ACT ADIȚIONAL PRIVIND PRELUCRAREA DATELOR EMERGENETICS

Language:

English | Español | Italiano | Français | Français Canadien | Deutsch | Nederlands | Română | العربية | 繁體中文 | 简体中文

PREZENTUL ACT ADIȚIONAL PRIVIND PRELUCRAREA DATELOR EMERGENETICS („Act Adițional”) a fost încheiat de către și între The Browning Group International, Inc. care desfășoară activități sub numele de Emergenetics International și afiliații săi juridici, incluzând, fără limitare, STEP, LLC, Emergenetics Europe Limited și Emergenetics Caelan & Sage PTE Ltd (cu denumirea colectivă „Emergenetics", „noi", „noi", „nostru") și dumneavoastră („Clientul" sau „Partener" , după caz, fiecare definit mai jos) (fiecare individual o „Parte“ și colectiv „Părțile"). Prezentul Act Adițional reglementează prelucrarea datelor cu caracter personal pe platforma Emergenetics. Dacă acceptați termenii prezentului Act Adițional în numele unei entități, declarați și garantați față de Emergenetics că dețineți autoritatea de a obliga respectiva entitate și afiliații acesteia, după caz, la termenii și condițiile prezentului Actului Adițional. Prezentul Act Adițional intră în vigoare la data la care sunteți de acord cu acesta, prin acceptarea Acordului de utilizator Emergenetics („Data Actului Adițional”).

CONSIDERENTE

ÎNTRUCÂT, Emergenetics și dvs. ați încheiat un acord de servicii („Contractul de Servicii") care implică prelucrarea datelor cu caracter personal (astfel cum este definit mai jos) ale Persoanelor vizate (astfel cum sunt definite mai jos) pe care Părțile doresc acum să îl modifice conform informațiilor furnizate în prezentul document;

ÎNTRUCÂT, în cursul furnizării serviciilor sale în cadrul Contractului de Servicii, dvs., în calitate de Operator de date, prelucrați anumite date cu caracter personal ale Persoanelor vizate;

ÎNTRUCÂT, Emergenetics, în calitate de Operator de date, solicită ca dvs. și orice destinatari ulteriori ai datelor cu caracter personal care, în timpul activității dvs. cu Emergenetics, ați putea să prelucrați date cu caracter personal, să luați toate măsurile necesare pentru a manipula aceste informații în conformitate cu Regulamentul general privind protecția datelor a UE (GDPR) și cu alte legi și reglementări în vigoare;

ÎNTRUCÂT, ori de câte ori ambele Părți stabilesc în comun scopurile și mijloacele de prelucrare, acestea acționează în calitate de Operatori în comun; și

ÎNTRUCÂT părțile încheie prezentul Act Adițional cu dorința de a respecta principiile și standardele pentru protecția datelor, conform cerințelor GDPR și altor legi și reglementări în vigoare în ceea ce privește prelucrarea datelor cu caracter personal în temeiul Contractului de Servicii.

ACUM ȘI PRIN URMARE, luând în considerare acordurile reciproce stabilite în prezentul Act Adițional și pentru alte considerente bune și valoroase, primirea și suficiența cărora Părțile le recunosc, Părțile convin după cum urmează:

DEFINIȚII

Termenii cu litere de tipar, utilizați, dar care nu sunt definiți în acest Act Adițional, au înțelesurile care le sunt atribuite în Contractul de Servicii.

În sensul prezentului Act Adițional, următorii termeni cu litere de tipar au înțelesurile care le sunt atribuite, astfel cum sunt enumerate mai jos, ori de câte ori apar în cadrul prevederilor din prezentul Act Adițional:

TERMENI

Părțile convin următoarele:

