Legal

Acord de Prelucrare Date (DPA)

Conform Art. 28 din Regulamentul (UE) 2016/679 (GDPR) — Ultima actualizare: 17 aprilie 2026

Preambul și roluri

Prezentul Acord de Prelucrare Date (DPA) se aplică între:

  • Operatorul (Controller): Clientul Expirely — persoana juridică sau fizică autorizată care utilizează platforma Expirely și care determină scopurile și mijloacele prelucrării datelor cu caracter personal ale angajaților, clienților sau colaboratorilor săi.
  • Persoana Împuternicită (Processor): [DENUMIRE LEGALĂ COMPLETARE NECESARĂ] SRL, furnizorul platformei Expirely, cu datele de identificare menționate în Politica de Confidențialitate.

Prin acceptarea Termenilor și Condițiilor Expirely, Clientul acceptă și prezentul DPA, care face parte integrantă din contractul de servicii.

1. Obiect și durată

Prezentul DPA reglementează prelucrarea datelor cu caracter personal efectuată de Expirely în numele Clientului, în scopul furnizării serviciului de tracking documente și notificări automate.

DPA-ul intră în vigoare la data acceptării Termenilor și rămâne în vigoare pe durata contractului de servicii, extinzându-se până la ștergerea completă sau returnarea tuturor datelor cu caracter personal.

2. Natura și scopul prelucrării

Prelucrările efectuate de Expirely în numele Clientului includ:

  • Stocarea și afișarea documentelor introduse de Client (inclusiv date despre persoane vizate: angajați, colaboratori).
  • Trimiterea notificărilor automate pe email la adresele desemnate de Client.
  • Gestionarea accesului utilizatorilor desemnați de Client în workspace.
  • Backup și restaurare date în caz de incident tehnic.

3. Tipul de date și categorii de persoane vizate

Categorii de persoane vizate

Angajați ai Clientului, colaboratori, conducători auto, responsabili tehnici sau orice altă persoană ale cărei date sunt introduse de Client în platformă (ex. pentru urmărirea fișelor medicale, atestatelor etc.).

Tipuri de date prelucrate

  • Date de identificare: nume, prenume, email (al responsabilului desemnat).
  • Date profesionale: funcție, calificări, atestate, date de expirare documente profesionale.
  • Date de sănătate (categoria specială Art. 9 GDPR): fișe medicale periodice, scrisori medicale — introduse exclusiv la decizia Clientului. Clientul este singurul responsabil pentru asigurarea temeiului legal adecvat (consimțământ angajat sau alt temei conform Art. 9).

4. Obligațiile Expirely (Persoana Împuternicită)

Expirely se obligă să:

  • Prelucreze datele cu caracter personal exclusiv pe baza instrucțiunilor documentate ale Clientului, cu excepția cazului în care legislația UE sau română impune altfel.
  • Se asigure că persoanele autorizate să prelucreze datele au asumat obligații de confidențialitate sau sunt supuse unor obligații legale de confidențialitate.
  • Implementeze măsuri tehnice și organizatorice adecvate conform Art. 32 GDPR (detalii în Secțiunea 5).
  • Respecte condițiile pentru angajarea unui alt sub-procesor (Secțiunea 6).
  • Asiste Clientul, în măsura posibilului, în respectarea obligațiilor privind drepturile persoanelor vizate (Art. 15–22 GDPR).
  • Asiste Clientul în îndeplinirea obligațiilor prevăzute la Art. 32–36 GDPR (securitate, notificare breșe, DPIA).
  • Șteargă sau returneze toate datele cu caracter personal la finalul contractului, conform instrucțiunilor Clientului.
  • Pună la dispoziția Clientului toate informațiile necesare pentru demonstrarea conformității și să permită auditurile conform Secțiunii 7.
  • Informeze imediat Clientul dacă, în opinia sa, o instrucțiune încalcă GDPR sau alte dispoziții privind protecția datelor.

