Acord GDPR. Anexa 1 – Contract de Prelucrare a Datelor Personale

Prezenta anexă la Termenii și Condițiile de utilizare Declic prevede regulile specifice în ceea ce privește prelucrarea datelor cu caracter personal de către Inițiatorul Campanie, în calitate de Împuternicit (sau persoană împuternicită de operator), date colectate prin intermediul site-ului Campaniamea.declic.ro administrat de Declic, în calitate de Operator de date cu caracter personal.

Prezentul contract nu se aplică activităților de promovare a Campaniei inițiate de Împuternicit desfășurate în afara site-urilor sau conturilor Declic de pe platformele sociale.

În temeiul prevederilor Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulatie a acestor date (denumit în continuare ”GDPR”), părțile convin următoarele clauze cu privire la prelucrarea datelor.

1. Termenii din prezentul contract, vor fi interpretați în conformitate cu art. 4 din GDPR.

2. Obiectul prelucrării și instrucțiuni specifice:

Prelucrarea datelor cu caracter personal de către Inițiator Campanie se face exclusiv în scopul susținerii Petiției specifice inițiate pe Campaniamea.declic.ro, care poate include și depunerea campaniei cu datele personale colectate la autoritățile și instituțiile publice competente pe acel domeniu și identificate în Campania propusă.

Orice altă prelucrare în alt scop (sau cu privire la altă Campanie) se poate face doar pe baza unei instrucțiuni scrise din partea Declic, în limitele și cu respectarea instrucțiunii suplimentare primite de la Declic, conform art. 10.

Împuternicitul nu poate stabili alte scopuri sau mijloace de prelucrare a datelor cu caracter personal, acestea fiind stabilite exclusiv de către Operator, iar în caz contrar, În conformitate cu GDPR, Împuternicitul este considerat a fi un operator în ceea ce privește prelucrarea respectivă.

3. Durata prelucrării:

Prelucrarea datelor personale se va face conform instrucțiunilor Operatorului, dar perioada nu poate depăși durata Termenelor și Condițiilor.

4. Tipuri de date cu caracter personal prelucrate în temeiul acestui contract:

4.1. Date personale generale

Datele personale puse la dispoziție de către Operatorul prelucrate în temeiul acestui contract pot fi, după caz, în funcție de nivelul de securitate asigurat:

  • nume
  • prenume
  • e-mail (doar pentru a trimite mesaje prin Declic, fără a-l prelucra direct)
  • comentariu semnatar

4.2. Date personale cu caracter special/aparținând unor categorii de persoane vizate vulnerabile (ex. minori)

Serviciul CampaniaMea folosit de Inițiator Campanie nu este destinat colectării de date cu caracter special sau aparținând unor categorii de persoane vizate vulnerabile și avertizăm Împuternicitul să nu îl folosească sau să îl promoveze în acest sens.

5. Categoriile de persoane vizate:

Categoriile de persoane vizate sunt semnatari ai Campaniei inițiate de către Împuternicit pe CampaniaMea.declic.ro .

6. Confidențialitatea datelor cu caracter personal

A. Împuternicitul se obligă ca, pe toată durata contractului și după încetarea acestuia, pe o perioadă de 5 ani să nu transmită date cu caracter personal și/sau informații confidențiale, ce pot fi date cu caracter personal, despre care a luat cunoștință în timpul executării contractului, dincolo de prezentele obligații contractuale.

B. Împuternicitul se obligă ca, pe toată durata contractului, să asigure instruirea personalului autorizat să prelucreze datele cu caracter personal, cu privire la confidențialitatea acestor date.

