Acord de prelucrare a datelor

Încheiat în temeiul Art. 28(3) RGPD. Face parte integrantă din Termenii și condițiile și se aplică automat fiecărui client WorkAist Cloud.

Valabil din: 2026-07-10

Acest document este publicat în mai multe limbi. În caz de neconcordanță, versiunea în limba engleză este cea care prevalează.

1. Părți și roluri

Acest Acord de prelucrare a datelor („DPA”) se încheie între clientul identificat în contul WorkAist (denumit „Operatorul”) și ILIN & SADOVENKO, LDA, Rua de Xabregas, nº 2, Escritório 3.21, 1900-440 Lisboa, Portugal, NIF 517251876 (denumită „Persoana Împuternicită”).

În ceea ce privește Datele Clientului prelucrate în WorkAist Cloud, Operatorul stabilește scopurile și mijloacele prelucrării, iar Persoana Împuternicită prelucrează în numele Operatorului. În cazul în care Operatorul este el însuși persoană împuternicită de operator pentru un terț, Operatorul garantează că are autoritatea de a încheia acest DPA și că instrucțiunile pe care le dă reflectă instrucțiunile acelui terț.

Acest DPA nu se aplică WorkAist Self-Hosted, unde Datele Clientului nu ajung în sistemele Persoanei Împuternicite, și nici datelor pentru care Persoana Împuternicită este ea însăși operator, care sunt guvernate de Politica de confidențialitate.

2. Ordinea de prioritate

În cazul în care acest DPA intră în conflict cu Termenii și condițiile, acest DPA prevalează în chestiunile de protecție a datelor. În cazul în care intră în conflict cu un formular de comandă negociat individual sau cu un acord de prelucrare a datelor semnat, acel document prevalează.

3. Obiect, durată, natură și scop

Obiectul este furnizarea WorkAist Cloud. Natura și scopul prelucrării constau în găzduirea, stocarea, transmiterea și prelucrarea automatizată a Datelor Clientului, astfel încât agenții, connectorii și procesele configurate de Operator să poată rula, împreună cu activitățile de suport, securitate, măsurare și facturare necesare pentru furnizarea Serviciului.

Prelucrarea durează atât timp cât este în vigoare contractul Operatorului pentru WorkAist Cloud, la care se adaugă perioadele de ștergere prevăzute la clauza 11.

4. Categorii de persoane vizate și de date cu caracter personal

Operatorul decide ce încarcă. De regulă, prelucrarea privește:

Categorii de persoane vizateCategorii de date cu caracter personal
Angajații și utilizatorii autorizați ai OperatoruluiNume, e-mail profesional, rol, date de autentificare, înregistrări din jurnalul de audit
Clienții, lead-urile și contactele OperatoruluiNume, e-mail, număr de telefon, companie, corespondență, înregistrări CRM, orice identificator pe care Operatorul alege să îl sincronizeze
Furnizorii și partenerii OperatoruluiDate de contact, date privind contractele și facturile
Orice persoană vizată care apare în documentele sau mesajele prelucrate de OperatorOrice date cu caracter personal conținute în fișiere, e-mailuri, transcrieri, imagini sau mesaje pe care Operatorul le trimite către Serviciu

Categoriile speciale de date cu caracter personal conform Art. 9 RGPD și datele cu caracter personal referitoare la condamnări penale și infracțiuni conform Art. 10 RGPD nu trebuie prelucrate în cadrul Serviciului decât dacă părțile au convenit în prealabil, în scris, garanții suplimentare.

Sursa datelor

Datele Clientului ajung în Serviciu deoarece Operatorul conectează sisteme externe, încarcă fișiere sau instruiește agenții săi să le preia. Doar Operatorul alege aceste surse și stabilește ce este importat.

Operatorul garantează că dispune de un temei legal conform Art. 6 RGPD — și, dacă este cazul, Art. 9 — pentru colectarea acestor date cu caracter personal și pentru transferul lor către Persoana Împuternicită și că orice notă de informare sau consimțământ necesar în sistemul sursă este în vigoare. Persoana Împuternicită nu are acces la sistemele sursă ale Operatorului, nu le selectează și nici nu verifică și nici nu poate verifica dacă acestea respectă legislația privind protecția datelor. Stabilirea acestui fapt este obligația Operatorului, în calitatea sa de operator.

5. Prelucrarea pe bază de instrucțiuni documentate

Persoana Împuternicită prelucrează Datele Clientului doar pe baza instrucțiunilor documentate ale Operatorului, inclusiv în ceea ce privește transferurile către țări terțe, cu excepția cazului în care este obligată să procedeze altfel de legislația Uniunii sau a unui stat membru căreia i se supune Persoana Împuternicită. În acest caz, Persoana Împuternicită informează Operatorul cu privire la această cerință legală înainte de prelucrare, cu excepția cazului în care legea interzice acest lucru din motive importante de interes public.

Termenii și condițiile, acest DPA, precum și configurarea și utilizarea Serviciului de către Operator constituie instrucțiunile documentate complete ale Operatorului. Orice instrucțiune suplimentară trebuie să fie în scris și, dacă necesită un efort care depășește funcționalitatea standard a Serviciului, poate face obiectul unei taxe rezonabile convenite în prealabil.

Persoana Împuternicită informează Operatorul fără întârzieri nejustificate dacă, în opinia sa, o instrucțiune încalcă RGPD sau altă legislație a Uniunii sau a unui stat membru privind protecția datelor.

6. Confidențialitate

Persoana Împuternicită se asigură că persoanele autorizate să prelucreze Datele Clientului și-au asumat un angajament de confidențialitate sau se supun unei obligații legale corespunzătoare de confidențialitate și că accesul este limitat la cei care au nevoie de el pentru executarea contractului.

7. Securitatea prelucrării

Ținând cont de stadiul actual al tehnologiei, de costurile de implementare, precum și de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscul pentru drepturile și libertățile persoanelor fizice, Persoana Împuternicită implementează următoarele măsuri tehnice și organizatorice conform Art. 32 RGPD.

Anexa II — Măsuri tehnice și organizatorice

MăsurăImplementare
Criptare în timpul transmiteriiTot traficul către și dinspre Serviciu este transmis prin TLS, cu certificate reînnoite automat. Traficul intern între servicii nu părăsește rețeaua gazdă.
Criptarea secretelorDatele de acces ale clienților și secretele connectorilor sunt criptate în repaus cu AES-256-GCM, sub o cheie păstrată în afara bazei de date a aplicației.
PseudonimizareÎnregistrările de telemetrie și de măsurare fac referire la clienți (tenants) și agenți printr-un identificator, mai degrabă decât prin nume sau e-mail, ori de câte ori identificatorul este suficient.
Confidențialitate — control al accesuluiControl al accesului bazat pe roluri, pentru fiecare spațiu de lucru. Fiecare agent este limitat la propriul prefix de stocare și la propria schemă de bază de date; accesul între clienți diferiți este refuzat la nivelul datelor, nu doar în interfața de utilizare.
Confidențialitate — personalAcces administrativ conform principiului celui mai mic privilegiu, acordat individual și revizuit la schimbarea rolului. Toate acțiunile administrative sunt scrise într-un jurnal de audit cu adăugare exclusivă (append-only).
IntegritateValidarea datelor de intrare și interogări parametrizate, aplicate pretutindeni. Fiecare modificare efectuată prin API-ul de operațiuni înregistrează o linie în jurnalul de audit care identifică actorul.
Disponibilitate și reziliențăGăzduire gestionată într-un centru de date de clasă Tier III, în Germania. Copii de rezervă zilnice automate ale bazei de date, păstrate criptat și separat de mediul de producție.
RestaurareProcedură documentată de restaurare din cea mai recentă copie de rezervă; restaurarea este exersată în cadrul modificărilor de infrastructură.
Testare și evaluareScanarea vulnerabilităților dependențelor în cadrul integrării continue, revizuire de cod înainte de merge și revizuire periodică a acestor măsuri, cel puțin anual și la modificări semnificative ale Serviciului.
Minimizarea datelor prin designConnectorii sincronizează doar câmpurile activate de Operator. Operatorul poate șterge oricând orice tabel sincronizat.

Persoana Împuternicită poate actualiza aceste măsuri pe măsură ce tehnologia evoluează, cu condiția ca nivelul de protecție să nu fie redus. Versiunea curentă este întotdeauna cea publicată pe această pagină.

8. Persoane subîmputernicite

Operatorul acordă Persoanei Împuternicite o autorizație generală scrisă de a angaja persoane subîmputernicite. Persoana Împuternicită impune, prin contract, fiecărei persoane subîmputernicite obligații privind protecția datelor nu mai puțin protectoare decât cele din acest DPA și rămâne pe deplin răspunzătoare față de Operator pentru performanța persoanei subîmputernicite.

Anexa III — Persoane subîmputernicite autorizate

Următoarele persoane subîmputernicite sunt angajate pentru fiecare client WorkAist Cloud, deoarece fac parte din infrastructura pe care rulează Serviciul.

Persoană subîmputernicităScopLocațieGaranție de transfer
Hetzner Online GmbHGăzduirea serverelor de aplicație, a bazei de date și a copiilor de rezervăGermania (UE)Nu se aplică
Cloudflare, Inc.DNS, proxy invers, terminare TLS, protecție DDoSRețea globală de tip edge, inclusiv UESCC; Cadrul UE-SUA privind confidențialitatea datelor
Stripe Payments Europe, Ltd.Procesarea plăților și a abonamentelorIrlanda (UE)SCC pentru transferuri ulterioare în cadrul grupului; Cadrul UE-SUA privind confidențialitatea datelor
Resend, Inc.Livrarea e-mailurilor tranzacționaleStatele UniteSCC

Furnizori de modele

Furnizorii de modele lingvistice de mari dimensiuni sunt tratați diferit, deoarece Operatorul îi alege singur.

  • Dacă Operatorul furnizează propriile date de acces ale furnizorului, acel furnizor este angajat de Operator, conform instrucțiunilor Operatorului și în temeiul propriului acord al Operatorului cu acesta. Acesta nu este o persoană subîmputernicită a Persoanei Împuternicite. Persoana Împuternicită doar transmite solicitarea folosind datele de acces furnizate și nu oferă nicio garanție cu privire la securitatea, locul de prelucrare, practicile de antrenare sau conformitatea acelui furnizor.
  • Dacă Operatorul utilizează facturarea gestionată a token-urilor a Persoanei Împuternicite, Persoana Împuternicită selectează furnizorul, iar acesta este o persoană subîmputernicită a Persoanei Împuternicite. Furnizorul angajat în prezent în această calitate este Anthropic PBC (Statele Unite), pentru inferență cu modele lingvistice de mari dimensiuni, în temeiul Clauzelor contractuale standard și căruia îi este interzis contractual să se antreneze pe datele care îi sunt trimise.

Operatorul poate vedea ce furnizor de model utilizează fiecare dintre agenții săi și îl poate schimba oricând, în cadrul Serviciului.

Modificări ale persoanelor subîmputernicite

Persoana Împuternicită notifică Operatorul cu cel puțin 30 de zile în avans, prin e-mail, înainte de a adăuga sau înlocui o persoană subîmputernicită. Operatorul se poate opune din motive rezonabile privind protecția datelor, în termen de 30 de zile. Dacă părțile nu pot soluționa obiecția, Operatorul poate înceta partea afectată a Serviciului fără penalități și poate primi o rambursare proporțională a tarifelor plătite în avans.

9. Asistență privind drepturile persoanelor vizate

Ținând cont de natura prelucrării, Persoana Împuternicită asistă Operatorul prin măsuri tehnice și organizatorice adecvate, în măsura în care este posibil, pentru îndeplinirea obligației Operatorului de a răspunde solicitărilor de exercitare a drepturilor persoanei vizate conform Capitolului III RGPD.

Serviciul oferă Operatorului acces direct la Datele Clientului, astfel încât acesta să poată localiza, exporta, corecta și șterge singur datele cu caracter personal. Dacă o solicitare necesită totuși implicarea Persoanei Împuternicite, aceasta răspunde fără întârzieri nejustificate și, în orice caz, în termen de 10 zile lucrătoare. Dacă o persoană vizată contactează direct Persoana Împuternicită cu privire la Datele Clientului, Persoana Împuternicită nu răspunde pe fond; aceasta transmite solicitarea Operatorului fără întârzieri nejustificate.

10. Asistență privind articolele 32-36

Persoana Împuternicită asistă Operatorul în asigurarea conformității cu obligațiile prevăzute la Art. 32-36 RGPD, ținând cont de natura prelucrării și de informațiile disponibile Persoanei Împuternicite — în special în ceea ce privește securitatea prelucrării, notificarea încălcărilor securității datelor cu caracter personal, comunicarea către persoanele vizate, evaluările de impact asupra protecției datelor și consultarea prealabilă.

Încălcarea securității datelor cu caracter personal

Persoana Împuternicită notifică Operatorul fără întârzieri nejustificate și, în orice caz, în termen de 48 de ore de la momentul în care a luat cunoștință de o încălcare a securității datelor cu caracter personal care afectează Datele Clientului. Notificarea descrie natura încălcării, categoriile și numărul aproximativ de persoane vizate și de înregistrări afectate, consecințele probabile, măsurile luate sau propuse, precum și un punct de contact. Atunci când nu toate informațiile sunt disponibile simultan, acestea sunt furnizate în etape, fără întârzieri nejustificate suplimentare. Persoana Împuternicită nu notifică o autoritate de supraveghere sau persoanele vizate în numele Operatorului, cu excepția cazului în care este instruită să facă acest lucru.

11. Ștergerea și returnarea Datelor Clientului

La alegerea Operatorului, Persoana Împuternicită șterge sau returnează toate Datele Clientului după încheierea furnizării serviciilor legate de prelucrare și șterge copiile existente, cu excepția cazului în care legislația Uniunii sau a unui stat membru impune păstrarea datelor cu caracter personal.

  • Timp de 30 de zile după încetarea contractului, Operatorul poate exporta Datele Clientului din Serviciu sau poate solicita returnarea lor într-un format structurat, utilizat în mod curent și care poate fi citit automat.
  • Persoana Împuternicită șterge Datele Clientului din sistemele active în termen de 30 de zile după închiderea acestei ferestre de export.
  • Copiile de rezervă criptate care conțin Datele Clientului sunt suprascrise conform rotației lor normale și, în orice caz, în termen de 90 de zile de la ștergerea din sistemele active.
  • La cerere scrisă, Persoana Împuternicită confirmă ștergerea în scris.

12. Audituri și informații

Persoana Împuternicită pune la dispoziția Operatorului toate informațiile necesare pentru a demonstra conformitatea cu Art. 28 RGPD și permite și contribuie la audituri, inclusiv inspecții, efectuate de Operator sau de un alt auditor mandatat de Operator.

În practică, Persoana Împuternicită furnizează mai întâi documentația sa actuală privind măsurile tehnice și organizatorice, lista sa de persoane subîmputernicite și răspunsuri scrise la un chestionar de securitate. Dacă acest lucru nu este suficient pentru a demonstra conformitatea, Operatorul poate efectua un audit la fața locului sau la distanță, cu o notificare scrisă prealabilă de 30 de zile, de cel mult o dată pe an calendaristic, cu excepția cazului în care a avut loc o încălcare a securității datelor cu caracter personal sau o autoritate de supraveghere solicită acest lucru. Auditurile au loc în timpul programului de lucru, nu trebuie să perturbe în mod nerezonabil activitatea Persoanei Împuternicite și sunt supuse confidențialității. Operatorul suportă propriile costuri de audit; Persoana Împuternicită suportă propriile costuri, cu excepția cazului în care auditul relevă o încălcare semnificativă a acestui DPA.

13. Transferuri internaționale

Persoana Împuternicită stochează Datele Clientului în repaus în Germania. Transferurile către persoane subîmputernicite din afara Spațiului Economic European, enumerate în Anexa III, au loc în temeiul Clauzelor contractuale standard ale Comisiei Europene (Decizia de punere în aplicare (UE) 2021/914), Modulul Trei, în cazul în care Persoana Împuternicită acționează ca persoană împuternicită de operator care angajează o persoană subîmputernicită, completate, unde este cazul, cu garanții suplimentare, și — acolo unde destinatarul este certificat — în temeiul deciziei de adecvare pentru Cadrul UE-SUA privind confidențialitatea datelor.

Prin încheierea acestui DPA, Operatorul mandatează Persoana Împuternicită să încheie acele Clauze contractuale standard cu fiecare persoană subîmputernicită, în numele și pe seama Operatorului.

14. Răspundere

Răspunderea în temeiul acestui DPA este guvernată de limitarea răspunderii din Termenii și condițiile, cu excepția faptului că nimic nu limitează răspunderea vreuneia dintre părți față de o persoană vizată conform Art. 82 RGPD sau față de o autoritate de supraveghere.

15. Durată, legea aplicabilă și contact

Acest DPA intră în vigoare atunci când începe contractul Operatorului pentru WorkAist Cloud și rămâne în vigoare atât timp cât Persoana Împuternicită prelucrează Datele Clientului. Este guvernat de legislația portugheză, iar instanțele din Lisabona au competență exclusivă, fără a aduce atingere Art. 79 RGPD.

Contact pentru toate aspectele legate de acest DPA: [email protected].