Politica de
confidențialitate
Prelucrarea Datelor cu Caracter Personal
Având în vedere prevederile în vigoare referitoare la cadrul legal de prelucrare a datelor cu caracter personal, confidențialitatea, securitatea și protecția datelor și având în vedere că ambele părți au obligația de a se conformă acestor prevederi;
Având în vedere că în relația contractuală dintre cei doi Parteneri contractuali, fiecare poate avea calitatea de Parte primitoare sau Parte Transmițătoare a datelor personale, părțile convin că termenii și condițiile enunțate mai jos se adaugă ca un addendum la contractul principal.
1. Definiții
Termenii utilizați în prezentul acord au semnificațiile prezentate în prezentul acord. Termenii care nu au fost definiți în prezentul document au semnificația dată în contractul principal. Cu excepția modificărilor de mai jos, termenii contractului principal vor rămâne în vigoare.
Utilizarea termenului “Partener contractual” nu înseamnă existența oricărei forme de parteneriat juridic între părți.
1.1.1.”Date personale” înseamnă orice date personale, astfel cum sunt definite în legile privind protecția datelor, dezvăluite de o parte (“Partea Transmițătoare”) celeilalte părți (“Partea Primitoare”) în exercitarea drepturilor sau obligațiilor acelei părți în temeiul contractului principal;
1.1.2. „Prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal cum ar fi: colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
1.1.3. „Operator” înseamnă persoană fizică sau juridică care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal;
1.1.4. “Împuternicit”/„Persoană împuternicită pentru prelucrarea datelor” înseamnă persoană fizică sau juridică care prelucrează datele cu caracter personal în numele operatorului;
1.1.5. “Afiliat” înseamnă o entitate care deține sau controlează, este deținută sau controlată de/ sau este controlată /sau este controlată sau deținută împreună cu Mar-Ina Prodprest SRL sau cu Partenerul Contractant (după cum permite contextul), unde controlul este definit că posesie, direct sau indirect, a puterii de a conduce sau a determina direcția conducerii și a politicilor unei entități, fie prin deținerea de titluri cu drept de vot, prin contract sau prin altfel;
1.1.6. “Legile privind protecția datelor” înseamnă Regulamentul nr. 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind liberă circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (numit în cele ce urmează “GDPR” și colectiv cu legile UE privind protecția datelor);
1.1.7. “Solicitare a Datelor de Date” înseamnă o solicitare din partea unei Persoane vizate de a-și exercită orice drept în temeiul Legilor privind protecția datelor;
1.1.8. “SEE” înseamnă Spațiul Economic European;
1.1.9. “Transfer restricționat” înseamnă transferul datelor cu caracter personal de la Partea Transmițătoare sau afiliatul acesteia la Partea Primitoare sau la afiliatul acesteia, în cazul în care transferul ar fi interzis de legile privind protecția datelor în absența clauzelor contractuale standard. Pentru a evita orice îndoială: (a) fără a se limita la caracterul general al celor de mai sus, părțile la acest acord intenționează că transferurile de date cu caracter personal din Regatul Unit către Uniunea Europeană sau din Uniunea Europeană către Regatul Unit, în urmă oricărei ieșiri din partea Regatul Unit al Uniunii Europene va fi transfer restricționat pentru o astfel de perioada și într-o asemenea măsură încât astfel de transferuri ar fi interzise de legile britanice privind protecția datelor sau de legile UE privind protecția datelor (după caz) în absența clauzelor contractuale standard; și (b) în cazul în care un transfer de date cu caracter personal dintr-o țară într-o altă țară este de un tip autorizat de legile privind protecția datelor din țară exportatoare, de exemplu în cazul transferurilor din interiorul Uniunii Europene către o țară sau un sistem (cum ar fi US Privacy Shield), care este aprobat de Comisia Europeană că asigurând un nivel adecvat de protecție sau orice transfer care se încadrează într-o derogare permisă, un astfel de transfer nu va fi un transfer restricționat în sensul prezentului Acord.
