ANEXA 1 LA CONDITIILE GENERALE DE AFACERI ALE LOCAL TRAVEL SRL

Acord privind Prelucrarea Datelor cu Caracter Personal
                   (denumit in continuare „Acord”)

Prezentul Acord reprezinta parte integranta din Contractul de intermediere in vanzarea de locuri de cazare si servicii conexe incheiat intre Intermediar si Unitatea de cazare.

PREAMBUL

Având în vedere dispozitiile Regulamentului UE 2016/679 privind protectia persoanelor fiizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date

Având în vedere faptul ca in executarea si monitorizarea Contractului sus-mentionat, Intermediarulsi Unitatea de cazare au acces, dezvaluie si transfera date cu caracter personal Având în vedere faptul ca in executarea si monitorizarea Contractului sus-mentionat, Intermediarulsi Unitatea de cazare au acces, dezvaluie si transfera date cu caracter personal

Având în vedere ca Unitatea de cazare are in sarcina sa o serie de obligatii legale de tinere a unei evidente si de raportare a operatiunilor economice si a situatiei resurselor umane

Avand in vedere ca, la Intermedierea Serviciilor, fiind prelucrate si livrate inclusiv date de identificare a persoanelor aflate in structura persoanelor juridice, ale salariatilor Unitatii de cazare sau ale unor terte persoane cu care Unitatea de cazare intr in contact in desfasurarea operatiunilor economice, devenind astfel incidente dispozitiile Regulamentului (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie, 2016 privind protectia persoanelor fizice cu privire la prelucrarea datelor personale si la libera circulatie a unor astfel de date („GDPR”) si orice alte legi si prevederi aplicabile privind protectia datelor,

Avand in vedere ca, Partile convin ca transferurile de seturi de date tratate de Contractul de intermediere in vanzarea de locuri de cazare si servicii conexe, sunt obiect al prelucrari de date pentru care,fiecare dintre operatori isi stabileste mijloacele de prelucrare si finalitatea exacta a prelucrarii, astfel ca transferurile de date ce fac obiectul Acordului se califica in calitate de prelucrare contractuala a datelor conform art. 26 din GDPR, si ca isi doresc sa foloseasca acest Acord pentru in scopul reglementarii conditiilor prelucrarilor contractuale,

Având în vedere ca, începând cu data de 25 mai 2018 GDPR a intrat in vigoare clauza privind protectia datelor din Contractul de Servicii (in masura in care exista) va fi înlocuita cu prezentul Acord, Având în vedere ca, începând cu data de 25 mai 2018 GDPR a intrat in vigoare clauza privind protectia datelor din Contractul de Servicii (in masura in care exista) va fi înlocuita cu prezentul Acord,

PRIN URMARE, pentru a aduce masuri de protectie adecvate cu privire la protectia confidentialitatii si drepturilor si libertatilor fundamentale pentru transferurile de date personale intre ele, Partile au incheiat prezental Acord ce constituie anexa a Contractului de intermediere in vanzarea de locuri de cazare si servicii conexe, prin care se Partile determina raporturile contractuale privind protectia datelor, stabilind în acest sens urmatoarele:

1.     Definitii:

In scopurile urmarite de prezentul Acord, se vor aplica terminologia si definitiile utilizate de Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie, 2016 privind protectia persoanelor fizice cu privire la prelucrarea datelor personale si la libera circulatie a unor astfel de date, “GDPR”, ("date cu caracter personal", "categorii speciale de date", "prelucrarea datelor", "operator", "persoana vizata" “persoana imputernicita”, si "autoritate de supraveghere"). In plus, se vor aplica termenii definiti in Acord si mai jos:In scopurile urmarite de prezentul Acord, se vor aplica terminologia si definitiile utilizate de Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie, 2016 privind protectia persoanelor fizice cu privire la prelucrarea datelor personale si la libera circulatie a unor astfel de date, “GDPR”,("date cu caracter personal","categorii speciale de date", "prelucrarea datelor","operator","persoana vizata" “persoana imputernicita”, si "autoritate de supraveghere"). In plus, se vor aplica termenii definiti în Acord si mai jos:

(a) “Contractul de intermediere in vanzarea de locuri de cazare si servicii conexe” înseamna Contractul incheiat intre Intermediar si Unitatea de Cazare
(b) “Unitatea de cazare” reprezinta persoana fizica sau juridica ce asigura prestarea efectiva catre Turist a serviciilor de cazare si a serviciilor conexe
(c) “Intermediarul” reprezinta persoana juridica ce detine si administreaza Platforma localtravel.ro
(d) “Turistul” – persoana fizica care rezerva prin intermediul Platformei localtravel.ro cazare si/sau alte servicii la Unitatea de cazare
(e) “Legislatia privind Protectia Datelor” înseamna, dupa caz: (a) GDPR; si/sau (b) legea adoptata la nivel national în completarea GDPR.


2.     Obiectul Acordului:

2.1. Prezentul Acord stabileste cadrul pentru schimbul de date cu caracter personal între parti in calitate de operatori de date si defineste principiile si procedurile pe care partile isi asuma sa le respecte in transferurile de date reciproce efectuate.
2.2. Schimbul de date cu caracter personal este necesar pentru a sprijini urmatoarele scopuri convenite ale ambelor parti:
(a) indeplnirea de catre Unitatea de cazare a obligatiilor legale de tinere a contabilitatii si de gestiune a resurselor umane
(b) sa sprijine eficientizarea colectarii informatiilor din mediul public in vederea indeplinirii obligatiilor legale si a intereselor legitime ale operatorilor;
(c) sa permita gestionarea eficienta a informatiilor din mediul public, cu actualizari periodice asigurate în baza Contractului de Servicii incheiat de parti, pe care, altfel, Unitatea de cazare nu ai le-ar putea asigura intern sau le-ar asigura cu costuri foarte ridicate, disproportionat raportat la existenta unui serviciu ce poate fi asigurat de catre un operator extern specializat, cu costuri mult mai reduse;
(d) sa sprijine indeplinirea obligatiilor legale la care sunt supuse partile prezentului Acord.

3.  Obligatiile Partilor:

3.1.  Obligatiile generale:

3.1.1. In limitele si in intelesul prezentului Contract, fiecare parte ce actioneaza in calitate de Operator este de acord ca:
(a) este un operator independent al datelor cu caracter personal prelucrate in conformitate cu Legislatia privind Protectia Datelor;
(b) va putea stabili in mod individual scopurile si mijloacele de prelucrare a datelor personale, orice decizii
adoptate pe baza datelor obtinute in baza Contractului de Servicii fiind in mod obligatoriu si absolut in
responsabilitatea Operatorului; si
(c) va respecta obligatiile care ii revin in temeiul Legislatiei privind Protectia Datelor cu privire la prelucrarea
datelor cu caracter personal ale operatorului.
3.1.2 Fiecare Parte, in calitate de Operator, este responsabila pentru confirmarea faptului ca activitatile
de prelucrare referitoare la datele personale, conform celor specificate in Contractul de Servicii si in acest
Acord, sunt legale, oneste si transparente cu privire la persoanele vizate, conform specificatiilor si limitarilor
impuse prin Contractul de Servicii dintre parti.

3.2.  Obligatii specifice ale Operatorilor de date :

3.2.1.  Obligatiile Intermediarului de servicii:

Intermediarul in calitate de Operator este de acord si garanteaza:
(a) ca prelucrarea, inclusiv transferul in sine, a datelor cu caracter personal a fost si va continua sa fie
efectuata in conformitate cu dispozitiile relevante din legislatia aplicabila privind protectia datelor si cu
respectarea interesului legitim justificat de parti, potrivit GDPR;
(b) ca a solicitat Unitatii de cazare si pe toata durata serviciilor de prelucrare a datelor personale va avea
dreptul sa solicite acestuia sa proceseze datele cu caracter personal transferate numai in indeplinirea
obligatiilor stabilite de lege, in respectarea interesului sau legitim si in conformitate cu legislatia aplicabila
privind protectia datelor si cu dispozitiile prezentului Contract;
(c) ca va conferi garantii suficiente cu privire la masurile de securitate tehnica si organizatorica pentru
prelucrarea datelor cu caracter personal, atat la nivel intern cat si prin impunerea acelorasi masuri oricaror
persoane imputernicite de Operator in sensul GDPR.
(d) ca va asigura respectarea masurilor de securitate;
(e) ca nu va transfera categorii speciale de date in temeiul prezentului Contract, iar daca transferul autorizat
presupune categorii speciale de date, vor fi luate toate masurile necesare impuse de Legislatia privind
Protectia Datelor aplicabile la momentul transferului;
(f) sa puna la dispozitia persoanelor vizate, la cerere, o informare cu privire la existenta prezentului Acord
si o descriere sumara a masurilor de securitate adoptate.
(g) sa notifice cu promptitudine operatorul Unitate de cazare in legatura cu:
(i) orice cerere legala de divulgare a datelor cu caracter personal de catre o autoritate a statului, cu exceptia
cazului in care legea ii interzice acest lucru;
(ii) accesul accidental sau neautorizat la datele cu caracter personal; si
(iii) orice solicitare primita direct de la persoanele vizate, fara a raspunde la aceasta solicitare inainte de
informarea Operatorului Unitate de cazare, cu exceptia cazului in care a fost autorizat altfel sa faca acest
lucru,
(h) sa trateze prompt si adecvat toate interogarile din partea Unitatii de cazare privind prelucrarea datelor
cu caracter personal supuse transferului si sa respecte recomandarile autoritatii de supraveghere cu privire
la prelucrarea datelor transferate;
(i) sa asigure pe toata durata executarii prezentului Acord, pentru orice operatiuni necesare sau incidentale
executarii contractului, existenta consimtamantului in conditiile legale de la:
      (i) personalul sau implicat in relatiile cu Unitateade cazare
      (ii) salariatii sai cu privire la care se executa servicii conform Contractului
      (iii) orice alte persoane fizice ale caror date personale se regasesc inscrise pe documente transmise
spre procesare de Unitateade cazare
(j) la cererea Unitatii de cazare, sa isi prezinte facilitatile de prelucrare a datelor pentru auditarea
activitatilor de prelucrare care intra sub incidenta clauzelor prezentului Acord de catre un organism de
inspectie format din membri independenti si care detin cerintele calificarile profesionale legate de obligatia
de confidentialitate, selectate de Unitatea de cazare, dupa caz, de comun acord cu autoritatea de
supraveghere;
(k) Daca Intermediarul a numit un DPO (daca se cere prin legea aplicabila privind protectia datelor), este
obligat sa puna la dispozitie Unitatii de cazare datele de contact ale DPO;

3.2.2.  Obligatiile Unitatii de cazare:

Unitatea de cazare, in calitate de Operator de date este de acord si garanteaza:
(a) ca prelucrarea datelor cu caracter personal a fost si va continua sa fie efectuata in conformitate cu
dispozitiile relevante din legislatia aplicabila privind protectia datelor si cu respectarea interesului legitim
justificat de parti, potrivit GDPR;
(b) ca va procesa datele cu caracter personal transferate in scopurile pe care si le va determina in mod
independent de Intermediar, dar numai in indeplinirea obligatiilor stabilite de lege, in respectarea
interesului sau legitim si in conformitate cu legislatia aplicabila privind protectia datelor si cu dispozitiile
prezentului Acord;
(c) ca masurile de securitate sunt adecvate pentru a proteja datele cu caracter personal impotriva
distrugerii accidentale sau ilicite sau a pierderii, modificarii, dezvaluirii sau accesului neautorizat, in special
atunci cand prelucrarea implica transmiterea datelor din retea si orice alte forme neautorizate de
prelucrare si ca aceste masuri asigura un nivel de securitate adecvat riscurilor prelucrarii si naturii datelor
care trebuie protejate, tinand seama de stadiul actual al tehnicii si de costul implementarii acestora;
(d) ca va asigura respectarea masurilor de securitate;
(e) ca va conferi garantii suficiente cu privire la masurile de securitate tehnica si organizatorica pentru
prelucrarea datelor cu caracter personal, atat la nivel intern cat si prin impunerea acelorasi masuri oricaror
persoane imputernicite de Operator in sensul GDPR. In acest sens, Unitateade cazare va garanta cel putin
respectarea standardelor 9001 in managementul calitatii si 27001 in managementul securitatii
informatiilor;
(g) ca nu va solicita categorii speciale de date in temeiul prezentului Acord, iar daca se dovedeste legalitatea
unui transfer autorizat de Contractul de Servicii ce presupune categorii speciale de date, vor fi luate toate
masurile necesare impuse de Legislatia privind Protectia Datelor aplicabile la momentul transferului;
(h) sa puna la dispozitia persoanelor vizate, la cerere, o informare cu privire la existenta prezentului
Contract si o descriere sumara a masurilor de securitate adoptate;
(i) Unitateade cazare declara si garanteaza ca anterior transferarii catre Intermediar a datelor cu caracter
personal a obtinul acordul explicit al persoanelor vizate cu privire la colectarea, transferul si prelucrarea
datelor lor personale.

4.    Confidentialitatea datelor

4.1 Partile sunt obligate sa respecte obligatiile de confidentialitate in conformitate cu dispozitiile privind
confidentialitatea prevazute in Contractul de Servicii. Operatorii se obliga sa prevada in orice contracte care
presupun prelucrarea datelor personale cu persoane imputernicite cel putin aceleasi obligatii de
confidentialitate precum cele prevazute in Contractul de Servicii.

5.    Obligatia de notificare si incalcarea de Securitate a Datelor Personale

5.1 In plus fata de alte obligatii de notificare prevazute in acest Acord, fiecare parte va instiinta cealalta
parte fara intarziere nejustificata cu privire la: (i) orice solicitari legale obligatorii privind divulgarea datelor
personale din partea unei autoritati ale statului (daca aceasta divulgare este permisa de lege) sau orice
ordine judecatoresti si ale autoritatilor competente referitoare la prelucrarea datelor personale conform
acestui Acord; (ii) orice reclamatii sau solicitari primite direct de la o persoana vizata (ex: cu privire la acces,
rectificare, stergere, restrictionare a prelucrarii, portabilitatea datelor, obiectii fata de prelucrarea datelor,
adoptarea automata a deciziilor) fara a raspunde acelei solicitari daca Partea nu a fost autorizata in acest
sens sau nu i se cere prin legea aplicabila; si (iii) orice Incalcare a Securitatii Datelor Personale conform
definitiei din acest Acord sau prin legea aplicabila privind protectia datelor referitoare la Serviciile prestate.
5.2 In caz de incalcare a securitatii datelor personale, Partea la nivelul careia s-a produs incalcarea va
comunica imediat ce a luat cunostinta celeilalte parti, dar nu mai tarziu de 24 ore cu privire la aparitia
Incalcarii de Securitate a Datelor Personale. In urmatoarele maximum 24 ore, Partea la nivelul careia s-a
produs incalcarea trebuie sa colecteze si sa furnizeze celeilalte parti urmatoarele informatii detaliate:
    a) tipul incalcarii
    b) natura, caracterul sensibil, si volumul datelor personale afectate
    c) criptarea datelor personale a caror securitate a fost incalcata (de specificat daca este cazul)
    d) identificarea usoara a listei persoanelor vizate
    e) gradul de severitate al consecintelor pentru persoane (de exemplu, daune fizice, materiale sau
    imateriale, cum ar fi furtul de identitate sau deturnarea, pierderi financiare, daune aduse
    reputatiei)
    f) lista persoanelor vizate afectate de Incalcarea de Securitate a Datelor Personale (cand exista)
    inclusiv informatiile de contact
    g) categoriile si numarul aproximativ de persoane vizate afectate si categoriile si numarul aproximativ
    de inregistrari ale datelor personale afectate
    h) consecintele posibile pentru Operator cu privire la incalcarea datelor personale suferita de
    persoane imputernicite de catre Operator si/sau persoane sub-imputernicite
    i) masurile luate sau de luat pentru combaterea incalcarii datelor personale, pentru combaterea
    efectelor si reducerea la minimum a oricaror daune care reies din Incalcarea de Securitate a datelor
    personale

6.    Raspunsul la solicitarile persoanelor vizate

6.1 Oricare dintre operatori poate solicita si avea nevoie de ajutor suplimentar din partea celuilalt
Operator pentru a respecta drepturile exercitate de persoanele vizate. Operatorul este obligat sa
stabileasca daca un subiect al datelor are sau nu dreptul de a exercita astfel de drepturi ale persoanelor
vizate si sa specifice celeilalte parti in ce masura este nevoie de suport.

Tipuri de incalcari privind datele personale
Exemplele de pierdere a disponibilitatii includ situatiile in care datele au fost sterse accidental sau de catre o persoana neautorizata, sau, in cazul datelor criptate, pierderea cheii de decriptare. In cazul in care Operatorul nu poate reface accesul la date, de exemplu, dintr-o copie de siguranta, acest lucru este considerat o pierdere permanenta a disponibilitatii.

7.    Respectarea legislatiei aplicabile

7.1    Partile au dreptul de a solicita modificarea si/sau implementarea oricarei parti a acestui Acord in masura necesara pentru satisfacerea oricaror interpretari, indrumari sau ordine emise de autoritatile competente ale Uniunii Europene sau Statelor Membre, prevederilor nationale privind implementarea, sau alte evolutii legale privind cerintele GDPR pentru contractarea Persoanelor imputernicite sau altor cerinte privind contractarea Persoanelor imputernicite. Partile vor conveni asupra modificarilor necesare de buna credinta respectandu-si obligatiile de executare a acestei relatii contractuale tinand cont de legea aplicabila privind protectia datelor.

8.    Eficienta,durata si incetare

8.1    Acest Acord va intra in vigoare la data semnarii si va avea aceeasi durata ca a Contractului de Servicii. Daca nu se convine altfel in prezentul document, drepturile de incetare si cerintele vor fi aceleasi cu cele stabilite in Contractul de intermediere in vanzarea de locuri de cazare si servicii conexe.

9.    Raspunderea

9.1.    Partile vor fi tinute de obligatiile stabilite potrivit prezentului Contract, putand fi atrasa raspunderea acestora pentru orice incalcari culpabile ale prevederilor Contractului, raportat la intinderea si consecintele directe ale incalcarilor dovedite, in limitele raspunderii stabilite potrivit Contractului de intermediere in vanzarea de locuri de cazare si servicii conexe.

10.    Ierarhia documentelor

10.1.    In cazul in care apar contradictii sau discrepante intre prevederile acestui Acord si Contractul de intermediere in vanzarea de locuri de cazare si servicii conexe cu privire la obligatiile Partilor privind protectia datelor, prevederile acestui Acord vor prevala.

11.    Drepturile persoanelor vizate

11.1    Partile garanteaza respectarea de catre fiecare dintre ele a drepturilor persoanelor ale caror date personale se transfera, astfel cum acestea sunt precizate in Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie, 2016 privind protectia persoanelor fizice cu privire la prelucrarea datelor personale si la libera circulatie a unor astfel de date („GDPR”). 11.2    La cererea persoanei vizate, partile vor comnica acesteia modalitatea de exercitare a acestor drepturi. 11.3    Partile au obligatia de a raspunde persoanelor vizate in termen de 30 de zile, cu exceptia cazurile de intarziere justificata.

12.    Alte prevederi

12.1    Acest ACORD/CONTRACT va fi guvernat de legea din Romania, daca legea aplicabila privind protectia datelor nu prevede altfel. Locul de jurisdictie pentru toate disputele privind acest Acord va fi stabilit prin Contractul de Servicii, daca legea aplicabila privind protectia datelor nu specifica altfel.
12.2    Daca orice prevedere a acestui Acord va fi lipsita de valabilitate sau inaplicabila, atunci restul prezentului Acord va ramane valabil si in vigoare. Prevederea lipsita de valabilitate sau aplicabilitate va fi modificata dupa cum este necesar pentru a se asigura valabilitatea si aplicabilitatea acesteia, in timp ce se pastreaza intentiile Partilor cat mai mult posibil.
12.3    Unitatea de cazare se obliga sa impuna persoanelor care actioneaza in numele sau respectarea prezentului Acord.
12.4    In masura in care Unitatea de cazare proceseaza informatiile despre carduri de plata obtinute de Furnizorul de calatorii prin intermediul localtravel.ro, Unitatea de cazare trebuie sa se conformeze si respecte criteriile de conformitate si procesele de validare prevazute in datele actuale ale industriei cu carduri de plata (PCI)si standardele de securitate emis de marile companii de carduri de credit.
Date de contact ale Ofiterului de protectie a datelor din partea Intermediarului sunt cele mentionate in Conditiile speciale, acestea fiind si date de contact ale Operatorului in caz de eveniment de incalcare a Securitatii Datelor Personale, precum si date de contact ale Operatorului pentru aspecte generale de securitate.
Date de contact ale ofiterului de protectie a datelor din partea Unitatii de cazare sunt cele mentionate in Conditiile speciale, acestea fiind si date de contact ale Operatorului in caz de eveniment de incalcare a Securitatii Datelor Personale, precum si date de contact ale Operatorului pentru aspecte generale de securitate.
Fiecare Parte va avea obligatia sa instiinteze de indata cealalta parte daca exista orice schimbare a ofiterilor de protectie a datelor

Persoanele vizate

Datele personale prelucrate privesc urmatoarele categorii de persoane vizate si urmatoarele categorii de date:

Operatiuni de prelucrare

         Datele personale prelucrate vor fi supuse urmatoarelor activitati de prelucrare de baza:
            1) Personalul Operatorilor:
Prin prezentul Acord, Operatorul Unitate de cazare declara ca exista consimtamantul obtinut in conditiile GDPR de la persoanlele implicati in executarea prezentului Contract in scopul prelucrarii datelor personale in scopul efectuarii de operatiuni pentru executarea contractului in scopul indeplinirii obligatiilor legale ale Unitatii de cazare de gestionare a documentelor si resurselor umane, comunicarea (posibil inregistrata) cu reprezentantii Operatorului cocontractant in scopul asigurarii de suport tehnic incidental executarii Contractului de intermediere in vanzarea de locuri de cazare si servicii conexe
            2) Persoane fizice aflate in structura persoanelor juridice aflate pe teritoriul Romaniei (asociati,                  actionari,administratori, cenzori):
Prin prezentul Acord, Operatorul Unitate de cazare declara ca exista consimtamantul obtinut in conditiile GDPR de la persoanlele implicati in executarea prezentului Contract in scopul prelucrarii datelor personale in scopul efectuarii de operatiuni pentru executarea contractului in scopul indeplinirii obligatiilor legale ale Unitatii de cazare de gestionare a documentelor si resurselor umane, comunicarea (posibil inregistrata) cu reprezentantii Operatorului cocontractant in scopul asigurarii de suport tehnic incidental executarii Contractului de intermediere in vanzarea de locuri de cazare si servicii conexe
3) Salariatii Unitatii de cazare: Salariatii Unitatii de cazare:
4) Persoane fizice ale caror date personale apar inscrise in documenetele transmise spre prelucrare Intermediarulu:
Prin prezentul Acord, Operatorul Unitate de cazare declara ca exista consimtamantul obtinut in conditiile GDPR de la persoanlele implicati in executarea prezentului Contract in scopul prelucrarii datelor personale in scopul efectuarii de operatiuni pentru executarea contractului in scopul indeplinirii obligatiilor legale ale Unitatii de cazare de gestionare a documentelor si resurselor umane, comunicarea (posibil inregistrata) cu reprezentantii Operatorului cocontractant in scopul asigurarii de suport tehnic incidental executarii Contractului de intermediere in vanzarea de locuri de cazare si servicii conexe

Tari pe teritoriul carora se pot prelucra datele cu caracter personal: