Acord de Prelucrare a Datelor (DPA)

1Părți

Persoană Împuternicită (Processor)

SC GLOBAL DISTRIBUTION CENTER SRL · CUI RO50169414 · Sediu: Str. Bibescu Voda 1, Bl. P4, Sc. 1, Et. 7, Ap. 19, Sectorul 4, București, România · DPO: [email protected]

Operator (Controller)

Clientul — persoana fizică / juridică identificată prin Contul de utilizator E-Matrix.

2Definiții

• „GDPR" — Regulamentul (UE) 2016/679 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal.
• „Date Personale" — orice informație privind o persoană fizică identificată sau identificabilă (Art. 4 pct. 1 GDPR).
• „Operator", „Persoană Împuternicită", „Persoană Vizată" — conform definițiilor din Art. 4 pct. 7, 8, 1 GDPR.
• „Utilizatori Finali" — persoanele fizice ale căror Date Personale sunt prelucrate de Operator prin Platformă (prospecți apelați, clienți magazin online, contacte WhatsApp, abonați etc.).
• „Subprocesatori" — terții care prelucrează Date Personale în numele Persoanei Împuternicite (Twilio, ElevenLabs, OpenAI, etc.). Lista integrală: /legal/subprocessors.php.
• „Încălcare de securitate" — orice eveniment care duce la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la Date Personale (Art. 4 pct. 12 GDPR).
• „Anexa 1" — Descrierea prelucrării (categorii date, persoane vizate, scopuri, durată).
• „Anexa 2" — Măsuri tehnice și organizatorice de securitate.

3Obiect și durată

Prezentul DPA reglementează prelucrarea de către Persoana Împuternicită, în numele Operatorului, a Datelor Personale ale Utilizatorilor Finali, în executarea Serviciilor descrise în Termenii și Condițiile E-Matrix.

DPA se aplică pe întreaga durată a contractului între părți (durata Abonamentului activ) și supraviețuiește acestuia atât timp cât Persoana Împuternicită încă deține Date Personale ale Operatorului.

4Roluri și responsabilități

4.1 Operatorul (Clientul)

Operatorul este și rămâne singurul răspunzător pentru:

• Stabilirea scopurilor și mijloacelor prelucrării (cui sună agentul AI, cu ce conținut, în ce moment etc.);
• Asigurarea unei baze legale valide pentru fiecare prelucrare (Art. 6 GDPR): consimțământ explicit pentru B2C, interes legitim documentat pentru B2B, executare contract pentru clienții magazinului online etc.;
• Furnizarea către Utilizatorii Finali a informațiilor obligatorii prevăzute la Art. 13-14 GDPR (cine prelucrează, în ce scop, ce drepturi au);
• Răspunsul la cererile Utilizatorilor Finali de exercitare a drepturilor GDPR (acces, ștergere, opoziție etc.);
• Conformitatea cu reglementările specifice pentru cold calling, înregistrări audio, marketing direct (RO: Legea 506/2004, Legea 365/2002; UE: ePrivacy, EU AI Act);
• Garantarea că Datele Personale transmise Platformei au fost colectate și sunt prelucrate în mod legal și că Operatorul are dreptul să le proceseze prin Platformă;
• Configurarea corectă a setărilor Platformei pentru a reflecta baza legală aleasă (opt-out, DNC, perioada de retenție etc.).

4.2 Persoana Împuternicită (Furnizorul)

Persoana Împuternicită se obligă să:

• Prelucreze Datele Personale numai pe baza instrucțiunilor documentate ale Operatorului (instrucțiunile sunt: acceptarea Termenilor + configurarea Platformei + utilizarea normală a funcționalităților);
• Notifice Operatorul imediat dacă o instrucțiune încalcă, în opinia sa rezonabilă, GDPR sau alte legi aplicabile;
• Asigure că persoanele autorizate să prelucreze Datele s-au angajat la confidențialitate sau sunt supuse unei obligații statutare adecvate de confidențialitate;
• Implementeze măsuri tehnice și organizatorice corespunzătoare (Art. 32 GDPR) — vezi Anexa 2;
• Asiste Operatorul în îndeplinirea obligațiilor sale (răspuns la cereri ale persoanelor vizate, evaluări de impact DPIA, notificare încălcări etc.);
• Pună la dispoziția Operatorului toate informațiile necesare pentru demonstrarea conformității Art. 28 și permită audituri rezonabile (vezi § 9);
• La sfârșitul prestării serviciilor, șteargă sau returneze Datele Personale, conform alegerii Operatorului, cu excepția cazurilor în care legea impune păstrarea (vezi § 11).

5Instrucțiunile Operatorului

Instrucțiunile documentate ale Operatorului către Persoana Împuternicită sunt:

• Termenii și Condițiile E-Matrix (semnătură electronică implicită prin acceptare);
• Setările Contului și configurațiile agenților AI (prompturi, baze de date, integrări);
• Comenzile date prin interfața Platformei sau prin API-ul REST;
• Orice instrucțiuni scrise suplimentare trimise expres la [email protected].

Modificarea în instrucțiunilor în afara funcționalităților standard ale Platformei poate atrage costuri suplimentare pentru Operator (în special cele care necesită dezvoltare sau intervenție tehnică manuală).

6Subprocesatori

6.1 Autorizare generală

Operatorul autorizează generic Persoana Împuternicită să folosească subprocesatori pentru prelucrarea Datelor Personale, în conformitate cu Art. 28 alin. (2) GDPR. Lista actuală a subprocesatorilor este publicată la /legal/subprocessors.php și include (nelimitativ):

• Twilio Inc. (US) — telefonie voice + SMS
• ElevenLabs Inc. (US) — sinteză voce + transcript
• OpenAI L.L.C. (US) — LLM pentru agenți AI
• Anthropic PBC (US) — Claude LLM
• Google LLC (US/EU) — Sheets, Calendar, OAuth
• Meta Platforms Ireland Ltd. (IE) — WhatsApp Business API, Instagram, Pixel
• Stripe Inc. (US) — procesare plăți
• Brevo SAS (FR) — email transactional și marketing
• Cloudflare Inc. (US) — CDN și protecție DDoS
• Hostinger International Ltd. (LT) — hosting

6.2 Notificare modificări

Persoana Împuternicită va notifica Operatorul cu cel puțin 14 zile înainte de adăugarea sau înlocuirea unui subprocesator. Notificarea se va face prin email la adresa Contului și/sau prin actualizarea paginii Subprocesatorilor.

Operatorul are dreptul de a se opune justificat noului subprocesator în termen de 14 zile de la notificare. În caz de opoziție justificată și de eșec al unei soluții reciproc acceptabile, oricare parte poate rezilia contractul cu efect imediat, fără penalități, dar fără refund pro-rata pentru perioada deja consumată.

6.3 Răspunderea pentru subprocesatori

Persoana Împuternicită impune subprocesatorilor săi obligații echivalente celor din prezentul DPA, prin contracte scrise sau acceptarea DPA-urilor lor publice. Persoana Împuternicită rămâne integral răspunzătoare față de Operator pentru obligațiile subprocesatorilor săi.

7Transferuri internaționale

Anumiți subprocesatori sunt entități din SUA sau alte țări din afara SEE. Transferurile se realizează în baza:

• EU-US Data Privacy Framework (Decizia Comisiei UE din 10 iulie 2023) — pentru entitățile US certificate;
• Clauze Contractuale Standard (SCC) Modul 2 — pentru restul, încheiate între Persoana Împuternicită și subprocesatori;
• Măsuri suplimentare tehnice și organizatorice: criptare la repaus (AES-256) și în tranzit (TLS 1.2+), pseudonimizare, control acces granular, logging.

Operatorul poate solicita copii ale clauzelor contractuale standard relevante, cu mențiunea că pot fi anonimizate părți confidențiale (preț etc.).

8Drepturile Persoanelor Vizate

Persoana Împuternicită asistă Operatorul, în limita posibilităților tehnice rezonabile, în răspunderea la cererile Persoanelor Vizate privind exercitarea drepturilor GDPR (acces, rectificare, ștergere, portabilitate, opoziție).

Dacă Persoana Împuternicită primește direct o astfel de cerere de la o Persoană Vizată a Operatorului, aceasta va transmite cererea Operatorului în termen de 5 zile lucrătoare și nu va răspunde direct (decât pentru a confirma redirecționarea).

Operatorul este singurul răspunzător pentru evaluarea cererii și pentru răspunsul în termenul de 30 zile prevăzut de Art. 12 GDPR.

9Auditare

Operatorul are dreptul de a verifica conformitatea Persoanei Împuternicite cu prezentul DPA, prin:

• Solicitarea de informații scrise (chestionare de conformitate, copii ale politicilor de securitate, rapoarte de audit terț — ISO 27001, SOC 2 etc. — dacă există);
• Audit la fața locului, cu notificare prealabilă de 30 zile, în timpul programului normal de lucru, maxim o dată pe an, cu auditor independent agreat de ambele părți și cu obligație de confidențialitate strictă.

Costurile auditului sunt suportate de Operator. Persoana Împuternicită poate factura timpul angajaților dedicat audit-ului la tariful standard.

Auditul nu poate compromite confidențialitatea datelor altor clienți, secretele de afaceri sau securitatea infrastructurii.

10Notificarea încălcărilor de securitate

Persoana Împuternicită va notifica Operatorul fără întârziere nejustificată și nu mai târziu de 72 ore de la momentul în care a luat cunoștință despre o Încălcare de Securitate care afectează Datele Personale ale Operatorului.

Notificarea va conține, în măsura în care informațiile sunt disponibile la momentul respectiv:

• Natura încălcării, categoriile și numărul aproximativ de persoane vizate afectate;
• Numele și datele de contact ale DPO-ului Persoanei Împuternicite;
• Consecințele probabile;
• Măsurile luate sau propuse pentru remediere și pentru atenuarea efectelor negative.

Operatorul este singurul răspunzător pentru notificarea ANSPDCP și (după caz) a persoanelor vizate, conform Art. 33-34 GDPR.

