Anexa DPA — Acord de Prelucrare a Datelor cu Caracter Personal

v1.3

Ultima actualizare: 15 aprilie 2026

Cuprins (15 secțiuni)

1. Despre acest acord#

Prezenta Anexa DPA ("Acordul") face parte integranta din Termenii si Conditiile FlowERP si reglementeaza prelucrarea datelor cu caracter personal de catre Prestator, in calitate de persoana imputernicita, pentru si in numele Clientului, in calitate de operator, conform Regulamentului (UE) 2016/679 ("GDPR") si Legii nr. 190/2018.

Acordul intra automat in vigoare la momentul acceptarii Termenilor si Conditiilor de catre Client si este valabil pe toata durata contractului de furnizare a Serviciilor FlowERP.

In caz de conflict intre prevederile acestui Acord si cele ale Termenilor si Conditiilor cu privire la prelucrarea datelor cu caracter personal, prevederile acestui Acord prevaleaza.

2. Definitii#

Termenii utilizati in acest Acord au semnificatiile stabilite in GDPR, in special:

Operator (Controller) — Clientul, persoana juridica ce determina scopurile si mijloacele prelucrarii Datelor cu Caracter Personal incarcate in Platforma.
Persoana imputernicita (Processor) — SC Net Advice Solutions S.R.L., care prelucreaza Datele cu Caracter Personal in numele Operatorului.
Date cu Caracter Personal — orice informatii referitoare la o persoana fizica identificata sau identificabila, prelucrate prin Platforma in numele Operatorului.
Persoana vizata — persoana fizica la care se refera Datele cu Caracter Personal (angajati, clienti, furnizori, parteneri ai Operatorului).
Sub-imputernicit (Sub-processor) — orice tert angajat de Persoana imputernicita pentru a efectua activitati de prelucrare specifice in numele Operatorului.
Bresa de securitate — incalcarea securitatii care duce, in mod accidental sau ilegal, la distrugerea, pierderea, modificarea sau divulgarea neautorizata a Datelor cu Caracter Personal.
Spatiul Economic European (SEE) — statele membre UE plus Islanda, Liechtenstein si Norvegia.

Termenii definiti in Termenii si Conditiile FlowERP isi pastreaza semnificatia.

3. Obiect, durata, natura, scop#

3.1. Obiectul prelucrarii#

Persoana imputernicita prelucreaza Datele cu Caracter Personal incarcate de Operator in Platforma FlowERP exclusiv in scopul furnizarii Serviciilor descrise in Termenii si Conditiile FlowERP si conform planului de abonament activ.

3.2. Durata#

Pe toata durata contractului de furnizare a Serviciilor FlowERP, plus perioada de pastrare post-incetare prevazuta in clauza 13 a prezentei Anexe.

3.3. Natura prelucrarii#

Stocare, organizare, structurare, modificare, consultare, extragere, transmitere (catre destinatari indicati de Operator), arhivare, restrictionare, stergere — efectuate in mod automat prin functionalitatile Platformei.

3.4. Scopul prelucrarii#

Furnizarea functionalitatilor de tip ERP pentru Operator: facturare, gestiune clienti/furnizori, gestiune resurse umane, gestiune stocuri si active, raportare financiara, transmitere e-Factura catre ANAF, alte module activate.

4. Categorii de persoane vizate si tipuri de date#

4.1. Categorii de persoane vizate#

Angajatii si colaboratorii Operatorului;
Clientii Operatorului (persoane fizice sau persoane de contact din cadrul clientilor persoane juridice);
Furnizorii Operatorului (persoane fizice sau persoane de contact din cadrul furnizorilor persoane juridice);
Alte persoane cu care Operatorul intra in relatii contractuale sau comerciale.

4.2. Tipuri de date prelucrate#

In functie de modulele activate:

Date de identificare: nume, prenume, CNP (pentru angajati si parteneri persoane fizice), CUI/CIF, denumire firma;
Date de contact: adresa, email, numar de telefon;
Date profesionale: functie, departament, manager, data angajarii, salariu si componente cost (in modulul HR);
Date financiare: facturi emise/primite, plati, solduri, conturi bancare, IBAN-uri;
Date contractuale: contracte cu clientii si furnizorii, valoare, termene;
Documente: orice document incarcat in DMS de catre Operator, care poate contine date cu caracter personal.

