2.1. Prezentul Acord stabileste cadrul pentru schimbul de date cu caracter personal între parti in calitate
de operatori de date si defineste principiile si procedurile pe care partile isi asuma sa le respecte in
transferurile de date reciproce efectuate.
2.2. Schimbul de date cu caracter personal este necesar pentru a sprijini urmatoarele scopuri convenite ale
ambelor parti:
(a) indeplnirea de catre Unitatea de cazare a obligatiilor legale de tinere a contabilitatii si de gestiune a resurselor umane
(b) sa sprijine eficientizarea colectarii informatiilor din mediul public in vederea indeplinirii obligatiilor
legale si a intereselor legitime ale operatorilor;
(c) sa permita gestionarea eficienta a informatiilor din mediul public, cu actualizari periodice asigurate în
baza Contractului de Servicii incheiat de parti, pe care, altfel, Unitatea de cazare nu ai le-ar putea asigura
intern sau le-ar asigura cu costuri foarte ridicate, disproportionat raportat la existenta unui serviciu ce
poate fi asigurat de catre un operator extern specializat, cu costuri mult mai reduse;
(d) sa sprijine indeplinirea obligatiilor legale la care sunt supuse partile prezentului Acord.
3.1. Obligatiile generale:
3.1.1. In limitele si in intelesul prezentului Contract, fiecare parte ce actioneaza in calitate de Operator este
de acord ca:
(a) este un operator independent al datelor cu caracter personal prelucrate in conformitate cu Legislatia
privind Protectia Datelor;
(b) va putea stabili in mod individual scopurile si mijloacele de prelucrare a datelor personale, orice decizii
adoptate pe baza datelor obtinute in baza Contractului de Servicii fiind in mod obligatoriu si absolut in
responsabilitatea Operatorului; si
(c) va respecta obligatiile care ii revin in temeiul Legislatiei privind Protectia Datelor cu privire la prelucrarea
datelor cu caracter personal ale operatorului.
3.1.2 Fiecare Parte, in calitate de Operator, este responsabila pentru confirmarea faptului ca activitatile
de prelucrare referitoare la datele personale, conform celor specificate in Contractul de Servicii si in acest
Acord, sunt legale, oneste si transparente cu privire la persoanele vizate, conform specificatiilor si limitarilor
impuse prin Contractul de Servicii dintre parti.
3.2. Obligatii specifice ale Operatorilor de date
:
3.2.1. Obligatiile Intermediarului de servicii:
Intermediarul in calitate de Operator este de acord si garanteaza:
(a) ca prelucrarea, inclusiv transferul in sine, a datelor cu caracter personal a fost si va continua sa fie
efectuata in conformitate cu dispozitiile relevante din legislatia aplicabila privind protectia datelor si cu
respectarea interesului legitim justificat de parti, potrivit GDPR;
(b) ca a solicitat Unitatii de cazare si pe toata durata serviciilor de prelucrare a datelor personale va avea
dreptul sa solicite acestuia sa proceseze datele cu caracter personal transferate numai in indeplinirea
obligatiilor stabilite de lege, in respectarea interesului sau legitim si in conformitate cu legislatia aplicabila
privind protectia datelor si cu dispozitiile prezentului Contract;
(c) ca va conferi garantii suficiente cu privire la masurile de securitate tehnica si organizatorica pentru
prelucrarea datelor cu caracter personal, atat la nivel intern cat si prin impunerea acelorasi masuri oricaror
persoane imputernicite de Operator in sensul GDPR.
(d) ca va asigura respectarea masurilor de securitate;
(e) ca nu va transfera categorii speciale de date in temeiul prezentului Contract, iar daca transferul autorizat
presupune categorii speciale de date, vor fi luate toate masurile necesare impuse de Legislatia privind
Protectia Datelor aplicabile la momentul transferului;
(f) sa puna la dispozitia persoanelor vizate, la cerere, o informare cu privire la existenta prezentului Acord
si o descriere sumara a masurilor de securitate adoptate.
(g) sa notifice cu promptitudine operatorul Unitate de cazare in legatura cu:
(i) orice cerere legala de divulgare a datelor cu caracter personal de catre o autoritate a statului, cu exceptia
cazului in care legea ii interzice acest lucru;
(ii) accesul accidental sau neautorizat la datele cu caracter personal; si
(iii) orice solicitare primita direct de la persoanele vizate, fara a raspunde la aceasta solicitare inainte de
informarea Operatorului Unitate de cazare, cu exceptia cazului in care a fost autorizat altfel sa faca acest
lucru,
(h) sa trateze prompt si adecvat toate interogarile din partea Unitatii de cazare privind prelucrarea datelor
cu caracter personal supuse transferului si sa respecte recomandarile autoritatii de supraveghere cu privire
la prelucrarea datelor transferate;
(i) sa asigure pe toata durata executarii prezentului Acord, pentru orice operatiuni necesare sau incidentale
executarii contractului, existenta consimtamantului in conditiile legale de la:
(i) personalul sau implicat in relatiile cu Unitateade cazare
(ii) salariatii sai cu privire la care se executa servicii conform Contractului
(iii) orice alte persoane fizice ale caror date personale se regasesc inscrise pe documente transmise
spre procesare de Unitateade cazare
(j) la cererea Unitatii de cazare, sa isi prezinte facilitatile de prelucrare a datelor pentru auditarea
activitatilor de prelucrare care intra sub incidenta clauzelor prezentului Acord de catre un organism de
inspectie format din membri independenti si care detin cerintele calificarile profesionale legate de obligatia
de confidentialitate, selectate de Unitatea de cazare, dupa caz, de comun acord cu autoritatea de
supraveghere;
(k) Daca Intermediarul a numit un DPO (daca se cere prin legea aplicabila privind protectia datelor), este
obligat sa puna la dispozitie Unitatii de cazare datele de contact ale DPO;
3.2.2. Obligatiile Unitatii de cazare:
Unitatea de cazare, in calitate de Operator de date este de acord si garanteaza:
(a) ca prelucrarea datelor cu caracter personal a fost si va continua sa fie efectuata in conformitate cu
dispozitiile relevante din legislatia aplicabila privind protectia datelor si cu respectarea interesului legitim
justificat de parti, potrivit GDPR;
(b) ca va procesa datele cu caracter personal transferate in scopurile pe care si le va determina in mod
independent de Intermediar, dar numai in indeplinirea obligatiilor stabilite de lege, in respectarea
interesului sau legitim si in conformitate cu legislatia aplicabila privind protectia datelor si cu dispozitiile
prezentului Acord;
(c) ca masurile de securitate sunt adecvate pentru a proteja datele cu caracter personal impotriva
distrugerii accidentale sau ilicite sau a pierderii, modificarii, dezvaluirii sau accesului neautorizat, in special
atunci cand prelucrarea implica transmiterea datelor din retea si orice alte forme neautorizate de
prelucrare si ca aceste masuri asigura un nivel de securitate adecvat riscurilor prelucrarii si naturii datelor
care trebuie protejate, tinand seama de stadiul actual al tehnicii si de costul implementarii acestora;
(d) ca va asigura respectarea masurilor de securitate;
(e) ca va conferi garantii suficiente cu privire la masurile de securitate tehnica si organizatorica pentru
prelucrarea datelor cu caracter personal, atat la nivel intern cat si prin impunerea acelorasi masuri oricaror
persoane imputernicite de Operator in sensul GDPR. In acest sens, Unitateade cazare va garanta cel putin
respectarea standardelor 9001 in managementul calitatii si 27001 in managementul securitatii
informatiilor;
(g) ca nu va solicita categorii speciale de date in temeiul prezentului Acord, iar daca se dovedeste legalitatea
unui transfer autorizat de Contractul de Servicii ce presupune categorii speciale de date, vor fi luate toate
masurile necesare impuse de Legislatia privind Protectia Datelor aplicabile la momentul transferului;
(h) sa puna la dispozitia persoanelor vizate, la cerere, o informare cu privire la existenta prezentului
Contract si o descriere sumara a masurilor de securitate adoptate;
(i) Unitateade cazare declara si garanteaza ca anterior transferarii catre Intermediar a datelor cu caracter
personal a obtinul acordul explicit al persoanelor vizate cu privire la colectarea, transferul si prelucrarea
datelor lor personale.
4. Confidentialitatea datelor
4.1 Partile sunt obligate sa respecte obligatiile de confidentialitate in conformitate cu dispozitiile privind
confidentialitatea prevazute in Contractul de Servicii. Operatorii se obliga sa prevada in orice contracte care
presupun prelucrarea datelor personale cu persoane imputernicite cel putin aceleasi obligatii de
confidentialitate precum cele prevazute in Contractul de Servicii.
5. Obligatia de notificare si incalcarea de Securitate a Datelor Personale
5.1 In plus fata de alte obligatii de notificare prevazute in acest Acord, fiecare parte va instiinta cealalta
parte fara intarziere nejustificata cu privire la: (i) orice solicitari legale obligatorii privind divulgarea datelor
personale din partea unei autoritati ale statului (daca aceasta divulgare este permisa de lege) sau orice
ordine judecatoresti si ale autoritatilor competente referitoare la prelucrarea datelor personale conform
acestui Acord; (ii) orice reclamatii sau solicitari primite direct de la o persoana vizata (ex: cu privire la acces,
rectificare, stergere, restrictionare a prelucrarii, portabilitatea datelor, obiectii fata de prelucrarea datelor,
adoptarea automata a deciziilor) fara a raspunde acelei solicitari daca Partea nu a fost autorizata in acest
sens sau nu i se cere prin legea aplicabila; si (iii) orice Incalcare a Securitatii Datelor Personale conform
definitiei din acest Acord sau prin legea aplicabila privind protectia datelor referitoare la Serviciile prestate.
5.2 In caz de incalcare a securitatii datelor personale, Partea la nivelul careia s-a produs incalcarea va
comunica imediat ce a luat cunostinta celeilalte parti, dar nu mai tarziu de 24 ore cu privire la aparitia
Incalcarii de Securitate a Datelor Personale. In urmatoarele maximum 24 ore, Partea la nivelul careia s-a
produs incalcarea trebuie sa colecteze si sa furnizeze celeilalte parti urmatoarele informatii detaliate:
a) tipul incalcarii
b) natura, caracterul sensibil, si volumul datelor personale afectate
c) criptarea datelor personale a caror securitate a fost incalcata (de specificat daca este cazul)
d) identificarea usoara a listei persoanelor vizate
e) gradul de severitate al consecintelor pentru persoane (de exemplu, daune fizice, materiale sau
imateriale, cum ar fi furtul de identitate sau deturnarea, pierderi financiare, daune aduse
reputatiei)
f) lista persoanelor vizate afectate de Incalcarea de Securitate a Datelor Personale (cand exista)
inclusiv informatiile de contact
g) categoriile si numarul aproximativ de persoane vizate afectate si categoriile si numarul aproximativ
de inregistrari ale datelor personale afectate
h) consecintele posibile pentru Operator cu privire la incalcarea datelor personale suferita de
persoane imputernicite de catre Operator si/sau persoane sub-imputernicite
i) masurile luate sau de luat pentru combaterea incalcarii datelor personale, pentru combaterea
efectelor si reducerea la minimum a oricaror daune care reies din Incalcarea de Securitate a datelor
personale
6. Raspunsul la solicitarile persoanelor vizate
6.1 Oricare dintre operatori poate solicita si avea nevoie de ajutor suplimentar din partea celuilalt
Operator pentru a respecta drepturile exercitate de persoanele vizate. Operatorul este obligat sa
stabileasca daca un subiect al datelor are sau nu dreptul de a exercita astfel de drepturi ale persoanelor
vizate si sa specifice celeilalte parti in ce masura este nevoie de suport.
Tipuri de incalcari privind datele personale
- “Incalcarea confidentialitatii” - acolo unde exista o divulgare neautorizata sau accidentala sau acces la datele personale
- “Incalcarea disponibilitatii” - acolo unde exista o pierdere accidentala sau neautorizata a accesului sau distrugerea datelor personale.
- “Incalcarea integritatii” - acolo unde exista o modificare neautorizata sau accidentala a datelor personale.
Exemplele de pierdere a disponibilitatii includ situatiile in care datele au fost sterse accidental sau de catre o persoana neautorizata, sau, in cazul datelor criptate, pierderea cheii de
decriptare. In cazul in care Operatorul nu poate reface accesul la date, de exemplu, dintr-o copie de siguranta, acest lucru este considerat o pierdere permanenta a disponibilitatii.
7. Respectarea legislatiei aplicabile
7.1 Partile au dreptul de a solicita modificarea si/sau implementarea oricarei parti a acestui Acord in
masura necesara pentru satisfacerea oricaror interpretari, indrumari sau ordine emise de autoritatile
competente ale Uniunii Europene sau Statelor Membre, prevederilor nationale privind implementarea, sau
alte evolutii legale privind cerintele GDPR pentru contractarea Persoanelor imputernicite sau altor cerinte
privind contractarea Persoanelor imputernicite. Partile vor conveni asupra modificarilor necesare de buna
credinta respectandu-si obligatiile de executare a acestei relatii contractuale tinand cont de legea aplicabila
privind protectia datelor.
8. Eficienta,durata si incetare
8.1 Acest Acord va intra in vigoare la data semnarii si va avea aceeasi durata ca a Contractului de
Servicii. Daca nu se convine altfel in prezentul document, drepturile de incetare si cerintele vor fi aceleasi
cu cele stabilite in Contractul de intermediere in vanzarea de locuri de cazare si servicii conexe.
9.1. Partile vor fi tinute de obligatiile stabilite potrivit prezentului Contract, putand fi atrasa
raspunderea acestora pentru orice incalcari culpabile ale prevederilor Contractului, raportat la intinderea
si consecintele directe ale incalcarilor dovedite, in limitele raspunderii stabilite potrivit Contractului de
intermediere in vanzarea de locuri de cazare si servicii conexe.
10. Ierarhia documentelor
10.1. In cazul in care apar contradictii sau discrepante intre prevederile acestui Acord si Contractul de
intermediere in vanzarea de locuri de cazare si servicii conexe cu privire la obligatiile Partilor privind
protectia datelor, prevederile acestui Acord vor prevala.