acord de prelucrare

Conform Regulamentului general privind protecția datelor

Articolul 1. Dispoziții preliminare

Articolul 1.1.

Termenii din acest Acord privind protecția datelor cu caracter personal care sunt definiți în RGPD, au semnificația așa cum este descrisă în acesta.

Articolul 1.2.

În cazul în care se face referire în acest Acord la o prevedere din legea privind protecția datelor cu caracter personal, din 25 mai 2018, se înțelege prevederea corespunzătoare din Regulamentul general privind protecția datelor („RGPD”).

Notă:

Procesorul este intStaff, operatorul este clientul

Articolul 2. Scopuri de prelucrare

Articolul 2.1.

Procesorul se angajează să prelucreze datele cu caracter personal în numele Controlorului în condițiile prezentului Acord. Prelucrarea va avea loc numai în contextul executării Acordului și în scopuri care urmează a fi stabilite cu consimțământul ulterioar.

Articolul 2.2.

Operatorul însuși stabilește ce (tipuri de) date cu caracter personal va fi prelucrate de către Procesor și la care (categorii) persoanele vizate se referă aceste date personale. Procesorul nu are nicio influență asupra acestui lucru.

Articolul 2.3.

Procesatorul nu va prelucra datele cu caracter personal în niciun alt scop decât cel stabilit de Operator. Operatorul va informa Procesatorul cu privire la scopurile prelucrării în măsura în care acestea nu au fost deja menționate în Acord.

Articolul 2.4.

Datele cu caracter personal care urmează să fie prelucrate în numele Operatorului rămân proprietatea Operatorului sau a persoanei (persoanelor) relevante.

Articolul 2.5.

Operatorul garantează că conținutul, utilizarea și instrucțiunile de prelucrare a datelor cu caracter personal menționate în Acord nu sunt ilegale și nu încalcă niciun drept al terților. În plus,
Operatorul garantează că prelucrarea datelor cu caracter personal intră sub incidența RGPD sau atunci când acest lucru nu este cazul a fost raportat la Autoritatea Olandeză pentru Protecția Datelor; și că din 25 mai 2018 va ține un registru al operațiunilor de prelucrare reglementate prin prezentul Acord.

Articolul 2.6.

Operatorul despăgubește Procesatorul de toate pretențiile și pretențiile legate de nerespectarea sau respectarea incorectă a obligațiilor de la articolul 2.5.

Articolul 3. Obligațiile procesatorului

Articolul 3.1.

În ceea ce privește operațiunile de prelucrare menționate la articolul 2, Procesatorul va asigura conformitatea cu condițiile care sunt stabilite pentru prelucrarea datelor cu caracter personal de către Procesor pe baza RGPD.

Articolul 3.2.

Procesatorul va informa Operatorul, la prima sa cerere, cu privire la măsurile pe care le-a luat cu privire la obligațiile sale în temeiul prezentului Acord și legea privind protecția datelor cu caracter personal și RGPD.

Articolul 3.3.

Obligațiile Procesatorului care decurg din acest Acord se aplică și celor care prelucrează date cu caracter personal sub autoritatea Procesatorului.

Articolul 4. Transfer de date personale

Articolul 4.1.

Procesatorul poate prelucra datele cu caracter personal în țări din Uniunea Europeană.
Transferul în țări din afara Uniunii Europene este permis numai cu respectarea corespunzătoare a reglementărilor aplicabile din RGPD.

Articolul 4.2.

Procesatorul va notifica Operatorului, la cererea acestuia, țara sau țările care sunt vizate.

Articolul 5. Împărțirea răspunderii

Articolul 5.1.

Prelucrarea permisă va fi efectuată de Procesator într-un mediu (semi) automatizat sub controlul Procesatorului.

Articolul 5.2.

Procesatorul este responsabil numai pentru prelucrarea datelor cu caracter personal în temeiul prezentului Acord, în conformitate cu instrucțiunile Operatorului și sub responsabilitatea explicită (finală) a Operatorului.

Articolul 5.3.

Procesatorul nu este responsabil pentru orice altă prelucrare a datelor cu caracter personal, inclusiv în orice caz colectarea datelor cu caracter personal de către Operator, prelucrarea în scopuri care nu au fost raportate de către Operator Procesatorului, prelucrarea de către terți sau în alte scopuri.

Articolul 6. Angajarea unor terți sau subcontractanți

Articolul 6.1.

