Acord de Prelucrare a Datelor

Părțile

PROCESORUL (Leadgram): Vasili Alexeev, [PFA / SRL], CUI: [CUI], Nr. ONRC: [nr.], cu sediul în Pitești, România, email: [email protected], denumit în continuare "Procesorul" sau "Leadgram"

CONTROLORUL (Clientul): [Denumire completă], [tip entitate juridică], CUI: [CUI], Nr. ONRC/înregistrare: [dacă aplică], sediu: [adresă], reprezentat de [Nume, funcție], email: [email], denumit în continuare "Controlorul"

Prezentul Acord intră în vigoare la [ZZ.LL.AAAA] și face parte integrantă din Contractul de servicii Leadgram, având PRIORITATE față de Termenii și condițiile generale în materie de protecție a datelor cu caracter personal.

1. Definiții

• "Date personale", "Prelucrare", "Controlor", "Processor", "Persoană vizată", "Autoritate de supraveghere": în sensul GDPR (Regulamentul UE 2016/679).
• "Customer Data": datele personale pe care Controlorul le încarcă sau creează în Serviciu, referitoare la debitorii, clienții finali sau alte contacte ale Controlorului.
• "Incident de securitate": orice breach care duce la distrugerea, pierderea, modificarea, divulgarea sau accesul neautorizat la date personale.
• "SCC": Clauze contractuale standard aprobate prin Decizia Comisiei 2021/914.
• "TIA": Transfer Impact Assessment — evaluarea impactului unui transfer internațional de date.
• "DSAR": Data Subject Access Request — cerere exercitare drepturi GDPR din partea persoanei vizate.

2. Obiectul, natura, durata și scopul prelucrării

Leadgram (Procesorul) prelucrează Customer Data în numele Clientului (Controlorul) EXCLUSIV în scopul furnizării serviciilor Leadgram: automatizare follow-up plăți, comunicare cu debitori/contacte prin WhatsApp/email/apel telefonic, sincronizare CRM. Prelucrarea are loc pe durata Contractului de servicii, strict conform instrucțiunilor documentate ale Controlorului. Customer Data nu este utilizat de Leadgram în scopuri proprii.

3. Obligațiile Procesorului (Leadgram) — GDPR Art. 28(3)

• Prelucrează Customer Data EXCLUSIV conform instrucțiunilor documentate ale Controlorului; în absența instrucțiunilor, se aplică setările implicite ale Serviciului
• Nu prelucrează Customer Data în scopuri proprii; nu vinde, nu închiriază, nu utilizează pentru publicitate
• Se asigură că persoanele autorizate să acceseze datele s-au angajat la confidențialitate prin clauze contractuale
• Implementează măsuri tehnice și organizatorice conform GDPR Art. 32 (detaliate în Anexa B)
• Notifică Controlorul în termen de 48 ore de la constatarea unui incident de securitate care afectează Customer Data
• Asistă Controlorul în răspunsul la DSAR-uri (Art. 15-22) în termen de maxim 5 zile lucrătoare de la cerere
• Șterge sau returnează Customer Data la alegerea Controlorului, la încetarea contractului
• Permite auditurile Controlorului conform secțiunii 9
• Nu angajează subprocesori noi fără notificarea prealabilă a Controlorului (14 zile)

4. Obligațiile Controlorului

• Deține baza legală conform GDPR Art. 6 (și Art. 9 pentru date speciale) pentru a transmite Customer Data către Leadgram
• A informat sau se obligă să informeze persoanele vizate că datele lor sunt prelucrate și că se utilizează un sistem AI (GDPR Art. 13/14; AI Act Art. 50 — aplicabil de la 2 august 2026, unde este cazul)
• Furnizează instrucțiuni clare și legale; Leadgram nu este răspunzător pentru conformitatea instrucțiunilor Controlorului
• Notifică Procesorul dacă devine conștient de o încălcare a GDPR care afectează prelucrarea
• Nu încarcă categorii speciale fără baza legală Art. 9(2) și fără acordul scris prealabil al Procesorului

5. Subprocesori autorizați (GDPR Art. 28(2))

Lista actualizată și publică a subprocesorilor este disponibilă la leadgram.eu/subprocesori.

Procedura modificare subprocesori: Leadgram notifică Controlorul cu minimum 14 zile calendaristice înainte de adăugarea sau înlocuirea unui subprocesor. Controlorul poate obiecta în scris în 14 zile cu motive întemeiate. În caz de obiecție fondată fără alternativă: părțile găsesc soluție sau Controlorul poate rezilia cu notificare de 30 zile, fără penalități.

Obligații impuse subprocesorilor: Leadgram impune subprocesorilor obligații de protecție echivalente cu prezentul DPA, prin clauze contractuale scrise. Leadgram rămâne răspunzător față de Controlor pentru îndeplinirea obligațiilor de către subprocesori.

6. Transferuri internaționale de date (GDPR Art. 44-49)

• UK (Neon/AWS eu-west-2 = Londra): UK este țară terță, dar beneficiază de o decizie de adecvare a Comisiei Europene pentru transferurile UE→UK (GDPR Art. 45), astfel încât transferul se poate efectua în temeiul Art. 45 GDPR.
• SUA — OpenAI: SCC (Decizia 2021/914, Modulul 2: Controller-to-Processor) + DPA semnat + TIA efectuat + măsuri suplimentare: criptare TLS 1.3 în tranzit, minimizare date (doar conținut conversației relevante), termene contractuale de ștergere.
• SUA — Clerk: SCC (Decizia 2021/914) + EU-US Data Privacy Framework (DPF), NUMAI dacă Clerk este efectiv inclus în lista DPF (verificare la dataprivacyframework.gov/list). Dacă nu este certificat, se aplică SCC + TIA. Leadgram verifică anual statutul de certificare.
• SUA — Resend: SCC (Decizia 2021/914, Modulul 2) + DPA semnat cu Resend.

