Acord de Prelucrare a Datelor cu Caracter Personal

Document parte din suita legală Scribae. Index complet: README.md. Anexe directe: subprocesatori.md (Anexa 1) și termeni-si-conditii.md (Anexa 2).

Preambul

Prezentul Acord de Prelucrare a Datelor cu Caracter Personal (denumit în continuare „DPA", de la „Data Processing Agreement") se încheie între biroul notarial care utilizează platforma Scribae („Operatorul") și societatea care operează platforma Scribae, RAMMER TECH S.R.L. („Procesorul"). Operatorul rămâne responsabil legal pentru datele cu caracter personal ale clienților săi notariali (părțile contractante din actele autentificate la birou), iar Procesorul prelucrează aceste date strict în numele Operatorului și exclusiv pentru a furniza Serviciile Scribae definite la articolul 2 din prezentul acord — funcționalități actuale și viitoare ale platformei pentru analiza, pregătirea și îmbunătățirea documentelor notariale prin instrumente digitale și inteligență artificială.

Părțile încheie acest DPA pentru a respecta obligațiile lor reciproce prevăzute de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal (denumit în continuare „GDPR", de la „General Data Protection Regulation"), în special Art. 28 GDPR, care impune existența unui contract scris între Operator și Procesor cu un conținut minim obligatoriu. DPA-ul completează și se citește împreună cu Termenii și Condițiile contractuale (termeni-si-conditii.md); în caz de conflict pentru subiectul protecției datelor, prevalează DPA.

1. Părți

1.1 Operatorul (Biroul Notarial)

Câmpurile de mai sus se completează de către biroul notarial la momentul acceptării DPA — fie automat la signup (din profilul biroului în platformă), fie manual în varianta PDF semnat fizic (vezi clauza 11). Operatorul declară pe propria răspundere că are dreptul legal de a prelucra datele clienților săi în calitate de notar public și că prelucrarea prin platforma Scribae se înscrie în limitele atribuțiilor sale profesionale.

1.2 Procesorul (Rammer Tech S.R.L. — Scribae)

În cuprinsul prezentului DPA, „Scribae" desemnează platforma operată de Procesor; toate obligațiile contractuale revin Procesorului ca entitate legală (Rammer Tech S.R.L.), iar denumirea de brand este folosită doar pentru claritate redacțională.

2. Definiții

Termenii folosiți în acest DPA au înțelesul stabilit de Art. 4 din GDPR. Pentru claritate, părțile convin în plus asupra următoarelor definiții specifice contextului Scribae:

• „Date" — datele cu caracter personal prelucrate prin platforma Scribae, indiferent dacă aparțin clienților notariali (părțile actelor autentice — vânzători, cumpărători, donatori etc.) sau utilizatorilor Scribae (membrii biroului notarial cu cont în platformă).
• „Servicii Scribae" — totalitatea funcționalităților digitale oferite de Procesor sub brandul Scribae pentru birouri notariale, inclusiv pentru procesarea documentelor Word .docx cu acte notariale prin instrumente de inteligență artificială și alte instrumente software interconectate. Lista este deschisă: funcțiile concrete pot fi extinse sau adaptate (noi tipuri de analiză, verificări automate etc.). În prezent, între facilități se numără în principal: corectare lingvistică (diacritice, gramatică), corecții deterministe (de exemplu standardizarea ghilimelelor românești sau a abrevierilor), extragere de metadate din document, verificări de consistență semantică, generarea unui document revizuit în Word cu Track Changes (urmărirea modificărilor).
• „Subprocesator" — orice terță parte contractată de Procesor pentru a prelucra Date în numele Operatorului. Lista completă a subprocesatorilor autorizați este menținută în Anexa 1 (subprocesatori.md).
• „Document Notarial" — un document în format Word (extensia .docx) încărcat de Operator (sau de un utilizator din biroul notarial al Operatorului) în platforma Scribae pentru procesare în cadrul Serviciilor Scribae.
• „Conținut Notarial" — totalitatea informațiilor cuprinse în Documentele Notariale: identificarea părților contractante (nume, prenume, cod numeric personal, serie și număr act de identitate, adresă), descrierea tranzacției (sume, identificări imobile, descrieri ale obiectului contractului), datele actului (loc, dată, număr de înregistrare) și orice alte elemente care prin natura lor sunt date personale.
• „Persoană vizată" — orice persoană fizică ale cărei date personale sunt prelucrate prin Scribae; în context notarial, în principal părțile contractante și participanții la actele autentice.
• „Încălcare a securității datelor" — orice eveniment care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la Date, conform definiției din Art. 4 punctul 12 GDPR.

3. Detaliile prelucrării

În conformitate cu Art. 28 alin. (3) GDPR, părțile descriu în mod expres detaliile prelucrării pe care Procesorul o efectuează în numele Operatorului.

3.1 Obiectul prelucrării

Procesorul prelucrează Datele exclusiv în scopul de a furniza Operatorului Serviciile Scribae. În forma curentă a platformei, acest lucru include, fără a fi exhaustiv și fără a exclude funcții ulterioare, operațiuni precum: corectarea lingvistică (diacritice, gramatică), aplicarea unor corecții deterministe (de exemplu standardizarea ghilimelelor românești de la "…" la „…", extinderea unor abrevieri uzuale), extragerea de metadate din document, verificarea consistenței semantice a actului și generarea unui document revizuit în format Word, cu modificările vizibile prin Track Changes.

Prelucrarea Datelor implică, în funcție de funcția utilizată, transmiterea Documentelor Notariale către servicii bazate pe inteligență artificială (inclusiv modele de limbaj natural pentru procesare textuală), găzduite pe infrastructura AWS în Uniunea Europeană. Identificarea completă a subprocesatorului și a regiunii de procesare este detaliată în Anexa 1 (subprocesatori.md).

3.2 Durata prelucrării

Prelucrarea se desfășoară pe întreaga durată a contractului de servicii dintre părți (Termenii și Condițiile, termeni-si-conditii.md). La nivel individual de document, fiecare Document Notarial și artefactele intermediare generate în timpul procesării (extracte structurate, fișiere de urmărire AI, document corectat) sunt șterse automat în maximum 7 zile de la finalizarea procesării. Această retenție este implementată tehnic în configurația aplicației prin parametrul Proofreading:Retention:RetentionDays = 7 și executată de procesul de fundal ProofreadingRetentionMonitor.

Operatorul poate șterge manual oricând un document și artefactele asociate folosind funcția „Purge" disponibilă în interfața utilizator, fără a aștepta expirarea celor 7 zile.

3.3 Categorii de persoane vizate

Datele prelucrate prin Scribae pot privi următoarele categorii de persoane fizice, în calitate de participanți la actele notariale autentificate la sediul Operatorului:

• vânzători și cumpărători în contractele de vânzare-cumpărare;
• donatori și donatari în contractele de donație;
• mandanți și mandatari în procurile autentice;
• moștenitori, legatari și succesori în certificatele de moștenitor;
• părți în convenții matrimoniale, contracte de partaj sau ieșiri din indiviziune;
• martori, interpreți și alți participanți la procedura notarială;
• reprezentanți legali ai persoanelor juridice care figurează ca părți contractante.

3.4 Categorii de date personale

Procesorul prelucrează, prin natura conținutului actelor notariale procesate, următoarele categorii de date personale:

• Date de identificare — nume, prenume, cod numeric personal (CNP), serie și număr act de identitate, data și locul nașterii, cetățenie, domiciliu.
• Date economice și patrimoniale — sume tranzacționate, descrieri și identificări de bunuri imobile (cadastru, carte funciară, adresă), descrieri de bunuri mobile, valori de rentă, rate de plată, valori ale partajului.
• Date despre acte — data și locul autentificării, numărul de înregistrare al actului, denumirea biroului notarial autentificator.
• Categorii speciale de date personale (Art. 9 GDPR) — în anumite tipuri de acte pot apărea, prin natura conținutului, date privind sănătatea (de exemplu în acte succesorale, certificate medicale anexate la procedura de adopție) sau date privind asigurarea socială. Operatorul confirmă că prelucrarea acestor categorii speciale, atunci când apar, are loc în temeiul Art. 9 alin. (2) lit. (f) GDPR (constatarea, exercitarea sau apărarea unui drept în justiție) sau al altui temei aplicabil.

4. Obligațiile Procesorului

Procesorul se angajează expres să respecte toate obligațiile prevăzute de Art. 28 GDPR, după cum urmează.

4.1 Prelucrare doar pe instrucțiuni documentate

Procesorul prelucrează Datele exclusiv pe baza instrucțiunilor documentate ale Operatorului. În cuprinsul prezentului DPA, sunt considerate instrucțiuni documentate ale Operatorului:

• (a) clauzele prezentului DPA;
• (b) Termenii și Condițiile contractuale (termeni-si-conditii.md) încheiate la momentul creării contului în Scribae;
• (c) acțiunile efectuate de utilizatorii Operatorului prin interfața platformei sau prin interfețele de programare puse la dispoziție (de exemplu încărcarea unui Document Notarial pentru procesare în Serviciile Scribae, ștergerea unui cont, exportul datelor).

Procesorul nu prelucrează Datele în alte scopuri decât cele necesare pentru furnizarea Serviciilor Scribae și nu le folosește în interes propriu (de exemplu pentru antrenarea unor modele de inteligență artificială sau pentru analize comerciale neagregate). Dacă o dispoziție a dreptului Uniunii Europene sau a dreptului român obligă Procesorul să prelucreze Datele dincolo de instrucțiunile Operatorului (de exemplu o obligație de raportare), Procesorul informează Operatorul cu privire la această obligație înainte de prelucrare, cu excepția cazului în care legea interzice o astfel de informare din motive importante de interes public.

4.2 Confidențialitatea personalului autorizat

Procesorul se asigură că persoanele autorizate să prelucreze Datele (angajați, colaboratori) sunt obligate la confidențialitate prin contract sau printr-o obligație legală statutară. Această obligație de confidențialitate continuă și după încetarea raportului contractual între Procesor și persoana respectivă. Procesorul extinde obligația de confidențialitate către toți Subprocesatorii săi prin contractele încheiate cu aceștia, conform clauzei 9 de mai jos.

4.3 Măsuri tehnice și organizatorice de securitate (Art. 32 GDPR)

Procesorul implementează măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului prelucrării. Măsurile aplicate la data semnării prezentului DPA includ, fără a se limita la:

• Criptare în tranzit — toate comunicațiile între utilizatorii Operatorului și platforma Scribae, precum și între componentele interne ale Scribae și subprocesatorii săi, folosesc protocolul TLS 1.2 sau o versiune superioară.
• Criptare la repaus — bazele de date relaționale și fișierele stocate sunt criptate la nivel de infrastructură cloud prin mecanismele standard ale furnizorului (criptare gestionată de Azure pentru bazele de date, criptare gestionată de AWS pentru fișierele intermediare).
• Control acces pe roluri — platforma implementează două roluri funcționale distincte (Admin și Notary), cu permisiuni diferențiate; un utilizator vede doar datele biroului notarial din care face parte.
• Izolare multi-tenant pe TenantId — fiecare birou notarial („tenant") are un identificator unic; toate interogările către baza de date sunt filtrate automat după acest identificator, astfel încât un birou nu poate vedea, nici accidental, datele altui birou.
• Limitarea ratei de cereri — interfețele de programare sensibile (autentificare, încărcare documente, ștergere cont) au limite de rată pentru a preveni atacuri prin forță brută sau prin volum.
• Jurnal de audit — evenimentele importante (autentificare, modificare consimțăminte, ștergere documente, ștergere cont, modificări de roluri) sunt înregistrate într-un jurnal append-only pentru investigare ulterioară.
• Autentificare cu doi factori — mecanismul MFA (Multi-Factor Authentication) este disponibil pentru toți utilizatorii Operatorului; Procesorul recomandă activarea lui pentru conturile cu rol de Admin.
• Practici de dezvoltare securizată — codul sursă al platformei este revizuit prin proces de code review obligatoriu, însoțit de teste automate la fiecare modificare; modificările sunt validate într-un mediu de integrare continuă înainte de a ajunge în producție.

