PRELUCRAREA DATELOR CU CARACTER PERSONAL
Prezentul act adițional („Act Adițional”) este încheiat între:
- Ebriza Software SRL, cu sediul în Aleea Valeriu Bologa, nr. 3, SC5, Cluj Napoca, Jud. Cluj, cod de identificare fiscală (CIF) 34933438, număr de înregistrare la Registrul Comerțului J12/2344/2017, („Ebriza”); și
- Persoană fizică sau juridică care utilizează platforma și serviciile Ebriza în scopuri din cadrul activității sale comerciale, industriale sau de producție, artizanale ori liberale („Beneficiar”)
Denumite în continuare, în mod colectiv, „Părțile” și, în mod individual, „Parte”.
AVÂND ÎN VEDERE
a. Platforma Ebriza este un program software de tip software-as-a-service, dedicat industriei HoReCa (hoteluri, restaurante, cafenele), precum și altor tipuri de persoane fizice sau juridice, derulând afaceri din alte industrii conexe sau nu industriei HoReCa („Platforma”);
b. Platforma este deținută în mod exclusiv și operată de către EBRIZA, iar Beneficiarul utilizează Platforma Ebriza în scopuri din cadrul activității sale;
c. Beneficiarul a fost de acord cu termenii și condițiile generale de utilizare a Platformei („Contractul”);
d. În executarea Contractului, Beneficiarul prelucrează date cu caracter personal în calitate de operator, iar Ebriza prelucrează date cu caracter personal în calitate de persoană împuternicită de operator, în sensul legislației aplicabile;
e. Părțile au hotărât, de comun acord, completarea Contractului cu următoarele clauze contractuale, prin încheierea prezentului Act Adițional, pentru a răspunde obligațiilor privind protecția datelor cu caracter personal impuse de legislația aplicabilă.
SE CONVIN URMĂTOARELE
1. DEFINIȚII
Date cu Caracter Personal înseamnă orice informații privind o persoană fizică identificată sau identificabilă. O persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
Persoana Vizată înseamnă persoana fizică ale cărei date cu caracter personal sunt prelucrate, astfel cum sunt menționate în Anexa 1;
Prelucrare înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
Operator înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal;
Persoană Împuternicită înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului;
Subcontractant înseamnă orice persoană împuternicită desemnată de persoana împuternicită să prelucreze date cu caracter personal;
Încălcare a Securității Datelor cu Caracter Personal înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;
Datele cu Caracter Personal Relevante înseamnă datele cu caracter personal prelucrate de persoana împuternicită în numele operatorului, astfel cum sunt descrise în Anexa 1;
RGPD înseamnă Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE;
Legislația Aplicabilă înseamnă Legea nr. 677 din 21/11/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulație a acestor date, modificată si completată, RGPD, orice lege care implementează RGPD sau reglementează protecția datelor cu caracter personal în Romania, precum și orice ghiduri sau coduri de practică statutare emise de autoritățile competente;
Autoritate de Supraveghere înseamnă o autoritate publică independentă instituită de un stat membru în temeiul articolului 51 din RDGP, precum și orice altă autoritate de reglementare cu responsabilă cu aducerea la îndeplinire a legislației aplicabile privind protecția datelor cu caracter personal;
Stat Restricționat înseamnă un stat din afara Uniunii Europene și a Spațiului Economic European, căruia Comisia Europeană nu i-a recunoscut un nivel de protecției adecvat, în sensul art. 45 din RGPD;
Clauze Contractuale Standard înseamnă clauzele standard emise de Comisia Europeană, în conformitate cu art. 46 din RGPD, pentru transferul datelor cu caracter personal în state din afara Uniunii Europene și a Spațiului Economic European, căruia Comisia Europeană nu i-a recunoscut un nivel de protecției adecvat, în sensul art. 45 din RGPD;
Servicii înseamnă serviciile furnizate de părți în executarea Contractului.
2. CALITĂȚILE PĂRȚILOR ÎN PRELUCRAREA DATELOR CU CARACTER PERSONAL
2.1. În Prelucrarea Datelor cu Caracter Personal Relevante, Ebriza are calitatea de Persoană Împuternicită („Persoană Împuternicită”), iar Beneficiarul are calitatea de Operator („Operator”).
2.2. Părțile vor Prelucra Datele cu Caracter Personal Relevante în conformitate cu obligațiile prevăzute de prezentul Act Adițional. Distinct de obligațiile prevăzute de prezentul Act Adițional, fiecare dintre Părți va respecta propriile obligații impuse de Legislația Aplicabilă.
3. PRELUCRAREA DATELOR CU CARACTER PERSONAL
3.1. Persoana Împuternicită prelucrează Datele cu Caracter Personal Relevante ale Persoanelor Vizate numai pentru scopurile menționate în Anexa 1, și nu va Prelucra altfel Datele cu Caracter Personal Relevante decât pe baza unor instrucțiuni documentate din partea Operatorului, inclusiv în ceea ce privește transferurile de date cu caracter personal către o țară terță sau o organizație internațională, cu excepția cazului în care această obligație îi revine Persoanei Împuternicite în temeiul Legislației Aplicabile. În acest ultim caz, în măsura maximă permisă de lege, Persoana Împuternicită notifică această obligație juridică Operatorului înainte de Prelucrare.
3.2. Operatorul instructează Persoana Împuternicită și autorizează Persoana Împuternicită să instructeze fiecare Subcontractant să Prelucreze Datele cu Caracter Personal Relevante și să transfere Datele cu Caracter Personal Relevante către orice stat terț, după cum este necesar pentru prestarea Serviciilor și executarea Contractului.
4. PERSONALUL PERSOANEI ÎMPUTERNICITE
4.1. Persoana Împuternicită va lua măsuri rezonabile pentru a asigura respectarea Legislației Aplicabile de către fiecare angajat sau colaborator care poate avea acces la Datele cu Caracter Personal Relevante, asigurându-se în fiecare caz că accesul este strict limitat la persoanele care trebuie să acceseze Datele cu Caracter Personal Relevante, și că toate aceste persoane au beneficiat de o pregătire adecvată în domeniul protecției Datelor cu Caracter Personal.
4.2. Persoana Împuternicită se va asigura că toate persoanele menționate la alin. (1) sunt informate cu privire la caracterul confidențial al Datelor cu Caracter Personal Relevante, cunosc obligațiile Persoanei Împuternicite astfel cum rezultă din acest Act Adițional și din prevederile Legislației Aplicabile și că s-au angajat să respecte confidențialitatea sau au o obligație statutară adecvată de confidențialitate.
5. UTILIZAREA SUBCONTRACTANȚILOR DE CĂTRE PERSOANA
ÎMPUTERNICITĂ
5.1. Operatorul autorizează Persoana Împuternicită să utilizeze Subcontractanți, în condițiile prevăzute de prezentul Act Adițional, în legătură cu Prelucrarea Datelor cu Caracter Personal Relevante.
5.2. Persoana Împuternicită se va asigura că fiecare Subcontractant este capabil să asigure nivelul de protecție al Datelor cu Caracter Personal Relevante așa cum este cerut în acest Act Adițional incluzând, fără limitare, prin furnizarea de garanții suficiente pentru a pune în aplicare măsuri tehnice și organizatorice adecvate, într-o manieră care să asigure Prelucrarea în conformitate cu cerințele RGPD și ale acestui Act Adițional.
5.3. Persoana Împuternicită va încheia un contract cu fiecare Subcontractant și va include în contractul cu fiecare Subcontractant obligații similare cu cele prevăzute în acest Act Adițional în sarcina Persoanei Împuternicite cu privire la personalul Subcontractantului, securitatea Prelucrării Datelor cu Caracter Personal Relevante și transferurile către State Restricționate, precum și cu privire la furnizarea de garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să îndeplinească cerințele Legislației Aplicabile.
5.4. Persoana Împuternicită va informa Operatorul cu privire la orice modificări preconizate privind adăugarea sau înlocuirea Subcontractanților, Operatorul având dreptul de a se opune, pe temeiuri rezonabile, cu privire la Subcontractantul utilizat de Persoana Împuternicită.
