Acord de prelucrate a datelor
Prezentul Contract de Prelucrare a Datelor (denumit în continuare ”Contract«) intră în vigoare la data acceptării de către «Responsabilul», utilizatorul CIRCULAR PLAC
Pe de o parte
Entitatea utilizatoare a CIRCULAR PLACE, constituită în mod corespunzător în conformitate cu legislația spaniolă, care acționează în calitate de «Parte Responsabilă». (denumit în continuare ”Operator de Date”).
Pe de altă parte,
Dl. Juan Carlos Enrique Moreno, de vârstă majoră, cetățean spaniol, cu pașaport emis de autoritățile din țara sa, numărul 22711060-D, în numele și reprezentând AMBI WASTE SERVICES, S.L. («AMBI WASTE»), cu NIF B10700300 și sediul social în Avenida de Burgos, 17, 9º derecha, Madrid, CP 28036, în calitate de director general al AMBI WASTE, în conformitate cu actul autentic încheiat la data de 18 mai 2022, înregistrat cu numărul 770 în fața Notarului din Madrid, Dl. Antonio Huerta Trolez. (denumit în continuare «Persoană Împuternicită de Operator«).
Operatorul de Date și Persoana Împuternicită de Operator sunt denumite în continuare împreună «părțile», iar fiecare dintre acestea, în mod individual, «partea».
EXPUN
- Că părțile au încheiat un Contract de Participare în Marketplace-ul «Circular Place» (denumit în continuare ”Contract de Prestări Servicii«), în temeiul căruia Persoană Împuternicită de Operator furnizează servicii în numele Operatorului de Date în ceea ce privește serviciile de găzduire și mentenanță legate de Marketplace («Servicii«).
- Că Operatorul de Date este unicul proprietar al datelor cu caracter personal ale producătorilor membri care accesează «Circular Place», precum și ale oricăror terțe părți (angajați, colaboratori, consultanți și furnizori externi, producători de AEE – Aparate electrice și electronice – aparținând Operatorului de Date și celor care utilizează Marketplace-ului care sunt beneficiari ai donațiilor de AEE făcute în cadrul acesteia etc.) care ar fi putut fi colectate în mod legitim de către Operatorul de Date în această calitate.
- Că în desfășurarea activităților prevăzute pentru prestarea Serviciilor, Persoană Împuternicită de Operator, deși deține acest statut în conformitate cu reglementările aplicabile, nu va avea acces la datele menționate mai sus și nu va efectua nicio prelucrare a acestora, întrucât găzduirea software-ului sau a platformei informatice care întreține Marketplace-ul social «CIRCULAR PLACE», conservarea și custodia informațiilor conținute în acesta și gestionarea materială a tuturor datelor cu caracter personal existente în acesta va fi sarcina exclusivă a terțului prestator de servicii care va acționa în calitate de parte subcontractată.
- Că partea subcontractată, este singura care are acces la hardware-ul și software-ul în care sunt stocate astfel de informații, împiedicând accesul oricărei terțe părți în afară de acesta.
- Că părțile se angajează să respecte pe deplin obligațiile prevăzute în Regulamentul UE 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și care abrogă Directiva 95/46/CE («RGPD«). În mod concret părțile pun în aplicare măsurile de securitate prevăzute de RGPD și răspund personal pentru orice sancțiuni, amenzi sau daune care pot fi impuse oricăreia dintre părți pentru încălcarea obligațiilor prevăzute de legislația aplicabilă în materie de protecție a datelor.
- În conformitate cu dispozițiile articolului 28 din RGPD, Operatorul de Date și Persoană Împuternicită de Operator , convenit asupra termenilor și condițiilor prevăzute în prezentul contract, în vederea stabilirii unor garanții adecvate în ceea ce privește protecția confidențialității și a drepturilor și libertăților fundamentale ale persoanelor fizice, care vor fi reglementate de următoarele
CLAUZE
- PRELUCRAREA DATELOR
1.1. Persoană Împuternicită de Operator trebuie să respecte cerințele și obligațiile prevăzute la articolul 28 din RGPD privind furnizarea serviciilor. Cele de mai sus nu aduc atingere prevederilor privind datele cu caracter personal care pot fi incluse în Contractul de furnizare de Servicii încheiat de părți.
