Salt la conținut
Nivlo

Acord de Prelucrare a Datelor (DPA)

Ultima actualizare: Aprilie 2026

Data Processing Agreement — conform art. 28 din Regulamentul (UE) 2016/679 (GDPR) · Versiunea 1.0

Părțile contractante

Prezentul Acord de Prelucrare a Datelor (denumit în continuare „DPA" sau „Acordul") se încheie între:

OPERATORUL (Clientul) — persoana juridică ce utilizează platforma Nivlo, identificată prin contul activat și acceptat al Termenilor și Condițiilor.

PERSOANA ÎMPUTERNICITĂ: SC Teachels Media SRL · Str. Veteranilor nr. 1A, Darabani, Botoșani · CUI: RO43112733 · J07/539/2020 · Reprezentant: Daniel Robert Dinu (denumit în continuare „Împuternicitul" sau „Nivlo").

Prezentul DPA este anexă la și face parte integrantă din Termenii și Condițiile de utilizare ai platformei Nivlo (denumit în continuare „Contractul Principal").

1. Definiții

Termenii utilizați au semnificația atribuită de GDPR. În plus:

  • „Date cu caracter personal" — orice informație privind o persoană fizică identificată sau identificabilă, prelucrată de Împuternicit în numele Operatorului prin Platforma Nivlo.
  • „Prelucrare" — orice operațiune asupra datelor cu caracter personal: colectare, stocare, organizare, structurare, modificare, consultare, utilizare, divulgare, ștergere sau distrugere.
  • „Platforma" — serviciul cloud de Digital Asset Management (DAM) operat de Nivlo, accesibil la nivlo.com și subdomeniile asociate.
  • „Sub-împuternicit" — orice terț angajat de Împuternicit pentru a efectua operațiuni de prelucrare.
  • „Breșă de securitate" — o încălcare a securității care duce la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal.
  • „Instrucțiuni documentate" — instrucțiunile scrise ale Operatorului, incluzând prezentul DPA, Contractul Principal și orice instrucțiuni ulterioare transmise în scris.

2. Obiectul și durata prelucrării

Împuternicitul prelucrează date cu caracter personal în numele Operatorului exclusiv în scopul furnizării serviciilor de Digital Asset Management prin Platforma Nivlo, conform Contractului Principal.

Durata prelucrării corespunde duratei Contractului Principal (inclusiv reînnoirile), plus perioadele de retenție prevăzute în secțiunea 11.

Detaliile prelucrării (categorii de date, categorii de persoane vizate, natura și scopul) sunt descrise în Anexa A.

3. Obligațiile Împuternicitului

Împuternicitul se obligă:

3.1. Prelucrare conform instrucțiunilor

Să prelucreze datele exclusiv pe baza instrucțiunilor documentate ale Operatorului, inclusiv în ceea ce privește transferurile către o țară terță, cu excepția cazului în care dreptul UE sau dreptul intern impune o astfel de prelucrare.

3.2. Confidențialitate

Să se asigure că persoanele autorizate să prelucreze datele s-au angajat să respecte confidențialitatea sau au o obligație legală corespunzătoare.

3.3. Securitate

Să implementeze măsurile tehnice și organizatorice adecvate prevăzute la art. 32 GDPR și detaliate în Anexa B.

3.4. Sub-împuterniciți

Să respecte condițiile prevăzute în secțiunea 5 pentru angajarea sub-împuterniciților.

3.5. Asistență

Să asiste Operatorul prin măsuri tehnice și organizatorice adecvate, în măsura posibilului, pentru îndeplinirea obligației Operatorului de a răspunde cererilor persoanelor vizate.

3.6. Ștergere sau returnare

La încetarea Contractului Principal, să respecte procedura din secțiunea 11.

3.7. Audit

Să pună la dispoziția Operatorului toate informațiile necesare pentru a demonstra respectarea obligațiilor art. 28 GDPR și să permită audituri conform secțiunii 10.

3.8. Notificarea instrucțiunilor ilegale

Să informeze imediat Operatorul dacă, în opinia sa, o instrucțiune încalcă GDPR sau alte dispoziții ale dreptului UE sau intern.

4. Obligațiile Operatorului

Operatorul se obligă:

  • să se asigure că prelucrarea prin Platformă are un temei legal valid conform art. 6 GDPR;
  • să informeze persoanele vizate conform art. 13 și 14 GDPR;
  • să furnizeze instrucțiuni de prelucrare documentate, legale și corecte;
  • să se asigure că conținutul încărcat respectă legislația aplicabilă, inclusiv drepturile persoanelor vizate;
  • să notifice Împuternicitul cu privire la cererile persoanelor vizate care necesită acțiuni;
  • să evalueze dacă măsurile de securitate sunt adecvate riscurilor prelucrării.

5. Sub-împuterniciți

5.1. Autorizare generală

Operatorul acordă Împuternicitului o autorizare generală scrisă de a angaja sub-împuterniciți. Lista la data semnării este cuprinsă în Anexa C.

5.2. Notificarea modificărilor

Împuternicitul notifică Operatorul prin e-mail cu cel puțin 30 de zile calendaristice înainte de adăugarea sau înlocuirea unui sub-împuternicit.

5.3. Dreptul de obiecție

Dacă Operatorul formulează obiecții justificate în 15 zile, părțile vor negocia o soluție alternativă. Dacă nu se ajunge la soluție în 30 de zile, Operatorul poate rezilia Contractul Principal fără penalități.

5.4. Obligații contractuale

Împuternicitul va impune sub-împuterniciților, prin contract scris, aceleași obligații de protecție a datelor. Împuternicitul rămâne pe deplin responsabil față de Operator.

6. Transferuri internaționale

Datele cu caracter personal sunt stocate și prelucrate exclusiv în Spațiul Economic European (SEE).

Împuternicitul nu va transfera date în afara SEE fără acordul scris al Operatorului și fără existența unuia dintre:

  • Decizie de adecvare a Comisiei Europene (art. 45 GDPR);
  • Clauze Contractuale Standard (art. 46(2)(c) GDPR);
  • Reguli corporatiste obligatorii (art. 47 GDPR);
  • Alt mecanism recunoscut de GDPR.

Aceeași obligație se aplică sub-împuterniciților.

7. Asistență acordată Operatorului

7.1. Cereri ale persoanelor vizate

Împuternicitul asistă Operatorul în gestionarea cererilor (acces, rectificare, ștergere, restricționare, portabilitate, opoziție):

  • notifică Operatorul în 3 zile lucrătoare de la primirea unei cereri directe;
  • furnizează instrumente tehnice în Platformă pentru răspuns autonom;
  • asistență tehnică suplimentară contra cost rezonabil dacă depășește funcționalitățile standard.

7.2. Obligații de conformitate

Împuternicitul asistă Operatorul în asigurarea conformității cu art. 32-36 GDPR (securitate, notificarea breșelor, evaluarea impactului, consultarea prealabilă).

8. Notificarea breșelor de securitate

8.1. Termen de notificare

Împuternicitul notifică Operatorul fără întârziere nejustificată, și în cel mult 48 de ore de la constatarea unei breșe.

8.2. Conținutul notificării

Notificarea va include:

  • descrierea naturii breșei, categorii și număr aproximativ de persoane afectate;
  • datele de contact ale Împuternicitului;
  • descrierea consecințelor probabile;
  • măsurile luate pentru remediere și atenuare.

8.3. Cooperare

Împuternicitul cooperează cu Operatorul în investigarea, remedierea și atenuarea efectelor breșei. Asistă în îndeplinirea obligațiilor de notificare către ANSPDCP (art. 33) și către persoanele vizate (art. 34).

9. Evaluarea impactului asupra protecției datelor (DPIA)

Împuternicitul asistă Operatorul în realizarea DPIA conform art. 35 GDPR, furnizând informații despre:

  • natura, scopul și contextul prelucrării prin Platformă;
  • măsurile tehnice și organizatorice implementate;
  • rezultatele evaluărilor interne de securitate.

10. Audit și inspecții

10.1. Dreptul de audit

Operatorul (sau auditor terț mandatat) are dreptul de audit, sub rezerva:

  • notificare scrisă cu cel puțin 30 de zile în avans;
  • auditul în timpul programului normal de lucru;
  • auditorul terț semnează acord de confidențialitate;
  • auditul nu afectează disproporționat activitatea Împuternicitului sau securitatea altor clienți;
  • maximum un audit pe an, cu excepții pentru breșe sau investigații.

10.2. Alternative la audit

Împuternicitul poate furniza:

  • rapoarte de audit independente (SOC 2, ISO 27001 sau similare);
  • chestionare de securitate completate;
  • certificate de conformitate.

10.3. Costuri

Costurile auditului sunt suportate de Operatorul solicitant. Timpul personalului Împuternicitului este facturat la tariful standard.

11. Returnarea și ștergerea datelor

11.1. La încetarea contractului

La încetarea Contractului Principal, Împuternicitul va:

  • pune la dispoziția Operatorului funcționalitățile de export pe o perioadă de 30 de zile de la data încetării;
  • la cererea scrisă a Operatorului, returna datele într-un format structurat, utilizat în mod curent și care poate fi citit automat;
  • după expirarea perioadei de 30 de zile, șterge definitiv toate datele din sistemele de producție, inclusiv backup-uri, în 30 de zile calendaristice suplimentare.

11.2. Confirmare

La cererea Operatorului, Împuternicitul furnizează confirmare scrisă a ștergerii.

11.3. Excepții

Împuternicitul poate reține date după încetare exclusiv dacă legislația UE sau națională impune păstrarea. În acest caz, informează Operatorul și asigură confidențialitatea.

12. Măsuri tehnice și organizatorice

Împuternicitul implementează măsurile detaliate în Anexa B, incluzând:

  • criptarea datelor în tranzit (TLS 1.2+) și în repaus;
  • controlul accesului bazat pe roluri (RBAC), cu principiul privilegiului minim;
  • autentificare securizată;
  • jurnalizarea accesului și a operațiunilor;
  • backup-uri regulate cu stocare separată în UE;
  • separarea logică a datelor între clienți (multi-tenancy securizat);
  • proceduri de gestionare a incidentelor de securitate;
  • aplicarea regulată a actualizărilor de securitate;
  • formarea personalului cu privire la protecția datelor.

13. Răspunderea

Fiecare parte este responsabilă pentru încălcările GDPR care îi sunt imputabile conform art. 82 GDPR.

Împuternicitul este responsabil pentru daunele cauzate de prelucrare doar în măsura în care nu a respectat obligațiile specifice persoanei împuternicite sau a acționat în afara sau contrar instrucțiunilor legale ale Operatorului.

Limitările de răspundere prevăzute în Contractul Principal se aplică și prezentului DPA, în măsura permisă de lege.

14. Durata și încetarea

Prezentul DPA intră în vigoare la data semnării (sau acceptării electronice a Termenilor) și rămâne în vigoare pe toată durata Contractului Principal.

Obligațiile de confidențialitate, ștergere/returnare a datelor și cooperare în caz de audit supraviețuiesc încetării.

15. Dispoziții finale

Prezentul DPA prevalează asupra oricăror dispoziții contrare din Contractul Principal în ceea ce privește prelucrarea datelor cu caracter personal.

Orice modificare se face în scris, prin acord al ambelor părți.

Prezentul DPA este guvernat de legea română. Litigiile se soluționează conform mecanismului din Contractul Principal.

Anexa A — Detaliile prelucrării

Natura prelucrării

Stocarea, organizarea, indexarea, generarea de miniaturi și previzualizări, transcodarea, transmiterea și afișarea activelor digitale și a metadatelor asociate, conform instrucțiunilor Operatorului, prin intermediul Platformei Nivlo.

Scopul prelucrării

Furnizarea serviciului de Digital Asset Management conform Contractului Principal: stocarea securizată a fișierelor, colaborarea în echipă, partajarea controlată a activelor, gestionarea versiunilor, căutare și filtrare.

Durata prelucrării

Pe durata Contractului Principal + perioadele de retenție conform secțiunii 11.

Categorii de persoane vizate

  • angajații și colaboratorii Operatorului;
  • clienții și partenerii de afaceri ai Operatorului;
  • persoanele prezente în materialele foto/video gestionate (modele, participanți la evenimente, persoane publice);
  • orice altă categorie de persoane vizate ale căror date sunt incluse în conținutul încărcat de Operator.

Categorii de date cu caracter personal

  • Date de identificare vizuală — imagini cu persoane identificabile, portrete, fotografii de eveniment (conținut încărcat de Operator).
  • Metadate EXIF/IPTC — coordonate GPS, dată/oră captură, informații despre dispozitiv, descrieri, cuvinte cheie (încorporate în fișiere).
  • Date de identificare textuale — nume persoane în descrieri, tag-uri, comentarii, denumiri fișiere (metadate adăugate de Operator).
  • Date de contact — adrese e-mail, numere telefon (dacă incluse în documente gestionate).

Date cu caracter special (art. 9 GDPR)

Platforma nu este concepută pentru prelucrarea sistematică a categoriilor speciale de date. Cu toate acestea, conținutul vizual (fotografii) poate, prin natura sa, dezvălui indirect date biometrice, originea rasială/etnică sau alte categorii speciale. Operatorul este responsabil pentru evaluarea necesității și temeiului legal.

Anexa B — Măsuri tehnice și organizatorice

B.1. Criptare (art. 32(1)(a))

  • Criptare în tranzit: TLS 1.2 sau superior pentru toate comunicațiile.
  • Criptare în repaus: criptare la nivel de stocare pentru toate datele persistente.
  • Chei de criptare gestionate separat de datele criptate.

B.2. Confidențialitate și integritate (art. 32(1)(b))

  • Control acces bazat pe roluri (RBAC) cu principiul privilegiului minim.
  • Autentificare cu parolă, cu posibilitate de integrare a mecanismelor corporative.
  • Separare logică a datelor între organizațiile cliente (multi-tenancy).
  • Jurnalizarea tuturor accesărilor și operațiunilor asupra datelor.
  • Acorduri de confidențialitate pentru tot personalul cu acces la date.

B.3. Disponibilitate și reziliență (art. 32(1)(b))

  • Backup-uri regulate cu stocare în locații geografice separate în UE.
  • Verificare periodică a integrității backup-urilor și teste de restaurare.
  • Infrastructură cu redundanță la nivel de stocare.
  • Monitorizare continuă a disponibilității serviciului.

B.4. Capacitate de restaurare (art. 32(1)(c))

  • Proceduri documentate de recuperare în caz de dezastru.
  • Obiectiv de timp de recuperare (RTO): 24 ore.
  • Obiectiv de punct de recuperare (RPO): 24 ore.

B.5. Evaluare periodică (art. 32(1)(d))

  • Evaluări periodice de securitate ale aplicației și infrastructurii.
  • Aplicarea regulată a patch-urilor de securitate.
  • Revizuirea anuală a măsurilor de securitate.

B.6. Măsuri organizatorice

  • Acces la sistemele de producție limitat strict la personalul autorizat.
  • Instruirea personalului privind protecția datelor și securitatea informațiilor.
  • Proceduri documentate de gestionare a incidentelor de securitate.
  • Politică de retenție și ștergere a datelor.

Anexa C — Lista sub-împuterniciților autorizați

La data prezentului Acord, Împuternicitul utilizează următorii sub-împuterniciți:

Hetzner Online GmbH

Sediu: Germania (UE) · Serviciu: Infrastructură server dedicat și stocare (Object Storage S3-compatible) · Locația prelucrării: UE (Germania / Finlanda).

Cloudflare, Inc.

Sediu: SUA · Serviciu: CDN, protecție DDoS, tuneluri securizate · Locația prelucrării: Global (date cache — puncte de prezență UE prioritare).

Cloudflare este certificat în cadrul EU-U.S. Data Privacy Framework. Nivlo utilizează Cloudflare exclusiv pentru tuneluri securizate și distribuție de conținut, fără stocare persistentă a datelor cu caracter personal pe serverele Cloudflare.

Amazon Web Services, Inc. (Amazon WorkMail)

Sediu: SUA · Serviciu: Serviciu de e-mail (comunicări de serviciu, notificări, facturare) · Locația prelucrării: UE (Irlanda, eu-west-1).

Sediul companiei este în SUA, însă instanța Amazon WorkMail utilizată de Nivlo este configurată în regiunea UE. AWS este certificat în cadrul EU-U.S. Data Privacy Framework și oferă Clauze Contractuale Standard.

Lista actualizată a sub-împuterniciților este disponibilă la cerere la adresa [email protected].

Contact și semnături

Pentru semnarea formală a prezentului DPA cu Nivlo (versiune signabilă cu blocuri de semnături), contactează-ne la [email protected]. Acceptarea Termenilor și Condițiilor de utilizare a platformei Nivlo constituie acceptarea prezentului DPA pentru utilizarea standard a serviciului.