1.1.10. “Autoritate de supraveghere” înseamnă: (a) o autoritate publică independența stabilită de un stat membru în conformitate cu articolul 51 din GDPR; și (b) orice autoritate de reglementare similară responsabilă cu aplicarea legilor privind protecția datelor
2. Operatori
2.1. Funcție de momentul prelucrării datelor cu caracter personal, Părțile își recunosc reciproc calitatea de operator, respectiv împuternicit pentru prelucrarea datelor (astfel cum este stabilit conform prevederilor de mai sus) în cadrul executării Contractului și, în respectivă calitate, fiecare dintre ele este pe deplin responsabilă de respectarea Legislației aplicabile acțiunilor de prelucrare pe care le efectuează.
2.2. Fiecare dintre părți declară că își respectă obligațiile care le revin în temeiul legilor privind protecția datelor cu privire la prelucrarea datelor cu caracter personal.
3. Scopurile și temeiul juridic al prelucrării
3.1. Scopul prelucrării datelor cu caracter personal este reprezentat de necesitatea îndeplinirii obligațiilor asumate de către Mar-Ina Prodprest SRL prin Contractul Principal, precum și informarea Partenerului contractual asupra produselor Mar-Ina Prodprest SRL prin campanii de marketing direct.
3.2. Temeiul juridic al prelucrării :
– art. 6 alin. 1 lit. b) din GDPR, respectiv “prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract”;
– art. 6 alin. 1 lit. c) din GDPR, respectiv ”prelucrarea este necesară în vederea îndeplinirii unei obligațîi legale care îi revine operatorului”;
– art. 6 alin. 1 lit. f) din GDPR, respectiv ”prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoană vizată este un copil.”
4.Valabilitate
4.1. Prezentul Acord își produce efectele de la data semnării lui de către Părți și va rămâne în vigoare pe toată perioada în care acestea vor face prelucrări de date cu caracter personal în temeiul Contractului.
5. Dezvăluirea datelor cu caracter personal
Atunci când acționează ca Parte Transmițătoare a datelor cu caracter personal, fiecare parte:
5.1. Dezvăluie celeilalte părți numai datele personale pentru unul sau mai multe scopuri definite care sunt în concordanță cu termenii contractului principal (“Scopurile permise”);
5.2. Se asigură că (i) dezvăluirea acestora către Partea Primitoare a fost notificată anterior Persoanei vizate; (îi) s-a conformat tuturor prevederilor imperative care reglementează acest transfer; (iii) a obținut orice consimțământ sau autorizație necesară pentru a permite Părții Primitoare să proceseze în mod liber datele personale pentru scopurile permise, și (iv) nu există niciun impediment, de nicio natură privind transferul și prelucrarea datelor astfel transmise către Partea Primitoare în scopul îndeplinirii obligațiilor sale contractuale.
5.3. Dezvăluie Părții Transmițătoare doar categoriile speciale de date cu caracter personal necesare pentru Scopurile pemise și numai după ce a obținut consimțământul prealabil explicit al Persoanelor vizate sau există o baza legală pentru dezvăluirea acestora;
5.4. Este responsabilă de securitatea oricăror date personale în timpul transmiterii de la Partea Transmițătoare către Partea Primitoare.
6. Prelucrarea datelor cu caracter personal
6.1. Prelucrarea datelor cu caracter personal se realizează în principal de către Partea Primitoare iar în subsidiar, acolo unde serviciile sunt prestate prin intermediul partenerilor, prelucrarea se va efectua și prin intermediul acestora prin transferul lor de la Prestator către partener.
6.2. Pentru toate cazurile de prelucrare a datelor cu caracter personal de către partenerii ale Prestatorului, aceștia din urmă vor avea calitatea de împuternicit al Prestatorului respectiv subcontractanți de servicii de prelucrare date cu caracter personal.
6.3. Stocarea datelor se va putea face pe serverele Părții Primitoare existente pe teritoriul Uniunii Europene.
6.4. Atunci când acționează în calitate de Parte Primitoare, fiecare parte are obligația:
6.4.1 Să nu prelucreze datele cu caracter personal într-un mod incompatibil cu Scopurile permise (altele decât cele care respectă o cerință a legii aplicabile la care este supusă Primitorul);
6.4.2. Să nu prelucreze datele personale mai mult decât este necesar pentru a realiza Scopurile permise (altele decât cele care respectă o cerință a legii aplicabile la care este supusă Primitorul); și
6.4.3. Ținând seama de stadiul tehnicii, costurile de implementare și natură, contextul și scopurile prelucrării, precum și riscul încălcării drepturilor și libertăților Persoanelor vizate, să aibă la dispoziție tehnici adecvate și măsuri de securitate organizaționale pentru a proteja datele personale împotriva prelucrării neautorizate sau ilegale, pierderii accidentale sau distrugerii sau deteriorării.
