Legal · GDPR Art. 28

Acord de Prelucrare a Datelor

Versiunea 1.0 · Intrat în vigoare: 8 aprilie 2026 · Limba oficială: română

Acest Acord de Prelucrare a Datelor („APD") face parte integrantă din Termenii și Condițiile CERTO și se aplică automat tuturor clienților care folosesc platforma CERTO NIS2 Compliance. Prin utilizarea serviciului, acceptați termenii acestui APD.

Articolul 1 — Definiții și Părți

1.1 Operatorul de date (Clientul)

Persoana juridică sau fizică autorizată care utilizează platforma CERTO pentru gestionarea conformității NIS2 a propriei organizații. Clientul determină scopul și mijloacele prelucrării datelor organizației sale.

1.2 Persoana împuternicită de Operator (CERTO)

Clear Security Vision SRL CUI: 32776248, cu sediul în Feleacu 24F, România, operator al platformei CERTO accesibilă la app.clearsecurity.vision.

1.3 Date cu caracter personal prelucrate

În contextul utilizării platformei CERTO, sunt prelucrate următoarele categorii de date:

Categorie	Exemple concrete	Temeiul prelucrării
Date de identificare organizație	Denumire companie, CUI, NRC, adresă, website	Executarea contractului
Date contact responsabili	Nume CEO, CISO, DPO, IT Manager, email securitate	Executarea contractului
Date de autentificare	Adresă email, token sesiune (sessionStorage)	Executarea contractului
Date conformitate NIS2	Gap analysis, riscuri, incidente, furnizori, documente generate	Executarea contractului
Date activitate	Jurnal activitate (audit trail), timestamps acțiuni	Interes legitim (securitate)
Date tehnice	Browser, OS, erori JS (Sentry), IP (CDN logs Cloudflare)	Interes legitim (îmbunătățire serviciu)

Articolul 2 — Scopul și Natura Prelucrării

2.1 Scopul prelucrării

CERTO prelucrează datele exclusiv în scopul furnizării platformei de management al conformității NIS2, incluzând:

Stocarea și afișarea datelor de conformitate introduse de Client
Generarea documentelor NIS2 pe baza datelor furnizate
Trimiterea notificărilor email legate de serviciu (trial, conformitate, incidente)
Detectarea și raportarea erorilor tehnice (Sentry)
Facturarea și gestionarea abonamentelor (Paddle)

2.2 Instrucțiunile Operatorului

CERTO prelucrează datele exclusiv conform instrucțiunilor documentate ale Clientului (configurările și datele introduse în platformă). CERTO nu va prelucra datele în alte scopuri decât cele specificate, cu excepția cazurilor impuse de legislația UE sau română.

2.3 Durata prelucrării

Datele sunt prelucrate pe durata abonamentului activ și până la 30 de zile după expirarea sau rezilierea acestuia (perioadă de grație pentru export). La cererea expresă a Clientului, datele sunt șterse imediat prin funcția „Șterge contul și datele" din platformă.

Articolul 3 — Obligațiile CERTO (Persoana Împuternicită)

3.1 Confidențialitate

CERTO se obligă să prelucreze datele confidențial și să se asigure că persoanele autorizate să prelucreze datele s-au angajat la confidențialitate sau sunt supuse unor obligații legale de confidențialitate.

3.2 Securitate tehnică și organizatorică

CERTO implementează și menține măsuri adecvate de securitate, incluzând:

Criptare în tranzit: TLS 1.2+ pe toate conexiunile
Criptare la repaus: AES-256 via Supabase/AWS (EU-Central-1, Frankfurt)
Control acces: Row Level Security (RLS) — fiecare Client vede exclusiv datele proprii
Autentificare: JWT în sessionStorage (nu persistă după închiderea browserului), fără stocare în localStorage
CSP strict: Content Security Policy fără unsafe-inline pentru scripturi
Monitorizare erori: Sentry EU (Frankfurt) pentru detectarea incidentelor tehnice
Audituri de securitate: Evaluare periodică a vulnerabilităților, pentest documentat

3.3 Asistență pentru drepturile persoanelor vizate

CERTO asistă Clientul în răspunsul la cererile persoanelor vizate privind:

Dreptul de acces (Art. 15 GDPR): Export JSON complet din platformă (buton „Exportă datele mele")
Dreptul la ștergere (Art. 17 GDPR): Ștergere completă și ireversibilă prin butonul „Șterge contul și datele"
Dreptul la portabilitate (Art. 20 GDPR): Export structurat în format JSON
Dreptul la rectificare (Art. 16 GDPR): Editare directă în platformă de către Client

3.4 Notificarea incidentelor de securitate

CERTO va notifica Clientul fără întârziere nejustificată (în maxim 72 de ore de la constatare) cu privire la orice incident de securitate care afectează datele Clientului, furnizând informațiile necesare pentru ca Operatorul să poată respecta obligațiile de raportare conform Art. 33-34 GDPR.

