DPA - Acord de prelucrare a datelor

Versiune în vigoare de la: 22.03.2026 · Ultima actualizare: 22.03.2026

Conform art. 28 din Regulamentul (UE) 2016/679 (GDPR)

Operator: Clientul (organizația)Împuternicit: Moneta Digi S.R.L.Platformă: DigiOHS

1. Obiect și roluri

1.1. Acest DPA guvernează prelucrarea datelor cu caracter personal realizată de Moneta Digi S.R.L. („Împuternicitul”) prin platforma DigiOHS, în numele și pe instrucțiunile Clientului („Operatorul”), conform art. 28 GDPR.

1.2. DPA-ul face parte integrantă din Termenii și Condițiile Platformei și se aplică pe toată durata relației contractuale.

  • Clientul are rol de operator pentru datele proprii și ale salariaților; este responsabilul principal pentru conformitatea RGPD a relațiilor de muncă, inclusiv pentru: numirea unui DPO (dacă este aplicabil per art. 37 RGPD), gestionarea cererilor persoanelor vizate (art. 15–22 RGPD), raportarea incidentelor către ANSPDCP/persoanele vizate, întocmirea registrului de prelucrări (art. 30 RGPD), efectuarea DPIA-urilor (art. 35 RGPD).
  • Moneta Digi S.R.L. are rol de împuternicit și prelucrează, sub instrucțiunile Operatorului, datele pe care Operatorul le introduce în Platformă pentru serviciul SSM/SU contractat. Acestea pot include, atunci când Operatorul alege să le înregistreze ca parte a conformității SSM, date de identificare și categorii speciale de date (art. 9 RGPD) — de exemplu grupa sanguină, datele controlului medical/aptitudinii, datele documentului de identitate pentru lucrătorii străini. Împuternicitul nu utilizează aceste date în scopuri proprii și le accesează strict pentru a furniza serviciul, conform prezentului DPA.
Solicitările persoanelor vizate (salariați) cu privire la drepturile RGPD se adresează direct Operatorului. Împuternicitul poate fi contactat exclusiv pentru aspecte tehnice ale platformei la office@digiohs.com.

2. Obiectul, durata și natura prelucrării

2.1. Obiectul prelucrării: furnizarea serviciilor de digitalizare SSM/SU prin Platformă (stocare, generare documente, gestionare instruiri, semnături electronice avansate (AES), audit trail, comunicare automată).

2.2. Durata prelucrării: pe toată durata contractuală (abonament activ) plus perioada de export post-contract (30 de zile) și, pentru loguri/audit trail, perioadele de retenție stabilite în Politica de confidențialitate.

2.3. Natura prelucrării: stocare, organizare, consultare, generare documente PDF, transmitere notificări (email/WhatsApp), jurnalizare în scop de audit, semnătură electronică avansată (AES), backup operațional.

2.4. Scopul prelucrării: furnizarea serviciilor contractate prin Platformă, în conformitate cu instrucțiunile Operatorului.

3. Tipuri de date și persoane vizate

Date pe care Împuternicitul le prelucrează (în Platformă, sub instrucțiunile Operatorului):

  • Date de cont utilizator (email, rol, sesiuni, setări de securitate).
  • Date de organizație: denumire, CUI, adresă sediu, date de contact operațional.
  • Date de identificare salariat: nume și prenume, număr de telefon mobil, adresă email, data și locul nașterii, funcție, loc de muncă (după cum sunt completate de Operator).
  • Date de conformitate SSM, inclusiv categorii speciale (art. 9 RGPD) atunci când Operatorul le înregistrează: grupa sanguină, datele controlului medical periodic și ale aptitudinii în muncă.
  • Pentru lucrătorii străini (OUG 32/2026): naționalitate, tipul și expirarea documentului de identitate, limba preferată.
  • Imaginea PNG a semnăturii desenate pe ecran, plus metadate de traseu (strokes).
  • Date de audit și securitate (IP, user-agent, timestamp, geolocație aproximativă din IP, fingerprint browser).
  • Date de facturare B2B (date fiscale organizație, facturi).

