Acord de Prelucrare a Datelor (DPA)

Document legal

Data Processing Agreement conform Art. 28 GDPR (Regulamentul UE 2016/679) · Data intrării în vigoare: 29 aprilie 2025

Preambul

Prezentul DPA se încheie între SmartMkt (în calitate de Împuternicit) și Utilizatorul platformei SmartMkt care, în cadrul utilizării Platformei, acționează ca Operator de date cu caracter personal ale propriilor clienți, angajați sau contacte de afaceri.

DPA-ul se aplică exclusiv când Utilizatorul introduce în Platforma SmartMkt date cu caracter personal ale unor terțe persoane. Utilizarea datelor proprii ale Utilizatorului este guvernată de Politica de Confidențialitate SmartMkt.

1. Definiții

„Operator": Utilizatorul SmartMkt care determină scopurile și mijloacele prelucrării datelor cu caracter personal ale terților.
„Împuternicit": SmartMkt, care prelucrează datele cu caracter personal ale terților în numele și la instrucțiunile Operatorului.
„Date personale ale terților": orice date cu caracter personal introduse în Platforma de către Operator și care se referă la persoane terțe.
„Breșă de securitate": orice incident de securitate care conduce la distrugerea, pierderea, alterarea sau divulgarea neautorizată a datelor personale.

2. Obiectul prelucrării

2.1 Natura și scopul prelucrării

Generarea de campanii de marketing personalizate pe baza datelor introduse
Stocarea temporară a datelor necesare funcționării serviciului
Procesarea tehnică necesară generării de conținut AI

2.2 Tipuri de date personale

Date de identificare: nume, prenume, denumire companie
Date de contact: adrese de email, numere de telefon, adrese poștale
Date de afaceri: sectorul de activitate, interese, comportament de cumpărare

2.3 Durata prelucrării

Pe durata contractului dintre Operator și SmartMkt și, ulterior, conform instrucțiunilor Operatorului privind ștergerea sau returnarea datelor.

3. Obligațiile SmartMkt (Împuternicit)

Prelucreze datele exclusiv pe baza instrucțiunilor documentate ale Operatorului
Asigure confidențialitatea datelor prelucrate
Implementeze măsuri tehnice și organizatorice adecvate de securitate (Art. 32 GDPR)
Notifice Operatorul în cel mult 48 de ore după ce ia cunoștință de o breșă de securitate
Asiste Operatorul în exercitarea drepturilor persoanelor vizate
Șteargă sau returneze datele personale la solicitarea Operatorului sau la încetarea contractului

4. Obligațiile Operatorului

Are temei legal valid pentru prelucrarea datelor personale ale terților introduse în Platforma
A informat persoanele vizate despre transmiterea datelor lor către SmartMkt
Nu va introduce în Platforma categorii speciale de date (Art. 9 GDPR) fără acordul expres al SmartMkt
Este responsabil integral față de persoanele vizate pentru legalitatea prelucrării

5. Sub-împuterniciți

Operatorul autorizează prin acceptarea prezentului DPA următorii sub-împuterniciți:

OpenAI LLC (SUA) — procesare AI, cu garanții CCS
Railway Corp. (SUA) — hosting și infrastructură, cu garanții CCS
Resend Inc. (SUA) — trimitere emailuri tranzacționale, cu garanții CCS

SmartMkt va notifica Operatorul cu cel puțin 15 zile înainte de angajarea oricărui nou sub-împuternicit.

6. Transferuri internaționale de date

Datele pot fi transferate către sub-împuterniciții din SUA cu garanții adecvate — Clauze Contractuale Standard (CCS) aprobate prin Decizia Comisiei Europene 2021/914.

7. Măsuri de securitate (Art. 32 GDPR)

Criptarea datelor în tranzit (HTTPS/TLS 1.2+)
Controlul accesului bazat pe roluri (RBAC) și principiul „least privilege"
Monitorizarea continuă a infrastructurii
Proceduri de backup și recuperare în caz de dezastru
Instruirea periodică a personalului cu acces la date

8. Notificarea breșelor de securitate

SmartMkt va notifica Operatorul fără întârziere nejustificată, și în cel mult 48 de ore, despre orice breșă de securitate. Notificarea va include natura bresei, categoriile de persoane afectate, consecințele probabile și măsurile de remediere.

Operatorul este responsabil pentru notificarea ANSPDCP în termen de 72 de ore și, după caz, a persoanelor vizate, conform Art. 33-34 GDPR.

9. Ștergerea sau returnarea datelor

La solicitarea scrisă sau la încetarea contractului, SmartMkt va șterge definitiv toate datele personale ale terților în termen de 30 de zile sau le va returna în format CSV/JSON, la alegerea Operatorului.

10. Auditare și conformitate

Operatorul are dreptul de a efectua audituri cu un preaviz de minimum 30 de zile. SmartMkt poate furniza rapoarte de audit sau certificări emise de terți ca modalitate alternativă de demonstrare a conformității.

11. Durata și încetarea DPA

Prezentul DPA intră în vigoare la data acceptării Termenilor și Condițiilor SmartMkt și rămâne în vigoare pe toată durata contractului.