Procesorul reevaluează periodic aceste măsuri și le adaptează în funcție de evoluția stadiului tehnicii și a riscurilor identificate.

4.4 Autorizarea generală a subprocesatorilor

Prin semnarea (respectiv acceptarea electronică a) prezentului DPA, Operatorul autorizează în mod general Procesorul să folosească Subprocesatorii listați în Anexa 1 (subprocesatori.md).

Pentru orice intenție de adăugare sau înlocuire a unui Subprocesator, Procesorul notifică Operatorul cu minim 15 zile calendaristice înainte de aplicarea schimbării, prin email la adresa de contact a Operatorului înregistrată în platformă și, după caz, printr-un banner persistent în interfața utilizator.

Operatorul are dreptul să obiecteze, în scris, în termenul de 15 zile, împotriva oricărei schimbări de Subprocesator. Dacă schimbarea este de tipul „major" conform politicii de versionare descrise în README.md — de exemplu, introduce un transfer de date brute (conținutul Documentelor Notariale) în afara Uniunii Europene sau extinde semnificativ scopul prelucrării — Operatorul poate rezilia contractul de servicii Scribae fără penalizare, cu efect de la data implementării schimbării.

4.5 Asistența la respectarea drepturilor persoanelor vizate

Procesorul asistă Operatorul în îndeplinirea obligației acestuia de a răspunde solicitărilor primite de la persoanele vizate (drepturile prevăzute de Art. 15-22 GDPR — acces, rectificare, ștergere, restricționare, portabilitate, opoziție, retragere consimțământ). Asistența se realizează prin două canale complementare:

• Instrumente in-app — Operatorul poate exporta datele unui cont și poate șterge un cont folosind funcția „Ștergere cont" din pagina de Setări (care apelează endpoint-ul POST /api/me/erase cu confirmarea explicită prin tokenul ȘTERGE); de asemenea poate șterge oricând un document individual prin funcția „Purge".
• Canale dedicate — pentru solicitări tehnice complexe, Operatorul poate contacta contact@scribae.ro; pentru solicitări GDPR strict (de exemplu o cerere de portabilitate primită de la o persoană vizată care nu mai are cont activ), Operatorul poate contacta dpo@scribae.ro.

4.6 Asistență la conformitate (Art. 32-36 GDPR)

Procesorul pune la dispoziția Operatorului, la cerere rezonabilă și fără cost suplimentar, informațiile și documentele necesare pentru ca Operatorul să-și îndeplinească propriile obligații prevăzute de Art. 32 (securitatea prelucrării), Art. 33 (notificare ANSPDCP în 72 ore), Art. 34 (informare persoane vizate), Art. 35 (evaluare de impact asupra protecției datelor — DPIA) și Art. 36 (consultare prealabilă ANSPDCP) din GDPR. Pentru solicitări extinse care depășesc nivelul rezonabil de asistență contractuală (de exemplu producerea unui raport tehnic personalizat), părțile pot conveni asupra unei contribuții suplimentare la costurile rezultate.

4.7 Ștergerea sau returnarea datelor la încetarea contractului

La cererea expresă a Operatorului, formulată în primele 30 de zile calendaristice de la încetarea contractului de servicii, Procesorul furnizează Operatorului un export al Datelor în format prelucrabil (de exemplu fișiere JSON cu metadatele și fișiere .docx cu Documentele Notariale și versiunile corectate care nu au fost încă șterse prin retenția automată de 7 zile). După expirarea acestui termen de 30 de zile, toate Datele rămase sunt șterse automat din sistemele Procesorului, inclusiv din copiile de siguranță, conform politicii interne de retenție.

4.8 Audit

Operatorul are dreptul să auditeze conformitatea Procesorului cu prezentul DPA prin oricare dintre următoarele modalități:

• (a) Chestionar scris — Operatorul transmite un chestionar de conformitate la adresa dpo@scribae.ro; Procesorul răspunde în maximum 30 de zile lucrătoare.
• (b) Audit fizic la sediul Procesorului — Operatorul anunță Procesorul cu minimum 30 de zile calendaristice în avans; vizita are loc în programul de lucru obișnuit al Procesorului; costurile logistice ale auditului sunt suportate de Operator, cu excepția situației în care auditul descoperă neconformități semnificative ale Procesorului, caz în care costurile rezonabile revin Procesorului.
• (c) Rapoarte de conformitate ale Subprocesatorilor — atunci când Subprocesatorii Procesorului produc rapoarte standardizate de tip SOC 2 sau certificate ISO 27001, Procesorul transmite Operatorului aceste rapoarte, la cerere, în limitele clauzelor de confidențialitate impuse de Subprocesatori.

Frecvența auditurilor fizice prevăzute la litera (b) este de regulă una pe an, cu excepția situațiilor justificate (de exemplu o încălcare a securității datelor) când Operatorul poate solicita un audit suplimentar.

5. Confidențialitate și secret profesional notarial

Procesorul recunoaște în mod expres că Datele pe care le prelucrează pot intra sub incidența secretului profesional notarial astfel cum este reglementat de Legea nr. 36/1995 privind notarii publici și activitatea notarială, Art. 70, și de Codul deontologic al profesiei de notar public, Art. 3 alin. (3). Această recunoaștere are următoarele consecințe contractuale:

• Procesorul tratează Datele cu cel mai înalt nivel de confidențialitate, asimilabil obligației profesionale a notarului public față de clienții săi.
• Procesorul extinde, prin contractele încheiate cu Subprocesatorii (Anexa 1), aceeași obligație de confidențialitate, prin clauze care interzic Subprocesatorilor să divulge Datele unor terți și care le impun măsuri de securitate echivalente celor descrise în clauza 4.3.
• Procesorul nu va dezvălui Conținutul Notarial către nicio autoritate publică, română sau străină, decât în urma unui ordin judecătoresc valabil emis de o instanță cu jurisdicție competentă. În cazul primirii unui astfel de ordin, Procesorul notifică imediat Operatorul, în limita permisă de lege (există situații excepționale în care legea interzice această notificare, de exemplu în anumite anchete penale).
• Obligația de confidențialitate supraviețuiește încetării prezentului DPA și a contractului de servicii Scribae, pe durata pentru care Datele rămân sub incidența secretului profesional notarial conform legislației aplicabile, fără limitare în timp.

6. Transferuri internaționale de date

Părțile convin asupra următoarei configurații pentru transferurile de date personale către state din afara Spațiului Economic European („SEE"):

6.1 Conținutul Documentelor Notariale — integral în UE

Conținutul Notarial (Documentele Notariale și artefactele intermediare generate în procesare) rămâne integral pe infrastructură situată în Uniunea Europeană. Procesarea prin inteligență artificială (inclusiv prin modele de limbaj natural) se realizează pe infrastructură AWS în regiunea Stockholm (eu-north-1), prin servicii găzduite și operate de subprocesatorul AWS în UE (detalii complete în Anexa 1, subprocesatori.md).

Pentru această componentă nu există transfer de date brute în afara Uniunii Europene. Nu sunt necesare și nu se aplică clauze contractuale standard de tip Standard Contractual Clauses pentru conținutul Documentelor Notariale.

6.2 Garanție „fără antrenare AI cu datele Operatorului"

Procesorul confirmă că datele Operatorului nu sunt folosite pentru antrenarea sau îmbunătățirea modelelor de inteligență artificială ale furnizorului de infrastructură AI. Această garanție este derivată contractual din:

• AWS Service Terms § 50 (Amazon Bedrock), care prevede expres că „We may not use Customer Content for the development or improvement of Amazon Bedrock, related foundation models or any of our other services" — în traducere: AWS nu va folosi conținutul clientului pentru dezvoltarea sau îmbunătățirea serviciilor sale AI;
• AWS Bedrock Data Protection, care descrie modelul tehnic de izolare al datelor clienților;
• AWS Data Processing Addendum, care guvernează relația contractuală generală între AWS și clienții săi din SEE.

Acești termeni sunt activi automat din momentul creării contului AWS al Procesorului și se aplică tuturor apelurilor către serviciile AI ale AWS, fără a fi necesară o semnătură separată sau o acțiune suplimentară din partea Procesorului. Acceptarea lor s-a produs implicit la deschiderea contului AWS și constituie probă contractuală suficientă în sensul prezentului DPA.

