Act adiţional la Contractul nr. VCTDA 0051 / 24.10.2017
Acord legat de protectia si securitatea datelor cu caracter personal
(Acord/Contract)

1. Părţile

1.1. Societatea TRADEADS INTERACTIVE S.R.L. cu sediul social în Bucureşti, Bulevardul Pierre de Coubertin, Nr. 3-5, Office Building, Et 6, Sector, înregistrată la Oficiul Registrului Comerţului cu nr. J40/2362/1999 având cod unic de înregistrare RO11740039, e-mail contact@virtualcardsapp.com, telefon 021 209 56 60, reprezentată de Sorin MITRAN în calitate de Împuternicit (denumit în continuare "Procesator"),  pe de o parte,
şi
1.2. Societatea S.C. Eldi Brutaria S.R.L , cu sediul social în Agristeu, jud. Mures, Nr. 73, cod 547101, înregistrată la Oficiul Registrului Comerţului de pe lângă Tribunal sub nr. J26/1493/1994 , având cod unic de înregistrare RO6753822, reprezentată de Sandor Csongor, în calitate de  Director general, (denumit în continuare "Operator"),  pe de altă parte, denumite în continuare, împreună, „Părţile”

PREAMBUL
Având în vedere urmatoarele:
I. Operatorul pune la dispoziţia Procesatorului documente şi informaţii care conţin datele cu caracter personal colectate de Operator,
II. Documentele şi informaţiile sunt solicitate de către Procesator, respectiv sunt oferite de Operator în scopul oferirii de servicii electronice prin internet de gestionare a cardurilor de fidelitate, în baza unui Contract de Prestări Servicii – (“Contractul”),
III.  Datele cu caracter personal furnizate de Operator Procesatorului sunt supuse unei legislaţii specifice,
IV. Procesatorul este de acord să proceseze datele cu caracter personal puse la dispoziţie de Operator în conformitate cu termenii şi condiţiile acestui Act adiţional la Contractul VCTDA 0051 / 24.10.2017 Acord legat de protectia si securitatea datelor cu caracter persona (« Acord/Contract »)

Părţile semnatare ale prezentului Acord/Contract au convenit următoarele:

2. Scopul
2.1. Scopul acestui Acord este de a defini condiţiile în care Procesatorul se angajează să efectueze în numele Operatorului operaţiunile de prelucrare a datele personale definite mai jos.
2.2. În contextul relaţiilor lor contractuale, părţile se angajează să respecte reglementările aplicabile procesării datelor cu caracter personal şi în special, reglementările Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 aplicabil din 25 mai 2018 (denumit în continuare "Regulamentul european privind protecţia datelor ").

3. Definiţii:
3.1. încălcarea securităţii datelor cu caracter personal -  înseamnă o încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;
3.2. date cu caracter personal - înseamnă orice informaţii privind o persoană fizică identificată sau identificabilă ("persoana vizată"); în sensul prezentului Acord prin date cu caracter personal se înţeleg date precum:  nume, prenume,data nasterii, telefon mobil, e-mail, magazin.
3.3. legislaţie aplicabilă - înseamnă legislaţia relevantă privind protecţia datelor cu caracter personal, astfel:
     3.3.1. în statele member UE, Directiva (95/46/EC), înlocuită de Regulamentul Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 aplicabil din 25 mai 2018;
     3.3.2. în statele non-UE, orice legi, reglementări sau reguli similare sau echivalante aplicabile, în cazul în care există o decizie a Comisiei Europene privind caracterul adecvat al nivelului de protecţie şi/sau există garanţii adecvate sau există reguli corporatiste obligatorii aplicabile, conform Regulamentul european privind protecţia datelor;
     3.3.3. orice îndrumări şi/sau coduri de bună practică în vigoare, emise sau acreditate de orice autoritate de supraveghere competentă; şi/sau
     3.3.4. orice modificări, reaplicări sau schimbări ale punctelor 3.3.1- 3.3.3., emise/acreditate de orice autoritate competentă în materie;
3.4. prelucrare - înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea;
3.5. regulamentul european privind protecţia datelor - înseamnă Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 aplicabil din 25 mai 2018;
3.6. reguli corporatiste obligatorii - înseamnă politicile în materie de protecţie a datelor cucaracter personal care trebuie respectate de un operator sau de o persoană împuternicită deoperator stabilită pe teritoriul unui stat membru, în ceea ce priveşte transferurile sau seturile de transferuri de date cu caracter personal către un operator sau o persoană împuternicită deoperator în una sau mai multe ţări terţe în cadrul unui grup de întreprinderi sau al unui grup de întreprinderi implicate într-o activitate economică comună;
3.7. autoritate de supraveghere - înseamnă o autoritate publică independentă instituită de un stat membru în temeiul articolului 51 din Regulamentul european privind protecţia datelor;
3.8. Operator - înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal.
3.9. Procesator (numit în reglementări şi ca „persoană împuternicită”) - înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care prelucrează datele cu caracter personal în numele Operatorului, în sensul prezentului Acord, Procesatorul;

