Acord de prelucrare a datelor (DPA)

Ultima actualizare: iulie 2026

These legal terms are provided in Romanian, the governing language of DeviDevs Technologies S.R.L. Contact us at contact@devidevs-agency.com for questions.

Prezentul Acord de Prelucrare a Datelor (DPA) se încheie între Persoana Împuternicită, DeviDevs Technologies S.R.L., societate constituită conform legislației din România, cu sediul social în Aleea Textiliștilor 7, Bl. MY12, Sc. 2, Et. 8, Ap. 63, Sector 3, București, înregistrată la Registrul Comerțului sub nr. J40/13982/2023, CUI 48553919 ("Persoana Împuternicită", "DeviDevs", "noi"), și Operatorul de Date, entitatea identificată în Contractul de Servicii care a executat sau a acceptat Termenii și Condițiile Platformei DeviDevs Newsletter ("Operatorul", "Clientul", "dumneavoastră"), denumite colectiv "Părțile".

1. Definiții

- Legislația Aplicabilă privind Protecția Datelor | GDPR (Regulamentul (UE) 2016/679), Legea nr. 190/2018, Legea nr. 506/2004, Directiva 2002/58/CE (ePrivacy), Regulamentul (UE) 2024/1689 (EU AI Act) și Regulamentul (UE) 2023/2854 (Data Act) - Operatorul | Persoana care stabilește scopurile și mijloacele de prelucrare (GDPR art. 4(7)). În prezentul DPA, Clientul. - Încălcarea Securității Datelor | O încălcare care duce la distrugerea, pierderea, modificarea, divulgarea sau accesul neautorizat la Date cu Caracter Personal (art. 4(12)) - Persoana Vizată | O persoană fizică identificată sau identificabilă (art. 4(1)). În principal abonații și contactele Operatorului. - Persoana Împuternicită | Persoana care prelucrează date în numele Operatorului (art. 4(8)). În prezentul DPA, DeviDevs. - Sub-împuternicit | Orice terț angajat de Persoana Împuternicită pentru a prelucra date în numele Operatorului - Clauzele Contractuale Standard (CCS) | Clauzele adoptate prin Decizia (UE) 2021/914 din 4 iunie 2021 - Autoritatea de Supraveghere | Pentru România: ANSPDCP - MTO | Măsurile tehnice și organizatorice descrise în Anexa 2

2. Domeniu de aplicare și roluri

2.1. Prezentul DPA se aplică prelucrării de către Persoana Împuternicită în numele Operatorului în legătură cu furnizarea serviciilor Platformei.

2.2. Operatorul stabilește scopurile și mijloacele și este responsabil pentru: legalitatea colectării și prelucrării, inclusiv obținerea și menținerea consimțământului valid; furnizarea de instrucțiuni documentate; respectarea întregii Legislații Aplicabile privind Protecția Datelor.

2.3. Persoana Împuternicită prelucrează datele exclusiv în numele și conform instrucțiunilor documentate ale Operatorului (Anexa 1).

2.4. Prezentul DPA completează și face parte integrantă din Contractul de Servicii; în caz de conflict pe chestiuni de protecție a datelor, DPA prevalează.

2.5. Persoana Împuternicită oferă garanții suficiente pentru măsuri tehnice și organizatorice adecvate (art. 28(1)).

3. Obiectul, natura, scopul și durata prelucrării

3.1. Detaliile prelucrării sunt stabilite în Anexa 1 și includ: obiectul și durata; natura și scopul; tipul de date; categoriile de Persoane Vizate.

3.2. Durata prelucrării va fi termenul Contractului de Servicii, cu excepția cazului în care se prevede altfel sau este impus de lege.

4. Obligațiile Operatorului

4.1. Temei juridic. Operatorul garantează un temei juridic valid conform art. 6(1): consimțământ (lit. a) pentru marketing; executarea unui contract (lit. b); interes legitim (lit. f) acolo unde este documentat.

4.2. Gestionarea consimțământului. Operatorul va: obține consimțământ liber, specific, informat și lipsit de ambiguitate (art. 4(11), art. 7; Ghidul CEPD 05/2020); menține evidențe verificabile (identitatea Persoanei Vizate, data și ora, informațiile furnizate, metoda); respecta Legea nr. 506/2004 art. 12; asigura că retragerea este la fel de ușoară ca acordarea (art. 7(3)).

