Acord de prelucrare a datelor (DPA)

1. Partile si identificare

Operator (Controller): Clientul Business care utilizeaza Platforma (de ex. restaurant, salon, frizerie, organizator de evenimente), identificat prin datele furnizate la inregistrare (denumire, CUI, sediu, contact).

Persoana imputernicita (Processor): RG DIGITAL TECHNOLOGIES S.R.L.
CUI: 52249706 · Nr. RC: J2025057221000 · EUID: ROONRC.J2025057221000
Sediu: Targu-Jiu, Gorj, Romania
Contact: office@rgtechnologies.ro · clienti@rgtechnologies.ro

2. Obiect si durata

Obiectul prezentului DPA il constituie prelucrarea datelor personale efectuata de Persoana imputernicita in numele Operatorului, exclusiv pentru furnizarea Platformei conform Termenilor si Conditiilor.

DPA produce efecte pe intreaga durata a relatiei contractuale dintre parti si inceteaza odata cu incetarea furnizarii Platformei, sub rezerva obligatiilor care, prin natura lor, supravietuiesc incetarii (de ex. retentie legala, confidentialitate).

3. Natura si scopul prelucrarii

• Preluarea si procesarea comenzilor, programarilor, rezervarilor si achizitiilor initiate de Utilizatorii Finali
• Transmiterea de confirmari, notificari si mesaje conversationale prin WhatsApp si pagini web asociate
• Generarea de documente fiscale (facturi, bilete, chitante) la cererea Operatorului
• Asistenta tehnica, securitate, prevenirea abuzului si statistici agregate/anonimizate

Persoana imputernicita prelucreaza datele numai pe baza instructiunilor documentate ale Operatorului (inclusiv configuratia aleasa in Platforma), cu exceptia cazului in care legea impune altfel.

4. Categorii de persoane vizate si de date personale

Persoane vizate: Utilizatorii Finali ai Operatorului (clienti, cumparatori, participanti la evenimente).

Categorii de date personale:

• Date de identificare si contact: nume, numar WhatsApp, email (daca e oferit)
• Date despre solicitare: comanda/programare/rezervare/achizitie (produse/servicii, cantitati, locatie, timp, status)
• Date de livrare/indeplinire serviciu: adresa, instructiuni, observatii (dupa caz)
• Date specifice ticketing: scaun rezervat, cod promotional, consimtamant marketing, CUI/CNP (daca se solicita factura fiscala)
• Date tehnice limitate: loguri erori, identificatori de sesiune, IP (pentru securitate/diagnostic)

Platforma aplica principiul minimizarii datelor — se prelucreaza doar minimul necesar scopului.

5. Obligatiile Operatorului

• Asigura un temei legal valabil pentru prelucrare (art. 6 GDPR) si, unde e cazul, obtine consimtamantul (marketing)
• Furnizeaza informarile catre persoanele vizate (art. 13-14 GDPR)
• Transmite instructiuni legale, conforme GDPR, prin configuratia Platformei sau in scris
• Raspunde de exactitatea si legalitatea datelor pe care le introduce in Platforma

6. Obligatiile Persoanei imputernicite

• Prelucreaza datele numai pe baza instructiunilor documentate ale Operatorului (art. 28(3)(a) GDPR)
• Asigura confidentialitatea — persoanele autorizate sa prelucreze datele sunt obligate la confidentialitate
• Implementeaza masuri tehnice si organizatorice adecvate (art. 32 GDPR — vezi Sectiunea 9)
• Respecta conditiile de implicare a sub-procesatorilor (art. 28(2) si (4) — vezi Sectiunea 7)
• Asista Operatorul in indeplinirea obligatiilor sale (drepturile persoanelor, notificari, DPIA) — vezi Sectiunile 10-12
• La incetare, returneaza sau sterge datele conform optiunii Operatorului (vezi Sectiunea 13)
• Pune la dispozitia Operatorului informatiile necesare pentru a demonstra conformitatea

7. Sub-procesatori

Operatorul autorizeaza in mod general implicarea sub-procesatorilor de mai jos. Persoana imputernicita impune acestora obligatii de protectie a datelor echivalente cu cele din prezentul DPA, conform art. 28(4) GDPR, si informeaza Operatorul despre orice modificare intentionata, oferind posibilitatea de a formula obiectii.