Copii ale SCC, TIA și DPA-urilor furnizorilor sunt disponibile la cerere: [email protected]

7. Drepturile persoanelor vizate (GDPR Art. 15-22)

• Procesorul asistă Controlorul în răspunsul la DSAR-uri referitoare la Customer Data în termen de maxim 5 zile lucrătoare
• DSAR-urile primite direct de Leadgram de la persoanele vizate sunt redirecționate Controlorului în 2 zile lucrătoare
• Asistență tehnică: export Customer Data (JSON/CSV), ștergere selectivă, restricționare, portabilitate — în limitele funcționalității serviciului
• Controlorul este responsabil de comunicarea cu persoana vizată și de răspunsul final în termenele GDPR (30 zile)

Canalul DSAR Leadgram: [email protected] | Subiect recomandat: "DSAR - [Tip cerere] - [Ref. client]"

8. Incidente de securitate (GDPR Art. 33-34)

• Notificarea Controlorului: în termen de 48 ore de la constatare, prin email la adresa de contact a Controlorului
• Conținutul notificării (în măsura disponibilității la momentul notificării): natura incidentului; categoriile și volumul estimat de date și persoane afectate; consecințele probabile; măsurile luate și propuse.
• Actualizări periodice: dacă informațiile complete nu sunt disponibile în 48 ore, Leadgram furnizează actualizări pe măsură ce devin disponibile
• Controlorul notifică ANSPDCP în termen de 72 ore (Art. 33); persoanele vizate în caz de risc ridicat (Art. 34)
• Leadgram cooperează cu Controlorul pe durata investigației și remedierii; documentează deciziile

ANSPDCP: www.dataprotection.ro | [email protected] | Tel: +40 318 059 211

9. Transparență AI și obligații AI Act Art. 50 (aplicabil de la 2 august 2026, unde este cazul)

Părțile recunosc că Serviciul utilizează sisteme AI pentru generarea de răspunsuri în comunicările inițiate prin platformă.

Obligația Controlorului (AI Act Art. 50, unde este aplicabil și începând cu data aplicabilității legale): Controlorul se obligă să se asigure că adresații comunicărilor generate de AI (debitori, contacte) sunt informați că interacționează cu un sistem automatizat/AI și că nu sunt induși în eroare cu privire la natura (umană sau automatizată) a comunicării. Mascarea agentului AI ca om = încălcare contractuală și legală.

Modelul operațiilor Leadgram: În configurația implicită, Leadgram propune răspunsuri/acțiuni Controlorului spre aprobare (human-in-the-loop). Modul automat este opțional și explicit activat de Controlor. Leadgram nu ia decizii cu efecte juridice exclusiv automat.

Leadgram pune la dispoziție în documentația tehnică un șablon recomandat de notificare AI pentru adresații comunicărilor. Utilizarea este la latitudinea Controlorului.

10. Ștergerea și returnarea datelor la încetare (GDPR Art. 28(3)(g))

• La încetarea Contractului: Controlorul are 30 zile pentru a exporta Customer Data (format JSON/CSV disponibil în aplicație)
• După fereastra de export: Leadgram șterge Customer Data din sistemele de producție în 30 de zile
• Din backup-uri: ștergere definitivă în maximum 90 de zile de la încetare
• Confirmare scrisă a ștergerii: emisă de Leadgram la cerere

Excepții de reținere: date care trebuie păstrate prin lege (ex. date financiare — 5 ani conform Legii 82/1991) sunt reținute cu acces strict restricționat și notificarea Controlorului.

11. Audit și conformitate (GDPR Art. 28(3)(h))

• Leadgram pune la dispoziția Controlorului informațiile necesare demonstrării conformității cu GDPR Art. 28.
• Auditurile necesită notificare scrisă prealabilă de cel puțin 30 zile calendaristice, se realizează o dată pe an (sau imediat după un incident grav), fără perturbarea activității. Costurile sunt suportate de Controlor.
• Leadgram poate oferi în loc de audit fizic rapoarte de certificare sau chestionare de conformitate (SOC 2, ISO 27001 sau echivalent), dacă sunt disponibile.

12. Răspundere

• Fiecare parte răspunde pentru îndeplinirea propriilor obligații GDPR și pentru prejudiciile cauzate prin încălcarea lor.
• Leadgram răspunde față de Controlor pentru Customer Data prelucrat în afara instrucțiunilor sau cu încălcarea prezentului DPA. Răspunderea Procesorului este limitată la sumele stabilite în Contractul de servicii, cu excepția dolului sau culpei grave.
• Controlorul răspunde față de persoanele vizate și față de ANSPDCP pentru legalitatea Customer Data încărcat și a instrucțiunilor date.

13. Durata și efecte la încetare

Prezentul Acord intră în vigoare la data semnării și rămâne în vigoare pe durata Contractului de servicii. Secțiunile privind confidențialitatea, ștergerea datelor, răspunderea și auditurile supraviețuiesc încetării.

14. Legea aplicabilă

Prezentul Acord este guvernat de legea română și de legislația UE privind protecția datelor. Litigiile se soluționează conform prevederilor Contractului de servicii.

Anexe