6. DREPTURILE PERSOANELOR VIZATE
6.1. Persoana Împuternicită va asista Operatorul și va implementa măsuri tehnice și organizatorice adecvate pentru a asista Operatorul cu privire la îndeplinirea de către Operator a obligațiilor ce decurg din exercitarea de către Persoanele Vizate a drepturilor privind protecția Datelor cu Caracter Personal.
6.2. Persoana Împuternicită va notifica Operatorul și va coopera cu acesta cu privire la orice solicitare a unei Persoane Vizate privind exercitarea unui drept recunoscut de Legislația Aplicabilă în legătură cu Datele cu Caracter Personal Relevante.
7. SECURITATEA DATELOR CU CARACTER PERSONAL
7.1. Având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile Prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile Persoanelor Vizate, Persoana Împuternicită implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:
a. pseudonimizarea și criptarea datelor cu caracter personal;
b. capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare;
c. capacitatea de a restabili disponibilitatea Datelor cu Caracter Personal Relevante și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
d. un proces pentru testări, evaluări și aprecieri periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.
7.2. La evaluarea nivelului adecvat de securitate, se ține seama în special de riscurile prezentate de Prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la Datele cu Caracter Personal Relevante transmise, stocate sau prelucrate într-un alt mod.
8. ÎNCĂLCAREA SECURITĂȚII DATELOR CU CARACTER PERSONAL
8.1. Persoana Împuternicită înștiințează Operatorul fără întârzieri nejustificate, dar nu mai mult de 24 de ore, de la momentul la care Persoana Împuternicită ia cunoștință de o Încălcare a Securității Datelor cu Caracter Personal în legătură cu Datelor cu Caracter Personal Relevante.
8.2. Notificarea menționată la alineatul (1) cel puțin:
a. descrie caracterul Încălcării Securității Datelor cu Caracter Personal în legătură cu Datele cu Caracter Personal Relevante, inclusiv, acolo unde este posibil, categoriile și numărul aproximativ al Persoanelor Vizate în cauză, precum și categoriile și numărul aproximativ al înregistrărilor de Date cu Caracter Personal Relevante în cauză;
b. comunică numele și datele de contact ale responsabilului cu protecția datelor
sau un alt punct de contact de unde se pot obține mai multe informații;
c. descrie consecințele probabile ale Încălcării Securității Datelor cu Caracter Personal în legătură cu Datele cu Caracter Personal Relevante;
d. descrie măsurile luate sau propuse spre a fi luate pentru a remedia problema Încălcării Securității Datelor cu Caracter Personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.
8.3. Persoana Împuternicită va lua măsuri imediate pentru a investiga Încălcarea Securității Datelor cu Caracter Personal în legătură cu Datele cu Caracter Personal Relevante și pentru a identifica, preveni și a atenua cât mai mult posibil efectele acesteia.
8.4. Persoana Împuternicită va coopera cu Operatorul și va lua măsurile rezonabile conform cu instrucțiunile documentate ale Operatorului pentru soluționarea Încălcării Securității Datelor cu Caracter Personal în legătură cu Datele cu Caracter Personal
Relevante.
9. EVALUAREA IMPACTULUI ASUPRA PROTECȚIEI DATELOR ȘI CONSULTAREA PREALABILĂ
9.1. Persoana Împuternicită, ținând seama de caracterul Prelucrării și informațiile aflate la dispoziția sa, ajută Operatorul să asigure respectarea obligațiilor prevăzute la articolele 35 și 36 RGPD referitoare la evaluarea impactului asupra protecției datelor și
consultarea prealabilă.
10. ȘTERGEREA SAU RETURNAREA DATELOR CU CARACTER PERSONAL RELEVANTE
10.1. La momentul încetării prestării Serviciilor ce implică Prelucrarea Datelor cu Caracter Personal Relevante, Operatorul poate solicita Persoanei Împuternicite (i) să returneze Operatorului o copie cu toate Datele cu Caracter Personal Relevante și să elimine toate copiile Datelor cu Caracter Personal Relevante Prelucrate de Persoana Împuternicită și/sau (ii) să șteargă toate Datele cu Caracter Personal Relevante și să elimine toate copiile Datelor cu Caracter Personal Relevante Prelucrate de Persoana Împuternicită. Persoana Împuternicită va acționa conform instrucțiunilor primite de la Operator, fără întârzieri nejustificate.
