Acord de Prelucrare a Datelor (DPA)
Data Processing Agreement — art. 28 GDPR Persoană împuternicită (Procesator): LICITON — liciton.online · entitate juridică în curs de înregistrare Operator (Controller): Utilizatorul care încarcă documente în Platformă Versiune: 1.0 · În vigoare din: 11 iunie 2026
PREAMBUL
Acest Acord (DPA) face parte integrantă din Termenii și Condițiile LICITON și se aplică ori de câte ori
Utilizatorul („Operatorul") încarcă în Platformă documente ce conțin date cu caracter personal ale unor terți
(de ex. datele clienților săi, ale experților tehnici, ale persoanelor de contact din oferte), pe care
LICITON („Procesatorul") le prelucrează exclusiv în numele și la instrucțiunile Operatorului.
Acolo unde Operatorul este el însuși împuternicit al unui terț (de ex. un consultant care procesează datele clientului său final), prezentul DPA funcționează ca acord de sub-împuternicire, iar Operatorul garantează că deține temeiul și mandatul necesare.
1. OBIECTUL ȘI DURATA
1.1. Procesatorul prelucrează datele personale numai în scopul furnizării serviciilor LICITON (ingestie, extragere text/OCR, analiză de conformitate, generare rapoarte, stocare), pe durata contractului și conform instrucțiunilor documentate ale Operatorului.
2. NATURA, SCOPUL, CATEGORIILE
2.1. Natura prelucrării: colectare (upload), stocare criptată, extragere text, analiză automată, generare raport, ștergere. 2.2. Categorii de persoane vizate: angajați/experți ai ofertantului, persoane de contact, reprezentanți legali, orice persoană menționată în documentele încărcate. 2.3. Categorii de date: date de identificare și contact, date profesionale (CV-uri, atestate, experiență), și orice alte date incluse de Operator în documente. Operatorul se obligă să nu încarce categorii speciale de date (art. 9 GDPR) decât dacă are temei și a informat Procesatorul în scris.
3. INSTRUCȚIUNILE OPERATORULUI
3.1. Procesatorul prelucrează datele numai pe baza instrucțiunilor documentate ale Operatorului (inclusiv configurarea și acțiunile din Platformă). Dacă o instrucțiune încalcă GDPR, Procesatorul informează Operatorul. 3.2. Procesatorul nu folosește datele Operatorului în scop propriu și nu le divulgă terților neautorizați.
4. CONFIDENȚIALITATE
4.1. Personalul Procesatorului cu acces la date este ținut de obligații de confidențialitate și are acces pe principiul minimului necesar.
5. SECURITATEA PRELUCRĂRII (art. 32 GDPR)
5.1. Procesatorul implementează măsuri tehnice și organizatorice adecvate, între care:
- criptare în repaus AES-256-GCM (envelope encryption), cu izolare a cheilor per dosar;
- criptare în tranzit (TLS 1.2/1.3);
- izolare multi-tenant — segregarea datelor per cont, aplicată pe fiecare interogare la nivel de aplicație;
- control de acces și autentificare cu suport pentru 2FA (TOTP);
- jurnal de audit imutabil;
- URL-uri presemnate cu durată limitată (15 minute) pentru acces la documente;
- proceduri de backup și restaurare.
6. SUB-ÎMPUTERNICIȚII (SUBPROCESATORI)
6.1. Operatorul autorizează în general recurgerea la subprocesatori, cu condiția impunerii contractuale a acelorași obligații de protecție. Lista curentă:
| Subprocesator | Serviciu | Localizare |
|---|---|---|
| Hetzner Online GmbH | hosting & stocare | Germania (UE) |
| Stripe Payments Europe, Ltd. | procesare plăți | UE |
| Furnizor SMTP 〔...〕 | e-mailuri tranzacționale | UE / garanții adecvate |
| Anthropic / Mistral 〔conform configurării active〕 | procesare lingvistică (analiză text audit) | conform garanțiilor de transfer (SCC) |
| Sentry 〔dacă activ〕 | monitorizare erori | garanții adecvate |
6.2. Procesatorul notifică Operatorul înainte de adăugarea/înlocuirea unui subprocesator, oferind posibilitatea
de opoziție rezonabilă. Lista se menține la zi în acest document (〔SUBPROCESATORI〕).
Notă privind furnizorii AI: când conținutul este transmis unui furnizor de modele lingvistice pentru analiză, se utilizează, pe cât posibil, opțiuni care nu antrenează modelul pe datele transmise și care prevăd retenție zero / minimă. Configurația trebuie confirmată contractual cu fiecare furnizor înainte de producție.
7. TRANSFERURI INTERNAȚIONALE
7.1. Datele găzduite rămân în UE (Germania). Orice transfer în afara SEE se face numai cu garanții adecvate (adecvare sau SCC), conform Cap. V GDPR.
8. ASISTAREA OPERATORULUI
8.1. Procesatorul asistă Operatorul, în limita rolului tehnic, pentru: (a) onorarea cererilor persoanelor vizate (art. 15–22); (b) securitate, notificarea breșelor, DPIA și consultarea autorității (art. 32–36).
9. NOTIFICAREA BREȘELOR
9.1. Procesatorul notifică Operatorul fără întârziere nejustificată (în practică, în maximum 48 de ore) după ce ia cunoștință de o breșă ce afectează datele Operatorului, furnizând informațiile necesare pentru ca Operatorul să își îndeplinească obligațiile (art. 33–34).
10. ȘTERGERE / RETURNARE LA ÎNCETARE
10.1. La încetarea serviciilor, la alegerea Operatorului, Procesatorul șterge sau returnează datele și elimină copiile existente, cu excepția celor a căror păstrare este impusă de lege.
11. AUDIT
11.1. Procesatorul pune la dispoziția Operatorului informațiile necesare demonstrării conformității cu art. 28 și permite audituri rezonabile (inclusiv prin rapoarte/certificări puse la dispoziție), cu respectarea confidențialității și securității celorlalți utilizatori.
12. RĂSPUNDERE
12.1. Răspunderea fiecărei părți este guvernată de GDPR și de Termenii LICITON. Limitările de răspundere din
limitarea-raspunderii.md se aplică în măsura permisă de lege, fără a afecta drepturile imperative ale persoanelor vizate.
Acord conex Politicii de Confidențialitate (politica-de-confidentialitate.md) și Termenilor (termeni-si-conditii.md).
Contact protecția datelor: dpo@liciton.online.