4. Descrierea procesării subcontractate
4.1. Părţile confirmă că societatea TRADEADS este Procesator, iar societatea S.C. Eldi Brutaria S.R.L este Operator. (aplicabil daca partile au alta denumire in contractual initial si este necesar sa stabilim relatia dintre ele conform GDPR)
4.2. Procesatorul este autorizat să proceseze în numele Operatorului, datele cu caracter personal necesare pentru a furniza următoarele servicii: servicii electronice prin internet de gestionare a cardurilor de fidelitate emise de Operator în schimbul unui preţ.
4.3. Natura operaţiunilor de prelucrare efectuate asupra datelor este: colectarea, înregistrarea, organizarea, structurarea, stocarea, modificarea, recuperarea, utilizarea, dezvăluirea, combinarea, ştergerea şi distrugerea .
4.4. Scopul prelucrării este asigurarea de servicii electronice prin internet de gestionare a cardurilor de fidelitate.
4.5. Datele personale prelucrate sunt: nume, prenume,data nasterii, telefon mobil, e-mail, magazine si cod card.
4.6. Categoriile de persoane vizate sunt: Toate persoanele cu varsta minima de 16 ani

5. Durata Acordului
5.1. Prezentul Acord intră în vigoare de la data efectivă a Contractului şi îşi produce efectele pe întreaga perioadă în care Contractul este în vigoare.
5.2. Încetarea Contractului din orice motiv va conduce automat la încetarea acestui Acord.
5.3. Încetarea Acordului nu va aduce atingere prevederilor acestuia sau obligaţiilor legale menite să producă efecte chiar şi după încetarea Acordului.

6. Obligaţiile Procesatorului faţă de Operator
6.1. Procesatorul se angajează:
     6.1.1. să utilizeze datele cu caracter personal doar pentru scopul unic care este subiectul de subcontractare şi doar în modul necesar în vederea furnizării serviciului degestionare prin internet a cardurilor de fidelitate emise de beneficiar, astfel cum este descris în Contractul.
     6.1.2. să prelucreze datele cu caracter personal în conformitate cu instrucţiunile documentate ale Operatorului în măsura în care nu contravin legislaţiei aplicabile
     6.1.3. să prelucreze datele cu caracter personal în conformitate cu orice instrucţiuni documentate ale Operatorului. În cazul în care Procesatorul consideră că una dintre instrucţiuni constituie o încălcare a Regulamentului european privind protecţia datelor sau a oricărei altă dispoziţie a dreptului Uniunii sau a legislaţiei statelor membre referitoare la protecţia datelor, acesta informează imediat Operatorul. În plus, în cazul în care Procesatorul este obligat să transfere date către o ţară terţă sau unei organizaţii internaţionale, în temeiul legislaţiei Uniunii sau al legislaţiei statului membru la care este supusă, trebuie să informeze Operatorul despre această obligaţie înainte de procesare, cu excepţia cazului în care dreptul în cauză interzice aceste informaţii din motive importante de interes public.
     6.1.4. să garanteze confidenţialitatea datelor cu caracter personal prelucrate în cadrul acestui Acord/Contract;
     6.1.5. să se asigure că persoanele autorizate să proceseze date în cadrul acestui Acord/Contract:
          6.1.5.1. se angajează să respecte confidenţialitatea acestora sau că datele cu caracter personal fac obiectul unei obligaţii legale adecvate de confidenţialitate;
          6.1.5.2. primesc instruirea necesară privind protecţia datelor cu caracter personal;
     6.1.6. să ia în considerare, în ceea ce priveşte instrumentele, produsele, aplicaţiile sau serviciile sale, principiile protecţiei datelor începând cu momentul conceperii şi protecţiei datelor în mod implicit;

7. Subcontractarea
7.1. Procesatorul poate utiliza un alt Subcontractant (denumit în continuare "Subcontractant ulterior") care să desfăşoare activităţi de prelucrare specifice.
7.2. Subcontractantul ulterior este obligat să respecte obligaţiile din prezentul Acord/Contract, în conformitate cu instrucţiunile Operatorului. Procesatorul are obligaţia de a verifica Subcontractantul ulterior pentru a se asigura că acesta din urmă oferă garanţii adecvate/cel puţin aceleaşi garanţii pe care le oferea Procesatorul, în ceea ce priveşte punerea în aplicare a măsurilor tehnice şi organizatorice adecvate care să respecte cerinţele legislaţiei aplicabile.
7.3. În cazul în care Subcontractantul ulterior nu îşi îndeplineşte obligaţiile privind protecţia datelor cu caracter personal, Procesatorul rămâne pe deplin responsabil faţă de Operator pentru executarea celorlalte obligaţii ale Subcontractantului ulterior.

8. Dreptul de informare al persoanelor vizate
8.1. Procesatorul va informa persoanele vizate, încă de la momentul colectării datelor cu caracter personal, cu privire la operaţiunile de prelucrare a datelor cu caracter personal. Formularea şi modalitatea de informare trebuie să fie stabilite de comun acord cu Operatorul înainte de colectarea datelor.

9. Exercitarea drepturilor persoanelor vizate
9.1. Procesatorul va sprijini Operatorul, la cererea expresă a acestuia şi îl va asista în îndeplinirea obligaţiei de a răspunde solicitărilor de exercitare a drepturilor persoanele vizate, respectiv: dreptul de acces, rectificarea, ştergerea şi opoziţia, dreptul la limitarea procesării, dreptul la transferabilitatea datelor, dreptul de a nu fi supus unei decizii individuale automată (inclusiv profilul).
9.2. Procesatorul va informa prompt  Operatorul cu privire la:
     9.2.1. Orice plângeri ale persoanelor vizate sau terţi cu privire la prelucrarea datelor cu caracter personal.
     9.2.2. Orice solicitări venite din partea persoanelor vizate sau a autorităţilor pentru acces la sau innformare cu privire la prelucrarea datelor cu caracter personal efectuată de Procesator în contextul Contractului.
9.3. Atunci când persoanele vizate adresează direct Procesatorului cereri de exercitare a drepturilor lor, Procesatorul trebuie să retrimită aceste cereri prin e-mail la adresa [...] (indicaţi un contact în cadrul Operatorului).
9.4. Pe întreaga durată de desfăşurare a Contractului, la alegerea şi solicitarea Operatorului, Procesatorul: (i) va da Operatorului posibilitatea de a corecta, şterge sau bloca datele cu caracter personal sau (ii) va implementa cu promptitudine corecturile, ştergerile sau blocările asupra datelor cu caracter personal procesate pe seama Operatorului.
9.5. Dacă o persoană vizată îşi exercită dreptul la rectificare, ştergere sau restrângere a prelucrării sau obiectează cu privire la prelucrare, fie direct către Procesator fie potrivit informării făcute de Operator, Procesatorul se va asigura că acest lucru este implementat prompt şi în orice caz într-un termen de maxim 25 de zile de la primirea solicitării.
9.6. În cazul în care, în funcţie de complexitatea cererii formulate conform art. 9.5., Procesatorul nu poate implementa măsurile solicitate de către persoana vizată, într-un termen mai mic de 25 de zile, această perioadă poate fi prelungită, motivat, cu maxim 55 de zile. În această situaţie, Procesatorul va informa fie direct atât persoana vizată cât şi Operatorul, fie doar Operatorul, în funcţie de modalitatea prin care a luat cunoştinţă de cererea formulată, în termen de maxim 25 de zile de la primirea cerereii formulate de persoana vizată, cu privire la motivele întârzierii.

