Acord privind prelucrarea datelor (Data Processing Agreement - DPA)

Ultima actualizare: Iunie 2026

Prezentul Acord privind prelucrarea datelor („DPA” sau „Acordul”) face parte integrantă din relația contractuală dintre:

  1. Tenantul / Clientul platformei MyAdvisor, în calitate de Operator de date („Operatorul”); și
  2. KRONLINK S.R.L., furnizorul platformei MyAdvisor, în calitate de Persoană împuternicită de operator („Împuternicitul”).

Acest DPA completează termenii și condițiile de utilizare a platformei și stabilește condițiile în care Împuternicitul prelucrează date cu caracter personal în numele Operatorului, în conformitate cu Regulamentul (UE) 2016/679 („GDPR”) și cu legislația aplicabilă în materia protecției datelor.

În măsura în care există un acord comercial individual, o ofertă acceptată, o anexă tehnică sau instrucțiuni documentate agreate între părți, acestea completează prezentul DPA.


1. Definiții și interpretare

În sensul prezentului DPA:

  • Operatorul este tenantul care stabilește scopurile și mijloacele prelucrării datelor încărcate sau gestionate de acesta prin platformă;
  • Împuternicitul este furnizorul platformei MyAdvisor, care prelucrează datele în numele Operatorului;
  • Persoană vizată înseamnă persoana fizică ale cărei date sunt prelucrate;
  • Date personale înseamnă orice informație privind o persoană fizică identificată sau identificabilă, în sensul GDPR;
  • Prelucrare are sensul prevăzut de GDPR;
  • Subîmputernicit înseamnă orice terț desemnat de Împuternicit pentru a efectua anumite activități de prelucrare în numele Operatorului;
  • Serviciile înseamnă serviciile SaaS furnizate prin platforma MyAdvisor;
  • Incident de securitate înseamnă un incident care afectează confidențialitatea, integritatea sau disponibilitatea datelor personale prelucrate în temeiul prezentului DPA.

Titlurile secțiunilor sunt folosite doar pentru claritate și nu afectează interpretarea juridică a documentului.


2. Obiectul și domeniul de aplicare

2.1. Obiectul

Prin prezentul DPA, Operatorul mandatează Împuternicitul să prelucreze datele personale exclusiv în numele și pe seama Operatorului, în măsura necesară furnizării Serviciilor.

2.2. Domeniul de aplicare

Prezentul DPA se aplică numai acelor prelucrări pentru care:

  • Operatorul este operator de date; și
  • Împuternicitul acționează ca persoană împuternicită.

Prezentul DPA nu reglementează prelucrările pentru care MyAdvisor acționează în calitate de operator în relația sa directă cu tenantul, utilizatorii autorizați, reprezentanții comerciali sau vizitatorii website-ului. Aceste prelucrări sunt descrise în Politica de confidențialitate a platformei.


3. Natura, scopul și durata prelucrării

3.1. Natura prelucrării

Împuternicitul poate efectua operațiuni precum:

  • colectare, înregistrare, organizare și stocare;
  • structurare, indexare, consultare și utilizare;
  • transmitere sau punere la dispoziție la instrucțiunea Operatorului;
  • backup, restaurare, mentenanță și securizare;
  • ștergere, anonimizare sau distrugere, după caz.

3.2. Scopul prelucrării

Prelucrarea are loc exclusiv pentru:

  • furnizarea, administrarea și mentenanța tehnică a Serviciilor;
  • găzduirea și stocarea datelor Operatorului;
  • asigurarea funcționalităților contractate;
  • securitatea, disponibilitatea, continuitatea și recuperarea serviciului;
  • suport tehnic și depanare, în limitele necesare;
  • executarea instrucțiunilor documentate ale Operatorului;
  • respectarea obligațiilor legale aplicabile Împuternicitului.

3.3. Durata prelucrării

Prelucrarea are loc pe durata raportului contractual și, ulterior, pentru perioada necesară conform politicii de retenție aplicabile, obligațiilor legale, back-up-urilor tehnice și perioadei de tranziție prevăzute în documentația contractuală, după care datele vor fi șterse, anonimizate sau returnate, după caz și în limita tehnică rezonabilă.


