GDPR ȘI PRELUCRAREA DATELOR PERSONALE (v4.0)

Data Versiunii Finale: 7 Mai 2026 Jurisdicție: România / Uniunea Europeană

3. GDPR ȘI PRELUCRAREA DATELOR PERSONALE

3.1 Rolurile Părților

În relația privind datele cu caracter personal introduse sau colectate prin intermediul serviciilor Closeby:

• • Clientul acționează ca OPERATOR DE DATE, în sensul art. 4 alin. (7) GDPR — acesta stabilește scopurile și mijloacele prelucrării datelor clienților, pacienților sau utilizatorilor proprii;
• • Closeby acționează ca PERSOANĂ ÎMPUTERNICITĂ de operator, în sensul art. 4 alin. (8) GDPR — prelucrează datele exclusiv la instrucțiunile Clientului și în scopul furnizării serviciilor contractate.

Cu titlu de excepție, Closeby poate acționa ca operator independent pentru datele de contact ale reprezentanților Clientului (ex: email, telefon) în scopul gestionării relației comerciale, al facturării și al comunicărilor contractuale.

Relația de prelucrare a datelor este guvernată în detaliu de Acordul de Prelucrare a Datelor (DPA) — Anexa 1 la prezentul document, obligatorie conform art. 28 GDPR.

Temei legal: Art. 4 alin. (7) și (8), art. 28 GDPR. Absența unui DPA valid reprezintă o încălcare a GDPR cu risc de amendă de până la 10.000.000 EUR sau 2% din cifra de afaceri mondială anuală (art. 83 alin. (4) GDPR).

3.2 Date Medicale și Date din Categorii Speciale

Sistemele și serviciile Closeby nu sunt proiectate sau certificate pentru stocarea dosarelor medicale, diagnosticelor sau altor categorii speciale de date prevăzute la art. 9 GDPR (date privind sănătatea, date biometrice, date genetice etc.). Clientul este singurul responsabil pentru: (i) datele introduse voluntar în sistem; (ii) existența unui temei legal valid pentru colectarea și prelucrarea acestora; (iii) implementarea măsurilor tehnice și organizatorice adecvate categoriei respective de date.

3.3 Subprocesatori și Transferuri

Pentru furnizarea serviciilor, Closeby poate utiliza furnizorii terți enumerați mai jos în calitate de sub-procesatori. Lista completă și actualizată a sub-procesatorilor este disponibilă la cerere și în DPA (Anexa 1):

• • Vercel Inc. (SUA) — hosting și deployment aplicații web;
• • Supabase Inc. (SUA) — baze de date și autentificare;
• • Resend Inc. (SUA) — servicii de email tranzacțional;
• • Cal.com Inc. (SUA) — programări online;
• • Google LLC (SUA) — servicii cloud, analytics, workspace;
• • Meta Platforms Inc. (SUA) — advertising și tracking;
• • Stripe Inc. (SUA) — procesare plăți.

Transferurile de date către furnizori din afara Spațiului Economic European (ex: furnizori din SUA) sunt protejate prin: (i) Clauze Contractuale Standard (SCCs) aprobate prin Decizia Comisiei Europene 2021/914; (ii) sau alte mecanisme de transfer adecvate, conform cap. V GDPR. Closeby va notifica Clientul cu minimum 30 de zile înainte de adăugarea unui nou sub-procesator care poate afecta nivelul de protecție a datelor.

3.4 Retenția Datelor — Politică Detaliată

Closeby aplică principiul minimizării datelor și al limitării stocării conform art. 5 alin. (1) lit. (e) GDPR. Perioadele de retenție aplicabile sunt:

• • Date de cont și conținut al platformei: Reținute pe durata contractului activ + 30 de zile calendaristice după încetare (perioadă de grație pentru export). După expirare, ștergere ireversibilă.
• • Date de facturare și documente fiscale: Reținute 5 ani de la data emiterii facturii, conform art. 25 din Legea contabilității nr. 82/1991 și Codului fiscal. Aceste date nu pot fi șterse anticipat la cererea Clientului, deoarece obligația de retenție este impusă legal.
• • Log-uri tehnice (acces, erori, audit trail): Reținute maximum 90 de zile calendaristice, cu excepția cazurilor în care o investigație de securitate activă impune retenția prelungită (maximum 180 de zile în acest caz). Log-urile de securitate legate de un incident confirmat se rețin pe durata investigației + 1 an.
• • Backup-uri: Backup-urile automate se rețin pe o fereastră rulantă de 30 de zile calendaristice (rolling backup). Backup-urile mai vechi de 30 de zile sunt suprascrise automat. La încetarea contractului, backup-urile sunt reținute maximum 30 de zile, ulterior șterse ireversibil.
• • Date prelucrate în numele Clientului (date ale pacienților / clienților Clientului): Reținute exclusiv pe durata contractului activ, în conformitate cu instrucțiunile documentate ale Clientului (operator). La cerere sau la încetarea contractului, Closeby va șterge sau returna aceste date conform instrucțiunilor Clientului, în termen de 30 de zile.
• • Date de marketing și comunicări comerciale: Reținute pe durata relației contractuale + 2 ani, cu posibilitate de retragere a consimțământului oricând.

