Acord de prelucrare a datelor (DPA)
Versiune: 1.0 · Data intrării în vigoare: 16 mai 2026
Acest DPA se încheie în temeiul Art. 28 din Regulamentul (UE) 2016/679 (GDPR) și completează Termenii și Condițiile (denumiți „Contractul Principal").
Părțile. Acest DPA se aplică între Organizator - identificat prin contul creat în Cadru la momentul acceptării Termenilor - în calitate de Operator, și Cadru (echipa care operează Serviciul, contactabilă la [email protected]), în calitate de Persoană Împuternicită. Datele de identificare ale Organizatorului sunt cele înregistrate în contul său (email + date de facturare, dacă există). Prin acceptarea Termenilor, Organizatorul confirmă că este autorizat să angajeze juridic entitatea pe care o reprezintă (dacă este cazul).
1. Obiectul prelucrării
| Element | Conținut |
|---|---|
| Obiect | furnizarea Serviciului Cadru către Organizator |
| Durata | durata Contractului Principal, plus eventualele perioade legale de păstrare |
| Natura prelucrării | colectare, stocare, organizare, structurare, afișare, ștergere |
| Scopul | a permite Organizatorului să primească fotografii de la Invitați și să le dezvăluie ulterior într-o galerie |
| Categorii de date | identitate opțională a Invitatului (prenume), conținut foto, metadate foto, adresă IP (hash), agent de utilizator |
| Categorii de persoane vizate | Invitați la evenimentele Organizatorului |
2. Rolurile părților
2.1. Organizatorul este Operator pentru datele Invitaților. Cadru este Persoană Împuternicită care prelucrează aceste date exclusiv pe baza instrucțiunilor documentate ale Organizatorului. Instrucțiunile documentate sunt: Termenii, acest DPA și configurația contului (parametri de eveniment, durată, opțiuni de partajare).
2.2. Cadru informează imediat Organizatorul dacă o instrucțiune încalcă GDPR sau alte dispoziții legale aplicabile.
2.3. Pentru datele propriilor utilizatori (Organizatorii înșiși), Cadru acționează ca operator independent - vezi Politica de confidențialitate.
3. Obligațiile Cadru ca persoană împuternicită
3.1. Prelucrează datele numai conform instrucțiunilor Organizatorului.
3.2. Se asigură că personalul care accesează datele este sub obligație de confidențialitate (Art. 28(3)(b)).
3.3. Aplică măsurile tehnice și organizatorice descrise în Anexa II (Art. 28(3)(c) coroborat cu Art. 32).
3.4. Folosește sub-procesatori numai conform secțiunii 6.
3.5. Asistă Organizatorul, ținând cont de natura prelucrării, să răspundă la cererile persoanelor vizate (Art. 12-22).
3.6. Asistă Organizatorul în conformitate cu obligațiile sale conform Art. 32-36 (securitate, notificarea breșelor, DPIA, consultarea ANSPDCP).
3.7. La sfârșitul prelucrării, șterge sau returnează datele, conform alegerii Organizatorului (vezi secțiunea 9).
3.8. Pune la dispoziția Organizatorului toate informațiile necesare pentru a demonstra conformitatea cu Art. 28 și permite audit, în condițiile secțiunii 8.
4. Obligațiile Organizatorului ca operator
4.1. Stabilește scopurile și mijloacele esențiale ale prelucrării.
4.2. Are temei legal pentru toate prelucrările (informează Invitații, obține consimțământ acolo unde este necesar - vezi Termeni §5).
4.3. Răspunde direct cererilor Invitaților (acces, rectificare, ștergere, opoziție, portabilitate) și folosește instrumentele puse la dispoziție de Cadru.
4.4. Nu transmite către Cadru date din categorii speciale (Art. 9) fără acord prealabil scris al Cadru.
4.5. Notifică Cadru fără întârziere nejustificată orice cerere a unei autorități care vizează datele prelucrate prin Serviciu, în măsura permisă legal.
5. Confidențialitate
Personalul Cadru care accesează datele este sub obligație de confidențialitate (contractuală + legală). Accesul este pe principiul „need-to-know" și este jurnalizat.
6. Sub-procesatori
6.1. Acord general. Organizatorul autorizează Cadru să folosească sub-procesatori. Lista activă este la /legal/subprocessors.
6.2. Notificare modificări. Cadru anunță Organizatorul cu cel puțin 30 de zile înainte de adăugarea sau înlocuirea unui sub-procesator cu acces la date personale, prin email și actualizarea paginii /legal/subprocessors.
6.3. Dreptul de obiectare. Organizatorul poate obiecta motivat (riscuri concrete pentru drepturile persoanelor vizate). Dacă obiecția este întemeiată și Cadru nu poate oferi o alternativă rezonabilă, Organizatorul poate înceta contractul cu rambursare proporțională pentru perioada neutilizată.
6.4. Răspundere. Cadru răspunde pentru obligațiile sub-procesatorilor săi privind protecția datelor.
7. Notificarea breșelor
7.1. Cadru notifică Organizatorul fără întârziere nejustificată, în maxim 48 de ore de la constatarea unei breșe de securitate cu impact asupra datelor procesate pentru Organizator.
7.2. Notificarea include, în măsura cunoscută: natura breșei, categoriile și numărul aproximativ de persoane vizate, posibilele consecințe, măsurile luate sau propuse pentru remediere, precum și datele de contact ale punctului unic de contact pentru protecția datelor al Cadru ([email protected]), de unde Organizatorul poate obține informații suplimentare necesare notificării către ANSPDCP (Art. 33(3) GDPR). Notificarea se poate completa pe măsură ce apar informații noi.
