Data Processing Addendum (DPA)
Anexă contractuală care reglementează prelucrarea datelor personale între Tenant (Controller) și Infomed Pro SRL (Processor), conform Art. 28 GDPR. Disponibilă pentru semnare cu orice client B2B.
Ultima actualizare: 19 mai 2026
DPA semnabil
Acest DPA este aplicabil automat tuturor Tenanților care utilizează Platforma. Pentru o versiune PDF semnabilă (cu semnătură electronică DocuSign sau echivalent), trimite cerere la legal@diyadvisor.ro.
Răspundem în maxim 5 zile lucrătoare cu DPA personalizat pe entitatea ta.
1. Părțile contractante
Acest DPA se încheie între: (a) TU, persoană juridică sau persoană fizică autorizată care utilizează Platforma DIYAdvisor (denumită «Controller» sau «Tenant»); și (b) INFOMED PRO SRL, persoană juridică română, sediul Cihei str. Apateului 9A-1, Bihor, CUI RO20762338 (denumită «Processor» sau «Operator»). Termenii utilizați au sensul din Regulamentul UE 2016/679 (GDPR).
2. Definiții
- Date personale — orice informație referitoare la o persoană fizică identificată sau identificabilă.
- Prelucrare — orice operațiune efectuată asupra datelor personale (colectare, stocare, modificare, ștergere etc.).
- Persoană vizată (Data Subject) — persoana fizică ale cărei date sunt prelucrate.
- Sub-procesator — terț care prelucrează date în numele Processor-ului (Operatorului).
- Încălcare a securității (Personal Data Breach) — incident care afectează confidențialitatea, integritatea sau disponibilitatea datelor personale.
3. Subiectul prelucrării
Processor-ul prelucrează date personale în numele Controller-ului pentru următoarele scopuri:
- Furnizarea Platformei DIYAdvisor (widget chat AI + dashboard admin)
- Gestionarea catalogului produse al Controller-ului
- Stocarea și procesarea conversațiilor între widget și end-Useri ai Controller-ului
- Generarea răspunsurilor AI prin API-ul Anthropic (folosind cheia BYOK a Controller-ului)
- Statistici și analytics pentru Controller (agregat anonimizat)
Tipuri de date personale prelucrate
- Date Controller: email, nume, telefon, denumire entitate, date facturare
- Date end-User: text conversații, timestamp, locale, device fingerprint anonimizat
- Date tehnice: IP mascat, user agent, audit logs
Categoriile de persoane vizate
- Administratori și angajați ai Controller-ului
- End-Useri (vizitatori site Controller) care interacționează cu widget-ul
4. Durata prelucrării
Acest DPA este valid pe durata abonamentului activ al Tenantului la Platformă, plus 30 zile pentru ștergerea finală a datelor. La rezilierea abonamentului, datele se șterg automat în maxim 30 zile, sau se returnează în format JSON/CSV la cerere expresă a Controller-ului.
5. Obligațiile Processor-ului (Art. 28.3 GDPR)
Processor-ul se obligă să:
- 1
Prelucreze datele NUMAI conform instrucțiunilor documentate ale Controller-ului (acest DPA + Termeni)
- 2
Asigure că persoanele autorizate să prelucreze date sunt obligate la confidențialitate
- 3
Aplice toate măsurile de securitate cerute de Art. 32 GDPR (detalii la /security)
- 4
Asiste Controller-ul în răspunsul la cereri ale persoanelor vizate (DSAR) prin tool-uri self-service (export, ștergere) + suport manual la nevoie
- 5
Asiste Controller-ul în obligațiile sale (DPIA, consultare ANSPDCP, raportare breach)
- 6
Notifice Controller-ul fără întârziere (max 24 ore) în caz de Personal Data Breach
- 7
Returneze sau șteargă toate datele la sfârșitul prelucrării
- 8
Permită Controller-ului să verifice conformitatea prin audit (vezi secțiunea 9)
6. Sub-procesatori
Controller-ul autorizează în general Processor-ul să folosească sub-procesatori conform listei publicate la /security și /sub-processors. Processor-ul se obligă să: (a) impună sub-procesatorilor obligații GDPR echivalente prin contract scris, (b) notifice public Controller-ul cu cel puțin 30 zile înainte de adăugarea sau înlocuirea unui sub-procesator, (c) răspundă față de Controller pentru orice nerespectare a sub-procesatorilor.
Controller-ul are dreptul să se opună la noi sub-procesatori. În caz de obiecție, părțile vor negocia o soluție; în cazul absenței unui acord, Controller-ul poate rezilia abonamentul gratuit pro-rata.
7. Securitate (Art. 32 GDPR)
Processor-ul aplică măsuri tehnice și organizatorice adecvate, incluzând: criptare în repaus și în tranzit (TLS 1.3), izolare strictă client-to-client, control acces bazat pe role, audit logs, rate limiting, MFA opțional, backup-uri regulate, plan de continuitate (BCP). Detaliile sunt publice la /security.
8. Notificare Personal Data Breach (Art. 33 GDPR)
În caz de încălcare a securității care afectează datele Controller-ului, Processor-ul va notifica Controller-ul în maxim 24 ore de la descoperire, prin email la contactul GDPR al Controller-ului. Notificarea va conține: natura încălcării, categoriile și numărul aproximativ de persoane vizate, posibilele consecințe, măsurile luate sau propuse pentru remediere.
9. Asistență Controller & audit
Processor-ul pune la dispoziția Controller-ului toate informațiile necesare pentru a demonstra conformitatea cu Art. 28 GDPR. Controller-ul poate audita Processor-ul o dată pe an cu preaviz 30 zile, sau imediat în cazul unui Personal Data Breach. Audit-ul poate fi efectuat de Controller direct sau de un auditor extern certificat (sub NDA). Costurile audit-ului sunt suportate de Controller, EXCEPȚIE: dacă audit-ul descoperă neconformități materiale, costurile revin Processor-ului.
10. Sfârșitul prelucrării
La rezilierea abonamentului sau la cererea expresă a Controller-ului, Processor-ul: (a) oprește prelucrarea de noi date, (b) returnează toate datele în format JSON/CSV dacă Controller-ul solicită, sau (c) șterge toate datele în maxim 30 zile (Right to be forgotten GDPR). EXCEPȚIE: Processor-ul păstrează datele necesare conform obligațiilor legale (facturi 10 ani per Cod Fiscal RO).
11. Transferuri terțe țări
Anumiți sub-procesatori sunt în țări din afara UE/SEE (ex: SUA pentru AI provider, payment processor). Processor-ul folosește mecanisme legale GDPR: Standard Contractual Clauses (SCCs) UE-SUA (Modulul 3 — Processor to Processor), sau Data Privacy Framework certificate. Detalii la /security.
12. Dispoziții finale
- 1.Acest DPA prevalează asupra oricărei dispoziții contrare din Termeni & condiții privind prelucrarea datelor personale.
- 2.Modificările materiale ale acestui DPA se aplică doar cu preaviz 30 zile și acceptare implicită prin continuarea utilizării Platformei.
- 3.În caz de litigiu, competente sunt instanțele române din raza sediului Processor-ului (Bihor / Oradea).
- 4.Pentru orice întrebare legată de acest DPA: legal@diyadvisor.ro sau dpo@infomedpro.ro.
Ai nevoie de DPA personalizat?
Pentru tenants Pro și Enterprise cu cerințe specifice de compliance (SCCs custom, anexe sectoriale, NDA-uri), oferim DPA personalizat semnabil cu DocuSign.