DPA - Acord de prelucrare a datelor
Versiune în vigoare de la: 22.03.2026 · Ultima actualizare: 22.03.2026
Conform art. 28 din Regulamentul (UE) 2016/679 (GDPR)
1. Obiect și roluri
1.1. Acest DPA guvernează prelucrarea datelor cu caracter personal realizată de Moneta Digi S.R.L. („Împuternicitul") prin platforma DigiOHS, în numele și pe instrucțiunile Clientului („Operatorul"), conform art. 28 GDPR.
1.2. DPA-ul face parte integrantă din Termenii și Condițiile Platformei și se aplică pe toată durata relației contractuale.
- Clientul are rol de operator pentru datele proprii și ale salariaților.
- Moneta Digi S.R.L. are rol de împuternicit, exclusiv pentru furnizarea serviciilor contractate prin Platformă.
2. Obiectul, durata și natura prelucrării
2.1. Obiectul prelucrării: furnizarea serviciilor de digitalizare SSM/SU prin Platformă (stocare, generare documente, gestionare instruiri, semnături electronice simple, audit trail, comunicare automată).
2.2. Durata prelucrării: pe toată durata contractuală (abonament activ) plus perioada de export post-contract (30 de zile) și, pentru loguri/audit trail, perioadele de retenție stabilite în Politica de confidențialitate.
2.3. Natura prelucrării: stocare, organizare, consultare, generare documente PDF, transmitere notificări (email/WhatsApp), jurnalizare în scop de audit, semnătură electronică simplă, backup operațional.
2.4. Scopul prelucrării: furnizarea serviciilor contractate prin Platformă, în conformitate cu instrucțiunile Operatorului.
3. Tipuri de date și persoane vizate
- Date de cont utilizator (email/username, rol, sesiuni, setări de securitate).
- Date de organizație și date de contact operațional.
- Date salariați introduse de Client pentru procesele SSM/SU (nume, funcție, contact, date fișe, instruiri, semnături, selfie).
- Date de audit și securitate (IP, user-agent, evenimente de acces și acțiune).
- Date de facturare B2B (date fiscale organizație, facturi).
Persoane vizate: utilizatori ai platformei, reprezentanți ai Clientului, salariați gestionați în contul Clientului.
Date speciale: Platforma nu solicită prelucrarea de categorii speciale de date (art. 9 GDPR). Dacă Clientul introduce din proprie inițiativă astfel de date, responsabilitatea revine exclusiv Clientului în calitate de operator.
4. Instrucțiuni de prelucrare
4.1. Împuternicitul prelucrează datele doar pe baza instrucțiunilor documentate ale Operatorului, inclusiv în ceea ce privește transferurile de date către o țară terță sau o organizație internațională, cu excepția cazului în care acest lucru este impus de dreptul Uniunii sau de dreptul intern al statului membru aplicabil Împuternicitului. În acest caz, Împuternicitul informează Operatorul cu privire la cerința legală respectivă înainte de prelucrare, cu excepția cazului în care dreptul respectiv interzice o astfel de informare.
4.2. Instrucțiunile sunt reflectate prin configurările, acțiunile și fluxurile inițiate de Client în aplicație, precum și prin prezentul DPA și Termenii și Condițiile.
4.3. Împuternicitul informează imediat Operatorul dacă, în opinia sa, o instrucțiune încalcă GDPR sau alte dispoziții ale dreptului Uniunii sau ale dreptului intern referitoare la protecția datelor.
5. Confidențialitate
5.1. Împuternicitul se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidențialitatea sau au o obligație legală adecvată de confidențialitate.
5.2. Obligația de confidențialitate se menține și după încetarea relației contractuale.
6. Securitate (măsuri tehnice și organizatorice - art. 32 GDPR)
Împuternicitul implementează măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului, inclusiv, după caz:
- Control de acces pe roluri și segregare de drepturi în aplicație.
- Criptare în tranzit (TLS) pentru toate comunicațiile.
- Stocarea parolelor exclusiv sub formă de hash criptografic.
- Audit trail pentru operațiuni relevante (modificări, semnări, accesuri sensibile).
- Mecanisme de rate-limit, protecție anti-abuz și loguri de securitate.
- Politici de retenție definite, backup operațional și restaurare controlată.
- Separarea mediilor de producție și dezvoltare.
- Proceduri de răspuns la incidente de securitate.
- Revizuirea periodică a măsurilor de securitate și actualizarea acestora.
7. Subprocesori
7.1. Operatorul acordă Împuternicitului o autorizare generală scrisă pentru utilizarea altor persoane împuternicite (subprocesori), conform listei de mai jos.
7.2. Împuternicitul informează Operatorul cu privire la orice intenție de adăugare sau înlocuire a subprocesorilor, oferind Operatorului posibilitatea de a formula obiecții în termen de 15 zile calendaristice de la notificare. Notificarea se face prin actualizarea acestei pagini și, după caz, prin email sau notificare în Platformă.
7.3. În cazul unei obiecții justificate, părțile vor depune eforturi rezonabile pentru a identifica o soluție alternativă. Dacă nu se ajunge la un acord, Operatorul poate rezilia contractul fără penalități.
7.4. Împuternicitul se asigură că subprocesorul respectă aceleași obligații de protecție a datelor ca cele prevăzute în prezentul DPA.
| Categorie | Rol | Date potențial prelucrate | Regiune |
|---|---|---|---|
| Hosting / infrastructură (Hetzner) | Rulare aplicație, baze de date, object storage | Toate datele operaționale ale platformei | UE (Germania) |
| Email tranzacțional | Livrare notificări și comunicări | Email destinatar, conținut mesaj | Conform furnizorului activ |
| WhatsApp gateway (Meta / Twilio) | Livrare notificări instruire | Număr telefon, conținut mesaj | UE / SUA (cu SCC) |
| Servicii AI (opțional, la inițiativa Clientului) | Procesare conținut încărcat (generare teste din PDF) | Conținut document (minimizat), fără date personale directe | Conform furnizorului AI activ |
8. Asistență către Operator
8.1. Drepturile persoanelor vizate: Împuternicitul asistă Operatorul, prin măsuri tehnice și organizatorice adecvate, în vederea îndeplinirii obligației de a răspunde cererilor persoanelor vizate (acces, rectificare, ștergere, portabilitate, restricționare, opoziție), în măsura în care acest lucru este posibil. Funcționalitățile Platformei (export, editare, ștergere date) reprezintă mijloacele principale de asistență.
8.2. Securitate și notificare incidente: Împuternicitul asistă Operatorul în respectarea obligațiilor prevăzute la art. 32-36 GDPR, luând în considerare natura prelucrării și informațiile de care dispune.
8.3. Evaluarea impactului (DPIA): la cererea Operatorului, Împuternicitul furnizează informațiile necesare pentru realizarea unei evaluări de impact asupra protecției datelor, în măsura în care aceste informații sunt disponibile.
9. Notificarea incidentelor de securitate
9.1. Împuternicitul notifică Operatorul fără întârzieri nejustificate după confirmarea unui incident care afectează date cu caracter personal, cu țintă operațională de informare inițială în maximum 24 de ore.
9.2. Notificarea include: natura incidentului, categoriile și numărul aproximativ de persoane vizate afectate, consecințele probabile, măsurile luate sau propuse.
9.3. Împuternicitul cooperează cu Operatorul și depune eforturi rezonabile pentru a atenua efectele și minimiza impactul incidentului.
10. Transferuri internaționale
10.1. Infrastructura principală este situată în UE (Hetzner, Germania).
10.2. Dacă anumite servicii terțe (subprocesori) implică transferuri în afara SEE, Împuternicitul se asigură că sunt implementate garanții adecvate conform Capitolului V GDPR (ex. clauze contractuale standard adoptate de Comisia Europeană, decizii de adecvare).
11. Returnarea și ștergerea datelor
11.1. La încetarea prestării serviciilor, Împuternicitul pune la dispoziția Operatorului funcționalitățile de export a datelor pe o perioadă de 30 de zile calendaristice.
11.2. După expirarea perioadei de export, Împuternicitul șterge datele cu caracter personal, cu excepția cazului în care dreptul Uniunii sau dreptul intern impune stocarea datelor.
11.3. Prin excepție, logurile de audit și evidențele de securitate pot fi păstrate conform perioadelor de retenție stabilite (până la 7 ani), acolo unde există temei legal sau interes legitim documentat.
12. Dreptul de audit
12.1. Împuternicitul pune la dispoziția Operatorului toate informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute la art. 28 GDPR și permite auditurile, inclusiv inspecțiile, efectuate de Operator sau de un alt auditor mandatat de Operator, și contribuie la acestea.
12.2. Solicitările de audit vor fi notificate cu cel puțin 30 de zile în avans, vor fi efectuate în timpul programului normal de lucru, nu vor perturba în mod nerezonabil activitatea curentă și vor fi supuse obligațiilor de confidențialitate.
12.3. Costurile auditului sunt suportate de Operator, cu excepția cazului în care auditul relevă o neconformitate semnificativă din partea Împuternicitului.
13. Dispoziții finale
13.1. Prezentul DPA este guvernat de legea română și de dreptul Uniunii Europene aplicabil.
13.2. În cazul unui conflict între prevederile DPA și Termenii și Condițiile Platformei, prevederile DPA prevalează în ceea ce privește protecția datelor cu caracter personal.
13.3. Modificările aduse prezentului DPA vor fi notificate conform procedurilor stabilite în Termenii și Condițiile Platformei.