Acest Acord de prelucrare a datelor („DPA”) se încheie între:
- Operatorul — Clientul, persoană juridică (SRL, SA, ONG, instituție publică) identificată prin datele furnizate la activarea Abonamentului pe Platforma Finstar;
- Împuternicitul — FINSTAR PROJECT SRL, persoană juridică română, sediul Craiova, bld. Dacia, nr. 36, bl. 83B, sc. 1, ap. 9, județul Dolj, J16/3173/18.12.2019, CUI RO42040868.
Finstar contractează exclusiv cu persoane juridice. Acest DPA nu se aplică raporturilor cu consumatori, PFA, II sau IF.
Acordul se aplică automat și obligatoriu prin acceptarea Termenilor și condițiilor generale. Pentru clienții care necesită semnarea unui DPA distinct (ex. corporații cu cerințe procurement specifice), îl furnizăm la cerere prin contact@finstar.ro.
1. Obiectul, durata, natura, scopul prelucrării
| Element | Conținut |
|---|---|
| Obiectul | Prelucrarea datelor cu caracter personal conținute în Datele contabile ale Operatorului, pentru a livra pachetul Analiza |
| Durata | Durata Abonamentului plus perioada de retenție post-încetare (1 an, cu excepțiile legale) |
| Natura prelucrării | Colectare, structurare, agregare, analiză, afișare, stocare temporară |
| Scopul | Furnizarea Serviciului Finstar |
2. Tipul de date și categoriile de persoane vizate
În măsura în care Datele contabile ale Operatorului conțin date cu caracter personal, acestea pot include:
| Categorie de date | Categorii de persoane vizate |
|---|---|
| Nume, prenume | Angajați, asociați, administrator, reprezentanți legali |
| Date salariale, beneficii, indemnizații | Angajați |
| Date contact (email, telefon, adresă) | Reprezentanți, contacte parteneri |
| Date identitate parteneri PFA / persoană fizică | Furnizori sau clienți persoane fizice ai Operatorului |
| Date privind tranzacții comerciale | Reprezentanți și beneficiari ai tranzacțiilor |
Operatorul confirmă că are bază legală pentru a furniza aceste date Împuternicitului în scopul Contractului.
Finstar nu prelucrează coduri numerice personale (CNP). Orice CNP care ar apărea accidental în feed-ul contabil al Operatorului este ignorat și nu este folosit, indexat sau partajat.
3. Obligațiile Împuternicitului
Împuternicitul:
- prelucrează datele exclusiv pe baza instrucțiunilor documentate ale Operatorului — acceptarea Termenilor și utilizarea Platformei conform documentației constituie instrucțiunea de bază;
- asigură că persoanele autorizate să prelucreze datele au angajament de confidențialitate sau obligație legală echivalentă;
- implementează măsurile tehnice și organizatorice de la secțiunea 6;
- respectă condițiile pentru utilizarea sub-procesatorilor (secțiunea 4);
- informează Operatorul despre orice solicitare a unei persoane vizate primită direct, fără a răspunde fără autorizare;
- asistă Operatorul în îndeplinirea obligației de a răspunde solicitărilor persoanelor vizate (acces, rectificare, ștergere, portabilitate, opoziție);
- asistă Operatorul în îndeplinirea obligațiilor art. 32–36 GDPR (securitate, breach notification, evaluare impact);
- la încheierea prelucrării, șterge sau returnează datele conform alegerii Operatorului (sub rezerva retenției legale);
- pune la dispoziția Operatorului informațiile necesare pentru a demonstra conformitatea (secțiunea 8).
4. Sub-procesatori
Autorizare generală. Operatorul autorizează Împuternicitul să folosească sub-procesatori pentru livrarea Serviciului. Lista actualizată este publicată la Sub-procesatori.
Sub-procesatori principali pentru datele acoperite de acest DPA (date personale conținute în feed-ul contabil):
| Sub-procesator | Scop | Locație | Garanții transfer |
|---|---|---|---|
| Cloudflare, Inc. | Hosting Platformei | UE (DE/FI primar) + edge global | SCC |
| Resend, Inc. | Email-uri către persoane vizate (după caz) | SUA | SCC |
| OpenRouter, Inc. | Rutare AI către modele LLM pentru analizele Analiza (cu retenție limitată și fără antrenare; cycling între modele subiacente) | SUA (SCC) | Standard Contractual Clauses (SCC); termenii OpenRouter pentru modelele subiacente |
Pentru furnizorii AI, Finstar selectează configurări care limitează retenția datelor și exclud antrenarea modelelor pe baza lor. Operatorul recunoaște și acceptă acest model de operare.