4. Categoriile de persoane vizate și tipurile de date

4.1. Categorii de persoane vizate

În funcție de modul în care Operatorul utilizează platforma, persoanele vizate pot include, fără a se limita la:

  • clienți finali ai Operatorului;
  • potențiali clienți ai Operatorului;
  • angajați, colaboratori sau subcontractori ai Operatorului;
  • alte persoane ale căror date sunt introduse în mod legitim de Operator în platformă.

4.2. Tipuri de date personale

Tipurile de date pot include, în funcție de utilizarea efectivă a platformei:

  • nume și prenume;
  • date de contact;
  • adrese și locații de prestare;
  • date privind programări, comenzi, intervenții, servicii și relația comercială a Operatorului;
  • note operaționale și instrucțiuni introduse de Operator;
  • date privind utilizatorii interni ai Operatorului;
  • loguri și identificatori tehnici asociați utilizării serviciului.

Operatorul este singurul responsabil pentru a decide ce tipuri de date încarcă în platformă și pentru a se asigura că acestea sunt adecvate, relevante și limitate la ceea ce este necesar.

4.3. Categorii speciale de date

Operatorul nu va utiliza Serviciile pentru a încărca sau prelucra categorii speciale de date, în sensul art. 9 GDPR, decât dacă:

  • o astfel de prelucrare este permisă de funcționalitățile serviciului;
  • există un temei legal valid;
  • Operatorul a informat în mod adecvat Împuternicitul, dacă acest lucru este necesar;
  • au fost agreate măsuri suplimentare adecvate, dacă este cazul.

5. Instrucțiunile Operatorului

Împuternicitul va prelucra datele personale numai:

  • pe baza instrucțiunilor documentate ale Operatorului;
  • în măsura necesară furnizării Serviciilor;
  • în scopul respectării unei obligații legale aplicabile Împuternicitului.

Instrucțiunile Operatorului pot rezulta inclusiv din:

  • contractul principal;
  • configurațiile și comenzile operate de Operator în platformă;
  • documentația produsului;
  • solicitările de suport și administrare;
  • instrucțiunile scrise transmise prin canalele agreate între părți.

Dacă Împuternicitul consideră că o instrucțiune încalcă GDPR sau alte norme aplicabile privind protecția datelor, va informa Operatorul, în măsura permisă de lege.


6. Obligațiile Operatorului

Operatorul declară și garantează că:

  • are un temei legal valid pentru prelucrarea datelor personale;
  • a furnizat informațiile necesare persoanelor vizate, acolo unde legea impune acest lucru;
  • are dreptul să instruiască Împuternicitul cu privire la prelucrarea datelor respective;
  • datele încărcate în platformă sunt colectate și utilizate în mod legal;
  • va răspunde cererilor persoanelor vizate și solicitărilor autorităților competente, în măsura în care acestea privesc rolul său de operator;
  • nu va utiliza Serviciile într-un mod care ar impune Împuternicitului încălcarea legii.

Operatorul rămâne responsabil pentru:

  • exactitatea, calitatea și legalitatea Datelor personale;
  • configurările și acțiunile sale în platformă;
  • gestionarea conturilor utilizatorilor săi autorizați;
  • orice prelucrare desfășurată de el în afara rolului Împuternicitului.

7. Obligațiile Împuternicitului

Împuternicitul se obligă să:

  • prelucreze datele numai conform instrucțiunilor documentate ale Operatorului, cu excepția obligațiilor legale contrare;
  • asigure că persoanele autorizate să prelucreze datele sunt supuse unor obligații adecvate de confidențialitate;
  • implementeze măsuri tehnice și organizatorice adecvate pentru protejarea datelor;
  • asiste Operatorul, într-o măsură rezonabilă și proporțională, în îndeplinirea obligațiilor sale GDPR, ținând seama de natura prelucrării și de informațiile disponibile;
  • notifice Operatorul cu privire la incidentele de securitate, în condițiile prezentului DPA;
  • respecte condițiile aplicabile desemnării subîmputerniciților;
  • la finalul relației contractuale, șteargă sau returneze datele, în condițiile prezentului DPA și ale contractului principal, dacă legea nu impune altfel.