3.5 Asistență DPIA

CERTO furnizează, la cerere, informațiile necesare pentru realizarea evaluărilor impactului asupra protecției datelor (DPIA), inclusiv detalii tehnice despre securitatea sistemului.

3.6 Ștergerea sau returnarea datelor

La încetarea serviciului, CERTO șterge toate datele Clientului în termen de 30 de zile, cu excepția cazului în care legislația aplicabilă impune păstrarea acestora. Clientul poate solicita ștergerea imediată prin funcția dedicată din platformă.

3.7 Audit și conformitate

CERTO pune la dispoziția Clientului toate informațiile necesare pentru demonstrarea respectării prezentului APD și permite efectuarea de audituri sau inspecții de către Client sau un auditor mandatat, cu preaviz de 30 de zile lucrătoare.

Articolul 4 — Sub-procesatori

CERTO utilizează următorii sub-procesatori, toți cu sediul sau cu infrastructura în Uniunea Europeană:

Sub-procesator	Rol	Locație date	Baza legală transfer
Supabase Inc.	Bază de date, autentificare, Edge Functions	EU West — Frankfurt (AWS eu-central-1)	Date în UE — fără transfer extrateritorial
Cloudflare Inc.	Hosting static, CDN, securitate rețea	CDN global / date procesate în UE	Clauze contractuale standard (SCC)
Resend Inc.	Email transactional (notificări serviciu)	EU West — Irlanda (eu-west-1)	Date în UE — fără transfer extrateritorial
Sentry (Functional Software Inc.)	Monitorizare erori tehnice	EU — Frankfurt (Germania)	Date în UE — fără transfer extrateritorial
Paddle.com Market Ltd.	Procesare plăți și abonamente	EU (Irlanda/UK)	Regulament EU 2016/679, SCC
cron-job.org	Programare task-uri automate	Germania	Date în UE — fără PII transmise

CERTO va notifica Clientul cu minimum 14 zile înainte de adăugarea sau înlocuirea unui sub-procesator. Clientul poate obiecta în scris în acest interval; în lipsa obiecției, se consideră acceptul implicit.

Articolul 5 — Obligațiile Operatorului (Clientul)

Clientul se obligă să:

Furnizeze instrucțiuni documentate clare privind prelucrarea datelor
Se asigure că are temeiul legal pentru transmiterea datelor cu caracter personal către CERTO
Informeze persoanele vizate cu privire la prelucrarea datelor prin CERTO
Notifice imediat CERTO cu privire la orice cerere a persoanelor vizate referitoare la datele prelucrate prin platformă
Implementeze măsuri tehnice și organizatorice adecvate la nivelul propriei organizații

Articolul 6 — Transferuri Internaționale de Date

Toate datele cu caracter personal sunt procesate și stocate în Uniunea Europeană. CERTO nu transferă date în afara Spațiului Economic European (SEE) fără:

O decizie de adecvare a Comisiei Europene; sau
Garanții adecvate, inclusiv Clauze Contractuale Standard (SCC) aprobate de Comisia Europeană; sau
Consimțământul explicit al Clientului

Articolul 7 — Dispoziții Finale

7.1 Legea aplicabilă

Prezentul APD este guvernat de legislația română și de Regulamentul (UE) 2016/679 (GDPR). Orice litigiu va fi supus jurisdicției instanțelor competente din România.

7.2 Modificări

CERTO poate modifica prezentul APD cu notificarea Clientului cu minimum 30 de zile înainte. Continuarea utilizării serviciului după expirarea termenului constituie acceptul modificărilor.

7.3 Prioritate

În caz de conflict între prezentul APD și Termenii și Condițiile CERTO, prevederile APD prevalează în ceea ce privește protecția datelor cu caracter personal.

7.4 Contact DPO / Responsabil protecția datelor

Pentru orice întrebări legate de prelucrarea datelor sau pentru exercitarea drepturilor GDPR: privacy@clearsecurity.vision

Semnătură

Prin acceptarea Termenilor și Condițiilor CERTO, Clientul confirmă că a citit, înțeles și acceptat prezentul Acord de Prelucrare a Datelor.

Persoana Împuternicită

Clear Security Vision SRL
CUI: 32776248
Feleacu 24F, România

Semnătură autorizată · Data

Operator de Date

Clientul CERTO
Identificat prin contul de utilizator
înregistrat la app.clearsecurity.vision

Acceptat electronic la creare cont · Data