6.3 Date de plată Stripe — UE + SUA prin DPF și SCC

Procesarea plăților pentru abonamentul Scribae este efectuată de subprocesatorul Stripe Payments Europe Ltd (cu sediul în Irlanda, UE). Stripe primește, pentru fiecare tranzacție, date personale ale persoanei care plătește, și anume:

• nume și prenume;
• adresă de email;
• adresă de facturare;
• adresă IP a dispozitivului;
• amprentă tehnică a dispozitivului („device fingerprint"), folosită de componenta anti-fraudă Stripe Radar;
• token criptat asociat cardului bancar (Stripe nu transmite numărul complet al cardului către Procesor; Procesorul nu are acces la datele cardului în clar).

Componenta de backend (procesarea internă și detectarea fraudei) este operată de Stripe Inc., cu sediul în Statele Unite, care primește aceste date pe baza:

• înscrierii Stripe Inc. în programul Data Privacy Framework (DPF) recunoscut de Comisia Europeană prin decizia de adecvare din 10 iulie 2023; și
• clauzelor contractuale standard suplimentare incluse în Stripe Data Processing Agreement.

Aceste date personale procesate de Stripe nu includ Conținutul Notarial. Conținutul Documentelor Notariale nu este transmis în niciun moment către Stripe — doar metadatele de facturare și plată asociate Operatorului.

6.4 Telemetrie opt-in — Azure UE

Datele de telemetrie de diagnostic (folosite pentru detectarea de erori și pentru îmbunătățirea stabilității platformei) sunt colectate prin Microsoft Application Insights găzduit în Azure West Europe, doar dacă Operatorul activează în mod expres preferința corespunzătoare în pagina de Setări → Confidențialitate. Datele rămân în Uniunea Europeană.

6.5 Notificare schimbări

Orice modificare a configurației transferurilor internaționale care implică introducerea unui transfer nou de date brute (conținutul Documentelor Notariale) în afara Uniunii Europene este considerată o schimbare „major" în sensul politicii de versionare a documentelor legale Scribae (README.md, secțiunea „Politica de Versionare"). Procesorul notifică Operatorul cu minimum 15 zile calendaristice înainte și Operatorul are drept de obiecție; obiecția poate duce la rezilierea contractului fără penalizare, cu efect de la data implementării schimbării.

7. Notificare încălcări (data breach)

Procesorul notifică Operatorul, fără întârzieri nejustificate și în maximum 48 de ore de la momentul la care a devenit conștient de existența unei încălcări a securității datelor (în sensul Art. 4 punctul 12 GDPR), cu privire la orice astfel de încălcare care afectează sau este susceptibilă să afecteze Datele prelucrate în numele Operatorului.

Notificarea conține următoarele elemente, în măsura în care sunt cunoscute la momentul notificării:

• natura încălcării securității datelor, inclusiv categoriile și numărul aproximativ de persoane vizate;
• categoriile și volumul aproximativ al înregistrărilor de date afectate;
• măsurile luate sau propuse de Procesor pentru remediere și pentru atenuarea efectelor adverse;
• numele și datele de contact ale persoanei desemnate la Procesor pentru clarificări suplimentare (dpo@scribae.ro);
• consecințele probabile ale încălcării.

Dacă unele elemente nu pot fi furnizate în termenul de 48 de ore, Procesorul le transmite ulterior, în etape, pe măsură ce devin disponibile, fără ca acest lucru să afecteze obligația de notificare inițială în termen.

Operatorul rămâne responsabil pentru evaluarea proprie a riscului și pentru notificarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) în termen de 72 de ore de la data la care a luat cunoștință de încălcare, conform Art. 33 GDPR, dacă încălcarea o impune; Procesorul oferă, la cerere, asistență în pregătirea acestei notificări.

8. Durata și încetarea acordului

8.1 Durata

Prezentul DPA intră în vigoare la data acceptării de către Operator (prin click-through la signup sau prin semnătură PDF — vezi clauza 11) și produce efecte pe întreaga durată a contractului de servicii Scribae, astfel cum este reglementat de Termenii și Condițiile (termeni-si-conditii.md).