4.3. Categorii speciale de date#

Operatorul nu va incarca in mod intentionat in Platforma date din categorii speciale (date privind sanatatea, originea rasiala/etnica, opinii politice, convingeri religioase, date biometrice, date privind orientarea sexuala) sau date privind condamnari penale, cu exceptia celor strict necesare in cadrul modulului HR (ex. certificate medicale incarcate ca documente justificative pentru concedii medicale).

In cazul in care Operatorul incarca astfel de date, isi asuma pe deplin respectarea conditiilor legale aplicabile (art. 9 si 10 GDPR).

5. Obligatiile Persoanei imputernicite#

Persoana imputernicita se obliga sa:

5.1. Prelucrare conform instructiunilor#

Sa prelucreze Datele cu Caracter Personal exclusiv in baza instructiunilor documentate ale Operatorului. Aceste instructiuni sunt:

definite in Termenii si Conditiile FlowERP si in prezenta Anexa;
date prin actiunile efectuate de Utilizatorii Operatorului in Platforma (ex. emitere factura, transmitere e-Factura, generare raport);
transmise prin alte canale documentate (email catre [email protected], tichete suport).

Daca Persoana imputernicita considera ca o instructiune incalca GDPR sau alte dispozitii legale, va informa imediat Operatorul.

5.2. Confidentialitate#

Sa se asigure ca persoanele autorizate sa prelucreze Datele cu Caracter Personal (angajati si colaboratori) sunt obligate la confidentialitate prin contract sau prin lege.

5.3. Securitate#

Sa implementeze masurile tehnice si organizatorice descrise in Anexa A la acest Acord.

5.4. Sub-imputerniciti#

Sa respecte conditiile prevazute la clauza 7 cu privire la sub-imputerniciti.

5.5. Asistenta in exercitarea drepturilor persoanelor vizate#

Sa asiste Operatorul, prin masuri tehnice si organizatorice adecvate, in indeplinirea obligatiei de a raspunde cererilor persoanelor vizate cu privire la drepturile lor (acces, rectificare, stergere, restrictionare, portabilitate, opozitie). Asistenta se realizeaza prin functionalitatile native ale Platformei (export, modificare, stergere date) sau, in cazuri exceptionale, prin asistenta tehnica directa la cererea Operatorului.

5.6. Asistenta in indeplinirea obligatiilor Operatorului#

Sa asiste Operatorul in indeplinirea obligatiilor sale conform art. 32-36 GDPR (securitate, notificare brese, evaluare impact DPIA, consultare prealabila ANSPDCP), in masura in care natura prelucrarii si informatiile disponibile permit acest lucru.

5.7. Notificare brese de securitate#

Sa notifice Operatorul fara intarziere nejustificata si in cel mult 48 de ore de la luarea la cunostinta despre o bresa de securitate care afecteaza Datele cu Caracter Personal ale Operatorului. Notificarea va contine:

descrierea naturii bresei;
categoriile si numarul aproximativ de persoane vizate;
categoriile si numarul aproximativ de inregistrari afectate;
consecintele probabile;
masurile luate sau propuse.

5.8. Restituire si stergere#

Sa returneze sau sa stearga Datele cu Caracter Personal la incetarea contractului, conform clauzei 13.

5.9. Punere la dispozitie de informatii#

Sa puna la dispozitia Operatorului toate informatiile necesare pentru a demonstra respectarea obligatiilor stabilite in art. 28 GDPR si sa permita auditarile descrise in clauza 11.

5.10. Registru de evidenta#

Sa mentina un registru al activitatilor de prelucrare desfasurate in numele Operatorului, conform art. 30 alin. (2) GDPR.

6. Obligatiile Operatorului#

Operatorul se obliga sa:

6.1. Prelucreze Datele cu Caracter Personal in conformitate cu GDPR, inclusiv obtinerea temeiurilor legale pentru prelucrare (consimtamant, executare contract, obligatie legala etc.) si informarea persoanelor vizate.

6.2. Furnizeze instructiuni documentate, legale si fezabile tehnic Persoanei imputernicite.

6.3. Configureze corect drepturile de acces ale Utilizatorilor sai in Platforma, conform principiului celui mai mic privilegiu necesar.

