Acord de Prelucrare a Datelor (Data Processing Agreement)
Versiune 1.1 — Mai 2026
Preambul
Prezentul Acord de Prelucrare a Datelor ("DPA") reglementează prelucrarea datelor cu caracter personal de către HELLO WEB SRL (denumită în continuare "Procesatorul") în numele clientului care utilizează platforma MyChatbot (denumit în continuare "Operatorul"), conform Regulamentului General privind Protecția Datelor (UE) 2016/679 ("GDPR"), în special Art. 28.
DPA-ul se aplică automat tuturor clienților platformei MyChatbot care folosesc chatbot-ul AI pe site-urile lor, conform Termenilor și Condițiilor de Utilizare disponibili la mychatbot.ro/termeni.
În cazul unor discrepanțe între prezentul DPA și Termenii și Condițiile de Utilizare, prevederile DPA prevalează în ceea ce privește prelucrarea datelor cu caracter personal.
1. Părțile
Procesatorul:
- HELLO WEB SRL
- Bdul. Ion Ionescu de la Brad 81-85, Et. 1, Ap. 1, Sector 1, București
- CUI: 39199732
- Nr. Reg. Com.: J40/451/2020
- Email: hello@mychatbot.ro
Operatorul:
Clientul activ al platformei MyChatbot, identificat prin contul de utilizator creat la signup și prin abonamentul valid în vigoare.
2. Obiectul prelucrării
Procesatorul prelucrează datele cu caracter personal ale vizitatorilor end-user care interacționează cu chatbot-ul AI configurat de Operator pe site-ul său web, în scopul furnizării serviciilor descrise în Termeni și Condiții.
Operatorul este controler-ul (data controller) al acestor date conform GDPR Art. 4(7). Procesatorul acționează exclusiv în numele și pe baza instrucțiunilor Operatorului.
3. Durata prelucrării
DPA-ul intră în vigoare la activarea abonamentului Operatorului și rămâne valabil pe întreaga durată a abonamentului, incluzând perioadele de trial, reînnoire automată sau suspendare.
La încetarea relației contractuale, Procesatorul va proceda conform Art. 9 al prezentului DPA.
4. Natura și scopul prelucrării
Procesatorul prelucrează datele exclusiv în scopul:
- Furnizării serviciului de chatbot AI conform configurării făcute de Operator
- Generării răspunsurilor automate către vizitatorii end-user
- Transmiterii formularelor de contact completate de vizitatori către Operator
- Colectării de statistici agregate (anonime) pentru rapoartele tehnice puse la dispoziția Operatorului
5. Categoriile de date prelucrate
5.1 Date prelucrate automat la fiecare interacțiune
- Întrebările vizitatorilor către chatbot (procesate de modelul AI fără stocare permanentă)
- Limba browser-ului vizitatorului
- Identificator de sesiune temporar (fără IP stocat, fără cookie persistent)
5.2 Date furnizate voluntar de vizitator
- Nume și prenume
- Adresă email
- Număr de telefon
- Mesaj liber în formularul de contact
5.3 Categorii speciale de date (Art. 9 GDPR)
Procesatorul nu colectează și nu prelucrează intenționat categorii speciale de date (date privind sănătatea, originea etnică, orientarea politică, sexuală sau religioasă, biometrice, etc.).
În cazul în care un vizitator furnizează voluntar astfel de date în mesajul liber al formularului, Procesatorul le tratează cu același standard de securitate ca celelalte date și le transmite Operatorului. Responsabilitatea de a gestiona aceste situații conform GDPR rămâne la Operator.
6. Categoriile de persoane vizate
- Vizitatorii anonimi ai site-ului web al Operatorului care interacționează cu chatbot-ul
- Persoanele care completează formularul de contact integrat în chatbot
7. Obligațiile Procesatorului
7.1 Confidențialitate
Prelucreze datele exclusiv pe baza instrucțiunilor documentate ale Operatorului (incluzând cele transmise prin configurarea platformei) și să asigure că persoanele autorizate să prelucreze datele sunt obligate prin contract sau lege la confidențialitate.
7.2 Securitate (Art. 32 GDPR)
Implementeze măsuri tehnice și organizatorice adecvate pentru protecția datelor, conform Art. 32 GDPR, inclusiv:
- Criptare TLS pentru transferuri
- Encryption at rest pentru stocare
- Control de acces pe roluri (Row Level Security)
- Monitorizare a operațiunilor administrative critice
7.3 Asistență Operatorului
Asiste Operatorul în îndeplinirea obligațiilor sale conform GDPR, inclusiv în:
- Răspunsul la cereri ale persoanelor vizate (Art. 15-22 GDPR)
- Notificări de breach (Art. 33-34 GDPR)
- Evaluări de impact privind protecția datelor (DPIA, Art. 35 GDPR)
7.4 Notificare de breach
Notifice Operatorul fără întârziere nejustificată, în termen rezonabil, de la luarea la cunoștință despre o breșă de securitate care afectează datele prelucrate în numele Operatorului.
8. Sub-procesatori
8.1 Autorizare generală
Operatorul autorizează Procesatorul să utilizeze sub-procesatori pentru îndeplinirea obligațiilor contractuale.
8.2 Lista sub-procesatorilor
Lista sub-procesatorilor curent autorizați:
| Sub-procesator | Scop | Locație |
|---|---|---|
| Supabase Inc. | Stocare bază de date | EU (Frankfurt) |
| Anthropic PBC | Procesare AI conversații | SUA (cu SCC) |
| Stripe Payments Europe Ltd. | Procesare plăți | EU (Irlanda) |
| Resend Inc. | Trimitere emailuri | SUA (cu SCC) |
| Vercel Inc. | Hosting aplicație | SUA/EU |
| Cloudflare Inc. | DNS, Email Routing, protecție DDoS | EU/SUA (cu SCC) |
8.3 Modificări
Procesatorul va notifica Operatorul de regulă 30 de zile înainte de adăugarea sau înlocuirea unui sub-procesator. În cazuri excepționale (de exemplu: încetarea unui sub-procesator existent, schimbare critică de furnizor), termenul poate fi mai scurt, cu justificare comunicată Operatorului.
În acest interval, Operatorul poate obiecta motivat la modificare prin email la hello@mychatbot.ro.
În caz de obiecție justificată, Procesatorul va depune eforturi rezonabile pentru a oferi o soluție alternativă. Dacă nu este posibil, Operatorul are dreptul să anuleze abonamentul fără penalități.
8.4 Răspundere
Procesatorul rămâne pe deplin răspunzător față de Operator pentru îndeplinirea obligațiilor de către sub-procesatori. Toate contractele cu sub-procesatorii includ clauze de protecție a datelor cel puțin echivalente cu cele prevăzute în prezentul DPA.
9. Returnarea sau ștergerea datelor
La încetarea relației contractuale (anulare abonament, expirare trial fără conversie, etc.):
- Datele vizitatorilor formularelor de contact au fost deja transmise Operatorului în timpul abonamentului — nu există copie reziduală la Procesator
- Configurările chatbot-ului și conținutul furnizat de Operator se păstrează 30 de zile pentru reactivare, după care pot fi șterse
- Datele agregate anonimizate (statistici fără identificatori personali) pot fi păstrate pentru îmbunătățirea serviciului, conform Art. 6(1)(f) GDPR
La cerere expresă a Operatorului prin email la hello@mychatbot.ro, Procesatorul va șterge sau returna datele anterior expirării celor 30 de zile, cu excepția datelor a căror păstrare e cerută de legea aplicabilă.
10. Audit și inspecții
10.1 Drept de audit
Operatorul are dreptul, o dată pe an calendaristic, să solicite Procesatorului dovezi documentate (rapoarte de securitate, certificări, atestări terțe) privind respectarea prezentului DPA.
Auditurile nu se efectuează prin auditor concurent al Procesatorului.
10.2 Inspecție on-site
Inspecțiile on-site sunt permise doar în cazuri excepționale (suspiciune de breach major) și cu acordul prealabil al Procesatorului. Costurile inspecției sunt suportate de Operator.
Auditul nu poate viza accesul la codul sursă proprietar al Procesatorului sau la datele altor clienți.
10.3 Conformitate prin terți
Procesatorul poate satisface obligațiile de audit prin furnizarea de rapoarte SOC 2, ISO 27001 sau certificări echivalente ale sub-procesatorilor săi (Supabase, Stripe, Vercel, etc.).
11. Transferuri internaționale de date
Anumiți sub-procesatori sunt situați în afara Spațiului Economic European (SUA). Pentru aceste transferuri, Procesatorul se asigură că există garanții adecvate conform Cap. V GDPR, în principal prin:
- Clauze Contractuale Standard (SCC) aprobate de Comisia Europeană
- EU-US Data Privacy Framework (acolo unde aplicabil)
Lista actualizată a garanțiilor specifice pentru fiecare sub-procesator este disponibilă la cerere prin email la hello@mychatbot.ro.
12. Răspundere și despăgubiri
Răspunderea pentru încălcările GDPR se stabilește conform Art. 82 GDPR. Părțile colaborează cu bună credință pentru a determina repartizarea răspunderii în cazul cererilor formulate de persoane vizate sau autorități de supraveghere.
Răspunderea Procesatorului către Operator este limitată conform Termenilor și Condițiilor de Utilizare, cu excepția cazurilor de încălcare intenționată sau neglijență gravă.
13. Conflict cu alte documente
În cazul unui conflict între prevederile prezentului DPA și:
- Termenii și Condițiile de Utilizare — prevederile DPA prevalează în privința prelucrării datelor cu caracter personal
- Politica de Confidențialitate — DPA-ul detaliază specific relația operator-procesator pentru datele vizitatorilor
14. Modificări
Procesatorul poate modifica DPA-ul cu notificare prealabilă de 30 de zile prin email. Modificările care reduc protecția datelor sub standardul GDPR nu sunt permise unilateral.
15. Drept aplicabil și jurisdicție
Prezentul DPA este guvernat de legislația română, inclusiv Legea 190/2018 privind aplicarea GDPR. Orice litigiu va fi soluționat de instanțele competente din București.
16. Contact
Pentru întrebări legate de prezentul DPA sau pentru exercitarea drepturilor:
- Email: hello@mychatbot.ro
- Operator de date personale: HELLO WEB SRL
- Autoritate de supraveghere: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (dataprotection.ro)
Acest document este pus la dispoziție conform Art. 28(3) GDPR. Versiunea actualizată este disponibilă oricând la mychatbot.ro/dpa.