8. Confidențialitate

Împuternicitul se va asigura că accesul la datele personale este limitat la persoanele care au nevoie să le cunoască pentru furnizarea Serviciilor.

Aceste persoane vor fi supuse unor obligații contractuale, statutare sau profesionale adecvate de confidențialitate.


9. Măsuri tehnice și organizatorice de securitate

Ținând seama de stadiul tehnicii, costurile implementării, natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscurile pentru drepturile și libertățile persoanelor vizate, Împuternicitul va implementa măsuri adecvate, cum ar putea include, după caz:

  • controlul accesului și gestionarea rolurilor;
  • autentificare și politici privind parolele;
  • jurnalizare și monitorizare;
  • protecție la nivel de rețea și aplicație;
  • criptare în tranzit și, unde este aplicabil, în repaus;
  • back-up și proceduri de restaurare;
  • segregarea logică a datelor între tenanți;
  • măsuri pentru asigurarea confidențialității, integrității, disponibilității și rezilienței sistemelor;
  • testarea, evaluarea și îmbunătățirea rezonabilă a măsurilor de securitate.

Aceste măsuri nu trebuie interpretate ca o garanție de securitate absolută.


10. Subîmputerniciți

10.1. Autorizare generală

Operatorul autorizează Împuternicitul să utilizeze subîmputerniciți pentru furnizarea Serviciilor, cu condiția respectării obligațiilor prevăzute de GDPR și de prezentul DPA.

10.2. Obligațiile subîmputerniciților

Împuternicitul se va asigura că fiecare subîmputernicit este supus unor obligații contractuale care oferă un nivel de protecție a datelor echivalent cu cel prevăzut în prezentul DPA, în măsura în care subîmputernicitul prelucrează date personale în numele Operatorului.

10.3. Categorii de subîmputerniciți

Subîmputerniciții pot include, de exemplu:

  • furnizori de hosting și infrastructură cloud;
  • furnizori de baze de date, storage și back-up;
  • furnizori de monitorizare, securitate, autentificare sau suport tehnic;
  • procesatori de plăți sau furnizori de servicii tranzacționale, inclusiv Stripe sau furnizori echivalenți, dacă și în măsura în care aceștia acționează ca subîmputerniciți în contextul relevant;
  • furnizori de email sau alte servicii tehnice necesare funcționării platformei.

10.4. Opoziție rezonabilă

Dacă Împuternicitul introduce un subîmputernicit nou cu impact relevant asupra prelucrării datelor, Operatorul poate formula o opoziție rezonabilă, fundamentată pe motive serioase privind protecția datelor. În lipsa unei soluții rezonabile, părțile pot analiza restrângerea utilizării serviciului relevant sau încetarea relației contractuale pentru acel serviciu, conform contractului principal.


11. Transferuri internaționale de date

Dacă, pentru furnizarea Serviciilor, datele personale sunt transferate în afara Spațiului Economic European, Împuternicitul se va asigura că transferul are loc numai în condițiile permise de GDPR, inclusiv, după caz, pe baza:

  • unei decizii de adecvare;
  • clauzelor contractuale standard;
  • altor mecanisme recunoscute de lege.

12. Asistență acordată Operatorului

Ținând seama de natura prelucrării și de informațiile disponibile, Împuternicitul va acorda asistență rezonabilă Operatorului pentru:

  • răspunsul la cererile persoanelor vizate;
  • efectuarea evaluărilor de impact, acolo unde este cazul;
  • consultarea prealabilă cu autoritățile, dacă este necesar;
  • demonstrarea conformității privind măsurile implementate;
  • investigarea incidentelor de securitate relevante.

Această asistență poate fi furnizată prin funcționalitățile standard ale platformei, documentație, răspunsuri de suport, măsuri tehnice rezonabile sau servicii suplimentare, după caz.


