Înapoi la pagina principală
Acord de Prelucrare a Datelor
Data Processing Agreement — DPA
Conform Art. 28 Regulamentului (UE) 2016/679 (GDPR) | Versiunea: 1.0
Disponibil spre descărcare în format PDF semnat electronic (eIDAS) din platformă. Clienții B2B/Enterprise sunt obligați să execute acest acord înainte de utilizarea Platformei.
Descarcă PDF — DPA v1.0Preambul
Operatorul de Date
- Denumire:
- CUI / CIF:
- Sediu social:
- Reprezentant legal:
- Email:
Persoana Împuternicită
- Denumire:
- SC DA MUV PROD SRL
- CUI:
- 40826002
- Nr. înreg.:
- J36/160/2020
- Sediu:
- jud. Tulcea, mun. Tulcea, Al. Merișor nr. 4, parter, ap. 4
- Reprezentant:
- Petermann Eduard Brian — Administrator
- Email:
- privacy@ibookeasy.ro
Articolul 1Definiții
- Date Prelucrate
- Orice informații cu caracter personal prelucrate de iBookEasy în numele Operatorului în temeiul prezentului DPA.
- Incident de Securitate (Art. 4(12) GDPR)
- O încălcare a securității care conduce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal.
- SCC
- Clauzele Contractuale Standard adoptate prin Decizia CE 2021/914, utilizate ca mecanism de transfer al datelor în afara SEE.
- SEE
- Spațiul Economic European, format din statele membre ale UE împreună cu Islanda, Liechtenstein și Norvegia.
Articolul 2Obiectul și durata prelucrării
- 2.1DPA reglementează prelucrarea datelor cu caracter personal în scopul furnizării Serviciilor SaaS de gestiune a programărilor, astfel cum sunt descrise în Contractul de Servicii încheiat între Operator și iBookEasy.
- 2.2DPA produce efecte pe întreaga durată a contractului și încetează de drept la data expirării sau rezilierii acestuia, sub rezerva obligațiilor de ștergere prevăzute la Art. 4.6.
Articolul 3Natura, scopul și tipul prelucrării
| Element | Detalii |
|---|---|
| Natura prelucrării | Stocare, organizare, consultare, utilizare, transmitere (notificări), ștergere |
| Scopul prelucrării | Furnizarea platformei SaaS de gestionare programări beauty & wellness |
| Tipurile de date | Nume, prenume, email, telefon, data nașterii (opțional), istoricul programărilor, preferințe servicii |
| Categoriile de persoane vizate | Clienții (Utilizatorii Finali) ai Operatorului |
| Categorii speciale de date | ⚠️ POSIBIL: date privind sănătatea (tratamente estetice invazive). Operatorul are obligația de a informa iBookEasy și de a stabili temeiul legal conform Art. 9(2) GDPR. |
Articolul 4Obligațiile iBookEasy
- 4.1Instrucțiuni documentate — Prelucrarea se efectuează exclusiv pe baza instrucțiunilor documentate ale Operatorului, cu excepția cazului în care legislația UE sau națională impune altfel.
- 4.2Confidențialitate — iBookEasy se asigură că persoanele autorizate să prelucreze datele și-au asumat angajamente de confidențialitate sau sunt supuse unor obligații legale de confidențialitate.
- 4.3Securitate (Art. 32 GDPR) — iBookEasy implementează măsuri tehnice și organizatorice adecvate:
- —(a) Criptare TLS 1.3 în tranzit, AES-256 în repaus
- —(b) Confidențialitate, integritate, disponibilitate și reziliență continue ale sistemelor
- —(c) RTO: 4 ore / RPO: 24 ore
- —(d) Testare periodică a eficacității măsurilor de securitate
- 4.4Subprocesori — Autorizare generală prealabilă. iBookEasy notifică Operatorul cu minimum 15 zile înainte de adăugarea unui nou subprocesor. Operatorul dispune de un drept de obiecție de 10 zile.
- 4.5Asistarea Operatorului — iBookEasy asistă Operatorul în exercitarea drepturilor persoanelor vizate, cu un termen de răspuns de 5 zile lucrătoare.
- 4.6Ștergerea datelor — La încetarea contractului, iBookEasy șterge toate datele prelucrate în maximum 30 de zile, furnizând Operatorului o confirmare scrisă.
- 4.7Audit — iBookEasy facilitează auditurile Operatorului. Notificarea prealabilă minimă: 30 de zile.
- 4.8Notificarea breșelor — iBookEasy notifică Operatorul în legătură cu orice incident de securitate în maximum 48 de ore de la constatare.