1.2 În sensul prezentului contract, fișierele de date pot fi actualizate și modificate în mod unilateral, dacă este necesar, de către Operatorul de Date.
- OBLIGAȚIILE PĂRȚII ÎMPUTERNICITE DE CĂTRE OPERATOR
2.1 În conformitate cu obligațiile prevăzute la articolul 28.3 din RGPD, Partea Împuternicită de către Operator va respecta obligațiile și măsurile de securitate pentru a asigura standardele de protecție a datelor prevăzute de lege. În special, Persoană Împuternicită de Operator trebuie să respecte următoarele obligații:
(i) Să folosească și să prelucreze datele cu caracter personal numai în conformitate cu instrucțiunile date de către Operatorul de Date. În cazul în care Persoana împuternicită de către operator consideră că instrucțiunile date de către Operator încalcă normele prevăzute de RGPD sau orice altă legislație aplicabilă privind protecția datelor, Persoană Împuternicită de Operator informează imediat Operatorul cu privire la această încălcare.
(ii) Să nu folosească sau să utilizeze datele personale în alte scopuri decât pentru îndeplinirea prezentului contract și furnizarea serviciilor conform condițiilor stabilite în Contractul de Prestări Servicii.
(iii) Să nu divulge, cedeze, transfere sau comunice datele în niciun fel către terți, fie verbal, fie în scris, prin mijloace electronice, pe hârtie sau prin acces informatic, fără autorizarea expresă a, fără autorizarea expresă a Operatorului de Date.
Pentru a comunica date cu caracter personal unei alte persoane împuternicite care acționează în numele aceluiași Operator de Date, Persoană Împuternicită de Operator trebuie să urmeze instrucțiunile date de către Operatorul de Date, care identifică mai întâi, în scris, destinația, categoriile de date și măsurile de securitate necesare pentru a realiza respectiva comunicarea.
(iv) Persoană Împuternicită de Operator poate permite accesul angajaților săi la aceste date numai în cazul în care acest lucru este strict necesar pentru furnizarea serviciilor și cu condiția ca angajații să fie supuși acelorași obligații de confidențialitate și de protecție a datelor cu caracter personal ca cele prevăzute în prezenta dispoziție.
(v) În cazul în care Persoana Împuternicită de Operator trebuie să subcontracteze pe cineva, pentru a putea furniza serviciile și pentru a îndeplini obligațiile rezultate din prezentul Contract, trebuie să informeze Operatorul de Date în termen de cincisprezece (15) zile de la această nevoie de a subcontracta și să furnizeze datele firmei subcontractate și să obțină autorizarea Operatorului de Date atunci când firma subcontractată urmează să aibă acces la date.
Persoana Împuternicită de Operator va impune subcontractantului aceleași obligații în materie de protecție a datelor ca cele prevăzute în prezentul contract, oferind garanții suficiente pentru a pune în aplicare măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea datelor să respecte cerințele prevăzute în RGPD. În cazul în care un astfel de subcontractant nu își respectă obligațiile de protecție a datelor, Persoana Împuternicită de Operator rămâne pe deplin răspunzător față de Operator pentru respectarea obligațiilor unui astfel de subcontract.
În temeiul prezentului contract, Operatorul autorizează Persoana Împuternicită de Operator să subcontracteze serviciile de gestionare tehnică necesare în legătură cu platforma pentru a îndeplini furnizarea de servicii către Operator. Datele cu caracter personal ale unei astfel de persoane subcontractate sunt prezentate mai jos:
GRUPO CONSULTOR DE INFRAESTRUCURAS, S.A.
Avenida de Alfonso XIII n° 151
28016 Madrid
(vi) Persoana Împuternicită de Operator păstrează o evidență scrisă a activităților de prelucrare desfășurate în numele Operatorului de Date. O astfel de evidență trebuie să conțină informațiile următoare:
a) Numele și datele de contact ale fiecăruia dintre Persoanele Împuternicite de Operator și Operatorii și în numele cărora acționează, precum și ale reprezentantului Operatorului sau al Persoanei Împuternicite de Operator, după caz, și ale responsabilului cu protecția datelor;
b) Obiectivele prelucrării și categoriile de persoane vizate și de date cu caracter personal efectuate în numele fiecărui operator;
c) Transferurile de date cu caracter personal către o țară terță sau către o organizație internațională, inclusiv identificarea unei astfel de țări terțe sau organizații internaționale și, în cazul transferurilor realizate conform articolului 49 alineatul (1) al doilea paragraf din RGPD, documentația privind garanțiile corespunzătoare.
d) O prezentare generală a măsurilor de securitate tehnice și organizaționale.
(vii) Persoana Împuternicită de Operator garantează Operatorului de date respectarea deplină a măsurilor de securitate legate de tipul de date colectate. În special, măsurile de securitate incluse în Anexa I.
(viii) Să asiste Operatorul prin intermediul unor măsuri tehnice și organizatorice adecvate pentru îndeplinirea obligației Operatorului de a răspunde la cererile de exercitare a drepturilor persoanei vizate, cum ar fi dreptul de acces, rectificare, ștergere, restricționare a prelucrării, transferului datelor și dreptul la opoziție, precum și dreptul la luarea automată a deciziilor individuale.
În cazul în care Persoana Împuternicită de Operator trebuie să faciliteze dreptul de acces, rectificare, ștergere, restricționare a prelucrării, portabilitate a datelor și dreptul de opoziție și de luare automată a deciziilor individuale, acesta informează imediat Operatorul de Date, oferind toate informațiile relevante pentru a răspunde la cerere.
(ix) Persoana Împuternicită de Operator asigură o pregătire adecvată în domeniul protecției datelor pentru angajații care au acces permanent sau regulat la datele cu caracter personal, care sunt implicați în dezvoltarea instrumentelor utilizate pentru prelucrarea datelor cu caracter personal sau care sunt implicați în colectarea sau prelucrarea datelor cu caracter personal.
(x) Asistă Operatorul de Date în realizarea unei evaluări a impactului asupra protecției datelor.
(xi) Asistă Operatorul de Date în cadrul consultărilor cu autoritatea de supraveghere.
(xii) Să pună la dispoziția Operatorului toate informațiile necesare pentru a demonstra respectarea obligațiilor stabilite de legislația privind protecția datelor, precum și să permită și să contribuie la desfășurarea auditurilor, inclusiv la inspecțiile efectuate de către operator sau de către un alt auditor contractat de către operator.
(xiii) Operatorul de Date desemnează un responsabil cu protecția datelor în situațiile prevăzute la articolul 37 din RGPD și îi notifică operatorului datele de contact ale acestuia.
(xiv) La încetarea prezentului contract, Persoana Împuternicită de Operator returnează datele operatorului sau le distruge, cu excepția cazului în care există o dispoziție legală care impune păstrarea acestora, precum și orice copii sau suporturi pe care au fost conținute aceste date, și certifică în mod corespunzător în scris operatorului această returnare sau distrugere.
- NIVELUL DE SECURITATE A DATELOR
3.1 În conformitate cu articolul 32 din RGPD, Persoană Împuternicită de Operator va pune în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura (i) pseudonimizarea și criptarea datelor cu caracter personal; (ii) capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și reziliența continuă a sistemelor și serviciilor de prelucrare; (iii) capacitatea de a restabili rapid disponibilitatea și accesul la datele cu caracter personal în cazul unui incident fizic sau tehnic; și (iv) un proces de verificare, evaluare și apreciere periodică a eficacității măsurilor tehnice și organizatorice; (iii) capacitatea de a restabili prompt disponibilitatea și accesul la datele cu caracter personal în cazul unui incident fizic sau tehnic; și (iv) un proces de verificare, evaluare și evaluare periodică a eficacității măsurilor tehnice și organizatorice pentru a asigura securitatea prelucrării.