5. Măsuri de securitate (Art. 32 GDPR)

Expirely implementează și menține următoarele măsuri tehnice și organizatorice:

  • Criptare în tranzit: TLS 1.2+ pentru toate conexiunile (HTTPS obligatoriu).
  • Criptare la repaus: Datele stocate în baza de date sunt criptate de furnizorul de hosting (Neon/AWS).
  • Control acces: Izolare pe workspace — niciun utilizator nu poate accesa datele altui workspace fără autorizare explicită.
  • Parole: Hashate cu bcrypt (salt individual, cost factor ≥ 12). Niciodată stocate în clar.
  • Sesiuni: Token-uri de sesiune cu TTL limitat, invalidate la deconectare și la schimbarea parolei.
  • Backup: Backup automat al bazei de date, retenție conform politicii furnizorului Neon.
  • Monitorizare: Loguri de acces și audit pentru acțiuni sensibile.
  • Accesul intern: Limitat la strictul necesar pentru operare și support (principiul need-to-know).

6. Sub-procesatori

Clientul acordă prin prezentul DPA o autorizare generală pentru angajarea sub-procesatorilor listați în Politica de Confidențialitate (Secțiunea 5 — Sub-procesatori).

Expirely va notifica Clientul cu minimum 30 de zile calendaristice înainte de adăugarea sau înlocuirea unui sub-procesor semnificativ, oferind posibilitatea de a formula obiecții. Obiecțiile rezonabile vor fi analizate; dacă nu se poate ajunge la un acord, Clientul are dreptul de a rezilia contractul fără penalizare.

Expirely impune tuturor sub-procesatorilor obligații de protecție a datelor cel puțin echivalente cu cele din prezentul DPA, prin contracte scrise.

7. Audit și conformitate

Expirely pune la dispoziția Clientului documentația necesară pentru demonstrarea conformității (politici, măsuri tehnice, contracte cu sub-procesatori).

Auditurile fizice sau tehnice directe vor fi permise cu 30 de zile notificare prealabilă, o dată pe an, sau oricând în cazul unui incident de securitate confirmat, pe cheltuiala Clientului. Expirely poate satisface cerința de audit prin furnizarea de rapoarte de audit efectuate de terți calificați (ex. ISO 27001, SOC 2) în locul unui audit direct, dacă există.

8. Notificarea incidentelor de securitate

În cazul unui incident de securitate care implică date cu caracter personal prelucrate în numele Clientului, Expirely va notifica Clientul fără întârzieri nejustificate și, acolo unde este posibil, în maximum 72 de ore de la momentul luării la cunoștință.

Notificarea va conține, în măsura în care informațiile sunt disponibile: natura incidentului, categoriile și numărul aproximativ de persoane vizate și înregistrări afectate, consecințele probabile, măsurile luate sau propuse.

Responsabilitatea notificării ANSPDCP și a persoanelor vizate, conform Art. 33–34 GDPR, revine Clientului în calitate de Operator.

9. Asistență pentru drepturile persoanelor vizate

Expirely va asista Clientul în exercitarea drepturilor persoanelor vizate (acces, rectificare, ștergere, restricționare, portabilitate) în măsura posibilului, ținând cont de natura prelucrării.

Clientul este responsabil pentru primirea și gestionarea solicitărilor din partea persoanelor vizate. Expirely va oferi datele disponibile tehnic la cererea Clientului, în format exportabil.

10. Ștergere și returnare date

La finalul contractului sau la cererea Clientului, Expirely va:

  • Pune la dispoziție un export al datelor în format JSON sau CSV, la cerere, în termen de 14 zile lucrătoare.
  • Șterge datele cu caracter personal din sistemele active în termen de 30 de zile de la reziliere (cu excepția datelor de facturare și loguri reținute prin obligație legală).
  • Confirma în scris ștergerea, la solicitarea Clientului.

11. Obligațiile Clientului (Operator)

Clientul se obligă să:

  • Furnizeze instrucțiuni clare și conforme cu GDPR privind prelucrarea datelor.
  • Asigure temeiul legal pentru prelucrarea datelor cu caracter personal introduse în platformă, inclusiv pentru categoriile speciale (date medicale, dacă este cazul).
  • Informeze persoanele vizate despre prelucrarea datelor lor prin Expirely, conform Art. 13/14 GDPR.
  • Notifice Expirely imediat dacă devine conștient de o problemă de conformitate privind datele prelucrate.

12. Legea aplicabilă

Prezentul DPA este guvernat de legea română și de Regulamentul (UE) 2016/679 (GDPR). Orice litigiu va fi soluționat conform mecanismelor prevăzute în Termenii și Condițiile Expirely.