DPA

Acord de prelucrare a datelor

Ultima actualizare: 10 februarie 2026

Introducere

Prezentul Acord de Prelucrare a Datelor („DPA") face parte integrantă din contractele și Termenii de utilizare a produselor și serviciilor („TOS") încheiate între Data Reshape S.R.L. („DATA Reshape") și utilizator („Beneficiar"). Acest DPA reglementează prelucrarea datelor cu caracter personal în conformitate cu Articolul 28(3) din Regulamentul (UE) 2016/679 (GDPR). Acest DPA se aplică tuturor operațiunilor de prelucrare a datelor cu caracter personal realizate în baza TOS-ului. În cazul în care acest DPA nu prevede altfel în mod expres, termenii TOS-ului, inclusiv legislația aplicabilă și modalitățile de soluționare a litigiilor, se aplică în mod corespunzător.

1. Definiții

1.1. TOS: Termenii de utilizare (inclusiv anexele acestora și/sau orice alte acorduri scrise între Părți) încheiate între DATA Reshape și Beneficiar.

1.2. Beneficiar: Utilizatorul produselor și serviciilor DATA Reshape, care are calitatea de operator al datelor cu caracter personal, în conformitate cu Regulamentul General privind Protecția Datelor (GDPR) al Uniunii Europene.

1.3. DATA Reshape: Data Reshape S.R.L., care prelucrează datele cu caracter personal în numele Beneficiarului, în calitate de Persoană Împuternicită (Processor), conform GDPR și Legea nr. 190/2018 privind măsuri de punere în aplicare a acestuia.

1.4. GDPR: Regulamentul UE 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date.

1.5. Date cu Caracter Personal: Orice informație referitoare la o persoană fizică identificată sau identificabilă („Persoana Vizată") care este prelucrată de DATA Reshape în numele Beneficiarului.

1.6. Încălcare a Securității Datelor (Data Breach): O breșă de securitate care duce la distrugerea accidentală sau ilegală, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la Datele cu Caracter Personal. Nu constituie Încălcare a Securității Datelor tentativele nereușite sau activitățile care nu compromit confidențialitatea, disponibilitatea sau integritatea datelor, inclusiv tentative nereușite de autentificare, scanări de porturi, atacuri de tip denial-of-service sau alte incidente similare.

2. Obiectul și scopul acordului

2.1. Pentru furnizarea Produselor și/sau Serviciilor către Beneficiar, DATA Reshape poate prelucra anumite Date cu Caracter Personal în numele Beneficiarului. Acest DPA reglementează prelucrarea acestor date pe durata TOS-ului și a Acordului.

2.2. DATA Reshape va prelucra Datele cu Caracter Personal exclusiv în conformitate cu prevederile Acordului, cu excepția cazului în care legislația aplicabilă impune altfel. Beneficiarul se obligă să respecte toate dispozițiile legale aplicabile privind protecția datelor.

2.3. Natura activităților de prelucrare implică un set de operațiuni, cum ar fi colectarea, înregistrarea, organizarea, structurarea, utilizarea, stocarea, ștergerea sau distrugerea datelor.

2.4. Prelucrarea datelor cu caracter personal se realizează în scopul furnizării produselor și serviciilor în conformitate cu termenii de utilizare, disponibile pe site-ul Data Reshape, setările specifice și implementările realizate de fiecare Beneficiar în parte, precum și în scopuri statistice.

3. Roluri și responsabilități

3.1. Roluri: Beneficiarul acționează în calitate de Operator, iar DATA Reshape în calitate de Persoană Împuternicită (Processor) în conformitate cu Regulamentul (UE) 2016/679 (GDPR) și cu Legea nr. 190/2018 privind măsuri de punere în aplicare a acestuia.

3.2. Conformitate Operator: Beneficiarul, în calitate de operator, este singurul responsabil pentru colectarea și prelucrarea legală a Datelor cu Caracter Personal. Beneficiarul se va asigura că dispune de o bază legală validă pentru prelucrarea și colectarea Datelor cu Caracter Personal și că își îndeplinește obligațiile ca operator, în conformitate cu GDPR și cu alte legi, reglementări și directive aplicabile privind prelucrarea sau colectarea datelor cu caracter personal.

