Legal Pages

Data-Processing Agreement (DPA) Template | Șablon al Acordului de protecție a datelor (DPA)

1. Parties & Roles

|

1. Părțile & Rolurile

1. Parties & Roles

|

1. Părțile & Rolurile

This Data-Processing Agreement (“DPA”) is an addendum to the Master Services Agreement (“MSA”) between:

Party	Legal details	GDPR role
SHOCKWEB VISION S.R.L. (“Processor”)	Romania, Bucharest, District 1, Şoseaua NICOLAE TITULESCU, Nr. 48, chamber 02, 2nd floor • Trade-Register No. J2024050289006 / (EUID) ROONRC.J2024050289006 • VAT ID RO51059908	Processor within the meaning of Art. 4(8) & Art. 28 GDPR – processes Personal Data on behalf of the Controller.
[CLIENT LEGAL NAME] (“Controller”)	[Registered address] • Company/NGO no. [REG_NO] • VAT/Tax ID [VAT_ID]	Controller within the meaning of Art. 4(7) GDPR – determines the purposes and means of the processing of Personal Data.

By signing the Order Form / Statement of Work that refers to this DPA, each Party confirms that the roles above accurately reflect their status under the EU General Data-Protection Regulation (Reg. 2016/679, “GDPR”) and Romanian Law 190/2018.

Acest Acord de Prelucrare a Datelor cu Caracter Personal (“DPA”) este un act adițional la Master Services Agreement (“MSA”) încheiat între:

Parte	Detalii juridice	Rol GDPR
SHOCKWEB VISION S.R.L. (“Împuternicitul”)	Str. Bucureşti Sectorul 1, Şoseaua NICOLAE TITULESCU, Nr. 48, camera 02, Etaj 2 • Nr. RC J2024050289006 / (EUID) ROONRC.J2024050289006 • CUI 51059908	Persoană împuternicită în sensul art. 4 pct. 8 și art. 28 GDPR – prelucrează Date personale în numele Operatorului.
[DENUMIREA LEGALĂ A CLIENTULUI] (“Operatorul”)	[Adresa sediului] • Nr. înreg. [REG_NO] • CIF [VAT_ID]	Operator în sensul art. 4 pct. 7 GDPR – stabilește scopurile și mijloacele prelucrării Datelor personale.

Prin semnarea Formularului de Comandă / Statement of Work care menționează prezentul DPA, fiecare Parte confirmă că rolurile de mai sus reflectă corect statutul lor conform Regulamentului (UE) 2016/679 (GDPR) și Legii române 190/2018.

2. Subject-Matter & Duration of Processing

|

2. Obiectul & Durata Prelucrării

2. Subject-Matter & Duration of Processing

|

2. Obiectul & Durata Prelucrării

Item	Description
2.1 Subject-matter	The Processor shall process Personal Data solely for the purpose of delivering the Services described in the Master Services Agreement (“MSA”) and the applicable Statement(s) of Work (“SOW”), including, but not limited to, full-stack marketing, web-production, AI-tool integration, hosting, analytics, and customer-support activities.
2.2 Processing operations	Collection, recording, organisation, structuring, storage, adaptation, consultation, use, transmission, alignment, combination, restriction, erasure and/or destruction, as reasonably necessary to perform the Services.
2.3 Start date	The processing begins on the Effective Date of the first SOW that references this DPA (or on the date Personal Data is first made available to the Processor, whichever occurs first).
2.4 End date	Processing continues until the earlier of: (a) termination or expiry of the relevant SOW / MSA; or (b) written instruction from the Controller to cease processing, subject to any post-termination obligations.
2.5 Post-termination retention	Unless the Controller instructs otherwise (Art. 28 (3)(g) GDPR), the Processor shall delete or return all Personal Data within 30 calendar days of processing end. Copies may be retained beyond this period only where EU or Member-State law requires (e.g., tax-audit archives).

Element	Descriere
2.1 Obiectul prelucrării	Împuternicitul va prelucra Datele personale exclusiv pentru furnizarea Serviciilor descrise în Master Services Agreement („MSA”) și în Declarația(le) de Lucrări („SOW”) aplicabilă(e), incluzând, fără limitare, servicii de marketing digital, producție web, integrare unelte AI, găzduire, analytics și suport clienți.
2.2 Operațiuni de prelucrare	Colectare, înregistrare, organizare, structurare, stocare, adaptare, consultare, utilizare, transmitere, aliniere, combinare, restricționare, ștergere și/sau distrugere, conform necesității rezonabile pentru prestarea Serviciilor.
2.3 Dată început	Prelucrarea începe la Data Efectivă a primei SOW care face referire la prezentul DPA (sau la data la care Datele personale sunt puse prima dată la dispoziția Împuternicitului, oricare survine prima).
2.4 Dată sfârșit	Prelucrarea continuă până la cea mai timpurie dintre: (a) încetarea sau expirarea SOW / MSA relevante; sau (b) instrucțiunea scrisă a Operatorului de a înceta prelucrarea, sub rezerva obligațiilor post-reziliere.
2.5 Retenție post-reziliere	Dacă Operatorul nu dă instrucțiuni altfel (art. 28 (3)(g) GDPR), Împuternicitul va șterge sau returna toate Datele personale în 30 de zile calendaristice de la încetarea prelucrării. Copii pot fi păstrate ulterior numai dacă dreptul UE sau al unui Stat Membru impune acest lucru (ex.: arhive fiscale).

3. Nature & Purpose of Processing

|

3. Natura și Scopul Prelucrării

3. Nature & Purpose of Processing

|

3. Natura și Scopul Prelucrării

The Processor will handle Personal Data only to the extent strictly necessary for the Services specified in the MSA/SOW and in accordance with the Controller’s documented instructions. Typical purposes include:

#	Purpose (“why”)	Nature of processing (“how”)	Example activities
3.1 Service provisioning	Enable users to register, authenticate, and access Websites / LMS.	Collection, storage, retrieval, transmission.	Account-creation forms, password-reset e-mails.
3.2 E-commerce fulfilment	Process orders for courses, eBooks, subscriptions.	Payment-data tokenisation, order-ID assignment, invoice generation.	Stripe/PayPal API calls, PDF invoice storage.
3.3 Content hosting & delivery	Host course videos, infographics, community posts.	Storage on CDN, caching, back-up replication.	Upload to AWS S3, Cloudflare CDN distribution.
3.4 Marketing analytics	Measure site traffic, conversion funnels, campaign ROI.	Pseudonymous tracking, aggregation, reporting.	Matomo dashboards, GA4 event export.
3.5 AI-assisted personalisation	Provide chatbot replies or content suggestions tailored to user inputs.	Prompt submission to third-party AI APIs, temporary caching of outputs.	OpenAI Chat Completion, image-generation prompts.
3.6 Customer support	Resolve tickets, bug reports, refund requests.	Consultation, annotation, ticket-status updates.	Freshdesk/Jira ticket metadata.
3.7 Security & performance monitoring	Detect fraud, bot traffic, abuse of Services.	Log collection, correlation, automated alerts.	WAF logs, anomaly-detection metrics.
3.8 Legal & compliance	Maintain auditable records for tax, consumer-protection, GDPR duties.	Archiving, restricted-access storage, disclosure to authorities when lawfully requested.	Invoice archives, withdrawal-form logs.

Processing for any other purpose (e.g., unrelated advertising, behavioural profiling) requires prior written authorisation from the Controller.

Împuternicitul va prelucra Datele personale doar în măsura strict necesară prestării Serviciilor din MSA/SOW și conform instrucțiunilor scrise ale Operatorului. Scopurile obișnuite includ:

#	Scop („de ce”)	Natura prelucrării („cum”)	Exemple activități
3.1 Furnizare servicii	Permite înregistrarea, autentificarea și accesul la Website / LMS.	Colectare, stocare, regăsire, transmitere.	Formulare cont, e-mail resetare parolă.
3.2 Onorare comenzi e-commerce	Procesarea comenzilor pentru cursuri, eBooks, abonamente.	Tokenizare date plată, generare factură.	API Stripe/PayPal, stocare factură PDF.
3.3 Găzduire & livrare conținut	Găzduire video, infografice, postări comunitate.	Stocare pe CDN, cache, replicare back-up.	Încărcare AWS S3, distribuție Cloudflare.
3.4 Analitice marketing	Măsurarea traficului, conversiilor, ROI campanii.	Tracking pseudonim, agregare, raportare.	Dashboards Matomo, export evenimente GA4.
3.5 Personalizare asistată AI	Chatbot sau recomandări de conținut după inputul utilizatorului.	Trimitere prompt la API-uri AI, caching temporar.	Chat Completion OpenAI, prompturi imagine.
3.6 Suport clienți	Rezolvarea tichetelor, bug-urilor, cererilor de rambursare.	Consultare, notare, actualizare status tichet.	Metadate tichet Freshdesk/Jira.
3.7 Monitorizare securitate & performanță	Detectarea fraudei, trafic bot, abuz servicii.	Colectare loguri, corelare, alerte automate.	Loguri WAF, metrici anomalii.
3.8 Legal & conformitate	Păstrare evidențe auditable pentru taxe, protecția consumatorului, GDPR.	Arhivare, stocare acces restricționat, divulgare autorități.	Arhive facturi, jurnale formulare retragere.

Prelucrarea în alte scopuri (ex.: publicitate ne-corelată, profilare comportamentală) necesită autorizare prealabilă în scris din partea Operatorului.

4. Types of Personal Data & Categories of Data Subjects

|

4. Tipuri de Date Personale & Categorii de Persoane Vizate

4. Types of Personal Data & Categories of Data Subjects

|

4. Tipuri de Date Personale & Categorii de Persoane Vizate

The Controller confirms that only the Personal Data listed below will be transferred to, or otherwise made available for processing by, the Processor.
(The parties shall update this table via written addendum if new data types or data-subject groups are introduced.)

Ref.	Personal-data category	Typical fields / examples	Data-subjects affected
4.1 Identification & contact data	Full name, username, e-mail, phone, postal address, country	• Customers / end-users • Course students • Community members
4.2 Account credentials	Password hash, MFA token ID, SSO user-ID	• Customers / end-users
4.3 Transaction data	Order number, product ID, invoice/receipt details, VAT number	• Paying customers • Corporate billing contacts
4.4 Payment-card data (tokenised)	Last 4 PAN digits, expiry month/year, Stripe/PayPal transaction ID (no raw PAN/CVV stored)	• Paying customers
4.5 Usage & analytics data	IP address, device fingerprint, browser UA, page-view events, heat-map clicks (pseudonymised)	• Website and app visitors
4.6 User-generated content	Forum posts, chat messages, uploaded files, course comments	• Students • Community members
4.7 Support & ticket records	Ticket ID, message body, attachments, call recordings	• Customers • Prospects
4.8 Marketing-consent metadata	Consent timestamp, consent source, unsubscribe flag	• Newsletter subscribers
4.9 Voice / media samples (optional)	Audio clips supplied by users for AI TTS projects; video webinar recordings	• Students • Webinar attendees
4.10 Special categories (rare)	Disability accommodations or dietary info voluntarily provided for event access	• Event participants

Note 1: The Controller shall not transmit any national-ID numbers, health records, or other “special category data” (Art. 9 GDPR) unless expressly authorised in an SOW and accompanied by documented safeguards (e.g., encryption, access controls, DPIA).

Note 2: If children’s data (< 16 yrs) are processed (e.g., schools using the LMS), the Controller is responsible for obtaining verifiable parental consent (Art. 8 GDPR).

Operatorul confirmă că doar Datele personale enumerate mai jos vor fi transferate sau puse la dispoziția Împuternicitului pentru prelucrare.
(Tabelul va fi actualizat prin act adițional scris dacă apar noi tipuri de date sau categorii de persoane vizate.)

Ref.	Categorie date personale	Câmpuri / exemple tipice	Persoane vizate
4.1 Date de identificare & contact	Nume complet, user, e-mail, telefon, adresă poștală, țară	• Clienți / utilizatori finali • Cursanți • Membri comunitate
4.2 Date autentificare cont	Hash parolă, ID token MFA, ID utilizator SSO	• Clienți / utilizatori
4.3 Date tranzacție	Număr comandă, ID produs, factură/chitanță, cod TVA	• Clienți plătitori • Contacte facturare
4.4 Date card (tokenizate)	Ultimele 4 cifre PAN, expirare, ID tranzacție Stripe/PayPal (fără PAN/CVV brut)	• Clienți plătitori
4.5 Date utilizare & analytics	Adresă IP, amprentă dispozitiv, UA browser, evenimente page-view, clicuri heat-map (pseudonimizate)	• Vizitatori site/aplicație
4.6 Conținut generat de utilizatori	Postări forum, mesaje chat, fișiere încărcate, comentarii curs	• Cursanți • Membri comunitate
4.7 Înregistrări suport	ID tichet, corp mesaj, atașamente, înregistrări apel	• Clienți • Prospecti
4.8 Metadate consimțământ marketing	Timp consimțământ, sursă, flag dezabonare	• Abonați newsletter
4.9 Mostre voce / media (opțional)	Clipuri audio pentru proiecte AI TTS; înregistrări webinar	• Cursanți • Participanți webinar
4.10 Categorii speciale (rar)	Informații despre dizabilitate sau dietă furnizate voluntar pentru acces evenimente	• Participanți eveniment

Notă 1: Operatorul nu va transmite CNP, date medicale sau alte categorii speciale de date (art. 9 GDPR) decât dacă sunt autorizate expres într-un SOW și sunt aplicate măsuri adecvate (criptare, control acces, DPIA).

Notă 2: Dacă se prelucrează date ale minorilor (< 16 ani), Operatorul este responsabil de obținerea consimțământului părintelui/tutorelui (art. 8 GDPR).

5. Controller Instructions & Processor Compliance

|

5. Instrucțiunile Operatorului & Conformitatea Împuternicitului

5. Controller Instructions & Processor Compliance

|

5. Instrucțiunile Operatorului & Conformitatea Împuternicitului

5.1 Documented instructions. The Processor shall process Personal Data only on documented instructions from the Controller, as set out in the MSA, SOW(s), this DPA, and subsequent written communications (e-mail, ticketing system, or secure portal).

5.2 Format & hierarchy. If instructions conflict, the following order prevails: (a) this DPA, (b) the SOW, (c) Controller e-mail/ticket dated later than the SOW. Verbal instructions are not binding until confirmed in writing.

5.3 Legal compulsion. Where the Processor is required by Union or Member-State law (or, for international customers, by other applicable law) to process Personal Data beyond the Controller’s instructions, it shall promptly notify the Controller, unless that law prohibits such notice, before carrying out the compelled processing.

5.4 Objection to unlawful instructions. If, in the Processor’s reasonable opinion, an instruction infringes the GDPR or other data-protection laws, the Processor shall inform the Controller without undue delay and may suspend the execution of that instruction until it is amended or confirmed in writing by a person authorised to bind the Controller.

5.5 Controller responsibilities. The Controller warrants that its instructions:

have an appropriate legal basis under Art. 6 (and, where applicable, Art. 9) GDPR;
are consistent with the purposes identified in § 3 of this DPA; and
do not require the Processor to violate applicable law.

5.6 Change-request procedure. Material changes to processing purposes or data categories must be documented via a changelog e-mail and, where relevant, a signed DPA addendum prior to implementation.

5.1 Instrucțiuni documentate. Împuternicitul va prelucra Datele personale numai pe baza instrucțiunilor documentate ale Operatorului, așa cum sunt prevăzute în MSA, SOW, prezentul DPA și comunicările scrise ulterioare (e-mail, sistem tichete, portal securizat).

5.2 Format și ierarhie. Dacă instrucțiunile sunt contradictorii, prevalează: (a) acest DPA, (b) SOW, (c) e-mail/tichet al Operatorului datat ulterior SOW-ului. Instrucțiunile verbale devin obligatorii doar după confirmarea lor în scris.

5.3 Obligații legale. Dacă Împuternicitul este obligat prin lege (UE, stat membru sau altă lege aplicabilă) să prelucreze Datele personale dincolo de instrucțiunile Operatorului, acesta va notifica prompt Operatorul, cu excepția cazului în care legea interzice notificarea, înainte de a efectua prelucrarea impusă.

5.4 Obiecție la instrucțiuni ilegale. Dacă, în opinia rezonabilă a Împuternicitului, o instrucțiune încalcă GDPR sau alte legi de protecție a datelor, Împuternicitul va informa Operatorul fără întârzieri nejustificate și poate suspenda executarea instrucțiunii până la modificarea sau confirmarea acesteia de către o persoană autorizată a Operatorului.

5.5 Responsabilitățile Operatorului. Operatorul garantează că instrucțiunile sale:

au un temei legal adecvat conform art. 6 (și, după caz, art. 9) GDPR;
sunt conforme cu scopurile din § 3 al prezentului DPA; și
nu obligă Împuternicitul să încalce legea aplicabilă.

5.6 Procedura de modificare. Modificările materiale privind scopurile prelucrării sau categoriile de date trebuie documentate prin e-mail în registrul de schimbări și, dacă este cazul, printr-un act adițional semnat înainte de implementare.

6. Confidentiality of Personnel

|

6. Confidențialitatea Personalului

6. Confidentiality of Personnel

|

6. Confidențialitatea Personalului

6.1 Confidentiality obligation. The Processor shall ensure that all employees, contractors, and sub-processors who have access to Personal Data are bound by written confidentiality agreements or statutory duties of confidentiality that survive termination of their engagement.

6.2 Scope of duty. Such agreements stipulate that personnel must:

access Personal Data solely on a need-to-know basis for the purposes defined in § 3;
refrain from disclosing Personal Data to unauthorised parties;
comply with the Processor’s information-security policies and this DPA.

6.3 Awareness & training. The Processor provides annual GDPR and security-awareness training to all relevant personnel, with attendance records retained for 5 years.

6.4 Disciplinary measures. Breach of confidentiality results in disciplinary action up to, and including, termination of employment or contract as well as potential civil or criminal liability.

6.5 Sub-processor parity. The Processor shall impose confidentiality obligations on any authorised sub-processor equivalent to or more protective than those set out in this Section 6.

6.1 Obligație de confidențialitate. Împuternicitul se asigură că toți angajații, colaboratorii și sub-împuterniciții cu acces la Date personale sunt legați prin acorduri scrise de confidențialitate sau prin obligații statutare care rămân valabile și după încetarea raportului contractual.

6.2 Domeniul obligației. Acordurile prevăd că personalul trebuie să:

acceseze Datele personale strict pe baza necesității pentru scopurile din § 3;
nu divulge Date personale persoanelor neautorizate;
respecte politicile de securitate ale Împuternicitului și prezentul DPA.

6.3 Conștientizare & training. Împuternicitul furnizează training anual GDPR și securitate personalului relevant, păstrând dovezi de participare timp de 5 ani.

6.4 Măsuri disciplinare. Încălcarea confidențialității atrage sancțiuni disciplinare până la și inclusiv încetarea contractului, precum și posibila răspundere civilă sau penală.

6.5 Paritate sub-împuterniciți. Împuternicitul impune oricărui sub-împuternicit obligații de confidențialitate cel puțin la fel de stricte ca cele din prezenta Secțiune 6.

7. Technical & Organisational Security Measures (ANNEX I)

|

7. Măsuri Tehnice și Organizatorice de Securitate (ANEXA I)

7. Technical & Organisational Security Measures (ANNEX I)

|

7. Măsuri Tehnice și Organizatorice de Securitate (ANEXA I)

(This annex fulfils Art. 28(3)(c) & Art. 32 GDPR. The Processor shall maintain, not materially reduce, these controls for the full term of the DPA. More granular evidence (e.g., ISO 27001 certificate, SOC 2 report) is available on request under NDA.)

7.1 Summary of Controls

#	Control domain	Key measures in place	GDPR Art. 32 mapping
1	Encryption	• TLS 1.3 for data-in-transit (HSTS, Perfect Forward Secrecy) • AES-256 server-side encryption at rest on AWS S3 / RDS • Client-side field-level encryption for sensitive fields	(a)
2	Access control & MFA	• Role-based access (RBAC) in IAM • Mandatory MFA (TOTP / passkey) for all staff & sub-processors • Just-in-time privilege elevation via HashiCorp Vault	(b)
3	Data minimisation & pseudonymisation	• Pseudonymised user IDs in analytics – no raw IP retained >24 h • Log truncation of payment tokens	(a)(b)
4	Logging & monitoring	• Centralised, immutable log store (CloudWatch + AWS GuardDuty) • 90-day hot logs, 365-day cold archive • Real-time SIEM alerts	(d)
5	Backup & business continuity	• Daily encrypted snapshots; replicas in second EU region • RPO ≤ 24 h, RTO ≤ 4 h • Quarterly restore tests	(c)
6	Network security	• VPC segmentation; least-privilege security groups • Web Application Firewall (Cloudflare) • Automated DDoS mitigation	(b)
7	Secure software development (SSDLC)	• CI/CD with SCA, SAST, and dependency-pinning • Code review ≥ 1 approver outside author’s team • OWASP Top-10 policy	(b)
8	Vulnerability & patch management	• Weekly container image scans • Critical CVEs patched <72 h • Annual external penetration test	(d)
9	Incident response	• 24/7 on-call rota • Triage playbooks aligned with NIST • Regulator notice <72 h & Controller notice <24 h	(d)
10	Physical security	• Tier III ISO 27001 data-centres (AWS Frankfurt / Dublin) • Biometric access control, CCTV	(b)
11	Sub-processor due diligence	• VPAT / SOC 2 review • SCC or DPF for international transfers • 30-day advance change notice	(a)(b)(d)
12	Employee awareness & confidentiality	• Annual GDPR & security training • Background checks (where lawful) • NDA signed pre-access	(b)

(Art. 32 references: (a) pseudonymisation/encryption, (b) confidentiality & integrity, (c) availability & resilience, (d) testing & evaluation.)

7.2 Continuous Improvement

Security KPIs (patch-age SLA, mean-time-to-detect, Axe-CI accessibility score) are reviewed quarterly by the DevSecOps Lead and reported to the Controller upon request.

(Această anexă respectă cerințele Art. 28(3)(c) și Art. 32 din GDPR. Persoana împuternicită se obligă să mențină, fără reduceri semnificative, aceste controale pe întreaga durată a Acordului de Prelucrare a Datelor. Dovezi suplimentare detaliate (ex: certificat ISO 27001, raport SOC 2) sunt disponibile la cerere, în baza unui acord de confidențialitate – NDA.)

7.1 Sumar măsuri de securitate

#	Domeniu de control	Măsuri principale implementate	Corespondență Art. 32 GDPR
1	Criptare	• TLS 1.3 pentru date în tranzit (HSTS, Perfect Forward Secrecy) • Criptare AES-256 la repaus pe AWS S3 / RDS • Criptare la nivel de câmp, pe partea clientului pentru date sensibile	(a)
2	Control acces & MFA	• Control acces bazat pe roluri (RBAC) în IAM • MFA obligatorie (TOTP / passkey) pentru tot personalul și subprocesatori • Elevare privilegiu „just-in-time” prin HashiCorp Vault	(b)
3	Minimizarea datelor & pseudonimizare	• ID-uri utilizator pseudonimizate în analitice – fără păstrare IP brut >24h • Trunchiere token-uri plată în loguri	(a), (b)
4	Jurnalizare & monitorizare	• Stocare loguri centralizată, imuabilă (CloudWatch + AWS GuardDuty) • 90 zile loguri active, 365 zile arhivă • Alerta automată prin SIEM în timp real	(d)
5	Backup & continuitate operațională	• Snapshots criptate zilnic; replici în regiune secundară din UE • RPO ≤ 24h, RTO ≤ 4h • Testări restaurare trimestrial	(c)
6	Securitate rețea	• Segmentare VPC; grupuri de securitate cu minim de privilegii • Firewall aplicație web (Cloudflare) • Protecție automată anti-DDoS	(b)
7	Dezvoltare software securizată (SSDLC)	• CI/CD cu SCA, SAST și fixare dependințe • Revizie cod cu minim 1 aprobare externă echipei autorului • Politică conform OWASP Top 10	(b)
8	Gestionare vulnerabilități & patch-uri	• Scanare săptămânală imagini container • CVE critice patch-uite în <72h • Test extern de penetrare anual	(d)
9	Răspuns la incidente	• Garanție rotație 24/7 • Proceduri de triere aliniate la NIST • Notificare autoritate <72h, notificare operator <24h	(d)
10	Securitate fizică	• Centre de date Tier III ISO 27001 (AWS Frankfurt / Dublin) • Control acces biometric, CCTV	(b)
11	Evaluare subprocesatori	• Analiză VPAT / SOC 2 • SCC sau DPF pentru transferuri internaționale • Notificare de schimbare cu 30 zile în avans	(a), (b), (d)
12	Confidențialitate & instruire angajați	• Training anual GDPR & securitate • Verificări de background (unde e legal) • NDA semnat înainte de acces	(b)

(Referințe Art. 32: (a) pseudonimizare/criptare, (b) confidențialitate și integritate, (c) disponibilitate și reziliență, (d) testare și evaluare)

7.2 Îmbunătățire continuă

Indicatorii de performanță în securitate (SLA patch-uri, timp mediu de detecție, scor accesibilitate Axe-CI) sunt revizuiți trimestrial de către responsabilul DevSecOps și sunt raportați Operatorului la cerere.

8. Sub-Processor Engagement Rules

|

8. Reguli de utilizare a Subîmputerniciților (Sub-procesatori)

8. Sub-Processor Engagement Rules

|

8. Reguli de utilizare a Subîmputerniciților (Sub-procesatori)

(Complies with GDPR Art. 28 para. 2–4.)

8.1 General authorisation & notice mechanism

The Controller grants the Processor general written authorisation to engage sub-processors listed in Annex II (Approved Sub-Processors). For any new or replacement sub-processor, the Processor shall give the Controller at least 30 calendar-days’ prior e-mail notice.

8.2 Objection right

Controller may object in writing within the 30-day window, giving reasonable, GDPR-based grounds (e.g., inadequate guarantees, conflicting data-residency laws).
If no objection is received, the Processor may proceed after the notice period.
Where a reasonable objection is not resolved within 15 days, either party may terminate the affected SOW in whole or in part without penalty.

8.3 Sub-Processor due-diligence & contractual flow-down

Written contract. Each sub-processor must sign a data-processing agreement imposing obligations no less protective than those in this DPA, including Annex I TOMs.
Security & compliance check. Processor performs risk assessment (ISO 27001 or SOC 2 Type II report, VPAT, or questionnaire) before onboarding and at least annually thereafter.
International transfers. If the sub-processor is outside the EEA/UK and not covered by an adequacy decision, the Processor shall implement EU Standard Contractual Clauses (2021/914/EU), UK IDTA, or an equivalent lawful transfer mechanism.
Audit & transparency. On Controller request (max once per year), the Processor will provide the latest audit/attestation reports of any sub-processor handling Controller Data.

8.4 Liability

The Processor remains fully liable to the Controller for the performance of any sub-processor, as stipulated in Art. 28 (4) GDPR.

8.5 Emergency replacements

If an immediate replacement is required to maintain Service continuity (e.g., sub-processor insolvency), the Processor may engage a substitute on less than 30-days’ notice but shall:

inform the Controller as soon as reasonably practicable, and
offer the Controller the same objection/termination right in § 8.2.

(Annex II will list current sub-processors, their locations, and services, update this annex whenever changes occur.)

(Conform cu Art. 28 alin. (2)–(4) din GDPR)

8.1 Autorizare generală și mecanism de notificare

Operatorul acordă Persoanei Împuternicite autorizare generală, în formă scrisă, pentru a desemna subîmputerniciții enumerați în Anexa II (Subîmputerniciți Aprobati). Pentru orice subîmputernicit nou sau înlocuitor, Persoana Împuternicită va transmite Operatorului o notificare prealabilă cu cel puțin 30 de zile calendaristice, prin e-mail.

8.2 Dreptul de opoziție

Operatorul se poate opune în scris în termenul de 30 de zile, oferind motive întemeiate și conforme cu GDPR (ex: garanții de protecție inadecvate, conflicte privind legislația de rezidență a datelor).
• În absența unei opoziții, Persoana Împuternicită poate continua cu desemnarea după expirarea perioadei de notificare.
• Dacă opoziția întemeiată nu este soluționată în termen de 15 zile, oricare dintre părți poate rezilia, în totalitate sau parțial, declarația de lucru (SOW) afectată, fără penalități.

8.3 Due diligence și obligații contractuale față de Subîmputerniciți

Contract scris. Fiecare subîmputernicit va semna un acord de prelucrare a datelor cu obligații cel puțin la fel de stricte ca cele din prezentul DPA, inclusiv măsurile tehnice și organizatorice din Anexa I.
Evaluare de securitate și conformitate. Persoana Împuternicită va efectua o evaluare a riscurilor (certificat ISO 27001, raport SOC 2 Type II, VPAT sau chestionar), înainte de desemnare și cel puțin o dată pe an ulterior.
Transferuri internaționale. Dacă subîmputernicitul este situat în afara SEE / Regatului Unit și nu face obiectul unei decizii de adecvare, Persoana Împuternicită va implementa Clauzele Contractuale Standard UE (2021/914/UE), UK IDTA sau un mecanism echivalent și legal de transfer.
Audit și transparență. La cererea Operatorului (maximum o dată pe an), Persoana Împuternicită va furniza cele mai recente rapoarte de audit sau atestare pentru orice subîmputernicit care prelucrează Datele Operatorului.

8.4 Răspundere

Persoana Împuternicită rămâne pe deplin răspunzătoare în fața Operatorului pentru activitatea oricărui subîmputernicit, conform Art. 28 alin. (4) GDPR.

8.5 Înlocuiri de urgență

Dacă este necesară o înlocuire imediată pentru a menține continuitatea Serviciului (ex: insolvența unui subîmputernicit), Persoana Împuternicită poate desemna un înlocuitor cu o notificare mai scurtă de 30 de zile, însă trebuie să:
• informeze Operatorul cât mai rapid posibil, și
• ofere Operatorului același drept de opoziție / reziliere prevăzut în § 8.2.

Anexa II va include lista actuală a subîmputerniciților, locațiile acestora și serviciile oferite – această anexă va fi actualizată de fiecare dată când intervin modificări.

9. Assistance with Data-Subject Rights

|

9. Asistență privind Drepturile Persoanelor Vizate

9. Assistance with Data-Subject Rights

|

9. Asistență privind Drepturile Persoanelor Vizate

(Fulfils GDPR Art. 28 (3)(e) and Art. 12–23 obligations)

The Processor shall, taking into account the nature of the processing, assist the Controller by appropriate technical and organisational measures in fulfilling its obligation to respond to requests from data subjects under GDPR Arts. 15–22 (access, rectification, erasure, restriction, portability, objection, and automated-decision review).

9.1 Standard Service-Level Targets

Task	Processor action	SLA
Acknowledgement of DSAR (if submitted directly to Processor)	Forward request to Controller’s DPO / contact e-mail.	< 24 h (Business Days)
Access / export	Provide CSV/JSON export or dashboard report of Personal Data held.	≤ 5 business days from Controller instruction
Rectification	Update or flag contested data fields in systems.	≤ 5 business days
Erasure (“Right to be forgotten”)	Logically delete or anonymise records; propagate to backups via scheduled purge.	≤ 10 business days
Restriction / blocking	Tag record as “do not process”; suspend routine jobs.	≤ 2 business days
Portability	Produce structured, commonly used, machine-readable export (CSV/JSON).	≤ 5 business days

9.2 Procedure

Single channel. All DSAR instructions must be submitted by the Controller via the secure ticket portal or encrypted e-mail.
Authentication. Processor will not act on any data-subject request received directly unless authenticity of the requester is verified or the Controller instructs otherwise.
Cost threshold. Up to 4 hours per calendar month of assistance are included at no charge; additional effort is billable at the NGO-discount rate (if applicable) or standard hourly rate.
Audit log. Processor keeps an immutable log of all DSAR actions for 36 months for accountability, accessible to the Controller on request.
Third-party sub-processors. Processor will cascade DSAR instructions to relevant authorised sub-processors and confirm completion within the same SLA window.

9.3 Exceptions

If a DSAR is manifestly unfounded or excessive (Art. 12 (5) GDPR), the Processor will inform the Controller and await further instruction before proceeding.

(Respectă Art. 28 alin. (3) lit. e) și obligațiile din Art. 12–23 din GDPR)

Persoana Împuternicită va asista Operatorul, ținând cont de natura prelucrării, prin măsuri tehnice și organizatorice adecvate, în îndeplinirea obligației acestuia de a răspunde solicitărilor persoanelor vizate în temeiul Art. 15–22 GDPR (acces, rectificare, ștergere, restricționare, portabilitate, opoziție și revizuirea deciziilor automatizate).

