POLITICA DE CONFIDENȚIALITATE
ȘI PROTECȚIE A DATELOR CU CARACTER PERSONAL
(GDPR Privacy Policy)
Platforma ARTEMIS — operată de CAI Technology S.R.L.
Versiunea: v1.0 ARTEMIS • Data publicării: 2026-05-06 • Data intrării în vigoare: 2026-05-06
Cadrul de referință Prezenta Politică de Confidențialitate este redactată în conformitate cu Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 (Regulamentul General privind Protecția Datelor — GDPR), Legea nr. 190/2018 privind măsuri de punere în aplicare a GDPR în România, Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice (cu modificările și completările ulterioare), precum și cu ghidurile Comitetului European pentru Protecția Datelor (EDPB) și ale Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). |
1. Operator de date și informații generale
Operator de date cu caracter personal, în înțelesul art. 4 pct. 7 din GDPR, este:
CAI Technology S.R.L.
Sediu social: Str. Victor Brauner, bloc 1, sc. 4, ap. 5, sector 3, București, cod poștal 032621, România
Cod unic de înregistrare: RO50512457 • Nr. ORC: J2024020380005
Telefon: +40 750 292 910
E-mail general: office@caitech.ro
E-mail suport: tehnic@caitech.ro
Responsabil cu protecția datelor (DPO): dpo@caitech.ro — desemnat conform art. 37 GDPR.
1.1. Domeniu de aplicare
Prezenta Politică se aplică tuturor prelucrărilor de date cu caracter personal efectuate de CAI Technology S.R.L. în legătură cu Platforma ARTEMIS, accesibilă la https://artemis.caitech.ro, inclusiv site-ul, aplicațiile mobile, agenții AI ARTEMIS, sistemul de asistență, comunicările comerciale și activitățile conexe (consultanță, audit LLM50, training).
1.2. Roluri GDPR
CAI Technology S.R.L. prelucrează datele cu caracter personal în două calități distincte, pe care le clarifică în mod transparent:
Operator (controller) — pentru datele Reprezentanților, Utilizatorilor Autorizați, persoanelor de contact, vizitatorilor site-ului, abonaților newsletter, candidaților la posturi etc., colectate pentru gestionarea relației contractuale, marketing, securitate și conformitate fiscală.
Persoană împuternicită (processor) — atunci când Clientul, în calitate de Operator, încarcă în Platformă date cu caracter personal aparținând propriilor angajați, clienți sau parteneri (de regulă, prin răspunsurile la Chestionare, prin documentele justificative ori prin solicitări către ARTEMIS). În această ipoteză prelucrarea este reglementată de Acordul de Prelucrare a Datelor (DPA) — Anexa 1 la prezenta Politică.
2. Categorii de date prelucrate
În funcție de modalitatea de interacțiune cu Platforma, CAI Technology S.R.L. poate prelucra următoarele categorii de date cu caracter personal:
2.1. Date de identificare a Clientului persoană juridică
Cod unic de identificare fiscală (CUI/CIF)
Denumirea companiei
Numărul de înregistrare la Registrul Comerțului (J__/____/____)
Adresa sediului social (preluată automat din baze publice — ANAF, Registrul Comerțului)
Codul CAEN (sectorul de activitate)
Număr de angajați (estimat — pentru segmentare și recomandări)
Aceste informații sunt, în principal, despre persoana juridică; în măsura în care se referă la profesioniști persoane fizice, sunt date cu caracter personal.
2.2. Date de identificare ale Reprezentantului și Utilizatorilor Autorizați
Nume, prenume
Funcție (rol în cadrul companiei)
Adresa de e-mail profesională (companie sau personală asociată contului)
Număr de telefon (opțional)
Date de autentificare (parola — stocată exclusiv hashed cu bcrypt sau Argon2; tokenuri de sesiune; secret 2FA)
2.3. Date despre procesele Clientului
Răspunsuri la Chestionare — informații privind politicile, procedurile, controalele tehnice și organizatorice ale Clientului
Documente încărcate (opțional) — politici, proceduri, certificate, contracte, pe care Clientul alege să le anexeze
Note și comentarii libere
Atenție În măsura în care răspunsurile sau documentele încărcate de Client conțin date cu caracter personal aparținând altor persoane (angajați, clienți, parteneri ai Clientului), Clientul este Operatorul acestor date, iar CAI Technology S.R.L. acționează ca Persoană Împuternicită; în această situație, raportul este reglementat de DPA — Anexa 1. Nu încărcați în Platformă categorii speciale de date (art. 9 GDPR — sănătate, opinii politice, biometrice etc.) sau date privind condamnări (art. 10 GDPR), decât dacă există un acord scris specific cu CAI Technology S.R.L.. |
2.4. Date tehnice și de utilizare
Adresa IP și informații de geolocalizare aproximativă
Tip de browser, sistem de operare, dispozitiv (User-Agent)
Identificatori de cookie (a se vedea Politica privind Cookies)
Loguri de autentificare (timestamp, IP, încercări eșuate)
Loguri de activitate (acțiuni efectuate în Platformă)
Date analitice agregate (pagini vizitate, durata sesiunii, conversii)
2.5. Date financiare
Informații de facturare (denumire, CUI, adresă, banca, IBAN — pentru emiterea facturilor)
Tokenuri de plată generate de procesatori certificați PCI-DSS (datele integrale ale cardului NU sunt accesibile CAI Technology S.R.L.)
Istoric tranzacții și facturi emise
2.6. Date generate de sistemele AI
Conversații cu ARTEMIS (interogări, răspunsuri, feedback)
Loguri de evaluare automată (scoruri, etichete de risc, timestamps)
Metadate ale prompt-urilor și răspunsurilor (pentru îmbunătățire — în formă agregată/anonimizată)
3. Sursele datelor
Datele cu caracter personal pot proveni din următoarele surse:
Direct de la Dvs. — la înregistrare, la completarea formularelor, la utilizarea Platformei, la trimiterea solicitărilor de suport;
Generate automat — în urma utilizării (loguri, cookies, IP, scoruri de risc);
Din baze de date publice — ANAF, Registrul Comerțului — pentru verificarea CUI și pre-completarea datelor de identificare ale companiei;
De la terți autorizați — procesatori de plăți, furnizori SSO, parteneri tehnici, în limitele acordurilor încheiate cu aceștia;
Din comunicări — e-mail, telefon, chat, formular de contact.
4. Scopurile și temeiurile prelucrării
CAI Technology S.R.L. prelucrează datele exclusiv pentru scopuri determinate, explicite și legitime, în baza temeiurilor prevăzute de art. 6 alin. (1) GDPR. Tabelul de mai jos prezintă, pentru fiecare scop, datele utilizate, temeiul legal și durata de păstrare:
| Scop | Categorii de date | Temei (art. 6 GDPR) | Retenție |
|---|---|---|---|
| Crearea și administrarea Contului, furnizarea Serviciilor | Identificare companie, Reprezentant, autentificare, răspunsuri la Chestionare, rapoarte | Art. 6(1)(b) — executarea contractului | Cont activ + 12 luni |
| Facturare, plăți, contabilitate | Identificare, financiar-fiscale, tranzacții | Art. 6(1)(c) — obligație legală | 5 ani (Legea 82/1991) |
| Suport tehnic și relația cu clientul | Contact, conținutul cererilor, loguri tehnice | Art. 6(1)(b) — contract; Art. 6(1)(f) — interes legitim | Cont activ + 12 luni |
| Securitate, prevenirea fraudelor și abuzurilor | IP, User-Agent, loguri autentificare/activitate | Art. 6(1)(f) — interes legitim | 6 luni (loguri securitate) |
| Conformitate cu obligațiile fiscale și de raportare | Date facturare, tranzacții, după caz raportare RO e-Factura, SAF-T | Art. 6(1)(c) — obligație legală | Conform legii fiscale |
| Îmbunătățirea Platformei (analiză agregată, debug, dezvoltare) | Date analitice agregate/anonimizate, loguri de utilizare | Art. 6(1)(f) — interes legitim | 26 luni (analitică) |
| Antrenarea/îmbunătățirea modelelor AI (date agregate, anonimizate) | Răspunsuri agregate, loguri de utilizare ARTEMIS, feedback | Art. 6(1)(f) — interes legitim, sub rezerva opt-out | Maxim 36 luni, reevaluare anuală |
| Comunicări comerciale (newsletter, oferte) | E-mail, nume, preferințe | Art. 6(1)(a) — consimțământ | Până la retragerea consimțământului |
| Apărarea drepturilor și constatarea, exercitarea sau apărarea unui drept în justiție | Toate datele relevante | Art. 6(1)(f) — interes legitim | 3 ani de la încheierea contractului (termen general de prescripție) |
| Conformitate cu solicitările autorităților publice | Datele solicitate de autoritățile competente, în baza unui temei legal | Art. 6(1)(c) — obligație legală | Conform cadrului legal aplicabil |
Test de echilibru pentru interesul legitim Pentru fiecare prelucrare bazată pe interes legitim, CAI Technology S.R.L. a documentat un test de echilibru (Legitimate Interest Assessment — LIA), care evaluează necesitatea, proporționalitatea și impactul asupra drepturilor și libertăților persoanelor vizate. Sumarul testului este disponibil la cerere, prin e-mail la dpo@caitech.ro. |
5. Destinatari și subprocesatori
Pentru a furniza Serviciile, CAI Technology S.R.L. dezvăluie sau permite accesul la date următoarelor categorii de destinatari, pe bază de contract și cu garanții adecvate:
5.1. Subprocesatori GDPR (art. 28)
CAI Technology S.R.L. utilizează un număr limitat de subprocesatori certificați. Lista actualizată este disponibilă în Anexa 2 — „Lista subprocesatorilor”, parte integrantă a prezentei Politici. Modificările listei se notifică Clienților cu cel puțin 30 de zile înainte, conform DPA.