3.3. Instrucțiuni: DATA Reshape, în calitate de persoană împuternicită, va prelucra Datele cu Caracter Personal în numele Beneficiarului și va acționa exclusiv conform prevederilor din Acord și pe baza instrucțiunilor scrise ale Operatorului (inclusiv setările tehnice din platformele DATA Reshape), cu excepția cazurilor în care legislația aplicabilă impune altfel. De asemenea, indicațiile suplimentare, rezonabile și formulate în scris de către Beneficiar, pot fi aplicate în cadrul operațiunilor de prelucrare realizate de DATA Reshape. DATA Reshape va informa imediat Operatorul dacă o instrucțiune încalcă reglementările GDPR. DATA Reshape va implementa măsuri tehnice și organizatorice adecvate pentru a proteja Datele cu Caracter Personal.

3.4. Responsabilitate colectare: DATA Reshape nu va monitoriza procesul de colectare sau prelucrare a Datelor cu Caracter Personal realizat de Beneficiar în cadrul utilizării acestuia a Produselor și/sau Serviciilor, iar Beneficiarul va fi singurul responsabil pentru deținerea drepturilor și permisiunilor necesare pentru utilizarea și divulgarea Datelor cu Caracter Personal în scopurile prevăzute în Acord. Beneficiarul se va asigura că are dreptul să transfere datele către DATA Reshape, astfel încât acesta să le poată prelucra, utiliza și transfera în mod legal, conform Acordului și prezentului DPA.

3.5. Autorizare: Beneficiarul autorizează prin prezenta DATA Reshape, în conformitate cu setările și implementările specifice realizate în scopul și la cererea sa, să colecteze, prelucreze și găzduiască datele cu caracter personal specificate în Articolul 5, primite direct prin încorporarea codurilor furnizate de DATA Reshape în website-urile sau aplicațiile Beneficiarului, și să utilizeze aceste date în scopul furnizării produselor și serviciilor DATA Reshape către Beneficiar.

4. Obligațiile Procesatorului

4.1. Confidențialitate: DATA Reshape garantează că persoanele autorizate să prelucreze datele s-au angajat să respecte confidențialitatea și au primit instruire adecvată privind protecția datelor.

4.2. Asistență: DATA Reshape va asista Operatorul în îndeplinirea obligației acestuia de a răspunde cererilor persoanelor vizate (acces, rectificare, ștergere, portabilitate, restricționare) prin furnizarea instrumentelor tehnice necesare, într-un termen rezonabil care să permită Operatorului respectarea termenelor legale aplicabile.

5. Prelucrarea Datelor cu Caracter Personal

5.1. Datele cu Caracter Personal furnizate în cursul utilizării Produselor și/sau a Serviciilor, folosite în website-urile și/sau aplicațiile controlate de Beneficiar, pot include, dar nu se limitează la următoarele categorii de Persoane Vizate:

  • - vizitatorii website-urilor sau aplicațiilor Beneficiarului;
  • - clienții sau potențialii clienți ai Beneficiarului.

5.2. DATA Reshape va prelucra Datele cu Caracter Personal exclusiv în scopul furnizării Produselor și/sau a Serviciilor către Beneficiar, conform prevederilor Acordului și ale TOS-ului.

5.3. DATA Reshape nu va transfera sau divulga Datele cu Caracter Personal către terți fără acordul prealabil scris al Beneficiarului, cu excepția cazurilor în care acest lucru este necesar pentru funcționarea Produselor și/sau Serviciilor la nivelul standard al Destinațiilor Beneficiarului sau este impus de legislația aplicabilă.

5.4. DATA Reshape va implementa măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului, ținând cont de stadiul actual al tehnologiei, costurile de implementare, natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscurile pentru drepturile și libertățile Persoanelor Vizate.

5.5. Tipurile specifice de Date cu Caracter Personal pot varia de la caz la caz, în funcție de datele pe care Beneficiarul decide să le prelucreze ca parte a utilizării Produselor și/sau a Serviciilor. Aceste Date cu Caracter Personal pot include, fără a se limita la, următoarele informații:

  • - Prenume
  • - Nume
  • - Adresă de e-mail
  • - Număr de telefon
  • - Adresă poștală
  • - Adresă IP
  • - Limbă
  • - Consimțăminte pentru marketing
  • - Informații despre activitățile desfășurate pe site-ul web și/sau magazinul online și/sau aplicațiile Beneficiarului
  • - Informații financiare
  • - Tipul dispozitivului
  • - Tipul browserului
  • - Marcaje temporale (pot include, dar nu se limitează la, ora vizitei, ora unui clic, ora unei achiziții)
  • - Informații despre comportamentul în publicitatea digitală (reclame pe platforme precum Google și Meta, marketing prin e-mail și SMS)
  • - Valori salvate în spațiile de stocare ale browserului prin care Persoanele Vizate accesează website-urile sau aplicațiile Beneficiarului
  • - Identificatori de cookie
  • - ID-uri de utilizator
  • - Valori de conversie
  • - Alte Date cu Caracter Personal pe care Beneficiarul decide să le transfere către DATA Reshape pentru a fi prelucrate în legătură cu furnizarea Produselor și/sau a Serviciilor

5.6. Datele personale pot fi prelucrate atâta timp cât Acordul dintre Beneficiar și DATA Reshape rămâne în vigoare, cu excepția cazului în care Beneficiarul dispune altfel, conform acestui DPA. După expirarea Acordului și încheierea relației cu Beneficiarul, DATA Reshape va șterge Datele Personale în termen de 30 zile, cu excepția cazului în care legislația aplicabilă impune păstrarea acestora pentru o perioadă mai lungă.

5.7. Perioada de păstrare este de maxim 30 de zile dacă Beneficiarul nu specifică altfel.

5.8. Frecvența transferului este continuă, pe toată durata relației contractuale.

5.9. Retenție Log-uri Server: Implicit 7-30 zile pentru diagnosticare și deduplicare.

6. Restricții privind datele sensibile

Serviciile DATA Reshape NU trebuie utilizate pentru colectarea sau transmiterea categoriilor speciale de date (Art. 9 GDPR - sănătate, religie, opinii politice, orientare sexuală). Operatorul este singurul responsabil pentru expunerea și prevenirea colectării acestor date prin configurări greșite.

7. Subprocesatori și transferuri internaționale

7.1. Autorizare Generală: DATA Reshape beneficiază de autorizare generală din partea Beneficiarului pentru utilizarea subprocesatorilor necesari furnizării Serviciilor.

7.2. Standarde: În cazul angajării unui subprocesator, DATA Reshape se va asigura că acesta va respecta aceleași standarde de protecție a datelor și de securitate stipulate în prezentul Acord.

7.3. Lista subprocesatorilor: Lista completă și actualizată a subprocesatorilor de infrastructură și de servicii este disponibilă pe pagina dedicată: Lista Subprocesatorilor.

7.4. Notificare Schimbări: DATA Reshape va notifica Beneficiarul despre orice modificare a listei de subprocesatori prin actualizarea paginii dedicate, cu un termen de 15 zile pentru obiecții justificate. Obiecțiile pot fi transmise la [email protected].

7.5. Transferuri internaționale: DATA Reshape poate transfera date cu caracter personal în afara Uniunii Europene (UE) sau a Spațiului Economic European (SEE), cu condiția ca aceste transferuri să fie conforme cu legislația și reglementările aplicabile în materie de protecție a datelor. Transferurile se realizează în baza Clauzelor Contractuale Standard (SCCs) ale Comisiei Europene sau a deciziilor de adecvare aplicabile. DATA Reshape va asigura că orice transferuri internaționale de date sunt efectuate în conformitate cu măsurile de protecție adecvate, așa cum sunt prevăzute de GDPR sau alte legi relevante de protecție a datelor.

8. Măsuri tehnice și organizatorice (TOMs)

DATA Reshape implementează standarde ridicate de securitate, incluzând:

8.1. Control acces: DATA Reshape a implementat măsuri tehnice și organizatorice pentru controlul accesului și prevenirea accesului neautorizat la Produse sau la Datele cu Caracter Personal.

8.2. Infrastructură: DATA Reshape găzduiește infrastructura produselor cu furnizori de infrastructură externalizați și multi-tenant. Măsurile de securitate fizică și de mediu ale acestor furnizori sunt auditate pentru conformitatea cu ISO 27001, printre alte certificări.

8.3. Autentificare: DATA Reshape a implementat o politică uniformă de parole destinată autentificării corecte și folosește o soluție SSO gestionată centralizat, cu suport pentru autentificare în doi pași (2FA). Sistemul impune credențiale de login personale și individuale cu reguli stricte pentru parole. Acces bazat pe roluri (RBAC).

