruia prezentul Acord a fost incheiat.

    5.2. Regulile privind comunicarea solicitarii de incetare a contractului sunt cele stabilite in Contract.

    5.3. Partile convin ca, inainte de a solicita incetarea Contractului conform prezentului articol din Acord, sa acorde celeilalte Parti o perioada de 30 zile pentru remedierea deficientelor.

    5.4. Prezentul Acord are scopul de a stabili modalitatea de colaborare intre Operator si Imputernicit in ceea ce priveste respectarea Regulamentul (UE) 2016/679. Nu se vor plati daune-interese, cheltuieli, taxe de orice natura, in situatia neexecutarii sau executarii necorespunzatoare a obligatiilor din prezentul Acord. Partile raspund pentru nerespectarea obligatiilor stabilite in Regulamentul (UE) 2016/679 doar in fata autoritatilor competente.

    Art. 6. Comunicarea intre parti. Notificari

    6.1. Operatorul va solicita Imputernicitului efectuarea serviciilor prevazute in Contracte, servicii care implica prelucrari de date cu caracter personal conform prezentului Acord, prin orice modalitate de comunicare considerata adecvata prelucrarii respective, cum ar fi, dar fara a se limita la: telefonic, prin email, prin sistemul de ticketing al aplicatiilor software Nexus ERP sau prin alta forma de comunicare prevazuta in Contracte.

    6.2. Notificarile legate de prezentul Acord vor fi transmise celeilalte parti prin procedura agreata in Contractul existent intre parti

    Art. 7. Dispozitii Finale

    7.1. Amendamente si adaugari la acest Acord devin efective doar daca au fost convenite in scris si semnate de reprezentantii legal autorizati ai celor doua Parti, mentionati in prezentul Acord sau notificati ulterior in scris.

    7.2. Daca una sau mai multe prevederi ale prezentului Acord devin invalide, ilegale sau neaplicabile in orice fel, validitatea, legalitatea sau aplicabilitatea prevederilor ramase in Acord nu vor fi afectate sau primejduite. Cu toate acestea, Partile sunt de acord sa depuna toate diligentele necesare pentru a atinge scopul prevederilor invalide prin intermediul unor noi prevederi valide din punct de vedere legal.