13. Incidente de securitate

13.1. Notificare

În cazul unui incident de securitate care afectează datele personale procesate în numele Operatorului, Împuternicitul va notifica Operatorul fără întârzieri nejustificate, după ce ia cunoștință de incident, în măsura în care acesta este susceptibil să afecteze datele Operatorului.

13.2. Conținutul notificării

În măsura disponibilității informațiilor, notificarea va include:

  • natura incidentului;
  • categoriile generale de date și persoane afectate, dacă sunt cunoscute;
  • consecințele probabile;
  • măsurile adoptate sau propuse pentru remediere și limitarea efectelor.

13.3. Cooperare

Împuternicitul va coopera în mod rezonabil cu Operatorul pentru investigarea și gestionarea incidentului, ținând seama de natura serviciului și de obligațiile legale aplicabile părților.


14. Solicitările persoanelor vizate și ale autorităților

Dacă Împuternicitul primește direct o solicitare de la o persoană vizată sau de la o autoritate și acea solicitare privește date procesate în numele Operatorului, Împuternicitul poate:

  • transmite solicitarea Operatorului;
  • îndruma solicitantul către Operator, în măsura permisă de lege;
  • răspunde direct numai dacă legea impune acest lucru sau dacă Operatorul îl instruiește în mod valabil.

15. Audit și informații privind conformitatea

Împuternicitul va pune la dispoziția Operatorului informații rezonabile necesare pentru a demonstra respectarea obligațiilor relevante prevăzute de art. 28 GDPR, inclusiv prin:

  • documentație standard de securitate și conformitate;
  • descrierea măsurilor tehnice și organizatorice;
  • răspunsuri rezonabile la chestionare sau solicitări documentate.

Orice audit on-site sau măsură intruzivă va avea loc numai dacă este necesară în mod rezonabil, proporțională, permisă contractual și legal și nu afectează nejustificat securitatea, confidențialitatea celorlalți clienți sau funcționarea serviciilor.


16. Returnarea și ștergerea datelor

La încetarea relației contractuale sau la solicitarea Operatorului, în măsura permisă de contractul principal și de natura serviciului, Împuternicitul va proceda, după caz, la:

  • returnarea datelor prin funcționalitățile standard de export puse la dispoziție; și/sau
  • ștergerea datelor personale procesate în numele Operatorului.

Împuternicitul poate păstra datele dacă și în măsura în care:

  • legea impune păstrarea lor;
  • acestea rămân temporar în copii de siguranță, conform ciclurilor tehnice normale de retenție;
  • păstrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept.

17. Răspundere

Răspunderea părților în legătură cu prezentul DPA este supusă limitărilor și excluderilor de răspundere prevăzute în contractul principal, în măsura permisă de GDPR și de legea aplicabilă.

Nimic din prezentul DPA nu exclude sau limitează răspunderea în măsura în care aceasta nu poate fi exclusă sau limitată prin lege.


18. Ordinea de prioritate

În cazul unui conflict între prezentul DPA și alte documente contractuale, pentru aspectele privind prelucrarea datelor în relația operator–împuternicit, prezentul DPA va prevala, cu excepția cazului în care părțile au convenit în mod expres altfel într-un document individual.


19. Legea aplicabilă și jurisdicția

Prezentul DPA este guvernat de aceeași lege aplicabilă și este supus acelorași reguli de jurisdicție prevăzute în contractul principal, cu excepția cazului în care legea impune altfel.


20. Contact

Pentru aspecte privind protecția datelor în baza prezentului DPA, Împuternicitul poate fi contactat la:

  • Denumire companie: KRONLINK S.R.L.
  • CUI 44674047
  • Reg. Com. J8/2184/30.07.2021
  • Adresă: Cantacuzino 23
  • Email general: support @ myadvisor.ro
  • Persoană / departament de contact: Support

Datele de identificare și de contact ale Operatorului (Tenantul) sunt cele furnizate de acesta la înregistrarea contului și disponibile în profilul contului din platformă, prezentul document fiind un DPA-cadru, comun tuturor Tenanților, nu poate include date individuale de identificare ale fiecărui Tenant.