Prezentul Acord de Prelucrare a Datelor ("DPA") face parte din Termenii și Condițiile Serviciului ("Acordul") dintre KodeKind S.R.L. ("Persoana Împuternicită", "SRLeads", "noi") și Organizația care utilizează Serviciul ("Operatorul", "dumneavoastră").
Prezentul DPA se aplică în măsura în care SRLeads prelucrează Date cu Caracter Personal în numele Operatorului în cadrul furnizării Serviciului, conform cerințelor Articolului 28 din Regulamentul General privind Protecția Datelor (UE) 2016/679 ("RGPD").
1. Definiții
Termenii nedefiniți în prezentul document au semnificația prevăzută în RGPD sau în Acord.
- "Date cu Caracter Personal" înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă, pe care Persoana Împuternicită o prelucrează în numele Operatorului prin intermediul Serviciului.
- "Persoană Vizată" înseamnă persoana fizică identificată sau identificabilă la care se referă Datele cu Caracter Personal (de ex., lead-uri gestionate de Operator).
- "Sub-împuternicit" înseamnă un terț angajat de Persoana Împuternicită pentru a prelucra Date cu Caracter Personal în numele Operatorului.
- "Incident de Securitate" înseamnă o încălcare a securității care duce la distrugerea accidentală sau ilegală, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la Datele cu Caracter Personal.
2. Domeniu de aplicare și roluri
2.1 Operatorul și Persoana Împuternicită
Operatorul stabilește scopurile și mijloacele de prelucrare a Datelor cu Caracter Personal (date despre lead-uri, informații de contact, înregistrări de comunicare). Persoana Împuternicită prelucrează Datele cu Caracter Personal exclusiv în numele Operatorului și în conformitate cu instrucțiunile documentate ale Operatorului.
2.2 Activități de prelucrare
Persoana Împuternicită prelucrează Date cu Caracter Personal pentru următoarele activități:
| Activitate | Categorii de Persoane Vizate | Tipuri de Date cu Caracter Personal | Scop |
|---|
| Gestionare lead-uri | Contacte de afaceri (lead-uri) | Nume, email, telefon, linkuri sociale, notițe, înregistrări de activitate | Stocarea și gestionarea lead-urilor în tablouri Kanban |
| Livrare SMS | Lead-uri cu numere de telefon | Număr de telefon, conținut mesaj (șters după livrare) | Livrare SMS prin releu Android în numele Operatorului |
| Livrare email | Lead-uri cu adrese de email | Adresă de email, conținut email | Livrare de email-uri tranzacționale în numele Operatorului |
| Gestionare consimțământ | Lead-uri care primesc comunicări | Stări de consimțământ, evenimente de interacțiune, adrese IP | Urmărirea și aplicarea consimțământului pentru comunicări |
| Livrare webhook | Lead-uri afectate de tranziții | Date lead incluse în payload-urile evenimentelor | Livrare webhook-uri de ieșire către endpoint-urile Operatorului |
| Execuție acțiuni rapide | Lead-uri vizate de acțiuni | Date de context ale lead-ului în cereri HTTP | Execuție apeluri HTTP către URL-urile configurate de Operator |
| Adăugare automată lead-uri | Companii care corespund criteriilor de filtrare | Date companie (publice), criterii de filtrare | Creare automată de lead-uri din companiile corespunzătoare |
2.3 Durată
Prezentul DPA se aplică pe durata Acordului. La încetarea acestuia, Persoana Împuternicită va gestiona Datele cu Caracter Personal în conformitate cu Secțiunea 10 din prezentul DPA.
2.4 Locația datelor
Datele cu Caracter Personal sunt stocate și prelucrate în principal în cadrul Uniunii Europene. Datele nu sunt transferate în afara Spațiului Economic European decât prin intermediul Sub-împuterniciților aprobați enumerați în Secțiunea 6.1, sub rezerva garanțiilor descrise în Secțiunea 9.
3. Obligațiile Persoanei Împuternicite
Persoana Împuternicită va:
- Prelucra Datele cu Caracter Personal numai pe baza instrucțiunilor documentate ale Operatorului, inclusiv în ceea ce privește transferurile către țări terțe, cu excepția cazului în care legislația UE sau a statului membru impune acest lucru — caz în care Persoana Împuternicită va informa Operatorul cu privire la această cerință legală înainte de prelucrare (cu excepția cazului în care legea interzice o astfel de informare).
- Se asigura că persoanele autorizate să prelucreze Date cu Caracter Personal s-au angajat la confidențialitate sau sunt supuse unei obligații legale corespunzătoare de confidențialitate.
- Implementa măsuri tehnice și organizatorice adecvate de securitate, conform Secțiunii 5.
- Angaja Sub-împuterniciți numai în conformitate cu Secțiunea 6.
- Asista Operatorul, ținând cont de natura prelucrării, în a răspunde cererilor Persoanelor Vizate care își exercită drepturile în temeiul Capitolului III din RGPD.
- Asista Operatorul în asigurarea conformității cu obligațiile prevăzute la Articolele 32-36 din RGPD (securitate, notificarea încălcărilor, evaluări de impact), ținând cont de natura prelucrării și de informațiile disponibile Persoanei Împuternicite. În special, Persoana Împuternicită va oferi asistență rezonabilă Operatorului în realizarea Evaluărilor de Impact asupra Protecției Datelor (Art. 35 RGPD) și a consultărilor prealabile cu autoritățile de supraveghere (Art. 36 RGPD), în măsura în care asistența Persoanei Împuternicite este necesară și relevantă, având în vedere natura prelucrării.
- La alegerea Operatorului, șterge sau returnează toate Datele cu Caracter Personal după încetarea furnizării serviciilor și să șteargă copiile existente, cu excepția cazului în care legislația UE sau a statului membru impune stocarea acestora.
- Pune la dispoziția Operatorului toate informațiile necesare pentru a demonstra conformitatea cu obligațiile prevăzute la Articolul 28 și să permită și să contribuie la audituri, inclusiv inspecții, efectuate de Operator sau de un auditor mandatat de Operator.
- Ține evidența activităților de prelucrare efectuate în numele Operatorului, în conformitate cu Art. 30(2) din RGPD.
4. Obligațiile Operatorului
Operatorul va:
- Se asigura că dispune de un temei juridic pentru prelucrarea Datelor cu Caracter Personal și pentru a instrui Persoana Împuternicită să prelucreze Date cu Caracter Personal în numele său.
- Obține toate consimțămintele necesare de la Persoanele Vizate înainte de a utiliza funcționalitățile de comunicare ale Serviciului (SMS, email) pentru a le contacta, în conformitate cu Legea română 506/2004 și Directiva ePrivacy.
- Furniza Persoanelor Vizate toate informările privind confidențialitatea și informațiile necesare despre modul în care sunt prelucrate datele lor.
- Răspunde solicitărilor Persoanelor Vizate în timp util, cu asistența Persoanei Împuternicite, după caz.
- Se asigura că instrucțiunile sale către Persoana Împuternicită sunt conforme cu legislația aplicabilă privind protecția datelor.
- Notifica Persoana Împuternicită fără întârziere nejustificată dacă ia cunoștință de orice Incident de Securitate sau de orice plângere a Persoanei Vizate legată de prelucrare.
5. Măsuri de securitate
Persoana Împuternicită implementează următoarele măsuri tehnice și organizatorice pentru a asigura un nivel de securitate adecvat riscului prelucrării:
5.1 Controlul accesului
- Autentificarea utilizatorilor prin email + parolă cu hashing bcrypt (10 runde de salt).
- Autentificare multi-factor opțională (TOTP) cu secrete criptate (AES-256-GCM) și coduri de recuperare hash-uite (SHA-256).
- Control al accesului bazat pe roluri (Owner, Member) cu permisiuni granulare.
- Gestionarea sesiunilor cu expirare la 24 de ore, cookie-uri httpOnly/secure/SameSite.
- Autentificare prin chei API cu hashing SHA-256 și whitelisting opțional de IP.
