Înapoi acasă

Acord de prelucrare a datelor (DPA) — Tosvi

Versiunea 1.0 · Data intrării în vigoare: 2026-06-20

Acest Acord de prelucrare a datelor („DPA") face parte din contractul dintre Studio și Tosvi privind utilizarea Serviciului și reflectă obligațiile părților conform articolului 28 GDPR și Legii Republicii Moldova nr. 133/2011.

Acceptare. Deoarece Serviciul este self-service, acest DPA este acceptat electronic de un reprezentant împuternicit al Studioului la onboarding (prin bifarea casetei de acceptare), ceea ce are același efect ca o semnătură. Tosvi înregistrează acceptarea (cont, utilizatorul care acceptă, versiunea documentului, limba și marcajul temporal) ca dovadă. O versiune cu semnătură olografă (mai jos) este disponibilă la cerere pentru studiourile care o solicită.

Detalii ale prelucrării pe scurt

RoluriStudioul = operator; Tosvi = împuternicit (subîmputernicit acolo unde Studioul este el însuși împuternicit pentru propriul operator)
Categorii de date personalePersonal: nume, e-mail, rol. Clienți: nume, telefon, e-mail, notițe; număr de înmatriculare, VIN, an, culoare; istoric oferte/lucrări; fotografii inspecții, semnătura clientului, notițe daune, nume/moment al aprobării. Widget (dacă e activat): nume + telefon din lead; IP-ul vizitatorului trunchiat și hashuit ireversibil (doar limitarea frecvenței)
Categorii de persoane vizateUtilizatorii-angajați ai Studioului; clienții Studioului; (dacă widget-ul e activat) vizitatorii site-ului care trimit formularul
Categorii speciale (art. 9)Niciuna intenționată. Studioul nu trebuie să introducă date din categorii speciale fără un acord scris separat
FrecvențăContinuă, pe durata utilizării Serviciului de către Studio
Natura prelucrăriiStocare, recuperare, afișare, rectificare, ștergere, export și generare de documente
ScopFurnizarea Serviciului conform instrucțiunilor Studioului
Perioadă de păstrareDurata Serviciului; ștergere sau returnare la cerere/închidere (vezi clauza 6.7)
SubîmputernicițiConform Anexei 1

1. Obiect și roluri

Studioul este operatorul datelor cu caracter personal pe care le introduce în Serviciu despre clienții și personalul său. Tosvi este împuternicitul și prelucrează aceste date exclusiv pentru a furniza Serviciul și doar conform instrucțiunilor documentate ale Studioului (acești termeni, configurarea Serviciului și orice instrucțiune scrisă ulterioară).

2. Durată

Acest DPA se aplică atât timp cât Tosvi prelucrează date cu caracter personal în numele Studioului, adică pe durata utilizării Serviciului de către Studio.

3. Natura și scopul prelucrării

Furnizarea unei platforme SaaS pentru gestionarea clienților, vehiculelor, ofertelor, programărilor, inspecțiilor auto înainte de lucrări, documentelor generate și (dacă e activat) a unui widget de calcul al prețurilor încorporabil și a capturării de lead-uri.

4. Tipuri de date cu caracter personal

  • Personalul Studioului: nume, e-mail, rol.
  • Clienții Studioului: nume, telefon, e-mail, notițe; număr de înmatriculare, VIN,

an, culoare; istoric oferte/lucrări; fotografii din inspecții, semnătura clientului, notițe despre daune, numele și momentul aprobării.

  • Widget (dacă e activat): numele și telefonul din lead-ul trimis; un IP al

vizitatorului trunchiat și hashuit ireversibil, folosit doar pentru limitarea frecvenței cererilor.

5. Categorii de persoane vizate

Utilizatorii-angajați ai Studioului; clienții Studioului; (dacă widget-ul e activat) vizitatorii site-ului Studioului care trimit formularul de contact.

6. Obligațiile împuternicitului

Tosvi se obligă să:

  1. Prelucreze numai conform instrucțiunilor documentate ale Studioului, inclusiv

pentru transferuri internaționale, cu excepția cazului în care legea o impune (caz în care Tosvi va informa Studioul, dacă legea nu interzice acest lucru).

  1. Confidențialitate — să se asigure că persoanele autorizate să prelucreze

datele sunt obligate la confidențialitate.

  1. Securitate — să implementeze măsuri tehnice și organizatorice adecvate

(Anexa 2), conform articolului 32 GDPR.

  1. Subîmputerniciți — să angajeze doar subîmputerniciții enumerați în Anexa 1; să

le impună obligații echivalente de protecție a datelor; să rămână răspunzător pentru activitatea lor; și să notifice Studioul cu cel puțin 30 de zile înainte de orice modificare intenționată, interval în care Studioul poate obiecta.

  1. Asiste Studioul — ținând cont de natura prelucrării, să ajute la

soluționarea cererilor persoanelor vizate (Serviciul oferă export și ștergere pe cont și pe client) și la obligațiile Studioului privind securitatea, notificarea încălcărilor și evaluările de impact asupra protecției datelor.

  1. Încălcarea datelor cu caracter personal — să notifice Studioul fără întârziere

nejustificată și, acolo unde este fezabil, în termen de 48 de ore de la luarea la cunoștință a unei încălcări a datelor Studioului, cu informațiile necesare Studioului pentru a-și îndeplini propriile obligații de notificare.

  1. Ștergere sau returnare — la alegerea Studioului, să șteargă sau să returneze

toate datele cu caracter personal la încetarea furnizării serviciilor și să șteargă copiile existente, cu excepția cazului în care legea impune păstrarea.

  1. Audituri — să pună la dispoziție informațiile necesare pentru a demonstra

conformitatea cu articolul 28. Acolo unde este necesar un audit la fața locului, acesta se desfășoară cu o notificare prealabilă rezonabilă, nu mai mult de o dată pe an (cu excepția cazurilor în care o autoritate sau o încălcare semnificativă impun altfel), în timpul programului de lucru, cu respectarea confidențialității și astfel încât să nu perturbe Serviciul; documentația furnizată de Tosvi este folosită pentru a satisface nevoile auditului oriunde este rezonabil posibil.

  1. Restricții — Tosvi nu va: (a) vinde datele cu caracter personal ale Studioului

sau le pune la dispoziția unui terț pentru o contraprestație; (b) le partaja pentru publicitate comportamentală cross-context; (c) le păstra, folosi sau divulga în alt scop decât furnizarea Serviciului ori în afara a ceea ce permite legea aplicabilă; (d) le folosi în afara relației comerciale directe cu Studioul; sau (e) le combina cu date cu caracter personal din alte surse, cu excepția cazului necesar pentru furnizarea Serviciului sau permis de legea aplicabilă.

7. Transferuri internaționale

Dacă Tosvi sau un subîmputernicit transferă date cu caracter personal în afara UE/SEE sau a Moldovei, transferul se face în temeiul Clauzelor contractuale standard (SCC) sau al unei garanții legale echivalente.

8. Obligațiile și declarațiile operatorului

Studioul garantează și declară că:

  1. are un temei legal pentru colectarea și prelucrarea datelor cu caracter personal

pe care le introduce și a furnizat persoanelor vizate informațiile de confidențialitate cerute de lege;

  1. instrucțiunile sale către Tosvi respectă legea aplicabilă;
  2. va transmite către Tosvi, fără întârziere nejustificată, orice cerere a unei

persoane vizate sau comunicare a unei autorități care necesită asistența Tosvi;

  1. este responsabil pentru a determina dacă GDPR se aplică prelucrării sale (de ex.

pentru că este stabilit în UE/SEE sau prelucrează date ale rezidenților UE/SEE) și pentru a informa Tosvi în aceste cazuri, astfel încât părțile să poată implementa măsurile suplimentare cerute de GDPR (inclusiv, unde este aplicabil, un reprezentant în UE conform articolului 27 GDPR).

9. Răspundere și lege aplicabilă

Răspunderea în temeiul acestui DPA este supusă limitărilor din Termeni și condiții. Acest DPA este guvernat de legile Republicii Moldova și, unde este aplicabil, de GDPR.

Anexa 1 — Subîmputerniciți

SubîmputernicitRolLocație / garanție de transfer
SupabaseBază de date, autentificare, stocare fișiereUE (Frankfurt, Germania)
Cloudflare, Inc.DNS, CDN, găzduire, rutare e-mail, protecție anti-bot TurnstileEntitate în SUA, rețea globală; SCC / DPF
MailerSend, Inc.Livrare de e-mailuri tranzacționaleCentre de date în UE; entitate în SUA; EU-U.S. Data Privacy Framework

Anexa 2 — Măsuri tehnice și organizatorice

  • Criptare în tranzit (TLS) și în repaus.
  • Izolarea chiriașilor la nivel de rând al bazei de date (RLS); un studio nu poate

accesa datele altuia.

  • Fișierele media ale inspecțiilor — în spațiu privat, accesibile doar prin linkuri

semnate de scurtă durată.

  • Întărirea autentificării: protecție anti-bot (Turnstile), verificarea parolelor

compromise, confirmarea e-mailului.

  • Validarea tuturor datelor primite; secretele sunt stocate doar ca variabile de

mediu, nu în codul sursă.

  • Jurnal de audit al acțiunilor (doar adăugare), fără date personale ale clienților.
  • Acces la producție restricționat la operator.
  • Notificarea operatorului despre încălcarea datelor fără întârziere nejustificată.

Semnături

Studioul acceptă acest DPA electronic în timpul onboardingului, fapt înregistrat ca dovadă (vezi „Acceptare” mai sus); o copie cu semnătură olografă este disponibilă la cerere la [email protected].