4.3. Instrucțiuni documentate. Utilizarea Platformei conform Contractului de Servicii și prezentului DPA constituie instrucțiunile documentate complete ale Operatorului.

4.4. Conformitate. Operatorul asigură conformitatea conținutului emailurilor cu: Legea nr. 506/2004 art. 12; Legea nr. 365/2002; CAN-SPAM Act (destinatari SUA); Politica Anti-Spam și Politica de Utilizare Acceptabilă.

5. Obligațiile Persoanei Împuternicite

5.1. Prelucrarea conform instrucțiunilor (art. 28(3)(a)). Persoana Împuternicită prelucrează datele numai pe baza instrucțiunilor documentate, inclusiv privind transferurile. Dacă este obligată legal să prelucreze altfel, informează Operatorul înainte, cu excepția cazului în care legea interzice. Informează imediat dacă o instrucțiune încalcă GDPR.

5.2. Confidențialitate (art. 28(3)(b)). Toate persoanele autorizate s-au angajat să respecte confidențialitatea; accesul este limitat la personalul care are nevoie.

5.3. Măsuri de securitate (art. 28(3)(c), art. 32). Implementează și menține măsuri adecvate (Anexa 2): pseudonimizare și criptare; asigurarea confidențialității, integrității, disponibilității și rezilienței; capacitatea de restabilire în timp util; testare și evaluare periodică.

5.4. Sub-împuternicire (art. 28(2), (3)(d), (4)). Operatorul acordă o autorizare generală scrisă de a angaja Sub-împuterniciți (Anexa 3). Persoana Împuternicită notifică orice modificare cu cel puțin treizeci (30) de zile înainte, oferind posibilitatea de a formula obiecții. Dacă Operatorul obiectează pe motive rezonabile, Persoana Împuternicită depune eforturi pentru o alternativă; dacă nu poate oferi una în 30 de zile, Operatorul poate rezilia partea afectată cu rambursare proporțională. Persoana Împuternicită impune Sub-împuternicitului aceleași obligații prin contract scris și rămâne pe deplin responsabilă.

5.5. Asistență privind drepturile Persoanelor Vizate (art. 28(3)(e)). Asistă Operatorul pentru răspunsul la cererile din Capitolul III GDPR (art. 15-22). Dacă o Persoană Vizată contactează direct Persoana Împuternicită, aceasta redirecționează cererea către Operator și nu răspunde direct fără autorizare. Platforma oferă instrumente self-service (export, modificare, ștergere).

5.6. Asistență privind obligațiile de conformitate (art. 28(3)(f)). Asistă Operatorul pentru art. 32-36 GDPR: securitatea prelucrării; notificarea încălcărilor către Autoritate; comunicarea către Persoana Vizată; DPIA; consultarea prealabilă.

5.7. Ștergerea și returnarea datelor (art. 28(3)(g)). La încetare, la alegerea Operatorului, returnează toate datele în format prelucrabil automat (CSV sau JSON) sau le șterge, în termen de treizeci (30) de zile, cu excepția păstrării impuse legal. Furnizează confirmare scrisă a ștergerii la cerere.

5.8. Audit și demonstrarea conformității (art. 28(3)(h)). Pune la dispoziție toate informațiile necesare și permite audituri o dată pe an calendaristic (sau mai frecvent dacă este impus de Autoritate sau în urma unei încălcări), cu notificare prealabilă de 30 de zile, în timpul programului de lucru, cu NDA pentru auditor. Ca alternativă, poate furniza rapoarte de audit, certificări sau evaluări ale unor terți calificați.

6. Sub-împuterniciții

6.1. Operatorul este de acord ca Persoana Împuternicită poate angaja Sub-împuterniciții enumerați în Anexa 3.

6.2. Persoana Împuternicită menține o listă actualizată a Sub-împuterniciților, disponibilă la cerere și publicată pe site.

6.3. Procedura de notificare și obiecție este descrisă în Secțiunea 5.4.

6.4. Persoana Împuternicită rămâne pe deplin responsabilă față de Operator pentru îndeplinirea obligațiilor Sub-împuternicitului (art. 28(4)).

7. Transferuri internaționale de date

7.1. Persoana Împuternicită nu transferă date în afara SEE decât dacă: există o decizie de adecvare (art. 45); sunt instituite garanții adecvate precum CCS (art. 46(2)(c), Decizia (UE) 2021/914); sau transferul se încadrează într-o derogare permisă (art. 49).

7.2. Transferurile actuale sunt descrise în Anexa 3. Pentru transferurile către SUA, Persoana Împuternicită se bazează pe decizia de adecvare EU-US DPF (10 iulie 2023), când Sub-împuternicitul este certificat, și/sau pe CCS (Modulul 3) ca garanție suplimentară sau alternativă.

7.3. Persoana Împuternicită efectuează și documentează o Evaluare a Impactului Transferului (EIT) pentru fiecare transfer, evaluând legislația și practicile privind accesul guvernamental, eficacitatea garanțiilor și măsurile suplimentare necesare.

7.4. Dacă legislația unei țări împiedică Sub-împuternicitul să își îndeplinească obligațiile CCS, Persoana Împuternicită notifică prompt Operatorul și ia măsuri rezonabile, inclusiv Sub-împuterniciți alternativi în SEE.

8. Notificarea Încălcării Securității Datelor

8.1. Persoana Împuternicită notifică Operatorul cu privire la o Încălcare a Securității Datelor fără întârzieri nejustificate și nu mai târziu de patruzeci și opt (48) de ore de la momentul în care a luat cunoștință (obligație contractuală; cf. art. 33(2)).

8.2. Notificarea va include, cel puțin: descrierea naturii încălcării, categoriile și numărul aproximativ de Persoane Vizate și de înregistrări afectate; datele de contact ale persoanei de contact; consecințele probabile; măsurile luate sau propuse pentru remediere și atenuare.

8.3. Când nu este posibilă furnizarea tuturor informațiilor simultan, acestea se furnizează în etape.

8.4-8.6. Persoana Împuternicită cooperează cu Operatorul, asistă la investigare, atenuare și remediere, asistă Operatorul în obligațiile din art. 33 și 34 și documentează toate încălcările (art. 33(5)).

8.7. Notificarea nu constituie o recunoaștere a vreunei culpe sau răspunderi.

9. Drepturile Persoanelor Vizate

9.1. Persoana Împuternicită asistă Operatorul în răspunsul la cererile Persoanelor Vizate, conform Secțiunii 5.5.

9.2. Platforma oferă instrumente self-service: acces și portabilitate (export CSV); rectificare (editare prin interfață); ștergere (funcționalitate de ștergere a abonaților); restricționare (statut activ/inactiv); opoziție (mecanism de dezabonare în fiecare email).

9.3. În măsura în care Operatorul nu poate răspunde independent, Persoana Împuternicită furnizează asistență rezonabilă, pe cheltuiala Operatorului.

10. Evaluarea Impactului asupra Protecției Datelor

10.1. Persoana Împuternicită furnizează asistență rezonabilă pentru orice DPIA pe care Operatorul trebuie să o efectueze (art. 35).

10.2. Furnizează asistență rezonabilă în contextul oricărei consultări prealabile cu Autoritatea de Supraveghere (art. 36).

11. Păstrarea datelor

11.1. Persoana Împuternicită prelucrează datele numai pe durata Contractului de Servicii, cu excepția dispozițiilor scrise ale Operatorului sau a cerințelor legale.

11.2. Nu păstrează datele mai mult decât este necesar pentru scopurile din Anexa 1.

11.3. Perioade specifice de păstrare: - Date ale abonaților (email, nume, etichete) | Durata Contractului + 30 de zile | Executarea contractului - Date privind interacțiunea (deschideri, click-uri) | Durata Contractului + 30 de zile | Executarea contractului - Evidențe ale consimțământului | Durata Contractului + 3 ani | Obligație legală (dovada consimțământului) - Jurnale de trimitere email | 12 luni de la trimitere | Interes legitim (livrabilitate) - Jurnale de audit | 12 luni | Securitate și conformitate - Copii de rezervă | Maximum 30 de zile de la ștergerea principală | Necesitate tehnică

12. Răspunderea

12.1. Răspunderea fiecărei Părți este supusă limitărilor din Contractul de Servicii, cu excepția: răspunderii față de Persoanele Vizate conform art. 82 GDPR (nu poate fi limitată); răspunderii pentru încălcări ale CCS (nu va fi limitată).

12.2. Operatorul despăgubește Persoana Împuternicită pentru costuri, pretenții, daune sau cheltuieli rezultate din: încălcarea de către Operator a legislației privind protecția datelor; instrucțiunile Operatorului care încalcă GDPR (când a fost informat conform 5.1.3); pretențiile Persoanelor Vizate din neobținerea sau nemenținerea unui consimțământ valid.

12.3. Persoana Împuternicită despăgubește Operatorul pentru costuri rezultate din: încălcarea obligațiilor sale din prezentul DPA; prelucrarea datelor în afara sau contrar instrucțiunilor documentate legale, cu excepția cazului în care este impus de lege.

13. Legea aplicabilă și jurisdicția

13.1. Prezentul DPA este guvernat de legislația din România, cu respectarea GDPR și a Legii nr. 190/2018.

13.2. Orice litigii vor fi supuse jurisdicției exclusive a instanțelor competente din București, România.

13.3. Autoritatea de Supraveghere competentă este ANSPDCP, B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, cod poștal 010336, București, România.

14. Durata și încetarea

14.1. Prezentul DPA intră în vigoare la data de intrare în vigoare a Contractului de Servicii (sau la data primei prelucrări, care survine mai devreme) și rămâne în vigoare pe durata Contractului.

14.2. Secțiunile 5.7, 5.8, 8, 11, 12 și 13 vor supraviețui încetării sau expirării.

14.3. Oricare Parte poate rezilia imediat prin notificare scrisă dacă cealaltă încalcă substanțial DPA și nu remediază în 30 de zile.

15. Dispoziții diverse

15.1. Forma scrisă. Prezentul DPA este în formă scrisă (art. 28(9)); modificările se fac în scris și semnate de ambele Părți (semnături electronice acceptate).

15.2. Separabilitate. O prevedere invalidă se înlocuiește cu una validă care reflectă cel mai fidel intenția originală.

15.3. Integralitatea acordului. DPA, împreună cu anexele, constituie întregul acord privind prelucrarea și înlocuiește negocierile anterioare.

15.4. Actualizări. Persoana Împuternicită poate actualiza DPA pentru a reflecta modificări legislative, cu condiția să nu diminueze semnificativ protecția; Operatorul este notificat cu cel puțin 30 de zile în avans.

Anexa 1: Detalii ale prelucrării

A. Părțile. Exportatorul de date (Operatorul): entitatea identificată în Contractul de Servicii; rol Operator (art. 4(7)). Importatorul de date (Persoana Împuternicită): DeviDevs Technologies S.R.L., Aleea Textiliștilor 7, Bl. MY12, Sc. 2, Et. 8, Ap. 63, Sector 3, București; persoana de contact contact@devidevs-agency.com; rol Persoana Împuternicită (art. 4(8)).

B. Descrierea prelucrării: - Obiectul | Furnizarea Platformei DeviDevs Newsletter, serviciu SaaS de email marketing și automatizare - Durata | Termenul Contractului de Servicii - Natura prelucrării | Stocare, organizare, structurare, extragere, utilizare, divulgare prin transmitere (trimiterea emailurilor) și ștergere - Scopul | (1) Stocarea și gestionarea listelor de abonați; (2) Trimiterea campaniilor și secvențelor automatizate; (3) Urmărirea indicatorilor de interacțiune; (4) Analize și rapoarte; (5) Gestionarea consimțământului și preferințelor - Categorii de Persoane Vizate | Abonații Operatorului; clienții și prospecții care au optat pentru comunicări; contactele importate în Platformă - Categorii de date | (1) Adresa de email; (2) Numele; (3) Etichete și segmente; (4) Marca temporală și metoda consimțământului; (5) Date de interacțiune; (6) Starea și preferințele de abonare; (7) Adresa IP la abonare, dacă este colectată - Categorii speciale (art. 9) | Nu se aplică. Operatorul nu va încărca date speciale fără acordul prealabil scris. - Frecvența transferului | Continuu, pe durata Contractului

C. Autoritatea de Supraveghere competentă: ANSPDCP, România.

Anexa 2: Măsuri tehnice și organizatorice

1. Criptare: TLS 1.2 sau superior în tranzit; AES-256 la stocare (Supabase PostgreSQL, copii de rezervă criptate); credențialele SES per client criptate cu Fernet (AES-128-CBC); secrete critice în Supabase Vault, chei API în variabile de mediu (nu în codul sursă).

2. Controlul accesului: autentificare JWT prin Supabase Auth; Row Level Security la nivel de bază de date plus filtrare după client_id (apărarea în profunzime); principiul privilegiului minim; acces administrativ bazat pe roluri; politică de parole aplicată prin Supabase Auth.

3. Disponibilitate și reziliență: baza de date Supabase în UE (eu-central-1, Frankfurt) cu copii de rezervă automatizate; backend pe Render (Frankfurt), frontend pe Vercel (CDN global); verificări de sănătate la fiecare 10 minute (pg_cron), monitorizare externă (UptimeRobot); recuperare punct-în-timp, aplicație fără stare.

4. Copii de rezervă: copii zilnice automatizate; păstrare conform planului Supabase (minimum 7 zile); testarea periodică a recuperării.

5. Jurnalizare și monitorizare: tabelul audit_log înregistrează operațiunile semnificative; jurnalizare structurată prin Render; monitorizarea și alertarea erorilor; urmărire per email a livrării.

6. Detectarea încălcărilor: monitorizare automatizată a ratei de respingere (prag <5%) și de reclamații (prag <0,1%) prin webhook-uri SES/SNS; detectarea anomaliilor; plan documentat de răspuns la incidente.

7. Personal: angajamente de confidențialitate; instruire privind protecția datelor; revizuirea periodică a accesului.

8. Securitatea furnizorilor: evaluarea Sub-împuterniciților înainte de angajare; garanții contractuale echivalente; monitorizare continuă.

Anexa 3: Lista Sub-împuterniciților

Următorii Sub-împuterniciți sunt autorizați să prelucreze Date cu Caracter Personal în numele Operatorului: Sub-împuternicit | Entitate | Scop | Locație | Mecanism de transfer - Supabase Inc. | Supabase, Inc. (Delaware, SUA; sediu Singapore) | Găzduire bază de date PostgreSQL | UE (Frankfurt, eu-central-1) | N/A (date în UE) - Amazon Web Services (SES) | Amazon Web Services, Inc. (SUA) | Livrare email | UE/SUA | EU-US DPF + CCS (AWS DPA) - Render Inc. | Render Services, Inc. (SUA) | Găzduire backend API | UE (Frankfurt) | N/A (date în UE) - Vercel Inc. | Vercel, Inc. (SUA) | Găzduire frontend (Next.js) | SUA (Edge: global) | EU-US DPF + CCS - Anthropic PBC | Anthropic, PBC (SUA) | Generare de conținut AI (Claude) | SUA | CCS - Google LLC | Google LLC (SUA) | Generare de conținut AI (Gemini) | SUA | EU-US DPF + CCS (Google DPA) - Resend Inc. | Plus Five Five, Inc. d/b/a Resend (SUA) | Livrare email (opțional) | SUA | CCS

Note: datele abonaților (email, nume) sunt stocate în UE (Supabase Frankfurt); baza de date principală nu părăsește niciodată UE. Serviciile AI (Anthropic, Google) primesc doar prompturi și date tematice, niciun PII al abonaților. Vercel găzduiește frontendul; PII-ul abonaților este preluat client-side prin apeluri API către backend (Render, UE) și nu este stocat pe serverele Vercel. Persoana Împuternicită notifică Operatorul cu cel puțin 30 de zile înainte de adăugarea sau înlocuirea unui Sub-împuternicit.

Anexa 4: Clauzele Contractuale Standard

Acolo unde transferurile către țări terțe sunt efectuate conform Anexei 3, se aplică Clauzele Contractuale Standard adoptate prin Decizia (UE) 2021/914 din 4 iunie 2021: Modulul 2 (Operator către Persoana Împuternicită) pentru transferuri de la Operator (SEE) către Sub-împuterniciți în afara SEE; Modulul 3 (Persoana Împuternicită către Sub-împuternicit) pentru transferuri de la DeviDevs către Sub-împuterniciți în afara SEE. CCS sunt încorporate prin referință și disponibile la https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj.

Selecții aplicabile CCS: - Clauza 7 (Clauza de aderare) | Inclusă - Clauza 9 (Sub-împuterniciți) | Opțiunea 2: Autorizare generală scrisă (perioada de notificare 30 de zile) - Clauza 11 (Căi de atac) | Prevederea opțională NU este inclusă - Clauza 13 (Supraveghere) | Autoritatea competentă: ANSPDCP (România) - Clauza 17 (Legea aplicabilă) | Legea română - Clauza 18 (Forumul și jurisdicția) | Instanțele din București, România