Avand in vedere prevederile in vigoare referitoare la cadrul legal de prelucrare a datelor cu caracter personal, confidentialitatea, securitatea si protectia datelor si avand in vedere ca ambele parti au obligatia de a se conforma acestor prevederi;

Avand in vedere ca in relatia contractuala dintre cei doi Parteneri contractuali, fiecare poate avea calitatea de Parte primitoare sau Parte Transmitatoare a datelor personale, partile convin ca termenii si conditiile enuntate mai jos se adauga ca un addendum la contractul principal.

1. Definitii

Termenii utilizati in prezentul acord au semnificatiile prezentate in prezentul acord. Termenii care nu au fost definiti in prezentul document au semnificatia data in contractul principal. Cu exceptia modificarilor de mai jos, termenii contractului principal vor ramane in vigoare.

Utilizarea termenului "Partener contractual" nu inseamna existenta oricarei forme de parteneriat juridic intre parti.

1.1.1. ”Date personale" inseamna orice date personale, astfel cum sunt definite in legile privind protectia datelor, dezvaluite de o parte ("Partea Transmitatoare") celeilalte parti ("Partea Primitoare") in exercitarea drepturilor sau obligatiilor acelei parti in temeiul contractului principal;

1.1.2. „Prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal cum ar fi: colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;

1.1.3. „Operator” înseamnă persoana fizică sau juridică care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal;

1.1.4. “Imputernicit”/„Persoană împuternicită pentru prelucrarea datelor” înseamnă persoana fizică sau juridică care prelucrează datele cu caracter personal în numele operatorului;

1.1.5 "Afiliat" inseamna o entitate care detine sau controleaza, este detinuta sau controlata de/ sau este controlata /sau este controlata sau detinuta impreuna cu SMARTEGO sau cu Partenerul Contractant (dupa cum permite contextul), unde controlul este definit ca posesie, direct sau indirect, a puterii de a conduce sau a determina directia conducerii si a politicilor unei entitati, fie prin detinerea de titluri cu drept de vot, prin contract sau prin altfel;

1.1.6. "Legile privind protectia datelor" inseamna Regulamentul nr. 679/2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor) (numit in cele ce urmeaza "GDPR" si colectiv cu legile UE privind protectia datelor);

1.1.7. "Solicitare a Datelor de Date" inseamna o solicitare din partea unei Persoane vizate de a-si exercita orice drept in temeiul Legilor privind protectia datelor;

1.1.8. "SEE" inseamna Spatiul Economic European;

1.1.9. "Transfer restrictionat" inseamna transferul datelor cu caracter personal de la Partea Transmitatoare sau afiliatul acesteia la Partea Primitoare sau la afiliatul acesteia, in cazul in care transferul ar fi interzis de legile privind protectia datelor in absenta clauzelor contractuale standard. Pentru a evita orice indoiala: (a) fara a se limita la caracterul general al celor de mai sus, partile la acest acord intentioneaza ca transferurile de date cu caracter personal din Regatul Unit catre Uniunea Europeana sau din Uniunea Europeana catre Regatul Unit, in urma oricarei iesiri din partea Regatul Unit al Uniunii Europene va fi transfer restrictionat pentru o astfel de perioada si intr-o asemenea masura incat astfel de transferuri ar fi interzise de legile britanice privind protectia datelor sau de legile UE privind protectia datelor (dupa caz) in absenta clauzelor contractuale standard; si (b) in cazul in care un transfer de date cu caracter personal dintr-o tara intr-o alta tara este de un tip autorizat de legile privind protectia datelor din tara exportatoare, de exemplu in cazul transferurilor din interiorul Uniunii Europene catre o tara sau un sistem (cum ar fi US Privacy Shield), care este aprobat de Comisia Europeana ca asigurand un nivel adecvat de protectie sau orice transfer care se incadreaza intr-o derogare permisa, un astfel de transfer nu va fi un transfer restrictionat in sensul prezentului Acord.

1.1.10. "Autoritate de supraveghere" inseamna: (a) o autoritate publica independenta stabilita de un stat membru in conformitate cu articolul 51 din GDPR; si (b) orice autoritate de reglementare similara responsabila cu aplicarea legilor privind protectia datelor

2. Operatori

2.1 Functie de momentul prelucrarii datelor cu caracter personal, Partile isi recunosc reciproc calitatea de operator, respectiv imputernicit pentru prelucrarea datelor (astfel cum este stabilit conform prevederilor de mai sus) in cadrul executarii Contractului si, in respectiva calitate, fiecare dintre ele este pe deplin responsabila de respectarea Legislatiei aplicabile actiunilor de prelucrare pe care le efectueaza.

