Acord privind prelucrarea datelor (DPA)
Ultima actualizare: 15 martie 2026
Prezentul document clarifică rolurile și responsabilitățile părților în ceea ce privește prelucrarea datelor cu caracter personal în contextul utilizării platformei 365Scan, în conformitate cu Regulamentul (UE) 2016/679 (GDPR).
1. Părțile
Operatorul platformei:
- Denumire: NUTRA PHARMA CONSULTING S.R.L.
- CUI: 41299733
- Sediu social: Calea Călărași 309, Sector 3, București, România
- Email: contact@365scan.ro
- Email contact: contact@365scan.ro
Clientul — persoana juridică sau fizică care utilizează platforma 365Scan în baza unui abonament activ.
2. Clarificarea rolurilor
Definiția rolurilor conform GDPR:
- 365Scan = Operator independent — 365Scan prelucrează date cu caracter personal (ale utilizatorilor Platformei) în calitate de operator, determinând scopurile și mijloacele prelucrării.
- Clientul = Operator independent — Clientul care accesează date publice prin Platformă acționează ca operator independent pentru propriile scopuri (due diligence, compliance, investigații interne etc.).
- 365Scan NU este procesator pentru Client — Nu procesăm date personale în numele Clientului și nu urmăm instrucțiunile Clientului cu privire la prelucrarea datelor. Ambele părți sunt operatori independenți care accesează date disponibile public.
Această structurare reflectă natura serviciului: 365Scan agregă și prezintă date din registre publice oficiale (ANAF, ONRC, portal.just.ro), iar Clientul accesează aceste date pentru propriile scopuri, sub propria responsabilitate.
3. Scopul prelucrării
365Scan prelucrează:
- Date de cont ale Clientului (email, nume) — pentru furnizarea serviciului.
- Date de utilizare (căutări, acțiuni) — pentru funcționarea și optimizarea Platformei.
- Date de plată (via NETOPIA Payments) — pentru gestionarea abonamentelor și facturilor.
Clientul accesează:
- Date publice despre companii din surse oficiale — pentru scopurile proprii (due diligence, compliance, investigații, analiză de piață).
- Clientul este singurul responsabil pentru modul în care utilizează datele accesate prin Platformă, inclusiv conformitatea cu GDPR a propriilor activități.
4. Obligațiile 365Scan ca operator
- Prelucrarea datelor personale ale Clientului în conformitate cu GDPR și legislația română aplicabilă.
- Implementarea de măsuri tehnice și organizatorice adecvate pentru protecția datelor (criptare, control acces, backup, monitorizare).
- Notificarea Clientului în cazul unei încălcări de securitate care îl afectează, conform art. 34 GDPR.
- Respectarea drepturilor persoanei vizate (acces, rectificare, ștergere, portabilitate etc.).
- Ștergerea datelor personale ale Clientului la cerere sau la încetarea contului, cu excepția datelor necesare conform obligațiilor legale.
5. Obligațiile Clientului
- Utilizarea datelor accesate prin Platformă în conformitate cu GDPR și legislația aplicabilă.
- Asigurarea unui temei legal valid pentru propriile prelucrări de date (due diligence, interes legitim, obligație legală etc.).
- Nefolosirea datelor în scopuri ilegale, discriminatorii sau de hărțuire.
- Informarea propriilor persoane vizate, dacă este cazul, conform art. 13-14 GDPR.
6. Sub-procesatori 365Scan
365Scan utilizează următorii sub-procesatori pentru funcționarea Platformei:
| Sub-procesator | Scop | Locație |
|---|---|---|
| Anthropic, PBC | Procesare AI (analize, sumare) | SUA (SCCs) |
| NETOPIA Payments (MobilPay) | Procesare plăți carduri românești (RON) | România (SEE) |
| SmartBill | Facturare electronică automată | România (SEE) |
| Hetzner Online GmbH | Hosting și infrastructură | Germania (SEE) |
| Resend | Email tranzacțional | SUA (SCCs) |
Lista sub-procesatorilor poate fi actualizată periodic. Clientul va fi notificat cu minimum 15 zile înainte de adăugarea unui sub-procesator nou, cu posibilitatea de a obiecta.
7. Transferuri internaționale
Pentru transferurile de date cu caracter personal în afara Spațiului Economic European (SEE), 365Scan se bazează pe:
- Clauze Contractuale Standard (SCCs) aprobate de Comisia Europeană (Decizia 2021/914).
- EU-US Data Privacy Framework pentru furnizorii certificați.
- Evaluări de impact suplimentare (TIA) conform recomandărilor EDPB, dacă este cazul.
8. Măsuri de securitate
365Scan implementează măsuri tehnice și organizatorice corespunzătoare, conform art. 32 GDPR:
- Criptare în tranzit (TLS 1.2+) și la repaus.
- Hashing parole (bcrypt cu salt).
- Control acces pe principiul privilegiului minim.
- Servere în UE (Hetzner, Germania).
- Backup-uri criptate regulate.
- Monitorizare continuă, jurnale de acces.
- Autentificare JWT cu durată limitată.
9. Dreptul de audit
Clienții cu abonament Business pot solicita informații despre măsurile de securitate și conformitate implementate de 365Scan. Solicitările de audit se trimit la contact@365scan.ro.
365Scan poate furniza: documentație de securitate, certificări, răspunsuri la chestionare de due diligence, sau poate permite un audit la fața locului în condiții convenite de comun acord (cu acord de confidențialitate prealabil).
10. Durata și încetarea
Prezentul acord este valabil pe durata relației contractuale dintre 365Scan și Client (perioada abonamentului activ). La încetarea relației:
- Datele personale ale Clientului vor fi șterse în termen de 30 de zile, la cerere.
- Datele necesare conform obligațiilor legale vor fi reținute pe perioada prevăzută de lege.
- Clientul poate solicita un export al datelor personale în format JSON/CSV înainte de ștergere.
11. Contact
Pentru solicitări DPA, chestionare de compliance sau informații suplimentare:
- Email: contact@365scan.ro
- Operator: NUTRA PHARMA CONSULTING S.R.L. — CUI 41299733
- Sediu: Calea Călărași 309, Sector 3, București
- Email contact: contact@365scan.ro
Prezentul document constituie un cadru general. Pentru clienții Business care necesită un DPA personalizat semnat bilateral, vă rugăm să ne contactați la adresa de mai sus.