Acord de Prelucrare a Datelor (DPA)

Ultima actualizare: 1 aprilie 2025

1. Părțile

Prezentul Acord de Prelucrare a Datelor (“Acordul” sau “DPA”) este încheiat în temeiul articolului 28 din Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (“GDPR”), între:

  • Clientul (“Operatorul de date” / “Data Controller”) — persoana juridică care utilizează platforma AI Simplu în baza unui abonament activ, astfel cum este identificată în contul de utilizator;
  • AI Simplu SRL, societate comercială înregistrată în România (“Persoana împuternicită” / “Data Processor”) — operatorul platformei AI Simplu, accesibilă la adresa aisimplu.ro.

Operatorul și Persoana împuternicită sunt denumite în mod colectiv “Părțile” și individual “Partea”.

2. Obiectul acordului

Prezentul Acord reglementează condițiile în care Persoana împuternicită prelucrează datele cu caracter personal în numele Operatorului, în cadrul furnizării serviciilor platformei AI Simplu. Platforma este destinată generării documentației de conformitate cu cerințele prevăzute de Articolul 4 din Regulamentul (UE) 2024/1689 privind inteligența artificială (“EU AI Act”), inclusiv generarea politicilor interne privind utilizarea inteligenței artificiale, administrarea modulelor de instruire a angajaților și emiterea certificatelor de finalizare.

3. Categorii de persoane vizate

Datele cu caracter personal prelucrate în cadrul prezentului Acord aparțin următoarelor categorii de persoane vizate:

  • Angajații Clientului care sunt înregistrați în platformă și care parcurg modulele de instruire privind conformitatea cu EU AI Act;
  • Reprezentanții autorizați ai Clientului care administrează contul companiei în platformă.

4. Categorii de date cu caracter personal

Persoana împuternicită prelucrează următoarele categorii de date cu caracter personal, strict necesare pentru furnizarea serviciilor platformei:

  • Nume și prenume — pentru identificarea angajaților în cadrul platformei și pe certificatele emise;
  • Adresă de email — pentru transmiterea invitațiilor de instruire, a notificărilor și a certificatelor;
  • Departament — pentru atribuirea modulelor de instruire specifice fiecărui departament;
  • Rezultatele evaluărilor de instruire — scorurile obținute la testele de evaluare din cadrul modulelor de instruire;
  • Date privind certificatele emise — identificatorul unic al certificatului, data emiterii, scorul obținut;
  • Adresă IP și date tehnice de acces — colectate automat în scopuri de securitate și auditare.

Nu se prelucrează categorii speciale de date cu caracter personal în sensul articolului 9 din GDPR.

5. Scopul prelucrării

Datele cu caracter personal sunt prelucrate exclusiv în scopul furnizării serviciilor platformei AI Simplu, respectiv:

  • Generarea politicilor interne privind utilizarea inteligenței artificiale în cadrul organizației Clientului;
  • Administrarea și furnizarea modulelor de instruire privind conformitatea cu EU AI Act;
  • Evaluarea cunoștințelor angajaților prin teste de verificare și înregistrarea rezultatelor;
  • Emiterea certificatelor de finalizare a instruirii, accesibile public pentru verificare;
  • Generarea rapoartelor de audit și de conformitate pentru Operatorul de date.

Persoana împuternicită nu prelucrează datele cu caracter personal în niciun alt scop decât cele enumerate mai sus și nu utilizează datele în interes propriu.

6. Durata prelucrării

Prelucrarea datelor cu caracter personal se desfășoară pe toată durata abonamentului activ al Clientului la serviciile platformei AI Simplu. La încetarea abonamentului, datele cu caracter personal vor fi șterse sau returnate Operatorului, în conformitate cu prevederile secțiunii 7 litera (g) din prezentul Acord, în termen de maximum 30 de zile calendaristice de la data încetării, cu excepția cazului în care legislația aplicabilă impune păstrarea acestora pentru o perioadă mai îndelungată.