11Ștergere / returnare la sfârșitul prelucrării

La rezilierea contractului, Operatorul poate opta pentru:

• Export al Datelor Clientului prin funcționalitățile de export ale Platformei (disponibile minim 30 zile post-reziliere);
• Ștergere definitivă automată — care intervine automat după expirarea celor 30 zile de grace dacă Operatorul nu solicită altfel;
• Returnare în format specific — la cerere expresă; poate atrage costuri pentru dezvoltare.

Persoana Împuternicită poate păstra Datele Personale după reziliere doar:

• Pentru îndeplinirea unei obligații legale (de ex. facturi — 10 ani conform Cod Fiscal RO);
• În backup-uri criptate care vor fi suprascrise în cadrul ciclurilor normale de retenție (max. 12 luni).

12Răspundere

Răspunderea Persoanei Împuternicite în temeiul prezentului DPA este limitată conform Termenilor și Condițiilor § 11 — plafon de 12 luni abonament plătit.

Operatorul răspunde nelimitat față de Persoana Împuternicită pentru:

• Sancțiunile administrative aplicate Persoanei Împuternicite ca urmare a unei prelucrări fără bază legală solicitate de Operator;
• Pretențiile Persoanelor Vizate ca urmare a încălcării obligațiilor de transparență sau bază legală de către Operator;
• Orice pierdere cauzată de instrucțiuni vădit nelegale ale Operatorului.

Clauza de indemnizare din Termenii și Condițiile § 12 se aplică în mod corespunzător.

13Dispoziții finale

• Prezentul DPA face parte integrantă din Termenii și Condițiile E-Matrix.
• În caz de conflict între prevederile DPA și cele ale Termenilor, prevederile DPA prevalează în chestiunile de prelucrare a datelor personale.
• DPA poate fi actualizat conform mecanismului prevăzut în Termeni § 19.
• Lege aplicabilă, jurisdicție, notificări — conform Termeni § 20-21.

A1Anexa 1 — Descrierea prelucrării

Categorii date personale

Date de identificare (nume, prenume), date de contact (telefon, email), date de localizare (adresă livrare), conținut comunicări (transcripturi apeluri, mesaje chat), date tehnice (IP, user-agent), date comerciale (istoric comenzi, comportament).

Categorii speciale

În principiu, nu se prelucrează date sensibile (Art. 9 GDPR). Operatorul se angajează să nu introducă în Platformă date privind sănătatea, opiniile politice/religioase, originea etnică, viața sexuală etc., decât dacă a obținut consimțământ explicit și a notificat în prealabil Persoana Împuternicită.

Categorii persoane vizate

Prospecți B2B/B2C apelați de agenții AI, clienți ai magazinului online (confirmări COD), abonați WhatsApp/Instagram, contacte primite prin formulare web, contacte importate din CRM.

Scopuri

Cold calling, lead nurturing, confirmare comenzi, asistență chat, sinteză voce, transcript apeluri, AI summarization, programare meet-uri, follow-up automat.

Durata prelucrării

Pe durata Abonamentului activ + 30 zile recuperare după reziliere. Înregistrările audio: 90 zile (sau cât stipulează planul). Logs tehnice: max 12 luni. Facturi: 10 ani (obligație legală).

Operațiuni prelucrare

Colectare, stocare, organizare, structurare, transmitere către subprocesatori, transcript automat, analiză LLM, sumarizare, generare follow-up, ștergere.

A2Anexa 2 — Măsuri tehnice și organizatorice (Art. 32 GDPR)

Pseudonimizare și criptare

• TLS 1.2+ pentru toate comunicațiile (HTTPS only, HSTS).
• Stocare parole cu bcrypt (cost factor 12).
• Encryption at rest pentru baze de date (AES-256 pe storage).
• Tokeni API rotativi (90 zile recommended) + scope-uri minime.
• Datele de card sunt tokenizate de Stripe — nu ajung la noi.

Confidențialitate, integritate, disponibilitate

• Acces granular pe roluri (RBAC) — fiecare angajat doar datele necesare rolului;
• 2FA obligatoriu pentru toate conturile administrative;
• Logging exhaustiv al accesului la date personale (auditat în iv2_cron, sysupport_audit);
• Mediu de testare separat — fără date personale reale;
• Backup-uri zilnice criptate cu retenție 30 zile;
• Failover hot între noduri (RPO < 1h, RTO < 4h).

Reziliență

• Mecanisme de detectare incidente (logs aggregation, alerting Slack/email);
• Plan de continuitate a serviciilor (BCP);
• Restaurare backup-uri testată periodic.

Acces fizic

• Hosting în datacenter-uri certificate ISO 27001 (Hostinger, OVH);
• Niciun acces fizic neautorizat la infrastructură.

Personal

• Acord NDA semnat la angajare;
• Training GDPR și security awareness anual;
• Acces revocat imediat la încetarea raporturilor.

14Contact

Pentru întrebări legate de prezentul DPA:

• DPO E-Matrix: [email protected]
• Email legal: [email protected]
• Autoritatea de Supraveghere RO: ANSPDCP — www.dataprotection.ro