ACORD DE PRELUCRARE A DATELOR
ORYNTECH SRL (Persoană Împuternicită) & Client (Operator) | Versiunea 1.0
IMPORTANT: Prezentul Acord de Prelucrare a Datelor („APD") guvernează prelucrarea datelor cu caracter personal de către ORYNTECH SRL (în calitate de persoană împuternicită de operator) în numele Clientului (în calitate de operator de date), în conformitate cu Regulamentul General privind Protecția Datelor (UE) 2016/679 („GDPR"), Legea română nr. 190/2018, Legea nr. 506/2004 privind confidențialitatea comunicațiilor electronice și Decizia de Punere în Aplicare a Comisiei (UE) 2021/914 (Clauze Contractuale Standard pentru transferuri către țări terțe). Clauzele Contractuale Standard sunt incorporate prin referință în prezentul APD acolo unde este aplicabil.
APD 1. DEFINIȚII ȘI INTERPRETARE
Termenii cu majusculă utilizați în prezentul APD și nedefiniti altfel au înțelesul atribuit lor în Termenii de Utilizare ai ORYNTECH SRL sau în GDPR. Termenii „Date cu Caracter Personal", „Persoană Vizată", „Prelucrare", „Operator", „Persoană Împuternicită", „Sub-persoană Împuternicită", „Încălcare a Securității Datelor cu Caracter Personal" și „Autoritate de Supraveghere" au înțelesul prevăzut în Art. 4 din GDPR.
„Prelucrare Specifică AI" înseamnă prelucrarea Datelor cu Caracter Personal prin algoritmi de învățare automată în scopuri de automatizare CRM, inclusiv, fără limitare, scorarea clienților potențiali, predicția comportamentală, generarea automatizată a comunicărilor, agenții AI conversaționali și agenții AI vocali.
„Instrucțiuni Documentate" înseamnă instrucțiunile Clientului adresate ORYNTECH SRL de a prelucra Date cu Caracter Personal, transmise prin: (i) prezentul APD și Termenii de Utilizare; (ii) alegerile de configurare efectuate de Client în cadrul Platformei (workflow-uri, automatizări, segmente de audiență); (iii) instrucțiuni scrise transmise prin e-mail, tichet de suport sau amendament semnat; sau (iv) instrucțiuni implicite în utilizarea standard a funcționalităților comandate în cadrul Planului de Abonament. Instrucțiunile verbale nu constituie Instrucțiuni Documentate.
APD 2. DOMENIU DE APLICARE, OBIECT ȘI DURATĂ
2.1 Obiect. ORYNTECH SRL va prelucra Datele cu Caracter Personal furnizate de Client exclusiv în scopul furnizării Serviciilor definite în Termenii de Utilizare și SLA. Nicio altă prelucrare nu este autorizată.
2.2 Durată. Prezentul APD rămâne în vigoare pe întreaga durată a Planului de Abonament activ plus perioada suplimentară necesară pentru ștergerea sau returnarea datelor, astfel cum este specificat în Secțiunea 11 a APD. Obligațiile de confidențialitate, securitate și responsabilizare supraviețuiesc rezilierii prezentului APD în conformitate cu Secțiunea 13.5 din Termenii de Utilizare.
APD 3. CATEGORII DE DATE ȘI PERSOANE VIZATE
3.1 Categorii de Persoane Vizate. Datele cu Caracter Personal prelucrate în temeiul prezentului APD pot privi: (i) proprii clienți și utilizatori finali ai Clientului; (ii) clienții potențiali, prospecții și solicitările de intrare ale Clientului; (iii) angajații și contractorii Clientului cu acces la Platformă; (iv) contactele și partenerii de afaceri ai Clientului. Acolo unde Clientul încarcă sau prelucrează Date cu Caracter Personal ale unor categorii suplimentare de Persoane Vizate, Clientul garantează că deține o bază juridică validă conform Art. 6 GDPR (și, acolo unde este aplicabil, Art. 9 GDPR) pentru a face acest lucru.
3.2 Categorii de Date cu Caracter Personal. ORYNTECH SRL prelucrează următoarele categorii de Date cu Caracter Personal în numele Clientului:
- Date de identificare: nume complet, adresă de e-mail, număr de telefon, adresă poștală;
- Date profesionale: denumirea societății, funcție, sector de activitate, rol;
- Istoricul interacțiunilor CRM: jurnale de apeluri, schimburi de e-mailuri, înregistrări SMS, transcrieri chatbot, înregistrări agenți vocali (acolo unde este activat), istoricul programărilor, modificările stadiului în pipeline;
- Date tehnice: adrese IP, identificatori de dispozitiv, tip browser, date de geolocalizare (acolo unde este aplicabil pentru workflow-urile specifice ale Clientului);
- Date de profilare generate de AI: scoruri ale clienților potențiali, categorii de interes, predicții comportamentale, clasificări de intenție generate de funcționalitățile de automatizare ale Platformei;
- Date de marketing: înregistrări de opt-in, înregistrări de dezabonare, preferințe de comunicare, metrici de angajament în campanii;
- Orice categorii suplimentare încărcate sau generate de Client în cadrul Platformei.
3.3 Categorii Speciale de Date cu Caracter Personal. Datele din categorii speciale în sensul Art. 9 GDPR (date privind sănătatea, date biometrice, origine rasială sau etnică, opinii politice, convingeri religioase, apartenența la sindicate, orientare sexuală) nu vor fi încărcate pe Platformă fără notificare prealabilă scrisă adresată ORYNTECH SRL și documentarea expresă de către Client a temeiului juridic conform Art. 9 alin. 2 din GDPR. Acolo unde Clientul activează în sectoare care pot implica date din categorii speciale (de ex. asistență medicală, servicii juridice), Clientul garantează că deține o Evaluare a Impactului asupra Protecției Datelor (DPIA) scrisă și consimțământul explicit al Persoanelor Vizate în cauză.
3.4 Operațiuni de Prelucrare. Operațiunile de prelucrare efectuate de ORYNTECH SRL în numele Clientului cuprind: colectarea, înregistrarea, stocarea, organizarea, structurarea, recuperarea, consultarea, utilizarea, divulgarea prin transmitere, alinierea sau combinarea, restricționarea, ștergerea și distrugerea — exclusiv în măsura necesară pentru livrarea Serviciilor.
APD 4. OBLIGAȚIILE OPERATORULUI (CLIENTULUI)
4.1 Temei Juridic. Clientul garantează că a identificat și documentat o bază juridică validă conform Art. 6 GDPR (și, acolo unde este aplicabil, Art. 9 GDPR) pentru colectarea, prelucrarea și transferul tuturor Datelor cu Caracter Personal către ORYNTECH SRL. Clientul este exclusiv responsabil pentru legalitatea tuturor acestor prelucrări.
4.2 Instrucțiuni Documentate. Clientul va furniza instrucțiuni de prelucrare clare, legale și documentate. ORYNTECH SRL va informa prompt Clientul dacă, în opinia sa, o instrucțiune încalcă GDPR sau alt drept aplicabil în domeniul protecției datelor și poate suspenda prelucrarea în așteptarea clarificării.
4.3 Notificări pentru Persoanele Vizate. Clientul este exclusiv responsabil pentru: (i) furnizarea de notificări adecvate de confidențialitate Persoanelor Vizate ale sale conform Art. 13–14 din GDPR; (ii) răspunsul la Cererile privind Drepturile Persoanelor Vizate în termenele statutare; (iii) menținerea înregistrărilor de consimțământ, opt-in și opt-out; (iv) asigurarea conformității depline cu toată legislația națională și europeană aplicabilă în domeniul protecției datelor.
4.4 Marketing și Comunicații. Clientul garantează că toate comunicările de marketing transmise prin Platformă respectă cerințele aplicabile de consimțământ conform GDPR, Directivei ePrivacy 2002/58/CE, Legii române nr. 506/2004 și (acolo unde este aplicabil destinatarilor din afara UE) legislației naționale corespunzătoare. Clientul menține și produce la cerere dovezi de opt-in pentru fiecare destinatar.
APD 5. OBLIGAȚIILE PERSOANEI ÎMPUTERNICITE (ORYNTECH SRL)
5.1 Limitarea Prelucrării. ORYNTECH SRL va prelucra Datele cu Caracter Personal numai pe baza Instrucțiunilor Documentate ale Clientului, cu excepția cazului în care este obligat să procedeze altfel prin dreptul Uniunii sau al statului membru aplicabil ORYNTECH SRL. Într-un astfel de caz, ORYNTECH SRL va informa Clientul despre acea cerință legală înainte de prelucrare, cu excepția cazului în care legea interzice o astfel de notificare din motive importante de interes public.
5.2 Confidențialitate. ORYNTECH SRL se asigură că toate persoanele autorizate să prelucreze Date cu Caracter Personal — inclusiv angajații, contractorii și alte persoane autorizate — s-au angajat la confidențialitate sau sunt supuse unor obligații legale adecvate de confidențialitate. Obligațiile de confidențialitate supraviețuiesc rezilierii relației de muncă sau a relației cu contractorul.
5.3 Măsuri Tehnice și Organizatorice (Art. 32 GDPR). ORYNTECH SRL implementează măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului, ținând cont de stadiul tehnicii, costurile de implementare, natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscurile de probabilitate și severitate variabile pentru drepturile și libertățile persoanelor fizice. Aceste măsuri, detaliate în Programul 1 al prezentului APD, includ, fără limitare:
- Criptarea Datelor cu Caracter Personal în tranzit utilizând protocoale TLS de standard industrial (TLS 1.2 sau mai recent);
- Criptarea la repaus a Datelor cu Caracter Personal, astfel cum este implementată de furnizorul infrastructurii Platformei pe infrastructura cloud;
- Pseudonimizarea identificatorilor acolo unde este tehnic fezabil;
- Autentificarea multi-factor (MFA) pentru tot accesul administrativ al personalului ORYNTECH SRL;
- Control al accesului bazat pe roluri, pe principiul necesității de a cunoaște, cu revizuire trimestrială a drepturilor de acces;
- Jurnalizarea auditului accesului la interfețele administrative și conturile Clienților;
- Revizuirea periodică a configurațiilor de securitate și aplicarea promptă a actualizărilor de securitate;
- Proceduri documentate de răspuns la incidente (a se vedea Secțiunea 8 din APD);
- Utilizarea de sub-procesatori care dețin certificări de securitate recunoscute (ISO 27001, SOC 2 sau echivalent) pentru infrastructura de bază;
- Instruire obligatorie privind securitatea și protecția datelor pentru personalul cu acces la Date cu Caracter Personal;
- Obligații contractuale de confidențialitate impuse tuturor sub-procesatorilor și personalului.
5.4 Evidența Prelucrărilor. ORYNTECH SRL menține o evidență a activităților de prelucrare conform Art. 30 alin. 2 din GDPR, disponibilă ANSPDCP și, la cerere rezonabilă și sub rezerva confidențialității, Clientului.
5.5 Cooperarea cu Autoritățile de Supraveghere. ORYNTECH SRL va coopera, la cerere, cu ANSPDCP și orice altă autoritate de supraveghere competentă în îndeplinirea atribuțiilor acestora.
APD 6. SUB-PERSOANE ÎMPUTERNICITE
6.1 Autorizare Generală. Clientul acordă prin prezenta autorizarea generală scrisă, în conformitate cu Art. 28 alin. 2 din GDPR, pentru ca ORYNTECH SRL să angajeze sub-persoanele împuternicite enumerate în Secțiunea 6.2 a APD de mai jos în scopul livrării Serviciilor. Orice adăugare sau înlocuire a unei sub-persoane împuternicite va urma procedura prevăzută în Secțiunea 6.3 din APD.
6.2 Sub-Persoane Împuternicite Autorizate la Data Intrării în Vigoare
La Data intrării în vigoare a prezentului APD, ORYNTECH SRL angajează următoarele sub-persoane împuternicite în livrarea Serviciilor:
| Sub-persoană Împuternicită | Serviciu Furnizat | Locul Prelucrării | Garanții de Transfer |
|---|---|---|---|
| HighLevel Inc. | Infrastructură CRM și automatizare white-label (CRM, workflow-uri, agenți AI, comunicații, găzduire a Conținutului Clientului în Platformă) | Statele Unite | Clauze Contractuale Standard (Modulul 3) + APD între ORYNTECH SRL și HighLevel Inc. |
| Stripe, Inc. | Procesarea plăților pentru Taxele de Abonament și facturarea Taxelor de Utilizare (nu accesează Conținutul Clientului din Platformă) | Statele Unite (date UE stocate în SEE acolo unde este aplicabil) | Cadrul de Confidențialitate a Datelor UE-SUA |
| OpenAI, LLC | API model de limbaj de mari dimensiuni pentru funcționalitățile AI conversaționale (când este activat și direcționat prin HighLevel) | Statele Unite | Clauze Contractuale Standard + configurație de Retenție Zero a Datelor acolo unde este suportată |
| Twilio Inc. | Infrastructură de livrare SMS și telefonie vocală (utilizată de HighLevel) | Statele Unite / SEE | Clauze Contractuale Standard |
| Google LLC (Workspace) | E-mail intern, calendar și stocare documente pentru operațiunile ORYNTECH SRL (nu accesează Conținutul Clientului din Platformă) | Statele Unite / SEE | Cadrul de Confidențialitate a Datelor UE-SUA |
| Vercel Inc. | Găzduirea site-ului public de marketing al ORYNTECH SRL | Statele Unite / SEE | Clauze Contractuale Standard + Cadrul de Confidențialitate a Datelor UE-SUA |
Notă privind rolul HighLevel Inc. Platforma livrată Clientului este construită pe infrastructura furnizată de HighLevel Inc. în baza unui aranjament white-label. HighLevel Inc. poate angaja sub-sub-persoane împuternicite (inclusiv furnizori de găzduire, furnizori AI și furnizori de comunicații) pentru a-și livra infrastructura de bază. Informații actualizate privind sub-persoanele împuternicite ale HighLevel sunt disponibile de la ORYNTECH SRL la cerere scrisă la oryntechai@gmail.com. Prin semnarea prezentului APD, Clientul furnizează autorizarea generală conform Art. 28 alin. 2 din GDPR pentru angajarea HighLevel Inc. și a sub-sub-persoanelor sale împuternicite, astfel cum este necesar pentru livrarea Serviciilor.
6.3 Notificarea Modificărilor și Dreptul de Opoziție
ORYNTECH SRL va informa Clientul cu privire la orice adăugare sau înlocuire intenționată a unei sub-persoane împuternicite cu cel puțin cincisprezece (15) zile calendaristice în avans, în scris prin e-mail la Adresa de E-mail a Contactului Principal din evidențe. Notificarea va include identitatea noii sub-persoane împuternicite, locul său de prelucrare, serviciile pe care le va presta și garanțiile de transfer care se vor aplica.
Clientul poate contesta propunerea de modificare a sub-persoanei împuternicite în termen de zece (10) zile calendaristice de la notificare, prin depunerea unei obiecții scrise și motivate pe temeiuri legitime de protecție a datelor la oryntechai@gmail.com. Părțile vor purta discuții de bună-credință pentru a identifica o soluție acceptabilă reciproc. Dacă nu se ajunge la nicio rezoluție în termen de alte cincisprezece (15) zile calendaristice, Clientul poate rezilia Serviciile afectate în ceea ce privește prelucrarea în cauză, cu efect la finalul ciclului de facturare lunar curent, fără obligație de plată ulterioară în ceea ce privește acea prelucrare. Pentru Clienții cu Plan Dominate, aceasta constituie mecanismul exclusiv de ieșire în legătură cu modificările sub-persoanei împuternicite și nu se extinde la alte Servicii, cu excepția cazului în care noua sub-persoană împuternicită este esențială pentru întreaga Platformă.
6.4 Răspundere și Obligații Echivalente
ORYNTECH SRL va impune fiecărei sub-persoane împuternicite obligații de protecție a datelor cel puțin la fel de protective ca cele impuse ORYNTECH SRL în temeiul prezentului APD, prin intermediul unui contract scris sau alt instrument juridic obligatoriu. ORYNTECH SRL rămâne pe deplin răspunzătoare față de Client pentru îndeplinirea obligațiilor fiecărei sub-persoane împuternicite în temeiul unor astfel de contracte.
APD 7. DREPTURILE PERSOANELOR VIZATE
7.1 Asistență acordată Operatorului. Ținând cont de natura prelucrării, ORYNTECH SRL va asista Clientul prin măsuri tehnice și organizatorice adecvate, în măsura posibilului, în îndeplinirea obligației Clientului de a răspunde la Cererile privind Drepturile Persoanelor Vizate conform Articolelor 15–22 din GDPR (acces, rectificare, ștergere, restricționare, portabilitate, opoziție, luare automată de decizii). O astfel de asistență poate include furnizarea de funcționalități de export al datelor prin Platformă, funcționalități de ștergere și acces la înregistrări privind anumite Persoane Vizate.
7.2 Cereri Directe Primite de ORYNTECH SRL. Orice Cerere privind Drepturile Persoanelor Vizate primită direct de ORYNTECH SRL în ceea ce privește Datele cu Caracter Personal prelucrate în numele Clientului va fi confirmată, dar nu i se va răspunde în fond de ORYNTECH SRL. ORYNTECH SRL va transmite cererea Clientului în termen de patruzeci și opt (48) de ore de la primire, cu informații suficiente pentru a permite Clientului (în calitate de Operator) să răspundă. Clientul rămâne singura parte responsabilă pentru furnizarea unui răspuns în fond Persoanei Vizate.
7.3 Costurile Cooperării. ORYNTECH SRL furnizează asistență rezonabilă în temeiul acestei Secțiuni fără costuri suplimentare. Acolo unde asistența necesită efort tehnic semnificativ dincolo de funcționalitățile standard ale Platformei (de ex. extragere personalizată de date, revizuire manuală a unor seturi mari de date), ORYNTECH SRL poate percepe o taxă rezonabilă la rata sa standard de servicii profesionale, cu ofertă scrisă prealabilă transmisă Clientului.
APD 8. NOTIFICAREA ÎNCĂLCĂRILOR SECURITĂȚII DATELOR CU CARACTER PERSONAL
8.1 Termenul de Notificare. ORYNTECH SRL va notifica Clientul cu privire la orice Încălcare a Securității Datelor cu Caracter Personal care afectează datele Clientului fără întârziere nejustificată și în orice caz în termen de șaptezeci și două (72) de ore de la constatarea încălcării, astfel cum este cerut de Art. 33 din GDPR și aliniat cu Secțiunea 4.3 din SLA și Secțiunea 10 din Politica de Confidențialitate.
8.2 Conținutul Notificării. Notificarea va include, în măsura în care este atunci cunoscut și pe măsură ce devine disponibil:
- Natura Încălcării Securității Datelor cu Caracter Personal, inclusiv, acolo unde este posibil, categoriile și numărul aproximativ al Persoanelor Vizate afectate și categoriile și numărul aproximativ al înregistrărilor în cauză;
- Numele și datele de contact ale punctului de contact al ORYNTECH SRL de unde pot fi obținute mai multe informații;
- Consecințele probabile ale Încălcării Securității Datelor cu Caracter Personal;
- Măsurile luate sau propuse pentru a aborda Încălcarea Securității Datelor cu Caracter Personal, inclusiv, acolo unde este cazul, măsuri de atenuare a posibilelor efecte adverse ale acesteia.
8.3 Cooperarea cu Operatorul. ORYNTECH SRL va coopera pe deplin cu Clientul în îndeplinirea propriilor obligații de notificare ale Clientului față de ANSPDCP conform Art. 33 din GDPR (în termen de 72 de ore acolo unde este necesar) și față de Persoanele Vizate afectate conform Art. 34 din GDPR (fără întârziere nejustificată acolo unde încălcarea este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice). Clientul rămâne responsabil pentru a determina dacă încălcarea declanșează obligații de notificare și pentru executarea acestor obligații față de autoritatea de supraveghere și Persoanele Vizate.
8.4 Evidența Încălcărilor. ORYNTECH SRL menține evidențe interne ale tuturor Încălcărilor Securității Datelor cu Caracter Personal, inclusiv faptele, efectele și măsurile de remediere ale acestora, în conformitate cu Art. 33 alin. 5 din GDPR. Aceste evidențe sunt puse la dispoziția Clientului la cerere scrisă.
APD 9. TRANSFERURI INTERNAȚIONALE DE DATE
9.1 Transparență privind Localizarea. Clientul recunoaște și acceptă că infrastructura Platformei pe care sunt prelucrate Datele cu Caracter Personal ale Clientului este operată de HighLevel Inc., o sub-persoană împuternicită situată în Statele Unite. Ca urmare, Datele cu Caracter Personal încărcate de Client pe Platformă sunt transferate și prelucrate în Statele Unite. ORYNTECH SRL angajează de asemenea sub-persoane împuternicite suplimentare situate în țări terțe (Statele Unite, în principal) astfel cum este prevăzut în Secțiunea 6.2 a APD.
9.2 Mecanisme de Transfer. Toate transferurile de Date cu Caracter Personal în afara Spațiului Economic European sunt efectuate în conformitate cu Capitolul V din GDPR, utilizând unul sau mai multe dintre mecanismele următoare, astfel cum este prevăzut în tabelul din Secțiunea 6.2 a APD:
- Decizii de adecvare adoptate de Comisia Europeană, inclusiv Cadrul de Confidențialitate a Datelor UE-SUA acolo unde destinatarul este certificat;
- Clauze Contractuale Standard (Modulele 2, 3 sau 4 după cum este aplicabil) adoptate prin Decizia de Punere în Aplicare a Comisiei (UE) 2021/914, incorporate prin referință în prezentul APD acolo unde este aplicabil;
- Reguli Corporatiste Obligatorii, acolo unde este aplicabil;
- Alte garanții permise conform Art. 46 din GDPR.
9.3 Evaluarea Impactului Transferului. Acolo unde este cerut de jurisprudența Schrems II a Curții de Justiție a Uniunii Europene și de Recomandările EDPB 01/2020, ORYNTECH SRL a efectuat Evaluări ale Impactului Transferului (EIT) pentru transferurile de Date cu Caracter Personal către Statele Unite și alte țări terțe, ținând cont de contextul juridic al țării de destinație, măsuri tehnice suplimentare (criptare în tranzit, controale de acces), măsuri contractuale suplimentare (garanții suplimentare din partea sub-persoanelor împuternicite) și măsuri organizatorice suplimentare (politici de minimizare a datelor). Un rezumat al EIT este disponibil Clientului la cerere scrisă rezonabilă.
9.4 Documentație. La cerere scrisă, ORYNTECH SRL va furniza Clientului copii ale documentației aplicabile privind mecanismul de transfer, inclusiv Clauze Contractuale Standard semnate și certificări ale Cadrului de Confidențialitate a Datelor, sub rezerva redactărilor de confidențialitate acolo unde este cazul.
APD 10. AUDIT ȘI INSPECȚIE
10.1 Dreptul la Informații. ORYNTECH SRL va pune la dispoziția Clientului toate informațiile rezonabil necesare pentru a demonstra conformitatea cu prezentul APD și Art. 28 din GDPR. Astfel de informații pot include politici de securitate, acorduri cu sub-persoanele împuternicite (sub rezerva confidențialității), rapoarte recente de audit terță parte (de ex. rapoarte ISO 27001, SOC 2 ale sub-persoanelor împuternicite), jurnale de incidente și Evidența Activităților de Prelucrare conform Art. 30 alin. 2 din GDPR.
10.2 Drepturi de Audit — La Distanță și Documentary. Clientul poate, nu mai mult de o dată pe an calendaristic (și mai frecvent numai acolo unde este cerut de o Autoritate de Supraveghere sau ca urmare a unei Încălcări Confirmate a Securității Datelor cu Caracter Personal atribuibile ORYNTECH SRL), să efectueze un audit al conformității ORYNTECH SRL cu prezentul APD. Auditurile vor fi efectuate pe baza examinării documentare și la distanță, inclusiv revizuirea politicilor, procedurilor, răspunsurilor scrise la chestionare și rapoartelor aplicabile de audit terță parte ale sub-persoanelor împuternicite. ORYNTECH SRL va răspunde la întrebările rezonabile de audit în scris în termen de 20 de zile lucrătoare de la primire.
10.3 Audit la Fața Locului — Restricționat. Inspecțiile fizice la fața locului ale sediilor ORYNTECH SRL nu sunt permise în mod implicit, având în vedere structura operațională de echipă mică a ORYNTECH SRL și faptul că infrastructura de bază de prelucrare este operată de sub-persoane împuternicite care sunt ele însele supuse certificărilor de audit terță parte recunoscute. Inspecțiile fizice la fața locului pot fi permise în mod excepțional acolo unde: (i) sunt cerute printr-o decizie obligatorie a unei Autorități de Supraveghere; (ii) ca urmare a unei Încălcări Confirmate a Securității Datelor cu Caracter Personal cu impact material asupra Clientului; sau (iii) acolo unde Clientul demonstrează că auditul la distanță și documentary este insuficient pentru a aborda o preocupare specifică de conformitate. În astfel de cazuri excepționale, Clientul va furniza cel puțin 30 de zile calendaristice notificare scrisă prealabilă, va efectua inspecția în timpul programului normal de lucru și va minimiza perturbarea operațiunilor ORYNTECH SRL.
10.4 Costurile Auditului. Clientul suportă costul oricărui auditor terț pe care îl angajează și orice cost rezonabil suportat de ORYNTECH SRL în sprijinirea unui audit dincolo de răspunsul la chestionarul anual standard (de ex. dacă este necesară o inspecție la fața locului). Acolo unde auditul relevă neconformitate materială atribuibilă ORYNTECH SRL, aceasta va suporta toate costurile rezonabile de audit și va remedia fără întârziere.
APD 11. REZILIEREA ȘI ȘTERGEREA DATELOR
11.1 Returnarea sau Ștergerea la Reziliere. La rezilierea Planului de Abonament din orice motiv, ORYNTECH SRL va, la alegerea scrisă a Clientului exprimată în termen de 30 de zile calendaristice de la data efectivă a rezilierii:
- (a) șterge toate Datele cu Caracter Personal și confirma ștergerea în scris în termen de 30 de zile calendaristice de la data instrucțiunii Clientului; sau
- (b) returna toate Datele cu Caracter Personal Clientului într-un format uzual și prelucrabil automat (CSV, JSON sau echivalent) în termen de 30 de zile calendaristice de la data instrucțiunii Clientului, după care toate copiile vor fi șterse.
11.2 Opțiune Implicită. Acolo unde Clientul nu furnizează o alegere în fereastra de 30 de zile, ORYNTECH SRL va proceda cu ștergerea tuturor Datelor cu Caracter Personal în termen de alte 30 de zile calendaristice, sub rezerva Secțiunii 11.3 din APD.
11.3 Retenție Obligatorie. ORYNTECH SRL poate reține Date cu Caracter Personal numai în măsura și pentru perioada cerute de dreptul UE sau român aplicabil (de ex. în scopuri contabile conform Legii nr. 82/1991), caz în care datele reținute vor rămâne supuse obligațiilor de confidențialitate și securitate din prezentul APD.
APD 12. TRANSPARENȚĂ AI ȘI REGULAMENTUL AI UE
12.1 Logica Deciziilor Automatizate. La cerere scrisă, ORYNTECH SRL va furniza Clientului documentație de nivel înalt privind logica implicată în funcționalitățile de luare automată a deciziilor ale Platformei (de ex. scorarea clienților potențiali, predicția comportamentală), în măsura în care se află sub controlul ORYNTECH SRL, pentru a permite Clientului să își îndeplinească obligațiile de transparență conform Art. 22 din GDPR față de Persoanele Vizate.
12.2 Roluri conform Regulamentului AI. În temeiul Regulamentului (UE) 2024/1689 (Regulamentul AI), ORYNTECH SRL acționează ca „furnizor" al sistemelor AI integrate în Platformă, în timp ce Clientul acționează ca „operator". Responsabilitățile detaliate în cadrul fiecărui rol sunt prevăzute în Secțiunea 3 din Disclaimerul privind Câștigurile (v1.0).
12.3 Limitele Testării Bias-ului AI. Clientul recunoaște că funcționalitățile AI integrate în Platformă se bazează pe modele AI terțe (inclusiv cele furnizate de sub-persoanele împuternicite enumerate în Secțiunea 6.2 din APD). ORYNTECH SRL aplică monitorizare rezonabilă a rezultatelor AI în contextul funcționalităților standard ale Platformei, dar nu este în măsură să efectueze testarea aprofundată a bias-ului pe modelele de fundație terțe. Clientul, în calitate de operator al sistemelor AI pentru utilizări specifice de afaceri, este responsabil pentru monitorizarea rezultatelor AI în contextul specific de implementare al Clientului, în conformitate cu obligațiile Art. 26 din Regulamentul AI aplicabile operatorilor.
12.4 Fără Instruire AI pe Conținutul Clientului. În concordanță cu Secțiunea 6.4 din Termenii de Utilizare și Secțiunea 5 din Politica de Confidențialitate, ORYNTECH SRL nu utilizează și nu permite sub-persoanelor sale împuternicite să utilizeze Datele cu Caracter Personal ale Clientului sau Conținutul Clientului pentru a antrena, reantrena sau rafina modele AI, fără consimțământul prealabil, explicit și scris al Clientului.
APD 13. RĂSPUNDERE, LEGISLAȚIE APLICABILĂ ȘI JURISDICȚIE
13.1 Răspunderea în temeiul prezentului APD. Răspunderea fiecărei părți în temeiul prezentului APD este guvernată de și supusă limitărilor prevăzute în Secțiunea 10.3 din Termenii de Utilizare, cu excepția: (i) răspunderii care nu poate fi exclusă în temeiul dreptului obligatoriu aplicabil; (ii) răspunderii care decurge din încălcarea de către fiecare parte a obligațiilor GDPR care i se aplică direct; și (iii) răspunderii pentru care Art. 82 din GDPR prevede recurs direct al Persoanelor Vizate.
13.2 Legislație Aplicabilă. Prezentul APD este guvernat de legile României și de dreptul aplicabil al Uniunii Europene, în conformitate cu Secțiunea 15.1 din Termenii de Utilizare.
13.3 Jurisdicție. Disputele care decurg din sau în legătură cu prezentul APD între ORYNTECH SRL și Clienții Profesioniști sunt supuse jurisdicției exclusive a instanțelor Municipiului Craiova, Județul Dolj, România, în conformitate cu Secțiunea 15.2 din Termenii de Utilizare, sub rezerva drepturilor imperative ale Consumatorilor conform Secțiunii 15.4 din Termenii de Utilizare.
PROGRAMUL 1 — MĂSURI TEHNICE ȘI ORGANIZATORICE (MTO)
Prezentul Program prevede măsurile tehnice și organizatorice implementate de ORYNTECH SRL în temeiul Secțiunii 5.3 a APD pentru a asigura securitatea prelucrării în conformitate cu Art. 32 din GDPR.
S1.1 Controlul Accesului și Autentificarea
- Autentificare multi-factor (MFA) obligatorie pentru tot accesul administrativ la Platformă și la sistemele interne ale ORYNTECH SRL care conțin Date cu Caracter Personal ale Clienților;
- Control al accesului bazat pe roluri (RBAC) pe principiul necesității de a cunoaște;
- Revizuire trimestrială a drepturilor de acces, cu revocare imediată la schimbarea rolului sau la încetarea relației de muncă sau a relației cu contractorul;
- Cerințe de parole puternice și politici de rotație aliniate cu orientările actuale NIST SP 800-63B.
S1.2 Criptarea
- Criptarea în tranzit utilizând TLS 1.2 sau mai recent pentru toate conexiunile la Platformă;
- Criptarea la repaus astfel cum este implementată de furnizorul infrastructurii Platformei (HighLevel Inc.) pe infrastructura sa cloud de bază;
- Pseudonimizarea identificatorilor acolo unde este tehnic fezabil și compatibil cu scopul prelucrării.
S1.3 Jurnalizare și Monitorizare
- Jurnalizarea auditului accesului la interfețele administrative și conturile Clienților acolo unde este suportat de furnizorul infrastructurii Platformei;
- Revizuire periodică a evenimentelor de securitate și anomaliilor;
- Proceduri de răspuns la incidente documentate și exercitate periodic.
S1.4 Securitatea Sub-Persoanelor Împuternicite
- Utilizarea de sub-persoane împuternicite care dețin certificări de securitate terță parte recunoscute (ISO 27001, SOC 2 Tip II sau echivalent) pentru infrastructura de bază;
- Obligație contractuală pentru fiecare sub-persoană împuternicită de a implementa măsuri tehnice și organizatorice adecvate în conformitate cu prezentul APD;
- Revizuire periodică a posturii de securitate a sub-persoanelor împuternicite pe baza certificărilor și rapoartelor de audit disponibile public.
S1.5 Securitatea Personalului
- Obligații de confidențialitate impuse tuturor angajaților și contractorilor cu acces la Date cu Caracter Personal;
- Instruire obligatorie privind protecția datelor și conștientizarea securității pentru personalul cu acces la Date cu Caracter Personal;
- Verificări de antecedente ale personalului acolo unde este adecvat pentru rol și conform dreptului muncii aplicabil.
S1.6 Reziliență și Recuperare
- Utilizarea capabilităților de backup, recuperare în caz de dezastru și continuitate a activității ale furnizorului infrastructurii Platformei;
- Testare periodică a procedurilor de restaurare de către furnizorul infrastructurii Platformei;
- Plan documentat de răspuns la incidente pentru personalul ORYNTECH SRL.
EXECUTAREA APD
Prezentul Acord de Prelucrare a Datelor este obligatoriu pentru ambele părți de la Data intrării în vigoare.
ACCEPTAT DE CLIENT (Operator):
| Câmp | Detalii |
|---|---|
| Nume Complet | _________________________ |
| Funcție / Poziție | _________________________ |
| Denumirea Societății | _________________________ |
| Data | _________________________ |
| Semnătură Electronică (sau olografă) | _________________________ |
ACCEPTAT DE ORYNTECH SRL (Persoană Împuternicită):
| Câmp | Detalii |
|---|---|
| Nume Complet | Andrei Butarita |
| Funcție / Poziție | Administrator |
| Data | 6 July 2026 |
| Semnătură Electronică (sau olografă) | ![]() |
© 2026 ORYNTECH SRL | Toate drepturile rezervate | CONFIDENȚIAL — A NU SE DISTRIBUI