7. Reguli aplicabile ambelor părți
Atunci când operează date cu caracter personal, fiecare parte se asigură că acestea sunt:
a) prelucrate în mod legal, echitabil și transparent față de persoana vizată (“legalitate, echitate și transparență”);
(b) colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri;
(c) adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate (“reducerea la minimum a datelor”);
(d) exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere (“exactitate”);
(e) păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele;
(f) prelucrate într-un mod care asigura securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare (“integritate și confidențialitate”).
8. Încălcarea securității datelor cu caracter personal
8.1. Părțile au obligația de a institui și menține în permanență măsuri de securitate tehnice și organizatorice adecvate, pentru a proteja datele cu caracter personal împotriva distrugerii accidentale sau ilegale sau a pierderii accidentale, deteriorării, modificării, dezvăluirii sau accesului neautorizat, în special atunci când prelucrarea implică transmiterea de date printr-o rețea, precum și împotriva oricăror alte forme ilegale de prelucrare.
8.2. Părțile trebuie să întreprindă măsuri tehnice și organizatorice adecvate, pentru a proteja securitatea oricăror rețele sau servicii de comunicații electronice sau utilizate pentru transferul sau transmiterea datelor cu caracter personal (inclusiv măsuri menite să asigure secretul comunicațiilor și accesul neautorizat la orice computer sau sistem, garantându-se astfel securitatea comunicațiilor).
8.3. Oricare dintre părți va notifica cealaltă parte, în cel mai scurt timp posibil în împrejurările date, și, în orice caz, în cel mult 24 de ore de la constatare, cu privire la orice distrugere, pierdere, modificare, dezvăluire sau accesare a datelor cu caracter personal accidentală, neautorizată sau ilegală ( Breșă de Securitate).
8.4. Notificarea va menționa (i) detaliile Breșei de Securitate, (îi) tipul de date care au făcut obiectul Breșei de Securitate, (iii) identitatea fiecărei persoane afectate (sau, dacă nu este posibil, numărul aproximativ de persoane vizate și de înregistrări de Date cu Caracter Personal vizate), (iv) numele și datele de contact ale responsabilului cu protecția datelor din cadrul societății Persoanei Împuternicite de Operator sau ale altui punct de contact de la care se pot obține mai multe informații, (v) o descriere a consecințelor probabile ale Breșei de Securitate; (vi) o descriere a măsurilor luate sau propuse a fi luate de către Persoana Împuternicită de Operator, pentru a soluționa Breșa de Securitate.
9. Cooperarea și asistență ulterioară
9.1. Fiecare parte va coopera cu cealaltă parte, în măsura în care este solicitată în mod rezonabil, în legătură cu:
9.1.1. orice solicitare primită de la Persoanele vizate;
9.1.2. orice altă comunicare primită de la o Persoană vizată cu privire la prelucrarea datelor sale cu caracter personal;
9.1.3. orice comunicare din partea unei autorități de supraveghere privind prelucrarea datelor cu caracter personal sau conformarea cu legile privind protecția datelor.
10. Descrierea datelor cu caracter personal
10.1. Părțile recunosc că în anexă la prezentul Acord au înregistrat corect și precis domeniul de aplicare a datelor cu caracter personal prelucrate în temeiul acestui acord.
11. Legea aplicabilă și jurisdicția
11.1. Prezentul Acord este guvernat de legea română.
11.2. Părțile convin să depună toate eforturile pentru a rezolva amiabil orice diferend apărut în legătură cu prezentul Acord. În cazul în care părțile nu reușesc să rezolve pe cale amiabilă asemenea diferende, acestea vor fi deduse spre soluționare instanțelor de judecată competențe din Galați.
12. Raspundere
12.1. Părțile sunt răspunzătoare pentru prelucrarea datelor cu caracter personal în conformitate cu normele legale aplicabile și prevederile prezentului Acord.
12.3. Pentru toate activitățile de prelucrare a datelor de către părți, acestea vor implementa măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător pentru riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal.
