Acord de Prelucrare a Datelor Personale (DPA)

Data Processing Agreement — conform Art. 28 GDPR

Ultima actualizare: 25 februarie 2026

1. PĂRȚILE

Prezentul Acord de Prelucrare a Datelor (denumit „DPA") se încheie între:

  • OPERATORUL: Tenantul (clientul EasyGrow), identificat conform contului creat pe Platformă și abonamentului activ.
  • PERSOANA ÎMPUTERNICITĂ: TEILOR VISION S.R.L., CUI 47110271, cu sediul în Satu Mare, Str. Botizului Nr. 19, Bl. 30, Ap. 3, Jud. Satu Mare.

Prezentul DPA face parte integrantă din Termenii și Condițiile și din contractul de prestări servicii încheiat între părți. DPA se aplică automat la momentul activării contului Tenantului pe platforma EasyGrow.

1.1. Dubla Calitate a EasyGrow

  1. Procesator — pentru datele personale ale lead-urilor, clienților finali și participanților introduse de Client în platformă.
  2. Operator — pentru datele personale ale Clientului (date de facturare, autentificare), procesate în scopul furnizării serviciului.

Prezentul Acord reglementează relația de procesare descrisă la punctul (a).

2. OBIECTUL PRELUCRĂRII

2.1. Categorii de Persoane Vizate

  • Lead-uri (potențiali clienți ai Tenantului)
  • Clienți finali ai Tenantului
  • Participanți la webinarii/evenimente

2.2. Categorii de Date Personale

  • Date de identificare: nume, prenume
  • Date de contact: email, telefon
  • Date de sursă: sursa lead-ului, parametri UTM
  • Date de interacțiune: status apeluri, programări, notițe despre interacțiuni
  • Date financiare: prețuri produse, sume încasate, rate de plată
  • Date de tracking: URL-uri vizitate, parametri UTM, timestamps
  • Date de programare: data și ora întâlnirilor
  • Răspunsuri la formulare de calificare: date structurate din Typeform și Calendly Q&A
  • Sinteze generate automat prin AI: text generat pe baza răspunsurilor la formulare
  • Date de atribuire sursă: caller attribution — informații despre cum a fost programat lead-ul

2.3. Scopul Prelucrării

Stocarea, procesarea, afișarea și raportarea datelor pentru funcționalitățile platformei CRM EasyGrow, la instrucțiunile Operatorului.

2.4. Durata Prelucrării

Pe durata contractului de prestări servicii + 90 de zile de la încetarea contractului (perioadă de grație pentru export).

3. OBLIGAȚIILE PERSOANEI ÎMPUTERNICITE (Teilor Vision)

Teilor Vision se obligă:

  1. Să prelucreze datele personale exclusiv conform instrucțiunilor documentate ale Operatorului, inclusiv în ceea ce privește transferurile de date.
  2. Să se asigure că persoanele autorizate să prelucreze date personale s-au angajat să respecte confidențialitatea sau au o obligație legală de confidențialitate.
  3. Să implementeze toate măsurile tehnice și organizatorice necesare conform Art. 32 GDPR, inclusiv:
    • Criptarea datelor în tranzit (TLS/SSL) și la repaus (AES-256)
    • Row Level Security pentru izolarea datelor între Tenanți
    • Hashing-ul parolelor (bcrypt)
    • Backup-uri regulate (zilnice)
    • Monitorizarea securității
  4. Să nu angajeze un alt procesator (sub-procesator) fără autorizarea prealabilă scrisă sau generală a Operatorului. Lista actuală a sub-procesatorilor este disponibilă în secțiunea 5 a prezentului DPA și în Politica de Confidențialitate.
  5. Să asiste Operatorul în respectarea obligațiilor de a răspunde cererilor persoanelor vizate (acces, rectificare, ștergere, portabilitate etc.).
  6. Să asiste Operatorul în asigurarea conformității cu Art. 32-36 GDPR (securitate, notificarea breșelor, evaluarea impactului).
  7. Să notifice Operatorul fără întârziere nejustificată (și în maximum 48 de ore) după ce ia cunoștință de o încălcare a securității datelor personale.
  8. La încetarea contractului, la alegerea Operatorului, să returneze sau să șteargă toate datele personale și să elimine copiile existente, cu excepția cazului în care dreptul UE sau dreptul național impune stocarea datelor (ex. date de facturare — 10 ani).
  9. Să pună la dispoziția Operatorului toate informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute la Art. 28 GDPR și să permită și să contribuie la audituri.

4. OBLIGAȚIILE OPERATORULUI (Tenantul)

Operatorul se obligă:

  1. Să se asigure că prelucrarea datelor are o bază legală validă (consimțământ, interes legitim, executarea contractului etc.).
  2. Să informeze persoanele vizate cu privire la prelucrarea datelor lor, inclusiv faptul că datele sunt stocate prin intermediul platformei EasyGrow.
  3. Să răspundă cererilor persoanelor vizate și să transmită instrucțiuni Persoanei Împuternicite acolo unde este necesar.
  4. Să nu introducă în Platformă date cu caracter special (Art. 9 GDPR) fără a avea o bază legală adecvată.
  5. Să notifice Persoana Împuternicită în cazul în care instrucțiunile de prelucrare încalcă GDPR sau alte dispoziții legale.
  6. Să implementeze pe propriul website un cookie banner și o politică de confidențialitate adecvate, în cazul în care utilizează scriptul de tracking EasyGrow.

5. SUB-PROCESATORI

5.1. Autorizare Generală

Operatorul acordă Persoanei Împuternicite autorizarea generală de a angaja sub-procesatori, sub condiția:

  1. Informării prealabile a Operatorului cu privire la orice modificare (adăugare/înlocuire sub-procesator)
  2. Acordării unui termen de 14 zile pentru obiecții din partea Operatorului
  3. Impunerii acelorași obligații de protecție a datelor sub-procesatorilor

5.2. Lista Sub-procesatorilor Actuali

Sub-procesatorLocațieServiciu
Supabase, Inc.UE (Frankfurt/Dublin)Baza de date și autentificare
Vercel, Inc.UE + CDN GlobalHosting aplicație
Stripe, Inc.UE + SUAProcesare plăți (abonamente EasyGrow și plăți clienți finali)
Resend, Inc.SUA (Clauze Contractuale Standard)Trimitere emailuri tranzacționale
Functional Software, Inc. (Sentry)UEMonitorizare erori (date anonimizate)
Anthropic PBCSUA (Clauze Contractuale Standard)Generare sinteze AI (AI Lead Profiles)
SmartBill S.R.L.RomâniaFacturare electronică
Calendly LLCSUA (Clauze Contractuale Standard)Programări (webhook)
Typeform S.L.UE (Spania)Formulare calificare (webhook)

6. TRANSFERURI INTERNAȚIONALE

  1. Datele personale sunt stocate principal în Uniunea Europeană (Frankfurt, Germania / Dublin, Irlanda).
  2. Anumite sub-procesatori (Stripe, Resend, Anthropic, Calendly) pot transfera date în SUA, exclusiv cu garanții adecvate: Cadrul de Protecție a Datelor UE-SUA (EU-U.S. Data Privacy Framework) pentru Stripe, Clauze Contractuale Standard aprobate de Comisia Europeană pentru Resend, Anthropic și Calendly.
  3. Orice transfer în afara SEE se realizează exclusiv cu garanții adecvate conform Art. 46 GDPR.

6.1. Sub-procesare AI

Pentru funcționalitatea AI Lead Profiles, Procesatorul transmite răspunsurile la formulare și numele persoanei vizate către Anthropic PBC prin API securizat, exclusiv pentru generarea unei sinteze informative. Anthropic PBC nu utilizează datele pentru antrenarea modelelor. Transferul este asigurat prin Clauze Contractuale Standard (SCC). Operatorul poate dezactiva funcționalitatea din setările contului.

7. BREȘE DE SECURITATE

  1. Persoana Împuternicită notifică Operatorul în maximum 48 de ore de la constatarea unei breșe.
  2. Notificarea include: natura breșei, categoriile de date afectate, numărul aproximativ de persoane vizate, consecințele probabile, măsurile luate/propuse.
  3. Operatorul este responsabil pentru notificarea ANSPDCP (în 72 de ore conform Art. 33 GDPR) și a persoanelor vizate (dacă este cazul, conform Art. 34 GDPR).

8. AUDIT

  1. Operatorul are dreptul de a efectua audituri sau de a desemna un auditor extern pentru verificarea conformității Persoanei Împuternicite cu prezentul DPA.
  2. Auditurile se realizează cu un preaviz de minimum 30 de zile, în timpul orelor de lucru, fără a perturba activitatea curentă.
  3. Costurile auditului sunt suportate de Operator, cu excepția cazului în care auditul relevă neconformități majore.

9. DURATA ȘI ÎNCETAREA

  1. Prezentul DPA intră în vigoare la data activării contului Tenantului și rămâne valabil pe toată durata contractului de prestări servicii (abonamentului).
  2. La încetarea contractului, prevederile referitoare la ștergerea datelor, confidențialitate și cooperare rămân aplicabile.
  3. La încetarea contractului, Procesatorul va pune la dispoziția Operatorului exportul datelor (CSV/JSON) pentru o perioadă de 30 de zile.
  4. După expirare, datele vor fi marcate ca șterse (soft delete).
  5. Datele vor fi șterse fizic și irevocabil în termen de 90 de zile de la marcare.
  6. Excepție: datele necesare conformării legale (facturi — 10 ani) se păstrează doar în scopul respectiv.
  7. La cererea Operatorului, Procesatorul va furniza confirmare scrisă a ștergerii.

10. CONTACT

Pentru orice întrebări legate de prezentul DPA:
Email: contact@easygrow.ro
Adresă: Municipiul Satu Mare, Strada Botizului, Nr. 19, Bloc 30, Ap. 3, Județ Satu Mare, România

© 2025-2026 Teilor Vision S.R.L. Toate drepturile rezervate.