Acord de Prelucrare a Datelor (DPA / Acord GDPR)
Versiune: 1.0 Data intrării în vigoare: 04 mai 2026 Ultima actualizare: 04 mai 2026 Limba: Română (versiunea oficială)
AVERTISMENT — STADIU BETA. Serviciul Bits CRM se află în stadiu BETA. Configurațiile tehnice de prelucrare a datelor pot evolua. Bits CRM depune diligențe rezonabile pentru a menține prezentul Acord actualizat și va notifica modificările conform secțiunii 17.
Preambul
Prezentul Acord de Prelucrare a Datelor (denumit în continuare “Acordul” sau “DPA”) se încheie între:
- Clientul Bits CRM, persoana fizică sau juridică care a creat un cont și a acceptat Termenii și Condițiile platformei, în calitate de operator de date cu caracter personal (denumit în continuare “Clientul” — în sens GDPR, controller), pe de o parte, și
- BITS DIGITAL SOLUTIONS S.R.L., CUI 51905748, J2025039656002, capital social 200 RON, e-mail oficial
office@64bits.it, sediu social comunicat la cerere scrisă justificată, în calitate de Împuternicit al Clientului (denumit în continuare “Împuternicit” sau “Processor”), pe de altă parte,
denumiți colectiv “Părțile” și individual “Partea”.
Acordul reglementează prelucrarea datelor cu caracter personal de către Împuternicit pe seama Clientului, în legătură cu utilizarea Serviciilor Bits CRM, în conformitate cu Regulamentul (UE) 2016/679 (GDPR), Legea nr. 190/2018 privind măsurile de punere în aplicare a GDPR în România, Legea nr. 506/2004 și celelalte acte normative aplicabile.
Mecanism de acceptare
Acordul se încheie electronic, prin acceptarea Termenilor și Condițiilor Bits CRM, în care prezentul DPA este integrat prin referință. Prin acceptarea Termenilor și Condițiilor, Clientul confirmă acceptarea integrală și fără rezerve a prezentului Acord în versiunea publicată la https://bitscrm.ro/acord-gdpr la momentul acceptării.
Pentru clienții enterprise care au nevoie de modificări custom (clauze suplimentare, anexe specifice, semnare electronică formală), DPA-ul standard poate fi adaptat prin negociere bilaterală — solicitare la office@64bits.it.
Documente integrate prin referință
Prezentul Acord se citește împreună cu:
- Termenii și Condițiile —
https://bitscrm.ro/termeni-si-conditii - Politica de Confidențialitate —
https://bitscrm.ro/politica-de-confidentialitate
În caz de conflict între prevederile Termenilor și Condițiilor și prezentul Acord, pe aspecte de protecție a datelor cu caracter personal, prevalează prezentul Acord.
1. Definiții
În cuprinsul prezentului Acord, termenii de mai jos au înțelesul prevăzut de art. 4 GDPR sau, după caz, înțelesul atribuit în Termenii și Condițiile Bits CRM:
- Date cu caracter personal — orice informație privind o persoană fizică identificată sau identificabilă (art. 4 pct. 1 GDPR).
- Prelucrare — orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal (art. 4 pct. 2 GDPR).
- Client — Clientul Bits CRM, în calitate de operator de date GDPR (controller); cel care stabilește scopurile și mijloacele prelucrării Conținutului Clientului.
- Împuternicit (sau Bits CRM) — BITS DIGITAL SOLUTIONS S.R.L., în calitate de processor GDPR; cel care prelucrează datele pe seama Clientului, conform instrucțiunilor acestuia.
- Persoană vizată — persoana fizică ale cărei date sunt prelucrate (clienții finali ai Clientului, contactele, prospecții, partenerii etc.).
- Conținutul Clientului — datele cu caracter personal și alte informații încărcate, create, transmise sau procesate de Client sau de Utilizatorii săi prin platforma Bits CRM.
- Servicii — funcționalitățile platformei Bits CRM, descrise în Termenii și Condițiile.
- Servicii de care depindem — furnizorii terți de tehnologie esențială pentru funcționarea Serviciilor (sub-împuterniciți / sub-processors).
- Breach — încălcarea securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal (art. 4 pct. 12 GDPR).
- Autoritate de supraveghere — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), https://dataprotection.ro.
2. Obiectul, durata, natura și scopul prelucrării
2.1 Obiect
Obiectul prelucrării este Conținutul Clientului care conține date cu caracter personal, prelucrat prin platforma Bits CRM în scopul furnizării Serviciilor abonate de Client.
2.2 Durată
Acordul se aplică:
- pe întreaga durată a contractului dintre Părți guvernat de Termenii și Condițiile Bits CRM;
- și pe perioada de retenție post-încetare prevăzută la secțiunea 15.
2.3 Natura prelucrării
Prelucrarea include, fără a se limita la: stocare, organizare, structurare, adaptare sau modificare, recuperare, consultare, utilizare, divulgare prin transmitere, restricționare, ștergere sau distrugere, transmitere către sub-împuterniciți strict pentru funcționarea Serviciilor.
