Acord de Prelucrare a Datelor (DPA)

Ultima actualizare: Octombrie 2025

Acest Acord de Prelucrare a Datelor („DPA”) reprezintă un supliment la Termenii și Condițiile dintre
CMR Management („Procesatorul”) și clientul („Operatorul”) care utilizează aplicația și
serviciile asociate CMR Management (denumite colectiv „Serviciile”).
Acest acord reflectă înțelegerea părților privind prelucrarea datelor cu caracter personal în conformitate
cu Regulamentul General privind Protecția Datelor (GDPR).

1. Domeniu de aplicare

Prezentul DPA se aplică atunci când Operatorul furnizează date cu caracter personal Procesatorului în legătură
cu Serviciile. Acesta reglementează modul în care datele sunt colectate, stocate, prelucrate și protejate.
În caz de conflict între acest DPA și Termenii și Condițiile principale, prevederile DPA prevalează în ceea ce
privește obligațiile privind protecția datelor.

2. Roluri și responsabilități

  • Operatorul stabilește scopul și mijloacele de prelucrare a datelor cu caracter personal.
  • Procesatorul (CMR Management) prelucrează datele numai pe baza instrucțiunilor Operatorului și exclusiv în scopurile definite în acord.
  • Ambele părți se angajează să respecte legislația aplicabilă privind protecția datelor, inclusiv GDPR (UE 2016/679).

3. Natura și scopul prelucrării

CMR Management prelucrează date cu caracter personal pentru a furniza servicii digitale de gestionare a documentelor CMR,
facturare, raportare și funcționalități logistice conexe.

Tipurile de date cu caracter personal pot include:

  • Date ale companiei (nume, adresă, cod fiscal)
  • Informații de contact (email, telefon)
  • Nume ale angajaților sau șoferilor
  • Date privind transportul și logistica

Activitățile de prelucrare includ stocarea, organizarea, transmiterea și ștergerea sigură a datelor.

4. Măsuri de securitate

Procesatorul implementează măsuri tehnice și organizatorice adecvate pentru a proteja datele cu caracter personal împotriva accesului neautorizat,
divulgării sau pierderii. Acestea includ:

  • Transfer criptat al datelor (TLS 1.3)
  • Găzduire sigură în centre de date din UE (Hetzner, Germania)
  • Controale de acces și jurnale de audit
  • Monitorizare de securitate și testare periodică a vulnerabilităților
  • Copii de rezervă și sisteme de recuperare în caz de dezastru

5. Sub-procesatori

Procesatorul utilizează sub-procesatori verificați pentru furnizarea de servicii de infrastructură, plăți și comunicații.
Lista actualizată a sub-procesatorilor este disponibilă pe pagina
Sub-procesatori.
Toți sub-procesatorii sunt obligați contractual să respecte cerințele echivalente privind protecția datelor conform GDPR.

6. Transferuri internaționale de date

În cazul în care datele sunt transferate în afara Spațiului Economic European (SEE), Procesatorul asigură conformitatea prin:

  • Clauze Contractuale Standard (SCC) ale UE
  • Transferuri doar către țări cu un nivel adecvat de protecție a datelor
  • Măsuri suplimentare de securitate și criptare pentru toate transferurile

7. Drepturile persoanelor vizate

Procesatorul asistă Operatorul în îndeplinirea cererilor persoanelor vizate în temeiul GDPR, inclusiv:

  • Accesul, rectificarea și ștergerea datelor personale
  • Restricționarea sau opoziția față de prelucrare
  • Solicitări privind portabilitatea datelor

Cererile pot fi trimise la adresa [email protected].

8. Păstrarea și ștergerea datelor

La încetarea Serviciilor sau la cererea scrisă a Operatorului, Procesatorul va:

  • Șterge toate datele personale în termen de 30 de zile, sau
  • Le returnează în siguranță Operatorului, la cerere.

Copiile de rezervă sunt păstrate în scopuri de recuperare în caz de dezastru timp de maximum 90 de zile, înainte de ștergerea automată.

9. Notificarea incidentelor

În caz de încălcare a securității datelor cu caracter personal, Procesatorul va:

  • Notifica Operatorul fără întârzieri nejustificate (în termen de 72 de ore)
  • Furniza informații relevante privind natura și amploarea incidentului
  • Asista Operatorul în limitarea impactului și în îndeplinirea obligațiilor de notificare conform GDPR

10. Audit și conformitate

Procesatorul va pune la dispoziție toate informațiile necesare pentru a demonstra conformitatea cu GDPR și va permite efectuarea de audituri sau inspecții de către Operator sau un auditor desemnat, cu condiția ca aceste audituri:

  • Să fie efectuate o dată pe an
  • Să nu interfereze cu activitatea normală a Procesatorului
  • Să asigure confidențialitatea și securitatea datelor pe durata auditului

11. Informații de contact

Pentru întrebări sau solicitări legate de protecția datelor, vă rugăm să ne contactați:
📧 [email protected]
📧 [email protected]

Adresă poștală:
CMR Management
București, România
www.cmr-management.eu