Cuprins
Descarcă PDF

Acord de Prelucrare a Datelor

Data Processing Agreement (DPA)

Versiunea 1.0 - Ianuarie 2026

Acest Acord de Prelucrare a Datelor („DPA") este încheiat între:

  • Roplanta Websales SRL („Împuternicit" / „RoCRM")
  • Clientul care utilizează serviciile RoCRM („Operator")

Articolul 1. Definiții

În sensul prezentului Acord, termenii de mai jos au următoarele semnificații:

„Date cu Caracter Personal" înseamnă orice informații privind o persoană fizică identificată sau identificabilă, conform art. 4 pct. 1 din GDPR.

„Operator" înseamnă Clientul care determină scopurile și mijloacele de prelucrare a datelor cu caracter personal.

„Împuternicit" înseamnă RoCRM, care prelucrează datele cu caracter personal în numele Operatorului.

„Sub-împuternicit" înseamnă orice terț angajat de Împuternicit pentru a prelucra date în numele Operatorului.

„GDPR" înseamnă Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016.

„Încălcare a Securității" înseamnă o breșă de securitate care duce la distrugerea, pierderea, modificarea accidentală sau ilegală, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal.

Articolul 2. Obiectul Acordului

2.1. Prezentul DPA stabilește obligațiile părților cu privire la protecția datelor cu caracter personal prelucrate de Împuternicit în numele Operatorului.

2.2. Împuternicitul va prelucra datele cu caracter personal exclusiv:

  • Pentru furnizarea serviciilor platformei RoCRM
  • Conform instrucțiunilor documentate ale Operatorului
  • În conformitate cu legislația aplicabilă privind protecția datelor

2.3. Categoriile de date procesate și persoanele vizate sunt descrise în Anexa 1.

Articolul 3. Obligațiile Operatorului

3.1. Operatorul garantează că:

  • Are temei legal pentru colectarea și prelucrarea datelor (consimțământ, contract, interes legitim)
  • A informat persoanele vizate despre prelucrare conform art. 13-14 GDPR
  • Datele furnizate sunt exacte și actualizate
  • Instrucțiunile date Împuternicitului sunt conforme cu legislația

3.2. Operatorul este responsabil pentru obținerea consimțământurilor necesare de la persoanele vizate.

Articolul 4. Obligațiile Împuternicitului

4.1. Împuternicitul se obligă să:

  • Prelucreze datele doar conform instrucțiunilor documentate ale Operatorului
  • Asigure confidențialitatea datelor
  • Implementeze măsuri tehnice și organizatorice adecvate (vezi Anexa 3)
  • Asiste Operatorul în îndeplinirea obligațiilor GDPR
  • Pună la dispoziție informațiile necesare pentru demonstrarea conformității
  • Șteargă sau returneze datele la încetarea serviciilor

4.2. Împuternicitul va notifica Operatorul dacă consideră că o instrucțiune încalcă GDPR.

Articolul 5. Sub-împuterniciți

5.1. Operatorul autorizează Împuternicitul să angajeze sub-împuterniciții listați în Anexa 2.

5.2. Pentru noi sub-împuterniciți:

  • Împuternicitul va notifica Operatorul cu 30 de zile înainte
  • Operatorul poate obiecta în scris în termen de 14 zile
  • În caz de obiecție justificată, părțile vor negocia o soluție

5.3. Împuternicitul rămâne responsabil pentru acțiunile sub-împuterniciților.

Articolul 6. Securitatea Datelor

6.1. Împuternicitul implementează măsuri tehnice și organizatorice adecvate, inclusiv:

  • Criptare date în tranzit (TLS 1.3) și în repaus (AES-256)
  • Izolare completă a datelor per tenant (baze de date separate)
  • Controale de acces bazate pe roluri
  • Autentificare multi-factor pentru acces administrativ
  • Audit logging pentru toate accesările de date
  • Backup-uri zilnice criptate cu retenție 30 zile
  • Testare periodică a securității

6.2. Măsurile complete sunt detaliate în Anexa 3.

Articolul 7. Drepturile Persoanelor Vizate

7.1. Împuternicitul va asista Operatorul în răspunsul la cererile persoanelor vizate privind:

  • Dreptul de acces (Art. 15 GDPR)
  • Dreptul la rectificare (Art. 16 GDPR)
  • Dreptul la ștergere (Art. 17 GDPR)
  • Dreptul la restricționare (Art. 18 GDPR)
  • Dreptul la portabilitate (Art. 20 GDPR)
  • Dreptul la opoziție (Art. 21 GDPR)

7.2. Dacă Împuternicitul primește o cerere directă, o va redirecționa către Operator în 48 de ore.

7.3. Platforma RoCRM oferă funcționalități de export și ștergere a datelor pentru facilitarea răspunsului.

Articolul 8. Notificarea Încălcărilor

8.1. În cazul unei Încălcări a Securității, Împuternicitul va:

  • Notifica Operatorul în maximum 24 de ore de la constatare
  • Furniza informații despre natura încălcării, datele afectate, măsurile luate
  • Coopera cu Operatorul pentru investigație și remediere
  • Documenta incidentul și acțiunile corective

8.2. Notificarea va include cel puțin:

  • Descrierea naturii încălcării
  • Categoriile și numărul aproximativ de persoane vizate afectate
  • Consecințele probabile ale încălcării
  • Măsurile propuse pentru remediere

Articolul 9. Transferuri Internaționale

9.1. Datele sunt stocate și procesate în Uniunea Europeană (Germania - Hetzner Cloud).

9.2. Pentru transferuri în afara SEE (ex: prin sub-împuterniciți), Împuternicitul asigură:

  • Existența unei decizii de adecvare, sau
  • Clauze contractuale standard aprobate de Comisia Europeană, sau
  • Alte garanții adecvate conform Art. 46 GDPR

Articolul 10. Audit și Conformitate

10.1. Împuternicitul va pune la dispoziția Operatorului:

  • Rapoarte de audit de securitate la cerere (maximum 1/an)
  • Documentația măsurilor tehnice și organizatorice
  • Informații necesare pentru demonstrarea conformității GDPR

10.2. Operatorul poate efectua audituri cu notificare prealabilă de 30 de zile, în timpul orelor de lucru, cu respectarea confidențialității.

Articolul 11. Durata și Încetarea

11.1. Prezentul DPA intră în vigoare la acceptarea Termenilor de Serviciu și rămâne în vigoare pe durata utilizării platformei.

11.2. La încetarea serviciilor, Împuternicitul va:

  • Șterge toate datele cu caracter personal în termen de 30 de zile, sau
  • Returna datele în format standard (JSON/CSV) la cererea Operatorului
  • Furniza confirmare scrisă a ștergerii

11.3. Excepție: Datele pot fi păstrate dacă legislația impune retenție (ex: facturi - 10 ani).

Anexa 1. Categorii de Date Procesate

A. Persoane Vizate

  • Clienții finali ai Operatorului (cumpărători din magazinele online)
  • Angajații Operatorului care utilizează platforma
  • Reprezentanții legali ai Operatorului

B. Categorii de Date

Categorie Date Scop
Identificare Nume, prenume Procesare comenzi, livrare
Contact Email, telefon Comunicare, notificări
Adresă Adresă livrare, facturare Expediere comenzi
Tranzacționale Comenzi, plăți, preferințe Furnizare serviciu
Tehnice IP, device, browser Securitate, debugging

C. Operațiuni de Prelucrare

  • Colectare (sincronizare din Shopify)
  • Stocare (în baza de date izolată per tenant)
  • Consultare (afișare în interfață)
  • Utilizare (generare AWB, facturi)
  • Transmitere (către curieri pentru livrare)
  • Ștergere (la cerere sau la încetare)

D. Durata Prelucrării

  • Date comenzi: pe durata contractului + 10 ani (obligații fiscale)
  • Date contact clienți: pe durata contractului + 3 ani
  • Date angajați: pe durata contractului + 30 zile
  • Log-uri tehnice: 1 an

Anexa 2. Lista Sub-împuterniciților

Furnizor Serviciu Locație Date Garanții
Hetzner Online GmbH Hosting, infrastructură Germania (UE) DPA, ISO 27001
Shopify Inc. Sursă date comenzi Canada/UE DPA, SCCs
DPD Romania SRL Servicii curierat România (UE) DPA
Sameday Courier SRL Servicii curierat România (UE) DPA
Stripe Payments Europe Procesare plăți Irlanda (UE) DPA, PCI DSS
SmartBill SRL Facturare România (UE) DPA

Ultima actualizare: Ianuarie 2026

Anexa 3. Măsuri Tehnice și Organizatorice

A. Măsuri Tehnice

Criptare

  • TLS 1.3 pentru toate conexiunile (HTTPS obligatoriu)
  • AES-256-GCM pentru date sensibile în repaus
  • Chei de criptare gestionate per tenant
  • Backup-uri criptate

Izolare Date

  • Arhitectură multi-tenant cu bază de date separată per client
  • Imposibilitate de acces cross-tenant la nivel de infrastructură
  • Separare completă a datelor între tenanți

Controlul Accesului

  • Autentificare cu parolă + 2FA obligatoriu pentru administratori
  • Politică parole: minim 12 caractere
  • Blocare cont după 5 încercări eșuate (15 minute)
  • Sesiuni cu timeout și regenerare

Securitate Rețea

  • Firewall cu reguli stricte
  • Protecție DDoS
  • Monitorizare și alerting 24/7
  • Scanări regulate de vulnerabilități

Audit și Logging

  • Logging complet al accesărilor de date
  • Retenție log-uri: 1 an
  • Alertare pentru accesuri neobișnuite
  • Audit trail pentru modificări

B. Măsuri Organizatorice

Personal

  • Clauze de confidențialitate pentru toți angajații
  • Training GDPR pentru personal
  • Principiul "need-to-know" pentru acces la date
  • Revocare imediată acces la încetarea colaborării

Proceduri

  • Procedură de răspuns la incidente de securitate
  • Plan de continuitate a afacerii
  • Procedură de backup și restaurare
  • Procedură de ștergere date la cerere

Dezvoltare

  • Security by design în dezvoltare
  • Code review pentru modificări
  • Testare de securitate înainte de lansare
  • Medii separate pentru development/staging/production
Acceptare DPA

Prin utilizarea serviciilor RoCRM, Clientul (Operatorul) acceptă termenii prezentului Acord de Prelucrare a Datelor. DPA-ul este parte integrantă din Termenii și Condițiile de utilizare a platformei.

Roplanta Websales SRL
CUI: RO41824174 | J40/1234/2020
Email: gdpr@rocrm.app