Acest document funcționează ca Data Processing Agreement (DPA) conform articolului 28 GDPR, între tine (Operator — clientul ecommus care vinde produse/servicii prin platformă) și Media Design SRL (Împuternicit — furnizor platformă).

Acest DPA face parte integrantă din contractul de licență. La cerere îți trimitem și o copie semnată în format PDF — scrie-ne la legal@mediadesignro.ro.

1. Roluri

Operatorul (tu) determină scopul și mijloacele prelucrării datelor clienților finali. Împuternicitul (noi) prelucrează datele exclusiv conform instrucțiunilor tale și pentru furnizarea serviciului.

2. Categorii de date și de subiecți

Date prelucrate prin platformă:

Identitate (nume, prenume, email, telefon).
Adresă livrare/facturare.
Istoric comenzi, coș, wishlist, recenzii.
Cookies sesiune (autentificare cont client).
Log-uri tehnice (IP, user-agent) — pentru securitate.

Subiecți: clienții finali ai magazinului tău, vizitatorii website-ului tău, utilizatori cont admin.

3. Scopul și durata prelucrării

Prelucrăm datele exclusiv pentru:

Funcționarea platformei (autentificare, gestionare comenzi, livrare, facturare).
Suport tehnic la cererea ta (acces temporar, audit log).
Backup-uri pentru recuperare în caz de incident.

Durata: pe perioada contractului tău + maximum 90 de zile post-reziliere pentru migrare/export, după care ștergem.

4. Obligațiile noastre ca Împuternicit

Prelucrăm datele doar conform instrucțiunilor tale documentate în acest DPA + în contractul principal.
Asigurăm confidențialitatea personalului care are acces la date (NDA-uri semnate).
Implementăm măsuri tehnice și organizatorice de securitate (vezi anexa Securitate).
Te notificăm fără întârziere nejustificată (în maxim 24h) în caz de breșă de securitate.
Te asistăm în răspunsul la cereri DSAR ale subiecților.
Te asistăm în efectuarea DPIA dacă e necesar.
La sfârșitul contractului ștergem sau returnăm toate datele, conform alegerii tale.
Permitem audituri rezonabile (cu preaviz de 30 zile, max 1 audit/an).

5. Sub-împuterniciți

Pentru furnizarea serviciului folosim sub-împuterniciți:

Hetzner Online GmbH (Germania) — hosting infrastructură.
Cloudflare (Irlanda — UE entity) — CDN + DDoS protection.
Resend (Irlanda) — emailuri tranzacționale.
Stripe Payments Europe Ltd. (Irlanda) — plăți internaționale (când se folosește Stripe).

Pentru orice nou sub-împuternicit te notificăm cu 30 de zile înainte și ai dreptul să te opui rezonabil; dacă opoziția nu poate fi rezolvată, contractul poate fi reziliat fără penalitate.

6. Transferuri internaționale

Toate datele sunt stocate în UE. Nu transferăm date în afara SEE fără garanții suplimentare (Clauze Contractuale Standard ale Comisiei Europene).

7. Anexa — măsuri de securitate

Criptare la tranzit (TLS 1.3) și în repaus (AES-256-GCM cu KEK rotativ).
Parole hashuite cu argon2id; secretele stocate criptat (envelope encryption).
Acces minimal pentru personal (least-privilege, audit log activ).
Backup-uri zilnice criptate, păstrate 30 de zile.
Pentest anual + bug bounty privat.
Răspuns la incidente de securitate definit (runbook intern).

8. Răspundere

Răspunderea fiecărei părți față de cealaltă este limitată conform contractului principal. Niciuna din părți nu se eliberează de răspunderea solidară față de subiecții afectați conform GDPR art. 82.

9. Întrebări

Pentru orice întrebare DPA: dpo@mediadesignro.ro.

Acord de prelucrare a datelor (DPA)