- Limitarea ratei pe endpoint-urile de autentificare (10 încercări per fereastră de 15 minute).
5.2 Protecția datelor
- Toate datele transmise prin HTTPS/TLS.
- Numerele de telefon și conținutul mesajelor SMS șterse permanent imediat după livrare sau eșec.
- Mesajele de eroare SMS sanitizate (numerele de telefon redactate, trunchiate).
- Jurnal de interacțiuni imutabil cu trigger-e la nivel de bază de date care previn modificarea sau ștergerea.
- Antete de securitate (Helmet/antete securizate) pe toate serviciile aplicației.
- Protecție CAPTCHA la înregistrarea contului (Cloudflare Turnstile).
- Jurnalele de cereri API șterse automat după 7 zile.
5.3 Infrastructură
- Bază de date MySQL și cache Redis auto-găzduite în cadrul UE.
- Stocare de obiecte prin Cloudflare R2 (criptare la repaus de către Cloudflare).
- Conformitate Stripe PCI DSS Nivel 1 pentru procesarea plăților.
- Payload-urile webhook semnate cu HMAC-SHA256 (când secretul este configurat).
5.4 Măsuri organizatorice
- Accesul la sistemele de producție limitat la personalul autorizat.
- Jurnal de audit al operațiunilor semnificative cu adresă IP și marcaj temporal.
- Înregistrările consimțământului versionate și stocate cu adresă IP și marcaj temporal la înregistrare.
6. Sub-împuterniciți
6.1 Sub-împuterniciți actuali
Operatorul autorizează Persoana Împuternicită să angajeze următorii Sub-împuterniciți:
| Sub-împuternicit | Scop | Date prelucrate | Locație |
|---|
| Stripe, Inc. | Procesarea plăților, gestionarea abonamentelor | Numele organizației, email, metodă de plată, sume facturi, metadate org_id și plan_slug | Statele Unite / Uniunea Europeană |
| SmartBill SRL | Generarea facturilor fiscale românești și stocarea PDF | Denumirea companiei de facturare, cod fiscal (CUI), număr TVA, adresa completă de facturare, emailul proprietarului organizației, sume și linii de factură | România |
| Resend, Inc. | Livrare email-uri tranzacționale și de marketing | Adresa de email a destinatarului, prenume, subiect și conținut email (poate include sume, linkuri, coduri OTP) | Statele Unite |
| Cloudflare, Inc. | CDN, DNS, stocare obiecte R2, CAPTCHA Turnstile | Tot traficul HTTP proxied, logo-uri organizații (R2), token-uri de verificare CAPTCHA și adrese IP | Statele Unite / Uniunea Europeană (rețea globală) |
| Google LLC | Analiză website (Google Analytics 4) — doar când utilizatorul consimte la cookie-urile de analiză | Vizualizări pagini, interacțiuni, date de browser anonimizate | Statele Unite / Uniunea Europeană |
6.2 Releul Android
Releul SMS Android nu este un Sub-împuternicit — este dispozitivul propriu al Operatorului, asociat cu contul acestuia. Persoana Împuternicită facilitează conexiunea WebSocket între Serviciu și dispozitivul Operatorului, dar nu operează dispozitivul. Numerele de telefon și conținutul mesajelor sunt transmise prin conexiune și șterse permanent din Serviciu imediat după livrare sau eșec.
6.3 Modificări ale Sub-împuterniciților
Persoana Împuternicită va notifica Operatorul cu cel puțin 30 de zile înainte de a angaja un nou Sub-împuternicit sau de a înlocui unul existent. Notificarea va fi trimisă prin email proprietarului Organizației.
Dacă Operatorul se opune unui nou Sub-împuternicit pe motive rezonabile de protecție a datelor, în cadrul perioadei de notificare de 30 de zile, Persoana Împuternicită va: (a) nu angaja Sub-împuternicitul contestat pentru prelucrarea Datelor cu Caracter Personal ale Operatorului; (b) depune eforturi rezonabile pentru a oferi o soluție alternativă; (c) dacă nu este disponibilă nicio alternativă și Sub-împuternicitul este esențial pentru continuarea furnizării Serviciului, oricare dintre părți poate rezilia componenta de serviciu afectată cu un preaviz scris de 30 de zile, iar Operatorul va primi o rambursare proporțională pentru orice perioadă preplătită și neutilizată.
6.4 Obligațiile Sub-împuterniciților
Persoana Împuternicită se asigură că fiecare Sub-împuternicit este supus unor obligații de protecție a datelor nu mai puțin protectoare decât cele din prezentul DPA, inclusiv prin acorduri scrise conforme cu Articolul 28(4) din RGPD. Persoana Împuternicită rămâne pe deplin responsabilă față de Operator pentru îndeplinirea obligațiilor fiecărui Sub-împuternicit.
7. Drepturile Persoanelor Vizate
Persoana Împuternicită va asista Operatorul în îndeplinirea obligațiilor sale de a răspunde solicitărilor Persoanelor Vizate în temeiul Capitolului III din RGPD (acces, rectificare, ștergere, restricționare, portabilitate, opoziție).
- Serviciul oferă instrumente de autoservire pentru Persoanele Vizate, acolo unde este aplicabil: pagina de opt-in/opt-out permite lead-urilor să își gestioneze consimțământul pentru SMS și email, să vizualizeze starea consimțământului și să retragă consimțământul în orice moment.
- Gestionarea cuvintelor cheie SMS (STOP/START/HELP) actualizează automat starea consimțământului când lead-urile răspund la mesajele SMS.
- Operatorul poate șterge lead-uri individuale, ceea ce declanșează ștergerea în cascadă a tuturor notițelor, activităților, istoricului, relațiilor și stării de consimțământ asociate.
- Dacă Persoana Împuternicită primește o solicitare direct de la o Persoană Vizată, va informa prompt Operatorul și nu va răspunde solicitării fără instrucțiunile Operatorului, cu excepția cazului în care acest lucru este impus de lege.
8. Notificarea Incidentelor de Securitate
- Persoana Împuternicită va notifica Operatorul fără întârziere nejustificată și, în orice caz, în termen de 24 de ore de la momentul în care ia cunoștință de un Incident de Securitate care afectează Datele cu Caracter Personal prelucrate în temeiul prezentului DPA. Această notificare inițială poate fi preliminară și incompletă.
- O notificare detaliată va urma în termen de 48 de ore de la momentul luării la cunoștință a incidentului, incluzând, în măsura disponibilului: (a) o descriere a naturii incidentului, inclusiv categoriile și numărul aproximativ de Persoane Vizate și înregistrări afectate; (b) consecințele probabile ale incidentului; (c) măsurile luate sau propuse pentru a aborda incidentul și a atenua efectele acestuia; (d) numele și datele de contact ale persoanei de contact a Persoanei Împuternicite.
- Persoana Împuternicită va coopera cu Operatorul și va lua măsuri rezonabile pentru a asista în investigarea, atenuarea și remedierea Incidentului de Securitate.
- Persoana Împuternicită va păstra toate dovezile și jurnalele relevante legate de Incidentul de Securitate pentru o perioadă de cel puțin 12 luni.
- Notificarea unui Incident de Securitate de către Persoana Împuternicită nu va fi interpretată ca o recunoaștere a culpei sau responsabilității.
9. Transferuri internaționale de date
Unii Sub-împuterniciți sunt localizați în Statele Unite. Persoana Împuternicită se asigură că transferurile internaționale de Date cu Caracter Personal sunt protejate prin garanții adecvate:
- Stripe: Certificat în cadrul EU-U.S. Data Privacy Framework; Clauze Contractuale Standard.
- Resend: Clauze Contractuale Standard (CCS).
- Cloudflare: Certificat în cadrul EU-U.S. Data Privacy Framework; Clauze Contractuale Standard; Reguli Corporative Obligatorii.
- Google: Certificat în cadrul EU-U.S. Data Privacy Framework; Clauze Contractuale Standard.