10. Notificarea încălcării datelor cu caracter personal
10.1. Procesatorul notifică Operatorului prompt şi în niciun caz mai târziu de 24 de ore după ce a luat cunoştinţă, cu privire la orice încălcare a securităţii datelor cu caracter personal, în modul următor [adresa de email si telefon ale Operatorului]. Această notificare este însoţită de toată documentaţia relevantă care să permită Operatorului, dacă este necesar, să notifice autoritatea competentă.
10.2. Procesatorul se va asigura că datele cu caracter personal pe care le prelucrează în numele Operatorului sunt izolate de alte date cu caracter personal ale altor clienţi ai Procesatorului.
10.3. Notificarea descrisă la punctul 10.1. va conţine cel puţin:
     10.3.1. descrierea naturii încălcării securităţii datelor cu caracter personal, inclusive dacă este posibil, categoriile şi numărul aproximativ al persoanelor în cauză, precum şi categoriile şi numărul aproximativ al înregistrărilor de date cu caracter personal ale persoanelor vizate;
     10.3.2. numele şi datele de contact ale responsabilului cu protecţia datelor sau un alt punct/o altă persoană de contact din care/de la care pot fi obţinute informaţii suplimentare;
     10.3.3. descrierea consecinţelor probabile ale încălcării securităţii datelor personal;
     10.3.4. descrierea măsurilor luate sau propuse de către Operator şi/sau de către Procesator pentru a remedia problema încălcării securităţii datelor cu caracter personal, inclusiv, după caz, măsuri pentru atenuarea eventualelor consecinţe negative ale încălcării securităţii datelor. În cazul şi în măsura în care nu este posibil să se furnizeze toate aceste informaţii în acelaşi timp, informaţiile pot fi comunicate într-un mod eşalonat fără întârziere nejustificată.
10.4. După ce obţine acordul Operatorului, Procesatorul comunică persoanei/persoanelor vizate, în numele şi pentru Operator, încălcarea datelor cu caracter personal în cel mai scurt timp, în cazul în care încălcarea poate crea un risc ridicat pentru drepturile şi libertăţile persoanei/persoanelor vizate.
10.5. Comunicarea către persoana vizată în cauză descrie, în termeni clari şi simpli, natura încălcării datelor cu caracter personal şi conţine cel puţin:
     10.5.1. descriere a naturii încălcării datelor cu caracter personal, inclusiv dacă este posibil, categoriile şi numărul aproximativ de persoane vizate de încălcări şi categorii şi numărul aproximativ de înregistrări de date la caracterul personal vizat;
     10.5.2. numele şi datele de contact ale responsabilului cu protecţia datelor sau un alt punct contact din care informaţii suplimentare;
     10.5.3. descrierea consecinţelor probabile ale încălcării datelor personal;
     10.5.4. descriere a măsurilor luate sau propuse a fi luate pentru a remedia încălcarea datelor cu caracter personal, inclusiv după caz, măsuri de atenuare a eventualelor consecinţe negative.

11. Asistenţa Procesatorului în cadrul respectării de către Operator a obligaţiilor sale
11.1. Procesatorul poate asista Operatorul, la solicitarea acestuia, în realizarea evaluărilor impactului privind protecţia datelor cu caracter personal.
11.2. Procesatorul poate asista Operatorul, la solicitarea în efectuarea consultării prealabilea autorităţii de supraveghere (ANSPDCP sau alta autoritate competenta cf GDPR).

12. Măsuri de securitate
12.1. Procesatorul se angajează să pună în aplicare următoarele măsuri de securitate:
     12.1.1. sa asigure mijloacele pentru a asigura confidenţialitatea, integritatea, disponibilitatea şi rezistenţa constantă a sistemelor şi serviciilor de tratament;
     12.1.2. sa asigure mijloacele de restabilire a disponibilităţii datelor cu caracter personal şi accesul la acestea în timp util, în cazul unui incident fizic sau tehnic;
     12.1.3. sa utilizeze o procedură de testare, analiză şi evaluare periodică a eficacităţii măsuri tehnice şi organizatorice pentru a asigura siguranţa tratamentului;
12.2. Procesatorul se angajează să pună în aplicare măsurile de securitate prevăzute în certificarea ISO 27001.
Procesatorul nu va răspunde pentru modul în care Operatorul procesează el însuţi datele personale colectate prin inetrmediul procesatorului, precum şi pentru nerespectarea procedurilor de Securitate de către Operator sau angajaţii acestuia.
12.3. La sfârşitul prestării serviciilor legate de prelucrarea datelor cu caracter personal Procesatorul este de acord să pună la dispoziţia Operatorului toate datele pe care le deţine ca urmare a executării contractului de Prestări servicii, incluzând date primite de la Operator, date primite de la terţi la solicitarea Operatorului sau date primite de la utilizatorii aplicaţiei VirtualCards prin pagina dedicată Operatorului. Datele vor fi puse la dispoziţie într-un format convenit cu Operatorul. Procesatorul va putea refuza punerea la dispoziţie într-un format care implică costuri disproporţionate pentru acesta.
După punerea la dispoziţie a datelor Procesatorul va şterge datele, într-un termen de 30 zile
Sunt exceptate de la aceasta:
- Datele care au fost puse la dispoziţia Procesatorului de către utilizatorii VirtualCards în legătură cu contul de utilizator al aplicaţiei VirtualCards, chiar dacă sunt date care au fost puse la dispoziţie şi sunt comune cu cele solicitate utilizatorilor prin pagina dedicată a Operatorului. Aceste date sunt: Tara, Localitate, Limba, Nume, Prenume, Email.
- Datele de identificare ale cardului de fidelitate al utilizatorului aplicaţiei VirtualCards, indiferent de modul în care au fost dobândite de către Procesator. Aceste date sunt: serie card.

13. Ofiţer pentru protecţia datelor
13.1. Procesatorul comunică Operatorului numele şi detaliile de contact ale ofiţerului responsabil cu protecţia datelor, dacă a desemnat unul în conformitate cu articolul 37 din Regulamentul european privind protecţia datelor cu caracter personal.

14. Categoriile activităţii de prelucrare
14.1. Procesatorul declară că va păstra în scris un registru al tuturor tipurilor de prelucrări efectuate în numele Operatorului, incluzând:
     14.1.1. numele şi datele de contact ale Operatorului în numele căruia acţionează;
     14.1.2. numele şi datele reprezentantului Procesatorului şi după caz, datele de contact ale responsabilului cu protecţia datelor;
     14.1.3. categoriile de prelucrări efectuate în numele Operatorului;
     14.1.4. acolo unde este cazul transferuri de date cu caracter personal către o ţară terţă sau către o organizaţie internaţională, inclusiv identificarea respectivei ţări terţe saua organizaţie internaţională şi, în cazul transferurilor menţionate la articolul 49 alineatul (1) al doilea paragraf din Regulamentul european privind protecţia datelor, documente care să dovedească existenţa unor garanţii adecvate;
     14.1.5. în măsura posibilului, o descriere generală a măsurilor de securitate tehnice şi organizaţionale, inclusiv, printre altele, după cum este necesar:
     14.1.6. metodele prin care se asigura confidenţialitatea, integritatea, disponibilitatea şi rezistenţa continuă a sistemelor şi serviciilor de prelucrare;
     14.1.7. capacitatea de a restabili disponibilitatea datelor şi accesul la acestea în timp util, în caz de incident de natură fizică sau tehnică;
     14.1.8. un proces de testare, analiză, evaluare şi aprecierea periodică a eficacităţii măsurilor tehnice şi organizatorice care să asigure securitatea prelucrării.

15. Documentaţia
15.1. Procesatorul va pune la dispoziţia Operatorului documentaţia necesare pentru a demonstra conformitatea cu toate obligaţiile şi pentru a permite Operatorului efectuarea de audituri, inclusiv inspecţii, direct de către Operator sau a de către un alt auditor pe care acesta din urmă l-a mandatat şi care a contribuit la aceste audituri.

16. Legea aplicabilă. Litigii.
16.1. Orice neînţelegere între Părţi va fi soluţionata de acestea de comun acord. Dacă această cale nu este posibilă, litigiul va fi conferit spre soluţionare instanţelor judecătoreşti competente de pe raza teritorială a municipiului Bucureşti.
16.2. Prezentul Acord/Contract va fi interpretat în conformitate cu legislaţia din România şi va fi de competenţa, exclusivă a instanţelor judecătoreşti din România.
16.3. Dacă orice prevedere a prezentului Acord/Contract va fi considerată nulă, nevalabilă sau inaplicabilă de către instanţa competentă, celelalte prevederi vor rămâne în vigoare şi vor produce efecte.

17. Dispozitii finale
17.1. Dispoziţiile prezentului Acord/Contract vor fi în beneficiul şi vor fi obligatorii pentru Părţi şi pentru succesorii şi asociaţii acestora.
17.2. Părţile declară şi garantează una faţă de cealaltă că potrivit prevederilor statutare ale fiecărei Părţi au deplina capacitate şi autoritate de a încheia şi executa acest Acord/Contract şi că persoanele care acceptă prevederile acestui Acord/Contract au deplina împuternicire şi autoritate să angajeze Părţile
17.3. Prevederile prezentului Acord/Contract sunt în vigoare pe întreaga perioadă de derulare a relaţiilor contractuale dintre Părţi şi după încetarea raporturilor contractuale, pe durata nedeterminata, dar nu mai mult decât perioada prevăzută de legea aplicabilă.
17.4. Termenii folosiţi în acest Acord/Contract au acelaşi sens cu cei folosiţi în Contractul nr. VCTDA 0051 / 24.10.2017 cu excepţia cazului în care este prevăzut altfel. În cazul oricăror conflicte sau incoerenţe dintre acest Acord şi Contractul nr. VCTDA 0051 / 24.10.2017, vor prevala prevederile din Acord/Contract.
17.5. Limba oficială a prezentului Acord/Contract este limba română.
17.6. Prezentul Acord/Contract intră în vigoare la data semnării acestuia.
Prezentul Acord/Contract a fost încheiat astăzi …………….. în 2 (două) exemplare originale în limba română, din care s-a remis câte unul pentru fiecare parte.

Procesator,                                                                                                                                                      Operator,
TRADEADS INTERACTIVE S.R.L.,                                                                                                                    S.C. Eldi Brutăria S.R.L.,
Sorin MITRAN                                                                                                                                                Csongor SANDOR

Împuternicit                                                                                                                                                     Director General