Acord de Prelucrare a Datelor (DPA)

Despre acest document

Prezentul Acord de Prelucrare a Datelor (denumit în continuare „DPA") este parte integrantă din Termenii și Condițiile platformei gsmos.ro și se aplică automat tuturor clienților care utilizează serviciile platformei. Prin acceptarea Termenilor și Condițiilor la înregistrare, clientul acceptă și prezentul DPA.

Acest DPA este încheiat în conformitate cu Art. 28 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului (GDPR).

1. Părțile Contractante

Calitate	Detalii
Persoana Împuternicită (Procesatorul)	Technologia SRL CUI: RO46085962 Sediu: România Email: gdpr@gsmos.ro Platforma: gsmos.ro
Operatorul	Clientul (firma GSM / service / magazin) care utilizează platforma gsmos.ro, identificat prin datele furnizate la înregistrare (denumire firmă, CUI, email, telefon).

2. Obiectul și Durata Prelucrării

2.1. Prezentul DPA reglementează prelucrarea datelor cu caracter personal efectuată de Persoana Împuternicită în numele Operatorului, în cadrul furnizării serviciilor platformei gsmos.ro.

2.2. Durata prelucrării este egală cu durata subscripției active pe platformă. La încetarea relației contractuale, datele vor fi șterse sau returnate conform Secțiunii 10.

3. Natura și Scopul Prelucrării

Persoana Împuternicită prelucrează date cu caracter personal strict pentru a furniza funcționalitățile platformei gsmos.ro, inclusiv:

Gestionarea fișelor de service și a reparațiilor
Gestiunea clienților finali ai service-ului (baza de clienți)
Trimiterea de notificări SMS/email clienților finali
Generarea și arhivarea documentelor (bonuri de lucru, facturi, garanții)
Gestionarea vânzărilor de telefoane și echipamente
Facturare electronică prin SPV ANAF
Rapoarte financiare și statistici
Backup automat al datelor (Dropbox)
Sincronizare contacte/calendar Google (dacă este activată)

4. Tipurile de Date cu Caracter Personal Prelucrate

Categorie	Date prelucrate
Date de identificare clienți finali	Nume, prenume, număr de telefon, adresă email, CNP (pentru persoane fizice), cod fiscal (pentru persoane juridice), adresă
Date despre dispozitive	IMEI, număr de serie, marcă, model, culoare, defecțiuni raportate
Date financiare	Costuri service, prețuri, modalitate plată, date facturi
Date operaționale	Istoricul reparațiilor, starea comenzilor, note tehnicieni
Date de comunicare	Istoricul SMS-urilor trimise, preferințe canal comunicare

5. Categorii de Persoane Vizate

Clienții finali ai service-ului/magazinului (persoane fizice sau juridice)
Angajații Operatorului (în cazul modulului de gestionare a angajaților)

6. Obligațiile Persoanei Împuternicite (gsmos.ro)

Persoana Împuternicită se obligă să:

Prelucreze datele doar pe baza instrucțiunilor documentate ale Operatorului și exclusiv în scopul furnizării serviciilor gsmos.ro.
Implementeze măsuri tehnice și organizatorice adecvate pentru securitatea datelor, inclusiv:
- Criptare AES-256-GCM a datelor PII la nivel de câmp în baza de date
- Transmitere exclusiv prin HTTPS (TLS 1.2+)
- Autentificare în doi factori (2FA) disponibilă
- Control acces bazat pe roluri și permisiuni
- Jurnalizare audit pentru acțiunile critice
- Backup automat criptat
Asigure confidențialitatea — personalul cu acces la date este supus obligației de confidențialitate.
Asiste Operatorul în îndeplinirea obligațiilor față de persoanele vizate (Art. 15-22 GDPR): acces, rectificare, ștergere, portabilitate, restricționare.
Notifice Operatorul fără întârziere nejustificată (cel târziu în 24 de ore) în cazul unei încălcări a securității datelor.
Șteargă sau returneze toate datele la cererea Operatorului sau la încetarea contractului.
Furnizeze toate informațiile necesare pentru demonstrarea conformității cu Art. 28 GDPR și să permită și să contribuie la auditurile efectuate de Operator.
Nu angajeze sub-procesatori fără autorizarea prealabilă a Operatorului. Lista actuală a sub-procesatorilor autorizați este disponibilă la /legal/sub-processors.

7. Obligațiile Operatorului (Clientul gsmos.ro)

Operatorul se obligă să:

Colecteze datele cu caracter personal cu respectarea GDPR și pe baza unui temei legal valid (consimțământ, contract, obligație legală etc.).
Informeze persoanele vizate cu privire la prelucrarea datelor lor, inclusiv despre utilizarea platformei gsmos.ro ca instrument de gestiune.
Gestioneze drepturile persoanelor vizate și să transmită Persoanei Împuternicite cererile relevante (ștergere, export etc.).
Utilizeze platforma gsmos.ro exclusiv pentru scopuri legitime și legale.
Notifice Autoritatea de Supraveghere (ANSPDCP) și persoanele vizate în cazul breșelor de securitate, conform Art. 33-34 GDPR.

8. Sub-procesatori

8.1. Operatorul autorizează în mod general angajarea sub-procesatorilor menționați în lista publicată la gsmos.ro/legal/sub-processors.

8.2. Persoana Împuternicită va notifica Operatorul cu cel puțin 30 de zile înainte de adăugarea sau înlocuirea unui sub-procesator, oferind posibilitatea de a obiecta.

8.3. Persoana Împuternicită impune sub-procesatorilor obligații de protecție a datelor echivalente celor din prezentul DPA.

9. Transferuri Internaționale de Date

Unii sub-procesatori pot fi localizați în afara Spațiului Economic European (SEE). În astfel de cazuri, transferurile se realizează pe baza:

Clauzelor contractuale standard adoptate de Comisia Europeană, sau
Deciziei de adecvare a Comisiei Europene pentru țara respectivă.

Detalii specifice per sub-procesator sunt disponibile la /legal/sub-processors.

10. Ștergerea și Returnarea Datelor

10.1. La cererea Operatorului, Persoana Împuternicită va furniza un export complet al datelor în format JSON (disponibil prin funcția „Export Date GDPR" din platformă).

10.2. La încetarea subscripției sau la cererea de ștergere a contului, Persoana Împuternicită va șterge toate datele cu caracter personal prelucrate în numele Operatorului, cu excepția datelor pe care are obligația legală de a le păstra (ex: date financiare, documente fiscale).

10.3. Datele de audit vor fi anonimizate (nu șterse) pentru a menține trasabilitatea conformității.

11. Notificarea Breșelor de Securitate

Procedura de notificare

În termen de 24 de ore de la constatarea unei breșe: gsmos.ro notifică Operatorul prin email la adresa de cont înregistrată.
În termen de 72 de ore de la constatare: Operatorul are obligația de a notifica ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) dacă breșa prezintă risc pentru persoanele vizate.
Dacă breșa prezintă risc ridicat, Operatorul trebuie să notifice și persoanele vizate afectate (Art. 34 GDPR).

Contact ANSPDCP: www.dataprotection.ro | Tel: +40.318.059.211

12. Asistența în Evaluările de Impact (DPIA)

La solicitarea Operatorului, Persoana Împuternicită va furniza informațiile necesare pentru realizarea unei Evaluări de Impact asupra Protecției Datelor (DPIA), conform Art. 35 GDPR.

13. Dispoziții Finale

13.1. Prezentul DPA prevalează față de orice prevedere contrară din acordurile anterioare dintre Părți cu privire la protecția datelor.

13.2. Dacă orice prevedere din prezentul DPA este considerată ilegală sau inaplicabilă, aceasta nu afectează validitatea celorlalte prevederi.

13.3. Prezentul DPA este guvernat de legislația română și de reglementările europene aplicabile în materie de protecție a datelor.

13.4. Orice modificare a prezentului DPA va fi comunicată Operatorilor cu cel puțin 30 de zile înainte de intrarea în vigoare.

Acceptare

Prin bifarea căsuței „Accept Acordul de Prelucrare a Datelor (DPA)" la crearea contului pe gsmos.ro, Operatorul confirmă că a citit, înțeles și acceptat în totalitate prezentul Acord de Prelucrare a Datelor.

Data intrării în vigoare a acceptării este data creării contului, înregistrată electronic în sistemul gsmos.ro.

14. Contact GDPR

Pentru orice întrebări legate de prezentul DPA sau de protecția datelor:

Email: gdpr@gsmos.ro
Subiect email: DPA - [numele firmei]
Pagina de contact: /legal/contact

Politica de Confidențialitate | Termeni și Condiții | Lista Sub-procesatori | Contact GDPR