7. Obligațiile Persoanei împuternicite

Persoana împuternicită se obligă să respecte următoarele obligații în conformitate cu articolul 28 din GDPR:

  • (a) Prelucrare conform instrucțiunilor — Persoana împuternicită prelucrează datele cu caracter personal exclusiv pe baza instrucțiunilor documentate ale Operatorului, inclusiv în ceea ce privește transferurile de date către o țară terță sau o organizație internațională, cu excepția cazului în care este obligată prin dreptul Uniunii sau dreptul intern al statului membru;
  • (b) Confidențialitate — Persoana împuternicită se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidențialitatea sau au o obligație legală corespunzătoare de confidențialitate;
  • (c) Măsuri tehnice și organizatorice de securitate — Persoana împuternicită implementează măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului, inclusiv, după caz:
    • Criptarea datelor în tranzit prin protocol TLS;
    • Criptarea datelor în repaus la nivel de bază de date;
    • Sistem de control al accesului bazat pe roluri (RBAC);
    • Autentificare securizată prin token unic pentru accesul angajaților la modulele de instruire;
    • Backup-uri regulate ale bazei de date cu stocare securizată;
    • Monitorizare continuă a infrastructurii și jurnalizare a evenimentelor de securitate;
    • Revizuirea periodică a măsurilor de securitate și actualizarea acestora conform bunelor practici.
  • (d) Asistență în respectarea drepturilor persoanelor vizate — Persoana împuternicită asistă Operatorul, prin măsuri tehnice și organizatorice adecvate, în vederea îndeplinirii obligației de a răspunde cererilor privind exercitarea drepturilor persoanelor vizate prevăzute în capitolul III din GDPR (dreptul de acces, rectificare, ștergere, restricționare, portabilitate și opoziție);
  • (e) Asistență în evaluarea impactului asupra protecției datelor (DPIA) — Persoana împuternicită asistă Operatorul în realizarea evaluării impactului asupra protecției datelor și, după caz, în consultarea prealabilă a autorității de supraveghere, în conformitate cu articolele 35 și 36 din GDPR;
  • (f) Notificarea încălcărilor de securitate — Persoana împuternicită notifică Operatorul fără întârzieri nejustificate și, în orice caz, în termen de maximum 72 de ore de la momentul în care ia cunoștință de o încălcare a securității datelor cu caracter personal. Notificarea va conține cel puțin:
    • Natura încălcării, inclusiv categoriile și numărul aproximativ al persoanelor vizate și al înregistrărilor afectate;
    • Consecințele probabile ale încălcării;
    • Măsurile luate sau propuse pentru remedierea încălcării și reducerea efectelor negative.
  • (g) Ștergerea sau returnarea datelor — La încetarea prestării serviciilor de prelucrare, Persoana împuternicită, la alegerea Operatorului, șterge sau returnează toate datele cu caracter personal și elimină copiile existente, cu excepția cazului în care dreptul Uniunii sau dreptul intern al statului membru impune stocarea datelor cu caracter personal.

8. Sub-procesatori

Persoana împuternicită utilizează următorii sub-procesatori pentru furnizarea serviciilor platformei AI Simplu. Operatorul este informat și, prin acceptarea prezentului Acord, consimte la utilizarea acestor sub-procesatori:

NumeScopLocație
Vercel Inc.Hosting și infrastructură aplicațieUE / SUA (EU Standard Contractual Clauses)
Supabase Inc.Bază de date și autentificareUE (Frankfurt, Germania)
Resend Inc.Email tranzacționalSUA (EU Standard Contractual Clauses)
Stripe Inc.Procesare plățiSUA (EU Standard Contractual Clauses)
Anthropic PBCGenerare conținut documente AISUA (EU Standard Contractual Clauses)

Persoana împuternicită va notifica Operatorul cu cel puțin 30 de zile calendaristice înainte de adăugarea sau înlocuirea oricărui sub-procesator. Operatorul are dreptul de a formula obiecții motivate cu privire la un nou sub-procesator în termen de 15 zile calendaristice de la primirea notificării. În cazul în care obiecția nu poate fi soluționată în mod rezonabil, Operatorul are dreptul de a rezilia prezentul Acord.

Persoana împuternicită se asigură că fiecare sub-procesator respectă obligații echivalente celor prevăzute în prezentul Acord prin contracte scrise conforme articolului 28 alineatul (4) din GDPR.

9. Transferuri internaționale de date

În măsura în care prelucrarea datelor cu caracter personal implică transferul acestora către state din afara Spațiului Economic European, în special către Statele Unite ale Americii, Persoana împuternicită se asigură că aceste transferuri sunt efectuate cu respectarea capitolului V din GDPR, pe baza următoarelor mecanisme:

  • Clauzele Contractuale Standard ale UE (SCC) — adoptate prin Decizia de punere în aplicare (UE) 2021/914 a Comisiei din 4 iunie 2021, încheiate cu fiecare sub-procesator care prelucrează date în afara SEE;
  • Cadrul UE-SUA privind protecția datelor (EU-US Data Privacy Framework) — în cazul sub-procesatorilor certificați în cadrul acestui program, ca mecanism suplimentar de protecție;
  • Măsuri suplimentare de protecție — inclusiv criptarea datelor în tranzit și în repaus, evaluarea legislației țării de destinație și, după caz, pseudonimizarea datelor înainte de transfer.

10. Dreptul de auditare

Persoana împuternicită pune la dispoziția Operatorului toate informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute de articolul 28 din GDPR și permite auditul, inclusiv inspecțiile, efectuate de Operator sau de un alt auditor mandatat de Operator, și contribuie la acestea.

Operatorul poate solicita un audit cu un preaviz scris de minimum 30 de zile calendaristice. Auditul se va desfășura în timpul programului normal de lucru, fără a perturba în mod nejustificat activitatea Persoanei împuternicite. Costurile auditului sunt suportate de Operator, cu excepția cazului în care auditul relevă neconformități imputabile Persoanei împuternicite.

Persoana împuternicită poate pune la dispoziție, în loc de audit fizic, un raport de audit întocmit de un auditor independent terț, cu condiția ca raportul să fie recent (emis în ultimele 12 luni) și să acopere aspectele relevante ale prezentului Acord.

11. Răspunderea

Fiecare Parte răspunde în conformitate cu dispozițiile GDPR pentru prejudiciile cauzate prin prelucrarea datelor cu caracter personal cu încălcarea prezentului Acord sau a legislației aplicabile.

  • Operatorul răspunde pentru prelucrările de date efectuate cu încălcarea instrucțiunilor sale sau a prevederilor GDPR aplicabile Operatorilor;
  • Persoana împuternicită răspunde pentru prejudiciile cauzate de prelucrare numai în cazul în care nu a respectat obligațiile prevăzute de GDPR care revin în mod specific persoanelor împuternicite sau a acționat în afara instrucțiunilor legale ale Operatorului ori contrar acestora;
  • Fiecare Parte poate fi exonerată de răspundere dacă dovedește că nu este responsabilă în niciun fel de evenimentul care a cauzat prejudiciul, în conformitate cu articolul 82 alineatul (3) din GDPR.

12. Legea aplicabilă și jurisdicția

Prezentul Acord este guvernat de legislația din România și de prevederile Regulamentului (UE) 2016/679 (GDPR). Orice litigii decurgând din sau în legătură cu prezentul Acord vor fi soluționate de instanțele competente din România.

În cazul în care orice prevedere a prezentului Acord este declarată nulă sau inaplicabilă, celelalte prevederi rămân pe deplin valabile și aplicabile. Părțile vor negocia cu bună-credință înlocuirea prevederii nule cu o clauză valabilă care să reflecte cât mai fidel intenția inițială a Părților.

13. Contact

Pentru orice întrebări, solicitări sau notificări referitoare la prezentul Acord de Prelucrare a Datelor, Părțile pot utiliza următoarele date de contact ale Persoanei împuternicite:

  • Denumire: AI Simplu SRL
  • Sediu: România
  • Email: contact@aisimplu.ro

Prezentul Acord intră în vigoare la momentul acceptării de către Operator a Termenilor și condițiilor platformei AI Simplu și rămâne valabil pe toată durata relației contractuale dintre Părți.