2.2 Fiecare dintre parti declara ca isi respecta obligatiile care le revin in temeiul legilor privind protectia datelor cu privire la prelucrarea datelor cu caracter personal.

3. Scopurile si temeiul juridic al prelucrarii

3.1. Scopul prelucrarii datelor cu caracter personal este reprezentat de necesitatea indeplinirii obligatiilor asumate de catre SMARTEGO prin Contractul Principal, precum si informarea Partenerului contractual asupra produselor SMARTEGO prin campanii de marketing direct.

3.2. Temeiul juridic al prelucrării :

- art. 6 alin. 1 lit. b) din GDPR, respectiv "prelucrarea este necesara pentru executarea unui contract la care persoana vizata este parte sau pentru a face demersuri la cererea persoanei vizate inainte de incheierea unui contract";

- art. 6 alin. 1 lit. c) din GDPR, respectiv ”prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului”;

- art. 6 alin. 1 lit. f) din GDPR, respectiv ”prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.”

4.Valabilitate

4.1.Prezentul Acord isi produce efectele de la data semnarii lui de catre Parti si va ramane in vigoare pe toata perioada in care acestea vor face prelucrari de date cu caracter personal in temeiul Contractului.

5. Dezvaluirea datelor cu caracter personal

Atunci cand actioneaza ca Parte Transmitatoare a datelor cu caracter personal, fiecare parte:

5.1. Dezvaluie celeilalte parti numai datele personale pentru unul sau mai multe scopuri definite care sunt in concordanta cu termenii contractului principal ("Scopurile permise");

5.2. Se asigura ca (i) dezvaluirea acestora catre Partea Primitoare a fost notificata anterior Persoanei vizate; (ii) s-a conformat tuturor prevederilor imperative care reglementeaza acest transfer; (iii) a obtinut orice consimtamant sau autorizatie necesara pentru a permite Partii Primitoare sa proceseze in mod liber datele personale pentru scopurile permise, si (iv) nu exista niciun impediment, de nicio natura privind transferul si prelucrarea datelor astfel transmise catre Partea Primitoare in scopul indeplinirii obligatiilor sale contractuale.

5.3 Dezvaluie Partii Transmitatoare doar categoriile speciale de date cu caracter personal necesare pentru Scopurile pemise si numai dupa ce a obtinut consimtamantul prealabil explicit al Persoanelor vizate sau exista o baza legala pentru dezvaluirea acestora;

5.4 Este responsabila de securitatea oricaror date personale in timpul transmiterii de la Partea Transmitatoare catre Partea Primitoare.

6. Prelucrarea datelor cu caracter personal

6.1. Prelucrarea datelor cu caracter personal se realizeaza in principal de catre Partea Primitoare iar in subsidiar, acolo unde serviciile sunt prestate prin intermediul partenerilor, prelucrarea se va efectua si prin intermediul acestora prin transferul lor de la Prestator catre partener.

6.2. Pentru toate cazurile de prelucrare a datelor cu caracter personal de catre partenerii ale Prestatorului, acestia din urma vor avea calitatea de imputernicit al Prestatorului respectiv subcontractanti de servicii de prelucrare date cu caracter personal.

6.3. Stocarea datelor se va putea face pe serverele Partii Primitoare existente pe teritoriul Uniunii Europene.

6.4. Atunci cand actioneaza in calitate de Parte Primitoare, fiecare parte are obligatia:

6.4.1 Sa nu prelucreze datele cu caracter personal intr-un mod incompatibil cu Scopurile permise (altele decat cele care respecta o cerinta a legii aplicabile la care este supusa Primitorul);

6.4.2. Sa nu prelucreze datele personale mai mult decat este necesar pentru a realiza Scopurile permise (altele decat cele care respecta o cerinta a legii aplicabile la care este supusa Primitorul); si

6.4.3. Tinand seama de stadiul tehnicii, costurile de implementare si natura, contextul si scopurile prelucrarii, precum si riscul incalcarii drepturilor si libertatilor Persoanelor vizate, sa aiba la dispozitie tehnici adecvate si masuri de securitate organizationale pentru a proteja datele personale impotriva prelucrarii neautorizate sau ilegale, pierderii accidentale sau distrugerii sau deteriorarii.

