Acord de prelucrare a datelor (DPA)

Ultima actualizare: 15 mai 2026 · Versiunea 1.1 · Aplicabil tuturor produselor Addlify

    Ce este acest document: Acest Acord de prelucrare a datelor ("DPA") este încheiat între
    Addlify ("Persoana împuternicită") și fiecare abonat al oricărui produs Addlify ("Operator") —
    inclusiv Addlify Finance, Addlify Medic și orice viitoare add-in-uri Addlify.
    Reglementează prelucrarea datelor cu caracter personal efectuată de Addlify în numele Operatorului,
    conform Articolului 28 din Regulamentul General privind Protecția Datelor (GDPR) și UK GDPR.
    Prin abonarea la orice produs Addlify, Operatorul acceptă termenii acestui DPA.
  

1. Părți

Operator de date

Tu — abonatul Addlify

Persoana fizică sau juridică care a achiziționat o licență Addlify și determină scopurile și mijloacele de prelucrare a datelor cu caracter personal prin add-in.

Persoană împuternicită

Addlify

Operează la addlify.uk
Contact: legal@addlify.uk
Prelucrează date cu caracter personal exclusiv pe baza instrucțiunilor documentate ale Operatorului.

2. Obiect, natură și durată

Obiectul acestui DPA este furnizarea serviciilor de abonament Addlify (orice produs Addlify actual sau viitor), care includ:

Generare, activare și validare a cheilor de licență pentru toate produsele Addlify.
Primirea și stocarea datelor transmise prin add-in (de ex. UTR/VRN/CIF/codcuri TVA, rezultate de transmisie HMRC și ANAF, metadate formulare medicale, feedback).
Trimiterea de email-uri tranzacționale în numele Operatorului (de ex. confirmare licență, aprobare transfer dispozitiv).
Stocarea jurnalelor de audit pentru acțiunile efectuate de dispozitivul/dispozitivele Operatorului.

Acest DPA începe la abonarea Operatorului la orice produs Addlify și se încheie când licența este anulată permanent și toate datele Operatorului sunt șterse conform Secțiunii 9 de mai jos.

3. Categorii de date cu caracter personal și persoane vizate

3.1 Date comune tuturor produselor Addlify

Categorie de date personale	Persoane vizate	Scop
Adresă de email, cheie de licență	Operator / angajații Operatorului	Management licență, email tranzacțional
Amprentă dispozitiv (hash non-reversibil)	Utilizatorii dispozitivelor Operatorului	Aplicarea licenței per-dispozitiv
Adresă IP, metadate browser/OS	Utilizatorii dispozitivelor Operatorului	Securitate, prevenire fraudă, limitare rată
Mesaje feedback și tickete suport	Operator / angajații Operatorului	Suport clienți, îmbunătățire produs

3.2 Date specifice produsului

Produs	Date suplimentare prelucrate	Note
Addlify Finance	UTR/NINO/VRN (UK) și CIF/coduri TVA (RO); nume companii; coduri și timestamps de transmisie HMRC și ANAF; token-uri OAuth HMRC (criptate la repaus)	Linile de factură, totalurile per perioadă și sumele de self-employment NU sunt niciodată stocate pe serverele Addlify — sunt generate local în Excel și trimise direct la HMRC sau ANAF de către add-in. Addlify primește doar metadate de succes/eroare și referințe de confirmare.
Addlify Medic	Metadate programări medicale; identificatori pacienți acolo unde sunt transmiși de Operator	Pot constitui date din categorii speciale conform GDPR Art. 9. Operatorul este responsabil să asigure un temei legal valid conform Art. 9 înainte de prelucrare. Addlify prelucrează doar ce transmite explicit Operatorul.
Produse viitoare	Vor fi specificate într-o anexă specifică produsului publicată la addlify.uk/dpa la lansare	Acest DPA va fi actualizat cu rânduri specifice produsului cu cel puțin 14 zile înainte de disponibilitatea generală a unui produs nou.

ℹ️ Principiul minimizării datelor: Add-in-urile Addlify sunt proiectate să prelucreze datele local pe dispozitivul Operatorului oriunde este posibil. Stocarea server-side este limitată la ceea ce este strict necesar pentru managementul licenței, securitate și suport. Niciun conținut de document (facturi, înregistrări medicale, documente juridice) nu este transmis către serverele Addlify decât dacă Operatorul inițiază explicit o sincronizare sau funcție cloud.

4. Obligațiile Persoanei împuternicite (Addlify)

4.1 Prelucrare doar pe instrucțiuni documentate

Addlify va prelucra datele cu caracter personal doar pe baza instrucțiunilor documentate ale Operatorului (adică acțiunile pe care Operatorul le inițiază prin add-in sau portalul de cont). Dacă Addlify este obligat de legea UE sau UK să prelucreze date dincolo de aceste instrucțiuni, va informa Operatorul înainte de acea prelucrare, cu excepția cazului în care este interzis prin lege.