3.2 Persoană Împuternicită de Operator garantează adoptarea măsurilor de securitate impuse prevederile RGPD, răspunzând personal pentru orice penalități, amenzi sau daune care pot fi impuse pentru încălcarea obligațiilor asumate prin prezentul contract sau a celor stabilite în legislația aplicabilă în domeniul protecției datelor. În concret, Persoană Împuternicită de Operator va răspunde pentru orice penalități, amenzi sau daune care pot apărea ca urmare a utilizării datelor cu caracter personal în alt scop decât cel autorizat de către Operator, de transferul de date către terți neautorizați sau a utilizării neregulamentare a datelor cu caracter personal, precum și a neadoptării măsurilor de securitate corespunzătoare pentru stocarea, întreținerea, prelucrarea și păstrarea datelor.
3.3 În mod special, Persoană Împuternicită de Operator se angajează să pună în aplicare măsurile de securitate prevăzute în Anexa I.
- NOTIFICAREA ÎNCĂLCĂRILOR DATELOR CU CARACTER PERSONAL
4.1 Persoană Împuternicită de Operator trebuie să informeze Operatorul de Date cu cea mai mare celeritate, cel mult în termen de 48 de ore, prin intermediul e-mailului stabilit în scopul notificării, cu privire la eventuale încălcări a securității datelor cu caracter personal de care a luat cunoștință, împreună cu toate informațiile relevante pentru documentarea și notificarea corespunzătoare a incidentului.
Notificarea nu este necesară în cazul în care este puțin probabil ca un astfel incident de încălcare a securității să reprezinte un risc ridicat pentru drepturile și libertățile persoanelor fizice.
În cazul în care sunt disponibile, trebuie furnizate următoarele informații:
(i) O descriere a naturii încălcării securității datelor cu caracter personal, inclusiv, dacă este posibil, categoriile și numărul aproximativ de persoane vizate afectate, precum și categoriile și numărul aproximativ de înregistrări de date cu caracter personal afectate;
(ii) Numele și datele de contact ale delegatului pentru protecția datelor, responsabilului de confidențialitate sau a altor persoane de unde se poate obține informație suplimentară;
(iii) O descriere a posibilelor consecințe ale încălcării securității datelor cu caracter personal;
(iv) O descriere a măsurilor luate de Operator pentru a remedia încălcarea datelor cu caracter personal, inclusiv, dacă este cazul, a măsurilor luate pentru a atenua posibilele efecte negative ale acesteia.
În cazul în care nu este posibilă furnizarea simultană a informațiilor, acestea sunt furnizate treptat, dar fără întârzieri nejustificate.
- OBLIGAȚIILE OPERATORULUI DE DATE
5.1 Operatorul de date se asigură că persoana împuternicită de operator asigură punerea în aplicare efectivă a RGPD.
5.2 Operatorul de date efectuează o evaluare a impactului asupra protecției datelor în ceea ce privește activitățile de desfășurate de către Persoană Împuternicită de Operator.
5.3 Operatorul este responsabil pentru furnizarea de informații adecvate în momentul obținerii datelor cu caracter personal.
5.4 Să consulte autoritatea de control înainte de prelucrare atunci când este necesar.
5.5 Operatorul de Date are dreptul de a efectua controale de monitorizare și audituri pentru a verifica dacă Persoană Împuternicită de Operator își respectă obligațiile.
5.6 În acest sens, în cazul în care i se solicită acest lucru, Persoană Împuternicită de Operator furnizează documentația sau informațiile respective Operatorului de Date, astfel încât acesta din urmă să poată verifica respectarea acesteia. Prin urmare, operatorul de date poate solicita de la Persoana Împuternicită de către Operator, cu suficient timp înainte pentru pregătirea acesteia (care trebuie să fie de cel puțin șapte zile), un certificat de conformitate în materie de protecție a datelor și/sau o copie a ultimului raport de audit sau a efectuării oricărei acțiuni necesare pentru a demonstra că persoana împuternicită de către operator respectă pe deplin reglementările aplicabile în materie de protecție a datelor.
- PRELUCRAREA DATELOR CU CARACTER PERSONAL ALE REPREZENTANȚILOR, CONTACTELOR ȘI ALE ALTOR ANGAJAȚI AI PĂRȚILOR
Părțile declară:
(i) Că datele cu caracter personal incluse în prezentul contract și cele care pot fi colectate în timpul furnizării serviciilor vor fi prelucrate sub responsabilitatea fiecărei părți pentru executarea și controlul prezentului contract și pentru îndeplinirea obligațiilor sale legale.
