Acord de prelucrare a datelor cu caracter personal

Data ultimei actualizări: 23.06.2021 

Preambul

Având în vedere conduita de bună credință și de calitate pe care SVT ELECTRONICS SRL o are și o promovează, toate relațiile contractuale și faptice au la baza lor ca standard de calitate protecția drepturilor la viață privată și la prelucrarea datelor cu caracter personal în conformitate cu Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului, din data de 27 aprilie 2016 în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (“GDPR”),

 

SVT ELECTRONICS SRL garantează că respectă integral toate obligațiile care îi incumbă din prevederile GDPR, Legea nr.190/2018 privind măsuri de punere în aplicare a GDPR, Legea nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal modificată și completată de Legea nr. 129/2018. În plus, acesta garantează că deține tehnica, aparatura și măsurile organizatorice necesare pentru a facilita păstrarea și protecția datelor personale împotriva pierderii ori a oricărei forme de procesare ilegală a acestora conform art. 5 alin. 1) lit. (f) GDPR. Aceste măsuri există pentru a asigura un nivel optim de securitate, în limitele tehnologiei disponibile, și au fost realizate în parte pentru a preveni o prelucrare ulterioară inutilă a datelor cu caracter personal,

 

În baza acceptării Termenilor și Condițiilor de utilizare a Platformei de pontaj online www.optimoo.ro, Prestatorul SVT ELECTRONICS SRL va prelucra date cu caracter personal în numele și pe seama Clientului,

În scopul protecției datelor cu caracter personal, SVT ELECTRONICS SRL, în calitate de Persoană împuternicită de Client,

se angajează la respectarea prezentului Acord de Prelucrare a Datelor cu Caracter Personal, în conformitate cu Art. 28 GDPR.

 

  1. Datele de identificare ale Persoanei Împuternicite

SVT ELECTRONICS SRL, cu sediul în Târgu Mureș, str. Brăila nr. 9A, Târgu Mureș, jud. Mureș, înregistrată la Oficiul Registrului Comerțului de pe lângă Tribunalul Mureș sub J26/1053/2006, având Cod Unic de Înregistrare RO18813138, reprezentată prin Director general dl. Sajgó Tibor.

 

  1. Date de contact ale Responsabilului cu Protecția Datelor desemnat

Responsabil cu protecția datelor personale: SVT Electronics SRL.

Adresă de corespondență: Târgu Mureș, str. Brăila, nr. 9/A, jud. Mureș.

Email: dpo@svt.ro

 

 

  1. Definiții
  2. Datele cu caracter personal: înseamnă orice informații privind o persoană fizică identificată sau identificabilă (”persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
  3. Prelucrarea datelor cu caracter personal: reprezintă orice operațiune sau set de operațiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea, ori modificarea, extragerea, consultarea, utilizarea, dezvăluirea către terți prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ștergerea sau distrugerea.
  4. Operator de date: Clienți ai Platformei Optimoo, care stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal;
  5. Persoana împuternicită de către Operator: Prestatorul SVT ELECTRONICS SRL, care prelucrează date cu caracter personal în numele și pe seama Operatorului.
  6. Destinatar: înseamnă persoana fizică sau juridică, autoritate publică, agenția sau alt organism căreia îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu parte terță;
  7. Parte terță: înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;
  8. Consimțământ: al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;
  9. Încălcarea securității datelor cu caracter personal: înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;

 

  1. Datele cu caracter personal prelucrate
    • În contextul furnizării serviciilor de pontaj electronic, Prestatorul prelucrează în principal următoarele tipuri de date: nume, prenume, funcție, semnătură, adresă de e-mail, număr de telefon ale reprezentanților legali ai Clientului sau ai persoanelor de contact desemnate de aceștia.
    • Tipurile de date cu caracter personal introduse de Client în platforma de pontaj online optimoo.ro:
  • date personale: nume și prenume al angajaților Beneficiarului, tipul de contract de muncă, funcția, adresă de email, numărul de telefon, data angajării, data încetării raporturilor de muncă, ora de începere și terminare a activităților de muncă (pontaj);
  • date cu caracter special (în funcție de opțiunea Clientului): semnătura olografă a angajatului, fotografia angajatului;
    • Pentru realizarea evidenței orelor de lucru al angajaților, operatorul poate introduce în aplicația Optimoo următoarele date personale:
  • numele și prenumele angajatului;
  • număr de înregistrare – stabilit conform politicii interne ale operatorului;
  • funcția angajatului – conform contractului individual de muncă;
  • date de personalizare – stabilit de angajator;
  • data angajării – conform contractului individual de muncă;
  • data încetării raporturilor de muncă – după caz;
  • adresa de email al angajatului – adresă email proprie sau de serviciu în funcție de înțelegerea între angajat și angajator;
  • ora pontării;
  • tipul pontării – începere sau încetare a orelor de muncă;
  • zona unde se face pontarea – dacă acesta se realizează în mai multe zone;
  • fotografia semnăturii olografice sau semnătură înregistrată electronic în momentul realizării operațiunii de pontare – în funcție de procedurile interne aplicabile la nivelul angajatorului; Fotografiile sunt stocate pe o perioadă de 60 de zile calendaristice, după care sunt șterse automat din sistem.
  • perioadele de delegație pentru zilele/orele în care angajatul se află în delegație;
  • perioada concediilor de odihnă al angajatului;
  • perioadele în care angajatul se află în concediu medical – vizând exclusiv data începerii și încetării concediului medical, fără posibilitatea introducerii și fără a colecta informații cu privire la boala de care angajatul suferă, ori alte informații personale;
  • concediile fără plată efectuate de angajat;
  • perioadele libere legale stabilite prin dispozițiile legale sau contractul colectiv de muncă/ regulament intern aplicabile la nivelul angajatorului;
  • perioadele în care contractul individual de muncă este suspendat;
  • obligații cetățenești;
  • boli profesionale;
  • donare de sânge;
  • accidente de muncă;
  • date despre membrii de familie și date despre starea de sănătate a acestora;
    • Datele calculate și stocate de aplicație:
  • total ore pontate;
  • ore suplimentare 1 (orele suplimentare efectuate în zilele lucrătoare);
  • ore suplimentare 2 (orele suplimentare efectuate în sfârșit de săptămână);
  • ore suplimentare 3 (orele suplimentare efectuate în zilele de sărbătoare);
  • ore rotunjite;
  • pauze;
  • timp petrecut în cadrul societății;
  • timp petrecut în afara societății;
  • perioada de lipsă a angajatului;

Aplicația generează rapoartele necesare evidenței perioadei de lucru, conform prevederilor legale în vigoare.

  • În măsura în care, se vor adăuga categorii de date, părțile vor încheia un act adițional, care va conține noile tipuri de date prelucrate.

 

  1. Temeiurile legale de prelucrare a datelor cu caracter personal de către Prestator
    • Prelucrarea datelor cu caracter personal de către Prestator se realizează în vederea încheierii și executării contractelor [ 6, alin. (1), litera b) din GDPR], precum și îndeplinirii obligațiilor legale care îi revin [art. 6, alin. (1), litera c) din GDPR]. De asemenea, unele activități de prelucrare sunt realizate în baza consimțământului oferit în prealabil [art. 6, alin. (1), litera a) din GDPR] sau pentru atingerea interesului legitim al societății [art. 6, alin. (1), litera f) din GDPR].

 

  1. Temeiurile legale de prelucrare a datelor cu caracter personal de către Client
    • Clientul, în calitate de Angajator, va prelucra datele cu caracter personal prin utilizarea platformei Optimoo:
  2. În cazul în care pontarea se realizează în baza selectării numelui și prenumelui angajatului, în interesul său legitim [ 6, alin. (1), litera f) din GDPR]. Clientul va fi responsabil pentru a documenta aceste aspect și a demonstra conformitatea cu GDPR.
  3. În cazul în care pontarea se realizează în baza prelucrării semnăturii olografe a angajatului/a fotografiei angajatului, în baza consimțământului obținut în prealabil de angajat [ 6, alin. (1), litera a) din GDPR]. Clientul va fi responsabil de obținerea în deplină conformitate cu GDPR a consimțământului angajaților.

 

  1. Instrucțiuni emise de Client în calitate de mandant
    • În măsura în care și dacă Prestatorul obține date cu caracter personal în numele Clientului în scopul îndeplinirii obligațiilor sale în temeiul acordului dintre părți, aceste date cu caracter personal vor rămâne proprietatea Clientului în permanență.
    • Clientul are dreptul de control asupra operațiunilor de prelucrare realizate de Prestator, inclusiv de a cunoaște nivelul de implementare a măsurilor de securitate a datelor.
    • Prestatorul prelucrează datele exclusiv în măsura necesară realizării obligațiilor contractuale conform art. 5 alin. (1) lit. a), b) și c) din GDPR.
    • Prestatorul are obligația de a șterge datele prelucrate într-un termen de 5 (cinci) ani, termen care corespunde scopului prelucrării acestor date și în conformitate cu prevederile legale [art. 5 alin. (1) lit. e) din GDPR]. Termenul poate fi micșorat sau prelungit la solicitarea expresă a mandantului.
    • Mandantul poate stabili și alte instrucțiuni în afara acestora, cu privire la probleme concrete, situație în care acestea se comunică în scris, cu excepția situației în care mandantul este în imposibilitate de a formula în scris instrucțiunile, astfel că le formulează în mod verbal.
    • Atunci când Prestatorul nu respectă instrucțiunile, în conformitate cu art. 28 alin. (3) din GDPR, informează mandantul înainte să realizeze operațiunea de prelucrare.
    • Prestatorul garantează că organizarea internă în cadrul companiei satisface cerințele aplicabile protecției datelor la momentul încheierii prezentului Acord. În situația în care legislația sau oportunitățile tehnologice pretind o nouă configurare a măsurilor tehnice și organizaționale în cadrul companiei partener, adaptările trebuie documentate și comunicate mandantului în scris într-un termen rezonabil care să permită evaluarea nivelului adecvat de protecție anterior realizării oricăror operațiuni de prelucrare.

 

  1. Garanții privind protecția drepturilor persoanelor vizate
    • Prestatorul nu poate rectifica, șterge sau restricționa prelucrarea datelor realizate pentru scopurile prezentului Acord, decât conform Termenilor și condițiilor agreate de părți sau instrucțiunilor mandantului și a prevederilor din GDPR.
    • Prestatorul garantează existența măsurilor tehnice care asigură ștergerea, restricționarea procesării, dreptul de a fi uitat, rectificarea și portabilitatea datelor, în baza instrucțiunilor date de mandant sau în baza solicitării persoanei vizate, cu informarea mandantului. În acest din urmă caz, Prestatorul se va consulta cu mandantul pentru a asigura exercițiul drepturilor persoanei vizate la cel mai înalt nivel.
    • Exercitarea dreptului la ștergere obligă Prestatorul să transmită mandantului toate documentele care conțin date cu caracter personal ale persoanei vizate și să distrugă orice copii sau duplicate sau urme ale datelor în cel mai scurt timp posibil, conform cerințelor de confidențialitate prevăzute de GDPR.
    • Obligația corelativă exercitării dreptului de ștergere se îndeplinește în limitele stabilite de obligațiile statutare de retenție pentru ambii parteneri contractuali, precum și în condițiile art. 17 GDPR.
    • Prestatorul va sprijini mandantul în realizarea obligațiilor contractuale dintre cei doi, atunci când aceasta este necesar pentru respectarea obligațiilor privind securitatea datelor cu caracter personal, obligațiile de notificare în caz de încălcare a securității datelor, evaluările de impact al protecției datelor și consultările prealabile.
    • Când persoana vizată își exercită drepturile specifice protecției datelor în relația cu mandantul, Prestatorul desfășoară toate activitățile necesare îndeplinirii obligațiilor mandantului în cel mai scurt timp posibil, conform instrucțiunilor individuale formulate de mandant.
    • Când persoana vizată se adresează direct Prestatorului, acesta va direcționa titularul către mandant și îl va informa pe acesta din urmă asupra cererii persoanei vizate, anexând cererea.
    • Prestatorul interzice angajaților săi să prelucreze datele cu caracter personal cu nerespectarea instrucțiunilor mandantului, sau în alt scop decât cel stabilit în cadrul contractual ori prevăzut explicit de lege.
    • Prestatorul se asigură și garantează asumarea obligației de confidențialitate de către persoanele autorizate să prelucreze datele cu caracter personal prin instrumente juridice adecvate.
    • Prestatorul informează mandantul imediat după ce a luat la cunoștință de o încălcare a protecției datelor cu caracter personal.
    • Prestatorul ia măsuri necesare pentru asigurarea securității datelor și pentru minimizarea eventualelor consecințe negative asupra persoanelor vizate ori de câte ori ia la cunoștință de o încălcare a protecției datelor cu caracter personal. În acest caz, Prestatorul informează și colaborează cu mandantul, asistându-l în așa fel încât mandantul să își poată îndeplini obligațiile de notificare și informare conform art. 33 și următoarele din GDPR.
    • Orice măsuri prevăzute de lege care sunt dispuse în activitatea Prestatorului, precum sechestru, confiscare, insolvență etc., de natură să afecteze securitatea și confidențialitatea datelor cu caracter personal ale Prestatorului, trebuie să fie transmise mandantului neîntârziat. Prestatorul va informa în cel mai scurt timp posibil toate persoanele interesate (spre exemplu, executorul judecătoresc) cu privire la faptul că mandantul deține controlul și dreptul de proprietate asupra datelor.

 

  1. Confidențialitatea
    • Prestatorul va păstra, în sensul cel mai larg, strict secrete toate informațiile obținute de la Client și/sau pe care Clientul, direct sau indirect, intenționat ori accidental, i-a permis să le inspecteze, în orice manieră ori formă, cu excepția cazului în care informațiile sunt în general cunoscute ori ale căror natură este necesară a fi publică ca și obligație legală, de alte reglementări ori ca urmare a unei hotărâri judecătorești.
    • Confidențial înseamnă că Prestatorul nu poate divulga, direct sau indirect, informațiile în orice manieră, oral, scris, digital sau în orice altă modalitate, indiferent dacă divulgarea a avut acea intenție, fără permisiunea prealabilă scrisă expresă a Clientului.
    • Prestatorul se obligă față de Client să impună obligația de confidențialitate către toate întreprinderile sale sociale (incluzând societatea-mamă sau filialele) și persoanele fizice, incluzând angajații.
    • Prestatorul nu poate utiliza informațiile pentru orice alt scop decât cel pentru care acestea au fost furnizate și cu condiția ca utilizarea acestor informații să fie strict necesară.
    • Prevederile din prezentul capitol vor rămâne în vigoare inclusiv după ce relațiile între Prestator și Client s-au încheiat.

 

  1. Răspundere și Compensații
    • Prestatorul va fi responsabil pentru toate daunele suferite de către Client ca urmare a sau în legătură cu neîndeplinirea obligațiilor din Acord de către Prestator, referitoare la conformarea cu GDPR și respectarea standardelor de confidențialitate și protecție a datelor cu caracter personal.
    • Prestatorul îl va despăgubi pe Client pentru daunele provocate prin prisma unei nerespectări a standardelor și prevederilor GDPR implicat în conformitate cu Cartea V(Obligațiile), Capitolul IV(Răspunderea civilă) – art. 1349 și urm. din Codul Civil român.

 

  1. Alte prevederi

11.1. Prezentul acord intră în vigoare la data acceptării acestuia.

11.2. În măsura în care o parte dezvăluie datele cu caracter personal ale colaboratorilor, angajaților și altor persoane fizice către cealaltă Parte pentru sau în legătură cu executarea acordului de utilizare a Platformei Optimoo, partea care dezvăluie datele are obligația să informeze aceste persoane cu privire la prelucrarea datelor cu caracter personal. Partea care dezvăluie datele va lua măsuri pentru ca această dezvăluire să se facă conform oricăror cerințe aplicabile, inclusiv cele privind informarea și obținerea consimțământului persoanelor vizate, dacă e cazul, astfel încât Partea care primește datele să poată prelucra datele cu caracter personal pentru scopurile prevăzute în Contractul Optimoo, fără să mai îndeplinească vreo formalitate.

11.3. Litigiile izvorâte în legătură sau din prezentul contract se vor soluționa de către instanțele judecătorești competente.