Temei legal: Art. 5 alin. (1) lit. (e) GDPR; art. 25 Legea 82/1991; art. 351 Cod fiscal.

3.5 Incidente de Securitate

În cazul constatării unui incident de securitate care afectează datele prelucrate în numele Clientului (operator), Closeby, în calitate de persoană împuternicită, va:

• • notifica Clientul fără întârzieri nejustificate și în maximum 24 de ore de la constatare (termen intern), permițând Clientului să respecte termenul de 72 de ore prevăzut de art. 33 GDPR față de ANSPDCP;
• • furniza toate informațiile disponibile pentru a permite Clientului să evalueze obligațiile de notificare;
• • coopera cu Clientul și cu autoritățile de supraveghere pe durata investigației.

Temei legal: Art. 33 și 34 GDPR; art. 28 alin. (3) lit. (f) GDPR.

3.6 Backup și Export Date

Clientul este responsabil pentru efectuarea backup-urilor suplimentare prin funcționalitățile puse la dispoziție de platformă, acolo unde acestea există. Closeby asigură backup-urile tehnice conform politicii descrise la art. 3.4, dar acestea sunt destinate recuperării în caz de incident tehnic, nu înlocuirii obligației Clientului de a gestiona propriile date.

ANEXA 1 – ACORD DE PRELUCRARE A DATELOR (DPA)

Prezentul Acord de Prelucrare a Datelor (DPA) constituie parte integrantă din contractul încheiat între Closeby (Persoană Împuternicită) și Client (Operator) și respectă cerințele art. 28 GDPR.

DPA 1. Obiectul și Durata Prelucrării

Closeby prelucrează date cu caracter personal în numele Clientului exclusiv în scopul furnizării serviciilor contractate (web development, SEO local, automatizări, gestionare programări). Prelucrarea se desfășoară pe durata contractului principal și încetează la data încetării acestuia, cu excepțiile de retenție prevăzute la art. 3.4.

DPA 2. Natura și Scopul Prelucrării

Categoriile de date prelucrate pot include: date de identificare ale utilizatorilor finali ai Clientului (nume, email, telefon), date de programare (ora, tipul serviciului), date comportamentale anonimizate (analitics), și orice alte date introduse de Client sau de utilizatorii săi în platformă.

DPA 3. Obligațiile Closeby ca Persoană Împu­ternicită

Closeby se obligă să:

• • prelucreze datele exclusiv la instrucțiunile documentate ale Clientului (operator), cu excepția obligațiilor legale aplicabile;
• • nu transfere date terților fără acordul prealabil scris al Clientului, cu excepția sub-procesatorilor enumerați în prezentul document și în DPA;
• • implementeze măsuri tehnice și organizatorice adecvate pentru protecția datelor (criptare în tranzit și în repaus, control acces, audit trail);
• • asiste Clientul în exercitarea drepturilor persoanelor vizate (acces, rectificare, ștergere, portabilitate, restricție, opoziție) în termen de 72 de ore de la primirea solicitării;
• • șteargă sau returneze toate datele la încetarea contractului, conform instrucțiunilor Clientului;
• • pună la dispoziția Clientului toate informațiile necesare pentru demonstrarea conformității și să permită auditurile autorizate de Client.

DPA 4. Obligațiile Clientului ca Operator

Clientul (operator) se obligă să:

• • furnizeze instrucțiuni clare și legale cu privire la prelucrarea datelor;
• • se asigure că există un temei legal valid pentru colectarea și prelucrarea datelor persoanelor vizate;
• • notifice persoanele vizate cu privire la prelucrarea datelor lor, inclusiv cu privire la utilizarea Closeby ca persoană împuternicită;
• • nu furnizeze Closeby date din categorii speciale (art. 9 GDPR) fără acordul prealabil scris al Closeby și fără implementarea unor măsuri suplimentare de protecție.

DPA 5. Legea Aplicabilă DPA

Prezentul DPA este guvernat de Regulamentul (UE) 2016/679 (GDPR), Legea nr. 190/2018 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și legea română.