2.4 Scopul prelucrării
Furnizarea Serviciilor Bits CRM (CRM, facturare e-Factura, plăți, calendar, programări, drive, note colaborative, task management, video meetings, AI assistant, OCR, push notifications, RBAC) la instrucțiunea Clientului, conform configurațiilor acestuia în platformă.
Detaliile complete ale prelucrării sunt prezentate în Anexa A.
3. Tipuri de date și categorii de persoane vizate
Tipurile concrete de date cu caracter personal prelucrate și categoriile de persoane vizate sunt descrise detaliat în Anexa A și pot include, în funcție de utilizarea făcută de Client:
- date de identificare și contact ale clienților finali, contactelor, partenerilor;
- date fiscale (CUI/CIF) ale entităților contractante;
- date financiare (facturi, plăți, sume);
- comunicări (e-mail, SMS, mesaje in-aplicație);
- conținut de documente, fișiere, imagini scanate;
- prompts și output AI introduse / generate de utilizatorii Clientului;
- în mod excepțional și sub responsabilitatea exclusivă a Clientului: date sensibile (date privind sănătatea pentru cabinete medicale; date sub secret profesional pentru avocați; date despre minori pentru profesori etc.).
4. Obligațiile Clientului
Clientul își asumă următoarele obligații, în calitate de controller al datelor:
4.1 Bază legală
Clientul se asigură că dispune de un temei legal valabil (art. 6 GDPR și, dacă este cazul, art. 9 sau 10 GDPR) pentru fiecare prelucrare de date personale efectuată prin platformă.
4.2 Informare persoane vizate
Clientul își îndeplinește obligațiile de informare prevăzute la art. 13 și 14 GDPR față de persoanele vizate ale căror date le încarcă în platformă.
4.3 Drepturile persoanelor vizate
Clientul răspunde primar pentru exercitarea drepturilor persoanelor vizate (acces, rectificare, ștergere, restricționare, portabilitate, opoziție), cu asistența Împuternicitului conform secțiunii 8.
4.4 Instrucțiuni legale
Clientul transmite Împuternicitului doar instrucțiuni legale, conforme cu GDPR și legislația aplicabilă. Clientul se asigură că instrucțiunile date prin configurarea Serviciilor sunt în limita scopurilor declarate persoanelor vizate.
4.5 Conținut Client conform
Clientul răspunde pentru ca Conținutul Clientului să nu încalce drepturile terților, să nu conțină date colectate nelegal și să respecte obligațiile fiscale, profesionale și de marketing aplicabile activității sale.
4.6 Conformitate Lege 506/2004
Pentru utilizarea funcționalităților de comunicare comercială (e-mail/SMS marketing, înregistrare apeluri/meeting-uri), Clientul respectă Legea 506/2004 art. 12 — opt-in, soft opt-in, identificare expeditor, mecanism unsubscribe — și asigură consimțământul / informarea adecvată a destinatarilor.
4.7 Date sensibile
Dacă Clientul încarcă în platformă date din categoriile speciale prevăzute la art. 9 GDPR sau date privind condamnări penale (art. 10 GDPR), Clientul se asigură că dispune de un temei legal special (consimțământ expres, obligație legală, interes vital, etc.) și aplică garanții adecvate suplimentare.
5. Obligațiile Împuternicitului
Conform art. 28 alin. (3) GDPR, Împuternicitul își asumă următoarele obligații:
5.1 Prelucrare doar pe instrucțiuni documentate
Împuternicitul prelucrează datele cu caracter personal exclusiv pe baza instrucțiunilor documentate ale Clientului, inclusiv în legătură cu transferurile internaționale, cu excepția cazurilor în care prelucrarea este impusă de dreptul Uniunii sau de dreptul român.
Se consideră instrucțiuni documentate: prezentul Acord, Termenii și Condițiile Bits CRM, configurările făcute de Client în platformă, instrucțiunile scrise transmise la office@64bits.it.
Dacă Împuternicitul are obligația legală de a prelucra date în afara acestor instrucțiuni, informează Clientul despre obligația respectivă înaintea prelucrării, cu excepția cazurilor în care legea aplicabilă interzice o astfel de informare din motive importante de interes public.
Dacă o instrucțiune a Clientului încalcă, în opinia Împuternicitului, GDPR sau alte dispoziții legale UE/RO privind protecția datelor, Împuternicitul informează prompt Clientul.
5.2 Confidențialitate personal
Împuternicitul se asigură că toate persoanele autorizate să prelucreze datele cu caracter personal sunt obligate la confidențialitate, prin contracte de muncă, acorduri de confidențialitate (NDA) sau alte obligații statutare echivalente.
5.3 Măsuri tehnice și organizatorice
Împuternicitul implementează măsuri tehnice și organizatorice adecvate, conform art. 32 GDPR, pentru a asigura un nivel de securitate corespunzător riscului. Detaliile sunt prezentate în Anexa B. Aceste măsuri pot evolua pe parcursul stadiului BETA al platformei.
5.4 Sub-împuterniciți
Vezi secțiunea 6 de mai jos.