(ii) Că își pot exercita în orice moment drepturile de acces, rectificare, ștergere, opoziție, portabilitate și limitare a prelucrării (sau orice alte drepturi recunoscute de lege) printr-o notificare scrisă adresată fiecăreia dintre părți, la adresele prevăzute în prezentul contract și responsabilului cu protecția datelor sau sau a responsabilului de confidențialitate.
(iii) Că responsabilul cu protecția datelor sau responsabilul de confidențialitate este persoana însărcinată cu asigurarea respectării legislației privind protecția datelor.
(iv) Că datele cu caracter personal vor fi prelucrate pe durata contractului și, după încheierea acestuia, vor rămâne blocate pe durata termenului de prescripție a oricăror acțiuni legale sau contractuale care pot fi aplicate ulterior.
(v) Că pot depune o plângere legată de protecția datelor cu caracter personal la autoritatea competentă în materie de protecție a datelor.
E asemenea, părțile se angajează să informeze persoanele de contact sau alți angajați ale căror date cu caracter personal sunt colectate în cadrul prezentului contract cu privire la opțiunile menționate mai sus.
- CONFIDENȚIALITATE
7.1 Persoana Împuternicită de Operator se angajează să respecte obligația de confidențialitate cu privire la toate datele cu caracter personal conținute în fișierele de date la care poate avea acces prin orice mijloace informatice, documentare și/sau vizuale ca urmare a prezentului contract și a contractului de servicii.
7.2 Persoana Împuternicită de Operator solicită tuturor angajaților săi subcontractanților să respecte obligația de confidențialitate prevăzută în prezentul document și poate pune la dispoziția Operatorului de Date orice document care dovedește respectarea obligației de confidențialitate menționate anterior.
7.3 Obligațiile de confidențialitate de mai sus rămân valabile după rezilierea sau expirarea prezentului contract sau a contractului de servicii, indiferent de motiv. Cu toate acestea, astfel de obligații nu afectează informațiile care (i) au fost obținute în mod independent de către Persoana Împuternicită de Operator fără acces la/sau utilizarea informațiilor confidențiale; (ii) devin disponibile publicului fără încălcarea de către Persoana împuternicită de Operator sau (iii) trebuie să fie divulgate în temeiul legii.
- RESPONSABILITATE
8.1Părțile convin că, în pofida oricărei investigații efectuate de către sau în numele
Operatorului de Date sau a oricăror cunoștințe dobândite de către Operatorul de Date în orice moment, fie înainte sau după executarea și încetarea prezentului contract sau la data prezentului contract, Persoana Împuternicită de Operator va fi responsabilă pentru orice penalități și îl va despăgubi și exonera de răspundere pe operatorul de date, pentru orice amenzi și daune-interese care rezultă direct sau indirect din sau în legătură cu orice încălcare, denaturare, inexactitate, incompletitudine, eroare sau omisiune a oricăreia dintre obligațiile sale legale în calitate de operator de date sau conținute în prezentul contract sau, după caz, în Contractul de prestări Servicii, fie că este sau nu intenționată, fie că se datorează unei neglijențe ușoare sau grave sau unei fraude («culpă, neglijență gravă sau rea-credință intenționată«) (denumite «Daune-interese).
8.2 Cuantumul daunelor se calculează prin aplicarea principiului compensării i Persoana Împuternicită de Operator are un cost fiscal pentru operator, costul fiscal corespunzător va fi suportat de către Persoana Împuternicită de Operator și, în consecință, valoarea despăgubirii plătibile operatorului va fi majorată în măsura în care este nevoier pentru a acoperii acest cost fiscal.
- DURATA ȘI ÎNCETAREA CONTRACTULUI
9.1 Durata prezentului contract este condiționată de cea a Contractului de Prestări Servicii. În consecință, la rezilierea sau expirarea contractului de servicii, prezentul Contract încetează automat.
- LEGEA APLICABILĂ ȘI JURISDICȚIA
10.1 Prezentul contract este reglementat și interpretat în conformitate cu legislația spaniolă.
10.2 Orice controversă care decurge din prezentul contract sau care se referă la validitatea, interpretarea și/sau executarea acestuia va fi supusă instanțelor și tribunalelor din orașul Madrid, a căror hotărâre va fi obligatorie pentru ambele părți, cu caracter definitiv și irevocabil.