Operatorul acordă Procesatorului permisiunea de a utiliza terți atunci când prelucrează date cu caracter personal pe baza acestui Acord, cu respectarea cuvenită a legilor și reglementărilor aplicabile privind confidențialitatea.

Articolul 6.2.

Procesatorul va informa partea responsabilă cât mai curând posibil, dacă operatorul solicită acest lucru, despre terții pe care i-a angajat. Operatorul are dreptul de a se opune oricăror terți angajați de Procesor.

Articolul 6.3.

Procesatorul nu va obiecta din motive nerezonabile și trebuie să argumenteze suficient obiecția. În cazul în care Operatorul se opune terților angajați de către Procesor, părțile vor intra în consultare pentru a ajunge la o soluție.

Articolul 6.4.

Procesatorul se asigură că terții angajați de acesta își asumă obligații scrise care sunt cel puțin la fel de stricte ca obligațiile care revin Procesatorului în temeiul acestui Acord.

Articolul 6.5.

Procesatorul garantează respectarea corectă a obligațiilor menționate la articolul 6.4 de către acești terți și este răspunzător față de Operator în cazul apariției erorilor, ca și cum ar fi comis eroarea (erorile) însuși.

Articolul 6.6.

Răspunderea maximă a Procesatorului pentru daune, conform articolului 6.5, este limitată la suma convenită în Acord (inclusiv termenii și condițiile generale ale Procesatorului).

Articolul 7. Securitatea

Articolul 7.1.

Procesatorul va lua măsuri tehnice și organizatorice adecvate cu privire la prelucrarea datelor cu caracter personal care urmează să fie efectuată, împotriva pierderii sau împotriva oricărei forme de prelucrare ilegală (cum ar fi accesul neautorizat, afectarea, modificarea sau furnizarea datelor cu caracter personal).

Articolul 7.2.

În ciuda faptului că Procesatorul trebuie să ia măsuri de securitate adecvate în conformitate cu primul paragraf al acestui articol, Procesatorul nu poate garanta pe deplin că securitatea este eficientă în toate circumstanțele. Cu toate acestea, în cazul amenințării – sau încălcării efective a – acestor măsuri de securitate, Procesatorul va face tot ce îi stă în putere pentru a limita cât mai mult posibil pierderea datelor cu caracter personal.

Articolul 7.3.

Dacă o securitate descrisă în mod explicit lipsește din Acord, Procesatorul se va asigura că securitatea îndeplinește un nivel care nu este nerezonabil având în vedere stadiul tehnicii, sensibilitatea datelor cu caracter personal și costurile asociate cu preluarea securității.

Articolul 7.4.

Operatorul pune la dispoziția Procesatorului datele cu caracter personal pentru prelucrare numai dacă Operatorul s-a asigurat că au fost luate măsurile de securitate necesare.

Articolul 8. Obligația de raportare

Articolul 8.1.

În cazul unei încălcări a datelor (care se înțelege ca însemnând: o încălcare a securității datelor cu caracter personal care duce la o șansă semnificativă de consecințe negative sau are consecințe negative pentru protecția datelor cu caracter personal, în sensul articolului 34a din legea privind protecția datelor cu caracter personal) Procesorul depune toate eforturile pentru a informa Operatorul despre acest lucru cât mai curând posibil, dar în orice caz în termen de 48 de ore după ce pierderea datelor a devenit cunoscută Procesatorului.

Articolul 8.2.

Obligația de raportare se aplică numai dacă scurgerea a avut loc efectiv și, în orice caz, include raportarea faptului că a existat o scurgere de date, precum și, în măsura în care aceste informații sunt disponibile Procesatorului:

• care este cauza (presupusa) a scurgerii;
• care este consecința (încă cunoscută sau așteptată);
• care este soluția (propusă);
• datele de contact pentru urmărirea raportului;
• numărul de persoane ale căror date au fost scurse, sau
• numărul minim și maxim de persoane ale căror date au fost scurse dacă nu se cunoaște un număr exact;
• o descriere a grupului de persoane ale căror date au fost scurse;
• tipul sau tipurile de date cu caracter personal care au fost scurse;
• data la care a avut loc scurgerea sau perioada în care a avut loc scurgerea
• unde a avut loc dacă nu se cunoaște o dată exactă;
• data și ora la care scurgerea a devenit cunoscută Procesatorului sau unui terț sau subcontractant angajat de acesta;
• dacă datele au fost criptate, hashing sau făcute în alt mod de neînțeles sau inaccesibile persoanelor neautorizate;
• și care sunt măsurile intenționate și deja luate pentru a închide scurgerea și pentru a limita consecințele scurgerii.

