(Data Processing Agreement — DPA)
Conform Articolului 28 din Regulamentul (UE) 2016/679 (GDPR)
1. Părțile
Controllerul (Operatorul):
- Denumire: Clientul care a încheiat un contract de servicii cu Procesorul (denumit în continuare „Controllerul")
- Calitate: Operator de date cu caracter personal în sensul Art. 4(7) GDPR
Procesorul (Împuternicitul):
- Denumire: vreau.io S.R.L.
- CUI: RO50112124
- Sediul social: Aleea Călărașilor nr. 5, bl. G, ap. 54, Mun. Sibiu, Jud. Sibiu
- Platformă: FireComply.app (firecomply.app)
- Calitate: Persoană împuternicită de operator în sensul Art. 4(8) GDPR
- Contact DPO/responsabil protecția datelor: [email protected]
(denumiți împreună „Părțile")
Acest Acord de Prelucrare a Datelor („DPA") este anexă la și face parte integrantă din Termenii și Condițiile de utilizare a platformei FireComply.app („Contractul Principal").
2. Obiectul și durata
2.1. Obiectul
Prezentul DPA reglementează condițiile în care Procesorul prelucrează date cu caracter personal în numele Controllerului, în cadrul furnizării serviciilor platformei FireComply.app — o platformă SaaS de gestionare a conformității privind securitatea la incendiu.
2.2. Durata
Prezentul DPA intră în vigoare la data activării contului Controllerului pe platforma FireComply.app și rămâne valabil pe toată durata abonamentului activ.
După încetarea Contractului Principal (prin reziliere, expirare sau din orice alt motiv), Procesorul va continua să stocheze datele personale pentru o perioadă de maximum 30 de zile calendaristice, exclusiv în scopul de a permite Controllerului exportul datelor, conform Secțiunii 6.7 din prezentul DPA.
3. Natura și scopul prelucrării
Procesorul prelucrează date cu caracter personal exclusiv în scopul furnizării serviciilor FireComply.app, și anume:
| Operațiune | Descriere |
|---|---|
| Stocare | Stocarea securizată a datelor în baze de date criptate |
| Organizare | Structurarea datelor pe clădiri, zone, sisteme și echipamente |
| Afișare | Prezentarea datelor în interfața web a platformei, cu acces controlat pe bază de roluri |
| Generare rapoarte | Generarea de rapoarte de conformitate, dosare PSI și exporturi |
| Procesare documente | Încărcarea, stocarea și scanarea antivirus a documentelor atașate |
| Notificări | Transmiterea de notificări legate de expirare documente, neconformități |
Procesorul nu va prelucra datele personale în niciun alt scop decât cele instruite de Controller prin utilizarea platformei.
4. Tipurile de date personale prelucrate
Procesorul prelucrează următoarele categorii de date cu caracter personal:
| Categorie | Exemple |
|---|---|
| Date de identificare | Nume, prenume ale persoanelor responsabile PSI, administratorilor și inspectorilor |
| Date de contact | Adrese de e-mail, numere de telefon ale persoanelor responsabile |
| Adrese clădiri | Adrese complete ale clădirilor gestionate (pot conține date de localizare) |
| Documente scanate | Documente de conformitate încărcate (pot conține date personale ale terților: semnături, nume, ștampile) |
| Date de autentificare | Adrese de e-mail, hash-uri de parole și identificatori unici de sesiune pentru accesul la platformă (gestionate intern, stocate în baza de date proprie pe infrastructura Hetzner) |
| Date de utilizare | Jurnale de activitate (audit logs): acțiuni efectuate, timestamp, adrese IP |
| Date organizaționale | Denumire companie, CUI, sediu social |
Nu se prelucrează categorii speciale de date (Art. 9 GDPR) și nici date referitoare la condamnări penale (Art. 10 GDPR).
5. Categoriile de persoane vizate
Prelucrarea vizează următoarele categorii de persoane:
| Categorie | Descriere |
|---|---|
| Proprietari/Administratori clădiri | Persoane fizice sau reprezentanți ai persoanelor juridice care dețin sau administrează clădiri |
| Angajați ai firmelor PSI | Persoane angajate de compania Controller care utilizează platforma |
| Responsabili PSI | Cadre tehnice desemnate pentru securitatea la incendiu |
| Inspectori | Inspectori ISU sau auditori externi ale căror date pot fi menționate în documente |
| Locatari/Utilizatori clădiri | Persoane ale căror date pot apărea în documentele încărcate |
6. Obligațiile Procesorului
6.1. Prelucrare conform instrucțiunilor
Procesorul va prelucra datele personale doar pe baza instrucțiunilor documentate ale Controllerului, inclusiv în ceea ce privește transferurile de date către o țară terță sau organizație internațională, cu excepția cazului în care dreptul Uniunii sau dreptul intern aplicabil impune o astfel de prelucrare. În acest caz, Procesorul va informa Controllerul cu privire la respectiva cerință înainte de prelucrare, cu excepția cazului în care dreptul respectiv interzice acest lucru.
Instrucțiunile Controllerului sunt considerate a fi:
- Prezentul DPA
- Contractul Principal (Termenii și Condițiile)
- Configurările și acțiunile efectuate de Controller în platformă
Dacă Procesorul consideră că o instrucțiune a Controllerului încalcă GDPR sau alte dispoziții legale, va informa imediat Controllerul.
6.2. Confidențialitatea personalului
Procesorul garantează că persoanele autorizate să prelucreze date cu caracter personal:
- S-au angajat să respecte confidențialitatea sau au o obligație legală adecvată de confidențialitate
- Au fost informate cu privire la cerințele GDPR și ale prezentului DPA
- Prelucrează datele doar conform instrucțiunilor documentate
6.3. Măsuri tehnice și organizatorice (Art. 32 GDPR)
Procesorul implementează și menține următoarele măsuri de securitate adecvate riscurilor:
Criptare și protecția datelor:
- Criptare TLS 1.2+ pentru toate datele în tranzit
- Criptare la nivel de disc pentru datele în repaus
- Hashing securizat pentru token-uri și credențiale
Control acces:
- Autentificare multi-factor (MFA) disponibilă pentru toți utilizatorii
- Control acces bazat pe roluri (RBAC) cu principiul privilegiului minim
- Separare logică a datelor între organizații (multi-tenancy)
- Sesiuni cu expirare automată
Monitorizare și audit:
- Jurnale de audit (audit logs) pentru toate acțiunile asupra datelor
- Monitorizare acces și detectare anomalii
- Înregistrarea tuturor accesărilor la date personale
Backup și recuperare:
- Backup-uri automate zilnice ale bazei de date
- Proceduri de recuperare testate periodic
- Stocare backup-uri în locații geografic separate (în UE)
Securitate aplicație:
- Scanare antivirus (ClamAV) pentru toate documentele încărcate
- Protecție împotriva atacurilor OWASP Top 10
- Actualizări regulate de securitate ale dependențelor
- Teste de securitate periodice
Securitate fizică și infrastructură:
- Hosting în centre de date certificate ISO 27001 (Hetzner, Germania)
- Acces fizic restricționat la servere
- Redundanță la nivel de infrastructură
6.4. Sub-procesatori
Procesorul nu va angaja un alt sub-procesator fără autorizarea scrisă prealabilă și specifică a Controllerului sau fără autorizarea scrisă generală a acestuia.
În cazul autorizării generale scrise:
- Procesorul va informa Controllerul cu privire la orice modificare preconizată privind adăugarea sau înlocuirea sub-procesatorilor cu minimum 30 de zile calendaristice înainte de implementare
- Notificarea se va transmite prin e-mail la adresa asociată contului Controllerului
- Controllerul are dreptul de a obiecta față de un nou sub-procesator în termen de 15 zile de la notificare
- Dacă Controllerul obiectează și Părțile nu ajung la un acord, Controllerul are dreptul de a rezilia Contractul Principal
Procesorul va încheia cu fiecare sub-procesator un acord care impune aceleași obligații de protecție a datelor ca cele prevăzute în prezentul DPA.
Lista curentă a sub-procesatorilor este prevăzută în Anexa A (Secțiunea 8).
6.5. Asistență pentru drepturile persoanelor vizate (DSAR)
Procesorul va asista Controllerul în îndeplinirea obligației de a răspunde cererilor persoanelor vizate privind exercitarea drepturilor prevăzute de Capitolul III GDPR:
| Drept | Modalitate de asistență |
|---|---|
| Dreptul de acces (Art. 15) | Export date din platformă în format structurat |
| Dreptul la rectificare (Art. 16) | Funcționalități de editare în platformă |
| Dreptul la ștergere (Art. 17) | Ștergerea datelor la solicitare, cu confirmare |
| Dreptul la portabilitate (Art. 20) | Export în format JSON sau CSV |
| Dreptul la restricționarea prelucrării (Art. 18) | Dezactivare acces la datele specifice |
Procesorul va răspunde solicitărilor Controllerului legate de DSAR în termen de 5 zile lucrătoare.
Dacă o persoană vizată se adresează direct Procesorului, acesta va redirecționa solicitarea către Controller fără întârziere.
6.6. Notificarea breșelor de securitate
În cazul unei încălcări a securității datelor cu caracter personal (data breach), Procesorul va:
- Notifica Controllerul fără întârziere nejustificată, în maximum 24 de ore de la momentul conștientizării breșei
- Furniza cel puțin următoarele informații:
- Natura încălcării (categorii și număr aproximativ de persoane vizate)
- Datele de contact ale responsabilului cu protecția datelor
- Consecințele probabile ale încălcării
- Măsurile luate sau propuse pentru remedierea încălcării
- Documenta toate incidentele de securitate, inclusiv cele care nu ating pragul de notificare
- Coopera cu Controllerul în vederea notificării ANSPDCP (în 72 de ore conform Art. 33 GDPR) și, dacă este cazul, a persoanelor vizate (Art. 34 GDPR)
6.7. Ștergerea sau returnarea datelor la încetare
La încetarea Contractului Principal, Procesorul va:
- Pune la dispoziția Controllerului funcționalitatea de export a tuturor datelor în format JSON și/sau CSV, inclusiv documentele încărcate
- Menține accesul la funcționalitatea de export pentru o perioadă de 30 de zile calendaristice după încetare
- La expirarea celor 30 de zile, șterge definitiv toate datele personale prelucrate în numele Controllerului, inclusiv backup-urile, cu excepția cazului în care legislația aplicabilă impune stocarea acestora
- La cererea Controllerului, furniza o confirmare scrisă a ștergerii complete
6.8. Audit și inspecție
Procesorul va:
- Pune la dispoziția Controllerului toate informațiile necesare pentru a demonstra respectarea obligațiilor din Art. 28 GDPR
- Permite și contribui la audituri și inspecții realizate de Controller sau de un auditor mandatat de acesta
- Notifica Controllerul cu minimum 10 zile lucrătoare înainte de audit, cu excepția cazurilor de urgență (breșă de securitate suspectată)
- Suporta costurile proprii ale auditului; costurile auditorului extern sunt suportate de Controller
7. Obligațiile Controllerului
Controllerul:
- Garantează că prelucrarea datelor personale prin intermediul platformei FireComply.app are un temei legal valid (Art. 6 GDPR)
- Se asigură că persoanele vizate au fost informate corespunzător cu privire la prelucrare (Art. 13-14 GDPR)
- Este responsabil pentru exactitatea datelor personale introduse în platformă
- Va transmite instrucțiuni de prelucrare conforme cu legislația aplicabilă
- Va răspunde în termen util solicitărilor Procesorului privind clarificarea instrucțiunilor
- Este responsabil pentru gestionarea drepturilor persoanelor vizate și pentru transmiterea solicitărilor relevante către Procesor
- Va notifica Procesorul cu privire la orice modificare a naturii sau scopului prelucrării
8. Sub-procesatori autorizați (Anexa A)
Controllerul autorizează utilizarea următorilor sub-procesatori la data semnării prezentului DPA:
| Sub-procesator | Serviciu | Locație | Mecanism transfer | Date prelucrate |
|---|---|---|---|---|
| Hetzner Online GmbH | Hosting infrastructură (servere, baze de date, stocare) | Germania (UE) | N/A (în SEE) | Toate datele din platformă |
| Cloudflare Inc. | CDN și protecție DDoS | Global (cu SCCs) | Clauze Contractuale Standard (SCCs) | Adrese IP, headers HTTP, metadata trafic |
| Resend | Trimitere e-mail-uri tranzacționale | UE | N/A (în SEE) | Adrese de e-mail destinatari, conținut mesaje |
| Stripe Inc. | Procesare plăți și facturare (planificat) | SUA | Clauze Contractuale Standard (SCCs) | E-mail, denumire companie, date facturare |
| Storno.ro | Facturare electronică și e-Factura (planificat) | România (UE) | N/A (în SEE) | Date facturare, CUI, sediu |
Note:
- Autentificarea este gestionată intern de Procesor, prin biblioteca Better Auth auto-găzduită pe infrastructura Hetzner. Nu există sub-procesator terț pentru autentificare.
- Stripe nu va avea acces la datele de conformitate PSI sau la documentele încărcate.
- Hetzner furnizează doar infrastructura; nu are acces logic la datele aplicației.
- MinIO și ClamAV rulează auto-găzduite pe serverele Hetzner și nu sunt sub-procesatori terți separați.
9. Transferuri internaționale de date
9.1. Principiu
Datele personale sunt stocate și prelucrate preponderent în Uniunea Europeană (Hetzner, Germania).
9.2. Transferuri către SUA
Pentru sub-procesatorii localizați în SUA (Stripe Inc., și opțional Cloudflare când rutează prin noduri non-UE), transferul de date se realizează pe baza:
- Clauzelor Contractuale Standard (SCCs) adoptate de Comisia Europeană prin Decizia de punere în aplicare (UE) 2021/914
- Măsuri suplimentare de protecție, conform recomandărilor EDPB, inclusiv:
- Criptare end-to-end în tranzit
- Minimizarea datelor transferate
- Evaluări periodice ale impactului transferurilor (TIA)
9.3. Evaluare
Procesorul va evalua periodic dacă nivelul de protecție asigurat de țara terță destinatară este adecvat și va notifica Controllerul în cazul în care consideră că nu mai poate asigura conformitatea transferului.
10. Răspundere
10.1. Răspunderea Procesorului
Procesorul răspunde pentru prejudiciile cauzate de prelucrare doar în măsura în care:
- Nu a respectat obligațiile prevăzute de GDPR care îi revin în mod specific
- A acționat în afara sau contrar instrucțiunilor legale ale Controllerului
10.2. Răspunderea Controllerului
Controllerul răspunde pentru:
- Legalitatea temeiului prelucrării
- Exactitatea instrucțiunilor transmise Procesorului
- Informarea persoanelor vizate
10.3. Limitare
Răspunderea fiecărei Părți este limitată conform prevederilor Contractului Principal, în măsura permisă de legislația aplicabilă. Această limitare nu se aplică în cazul încălcărilor intenționate sau din neglijență gravă.
11. Durata și rezilierea
11.1. Durata
Prezentul DPA este valabil pe toată durata Contractului Principal și timp de 30 de zile calendaristice după încetarea acestuia.
11.2. Rezilierea
Prezentul DPA nu poate fi reziliat independent de Contractul Principal. Încetarea Contractului Principal atrage automat încetarea prezentului DPA, sub rezerva obligațiilor de ștergere/returnare prevăzute la Secțiunea 6.7.
11.3. Supraviețuire
Clauzele privind confidențialitatea, răspunderea și ștergerea datelor supraviețuiesc încetării prezentului DPA.
12. Legea aplicabilă și jurisdicția
12.1. Lege aplicabilă
Prezentul DPA este guvernat de legislația României și de dreptul Uniunii Europene, inclusiv Regulamentul (UE) 2016/679 (GDPR).
12.2. Jurisdicție
Orice litigiu derivat din sau în legătură cu prezentul DPA va fi soluționat de instanțele competente din România, conform sediului social al Procesorului.
12.3. Autoritate de supraveghere
Autoritatea de supraveghere competentă este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), cu sediul în București, România.
Prezentul Acord de Prelucrare a Datelor a fost întocmit în conformitate cu Articolul 28 GDPR și face parte integrantă din Contractul Principal.