DREPT PENTRU CARE, Părțile au semnat prezentul contract la data indicată în titlu.
Para e em nome da CONTROLLER
______________________
Assinado por O ELECTRÃO, ASOCIACIÓN PARA LA GESTIÓN DE RESIDUOS
Representado por: Sr. Pedro Nazareth
Para e em nome do PROCESSOR DE DADOS
________________________
SERVIÇOS DE RESÍDUOS AMBIENTAIS, SL
Representado por: Sr. Juan Carlos Enrique Moreno
Anexa I: DATE PERSONALE
A) Date cu caracter personal
Datele cu caracter personal la care Persoana Împuternicită de Operator poate avea acces pentru a furniza serviciile prevăzute în Contractul de Prestări Servicii sunt detaliate mai jos, inclusiv categoriile de persoane vizate și activitățile de prelucrare:
OBIECT | Identificate în contractul de prestări servicii |
OPERAȚIUNEA CARE URMEAZĂ SĂ FIE REALIZATĂ |
☐ Colectare ☒ Înregistrare ☒ Structurare ☐ Modificare ☒ Organizare ☐ Extracție ☐ Consultare ☐ Dezvăluirea transferului ☐ Diseminare ☐ Interconectare ☐ Verificare ☐ Limitare ☐ Eliminare ☐ Ștergere ☒ Reținere ☐ Comunicare ☐ Altele: …………………………………… |
SCOPUL PROCEDURII |
☒ Managementul clienților, contabil, fiscal și administrativ. ☐ I+D, Cercetare, teste medicale. ☐ Managementul salariilor. ☐ Furnizarea serviciilor de solvabilitate și creditare ☐ Asigurări și servicii financiare ☐ Publicitate și cercetare comercială ☐ Ghiduri/Repertorii de servicii de comunicare electronică ☐ Furnizarea serviciilor de certificare electronică ☐ Educație / Formare profesională ☐ Securitate privată ☐ Videoprotecție ☐ Resurse umane ☐ Prevenirea riscurilor ocupationale ☐ Respectarea / nerespectarea obligațiilor economice ☐ Profilare ☐ Furnizarea serviciilor de comunicare electronică ☐ Formare ☐ Managementul activităților asociative, culturale, recreative, sportive și sociale ☐ Sănătate ☐ Istoric medical ☐ Comerț electronic ☐ Cercetare epidemiologică și activități similare ☐ Managementul afiliaților sau membrilor partidelor politice, sindicatelor, bisericilor. ☐ Managementul asistenței sociale. ☐ Securitate și controlul accesului la clădiri ☐ Scopuri statistice, istorice sau științifice. ☒ Altele: Servicii de găzduire a datelor |
CATEGORII DE DATE |
☒ Date de identificare ☐ Caracteristici personale ☐ Informații academice și profesionale ☐ Informații comerciale ☐ Circumstanțe sociale ☐ Date de muncă ☐ Informații economice, financiare sau comerciale despre asigurări ☐ Salarizare și evaluări ale angajaților ☐ Tranzacții cu bunuri și servicii ☐ Parole și carduri de credit ☐ Categorii speciale de date: origine etnică, opțiuni politice, religie, credințe filozofice, sindicale, biometrice, sănătate, orientare sexuală, antecedente penale, etc. ☐ Date de securitate (videoprotecție) ☒ Altele: Reprezentanți ai persoanelor juridice |
PERSOANE INTERESATE |
☐ Angajați ☐ Clienți și utilizatori ☒ Furnizori/prestatori de servicii ☐ Membri afiliați ☐ Proprietari, chiriași ☐ Studenți ☐ Pacienți ☐ Profesioniști din domeniul sănătății ☐ Persoane de contact ☐ Părinți sau tutore legali ☒ Reprezentanți legali ☐ Solicitanți ☐ Beneficiari ☐ Funcționari publici ☐ Altele:
|
B) Măsuri de securitate
Persoană Împuternicită de Operator, în ceea ce privește datele cu caracter personal la care are acces cu ocazia furnizării serviciilor care fac obiectul prezentului contract, trebuie să respecte măsurile de securitate adecvate, inclusiv măsurile organizatorice, tehnice, fizice și administrative necesare pentru a asigura un nivel de securitate adecvat în conformitate cu riscul care ar putea apărea în urma prelucrării.