7. Reguli aplicabile ambelor parti

Atunci cand opereaza date cu caracter personal, fiecare parte se asigura ca acestea sunt:

a) prelucrate in mod legal, echitabil si transparent fata de persoana vizata ("legalitate, echitate si transparenta");

(b) colectate in scopuri determinate, explicite si legitime si nu sunt prelucrate ulterior intr-un mod incompatibil cu aceste scopuri;

(c) adecvate, relevante si limitate la ceea ce este necesar in raport cu scopurile in care sunt prelucrate ("reducerea la minimum a datelor");

(d) exacte si, in cazul in care este necesar, sa fie actualizate; trebuie sa se ia toate masurile necesare pentru a se asigura ca datele cu caracter personal care sunt inexacte, avand in vedere scopurile pentru care sunt prelucrate, sunt sterse sau rectificate fara intarziere ("exactitate");

(e) pastrate intr-o forma care permite identificarea persoanelor vizate pe o perioada care nu depaseste perioada necesara indeplinirii scopurilor in care sunt prelucrate datele;

(f) prelucrate intr-un mod care asigura securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare ("integritate si confidentialitate").

8. Incalcarea securitatii datelor cu caracter personal

8.1. Partile au obligația de a institui și menține în permanență măsuri de securitate tehnice și organizatorice adecvate, pentru a proteja datele cu caracter personal împotriva distrugerii accidentale sau ilegale sau a pierderii accidentale, deteriorării, modificării, dezvăluirii sau accesului neautorizat, în special atunci când prelucrarea implica transmiterea de date printr-o rețea, precum și împotriva oricăror alte forme ilegale de prelucrare .

8.2. Părtile trebuie să întreprindă măsuri tehnice și organizatorice adecvate, pentru a proteja securitatea oricăror rețele sau servicii de comunicații electronice sau utilizate pentru transferul sau transmiterea datelor cu caracter personal ( inclusiv măsuri menite să asigure secretul comunicațiilor și accesul neautorizat la orice computer sau sistem, garantându-se astfel securitatea comuncațiilor).

8.3. Oricare dintre părți va notifica cealaltă parte, în cel mai scurt timp posibil în împrejurările date, și, în orice caz, în cel mult 24 de ore de la constatare, cu privire la orice distrugere, pierdere, modificare, dezvăluire sau accesare a datelor cu caracter personal accidentală, neautorizată sau ilegală ( Breșă de Securitate).

8.4. Notificarea va menționa (i) detaliile Breșei de Securitate, (ii) tipul de date care au făcut obiectul Breșei de Securitate, (iii) identitatea fiecărei persoane afectate ( sau, dacă nu este posibil, numărul aproximativ de persoane vizate și de înregistrări de Date cu Caracter Personal vizate), (iv) numele și datele de contact ale responsabilului cu protecția datelor din cadrul societății Persoanei Împuternicite de Operator sau ale altui punct de contact de la care se pot obține mai multe informații, (v) o descriere a consecințelor probabile ale Breșei de Securitate; (vi) o descriere a măsurilor luate sau propuse a fi luate de către Persoana Împuternicită de Operator, pentru a soluționa Breșa de Securitate.

9. Cooperarea si asistenta ulterioara

9.1 Fiecare parte va coopera cu cealalta parte, in masura in care este solicitata in mod rezonabil, in legatura cu:

9.1.1 orice solicitare primita de la Persoanele vizate;

9.1.2 orice alta comunicare primita de la o Persoana vizata cu privire la prelucrarea datelor sale cu caracter personal;

9.1.3 orice comunicare din partea unei autoritati de supraveghere privind prelucrarea datelor cu caracter personal sau conformarea cu legile privind protectia datelor.

10. Descrierea datelor cu caracter personal

10.1. Partile recunosc ca in anexa la prezentul Acord au inregistrat corect si precis domeniul de aplicare a datelor cu caracter personal prelucrate in temeiul acestui acord.

11. Legea aplicabila si jurisdictia

11.1. Prezentul Acord este guvernat de legea romana.

11.2. Partile convin sa depuna toate eforturile pentru a rezolva amiabil orice diferend aparut in legatura cu prezentul Acord. In cazul in care partile nu reusesc sa rezolve pe cale amiabila asemenea diferende, acestea vor fi deduse spre solutionare instantelor de judecata competente din Galati.

12. Raspundere

12.1. Partile sunt raspunzatoare pentru prelucrarea datelor cu caracter personal in conformitate cu normele legale aplicabile si prevederile prezentului Acord.

12.3. Pentru toate activitatile de prelucrare a datelor de catre parti, acestea vor implementa masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator pentru riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal.