1. CLAUZE GENERALE REFERITOARE LA PROTECTIA DATELOR CU CARACTER PERSONAL

1.1. Partile colecteaza si prelucreaza datele cu caracter personal inscrise in contractul de prestari servicii in conformitate cu legislatia in vigoare, in modalitati care asigura confidentialitatea si securitatea adecvata a acestor date, in vederea asigurarii protectiei impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale.

1.2. In procesul de prelucrarea a datelor cu caracter personal, partile aplica prevederile Regulamentului (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (regulamentul general privind protectia datelor) si ale legislatiei nationale.

1.3. Datele cu caracter personal comunicate in cadrul contractului de prestari servicii, vor fi prelucrate in scopul executarii contractului de prestari servicii.

1.4. Datele cu caracter personal colectate si prelucrate in vederea executarii contractului de prestari servicii, printre altele, sunt urmatoarele: (de ex.: nume si prenume, adresa, serie si numar carte de identitate, cod numeric personal, numar de telefon/fax, adresa de posta electronica, cod bancar).

1.5. Datele personale, comunicate in cadrul contractului de prestari servicii incheiat intre parti, pot fi comunicate institutiilor publice, in conformitate cu prevederile legale in vigoare.

1.6. In situatia in care este necesara prelucrarea datelor personale in alte scopuri decat cele prevazute in contractul de prestari servicii incheiat intre parti, partea care realizeaza prelucrarea va informa cealalta parte si ii va solicita acordul scris cu privire la prelucrarea datelor cu caracter personal, in conformitate cu prevederile legislatiei in vigoare.

1.7. Partile isi garanteaza reciproc dreptul la informare si acces la datele cu caracter personal, dreptul la rectificare, actualizare, portabilitate, stergere, la restrictionare si opozitie in conformitate cu prevederile legislatiei in vigoare.

1.8. Datele personale inscrise in contractul de prestari servicii incheiat intre parti sunt pastrate pe intreaga perioada de executare a contractului si ulterior incetarii acestuia, in conformitate cu prevederile legale referitoare la arhivarea documentelor.

1.9. In contextul Regulamentului (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date, prelucrare inseamna orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fara utilizarea de mijloace automatizate, cum ar fi colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea.

2. DOMENIU DE APLICARE

 

2.1. In cursul executării Contractului prelucrarea datelor persoanelor vizate de către Parti se va efectua doar cu respectarea dispoziţiilor acordului de prelucrare a datelor cu caracter personal.

2.2.Prevederile Contractului principal sau a altor acte juridice ulterioare încheiate de către Parti care nu au legătura cu prelucrarea datelor cu caracter personal a persoanelor fizice vizate, nu sunt influenţate de nicio maniera de acordul de prelucrare a datelor cu caracter personal.

2.3. Acordul pentru prelucrarea datelor cu caracter personal reglementează exclusiv relaţiile si raporturile derivate din calitatea părţilor, in urma intrării in aplicare a Regulamentului GDPR.

3. OBIECTUL SI DURATA ACORDULUI DE PRELUCRARE A DATELOR CU CARACTER PERSONAL

3.1. Acordul stabileşte responsabilităţile Partilor in ceea ce priveşte indeplinirea obligaţiilor impuse prin GDPR, in mod special cele privind garantarea drepturilor persoanei vizate reglementate de art. 7, art. 13, art. 14, art. 15-22 GDPR.

3.2.Valabilitatea acestui acord va fi aceeaşi cu durata de valabilitate a contractului principal.

