Acord de Prelucrare a Datelor (DPA)

Ultima actualizare: 28 Martie 2026 · Conform Art. 28 GDPR (Regulamentul UE 2016/679)

Acord obligatoriu conform Art. 28 GDPR

Acest document stabilește obligațiile Qedara Finance OS SRL în calitate de Operator (Art. 28 GDPR) față de utilizatorii platformei (împuterniciți sau clienți finali).

1. Părțile contractante

Operatorul de date: Clientul care utilizează platforma Qedara Start (persoana juridică sau fizică autorizată).

Împuternicitul: Qedara Finance OS SRL, Bd. Unirii nr. 1, Sector 3, București, CUI în curs de înregistrare, email: gdpr@qedarastart.ro

2. Obiectul și durata prelucrării

Qedara Start prelucrează datele cu caracter personal în numele Clientului exclusiv pentru furnizarea serviciilor SaaS descrise în Termenii și Condițiile de Utilizare. Prelucrarea are loc pe durata contractului și ulterior rezilierii, în limita obligațiilor legale de arhivare.

3. Natura și scopul prelucrării

  • Stocarea și procesarea datelor contabile și fiscale introduse de utilizator
  • Transmiterea declarațiilor fiscale către ANAF prin SPV (la solicitarea utilizatorului)
  • Generarea rapoartelor financiare pe baza datelor introduse
  • Înregistrarea automată a documentelor cu asistență AI (date anonimizate)

4. Tipuri de date prelucrate

  • Date de identificare: nume, prenume, email, telefon
  • Date financiare și contabile: facturi, extrase bancare, registre contabile
  • Date fiscale: declarații, CUI, cod CAEN, situație TVA
  • Date tehnice: IP, logs, audit trail

5. Obligațiile Împuternicitului (Art. 28.3 GDPR)

Qedara Finance OS SRL se obligă să:

  • Prelucreze datele exclusiv pe baza instrucțiunilor documentate ale Operatorului
  • Asigure că persoanele autorizate să prelucreze datele s-au angajat la confidențialitate
  • Implementeze măsuri tehnice și organizatorice adecvate (Art. 32 GDPR)
  • Respecte condițiile pentru angajarea altor împuterniciți (sub-procesatori)
  • Asiste Operatorul în exercitarea drepturilor persoanelor vizate
  • Șteargă sau returneze datele la cerere, după încheierea serviciilor
  • Pună la dispoziție informațiile necesare demonstrării conformității

6. Sub-procesatori autorizați

Sub-procesatorRolLocațieGaranție
Neon Inc.Baze de date PostgreSQLFrankfurt, EUClauze Contractuale Standard UE
Vercel Inc.Hosting aplicație + Edge NetworkFrankfurt, EUDecizie de adecvare EU-SUA
Resend Inc.Emailuri tranzacționaleSUAClauze Contractuale Standard UE
Anthropic PBCAsistență AI (date anonimizate)SUAClauze Contractuale Standard UE + Zero Data Retention
Render ServicesHosting API backendFrankfurt, EUClauze Contractuale Standard UE

Operatorul va fi notificat cu minimum 30 de zile înainte de adăugarea oricărui nou sub-procesator.

7. Transferuri internaționale

Datele stocate în baze de date (Neon) și infrastructura de hosting (Vercel) sunt localizate exclusiv în Frankfurt, Germania (UE). Procesarea AI (Anthropic) utilizează date anonimizate fără identificatori personali, cu clauze contractuale standard UE și politica Zero Data Retention a Anthropic.

8. Măsuri de securitate (Art. 32 GDPR)

  • Criptare în tranzit: TLS 1.3
  • Criptare la repaus: AES-256
  • Autentificare JWT cu expirare scurtă (15 minute)
  • Audit log imutabil (append-only)
  • Backup zilnic cu point-in-time recovery
  • Acces pe principiul least-privilege
  • Monitorizare și alertare incidente de securitate

9. Notificarea incidentelor de securitate

În cazul unui incident de securitate care afectează datele cu caracter personal, Qedara Finance OS SRL va notifica Operatorul în termen de 72 de ore de la constatare (Art. 33 GDPR), inclusiv natura incidentului, categoriile și numărul aproximativ de persoane afectate, și măsurile luate.

10. Drepturile persoanelor vizate

Qedara Finance OS SRL va asista Operatorul în gestionarea cererilor de exercitare a drepturilor prevăzute de Art. 15-22 GDPR (acces, rectificare, ștergere, portabilitate, opoziție, restricționare). Cererile pot fi trimise la gdpr@qedarastart.ro.

11. Ștergerea datelor la reziliere

La rezilierea contractului, Qedara Finance OS SRL va șterge sau returna toate datele cu caracter personal în termen de 30 de zile, cu excepția datelor pentru care există obligații legale de arhivare (datele contabile și fiscale — 5 ani conform Legii 82/1991).

12. Dreptul de audit (Art. 28.3 lit. h GDPR)

Conform Art. 28 alin. (3) lit. h) din GDPR, Operatorul are dreptul de a efectua audituri și inspecții pentru a verifica respectarea de către Qedara Finance OS SRL a obligațiilor prevăzute în prezentul DPA.

  • Audituri la distanță: Operatorul poate solicita oricând documentație privind măsurile tehnice și organizatorice implementate (rapoarte de securitate, politici interne, certificări)
  • Audituri fizice: cu notificare prealabilă de minimum 30 de zile, se pot organiza inspecții la sediul Împuternicitului, pe cheltuiala Operatorului, în orele de program
  • Audituri de terță parte: Operatorul poate mandata un auditor independent certificat (ISO 27001 sau echivalent) pentru efectuarea auditului
  • Confidențialitate: auditorul terț va semna un acord de confidențialitate înainte de accesul la informații sensibile
  • Frecvență: maximum un audit la cerere per an calendaristic, cu excepția cazurilor în care există indicii concrete de neconformitate

Solicitările de audit se transmit la gdpr@qedarastart.ro.