Acord de prelucrare a datelor (DPA)

Ultima actualizare: iulie 2026

These legal terms are provided in Romanian, the governing language of DeviDevs Technologies S.R.L. Contact us at contact@devidevs-agency.com for questions.

Prezentul Acord de Prelucrare a Datelor (DPA) se incheie intre Persoana Imputernicita, DeviDevs Technologies S.R.L., societate constituita conform legislatiei din Romania, cu sediul social in Aleea Textilistilor 7, Bl. MY12, Sc. 2, Et. 8, Ap. 63, Sector 3, Bucuresti, inregistrata la Registrul Comertului sub nr. J40/13982/2023, CUI 48553919 ("Persoana Imputernicita", "DeviDevs", "noi"), si Operatorul de Date, entitatea identificata in Contractul de Servicii care a executat sau a acceptat Termenii si Conditiile Platformei DeviDevs Newsletter ("Operatorul", "Clientul", "dumneavoastra"), denumite colectiv "Partile".

1. Definitii

- Legislatia Aplicabila privind Protectia Datelor | GDPR (Regulamentul (UE) 2016/679), Legea nr. 190/2018, Legea nr. 506/2004, Directiva 2002/58/CE (ePrivacy), Regulamentul (UE) 2024/1689 (EU AI Act) si Regulamentul (UE) 2023/2854 (Data Act) - Operatorul | Persoana care stabileste scopurile si mijloacele de prelucrare (GDPR art. 4(7)). In prezentul DPA, Clientul. - Incalcarea Securitatii Datelor | O incalcare care duce la distrugerea, pierderea, modificarea, divulgarea sau accesul neautorizat la Date cu Caracter Personal (art. 4(12)) - Persoana Vizata | O persoana fizica identificata sau identificabila (art. 4(1)). In principal abonatii si contactele Operatorului. - Persoana Imputernicita | Persoana care prelucreaza date in numele Operatorului (art. 4(8)). In prezentul DPA, DeviDevs. - Sub-imputernicit | Orice tert angajat de Persoana Imputernicita pentru a prelucra date in numele Operatorului - Clauzele Contractuale Standard (CCS) | Clauzele adoptate prin Decizia (UE) 2021/914 din 4 iunie 2021 - Autoritatea de Supraveghere | Pentru Romania: ANSPDCP - MTO | Masurile tehnice si organizatorice descrise in Anexa 2

2. Domeniu de aplicare si roluri

2.1. Prezentul DPA se aplica prelucrarii de catre Persoana Imputernicita in numele Operatorului in legatura cu furnizarea serviciilor Platformei.

2.2. Operatorul stabileste scopurile si mijloacele si este responsabil pentru: legalitatea colectarii si prelucrarii, inclusiv obtinerea si mentinerea consimtamantului valid; furnizarea de instructiuni documentate; respectarea intregii Legislatii Aplicabile privind Protectia Datelor.

2.3. Persoana Imputernicita prelucreaza datele exclusiv in numele si conform instructiunilor documentate ale Operatorului (Anexa 1).

2.4. Prezentul DPA completeaza si face parte integranta din Contractul de Servicii; in caz de conflict pe chestiuni de protectie a datelor, DPA prevaleaza.

2.5. Persoana Imputernicita ofera garantii suficiente pentru masuri tehnice si organizatorice adecvate (art. 28(1)).

3. Obiectul, natura, scopul si durata prelucrarii

3.1. Detaliile prelucrarii sunt stabilite in Anexa 1 si includ: obiectul si durata; natura si scopul; tipul de date; categoriile de Persoane Vizate.

3.2. Durata prelucrarii va fi termenul Contractului de Servicii, cu exceptia cazului in care se prevede altfel sau este impus de lege.

4. Obligatiile Operatorului

4.1. Temei juridic. Operatorul garanteaza un temei juridic valid conform art. 6(1): consimtamant (lit. a) pentru marketing; executarea unui contract (lit. b); interes legitim (lit. f) acolo unde este documentat.

4.2. Gestionarea consimtamantului. Operatorul va: obtine consimtamant liber, specific, informat si lipsit de ambiguitate (art. 4(11), art. 7; Ghidul CEPD 05/2020); mentine evidente verificabile (identitatea Persoanei Vizate, data si ora, informatiile furnizate, metoda); respecta Legea nr. 506/2004 art. 12; asigura ca retragerea este la fel de usoara ca acordarea (art. 7(3)).