4. TIPUL DE DATE PRELUCRATE DE PARTI SI CATEGORIILE DE PERSOANE

4.1. în desfăşurarea relaţiei contractuale, începând cu data semnării acordului, Părţile stabilesc scopurile si mijloacele de prelucrare a datelor persoanelor vizate, iar in funcţie de scopul operaţiunii rezulta necesitatea prelucrării anumitor date cu caracter personal ale persoanelor vizate. In concret, in desfăşurarea relaţiei contractuale, Părţile prelucrează - fara a se limita la - următoarele categorii de date: nume, prenume, CNP, date cuprinse in documentele de identitate, domiciliul stabil/reşedinţa, naţionalitatea/cetăţenia, ocupaţia/funcţia/statutul social (dupa caz), date despre persoane aflate in întreţinere sau membrii ai familiei (dupa caz), imagine (dupa caz), număr de telefon, semnătura, date de localizare georeferintiata (dupa caz), adresa IP (dupa caz), adresă de mail, precum si date medicale, respectiv date prinvind starea de sănătate a salariaţilor Beneficiarului, a administratorului BENEFICIARULUI, precum si a altor persoane in functie de evolutia prestarii serviciilor, dupa caz.

5. NATURA SI SCOPUL PRELUCRARII

5.1. Părţile prelucrează date in funcţie de operaţiunile de prelucrare specifice fiecăruia, pentru respectarea obligaţiilor rezultate din Contract, dar si pentru respectarea obligaţiilor impuse prin dispoziţiile legale specifice domeniului de activitate.

5.2. Principalele operaţiuni de prelucrarea a datelor sunt efectuate de parti in temeiul art. 6 alin. (1) lit. b) si c) din GDPR, in baza prevederilor legale cuprinse in legislaţia specifica domeniului de activitate, în baza acordului persoanelor fizice, salariaţi ai Beneficiarului, administratorul BENEFICIARULUI, precum si al altor persoane in functie de evolutia prestarii serviciilor, dupa caz, pentru prelucrarea datelor personale, precum si in baza art. 9 alin. (2) lit. h) GDPR .

5.3. Modalităţile de prelucrare a datelor cu caracter personal sunt cele prevăzute in Contractul iniţial, dar se bazează pe politicile/normele/procedurile interne ale părţilor si pe legislaţia specifica domeniului de activitate. Pe tot parcursul operaţiunii de prelucrare, părţile trebuie sa respecte principiile prelucrării datelor cu caracter personal, precum si drepturile si libertăţile persoanelor vizate reglementate prin GDPR.

6. RESPONSABILITATILE PARTILOR IN CONTEXTUL GDPR

6.1. Părţile vor tine seama de următoarele obligaţii, conform prevederilor GDPR:

1. a) Beneficiarul sa realizeze informarea persoanei vizate in condiţii art. 13 si art. 14 GDPR atat cu privire la fiecare operaţiune proprie de prelucrare a datelor acesteia, cat si cu privire la existenta persoanelor împuternicite, dupa caz; Aceasta informare se va face de către Beneficiar, anterior prezentării salariaţilor Beneficirului pentru întocmirea actelor, sau pentru situaţia solicitării de către reprezentanţii Beneficiarului de întocmire de acte in domeniul resurselor umane, cu ajutorul internetului si adreselor de e-mail cunoscute ca aparţinând Partilor;
2. b) Beneficiarul sa obtina consimţământul persoanei vizate, in cazurile in care este necesara acordul persoanei vizate, in funcţie de operaţiune si de categoria datelor prelucrate, respectiv de temeiul juridic prevăzut de art. 6 sau 9 GDPR, dupa caz, pentru a transmite datele obţinute către persoana împuternicita, furnizorul de servicii de contabilitate;
3. c) Părţile au obligaţia sa se informeze reciproc cu privire la cererile formulate de către persoanele vizate in legătura cu exercitarea drepturilor prevăzute prin GDPR art. 15-22 GDPR in legătura cu o operaţiunea de prelucrare a datelor realizata exclusiv de către Beneficiar. Intr-o asemenea situaţie, Beneficiarul va răspunde direct persoanei vizate in termenul legal. In situaţia in care pentru a soluţiona cererea persoanei vizate, sunt necesare informaţii de la Prestator, Părţile vor coopera pentru a răspunde in termenul legal persoanei vizate; In cazul in care, cererile formulate de către persoanele vizate, cu trimitere la exercitarea drepturilor prevăzute prin art. 15-22 GDPR, in legătura cu o operaţiunea de prelucrare a datelor realizata exclusiv de către Furnizorul de servicii de resurse umane sau in legătura cu serviciul prestat de acesta, intr-o asemenea situaţie, Furnizorul va răspunde direct persoanei vizate in termenul legal. In situaţia in care pentru a soluţiona cererea persoanei vizate, sunt necesare informaţii de la persoana împuternicita, Părţile vor coopera pentru a răspunde in termenul legal persoanei.
4. d) Sa informeze cealaltă Parte cu privire la orice eventual incident/risc de incident de securitate in urma căruia au fost afectate/ar putea fi afectate date ce intra sub incidenţa acordului. Conţinutul si termenul de transmitere a notificării are regimul juridic prevăzut pentru notificarea faptei către ANSPDCP in condiţiile art. 33 GDPR respectiv in 72 ore de la data la care oricare dintre Părţi a luat cunostina de existenta unui incident de securitate care poate prezenta riscuri pentru persoanele fizice;
5. e) Sa transmită celeilalte Parti pe cale securizata (ex: pe calea corespondentei electronice printr-un fiser criptat/parolat), precum si sa ia toate masurile necesare care sa asigure ca datele personale ale salariaţilor devin neinteligibile si neaccesibile persoanelor care nu sunt autorizate sa le acceseze.
6. f) Părţile vor prelucra datele personale si/sau medicale cu respectarea Principiilor de prelucrare a datelor cu caracter personal astfel cum au fost acestea menţionate in cadrul Cap. II art. 5 din GDPR, cu respectarea prevederilor legale în vigoare în această materie, luând toate măsurile, organizatorice şi tehnice, necesare pentru asigurarea confidenţialităţii şi securităţii datelor cu caracter personal, inclusiv împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale. Masurile tehnice si organizatorice trebuie sa respecte art. 32 din GDPR, asigurând un nivel adecvat de protecţie si securitate a datelor cu caracter personal. Părţile trebuie sa se informeze reciproc cu privire la orice decizie legata de securitate cu privire la prelucrarea datelor personale si medicale si procedurilor aplicate.
7. g) Părţile au dreptul de a modifica masurile tehnice si organizatorice existente daca exista soluţii mai eficiente;
8. h) Stabilesc şi îşi asumă că prelucrarea datelor salariaţilorsau a altor persoane fizice, ocazionată de contractul semnat intre parti, se va face exclusiv în scopul executării obiectului contractului principal si al acordului semnat intre parti, şi înţeleg că orice eventuală deviere de la scopul stabilit va atrage răspunderea părţii în culpă.
9. i) Părţile inteleg ca prelucrarea datelor personale si medicale se poate realiza de către fiecare dintre Parti doar cu respectarea drepturilor persoanelor vizate in conformitate cu art, 7, art. 13, art. 14 - art, 22 GDPR .precum si ca aceste drepturi pot fi exercitate cu privire la şi în raport cu fiecare/oricare dintre Parti;
10. j) Datele cu caracter personal/medical vor fi stocate pe o durata determinata, ulterior fiind şterse - in măsura si condiţiile in care legislaţia specifica aplicabila fiecărei părţi permite si/sau impune acest lucru.
11. CONFINDETIALITATEA DATELOR CU CARACTER PERSONAL

7.1. Părţile se angajează sa respecte confidenţialitatea in legătura cu prelucrarea datelor.

7.2.Părţile trebuie sa se asigure ca angajaţii implicaţi nu prelucrează date ale salariaţilor Beneficiarului fara autorizaţie si ca angajaţii implicaţi sunt obligaţi sa păstreze confidenţialitatea. Obligaţia de confidenţialitate continua si dupa Încetarea efectelor raporturilor de munca.

7.3. Împuternicitului îi este interzis sa furnizeze informaţii terţilor fara acordul scris, prealabil, al celuilalt cu excepţia cazului in care au o obligaţie legala de a face acest lucru (ex.: obligaţia de raportare către diverse autorităţi publice).