Acord de Prelucrare a Datelor (DPA)

Ultima actualizare: 08.04.2026

Prezentul Acord de Prelucrare a Datelor ("Acordul" sau "DPA") reprezinta anexa la Termenii si conditiile platformei FGO si reglementeaza prelucrarea datelor cu caracter personal efectuata de S.C. i-Tom Solutions S.R.L. in numele utilizatorului platformei FGO, in conformitate cu art. 28 din Regulamentul (UE) 2016/679 (GDPR).

Prezentul DPA intra in vigoare la data crearii contului FGO de catre Operator si face parte integranta din raportul contractual dintre parti.

Prezentul Acord de Prelucrare a Datelor este incheiat intre:

Operatorul: Utilizatorul FGO - persoana juridica sau persoana fizica care desfasoara activitate economica si care, prin crearea unui cont pe platforma FGO, introduce si gestioneaza date cu caracter personal ale clientilor, angajatilor sau altor persoane vizate prin intermediul platformei.

Persoana imputernicita: S.C. i-Tom Solutions S.R.L., cu sediul social in Strada Popa Soare nr. 69, sector 2, Bucuresti, inregistrata la Registrul Comertului sub nr. J40/3342/2006, CUI RO18430442, inregistrata in Registrul de Evidenta a Prelucrarilor de Date cu Caracter Personal sub nr. 10843, in calitate de furnizor al platformei FGO ("Furnizorul").

Termenii cu majuscula utilizati in prezentul DPA au sensul definit in Termenii si conditiile FGO (Cap. II - Definitii), cu urmatoarele completari:

• "Date personale" inseamna orice informatii referitoare la o persoana fizica identificata sau identificabila, introduse de Operator in platforma FGO.
• "Prelucrare" inseamna orice operatiune efectuata asupra datelor personale, cum ar fi stocarea, organizarea, consultarea, transmiterea sau stergerea.
• "Persoane vizate" inseamna persoanele fizice ale caror date sunt introduse de Operator in platforma FGO, inclusiv clienti persoane fizice, angajati si alte categorii similare.
• "Incident de securitate" inseamna orice incalcare a securitatii care duce la distrugerea, pierderea, modificarea accidentala sau ilegala, divulgarea neautorizata sau accesul neautorizat la datele personale prelucrate.

2.1. Obiectul prezentului DPA il constituie stabilirea obligatiilor partilor in legatura cu prelucrarea datelor personale de catre Furnizor in numele Operatorului, in conformitate cu art. 28 din Regulamentul (UE) 2016/679 (GDPR).

2.2. Furnizorul prelucreaza datele personale exclusiv in scopul furnizarii serviciilor platformei FGO catre Operator, conform Termenilor si conditiilor.

2.3. Durata prelucrarii coincide cu durata utilizarii platformei FGO de catre Operator, cu exceptia obligatiilor legale de retentie prevazute la art. 8 din prezentul DPA.

3.1. Natura prelucrarii include stocarea, organizarea, structurarea, consultarea, utilizarea, transmiterea catre ANAF/SPV sau catre sub-procesatori autorizati, precum si stergerea datelor.

3.2. Scopurile prelucrarii sunt urmatoarele:

• emiterea, gestionarea si transmiterea facturilor si documentelor comerciale;
• raportarea e-Factura catre ANAF/SPV;
• evidenta clientilor si angajatilor Operatorului;
• gestionarea pontajului si condicii de prezenta;
• transmiterea de comunicari prin email sau WhatsApp Business, la instructiunea Operatorului;
• procesarea platilor online si recurente prin procesatorii de plati integrati in FGO, la alegerea si configurarea Operatorului;
• sincronizarea datelor cu sistemele integrate de Operator, inclusiv SAGA, integrari bancare si marketplace-uri;
• procesarea documentelor prin OCR (AWS Textract), la instructiunea Operatorului.

4.1. Categoriile de persoane vizate includ clientii persoane fizice ai Operatorului si angajatii Operatorului.

4.2. Categoriile de date personale prelucrate includ:

• date de identificare: nume, prenume, CNP, NIF;
• date de contact: adresa, email, numar de telefon;
• date financiare: IBAN, referinte tranzactii, sume facturi;
• date profesionale: functie, date contract de munca, ore lucrate, prezenta;
• date de comunicare: continut emailuri si mesaje WhatsApp transmise prin platforma la instructiunea Operatorului.

4.3. Operatorul este singurul responsabil pentru legalitatea colectarii datelor personale introduse in FGO, pentru obtinerea temeiului legal adecvat pentru fiecare prelucrare, pentru informarea persoanelor vizate conform art. 13-14 GDPR si pentru colectarea CNP-ului doar atunci cand exista temei legal.

Furnizorul se obliga:

• sa prelucreze datele personale numai pe baza instructiunilor documentate ale Operatorului, astfel cum rezulta din prezentul DPA, Termenii si conditiile FGO si actiunile Operatorului in platforma;
• sa asigure ca persoanele autorizate sa prelucreze datele personale respecta obligatii de confidentialitate;
• sa implementeze masurile tehnice si organizatorice prevazute la art. 7;
• sa respecte conditiile privind sub-procesatorii prevazute la art. 6;
• sa asiste Operatorul, prin masuri tehnice si organizatorice adecvate, pentru solutionarea cererilor persoanelor vizate conform art. 15-22 GDPR;
• sa notifice Operatorul in termen de 5 zile lucratoare daca primeste direct o cerere din partea unei persoane vizate referitoare la datele introduse de Operator;
• sa asiste Operatorul in indeplinirea obligatiilor prevazute la art. 32-36 GDPR, tinand seama de natura prelucrarii si de informatiile disponibile Furnizorului;
• sa stearga sau sa returneze datele personale la incetarea raportului contractual, conform optiunii Operatorului si cu respectarea obligatiilor legale de retentie;
• sa puna la dispozitia Operatorului informatiile necesare pentru a demonstra respectarea obligatiilor din art. 28 GDPR si sa permita audituri in conditiile art. 9;
• sa informeze imediat Operatorul daca, in opinia sa, o instructiune incalca GDPR sau alte prevederi legale privind protectia datelor.

6.1. Operatorul autorizeaza Furnizorul sa utilizeze urmatorii sub-procesatori pentru furnizarea serviciilor FGO:

Meta/WhatsApp nu presupune un DPA separat in afara termenilor de prelucrare incorporati in WhatsApp Business Platform Terms of Service, acceptati la activarea integrarii. Orice transfer UE/SUA se realizeaza in baza mecanismelor legale aplicabile, inclusiv EU-US Data Privacy Framework, dupa caz.

6.2. Furnizorul va informa Operatorul cu cel putin 30 de zile inainte de adaugarea sau inlocuirea unui sub-procesator, prin publicarea listei actualizate pe pagina www.fgo.ro/termeni/sub-procesatori si prin notificare in platforma FGO.

6.3. Operatorul poate obiecta la adaugarea unui nou sub-procesator in termen de 15 zile de la notificare. In cazul unei obiectii justificate, partile vor incerca sa gaseasca o solutie, iar daca nu se ajunge la un acord, Operatorul poate rezilia contractul fara penalitati.

6.4. Furnizorul impune fiecarui sub-procesator, prin contract sau prin termenii contractuali aplicabili, cel putin aceleasi obligatii de protectie a datelor prevazute in prezentul DPA.

6.5. Sub-procesatorii activati optional sunt angajati doar atunci cand Operatorul activeaza voluntar integrarea respectiva din setarile FGO, iar aceasta activare constituie instructiunea documentata a Operatorului.

7.1. Furnizorul implementeaza urmatoarele masuri de securitate pentru protectia datelor personale prelucrate:

• criptare in tranzit prin TLS 1.2+;
• criptare in repaus pe infrastructura AWS, inclusiv criptare la nivel de stocare;
• control al accesului bazat pe parola si autentificare multi-factor, disponibila pentru toate conturile;
• izolare logica a datelor fiecarui Operator;
• backup-uri periodice, criptate, stocate in aceeasi regiune AWS (Frankfurt);
• monitorizare si detectie amenintari prin servicii AWS, inclusiv GuardDuty;
• masuri de securitate la nivel de aplicatie, inclusiv protectie CSRF, parametrizare query-uri SQL si validare input;
• clauze de confidentialitate semnate de angajatii i-Tom Solutions cu acces autorizat.

7.2. Furnizorul revizuieste periodic masurile de securitate si le actualizeaza in functie de evolutia riscurilor si a tehnologiei.

8.1. La incetarea utilizarii platformei FGO de catre Operator, Furnizorul va pastra datele Operatorului in platforma timp de 30 de zile de la incetare, pentru a permite exportul datelor, iar dupa expirarea acestei perioade va sterge datele personale din sistemele active, cu exceptia situatiilor prevazute la art. 8.2.

8.2. Furnizorul poate retine date dupa incetare daca legislatia aplicabila impune acest lucru, inclusiv pentru facturi si documente fiscale pastrate minimum 5 ani conform legislatiei fiscale, precum si pentru loguri de acces si securitate, in masura ceruta de lege.

8.3. Operatorul poate solicita exportul datelor intr-un format structurat, cum ar fi CSV sau JSON, inainte de incetare sau in perioada de gratie de 30 de zile.

9.1. Furnizorul pune la dispozitia Operatorului, la cerere, informatiile necesare pentru a demonstra conformitatea cu prezentul DPA.

9.2. Operatorul sau un auditor mandatat de acesta poate efectua audituri privind conformitatea Furnizorului cu prezentul DPA, cu notificare prealabila de cel putin 30 de zile, in timpul programului normal de lucru, cu respectarea obligatiilor de confidentialitate si fara afectarea securitatii platformei sau a datelor altor Operatori. Costurile auditului sunt suportate de Operator.

9.3. Furnizorul poate pune la dispozitie rapoarte de audit sau certificari existente ca alternativa la un audit on-site, in masura in care acestea acopera obiectul verificarii solicitate.

10.1. Furnizorul notifica Operatorul fara intarziere nejustificata si, in orice caz, in cel mult 48 de ore de la momentul la care ia cunostinta de un incident de securitate care afecteaza datele personale ale Operatorului.

10.2. Notificarea va include cel putin descrierea naturii incidentului, categoriile si numarul aproximativ de persoane vizate afectate, consecintele probabile si masurile luate sau propuse pentru remediere.

10.3. Furnizorul coopereaza cu Operatorul si ofera asistenta rezonabila pentru ca Operatorul sa isi poata indeplini obligatiile de notificare catre ANSPDCP si, dupa caz, catre persoanele vizate, in conformitate cu art. 33-34 GDPR.

11.1. Furnizorul stocheaza si prelucreaza datele personale in Uniunea Europeana, in principal prin infrastructura AWS localizata in Frankfurt, Germania.

11.2. Furnizorul nu transfera date personale in afara Spatiului Economic European fara acordul prealabil al Operatorului si fara existenta unor garantii adecvate conform cap. V GDPR.

11.3. In cazul sub-procesatorilor sau integratorilor cu legaturi operationale in afara UE, cum este Meta Platforms, transferul se realizeaza numai in baza mecanismelor legale aplicabile, inclusiv decizii de adecvare, EU-US Data Privacy Framework sau clauze contractuale standard, dupa caz.

12.1. Prezentul DPA se completeaza cu dispozitiile Termenilor si conditiilor FGO. In caz de conflict, prevederile prezentului DPA prevaleaza in ceea ce priveste protectia datelor personale.

12.2. Modificarile prezentului DPA vor fi comunicate Operatorului prin notificare in platforma si/sau prin email, cu cel putin 30 de zile inainte de intrarea in vigoare. Continuarea utilizarii platformei dupa intrarea in vigoare constituie acceptarea modificarilor.

12.3. Prezentul DPA este guvernat de legislatia romana. Orice litigiu va fi solutionat de instantele competente de la sediul Furnizorului.

12.4. Prezentul DPA intra in vigoare la data crearii contului FGO de catre Operator si ramane valabil pe toata durata utilizarii platformei.