Acord de Prelucrare a Datelor (DPA)

2. Obiectul acordului

Acest acord guverneaza prelucrarea datelor personale de catre BAPP in numele clientului in cadrul utilizarii platformei BAPP.

2.1 Categorii de persoane vizate

• Angajatii clientului
• Clientii finali ai clientului
• Furnizorii clientului
• Alte persoane ale caror date sunt introduse in platforma

2.2 Categorii de date personale

• Date de identificare (nume, prenume, CNP)
• Date de contact (email, telefon, adresa)
• Date financiare (informatii bancare, facturi)
• Date profesionale (functie, salariu, evaluari)
• Date generate de utilizare a platformei

2.3 Scopurile prelucrarii

• Furnizarea serviciilor contractuale
• Mentinerea functionalitatii platformei
• Suport tehnic si asistenta
• Backup si recuperarea datelor

3. Durata si teritoriul

Durata: Pe toata perioada contractului de servicii BAPP plus 30 de zile pentru returnarea datelor.

Teritoriul: Uniunea Europeana si Spatiul Economic European, cu posibilitatea transferurilor in tari terte cu garantii adecvate.

4. Obligatiile BAPP

4.1 Prelucrare conforma

• Prelucreaza datele doar conform instructiunilor documentate ale clientului
• Nu foloseste datele pentru scopuri proprii
• Respecta limitarile privind scopul si durata prelucrarii

4.2 Confidentialitate

• Asigura confidentialitatea datelor
• Instruieste personalul privind obligatiile de confidentialitate
• Limiteaza accesul la persoanele autorizate

4.3 Cooperare

• Asista clientul in raspunsul la solicitarile persoanelor vizate
• Colaboreaza la evaluarile de impact
• Notifica imediat orice incalcare de securitate

5. Masuri de securitate

5.1 Masuri tehnice

• Criptare: TLS 1.3 pentru transmisie, AES-256 pentru stocare
• Control acces: autentificare in doi factori obligatorie
• Monitorizare: logs de securitate pentru toate activitatile
• Backup: zilnic, criptat si testat lunar

5.2 Masuri organizationale

• Politici de securitate documentate
• Formare regulata a personalului
• Segregarea rolurilor si responsabilitatilor
• Proceduri de raspuns la incidente

5.3 Certificari

• ISO 27001 (in curs de obtinere)
• SOC 2 Type II pentru furnizorii de cloud
• Conformitate GDPR verificata anual

6. Subcontractori

6.1 Subcontractori actuali

• Amazon Web Services: hosting si infrastructura
• Stripe: procesarea platilor
• SendGrid: servicii de email
• Google: analiza si productivitate

6.2 Adaugarea de noi subcontractori

BAPP va:

• Notifica clientul cu 30 zile inainte
• Permite clientului sa se opuna in scris
• Incheie DPA cu toti subcontractorii
• Ramane complet raspunzator pentru activitatile lor

7. Incalcari de securitate

7.1 Notificare

BAPP va notifica clientul in maximum 24 ore de la descoperire, incluzand:

• Natura incalcarii
• Categoriile de date afectate
• Numarul aproximativ de persoane vizate
• Masurile luate pentru limitarea impactului
• Recomandarile pentru client

7.2 Documentare

Toate incidentele sunt documentate cu:

• Cronologia evenimentelor
• Cauza principala
• Masurile corective implementate
• Lectiile invatate

8. Auditare si control

8.1 Auditul intern

BAPP efectueaza autoaudituri anuale si pune la dispozitie:

• Rapoarte de conformitate
• Certificari de securitate
• Rezultatele testelor de penetrare

8.2 Auditul clientului

Clientul poate:

• Solicita rapoarte de audit
• Efectua audituri la fata locului (cu programare)
• Angaja auditatori terti independenti

9. Returnarea si stergerea datelor

9.1 La incheierea contractului

BAPP va:

• Permite exportul tuturor datelor in format standard
• Pastra datele 30 zile pentru export
• Sterge definitiv toate datele dupa perioada de gratie
• Furniza confirmarea stergerii

9.2 La cererea clientului

In orice moment, clientul poate cere:

• Exportul datelor specifice
• Stergerea categoriilor de date
• Confirmarea operatiunilor efectuate