Date pe care Împuternicitul NU le prelucrează prin Platformă:

  • Date salariale, contracte CIM și decizii interne pe care Operatorul le păstrează în afara Platformei.
  • Orice categorie de date pe care Operatorul o gestionează în alte sisteme, neintrodusă în Platformă.

Persoane vizate: utilizatori ai platformei, reprezentanți ai Clientului, salariați ale căror fișe sunt gestionate în contul Clientului.

Date speciale (art. 9 RGPD): Platforma poate prelucra categorii speciale de date — grupa sanguină și datele controlului medical/aptitudinii — atunci când Operatorul le înregistrează ca parte a obligațiilor sale legale în domeniul SSM (Legea 319/2006, HG 1425/2006). Temeiul prelucrării este obligația legală a Operatorului (art. 9 alin. (2) lit. b RGPD), iar Împuternicitul le prelucrează exclusiv sub instrucțiunile documentate ale Operatorului, cu măsuri tehnice de securitate corespunzătoare. Operatorul rămâne responsabil pentru temeiul legal și informarea persoanelor vizate.

4. Instrucțiuni de prelucrare

4.1. Împuternicitul prelucrează datele doar pe baza instrucțiunilor documentate ale Operatorului, inclusiv în ceea ce privește transferurile de date către o țară terță sau o organizație internațională, cu excepția cazului în care acest lucru este impus de dreptul Uniunii sau de dreptul intern al statului membru aplicabil Împuternicitului. În acest caz, Împuternicitul informează Operatorul cu privire la cerința legală respectivă înainte de prelucrare, cu excepția cazului în care dreptul respectiv interzice o astfel de informare.

4.2. Instrucțiunile sunt reflectate prin configurările, acțiunile și fluxurile inițiate de Client în aplicație, precum și prin prezentul DPA și Termenii și Condițiile.

4.3. Împuternicitul informează imediat Operatorul dacă, în opinia sa, o instrucțiune încalcă GDPR sau alte dispoziții ale dreptului Uniunii sau ale dreptului intern referitoare la protecția datelor.

5. Confidențialitate

5.1. Împuternicitul se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidențialitatea sau au o obligație legală adecvată de confidențialitate.

5.2. Obligația de confidențialitate se menține și după încetarea relației contractuale.

6. Securitate (măsuri tehnice și organizatorice - art. 32 GDPR)

Împuternicitul implementează măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului, inclusiv, după caz:

  • Control de acces pe roluri și segregare de drepturi în aplicație.
  • Criptare în tranzit (TLS) pentru toate comunicațiile.
  • Stocarea parolelor exclusiv sub formă de hash criptografic.
  • Audit trail pentru operațiuni relevante (modificări, semnări, accesuri sensibile).
  • Mecanisme de rate-limit, protecție anti-abuz și loguri de securitate.
  • Politici de retenție definite, backup operațional și restaurare controlată.
  • Separarea mediilor de producție și dezvoltare.
  • Proceduri de răspuns la incidente de securitate.
  • Revizuirea periodică a măsurilor de securitate și actualizarea acestora.

7. Subprocesori

7.1. Operatorul acordă Împuternicitului o autorizare generală scrisă pentru utilizarea altor persoane împuternicite (subprocesori), conform listei de mai jos.

7.2. Împuternicitul informează Operatorul cu privire la orice intenție de adăugare sau înlocuire a subprocesorilor, oferind Operatorului posibilitatea de a formula obiecții în termen de 15 zile calendaristice de la notificare. Notificarea se face prin actualizarea acestei pagini și, după caz, prin email sau notificare în Platformă.

7.3. În cazul unei obiecții justificate, părțile vor depune eforturi rezonabile pentru a identifica o soluție alternativă. Dacă nu se ajunge la un acord, Operatorul poate rezilia contractul fără penalități.

7.4. Împuternicitul se asigură că subprocesorul respectă aceleași obligații de protecție a datelor ca cele prevăzute în prezentul DPA.