6.4. Nu incarce in Platforma Date cu Caracter Personal pentru care nu are temei legal de prelucrare.

6.5. Notifice fara intarziere Persoanei imputernicite orice cerere a unei persoane vizate care necesita actiune din partea acesteia, daca cererea nu poate fi gestionata direct de Operator prin functionalitatile Platformei.

6.6. Indeplineasca, atunci cand este cazul, obligatiile de notificare a breselor de securitate catre ANSPDCP si catre persoanele vizate.

7. Sub-imputerniciti#

7.1. Autorizare generala#

Operatorul autorizeaza Persoana imputernicita sa angajeze sub-imputerniciti pentru indeplinirea obligatiilor contractuale, conditionat de:

impunerea catre sub-imputernicit a unor obligatii contractuale echivalente cu cele din prezenta Anexa;
pastrarea raspunderii integrale a Persoanei imputernicite fata de Operator pentru actiunile sub-imputernicitului;
listarea sub-imputernicitilor in Anexa B la prezenta Anexa.

7.2. Lista actuala de sub-imputerniciti#

Lista completa si actualizata este in Anexa B la acest Acord.

7.3. Modificarea listei de sub-imputerniciti#

In cazul adaugarii sau inlocuirii unui sub-imputernicit, Persoana imputernicita va notifica Operatorul prin email cu cel putin 30 de zile inainte de operationalizare. Operatorul are dreptul sa obiecteze in termen de 14 zile, in baza unor motive legate de protectia datelor. In acest caz, partile vor cauta o solutie. Daca nu se ajunge la o solutie, Operatorul are dreptul sa inceteze contractul fara penalitati.

8. Transferuri internationale#

8.1. Datele cu Caracter Personal sunt prelucrate principal in Romania (gazduire pe servere ROMARG) si in alte tari din SEE (stocare documente la Backblaze B2 — regiunea EU Central, Germania; email transactional prin Microsoft 365 — UE).

8.2. Pentru sub-imputernicitii cu sediul juridic in afara SEE (ex. Backblaze, Inc. — SUA, desi datele sunt fizic in Germania), Persoana imputernicita se asigura ca exista garantii adecvate conform art. 46 GDPR, in principal prin Clauze Contractuale Standard ("SCC") aprobate de Comisia Europeana prin Decizia de punere in aplicare (UE) 2021/914.

8.3. Persoana imputernicita nu va transfera Date cu Caracter Personal in afara SEE fara temei legal valid si fara informarea prealabila a Operatorului prin actualizarea Anexei B.

9. Drepturile persoanelor vizate#

9.1. Operatorul este responsabil principal pentru raspunsul la cererile persoanelor vizate.

9.2. Functionalitatile Platformei FlowERP permit Operatorului sa exercite direct, fara asistenta din partea Persoanei imputernicite:

Acces: vizualizare si export al datelor unei persoane vizate (export CSV/Excel/PDF);
Rectificare: editare directa a datelor in modulele relevante;
Stergere: stergere logica (soft delete) si stergere permanenta a inregistrarilor, sub rezerva obligatiilor legale de pastrare;
Restrictionare: marcarea inregistrarilor ca "restrictionate" prin functionalitati dedicate;
Portabilitate: export in formate structurate (Excel, JSON via API, formate contabile standard).

9.3. In cazul in care o persoana vizata se adreseaza direct Persoanei imputernicite cu o cerere, aceasta va informa solicitantul ca trebuie sa se adreseze Operatorului si va notifica Operatorul fara intarziere.

9.4. Asistenta tehnica directa din partea Persoanei imputernicite (peste functionalitatile native ale Platformei) se factureaza pe baza de tarife rezonabile, comunicate in prealabil. Asistenta de pana la 2 ore lunar cumulat este inclusa in abonament. Peste acest prag, sau in cazul cererilor care necesita dezvoltare specifica, asistenta se factureaza la tariful publicat al Prestatorului (sau, in lipsa unui tarif publicat, la 75 EUR / ora, fara TVA). Exceptie fac situatiile in care cererea decurge dintr-o disfunctionalitate dovedita a Platformei, caz in care asistenta este integral gratuita.

10. Notificarea breselor de securitate#

10.1. Persoana imputernicita notifica Operatorul in cel mult 48 de ore de la luarea la cunostinta despre o bresa, conform clauzei 5.7.