Articolul 8.3.

Operatorul însuși evaluează dacă va informa autoritățile relevante și/sau persoana (persoanele) implicată și este el însuși responsabil pentru respectarea obligațiilor (statutare) de raportare. Dacă legile și reglementările privind confidențialitatea o cer, Procesatorul va coopera pentru a informa autoritățile relevante sau persoanele vizate.

Articolul 9. Gestionarea cererilor de la persoanele vizate

Articolul 9.1.

În cazul în care o persoană vizată dorește să își exercite unul dintre drepturile legale și adresează solicitarea în acest sens Procesatorului, Procesatorul va transmite această solicitare Operatorului. Partea responsabilă se va ocupa apoi de tratarea cererii. Procesatorul poate informa persoana vizată despre aceasta.

Articolul 9.2.

În cazul în care o persoană vizată depune o cerere către Operator pentru a-și exercita unul dintre drepturile legale, Procesatorul va coopera, dacă Operatorul dorește acest lucru, în măsura în care este posibil și în măsura în care acest lucru este rezonabil. Procesatorul poate percepe costuri rezonabile către Operator pentru aceasta.

Articolul 10. Confidențialitate

Articolul 10.1.

Toate datele personale pe care Procesatorul le primește de la Operator sau pe care Procesatorul le colectează în contextul prezentului Acord fac obiectul unei obligații de confidențialitate față de terți.

Articolul 10.2.

Această obligație de confidențialitate nu se aplică în măsura în care Operatorul a dat permisiunea explicită de a furniza informațiile unor terți, dacă furnizarea informațiilor către terți este necesară în mod logic pentru executarea Acordului sau dacă există o obligație legală a furniza informațiile unor terți.

Articolul 10.3.

În cazul în care Procesatorul este obligat din punct de vedere legal să furnizeze informații unei terțe părți, Procesatorul va informa Operatorul despre acest lucru cât mai curând posibil, în măsura permisă de lege.

Articolul 11. Audit

Articolul 11.1.

Operatorul are dreptul de a solicita audituri efectuate de către un terț expert independent care este obligat să respecte confidențialitatea pentru a verifica cerințele de securitate, așa cum este convenit la articolul 7 din Acord.

Articolul 11.2.

Auditul menționat la articolul 11.1 va avea loc numai în cazul unei suspiciuni concrete de abuz care a fost demonstrată de către Operator. Auditul inițiat de Operator are loc la două săptămâni de la anunțul prealabil al Operatorului.

Articolul 11.3.

Procesatorul va coopera cu auditul și va pune la dispoziție toate informațiile relevante pentru audit în mod rezonabil, inclusiv datele suport, cum ar fi jurnalele de sistem și angajații, cât mai curând posibil și într-o perioadă rezonabilă de timp. O perioadă de maximum două săptămâni este rezonabilă.

Articolul 11.4.

Constatările rezultate în urma auditului efectuat vor fi evaluate de către părți în consultare reciprocă și, ca urmare a acestora, pot fi sau nu implementate de una dintre părți sau de ambele părți în comun.

Articolul 11.5.

Costurile auditului sunt suportate de Operator.

Articolul 12. Răspunderea

Articolul 12.1.

În ceea ce privește răspunderea părților pentru daune ca urmare a unei deficiențe imputabile în îndeplinirea Acordului, sau în caz de delict sau de altă natură, schema de răspundere convenită în acord (inclusiv Termenii și condițiile generale ale procesatorului) este declarată aplicabilă.

Articolul 13. Durata și rezilierea

Articolul 13.1.

Prezentul Acord este încheiat pe durata prevăzută în Acord și, în absența acestuia, în orice caz, pe durata cooperării dintre părți. Acest Acord nu poate fi reziliat prematur.

Articolul 13.2.

Părțile pot modifica acest Acord numai cu consimțământul reciproc, dar își vor oferi deplina cooperare pentru a adapta Acordul la orice legi și reglementări noi sau modificări privind confidențialitatea.

Articolul 13.3.

După rezilierea Acordului, Procesatorul va distruge toate datele personale pe care le deține, cu excepția cazului în care părțile convin altfel.