4.2 Confidențialitate

Addlify se asigură că toate persoanele autorizate să prelucreze date cu caracter personal ale Operatorului sunt obligate prin obligații de confidențialitate și au primit instruire adecvată în protecția datelor.

4.3 Măsuri de securitate

Addlify implementează și menține măsuri tehnice și organizatorice adecvate, inclusiv:

Criptare TLS 1.2+ pentru toate datele în tranzit.
Criptare bază de date la repaus.
Hash bcrypt pentru toate parolele și identificatorii sensibili.
Query-uri SQL parametrizate pentru a preveni atacurile de injecție.
Header-uri de securitate (HSTS, CSP, X-Content-Type-Options, X-Frame-Options).
Limitare rată și protecție anti-brute-force pe toate endpoint-urile API.
Autentificare cu doi factori (TOTP) pe conturile administratorilor.
Revizii regulate de securitate și actualizări de dependențe.

Descrierea structurală completă a acestor măsuri tehnice și organizatorice, conform Articolului 32 din UK GDPR / UE GDPR, este prezentată în Anexa 2 la acest DPA și formează parte integrantă din acesta.

4.4 Sub-persoane împuternicite

Operatorul autorizează Addlify să angajeze următoarele sub-persoane împuternicite. Addlify a încheiat acorduri de prelucrare cu fiecare care impun obligații echivalente cu cele din acest DPA. Această listă este exhaustivă — Addlify nu folosește alte sub-procesoare nedeclarate:

Sub-persoană împuternicită	Rol	Date partajate	Locație
Stripe, Inc.	Procesare plăți și management abonamente	Adresă email, țară de facturare, metodă plată (număr card stocat exclusiv de Stripe conform PCI-DSS — niciodată de Addlify)	SUA (Clauze contractuale standard în vigoare)
PayPal (Europe) S.à r.l. et Cie, S.C.A.	Procesare alternativă plăți pentru comenzi alese via PayPal la checkout	Adresă email, țară facturare, referință tranzacție	Luxemburg / SUA (SCC în vigoare)
Hostico SRL	Server web, găzduire MariaDB și livrare email tranzacțional (PHP mail nativ / releu SMTP)	Toate datele stocate pe serverele Addlify sub găzduire cPanel partajată; adresă email destinatar și conținut email pentru mesaje tranzacționale	România (UE)
Twilio Inc. (SendGrid)	Livrare email tranzacțional (newsletter, activare licență, recuperare parolă) când se folosește SMTP în plus față de PHP mail nativ	Adresă email destinatar, subiect și corp email	SUA / Irlanda (SCC în vigoare)
Cloudflare, Inc.	CDN, protecție DDoS, WAF și terminare TLS pentru addlify.uk	Adresă IP, metadate cereri; corpuri cereri/răspuns HTTP în tranzit (nestocate la repaus de Cloudflare peste cache-uri scurte)	SUA / margine UE (SCC în vigoare)
Microsoft Corporation	Mediu runtime add-in (platforma Microsoft Office / Excel / Word add-in)	Telemetrie standard Office add-in (controlată de politica Microsoft 365 a Operatorului — Addlify nu are acces la această telemetrie)	SUA / UE (per regiunea tenantului Microsoft 365 al Operatorului)

Addlify va notifica Operatorul despre orice adăugare sau înlocuire a unei sub-persoane împuternicite prin actualizarea listei de mai sus și a datei "Ultima actualizare" a acestui DPA cu cel puțin 30 de zile în avans. Operatorul poate obiecta la o sub-persoană împuternicită nouă pe motive rezonabile, legate de protecția datelor, prin email la legal@addlify.uk în acele 30 de zile.

4.5 Asistență pentru drepturile persoanelor vizate

Addlify va asista Operatorul în îndeplinirea obligațiilor sale de răspuns la cererile persoanelor vizate care își exercită drepturile conform GDPR (acces, rectificare, ștergere, restricționare, portabilitate, opoziție). Cererile trebuie direcționate la legal@addlify.uk și vor fi soluționate în 5 zile lucrătoare pentru a permite Operatorului să respecte termenul de 30 de zile GDPR.

4.6 Notificare încălcare date

Addlify (ca Persoană împuternicită) va notifica Operatorul fără întârzieri nejustificate — și nu mai târziu de 48 de ore după ce devine conștient — despre orice încălcare a datelor personale care afectează datele Operatorului. Această fereastră de 48 de ore este deliberat mai strânsă decât termenul de 72 de ore Operator-către-supervizor conform UK GDPR / UE GDPR Articolul 33.

4.7 Evaluări de impact asupra protecției datelor (DPIA)

Addlify va oferi asistență rezonabilă Operatorului în efectuarea DPIA-urilor și consultărilor prealabile cu autoritățile de supraveghere când este cerut de GDPR Articolele 35–36.

4.8 Returnare și ștergere a datelor

La încetarea abonamentului, Addlify, la alegerea Operatorului:

Va șterge toate datele cu caracter personal ale Operatorului în 30 de zile, sau
Va returna o copie a datelor în format JSON la cerere scrisă, după care vor fi șterse.

