Acord de prelucrare a datelor (DPA)
Versiunea 1.0.0 • Actualizat: Februarie 2026
Între:
Persoana Împuternicită: Devi Devs Technologies S.R.L., societate constituită în conformitate cu legislația din România, cu sediul social în Aleea Textiliștilor 7, Bl. MY12, Sc. 2, Et. 8, Ap. 63, Sector 3, București, înregistrată la Registrul Comerțului sub nr. J40/13982/2023, cod unic de înregistrare (CUI) 48553919 (“Persoana Împuternicită”, “DeviDevs”, “noi”)
și
Operatorul de Date: Entitatea identificată în Contractul de Servicii care a executat sau a acceptat Termenii și Condițiile Platformei DeviDevs Newsletter (“Operatorul”, “Clientul”, “dumneavoastră”)
Denumite colectiv “Părțile” și individual “Partea”.
1. Definiții
1.1. În prezentul DPA, următorii termeni vor avea semnificațiile stabilite mai jos, cu excepția cazului în care contextul impune altfel:
| Termen | Definiție |
|---|---|
| Legislația Aplicabilă privind Protecția Datelor | Toate legile și reglementările aplicabile prelucrării Datelor cu Caracter Personal, inclusiv, dar fără a se limita la: Regulamentul (UE) 2016/679 (“GDPR”), Legea nr. 190/2018 (legea română de punere în aplicare a GDPR), Legea nr. 506/2004 (prelucrarea datelor cu caracter personal în sectorul comunicațiilor electronice), Directiva 2002/58/CE (“Directiva ePrivacy”), Regulamentul (UE) 2024/1689 (“Regulamentul privind Inteligența Artificială” / “EU AI Act”) și Regulamentul (UE) 2023/2854 (“Regulamentul privind Datele” / “Data Act”), astfel cum au fost modificate sau înlocuite. |
| Operatorul | Persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a Datelor cu Caracter Personal (GDPR art. 4 alin. (7)). În prezentul DPA, Clientul. |
| Încălcarea Securității Datelor | O încălcare a securității care duce la distrugerea, pierderea, modificarea accidentală sau ilegală, la divulgarea neautorizată sau la accesul neautorizat la Datele cu Caracter Personal transmise, stocate sau prelucrate în alt mod (GDPR art. 4 alin. (12)). |
| Persoana Vizată | O persoană fizică identificată sau identificabilă la care se referă Datele cu Caracter Personal (GDPR art. 4 alin. (1)). În prezentul DPA, în principal abonații și contactele Operatorului. |
| DPIA | Evaluarea Impactului asupra Protecției Datelor, astfel cum este definită în GDPR art. 35. |
| SEE | Spațiul Economic European (statele membre UE plus Islanda, Liechtenstein și Norvegia). |
| Date cu Caracter Personal | Orice informații privind o persoană fizică identificată sau identificabilă (GDPR art. 4 alin. (1)). |
| Platforma | Platforma DeviDevs Newsletter, un serviciu SaaS de marketing prin email și automatizare, accesibil prin intermediul site-ului web și al API-ului furnizate de Persoana Împuternicită. |
| Prelucrare | Orice operațiune sau set de operațiuni efectuate asupra Datelor cu Caracter Personal, cu sau fără utilizarea de mijloace automatizate (GDPR art. 4 alin. (2)), inclusiv colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea, alinierea, combinarea, restricționarea, ștergerea sau distrugerea. |
| Persoana Împuternicită | O persoană fizică sau juridică, autoritate publică, agenție sau alt organism care prelucrează Date cu Caracter Personal în numele Operatorului (GDPR art. 4 alin. (8)). În prezentul DPA, DeviDevs. |
| Contractul de Servicii | Termenii și Condițiile, formularul de comandă sau alt acord între Părți care reglementează furnizarea serviciilor Platformei. |
| Clauzele Contractuale Standard (CCS) | Clauzele contractuale standard pentru transferul de date cu caracter personal către țări terțe, adoptate de Comisia Europeană în temeiul Deciziei de punere în aplicare (UE) 2021/914 din 4 iunie 2021. |
| Sub-împuternicit | Orice parte terță angajată de Persoana Împuternicită pentru a prelucra Date cu Caracter Personal în numele Operatorului. |
| Autoritatea de Supraveghere | Autoritatea publică independentă responsabilă cu monitorizarea aplicării legislației privind protecția datelor. Pentru România: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). |
| Măsuri Tehnice și Organizatorice (MTO) | Măsurile de securitate implementate de Persoana Împuternicită pentru a proteja Datele cu Caracter Personal, astfel cum sunt descrise în Anexa 2 a prezentului DPA. |
1.2. Termenii nedefiniți în prezentul document vor avea semnificația atribuită în GDPR sau în Contractul de Servicii, după caz.
2. Domeniu de aplicare și roluri
2.1. Prezentul DPA se aplică prelucrării Datelor cu Caracter Personal de către Persoana Împuternicită în numele Operatorului în legătură cu furnizarea serviciilor Platformei în temeiul Contractului de Servicii.
2.2. Operatorul este entitatea care stabilește scopurile și mijloacele de prelucrare a Datelor cu Caracter Personal ale abonaților săi prin intermediul Platformei. Operatorul este responsabil pentru:
- (a) asigurarea legalității colectării și prelucrării Datelor cu Caracter Personal, inclusiv obținerea și menținerea consimțământului valid din partea Persoanelor Vizate, acolo unde este necesar;
- (b) furnizarea de instrucțiuni documentate Persoanei Împuternicite cu privire la prelucrarea Datelor cu Caracter Personal;
- (c) respectarea întregii Legislații Aplicabile privind Protecția Datelor în calitatea sa de Operator.
2.3. Persoana Împuternicită prelucrează Datele cu Caracter Personal exclusiv în numele și conform instrucțiunilor documentate ale Operatorului, astfel cum sunt descrise în prezentul DPA și în Anexa 1.
2.4. Prezentul DPA completează și face parte integrantă din Contractul de Servicii. În cazul oricărui conflict între prezentul DPA și Contractul de Servicii cu privire la chestiuni de protecție a datelor, prezentul DPA va prevala.
2.5. Persoana Împuternicită oferă garanții suficiente pentru implementarea de măsuri tehnice și organizatorice adecvate astfel încât prelucrarea să respecte cerințele GDPR și să asigure protecția drepturilor Persoanelor Vizate (GDPR art. 28 alin. (1)).
3. Obiectul, natura, scopul și durata prelucrării
3.1. Detaliile prelucrării sunt stabilite în Anexa 1 și includ:
- (a) obiectul și durata prelucrării;
- (b) natura și scopul prelucrării;
- (c) tipul de Date cu Caracter Personal prelucrate;
- (d) categoriile de Persoane Vizate.
3.2. Durata prelucrării va fi termenul Contractului de Servicii, cu excepția cazului în care se prevede altfel în prezentul DPA sau este impus de Legislația Aplicabilă privind Protecția Datelor.
4. Obligațiile Operatorului
4.1. Temei juridic. Operatorul garantează că dispune de un temei juridic valid pentru prelucrarea Datelor cu Caracter Personal în conformitate cu GDPR art. 6 alin. (1), inclusiv, dar fără a se limita la:
- (a) consimțământul Persoanei Vizate (art. 6 alin. (1) lit. (a)) pentru comunicări de marketing;
- (b) executarea unui contract (art. 6 alin. (1) lit. (b)) acolo unde este aplicabil;
- (c) interesul legitim (art. 6 alin. (1) lit. (f)) acolo unde este aplicabil și documentat.
4.2. Gestionarea consimțământului. Atunci când temeiul juridic este consimțământul, Operatorul va:
- (a) obține un consimțământ liber exprimat, specific, informat și lipsit de ambiguitate, printr-o acțiune afirmativă clară (GDPR art. 4 alin. (11), art. 7; Ghidul CEPD 05/2020);
- (b) menține evidențe verificabile ale consimțământului, incluzând: identitatea Persoanei Vizate, data și ora consimțământului, informațiile furnizate la momentul respectiv și metoda de obținere a consimțământului;
- (c) respecta Legea nr. 506/2004 art. 12 privind consimțământul prealabil expres pentru comunicările comerciale electronice;
- (d) asigura că retragerea consimțământului este la fel de ușoară ca acordarea acestuia (GDPR art. 7 alin. (3)).
4.3. Instrucțiuni documentate. Operatorul va furniza Persoanei Împuternicite instrucțiuni documentate privind prelucrarea Datelor cu Caracter Personal. Utilizarea Platformei în conformitate cu Contractul de Servicii și prezentul DPA constituie instrucțiunile documentate complete ale Operatorului, cu excepția cazului în care instrucțiuni suplimentare sunt furnizate în scris.
4.4. Conformitate. Operatorul este responsabil pentru asigurarea conformității conținutului emailurilor trimise prin Platformă cu Legislația Aplicabilă privind Protecția Datelor, inclusiv, dar fără a se limita la:
- (a) Legea nr. 506/2004 art. 12 (identificarea expeditorului, mecanism valid de dezabonare);
- (b) Legea nr. 365/2002 (identificarea clară a comunicărilor comerciale);
- (c) CAN-SPAM Act (pentru destinatarii din SUA: adresa fizică, procesarea dezabonării în termen de 10 zile lucrătoare);
- (d) Politica Anti-Spam și Politica de Utilizare Acceptabilă ale Persoanei Împuternicite.
5. Obligațiile Persoanei Împuternicite
5.1. Prelucrarea conform instrucțiunilor (art. 28 alin. (3) lit. (a))
5.1.1. Persoana Împuternicită va prelucra Datele cu Caracter Personal numai pe baza instrucțiunilor documentate ale Operatorului, inclusiv în ceea ce privește transferurile de Date cu Caracter Personal către o țară terță sau o organizație internațională.
5.1.2. Dacă Persoana Împuternicită este obligată de dreptul UE sau al unui stat membru să prelucreze Datele cu Caracter Personal altfel decât conform instrucțiunilor Operatorului, Persoana Împuternicită va informa Operatorul cu privire la această cerință legală înainte de prelucrare, cu excepția cazului în care legislația respectivă interzice furnizarea acestei informații din motive importante de interes public.
5.1.3. Persoana Împuternicită va informa imediat Operatorul dacă, în opinia Persoanei Împuternicite, o instrucțiune din partea Operatorului încalcă GDPR sau alte dispoziții ale UE sau ale unui stat membru privind protecția datelor (GDPR art. 28 alin. (3), paragraful final).
5.2. Confidențialitate (art. 28 alin. (3) lit. (b))
5.2.1. Persoana Împuternicită va asigura că toate persoanele autorizate să prelucreze Date cu Caracter Personal s-au angajat să respecte confidențialitatea sau sunt supuse unei obligații statutare de confidențialitate adecvate.
5.2.2. Persoana Împuternicită va asigura că accesul la Datele cu Caracter Personal este limitat la personalul care are nevoie de acces pentru îndeplinirea obligațiilor Persoanei Împuternicite în temeiul prezentului DPA.
5.3. Măsuri de securitate (art. 28 alin. (3) lit. (c), art. 32)
5.3.1. Persoana Împuternicită va implementa și menține măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului, astfel cum sunt descrise în Anexa 2 a prezentului DPA.
