Firme Romanesti
Autentificare
  1. Acasă
  2. Acord de prelucrare a datelor (DPA)

Acord de prelucrare a datelor (DPA)

În vigoare începând cu .

Acest Acord de prelucrare a datelor (DPA) completează Termenii și condițiile platformei firmeromanesti.com și se aplică în relația dintre SC QWERTYBIT SRL (Procesator) și clienții care folosesc platforma pentru a prelucra date cu caracter personal proprii (Operator), conform Art. 28 GDPR.

1. Aplicabilitate

Acest DPA se aplică doar dacă, prin utilizarea platformei, partajați cu noi date cu caracter personal pentru care sunteți operator (de exemplu, integrând funcțiile noastre într-un proces propriu de marketing, vânzări sau due-diligence). Pentru utilizarea standard a platformei (acces la date publice despre firme, generare de analize AI), DPA-ul nu este aplicabil — relația este reglementată exclusiv de Termenii și condițiile generale.

Dacă aveți nevoie de un DPA semnat pentru auditele dumneavoastră interne, scrieți la office@qwertybit.com — putem furniza versiunea executată în PDF.

2. Părțile

  • Operator: Clientul (persoana juridică sau fizică) care folosește platforma pentru a prelucra date personale proprii.
  • Procesator: SC QWERTYBIT SRL, CUI RO38120209, Str. Constantin Vodă nr. 16, București, România.

3. Obiectul prelucrării

  • Tipul datelor: determinat de Operator (de regulă: nume, email, profiluri publice ale persoanelor de contact ale firmelor analizate).
  • Categorii de persoane vizate: determinat de Operator.
  • Scop: furnizarea funcțiilor platformei firmeromanesti.com către Operator.
  • Durata: pe durata contractului dintre Operator și Procesator.
  • Natura prelucrării: stocare, agregare, organizare, prezentare structurată, generare de rapoarte AI.

4. Obligațiile Procesatorului (QWERTYBIT)

În baza Art. 28 GDPR, Procesatorul:

  • Prelucrează datele exclusiv pe baza instrucțiunilor documentate ale Operatorului;
  • Se asigură că persoanele autorizate să prelucreze datele sunt obligate la confidențialitate;
  • Implementează măsuri tehnice și organizatorice adecvate (Art. 32 GDPR);
  • Asistă Operatorul în îndeplinirea obligațiilor privind drepturile persoanelor vizate (Art. 12-22);
  • Notifică Operatorul fără întârziere în cazul unei breșe de securitate;
  • Pune la dispoziție Operatorului toate informațiile necesare pentru demonstrarea conformității;
  • La sfârșitul prelucrării, șterge sau returnează datele Operatorului, conform alegerii acestuia.

5. Sub-procesatori

Operatorul autorizează general utilizarea de către Procesator a sub-procesatorilor listați în secțiunea 4 a Politicii de confidențialitate. Procesatorul va notifica Operatorul cu cel puțin 30 de zile înainte de adăugarea sau înlocuirea unui sub-procesator. Operatorul are dreptul să se opună motivat — caz în care părțile vor căuta o soluție rezonabilă, cu posibilitatea încetării contractului dacă nu se ajunge la acord.

Procesatorul rămâne pe deplin răspunzător față de Operator pentru îndeplinirea obligațiilor de către sub-procesatori.

6. Transferuri internaționale

Sub-procesatorii din afara SEE (în principal SUA) sunt acoperiți de Clauze Contractuale Standard adoptate de Comisia Europeană sau de Cadrul Trans-Atlantic privind Confidențialitatea Datelor. Detalii în Politica de confidențialitate.

7. Audit

Procesatorul pune la dispoziția Operatorului, la cerere rezonabilă (maxim o dată pe an), un raport SOC 2 Type II, ISO 27001 sau echivalent al sub-procesatorilor cheie, sau, alternativ, completează un chestionar de audit standard. Auditurile la fața locului sunt permise doar în cazul unei breșe sau a unei dispute documentate, cu preaviz de 30 de zile, suportate de Operator.

8. Securitate (Art. 32 GDPR)

  • Criptare în tranzit (TLS 1.3) și criptare la repaus a bazei de date;
  • Autentificare cu doi factori pentru toate conturile administrative;
  • Acces minim necesar (principiul „least privilege");
  • Log-uri de audit pentru toate accesele administrative;
  • Backup-uri zilnice cu retenție de minim 7 zile;
  • Plan de continuitate și recuperare în caz de dezastru.

9. Breșe de securitate

În cazul unei breșe care afectează datele Operatorului, Procesatorul va notifica fără întârziere nejustificată (în maxim 72 de ore de la cunoaștere) și va furniza:

  • Natura breșei și categoriile/numărul aproximativ de persoane afectate;
  • Categoriile/numărul aproximativ de înregistrări afectate;
  • Consecințele probabile;
  • Măsurile luate sau propuse pentru remediere.

10. Răspundere

Răspunderea Procesatorului în baza acestui DPA urmează limitările prevăzute în Termenii și condițiile generale, cu excepția cazurilor de dol sau culpă gravă, când răspunderea este nelimitată conform legii române.

11. Încetarea

La încetarea contractului dintre părți (din orice motiv), Procesatorul va șterge toate datele personale ale Operatorului în termen de 30 de zile, cu excepția cazurilor în care legea aplicabilă cere stocarea (de ex. obligații fiscale). Operatorul poate solicita returnarea datelor înainte de ștergere, într-un format structurat.

12. Lege aplicabilă

Acest DPA este guvernat de legea română. Litigiile se soluționează la instanțele competente din București, conform secțiunii 10 a Termenilor și condițiilor generale.

13. Contact

Pentru solicitări privind acest DPA: office@qwertybit.com.

Pentru întrebări sau exercitarea drepturilor prevăzute de GDPR, scrieți la office@qwertybit.com. Documentul este disponibil și prin secțiunea suport a aplicației.