Acord de Prelucrare a Datelor cu Caracter Personal

Versiunea 1.0 | Data intrării în vigoare: 01.04.2026

Cuprins

Prezentul Acord de Prelucrare a Datelor cu Caracter Personal (DPA) este încheiat în temeiul art. 28 din Regulamentul (UE) 2016/679 (GDPR) și constituie parte integrantă a Termenilor și Condițiilor de Utilizare ale platformei ePSI.

Acceptarea prezentului DPA se realizează prin acceptarea explicită a Termenilor și Condițiilor de utilizare la crearea contului pe platformă.

1. Părțile și cadrul juridic

1.1. Persoana Împuternicită (Processor)

Denumire: PSYTECH S.R.L.

Sediu social: Strada Vasile Lascăr nr. 3, Sector 2, București, România

CUI: 52388518

Nr. ord. Reg. Comerțului: J2025064149007

Email general: [email protected]

Responsabil protecția datelor (DPO): [email protected]

Calitate: Persoană împuternicită în sensul art. 28 GDPR

1.2. Operatorul de date (Controller)

Operatorul de date este Utilizatorul platformei ePSI — psihologul cu drept de liberă practică, atestat de Colegiul Psihologilor din România în condițiile Legii nr. 213/2004, indiferent de forma de exercitare a profesiei (cabinet individual, cabinete asociate sau societate civilă profesională) — care determină scopurile și mijloacele prelucrării datelor cu caracter personal ale propriilor clienți sau beneficiari ai serviciilor profesionale.

Prezentul DPA reglementează exclusiv situațiile în care PSYTECH S.R.L. acționează în calitate de persoană împuternicită pentru prelucrarea datelor clienților finali ai Operatorului.

Notă privind dubla calitate:

Datele cu caracter personal ale utilizatorilor platformei ePSI (psihologi, reprezentanți ai cabinetelor sau societăților civile profesionale) sunt prelucrate de PSYTECH S.R.L. în calitate de operator de date independent, în temeiul relației contractuale cu utilizatorul. Aceste prelucrări sunt reglementate prin Politica de Confidențialitate a platformei și nu fac obiectul prezentului DPA.

1.3. Cadrul juridic

Prezentul DPA este guvernat de:

  • Regulamentul (UE) 2016/679 (GDPR)
  • Legea nr. 190/2018 privind măsuri de punere în aplicare a GDPR în România
  • Orice altă legislație română aplicabilă în materia protecției datelor cu caracter personal

2. Definiții

Termenii utilizați în prezentul DPA au semnificația atribuită de art. 4 GDPR, completată cu următoarele definiții specifice:

  • Platforma — aplicația software ePSI (web și mobilă), inclusiv toate modulele, API-urile și serviciile conexe, disponibilă la adresa epsi.ro.
  • Date ale Utilizatorului Platformei — datele cu caracter personal ale utilizatorilor platformei ePSI (psihologi, reprezentanți ai cabinetelor sau ai societăților civile profesionale), prelucrate de PSYTECH S.R.L. în calitate de operator de date independent, în scopul furnizării și administrării serviciilor Platformei.
  • Date ale Clienților Finali — datele cu caracter personal ale clienților sau beneficiarilor serviciilor profesionale ale Operatorului, introduse sau prelucrate prin intermediul Platformei de către Operator.
  • Date fiscale ale Utilizatorului — datele cu caracter personal conținute în documentele fiscale emise de Utilizator (Operator) către clienții săi finali prin modulul de facturare al Platformei (facturi, proforme, stornouri), inclusiv datele de identificare ale clienților finali care apar ca beneficiari în aceste documente. Aceste documente reprezintă documente proprii ale Utilizatorului, emise în numele și pe seama acestuia. Nici PSYTECH, nici sub-procesatorii săi tehnici nu sunt titularii acestor documente și nu au obligații legale proprii de arhivare fiscală în legătură cu acestea.
  • Sub-procesator — orice terț angajat de Persoana Împuternicită pentru a desfășura activități specifice de prelucrare în numele Operatorului, în conformitate cu art. 28 alin. (2) și (4) GDPR.
  • Încălcare a securității datelor — o încălcare a securității care duce la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat, accidental sau ilegal, la datele cu caracter personal transmise, stocate sau prelucrate în alt mod.
  • Instrucțiuni documentate — instrucțiunile scrise ale Operatorului adresate Persoanei Împuternicite, astfel cum sunt stabilite în prezentul DPA și orice instrucțiuni suplimentare comunicate în scris ulterior.
  • Date cu caracter special — categorii speciale de date în sensul art. 9 alin. (1) GDPR, inclusiv date privind sănătatea sau starea psihologică a persoanelor vizate.

3. Obiectul și durata prelucrării

3.1. Obiectul

Persoana Împuternicită prelucrează Datele Clienților Finali ai Operatorului exclusiv în scopul furnizării serviciilor platformei ePSI, astfel cum sunt descrise în Termenii și Condițiile de utilizare, și numai pe baza instrucțiunilor documentate ale Operatorului.

3.2. Durata

Prezentul DPA produce efecte pe întreaga durată a relației contractuale dintre Operator și Persoana Împuternicită (pe durata existenței contului activ) și încetează la momentul ștergerii definitive a tuturor Datelor Clienților Finali, conform Secțiunii 15.

4. Natura și scopul prelucrării

4.1. Natura prelucrării

Prelucrarea constă în operațiuni efectuate în mod automatizat, incluzând colectarea, stocarea, organizarea, structurarea, consultarea, utilizarea, transmiterea și ștergerea Datelor Clienților Finali prin intermediul Platformei.

4.2. Scopurile prelucrării

Datele Operatorului și Datele Clienților Finali sunt prelucrate exclusiv în scopul furnizării serviciilor Platformei, și anume:

  • gestionarea programărilor și a calendarului profesional al Operatorului;
  • administrarea relației Operatorului cu clienții finali (modul CRM);
  • emiterea facturilor, chitanțelor și documentelor fiscale proprii ale Operatorului;
  • transmiterea tehnică a documentelor fiscale ale Operatorului către Sistemul Național e-Factura (SPV) — PSYTECH și sub-procesatorul tehnic ANINU APPS SRL acționează exclusiv ca intermediari tehnici, fără a fi titularii acestor documente;
  • trimiterea notificărilor și reminder-urilor aferente programărilor;
  • generarea și gestionarea sesiunilor online (Google Meet, Zoom);
  • stocarea referințelor către documente în Google Drive — documentele în sine sunt stocate exclusiv în contul personal Google Drive al Utilizatorului, printr-o integrare configurată și controlată integral de acesta; Platforma ePSI nu deține control autonom, permanent sau generalizat asupra conținutului acestor fișiere.

Limitare importantă: Platforma nu este destinată stocării sau gestionării documentației clinice detaliate (diagnostice medicale, evaluări psihologice complexe, note terapeutice sau alte documente clinice). Introducerea unor astfel de date în Platformă se realizează exclusiv la inițiativa și sub responsabilitatea Operatorului, care poartă întreaga răspundere pentru legalitatea prelucrării acestora.

5. Tipuri de date și categorii de persoane vizate

5.1. Categorii de persoane vizate

Prin intermediul Platformei, Operatorul poate prelucra date cu caracter personal aparținând următoarelor categorii de persoane vizate:

  • clienți/pacienți ai Operatorului care beneficiază de servicii psihologice sau psihoterapeutice;
  • persoane care solicită programări sau informații privind serviciile Operatorului;
  • alte persoane ale căror date sunt introduse de Operator în Platformă în legătură cu furnizarea serviciilor sale profesionale (de exemplu: studenți în practică, colaboratori).

Operatorul este exclusiv responsabil pentru stabilirea temeiului legal al prelucrării datelor cu caracter personal introduse în Platformă.

5.2. Categorii de date cu caracter personal

În cadrul utilizării Platformei pot fi prelucrate următoarele categorii de date:

  • (a) Date de identificare — nume, prenume, adresă de email, număr de telefon, județ, localitate, adresă poștală.
  • (b) Date fiscale ale Utilizatorului — datele conținute în documentele fiscale emise de Operator față de clienții săi finali: nume/prenume/denumire, adresă, cod de identificare fiscală (CIF/CNP după caz), detalii factură și alte informații necesare emiterii documentelor justificative. Aceste date sunt prelucrate tehnic de PSYTECH și de sub-procesatorul ANINU APPS SRL exclusiv în scopul emiterii și transmiterii documentelor fiscale ale Operatorului, la instrucțiunile acestuia, și sunt șterse din sistemele PSYTECH și ANINU APPS SRL conform procedurii prevăzute la Secțiunea 15.2.
    Precizare privind arhivarea fiscală: Obligația de arhivare a documentelor fiscale pentru perioada prevăzută de lege (5 ani, calculați de la 1 iulie a anului următor exercițiului financiar, conform Legii nr. 82/1991 modificată prin Legea nr. 36/2023) revine exclusiv Operatorului și se execută pe infrastructura proprie a acestuia. PSYTECH nu invocă art. 6 alin. (1) lit. (c) GDPR sau Legea nr. 82/1991 ca temei de retenție pentru Datele fiscale ale Utilizatorului după închiderea contului.
  • (c) Date de identificare suplimentare (în situații specifice) — codul numeric personal (CNP) sau identificatoare similare pot fi prelucrate exclusiv în situațiile în care:
    • colectarea este impusă de legislația aplicabilă;
    • sunt necesare pentru proceduri de decontare sau raportare față de autorități ori terți (sisteme de asigurări de sănătate, programe publice sau alte mecanisme de finanțare);
    • sunt necesare pentru identificarea beneficiarului în contexte reglementate.

    Colectarea acestor date se realizează exclusiv la inițiativa și sub responsabilitatea Operatorului.

  • (d) Date financiare — statusul plăților, istoricul tranzacțiilor, metode de plată utilizate și alte informații asociate procesării plăților.
  • (e) Date de programare și utilizare a serviciilor — dată, oră, durată, locație, status sesiune, link-uri pentru sesiuni online, istoricul programărilor și al serviciilor accesate.
  • (f) Date tehnice și de utilizare a Platformei — adresă IP, identificatori ai dispozitivului, tip browser și sistem de operare, log-uri de autentificare, timestamp-uri ale activităților, informații privind accesul la funcționalitățile Platformei.

    Datele tehnice prevăzute la lit. (f) sunt prelucrate de PSYTECH S.R.L. în calitate de operator de date independent, în temeiul art. 6 alin. (1) lit. (f) GDPR (interes legitim — securitatea și buna funcționare a sistemelor proprii), și nu fac obiectul prezentului DPA. Detalii în Politica de Confidențialitate.

5.3. Date cu caracter special (art. 9 GDPR)

În mod normal, Platforma nu este destinată prelucrării de date cu caracter special. Cu toate acestea, în funcție de modul de utilizare de către Operator, Platforma poate găzdui date cu caracter special în sensul art. 9 GDPR, inclusiv informații limitate privind starea psihologică a beneficiarilor (de exemplu: mențiuni administrative legate de tipul serviciului sau contextul programării).

Astfel de date sunt introduse exclusiv de Operator și sunt prelucrate de Persoana Împuternicită exclusiv în scopul furnizării serviciilor Platformei.

Operatorul este exclusiv responsabil pentru:

  • stabilirea temeiului legal al prelucrării conform art. 9 alin. (2) GDPR;
  • informarea persoanelor vizate în conformitate cu art. 13 și 14 GDPR;
  • respectarea tuturor cerințelor art. 9 GDPR și ale legislației profesionale aplicabile.

5.4. Categorii de date excluse

Următoarele categorii de date nu sunt destinate stocării sau gestionării prin intermediul Platformei:

  • documentație clinică detaliată (rapoarte psihologice complete, evaluări psihodiagnostice detaliate);
  • note terapeutice sau de supervizare detaliate;
  • date biometrice sau genetice;
  • copii ale actelor de identitate ale persoanelor vizate, cu excepția cazurilor în care există o obligație legală expresă.

6. Obligațiile Persoanei Împuternicite (ePSI)

În conformitate cu art. 28 alin. (3) GDPR, Persoana Împuternicită se obligă să:

  • (a) prelucreze Datele Clienților Finali exclusiv pe baza instrucțiunilor documentate ale Operatorului, inclusiv în ceea ce privește transferurile de date către o țară terță sau o organizație internațională, cu excepția cazului în care o obligație legală impune altfel — caz în care Persoana Împuternicită va informa Operatorul în prealabil, dacă legea nu interzice această informare;
  • (b) se asigure că persoanele autorizate să prelucreze Datele Clienților Finali au semnat angajamente de confidențialitate sau au o obligație statutară de confidențialitate;
  • (c) implementeze și mențină măsurile tehnice și organizatorice prevăzute la art. 32 GDPR, astfel cum sunt detaliate în Secțiunea 10 a prezentului DPA;
  • (d) respecte condițiile prevăzute la art. 28 alin. (2) și (4) GDPR pentru recurgerea la sub-procesatori, conform Secțiunii 8;
  • (e) asiste Operatorul, prin măsuri tehnice și organizatorice adecvate și în măsura posibilului, pentru îndeplinirea obligației acestuia de a răspunde cererilor de exercitare a drepturilor persoanelor vizate prevăzute la Capitolul III GDPR (art. 15–22);
  • (f) asiste Operatorul în asigurarea respectării obligațiilor prevăzute la art. 32–36 GDPR (securitate, notificare încălcări, evaluare de impact, consultare prealabilă), ținând seama de natura prelucrării și de informațiile disponibile;
  • (g) la alegerea Operatorului exprimată în scris, la încetarea contractului, să șteargă sau să returneze toate Datele Clienților Finali și să șteargă copiile existente, cu excepția cazului în care dreptul Uniunii sau dreptul intern impune stocarea lor;
  • (h) pună la dispoziția Operatorului toate informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute la art. 28 GDPR și să permită auditurile în condițiile Secțiunii 14;
  • (i) informeze Operatorul fără întârziere nejustificată dacă o instrucțiune primită contravine, în opinia sa, GDPR sau altor dispoziții de drept al Uniunii ori drept intern privind protecția datelor.

Persoana Împuternicită nu stabilește scopurile sau mijloacele prelucrării Datelor Clienților Finali și nu utilizează aceste date în scopuri proprii.

7. Obligațiile Operatorului

Operatorul se obligă să:

  • (a) stabilească în mod legal și documentat scopurile și mijloacele prelucrării Datelor Clienților Finali;
  • (b) se asigure că dispune de un temei legal valid pentru prelucrarea datelor transmise prin Platformă (art. 6 GDPR și, după caz, art. 9 GDPR);
  • (c) informeze clienții finali conform art. 13 și 14 GDPR cu privire la prelucrarea datelor prin intermediul Platformei, inclusiv cu privire la identitatea și locația sub-procesatorilor;
  • (d) nu introducă în Platformă date cu caracter special excesive sau nejustificate, în special documentație clinică detaliată, decât atunci când există un temei legal valid conform art. 9 alin. (2) GDPR;
  • (e) gestioneze direct cererile de exercitare a drepturilor primite de la persoanele vizate;
  • (f) stabilească și respecte perioadele de păstrare a Datelor Clienților Finali, în conformitate cu obligațiile legale și profesionale aplicabile;
  • (g) transmită Persoanei Împuternicite exclusiv instrucțiuni documentate, legale și conforme cu GDPR. Operatorul poate transmite instrucțiuni suplimentare documentate privind prelucrarea datelor prin intermediul platformei sau prin comunicare scrisă către Persoana Împuternicită. Persoana Împuternicită va informa Operatorul fără întârziere nejustificată, dar nu mai târziu de 5 zile lucrătoare, dacă consideră că o instrucțiune contravine GDPR. Dacă instrucțiunile nu pot fi puse în aplicare, Persoana Împuternicită va suspenda executarea și va notifica Operatorul, iar dacă divergența persistă, oricare parte poate rezilia contractul;
  • (h) îndeplinească obligația legală proprie de arhivare fiscală a documentelor emise prin modulul de facturare al Platformei, independent de utilizarea Platformei, și să efectueze exportul arhivei fiscale înainte de solicitarea închiderii contului, conform procedurii de la Secțiunea 15.2;
  • (i) notifice fără întârziere Persoana Împuternicită cu privire la orice modificare a scopurilor sau mijloacelor de prelucrare care ar putea afecta obligațiile acesteia.

8. Sub-procesatori autorizați

8.1. Autorizare generală

Operatorul acordă Persoanei Împuternicite o autorizare generală scrisă prealabilă, în sensul art. 28 alin. (2) GDPR, pentru angajarea sub-procesatorilor enumerați în Secțiunea 8.3, în scopul furnizării serviciilor Platformei.

8.2. Obligații față de sub-procesatori

Persoana Împuternicită se obligă ca, atunci când recurge la un sub-procesator:

  • să impună prin contract scris obligații de protecție a datelor echivalente cu cele prevăzute în prezentul DPA, în special garanții suficiente privind implementarea măsurilor tehnice și organizatorice adecvate;
  • să rămână pe deplin responsabilă față de Operator pentru îndeplinirea obligațiilor de către sub-procesator, în conformitate cu art. 28 alin. (4) GDPR;
  • să verifice periodic respectarea obligațiilor de protecție a datelor de către sub-procesatori.

8.3. Lista sub-procesatorilor autorizați

Sub-procesatorRol / ScopDate prelucrateLocațieMecanism transfer
Supabase Inc.Infrastructură cloud, bază de date, autentificare, Edge FunctionsToate Datele Clienților Finali (criptat, cu RLS activat)UE (Frankfurt)Date în UE; SCC pentru entitate SUA
ANINU APPS SRL (platformă InsideApp/iApp)Sub-procesator tehnic pentru transmiterea documentelor fiscale ale Operatorului prin API InsideApp și SPV ANAF. Acționează exclusiv la instrucțiunile PSYTECH. Datele fiscale ale Operatorului sunt șterse din sistemele ANINU APPS SRL după confirmarea exportului arhivei de către Operator și cel târziu la 30 de zile de la închiderea contului.Date fiscale ale Operatorului: date de identificare fiscală ale emitentului și destinatarului, detalii factură. NU include date clinice sau de sănătate.România (UE)Nu este necesar (teritoriu UE). DPA încheiat conform art. 28 GDPR.
Stripe Inc.Procesare plăți și abonamenteDate card (tokenizate), email, ID client StripeUE / SUAEU–US Data Privacy Framework + SCC
Brevo (Sendinblue) SASEmail tranzacțional, SMS, notificări programări (canal principal)Adresă email, număr telefon, conținut mesaje aferente serviciilorUE (Franța)SCC; sediu UE
Resend Inc.Email tranzacțional (canal alternativ Brevo)Adresă email, conținut mesajeSUASCC
Anthropic PBCAsistent AI integrat (ePsi Think) — conversații pseudonimizate, fără date direct identificabile ale clienților finali; retenție max. 90 zileConversații pseudonimizateSUASCC; pseudonimizare obligatorie înainte de transmitere
Google LLCCalendar, Drive (referințe), Meet (link-uri sesiuni), OAuth, Gemini AI, ImagenProgramări, referințe documente, link-uri sesiuni; prompt-uri text pentru generare conținut vizual (fără date personale ale clienților finali)UE / SUAEU–US Data Privacy Framework + SCC
Zoom Video Communications Inc.Generare link-uri sesiuni online (integrare opțională)Titlu sesiune, dată, oră (PSYTECH nu accesează conținut sesiunii)SUASCC
Vercel Inc.Hosting platformă web, analyticsDate de vizită anonimizate (analytics), active staticeUE / SUAEU–US Data Privacy Framework + SCC

8.4. Notificarea modificărilor

Persoana Împuternicită va informa Operatorul cu privire la orice adăugare sau înlocuire a sub-procesatorilor prin:

  • actualizarea prezentului DPA la adresa epsi.ro/acord-prelucrare-date;
  • notificare prin email adresată Operatorului cu minimum 30 de zile calendaristice înainte de activarea noului sub-procesator.

Operatorul poate formula obiecții motivate în scris în termen de 30 de zile calendaristice de la primirea notificării. Dacă obiecția este formulată în termen și părțile nu ajung la un acord în termen de 15 zile de la înregistrarea obiecției, Operatorul are dreptul de a rezilia contractul fără penalități, cu efect la data activării sub-procesatorului respectiv.

9. Transferuri internaționale de date

9.1. Cadrul transferurilor

Anumiți sub-procesatori (Stripe Inc., Anthropic PBC, Google LLC, Zoom Video Communications Inc., Vercel Inc., Resend Inc.) au sediul sau operează infrastructură în afara Spațiului Economic European (SEE). Transferurile de date către aceste entități se realizează exclusiv în temeiul:

  • Deciziei de adecvare a Comisiei Europene privind Cadrul UE–SUA pentru protecția datelor (EU–U.S. Data Privacy Framework), pentru entitățile certificate (Stripe, Google, Vercel);
  • Clauzelor Contractuale Standard (SCC) adoptate de Comisia Europeană prin Decizia de punere în aplicare (UE) 2021/914, conform art. 46 alin. (2) lit. (c) GDPR (Anthropic, Zoom, Resend; Google și Vercel — suplimentar, în completarea DPF).

9.2. Garanții suplimentare

Persoana Împuternicită se asigură că fiecare sub-procesator implicat într-un transfer internațional:

  • oferă garanții adecvate și verificabile de protecție a datelor;
  • respectă legislația aplicabilă în materia protecției datelor;
  • nu transmite datele primite către terți fără a impune obligații echivalente.

PSYTECH monitorizează periodic valabilitatea mecanismelor de transfer utilizate. În cazul invalidării Deciziei de adecvare UE–SUA, transferurile vor continua exclusiv pe baza SCC, fără a fi necesară o nouă notificare a Operatorului, cu excepția cazului în care modificarea afectează în mod semnificativ drepturile persoanelor vizate.

La solicitarea scrisă a Operatorului, Persoana Împuternicită va pune la dispoziție documentația aferentă mecanismelor de transfer utilizate pentru fiecare sub-procesator.

10. Măsuri tehnice și organizatorice (art. 32 GDPR)

Persoana Împuternicită implementează, menține și actualizează periodic următoarele măsuri de securitate:

10.1. Criptare și pseudonimizare

  • Criptare în tranzit: TLS 1.3 pentru toate comunicațiile dintre client și server;
  • Criptare în repaus: AES-256 la nivelul bazei de date;
  • Criptarea tokenilor OAuth și a cheilor de acces prin Supabase Vault;
  • Pseudonimizarea conversațiilor transmise asistentului AI ePsi Think — eliminarea datelor direct identificabile ale clienților finali anterior transmiterii către Anthropic PBC.

10.2. Controlul accesului

  • Row Level Security (RLS) în PostgreSQL: fiecare utilizator accesează exclusiv propriile date;
  • Autentificare securizată cu suport pentru autentificare în doi factori (2FA) și management dispozitive;
  • Acces la infrastructură pe principiul necesității (need-to-know);
  • Segregarea cheilor API (publishable key vs. service role key);
  • Arhitectură multi-tenant cu separare logică a datelor între utilizatori.

10.3. Disponibilitate și reziliență

  • Backup automat zilnic al bazei de date
  • Infrastructură redundantă (Supabase managed PostgreSQL)
  • Monitorizare continuă a disponibilității serviciilor

10.4. Monitorizare și audit intern

  • Log-uri de audit pentru acțiuni critice (autentificare, modificare date, export)
  • Detectare automată a accesului neautorizat
  • Evaluare periodică a eficacității măsurilor de securitate

11. Notificarea încălcărilor securității datelor

11.1. Obligația de notificare

Persoana Împuternicită va notifica Operatorul, fără întârzieri nejustificate și în maximum 48 de ore de la momentul luării la cunoștință, cu privire la orice încălcare a securității datelor cu caracter personal care afectează Datele Clienților Finali.

Notificarea se transmite la adresa de email indicată de Operator în contul platformei sau, în lipsa acesteia, la adresa de contact înregistrată.

11.2. Conținutul notificării

Notificarea va conține cel puțin:

  • descrierea naturii încălcării, inclusiv, acolo unde este posibil, categoriile și numărul aproximativ al persoanelor vizate și al înregistrărilor afectate;
  • datele de contact ale punctului de referință pentru informații suplimentare ([email protected]);
  • descrierea consecințelor probabile ale încălcării;
  • descrierea măsurilor luate sau propuse pentru remedierea încălcării și limitarea efectelor negative.

Dacă informațiile nu sunt disponibile integral la momentul notificării inițiale, Persoana Împuternicită le va transmite în mod etapizat, fără întârzieri suplimentare nejustificate.

11.3. Obligațiile Operatorului

Termenul de 72 de ore prevăzut de art. 33 GDPR pentru notificarea ANSPDCP reprezintă obligația exclusivă a Operatorului. Notificarea în maximum 48 de ore de către Persoana Împuternicită are scopul de a-i permite Operatorului respectarea acestui termen legal propriu. Operatorul este singurul responsabil pentru notificarea ANSPDCP și, după caz, a persoanelor vizate (art. 34 GDPR). Toate incidentele sunt documentate de Persoana Împuternicită, inclusiv cele sub pragul de notificare obligatorie.

11.4. Asistență

Persoana Împuternicită va asista Operatorul în îndeplinirea obligațiilor de notificare către ANSPDCP (art. 33 GDPR) și, dacă este cazul, de informare a persoanelor vizate (art. 34 GDPR).

12. Asistență pentru drepturile persoanelor vizate

12.1. Cereri primite de Operator

Operatorul este responsabil principal pentru gestionarea cererilor de exercitare a drepturilor prevăzute la art. 15-22 GDPR. Persoana Împuternicită va furniza asistență tehnică rezonabilă, prin funcționalitățile Platformei (export date, ștergere date, rectificare).

12.2. Cereri primite direct de Persoana Împuternicită

În cazul în care Persoana Împuternicită primește o cerere direct de la o persoană vizată, aceasta va redirecționa cererea către Operatorul relevant fără întârziere nejustificată, fără a răspunde direct cererii, cu excepția cazului în care Operatorul solicită acest lucru în scris.

12.3. Funcționalități disponibile

Platforma pune la dispoziția Operatorului următoarele funcționalități:

  • export date clienți finali în format structurat (CSV/JSON);
  • export arhivă fiscală completă în format XML și/sau PDF;
  • ștergere individuală a datelor unui client final;
  • rectificarea datelor prin interfața de administrare;
  • ștergerea completă a contului și a tuturor datelor asociate.

13. Evaluarea impactului asupra protecției datelor (DPIA)

Persoana Împuternicită a realizat o evaluare a impactului asupra protecției datelor (DPIA) pentru activitățile de prelucrare care implică riscuri ridicate, inclusiv utilizarea asistentului de inteligență artificială și prelucrarea incidentală a datelor cu caracter special. Concluziile DPIA sunt disponibile la cerere la [email protected].

Persoana Împuternicită va asista Operatorul, la cerere scrisă și în limita informațiilor disponibile, în realizarea propriilor evaluări de impact (art. 35 GDPR) și în consultarea prealabilă cu ANSPDCP (art. 36 GDPR), furnizând informații privind:

  • natura și scopul prelucrărilor efectuate prin Platformă;
  • măsurile tehnice și organizatorice implementate;
  • lista, rolul și locația sub-procesatorilor;
  • mecanismele de transfer internațional aplicate.

14. Audit și verificarea conformității

14.1. Dreptul de audit

Operatorul are dreptul de a verifica respectarea obligațiilor Persoanei Împuternicite prevăzute în prezentul DPA, prin:

  • solicitarea de informații și documente privind măsurile de conformitate;
  • audituri efectuate de Operator sau de un auditor terț independent mandatat în scris de acesta.

14.2. Condiții de desfășurare

  • Operatorul va notifica Persoana Împuternicită cu minimum 30 de zile calendaristice înainte de data auditului;
  • auditul se desfășoară în timpul programului de lucru și nu va perturba activitatea curentă în mod disproporționat;
  • auditorul terț va semna un acord de confidențialitate cu caracter obligatoriu înainte de accesul la informații;
  • costurile auditului sunt suportate integral de Operator;
  • frecvența maximă: un audit pe an calendaristic, cu excepția cazului în care există motive temeinice documentate (incident de securitate confirmat, solicitare ANSPDCP sau altă autoritate competentă).

14.3. Alternative la auditul direct

Persoana Împuternicită poate satisface, în totalitate sau parțial, cererea de audit prin punerea la dispoziție a:

  • certificărilor de securitate relevante ale sub-procesatorilor (de exemplu: ISO 27001);
  • rapoartelor de penetration testing efectuate de terți independenți (în formă rezumată);
  • documentației tehnice actualizate privind măsurile de securitate implementate.

Operatorul poate refuza această alternativă cu justificare scrisă și poate insista pe auditul direct, cu respectarea condițiilor de la pct. 14.2.

15. Încetarea contractului și soarta datelor

15.1. Procedura generală la încetare

La încetarea relației contractuale (ștergere cont, reziliere, expirare), Persoana Împuternicită va:

  • permite Operatorului să exporte datele generale în format structurat (CSV/JSON) printr-o funcționalitate pusă la dispoziție în Platformă;
  • acorda o perioadă de grație de 30 de zile calendaristice de la solicitarea de ștergere a contului, în care exportul rămâne disponibil;
  • șterge definitiv toate Datele Clienților Finali din sistemele active în termen de 30 de zile calendaristice de la expirarea perioadei de grație;
  • șterge Datele Clienților Finali din backup-uri în conformitate cu ciclul automat de rotație al backup-urilor (maximum 30 de zile calendaristice de la ștergerea din sistemele active).

La solicitarea scrisă a Operatorului, Persoana Împuternicită va emite o confirmare scrisă a ștergerii definitive a datelor.

15.2. Regimul special al datelor fiscale ale Operatorului

Datele fiscale ale Utilizatorului fac obiectul unei proceduri specifice la închiderea contului:

  • (a) Notificare prealabilă: PSYTECH notifică Operatorul cu minimum 30 de zile calendaristice înainte de închiderea definitivă a contului. Pe durata acestei perioade, contul rămâne activ exclusiv în scopul exportului datelor.
  • (b) Exportul arhivei fiscale: Înainte de închiderea definitivă, PSYTECH pune la dispoziția Operatorului exportul complet al tuturor documentelor fiscale emise prin modulul de facturare, în format XML și/sau PDF, fără costuri suplimentare.
  • (c) Confirmarea exportului și instrucțiunea de ștergere: După confirmarea de către Operator a recepționării exportului arhivei fiscale, PSYTECH instruiește ANINU APPS SRL să șteargă toate datele fiscale ale Operatorului din sistemele sale, în termen de maximum 30 de zile calendaristice. Ștergerea este confirmată în scris de ANINU APPS SRL în termen de 5 zile lucrătoare de la executarea instrucțiunii.
  • (d) Lipsa confirmării: În situația în care Operatorul nu confirmă recepționarea exportului în termenul de 30 de zile de la notificarea de închidere, PSYTECH poate proceda la închiderea contului și la instrucțiunea de ștergere, cu documentarea corespunzătoare a notificărilor transmise. Riscul nearhivării documentelor fiscale revine în acest caz exclusiv Operatorului.
  • (e) Obligația de arhivare a Operatorului: Operatorul are obligația legală proprie de a arhiva documentele fiscale emise prin Platformă pentru o perioadă de 5 ani, calculați de la 1 iulie a anului următor exercițiului financiar, conform Legii nr. 82/1991 (modificată prin Legea nr. 36/2023). Această obligație se execută pe infrastructura proprie a Operatorului, independent de orice raport cu PSYTECH. PSYTECH nu răspunde pentru consecințele nearhivării documentelor fiscale proprii ale Operatorului după închiderea contului, în condițiile respectării procedurii de notificare și export prevăzute în prezenta secțiune.

15.3. Excepții de la ștergere

Persoana Împuternicită poate reține anumite date după încetare, exclusiv în temeiul:

  • obligațiilor legale proprii de păstrare (documente fiscale proprii ale PSYTECH — facturi de abonament emise față de Utilizatori: 5 ani, în temeiul Legii nr. 82/1991, obligație proprie PSYTECH);
  • log-uri agregate și anonimizate care nu permit identificarea directă sau indirectă a persoanelor vizate.

16. Răspunderea

16.1. Răspunderea Persoanei Împuternicite

Persoana Împuternicită răspunde pentru prejudiciile cauzate de prelucrare numai în cazul în care nu a respectat obligațiile prevăzute de GDPR care îi revin în mod specific sau a acționat în afara instrucțiunilor legale ale Operatorului ori în contradicție cu acestea, conform art. 82 alin. (2) GDPR.

16.2. Răspunderea Operatorului

Operatorul răspunde pentru:

  • legalitatea și conformitatea instrucțiunilor transmise Persoanei Împuternicite;
  • obținerea și menținerea temeiurilor legale necesare pentru prelucrarea Datelor Clienților Finali;
  • informarea adecvată și completă a persoanelor vizate în conformitate cu art. 13 și 14 GDPR;
  • introducerea în Platformă a datelor din categorii speciale (art. 9 GDPR) fără temei legal valid sau contrar prevederilor exprese ale prezentului DPA;
  • neîndeplinirea obligației proprii de arhivare fiscală a documentelor emise prin modulul de facturare, în condițiile în care PSYTECH a respectat procedura de export prevăzută la Secțiunea 15.2.

16.3. Limitarea răspunderii

Răspunderea totală cumulată a Persoanei Împuternicite față de Operator în temeiul prezentului DPA este limitată la suma efectiv plătită de Operator în ultimele 12 luni calendaristice precedente evenimentului generator de prejudiciu, dar nu mai puțin de 100 EUR.

Limitarea prevăzută la prezentul punct nu se aplică prejudiciilor cauzate prin încălcări intenționate sau fraudă din partea Persoanei Împuternicite.

A se vedea și Termenii și Condițiile de utilizare, Secțiunea 19.3.

17. Dispoziții finale

17.1. Relația cu contractul principal

Prezentul DPA completează Termenii și Condițiile de utilizare și Politica de Confidențialitate ale platformei ePSI. În caz de conflict între prevederile prezentului DPA și celelalte documente contractuale, prevederile prezentului DPA prevalează în toate aspectele privind protecția datelor cu caracter personal.

17.2. Modificări ale DPA

Persoana Împuternicită poate modifica prezentul DPA pentru a reflecta schimbări legislative, decizii ale autorităților de supraveghere sau modificări ale practicilor de prelucrare, cu notificarea Operatorului cu minimum 30 de zile calendaristice înainte de intrarea în vigoare a modificărilor.

Operatorul are dreptul de a formula obiecții motivate în scris în termen de 30 de zile calendaristice de la notificare. Dacă părțile nu ajung la un acord în termen de 15 zile de la înregistrarea obiecției, Operatorul are dreptul de a rezilia contractul fără penalități.

17.3. Separabilitatea

Dacă orice prevedere a prezentului DPA este declarată nulă, nescrisă sau inaplicabilă, celelalte prevederi rămân în vigoare. Prevederea afectată va fi înlocuită cu o prevedere validă care respectă cât mai fidel intenția originală a părților și cerințele GDPR.

17.4. Legea aplicabilă și jurisdicția

Prezentul DPA este guvernat de legislația română, cu aplicarea directă a GDPR. Orice litigiu derivând din sau în legătură cu prezentul DPA se soluționează conform prevederilor privind jurisdicția din Termenii și Condițiile de utilizare.

17.5. Date de contact

PSYTECH S.R.L.

Strada Vasile Lascăr nr. 3, Sector 2, București, România

Email general: [email protected]

Responsabil cu protecția datelor (DPO): [email protected]

Website: https://epsi.ro

18. Acceptarea DPA

Prin crearea unui cont pe platforma ePSI și acceptarea Termenilor și Condițiilor de utilizare, Utilizatorul (Operatorul de date) confirmă că a citit, înțeles și acceptat în întregime prezentul Acord de Prelucrare a Datelor cu Caracter Personal (DPA), care constituie parte integrantă din contractul de furnizare a serviciilor platformei.

Acceptarea prezentului DPA nu afectează calitatea de operator de date independent a PSYTECH S.R.L. pentru prelucrările realizate în legătură cu proprii utilizatori ai platformei, astfel cum sunt descrise în Politica de Confidențialitate.