Factur1. Părțile și obiectul
Prezentul Acord de prelucrare a datelor („DPA”) face parte din contractul de utilizare a eFacturO între Clientul (persoană juridică sau persoană fizică autorizată care utilizează Serviciul în nume propriu sau al firmei — Operator de date) și eFacturO (Împuternicit), pentru prelucrările efectuate de Împuternicit exclusiv în numele Clientului, prin platformă.
DPA se aplică datelor cu caracter personal ale clienților, furnizorilor, angajaților sau altor persoane vizate introduse de Client în eFacturO (ex. nume, CUI/CNP unde este cazul, adresă, email, telefon, date de facturare).
2. Instrucțiuni și scop
Împuternicitul prelucrează datele doar conform documentației Serviciului și instrucțiunilor documentate ale Clientului (inclusiv configurări în cont), pentru: emitere facturi, gestiune relații comerciale, rapoarte, notificări activate de Client, integrări solicitate de Client (ANAF, plăți, email/SMS).
3. Obligațiile Împuternicitului
- confidențialitatea personalului cu acces la date;
- măsuri de securitate adecvate riscului (art. 32 GDPR);
- asistență rezonabilă pentru drepturile persoanelor vizate și notificarea încălcărilor, în limitele tehnice;
- ștergerea sau returnarea datelor la încetarea contractului, exceptând păstrarea impusă de lege;
- notificarea Clientului înainte de instrucțiuni noi care încalcă GDPR.
4. Sub-împuterniciți
Clientul autorizează utilizarea următorilor sub-împuterniciți:
| Furnizor | Rol | Locație date | Mecanism transfer |
|---|---|---|---|
| Hetzner Online GmbH | Hosting, infrastructură server | Germania (UE) | Rămâne în SEE — nu necesită măsuri suplimentare |
| SMSO.ro | SMS tranzacțional (OTP, notificări) | România (UE) | Rămâne în SEE — nu necesită măsuri suplimentare |
| NETOPIA Payments (România) | Procesare plăți abonament | Irlanda (UE) / SUA | Procesator plăți în UE/RO; transfer în afara SEE doar dacă este cazul, cu garanții contractuale |
| ANAF | Transmitere e-Factura (la solicitarea Clientului) | România (UE) | Obligație legală națională |
Lista poate fi actualizată; Clientul va fi informat cu cel puțin 14 zile înainte de schimbări substanțiale, cu posibilitate de opoziție. Sub-împuterniciții sunt obligați contractual la nivel echivalent de protecție.
5. Obligațiile Clientului (Operator)
- să aibă un temei legal pentru prelucrare (contract, obligație legală, consimțământ etc.);
- să informeze persoanele vizate, după caz, prin propriile politici;
- să nu introducă date inutile sau sensibile fără necesitate și fără măsuri suplimentare;
- să configureze corect drepturile utilizatorilor din organizația sa.
6. Locația datelor și audit
Datele sunt găzduite în infrastructură controlată de Împuternicit. La cerere rezonabilă, Clientul poate primi informații despre măsurile de securitate. Audituri on-site pot fi convenite separat, fără a compromite securitatea altor clienți.
7. Încălcări de securitate și răspundere
La constatarea unei încălcări a securității datelor cu caracter personal, Împuternicitul notifică Clientul (Operatorul) fără întârzieri nejustificate și în cel mult 36 de ore de la constatare, pentru a-i permite Clientului să respecte termenul de 72 de ore impus de art. 33 GDPR față de autoritatea de supraveghere (ANSPDCP). Notificarea include cel puțin: natura încălcării, categoriile și numărul aproximativ de persoane vizate, măsurile luate sau propuse. Răspunderea fiecărei părți este limitată conform Termenilor și condițiilor generale, în măsura permisă de lege.
8. Durată
DPA este valabil pe durata utilizării Serviciului și până la finalizarea ștergerii/returnării datelor prelucrate în numele Clientului.
9. Contact DPO / confidențialitate
Solicitări privind prelucrarea în calitate de Împuternicit: contact@efacturo.ro, tel. +40376508509 · efacturo.ro. Documente conexe: Politica de confidențialitate, Termeni și condiții.
Acceptarea DPA se consideră realizată prin continuarea utilizării Serviciului după publicarea acestei versiuni, în măsura în care legislația aplicabilă permite acordul electronic.