5.2. Categorii principale de subprocesatori
Furnizori de hosting și infrastructură cloud (servere, baze de date, copii de rezervă) — alegere certificată ISO/IEC 27001;
Procesatori de plăți (gestionarea plăților cu cardul, certificați PCI-DSS Level 1);
Furnizor de e-mail tranzacțional (notificări, recuperare parolă, livrarea Rapoartelor);
Furnizor de e-mail marketing (exclusiv pe baza consimțământului);
Furnizor de analitică web (de regulă, cu IP anonimizat);
Furnizor de help-desk și ticketing (suport tehnic);
Furnizor de modele AI / API LLM utilizate de ARTEMIS (a se vedea Anexa 2 pentru detalii);
Consultanți contabili, fiscali, juridici și auditori (acolo unde au acces la date).
5.3. Autorități publice și obligații legale
CAI Technology S.R.L. poate dezvălui date autorităților publice atunci când o astfel de obligație rezultă din lege sau dintr-o cerere oficială întemeiată legal, de pildă către:
ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal);
Autorități fiscale (ANAF — inclusiv prin sistemele e-Factura, SAF-T);
Organe de cercetare penală sau instanțe de judecată, în baza unei solicitări legale;
CERT-RO / DNSC (Direcția Națională de Securitate Cibernetică), pentru notificarea incidentelor de securitate, atunci când legea o impune.
5.4. Transferuri internaționale
Datele sunt găzduite, ca regulă, pe servere situate în Spațiul Economic European (SEE). Atunci când un subprocesator este situat în afara SEE, CAI Technology S.R.L. se asigură că transferul beneficiază de un mecanism adecvat conform Capitolului V din GDPR:
decizie de adecvare a Comisiei Europene (art. 45 GDPR), atunci când există;
Clauze Contractuale Standard (CCS) — Decizia de punere în aplicare (UE) 2021/914 a Comisiei;
Reguli corporative obligatorii (Binding Corporate Rules), unde aplicabil;
certificări precum EU-US Data Privacy Framework (în limitele aplicabilității, după Decizia (UE) 2023/1795);
Evaluare a impactului transferului (Transfer Impact Assessment — TIA) anterioară transferurilor relevante.
6. Perioade de retenție
CAI Technology S.R.L. păstrează datele cu caracter personal numai atât timp cât este necesar pentru îndeplinirea scopurilor pentru care au fost colectate, sau pentru respectarea unei obligații legale, conform tabelului următor:
| Categorie de date | Perioadă de retenție |
|---|---|
| Date de cont (CUI, identitate, autentificare) | Pe durata existenței Contului + 12 luni de la închidere |
| Răspunsuri la Chestionare și Rapoarte generate | Pe durata existenței Contului + 12 luni de la închidere |
| Documente financiar-contabile, facturi, evidențe contabile | 5 ani de la data de 1 iulie a anului următor încheierii exercițiului financiar (art. 25 din Legea contabilității nr. 82/1991, în forma modificată prin Legea nr. 36/2023) |
| Loguri de securitate (autentificare, activitate) | Maximum 6 luni |
| Loguri de eroare și debug | Maximum 90 de zile |
| Date analitice agregate / anonimizate | Maximum 26 luni |
| Conversații cu ARTEMIS | 12 luni — în formă identificabilă; ulterior, anonimizate sau șterse |
| Cookies non-esențiale | Conform tabelului din Politica privind Cookies (de regulă: 30 zile – 13 luni) |
| Consimțământ marketing — dacă a fost retras | Adresa este înlăturată din listele active și păstrată într-o listă „supresie” pentru a preveni contactarea ulterioară |
| Date solicitate de autorități / legate de litigii | Pe durata litigiului + termen general de prescripție 3 ani (art. 2517 Cod civil) |
La expirarea termenelor, datele sunt șterse definitiv sau anonimizate ireversibil, astfel încât persoana vizată să nu mai poată fi identificată direct sau indirect.