8.4. Control Rețea: DATA Reshape a implementat mecanisme de control al accesului la rețea. Acestea sunt concepute pentru a preveni ca traficul de rețea utilizând protocoale neautorizate să ajungă la infrastructura produselor. Măsurile tehnice implementate diferă între furnizorii de infrastructură și includ atribuirea grupurilor de securitate și regulile tradiționale ale firewall-ului.

8.5. Criptare: Datele sunt criptate în tranzit folosind protocoale HTTPS/TLS disponibile pentru fiecare dintre interfețele sale. Implementarea HTTPS utilizează algoritmi și certificate standard din industrie.

8.6. Izolare: Containere de procesare dedicate sau izolate logic pentru a preveni mixarea și expunerea datelor între clienți.

8.7. Monitorizare: Sisteme de logare a accesului și detectare a anomaliilor în timp real.

8.8. Testare: DATA Reshape utilizează un sistem automatizat de testare pentru noile versiuni ale Produselor, care verifică corectitudinea componentelor modificate. Componentele care nu trec aceste teste nu vor fi implementate într-un mediu de producție.

9. Audit

9.1. DATA Reshape va pune la dispoziția Operatorului, la cerere, informațiile necesare pentru a demonstra conformitatea cu obligațiile prevăzute de Art. 28 GDPR, cum ar fi documentația privind măsurile de securitate implementate, certificările furnizorilor de infrastructură (ISO 27001) sau rapoarte sintetice privind conformitatea.

9.2. În cazul în care documentația furnizată conform art. 9.1 nu este suficientă, Operatorul poate solicita un audit, cu respectarea următoarelor condiții:

  • - notificare prealabilă de minimum 14 zile;
  • - maximum un audit pe an, cu excepția cazului în care auditul este impus de o autoritate de supraveghere;
  • - auditul se desfășoară în timpul programului normal de lucru, fără a afecta operațiunile DATA Reshape;
  • - auditorul nu poate fi un concurent direct al DATA Reshape;
  • - auditul va fi limitat la verificarea conformității cu obligațiile din prezentul DPA și nu va include accesul la codul sursă, arhitectura tehnică proprietară sau datele altor Beneficiari;
  • - auditorul va semna un acord de confidențialitate înainte de desfășurarea auditului;
  • - costurile auditului vor fi suportate integral de Operator.

10. Notificarea încălcărilor de securitate

Incidentelor de securitate suspecte și confirmate li se acordă atenție de către personalul de securitate, operațiuni sau suport. Acestea sunt identificate și documentate cu pașii corespunzători pentru rezolvare. Pentru orice incidente confirmate, DATA Reshape va lua măsuri adecvate pentru a minimiza daunele sau divulgarea neautorizată. DATA Reshape va notifica Operatorul despre orice Încălcare a Securității Datelor, conform definiției de la art. 1.6, „fără întârzieri nejustificate" și, în orice caz, în maximum 72 de ore de la identificarea incidentului.

11. Ștergerea datelor

11.1. La încetarea relației contractuale, DATA Reshape va șterge toate datele personale reziduale din sistemele sale de tranzit (log-uri tehnice, cache) în termen de 30 zile, cu excepția cazului în care legislația UE sau română impune stocarea acestora.

11.2. La cererea Operatorului, formulată înainte de expirarea termenului de 30 zile menționat la art. 11.1, DATA Reshape poate returna Datele cu Caracter Personal într-un format structurat, utilizabil (JSON sau CSV). Returnarea datelor se realizează contra cost, în funcție de volumul și complexitatea datelor solicitate.

12. Lege aplicabilă și jurisdicție

12.1. Prezentul DPA va fi interpretat și aplicat în conformitate cu legislația României.

12.2. Orice dispută, controversă sau pretenție derivând din sau legată de acest DPA, sau de încălcarea, rezilierea ori valabilitatea acestuia, va fi soluționată definitiv pe cale amiabilă. În cazul în care acest lucru nu este posibil, orice astfel de dispută va fi supusă instanței judecătorești competente conform legislației din România.

13. Modificări

13.1. DATA Reshape poate actualiza prezentul DPA pentru a reflecta modificări ale practicilor de prelucrare sau ale legislației aplicabile. Versiunea actualizată va fi publicată pe această pagină, iar Beneficiarii vor fi notificați despre schimbările substanțiale.

Produse & Servicii

Utile

Legal

Data Reshape logo
Contact

© 2023 - 2026 DATA Reshape. All rights reserved.