8.2 Încetarea

Prezentul DPA încetează automat la încetarea, din orice cauză, a contractului de servicii Scribae. La momentul încetării, Procesorul respectă clauza 4.7 (export și/sau ștergere a Datelor în termen de 30 de zile).

8.3 Supraviețuirea anumitor clauze după încetare

Următoarele clauze rămân în vigoare și după încetarea prezentului DPA:

• Clauza 5 (confidențialitate și secret profesional notarial) — fără limitare în timp, pe durata pentru care Datele rămân sub incidența secretului profesional notarial;
• Clauza 7 (notificare încălcări) — pentru încălcările cu origine în perioada în care DPA-ul a fost în vigoare, indiferent de momentul descoperirii lor;
• Clauza 12 (lege aplicabilă și jurisdicție) — pentru orice litigiu derivat din DPA, indiferent de momentul nașterii litigiului.

9. Subprocesatori autorizați (Anexa 1)

Lista completă, actualizată și autoritativă a Subprocesatorilor folosiți de Procesor pentru a furniza Serviciile Scribae este menținută în documentul separat subprocesatori.md, care constituie Anexa 1 la prezentul DPA și parte integrantă din acesta.

Această listă include, la data semnării prezentului DPA, următorii Subprocesatori (descrierea sumară de mai jos este orientativă; detaliile complete — categoriile de date prelucrate, baza legală pentru transfer, documentele contractuale aplicabile — sunt în Anexa 1):

1. Amazon Web Services EMEA SARL (Luxembourg) — furnizor de infrastructură cloud și de servicii de inteligență artificială pentru platformă (inclusiv procesare textuală), cu prelucrare în regiunea Stockholm (eu-north-1).
2. Microsoft Ireland Operations Ltd — furnizor de servicii Azure App Service și Azure SQL Database, cu prelucrare în Azure West Europe (Irlanda).
3. Stripe Payments Europe Ltd (Irlanda) împreună cu Stripe Inc. (SUA, backend) — procesator de plăți și de detectare a fraudei.
4. FGO România S.R.L. — furnizor de facturare conformă cu legislația română.
5. furnizor de email (în curs de configurare) (opțiuni evaluate: Postmark, SendGrid EU, Mailgun EU) — furnizor de email tranzacțional.
6. Microsoft Application Insights — telemetrie de diagnostic (opt-in).

Mecanismul de actualizare a Subprocesatorilor (notificare prealabilă, drept de obiecție, posibilitate de reziliere) este descris în clauza 4.4 a prezentului DPA și detaliat suplimentar în secțiunea „Mecanism de actualizare a listei" din subprocesatori.md.

10. Drepturile Operatorului în legătură cu auditul

În completarea clauzei 4.8 de mai sus, părțile detaliază următoarele aspecte practice ale dreptului de audit:

• Procesorul răspunde rezonabil oricărui chestionar de conformitate transmis în scris de Operator, în termen de 30 de zile lucrătoare de la primire, prin email la adresa dpo@scribae.ro.
• Pentru auditul fizic la sediul Procesorului, Operatorul anunță în scris cu 30 de zile calendaristice în avans; vizita are loc în programul obișnuit de lucru al Procesorului (zile lucrătoare, intervalul 09:00-18:00).
• Costurile logistice ale auditului fizic (deplasare, cazare, onorarii auditori externi angajați de Operator) sunt suportate de Operator. Excepție: dacă auditul descoperă neconformități semnificative ale Procesorului cu obligațiile prezentului DPA, costurile rezonabile ale auditului revin Procesorului.
• Părțile convin că rapoartele standardizate ale Subprocesatorilor (de exemplu SOC 2 Type II, ISO 27001) constituie o formă acceptabilă de probă a conformității Subprocesatorilor, în completarea auditului direct al Operatorului la sediul Procesorului.
• Rezultatele auditului sunt confidențiale între părți; Operatorul poate folosi rezultatele doar pentru evaluarea proprie a conformității GDPR și nu le poate publica sau distribui către terți fără acordul scris al Procesorului, cu excepția obligațiilor de raportare către ANSPDCP sau către alte autorități competente.