4.3. Instructiuni documentate. Utilizarea Platformei conform Contractului de Servicii si prezentului DPA constituie instructiunile documentate complete ale Operatorului.

4.4. Conformitate. Operatorul asigura conformitatea continutului emailurilor cu: Legea nr. 506/2004 art. 12; Legea nr. 365/2002; CAN-SPAM Act (destinatari SUA); Politica Anti-Spam si Politica de Utilizare Acceptabila.

5. Obligatiile Persoanei Imputernicite

5.1. Prelucrarea conform instructiunilor (art. 28(3)(a)). Persoana Imputernicita prelucreaza datele numai pe baza instructiunilor documentate, inclusiv privind transferurile. Daca este obligata legal sa prelucreze altfel, informeaza Operatorul inainte, cu exceptia cazului in care legea interzice. Informeaza imediat daca o instructiune incalca GDPR.

5.2. Confidentialitate (art. 28(3)(b)). Toate persoanele autorizate s-au angajat sa respecte confidentialitatea; accesul este limitat la personalul care are nevoie.

5.3. Masuri de securitate (art. 28(3)(c), art. 32). Implementeaza si mentine masuri adecvate (Anexa 2): pseudonimizare si criptare; asigurarea confidentialitatii, integritatii, disponibilitatii si rezilientei; capacitatea de restabilire in timp util; testare si evaluare periodica.

5.4. Sub-imputernicire (art. 28(2), (3)(d), (4)). Operatorul acorda o autorizare generala scrisa de a angaja Sub-imputerniciti (Anexa 3). Persoana Imputernicita notifica orice modificare cu cel putin treizeci (30) de zile inainte, oferind posibilitatea de a formula obiectii. Daca Operatorul obiecteaza pe motive rezonabile, Persoana Imputernicita depune eforturi pentru o alternativa; daca nu poate oferi una in 30 de zile, Operatorul poate rezilia partea afectata cu rambursare proportionala. Persoana Imputernicita impune Sub-imputernicitului aceleasi obligatii prin contract scris si ramane pe deplin responsabila.

5.5. Asistenta privind drepturile Persoanelor Vizate (art. 28(3)(e)). Asista Operatorul pentru raspunsul la cererile din Capitolul III GDPR (art. 15-22). Daca o Persoana Vizata contacteaza direct Persoana Imputernicita, aceasta redirectioneaza cererea catre Operator si nu raspunde direct fara autorizare. Platforma ofera instrumente self-service (export, modificare, stergere).

5.6. Asistenta privind obligatiile de conformitate (art. 28(3)(f)). Asista Operatorul pentru art. 32-36 GDPR: securitatea prelucrarii; notificarea incalcarilor catre Autoritate; comunicarea catre Persoana Vizata; DPIA; consultarea prealabila.

5.7. Stergerea si returnarea datelor (art. 28(3)(g)). La incetare, la alegerea Operatorului, returneaza toate datele in format prelucrabil automat (CSV sau JSON) sau le sterge, in termen de treizeci (30) de zile, cu exceptia pastrarii impuse legal. Furnizeaza confirmare scrisa a stergerii la cerere.

5.8. Audit si demonstrarea conformitatii (art. 28(3)(h)). Pune la dispozitie toate informatiile necesare si permite audituri o data pe an calendaristic (sau mai frecvent daca este impus de Autoritate sau in urma unei incalcari), cu notificare prealabila de 30 de zile, in timpul programului de lucru, cu NDA pentru auditor. Ca alternativa, poate furniza rapoarte de audit, certificari sau evaluari ale unor terti calificati.

6. Sub-imputernicitii

6.1. Operatorul este de acord ca Persoana Imputernicita poate angaja Sub-imputernicitii enumerati in Anexa 3.

6.2. Persoana Imputernicita mentine o lista actualizata a Sub-imputernicitilor, disponibila la cerere si publicata pe site.

6.3. Procedura de notificare si obiectie este descrisa in Sectiunea 5.4.

6.4. Persoana Imputernicita ramane pe deplin responsabila fata de Operator pentru indeplinirea obligatiilor Sub-imputernicitului (art. 28(4)).

7. Transferuri internationale de date

7.1. Persoana Imputernicita nu transfera date in afara SEE decat daca: exista o decizie de adecvare (art. 45); sunt instituite garantii adecvate precum CCS (art. 46(2)(c), Decizia (UE) 2021/914); sau transferul se incadreaza intr-o derogare permisa (art. 49).

7.2. Transferurile actuale sunt descrise in Anexa 3. Pentru transferurile catre SUA, Persoana Imputernicita se bazeaza pe decizia de adecvare EU-US DPF (10 iulie 2023), cand Sub-imputernicitul este certificat, si/sau pe CCS (Modulul 3) ca garantie suplimentara sau alternativa.

7.3. Persoana Imputernicita efectueaza si documenteaza o Evaluare a Impactului Transferului (EIT) pentru fiecare transfer, evaluand legislatia si practicile privind accesul guvernamental, eficacitatea garantiilor si masurile suplimentare necesare.

7.4. Daca legislatia unei tari impiedica Sub-imputernicitul sa isi indeplineasca obligatiile CCS, Persoana Imputernicita notifica prompt Operatorul si ia masuri rezonabile, inclusiv Sub-imputerniciti alternativi in SEE.

8. Notificarea Incalcarii Securitatii Datelor

8.1. Persoana Imputernicita notifica Operatorul cu privire la o Incalcare a Securitatii Datelor fara intarzieri nejustificate si nu mai tarziu de patruzeci si opt (48) de ore de la momentul in care a luat cunostinta (obligatie contractuala; cf. art. 33(2)).

8.2. Notificarea va include, cel putin: descrierea naturii incalcarii, categoriile si numarul aproximativ de Persoane Vizate si de inregistrari afectate; datele de contact ale persoanei de contact; consecintele probabile; masurile luate sau propuse pentru remediere si atenuare.

8.3. Cand nu este posibila furnizarea tuturor informatiilor simultan, acestea se furnizeaza in etape.

8.4-8.6. Persoana Imputernicita coopereaza cu Operatorul, asista la investigare, atenuare si remediere, asista Operatorul in obligatiile din art. 33 si 34 si documenteaza toate incalcarile (art. 33(5)).

8.7. Notificarea nu constituie o recunoastere a vreunei culpe sau raspunderi.

9. Drepturile Persoanelor Vizate

9.1. Persoana Imputernicita asista Operatorul in raspunsul la cererile Persoanelor Vizate, conform Sectiunii 5.5.

9.2. Platforma ofera instrumente self-service: acces si portabilitate (export CSV); rectificare (editare prin interfata); stergere (functionalitate de stergere a abonatilor); restrictionare (statut activ/inactiv); opozitie (mecanism de dezabonare in fiecare email).

9.3. In masura in care Operatorul nu poate raspunde independent, Persoana Imputernicita furnizeaza asistenta rezonabila, pe cheltuiala Operatorului.

10. Evaluarea Impactului asupra Protectiei Datelor

10.1. Persoana Imputernicita furnizeaza asistenta rezonabila pentru orice DPIA pe care Operatorul trebuie sa o efectueze (art. 35).

10.2. Furnizeaza asistenta rezonabila in contextul oricarei consultari prealabile cu Autoritatea de Supraveghere (art. 36).

11. Pastrarea datelor

11.1. Persoana Imputernicita prelucreaza datele numai pe durata Contractului de Servicii, cu exceptia dispozitiilor scrise ale Operatorului sau a cerintelor legale.

11.2. Nu pastreaza datele mai mult decat este necesar pentru scopurile din Anexa 1.

11.3. Perioade specifice de pastrare: - Date ale abonatilor (email, nume, etichete) | Durata Contractului + 30 de zile | Executarea contractului - Date privind interactiunea (deschideri, click-uri) | Durata Contractului + 30 de zile | Executarea contractului - Evidente ale consimtamantului | Durata Contractului + 3 ani | Obligatie legala (dovada consimtamantului) - Jurnale de trimitere email | 12 luni de la trimitere | Interes legitim (livrabilitate) - Jurnale de audit | 12 luni | Securitate si conformitate - Copii de rezerva | Maximum 30 de zile de la stergerea principala | Necesitate tehnica

12. Raspunderea

12.1. Raspunderea fiecarei Parti este supusa limitarilor din Contractul de Servicii, cu exceptia: raspunderii fata de Persoanele Vizate conform art. 82 GDPR (nu poate fi limitata); raspunderii pentru incalcari ale CCS (nu va fi limitata).

12.2. Operatorul despagubeste Persoana Imputernicita pentru costuri, pretentii, daune sau cheltuieli rezultate din: incalcarea de catre Operator a legislatiei privind protectia datelor; instructiunile Operatorului care incalca GDPR (cand a fost informat conform 5.1.3); pretentiile Persoanelor Vizate din neobtinerea sau nementinerea unui consimtamant valid.

12.3. Persoana Imputernicita despagubeste Operatorul pentru costuri rezultate din: incalcarea obligatiilor sale din prezentul DPA; prelucrarea datelor in afara sau contrar instructiunilor documentate legale, cu exceptia cazului in care este impus de lege.

13. Legea aplicabila si jurisdictia

13.1. Prezentul DPA este guvernat de legislatia din Romania, cu respectarea GDPR si a Legii nr. 190/2018.

13.2. Orice litigii vor fi supuse jurisdictiei exclusive a instantelor competente din Bucuresti, Romania.

13.3. Autoritatea de Supraveghere competenta este ANSPDCP, B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, cod postal 010336, Bucuresti, Romania.

14. Durata si incetarea

14.1. Prezentul DPA intra in vigoare la data de intrare in vigoare a Contractului de Servicii (sau la data primei prelucrari, care survine mai devreme) si ramane in vigoare pe durata Contractului.

14.2. Sectiunile 5.7, 5.8, 8, 11, 12 si 13 vor supravietui incetarii sau expirarii.

14.3. Oricare Parte poate rezilia imediat prin notificare scrisa daca cealalta incalca substantial DPA si nu remediaza in 30 de zile.

15. Dispozitii diverse

15.1. Forma scrisa. Prezentul DPA este in forma scrisa (art. 28(9)); modificarile se fac in scris si semnate de ambele Parti (semnaturi electronice acceptate).

15.2. Separabilitate. O prevedere invalida se inlocuieste cu una valida care reflecta cel mai fidel intentia originala.

15.3. Integralitatea acordului. DPA, impreuna cu anexele, constituie intregul acord privind prelucrarea si inlocuieste negocierile anterioare.

15.4. Actualizari. Persoana Imputernicita poate actualiza DPA pentru a reflecta modificari legislative, cu conditia sa nu diminueze semnificativ protectia; Operatorul este notificat cu cel putin 30 de zile in avans.

Anexa 1: Detalii ale prelucrarii

A. Partile. Exportatorul de date (Operatorul): entitatea identificata in Contractul de Servicii; rol Operator (art. 4(7)). Importatorul de date (Persoana Imputernicita): DeviDevs Technologies S.R.L., Aleea Textilistilor 7, Bl. MY12, Sc. 2, Et. 8, Ap. 63, Sector 3, Bucuresti; persoana de contact contact@devidevs-agency.com; rol Persoana Imputernicita (art. 4(8)).

B. Descrierea prelucrarii: - Obiectul | Furnizarea Platformei DeviDevs Newsletter, serviciu SaaS de email marketing si automatizare - Durata | Termenul Contractului de Servicii - Natura prelucrarii | Stocare, organizare, structurare, extragere, utilizare, divulgare prin transmitere (trimiterea emailurilor) si stergere - Scopul | (1) Stocarea si gestionarea listelor de abonati; (2) Trimiterea campaniilor si secventelor automatizate; (3) Urmarirea indicatorilor de interactiune; (4) Analize si rapoarte; (5) Gestionarea consimtamantului si preferintelor - Categorii de Persoane Vizate | Abonatii Operatorului; clientii si prospectii care au optat pentru comunicari; contactele importate in Platforma - Categorii de date | (1) Adresa de email; (2) Numele; (3) Etichete si segmente; (4) Marca temporala si metoda consimtamantului; (5) Date de interactiune; (6) Starea si preferintele de abonare; (7) Adresa IP la abonare, daca este colectata - Categorii speciale (art. 9) | Nu se aplica. Operatorul nu va incarca date speciale fara acordul prealabil scris. - Frecventa transferului | Continuu, pe durata Contractului

C. Autoritatea de Supraveghere competenta: ANSPDCP, Romania.

Anexa 2: Masuri tehnice si organizatorice

1. Criptare: TLS 1.2 sau superior in tranzit; AES-256 la stocare (Supabase PostgreSQL, copii de rezerva criptate); credentialele SES per client criptate cu Fernet (AES-128-CBC); secrete critice in Supabase Vault, chei API in variabile de mediu (nu in codul sursa).

2. Controlul accesului: autentificare JWT prin Supabase Auth; Row Level Security la nivel de baza de date plus filtrare dupa client_id (apararea in profunzime); principiul privilegiului minim; acces administrativ bazat pe roluri; politica de parole aplicata prin Supabase Auth.

3. Disponibilitate si rezilienta: baza de date Supabase in UE (eu-central-1, Frankfurt) cu copii de rezerva automatizate; backend pe Render (Frankfurt), frontend pe Vercel (CDN global); verificari de sanatate la fiecare 10 minute (pg_cron), monitorizare externa (UptimeRobot); recuperare punct-in-timp, aplicatie fara stare.

4. Copii de rezerva: copii zilnice automatizate; pastrare conform planului Supabase (minimum 7 zile); testarea periodica a recuperarii.

5. Jurnalizare si monitorizare: tabelul audit_log inregistreaza operatiunile semnificative; jurnalizare structurata prin Render; monitorizarea si alertarea erorilor; urmarire per email a livrarii.

6. Detectarea incalcarilor: monitorizare automatizata a ratei de respingere (prag <5%) si de reclamatii (prag <0,1%) prin webhook-uri SES/SNS; detectarea anomaliilor; plan documentat de raspuns la incidente.

7. Personal: angajamente de confidentialitate; instruire privind protectia datelor; revizuirea periodica a accesului.

8. Securitatea furnizorilor: evaluarea Sub-imputernicitilor inainte de angajare; garantii contractuale echivalente; monitorizare continua.

Anexa 3: Lista Sub-imputernicitilor

Urmatorii Sub-imputerniciti sunt autorizati sa prelucreze Date cu Caracter Personal in numele Operatorului: Sub-imputernicit | Entitate | Scop | Locatie | Mecanism de transfer - Supabase Inc. | Supabase, Inc. (Delaware, SUA; sediu Singapore) | Gazduire baza de date PostgreSQL | UE (Frankfurt, eu-central-1) | N/A (date in UE) - Amazon Web Services (SES) | Amazon Web Services, Inc. (SUA) | Livrare email | UE/SUA | EU-US DPF + CCS (AWS DPA) - Render Inc. | Render Services, Inc. (SUA) | Gazduire backend API | UE (Frankfurt) | N/A (date in UE) - Vercel Inc. | Vercel, Inc. (SUA) | Gazduire frontend (Next.js) | SUA (Edge: global) | EU-US DPF + CCS - Anthropic PBC | Anthropic, PBC (SUA) | Generare de continut AI (Claude) | SUA | CCS - Google LLC | Google LLC (SUA) | Generare de continut AI (Gemini) | SUA | EU-US DPF + CCS (Google DPA) - Resend Inc. | Plus Five Five, Inc. d/b/a Resend (SUA) | Livrare email (optional) | SUA | CCS

Note: datele abonatilor (email, nume) sunt stocate in UE (Supabase Frankfurt); baza de date principala nu paraseste niciodata UE. Serviciile AI (Anthropic, Google) primesc doar prompturi si date tematice, niciun PII al abonatilor. Vercel gazduieste frontendul; PII-ul abonatilor este preluat client-side prin apeluri API catre backend (Render, UE) si nu este stocat pe serverele Vercel. Persoana Imputernicita notifica Operatorul cu cel putin 30 de zile inainte de adaugarea sau inlocuirea unui Sub-imputernicit.

Anexa 4: Clauzele Contractuale Standard

Acolo unde transferurile catre tari terte sunt efectuate conform Anexei 3, se aplica Clauzele Contractuale Standard adoptate prin Decizia (UE) 2021/914 din 4 iunie 2021: Modulul 2 (Operator catre Persoana Imputernicita) pentru transferuri de la Operator (SEE) catre Sub-imputerniciti in afara SEE; Modulul 3 (Persoana Imputernicita catre Sub-imputernicit) pentru transferuri de la DeviDevs catre Sub-imputerniciti in afara SEE. CCS sunt incorporate prin referinta si disponibile la https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj.

Selectii aplicabile CCS: - Clauza 7 (Clauza de aderare) | Inclusa - Clauza 9 (Sub-imputerniciti) | Optiunea 2: Autorizare generala scrisa (perioada de notificare 30 de zile) - Clauza 11 (Cai de atac) | Prevederea optionala NU este inclusa - Clauza 13 (Supraveghere) | Autoritatea competenta: ANSPDCP (Romania) - Clauza 17 (Legea aplicabila) | Legea romana - Clauza 18 (Forumul si jurisdictia) | Instantele din Bucuresti, Romania