SysPontaje

Acord de Procesare a Datelor (DPA)

Ultima actualizare: 8 iunie 2026

Acest acord reglementează prelucrarea datelor cu caracter personal de către AlgorX Software S.R.L. („Procesatorul") în numele clientului care utilizează platforma SysPontaje („Operatorul"), în conformitate cu art. 28 din Regulamentul (UE) 2016/679 (GDPR).

1. Definiții și Roluri

  • Operatorul — instituția/organizația care utilizează SysPontaje și introduce datele personale ale membrilor echipelor de proiect (persoane pontate, salariile, orele lucrate).
  • Procesatorul — AlgorX Software S.R.L. (CUI RO54306018), care furnizează și operează platforma SysPontaje și prelucrează datele exclusiv conform instrucțiunilor Operatorului.
  • Persoane vizate — membrii echipelor de proiect ale căror date sunt introduse în platformă (persoane pontate).

2. Obiectul Prelucrării

ElementDetalii
Categorii de dateNume, funcție, salariu de bază, ore lucrate pe zile/proiecte, grad indicatori, rezultate calcul majorare
Categorii de persoane vizateMembri ai echipelor de implementare a proiectelor cu finanțare UE
Natura prelucrăriiStocare, calcul automat, afișare, export (PDF)
ScopulCalculul majorărilor salariale conform Legii 153/2017 art. 16
DurataPe durata contractului de utilizare + 30 zile după ștergerea contului

3. Obligațiile Procesatorului

Procesatorul se obligă să:

  1. Prelucreze datele personale exclusiv conform instrucțiunilor documentate ale Operatorului și conform prezentului DPA;
  2. Asigure că persoanele autorizate să prelucreze datele s-au angajat la confidențialitatesau au o obligație legală corespunzătoare;
  3. Implementeze măsuri tehnice și organizatorice adecvate conform art. 32 GDPR (detaliate la secțiunea 5);
  4. Nu angajeze un alt procesator (sub-procesator) fără autorizarea prealabilă, generală sau specifică, a Operatorului (vezi secțiunea 4);
  5. Asiste Operatorul în exercitarea drepturilor persoanelor vizate (acces, rectificare, ștergere, portabilitate, restricționare, opoziție);
  6. Asiste Operatorul în asigurarea conformității cu obligațiile din art. 32–36 GDPR (securitate, notificarea breșelor, evaluarea impactului);
  7. La alegerea Operatorului, la încetarea prestării, șteargă sau returneze toate datele personale și elimine copiile existente, cu excepția cazurilor în care dreptul Uniunii sau cel național impune stocarea;
  8. Pună la dispoziția Operatorului toate informațiile necesare pentru demonstrarea conformității și permită audituri.

4. Sub-Procesatori

Operatorul acordă autorizare generală pentru utilizarea următorilor sub-procesatori:

Sub-procesatorFuncțieLocalizare
MongoDB, Inc. (Atlas)Bază de dateUE (Frankfurt / Ireland)
Railway Corp.Hosting aplicațieUE / SUA (cu SCC)
Stripe Payments Europe Ltd.Procesare plățiUE (Dublin)
Resend, Inc.Email tranzacționalSUA (cu SCC)

Procesatorul va notifica Operatorul cu cel puțin 30 de zile înainte de adăugarea sau înlocuirea unui sub-procesator. Operatorul poate obiecta în termen de 15 zile. În caz de obiecție nerezolvată, Operatorul poate rezilia contractul.

Procesatorul impune fiecărui sub-procesator, prin contract, aceleași obligații de protecție a datelor prevăzute în prezentul DPA.

5. Măsuri de Securitate (Art. 32 GDPR)

Procesatorul implementează următoarele măsuri:

  • Criptare în tranzit: HTTPS/TLS 1.2+ pentru toate conexiunile;
  • Criptare în repaus: MongoDB Atlas encryption at rest (AES-256);
  • Autentificare: Parole hash cu bcrypt, sesiuni JWT cu expirare;
  • Izolarea datelor: Multi-tenancy la nivel de query — fiecare instituție accesează exclusiv datele proprii;
  • Control acces: Roluri (admin/manager/viewer) cu permisiuni granulare;
  • Backup: Backup-uri automate zilnice cu retenție de 7 zile;
  • Monitorizare: Jurnale de acces și alertare la activitate suspectă;
  • Testare: Evaluări periodice ale vulnerabilităților.

6. Notificarea Breșelor de Securitate

În conformitate cu art. 33 GDPR, Procesatorul va notifica Operatorul fără întârziere nejustificată și nu mai târziu de 48 de ore de la momentul în care ia cunoștință de o breșă de securitate care afectează datele personale. Notificarea va include:

  • Natura breșei și categoriile de date afectate;
  • Numărul aproximativ de persoane vizate;
  • Consecințele probabile;
  • Măsurile luate sau propuse pentru remedierea și atenuarea efectelor.

7. Transferuri Internaționale

Orice transfer de date în afara Spațiului Economic European se realizează exclusiv pe baza:

  • Clauzelor Contractuale Standard (SCC) aprobate de Comisia Europeană (Decizia 2021/914);
  • Cu evaluări ale impactului transferului (TIA) documentate;
  • Cu măsuri tehnice suplimentare (criptare end-to-end, pseudonimizare unde este posibil).

8. Audituri

Procesatorul acordă Operatorului dreptul de a efectua audituri, direct sau printr-un auditor terț, pentru verificarea conformității cu prezentul DPA. Auditurile se desfășoară:

  • Cu un preaviz de minimum 30 de zile;
  • Maxim o dată pe an (cu excepția cazurilor de breșe);
  • Pe cheltuiala Operatorului;
  • Cu respectarea obligațiilor de confidențialitate.

9. Ștergerea Datelor

La încetarea contractului de utilizare:

  • Operatorul poate solicita exportul complet al datelor în format structurat (JSON/CSV);
  • Datele vor fi șterse definitiv din toate sistemele în termen de 30 de zile;
  • Procesatorul va confirma ștergerea în scris;
  • Excepție: datele de facturare se păstrează 10 ani (obligație legală).

10. Durata și Încetarea

Prezentul DPA intră în vigoare la crearea contului și rămâne valabil pe toată durata utilizării platformei SysPontaje. Obligațiile de confidențialitate și securitate supraviețuiesc încetării.

11. Contact

Pentru orice aspecte legate de procesarea datelor: