Art. 28 GDPR

Contract de Prelucrare a Datelor (DPA)

Temei legal: Art. 28 Regulamentul (UE) 2016/679 (GDPR)  |  Versiunea: 1.0 — 14 martie 2026

1. Definiții

În sensul prezentului contract, termenii au semnificațiile atribuite de GDPR (Regulamentul (UE) 2016/679), în special:

• „Date cu caracter personal" — orice informații despre o persoană fizică identificată sau identificabilă (Art. 4(1) GDPR)
• „Operator" — organizația client care determină scopurile și mijloacele prelucrării datelor angajaților săi (Art. 4(7) GDPR)
• „Împuternicit" — SysPIC, care prelucrează datele în numele Operatorului (Art. 4(8) GDPR)
• „Prelucrare" — orice operațiune efectuată asupra datelor: colectare, stocare, modificare, consultare, extragere, ștergere etc. (Art. 4(2) GDPR)
• „Incident de securitate" — o breșă care conduce la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la date cu caracter personal (Art. 4(12) GDPR)

2. Obiectul contractului

Prezentul contract reglementează prelucrarea datelor cu caracter personal de către SysPIC în calitate de Împuternicit, în numele Operatorului, în cadrul furnizării serviciului platformei SysPIC. Prelucrarea se realizează exclusiv pentru:

• Furnizarea funcționalităților platformei conform abonamentului activ
• Stocarea, organizarea și vizualizarea evidențelor de securitate (DAIC, ASI, CSI, SMI, SIC)
• Managementul datelor de resurse umane relevante pentru protecția informațiilor clasificate
• Generarea de rapoarte, statistici și notificări operaționale
• Asigurarea suportului tehnic

SysPIC nu prelucrează datele în niciun alt scop decât cel mandatat de Operator.

3. Datele prelucrate

Categorie persoane vizate	Categorii de date prelucrate	Scopul prelucrării
Angajații organizației	Identificare: Nume complet (criptat AES-256), CNP (criptat AES-256 + hash HMAC-SHA256) Contact: Email, telefon Profesional: Departament, funcție, nivel acces informații clasificate, dată angajare/plecare	Gestionarea personalului cu acces la informații clasificate; eligibilitate DAIC/ASI/CSI
Angajații cu documente de securitate	DAIC: număr, dată semnare/expirare/retragere, nivel clasificare, stare ASI/CSI: număr, periodicitate, dată obținere/expirare SMI/SIC: coduri, nivel, stare Fișiere atașate (PDF-uri scanate)	Evidența obligatorie conform Legii 182/2002 și HG 585/2002
Utilizatorii platformei (sef_ss, resp_pic etc.)	Cont: username, email, rol Activitate: Audit Trail (acțiuni, timestamp, IP)	Autentificare, autorizare, jurnal de securitate
Persoane vizate de chestionare	Răspunsuri la chestionarele de securitate și instruire	Verificarea cunoștințelor de securitate; conformitate e-learning

Nu sunt prelucrate categorii speciale de date în sensul Art. 9 GDPR (date medicale, biometrice, privind origine rasială etc.) cu excepția cazului în care Operatorul în mod explicit introduce astfel de date — situație ce intră exclusiv în răspunderea Operatorului.

4. Obligațiile Împuternicitului (SysPIC)

SysPIC se obligă să:

1. Prelucreze datele exclusiv conform instrucțiunilor documentate ale Operatorului și în scopurile prevăzute la Art. 2
2. Se asigure că persoanele autorizate să prelucreze datele s-au angajat la confidențialitate sau sunt supuse unei obligații legale de confidențialitate
3. Implementeze măsurile tehnice și organizatorice de securitate prevăzute la Art. 7
4. Respecte condițiile de la Art. 6 privind angajarea sub-împuterniciților
5. Asiste Operatorul, prin măsuri tehnice și organizatorice adecvate, în îndeplinirea obligației de a răspunde cererilor privind exercitarea drepturilor persoanelor vizate
6. Asiste Operatorul în asigurarea conformității cu Art. 32–36 GDPR (securitate, notificare incidente, DPIA)
7. La alegerea Operatorului, șteargă sau returneze toate datele după încheierea contractului, conform Art. 10
8. Pună la dispoziția Operatorului toate informațiile necesare pentru demonstrarea conformității și să permită audituri conform Art. 11
9. Informeze imediat Operatorul dacă o instrucțiune primită încalcă GDPR sau alte prevederi legale

5. Obligațiile Operatorului (organizația client)

Operatorul (organizația client) se obligă să:

1. Asigure un temei juridic valabil pentru prelucrarea datelor angajaților săi, conform GDPR și legislației muncii aplicabile
2. Informeze persoanele vizate (angajații) cu privire la prelucrarea datelor lor prin platforma SysPIC (de ex. prin regulamentul intern sau nota de informare la angajare)
3. Introducă în platformă exclusiv date corecte, actuale și necesare scopului
4. Nu introducă în platformă date sensibile (Art. 9 GDPR) fără o justificare legală explicită
5. Gestioneze drepturile de acces ale utilizatorilor din organizația sa (creare, dezactivare conturi)
6. Notifice imediat SysPIC în cazul detectării unui incident de securitate sau al unei cereri din partea unei autorități publice privind datele

6. Sub-împuterniciți autorizați

Operatorul autorizează angajarea următorilor sub-împuterniciți de către SysPIC:

Sub-împuternicit	Rol	Localizare date
Furnizor servicii de hosting (VPS)	Infrastructura serverului (stocare baze de date, fișiere)	Uniunea Europeană
Furnizor servicii email tranzacțional	Trimiterea notificărilor email, coduri OTP, alerte	Uniunea Europeană / conform DPA furnizor

SysPIC va notifica Operatorul cu minimum 15 zile înainte în cazul oricăror modificări privind adăugarea sau înlocuirea sub-împuterniciților. Operatorul poate formula obiecții motivate în acest termen. Toți sub-împuterniciții sunt supuși unor obligații contractuale echivalente celor din prezentul contract.

7. Securitatea prelucrării (Art. 32 GDPR)

SysPIC implementează, ținând cont de stadiul tehnic, de costurile implementării și de natura, domeniul de aplicare, contextul și scopurile prelucrării, următoarele măsuri:

• Pseudonimizare și criptare: CNP și Numele complet al angajaților sunt criptate AES-256 la stocare; CNP este indexat prin hash HMAC-SHA256; comunicațiile se realizează exclusiv HTTPS (TLS 1.2+)
• Confidențialitate și integritate continuă: Acces pe principiul necesității (role-based access), parole hash bcrypt, autentificare 2FA
• Disponibilitate și reziliență: Backup-uri regulate, monitoring server, proceduri de recuperare
• Testare periodică: Verificarea eficacității măsurilor tehnice și organizatorice
• Jurnalizare completă: Audit Trail pentru toate acțiunile sensibile (creare, modificare, ștergere date, autentificări)

8. Notificarea incidentelor (Art. 33-34 GDPR)

În cazul unui incident de securitate care afectează datele prelucrate în contul Operatorului, SysPIC va:

1. Notifica Operatorul în maximum 24 de ore de la constatarea incidentului, prin email la adresa furnizată la înregistrare
2. Furniza, pe măsura disponibilității informațiilor: natura incidentului, categoriile și numărul aproximativ de persoane vizate și înregistrări afectate, consecințele probabile, măsurile luate sau propuse
3. Asista Operatorul în îndeplinirea obligației legale de notificare a ANSPDCP (în 72 ore) și, după caz, a persoanelor vizate

Operatorul rămâne responsabil pentru notificarea autorității de supraveghere (ANSPDCP) și a persoanelor vizate, conform Art. 33-34 GDPR.

9. Asistarea Operatorului

SysPIC asistă Operatorul în îndeplinirea obligațiilor față de persoanele vizate prin:

• Furnizarea de export al datelor unui angajat la solicitarea motivată a Operatorului (drept de acces, portabilitate)
• Ștergerea sau anonimizarea datelor unui angajat la solicitarea motivată (drept la ștergere), în limita obligațiilor legale de păstrare
• Restricționarea prelucrării datelor unui angajat la solicitarea explicită a Operatorului
• Furnizarea de informații pentru evaluările de impact (DPIA) solicitate conform Art. 35 GDPR

Solicitările se transmit la contact@syspic.ro. Răspunsul se furnizează în maximum 10 zile lucrătoare.

10. Returnarea și ștergerea datelor

La încetarea contractului de abonament, Operatorul poate:

• Solicita exportul datelor în format structurat (CSV, JSON sau Excel, după caz) în termen de 30 de zile de la expirarea abonamentului
• Solicita ștergerea completă a tuturor datelor organizației sale din platformă

Dacă Operatorul nu transmite nicio solicitare în 30 de zile de la expirarea abonamentului, SysPIC va proceda la ștergerea ireversibilă a datelor organizației, cu excepția datelor pe care SysPIC este obligat legal să le păstreze (Audit Trail, facturi etc.).

11. Audit și verificare

SysPIC va pune la dispoziția Operatorului, la cerere motivată scrisă, informații și documentație pentru demonstrarea conformității cu Art. 28 GDPR. Auditurile la fața locului se pot efectua cu notificare prealabilă de minimum 30 de zile, pe cheltuiala Operatorului și fără a perturba activitatea operațională a SysPIC. SysPIC poate propune, în locul auditului la fața locului, furnizarea unui raport de audit realizat de un auditor independent.

12. Durata contractului

Prezentul contract intră în vigoare la data activării abonamentului Operatorului și este valabil pe toată durata contractului de servicii (abonamentului). Încetează automat la rezilierea sau expirarea abonamentului, cu excepția prevederilor privind ștergerea/returnarea datelor (Art. 10) și a obligațiilor de confidențialitate, care subzistă 5 ani după încetare.

13. Legea aplicabilă și litigii

Prezentul contract este guvernat de dreptul român și de Regulamentul (UE) 2016/679. Litigiile se soluționează pe cale amiabilă; în caz de eșec, instanțele competente din București, România.

Șablon semnătură (pentru versiunea printată)

Aveți întrebări despre DPA sau doriți o versiune personalizată? Contactați-ne la contact@syspic.ro. Consultați și Politica de Confidențialitate și Termenii și Condițiile.