Pentru sub-procesatori care procesează doar date pentru care Finstar este el însuși operator (Stripe, Google Analytics, Meta Pixel, PostHog, Intercom), aceștia nu intră în sfera prezentului DPA — sunt acoperiți de Politica de confidențialitate.
Schimbări. Pentru orice sub-procesator nou, Împuternicitul notifică Operatorul cu minim 30 de zile preaviz, prin email și prin actualizarea listei publice. Operatorul poate obiecta motivat în acest termen. Dacă obiecția este rezonabilă și nu poate fi remediată, Operatorul poate rezilia Contractul fără penalități, cu rambursarea proporțională.
5. Transferuri internaționale
În cazul transferurilor de date cu caracter personal în afara Spațiului Economic European (SEE), Împuternicitul asigură că:
- destinatarul beneficiază de o decizie de adecvare a Comisiei Europene; sau
- sunt în vigoare Clauze Contractuale Standard (SCCs) aprobate de Comisia Europeană (Decizia 2021/914); sau
- există o altă garanție conform art. 46 GDPR.
6. Măsuri tehnice și organizatorice
Împuternicitul implementează măsurile descrise în detaliu pe pagina Securitate, inclusiv:
- criptare în tranzit (HTTPS/TLS 1.2+) și la repaus (AES-256);
- control acces pe principiul privilegiului minim, cu MFA pentru personal;
- izolare logică între clienți (multi-tenant);
- backup-uri automate criptate, retenție 30 zile;
- monitorizare acces și operațiuni critice, păstrate 12 luni;
- procedură documentată de răspuns la incidente.
7. Notificare incidente de securitate
În cazul unei breșe de securitate care afectează datele cu caracter personal procesate pentru Operator, Împuternicitul:
- notifică Operatorul fără întârziere nejustificată și nu mai târziu de 72 de ore de la confirmarea incidentului, prin email la adresa de contact a Operatorului;
- furnizează în notificare cel puțin: natura incidentului, categoriile și volumul aproximativ al persoanelor și datelor afectate, consecințele probabile, măsurile întreprinse sau propuse;
- pune la dispoziția Operatorului informațiile necesare pentru obligația proprie de notificare către ANSPDCP (art. 33 GDPR);
- cooperează la investigarea, remedierea și documentarea incidentului;
- furnizează un raport post-incident detaliat în maxim 30 de zile.
8. Audit
8.1. Operatorul poate solicita, o dată pe an calendaristic și cu preaviz de minim 30 de zile, informații documentare prin care Împuternicitul demonstrează conformitatea cu prezentul DPA.
8.2. Audit la fața locului poate fi efectuat doar în cazul unei breșe materiale, pe cheltuiala Operatorului, cu acordul prealabil al Împuternicitului asupra datei, sferei și auditorului, prin auditor independent acceptat de ambele părți.
8.3. Împuternicitul poate satisface dreptul de audit prin certificări terțe (ex. ISO 27001, SOC 2) atunci când acoperă scopul auditului.
9. Returnare/ștergere la încetare
La încetarea Contractului:
- Operatorul poate solicita, în primele 30 de zile, export al datelor într-un format standard (CSV / JSON);
- Împuternicitul șterge datele conform Termenilor (1 an retenție automat, sau 5 zile lucrătoare la cerere expresă);
- Împuternicitul confirmă în scris finalizarea ștergerii;
- sub rezerva retenției legale, datele șterse nu pot fi recuperate.
10. Răspundere
În cazul nerespectării obligațiilor din prezentul DPA, Împuternicitul răspunde conform secțiunii 9 din Termeni, sub rezerva limitelor și plafoanelor aplicabile.
11. Lege aplicabilă
Prezentul DPA este parte integrantă din Termeni și se supune legii române și GDPR (Regulament UE 679/2016).