DPA · Art. 28 GDPR
Data Processing
Agreement (DPA)
Versiune 2.0 · În vigoare din 5 mai 2026 · Conform Art. 28 Regulamentul (UE) 2016/679
Persoană împuternicită: CAI Technology SRL · Operator: Utilizatorul Platformei
1. Părțile Contractante
Prezentul Acord de Prelucrare Date (DPA) reglementează relația de prelucrare conform Art. 28 GDPR între:
- "Operatorul" — Utilizatorul Platformei ARTEMIS, persoana fizică sau juridică care determină scopul și mijloacele prelucrării datelor cu caracter personal pe care le încarcă în Platformă
- "Persoana Împuternicită" — CAI Technology SRL (CUI RO50512457), care prelucrează datele exclusiv în numele și pe răspunderea Operatorului
2. Obiectul, Durata, Natura Prelucrării
| Element | Descriere |
|---|
| Obiect | Furnizare servicii pentest automate (Audit) prin Platforma ARTEMIS |
| Durată | Pe perioada contractului dintre Operator și CAI Technology, plus perioadele de retenție legale |
| Natură prelucrare | Stocare, analiză automată (LLM + Nuclei + Nmap), generare rapoarte, transmitere către Operator |
| Scop | Detectare vulnerabilități în sistemele Operatorului |
| Categorii date | Date tehnice scan (IP, headers, banners, findings); date personale opționale (în cod sursă auditat — Operator răspunde) |
| Categorii persoane vizate | Reprezentanți legali Operator; eventual angajați Operator (în cod sursă) |
3. Obligațiile Persoanei Împuternicite (CAI Technology)
CAI Technology se obligă să:
- Prelucreze datele exclusiv pe baza instrucțiunilor documentate ale Operatorului (lansare audit, scope semnat). Nu transferă date către alți parteneri fără acordul scris al Operatorului.
- Asigure că persoanele autorizate să prelucreze datele s-au angajat la confidențialitate (NDA-uri interne pentru toți admin).
- Implementeze măsuri tehnice și organizatorice adecvate conform Art. 32 GDPR (vezi Anexa Securitate).
- Respecte condițiile pentru recurgerea la sub-procesatori (Art. 28(2) și (4) GDPR — vezi Art. 4 din prezentul DPA).
- Asiste Operatorul în răspunsul la cererile persoanelor vizate (drepturile Art. 15-22 GDPR).
- Asiste Operatorul în conformitatea cu obligațiile sale (DPIA, breach notification 72h).
- La încetarea contractului, șteargă sau returneze toate datele cu caracter personal, exceptând retenții legale.
- Pună la dispoziția Operatorului toate informațiile necesare pentru demonstrarea conformității + permite audituri (max 1/an, planificat).
4. Sub-procesatori Autorizați
Operatorul autorizează CAI Technology să folosească următorii sub-procesatori:
| Sub-procesator | Scop prelucrare | Localizare | Garanții transfer |
|---|
| Stripe Payments Europe Ltd. | Procesare plăți | Irlanda + USA | SCC + DPF + PCI DSS L1 |
| Cloudflare Inc. | CDN + WAF (opțional) | Global | SCC + ISO 27001 |
| Anthropic PBC | LLM cloud (opțional, Claude) | USA | SCC + DPF + zero-retention API |
| Mistral AI | LLM cloud (opțional) | Franța | UE + GDPR-compliant |
| Hetzner Online GmbH | Hosting backup off-site | Germania | UE |
CAI Technology va informa Operatorul cu minim 30 zile înainte de orice modificare a listei sub-procesatorilor (adăugare/înlocuire). Operatorul are dreptul să se opună, caz în care contractul poate fi denunțat de oricare parte fără daune.
5. Transferuri Internaționale
Datele Operatorului sunt stocate primar în România (UE). Transferuri în afara SEE pot avea loc DOAR cu:
- Standard Contractual Clauses (Decisia (UE) 2021/914)
- Decizie de adecvare a Comisiei Europene
- EU-US Data Privacy Framework (pentru USA, sub-procesatori certificați)
6. Drepturile Persoanelor Vizate
CAI Technology va:
- Notifica Operatorul fără întârziere despre orice cerere primită direct de la o persoană vizată
- Asista Operatorul în răspunsul la cereri (acces, rectificare, ștergere, portabilitate)
- NU răspunde direct către persoanele vizate fără instrucțiuni Operator (exceptând situații care impun răspuns urgent prin lege)
7. Notificare Breach Date (Art. 33-34 GDPR)
În caz de încălcare a securității datelor:
- CAI Technology notifică Operatorul în maxim 72h de la luarea la cunoștință
- Notificarea include: natura încălcării, categorii și număr persoane vizate, consecințe probabile, măsuri luate
- Operatorul rămâne responsabil pentru notificarea ANSPDCP (în 72h) și a persoanelor vizate (Art. 34)
- CAI Technology asistă cu informații tehnice și suport
8. Audit și Inspecție
Operatorul are dreptul de:
- Audit anual planificat (cu preaviz 30 zile)
- Acces la rapoarte audit independente (ISO 27001, SOC 2 dacă disponibile)
- Acces la log-uri prelucrare date specifice contractului său
Costurile auditului sunt suportate de Operator. CAI Technology asigură suport rezonabil fără cost.
9. Securitate (Art. 32 GDPR)
Măsuri tehnice și organizatorice implementate de CAI Technology:
- Criptare: TLS 1.3 la tranzit; AES-256 la odihnă pentru date sensibile
- Hash parole: scrypt (n=16384, r=8, p=1, dklen=32)
- MFA obligatoriu pentru admin și clienți
- Audit log: 5 ani retenție pentru toate acțiunile
- Backup: encriptat, replicat în 2 locații UE
- Access control: RBAC 4 niveluri (viewer/billing/admin/superadmin)
- SOC 24/7: Wazuh SIEM + Suricata IDS + Falco runtime monitoring
- Pen-test propriu: ARTEMIS folosește propriul produs pe sine + audit extern anual
- Incident response: plan documentat, exercițiu semestrial
- Network segmentation: VLAN-uri separate, firewall Cisco FPR-1120
- Personal: NDA semnat, training GDPR + NIS2 anual
10. Răspundere și Despăgubiri
Răspunderea CAI Technology față de Operator pentru încălcări GDPR cauzate de neglijența sa este limitată conform Art. 8 din T&C (max valoarea ultimelor 6 luni plătite, plafon 5.000 EUR), exceptând:
- Încălcări intenționate sau prin culpă gravă
- Cazuri specifice unde legea interzice limitarea
11. Încetare
La încetarea contractului principal:
- CAI Technology returnează datele în format JSON portabil în 30 zile
- Șterge datele active după returnare (la cerere scrisă a Operatorului)
- Păstrează doar datele cu obligație legală retenție (audit log 5y, facturi 10y)
- Confirmare scrisă a ștergerii la cerere
12. Dispoziții Finale
12.1 În caz de conflict între prezentul DPA și T&C, prevederile DPA prevalează în privința chestiunilor de protecție date.
12.2 Modificările unilaterale ale prezentului DPA sunt posibile doar cu preaviz 30 zile și dreptul de denunțare al Operatorului.
12.3 Limba acordului — română. Versiunea engleză e doar pentru referință.
12.4 Lege aplicabilă: legea română. Jurisdicție: instanțele București.
Versiune 2.0 · 2026-05-05 · Acceptarea Termenilor și Condițiilor implică acceptarea acestui DPA.
Întrebări legale: tehnic@caitech.ro