7. Drepturile persoanelor vizate
În temeiul GDPR, persoana vizată are următoarele drepturi, pe care le poate exercita gratuit (cu excepția cererilor vădit nefondate sau excesive — art. 12(5) GDPR):
7.1. Dreptul de acces (art. 15 GDPR)
Aveți dreptul să obțineți confirmarea că vă prelucrăm datele și o copie a acestora, cu informații privind: scopurile prelucrării, categoriile de date, destinatarii, durata de stocare, sursa datelor (dacă nu sunt furnizate de Dvs.), existența dreptului de rectificare/ștergere/restricționare/opoziție și a dreptului de a depune plângere.
7.2. Dreptul la rectificare (art. 16 GDPR)
Aveți dreptul să cereți corectarea datelor inexacte sau completarea celor incomplete. Multe câmpuri pot fi actualizate direct din secțiunea „Setări Cont”.
7.3. Dreptul la ștergere — „dreptul de a fi uitat” (art. 17 GDPR)
Aveți dreptul să cereți ștergerea datelor în cazurile prevăzute la art. 17(1) GDPR (datele nu mai sunt necesare; vă retrageți consimțământul; vă opuneți cu succes prelucrării; prelucrarea este nelegală etc.). Excepțiile prevăzute la art. 17(3) GDPR rămân aplicabile, în special pentru îndeplinirea unei obligații legale (de pildă, păstrarea documentelor financiar-contabile timp de 5 ani).
7.4. Dreptul la restricționarea prelucrării (art. 18 GDPR)
Aveți dreptul să cereți restricționarea prelucrării (echivalentul „înghețării” datelor) în cazurile prevăzute de art. 18(1) GDPR — de pildă, pe durata verificării contestației privind exactitatea datelor, când prelucrarea este nelegală, dar nu doriți ștergerea, sau pentru exercitarea/apărarea unui drept în instanță.
7.5. Dreptul la portabilitatea datelor (art. 20 GDPR)
Pentru datele furnizate de Dvs. și prelucrate în baza consimțământului ori a contractului, prin mijloace automatizate, aveți dreptul să primiți datele într-un format structurat, utilizat în mod curent și care poate fi citit automat (JSON, CSV, XML), și să le transmiteți altui operator. Funcția „Export Date” este disponibilă în secțiunea „Setări Cont”.
7.6. Dreptul la opoziție (art. 21 GDPR)
Aveți dreptul să vă opuneți, în orice moment și fără motive specifice, prelucrărilor pentru marketing direct (art. 21(2) GDPR) și, pentru motive ce țin de situația Dvs. particulară, prelucrărilor bazate pe interes legitim (art. 21(1) GDPR).
7.7. Dreptul de a nu fi supus(ă) unei decizii automate (art. 22 GDPR)
Platforma utilizează algoritmi automatizați pentru calcularea scorurilor și a riscurilor, însă acestea NU produc efecte juridice asupra Dvs. și NU vă afectează în mod semnificativ în sensul art. 22(1) GDPR. Aveți, totuși, dreptul de a solicita intervenția umană, de a vă exprima punctul de vedere și de a contesta decizia, prin e-mail la dpo@caitech.ro.
7.8. Dreptul de a retrage consimțământul (art. 7(3) GDPR)
Atunci când prelucrarea se bazează pe consimțământ, îl puteți retrage oricând, fără ca acest fapt să afecteze legalitatea prelucrării anterioare retragerii. Pentru newsletter, retragerea se realizează prin linkul „Dezabonare” din e-mailuri sau din setările Contului.