• Meta Platforms, Inc. (WhatsApp Business Platform) — livrare mesaje conversationale, QR bilete, template-uri conforme politicii Meta.
• Stripe, Inc. (respectiv Stripe Payments Europe, Ltd. pentru UE) — procesare plati si Stripe Connect payouts. Certificari PCI-DSS Level 1 si ISO 27001.
• Google Cloud Platform — hosting infrastructura, Google Maps API si servicii de Geocoding.
• OpenAI / Anthropic — procesare AI (transcriere voce, parsare comenzi, asistenti conversationali), acolo unde Operatorul activeaza aceste functii.
• ANAF (Romania) — validare CUI si depunere e-Factura in SPV la cererea Operatorului.

8. Transferuri internationale

Atunci cand datele sunt transferate in afara Spatiului Economic European (de ex. catre sub-procesatori cu sediul in SUA), transferul se realizeaza pe baza unor garantii adecvate conform GDPR (Cap. V), in special Clauze Contractuale Standard (SCC) aprobate de Comisia Europeana, completate, dupa caz, de masuri suplimentare in urma unei evaluari de risc a transferului.

9. Masuri de securitate (art. 32 GDPR)

Persoana imputernicita aplica masuri tehnice si organizatorice adecvate riscului, inclusiv:

• Criptare in tranzit (TLS) si protectie a datelor sensibile in repaus, dupa caz
• Control al accesului bazat pe roluri si principiul privilegiului minim
• Jurnalizare (logging) si monitorizare pentru securitate si audit
• Izolare multi-tenant a datelor (segregare pe Operator) in Platforma
• Copii de rezerva si proceduri de restaurare
• Procese de testare si evaluare periodica a eficacitatii masurilor

Nicio metoda nu ofera securitate absoluta; masurile sunt evaluate si actualizate proportional cu riscul.

10. Asistenta privind drepturile persoanelor vizate

Tinand cont de natura prelucrarii, Persoana imputernicita asista Operatorul, prin masuri tehnice si organizatorice adecvate, in indeplinirea obligatiei de a raspunde cererilor de exercitare a drepturilor persoanelor vizate (acces, rectificare, stergere, restrictionare, portabilitate, opozitie — art. 15-22 GDPR), inclusiv prin stergerea sau anonimizarea datelor in Platforma.

11. Notificarea incalcarilor de securitate

Persoana imputernicita notifica Operatorul fara intarzieri nejustificate dupa ce ia cunostinta de o incalcare a securitatii datelor personale, furnizand informatiile disponibile pentru a permite Operatorului sa isi indeplineasca obligatiile de notificare conform art. 33-34 GDPR.

12. Audit

Persoana imputernicita pune la dispozitia Operatorului informatiile necesare pentru a demonstra respectarea obligatiilor din art. 28 GDPR si permite si contribuie la audituri, inclusiv inspectii, efectuate de Operator sau de un auditor mandatat de acesta. Auditurile se desfasoara cu notificare rezonabila prealabila, in timpul programului normal de lucru si fara a afecta securitatea ori confidentialitatea datelor altor clienti.

13. Returnarea sau stergerea datelor la incetare

La incetarea furnizarii serviciilor, Persoana imputernicita, la alegerea Operatorului, returneaza sau sterge toate datele personale si sterge copiile existente, cu exceptia cazului in care legea impune pastrarea acestora (de ex. documente fiscale — 10 ani conform Codului Fiscal si Legii contabilitatii 82/1991).

14. Legea aplicabila

Prezentul DPA este guvernat de legislatia romana si de Regulamentul (UE) 2016/679 (GDPR). Orice litigiu se solutioneaza de instantele competente din Romania.