Registru Companii

Acord de prelucrare a datelor (DPA)

Ultima actualizare: 10 mai 2026 · Versiunea 2.0

Acest Acord de Prelucrare a Datelor („DPA”) reglementează prelucrarea datelor cu caracter personal de către Registru Companii („Persoana împuternicită”) în numele clientului care utilizează Platforma în calitate de operator („Operatorul”), în legătură cu Termenii și condițiile aplicabile. DPA respectă art. 28 din Regulamentul (UE) 2016/679 („GDPR”) și se aplică automat la momentul activării unui plan plătit ce implică transmiterea către Platformă a unor date personale ale terților prin API sau alte mecanisme.

Pentru clienții care au nevoie de un DPA negociat sau semnat separat (ex. forma scriptică cerută de procedurile interne de conformitate), trimiteți o cerere la [email protected] și vom furniza o versiune executabilă.

1. Părțile

  • Operator: clientul Platformei, persoană juridică ce stabilește scopurile și mijloacele prelucrării datelor încărcate sau interogate prin Servicii.
  • Persoană împuternicită: [Denumire societate] S.R.L., cu sediul în [adresă], înregistrată la Registrul Comerțului sub nr. J[—]/[—]/[—], CUI [—], care prelucrează datele exclusiv în numele și pe baza instrucțiunilor Operatorului.

2. Obiectul și durata

Obiectul DPA îl constituie prelucrarea datelor personale necesare furnizării Serviciilor Platformei descrise în Termeni. Durata corespunde duratei contractului principal; obligațiile privind confidențialitatea, restituirea/ștergerea și răspunderea supraviețuiesc încetării contractului în limitele prevăzute de GDPR.

3. Natura, scopul și categoriile prelucrării

ElementDescriere
Natura prelucrăriiStocare, organizare, structurare, consultare, utilizare, transmitere internă, ștergere — exclusiv pentru a permite funcționarea Serviciilor.
ScopFurnizarea funcționalităților comandate de Operator: căutare, vizualizare, monitorizare, export, acces API.
Categorii de persoane vizateUtilizatorii Operatorului care accesează Platforma; după caz, persoanele fizice ce apar în sursele publice oficiale interogate (ex. administratori ai societăților).
Categorii de dateDate de identificare a utilizatorului (email, nume), credențiale tehnice (chei API), jurnale de utilizare. Persoana împuternicită nu prelucrează categorii speciale de date conform art. 9 GDPR și nu solicită Operatorului transmiterea unor astfel de date.

4. Obligațiile Persoanei împuternicite

În conformitate cu art. 28 alin. (3) GDPR, Persoana împuternicită:

  • prelucrează datele numai pe baza instrucțiunilor documentate ale Operatorului, inclusiv în privința transferurilor internaționale, cu excepția cazurilor impuse de dreptul Uniunii sau dreptul intern;
  • se asigură că persoanele autorizate să prelucreze datele s-au angajat la confidențialitate sau au o obligație legală de confidențialitate;
  • implementează măsuri tehnice și organizatorice adecvate (art. 32 GDPR) — a se vedea secțiunea 7;
  • respectă condițiile pentru recurgerea la sub-procesatori (secțiunea 5);
  • asistă Operatorul, în măsura posibilului, prin măsuri tehnice și organizatorice adecvate, pentru a răspunde cererilor persoanelor vizate (art. 12-22 GDPR);
  • asistă Operatorul în îndeplinirea obligațiilor prevăzute la art. 32-36 GDPR (securitate, notificare breșe, DPIA, consultare prealabilă);
  • la încetarea contractului, la alegerea Operatorului, șterge sau returnează toate datele personale și șterge copiile existente, cu excepția situațiilor în care păstrarea este impusă de dreptul Uniunii sau de dreptul intern;
  • pune la dispoziția Operatorului toate informațiile necesare pentru a demonstra respectarea obligațiilor și permite audituri, în condițiile secțiunii 9.

Persoana împuternicită informează imediat Operatorul dacă, în opinia sa, o instrucțiune încalcă GDPR sau alte dispoziții privind protecția datelor.

5. Sub-procesatori

Operatorul autorizează în mod general Persoana împuternicită să recurgă la sub-procesatori pentru a furniza Serviciile. Sub-procesatorii sunt selectați din următoarele categorii funcționale, toate asigurând garanții suficiente conform art. 28 alin. (4) GDPR:

  • furnizori de infrastructură de găzduire localizați în Uniunea Europeană;
  • furnizori de servicii de transmitere a emailurilor tranzacționale;
  • procesatori de plăți pentru abonamente și facturare;
  • furnizori de servicii operaționale conexe (jurnalizare, monitorizare, copii de siguranță) cu sediul/infrastructura în UE/SEE.

Lista nominală a sub-procesatorilor activi se comunică la cerere și este menținută intern. Persoana împuternicită notifică Operatorul cu cel puțin 30 de zile înainte de orice modificare a sub-procesatorilor (adăugare sau înlocuire). Operatorul poate obiecta din motive rezonabile legate de protecția datelor; dacă obiecția nu poate fi soluționată tehnic, fiecare parte poate înceta contractul, cu rambursarea pro-rata a perioadei plătite și neutilizate.

Persoana împuternicită impune sub-procesatorilor obligații cel puțin echivalente celor prevăzute în prezentul DPA și răspunde față de Operator pentru îndeplinirea acestor obligații.

6. Transferuri internaționale

Stocarea principală a datelor are loc în Uniunea Europeană. Pentru eventuale transferuri în afara SEE, Persoana împuternicită aplică unul dintre mecanismele prevăzute în Capitolul V GDPR — decizie de adecvare a Comisiei Europene, clauze contractuale standard, reguli corporatiste obligatorii sau alte garanții corespunzătoare. La cerere, furnizează Operatorului dovada mecanismului utilizat.

7. Măsuri tehnice și organizatorice (art. 32 GDPR)

  • Confidențialitate: control de acces bazat pe rol, principiul privilegiului minim, autentificare cu parolă (Argon2id) și opțional 2FA (TOTP cu secret criptat Fernet la repaus).
  • Integritate: jurnale de audit pentru acțiunile administrative, semnături criptografice acolo unde este aplicabil, controale de schimbări versionate.
  • Disponibilitate: copii de siguranță periodice, monitorizare a indisponibilităților, plan de recuperare în caz de dezastru.
  • Reziliență: izolarea mediilor (producție/test), separarea credențialelor, limitarea ratei pe API.
  • Criptare în tranzit: HTTPS/TLS 1.2+ pe toate conexiunile externe.
  • Criptare la repaus: aplicată secretelor sensibile (TOTP), parolele fiind stocate exclusiv ca hash.
  • Testare periodică: evaluări de securitate, scanări de vulnerabilități, revizuirea controalelor.
  • Personal: instruire periodică privind protecția datelor și obligații de confidențialitate.

8. Notificarea breșelor

Persoana împuternicită notifică Operatorul fără întârzieri nejustificate, în maxim 72 de ore de la luarea la cunoștință a unei breșe de securitate care afectează datele Operatorului, furnizând informațiile relevante (natura breșei, categoriile și numărul aproximativ de persoane vizate, consecințele probabile, măsurile luate sau propuse). Cooperează la îndeplinirea obligațiilor de notificare ale Operatorului față de ANSPDCP și persoanele vizate.

9. Audit

Persoana împuternicită pune la dispoziția Operatorului, la cerere scrisă rezonabilă, documentația privind măsurile tehnice și organizatorice și permite, cu un preaviz de cel puțin 30 de zile, audituri (inclusiv inspecții), efectuate de Operator sau de un auditor mandatat acceptat de comun acord, în limitele necesare verificării conformității cu prezentul DPA. Auditurile se desfășoară în timpul programului obișnuit, fără a perturba activitatea curentă, și nu pot privi date ale altor clienți. Costurile rezonabile de pregătire a auditului pot fi suportate de Operator, cu excepția cazurilor în care auditul evidențiază o încălcare materială a DPA.

10. Asistență la cererile persoanelor vizate

Persoana împuternicită oferă asistență tehnică rezonabilă Operatorului pentru a răspunde cererilor persoanelor vizate (acces, rectificare, ștergere, restricționare, portabilitate, opoziție). În cazul în care Persoana împuternicită primește direct o cerere, o redirecționează către Operator fără să-i răspundă, cu excepția cazului în care i s-a permis să o facă.

11. Răspundere

Răspunderea părților pentru încălcarea prezentului DPA este reglementată de Termenii principali aplicabili. Răspunderea pentru daune față de persoanele vizate, conform art. 82 GDPR, urmează regimul prevăzut de lege.

12. Încetare

La încetarea raporturilor contractuale, Persoana împuternicită, la alegerea Operatorului, returnează datele într-un format uzual sau le șterge, inclusiv copiile, cu excepția cazurilor în care păstrarea este cerută imperativ de lege. Confirmarea ștergerii este furnizată la cerere.

13. Lege aplicabilă

Prezentul DPA este guvernat de legea română. Litigiile se soluționează în condițiile prevăzute în Termenii principali.

14. Contact

Pentru orice cerere privind acest DPA — solicitare de versiune semnată, cerere de listă sub-procesatori, declanșare audit: [email protected].

Document șablon de tipul „contract de aderare” pentru clienții API ai Platformei. Pentru entități cu cerințe specifice (sectoare reglementate, sector public, instituții financiare), recomandăm validarea suplimentară de către un avocat sau DPO.