Acord de Prelucrare a Datelor
Articolul 1 — Definiții și Părți
1.1 Operatorul de date (Clientul)
Persoana juridică sau fizică autorizată care utilizează platforma CERTO pentru gestionarea conformității NIS2 a propriei organizații. Clientul determină scopul și mijloacele prelucrării datelor organizației sale.
1.2 Persoana împuternicită de Operator
ClearSecurity Vision S.R.L., CUI 32776248, înregistrată la Oficiul Registrului Comerțului sub numărul J12/420/2014, cu sediul social în Feleacu 24F, Cluj-Napoca, România — denumită în continuare „Persoana Împuternicită" sau „noi". CERTO este denumirea comercială a platformei pe care o operăm, accesibilă la app.clearsecurity.vision.
1.3 Date cu caracter personal prelucrate
În contextul utilizării platformei CERTO, sunt prelucrate următoarele categorii de date:
| Categorie | Exemple concrete | Temeiul prelucrării |
|---|---|---|
| Date de identificare organizație | Denumire companie, CUI, NRC, adresă, website | Executarea contractului |
| Date contact responsabili | Nume CEO, CISO, DPO, IT Manager, email securitate | Executarea contractului |
| Date de autentificare | Adresă email, token sesiune (sessionStorage) | Executarea contractului |
| Date conformitate NIS2 | Analiză de conformitate, riscuri, incidente, furnizori, documente generate | Executarea contractului |
| Date activitate | Jurnal de activitate, marcaje temporale ale acțiunilor | Interes legitim (securitate) |
| Date tehnice | Browser, OS, erori JS (Sentry), IP (CDN logs Cloudflare) | Interes legitim (îmbunătățire serviciu) |
Articolul 2 — Scopul și Natura Prelucrării
2.1 Scopul prelucrării
Persoana Împuternicită prelucrează datele exclusiv în scopul furnizării platformei CERTO de management al conformității NIS2, incluzând:
- Stocarea și afișarea datelor de conformitate introduse de Client
- Generarea documentelor NIS2 pe baza datelor furnizate
- Trimiterea notificărilor email legate de serviciu (trial, conformitate, incidente)
- Detectarea și raportarea erorilor tehnice (Sentry)
- Facturarea și gestionarea abonamentelor (Paddle)
2.2 Instrucțiunile Operatorului
Persoana Împuternicită prelucrează datele exclusiv conform instrucțiunilor documentate ale Clientului (configurările și datele introduse în platformă). Persoana Împuternicită nu va prelucra datele în alte scopuri decât cele specificate, cu excepția cazurilor impuse de legislația UE sau română.
2.3 Durata prelucrării
Datele sunt prelucrate pe durata abonamentului activ și până la 30 de zile după expirarea sau rezilierea acestuia (perioadă de grație pentru export). La cererea expresă a Clientului, datele sunt șterse imediat prin funcția „Șterge contul și datele" din platformă.
Articolul 3 — Obligațiile Persoanei Împuternicite
3.1 Confidențialitate
Persoana Împuternicită se obligă să prelucreze datele confidențial și să se asigure că persoanele autorizate să prelucreze datele s-au angajat la confidențialitate sau sunt supuse unor obligații legale de confidențialitate.
3.2 Securitate tehnică și organizatorică
Persoana Împuternicită implementează și menține măsuri adecvate de securitate, incluzând:
- Criptare în tranzit: TLS 1.3 pe toate conexiunile
- Criptare la repaus: AES-256 via Supabase/AWS (EU-Central-1, Frankfurt)
- Control acces: Row Level Security (RLS) — fiecare Client vede exclusiv datele proprii
- Autentificare: JWT în sessionStorage (nu persistă după închiderea browserului), fără stocare în localStorage
- CSP strict: Content Security Policy fără unsafe-inline pentru scripturi
- Monitorizare erori: Sentry EU (Frankfurt) pentru detectarea incidentelor tehnice
- Evaluări de securitate: Evaluări periodice de securitate și scanări de vulnerabilități
3.3 Asistență pentru drepturile persoanelor vizate
Persoana Împuternicită asistă Clientul în răspunsul la cererile persoanelor vizate privind:
- Dreptul de acces (Art. 15 GDPR): Export JSON complet din platformă (buton „Exportă datele mele")
- Dreptul la ștergere (Art. 17 GDPR): Ștergere completă și ireversibilă prin butonul „Șterge contul și datele"
- Dreptul la portabilitate (Art. 20 GDPR): Export structurat în format JSON
- Dreptul la rectificare (Art. 16 GDPR): Editare directă în platformă de către Client
3.4 Notificarea incidentelor de securitate
Persoana Împuternicită va notifica Clientul fără întârziere nejustificată (în maxim 72 de ore de la constatare) cu privire la orice incident de securitate care afectează datele Clientului, furnizând informațiile necesare pentru ca Operatorul să poată respecta obligațiile de raportare conform Art. 33-34 GDPR.