  1. Data intrării în vigoare. Termenii acestui Act Adițional vor intra în vigoare ulterior datei Actului Adițional sau 25 mai 2018 („Data intrării în vigoare") și vor continua simultan pe toată durata Contractului de Servicii.
  2. Domeniu de aplicare. Prezentul Act Adițional servește drept cadru pentru prelucrarea datelor cu caracter personal în cadrul Contractului de Servicii, după caz, separat sau în comun, precum și pentru schimbul de date cu caracter personal între părți în calitate de Operatori de date și definește principiile și procedurile pe care Părțile trebuie să le respecte și respectivele responsabilități ale Părților.
  3. Aplicabilitate Actul Adițional de față nu se va aplica prelucrării datelor cu caracter personal, în cazul în care o astfel de prelucrare nu este reglementată de legile aplicabile.
  4. Declarații și garanții de operare. Fiecare parte declară, garantează și este de acord că:
    1. în ceea ce privește prelucrarea datelor cu caracter personal în cadrul Contractului de Servicii, acesta este un Operator de date în sensul prezentului Act Adițional al GDPR;
    2. toate datele cu caracter personal au fost și vor fi colectate, transferate și prelucrate în alt mod în conformitate cu GDPR;
    3. va efectua numai transferuri de date cu caracter personal, în cazul în care astfel de transferuri ar face obiectul unor cerințe obligatorii conform legilor în vigoare (și nu se aplică scutiri sau derogări legale), cu respectarea tuturor condițiilor aplicabile, prevăzute de legile în vigoare;
    4. va furniza celeilalte Părți, la cererea acesteia, copii ale tuturor legilor relevante privind protecția datelor sau trimiteri la acestea (dacă este cazul, fără a include consultanță juridică).
  5. Declarații și garanții privind controlul în comun.Fiecare Parte, atunci când acționează în calitate de Operator comun împreună cu cealaltă Parte, garantează și este de acord că:
    1. își va stabili responsabilitățile pentru respectarea obligațiilor ce îi revin în temeiul legilor în vigoare;
    2. va determina responsabilitățile sale față de Persoanele vizate, ținând cont de circumstanțele fiecărei situații specifice de prelucrare și, dacă este necesar, va comunica în mod corespunzător respectivele informații altui Operator de date respectiv în contextul Controlului comun;
    3. având în vedere faptul că, conform stipulărilor din GDPR, indiferent de termenii acordului dintre Părți, Persoanele vizate își pot exercita drepturile în temeiul GDPR cu privire la și împotriva fiecărui Operator de date, fiecare Operator de date în contextul Operării comune va oferi în mod proactiv, fără a i se solicita acest lucru, tot sprijinul și informațiile necesare celuilalt Operator de date în contextul Operării comune, incluzând dar fără a se limita la transmiterea cererilor depuse de către Persoanele vizate pentru a-și exercita drepturile în temeiul Capitolului III al GDPR. În cazul în care un Operator de date nu și-a îndeplinit obligațiile care îi revin în temeiul prezentei dispoziții, acesta este pe deplin răspunzător în ceea ce privește răspunsul sau lipsa răspunsului la cererea respectivă înaintată de către Persoana vizată pentru de a-și exercita drepturile; și
    4. în cazul în care se ivește un conflict de competență cu privire la un anumit set de operațiuni de prelucrare în contextul Operării comune, fiecare Operator de date acționează cu bună credință pentru a comunica și a soluționa conflictul respectiv cu celălalt Operator de date în mod amiabil, luând în considerare și respectând, în primul rând, interesele și drepturile Persoanelor vizate respective și, în al doilea rând, interesul reciproc al ambelor Părți, pentru a evita răspunderea comună și individuală, în cazul în care Părțile nu respectă drepturile Persoanelor vizate din cauza unui conflict de competență nerezolvat.
  6. Înregistrări ale activităților de prelucrare. Fiecare Operator de date este de acord să țină o evidență a activităților de prelucrare a datelor cu caracter personal aflate în responsabilitatea sa, în conformitate cu articolul 30 al GDPR.
  7. Prelucrarea datelor cu caracter personal. În contextul prezentului Act Adițional, Părțile sunt Operatori comuni ai datelor cu caracter personal ale Persoanelor vizate. Clienții și Partenerii controlează în comun datele personale prelucrate prin intermediul Platformei Emergenetics cu Emergenetics. Prelucrarea datelor cu caracter personal de către fiecare dintre Operatorii de date din domeniul de aplicare al prezentului Act Adițional este supusă următoarelor:
    1. Prelucrarea se limitează la acele servicii și sarcini descrise în Contractul de Servicii pentru servicii și orice comenzi, declarații de muncă sau ordine de muncă ulterioare executate între Părți.
    2. Fiecare Operator de date se asigură că prelucrarea datelor cu caracter personal în scopurile stabilite în Contractul de Servicii se efectuează numai pe motive legale, conform prevederii din Articolul 6 din GDPR și după cum se limitează în continuare la Articolul 9 din GDPR sau prevederile echivalente ale oricăror legi în vigoare, după caz.
    3. Operatorii de date respectivi trebuie să se asigure că persoanele pe care le autorizează să prelucreze datelor cu caracter personal s-au angajat să păstreze confidențialitatea sau au obligația legală de confidențialitate corespunzătoare.
  8. Măsuri de securitate. Ambele părți vor implementa măsuri de securitate tehnice și organizatorice adecvate pentru a asigura și pentru a putea demonstra că Prelucrarea se efectuează în conformitate cu GDPR și în conformitate cu Articolul 24 din GDPR.
  9. Solicitări ale Persoanelor vizate. Fiecare Parte va fi responsabilă cu furnizarea unui răspuns la cererile de exercitare a drepturilor unei Persoane vizate în conformitate cu Capitolul III al GDPR sau cu prevederile echivalente ale altor legi în vigoare, cu privire la datele cu caracter personal prelucrate de respectiva Fiecare Parte va desemna un punct de contact adecvat pentru solicitările Persoanelor vizate din cadrul organizației respective. Fiecare Parte va păstra o evidență a solicitărilor Persoanelor vizate pentru a-și exercita drepturile, deciziile luate și orice informații care au fost schimbate. În situațiile în care Părțile sunt Operatori comuni, Părțile își vor notifica reciproc toate solicitările Persoanelor vizate pe care le primesc. Înainte de a șterge Datele cu caracter sau de a restricționa prelucrarea ca răspuns la o solicitare a unei Persoane vizate, fiecare parte va obține aprobarea celeilalte părți, care nu va fi reținută în mod nejustificat de către cealaltă Parte, în scopul evitării posibilității acțiunilor uneia dintre părți cauzând celeilalte părți Părții care încalcă prezentul Act Adițional sau orice alte legi în vigoare. Părțile convin să își ofere asistență reciprocă promptă și rezonabilă, dacă este necesar, pentru a le permite să se conformeze cererilor Persoanelor vizate. Fiecare Parte se va asigura că anunțurile sale relevante privind confidențialitatea, dacă este cazul, sunt publicate în conformitate cu cerințele GDPR și a altor legi în vigoare și că nu există conflicte între notificările de confidențialitate ale Părților care ar crea confuzie sau ar induce în eroare Persoanele vizate. În special, fiecare Parte se va asigura că notificările sale relevante privind confidențialitatea, acolo unde este cazul, conțin informații de contact exacte la care Persoanele vizate pot depune cereri Părții respective pentru a-și exercita drepturile în conformitate cu GDPR și alte legi în vigoare, după caz.
  10. Securitatea prelucrării și notificările privind încălcarea datelor cu caracter personal. Ambele părți convin să pună în aplicare și să mențină măsuri de securitate tehnice și organizaționale pentru a se asigura că nivelul de securitate a datelor cu caracter personal prelucrate de acestea este adecvat riscului, în conformitate cu Articolele 32-36 din GDPR, ținând cont de natura prelucrării și informațiile disponibile fiecărei Părți. Fiecare Parte va trimite o notificare privind o Încălcare a datelor cu caracter personal Autorității de supraveghere competente sau Persoanelor vizate afectate, în conformitate cu Articolele 33 și 34 din GDPR sau cu prevederile echivalente ale altor legi în vigoare, după caz, precum și cu toată asistența acordată celeilalte părți, după cum este necesar.
  11. Persoana împuternicite de către operatorul de date. Fiecare Parte va angaja o Persoana împuternicită de către operatorul de date care să prelucreze datele cu caracter personal în numele său numai dacă respectiva Persoană împuternicită de către operatorul de date oferă garanții suficiente, prin intermediul unui contract scris sau al altui act juridic în conformitate cu legislația Uniunii Europene sau a Statului Membru, că va implementa aceleași obligații privind protecția datelor ca și cele prevăzute în acest Act Adițional și conform cerințelor GDPR. Aceste obligații includ, în special, cerința ca Persoana împuternicită de către operatorul de date să implementeze măsuri de securitate tehnice și organizatorice adecvate în așa fel încât prelucrarea să îndeplinească cerințele GDPR, incluzând, dar fără a se limita la cerințele aplicabile ale Articolelor 28, 29, și 30 din GDPR și să asigure protecția drepturilor Persoanei vizate. În cazul în care respectiva Persoană împuternicită de către operatorul de date nu își îndeplinește obligațiile privind protecția datelor, Partea respectivă va rămâne pe deplin răspunzătoare față Persoanele vizate pentru îndeplinirea obligațiilor Persoanei împuternicite de către operatorul de date.
  12. Transferuri restricționate. Emergenetics (în calitate de „exportator de date") și Clientul (în calitate de „importator de date") încheie prin prezenta, începând cu Data Actului Adițional, Clauzele Contractuale Standard (așa cum sunt prezentate în Anexa A) încorporată în această referință și constituie o parte integrantă a acestui Act Adițional. Se consideră că Părțile au acceptat, au executat și au semnat, după caz, Clauzele contractuale standard în întregime, inclusiv anexele, la Data intrării în vigoare.
  13. În ceea ce privește orice Transfer Restricționat din partea Emergenetics către Client în contextul prezentului Act Adițional, se aplică unul dintre următoarele mecanisme de transfer, în următoarea ordine de prioritate:
    1. Clauzele contractuale standard; sau
    2. orice altă bază legală, astfel cum este prevăzută în legile aplicabile, după caz.
    În cazurile în care se aplică Clauzele contractuale standard și există un conflict între termenii Actului Adițional și termenii prevăzuți în Clauzelor contractuale standard, termenii Clauzelor contractuale standard trebuie vor prevala.
  14. Răspundere. Fără a aduce atingere oricărei forme de răspundere directă a unei Părți sau a unei Persoane împuternicite de către operatorul de date în fața Persoanelor vizate, fiecare parte este răspunzătoare față de cealaltă Parte care și-a îndeplinit obligațiile pentru prejudiciile pe care Partea care nu și-a respectat obligațiile le-a provocat Părții care și-a îndeplinit obligațiile prin orice încălcare a obligațiilor acesteia, conform prevederilor din prezentul Act Adițional.
  15. Litigii. În cazul unui litigiu sau al unei cereri introduse de o Persoană vizată sau de o autoritate de protecție a datelor din SEE sau din Regatul Unit privind prelucrarea datelor cu caracter personal împotriva uneia sau a ambelor Părți, Părțile se vor informa reciproc cu privire la orice astfel de litigii sau revendicări și vor coopera în vederea soluționării amiabile a acestora în timp util.
  16. Punctele de contact pentru solicitările privind protecția datelor:

    Emergenetics:

    E-mail: privacy@emergenetics.com

    Nume: Brad Hoffman

    Funcție: Director General

    Clientul va furniza detaliile punctului său de contact pentru solicitările privind protecția datelor în formularul aflat la https://plus.emergenetics.com/#/privacyInfo și https://esp.emergenetics.com/user/profile/privacyInfo (disponibil la autentificare). Clientul garantează că va actualiza cu promptitudine, atunci când este necesar, toate aceste informații și va păstra toate aceste informații complete și actualizate.
  17. Nicio modificare ulterioară. Cu excepția cazurilor prevăzute în mod expres în prezentul Act Adițional, Părțile nu intenționează să schimbe sau să modifice Contractul de Servicii sau niciun alt document semnat sau încheiat în alt mod de către Părți.
  18. Acordul primar. Termenii Contractuluide Servicii , împreună cu orice act adițional sau acord suplimentar semnate înainte de prezentul Act Adițional, sunt păstrate și rămân pe deplin în vigoare. În măsura în care orice termeni din prezentul Act Adițional intră în conflict cu orice termeni ai Contractului de Servicii, termenii prezentului Act Adițional avea prioritate în legătură cu obiectul prevăzut în prezentul document.
  19. Confidențialitate. Prezentul Act Adițional este o informație confidențială. Fiecare parte este de acord:
    1. să nu dezvăluie prezentul Act Adițional niciunei terțe părți, cu excepția (1) consultanților juridici sau consultanților în materie de confidențialitate care au executat un acord de confidențialitate sau care se află sub o obligație legală de confidențialitate; (2) conform permisiunilor sau prevederilor rezonabile din prezentul Actul Adițional; sau (3) conform cerințelor GDPR sau a altor legi în vigoare (fiecare, o „Divulgare permisă"); și
    2. cu scopul de a exercita cel puțin același grad de îngrijire pe care fiecare parte îl folosește în general pentru a-și proteja propriile informații de natură similară pentru a proteja prezentul Act Adițional de orice posesie, folosire sau divulgare care nu este o Divulgare permisă, dar în niciun caz mai puțin un grad rezonabil de îngrijire.

Anexa A

Hotărârea Comisiei C(2004)5721

SETUL II

Clauze contractuale standard pentru transferul de date cu caracter personal din Comunitate către țări terțe (transferuri de la operator la operator)

Acord de transfer de date
între

The Browning Group International, Inc.
2 Inverness Dr East
Suite 189
Centennial, CO, 80112
S.U.A.

denumit în continuare „exportator de date"

și

Clientul, așa cum este definit în Actul Adițional Emergenetics privind prelucrarea datelor sau („Actul Adițional") de mai sus,

denumit în continuare „importator de date"
denumite împreună „părțile”, separat „partea”.

Definiții

În sensul clauzelor:

  1. „date cu caracter personal», «categorii speciale de date/date sensibile», «a prelucra/prelucrare», «responsabil cu prelucrarea», «operator», «persoană vizată» și «autoritate de supraveghere/autoritate» au același sens ca în Directiva 95/46/CE din 24 octombrie 1995 (în care «autoritate» înseamnă autoritatea competentă în materie de protecție a datelor pe al cărei teritoriu este stabilit exportatorul de date);
  2. «exportator de date» înseamnă responsabilul cu prelucrarea care transferă datele cu caracter personal;
  3. «importator de date» înseamnă responsabilul cu prelucrarea, care acceptă să primească, de la exportatorul de date, date cu caracter personal pentru a fi prelucrate în continuare în conformitate cu dispozițiile din prezentele clauze și care nu este supus mecanismului unei țări terțe de asigurare a unei protecții adecvate;
  4. «clauze» înseamnă prezentele clauze contractuale, constituind un document independent care nu cuprinde dispoziții comerciale convenite de către părți în cadrul unor acorduri comerciale separate.

Detaliile transferului (precum și datele cu caracter personal cuprinse) sunt specificate în anexa B, care face parte integrantă din clauze.

  1. Obligațiile exportatorului de date


    Exportatorul de date oferă garanții și se angajează precum urmează:

    1. Datele cu caracter personal au fost colectate, prelucrate și transferate conform legilor aplicabile exportatorului de date.
    2. Exportatorul de date a depus eforturi corespunzătoare pentru a se asigura că importatorul de date este în măsură să îndeplinească obligațiile juridice care îi revin în temeiul prezentelor clauze.
    3. Va furniza importatorului de date, la cerere, copii ale legilor relevante privind protecția datelor sau trimiteri la acestea (dacă este cazul, fără a include consultanță juridică) din țara în care este stabilit exportatorul de date.
    4. Va răspunde solicitărilor din partea persoanelor vizate și autorității privind prelucrarea datelor cu caracter personal de către importatorul de date, cu excepția cazului în care părțile au convenit că importatorul de date va răspunde astfel, caz în care exportatorul de date va răspunde în continuare în măsura în care este posibil în mod rezonabil și cu informațiile disponibile în mod rezonabil acestuia, dacă importatorul de date nu dorește sau nu poate să răspundă. Răspunsurile se vor trimite într-o perioadă de timp rezonabilă.
    5. Va pune la dispoziție, la cerere, o copie a clauzelor persoanelor vizate care reprezintă beneficiari terți în temeiul clauzei III, cu excepția cazului în care clauzele conțin informații confidențiale, caz în care acesta poate elimina respectivele informații. În cazul în care informațiile sunt înlăturate, exportatorul de date va informa, în scris, persoanele vizate, cu privire la motivul eliminării și cu privire la dreptul acestora de a atrage atenția autorității asupra eliminării. Totuși, exportatorul de date va respecta o decizie a autorității privind accesul la textul integral al clauzelor de către persoanele vizate, atât timp cât persoanele vizate au convenit să respecte confidențialitatea informațiilor confidențiale eliminate. Exportatorul de date va furniza autorității, de asemenea, o copie a clauzelor, dacă este cazul.

  2. Obligațiile importatorului de date

    Importatorul de date garantează și se angajează că:

    1. Va dispune de măsuri tehnice și organizatorice adecvate în vederea protejării datelor cu caracter personal împotriva distrugerii accidentale sau ilegale sau a pierderii, modificării, dezvăluirii sau accesului neautorizat și care oferă un nivel de securitate corespunzător riscului reprezentat de prelucrare și natura datelor care trebuie protejate.
    2. Va dispune de proceduri astfel încât orice terță parte pe care o autorizează să aibă acces la datele cu caracter personal, inclusiv operatori, va respecta și va menține confidențialitatea și securitatea datelor cu caracter personal. Orice persoană care acționează sub autoritatea importatorului de date, inclusiv un procesator de date, este obligată să proceseze datele cu caracter personal numai pe baza instrucțiunilor venite din partea importatorului de date. Această dispoziție nu se aplică persoanelor autorizate sau cărora le este solicitat prin lege sau reglementări să aibă acces la datele cu caracter personal.
    3. Nu are niciun motiv să creadă, la momentul semnării acestor clauze, că există unele legi locale care ar avea un efect negativ substanțial asupra garanțiilor prevăzute în temeiul acestor clauze și va informa exportatorul de date (care va transmite o astfel de notificare autorității, dacă este cazul) dacă va lua cunoștință de astfel de legi.
    4. Va procesa datele personale în scopurile descrise în Anexa B și va avea autoritatea legală de a da garanțiile și de a îndeplini angajamentele stabilite în aceste clauze.
    5. Va identifica pentru exportatorul de date un punct de contact din cadrul organizației sale, care este autorizat să răspundă la întrebările privind prelucrarea datelor cu caracter personal și va coopera de bună credință cu exportatorul de date, cu persoana vizată și cu autoritatea privind toate aceste cereri într-un timp rezonabil. În cazul dizolvării legale a exportatorului de date sau în cazul în care părțile au convenit acest lucru, importatorul de date își va asuma responsabilitatea pentru respectarea prevederilor clauzei I(e).
    6. La solicitarea exportatorului de date, acesta va furniza exportatorului de date dovezi ale resurselor financiare suficiente pentru a-și îndeplini responsabilitățile în temeiul clauzei III (care poate include acoperirea asigurărilor).
    7. La cererea rezonabilă a exportatorului de date, importatorul de date prezintă mijloacele sale de prelucrare a datelor, fișierele de date și documentația necesară pentru prelucrare pentru a fi examinate, verificate și/sau certificate de exportatorul de date (sau orice inspector sau auditor independent sau imparțial, selectat de exportatorul de date și pe care importatorul de date nu îl poate recuza în mod rezonabil) pentru a stabili conformitatea cu garanțiile și angajamentele luate în prezentele clauze, cu un preaviz corespunzător și în timpul orelor de lucru obișnuite. Cererea va face obiectul oricărui consimțământ sau aprobării necesare din partea unei autorități de reglementare sau de supraveghere din țara importatorului de date, consimțământul sau aprobare pe care importatorul datelor va încerca să o obțină în timp util.
    8. Va prelucra datele cu caracter personal, la alegerea sa, în conformitate cu:
      1. legile privind protecția datelor din țara în care este stabilit exportatorul de date sau
      2. dispozițiile relevante[1] ale oricărei decizii a Comisiei în temeiul articolului 25 alineatul (6) din Directiva 95/46 /CE, în cazul în care importatorul de date respectă dispozițiile relevante ale unei astfel de autorizații sau decizii și are sediul într-o țară în care o astfel de autorizație sau decizie se referă la, dar nu este acoperită de o astfel de autorizație sau de decizie în scopul transferului datelor cu caracter personal[2] sau
      3. principiile de prelucrare a datelor prevăzute în anexa A.

      Importatorul de date va indica ce opțiune selectează: secțiunea II(h)(iii);
    9. Nu va divulga sau transfera datele cu caracter personal unui operator de date terț situat în afara Spațiului Economic European (SEE), decât dacă notifică exportatorul de date cu privire la transfer și
      1. operatorul de date terță parte prelucrează datele cu caracter personal în conformitate cu o decizie a Comisiei prin care se constată că o țară terță asigură o protecție adecvată; sau
      2. operatorul de date terț devine semnatar al acestor clauze sau al unui alt acord de transfer de date aprobat de o autoritate competentă din UE; sau
      3. persoanele vizate au avut posibilitatea de a se opune, după ce au fost informate cu privire la scopul transferului, categoriile de destinatari și la faptul că țările către care sunt exportate datele pot avea standarde diferite de protecție a datelor; sau
      4. în ceea ce privește transferurile viitoare de date sensibile, persoanele vizate și-au dat consimțământul fără echivoc pentru transferul ulterior

  3. Răspunderea și drepturile terților


    1. Fiecare parte este răspunzătoare față de celelalte părți pentru prejudiciile cauzate în cazul încălcării oricăreia dintre aceste clauze. Răspunderea dintre părți este limitată la daunele efective suferite. Daunele punitive (adică daunele destinate să pedepsească o parte pentru comportamentul său scandalos) sunt excluse în mod specific. Fiecare parte răspunde persoanelor vizate pentru daunele pe care le provoacă prin orice încălcare a drepturilor terților în conformitate cu aceste clauze. Acest lucru nu afectează răspunderea exportatorului de date în temeiul legislației sale privind protecția datelor.
    2. Părțile convin că o persoană vizată va avea dreptul, în calitate de beneficiar terț, de a pune în aplicare această clauză și clauzele I(b), I(d), I(e), II(a), II(c), II(d), II(e), II(h), II(i), III(a), V, VI(d) și VII împotriva importatorului de date sau a exportatorului de date, pentru încălcarea obligațiilor contractuale respective, în ceea ce privește datele sale cu caracter personal, și să accepte competența în acest scop în țara de stabilire a exportatorului de date. În cazurile care implică acuzații de încălcare de către importatorul de date, persoana vizată trebuie mai întâi să solicite exportatorului de date să ia măsurile necesare pentru a-și exercita drepturile împotriva importatorului de date; în cazul în care exportatorul de date nu ia o astfel de măsură într-un termen rezonabil (care, în circumstanțe normale, ar fi o lună), persoana vizată își poate aplica drepturile atunci, în mod direct, împotriva importatorului de date. Persoana vizată are dreptul să ia măsuri directe împotriva unui exportator de date care nu a depus eforturi rezonabile pentru a determina că importatorul de date este în măsură să-și îndeplinească obligațiile legale în temeiul acestor clauze (exportatorul de date are sarcina de a dovedi că a depus eforturi rezonabile).

  4. Legea aplicabilă clauzelor


    Aceste clauze sunt reglementate de legea țării în care este stabilit exportatorul de date, cu excepția legilor și regulamentelor privind prelucrarea datelor cu caracter personal de către importatorul de date, în conformitate cu clauza II(h), care se aplică numai dacă aceasta a fost selecția importatorului de date în temeiul acestei clauze.

  5. Soluționarea litigiilor cu persoanele vizate sau cu autoritatea


    1. În cazul unui litigiu sau al unei reclamații introduse de o persoană vizată sau de autoritate privind prelucrarea datelor cu caracter personal împotriva uneia sau a ambelor părți, părțile se vor informa reciproc despre orice astfel de litigii sau reclamații și vor coopera în ideea de a le soluționa pe cale amiabilă într-un timp util.
    2. Părțile convin să răspundă oricăror proceduri de mediere fără caracter obligatoriu, disponibile în general, inițiate de persoana vizată sau de autoritate. În cazul în care participă la acțiune, părțile pot alege să facă acest lucru de la distanță (de exemplu prin telefon sau prin alte mijloace electronice). Părțile sunt, de asemenea, de acord să ia în considerare participarea la orice alte proceduri de arbitraj, mediere sau alte proceduri de soluționare a litigiilor elaborate pentru litigiile privind protecția datelor.
    3. Fiecare parte se conformează unei decizii a unei instanțe competente din țara de stabilire a exportatorului de date sau a autorității care este definitivă și împotriva căreia nu este posibil niciun recurs ulterior.

  6. Reziliere


    1. În cazul în care importatorul de date încalcă obligațiile care îi revin în temeiul acestor clauze, exportatorul de date poate suspenda temporar transferul de date cu caracter personal față de importatorul de date până la repararea încălcării sau la încetarea contractului.
    2. În cazul în care:
      1. transferul datelor cu caracter personal către importatorul de date a fost suspendat temporar de către exportatorul de date pe o perioadă mai mare de o lună, în conformitate cu alineatul (a);
      2. respectarea de către importatorul de date a acestor clauze ar încălca obligațiile sale legale sau de reglementare în țara importatoare;
      3. importatorul de date se află în încălcare substanțială sau repetată a oricăror garanții sau angajamente prevăzute de aceste clauze;
      4. o decizie finală împotriva căreia nu este posibil niciun recurs ulterior al unei instanțe competente din țara de stabilire a exportatorului de date sau al autorității care hotărăște o încălcare a clauzelor de către importatorul de date sau de către exportatorul de date; sau
      5. este prezentată o petiție pentru administrarea sau lichidarea importatorului de date, fie în calitatea sa personală sau profesională, petiție care nu este respinsă în termenul aplicabil pentru o astfel de concediere în conformitate cu legislația aplicabilă; se depune un ordin de lichidare; un administrator este numit peste oricare dintre activele sale; se numește un mandatar în faliment, în cazul în care importatorul de date este o persoană fizică; un aranjament voluntar al unei companii este inițiat de acesta; sau orice eveniment echivalent în orice jurisdicție,

      atunci exportatorul de date, fără a aduce atingere oricăror alte drepturi pe care le poate avea împotriva importatorului de date, are dreptul să rezilieze aceste clauze, caz în care autoritatea este informată acolo unde este cazul. În cazurile menționate la punctele (i), (ii) sau (iv) de mai sus, importatorul de date poate, de asemenea, să rezilieze aceste clauze.
    3. Oricare dintre părți poate rezilia aceste clauze dacă (i) se emite o decizie constatatoare a caracterului adecvat de protecție a datelor în conformitate cu articolul 25(6) din Directiva 95/46/CE (sau orice text înlocuitor) pentru țara (sau un sector al acesteia) către care se transferă și prelucrează datele de către importatorul de date sau (ii) Directiva 95/94/CE (sau orice text înlocuitor) devine direct aplicabilă în țara respectivă.
    4. Părțile convin că rezilierea acestor clauze în orice moment, în orice circumstanțe și din orice motiv (cu excepția rezilierii clauzei VI(c)) nu le scutește de obligațiile și/sau condițiile din clauze în ceea ce privește prelucrarea datelor cu caracter personal transferate.

  7. Modificarea acestor clauze


    Părțile nu pot modifica aceste clauze, cu excepția actualizării informațiilor din Anexa B, caz în care vor informa autoritatea, dacă este cazul. Acest lucru nu exclude posibilitatea ca părțile să adauge clauze comerciale suplimentare atunci când este necesar.

  8. Descrierea transferului


    Detaliile transferului și ale datelor cu caracter personal sunt specificate în anexa B. Părțile convin că Anexa B poate conține informații comerciale confidențiale pe care nu le vor dezvălui unor terțe părți, cu excepția cazurilor în care acest lucru este obligatoriu prin lege sau ca răspuns la un organism de reglementare sau agenție guvernamentală competentă ori conform obligațiilor descrise în clauza I(e). Părțile pot executa anexe suplimentare pentru a acoperi transferurile suplimentare, care vor fi înaintate autorității, dacă este cazul. Anexa B poate fi, alternativ, redactată pentru a acoperi transferurile multiple.

ANEXA A

PRINCIPII DE PRELUCRARE A DATELOR

  1. Limitarea scopului: Datele cu caracter personal pot fi prelucrate și utilizate sau comunicate ulterior numai în scopurile descrise în Anexa B sau autorizate ulterior de persoana vizată.
  2. Calitatea datelor și proporționalitatea: Datele cu caracter personal trebuie să fie corecte și, dacă este necesar, să fie actualizate. Datele cu caracter personal trebuie să fie adecvate, relevante și nu excesive în raport cu scopurile pentru care sunt transferate și prelucrate ulterior.
  3. Transparență: Persoanelor vizate trebuie să li se furnizeze informațiile necesare pentru a asigura o prelucrare echitabilă (cum ar fi informații despre scopul prelucrării și despre transfer), cu excepția cazului în care aceste informații au fost deja furnizate de exportatorul de date.
  4. Securitatea și confidențialitatea: Operatorul de date trebuie să ia măsuri de securitate tehnică și organizatorică adecvate riscurilor, cum ar fi distrugerea accidentală sau ilegală ori pierderea, modificarea, dezvăluirea neautorizată sau accesul neautorizat atribuite prelucrării. Orice persoană care acționează sub autoritatea operatorului de date, inclusiv un procesor, nu trebuie să prelucreze datele, cu excepția instrucțiunilor primite din partea operatorului de date.
  5. Drepturile de acces, rectificare, ștergere și drepturi la obiecții: În conformitate cu articolul 12 din Directiva 95/46/CE, persoanele vizate trebuie să primească, fie direct sau prin intermediul unei terțe părți, informațiile cu caracter personal despre ele deținute de o organizație, cu excepția solicitărilor care sunt în mod vădit abuzive, bazate pe intervale nerezonabile sau repetate la număr sau cu caracter repetitiv sau pentru care nu este necesar să se acorde acces în temeiul legislației țării exportatorului de date. Cu condiția ca autoritatea să își fi acordat aprobarea prealabilă, accesul nu trebuie, de asemenea, să fie acordat atunci când acest lucru ar putea să dăuneze grav intereselor importatorului de date sau altor organizații care se ocupă de importatorul de date și astfel de interese nu sunt depășite de interesele pentru drepturile și libertățile fundamentele ale persoanei vizate. Sursele datelor cu caracter personal nu trebuie să fie identificate atunci când acest lucru nu este posibil prin eforturi rezonabile sau în cazul în care drepturile altor persoane decât ale individului respectiv ar fi încălcate. Persoanele vizate trebuie să poată rectifica, modifica sau șterge informațiile cu caracter personal referitoare la acestea, în cazul în care ele sunt inexacte sau prelucrate în pofida acestor principii. Dacă există motive serioase pentru a pune la îndoială legitimitatea solicitării, organizația poate cere justificări suplimentare înainte de a efectua rectificarea, modificarea sau ștergerea. Notificarea cu privire la orice rectificare, modificare sau ștergere către terțe părți cărora le-au fost dezvăluite datele nu trebuie făcută atunci când acest lucru implică un efort disproporționat. Persoana vizată trebuie, de asemenea, să poată contesta prelucrarea datelor cu caracter personal care o privesc în cazul în care există motive legitime convingătoare referitoare la situația sa specifică. Sarcina probei pentru orice refuz îi revine importatorului de date, iar persoana vizată poate contesta întotdeauna un refuz în fața autorității
  6. Date sensibile: Importatorul de date va lua măsurile suplimentare (de exemplu privind securitatea) necesare pentru a proteja astfel de date sensibile, în conformitate cu obligațiile care îi revin în temeiul clauzei II.
  7. Date utilizate în scopuri de marketing: În cazul în care datele sunt prelucrate în scopul comercializării directe, ar trebuie să existe proceduri eficiente care să permită în orice moment persoanei vizate să opteze pentru renunțarea la utilizarea datelor sale în acest scop.
  8. Decizii automatizate: În sensul prezentului document, prin „decizie automatizată" se înțelege o decizie a exportatorului de date sau a importatorului de date care produce efecte juridice cu privire la persoana vizată sau afectează în mod semnificativ o persoană vizată și care se bazează exclusiv pe prelucrarea automatizată a datelor cu caracter personal în scopul evaluării unor anumite aspecte personale legate de aceasta, cum ar fi performanța la locul de muncă, bonitatea, fiabilitatea, comportamentul etc. Importatorul de date nu va lua nicio decizie automatizată cu privire la persoanele vizate, cu excepția cazului în care:
      1. astfel de decizii sunt luate de importatorul de date la încheierea sau la executarea unui contract cu persoana vizată și
      2. persoanei vizate i se oferă posibilitatea de a discuta rezultatele unei decizii automatizate relevante cu un reprezentant al părților care iau astfel de decizii sau să prezinte în mod diferit respectivei părți.

      2. sau

    2. b) dacă legislația exportatorului de date prevede altfel.

ANEXA B

DESCRIEREA TRANSFERULUI

Prin acceptarea Clauzelor contractuale standard, în conformitate cu Secțiunea 12 din Actul Adițional, se consideră că părțile au semnat prezenta anexă B.

Persoane vizate
Datele cu caracter personal transferate privesc următoarele categorii de persoane vizate:
Datele cu caracter personal transferate privesc în mod obișnuit persoanele evaluate sau verificate prin intermediul Platformei Emergenetics.

Scopul transferului (transferurilor)
Transferul se face în următoarele scopuri:
Pentru a permite importatorului de date să ofere și/sau să furnizeze serviciile Emergenetics în numele exportatorului de date.

Categorii de date
Datele cu caracter personal transferate se referă de obicei la următoarele categorii de date:
Datele cu caracter personal includ de obicei date biografice, date de contact, rezultate de evaluare a stilului de învățare/conducere și de personalitate.

Destinatari
Datele cu caracter personal transferate pot fi divulgate numai următorilor destinatari sau categorii de destinatari:
Părțile care ar avea nevoie de astfel de date cu caracter personal pentru a facilita furnizarea serviciilor Emergenetics.

Punctele de contact pentru anchetele privind protecția datelor vor fi furnizate de ambele părți, conform dispozițiilor din Actul Adițional.

[1] „dispozițiile relevante” înseamnă acele dispoziții ale oricărei autorizații sau decizii, cu excepția dispozițiilor de aplicare a oricărei autorizații sau decizii (care va fi reglementată de aceste clauze).

[2] Totuși, dispozițiile din Anexa A.5 privind dreptul de acces, rectificare, ștergere și obiecție trebuie să fie aplicate atunci când această opțiune este aleasă și au prioritate față de orice dispoziții comparabile ale deciziei selectate a Comisiei.