7.9. Dreptul de a depune plângere (art. 77 GDPR)
Aveți dreptul de a depune plângere la autoritatea de supraveghere competentă, fără a aduce atingere oricăror altor căi de atac administrative sau judiciare.
ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal
Adresă: B-dul G-ral. Gheorghe Magheru nr. 28-30, sector 1, cod poștal 010336, București
Telefon: +40 318 059 211 / +40 318 059 212 • Fax: +40 318 059 602
E-mail: anspdcp@dataprotection.ro • Website: www.dataprotection.ro
Vă încurajăm să ne contactați mai întâi la dpo@caitech.ro pentru a încerca soluționarea amiabilă. Termenul de răspuns la cererile GDPR este de maximum 30 de zile, putând fi prelungit cu încă 60 de zile pentru cererile complexe sau numeroase, cu informarea solicitantului.
7.10. Cum exercitați drepturile
Cererea poate fi formulată: (i) prin e-mail la dpo@caitech.ro; (ii) prin formularul dedicat din Platformă; (iii) prin scrisoare la sediul social al CAI Technology S.R.L.. Cererea trebuie să conțină identificarea solicitantului (pentru evitarea fraudei) și să descrie clar dreptul exercitat.
8. Măsuri tehnice și organizatorice de securitate
CAI Technology S.R.L. implementează măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscurilor (art. 32 GDPR), inclusiv:
8.1. Măsuri tehnice
Criptare în tranzit cu TLS 1.2+ (preferat TLS 1.3)
Criptare în repaus a datelor (de regulă AES-256)
Hash-uri sigure pentru parole (bcrypt sau Argon2)
Posibilitate de autentificare multi-factor (MFA/2FA)
Firewall, IDS/IPS, segmentare de rețea
Patch management și hardening al serverelor
Backup-uri criptate și redundanță geografică
Logging centralizat și monitorizare a evenimentelor de securitate (SIEM)
Politici de retenție automatizate și ștergere sigură
8.2. Măsuri organizatorice
Acces strict pe principiul „need-to-know”, cu jurnalizare
Politici interne aliniate ISO/IEC 27001:2022
Acorduri de confidențialitate (NDA) cu personalul și colaboratorii
Training periodic pe GDPR, securitate și AI Act pentru tot personalul
Plan de răspuns la incidente (IR) și runbook-uri pentru breșe
Audituri interne anuale și teste de penetrare efectuate de terți
Evaluări de impact (DPIA) pentru prelucrări cu risc ridicat
8.3. Notificarea breșelor de securitate
În cazul unei breșe de securitate care implică date cu caracter personal, CAI Technology S.R.L.:
notifică ANSPDCP fără întârzieri nejustificate și, în orice caz, în termen de 72 de ore de la luarea la cunoștință (art. 33 GDPR), cu excepția cazului în care este puțin probabil să rezulte un risc pentru drepturile și libertățile persoanelor;
informează persoanele vizate fără întârzieri nejustificate atunci când breșa generează un risc ridicat (art. 34 GDPR);
informează Clientul-Operator în termen de 24 de ore atunci când breșa privește date prelucrate în calitate de Persoană Împuternicită (DPA — Anexa 1);
documentează incidentul în Registrul Intern al Incidentelor (art. 33(5) GDPR).
9. Cookies și tehnologii similare
Platforma utilizează cookie-uri și tehnologii similare în următoarele categorii:
| Categorie | Scop | Temei | Durată |
|---|---|---|---|
| Strict necesare | Autentificare, securitate, sesiune, anti-CSRF, balansare de încărcare | Art. 6(1)(b) GDPR + art. 4(5) L. 506/2004 — exceptate de la consimțământ | Sesiune – 12 luni |
| Funcționale | Limbă, preferințe, consimțământ cookies | Consimțământ | Până la 12 luni |
| Analitice | Statistici de utilizare, optimizare | Consimțământ | Până la 13 luni |
| Marketing / publicitate | Personalizarea conținutului promoțional | Consimțământ | Până la 13 luni |
Lista detaliată a cookie-urilor și gestionarea preferințelor sunt disponibile în Politica privind Cookies și prin panoul „Setări Cookies” din Platformă, conform Ghidului ANSPDCP din 2024 privind utilizarea cookies.
10. Comunicări de marketing
Comunicările comerciale (newsletter, prezentări, webinarii, oferte de upgrade) sunt transmise EXCLUSIV pe baza consimțământului expres al destinatarului, manifestat prin bifarea unei căsuțe explicite, în acord cu art. 6(1)(a) GDPR și art. 12 din Legea nr. 506/2004 privind comunicările electronice.
Excepție soft opt-in: pentru clienții existenți, comunicările privind produse/servicii similare celor contractate pot fi transmise în baza interesului legitim, cu posibilitatea opt-out gratuit, conform art. 12 alin. (2) din Legea nr. 506/2004.
11. Minori
Platforma se adresează companiilor și utilizatorilor profesioniști. Atunci când Clientul este un Consumator persoană fizică, accesul este permis exclusiv persoanelor majore (peste 18 ani). CAI Technology S.R.L. nu colectează intenționat date de la minori. Dacă luăm cunoștință despre prelucrarea datelor unui minor fără temei legal, le ștergem prompt.
12. Modificarea Politicii
CAI Technology S.R.L. poate actualiza prezenta Politică pentru a reflecta modificări legislative, ghiduri ANSPDCP/EDPB, modificări ale Serviciilor sau ale subprocesatorilor. Modificările substanțiale sunt comunicate cu cel puțin 30 de zile înainte, prin e-mail la adresa înregistrată și prin notificare în Platformă. Data „Ultimei actualizări” și numărul de versiune sunt actualizate la fiecare revizuire. Versiunile anterioare sunt arhivate și disponibile la cerere.
13. Date de contact
CAI Technology S.R.L.
Sediu social: Str. Victor Brauner, bloc 1, sc. 4, ap. 5, sector 3, București, cod poștal 032621, România
Birou București: (neaplicabil — adresa de mai sus)
Birou Timișoara: Str. Victor Brauner, bloc 1, sc. 4, ap. 5, sector 3, București, cod poștal 032621, România
Telefon: +40 750 292 910
Responsabil cu protecția datelor (DPO): dpo@caitech.ro
E-mail general: office@caitech.ro
Suport: tehnic@caitech.ro
Vânzări: sales@caitech.ro
Program: Luni–Vineri, 09:00–18:00 (ora României)
ANEXA 1
Acord de Prelucrare a Datelor (Data Processing Agreement)
Aplicabilitate Prezenta Anexă constituie Acordul de Prelucrare a Datelor (denumit „DPA”) încheiat în temeiul art. 28 GDPR între Client (în calitate de Operator) și CAI Technology S.R.L. (în calitate de Persoană Împuternicită), pentru toate prelucrările de date cu caracter personal efectuate de CAI Technology S.R.L. în numele Clientului prin intermediul Platformei ARTEMIS. DPA se aplică automat din momentul în care Clientul încarcă în Platformă date cu caracter personal aparținând altor persoane (angajații, clienții sau partenerii Clientului). Dacă Clientul are nevoie de o versiune semnată separat, o poate solicita la dpo@caitech.ro. |
A1.1. Obiectul DPA și descrierea prelucrării
Persoana Împuternicită prelucrează date cu caracter personal exclusiv în numele și conform instrucțiunilor documentate ale Operatorului, în scopul furnizării Serviciilor descrise în Termeni.
A1.1.1. Obiectul prelucrării
Furnizarea Platformei ARTEMIS — instrument SaaS pentru evaluarea conformității cu cadre normative europene și naționale, inclusiv: stocare răspunsuri Chestionare, generare Rapoarte, asistent conversațional ARTEMIS, asistență tehnică.
A1.1.2. Durata prelucrării
Pe durata contractului dintre Client și CAI Technology S.R.L., plus perioadele de retenție prevăzute în Politică (Secțiunea 6).
A1.1.3. Natura și scopul prelucrării
Colectare, înregistrare, organizare, structurare, stocare, adaptare, consultare, utilizare, dezvăluire prin transmitere către subprocesatori, restricționare, ștergere — în scopul furnizării Serviciilor.
A1.1.4. Categorii de persoane vizate
Reprezentanți și Utilizatori Autorizați ai Clientului (angajați, colaboratori)
Persoane vizate ale căror date sunt încărcate de Client în Chestionare/documente (de regulă, angajații, clienții sau partenerii Clientului)
A1.1.5. Categorii de date cu caracter personal
Date de identificare (nume, prenume, funcție)
Date de contact (e-mail, telefon profesional)
Date privind procesele Clientului (atunci când acestea conțin referiri identificabile la persoane)
Date tehnice (IP, loguri) — pentru Reprezentanți/Utilizatori Autorizați
NU se prelucrează: date din categorii speciale (art. 9 GDPR) sau date privind condamnări (art. 10 GDPR), decât în baza unui acord scris specific cu CAI Technology S.R.L. și cu măsuri suplimentare adecvate.
