ACORD DE PRELUCRARE A DATELOR CU CARACTER PERSONAL

încheiat între:

1. OPERATORUL DE DATE

Denumire: {{controllerName}}

CUI: {{controllerCUI}}

Reprezentat de: {{representativeName}}, în calitate de {{representativePosition}} (denumit în continuare „Operatorul”)

2. PERSOANA ÎMPUTERNICITĂ

Denumire: Nodbit S.R.L.

CUI: 54724940 (denumită în continuare „Persoana împuternicită” sau „Nodbit”)

Data acceptării: {{acceptanceDate}}

---

ARTICOLUL 1 – OBIECTUL ACORDULUI

1.1. Prezentul Acord stabilește obligațiile părților privind protecția datelor cu caracter personal, în conformitate cu Regulamentul (UE) 2016/679 (GDPR), articolul 28.

1.2. Persoana împuternicită prelucrează date cu caracter personal în numele Operatorului în scopul furnizării serviciilor platformei Nottral, inclusiv gestionarea programărilor, comunicarea cu clienții, facturarea și funcționalitățile administrative aferente.

ARTICOLUL 2 – CATEGORIILE DE DATE PRELUCRATE

2.1. Categoriile de date cu caracter personal prelucrate includ:

Date de identificare ale clienților (nume, prenume, email, telefon)
Date privind programările și solicitările de servicii
Date de facturare și plată
Date de comunicare (mesaje, notificări)
Date tehnice (adresă IP, user agent, timestamp-uri, informații despre dispozitiv)

2.2. Persoana împuternicită prelucrează doar date cu caracter personal obișnuite. Platforma Nottral nu prelucrează categorii speciale de date cu caracter personal (cum ar fi datele de sănătate conform articolului 9 GDPR).

2.3. Categoriile de persoane vizate includ:

Clienții Operatorului care utilizează sistemul de programări
Angajații sau personalul Operatorului înregistrați pe platformă

ARTICOLUL 3 – DURATA PRELUCRĂRII

3.1. Prelucrarea datelor are loc pe întreaga durată a utilizării serviciilor Nottral de către Operator.

3.2. La încetarea prezentului Acord, Persoana împuternicită va șterge sau va returna toate datele cu caracter personal conform instrucțiunilor documentate ale Operatorului, în termen de 30 de zile. În cazul în care nu se primesc instrucțiuni, Persoana împuternicită va șterge toate datele cu caracter personal. Backup-urile vor fi șterse în același termen sau, cel târziu, în 90 de zile pentru scopuri de recuperare în caz de dezastru. La cerere, Persoana împuternicită va furniza o confirmare scrisă a ștergerii.

ARTICOLUL 4 – OBLIGAȚIILE PERSOANEI ÎMPUTERNICITE

4.1. Persoana împuternicită se angajează să:

a) prelucreze datele cu caracter personal doar pe baza instrucțiunilor documentate ale Operatorului;

b) se asigure că persoanele autorizate să prelucreze datele s-au angajat să păstreze confidențialitatea;

c) ia toate măsurile tehnice și organizatorice necesare conform art. 32 GDPR;

d) respecte condițiile de implicare a unei alte persoane împuternicite (sub-persoană împuternicită) conform Articolului 5;

e) acorde asistență Operatorului în îndeplinirea obligației de a răspunde cererilor persoanelor vizate;

f) acorde asistență Operatorului pentru asigurarea conformității cu articolele 32-36 GDPR;

g) pună la dispoziția Operatorului toate informațiile necesare pentru demonstrarea conformității;

h) permită și contribuie la audituri și inspecții.

4.2. Persoana împuternicită ține evidența activităților de prelucrare conform articolului 30 alineatul (2) din GDPR și le va pune la dispoziția Operatorului la cerere.

ARTICOLUL 5 – SUB-PERSOANELE ÎMPUTERNICITE

5.1. Operatorul autorizează în general utilizarea următoarelor sub-persoane împuternicite:

| Sub-procesator | Scop | Locatie |

|----------------|------|---------|

| MongoDB Atlas | Stocare baza de date | UE (Frankfurt) |

| Redis Cloud | Cache si sesiuni | UE |

| Resend | Serviciu email transactional | SUA (clauze contractuale standard) |

| Stripe | Procesare plati | UE/SUA (clauze contractuale standard) |

| Railway | Hosting aplicatie | UE |

| StartCo | Transmitere e-Factura către ANAF | România | Adequacy

| Sentry | Monitorizare și raportare erori | SUA / UE | Standard Contractual Clauses

| WhatsApp Business | Comunicare cu clienții (WhatsApp Business) | Global | Standard Contractual Clauses

5.2. Persoana împuternicită va informa Operatorul cu privire la orice intenție de a adăuga sau înlocui o sub-persoană împuternicită cu cel puțin 30 de zile în avans, prin email sau notificare în dashboard.

5.3. Operatorul are dreptul de a obiecta la orice nouă sub-persoană împuternicită sau înlocuire în termen de 15 zile de la notificare. Dacă Operatorul obiectează și părțile nu ajung la un acord, Operatorul poate rezilia partea afectată a serviciilor fără penalități.

5.4. Persoana împuternicită se asigură că orice sub-persoană împuternicită este obligată printr-un contract scris care conține obligații de protecție a datelor cel puțin la fel de protective ca cele din prezentul Acord. Persoana împuternicită rămâne pe deplin responsabilă față de Operator pentru performanța sub-persoanelor împuternicite.

ARTICOLUL 6 – TRANSFERURI INTERNAȚIONALE

6.1. Orice transfer de date cu caracter personal în afara SEE se va efectua doar în conformitate cu Capitolul V din GDPR, utilizând garanții adecvate (Clauze Contractuale Standard, decizii de adecvare sau alte mecanisme valabile). La cerere, Persoana împuternicită va pune la dispoziția Operatorului copiile garanțiilor relevante.

ARTICOLUL 7 – MĂSURI DE SECURITATE

7.1. Persoana împuternicită implementează măsuri tehnice și organizatorice adecvate conform articolului 32 GDPR, inclusiv, dar fără a se limita la:

Criptarea datelor în tranzit (TLS 1.2+) și în repaus (AES-256);
Controlul accesului pe bază de roluri și principiul privilegiului minim;
Jurnalizarea și monitorizarea accesului la date;
Backup-uri criptate regulate cu proceduri testate de restaurare;
Testarea, evaluarea și aprecierea periodică a eficacității măsurilor de securitate;
Autentificare cu doi factori pentru accesul administrativ;
Proceduri de răspuns la incidente și continuitate a activității.

ARTICOLUL 8 – NOTIFICAREA INCIDENTELOR

8.1. Persoana împuternicită va notifica Operatorul fără întârzieri nejustificate și, în orice caz, în maxim 48 de ore de la momentul în care ia cunoștință de o încălcare a securității datelor cu caracter personal.

8.2. Notificarea va include, în măsura posibilului: natura încălcării, categoriile și numărul aproximativ de persoane vizate și de înregistrări afectate, consecințele probabile și măsurile luate sau propuse pentru remediere.

8.3. Persoana împuternicită va acorda asistență Operatorului în notificarea autorității de supraveghere și a persoanelor vizate, acolo unde este necesar conform articolelor 33 și 34 GDPR.

ARTICOLUL 9 – DREPTURILE PERSOANELOR VIZATE

9.1. Persoana împuternicită va acorda asistență Operatorului în îndeplinirea obligațiilor sale privind drepturile persoanelor vizate (acces, rectificare, ștergere, portabilitate, opoziție, restricționare a prelucrării).

9.2. În cazul în care Persoana împuternicită primește direct o cerere de la o persoană vizată, aceasta o va transmite prompt Operatorului și va confirma acest lucru persoanei vizate.

ARTICOLUL 10 – AUDIT ȘI CONFORMITATE

10.1. Persoana împuternicită va pune la dispoziția Operatorului toate informațiile necesare pentru demonstrarea conformității cu articolul 28 GDPR.

10.2. Persoana împuternicită va permite și va contribui la audituri și inspecții efectuate de Operator sau de un auditor mandatat de acesta. Auditurile se vor desfășura cu o notificare prealabilă rezonabilă (minimum 15 zile lucrătoare), în orele normale de program și nu mai mult de o dată pe an calendaristic, cu excepția cazului în care se suspectează o neconformitate materială. Operatorul va suporta costurile auditului, cu excepția cazului în care auditul relevă neconformități materiale din partea Persoanei împuternicite.

ARTICOLUL 11 – RĂSPUNDERE ȘI DESPĂGUBIRE

11.1. Fiecare parte este responsabilă pentru daunele cauzate de propria încălcare a prezentului Acord sau a legislației aplicabile privind protecția datelor.

11.2. Persoana împuternicită este responsabilă pentru daunele și amenzile administrative cauzate de activitățile de prelucrare efectuate de Persoana împuternicită sau de sub-persoanele sale împuternicite, în măsura în care încălcarea este atribuibilă Persoanei împuternicite sau sub-persoanelor sale împuternicite.

1.3. Persoana împuternicită va despăgubi Operatorul doar pentru daune directe, amenzi administrative și cheltuieli legale rezonabile suportate efectiv de Operator și cauzate direct de o încălcare materială a prezentului Acord sau a GDPR de către Persoana împuternicită sau sub-persoanele sale împuternicite. Persoana împuternicită nu va fi responsabilă pentru daune indirecte, incidentale, consecutive, speciale sau punitive, inclusiv pierderea de profit, venituri sau oportunități de afaceri, indiferent de forma acțiunii.

11.4. Răspunderea totală a Persoanei împuternicite în temeiul prezentului Acord este limitată la onorariile plătite de Operator Persoanei împuternicite în cele douăsprezece (12) luni precedente cererii, cu excepția cazurilor de neglijență gravă sau conduită intenționată.

ARTICOLUL 12 – PUNCT DE CONTACT PENTRU PROTECȚIA DATELOR

12.1. Pentru toate aspectele legate de protecția datelor, notificarea incidentelor sau exercitarea drepturilor persoanelor vizate, părțile vor utiliza următorul contact:

Punct de contact pentru protecția datelor al Persoanei împuternicite: privacy@nodbit.ro

ARTICOLUL 13 – DISPOZIȚII FINALE

13.1. Prezentul Acord face parte integrantă din Termenii și Condițiile de utilizare ale platformei Nottral. În cazul unui conflict între prezentul Acord și Termenii și Condițiile cu privire la aspecte de protecție a datelor, prezentul Acord prevalează.

13.2. Prezentul Acord este guvernat de legislația română și de Regulamentul (UE) 2016/679 (GDPR).

13.3. Orice litigiu decurgând din sau în legătură cu prezentul Acord va fi soluționat pe cale amiabilă. Dacă nu se ajunge la o soluție amiabilă, instanțele competente din România vor avea jurisdicție exclusivă.

13.4. Prezentul Acord poate fi actualizat de Persoana împuternicită cu o notificare prealabilă de cel puțin 30 de zile. Utilizarea continuă a platformei Nottral după data intrării în vigoare a versiunii actualizate constituie acceptarea modificărilor.

3.5. Fiecare parte poate rezilia prezentul Acord imediat, prin notificare scrisă, dacă cealaltă parte comite o încălcare materială a obligațiilor sale de protecție a datelor conform prezentului Acord sau GDPR, care nu este remediată în termen de 15 zile de la primirea notificării scrise privind respectiva încălcare.

---

Acceptat electronic de: {{representativeName}}

Functia: {{representativePosition}}

Data: {{acceptanceDate}}

In numele: {{controllerName}} (CUI: {{controllerCUI}})