10.2. Prin excepție de la prevederile alin. (1), Persoana Împuternicită va putea ține o copie a Datele cu Caracter Personal Relevante, în măsura în care este supusă unei obligații legale în acest sens și pentru durata de stocare impusă de legislația relevantă aplicabilă.
11. INFORMAREA OPERATORULUI ȘI AUDITUL
11.1. Persoana Împuternicită informează Operatorul în cazul în care, în opinia sa, o instrucțiune încalcă RGPD sau alte dispoziții din dreptul intern sau din dreptul Uniunii referitoare la protecția datelor cu caracter personal.
11.2. Persoana Împuternicită pune la dispoziția Operatorului informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute de prezentul Act Adițional și de Legislația Aplicabilă, permite desfășurarea auditurilor, inclusiv a inspecțiilor, efectuate de Operator sau alt auditor mandatat de către Operator și contribuie la acestea. Operatorul sau auditorul mandatat se angajează să își asume obligații de confidențialitate față de Persoana Împuternicită necesare pentru a proteja confidențialitatea informațiilor Persoanei Împuternicite și ale terților care ar putea fi aflate de Operator sau de auditorul mandatat în timpul auditului.
12. TRANSFERUL DATELOR CU CARACTER PERSONAL
12.1. Persoana Împuternicită nu va Prelucra Datele cu Caracter Personal Relevante și nu va permite vreunui Subcontractant să Prelucreze Datele cu Caracter Personal Relevante într-un stat din afara Spațiului Economic European sau într-un teritoriu care nu a fost desemnat de către Comisia Europeană ca asigurând un nivel adecvat de protecție, fără a se asigura că astfel de Prelucrări sunt însoțite de garanții adecvate cu privire la drepturile Persoanelor Vizate relevante, inclusiv prin încheierea de Clauze Contractuale Standard cu orice persoană din statul sau teritoriul respectiv către care Persoana Împuternicită sau Subcontractantul transferă Date cu Caracter PersonalRelevante.
13. DURATĂ
13.1. Prezentul Act Adițional intră în vigoare la data semnării sale și încetează la cea mai târzie dintre următoarele date (i) data încetării Contractului sau (ii) data încetării ultimelor Servicii prestate în temeiului Contractului.
13.2. Dispozițiile prezentului Act Adițional se aplică de la data semnării tuturor Prelucrărilor de Date cu Caracter Personal Relevante efectuate de Persoana Împuternicită sau de un Subcontractant al acesteia, indiferent dacă aceste Prelucrări au început înainte de semnarea acestui Act Adițional.
13.3. Obligațiile impuse Persoanei Împuternicite cu privire la Prelucrarea Datelor cu Caracter Personal Relevante vor produce efecte și după încetarea prezentului Act Adițional.
14. CLAUZE GENERALE
14.1. Părțile convin că acest Act Adițional va fi guvernat de legea română și orice litigii în legătură cu acest Act Adițional vor fi de competența instanțelor din România.
14.2. În cazul în care există neconcordanță între dispozițiile prezentul Act Adițional și orice altă înțelegere între Părți, inclusiv dispozițiile Contractului, acest Act Adițional prevalează în ceea ce privește aspectele legate de obligațiile de protecție privind Datele cu Caracter Personal ale unei Persoane Vizate.
14.3. În cazul în care obligațiile Părților vor trebui modificate ca urmare a unor schimbări intervenite la nivelul Legislației Aplicabile sau ca urmare a emiterii de către Comisia Europeană sau de către Autoritatea de Supraveghere a unor clauze contractuale standard, inclusiv în cazul modificării sau adoptării unor noi Clauze Contractuale Standard cu privire la transferul în State Restricționate Părțile se obligă să modifice acest Act Adițional în mod corespunzător, prin încheierea unui nou act adițional.
14.4. În cazul în care o dispoziție a prezentul Act Adițional este nulă sau este inaplicabilă, în totalitate sau parțial, nulitatea sau inaplicabilitatea afectează strict dispoziția sau partea nulă sau inaplicabilă din dispoziția respectivă, restul prezentului Act Adițional rămânând în vigoare și valabil.