7.3. Notificarea către ANSPDCP în 72 de ore (Art. 33 GDPR) rămâne responsabilitatea Organizatorului ca operator; Cadru oferă asistență.
8. Audit
8.1. Organizatorul poate verifica respectarea acestui DPA prin: (a) cerere scrisă de informații; (b) chestionar de conformitate; (c) audit la sediu, cu programare cu cel puțin 30 de zile în avans, în orele de program, fără perturbarea operațiunilor.
8.2. Auditurile la sediu se limitează la maxim unul pe an, cu excepția cazului unei breșe confirmate sau unei cereri exprese a unei autorități competente.
8.3. Costurile auditului sunt suportate de Organizator, cu excepția cazului în care auditul identifică o neconformitate materială a Cadru.
9. Returnarea sau ștergerea datelor
9.1. La închiderea contului sau la cererea expresă a Organizatorului, Cadru șterge datele Invitaților în maxim 30 de zile, inclusiv din backup-uri (ciclu de rotație max. 35 de zile).
9.2. Organizatorul poate exporta datele înainte de închidere (descărcare arhivă foto din panoul de control, pe durata de păstrare de 7 zile).
9.3. Excepții: păstrăm date care sunt strict necesare pentru obligații legale (facturare, prevenirea fraudei), pe perioada minimă cerută de lege.
10. Transferuri internaționale
Prelucrarea se face în Uniunea Europeană. Pentru transferuri excepționale către sub-procesatori în afara SEE se aplică Clauzele Contractuale Standard (Decizia (UE) 2021/914) și măsuri tehnice suplimentare. Detalii în Politica de confidențialitate §6 și în /legal/subprocessors.
11. Răspundere și acoperire
Răspunderea părților pentru încălcări ale acestui DPA se conformează regulilor stabilite în Termeni §11, fără a limita însă drepturile persoanelor vizate conform Art. 82 GDPR.
12. Durată și încetare
Acest DPA intră în vigoare împreună cu acceptarea Termenilor și încetează odată cu Contractul Principal. Obligațiile privind confidențialitatea, returnarea / ștergerea datelor și asistența pentru breșe supraviețuiesc încetării, pentru perioada în care este reținută orice dată personală.
13. Diverse
13.1. Ordine de precădere. În caz de conflict, prevalează: (a) GDPR și legislația aplicabilă; (b) acest DPA; (c) Contractul Principal.
13.2. Modificări. Modificările materiale ale acestui DPA se anunță cu cel puțin 30 de zile în avans, prin email.
13.3. Limba contractului. Versiunea în limba română prevalează din punct de vedere juridic. O traducere în engleză poate fi pusă la dispoziție la cerere, cu caracter informativ.
Anexa I - Sub-procesatori
Sub-procesatori aprobați la data semnării (instantaneu la data intrării în vigoare a acestui DPA):
- Cloudflare, Inc. - stocare fotografii, CDN, protecție DDoS (UE, jurisdiction lock: EU);
- Stripe Payments Europe, Ltd. (Irlanda) - procesare plăți și facturare;
- Brevo SAS (Franța) - livrarea magic link-urilor și a emailurilor de serviciu;
- Google Ireland Limited (Google Tag Manager / Analytics) - analiza de utilizare a site-ului, numai cu consimțământ.
Lista oficială și actualizată, cu rolurile și mecanismele de transfer aplicabile, este la /legal/subprocessors și prevalează asupra acestei anexe. Adăugările materiale se anunță cu cel puțin 30 de zile în avans (vezi §6.2).
Anexa II - Măsuri tehnice și organizatorice de securitate
Confidențialitate, integritate, disponibilitate, reziliență (Art. 32(1)(b))
- HTTPS obligatoriu, TLS 1.2+, HSTS;
- criptare în repaus: fotografiile sunt stocate cu AES-256 (Cloudflare R2); câmpurile sensibile din baza de date (email, conținut mesaj) sunt criptate la nivel de aplicație;
- autentificare: magic link cu validitate de 15 minute, single-use, HMAC pe verifier; fără parole;
- control acces: principiul „need-to-know", separare de roluri (admin / organizator / invitat), jurnalizare;
- strip EXIF la încărcare (rămâne doar orientarea);
- limite de rată pe endpoint-urile sensibile (autentificare, încărcare foto, formulare);
- backup: snapshot zilnic, retenție 30 de zile, restaurare testată trimestrial;
- separare medii: dezvoltare / staging / producție, fără date personale reale în non-prod.
Restabilire (Art. 32(1)(c))
- RPO (recovery point) țintă: 24 ore;
- RTO (recovery time) țintă: 8 ore lucrătoare pentru o incident major;
- runbook scris pentru cele mai probabile scenarii de incident.
Evaluare regulată (Art. 32(1)(d))
- audit automat al dependențelor la fiecare build (vulnerabilități cunoscute);
- review de cod obligatoriu pentru modificări care afectează datele personale;
- teste de penetrare externe când produsul atinge maturitate (planificat post-lansare).
Organizatoric
- politică de protecție a datelor internă, revizuită anual;
- instruire de bază pentru tot personalul cu acces la date;
- registru de prelucrare (Art. 30) menținut intern;
- DPIA (Art. 35) pentru orice modificare materială ce introduce risc nou;
- punct unic de contact pentru protecția datelor: [email protected].