9.1 Timpuri standard de răspuns (SLA – Service Level Agreement)

Solicitare	Acțiunea Persoanei Împuternicite	SLA
Confirmare primire cerere persoană vizată (DSAR) (dacă este primită direct)	Redirecționează cererea către DPO-ul Operatorului / adresa oficială de contact.	< 24 h (zile lucrătoare)
Acces / export date	Furnizează export în format CSV/JSON sau raport din dashboard cu Datele cu caracter personal deținute.	≤ 5 zile lucrătoare de la instrucțiunea Operatorului
Rectificare	Actualizează sau marchează câmpurile contestate în sistemele relevante.	≤ 5 zile lucrătoare
Ștergere („Dreptul de a fi uitat”)	Șterge logic sau anonimizează înregistrările; propagă modificarea în backup-uri prin purjare programată.	≤ 10 zile lucrătoare
Restricționare / blocare	Marchează înregistrarea ca „a nu se prelucra”; suspendă procesele automate.	≤ 2 zile lucrătoare
Portabilitate	Oferă export structurat, utilizat frecvent, într-un format lizibil de mașină (CSV/JSON).	≤ 5 zile lucrătoare

9.2 Procedură

Canal unic. Toate instrucțiunile privind cererile persoanelor vizate (DSAR) trebuie transmise de către Operator prin portalul securizat de suport sau prin e-mail criptat.
Autentificare. Persoana Împuternicită nu va acționa asupra niciunei cereri primite direct de la persoana vizată fără verificarea autenticității solicitantului sau instrucțiuni clare din partea Operatorului.
Prag de cost. Sunt incluse până la 4 ore de asistență per lună calendaristică fără costuri suplimentare; orele suplimentare sunt facturabile la tariful redus pentru ONG-uri (dacă este aplicabil) sau la tariful orar standard.
Jurnal de audit. Persoana Împuternicită păstrează un jurnal imuabil al tuturor acțiunilor privind cererile persoanelor vizate (DSAR) pentru o perioadă de 36 de luni, disponibil Operatorului la cerere.
Subîmputerniciți terți. Persoana Împuternicită va transmite instrucțiunile DSAR către subîmputerniciții autorizați relevanți și va confirma finalizarea acțiunilor în termenul SLA corespunzător.

9.3 Excepții

Dacă o cerere DSAR este vădit nefondată sau excesivă (conform Art. 12 alin. (5) GDPR), Persoana Împuternicită va informa Operatorul și va aștepta instrucțiuni suplimentare înainte de a acționa.

10. Assistance with Security, DPIA & Prior Consultation

|

10. Asistență pentru Securitate, DPIA & Consultare Prealabilă

10. Assistance with Security, DPIA & Prior Consultation

|

10. Asistență pentru Securitate, DPIA & Consultare Prealabilă

(Implements GDPR Art. 28 (3)(f) in conjunction with Arts. 32, 35 & 36)

The Processor shall support the Controller in complying with its obligations to: (a) implement appropriate security measures (Art. 32), (b) conduct Data-Protection Impact Assessments (“DPIA”, Art. 35), and (c) engage in prior consultation with the competent supervisory authority where required (Art. 36).

10.1 Security-Assistance Services

Task	Processor commitment	SLA / terms
Security documentation	Provide up-to-date copies of Annex I TOMs, ISO 27001 certificate, pen-test summary, and SOC 2 report (if available).	Within 3 business days of written request (max 2 per year).
Vulnerability disclosure	Inform Controller of any critical CVE affecting Services, mitigation plan, and patch ETA.	< 24 hours after internal triage.
Joint incident investigation	Supply logs, timelines, and forensic artefacts necessary for breach notification.	Initial dataset ≤ 48 hours after Controller request.

10.2 DPIA Support

Questionnaires. Deliver completed DPIA vendor questionnaires (up to 150 questions) within 10 business days.
Consultation calls. Up to 4 hours of security-architect time per project at no charge; extra hours billable at standard rate.
Testing environment. Provide read-only sandbox or API mocks to enable impact-assessment testing without accessing live Personal Data.

10.3 Prior-Consultation Cooperation

If the Controller must seek prior consultation with the Romanian Supervisory Authority (ANSPDCP) or another EEA authority:

Processor will furnish supplementary TOM details, data-flow diagrams, and risk-mitigation evidence within 15 business days.
Processor designates dpo@webshockat.com as liaison for regulator follow-ups.

10.4 Cost & Fair-Use Limits

Up to 8 hours per calendar year of combined DPIA / consultation assistance are included.
Additional support is available at the NGO-discount rate (if applicable) or Processor’s prevailing hourly rate, subject to 5-day notice.

10.5 Records & Audit Trail

All security-assistance and DPIA outputs are logged in the Processor’s compliance system and retained for 5 years; access provided to the Controller on request.

(Respectă Art. 28 alin. (3) lit. f) din GDPR, în corelație cu Art. 32, 35 și 36)

Persoana Împuternicită va sprijini Operatorul în îndeplinirea obligațiilor sale de a:
(a) implementa măsuri de securitate adecvate (Art. 32),
(b) efectua Evaluări de Impact asupra Protecției Datelor („DPIA”, Art. 35), și
(c) consulta în prealabil autoritatea de supraveghere competentă atunci când este necesar (Art. 36).

10.1 Servicii de asistență pentru securitate

Sarcină	Angajamentul Persoanei Împuternicite	SLA / termeni
Documentație de securitate	Furnizează copii actualizate ale Anexei I (TOMs), certificat ISO 27001, rezumat test de penetrare și raport SOC 2 (dacă este disponibil).	În termen de 3 zile lucrătoare de la solicitarea scrisă (maxim 2 solicitări/an).
Dezvăluirea vulnerabilităților	Informează Operatorul privind orice vulnerabilitate critică (CVE) care afectează Serviciile, planul de remediere și estimarea termenului de aplicare a patch-ului.	< 24 de ore după trierea internă.
Investigație comună a incidentelor	Furnizează jurnale, cronologii și artefacte necesare pentru notificarea privind breșele de securitate.	Set inițial de date ≤ 48 de ore de la cererea Operatorului.

10.2 Suport pentru DPIA (Evaluarea Impactului asupra Protecției Datelor)

Chestionare. Furnizarea de chestionare completate DPIA pentru furnizori (până la 150 de întrebări) în termen de 10 zile lucrătoare.
Sesiuni de consultanță. Până la 4 ore de consultanță din partea unui arhitect de securitate per proiect sunt oferite gratuit; orele suplimentare sunt facturabile la tariful standard.
Mediu de testare. Oferă un sandbox cu permisiune de citire-only sau mock-uri API pentru a permite testarea impactului fără acces la Date cu Caracter Personal live.

10.3 Cooperare pentru consultarea prealabilă

Dacă Operatorul trebuie să consulte în prealabil Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) sau o altă autoritate competentă din SEE:

Persoana Împuternicită va furniza detalii suplimentare despre măsurile tehnice și organizatorice (TOM), diagrame de flux de date și dovezi privind atenuarea riscurilor în termen de 15 zile lucrătoare.
• Persoana Împuternicită desemnează dpo@webshockat.com ca punct de contact pentru corespondența cu autoritatea de supraveghere.

10.4 Costuri și limitări de utilizare echitabilă

Sunt incluse până la 8 ore/an calendaristic de asistență combinată pentru DPIA și consultare.
• Asistența suplimentară este disponibilă la tariful redus pentru ONG-uri (dacă este aplicabil) sau la tariful standard, cu o notificare prealabilă de 5 zile lucrătoare.

10.5 Evidență și jurnal de audit

Toate livrabilele legate de asistența pentru securitate și DPIA sunt înregistrate în sistemul de conformitate al Persoanei Împuternicite și păstrate timp de 5 ani; accesul se oferă Operatorului la cerere.

11. Personal-Data Breach Notification to Controller

|

11. Notificarea Încălcărilor de Date către Operator

11. Personal-Data Breach Notification to Controller

|

11. Notificarea Încălcărilor de Date către Operator

(Implements GDPR Art. 33 and ENISA best-practice timelines.)

A “Personal-Data Breach” is any breach of security leading to accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, Personal Data (GDPR Art. 4-12).

11.1 Detection & Initial Triage

Processor operates 24 × 7 monitoring and incident-response playbooks aligned with NIST CSF.
Suspected events are escalated within 30 minutes to the on-call Security Incident Manager.

11.2 Notification Timeline

Step	Deadline
Initial notice to Controller	≤ 24 hours after Processor first becomes aware of a confirmed Personal-Data Breach.
First detailed report	≤ 48 hours of initial notice (may be “interim” if facts still emerging).
Ongoing updates	Every 24 hours or upon material change until containment & assessment complete.

11.3 Notification Channel

E-mail to dpo@webshockat.com (or other address nominated by Controller) with read-receipt enabled; telephone follow-up for High / Critical incidents.

11.4 Minimum Content of Breach Report

Nature of breach – type of incident, systems affected.
Categories & approx. number of Data Subjects and Personal-Data records concerned.
Likely consequences – preliminary risk assessment.
Mitigation measures – steps already taken and proposed remedial actions.
Support requested – any information or action required from Controller.
Contact point – name / phone of Processor incident lead.

11.5 Cooperation with Controller

Provide log excerpts, forensic artefacts, and root-cause analysis necessary for the Controller’s Article 33 supervisory-authority filing (≤ 72 hours).
Assist in drafting data-subject notifications (Art. 34) where required.
Refrain from directly informing data subjects or regulators unless expressly instructed or legally compelled (§ 5.3).

11.6 Record-Keeping

Processor maintains an incident register with dates, facts, effects, and remedial actions, retained 5 years and available to Controller or competent authority on request.

11.7 Cost Allocation

Up to 8 engineer-hours per breach of investigative effort are included; additional time is chargeable at the standard rate unless the breach is attributable to Processor’s negligence or willful misconduct, in which case all costs are borne by the Processor.

(Implementează Art. 33 din GDPR și termenele recomandate de ENISA)

O „Breșă de securitate a datelor cu caracter personal” este orice incident de securitate care duce la distrugerea accidentală sau ilegală, pierderea, modificarea, divulgarea neautorizată ori accesul neautorizat la Date cu Caracter Personal (conform Art. 4 pct. 12 GDPR).

11.1 Detectare și triere inițială

Persoana Împuternicită asigură monitorizare 24/7 și utilizează protocoale de răspuns la incidente aliniate la cadrul NIST CSF.
Evenimentele suspecte sunt escaladate în cel mult 30 de minute către Managerul de Securitate aflat în tură.

11.2 Termene pentru notificare

Etapă	Termen limită
Notificare inițială către Operator	≤ 24 de ore de la momentul în care Persoana Împuternicită devine conștientă de o Breșă confirmată a Datelor cu Caracter Personal
Primul raport detaliat	≤ 48 de ore de la notificarea inițială (poate fi „intermediar” dacă informațiile nu sunt încă complete)
Actualizări continue	La fiecare 24 de ore sau la orice modificare semnificativă, până la finalizarea controlului și evaluării

11.3 Canal de notificare

E-mail către dpo@webshockat.com (sau altă adresă desemnată de Operator), cu confirmare de citire activată; apel telefonic de urmărire în cazul incidentelor de severitate Înaltă / Critică.

11.4 Conținutul minim al raportului privind breșa

Natura breșei – tipul incidentului, sistemele afectate.
Categorii și număr aproximativ de persoane vizate și de înregistrări de date implicate.
Consecințe probabile – evaluare preliminară a riscurilor.
Măsuri de atenuare – acțiuni deja întreprinse și propuneri de remediere.
Sprijin solicitat – orice informații sau acțiuni necesare din partea Operatorului.
Punct de contact – numele și telefonul persoanei responsabile din partea Persoanei Împuternicite.

11.5 Cooperarea cu Operatorul

Furnizează extrase din jurnale, dovezi criminalistice și analiza cauzei principale necesare pentru raportarea către autoritatea de supraveghere conform Art. 33 din GDPR (în cel mult 72 de ore).
Oferă asistență la redactarea notificărilor către persoanele vizate (Art. 34), dacă este cazul.
Nu informează direct persoanele vizate sau autoritățile, decât dacă este solicitat expres de Operator sau este obligat legal să o facă (vezi § 5.3).

11.6 Evidență și păstrare

Persoana Împuternicită păstrează un registru al incidentelor, care conține datele, faptele, efectele și acțiunile de remediere pentru fiecare incident, pe o perioadă de 5 ani, disponibil la cererea Operatorului sau a autorității competente.

11.7 Alocarea costurilor

Sunt incluse până la 8 ore de lucru ale inginerilor pentru investigația fiecărei breșe; timpul suplimentar se facturează la tariful standard, cu excepția cazului în care breșa este cauzată de neglijența sau conduita intenționată a Persoanei Împuternicite – caz în care aceasta suportă toate costurile.

12. Return or Erasure of Data on Termination

|

12. Returnarea sau Ștergerea Datelor la Încetare

12. Return or Erasure of Data on Termination

|

12. Returnarea sau Ștergerea Datelor la Încetare

(GDPR Art. 28 (3)(g): Processor must, at Controller’s choice, delete or return all Personal Data and delete existing copies, unless EU or Member-State law requires storage.)

12.1 Controller’s election

Within 10 business days of receiving a termination or expiry notice for the relevant SOW/MSA, the Controller shall send an e-mail to dpo@webshockat.com stating one of the following options:

Option	Short label (quote in e-mail)	Effect
A	“Return & then Erase”	Processor provides an export (see § 12.2) and, once receipt is confirmed, permanently deletes all remaining copies.
B	“Immediate Erasure”	Processor irreversibly deletes or anonymises Personal Data without providing an export.
C	“Secure Retention”	Processor retains the data for a mutually agreed period (max 12 months) solely for audit / litigation-hold purposes; standard storage fee may apply.

If no election is received within the 10-day window, Option B (Immediate Erasure) becomes the default.

12.2 Return procedure (Option A)

Format. Structured CSV/JSON files for tabular data; ZIP-archived directory hierarchy for documents/media; encryption with AES-256 and password transmitted via separate channel.
Delivery. Secure download link (S3 presigned URL) or SFTP push, valid for 14 days.
Cost. One export ≤ 50 GB is free of charge; excess volume billed at €25 per additional 50 GB.

12.3 Deletion standards

Logical deletion in production databases; crypto-wipe of object-storage keys.
Scheduled purge of backups and replicated snapshots, latest ≤ 30 calendar days after termination.
Certificate of Deletion e-mailed to Controller within 5 business days after completion, signed by the Security & Compliance Officer.

12.4 Legal retention carve-out

Where EU, Romanian, or other applicable law obliges the Processor to keep certain records (e.g., fiscal invoices, security logs), those data will be isolated, encrypted, and retained only for the statutory retention period, after which they will be automatically purged.

12.5 Auditor access

Controller (or its independent auditor) may, upon reasonable notice, review the deletion or return evidence within 60 days of receiving the Certificate of Deletion / export confirmation.

(Art. 28 alin. (3) lit. g din GDPR: Persoana Împuternicită trebuie, la alegerea Operatorului, fie să șteargă, fie să returneze toate Datele cu Caracter Personal și să șteargă copiile existente, cu excepția cazului în care legislația UE sau a unui stat membru impune stocarea acestora.)

12.1 Opțiunea Operatorului

În termen de 10 zile lucrătoare de la primirea unei notificări de încetare sau expirare a contractului relevant (SOW/MSA), Operatorul trebuie să trimită un e-mail la dpo@webshockat.com indicând una dintre următoarele opțiuni:

Opțiune	Etichetă scurtă (de inclus în e-mail)	Efect
A	„Returnare și apoi ștergere”	Persoana Împuternicită oferă un export (vezi § 12.2) și, după confirmarea recepției, șterge definitiv toate copiile rămase.
B	„Ștergere imediată”	Persoana Împuternicită șterge sau anonimizează ireversibil Datele cu Caracter Personal fără a furniza un export.
C	„Păstrare securizată”	Persoana Împuternicită păstrează datele pentru o perioadă agreată reciproc (maxim 12 luni), exclusiv în scopuri de audit sau litigare; se poate aplica o taxă standard de stocare.

Dacă nu este primită nicio alegere în intervalul de 10 zile, Opțiunea B (Ștergere imediată) devine implicită.

12.2 Procedura de returnare (Opțiunea A)

Format: Fișiere structurate CSV/JSON pentru date tabelare; structură arhivată ZIP pentru documente / fișiere media; criptare cu AES-256 și transmiterea parolei printr-un canal separat.
Livrare: Link de descărcare securizat (S3 presigned URL) sau transfer SFTP, valabil 14 zile.
Cost: Un export ≤ 50 GB este gratuit; pentru volume suplimentare se percepe 25 EUR / fiecare 50 GB în plus.

12.3 Standardele de ștergere

Ștergere logică din bazele de date de producție; ștergere criptografică a cheilor de stocare de tip obiect.
Curățare programată a backupurilor și a replicilor, ultima ștergere are loc în maximum 30 de zile calendaristice de la încetare.
Certificatul de Ștergere este transmis prin e-mail Operatorului în termen de 5 zile lucrătoare de la finalizare, semnat de Ofițerul de Securitate & Conformitate.

12.4 Excepții legale de păstrare

Dacă legislația aplicabilă UE, română sau altă legislație relevantă impune Persoanei Împuternicite păstrarea anumitor evidențe (ex. facturi fiscale, jurnale de securitate), aceste date vor fi izolate, criptate și păstrate doar pe perioada legală de retenție, după care vor fi șterse automat.

12.5 Accesul auditorului

Operatorul (sau auditorul său independent) poate, cu notificare rezonabilă, revizui dovezile de ștergere sau returnare în termen de 60 de zile de la primirea Certificatului de Ștergere / confirmării exportului.

13. Audit & Inspection Rights

|

13. Drepturi de Audit & Inspectare

13. Audit & Inspection Rights

|

13. Drepturi de Audit & Inspectare

(Implements GDPR Art. 28 (3)(h); aligned with ISO 27001 clause 9.2.)

The Processor shall make available to the Controller all information necessary to demonstrate compliance with this DPA and shall allow for and contribute to audits, including inspections, conducted by the Controller or an auditor mandated by the Controller.

13.1 Modes of Assurance

Independent attestations (preferred). Processor will annually provide copies of (a) ISO 27001 certificate, (b) SOC 2 Type II or equivalent assurance report, and (c) latest external penetration-test executive summary.
Remote documentation review. Controller may, once per rolling 12-month period, request access (via secure portal) to policies, TOM evidence, and vulnerability-management reports.
On-site inspection. Where remote evidence is insufficient, Controller may conduct an on-site audit of Processor premises or those of sub-processors that host Controller Data.

13.2 Scheduling & Notice

Notice period: ≥ 30 calendar days for routine audits; ≥ 5 days for regulator-driven audits.
Audit window: Monday–Thursday, 09 :00–17 :00 local time; maximum 2 business days per audit.
Coordination: Parties will agree a detailed audit plan (scope, methods, sample size) at least 10 days before the audit date.

13.3 Confidentiality & Security

Auditors must sign a Mutual NDA and comply with Processor’s physical-security and safety rules.
No intrusive vulnerability scanning or social-engineering tests without prior written consent.
Audit findings classified “Confidential”; shared only with parties’ DPOs, CISOs, or regulators.

13.4 Cost Allocation

Scenario	Cost borne by Processor	Cost borne by Controller
Annual remote review using existing reports	✔	—
On-site audit once per year (max 2 days, 2 auditors)	✔ (internal staff time)	Travel & auditor fees
Additional or follow-up audits requested by Controller	—	✔ (time, materials, auditor fees)
Audit triggered by Processor data-breach or material non-compliance	✔ (all costs)	—

13.5 Sub-Processor Audits

Processor will ensure the Controller can exercise equivalent audit rights over authorised sub-processors, either directly or via Processor-facilitated evidence.

13.6 Regulator Access

Nothing in this section restricts the rights of the Romanian ANSPDCP or any other competent supervisory authority to conduct its own inspections. Processor will notify the Controller without undue delay if such an inspection relates to Controller Data, unless prohibited by law.

(Implementează Art. 28 alin. (3) lit. h din GDPR; aliniat cu clauza 9.2 din ISO 27001)
Persoana Împuternicită va pune la dispoziția Operatorului toate informațiile necesare pentru a demonstra conformitatea cu prezentul Acord de Prelucrare a Datelor (DPA) și va permite și contribui la audituri, inclusiv inspecții, efectuate de către Operator sau de un auditor mandatat de acesta.

13.1 Modalități de asigurare

Atestări independente (preferate): Persoana Împuternicită va furniza anual copii ale (a) certificatului ISO 27001, (b) raportului SOC 2 Tip II sau unui raport echivalent, și (c) rezumatului executiv al celui mai recent test de penetrare extern.
Revizuire documentară de la distanță: Operatorul poate, o dată la fiecare 12 luni calendaristice, solicita acces (prin portal securizat) la politici, dovezi ale măsurilor tehnice și organizatorice (TOM) și rapoarte de gestionare a vulnerabilităților.
Inspecție la fața locului: Dacă dovezile la distanță sunt insuficiente, Operatorul poate efectua un audit la sediul Persoanei Împuternicite sau al sub-împuterniciților care găzduiesc Datele cu Caracter Personal ale Operatorului.

13.2 Programare și notificare

Perioadă de notificare: cel puțin 30 de zile calendaristice pentru auditurile de rutină; cel puțin 5 zile pentru auditurile impuse de autorități de reglementare.
Interval audit: luni–joi, 09:00–17:00, ora locală; maximum 2 zile lucrătoare per audit.
Coordonare: Părțile vor agrea un plan de audit detaliat (scop, metode, eșantion) cu cel puțin 10 zile înainte de data auditului.

13.3 Confidențialitate și securitate

Auditorii trebuie să semneze un Acord Mutual de Confidențialitate (NDA) și să respecte regulile de securitate fizică și siguranță ale Persoanei Împuternicite.
Nu se permite scanarea invazivă a vulnerabilităților sau testarea prin inginerie socială fără acord scris prealabil.
Constatările auditului sunt clasificate „Confidențial” și vor fi comunicate doar către DPO, CISO sau autoritățile de reglementare ale ambelor părți.

13.4 Repartizarea costurilor

Scenariu	Cost suportat de Persoana Împuternicită	Cost suportat de Operator
Revizuire anuală la distanță folosind rapoarte existente		—
Audit la fața locului o dată pe an (max 2 zile, 2 auditori)	(timp personal intern)	Transport și onorarii auditor
Audite suplimentare sau de urmărire solicitate de Operator	—	(timp, materiale, onorarii auditor)
Audit declanșat de o breșă de securitate sau neconformitate majoră	(toate costurile)	—

13.5 Auditurile sub-împuterniciților

Persoana Împuternicită va asigura că Operatorul poate exercita drepturi de audit echivalente asupra sub-împuterniciților autorizați, fie direct, fie prin furnizarea de dovezi facilitate de Persoana Împuternicită.

13.6 Accesul autorităților de reglementare

Nimic din această secțiune nu limitează drepturile ANSPDCP sau ale oricărei alte autorități de supraveghere competente din UE de a efectua propriile inspecții. Persoana Împuternicită va notifica Operatorul fără întârziere nejustificată dacă o astfel de inspecție privește Datele Operatorului, cu excepția cazurilor în care legea interzice notificarea.

14. International Data-Transfer Mechanisms

|

14. Mecanisme de transfer internațional al datelor

14. International Data-Transfer Mechanisms

|

14. Mecanisme de transfer internațional al datelor

(Satisfies GDPR Art. 44–49; applies whenever Personal Data leaves the EEA / UK.)

14.1 Hosting Baseline

Primary data-hosting and back-up locations are within the European Economic Area (AWS eu-central-1 & eu-west-1); no routine storage occurs outside the EEA/UK.

14.2 Approved Transfer Instruments

Destination territory	Legal instrument	Module / version	Supplementary measures
United States (sub-processors on the EU–US Data Privacy Framework list)	Adequacy decision (EU 2023/… “DPF”)	n/a	End-to-end TLS 1.3 + AES-256 at rest
United States (other vendors) • Canada • India • Singapore	EU Standard Contractual Clauses (Decision (EU) 2021/914)	Modules 2 & 3 + Optional Cl. 7 & 11	Encryption, pseudonymisation, strict RBAC; Transfer-Impact Assessment (TIA) archived
United Kingdom	UK International Data Transfer Agreement (IDTA v1.0)	Full agreement	Encryption in transit & at rest
Switzerland	SCC 2021 + Swiss Addendum	Modules 2 & 3	Same supplementary measures
Any onward transfer by sub-processor	Flow-down SCC/IDTA or Binding Corporate Rules (BCR)	As applicable	Written Processor approval required

14.3 Transfer-Impact Assessment (TIA)

Processor completes a TIA for each non-adequate destination, following EDPB Recommendations 01/2020.
Summary TIA is available to the Controller within 10 business days of written request (NDA required).

14.4 Supplementary Technical & Organisational Measures

Encryption keys remain under EU jurisdiction; zero raw payment-card data stored; access constrained by MFA and IP whitelisting; detailed list in Annex I § 7.1.

14.5 Onward Transfers & Sub-Processor Flow-Down

Authorised sub-processors may not further transfer Personal Data unless:

they sign SCCs/IDTA with subsequent recipients and
notify the Processor, who notifies the Controller under § 8.1.

14.6 Conflict & Future Mechanisms

If any transfer mechanism is invalidated (e.g., by CJEU), the Processor will promptly:

implement an alternative lawful mechanism (e.g., updated SCCs, BCRs); or
migrate the affected processing to an EEA/UK location, at Processor’s cost.

(Respectă Art. 44–49 din GDPR; se aplică ori de câte ori Datele cu Caracter Personal părăsesc SEE / Regatul Unit.)

14.1 Infrastructura de găzduire

Locațiile principale de găzduire și back-up sunt în Spațiul Economic European (AWS eu-central-1 & eu-west-1); nu are loc stocare de rutină în afara SEE/UK.

14.2 Instrumente aprobate pentru transfer

Teritoriu de destinație	Instrument legal	Modul / versiune	Măsuri suplimentare
Statele Unite (sub-împuterniciți de pe lista EU–US Data Privacy Framework)	Decizie de adecvare (UE 2023/… “DPF”)	n/a	TLS 1.3 end-to-end + criptare AES-256 la repaus
Statele Unite (alți furnizori) • Canada • India • Singapore	Clauze Contractuale Standard ale UE (Decizia (UE) 2021/914)	Modulele 2 & 3 + Clauzele opționale 7 & 11	Criptare, pseudonimizare, control de acces bazat pe rol (RBAC) strict; Evaluare de Impact Transfer (TIA) arhivată
Regatul Unit	Acord Internațional de Transfer de Date UK (IDTA v1.0)	Acord complet	Criptare în tranzit și la repaus
Elveția	SCC 2021 + Addendum Elvețian	Modulele 2 & 3	Aceleași măsuri suplimentare
Orice transfer ulterior de către sub-împuterniciți	SCC / IDTA sau Reguli Corporative Obligatorii (BCR)	După caz	Aprobare scrisă necesară din partea Persoanei Împuternicite

14.3 Evaluarea impactului asupra transferului (TIA)

Persoana Împuternicită completează o Evaluare de Impact pentru fiecare destinație fără decizie de adecvare, conform Recomandărilor EDPB 01/2020.
Un rezumat TIA este disponibil Operatorului în termen de 10 zile lucrătoare de la solicitarea scrisă (este necesar NDA).

14.4 Măsuri tehnice și organizaționale suplimentare

Cheile de criptare rămân sub jurisdicția UE; nu se stochează date brute ale cardurilor de plată; accesul este restricționat prin autentificare cu mai mulți factori (MFA) și liste de IP permise; lista detaliată se regăsește în Anexa I § 7.1.

14.5 Transferuri ulterioare & obligații ale sub-împuterniciților

Sub-împuterniciții autorizați nu pot transfera mai departe Date cu Caracter Personal decât dacă:

semnează SCC / IDTA cu destinatarii ulteriori și
notifică Persoana Împuternicită, care la rândul său notifică Operatorul conform § 8.1.

14.6 Conflicte și mecanisme viitoare

Dacă un mecanism de transfer devine invalid (de exemplu, prin decizie a CJUE), Persoana Împuternicită va:

implementa imediat un mecanism legal alternativ (ex.: SCC actualizate, BCR-uri); sau
migra prelucrarea afectată într-o locație din SEE / Regatul Unit, pe cheltuiala sa.

15. Governing Law, Jurisdiction & Supervisory Authority

|

15. Legea aplicabilă, Jurisdicție & Autoritate de Supraveghere

15. Governing Law, Jurisdiction & Supervisory Authority

|

15. Legea aplicabilă, Jurisdicție & Autoritate de Supraveghere

15.1 Governing law. This DPA, including any non-contractual obligations arising out of or in connection with it, shall be governed by and construed exclusively under the laws of Romania, without regard to conflict-of-laws rules.

15.2 Jurisdiction. The parties submit to the exclusive jurisdiction of the competent courts of Bucharest, Romania (Tribunalul București or Judecătoria Sectorului 1, după caz) for any dispute arising out of or relating to this DPA or the underlying MSA, unless mandatory data-protection law grants the data subject or Controller the right to bring proceedings elsewhere.

15.3 Supervisory authority. For the purposes of cross-border processing under Chapter VII GDPR, the lead supervisory authority is the Romanian Data Protection Authority (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal – “ANSPDCP”, Bd. G-ral Gheorghe Magheru 28-30, 010336 București, anspdcp@dataprotection.ro). The Processor shall cooperate with ANSPDCP or any other competent supervisory authority identified by the Controller.

15.4 Good-faith resolution. Before initiating court proceedings, the parties shall attempt to resolve the dispute in good faith within 30 calendar days of written notice.

15.1 Legea aplicabilă. Prezentul DPA, incluzând orice obligații necontractuale ce decurg din sau în legătură cu acesta, este guvernat și interpretat exclusiv potrivit legii române, fără a se aplica regulile de drept internațional privat.

15.2 Jurisdicție. Părțile se supun jurisdicției exclusive a instanțelor competente din București, România (Tribunalul București sau Judecătoria Sectorului 1, după caz) pentru orice litigiu rezultat din sau în legătură cu prezentul DPA ori cu MSA, cu excepția cazului în care legislația obligatorie privind protecția datelor conferă persoanei vizate sau Operatorului dreptul de a acționa în altă parte.

15.3 Autoritate de supraveghere. Pentru prelucrările transfrontaliere reglementate de Capitolul VII GDPR, autoritatea principală de supraveghere este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (“ANSPDCP”, Bd. G-ral Gheorghe Magheru 28-30, 010336 București, anspdcp@dataprotection.ro). Împuternicitul va coopera cu ANSPDCP sau cu orice altă autoritate competentă indicată de Operator.

15.4 Soluționare amiabilă. Înainte de a sesiza instanța, părțile vor încerca să soluționeze litigiul pe cale amiabilă în termen de 30 de zile calendaristice de la notificarea scrisă.

16. Conflict Clause & Severability

|

16. Clauză de conflict și divizibilitate

16. Conflict Clause & Severability

|

16. Clauză de conflict și divizibilitate

16.1 Hierarchy and conflict. In the event of any conflict or inconsistency between this DPA and any other agreement between the Parties, including the Master Services Agreement, Statement(s) of Work, purchase orders, or general terms, this DPA shall prevail solely with respect to the processing, protection, and transfer of Personal Data. All remaining provisions of the conflicting agreement shall continue to apply to the extent they do not contradict this DPA.

16.2 Severability. If any provision of this DPA is held to be invalid, unlawful, or unenforceable by a competent court or supervisory authority, the validity and enforceability of the remaining provisions shall not be affected. The Parties shall negotiate in good faith a lawful and enforceable substitute provision that most closely reflects the original economic and privacy-protection intent.

16.3 Survival. Clauses relating to confidentiality, liability, data-return/erasure, audit, international transfers, governing law, and any other provisions which by their nature are intended to survive termination shall remain in force notwithstanding termination or expiry of this DPA.

16.1 Ierarhie și conflict. În cazul unui conflict sau al unei inconsecvențe între prezentul DPA și orice alt acord dintre Părți, inclusiv Master Services Agreement, Declarație(le) de Lucrări, comenzi de achiziție sau termeni generali, prezentul DPA prevalează exclusiv în ceea ce privește prelucrarea, protecția și transferul Datelor personale. Toate celelalte dispoziții ale acordului aflat în conflict continuă să se aplice în măsura în care nu contravin prezentului DPA.

16.2 Clauza de salvgardare. Dacă o dispoziție a prezentului DPA este declarată nulă, nelegală sau inaplicabilă de către o instanță competentă ori de către o autoritate de supraveghere, valabilitatea și aplicabilitatea celorlalte dispoziții nu vor fi afectate. Părțile vor negocia cu bună-credință o clauză legală și aplicabilă care să reflecte cât mai fidel scopul economic și de protecție a datelor avut inițial în vedere.

16.3 Supraviețuirea clauzelor. Clauzele privind confidențialitatea, răspunderea, returnarea/ștergerea datelor, auditul, transferurile internaționale, legea aplicabilă, precum și orice alte dispoziții care prin natura lor trebuie să rămână în vigoare vor continua să producă efecte și după încetarea sau expirarea prezentului DPA.

17. U.S. State “Service-Provider / Processor” Addendum

|

17. Act adițional privind „Furnizorul de servicii / Procesatorul” din SUA

17. Signature Blocks

|

17. Semnături

IN WITNESS WHEREOF, the Parties hereto have caused this Data-Processing Agreement to be executed by their duly authorised representatives. The Agreement shall enter into force on the date of the last signature (the “Effective Date”).

For the Processor
SHOCKWEB VISION S.R.L.

Signature (wet-ink or qualified e-signature):	______________________________
Name (print):	______________________________
Title / Position:	______________________________
Date (YYYY-MM-DD):	______________________________

For the Controller
[CLIENT LEGAL NAME]


Signature (wet-ink or qualified e-signature):	______________________________
Name (print):	______________________________
Title / Position:	______________________________
Date (YYYY-MM-DD):	______________________________

PENTRU A CONFIRMA CELE DE MAI SUS, Părțile au încheiat prezentul Acord de Prelucrare a Datelor cu Caracter Personal prin reprezentanții lor împuterniciți. Acordul intră în vigoare la data ultimei semnături („Data Efectivă”).

Pentru împuternicit
SHOCKWEB VISION S.R.L.


Semnătură (olografă sau semnătură electronică calificată):	______________________________
Nume (majuscule):	______________________________
Funcție / Titlu:	______________________________
Dată (AAAA-LL-ZZ):	______________________________

Pentru Operator
[DENUMIREA LEGALĂ A CLIENTULUI]


Semnătură (olografă sau semnătură electronică calificată):	______________________________
Nume (majuscule):	______________________________
Funcție / Titlu:	______________________________
Dată (AAAA-LL-ZZ):	______________________________

17. U.S. State “Service-Provider / Processor” Addendum

|

17. Act adițional privind „Furnizorul de servicii / Procesatorul” din SUA

(This section supplements §§ 1-16 solely for Personal Data/“Personal Information” of United States residents protected by comprehensive state privacy statutes, including the California Privacy Rights Act (CPRA), Virginia Consumer Data Protection Act (VCDPA), Colorado Privacy Act (CPA), Connecticut Data Privacy Act (CTDPA), Utah Consumer Privacy Act (UCPA), and Texas Data Privacy & Security Act (TDPSA).)

17.1 Scope and Hierarchy

This Addendum prevails over any conflicting DPA term only for data subject to the above-listed U.S. state laws; all other data continue to be governed exclusively by GDPR-aligned clauses.

17.2 Role Certification

The Parties agree that, with respect to such data:

State statute	Controller role	Processor role (as defined by statute)
CPRA	“Business”	“Service Provider”
VCDPA, CPA, CTDPA, TDPSA, UCPA	“Controller”	“Processor”

The Processor certifies that it: (a) understands these role obligations, and (b) shall comply with them.

17.3 Processor Restrictions

No Sale or Sharing. Processor shall not Sell or Share Personal Information (per CPRA §§ 1798.140 (ad),(ah)) nor process it for Targeted Advertising (per VCDPA/CPA definitions).
Limited Business Purposes. Processing is confined to the “Business Purpose(s)” / “Processing Purpose(s)” in § 3 of this DPA.
Data Combination. Processor shall not combine Personal Information received from the Controller with data obtained from other sources except as permitted under CPRA Regs. § 7051 (h)(2) (fraud/security or quality improvement).

17.4 Sub-Processor Flow-Down

Any authorised sub-processor must sign a contract that:

imposes the same restrictions of this Addendum;
grants the Controller the right to object to new sub-processors; and
requires 10-business-day notice of material sub-processor non-compliance.

17.5 Consumer-Rights Assistance

Processor will provide tools or documented procedures enabling the Controller to honour U.S. consumer requests within the statutory timeframes, including:

Access / Right to Know (CPRA § 1798.110)
Deletion (§ 1798.105)
Correction (§ 1798.106)
Opt-out of Sale / Targeted Advertising (all statutes)
Turnaround targets mirror § 9 (DSAR table).

17.6 Security and Confidentiality

Processor maintains reasonable administrative, technical, and physical security measures in accordance with CIS Top-18 and NIST SP 800-53 Moderate baselines, exceeding each state law’s “reasonable security” requirement.

17.7 Assessments and Audit

Controller may request, no more than once per 12 months, Processor’s latest SOC 2 or comparable audit report demonstrating compliance with CPRA § 1798.100(d) and VCDPA § 59.1-581.

17.8 Retention & De-identification

Processor shall retain Personal Information only for so long as necessary to fulfil the Business Purpose, after which it will delete or render the data De-identified using CPRA-compliant safeguards (technical, contractual, administrative).

17.9 Government & Law-Enforcement Requests

Where legally permitted, Processor will promptly notify the Controller of any U.S. governmental or law-enforcement request for Personal Information and will only disclose after exhausting lawful objections or obtaining Controller instructions.

(Această anexă se aplică exclusiv Datelor personale ale rezidenților Statelor Unite reglementate de legile de confidențialitate menționate și completează, fără a înlocui, clauzele GDPR din §§ 1-17.)

17.1 Domeniu și ierarhie

Prezenta anexă prevalează asupra oricărei clauze DPA contradictorii doar pentru datele reglementate de legile statale americane enumerate; restul datelor rămân sub incidența GDPR.

17.2 Certificarea rolurilor

Părțile confirmă că, pentru aceste date, Operatorul devine “Business/Controller”, iar Împuternicitul, “Service Provider/Processor”, conform definițiilor fiecărui statut, și Împuternicitul certifică respectarea acestor obligații.

17.3 Restricții ale Împuternicitului

Fără vânzare ori partajare. Împuternicitul nu va Vinde sau Partaja Date personale și nu le va utiliza pentru Publicitate Direcționată.
Scop limitat. Prelucrarea se limitează la “Business Purpose-urile” din § 3.
Combinare date. Împuternicitul nu va combina aceste date cu altele, cu excepția cazurilor permise pentru prevenirea fraudei sau îmbunătățirea calității.

17.4 Sub-împuterniciți

Orice sub-împuternicit va semna un contract cu obligații echivalente, drept de opoziție și notificare de neconformitate în 10 zile lucrătoare.

17.5 Drepturi consumatori

Împuternicitul va ajuta Operatorul să onoreze solicitările consumatorilor SUA (Acces, Ștergere, Corectare, Opt-out) în termenele prevăzute de lege, conform tabelului din § 9.

17.6 Securitate

Împuternicitul aplică măsuri de securitate conforme cu standardele CIS Top-18 și NIST SP 800-53 Moderate, satisfăcând cerințele de “reasonable security” ale fiecărui statut.

17.7 Audit

Operatorul poate solicita, maxim o dată la 12 luni, raportul SOC 2 sau echivalent care demonstrează conformitatea cu CPRA și VCDPA.

17.8 Retenție și de-identificare

Datele se păstrează numai pe perioada necesară și apoi se șterg sau se de-identifică conform CPRA.

17.9 Solicitări autorități

Dacă legea permite, Împuternicitul notifică imediat Operatorul despre solicitările guvernamentale și nu divulgă datele fără instrucțiuni sau după epuizarea obiecțiilor legale.

18. Liability Cap & Indemnity for Data Breach

|

18. Plafonarea răspunderii și despăgubirea pentru încălcarea datelor

18. Liability Cap & Indemnity for Data Breach

|

18. Plafonarea răspunderii și despăgubirea pentru încălcarea datelor

18.1 Aggregate liability cap.
Except for the exclusions listed in § 18.4, each Party’s total aggregate liability, whether in contract, tort (including negligence), breach of statutory duty, or otherwise, arising out of or in connection with this DPA and any underlying SOW shall not exceed the greater of (a) EUR 100 000 or (b) two (2) times the total fees paid or payable by the Controller to the Processor under the applicable SOW in the twelve (12) months preceding the event giving rise to the claim (“Liability Cap”).

18.2 Indemnity for Personal-Data Breach.
The Processor shall indemnify and hold harmless the Controller against:

(i) administrative fines imposed by a competent supervisory authority; and
(ii) third-party claims (including claims by data subjects) for material or non-material damage

to the extent such fines or damages are the direct result of a Personal-Data Breach (as defined in § 11) caused by the Processor’s failure to comply with Articles 28–32 GDPR or this DPA, provided that:

the Controller promptly notifies the Processor of the claim in writing and gives reasonable cooperation; and
the Processor is given sole control of the defence and settlement (except that any settlement requiring admission of liability or payment by the Controller requires prior written consent).

18.3 Indemnity procedure.
The Processor will pay (a) fines or settlement amounts approved under § 18.2, and (b) reasonable attorney’s fees and costs incurred in defending the claim, in each case up to the Liability Cap.

18.4 Exclusions from the Liability Cap.
The Liability Cap does not apply to:

(a) liability arising from a Party’s wilful misconduct or gross negligence;
(b) either Party’s breach of confidentiality obligations (§ 6);
(c) the Processor’s indemnity obligations under § 18.2 (which remain capped as stated therein);
(d) liabilities that cannot be limited by applicable law.

18.5 Mitigation duty.
The injured Party shall take all reasonable steps to mitigate damages or losses arising from a breach.

18.6 Exclusive remedies.
The indemnities and limitations of liability in this Section 18 are the Parties’ sole and exclusive remedies for the events described, unless mandatory law provides otherwise.

18.1 Plafon agregat al răspunderii.
Cu excepția excluderilor prevăzute la § 18.4, răspunderea totală agregată a fiecărei Părți, indiferent de temei (contractual, delictual, încălcarea obligațiilor legale etc.), decurgând din sau în legătură cu prezentul DPA și orice SOW nu va depăși valoarea mai mare dintre (a) 100 000 EUR și (b) de două (2) ori totalul onorariilor plătite sau plătibile de Operator către Împuternicit în cele douăsprezece (12) luni anterioare evenimentului care a generat pretenția („Plafon de răspundere”).

18.2 Despăgubire pentru încălcări de date cu caracter personal.
Împuternicitul va despăgubi și exonera Operatorul pentru:

(i) amenzi administrative aplicate de autoritatea de supraveghere competentă; și
(ii) pretenții ale terților (inclusiv ale persoanelor vizate) pentru prejudicii materiale sau morale

în măsura în care aceste amenzi sau prejudicii sunt consecința directă a unei Încălcări de date personale (conform § 11) cauzate de neîndeplinirea de către Împuternicit a obligațiilor prevăzute la art. 28–32 GDPR sau în prezentul DPA, cu condiția ca:

Operatorul să notifice prompt în scris Împuternicitul și să ofere cooperare rezonabilă; și
Împuternicitului să i se acorde control exclusiv asupra apărării și soluționării (orice tranzacție care impune recunoașterea răspunderii sau plată de către Operator necesită consimțământul prealabil scris al acestuia).

18.3 Procedură de despăgubire.
Împuternicitul va achita (a) amenzile sau sumele stabilite prin tranzacție conform § 18.2 și (b) onorariile rezonabile de avocat și costurile suportate pentru apărare, în fiecare caz până la limita Plafonului de răspundere.

18.4 Excluderi de la Plafon.
Plafonul de răspundere nu se aplică pentru:

(a) răspunderea rezultată din intenție sau neglijență gravă;
(b) încălcarea obligațiilor de confidențialitate (§ 6);
(c) obligațiile de despăgubire ale Împuternicitului din § 18.2 (care rămân plafonate conform acelei secțiuni);
(d) răspunderi care nu pot fi limitate conform legislației aplicabile.

18.5 Obligație de atenuare.
Partea prejudiciată va lua toate măsurile rezonabile pentru a limita daunele sau pierderile rezultate dintr-o încălcare.

18.6 Remedii exclusive.
Despăgubirile și limitările de răspundere din prezenta Secțiune 18 reprezintă singurele și exclusivele remedii ale Părților pentru evenimentele descrise, exceptând cazurile în care legea imperativă prevede altfel.

19. Detailed Sub-Processor List & 30-Day Objection Window

|

19. Lista detaliată a subcontractanților și termenul de obiecție de 30 de zile

19. Detailed Sub-Processor List & 30-Day Objection Window

|

19. Lista detaliată a subcontractanților și termenul de obiecție de 30 de zile

(Annex II: last updated [YYYY-MM-DD]. All entities below have signed data-processing agreements with Webshockat imposing TOMs at least equivalent to Annex I. Changes follow the notice & objection rules in § 8.)

19.1 Current authorised sub-processors

Ref.	Legal entity (trade name)	Registered address	Service provided	Data-hosting region	Transfer mechanism (if outside EEA/UK)	Security attestation
SP-01	Amazon Web Services EMEA SARL	38 avenue John F. Kennedy, L-1855 Luxembourg	Primary IaaS/PaaS (EC2, S3, RDS)	eu-central-1, eu-west-1	n/a (in EEA)	ISO 27001, SOC 2 Type II
SP-02	Cloudflare, Inc.	101 Townsend St, San Francisco, CA 94107, USA	CDN, WAF, DDoS protection	Frankfurt & Amsterdam PoPs	EU SCC 2021 + DPF	ISO 27001, SOC 2 Type II
SP-03	Stripe Payments Europe Ltd.	The One Building, 1 Grand Canal Street Lower, Dublin 2, Ireland	Payment processing & billing	EEA (primary), USA (token vault)	EU SCC 2021	PCI-DSS Level 1, SOC 2
SP-04	OpenAI, LLC	3180 18th St, San Francisco, CA 94110, USA	AI inference API (chat & content assist)	USA	EU SCC 2021 + TIA	SOC 2 Type II
SP-05	Atlassian Pty Ltd	Level 6, 341 George St, Sydney, NSW 2000, AU	Jira Service Desk & Confluence	AWS eu-west-1	EU SCC 2021	ISO 27001, SOC 2
SP-06	Freshworks, Inc.	161 Mission St, San Francisco, CA 94105, USA	Freshdesk ticketing system	EU data-centre (Frankfurt)	EU SCC 2021	ISO 27001
SP-07	Google Ireland Ltd.	Gordon House, Barrow St, Dublin 4, Ireland	Google Workspace (e-mail, Drive)	EU datacentres	n/a (in EEA)	ISO 27001, SOC 2

(Controller-specific sub-processors, e.g., marketing platforms requested in an SOW, will appear in a numbered addendum.)

19.2 30-day objection window

The Controller may object to a new or replacement sub-processor within 30 calendar days of the Processor’s written notice (§ 8.1).
Objection must be in writing and state reasonable, privacy-law–based grounds.
If unresolved within 15 days, Controller may suspend the affected Service or terminate the relevant SOW without penalty.

(Anexa II: actualizată la [AAAA-LL-ZZ]. Toate entitățile de mai jos au semnat acorduri de prelucrare a datelor cu Webshockat care impun măsuri TOM cel puțin echivalente cu Anexa I. Modificările sunt anunțate și supuse dreptului de opoziție din § 8.)

19.1 Sub-împuterniciți autorizați în prezent

Ref.	Entitate juridică	Adresă sediu	Serviciu furnizat	Regiune găzduire date	Mecanism transfer (dacă e cazul)	Atestat securitate
SP-01	Amazon Web Services EMEA SARL	38 avenue J. F. Kennedy, L-1855 Luxembourg	Infrastructură cloud primară	eu-central-1, eu-west-1	n/a (în SEE)	ISO 27001, SOC 2 Type II
SP-02	Cloudflare, Inc.	101 Townsend St, San Francisco, CA 94107, SUA	CDN, WAF, protecție DDoS	PoP Frankfurt & Amsterdam	Clauze contractuale standard UE + DPF	ISO 27001, SOC 2
SP-03	Stripe Payments Europe Ltd.	The One Building, 1 Grand Canal Street Lower, Dublin 2	Procesare plăți	SEE (principal), SUA (token vault)	SCC 2021 UE	PCI-DSS L1, SOC 2
SP-04	OpenAI, LLC	3180 18th St, San Francisco, CA 94110, SUA	API inferență AI	SUA	SCC 2021 UE + TIA	SOC 2 Type II
SP-05	Atlassian Pty Ltd	Level 6, 341 George St, Sydney, NSW 2000, AU	Jira Service Desk & Confluence	AWS eu-west-1	SCC 2021 UE	ISO 27001, SOC 2
SP-06	Freshworks, Inc.	161 Mission St, San Francisco, CA 94105, SUA	Sistem tichete Freshdesk	Centru date UE (Frankfurt)	SCC 2021 UE	ISO 27001
SP-07	Google Ireland Ltd.	Gordon House, Barrow St, Dublin 4, Irlanda	Google Workspace	Centre date UE	n/a (în SEE)	ISO 27001, SOC 2

(Sub-împuterniciți specifici Operatorului, de ex. platforme marketing cerute în SOW, vor fi adăugați prin addendum numerotat.)

19.2 Fereastră de opoziție de 30 de zile

Operatorul poate formula opoziție la orice sub-împuternicit nou / înlocuitor în termen de 30 zile calendaristice de la notificare (§ 8.1).
Opoziția trebuie să fie scrisă și să invoce motive rezonabile, bazate pe legislația de protecție a datelor.
Dacă disputa nu se rezolvă în 15 zile, Operatorul poate suspenda serviciul afectat sau rezilia SOW-ul relevant fără penalități.

20. Incident-Response Service-Level Agreement (SLA)

|

20. Acord privind nivelul de serviciu pentru răspuns la incidente (SLA)

20. Incident-Response Service-Level Agreement (SLA)

|

20. Acord privind nivelul de serviciu pentru răspuns la incidente (SLA)

This Section supplements § 11 (Breach Notification) by defining concrete time targets for triage, containment, communication, and post-mortem activities for all Security Incidents (including, but not limited to, Personal-Data Breaches).

Severity level	Definition	First triage*	Controller notification	Update cadence	Containment target	Root-cause analysis (RCA)
S-1 “Critical”	Confirmed or strongly suspected Personal-Data Breach with high risk to data subjects (GDPR Art. 34 criteria) or outage blocking >50 % of end-users.	≤ 30 minutes	≤ 24 h (§ 11.2)	Every 12 h until containment, then daily	≤ 24 h	Full RCA incl. corrective-action plan ≤ 10 business days
S-2 “High”	Security incident that could lead to a Personal-Data Breach without high risk, or major functional degradation affecting 10–50 % users.	≤ 60 minutes	“Heads-up” e-mail ≤ 48 h	Every 24 h	≤ 48 h	RCA ≤ 15 business days
S-3 “Medium / Low”	Minor vulnerability, misconfiguration, or outage <10 % users; no data exposure.	≤ 4 h	Weekly summary	Weekly	≤ 5 business days	RCA on request (≤ 30 business days)

*“First triage” = incident logged in SIEM, severity assigned, on-call Incident Manager activated, ticket opened for Controller liaison.

20.1 24 × 7 coverage. Processor maintains an on-call rota with escalation paths to DevSecOps, Legal, and Executive leadership.

20.2 Communication channels.

Primary: encrypted e-mail to dpo@webshockat.com.
Backup: phone / Signal to on-call manager listed in Annex I.
All updates include current severity, actions taken, next steps, and ETA.

20.3 Post-incident review. Within 10 Business Days after RCA delivery, Parties hold a joint video call to review lessons learned and approve remediation roadmap.

20.4 Testing & drills. Processor performs at least one table-top exercise per year covering a simulated S-1 breach; summary report shared with Controller.

Prezenta secțiune completează § 11 (Notificarea încălcărilor) prin stabilirea unor termene concrete pentru triere, limitare, comunicare și activități post-mortem aferente tuturor Incidentelor de securitate (inclusiv, dar fără a se limita la, Încălcări de date cu caracter personal).

Nivel severitate	Definiție	Triere inițială*	Notificare Operator	Frecvență actualizări	Țintă limitare	Analiză cauză-rădăcină (RCA)
S-1 „Critic”	Încălcare de date confirmată sau puternic suspectată cu risc ridicat pentru persoanele vizate (criterii art. 34 GDPR) ori indisponibilitate care blochează >50 % utilizatori.	≤ 30 minute	≤ 24 h (§ 11.2)	La 12 h până la limitare, apoi zilnic	≤ 24 h	RCA complet + plan acțiuni corective ≤ 10 zile lucrătoare
S-2 „Înalt”	Incident ce poate conduce la încălcare fără risc ridicat sau degradare majoră afectând 10–50 % utilizatori.	≤ 60 minute	E-mail informativ ≤ 48 h	La 24 h	≤ 48 h	RCA ≤ 15 zile lucrătoare
S-3 „Mediu / Scăzut”	Vulnerabilitate minoră, configurare greșită, sau indisponibilitate <10 % utilizatori; fără expunere de date.	≤ 4 h	Rezumat săptămânal	Săptămânal	≤ 5 zile lucrătoare	RCA la cerere (≤ 30 zile lucrătoare)

*„Triere inițială” = înregistrare incident în SIEM, atribuirea severității, activarea Incident Manager-ului de gardă și deschiderea tichetului de comunicare cu Operatorul.

20.1 Acoperire 24 × 7. Împuternicitul menține rota de gardă cu căi de escaladare către DevSecOps, Legal și conducerea executivă.

20.2 Canale de comunicare.

Primar: e-mail criptat la dpo@webshockat.com .
Backup: telefon / Signal către managerul de gardă din Anexa I.
Fiecare actualizare include severitatea curentă, acțiunile întreprinse, pașii următori și ETA.

20.3 Revizuire post-incident. În termen de 10 zile lucrătoare de la livrarea RCA, Părțile organizează un apel video comun pentru a analiza lecțiile și a aproba planul de remediere.

20.4 Testare & exerciții. Împuternicitul efectuează cel puțin un exercițiu de tip table-top pe an simulând un incident S-1; raportul sumar se transmite Operatorului.

21. Encryption & Key-Management Standards

|

21. Standarde de criptare și management al cheilor

21. Encryption & Key-Management Standards

|

21. Standarde de criptare și management al cheilor

21.1 Encryption in transit

All external and internal traffic containing Personal Data is protected by TLS 1.3 with Perfect Forward Secrecy (ECDHE) and an A+ rating on SSL Labs.
Legacy TLS 1.2 is permitted only for backwards-compatibility with Controller-approved endpoints and must use secure ciphers (AES-128/256-GCM, CHACHA20-POLY1305).
E-mail between Processor and Controller is secured via MTA-STS and opportunistic TLS; files containing Personal Data are additionally encrypted with AES-256 ZIP or PGP.

21.2 Encryption at rest

Databases (AWS RDS, Aurora) and object storage (AWS S3) enforce AES-256 server-side encryption using AWS Key Management Service (KMS) customer-managed keys (“CMKs”).
Local SSD volumes use LUKS2 with AES-256-XTS; swap partitions are disabled.
Backup snapshots are encrypted with the same CMK hierarchy and stored in a separate EU region.

21.3 Key generation & storage

Symmetric keys are generated by FIPS 140-2 Level 3 certified Hardware Security Modules (HSMs) using NIST SP 800-90A DRBG.
Asymmetric keys (e.g., TLS certificates) are generated with ECDSA P-256.
CMKs never leave the HSM boundary; data-encryption keys (DEKs) are envelope-encrypted by KMS and stored alongside ciphertext only in encrypted form.

21.4 Key rotation & retirement

Annual rotation of CMKs and TLS certificates, or immediately upon suspected compromise.
Automatic rotation of data-encryption keys every 90 days for databases, and on every upload for S3 objects (“one-object-one-key”).
Retired keys are retained in disabled state for 180 days to permit decryption of historical backups, then destroyed via HSM-verified zeroisation.

21.5 Access controls

Key-management operations require quorum (2-of-3) approval under a just-in-time (JIT) privilege-elevation policy.
IAM roles granting kms:Decrypt are limited to application instances in production VPCs; no human user has direct access to DEKs.

21.6 Monitoring & alerting

CloudTrail logs all KMS operations; anomalies (e.g., unusual region or time) trigger GuardDuty alerts sent to the 24 × 7 SOC.
Certificate Transparency logs are monitored for rogue certificates matching controlled domains.

21.7 Compliance references
These controls align with: ISO 27001 Annex A.10 & A.12, NIST SP 800-57, PCI-DSS v4.0 §§ 3 & 4, and ENISA Guidelines for Securing Cloud Data.

21.1 Criptare în tranzit

Tot traficul extern și intern care conține Date personale este protejat prin TLS 1.3 cu Perfect Forward Secrecy (ECDHE) și rating A+ pe SSL Labs.
TLS 1.2 este permis doar pentru compatibilitate, cu suite sigure (AES-128/256-GCM, CHACHA20-POLY1305) și numai către endpoint-uri aprobate de Operator.
E-mailul dintre Împuternicit și Operator utilizează MTA-STS și TLS oportunist; fișierele cu Date personale sunt criptate suplimentar cu AES-256 ZIP sau PGP.

21.2 Criptare la rest

Baze de date (AWS RDS, Aurora) și obiect-storage (AWS S3) folosesc AES-256 server-side prin AWS KMS CMK.
Volumele SSD locale sunt criptate cu LUKS2 AES-256-XTS; partițiile swap sunt dezactivate.
Snapshot-urile de back-up sunt criptate cu aceeași ierarhie CMK și stocate într-o altă regiune UE.

21.3 Generare și stocare chei

Cheile simetrice sunt generate în HSM-uri certificate FIPS 140-2 Level 3, folosind NIST SP 800-90A DRBG.
Cheile asimetrice (certificare TLS) sunt generate cu ECDSA P-256.
CMK-urile nu părăsesc HSM-urile; cheile de criptare a datelor (DEK) sunt criptate în stil “envelope encryption” și stocate doar în formă criptată.

21.4 Rotire și retragere chei

Rotire anuală a CMK-urilor și certificatelor TLS sau imediat la suspiciune de compromitere.
Rotire automată a DEK la fiecare 90 de zile pentru baze de date și la fiecare upload pentru obiecte S3 (“o cheie per obiect”).
Cheile retrase se păstrează dezactivate 180 de zile pentru decriptarea back-up-urilor, apoi se distrug prin zeroizare verificată HSM.

21.5 Control acces

Operațiunile KMS necesită aprobare tip quorum (2-din-3) sub politică JIT de elevare a privilegiilor.
Rolurile IAM cu kms:Decrypt sunt limitate la instanțele aplicației din VPC-urile de producție; niciun utilizator uman nu are acces direct la DEK.

21.6 Monitorizare și alertare

CloudTrail înregistrează toate operațiunile KMS; anomaliile generează alerte GuardDuty către SOC 24 × 7.
Certificate Transparency este monitorizat pentru certificate neautorizate pe domeniile controlate.

21.7 Referințe de conformitate
Măsurile corespund: ISO 27001 Anexa A.10 & A.12, NIST SP 800-57, PCI-DSS v4.0 §§ 3 & 4 și Ghidurilor ENISA pentru securizarea datelor în cloud.

22. Data-Localisation Option (EU-Only Hosting)

|

22. Opțiunea de localizare a datelor (Găzduire exclusiv în UE)

22. Data-Localisation Option (EU-Only Hosting)

|

22. Opțiunea de localizare a datelor (Găzduire exclusiv în UE)

This optional clause applies only if the Controller selects “EU-Only Hosting” in the Order Form / SOW.
Where activated, the Processor agrees that all storage, processing, and back-ups of Personal Data will remain exclusively within the European Economic Area (EEA) for the full term of the relevant SOW, subject to the conditions below.

Item	EU-Only Hosting commitment
22.1 Primary and back-up locations	AWS eu-central-1 (Frankfurt) and eu-west-1 (Dublin) or succeeding EEA regions offering equal or higher security certifications.
22.2 Sub-processor residency	Only sub-processors with data centres located in the EEA (or, where required, in countries having an EU adequacy decision) will be engaged. Annex II will show an “EU-Only” flag.
22.3 Log & telemetry data	Operational logs, analytics events, and monitoring telemetry are routed to the same EEA regions; no replication to US-based log stores.
23.4 Disaster-recovery copies	Encrypted DR replicas stored in a second EEA region; never outside the EEA.
22.5 Support tooling	Remote support uses EU VDI jump-boxes; screen-sharing sessions may traverse global networks but do not transfer or store Personal Data outside the EEA.
22.6 Transfer lock	Processor’s infrastructure enforces IAM policies that block object replication to non-EEA buckets / databases.
22.7 Cost uplift	EU-Only Hosting may incur a surcharge of +8 % on monthly infrastructure fees to cover region-specific costs; reflected in the SOW pricing table.
22.8 Change procedure	Any temporary need to process data outside the EEA (e.g., emergency fail-over) requires prior written consent from the Controller, except where Art. 49 GDPR derogations apply.
22.9 Evidence	Upon request (max once per year) the Processor will provide a region-residency attestation signed by its cloud provider or an ISO 27001 Statement of Applicability confirming data-localisation controls.

Failure to adhere to this clause constitutes a material breach; remedies align with § 10 (Termination & Withdrawal Rights).

Această clauză opțională se aplică doar dacă Operatorul bifează „Găzduire exclusiv în UE” în Formularul de comandă / SOW.
Dacă este activată, Împuternicitul se obligă ca toate operațiunile de stocare, prelucrare și back-up ale Datelor personale să rămână exclusiv în Spațiul Economic European (SEE) pe toată durata SOW-ului relevant, în condițiile de mai jos.

Element	Angajament Găzduire UE-Only
22.1 Locații primare și back-up	AWS eu-central-1 (Frankfurt) și eu-west-1 (Dublin) sau regiuni SEE succesoare cu certificări de securitate egale sau superioare.
22.2 Rezidența sub-împuterniciților	Se vor utiliza doar sub-împuterniciți cu centre de date în SEE (sau, dacă este necesar, în țări cu decizie de adecvare). Anexa II va indica „EU-Only”.
22.3 Loguri & telemetrie	Logurile operaționale și evenimentele analytics sunt rutate în aceeași regiune SEE; nu se replică în log store din SUA.
22.4 Copii disaster-recovery	Replici criptate în a doua regiune SEE; niciodată în afara SEE.
22.5 Unelte suport	Suportul remote folosește jump-box VDI UE; sesiunile screen-share pot traversa rețele globale dar nu transferă sau stochează Date personale în afara SEE.
22.6 Blocare transfer	Politicile IAM blochează replicarea obiectelor către bucket-uri / baze de date non-SEE.
22.7 Cost suplimentar	Găzduirea UE-Only poate implica un plus de 8 % la taxele lunare de infrastructură; reflectat în tabelul de prețuri din SOW.
22.8 Procedură schimbare	Orice nevoie temporară de procesare în afara SEE (ex.: fail-over de urgență) necesită consimțământul prealabil al Operatorului, cu excepția derogărilor art. 49 GDPR.
22.9 Dovezi	La cerere (max o dată/an), Împuternicitul furnizează o atestare de rezidență regională semnată de cloud-provider sau o declarație ISO 27001 privind controalele de localizare.

Nerespectarea acestei clauze constituie încălcare materială; remediile urmează § 10 (Drepturi de încetare & retragere).

23. Termination for Convenience / Material Change

|

23. Rezilierea din motive de comoditate / Schimbare substanțială

23. Termination for Convenience / Material Change

|

23. Rezilierea din motive de comoditate / Schimbare substanțială

23.1 Controller’s right of convenience termination.
The Controller may terminate the DPA (or any individual SOW that references it) for any reason by giving the Processor 30 calendar-days’ written notice. The Processor will refund any prepaid, unused service fees on a pro-rata basis within 30 days after the effective termination date.

23.2 Processor’s right of convenience termination.
The Processor may terminate only (a) at the natural expiry of the current SOW term, or (b) if continued processing would breach applicable law despite good-faith remediation efforts. In either case, at least 90 calendar-days’ written notice must be provided, together with reasonable migration assistance (§ 12) at no extra charge.

23.3 Material change in law or guidance.
If a change in EU, Member-State, U.S. state, or other applicable data-protection law, or binding supervisory-authority guidance: (i) renders any provision of this DPA unlawful or (ii) requires a fundamental change in the processing activities:

(a) Consultation period: The Parties will, in good faith, seek to amend the DPA within 30 days to restore compliance.
(b) Termination right: If no mutually acceptable amendment is reached, either Party may terminate the affected processing activities (or the entire DPA) on 15 days’ written notice without penalty.

23.4 Unacceptable sub-processor risk.
If the Controller objects to a new or replacement sub-processor under § 8 and the Parties cannot resolve the objection within 15 days, the Controller may terminate the portion of Services that rely on that sub-processor, without early-termination fees.

23.5 Effect of termination.
Upon any termination under this Section, the Processor shall return or erase Personal Data in accordance with § 12. Outstanding fees for Services already rendered remain payable, except where the termination results from the Processor’s unremedied material breach.

23.1 Dreptul Operatorului la reziliere “pentru comoditate”.
Operatorul poate rezilia prezentul DPA (sau orice SOW aferent) fără motiv prin notificare scrisă cu 30 zile calendaristice înainte. Împuternicitul va rambursa în termen de 30 zile de la data efectivă a încetării orice taxe de servicii plătite în avans, proporțional cu perioada neutilizată.

23.2 Dreptul Împuternicitului la reziliere “pentru comoditate”.
Împuternicitul poate rezilia numai (a) la expirarea naturală a termenului SOW curent sau (b) dacă prelucrarea ar încălca legea aplicabilă, în pofida eforturilor de remediere. În ambele cazuri trebuie transmisă notificare scrisă cu cel puțin 90 zile calendaristice înainte și se va oferi asistență rezonabilă de migrare (§ 12) fără cost suplimentar.

23.3 Schimbare materială de legislație sau ghidaj.
Dacă o modificare legislativă sau o orientare obligatorie a autorității de supraveghere (i) face nelegală o prevedere a DPA sau (ii) impune o schimbare fundamentală a prelucrării:

(a) Perioadă de consultare: Părțile vor negocia cu bună-credință, în 30 zile, amendarea DPA pentru a restaura conformitatea.
(b) Drept de reziliere: Dacă nu se ajunge la un acord, oricare Parte poate rezilia activitățile afectate (sau întregul DPA) cu 15 zile notificare scrisă, fără penalități.

23.4 Risc inacceptabil al sub-împuternicitului.
Dacă Operatorul se opune unui nou / înlocuitor sub-împuternicit conform § 8 și Părțile nu rezolvă opoziția în 15 zile, Operatorul poate rezilia partea de Servicii care depinde de acel sub-împuternicit, fără taxe de încetare anticipată.

23.5 Efectele încetării.
La orice încetare prevăzută în prezenta Secțiune, Împuternicitul va returna sau șterge Datele personale conform § 12. Taxele datorate pentru Serviciile deja prestate rămân scadente, cu excepția cazului în care rezilierea survine din încălcarea materială nereparată a Împuternicitului.

24. Cyber-Insurance Obligation

|

24. Obligația de asigurare cibernetică

24. Cyber-Insurance Obligation

|

24. Obligația de asigurare cibernetică

24.1 Coverage maintained. The Processor warrants that, for the entire term of this DPA and for at least twelve (12) months thereafter, it maintains a dedicated Cyber & Technology Errors-and-Omissions (E&O) insurance policy with an aggregate limit of not less than EUR 1 000 000 (one-million euro) per policy year.
The policy covers, at a minimum:

liability for Personal-Data Breach and network security failure;
costs of forensic investigation, data-subject notification, credit monitoring, and public-relations crisis management;
regulatory defence expenses and insurable administrative fines (where permitted by law); and
business-interruption loss and extra expenses arising from covered cyber events.

24.2 Insurer rating. Cover is placed with an insurer rated A- (AM Best) / A (S&P) or higher.

24.3 Certificates of insurance. Upon written request, no more than once per rolling twelve-month period or following a Security Incident classified S-1 (§ 20), the Processor shall provide the Controller with a certificate of insurance (COI) evidencing the coverage, limits, and renewal date. Proprietary premium information may be redacted.

24.4 Material changes & cancellation. The Processor shall give the Controller 30 calendar-days’ prior written notice of any cancellation, non-renewal, or material reduction in the scope or limits of the policy. If coverage lapses or falls below the stated limit, the Processor must obtain equivalent insurance within ten (10) business days; failure to do so constitutes a material breach.

24.5 Right to increase limits. If the total annual fees paid by the Controller under all active SOWs exceed EUR 500 000, the Parties will in good faith review whether an increased insurance limit is commercially reasonable and proportionate to the risk profile.

24.1 Poliță în vigoare. Împuternicitul declară și garantează că, pe toată durata prezentului DPA și încă cel puțin 12 luni după încetare, menține o poliță dedicată de asigurare Cyber & Technology Errors-and-Omissions (E&O) cu o limită agregată de minimum 1 000 000 EUR pe an de asigurare.
Polița acoperă cel puțin:

răspunderea pentru Încălcări de date și deficiențe de securitate rețea;
costuri de investigație forensic, notificare persoane vizate, monitorizare credit și gestionare criză PR;
cheltuieli de apărare și amenzi administrative asigurabile (dacă legea permite);
pierderi de business-interruption și cheltuieli suplimentare datorate evenimentelor cibernetice acoperite.

24.2 Rating asigurător. Polița este emisă de un asigurător cu rating cel puțin A- (AM Best) / A (S&P).

24.3 Certificate de asigurare. La cerere scrisă, maximum o dată la 12 luni sau după un Incident de securitate S-1 (§ 20), Împuternicitul va furniza Operatorului un certificat de asigurare care evidențiază acoperirea, limitele și data de reînnoire; informațiile privind primele pot fi cenzurate.

24.4 Modificări materiale & anulare. Împuternicitul va notifica Operatorul cu 30 zile calendaristice înainte de orice anulare, ne-reînnoire sau reducere semnificativă a acoperirii ori limitelor. Dacă acoperirea expiră sau scade sub limita declarată, Împuternicitul trebuie să obțină o poliță echivalentă în maximum zece (10) zile lucrătoare; nerespectarea constituie încălcare materială.

24.5 Creșterea limitelor. Dacă taxele anuale totale plătite de Operator depășesc 500 000 EUR, Părțile vor reevalua, cu bună credință, necesitatea unei limite de asigurare mai mari, proporțională cu profilul de risc.

25. Standard Contractual Clauses (SCCs) Incorporated by Reference

|

25. Clauzele Contractuale Standard (SCC) – încorporare prin referință

25. Standard Contractual Clauses (SCCs) Incorporated by Reference

|

25. Clauzele Contractuale Standard (SCC) – încorporare prin referință

25.1 Automatic application. Whenever Personal Data is transferred from the European Economic Area (or Switzerland) to a country that is not subject to an EU adequacy decision, the Parties agree that the Commission Implementing Decision (EU) 2021/914 of 4 June 2021 on Standard Contractual Clauses (“SCCs”) is incorporated into this DPA by reference and deemed fully executed upon signature of the DPA (§ 31).

Module 2 (Controller → Processor) and Module 3 (Processor → Processor) apply, as appropriate to the transfer chain.
Clause 7 (Docking Clause) is included; Clause 11 (Independent dispute-resolution) is excluded.
Clause 9: “Use of Sub-processors” follows Option 2: General written authorisation with the 30-day notice and objection period set out in § 8.

25.2 Annex mapping. For clarity, the SCC annexes are satisfied by the following DPA sections:

SCC annex	Source inside this DPA
Annex I A (Parties)	§ 1 “Parties & Roles”
Annex I B (Description of transfer)	§ 3 “Nature & Purpose” + § 4 “Types of Data / Data Subjects”
Annex I C (Supervisory authority)	§ 15.3 (ANSPDCP)
Annex II (TOMs)	§ 7 / Annex I of this DPA
Annex III (Authorised sub-processors)	§ 19 “Sub-Processor List”

25.3 Precedence. If any provision of this DPA conflicts with the SCCs, the SCCs prevail for the affected transfer.

25.4 UK & other jurisdictions. For transfers subject to UK GDPR, the Parties will apply the UK International Data Transfer Agreement (IDTA v1.0) or the UK Addendum to the EU SCCs as indicated in § 14. Equivalent mechanisms (e.g., Swiss Addendum) apply for other jurisdictions.

25.5 Copies on request. The Processor will furnish a full, countersigned PDF of the SCCs (including annexes mapped above) within 5 business days of the Controller’s written request.

25.1 Aplicare automată. Ori de câte ori Datele personale sunt transferate din Spațiul Economic European (sau Elveția) către o țară fără decizie de adecvare, Părțile convin că Decizia de punere în aplicare (UE) 2021/914 privind Clauzele Contractuale Standard (“SCC”) este încorporată în prezentul DPA prin referință și considerată semnată odată cu semnarea DPA (§ 31).

Se aplică Modulul 2 (Operator → Împuternicit) și Modulul 3 (Împuternicit → Împuternicit), după caz.
Clauza 7 (Docking Clause) este inclusă; Clauza 11 este exclusă.
Clauza 9: „Utilizarea sub-împuterniciților” urmează Opțiunea 2: Autorizație generală cu perioada de notificare și opoziție de 30 zile din § 8.

25.2 Corelare anexe SCC.

Anexă SCC	Secțiune relevantă din DPA
Anexa I A (Părți)	§ 1 „Părțile și rolurile”
Anexa I B (Descriere transfer)	§ 3 „Natura și scopul” + § 4 „Tipuri de date / persoane vizate”
Anexa I C (Autoritate de supraveghere)	§ 15.3 (ANSPDCP)
Anexa II (Măsuri TOM)	§ 7 / Anexa I
Anexa III (Sub-împuterniciți)	§ 19 „Lista sub-împuterniciților”

25.3 Prevalență. În caz de conflict între prezentul DPA și SCC, SCC prevalează pentru transferul vizat.

25.4 Marea Britanie & alte jurisdicții. Pentru transferurile supuse UK GDPR, Părțile vor aplica UK IDTA sau Addendum-ul UK la SCC conform § 14. Mecanisme echivalente (ex.: Addendum Elveția) se aplică pentru alte jurisdicții.

25.5 Copii la cerere. Împuternicitul va furniza Operatorului, în max. 5 zile lucrătoare de la solicitare, o copie PDF completă, contrasemnată, a SCC (inclusiv anexele conform hărții de mai sus).

26. Data-Protection Impact-Assessment (DPIA) Co-Operation Template

|

26. Șablon de cooperare pentru Evaluarea impactului asupra protecției datelor (DPIA)

26. Data-Protection Impact-Assessment (DPIA) Co-Operation Template

|

26. Șablon de cooperare pentru Evaluarea impactului asupra protecției datelor (DPIA)

To streamline onboarding of processing activities that may present high risk under GDPR Article 35, such as large-scale profiling, systematic monitoring, or special-category data, the Parties adopt the following Pre-Approved DPIA Questionnaire (“Template”). Completion of this Template satisfies the Processor’s assistance obligation under § 10 and accelerates regulator-ready documentation.

26.1 How the Template is used

Trigger. Controller notifies Processor that a proposed SOW is “DPIA-required.”
Distribution. Processor sends the latest Template (Excel or secure online form) within 2 business days.
Joint completion.
- Controller sections (A–D): business purpose, lawful basis, data-subject expectations.
- Processor sections (E–H): technical measures, residual risk rating, mitigation roadmap.
Turnaround. Processor returns its completed sections within 10 business days (or an agreed extended timeline for complex systems).
Sign-off. Parties e-sign the final DPIA summary; Controller stores it in its Article 30 records.

26.2 Template outline (Processor-responsibility sections)

Section	Heading	Key fields
E	Data-flow Diagram & Storage Locations	System diagram (PNG), AWS region IDs, sub-processor names
F	Risk Identification	Threat vector (e.g., unauthorised access), likelihood (low/med/high), potential impact
G	Existing Controls	Encryption methods (§ 21), access control layers, logging & monitoring, incident-response SLA references
H	Additional Mitigations & Timeline	Control gap, proposed measure, responsible owner, target date

26.3 SLA for DPIA co-operation

First Processor response: ≤ 10 business days
Follow-up clarifications: ≤ 3 business days each round
Availability of security architect for workshop: 2 hours free of charge, additional time billable per § 10.4

26.4 Updates & versioning

Template version number and change log are shown in cell A1; Processor reviews and, if needed, updates the Template annually to align with EDPB guidance or ISO 27701.

Pentru a accelera integrarea activităților de prelucrare cu risc ridicat conform art. 35 GDPR, de ex. profilare la scară largă, monitorizare sistematică sau prelucrarea categoriilor speciale, Părțile adoptă următorul Chestionar DPIA pre-aprobat („Șablon”). Completarea acestuia îndeplinește obligația de asistență a Împuternicitului din § 10 și generează documentație pregătită pentru autorități.

26.1 Flux de utilizare a Șablonului

Declanșare. Operatorul notifică Împuternicitul că un SOW propus „necesită DPIA”.
Transmitere. Împuternicitul trimite cel mai recent Șablon (Excel sau formular online securizat) în 2 zile lucrătoare.
Completare comună.
- Secțiuni Operator (A–D): scop afacere, temei legal, așteptări persoane vizate.
- Secțiuni Împuternicit (E–H): măsuri tehnice, evaluare risc rezidual, plan de mitigare.
Termen răspuns. Împuternicitul returnează secțiunile sale completate în 10 zile lucrătoare (sau termen prelungit agreat pentru sisteme complexe).
Aprobare. Părțile semnează electronic rezumatul DPIA; Operatorul îl arhivează în registrul art. 30.

26.2 Structura Șablonului (secțiuni Împuternicit)

Secțiune	Titlu	Câmpuri principale
E	Diagrama fluxului de date & locații stocare	Diagramă sistem (PNG), ID regiuni AWS, nume sub-împuterniciți
F	Identificarea riscurilor	Vector amenințare (ex. acces neautorizat), probabilitate (scăzută/medie/ridicată), impact potențial
G	Măsuri existente	Metode criptare (§ 21), control acces, logare & monitorizare, referințe SLA răspuns-incident
H	Măsuri suplimentare & calendar	Lacună de control, măsură propusă, responsabil, dată țintă

26.3 SLA pentru cooperare DPIA

Primul răspuns Împuternicit: ≤ 10 zile lucrătoare
Clarificări suplimentare: ≤ 3 zile lucrătoare fiecare rundă
Disponibilitate arhitect securitate pentru workshop: 2 ore gratuite, timp suplimentar facturat conform § 10.4

26.4 Actualizări & versiuni

Versiunea Șablonului și jurnalul modificărilor sunt afișate în celula A1; Împuternicitul revizuiește și, dacă este necesar, actualizează anual pentru a reflecta ghidajul EDPB sau ISO 27701.

27. Data-Transfer Impact-Assessment (DTIA) Statement

|

27. Declarație privind Evaluarea Impactului Transferului de Date (DTIA)

27. Data-Transfer Impact-Assessment (DTIA) Statement

|

27. Declarație privind Evaluarea Impactului Transferului de Date (DTIA)

In line with the CJEU Schrems II ruling (Case C-311/18) and EDPB Recommendations 01/2020 (latest version), the Parties acknowledge the need to document and assess risks associated with transfers of Personal Data to recipients located outside the EEA/UK that are not covered by an adequacy decision.

27.1 Scope of DTIA programme

Applies to every transfer scenario listed in § 14 where Standard Contractual Clauses (SCCs), UK IDTA, or Swiss Addendum are relied upon.
Covers sub-processor onward transfers as shown in Annex II.

27.2 Assessment methodology

Legal analysis – review of local surveillance, redress mechanisms, and proportionality of access under laws such as FISA 702 or CLOUD Act.
Technical analysis – evaluation of encryption strength (§ 21), key custody (EU-controlled), and minimisation/pseudonymisation.
Residual-risk scoring – matrix combining likelihood and impact; only transfers scoring “Low” or “Moderate” residual risk proceed.
Document control – each DTIA assigned ID “DTIA-[YEAR]-[SEQ]”; PDF stored in ISO 27001 document vault.

27.3 Supplementary measures catalogue
Where residual risk exceeds “Low,” the Processor enforces one or more of the following:

Category	Measure	Reference
Technical	End-to-end AES-256 encryption with EU-held keys; split-key design	§ 21.4
Organisational	Strict RBAC; zero standing privileges; logging & SIEM alerting	§ 7.1 rows 2 & 4
Contractual	Flow-down SCCs, audit rights, transparency commitments	§ 8, § 14

27.4 Controller access & update cycle

Access: Summary DTIA for any given transfer is provided to the Controller within 10 business days of written request (NDA required).
Review: The Processor re-evaluates each DTIA annually and whenever a material change occurs (e.g., new law, surveillance practice, or service relocation).
Notification: If residual risk becomes “High,” the Processor will propose additional safeguards or, failing that, suspend the transfer under § 23.3.

27.5 Record-keeping
All DTIAs and change logs are retained for six (6) years and may be disclosed to competent supervisory authorities (e.g., ANSPDCP) upon lawful request.

În conformitate cu Hotărârea CJUE Schrems II (C-311/18) și Recomandările EDPB 01/2020 (ultima versiune), Părțile recunosc necesitatea documentării și evaluării riscurilor aferente transferurilor de Date personale către destinatari din afara SEE/UK care nu beneficiază de decizie de adecvare.

27.1 Domeniul programului DTIA

Se aplică tuturor scenariilor de transfer din § 14 în care se folosesc SCC, UK IDTA sau Addendum Elveția.
Include transferurile ulterioare ale sub-împuterniciților din Anexa II.

27.2 Metodologie de evaluare

Analiză juridică – examinarea legislației locale de supraveghere, a mecanismelor de contestație și a proporționalității accesului (ex.: FISA 702, CLOUD Act).
Analiză tehnică – evaluarea criptării (§ 21), custodia cheilor (UE) și minimizarea/pseudonimizarea.
Scor risc rezidual – matrice probabilitate/impact; doar transferurile cu risc rezidual „Scăzut” sau „Moderat” sunt permise.
Control documente – fiecare DTIA primește ID „DTIA-[AN]-[NR]”; PDF stocat în vault ISO 27001.

27.3 Catalog măsuri suplimentare
Când riscul rezidual depășește „Scăzut”, Împuternicitul aplică una sau mai multe măsuri:

Categorie	Măsură	Referință
Tehnice	Criptare end-to-end AES-256 cu chei deținute în UE; design split-key	§ 21.4
Organizaționale	RBAC strict; privilegii zero permanente; logare & alertare SIEM	§ 7.1 rândurile 2 & 4
Contractuale	SCC flow-down, drepturi audit, angajamente transparență	§ 8, § 14

27.4 Acces Operator & ciclu actualizare

Acces: Rezumatul DTIA pentru un transfer este furnizat Operatorului în 10 zile lucrătoare de la cererea scrisă (NDA).
Revizuire: Împuternicitul re-evaluează fiecare DTIA anual și ori de câte ori survine o modificare materială (lege nouă, practici de supraveghere, relocare servicii).
Notificare: Dacă riscul rezidual devine „Ridicat”, Împuternicitul propune măsuri suplimentare sau, în lipsa acestora, suspendă transferul conform § 23.3.

27.5 Păstrare evidențe
Toate DTIAs și jurnalele de modificare se păstrează 6 ani și pot fi furnizate autorităților de supraveghere (ex.: ANSPDCP) la solicitare legală.

28. Third-Party Beneficiary Clause for Data Subjects

|

28. Clauză de terț beneficiar pentru persoanele vizate

28. Third-Party Beneficiary Clause for Data Subjects

|

28. Clauză de terț beneficiar pentru persoanele vizate

28.1 Beneficiary status. The Parties expressly agree that, for the limited purpose of enforcing the Processor’s obligations under GDPR Articles 28(3)(a)–(h) and 32, as transposed into this DPA, each Data Subject whose Personal Data are processed under the relevant SOW shall be deemed a third-party beneficiary of this DPA.

28.2 Scope of enforceable rights. The enforceable rights of a Data Subject are restricted to:

the right to obtain judicial remedies and compensation for material or non-material damage resulting from a proven breach of those Processor obligations;
the right to lodge complaints with, and receive cooperation from, competent supervisory authorities;
any additional minimum rights that must, by law, be accorded to Data Subjects in the jurisdiction governing this DPA.

28.3 Procedure for exercise. A Data Subject wishing to invoke this clause must first:

submit a written complaint to the Controller’s designated contact (see Privacy Policy § 11); and
allow the Controller 30 calendar days to provide a substantive response or appropriate remedy.

If, after that period, the Data Subject reasonably believes the issue remains unresolved, they may pursue their claim directly against the Processor before the competent courts specified in § 15.2, or, where mandatory law so provides, before their local courts.

28.4 No waiver of defences. The Processor retains all contractual and statutory defences that would be available if the claim were brought by the Controller, including the liability limitations in § 18, except where such limitations are prohibited by applicable law.

28.5 Severability. If any part of this clause is held unenforceable by a competent court or supervisory authority, the remainder shall remain in full force and effect.

28.1 Statut de beneficiar. Părțile convin expres că, în scopul limitat de a pune în executare obligațiile Împuternicitului prevăzute la art. 28 alin. 3 lit. (a)–(h) și art. 32 GDPR, transpuse în prezentul DPA, fiecare Persoană vizată ale cărei Date personale sunt prelucrate în baza SOW-ului relevant este considerată terț beneficiar al acestui DPA.

28.2 Domeniul drepturilor executabile. Drepturile executabile ale Persoanei vizate se limitează la:

dreptul de a obține remedii judiciare și despăgubiri pentru prejudiciile materiale sau morale rezultate dintr-o încălcare dovedită a acelor obligații ale Împuternicitului;
dreptul de a depune plângeri și de a primi cooperare din partea autorităților de supraveghere competente;
orice alte drepturi minime care, potrivit legislației aplicabile, trebuie recunoscute Persoanelor vizate.

28.3 Procedura de exercitare. Persoana vizată care dorește să invoce această clauză trebuie mai întâi:

să transmită o plângere scrisă către contactul desemnat al Operatorului (vezi Politica de confidențialitate § 11); și
să permită Operatorului un termen de 30 zile calendaristice pentru a furniza un răspuns sau un remediu adecvat.

Dacă, după expirarea termenului, Persoana vizată consideră în mod rezonabil că problema nu a fost soluționată, poate formula pretenții direct împotriva Împuternicitului în fața instanțelor competente indicate la § 15.2 sau, unde legea imperativă permite, în fața instanțelor proprii.

28.4 Niciun renunț la apărări. Împuternicitul își păstrează toate apărările contractuale și legale de care ar beneficia dacă pretenția ar fi formulată de Operator, inclusiv limitările de răspundere din § 18, cu excepția cazului în care astfel de limitări sunt interzise de lege.

28.5 Salvgardare. Dacă orice parte a prezentei clauze este declarată inaplicabilă de o instanță competentă sau de o autoritate de supraveghere, restul clauzei rămâne pe deplin valabil și eficace.

29. Glossary of Terms

|

29. Glosar de termeni

29. Glossary of Terms

|

29. Glosar de termeni

Adequacy decision – A formal decision by the European Commission confirming that a non-EEA country offers an essentially equivalent level of data protection, so Personal Data may flow there without additional safeguards.
Binding Corporate Rules (BCRs) – Internal rules approved by EU regulators that allow multinational groups to transfer Personal Data within the group on the basis of common privacy principles.
Controller – The entity that determines the purposes and means of Processing Personal Data.
Cyber & Technology Errors-and-Omissions (E&O) insurance – An insurance policy covering liability and costs arising from cyber incidents and technology failures.
Data Protection Impact Assessment (DPIA) – A structured risk-assessment required under GDPR Article 35 for processing operations likely to result in high risk to individuals.
Data Subject – A natural person who can be identified, directly or indirectly, by Personal Data.
Data Transfer Impact Assessment (DTIA) – An assessment of legal and technical risks when exporting Personal Data to a non-EEA country lacking an adequacy decision.
Encryption – The process of converting data into a coded form to prevent unauthorised access; e.g., AES-256 at rest, TLS 1.3 in transit.
EU-Only Hosting / Data-Localisation – An optional service under which all storage, backups, and processing remain strictly inside the European Economic Area.
European Economic Area (EEA) – EU Member States plus Iceland, Liechtenstein, and Norway.
GDPR – General Data Protection Regulation (Regulation (EU) 2016/679).
Incident-Response SLA – Guaranteed timeframes for detecting, reporting, and resolving security incidents.
Master Services Agreement (MSA) – The main contract that sets the commercial terms between the Parties.
Personal Data – Any information relating to an identified or identifiable natural person (Data Subject).
Personal-Data Breach – A security incident that leads to accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to Personal Data.
Processing – Any operation performed on Personal Data, such as collection, storage, use, disclosure, or erasure.
Processor – The entity that processes Personal Data on behalf of the Controller.
Pseudonymisation – Replacing identifying fields in a data set with artificial identifiers so the data can no longer be attributed to a Data Subject without additional information.
Standard Contractual Clauses (SCCs) – EU-approved contract terms that legitimise transfers of Personal Data to countries without an adequacy decision.
Statement of Work (SOW) – A document under the MSA that describes specific services, deliverables, timelines, and fees.
Sub-Processor – A third-party service provider engaged by the Processor to process Personal Data on behalf of the Controller.
Technical and Organisational Measures (TOMs) – Security controls (e.g., encryption, access control, backups) implemented to protect Personal Data.

Adequacy decision / Decizie de adecvare – Hotărâre a Comisiei Europene prin care se constată că un stat non-SEE oferă un nivel de protecție a datelor echivalent, permițând transferul fără garanții suplimentare.
Binding Corporate Rules (BCR) – Reguli interne aprobate de autoritățile UE care permit transferul de Date personale în interiorul unui grup multinațional.
Operator (Controller) – Entitatea care stabilește scopurile și mijloacele prelucrării Datelor personale.
Asigurare Cyber & Technology E&O – Poliță care acoperă răspunderea și costurile incidentelor cibernetice și ale defecțiunilor tehnologice.
Evaluare de Impact asupra Protecției Datelor (DPIA) – Analiză de risc cerută de art. 35 GDPR pentru prelucrări cu risc ridicat.
Persoană vizată (Data Subject) – Persoană fizică ce poate fi identificată direct sau indirect prin Date personale.
Evaluare Impact Transfer Date (DTIA) – Evaluare a riscurilor juridice și tehnice la exportul Datelor personale către țări fără adecvare.
Criptare – Proces de codificare a datelor pentru prevenirea accesului neautorizat; ex.: AES-256, TLS 1.3.
Găzduire exclusiv UE / Localizare date – Opțiune prin care toate datele rămân strict în Spațiul Economic European.
Spațiul Economic European (SEE) – Statele membre UE plus Islanda, Liechtenstein și Norvegia.
GDPR – Regulamentul general privind protecția datelor (Reg. (UE) 2016/679).
SLA Răspuns Incident – Termene garantate pentru detectarea, raportarea și rezolvarea incidentelor de securitate.
Master Services Agreement (MSA) – Contractul principal care stabilește termenii comerciali dintre Părți.
Date personale (Personal Data) – Orice informație referitoare la o persoană fizică identificată sau identificabilă.
Încălcare a Datelor personale – Incident în care Datele personale sunt distruse, pierdute, modificate ori divulgate neautorizat.
Prelucrare (Processing) – Orice operațiune asupra Datelor personale: colectare, stocare, utilizare, divulgare, ștergere.
Împuternicit (Processor) – Entitatea care prelucrează Date personale în numele Operatorului.
Pseudonimizare – Înlocuirea datelor de identificare cu identificatori artificiali.
Clauze Contractuale Standard (SCC) – Clauze aprobate de UE care legitimează transferurile către țări fără adecvare.
Statement of Work (SOW) – Document sub MSA ce descrie servicii, livrabile, termene și costuri specifice.
Sub-împuternicit – Furnizor terț care prelucrează Date personale pentru Împuternicit.
Măsuri tehnice și organizatorice (TOM) – Controale de securitate (criptare, control acces, backup) pentru protecția Datelor personale.

30. Version History & Change Log

|

30. Istoric versiuni & jurnal modificări

30. Version History & Change Log

|

30. Istoric versiuni & jurnal modificări

Webshockat maintains a transparent log of all substantive edits to this Data-Processing Agreement (“DPA”). Each new version is assigned a unique identifier and stored in our ISO 27001 document vault. Older versions remain available for seven (7) years for audit purposes.

Version	Effective date (DD MMM YYYY)	Author	Summary of key changes
v1.0	31 Jul 2025	Legal & Compliance	Initial release aligned with GDPR Art. 28, EU SCC 2021/914, CPRA, VCDPA.

How the log is updated

Drafting – Proposed amendments are red-lined and circulated to the Controller at least 30 days before the new version’s effective date (§ 16).
Approval – Once signed by authorised representatives (§ 31), the new version supersedes the prior one for all subsequent processing activities.
Publication – The change log table is appended here and a PDF copy with redlines is archived under dpa_version_history/YYYY/MM/.
Notification – Controllers receive an e-mail with a link to the new PDF and a “track-changes” diff for easy review.

Webshockat păstrează un jurnal public al tuturor modificărilor substanțiale aduse prezentului Acord de Prelucrare a Datelor (“DPA”). Fiecare versiune primește un identificator unic și este stocată în vaultul nostru de documente (ISO 27001). Versiunile anterioare rămân disponibile 7 ani pentru audit.

Versiune	Dată intrare în vigoare (ZZ LLL AAAA)	Autor	Rezumat modificări
v1.0	31 iul 2025	Departamentul Legal & Compliance	Lansare inițială, conform GDPR art. 28, SCC UE 2021/914, CPRA, VCDPA.

Cum se actualizează jurnalul

Redactare – Amendamentele sunt prezentate cu red-line și transmise Operatorului cu cel puțin 30 zile înainte de data efectivă (§ 16).
Aprobare – După semnarea de către reprezentanții autorizați (§ 31), noua versiune înlocuiește versiunea precedentă pentru toate prelucrările ulterioare.
Publicare – Tabelul jurnalului se actualizează aici, iar copia PDF cu modificările marcate se arhivează sub dpa_version_history/YYYY/MM/.
Notificare – Operatorii primesc e-mail cu link către noul PDF și un fișier “track-changes” pentru revizuire rapidă.

31. Signature Blocks

|

31. Semnături

32. ISO 27001 / SOC 2 Certificates Appendix

|

32. Anexă certificate ISO 27001 / SOC 2

This Appendix gives Controllers rapid, self-service evidence of Webshockat’s independently audited security posture, often required in vendor-risk questionnaires and procurement portals.

Certificate	Scope & Control Domains	Certificate ID / Report No.	Issuing Body / CPA Firm	Validity*
ISO / IEC 27001 : 2022	Information-Security Management System covering: • Cloud hosting (AWS) • Development & CI/CD • Support & ticketing • Data-protection processes	ISMS-27001-WBSK-001	TÜV Rheinland Cert GmbH	01 Jun 2025 – 31 May 2028
SOC 2 Type II (Trust Services Criteria: Security, Availability, Confidentiality, Privacy)	Same operational scope as ISO certificate, plus sub-processor oversight	SOC2-WBSK-FY25-N1	BDO US, LLP (AICPA-licensed)	Report covers period 01 May 2024 – 30 Apr 2025

*Surveillance audits: annual (ISO); interim readiness & bridge letters: semi-annual (SOC 2).

32.1 How to access the evidence

Secure download: Visit https://trust.webshockat.com/certificates and authenticate with your portal credentials.
Hash verification: Each PDF is SHA-256-hashed; hash values are posted on the same page for integrity checks.
NDA requirement: SOC 2 report download triggers a click-wrap NDA, no separate paperwork needed.
Alternate delivery: If portal access is unavailable, e-mail dpo@webshockat.com from an authorised domain; we respond within 2 business days via encrypted ZIP.

Această anexă oferă Operatorilor dovezi rapide și autoservire privind postura de securitate auditată independent a Webshockat, cerință frecventă în chestionarele de evaluare furnizori și portalurile de achiziții.

Certificat	Domeniu & controale acoperite	ID certificat / Nr. raport	Organism emitent / firmă CPA	Valabilitate*
ISO / IEC 27001 : 2022	Sistem de management al securității info cuprinzând: • Găzduire cloud (AWS) • Dev & CI/CD • Suport & tichete • Procese protecție date	ISMS-27001-WBSK-001	TÜV Rheinland Cert GmbH	01 iun 2025 – 31 mai 2028
SOC 2 Tip II (Criterii TSC: Securitate, Disponibilitate, Confidențialitate, Privacy)	Același domeniu operațional ca certificatul ISO, plus supraveghere sub-împuterniciți	SOC2-WBSK-FY25-N1	BDO US, LLP (licență AICPA)	Raport pentru perioada 01 mai 2024 – 30 apr 2025

*Audit de supraveghere: anual (ISO); scrisori bridge & readiness intermediare: semestrial (SOC 2).

32.1 Accesarea dovezilor

Descărcare securizată: Accesați https://trust.webshockat.com/certificates și autentificați-vă cu credențialele portalului.
Verificare hash: Fiecare PDF este hash-uit SHA-256; valorile hash sunt publicate pe aceeași pagină pentru integritate.
NDA implicit: Descărcarea raportului SOC 2 activează un NDA click-wrap, nu este nevoie de document separat.
Livrare alternativă: Dacă nu aveți acces la portal, trimiteți e-mail la dpo@webshockat.com de pe un domeniu autorizat; răspundem în 2 zile lucrătoare cu ZIP criptat.