5.3.2. Aceste măsuri vor include, după caz:
- (a) pseudonimizarea și criptarea Datelor cu Caracter Personal (art. 32 alin. (1) lit. (a));
- (b) capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și reziliența continue ale sistemelor și serviciilor de prelucrare (art. 32 alin. (1) lit. (b));
- (c) capacitatea de a restabili disponibilitatea și accesul la Datele cu Caracter Personal în timp util în cazul unui incident fizic sau tehnic (art. 32 alin. (1) lit. (c));
- (d) un proces de testare, evaluare și apreciere periodică a eficacității măsurilor tehnice și organizatorice pentru asigurarea securității prelucrării (art. 32 alin. (1) lit. (d)).
5.3.3. Persoana Împuternicită va revizui și actualiza periodic măsurile de securitate pentru a asigura adecvarea continuă a acestora.
5.4. Sub-împuternicire (art. 28 alin. (3) lit. (d), art. 28 alin. (2), art. 28 alin. (4))
5.4.1. Prin prezentul, Operatorul acordă Persoanei Împuternicite o autorizare generală scrisă de a angaja Sub-împuterniciți pentru efectuarea de activități specifice de prelucrare în numele Operatorului. Lista actuală a Sub-împuterniciților aprobați este prevăzută în Anexa 3.
5.4.2. Notificarea modificărilor. Persoana Împuternicită va informa Operatorul cu privire la orice modificări preconizate referitoare la adăugarea sau înlocuirea Sub-împuterniciților cu cel puțin treizeci (30) de zile înainte de efectuarea unei astfel de modificări, oferind astfel Operatorului posibilitatea de a formula obiecții cu privire la aceste modificări.
5.4.3. Dreptul de a formula obiecții. Dacă Operatorul formulează obiecții cu privire la un nou Sub-împuternicit pe motive rezonabile legate de protecția datelor, Persoana Împuternicită va depune eforturi comerciale rezonabile pentru a pune la dispoziția Operatorului o modificare a Platformei sau pentru a recomanda o alternativă comercial rezonabilă. Dacă Persoana Împuternicită nu poate oferi o astfel de alternativă în termen de treizeci (30) de zile de la obiecția Operatorului, Operatorul poate rezilia Contractul de Servicii cu privire la activitățile de prelucrare afectate, cu rambursarea proporțională a oricăror taxe preplătite pentru porțiunea reziliată.
5.4.4. Obligațiile Sub-împuternicitului. Atunci când Persoana Împuternicită angajează un Sub-împuternicit, Persoana Împuternicită va:
- (a) impune Sub-împuternicitului, prin intermediul unui contract scris, aceleași obligații de protecție a datelor prevăzute în prezentul DPA (art. 28 alin. (4));
- (b) rămâne pe deplin responsabilă față de Operator pentru îndeplinirea obligațiilor Sub-împuternicitului (art. 28 alin. (4)).
5.5. Asistență privind drepturile Persoanelor Vizate (art. 28 alin. (3) lit. (e))
5.5.1. Persoana Împuternicită va, ținând cont de natura prelucrării, asista Operatorul prin măsuri tehnice și organizatorice adecvate, în măsura posibilului, pentru îndeplinirea obligației Operatorului de a răspunde cererilor de exercitare a drepturilor Persoanei Vizate în temeiul Capitolului III din GDPR (articolele 15-22), inclusiv:
- (a) dreptul de acces (art. 15);
- (b) dreptul la rectificare (art. 16);
- (c) dreptul la ștergerea datelor (“dreptul de a fi uitat”) (art. 17);
- (d) dreptul la restricționarea prelucrării (art. 18);
- (e) obligația de notificare privind rectificarea, ștergerea sau restricționarea (art. 19);
- (f) dreptul la portabilitatea datelor (art. 20);
- (g) dreptul la opoziție (art. 21);
- (h) drepturi legate de procesul decizional individual automatizat, inclusiv crearea de profiluri (art. 22).
5.5.2. Dacă o Persoană Vizată contactează direct Persoana Împuternicită cu privire la exercitarea drepturilor sale, Persoana Împuternicită va redirecționa prompt o astfel de cerere către Operator și nu va răspunde direct Persoanei Vizate fără autorizarea prealabilă scrisă a Operatorului.
5.5.3. Platforma oferă instrumente self-service care permit Operatorului să răspundă cererilor Persoanelor Vizate, inclusiv funcționalități de export, modificare și ștergere a datelor abonaților.
5.6. Asistență privind obligațiile de conformitate (art. 28 alin. (3) lit. (f))
5.6.1. Persoana Împuternicită va asista Operatorul în asigurarea conformității cu obligațiile prevăzute la articolele 32-36 din GDPR, ținând cont de natura prelucrării și de informațiile disponibile Persoanei Împuternicite:
- (a) securitatea prelucrării (art. 32);
- (b) notificarea unei Încălcări a Securității Datelor către Autoritatea de Supraveghere (art. 33);
- (c) comunicarea unei Încălcări a Securității Datelor către Persoana Vizată (art. 34);
- (d) evaluarea impactului asupra protecției datelor (art. 35);
- (e) consultarea prealabilă cu Autoritatea de Supraveghere (art. 36).
5.7. Ștergerea și returnarea datelor (art. 28 alin. (3) lit. (g))
5.7.1. La încetarea sau expirarea Contractului de Servicii, Persoana Împuternicită va, la alegerea Operatorului:
- (a) returna toate Datele cu Caracter Personal Operatorului într-un format uzual, care poate fi citit automat (CSV sau JSON); sau
- (b) șterge toate Datele cu Caracter Personal și copiile existente.
5.7.2. Persoana Împuternicită va finaliza returnarea sau ștergerea în termen de treizeci (30) de zile de la încetare, cu excepția cazului în care Legislația Aplicabilă privind Protecția Datelor impune stocarea în continuare.
5.7.3. Operatorul poate solicita exportul datelor utilizând funcționalitatea self-service de export a Platformei în orice moment pe durata Contractului de Servicii.
5.7.4. La finalizarea ștergerii, Persoana Împuternicită va furniza o confirmare scrisă a ștergerii la cererea Operatorului.
5.7.5. Persoana Împuternicită poate păstra Datele cu Caracter Personal în măsura impusă de dreptul UE sau al unui stat membru, caz în care Persoana Împuternicită va informa Operatorul cu privire la orice astfel de cerință de păstrare și va limita prelucrarea la ceea ce este necesar în acest scop, asigurând confidențialitatea adecvată.
5.8. Audit și demonstrarea conformității (art. 28 alin. (3) lit. (h))
5.8.1. Persoana Împuternicită va pune la dispoziția Operatorului toate informațiile necesare pentru demonstrarea respectării obligațiilor prevăzute la articolul 28 din GDPR.
5.8.2. Persoana Împuternicită va permite și va contribui la audituri, inclusiv inspecții, efectuate de Operator sau de un alt auditor mandatat de Operator.
5.8.3. Proceduri de audit:
- (a) Operatorul poate efectua un audit al activităților de prelucrare a datelor de către Persoana Împuternicită o dată pe an calendaristic sau mai frecvent dacă este impus de o Autoritate de Supraveghere sau ca urmare a unei Încălcări a Securității Datelor.
- (b) Operatorul va furniza o notificare scrisă prealabilă de cel puțin treizeci (30) de zile pentru orice audit planificat.
- (c) Auditurile vor fi efectuate în timpul programului normal de lucru, într-un mod care minimizează perturbarea operațiunilor Persoanei Împuternicite.
- (d) Orice auditor mandatat de Operator trebuie să execute un acord de nedivulgare (NDA) acceptabil în mod rezonabil de către Persoana Împuternicită.
- (e) Operatorul va suporta propriile costuri în legătură cu orice audit, cu excepția cazului în care auditul relevă o neconformitate semnificativă din partea Persoanei Împuternicite.
5.8.4. Ca alternativă sau supliment la auditurile la fața locului, Persoana Împuternicită poate furniza:
- (a) rezumate sau copii ale rapoartelor de audit relevante, certificărilor sau evaluărilor efectuate de terți calificați;
- (b) dovezi ale conformității cu standarde de securitate recunoscute la nivel de industrie.
6. Sub-împuterniciții
6.1. Operatorul ia la cunoștință și este de acord că Persoana Împuternicită poate angaja Sub-împuterniciții enumerați în Anexa 3 pentru efectuarea de activități specifice de prelucrare.
6.2. Persoana Împuternicită va menține o listă actualizată a Sub-împuterniciților, care va fi pusă la dispoziția Operatorului la cerere și publicată pe site-ul Persoanei Împuternicite.
6.3. Procedura de notificare și obiecție pentru modificările Sub-împuterniciților este descrisă în Secțiunea 5.4 a prezentului DPA.
6.4. Atunci când un Sub-împuternicit nu își îndeplinește obligațiile de protecție a datelor, Persoana Împuternicită rămâne pe deplin responsabilă față de Operator pentru îndeplinirea obligațiilor respectivului Sub-împuternicit (art. 28 alin. (4)).
7. Transferuri internaționale de date
7.1. Persoana Împuternicită nu va transfera Date cu Caracter Personal către o țară din afara SEE decât dacă una dintre următoarele condiții este îndeplinită:
- (a) Comisia Europeană a emis o decizie de adecvare pentru țara destinatară (art. 45 GDPR);
- (b) sunt instituite garanții adecvate, cum ar fi Clauzele Contractuale Standard (art. 46 alin. (2) lit. (c) GDPR), adoptate prin Decizia de punere în aplicare (UE) 2021/914 a Comisiei;
- (c) transferul se încadrează într-o derogare permisă în temeiul art. 49 GDPR.
7.2. Transferurile internaționale actuale sunt descrise în Anexa 3. Acolo unde transferurile sunt efectuate către Statele Unite ale Americii, Persoana Împuternicită se bazează pe:
- (a) decizia de adecvare privind Cadrul UE-SUA pentru Protecția Datelor (adoptată la 10 iulie 2023), atunci când Sub-împuternicitul este certificat în temeiul cadrului; și/sau
- (b) Clauzele Contractuale Standard (Modulul 3: Persoana Împuternicită către Sub-împuternicit) ca garanție suplimentară sau alternativă.
7.3. Persoana Împuternicită va efectua și documenta o Evaluare a Impactului Transferului (EIT) pentru fiecare transfer către o țară terță, evaluând:
- (a) legislația și practicile din țara de destinație privind accesul guvernamental la date;
- (b) eficacitatea garanțiilor instituite;
- (c) orice măsuri suplimentare necesare pentru asigurarea unei protecții adecvate.
7.4. Dacă Persoana Împuternicită ia cunoștință de faptul că legislația unei țări de destinație împiedică Sub-împuternicitul să își îndeplinească obligațiile în temeiul CCS, Persoana Împuternicită va notifica prompt Operatorul și va lua măsuri rezonabile pentru remedierea situației, inclusiv luarea în considerare a unor Sub-împuterniciți alternativi localizați în SEE.
8. Notificarea Încălcării Securității Datelor
8.1. Persoana Împuternicită va notifica Operatorul cu privire la o Încălcare a Securității Datelor fără întârzieri nejustificate și nu mai târziu de patruzeci și opt (48) de ore de la momentul în care a luat cunoștință de încălcare (obligație contractuală; cf. GDPR art. 33 alin. (2) care impune notificarea de către persoana împuternicită “fără întârzieri nejustificate”).
8.2. Notificarea va include, cel puțin:
- (a) o descriere a naturii Încălcării Securității Datelor, incluzând, acolo unde este posibil, categoriile și numărul aproximativ de Persoane Vizate afectate și categoriile și numărul aproximativ de înregistrări de Date cu Caracter Personal afectate;
- (b) numele și datele de contact ale persoanei de contact a Persoanei Împuternicite de la care pot fi obținute mai multe informații;
- (c) o descriere a consecințelor probabile ale Încălcării Securității Datelor;
- (d) o descriere a măsurilor luate sau propuse spre a fi luate de către Persoana Împuternicită pentru a remedia Încălcarea Securității Datelor, inclusiv, acolo unde este cazul, măsuri de atenuare a posibilelor efecte adverse.
8.3. Atunci când nu este posibilă furnizarea tuturor informațiilor în același timp, Persoana Împuternicită va furniza informațiile în etape, fără alte întârzieri nejustificate.
8.4. Persoana Împuternicită va coopera cu Operatorul și va lua măsuri comerciale rezonabile pentru a asista la investigarea, atenuarea și remedierea Încălcării Securității Datelor.
8.5. Persoana Împuternicită va asista Operatorul în îndeplinirea obligațiilor sale prevăzute la articolele 33 și 34 din GDPR (notificarea Autorității de Supraveghere și comunicarea către Persoanele Vizate).
8.6. Persoana Împuternicită va documenta toate Încălcările Securității Datelor, incluzând faptele referitoare la încălcare, efectele acesteia și acțiunile corective întreprinse, în conformitate cu art. 33 alin. (5) GDPR.
8.7. Notificarea sau răspunsul Persoanei Împuternicite la o Încălcare a Securității Datelor în temeiul prezentei Secțiuni nu va fi interpretat(ă) ca o recunoaștere din partea Persoanei Împuternicite a vreunei culpe sau răspunderi cu privire la Încălcarea Securității Datelor.
9. Drepturile Persoanelor Vizate
9.1. Persoana Împuternicită va asista Operatorul în răspunsul la cererile Persoanelor Vizate de exercitare a drepturilor lor în temeiul GDPR, astfel cum este specificat în Secțiunea 5.5.
9.2. Platforma oferă Operatorului următoarele instrumente self-service pentru gestionarea cererilor Persoanelor Vizate:
- (a) Acces și Portabilitate: exportul datelor abonaților în format CSV;
- (b) Rectificare: editarea datelor abonaților prin interfața Platformei;
- (c) Ștergere: funcționalitate de ștergere a abonaților;
- (d) Restricționare: gestionarea statutului abonaților (activ/inactiv);
- (e) Opoziție la prelucrare: mecanism de dezabonare în fiecare email.
9.3. În măsura în care Operatorul nu poate răspunde independent unei cereri a Persoanei Vizate prin intermediul instrumentelor Platformei, Persoana Împuternicită va, la cererea scrisă a Operatorului, furniza asistență rezonabilă, pe cheltuiala Operatorului.
10. Evaluarea Impactului asupra Protecției Datelor
10.1. Persoana Împuternicită va furniza asistență rezonabilă Operatorului cu privire la orice DPIA pe care Operatorul este obligat să o efectueze în temeiul art. 35 GDPR, ținând cont de natura prelucrării și de informațiile disponibile Persoanei Împuternicite.
10.2. Persoana Împuternicită va furniza asistență rezonabilă Operatorului în contextul oricărei consultări prealabile cu Autoritatea de Supraveghere în temeiul art. 36 GDPR.
11. Păstrarea datelor
11.1. Persoana Împuternicită va prelucra Datele cu Caracter Personal numai pe durata Contractului de Servicii, cu excepția cazului în care Operatorul dispune altfel în scris sau Legislația Aplicabilă privind Protecția Datelor impune acest lucru.
11.2. Persoana Împuternicită nu va păstra Datele cu Caracter Personal mai mult decât este necesar pentru scopurile prelucrării, astfel cum sunt stabilite în prezentul DPA și în Anexa 1.
11.3. Perioadele specifice de păstrare sunt următoarele:
| Categoria de date | Perioada de păstrare | Temei |
|---|---|---|
| Date ale abonaților (email, nume, etichete) | Durata Contractului de Servicii + 30 de zile | Executarea contractului |
| Date privind interacțiunea cu emailurile (deschideri, click-uri) | Durata Contractului de Servicii + 30 de zile | Executarea contractului |
| Evidențe ale consimțământului | Durata Contractului de Servicii + 3 ani | Obligație legală (dovada consimțământului) |
| Jurnale de trimitere email | 12 luni de la trimitere | Interes legitim (livrabilitate) |
| Jurnale de audit | 12 luni | Securitate și conformitate |
| Copii de rezervă | Maximum 30 de zile de la ștergerea principală | Necesitate tehnică |
12. Răspunderea
12.1. Răspunderea fiecărei Părți în temeiul prezentului DPA va fi supusă limitărilor și excluderilor de răspundere prevăzute în Contractul de Servicii, cu excepția faptului că:
- (a) răspunderea oricărei Părți față de Persoanele Vizate în temeiul art. 82 GDPR nu poate fi limitată sau exclusă prin prezentul DPA;
- (b) răspunderea niciunei Părți pentru încălcări ale Clauzelor Contractuale Standard (acolo unde sunt aplicabile) nu va fi limitată prin prezentul DPA.
12.2. Operatorul va despăgubi Persoana Împuternicită pentru orice costuri, pretenții, daune sau cheltuieli suportate de Persoana Împuternicită ca urmare a:
- (a) încălcării de către Operator a Legislației Aplicabile privind Protecția Datelor;
- (b) instrucțiunilor de prelucrare ale Operatorului care încalcă GDPR, atunci când Persoana Împuternicită a informat Operatorul cu privire la o astfel de încălcare în conformitate cu Secțiunea 5.1.3;
- (c) pretențiilor Persoanelor Vizate care decurg din neobținerea sau nemenținerea de către Operator a unui consimțământ valid.
12.3. Persoana Împuternicită va despăgubi Operatorul pentru orice costuri, pretenții, daune sau cheltuieli suportate de Operator ca urmare a:
- (a) încălcării de către Persoana Împuternicită a obligațiilor sale în temeiul prezentului DPA;
- (b) prelucrării de către Persoana Împuternicită a Datelor cu Caracter Personal în afara sau contrar instrucțiunilor documentate legale ale Operatorului, cu excepția cazului în care acest lucru este impus de dreptul UE sau al unui stat membru.
13. Legea aplicabilă și jurisdicția
13.1. Prezentul DPA va fi guvernat și interpretat în conformitate cu legislația din România, cu respectarea Regulamentului (UE) 2016/679 (GDPR) și a Legii nr. 190/2018.
13.2. Orice litigii care decurg din sau în legătură cu prezentul DPA vor fi supuse jurisdicției exclusive a instanțelor competente din București, România.
13.3. Autoritatea de Supraveghere competentă în sensul prezentului DPA și al oricăror Clauze Contractuale Standard aplicabile este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, cod poștal 010336, București, România.
14. Durata și încetarea
14.1. Prezentul DPA va intra în vigoare la data de intrare în vigoare a Contractului de Servicii (sau la data primei prelucrări de Date cu Caracter Personal, care survine mai devreme) și va rămâne în vigoare pe durata Contractului de Servicii.
14.2. Secțiunile 5.7 (Ștergerea și returnarea datelor), 5.8 (Audit), 8 (Notificarea Încălcării Securității Datelor), 11 (Păstrarea datelor), 12 (Răspunderea) și 13 (Legea aplicabilă) vor supraviețui încetării sau expirării prezentului DPA.
14.3. Oricare Parte poate rezilia prezentul DPA imediat prin notificare scrisă dacă cealaltă Parte încalcă în mod semnificativ prezentul DPA și nu remediază o astfel de încălcare în termen de treizeci (30) de zile de la primirea notificării scrise privind încălcarea.
15. Dispoziții diverse
15.1. Forma scrisă. Prezentul DPA este în formă scrisă în conformitate cu GDPR art. 28 alin. (9). Modificările aduse prezentului DPA vor fi făcute în scris și semnate de ambele Părți (semnăturile electronice sunt acceptate).
15.2. Separabilitate. Dacă orice prevedere a prezentului DPA este considerată invalidă sau inaplicabilă, prevederile rămase își vor păstra pe deplin forța juridică și efectul. Prevederea invalidă sau inaplicabilă va fi înlocuită cu o prevedere validă și aplicabilă care reflectă cel mai fidel intenția originală.
15.3. Integralitatea acordului. Prezentul DPA, împreună cu anexele sale, constituie întregul acord între Părți cu privire la prelucrarea Datelor cu Caracter Personal în temeiul Contractului de Servicii și înlocuiește toate acordurile, înțelegerile și negocierile anterioare aferente.
15.4. Actualizări. Persoana Împuternicită poate actualiza prezentul DPA periodic pentru a reflecta modificări ale Legislației Aplicabile privind Protecția Datelor, cu condiția ca astfel de actualizări să nu diminueze în mod semnificativ nivelul de protecție a datelor. Operatorul va fi notificat cu privire la modificările semnificative cu cel puțin treizeci (30) de zile în avans.
Anexa 1: Detalii ale prelucrării
A. Lista Părților
Exportatorul de date (Operatorul):
- Denumire: [CLIENT_NAME]
- Adresă: [CLIENT_ADDRESS]
- Persoană de contact: [CLIENT_CONTACT]
- Activități relevante pentru transfer: Marketing prin email și gestionarea abonaților prin intermediul Platformei
- Rol: Operator (GDPR art. 4 alin. (7))
Importatorul de date (Persoana Împuternicită):
- Denumire: Devi Devs Technologies S.R.L.
- Adresă: Aleea Textiliștilor 7, Bl. MY12, Sc. 2, Et. 8, Ap. 63, Sector 3, București
- Persoană de contact: ........................
- Activități relevante pentru transfer: Furnizarea platformei SaaS de marketing prin email, inclusiv stocarea datelor abonaților, gestionarea campaniilor de email, trimiterea emailurilor și analiza interacțiunilor
- Rol: Persoana Împuternicită (GDPR art. 4 alin. (8))
B. Descrierea prelucrării
| Element | Descriere |
|---|---|
| Obiectul | Furnizarea Platformei DeviDevs Newsletter, un serviciu SaaS de marketing prin email și automatizare |
| Durata | Termenul Contractului de Servicii între Operator și Persoana Împuternicită |
| Natura prelucrării | Stocarea, organizarea, structurarea, extragerea, utilizarea, divulgarea prin transmitere (trimiterea emailurilor) și ștergerea Datelor cu Caracter Personal |
| Scopul prelucrării | (1) Stocarea și gestionarea listelor de abonați ale Operatorului; (2) Trimiterea campaniilor de email și a secvențelor automatizate de email în numele Operatorului; (3) Urmărirea indicatorilor de interacțiune cu emailurile (livrare, deschideri, click-uri, respingeri); (4) Furnizarea de analize și rapoarte Operatorului; (5) Gestionarea consimțământului și preferințelor abonaților (abonare/dezabonare) |
| Categorii de Persoane Vizate | (1) Abonații la newsletter-ul Operatorului; (2) Clienții și prospecții Operatorului care au optat pentru comunicări prin email; (3) Contactele Operatorului importate în Platformă |
| Categorii de Date cu Caracter Personal | (1) Adresa de email; (2) Numele (prenume și/sau nume de familie); (3) Etichete și segmente ale abonaților; (4) Marca temporală și metoda consimțământului; (5) Date privind interacțiunea cu emailurile (starea livrării, marca temporală a deschiderii, marca temporală a click-ului, informații privind respingerile); (6) Starea și preferințele de abonare; (7) Adresa IP (la momentul abonării, dacă este colectată de Operator) |
| Categorii speciale de date (art. 9) | Nu se aplică. Persoana Împuternicită nu prelucrează în mod intenționat categorii speciale de date. Operatorul nu va încărca date din categorii speciale pe Platformă fără acordul prealabil scris. |
| Frecvența transferului | Continuu, pe durata Contractului de Servicii |
| Perioada de păstrare | Conform Secțiunii 11 a prezentului DPA |
C. Autoritatea de Supraveghere competentă
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), România.
Anexa 2: Măsuri tehnice și organizatorice
Persoana Împuternicită implementează următoarele măsuri tehnice și organizatorice în temeiul GDPR art. 32:
1. Criptare
| Măsură | Implementare |
|---|---|
| Criptare în tranzit | Toate datele transmise între componentele Platformei și către/de la utilizatorii finali sunt criptate folosind TLS 1.2 sau superior |
| Criptare la stocare | Baza de date (Supabase PostgreSQL) utilizează criptare AES-256 la stocare. Copiile de rezervă sunt criptate. |
| Criptarea credențialelor | Credențialele de trimitere email per client (chei secrete SES) sunt criptate folosind criptare simetrică Fernet (AES-128-CBC) cu o cheie de criptare dedicată |
| Gestionarea secretelor | Secretele critice (CRON_SECRET) sunt stocate în Supabase Vault (criptate la stocare). Cheile API și credențialele sunt stocate în variabile de mediu, nu în codul sursă. |
2. Controlul accesului
| Măsură | Implementare |
|---|---|
| Autentificare | Autentificare bazată pe JWT prin Supabase Auth pentru toate cererile API |
| Izolarea multi-tenancy | Row Level Security (RLS) aplicată la nivelul bazei de date. Toate interogările aplicației sunt filtrate suplimentar după client_id pentru apărare în profunzime. |
| Principiul privilegiului minim | Fiecare client poate accesa doar propriile sale date. Endpoint-urile API aplică filtrarea după client_id la fiecare interogare. |
| Acces administrativ | Limitat la personalul autorizat cu acces bazat pe roluri |
| Politica de parole | Aplicată prin Supabase Auth (complexitate minimă, fără stocare în text clar) |
3. Disponibilitate și reziliență
| Măsură | Implementare |
|---|---|
| Găzduire bază de date | Supabase PostgreSQL găzduit în UE (eu-central-1, Frankfurt) cu copii de rezervă automatizate |
| Găzduire aplicație | Backend pe Render (regiunea Frankfurt), frontend pe Vercel (CDN global) |
| Monitorizarea stării de sănătate | Verificări automate ale stării de sănătate la fiecare 10 minute (pg_cron keep-alive), monitorizare externă prin UptimeRobot |
| Recuperare în caz de dezastru | Recuperare punct-în-timp a bazei de date. Aplicație fără stare, reimplementabilă din controlul sursei. |
4. Copii de rezervă și recuperare
| Măsură | Implementare |
|---|---|
| Copii de rezervă automatizate | Copii de rezervă zilnice automatizate ale bazei de date de către Supabase |
| Păstrarea copiilor de rezervă | În conformitate cu planul Supabase (minimum 7 zile) |
| Testarea recuperării | Verificare periodică a capacității de restaurare din copii de rezervă |
5. Jurnalizare și monitorizare
| Măsură | Implementare |
|---|---|
| Pistă de audit | Tabelul audit_log din baza de date înregistrează operațiunile semnificative (creare, actualizare, ștergere a datelor abonaților și campaniilor) |
| Jurnale ale aplicației | Jurnalizare structurată prin Render, păstrată conform politicii furnizorului |
| Monitorizarea erorilor | Urmărirea și alertarea automată a erorilor |
| Interacțiunea cu emailurile | Urmărire per email a livrării (trimis, livrat, deschis, accesat, respins) pentru conformitate și livrabilitate |
6. Detectarea încălcărilor și răspunsul la incidente
| Măsură | Implementare |
|---|---|
| Monitorizarea respingerilor și reclamațiilor | Monitorizare automatizată a ratei de respingere (prag: <5%) și a ratei de reclamații (prag: <0,1%) prin webhook-uri SES/SNS |
| Detectarea anomaliilor | Monitorizarea tiparelor neobișnuite de trimitere și a tiparelor de acces |
| Plan de răspuns la incidente | Procedură documentată pentru identificarea, limitarea, evaluarea și notificarea Încălcărilor Securității Datelor |
7. Măsuri privind personalul
| Măsură | Implementare |
|---|---|
| Confidențialitate | Tot personalul cu acces la Datele cu Caracter Personal este obligat prin angajamente de confidențialitate |
| Instruire | Personalul care gestionează Date cu Caracter Personal primește instruire privind conștientizarea protecției datelor |
| Revizuirea accesului | Revizuirea periodică a drepturilor de acces ale personalului |
8. Securitatea furnizorilor
| Măsură | Implementare |
|---|---|
| Evaluarea Sub-împuterniciților | Sub-împuterniciții sunt evaluați pentru practicile lor de securitate înainte de angajare |
| Garanții contractuale | Toți Sub-împuterniciții sunt obligați prin acorduri de prelucrare a datelor cu obligații de securitate echivalente |
| Monitorizare continuă | Revizuirea periodică a posturii de securitate și a conformității Sub-împuterniciților |
Anexa 3: Lista Sub-împuterniciților
Următorii Sub-împuterniciți sunt autorizați să prelucreze Date cu Caracter Personal în numele Operatorului:
| Sub-împuternicit | Entitate juridică | Scop | Date prelucrate | Locație | Mecanism de transfer |
|---|---|---|---|---|---|
| Supabase Inc. | Supabase, Inc. (Delaware, SUA; sediu central Singapore) | Găzduire bază de date (PostgreSQL) | Toate datele abonaților, datele campaniilor, datele de interacțiune, evidențele consimțământului | UE (Frankfurt, eu-central-1) | N/A (datele sunt stocate și prelucrate în UE) |
| Amazon Web Services (SES) | Amazon Web Services, Inc. (SUA) | Serviciu de livrare email | Adrese de email, conținut email, metadate livrare/respingere/reclamație | UE/SUA (conform configurării) | Cadrul UE-SUA pentru Protecția Datelor + CCS (AWS DPA) |
| Render Inc. | Render Services, Inc. (SUA) | Găzduire backend API | Toate datele prelucrate de API (prelucrare tranzitorie) | UE (Frankfurt) | N/A (datele sunt prelucrate în UE) |
| Vercel Inc. | Vercel, Inc. (SUA) | Găzduire frontend (Next.js) | Token-uri de sesiune, stare client-side (niciun PII al abonaților nu este stocat server-side pe Vercel) | SUA (Edge: global) | Cadrul UE-SUA pentru Protecția Datelor + CCS |
| Anthropic PBC | Anthropic, PBC (SUA) | Generare de conținut AI (Claude) | Subiecte newsletter, instrucțiuni de redactare (niciun PII al abonaților nu este trimis către AI) | SUA | CCS |
| Google LLC | Google LLC (SUA) | Generare de conținut AI (Gemini) | Subiecte newsletter, instrucțiuni de redactare (niciun PII al abonaților nu este trimis către AI) | SUA | Cadrul UE-SUA pentru Protecția Datelor + CCS (Google DPA) |
| Resend Inc. | Plus Five Five, Inc. d/b/a Resend (SUA) | Serviciu de livrare email (opțional, conform configurării clientului) | Adrese de email, conținut email | SUA | CCS |
Note:
- Datele cu Caracter Personal ale abonaților (adrese de email, nume) sunt stocate în UE (Supabase Frankfurt). Baza de date principală nu părăsește niciodată UE.
- Serviciile AI (Anthropic, Google) primesc doar prompturi pentru generarea conținutului newsletter-ului și date tematice. Niciun PII al abonaților nu este transmis către serviciile AI.
- Vercel găzduiește aplicația frontend; PII-ul abonaților este preluat client-side prin apeluri API către backend (Render, UE) și nu este stocat pe serverele Vercel.
- Persoana Împuternicită va notifica Operatorul cu cel puțin 30 de zile înainte de adăugarea sau înlocuirea unui Sub-împuternicit, conform Secțiunii 5.4.
Anexa 4: Clauzele Contractuale Standard
Acolo unde transferurile de Date cu Caracter Personal către țări terțe sunt efectuate conform celor descrise în prezentul DPA și în Anexa 3, se vor aplica Clauzele Contractuale Standard adoptate în temeiul Deciziei de punere în aplicare (UE) 2021/914 a Comisiei din 4 iunie 2021:
- Modulul 2 (Operator către Persoana Împuternicită): pentru transferuri de la Operator (SEE) către Sub-împuterniciți localizați în afara SEE
- Modulul 3 (Persoana Împuternicită către Sub-împuternicit): pentru transferuri de la Persoana Împuternicită (DeviDevs) către Sub-împuterniciți localizați în afara SEE
CCS sunt încorporate prin referință și sunt disponibile la:
https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj
Următoarele selecții se aplică CCS:
| Clauza | Selecție |
|---|---|
| Clauza 7 (Clauza de aderare) | Inclusă |
| Clauza 9 (Sub-împuterniciți) | Opțiunea 2: Autorizare generală scrisă (cu perioadă de notificare de 30 de zile) |
| Clauza 11 (Căi de atac) | Prevederea opțională NU este inclusă |
| Clauza 13 (Supraveghere) | Autoritatea de supraveghere competentă: ANSPDCP (România) |
| Clauza 17 (Legea aplicabilă) | Legea română |
| Clauza 18 (Forumul și jurisdicția) | Instanțele din București, România |
Prezentul Acord de Prelucrare a Datelor este în vigoare de la data Contractului de Servicii și rămâne în vigoare pe durata prelucrării Datelor cu Caracter Personal de către Persoana Împuternicită.
Pentru Operator:
Nume: ___________________________
Funcție: ___________________________
Data: ___________________________
Semnătura: ___________________________
Pentru Persoana Împuternicită (Devi Devs Technologies S.R.L.):
Nume: ___________________________
Funcție: ___________________________
Data: ___________________________
Semnătura: ___________________________
ID Document: DPA-v1.0.0 • Clasificare: Juridic — Confidențial
Acest document NU constituie asistență juridică și trebuie revizuit de un profesionist juridic calificat înainte de executare.