A1.2. Obligațiile Persoanei Împuternicite (CAI Technology S.R.L.)
Persoana Împuternicită se obligă să:
prelucreze datele exclusiv pe baza instrucțiunilor documentate ale Operatorului, inclusiv în ceea ce privește transferurile internaționale, cu excepția cazurilor impuse de dreptul Uniunii sau cel național; în acest din urmă caz, va informa Operatorul cu privire la cerința legală, cu excepția cazului în care legea interzice această informare;
se asigure că persoanele autorizate să prelucreze datele s-au angajat la confidențialitate sau au o obligație statutară corespunzătoare;
ia toate măsurile necesare în temeiul art. 32 GDPR (Anexa A1.6 — Măsuri tehnice și organizatorice);
respecte condițiile de implicare a unui alt subprocesator (Secțiunea A1.4);
asiste Operatorul, ținând seama de natura prelucrării, în îndeplinirea obligației de a răspunde cererilor persoanelor vizate (art. 12–22 GDPR);
asiste Operatorul în asigurarea respectării obligațiilor prevăzute la art. 32–36 GDPR (securitate, notificare breșe, DPIA, consultare prealabilă);
la alegerea Operatorului, șteargă sau returneze toate datele după încetarea furnizării Serviciilor și să șteargă copiile existente, cu excepția cazului în care legea Uniunii sau cea națională impune păstrarea;
pună la dispoziția Operatorului toate informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute la art. 28 GDPR și să permită auditurile, în limitele Secțiunii A1.7.
A1.3. Obligațiile Operatorului (Clientul)
să prelucreze datele cu respectarea GDPR, în special în ce privește identificarea unui temei legal, informarea persoanelor vizate și gestionarea consimțământului;
să dea instrucțiuni documentate, lawful și conforme cu GDPR;
să nu încarce date din categorii speciale (art. 9) sau privind condamnări (art. 10) fără acord prealabil scris;
să mențină actualizate canalele de contact pentru notificările privind incidente sau modificări ale subprocesatorilor.
A1.4. Subprocesatori
Operatorul autorizează expres Persoana Împuternicită să implice subprocesatorii prevăzuți în Anexa 2 — „Lista subprocesatorilor”. Persoana Împuternicită poate adăuga sau înlocui subprocesatori, cu următoarele garanții:
notifică Operatorul cu cel puțin 30 de zile înainte de implicarea unui nou subprocesator;
Operatorul poate ridica obiecții întemeiate, în scris; în lipsa unei soluții, Operatorul poate denunța contractul cu rambursarea proporțională a perioadei neutilizate;
Persoana Împuternicită impune subprocesatorilor obligații cel puțin echivalente celor din DPA, prin contract scris;
Persoana Împuternicită rămâne pe deplin răspunzătoare pentru actele subprocesatorilor.
A1.5. Transferuri internaționale
Atunci când prelucrarea presupune transferul datelor în afara SEE, transferul se efectuează exclusiv în baza unui mecanism prevăzut de Capitolul V GDPR (decizie de adecvare, Clauze Contractuale Standard 2021/914, BCR), însoțit, dacă este cazul, de un Transfer Impact Assessment și de măsuri suplimentare (criptare, pseudonimizare, restricționare accese).
A1.6. Măsuri tehnice și organizatorice (art. 32 GDPR)
Persoana Împuternicită implementează cel puțin măsurile descrise la Secțiunea 8 din Politică, inclusiv:
criptare în tranzit (TLS 1.2+) și în repaus (AES-256);
control acces bazat pe roluri (RBAC) și principiul „need-to-know”;
autentificare multi-factor pentru accesele privilegiate;
monitorizare continuă (SIEM), alertare și răspuns la incidente;
backup-uri criptate, redundanță geografică, planuri de recuperare în caz de dezastru;
audituri interne anuale și pentest extern;
politici, proceduri și training documentate, aliniate ISO/IEC 27001:2022.
A1.7. Audit și asistență
Persoana Împuternicită pune la dispoziția Operatorului, la cerere, dovezile rezonabile ale conformității (rapoarte de audit ale terților, certificări, descrieri ale măsurilor TOM). Operatorul poate efectua, anual, un audit on-site, cu un preaviz de 30 de zile, în orele de program și fără perturbarea operațiunilor; auditurile excepționale se permit ad-hoc, în caz de breșă confirmată sau cerere a unei autorități. Costurile de audit sunt suportate de Operator, cu excepția cazurilor de neconformitate documentată.
A1.8. Notificarea breșelor
Persoana Împuternicită notifică Operatorul fără întârzieri nejustificate și, în orice caz, în termen de 24 de ore de la luarea la cunoștință a unei breșe care implică date prelucrate în numele Operatorului. Notificarea include: descrierea naturii incidentului, categoriile și numărul aproximativ de persoane afectate, măsurile luate, datele de contact ale DPO.
A1.9. Returnarea sau ștergerea datelor
La încetarea Serviciilor, la alegerea Operatorului, Persoana Împuternicită returnează datele în format structurat (JSON/CSV) sau le șterge ireversibil, în termen de 30 de zile, cu emiterea unei certificări de ștergere la cerere. Persoana Împuternicită poate păstra datele pe durata cerută de obligațiile legale (de pildă, evidențele financiar-contabile).
A1.10. Răspundere
Răspunderea părților față de persoanele vizate și pentru sancțiunile administrative se stabilește conform art. 82 GDPR. Răspunderea reciprocă între Operator și Persoana Împuternicită este reglementată de Termeni și de prezentul DPA, cu mențiunea că dispozițiile imperative ale art. 82 GDPR prevalează.
ANEXA 2
Lista subprocesatorilor
Notă privind completarea Lista de mai jos reprezintă macheta-tip; categoriile sunt cele utilizate efectiv de CAI Technology S.R.L.. Numele exacte ale subprocesatorilor, jurisdicțiile, mecanismele de transfer (decizie de adecvare, Clauze Contractuale Standard, certificări) trebuie completate înainte de publicare. Operatorul poate solicita versiunea actualizată oricând la dpo@caitech.ro. |
| Categorie | Subprocesator | Locație / Jurisdicție | Mecanism transfer / Garanții |
|---|---|---|---|
| Hosting & infrastructură cloud | (detalii actualizate periodic) | (detalii actualizate periodic) | (detalii actualizate periodic) |
| E-mail tranzacțional | (detalii actualizate periodic) | (detalii actualizate periodic) | (detalii actualizate periodic) |
| Procesare plăți | (detalii actualizate periodic) | (detalii actualizate periodic) | (detalii actualizate periodic) |
| E-mail marketing | (detalii actualizate periodic) | (detalii actualizate periodic) | (detalii actualizate periodic) |
| Analitică web | (detalii actualizate periodic) | (detalii actualizate periodic) | (detalii actualizate periodic) |
| Help-desk și ticketing | (detalii actualizate periodic) | (detalii actualizate periodic) | (detalii actualizate periodic) |
| Modele AI / API LLM | (detalii actualizate periodic) | (detalii actualizate periodic) | (detalii actualizate periodic) |
| Monitorizare și logging (APM) | (detalii actualizate periodic) | (detalii actualizate periodic) | (detalii actualizate periodic) |
| E-Factura / SAF-T | ANAF — Sistemul Național RO e-Factura | România | Obligație legală — art. 6(1)(c) GDPR |
| Verificare CUI / Registrul Comerțului | ANAF / Oficiul Național al Registrului Comerțului | România | Sursă publică oficială |
| Servicii contabile / fiscale | (detalii actualizate periodic) | România | Acord de prelucrare + obligația profesională de confidențialitate |
| SSO / autentificare federată | CAI-SSO (operator (detalii actualizate periodic)) | (detalii actualizate periodic) | (detalii actualizate periodic) |
Lista actualizată este disponibilă la cerere și pe pagina dedicată din Platformă. Modificările sunt notificate Clienților cu cel puțin 30 de zile înainte de implicarea efectivă a unui nou subprocesator, conform Secțiunii A1.4.
Declarație de conformitate GDPR CAI Technology S.R.L. se angajează să respecte integral Regulamentul (UE) 2016/679 (GDPR), Legea nr. 190/2018, Legea nr. 506/2004 privind comunicările electronice, ghidurile EDPB și ANSPDCP. Prezenta Politică, împreună cu Anexa 1 (DPA) și Anexa 2 (Lista subprocesatorilor), este parte integrantă din Termenii și Condițiile platformei ARTEMIS. |