Articolul 5Obligațiile Operatorului
- 5.1Operatorul garantează că prelucrarea datelor cu caracter personal se efectuează cu respectarea legislației aplicabile în materie de protecție a datelor și că instrucțiunile transmise iBookEasy sunt conforme cu GDPR.
- 5.2Operatorul este responsabil pentru stabilirea temeiului legal al prelucrării față de persoanele vizate, inclusiv pentru categoriile speciale de date prevăzute la Art. 9 GDPR.
- 5.3Operatorul informează iBookEasy fără întârziere cu privire la orice modificare a instrucțiunilor de prelucrare sau a circumstanțelor care ar putea afecta conformitatea prelucrării.
- 5.4Operatorul se asigură că persoanele vizate au primit informațiile prevăzute de Art. 13-14 GDPR anterior colectării datelor prin intermediul Platformei.
Articolul 6Transferuri internaționale
| Subprocesor | Locație date | Mecanism transfer |
|---|---|---|
| Vercel Inc. | SUA | EU-US DPF + SCC (Modulul 3) |
| Stripe Inc. | SUA | EU-US DPF + SCC (Modulul 2) |
| Resend Inc. | SUA | SCC (Modulul 2) |
| Neon Inc. | EU (Frankfurt) | N/A — date în UE |
| Oblio SRL | România | N/A — date în UE |
Articolul 7Răspundere
- 7.1Răspunderea iBookEasy față de Operator pentru încălcarea prezentului DPA este guvernată de prevederile contractuale aplicabile și de dispozițiile Art. 82 GDPR.
- 7.2Fiecare parte este responsabilă pentru pagubele cauzate persoanelor vizate ca urmare a prelucrărilor efectuate cu încălcarea GDPR care îi sunt imputabile.
- 7.3iBookEasy poate fi exonerată de răspundere dacă dovedește că nu îi este imputabilă în niciun fel fapta care a produs prejudiciul, în conformitate cu Art. 82(3) GDPR.
Articolul 8Dispoziții finale
- 8.1Prezentul DPA constituie parte integrantă a Contractului de Servicii și prevalează față de orice prevedere contrară a acestuia în materia protecției datelor.
- 8.2Orice modificare a prezentului DPA este valabilă numai dacă este convenită în scris și semnată de ambele Părți.
- 8.3DPA este guvernat de dreptul român și de legislația UE privind protecția datelor cu caracter personal. Litigiile vor fi soluționate de instanțele competente din România.
- 8.4În cazul în care o prevedere a prezentului DPA devine nulă sau inaplicabilă, celelalte prevederi rămân în vigoare. Prevederea nulă va fi înlocuită cu o dispoziție valabilă care să reflecte cât mai fidel scopul inițial.
Anexa 1Măsuri tehnice și organizatorice (TOMs)
| Domeniu | Măsura implementată |
|---|---|
| Criptare tranzit | TLS 1.3 |
| Criptare repaus | AES-256 — Neon PostgreSQL |
| Autentificare | Hash bcrypt + opțional MFA |
| Controlul accesului | Row Level Security (RLS) per afacere |
| Backup | Zilnic automat, retenție 30 zile, stocat în EU |
| Monitoring | Alertare automată, logs 90 zile |
| Recovery | RTO: 4 ore / RPO: 24 ore |
| Testare | Penetration testing anual |
| Personal | Training GDPR, clauze confidențialitate contracte muncă |
| Incidente | Procedură documentată notificare 48h |
Anexa 2Lista subprocesorilor autorizați
| Subprocesor | Serviciu | Website | DPA |
|---|---|---|---|
| Vercel Inc. | Hosting / CDN / Serverless | vercel.com | vercel.com/legal/dpa |
| Neon Inc. | Bază de date PostgreSQL | neon.tech | neon.tech/dpa |
| Stripe Inc. | Procesare plăți | stripe.com | stripe.com/legal/dpa |
| Oblio SRL | Facturare / e-Factura | oblio.eu | — (operator RO) |
| Resend Inc. | Email tranzacțional | resend.com | resend.com/legal/dpa |
Semnături
Persoana Împuternicită
- Denumire:
- SC DA MUV PROD SRL
- CUI:
- 40826002
- Nr. înreg.:
- J36/160/2020
- Reprezentant:
- Petermann Eduard Brian
- Calitate:
- Administrator
- Semnătură:
- Data:
Operatorul de Date
- Denumire:
- CUI / CIF:
- Nr. înreg.:
- Reprezentant:
- Calitate:
- Semnătură:
- Data: