Data Processing Agreement
Acest Acord de prelucrare a datelor („DPA") face parte integrantă din Condițiile de utilizare dintre SmartKeep Solutions SRL (CUI RO43273365, Arad, Romania — „Skryx", persoana împuternicită) și client („Operatorul"). Reglementează prelucrarea datelor cu caracter personal de către Skryx în numele Operatorului, conform art. 28 GDPR. În caz de conflict cu Condițiile, prevalează prezentul DPA pentru aspectele de protecție a datelor.
1. Obiect și durată
Skryx prelucrează date cu caracter personal exclusiv pentru a furniza Serviciul de search-as-a-service (indexare catalog, căutare, asistență AI, analize). Durata prelucrării coincide cu durata contractului, plus perioadele de păstrare descrise la secțiunea 9.
2. Natura și scopul prelucrării
Stocare, indexare, interogare, returnare de rezultate, generare de embeddings și sugestii AI, agregare de statistici de utilizare — toate strict pentru a opera Serviciul în beneficiul Operatorului.
3. Categorii de persoane vizate și de date
- Persoane vizate: cumpărătorii și vizitatorii magazinului Operatorului; eventual persoane menționate în datele de catalog.
- Categorii de date: date de catalog (care pot conține ocazional date personale stabilite de Operator); interogări de căutare; evenimente de interacțiune cu identificator de sesiune pseudonim; adrese IP prelucrate tranzitoriu pentru securitate și agregare geografică.
- Skryx nu solicită categorii speciale de date (art. 9). Operatorul se obligă să nu transmită astfel de date prin Serviciu.
4. Obligațiile Operatorului
Operatorul garantează că are un temei legal valid pentru datele pe care le transmite și că instrucțiunile sale către Skryx respectă legislația aplicabilă. Operatorul este responsabil de informarea propriilor persoane vizate (de ex. printr-o politică de confidențialitate proprie) și de obținerea consimțămintelor necesare.
5. Obligațiile Skryx (persoană împuternicită)
- Prelucrează datele numai conform instrucțiunilor documentate ale Operatorului (inclusiv prezentul DPA și utilizarea Serviciului), cu excepția obligațiilor legale.
- Asigură confidențialitatea: personalul cu acces este obligat la confidențialitate.
- Implementează măsurile tehnice și organizatorice de la secțiunea 7.
- Asistă Operatorul, în măsura posibilului, în îndeplinirea cererilor persoanelor vizate și a obligațiilor de securitate, DPIA și consultare prealabilă.
- Notifică Operatorul fără întârziere nejustificată după ce ia cunoștință de o încălcare a securității datelor (secțiunea 8).
- La încetare, șterge sau returnează datele (secțiunea 9).
- Pune la dispoziția Operatorului informațiile necesare demonstrării conformității și permite audituri rezonabile (secțiunea 10).
6. Subîmputerniciți
Operatorul autorizează în general recurgerea de către Skryx la subîmputerniciții de mai jos. Skryx impune fiecăruia obligații de protecție a datelor echivalente cu cele din prezentul DPA și rămâne răspunzător pentru acțiunile lor.
| Subîmputernicit | Scop | Locație |
|---|---|---|
| Google Cloud (GCS) | Backup criptat al bazei de date | UE |
| Cloudflare | Stocare obiecte (R2), CDN, WAF | Global / UE |
| Anthropic | Înțelegerea interogărilor (Claude) | SUA |
| Voyage AI | Embeddings pentru căutare semantică | SUA |
| Twilio SendGrid | Emailuri tranzacționale | SUA |
| Sentry | Monitorizare erori | SUA |
| Stripe | Plăți (date de cont, nu date ale cumpărătorilor) | UE / SUA |
Vom notifica Operatorul cu cel puțin 30 de zile înainte de adăugarea sau înlocuirea unui subîmputernicit, oferind posibilitatea de a obiecta din motive rezonabile de protecție a datelor.
7. Măsuri tehnice și organizatorice (art. 32)
- Criptare TLS în tranzit; criptare la repaus pentru backup-uri.
- Control al accesului pe bază de roluri, cu principiul privilegiului minim; autentificare protejată; hashing de parole și chei.
- Izolare pe arhitectură containerizată; firewall și protecție WAF la marginea rețelei.
- Monitorizare, jurnalizare și alertare; backup-uri criptate testate periodic.
- Pseudonimizare: evenimentele cumpărătorilor folosesc identificatori de sesiune, nu identificatori direcți.
- Proceduri de continuitate și recuperare în caz de dezastru.
8. Notificarea încălcărilor
În cazul unei încălcări a securității ce afectează datele Operatorului, Skryx notifică Operatorul fără întârziere nejustificată (în mod normal în maximum 72 de ore de la constatare), furnizând informațiile rezonabil disponibile pentru ca Operatorul să-și îndeplinească propriile obligații de notificare.
9. Returnarea și ștergerea datelor
La încetarea Serviciului, sau la cererea Operatorului, Skryx șterge ori returnează datele cu caracter personal într-un termen rezonabil și șterge copiile existente, cu excepția cazurilor în care legislația UE sau a statului membru impune păstrarea. Backup-urile criptate expiră conform ciclului de rotație.
10. Audit
Skryx pune la dispoziția Operatorului informațiile necesare demonstrării conformității cu art. 28. Operatorul poate solicita un audit (inclusiv inspecții) cel mult o dată pe an, cu preaviz rezonabil, în timpul programului normal, fără a perturba operațiunile și sub obligație de confidențialitate; rapoartele de securitate existente pot satisface astfel de cereri.
11. Transferuri internaționale
Pentru transferurile către subîmputerniciți din afara SEE, Skryx implementează Clauzele Contractuale Standard ale Comisiei Europene și/sau alte garanții adecvate prevăzute de cap. V GDPR, plus măsuri suplimentare.
12. Răspundere
Răspunderea în temeiul prezentului DPA este supusă limitărilor din Condițiile de utilizare, în măsura permisă de lege.
13. Contact
Responsabil protecția datelor / DPO: privacy@skryx.io · SmartKeep Solutions SRL, Arad, Romania.