C. Împuternicitul se obligă ca, pe toată durata contractului, să implementeze și să monitorizeze modul de aplicare a mecanismelor și procedurilor aferente asigurării, pe plan intern, a confidențialității datelor cu caracter personal, aparținând Operatorului. Împuternicitul se obligă:

  • să nu copieze, să nu reproducă, să nu distribuie și să nu divulge, total sau parţial, niciunei persoane fizice sau juridice, niciuna din datele cu caracter personal prelucrate și/sau aspecte legate de acestea, cu excepțiile menționate în acest contract la art. 2, prevăzute de un act normativ imperativ sau cu acordul expres scris, inclusiv în format electronic, al Operatorului;
  • să nu reutilizeze datele personale și nici informațiile și/sau documentele care conțin date personale și despre care a luat cunoștință în executarea contractului, în niciun fel și pentru niciun alt scop neprevăzut în prezentul contract, nici în interes propriu, nici în interesul unei alte terțe părți, nici cu titlu gratuit, nici cu titlu oneros.

D. Pe cale de excepție, Împuternicitul are dreptul să dezvăluie/să divulge anumite date cu caracter personal, inclusiv informații confidențiale, după caz, la solicitarea unei autorității, instituții publice sau instanțe judecătorești, ori a unui alt tert autorizat potrivit legislației, în virtutea unei obligații legale sau a unei alte condiții prevăzute de legislație.

7. Destinatari și Subcontractarea ( Împuterniciți secundari)

A. Este interzisă prelucrarea datelor personale de către Împuternicit, prin alte persoane împuternicite recrutate de acesta (denumite „împuterniciţi secundari”), cu excepția cazurilor autorizate prealabil în scris, inclusiv în format electronic, de către Operator.

B. Prin prezentul contract se recunoaște dreptul Persoanei Împuternicite de a depune campaniei cu datele personale colectate la autoritățile și instituțiile publice competente pe acel domeniu și identificate în Campania propusă, în conformitate cu legea aplicabilă (în prezent OG 27/2002).

8. Securitatea datelor

A. Împuternicitul trebuie să îndeplinească măsuri tehnice și organizatorice adecvate pentru a asigura măsurile adecvate de securitate raportate la risc, conforme cu bunele practici în industrie. În stabilirea nivelului adecvat de securitate, Împuternicitul trebuie să ia în considerare stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, ca și riscurile care apar ca urmare a prelucrării, în special cu privire la cele care pot duce care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.

B. Aceste măsuri sunt de obicei centralizate în cadrul Politicii interne de securitate, care trebuie să fie pusă de dispoziție la cerere, în cazul în care Operatorul cere acest lucru.

C. În cazul în care Operatorul constată că măsurile de siguranță aplicate nu ating un nivel satisfăcător poate decide, după caz:

  • Încetarea contractului cu Împuternicitul și închiderea contului conform art 10 al Termenilor și Condițiilor; și/sau
  • Limitarea accesului – total sau parțial – la datele personale colectate în Campania inițiată de Împuternicit, inclusiv limitarea accesului la date într-un format structurat, utilizat în mod curent și care poate fi citit automat.

9. Responsabilul cu protecția datelor

Responsabilul cu protecția datelor sau persoana desemnată din partea Împuternicitului va fi nominalizată prin trimiterea unui email la adresa [email protected] o dată cu inițierea unei noi Campanii de către Împuternicit. În situația în care nicio persoană nu este nominalizată, persoana de contact desemnată în contul Împuternicitului pe Declic.ro este considerată că îndeplinește acest rol.

10. Drepturi și obligații

10.1. Operatorul are următoarele drepturi și obligații:

A. să decidă emiterea unor instrucțiuni noi de prelucrare și/sau dacă permite sau nu alți destinatari sau subcontractarea unor împuterniciți secundari de către Împuternicit, în condițiile art. 7;

B. să primească informații sau să verifice, direct sau prin auditor mandatat, modul în care Împuternicitul pune în aplicare măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute de GDPR și să se asigure protecția drepturilor persoanei vizate; verificarea va avea loc în baza unei notificări prealabile, formulate în scris, inclusiv prin email, transmisă cu 10 zile lucrătoare înainte de efectuarea verificării;

B. să primească asistență din partea Împuternicitului, pentru îndeplinirea obligației sale de a răspunde cererilor privind exercitarea de către persoana vizată a drepturilor sale specifice.