Addlify poate reține date anonimizate, agregate (fără identificatori personali) pentru scopuri statistice după ștergere.

4.9 Drepturi de audit

Operatorul poate cere, cel mult o dată pe an calendaristic, un rezumat scris al măsurilor de securitate Addlify și conformității acestui DPA. Cererile trebuie trimise la legal@addlify.uk.

5. Obligațiile Operatorului

Operatorul garantează și declară că:

Are un temei legal valid (conform GDPR Articolul 6 și, unde este aplicabil, Articolul 9) pentru toate datele cu caracter personal pe care le cauzează a fi prelucrate de Addlify.
Va furniza persoanelor vizate toate notificările necesare despre prelucrarea descrisă în acest DPA.
Nu va instrui Addlify să prelucreze date într-un mod care încalcă legea aplicabilă.
Este responsabil pentru securitatea oricărui dispozitiv pe care este instalat add-in-ul Addlify.

6. Transferuri internaționale de date

Addlify stochează și prelucrează datele Operatorului pe servere localizate în UE/SEE. Acolo unde orice sub-persoană împuternicită operează în afara UE/SEE, Addlify se asigură că sunt în vigoare garanții adecvate, inclusiv Clauze contractuale standard (SCC) aprobate de Comisia Europeană sau mecanisme echivalente conform UK GDPR.

7. Răspundere și despăgubire

Fiecare parte va fi răspunzătoare pentru daunele cauzate de propria încălcare a obligațiilor GDPR. Unde ambele părți sunt responsabile pentru daună, răspunderea fiecărei părți va fi proporțională cu gradul său de responsabilitate. Nimic din acest DPA nu limitează răspunderea oricărei părți pentru deces sau vătămare corporală cauzate de neglijență, fraudă sau orice altă răspundere care nu poate fi exclusă prin lege.

8. Legea aplicabilă

Acest DPA este guvernat și interpretat conform legilor Angliei și Țării Galilor. Orice dispute vor fi supuse jurisdicției exclusive a instanțelor din Anglia și Țara Galilor, cu excepția cazului în care Operatorul este localizat în UE, caz în care legile locale obligatorii de protecție a consumatorului pot, de asemenea, să se aplice.

9. Actualizări ale acestui DPA

Addlify poate actualiza acest DPA pentru a reflecta modificările legii sau ale serviciului. Modificările materiale vor fi notificate prin email cu cel puțin 14 zile înainte de a intra în vigoare. Utilizarea continuă a Addlify după data efectivă constituie acceptare.

10. Contact

Pentru întrebări despre acest DPA, cereri de la persoane vizate sau preocupări de securitate:

Email: legal@addlify.uk
Website: addlify.uk

Pentru reclamații, poți contacta și autoritatea ta națională de supraveghere:

România: ANSPDCP — dataprotection.ro
UK: Information Commissioner's Office — ico.org.uk
Altă UE: edpb.europa.eu

Anexa 2 — Măsuri tehnice și organizatorice (Art. 32 GDPR)

Această Anexă prezintă măsurile tehnice și organizatorice (TOM) implementate și menținute de Addlify ca Persoană împuternicită, conform Articolului 32 din UK GDPR și UE GDPR. Formează parte integrantă din acest DPA și este referențiată de clauza 4.3.

A2.1 Criptare și pseudonimizare

TLS 1.2+ pentru toate datele în tranzit, cu HSTS aplicat.
Criptare la repaus pentru baza de date de producție, cu backup-uri zilnice criptate.
Criptare AES-256 a token-urilor OAuth HMRC și ANAF și a altor câmpuri sensibile de identitate.
Hash bcrypt/argon2 al parolelor și identificatorilor sensibili; minimizare și pseudonimizare a identificatorilor.

A2.2 Control acces

Control acces bazat pe roluri (RBAC), principiul privilegiului minim, acces acordat strict pe baza necesității.
Autentificare cu doi factori (TOTP) pe toate conturile de administrator și de persoană împuternicită.
Query-uri SQL parametrizate, codare output și protecție CSRF pe endpoint-urile care modifică starea.
Separare logică a mediilor de producție, staging și dezvoltare.

A2.3 Confidențialitate, integritate, disponibilitate și reziliență

Web Application Firewall, protecție DDoS și limitare rată (Cloudflare); header-uri securizate de răspuns HTTP și Content-Security-Policy.
Găzduire pe furnizori care operează la standardele ISO 27001 / SOC 2.
Logging centralizat, monitorizare și detecție anomalii.
Patching regulat, scanare dependențe și revizii de securitate.

A2.4 Răspuns la incidente

Procedură documentată de răspuns la încălcări de date cu roluri și căi de escaladare definite.
Notificare către Operator fără întârziere nejustificată și nu mai târziu de 48 de ore (clauza 4.6).

A2.5 Continuitate business

Backup-uri zilnice criptate cu retenție rolling de 90 zile și teste periodice de restaurare.
Capabilitate de restabilire a disponibilității și accesului la date personale în timp util.