În plus, aceste măsuri asigură securitatea, integritatea și disponibilitatea datelor cu caracter personal și previn în orice moment modificarea, pierderea, distrugerea accidentală sau ilegală, prelucrarea, divulgarea sau accesul neautorizat, ținând seama de stadiul actual al tehnologiei, de costurile de punere în aplicare, de categoriile de date stocate, de domeniul de aplicare al prelucrării, precum și de riscurile de probabilitate și de diferite grade de gravitate pentru drepturile și libertățile persoanelor fizice.
Planificarea măsurilor de securitate include punerea în aplicare a unor mecanisme care să asigure capacitatea de a restabili disponibilitatea și accesul la datele cu caracter personal în timp util în cazul unui incident fizic sau tehnic.
Persoană Împuternicită de Operator trebuie să pune aplice, cel puțin, următoarele măsuri tehnice și organizatorice de securitate:
(i) Numirea unui responsabil cu protecția datelor sau a unui responsabil cu protecția confidențialității, care va asigura respectarea legislației aplicabile.
(ii) Stabilirea funcții și responsabilitățile personalului care prelucrează datele cu caracter personal.
(iii) Crearea de canale de comunicare între personalul implicat în protecția datelor pentru a asigura respectarea legislației privind protecția datelor.
(iv) Definirea rolurilor și a profilurilor utilizatorilor de aplicații și sisteme informatice. În special cele în care datele sunt prelucrate în conformitate cu funcțiile și responsabilitățile menționate mai sus, pentru a preveni accesul neautorizat la date sau resurse. Acest sistem de control al accesului ar trebui să asigure mecanisme adecvate de identificare și autentificare a utilizatorilor, cum ar fi, de exemplu, utilizarea de parole care trebuie reînnoite periodic, utilizarea de date biometrice, blocarea automată a contului de utilizator în cazul unor încercări repetate de acces eșuate etc.
(v) Măsuri automatizate pentru a limita accesul la informații de către utilizatorii neautorizați sau la sfârșitul perioadei de conservare specificate, cum ar fi tehnicile de ștergere sau pseudonimizare a datelor.
(vi) Punerea în aplicare a procedurilor care vizează limitarea accesului fizic la instalațiile în care sunt amplasate sistemele informatice sau hardware.
(vii) Implementarea jurnalelor de acces și control pe suporturile care conțin date cu caracter personal.
(viii) Punerea în aplicare a procedurilor care vizează recuperarea datelor cu caracter personal în cazul unei posibile distrugeri, pierderi sau modificări a acestora, sub supravegherea și cu aprobarea responsabilului cu protecția datelor.
(ix) Punerea în aplicare a procedurilor pentru a asigura detectarea, evaluarea și notificarea incidentelor de securitate care pot afecta drepturile și libertățile persoanelor.
(x) Organizarea de reuniuni periodice privind îndeplinirea acestora, în cadrul cărora se definesc și se execută planuri de acțiune pentru atenuarea riscurilor identificate.
În cazul în care urmează să fie prelucrate date sensibile cu caracter personal, Persoană Împuternicită de Operator va lua, în plus, următoarele măsuri:
(i) Furnizarea unui jurnal de acces la datele sensibile, cu identificarea utilizatorului și data accesului.
(ii) Criptarea datelor sau o tehnică similară pe suporturile fizice și dispozitivele portabile care conțin date sensibile ce urmează a fi trimise sau utilizate în afara sediului companiei.
(iii) Criptarea comunicațiilor care conțin date sensibile în rețele digitale
(iv) Punerea în aplicare a unor măsuri de prevenire a accesului neautorizat la datele sensibile pe suporturi fizice (de exemplu, documentație) în timpul transportului informațiilor de la sediul societății la locul de depozitare, care ar trebui să dispună de măsuri de securitate adecvate de control al accesului.