5.5 Asistență la cereri ale persoanelor vizate
Împuternicitul asistă Clientul, în măsura posibilităților tehnice și organizatorice ale Serviciilor, în îndeplinirea obligației de a răspunde cererilor persoanelor vizate privind drepturile lor (art. 15-22 GDPR), inclusiv:
- furnizarea de exporturi de date;
- ștergerea sau anonimizarea datelor specificate;
- restricționarea prelucrării;
- corectarea datelor inexacte.
Asistența este gratuită pentru cereri rezonabile. Pentru cereri vădit nefondate sau excesive (în special prin caracter repetitiv), Împuternicitul poate refuza sau percepe o taxă rezonabilă pe baza costurilor administrative (art. 12 alin. 5 GDPR).
5.6 Asistență la obligațiile Clientului (art. 32-36)
Împuternicitul asistă Clientul în asigurarea respectării obligațiilor sale conform art. 32-36 GDPR, ținând cont de natura prelucrării și de informațiile aflate la dispoziția Împuternicitului:
- implementarea măsurilor de securitate (art. 32);
- notificarea breșelor (art. 33-34);
- realizarea evaluărilor de impact privind protecția datelor (DPIA — art. 35);
- consultarea prealabilă cu autoritatea de supraveghere (art. 36).
5.7 Notificarea breșelor de securitate
Conform art. 33 alin. (2) GDPR, Împuternicitul notifică Clientul fără întârzieri nejustificate după ce a luat cunoștință de o breșă privind datele cu caracter personal, în termen-țintă de 48 ore.
Notificarea include, în măsura informațiilor disponibile la momentul notificării:
- natura breșei;
- categoriile și numărul aproximativ de persoane vizate afectate;
- categoriile și numărul aproximativ de înregistrări de date afectate;
- consecințele probabile ale breșei;
- măsurile întreprinse sau propuse pentru remediere și pentru atenuarea efectelor adverse;
- punctul de contact pentru informații suplimentare.
Clientul rămâne responsabil pentru notificarea breșei către ANSPDCP în termen de 72 ore (art. 33 GDPR) și, dacă este cazul, către persoanele vizate (art. 34 GDPR), folosind informațiile primite de la Împuternicit.
Detaliile procedurale sunt în secțiunea 10.
5.8 Returnare / ștergere date la încetare
La încetarea prestării Serviciilor, conform alegerii Clientului, Împuternicitul returnează toate datele cu caracter personal Clientului sau le șterge și distruge copiile existente, cu excepția cazurilor în care dreptul UE sau român cere stocarea în continuare. Detaliile sunt în secțiunea 15.
5.9 Punere la dispoziție info conformare
Împuternicitul pune la dispoziția Clientului toate informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute la art. 28 GDPR. Pentru detalii privind regimul de audit, vezi secțiunea 12.
6. Sub-împuterniciți (sub-processors)
6.1 Autorizație generală
Clientul autorizează general Împuternicitul să folosească sub-împuterniciți pentru furnizarea Serviciilor, sub rezerva îndeplinirii obligațiilor de mai jos.
6.2 Categorii curente
Categoriile actuale de sub-împuterniciți (Servicii de care depindem) sunt enumerate în Anexa C. Acestea includ, cu titlu exemplificativ și fără a fi limitative:
- furnizor de infrastructură cloud (hosting bază de date, stocare obiecte, cache);
- furnizor de e-mail tranzacțional;
- furnizor de procesare plăți (cu certificare PCI-DSS);
- furnizor de modele de inteligență artificială;
- furnizor de infrastructură pentru meeting-uri video;
- furnizor de protecție anti-bot (CAPTCHA);
- furnizor de notificări push mobile.
6.3 Lista detaliată
Lista detaliată a sub-împuterniciților, cu numele specific al furnizorilor, jurisdicția și DPA-ul terț aplicabil, este disponibilă la cerere scrisă justificată transmisă la office@64bits.it, posibil sub o obligație rezonabilă de confidențialitate, în vederea protejării designului software și a strategiei comerciale.
6.4 Obligații sub-împuterniciți
Împuternicitul se asigură că fiecare sub-împuternicit este angajat printr-un contract scris care impune obligații de protecție a datelor echivalente cu cele din prezentul Acord, în special privind măsurile tehnice și organizatorice și obligația de confidențialitate.
6.5 Notificare modificări
Împuternicitul notifică Clientul cu privire la adăugarea sau înlocuirea unui sub-împuternicit cu minim 30 de zile calendaristice înainte de modificare, prin e-mail la adresa asociată contului și/sau prin notificare in-aplicație.
6.6 Drept de obiecție
În termen de 30 de zile de la notificare, Clientul poate obiecta motivat la modificare, prin notificare scrisă la office@64bits.it. Motivele rezonabile pot include riscuri specifice de protecție a datelor, conformitate cu cerințe sectoriale ale Clientului sau alte motive obiective.
În caz de obiecție motivată:
- Părțile inițiază un dialog de bună-credință pentru a găsi o soluție acceptabilă (de exemplu, configurări care exclud sub-împuternicitul respectiv pentru anumite componente);
- Dacă nu se ajunge la o soluție în termen rezonabil (max. 30 zile suplimentare), Clientul poate denunța Termenii și Condițiile fără penalitate și fără prejudicierea drepturilor sale prin denunțare. Denunțarea produce efect la o dată stabilită prin acord, dar nu mai târziu decât intrarea în vigoare a modificării.
6.7 Răspunderea Împuternicitului
Împuternicitul rămâne integral răspunzător față de Client pentru obligațiile sub-împuternicitului, în limita stabilită de prezentul Acord și de Termenii și Condițiile.
7. Transferuri internaționale
Anumite Servicii de care depindem pot prelucra date în afara Spațiului Economic European (SEE), în special: furnizorii de modele AI, de procesare plăți și de e-mail tranzacțional pot avea componente operate din Statele Unite ale Americii sau din alte jurisdicții terțe.
7.1 Garanții adecvate
Aceste transferuri sunt acoperite prin garanții adecvate conform art. 46 GDPR:
- Clauze contractuale standard adoptate de Comisia Europeană prin Decizia (UE) 2021/914;
- EU-US Data Privacy Framework (Decizia (UE) 2023/1795), pentru entitățile certificate;
- Alte mecanisme recunoscute de GDPR (norme corporative obligatorii, derogări specifice etc.), dacă este cazul.
7.2 Schrems II — măsuri suplimentare
Pentru transferurile către țări terțe care nu beneficiază de o decizie privind caracterul adecvat, Împuternicitul efectuează (direct sau în coordonare cu sub-împuterniciții) un Transfer Impact Assessment (TIA) conform Recomandărilor 01/2020 ale EDPB, care include analiza:
- legilor jurisdicției destinatarului privind accesul autorităților publice la date;
- măsurilor suplimentare contractuale, organizatorice și tehnice (criptare, pseudonimizare, etc.);
- riscurilor reziduale.
Documentele TIA sunt disponibile la cerere scrisă transmisă la office@64bits.it, cu excepția informațiilor pentru care Împuternicitul este obligat la confidențialitate.
7.3 Autorizare prin acceptare
Prin acceptarea prezentului Acord, Clientul autorizează transferurile internaționale necesare pentru funcționarea Serviciilor, condiționat de garanțiile adecvate de mai sus.
8. Asistența la drepturile persoanelor vizate
8.1 Cereri primite direct de Împuternicit
Dacă o cerere a unei persoane vizate ajunge direct la Împuternicit (la office@64bits.it), iar cererea privește date prelucrate pe seama unui Client, Împuternicitul:
- redirecționează cererea către Client în termen de maxim 5 zile lucrătoare;
- informează persoana vizată că cererea a fost redirecționată către operatorul de date competent;
- nu răspunde pe fondul cererii fără instrucțiunile Clientului.
8.2 Asistență tehnică
La cererea Clientului, Împuternicitul oferă asistență tehnică pentru îndeplinirea obligațiilor sale față de persoanele vizate, în limita posibilităților tehnice ale Serviciilor:
- Acces (art. 15) — exporturi structurate ale datelor relevante;
- Rectificare (art. 16) — instrumentele de modificare disponibile în platformă;
- Ștergere (art. 17) — instrumente de ștergere; ștergeri solicitate operațional la
office@64bits.it; - Restricționare (art. 18) — marcare/blocare temporară a datelor;
- Portabilitate (art. 20) — exporturi în format structurat (JSON, CSV, ZIP);
- Opoziție (art. 21) — instrumente de configurare pentru anumite prelucrări.
8.3 Cost
Asistența este gratuită pentru cereri rezonabile. Pentru cereri vădit nefondate sau excesive, Împuternicitul poate percepe o taxă rezonabilă sau poate refuza solicitarea, în condițiile art. 12 alin. (5) GDPR.
9. Măsuri tehnice și organizatorice (TOM)
Măsurile tehnice și organizatorice implementate de Împuternicit pentru a asigura un nivel de securitate adecvat riscului sunt prezentate în Anexa B.
Aceste măsuri sunt aliniate cu art. 32 GDPR, ținând cont de stadiul actual al tehnologiei, costurile de implementare, natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscurile pentru drepturile și libertățile persoanelor fizice.
Împuternicitul revizuiește și actualizează periodic TOM, pentru a se adapta evoluției amenințărilor și a tehnologiei. Modificările TOM pot fi efectuate fără notificare prealabilă, dacă mențin sau îmbunătățesc nivelul de securitate. Modificările care reduc semnificativ nivelul de securitate vor fi notificate Clientului conform secțiunii 17.
10. Notificarea breșelor de securitate
10.1 Definiție
“Breșă de date cu caracter personal” are înțelesul prevăzut la art. 4 pct. 12 GDPR — încălcarea securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate.
10.2 Termen
Împuternicitul notifică Clientul fără întârzieri nejustificate după ce a luat cunoștință de o breșă, în termen-țintă de 48 ore. Acest termen permite Clientului să-și îndeplinească obligația de notificare către ANSPDCP în maxim 72 ore (art. 33 GDPR).
10.3 Conținut notificare
Notificarea include, conform art. 33 alin. (3) GDPR:
- (a) descrierea naturii breșei, inclusiv categoriile și numărul aproximativ de persoane vizate afectate, categoriile și numărul aproximativ de înregistrări afectate;
- (b) numele și datele de contact ale punctului de contact pentru informații suplimentare (DPO sau echivalent);
- (c) consecințele probabile ale breșei;
- (d) măsurile luate sau propuse de Împuternicit pentru a remedia breșa și a atenua eventualele efecte adverse.
Dacă nu este posibil să se furnizeze toate informațiile simultan, ele pot fi furnizate în etape, fără întârzieri suplimentare nejustificate.
10.4 Cooperare
Împuternicitul cooperează cu Clientul pentru:
- investigarea breșei;
- pregătirea notificării către ANSPDCP;
- pregătirea (dacă este cazul) a comunicării către persoanele vizate (art. 34 GDPR);
- documentarea breșei conform art. 33 alin. (5) GDPR.
10.5 Documentare
Împuternicitul documentează intern toate breșele care l-au afectat, indiferent de notificarea către Client, conform art. 33 alin. (5) GDPR.
11. Evaluări de impact și consultare prealabilă
11.1 DPIA (art. 35 GDPR)
Atunci când Clientul este obligat să efectueze o evaluare a impactului asupra protecției datelor (DPIA) — în special pentru prelucrări cu risc ridicat (date sensibile la scară largă, profilare cu efecte juridice, monitorizare sistemică etc.) — Împuternicitul asistă rezonabil Clientul, în limita informațiilor necesare pentru îndeplinirea obligației Clientului conform art. 35 GDPR.
Informațiile puse la dispoziție la cererea scrisă a Clientului:
- descrierea operațiunilor de prelucrare la nivel adecvat pentru DPIA (a se vedea Anexa A);
- măsurile tehnice și organizatorice aplicate, la nivelul de detaliu prezentat în Anexa B;
- categoriile de sub-împuterniciți și transferurile internaționale (a se vedea Anexa C);
- statistici generale, agregate, privind incidentele de securitate — la cerere motivată.
Limite:
- Împuternicitul nu este obligat să divulge informații care constituie secret comercial, know-how protejat, design software intern, detalii de arhitectură tehnică, configurații de rețea, sau alte informații a căror divulgare ar putea afecta securitatea Serviciilor sau strategia comercială a Împuternicitului. Aceste limite sunt recunoscute de art. 28 GDPR (asistența este “rezonabilă, ținând cont de natura prelucrării și de informațiile aflate la dispoziția împuternicitului”) și de Directiva (UE) 2016/943 privind secretele de afaceri.
- Informațiile furnizate sunt confidențiale și pot fi puse la dispoziție sub o obligație rezonabilă de confidențialitate (NDA), la solicitarea Împuternicitului.
- Cererile vădit excesive sau care depășesc nevoile reale ale unei DPIA (de exemplu, cereri de cod sursă, scheme detaliate de infrastructură, secrete operaționale) pot fi refuzate motivat.
Pentru DPIA-uri în legătură cu funcționalități AI sau alte componente noi, Împuternicitul poate furniza, suplimentar, o scurtă descriere a fluxului de date și a furnizorilor implicați (la nivel de categorii), fără a divulga detalii de implementare.
11.2 Consultare prealabilă (art. 36 GDPR)
Dacă Clientul, în urma DPIA, este obligat să consulte ANSPDCP înainte de a începe prelucrarea, Împuternicitul oferă asistență rezonabilă (clarificări, informații suplimentare la nivelul deja prezentat în Anexele A, B, C) la cererea Clientului, sub aceleași limite de protecție a secretului comercial prevăzute la 11.1.
12. Audit și inspecție
12.1 Drept Operator
Clientul are dreptul de a verifica respectarea obligațiilor Împuternicitului prevăzute la art. 28 GDPR și în prezentul Acord, conform regimului descris mai jos.
12.2 Modalitate
Având în vedere natura SaaS multi-tenant a Serviciilor și stadiul BETA al platformei, Împuternicitul oferă următoarele forme de demonstrare a conformității:
(a) Răspuns la cereri rezonabile de informare — la solicitarea scrisă a Clientului transmisă la office@64bits.it, Împuternicitul furnizează în termen rezonabil (max. 30 zile) informații despre TOM, sub-împuterniciți, transferuri internaționale, jurnalele de audit relevante pentru contul Clientului și alte aspecte legate de protecția datelor.
(b) Certificări terțe, când vor fi disponibile — Împuternicitul intenționează să obțină certificări recunoscute (de exemplu ISO/IEC 27001 — audit în progres) și rapoarte de tip SOC 2 (planificate). Aceste rapoarte/certificate vor fi furnizate Clientului la cerere, sub eventuală obligație de confidențialitate (NDA), și vor constitui dovadă suficientă a conformității Împuternicitului în domeniile acoperite.
(c) Audituri on-site — la momentul actual, având în vedere stadiul BETA și caracterul multi-tenant al Serviciilor, auditurile on-site la sediul Împuternicitului nu sunt disponibile prin DPA-ul standard. Astfel de audituri pot fi negociate bilateral, în cadrul unui contract enterprise custom, cu costuri suportate de Client (cu excepția cazurilor de neconformitate substanțială demonstrată).
12.3 Frecvență
Solicitările de informare conform 12.2(a) pot fi efectuate maxim o dată pe an calendaristic, cu excepția cazurilor în care:
- există o suspiciune motivată de neconformitate substanțială;
- a avut loc un breach notificat conform secțiunii 10;
- o autoritate de supraveghere solicită Clientului informații despre Împuternicit.
12.4 Confidențialitate
Toate informațiile obținute de Client în cadrul exercițiului de audit sunt confidențiale și pot fi utilizate exclusiv în scopul verificării conformității.
12.5 Cost
Costurile activităților de audit sunt în sarcina Clientului, cu excepția cazurilor în care auditul relevă o neconformitate substanțială a Împuternicitului — caz în care costurile rezonabile sunt suportate de Împuternicit.
13. Răspunderea
13.1 Răspunderea contractuală între Părți
Răspunderea contractuală între Client și Împuternicit pentru încălcări ale prezentului Acord este limitată la nivelul prevăzut în Termenii și Condițiile Bits CRM, secțiunea 11.3 — adică suma efectiv plătită de Client în ultimele 12 luni anterioare evenimentului generator.
13.2 Răspunderea față de persoanele vizate (art. 82 GDPR)
Conform art. 82 GDPR:
- Clientul și Împuternicitul răspund pentru prejudiciul cauzat printr-o prelucrare care încalcă GDPR;
- Clientul răspunde pentru prejudiciul cauzat printr-o prelucrare neconformă cu GDPR;
- Împuternicitul răspunde pentru prejudiciul cauzat printr-o prelucrare numai în cazul în care nu și-a respectat obligațiile prevăzute pentru împuterniciți de GDPR sau a acționat în afara instrucțiunilor legale ale Clientului sau în contradicție cu acestea;
- Clientul și Împuternicitul răspund solidar pentru întregul prejudiciu, persoana vizată putând solicita despăgubirea de la oricare dintre ei;
- Recursul intern între Client și Împuternicit se face proporțional cu vinovăția fiecăruia.
Limitările contractuale dintre Client și Împuternicit nu afectează răspunderea solidară față de persoanele vizate — această răspundere este imperativă și nu poate fi exclusă sau limitată contractual.
13.3 Excluderi
Limitările de răspundere prevăzute în prezentul Acord și în Termenii și Condițiile nu se aplică pentru:
- dol și culpă gravă ale unei Părți (art. 1355 alin. 2 Cod civil);
- daune corporale;
- răspunderea imperativă față de persoanele vizate (art. 82 GDPR);
- amenzi administrative GDPR (art. 83) — fiecare Parte răspunde pentru amenzile primite în baza propriilor încălcări.
14. Durată
Prezentul Acord intră în vigoare la momentul acceptării Termenilor și Condițiilor Bits CRM și rămâne în vigoare pe întreaga durată a contractului dintre Părți, precum și pentru perioada de retenție post-încetare prevăzută la secțiunea 15.
Acordul nu poate fi denunțat unilateral de o Parte fără denunțarea simultană a Termenilor și Condițiilor — având în vedere că Acordul este un instrument auxiliar al raportului contractual principal.
Obligațiile post-încetare (returnare/ștergere date, confidențialitate, asistență la cereri persoane vizate pentru breach-uri descoperite ulterior încetării) supraviețuiesc încetării contractului.
15. Returnare / ștergere date la încetare
15.1 Opțiunea Clientului
La încetarea Serviciilor (din orice motiv), Clientul poate alege:
- (a) Export complet al datelor — disponibil pentru o perioadă de 90 zile de la încetare, prin instrumentele standard ale platformei sau prin solicitare la
office@64bits.it; - (b) Ștergere imediată — la cererea expresă a Clientului, ștergerea poate începe înainte de expirarea celor 90 zile, sub răspunderea exclusivă a Clientului pentru pierderea datelor.
15.2 Procedură implicită
În lipsa unei opțiuni exprese din partea Clientului, datele rămân accesibile pentru export 90 de zile de la încetare; după acest termen, datele sunt șterse irevocabil din sistemele primare de producție.
15.3 Backup-uri
Backup-urile pot conține date pentru o perioadă suplimentară limitată (max. 35 zile), după care sunt rotite și șterse conform politicii de backup a Împuternicitului. Pe parcursul acestei perioade, datele din backup sunt inactive operațional și nu mai pot fi accesate sau prelucrate decât în scopuri excepționale (recuperare incident).
15.4 Excepții pentru obligații legale
Anumite categorii de date sunt păstrate după încetarea contractului, conform obligațiilor legale aplicabile:
- Facturi și documente fiscale — 10 ani conform art. 25 din Legea contabilității nr. 82/1991;
- Jurnale de audit — conform politicii interne de securitate, în limita necesară conformării cu cerințe de reglementare;
- Alte date care fac obiectul unor obligații legale specifice de păstrare.
15.5 Confirmare
La cererea expresă a Clientului, Împuternicitul confirmă în scris ștergerea efectuată, cu indicarea datelor șterse și a celor reținute conform obligațiilor legale.
16. Confidențialitate
16.1 Obligație mutuală
Fiecare Parte se obligă să păstreze confidențialitatea informațiilor sensibile primite de la cealaltă Parte în legătură cu prezentul Acord, inclusiv informațiile despre arhitectura tehnică, sub-împuterniciți, jurnale de audit, rapoarte de breach, TIA-uri.
16.2 Excepții
Obligația de confidențialitate nu se aplică informațiilor:
- deja publice la momentul divulgării sau care devin ulterior publice fără culpa Părții destinatare;
- deja cunoscute Părții destinatare fără obligație de confidențialitate;
- dezvoltate independent fără folosirea informațiilor confidențiale primite;
- divulgate cu acordul scris al Părții care le-a furnizat;
- a căror divulgare este impusă de o obligație legală (ordin instanță, cerere oficială autoritate). În acest caz, Partea obligată notifică prompt cealaltă Parte (în limita permisă de lege) și divulgă doar minimul necesar.
16.3 Durată
Obligația de confidențialitate rămâne în vigoare pe durata contractului și 3 ani după încetare, sau mai mult pentru categorii specifice prevăzute în Termenii și Condițiile.
17. Dispoziții finale
17.1 Lege aplicabilă
Prezentul Acord este guvernat de legea română și de GDPR ca regulament UE direct aplicabil, conform Termenilor și Condițiilor secțiunea 16.1.
17.2 Jurisdicție
Jurisdicția se aliniază cu Termenii și Condițiile secțiunea 16.2:
- B2B (profesioniști): instanțele competente de la sediul Împuternicitului;
- B2C (consumatori): instanțele de la domiciliul Consumatorului (imperativ).
17.3 Lege prevalentă
În caz de conflict între prezentul Acord și Termenii și Condițiile pe aspecte de protecție a datelor cu caracter personal, prezentul Acord prevalează.
17.4 Modificări
Împuternicitul poate modifica prezentul Acord cu notificare prealabilă de minim 30 zile prin e-mail asociat contului și/sau in-aplicație, cu excepția modificărilor impuse de schimbări legislative imperative (intrate în vigoare imediat) sau a celor care nu au efect defavorabil substanțial pentru Client.
În caz de modificare defavorabilă substanțială, Clientul are dreptul de denunțare gratuită a Termenilor și Condițiilor înainte de intrarea în vigoare a modificării.
Versionare publică pe pagina dedicată, cu data intrării în vigoare clar marcată.
17.5 Independența clauzelor
Dacă o clauză a prezentului Acord este declarată nulă sau neaplicabilă, celelalte clauze rămân în vigoare. Clauza afectată va fi înlocuită cu o clauză valabilă care reflectă cât mai aproape intenția inițială, în limitele permise de lege.
17.6 Limba
Versiunea română a prezentului Acord este versiunea oficială și prevalentă. Eventualele traduceri (engleză sau alte limbi) sunt furnizate din curtoazie, fără valoare juridică egală. În caz de discrepanță, prevalează textul în limba română.
17.7 Notificări
Toate notificările oficiale către Împuternicit se transmit la office@64bits.it. Notificările către Client se transmit la adresa de e-mail asociată contului și/sau prin notificare in-aplicație.
Anexa A — Descrierea prelucrării
| Element | Detaliu |
|---|---|
| Subiect | Prelucrarea Conținutului Clientului care conține date cu caracter personal, în scopul furnizării Serviciilor Bits CRM. |
| Durată | Pe durata contractului T&C + perioada de retenție post-încetare (90 zile pentru export, apoi ștergere; backup-uri max. 35 zile; excepții legale). |
| Natură | Stocare, organizare, structurare, adaptare, recuperare, consultare, utilizare, divulgare prin transmitere către sub-împuterniciți, restricționare, ștergere. |
| Scop | Furnizarea Serviciilor Bits CRM (CRM, facturare, plăți, calendar, programări, drive, note, task management, video meetings, AI, OCR, push) la instrucțiunea Clientului. |
| Categorii date prelucrate | (a) date de identificare (nume, prenume, e-mail, telefon, avatar); (b) date de contact (adrese, telefoane); (c) date fiscale (CUI/CIF, statut fiscal); (d) date financiare (facturi, plăți, sume, instrumente de plată — fără date card); (e) comunicări (e-mail, SMS, mesaje in-aplicație); (f) fișiere și documente încărcate (PDF, scanări, imagini); (g) prompts și output AI; (h) excepțional și sub responsabilitatea Clientului: date sensibile (sănătate, secret profesional, date despre minori). |
| Categorii persoane vizate | (a) clienții finali și prospecții Clientului; (b) contacte profesionale; (c) parteneri și colaboratori; (d) angajați și membri ai echipei Clientului adăugați ca utilizatori; (e) persoane fizice menționate în comunicări sau documente. |
| Categorii speciale (art. 9, 10 GDPR) | NU sunt colectate sau cerute de Bits CRM. Dacă Clientul încarcă astfel de date prin platformă, asigură pe propria responsabilitate temei legal special (art. 9 alin. 2 GDPR pentru date sensibile; art. 10 GDPR pentru condamnări) și aplică garanții adecvate. |
Anexa B — Măsuri tehnice și organizatorice (TOM)
În conformitate cu art. 32 GDPR, Împuternicitul implementează următoarele măsuri:
B.1 Măsuri tehnice
Control acces:
- Autentificare cu credențiale individuale;
- Autentificare în doi factori (2FA TOTP) — disponibilă, recomandată insistent;
- Control acces bazat pe roluri (RBAC), cu permisiuni granulare;
- Token-uri de sesiune cu durată limitată și revocare imediată.
Encriptare:
- Encriptare în tranzit (TLS) pentru toate comunicările;
- Stocare criptată pentru date sensibile (de exemplu CNP);
- Hashing modern pentru parole.
Securitate operațională:
- Rate-limiting pe punctele sensibile (autentificare, share links);
- Protecție anti-bot (CAPTCHA) pe formularele expuse public;
- Monitorizare a infrastructurii și a evenimentelor de securitate;
- Jurnalizare audit pentru acțiuni privilegiate.
Reziliență:
- Backup-uri zilnice automate, retenție 30 zile;
- Capacitate de recuperare punct-în-timp (point-in-time recovery) pentru ultimele 7 zile;
- Testare periodică a procedurilor de restaurare.
B.2 Măsuri organizatorice
- Acces strict pe nevoia de a cunoaște — personalul are acces doar la datele necesare îndeplinirii sarcinilor;
- Obligații de confidențialitate prin contracte de muncă și NDA;
- Formare periodică a personalului pe protecția datelor și conformitate GDPR;
- Proceduri formalizate de gestionare a incidentelor de securitate;
- Evaluare furnizori — verificarea sub-împuterniciților înainte de selectare;
- Politici interne de retenție, ștergere și gestionare a backup-urilor;
- Punct de contact dedicat pentru cereri privind protecția datelor (
office@64bits.it).
B.3 Măsuri specifice transferurilor internaționale
- Clauze Contractuale Standard (Decizia 2021/914/UE) cu sub-împuterniciții relevanți;
- Transfer Impact Assessment (TIA) documentat pentru jurisdicții terțe;
- Măsuri suplimentare unde este necesar (criptare end-to-end, pseudonimizare).
B.4 Revizuire
TOM este revizuit periodic și actualizat în funcție de:
- evoluția amenințărilor de securitate;
- noi cerințe legale și de reglementare;
- feedback din incidentele de securitate;
- recomandări ANSPDCP, EDPB sau alte autorități competente.
Anexa C — Sub-împuterniciți (categorii)
La data emiterii prezentului Acord, Împuternicitul folosește sub-împuterniciți din următoarele categorii pentru funcționarea Serviciilor:
| Categorie | Funcție | Locație tipică |
|---|---|---|
| Furnizor de infrastructură cloud | Găzduire baze de date, stocare obiecte (fișiere), cache | UE / SUA cu garanții adecvate |
| Furnizor e-mail tranzacțional | Trimitere e-mailuri tranzacționale (confirmări, alerte, facturi) | UE / SUA |
| Furnizor procesare plăți (PCI-DSS) | Procesare carduri și plăți electronice | UE / SUA |
| Furnizor modele AI | Inferență AI Assistant, OCR, embeddings | UE / SUA |
| Furnizor video meetings | Infrastructură SFU pentru meeting-uri video | UE |
| Furnizor protecție anti-bot | CAPTCHA pe puncte sensibile | UE / Global |
| Furnizor notificări push | Livrare notificări push către dispozitive mobile | UE / SUA |
Lista detaliată cu numele specifice ale furnizorilor, jurisdicțiile exacte, DPA-urile terțe și măsurile suplimentare de transfer este disponibilă la cerere scrisă justificată transmisă la office@64bits.it, sub eventuală obligație rezonabilă de confidențialitate (NDA), pentru protejarea designului software și a strategiei comerciale.
Notificarea modificărilor și dreptul de obiecție sunt reglementate la secțiunea 6 a prezentului Acord.
Notă de încheiere
Aplicația în stadiu BETA. Configurațiile tehnice de prelucrare pot evolua. Modificările materiale vor fi notificate conform secțiunii 17.
Documente conexe:
- Termenii și Condițiile
- Politica de Confidențialitate
- Politica de Utilizare Acceptabilă (AUP)
- Politica de Cookie-uri
Sfârșitul Acordului de Prelucrare a Datelor — versiunea 1.0 — 04 mai 2026.