Acord de prelucrare a datelor (DPA)

Ultima actualizare: 17 iulie 2026

Acest Acord de prelucrare a datelor („DPA") completează Termenii și condițiile și pune în aplicare cerințele art. 28 alin. (3) și (4) din Regulamentul (UE) 2016/679 (GDPR) pentru prelucrarea pe care PROACTIVE SHIPPING S.R.L., CUI RO49176949, Reg. Com. J2023022378407, cu sediul în Str. Ion Țuculescu nr. 42, Bl. P3, Sc. C, Et. 3, Ap. 47, Sector 3, București, România („Finur", „Persoana împuternicită") o efectuează în numele tău. Structura urmează Clauzele Contractuale Standard adoptate de Comisia Europeană prin Decizia de punere în aplicare (UE) 2021/915, adaptate activității Finur. Se aplică automat, de la crearea contului, în formă electronică (art. 28 alin. (9) GDPR), oricărei firme de contabilitate sau cabinet individual care folosește platforma pentru clienții din portofoliul propriu („Operatorul", „tu").

În sensul acestui Acord: „Operator” desemnează firma ta, care stabilește scopurile și mijloacele prelucrării datelor clienților din portofoliul tău; „Persoană împuternicită” desemnează Finur, care prelucrează acele date exclusiv în numele și pe baza instrucțiunilor tale. Rolurile sunt descrise și pe pagina GDPR.

1. Descrierea prelucrării

  • Categorii de persoane vizate: angajații firmelor din portofoliul tău (date de salarizare), clienții și furnizorii acestor firme (facturi, încasări, plăți), persoanele de contact ale firmelor din portofoliu.
  • Categorii de date: date de identificare (nume, CNP pentru salarizare), date de contact, date financiare și bancare (IBAN, tranzacții, facturi emise/primite), date de salarizare (venituri, rețineri, zile de concediu).
  • Date care pot intra sub o categorie specială (art. 9 GDPR): zilele de concediu medical din statele de plată, prelucrate strict ca perioade și procente de indemnizație (fără diagnostic sau alte date medicale), cu acces limitat la funcționalitatea de salarizare.
  • Natura prelucrării: colectare, stocare, extragere automată din documente (OCR/model de limbaj), generare de documente și declarații, transmitere către ANAF/bancă exclusiv la aprobarea ta explicită.
  • Scopul prelucrării: furnizarea funcționalităților platformei descrise în Termeni (procesare documente, salarizare, e-Factura, reconciliere bancară, comunicare cu clienții tăi).
  • Durata prelucrării: pe toată durata contractului dintre tine și Finur, plus fereastra de până la 30 de zile de la închiderea contului, descrisă la Politica de confidențialitate §6.

2. Instrucțiunile tale

Prelucrăm datele clienților tăi exclusiv pe baza instrucțiunilor tale documentate — transmise prin utilizarea normală a platformei (configurări, aprobări, acțiuni din interfață) sau explicit prin email la contact@finur.io.

Dacă considerăm că o instrucțiune încalcă GDPR sau alt act normativ privind protecția datelor, te informăm înainte de a o executa. Nu folosim datele clienților tăi în alte scopuri decât cele descrise în acest Acord, cu excepția unei obligații legale impuse de dreptul UE sau românesc — caz în care te informăm în prealabil, dacă legea nu interzice acest lucru.

3. Confidențialitate și securitate

Persoanele autorizate să prelucreze date în numele Finur (angajați, colaboratori) sunt supuse unor obligații contractuale de confidențialitate.

Măsurile tehnice și organizatorice aplicate, conform art. 32 GDPR, sunt cele descrise la pagina GDPR §4: izolarea datelor fiecărei firme la nivel de bază de date (Row Level Security), criptare TLS în tranzit și criptare în repaus, autentificare în doi pași, jurnale de audit pentru acțiunile sensibile, acces intern la producție limitat pe bază de rol și jurnalizat. Măsurile sunt reevaluate periodic în funcție de stadiul tehnologiei și de riscurile identificate.

Furnizorii de modele de inteligență artificială (Anthropic, OpenAI) nu antrenează modelele pe datele clienților tăi trimise prin API — garanție contractuală explicită din termenii lor comerciali, nu doar declarativă. Documentele sunt păstrate temporar (câteva zile) exclusiv pentru prevenirea abuzului, apoi șterse automat de furnizor.

4. Subprocesatori

Ai o autorizare generală, scrisă, pentru subprocesatorii listați la Politica de confidențialitate §3 (Supabase, Anthropic, OpenAI, Vercel, Railway, Paddle, Resend, Meta Platforms, Cloudflare). Impunem fiecărui subprocesator, prin contract, obligații de protecție a datelor cel puțin echivalente cu cele din acest Acord, și rămânem integral responsabili față de tine pentru performanța lor.

Dacă intenționăm să adăugăm sau să înlocuim un subprocesator care ar procesa datele clienților tăi, te anunțăm prin email sau notificare în aplicație cu cel puțin 30 de zile înainte de începerea prelucrării, ca să poți obiecta motivat. Dacă obiecția e întemeiată și nu putem oferi o alternativă rezonabilă, poți închide contul fără penalizări pentru perioada rămasă, conform Politicii de rambursare.