Persoana Împuternicită monitorizează evoluțiile în legislația privind transferurile internaționale de date, efectuează Evaluări de Impact asupra Transferurilor pentru Sub-împuterniciții din SUA și menține Clauze Contractuale Standard ca mecanism suplimentar de transfer. Operatorul poate solicita copii ale documentației relevante privind mecanismul de transfer contactând [email protected].
10. Returnarea și ștergerea datelor
10.1 Pe durata Acordului
Operatorul poate exporta datele despre lead-uri și datele cu caracter personal în orice moment prin funcționalitățile de export integrate ale Serviciului (export date din setările profilului, acces API).
10.2 La încetarea Acordului
La încetarea Acordului, Persoana Împuternicită va:
- Continua să pună la dispoziția Operatorului datele pentru export pentru o perioadă minimă de 30 de zile după încetare.
- La solicitarea Operatorului, șterge toate Datele cu Caracter Personal prelucrate în numele Operatorului, cu excepția cazului în care stocarea este impusă de legislația UE sau a statului membru.
- Certifica în scris că toate Datele cu Caracter Personal au fost șterse, la solicitarea Operatorului.
10.3 Date reținute conform legii
Următoarele date sunt reținute după încetare, conform cerințelor legale sau al intereselor legitime de conformitate:
- Facturi fiscale (10 ani, legislația fiscală română — Legea 82/1991).
- Înregistrări din jurnalul de interacțiuni (evidențe de conformitate imutabile).
- Înregistrări din jurnalul de audit (evidențe de securitate imutabile).
11. Audituri
- Persoana Împuternicită va pune la dispoziția Operatorului toate informațiile rezonabil necesare pentru a demonstra conformitatea cu prezentul DPA și Articolul 28 din RGPD.
- Operatorul (sau auditorul terț desemnat de acesta, sub rezerva unor obligații rezonabile de confidențialitate) poate efectua audituri ale activităților de prelucrare a datelor ale Persoanei Împuternicite, cu un preaviz rezonabil (minimum 30 de zile) și în timpul programului normal de lucru.
- Auditurile se vor efectua cel mult o dată pe an, cu excepția cazului în care sunt solicitate de o autoritate de supraveghere sau în urma unui Incident de Securitate.
- Persoana Împuternicită poate satisface solicitările de audit prin furnizarea de certificări relevante, rapoarte de audit (de ex., SOC 2) sau dovezi de conformitate cu standardele aplicabile.
- Operatorul va suporta costurile oricărui audit pe care îl inițiază, cu excepția cazului în care auditul relevă neconformități materiale din partea Persoanei Împuternicite.
12. Răspunderea
Răspunderea fiecărei părți în temeiul prezentului DPA este supusă limitărilor de răspundere stabilite în Acord. Nimic din prezentul DPA nu limitează răspunderea vreunei părți pentru: (a) obligații care nu pot fi limitate în temeiul legislației aplicabile; (b) conduită intenționată greșită sau neglijență gravă; sau (c) răspundere decurgând din obligațiile de protecție a datelor în temeiul RGPD, inclusiv amenzile impuse de autoritățile de supraveghere.
13. Dispoziții generale
- Legea aplicabilă. Prezentul DPA este guvernat de legislația din România, în concordanță cu Acordul.
- Conflict. În cazul unui conflict între prezentul DPA și Acord, prezentul DPA va prevala în ceea ce privește aspectele de protecție a datelor.
- Modificări. Prezentul DPA poate fi modificat de Persoana Împuternicită pentru a reflecta schimbări în legislație, orientări de reglementare sau aranjamente cu Sub-împuterniciții, cu un preaviz de 30 de zile către Operator.
- Separabilitate. Dacă orice prevedere a prezentului DPA este considerată neexecutabilă, celelalte prevederi rămân pe deplin în vigoare.
Pentru întrebări despre prezentul DPA sau pentru a exercita drepturile prevăzute de acesta, contactați:
KodeKind S.R.L.
Întrebări privind confidențialitatea: [email protected]
Întrebări generale: [email protected]
Pentru practicile noastre complete de confidențialitate, consultați Politica de Confidențialitate.