DPA · GDPR art. 28
← NDA
⤺ Portal
Anexă integrantă la Contractul de licențiere și servicii SaaS nr. [de completat].
1.1. Persoana împuternicită prelucrează Date personale în numele Operatorului exclusiv pentru furnizarea CIBINNO AI Platform și a serviciilor aferente, conform Contractului.
1.2. Durata prelucrării coincide cu durata Contractului. La încetare se aplică art. 10. 1.3. Detaliile sunt în Anexele I–III.
2.1. Prelucrarea se face numai pe baza instrucțiunilor documentate ale Operatorului (art. 28 (3)(a)). Contractul, prezentul DPA, Scoping-ul Aprobat și configurarea Platformei constituie astfel de instrucțiuni.
2.2. Persoana împuternicită informează Operatorul dacă o instrucțiune încalcă GDPR. 2.3. Nu prelucrează Datele în scopuri proprii. ⚠ Asistentul AI nu antrenează modele pe Datele Operatorului — clauză de non-antrenare impusă subîmputernicitului LLM (Anexa II).
3.1. Persoanele autorizate să prelucreze Datele s-au angajat la confidențialitate sau au obligație legală de confidențialitate (art. 28 (3)(b)).
4.1. Măsuri tehnice și organizatorice adecvate riscului (Anexa III): pseudonimizare/criptare, confidențialitate, integritate, disponibilitate, restaurare, testare periodică. 4.2. Pe infrastructura Microsoft Azure (subîmputernicit) + controalele Platformei (RBAC, jurnal de audit, izolare tenant).
5.1. Acces pe baza Rolurilor RBAC; jurnalul de audit înregistrează accesările și operațiunile, retenție ≥ 12 luni. 5.2. Monitorizarea servește securității (art. 32) și interesului legitim (art. 6 (1)(f)); nu este folosită în alte scopuri.
6.1. Operatorul autorizează general recurgerea la subîmputerniciți; Persoana împuternicită informează despre orice adăugare/înlocuire, cu termen de 14 zile pentru obiecții întemeiate. 6.3. Impune fiecărui subîmputernicit aceleași obligații (art. 28 (4)).
7.1. Transferul în afara SEE doar dacă: (a) decizie de adecvare (art. 45); (b) garanții adecvate (art. 46, în special SCC); (c) derogare (art. 49). 7.3. Dacă toți subîmputerniciții (inclusiv LLM) sunt în SEE, articolul nu se aplică.
8.1. Drepturile persoanelor vizate (art. 28 (3)(e)): asistență prin măsuri tehnice (export/ștergere din Platformă) la cererile de acces, rectificare, ștergere, restricționare, portabilitate, opoziție. 8.2. Sprijin la conformare (art. 32–36): securitate, notificarea breșelor, DPIA, consultarea autorității.
9.1. Notificare către Operator fără întârzieri nejustificate, dar nu mai târziu de 48 ore de la luarea la cunoștință (art. 33 (2)). 9.2. Cu natura, categoriile/numărul de persoane și înregistrări, consecințe și măsuri. 9.3. Cooperare la notificarea ANSPDCP și a persoanelor vizate.
10.1. La încetare, la alegerea Operatorului, Datele se returnează sau se șterg, cu excepția celor impuse de lege (art. 28 (3)(g)). 10.2. Export în format structurat în 15 zile; ștergere în 30 zile, inclusiv din backup conform ciclului de rotație.
11.1. Persoana împuternicită pune la dispoziție informațiile pentru a demonstra conformitatea (art. 28 (3)(h)) și permite audituri. 11.2. Cu preaviz rezonabil (15 zile), fără a afecta ceilalți tenanți; pot fi satisfăcute prin rapoarte/certificări (ex. Azure).
12.1. Răspunderea pe materia protecției datelor — art. 82 GDPR, corelată cu plafoanele din Contract. 13.1. În caz de conflict cu Contractul pe protecția datelor, prevalează DPA. 13.2. Lege aplicabilă: legea română și GDPR; semnătură electronică (eIDAS) acceptată.
Natura și scopul: furnizarea CIBINNO AI Platform (găzduire, integrare prin conectori la SAP / Sirius / Priceum, vizualizare/analiză, asistent AI, audit) pentru administrarea operațională a Bebe Tei. Durata: pe durata Contractului; jurnale de audit ≥ 12 luni.
Categorii de persoane vizate: Utilizatori Bebe Tei (buyeri, category manageri, personal magazine/depozit/online); reprezentanți/persoane de contact ale furnizorilor și ale clienților B2B; angajați ai Bebe Tei ale căror date apar în sisteme.
| Zonă / Modul | Categorii de date cu caracter personal |
|---|---|
| Command Center / Executive | În principal date agregate/KPI; eventual nume de utilizatori/buyeri în rapoarte |
| Smart Reorder / Cumpărări / Supplier Hub | Date de contact ale reprezentanților furnizorilor; identitatea buyerilor responsabili |
| Vânzări / Opportunity / Omnichannel | Identitatea agenților; date de contact ale clienților B2B; istoric comenzi (online/marketplace) |
| Logistică / Stoc | Identitatea operatorilor de depozit (cine a operat), marcaje temporale, transferuri |
| Performanță buyeri / HR | Nume, funcție, prezență/productivitate; [de completat: dacă se prelucrează date salariale/CNP/IBAN] — ⚠ a se evalua categorii sensibile (art. 9) |
| Financiar / Juridic | În principal date financiare ale firmei; nume în tranzacții/aprobări; date din dosare/registre |
| AI Studio / Asistent AI | Conținutul interogărilor (poate include incidental date personale); identitatea utilizatorului |
| Compliance Shield / Administrare | Conturi de utilizator (e-mail, identificator), adrese IP, jurnal de audit (cine/ce/când), configurări de acces |
| Subîmputernicit | Serviciu | Regiune | Transfer extra-SEE | Garanție |
|---|---|---|---|---|
| Microsoft (Azure) | Găzduire, infrastructură, backup | UE — West Europe / Sweden Central | Nu (regiune UE) | DPA Microsoft / SCC |
| [furnizor LLM] | Procesare interogări Asistent AI | [de preferat UE — Azure OpenAI] | Nu / Da | SCC + măsuri, dacă transfer |
| [e-mail / Graph, monitorizare] | [de completat] | [de completat] | [de completat] | [de completat] |
⚠ Pentru LLM în afara SEE: se atașează SCC + TIA și se confirmă clauza de non-antrenare (LLM-ul nu folosește datele pentru antrenarea modelelor).