5. Transferuri internaționale

Datele sunt stocate în Uniunea Europeană. Anumiți subprocesatori (Anthropic, OpenAI, Meta) pot prelucra date în afara Spațiului Economic European; în aceste cazuri, transferul se realizează în baza Clauzelor Contractuale Standard pentru transferul internațional de date, aprobate prin Decizia de punere în aplicare (UE) 2021/914 a Comisiei Europene, sau a unui mecanism echivalent (de exemplu EU-U.S. Data Privacy Framework, pentru furnizorii certificați). Nu transferăm date către subprocesatori care nu oferă garanții echivalente.

6. Asistență acordată operatorului

Te ajutăm să răspunzi cererilor persoanelor vizate (acces, rectificare, ștergere, restricționare, portabilitate, opoziție) legate de datele clienților tăi, ținând cont de natura prelucrării. Dacă un client al firmei tale ne contactează direct pe noi cu o astfel de cerere, nu răspundem fără instrucțiunile tale — te informăm și îți transmitem cererea, ca la pagina GDPR §3.

Pentru cererile pe care le formulezi direct în platformă (export de date, ștergere), oferim deja instrumentele de self-service descrise la Politica de confidențialitate — rezolvate automat, de regulă în câteva minute până la câteva ore pentru procesele asincrone (arhiva de export). Pentru cereri care necesită intervenție manuală din partea noastră, răspundem în cel mult 5 zile lucrătoare.

Te asistăm, de asemenea, cu evaluările de impact asupra protecției datelor (DPIA) și cu eventuale consultări prealabile ale ANSPDCP, atunci când prelucrarea prin Finur intră în scopul evaluării, punând la dispoziție informațiile tehnice relevante.

7. Notificarea încălcărilor de securitate a datelor

Dacă identificăm o încălcare a securității datelor care afectează datele clienților tăi prelucrate prin Finur, te notificăm fără întârzieri nejustificate și, în orice caz, în cel mult 72 de ore de la momentul în care am luat cunoștință de incident.

Notificarea include, în măsura disponibilă la momentul respectiv: natura incidentului, categoriile și numărul aproximativ de persoane vizate și înregistrări afectate, consecințele probabile și măsurile luate sau propuse pentru remediere și limitarea efectelor. Dacă informațiile nu pot fi furnizate integral de la început, le completăm fără întârzieri nejustificate. Rămâne responsabilitatea ta să evaluezi notificarea ANSPDCP (art. 33 GDPR) și a persoanelor vizate (art. 34); te sprijinim cu informațiile tehnice necesare pentru acea evaluare.

8. Documentare și audit

Îți punem la dispoziție informațiile necesare pentru a demonstra conformitatea cu obligațiile din acest Acord, la cerere rezonabilă, o dată pe an sau ori de câte ori există indicii concrete de neconformitate.

Infrastructura Finur este multi-tenant (mai multe firme partajează aceleași sisteme, izolate logic prin Row Level Security la nivel de bază de date), astfel încât nu putem oferi audituri fizice la sediul furnizorilor noștri de infrastructură. Îți punem însă la dispoziție documentația tehnică și organizatorică relevantă și, dacă e necesar, un apel de verificare cu echipa tehnică. Informațiile sunt disponibile și autorității de supraveghere competente, la cererea acesteia.

9. Încetarea prelucrării — ștergerea sau returnarea datelor

La încetarea contractului, la alegerea ta, îți punem la dispoziție o copie completă a datelor clienților tăi prin funcția de export din Setări → Securitate (arhivă cu toate tabelele relevante, în format CSV/PDF/XML), apoi ștergem datele în cascadă din toate sistemele (bază de date, stocare de fișiere, index de căutare vectorial), în intervalul descris la Politica de confidențialitate §6 — maximum 30 de zile de la închiderea contului, cu excepția documentelor pe care legea ne obligă să le păstrăm mai mult (de exemplu, propriile evidențe fiscale). Nu păstrăm copii ale datelor clienților tăi în alte scopuri după acest termen.

10. Neconformitatea cu acest Acord

Dacă încălcăm în mod substanțial obligațiile din acest Acord și nu remediem încălcarea într-un termen rezonabil (maximum 30 de zile) de la notificarea ta scrisă, poți închide contul fără penalizări pentru perioada rămasă din abonament, indiferent de fereastra de 14 zile din Politica de rambursare (care rămâne, separat, la dispoziția ta pentru orice alt motiv).

Dacă insiști asupra unei instrucțiuni pe care te-am informat în prealabil (§2) că încalcă legislația privind protecția datelor, putem întrerupe, cu notificare prealabilă, furnizarea funcționalității afectate de acea instrucțiune, până la clarificarea situației.

11. Ierarhia și modificarea acestui Acord

Acest Acord face parte din Termenii și condițiile Finur și se aplică prioritar față de acestea în privința prelucrării datelor, în caz de conflict. Nu modificăm clauzele de fond ale acestui Acord decât pentru actualizarea listei de subprocesatori (§4) sau pentru alinierea la modificări legislative; orice altă modificare semnificativă se anunță conform Termenilor §8 (minimum 15 zile înainte).