D. de a respecta, în mod independent, GDPR având în vedere calitatea sa de Operator, în raport cu datele cu caracter personal prelucrate de Împuternicit, pe seama sa.

10.2. Împuternicitul are următoarele drepturi și obligații:

A. de a folosi serviciul CampaniaMea pentru a colecta susțineri ale Campaniei sale și a le folosi conform prezentului contract;

B. de a acționa doar în baza instrucțiunilor legale, primite de la Operator și de a informa Operatorul, în termen de 5 zile, în cazul în care, în opinia Împuternicitului, o instrucțiune încalcă GDPR și/sau altă dispoziție legală privind prelucrarea datelor cu caracter personal;

C. de a prelucra datele personale exclusiv prin serviciile ce fac obiectul prezentului contract conform instrucțiunilor legale și cerințelor Operatorului, conform prezentului contract, a anexelor la acesta și în conformitate cu actele normative în vigoare în materie;

D. de a respecta confidențialitatea datelor cu caracter personal și a informațiilor ce pot fi date cu caracter personale și despre care a luat cunoștință, în cursul executării prezentului contract;

E. de a asigura securitatea datelor cu caracter personal prelucrate în numele Operatorului în conformitate cu art 32 din GDPR și cu prezentul contract;

F. de a asigura instruirea personalului autorizat să prelucreze datele cu caracter personal, cu privire la confidențialitatea acestor date;

G. de a transmite spre soluționare Operatorului orice cerere primită (ex. solicitare, sesizare, plângere etc.), în legătură cu datele personale care au fost colectate și prelucrate de Împuternicit, în termen de maxim 5 zile calendaristice de la primirea acesteia;

H. de a asista Operatorul cu toate informațiile necesare în vederea notificării, dacă este cazul, către Autoritatea competentă pentru încălcarea securității datelor, dar fără a se substitui Operatorului în obligația sa de notificare;

I. de a acorda asistență Operatorului să asigure respectarea obligațiilor prevăzute la articolele 32-36 din GDPR;

J. de a șterge sau returna Operatorului toate datele cu caracter personal, după încetarea furnizării serviciilor legate de prelucrare și de a elimina copiile existente, în termen de 24 de ore de la încetarea contractului sau închiderea contului Împuternicitului de pe Declic.ro

K. de a pune la dispoziția Operatorului toate informațiile necesare pentru a demonstra respectarea obligațiilor impuse în sarcina sa, de GDPR;

L. de a permite desfășurarea auditurilor, inclusiv a inspecțiilor, efectuate de Operator sau alt auditor mandatat și să contribuie la acestea cu informațiile necesare.

11. Răspundere

A. Împuternicitul este răspunzător pentru prejudiciul cauzat de prelucrare în cazul în care nu a respectat obligațiile din GDPR care îi revin în mod specific şi potrivit regulilor de colaborare prevăzute în prezentul contract.

B. Împuternicitul este răspunzător pentru prejudiciul cauzat de prelucrare dacă a acționat în afara sau în contradicție cu instrucțiunile legale ale Operatorului.

C. În cazul în care Împuternicitul a recrutat un împuternicit secundar și acesta nu își respectă obligațiile privind protecția datelor, Împuternicitul rămâne pe deplin răspunzător față de Operator în ceea ce privește îndeplinirea obligațiilor împuternicitului secundar.

12. Dispoziții finale

Prezentul contract este dependent de situația juridică a Termenilor și Condițiilor în măsura și în limita serviciilor care presupun prelucrarea datelor cu caracter personal, așa cum sunt menționate la art. 2 și se aplică cu prioritate față de Termenii și Condițiile, ce cuprind norme de drept comun.