3.5 Asistență DPIA
Persoana Împuternicită furnizează, la cerere, informațiile necesare pentru realizarea evaluărilor impactului asupra protecției datelor (DPIA), inclusiv detalii tehnice despre securitatea sistemului.
3.6 Ștergerea sau returnarea datelor
La încetarea serviciului, Persoana Împuternicită șterge toate datele Clientului în termen de 30 de zile, cu excepția cazului în care legislația aplicabilă impune păstrarea acestora. Clientul poate solicita ștergerea imediată prin funcția dedicată din platformă.
3.7 Audit și conformitate
Persoana Împuternicită pune la dispoziția Clientului toate informațiile necesare pentru demonstrarea respectării prezentului APD și permite efectuarea de audituri sau inspecții de către Client sau un auditor mandatat, cu preaviz de 30 de zile lucrătoare.
Articolul 4 — Sub-procesatori
Persoana Împuternicită utilizează următorii sub-procesatori, toți cu sediul sau cu infrastructura în Uniunea Europeană:
| Sub-procesator | Rol | Locație date | Baza legală transfer |
|---|---|---|---|
| Supabase Inc. | Bază de date, autentificare, Edge Functions | EU West — Frankfurt (AWS eu-central-1) | Date în UE — fără transfer extrateritorial |
| Cloudflare Inc. | Hosting static, CDN, securitate rețea | CDN global / date procesate în UE | Clauze contractuale standard (SCC) |
| Resend Inc. | Email transactional (notificări serviciu) | EU West — Irlanda (eu-west-1) | Date în UE — fără transfer extrateritorial |
| Sentry (Functional Software Inc.) | Monitorizare erori tehnice | EU — Frankfurt (Germania) | Date în UE — fără transfer extrateritorial |
| Paddle.com Market Ltd. | Procesare plăți și abonamente | EU (Irlanda/UK) | Regulament EU 2016/679, SCC |
| cron-job.org | Programare task-uri automate | Germania | Date în UE — fără PII transmise |
Persoana Împuternicită va notifica Clientul cu minimum 14 zile înainte de adăugarea sau înlocuirea unui sub-procesator. Clientul poate obiecta în scris în acest interval; în lipsa obiecției, se consideră acceptul implicit.
Articolul 5 — Obligațiile Operatorului (Clientul)
Clientul se obligă să:
- Furnizeze instrucțiuni documentate clare privind prelucrarea datelor
- Se asigure că are temeiul legal pentru transmiterea datelor cu caracter personal către Persoana Împuternicită
- Informeze persoanele vizate cu privire la prelucrarea datelor prin platforma CERTO
- Notifice imediat Persoana Împuternicită cu privire la orice cerere a persoanelor vizate referitoare la datele prelucrate prin platformă
- Implementeze măsuri tehnice și organizatorice adecvate la nivelul propriei organizații
Articolul 6 — Transferuri Internaționale de Date
Toate datele cu caracter personal sunt procesate și stocate în Uniunea Europeană. Persoana Împuternicită nu transferă date în afara Spațiului Economic European (SEE) fără:
- O decizie de adecvare a Comisiei Europene; sau
- Garanții adecvate, inclusiv Clauze Contractuale Standard (SCC) aprobate de Comisia Europeană; sau
- Consimțământul explicit al Clientului
Articolul 7 — Dispoziții Finale
7.1 Legea aplicabilă
Prezentul APD este guvernat de legislația română și de Regulamentul (UE) 2016/679 (GDPR). Orice litigiu va fi supus jurisdicției instanțelor competente din România.
7.2 Modificări
Persoana Împuternicită poate modifica prezentul APD cu notificarea Clientului cu minimum 30 de zile înainte. Continuarea utilizării serviciului după expirarea termenului constituie acceptul modificărilor.
7.3 Prioritate
În caz de conflict între prezentul APD și Termenii și Condițiile CERTO, prevederile APD prevalează în ceea ce privește protecția datelor cu caracter personal.
7.4 Contact DPO / Responsabil protecția datelor
Pentru orice întrebări legate de prelucrarea datelor sau pentru exercitarea drepturilor GDPR: privacy@clearsecurity.vision
Semnătură
Prin acceptarea Termenilor și Condițiilor CERTO, Clientul confirmă că a citit, înțeles și acceptat prezentul Acord de Prelucrare a Datelor.
ClearSecurity Vision S.R.L.
CUI: 32776248 · J12/420/2014
Feleacu 24F, Cluj-Napoca, România
Clientul CERTO
Identificat prin contul de utilizator
înregistrat la app.clearsecurity.vision