CategorieRolDate potențial prelucrateRegiune
Hosting / infrastructură (Hetzner)Rulare aplicație, baze de date, object storageToate datele operaționale ale platformeiUE (Germania)
Email tranzacționalLivrare notificări și comunicăriEmail destinatar, conținut mesajConform furnizorului activ
WhatsApp gateway (Meta / Twilio)Livrare notificări instruireNumăr telefon, conținut mesajUE / SUA (cu SCC)
SMS gateway (Infobip)Livrare coduri OTP și notificări prin SMS (inclusiv fallback WhatsApp)Număr telefon, conținut mesaj (cod OTP)UE
Servicii AI (opțional, la inițiativa Clientului)Procesare conținut încărcat (generare teste din PDF)Conținut document (minimizat), fără date personale directeConform furnizorului AI activ

8. Asistență către Operator

8.1. Drepturile persoanelor vizate: Împuternicitul asistă Operatorul, prin măsuri tehnice și organizatorice adecvate, în vederea îndeplinirii obligației de a răspunde cererilor persoanelor vizate (acces, rectificare, ștergere, portabilitate, restricționare, opoziție), în măsura în care acest lucru este posibil. Funcționalitățile Platformei (export, editare, ștergere date) reprezintă mijloacele principale de asistență.

8.2. Securitate și notificare incidente: Împuternicitul asistă Operatorul în respectarea obligațiilor prevăzute la art. 32-36 GDPR, luând în considerare natura prelucrării și informațiile de care dispune.

8.3. Evaluarea impactului (DPIA): la cererea Operatorului, Împuternicitul furnizează informațiile necesare pentru realizarea unei evaluări de impact asupra protecției datelor, în măsura în care aceste informații sunt disponibile.

9. Notificarea incidentelor de securitate

9.1. Împuternicitul notifică Operatorul fără întârzieri nejustificate după confirmarea unui incident care afectează date cu caracter personal, cu țintă operațională de informare inițială în maximum 24 de ore.

9.2. Notificarea include: natura incidentului, categoriile și numărul aproximativ de persoane vizate afectate, consecințele probabile, măsurile luate sau propuse.

9.3. Împuternicitul cooperează cu Operatorul și depune eforturi rezonabile pentru a atenua efectele și minimiza impactul incidentului.

10. Transferuri internaționale

10.1. Infrastructura principală este situată în UE (Hetzner, Germania).

10.2. Dacă anumite servicii terțe (subprocesori) implică transferuri în afara SEE, Împuternicitul se asigură că sunt implementate garanții adecvate conform Capitolului V GDPR (ex. clauze contractuale standard adoptate de Comisia Europeană, decizii de adecvare).

11. Returnarea și ștergerea datelor

11.1. La încetarea prestării serviciilor, Împuternicitul pune la dispoziția Operatorului funcționalitățile de export a datelor pe o perioadă de 30 de zile calendaristice.

11.2. După expirarea perioadei de export, Împuternicitul șterge datele cu caracter personal, cu excepția cazului în care dreptul Uniunii sau dreptul intern impune stocarea datelor.

11.3. Prin excepție, logurile de audit și evidențele de securitate pot fi păstrate conform perioadelor de retenție stabilite (până la 7 ani), acolo unde există temei legal sau interes legitim documentat.

12. Dreptul de audit

12.1. Împuternicitul pune la dispoziția Operatorului toate informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute la art. 28 GDPR și permite auditurile, inclusiv inspecțiile, efectuate de Operator sau de un alt auditor mandatat de Operator, și contribuie la acestea.

12.2. Solicitările de audit vor fi notificate cu cel puțin 30 de zile în avans, vor fi efectuate în timpul programului normal de lucru, nu vor perturba în mod nerezonabil activitatea curentă și vor fi supuse obligațiilor de confidențialitate.

12.3. Costurile auditului sunt suportate de Operator, cu excepția cazului în care auditul relevă o neconformitate semnificativă din partea Împuternicitului.

13. Dispoziții finale

13.1. Prezentul DPA este guvernat de legea română și de dreptul Uniunii Europene aplicabil.

13.2. În cazul unui conflict între prevederile DPA și Termenii și Condițiile Platformei, prevederile DPA prevalează în ceea ce privește protecția datelor cu caracter personal.

13.3. Modificările aduse prezentului DPA vor fi notificate conform procedurilor stabilite în Termenii și Condițiile Platformei.