11. Forma acordului

Prezentul DPA poate fi acceptat de Operator în două forme, având valoare juridică identică:

11.1 Acceptare electronică (click-through la signup)

La momentul creării contului în platforma Scribae, Operatorul bifează caseta de tipul „Am citit și accept Termenii și Condițiile și Acordul de Prelucrare a Datelor". Această acțiune generează o evidență electronică audit-trail care include:

• data și ora exactă a acceptării (timestamp UTC);
• adresa IP de la care s-a făcut acceptarea;
• identitatea utilizatorului care a făcut acceptarea (contul de Admin al Operatorului);
• versiunea exactă a prezentului DPA acceptată (exemplu la lansare: 1.0.1; versiunea curentă este cea din frontmatter-ul documentului publicat).

Această evidență este stocată în baza de date a Procesorului ca audit-trail și constituie acord valabil între părți, în conformitate cu prevederile Legii nr. 365/2002 privind comerțul electronic și ale Regulamentului eIDAS (Regulamentul (UE) nr. 910/2014 privind identificarea electronică și serviciile de încredere). Operatorul poate solicita oricând, la dpo@scribae.ro, un extras al acestei evidențe pentru dosarul propriu de conformitate.

11.2 Acceptare prin PDF semnat fizic (opțional)

La cererea expresă a Operatorului (formulată prin email la dpo@scribae.ro), Procesorul furnizează prezentul DPA în format PDF, cu blocuri de semnătură pentru ambele părți. Conținutul juridic al PDF-ului este identic cu versiunea Markdown publicată sub aceeași version în acordul de prelucrare a datelor; doar forma materială diferă.

Operatorul completează datele biroului notarial (clauza 1.1), semnează PDF-ul (olograf sau cu semnătură electronică calificată) și îl returnează Procesorului prin email la dpo@scribae.ro. Procesorul semnează la rândul său și retransmite o copie a documentului complet semnat către Operator.

11.3 Echivalența celor două forme

Versiunea acceptată prin click-through și versiunea semnată în PDF au aceeași valabilitate juridică. Operatorul poate solicita oricând trecerea de la varianta electronică la varianta PDF semnat fizic (sau invers), fără ca acest lucru să afecteze efectele juridice deja produse pe baza variantei anterioare.

12. Lege aplicabilă și jurisdicție

Prezentul DPA este guvernat de legea română și de Regulamentul (UE) 2016/679 (GDPR), împreună cu actele normative naționale de aplicare a acestuia, în special Legea nr. 190/2018 privind măsuri de punere în aplicare a GDPR.

Pentru orice litigiu derivat din interpretarea sau executarea prezentului DPA, părțile vor încerca în prealabil o soluționare amiabilă, prin corespondență la dpo@scribae.ro și la datele de contact ale Operatorului. Dacă soluționarea amiabilă nu este posibilă în termen de 30 de zile calendaristice de la prima notificare, litigiul se va soluționa de instanțele de judecată competente de la sediul Procesorului (București, România).

Dispozițiile clauzei 12 nu afectează dreptul persoanelor vizate de a depune plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) (B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București, telefon +40.318.059.211, email anspdcp@dataprotection.ro, web https://www.dataprotection.ro/) sau dreptul lor de a se adresa instanțelor competente conform Art. 79 GDPR.

13. Anexe

Următoarele documente sunt anexe la prezentul DPA și parte integrantă din acesta:

• Anexa 1 — subprocesatori.md — Lista Subprocesatorilor autorizați, cu detaliile prelucrării, locațiile de procesare, categoriile de date și baza legală pentru transferurile internaționale.
• Anexa 2 — termeni-si-conditii.md — Termenii și Condițiile generale ale serviciului Scribae. În caz de conflict între prevederile prezentului DPA și prevederile Termenilor și Condițiilor cu privire la subiectul protecției datelor cu caracter personal, prevalează prezentul DPA.

Document parte din suita legală Scribae v1.0.1. Pentru versiunea curentă, politica de versionare și ceilalți termeni asociați, vezi README.md.