10.2. Notificarea se trimite la adresa de email asociata contului de administrator al Operatorului si, in caz de urgenta majora, suplimentar telefonic la numarul declarat in cont.

10.3. Operatorul ramane responsabil pentru:

notificarea ANSPDCP in 72 de ore de la luarea la cunostinta (art. 33 GDPR);
comunicarea catre persoanele vizate, daca bresa prezinta risc ridicat (art. 34 GDPR);
mentinerea registrului de incidente de securitate.

10.4. Persoana imputernicita coopereaza pe deplin cu Operatorul in investigarea, remedierea si raportarea bresei.

11. Audit si verificari#

11.1. Persoana imputernicita pune la dispozitia Operatorului, la cerere rezonabila si nu mai des de o data pe an (cu exceptia cazurilor de incident sau cerere a unei autoritati), urmatoarele:

documentatia tehnica a masurilor de securitate (Anexa A);
rapoarte de audit intern, daca exista;
raspunsuri la chestionare GDPR rezonabile;
certificari relevante, daca au fost obtinute.

11.2. In cazul in care documentatia furnizata nu este suficienta, Operatorul poate solicita un audit la fata locului sau realizat de un auditor independent agreat de ambele parti. Auditul se desfasoara in zile lucratoare, cu preaviz de cel putin 30 de zile, fara perturbarea operatiunilor Persoanei imputernicite, sub clauze stricte de confidentialitate, si pe cheltuiala Operatorului — cu exceptia cazului in care auditul releva o incalcare semnificativa a prezentei Anexe, situatie in care costurile sunt suportate de Persoana imputernicita.

11.3. Auditurile cerute de autoritatile competente (ANSPDCP) se desfasoara in conditiile prevazute de lege.

12. Raspundere#

12.1. Fiecare parte raspunde pentru incalcarile propriilor obligatii din prezentul Acord.

12.2. Limitarile de raspundere prevazute in Termenii si Conditiile FlowERP (clauza 17) se aplica si in cadrul prezentului Acord, sub rezerva ca acestea nu pot limita raspunderea pentru incalcarile dovedite ale GDPR sau pentru daunele suferite de persoanele vizate, conform art. 82 GDPR.

12.3. In cazul aplicarii unei sanctiuni de catre ANSPDCP sau alta autoritate competenta, sanctiunea va fi suportata de partea responsabila pentru incalcare. Daca incalcarea este partajata, sanctiunea se suporta proportional cu gradul de culpabilitate.

13. Restituire si stergere la incetare#

13.1. La incetarea contractului de furnizare a Serviciilor FlowERP, Datele cu Caracter Personal raman accesibile Operatorului pentru export pe o perioada de 90 de zile calendaristice, conform clauzei 13.4 din Termenii si Conditiile FlowERP.

13.2. In aceasta perioada, Operatorul are obligatia sa exporte datele de care are nevoie, prin functionalitatile native ale Platformei.

13.3. Dupa expirarea perioadei de 90 de zile, Persoana imputernicita sterge permanent Datele cu Caracter Personal din baza de date principala. Stergerea din backup-uri se realizeaza in cel mult 30 de zile suplimentare, prin rotatia naturala a backup-urilor.

13.4. Persoana imputernicita poate pastra Datele cu Caracter Personal dupa termenele de mai sus exclusiv in masura in care exista o obligatie legala in acest sens (ex. facturi emise — pastrare 10 ani conform Codului Fiscal). In acest caz, datele raman supuse obligatiilor de confidentialitate si securitate.

13.5. La cererea expresa a Operatorului, Persoana imputernicita va emite o confirmare scrisa a stergerii datelor.

14. Modificari ale Acordului#

14.1. Acordul poate fi modificat in conformitate cu procedura prevazuta in Termenii si Conditiile FlowERP (clauza 20).

14.2. Modificarile cerute de evolutia legislatiei GDPR sau de deciziile autoritatilor competente intra in vigoare la data necesara pentru asigurarea conformitatii, cu informarea prealabila a Operatorului.

15. Lege aplicabila si litigii#

Prezentul Acord este guvernat de legea romana. Litigiile se solutioneaza conform clauzei 24 din Termenii si Conditiile FlowERP.

ANEXA A — Masuri tehnice si organizatorice de securitate#

Persoana imputernicita implementeaza urmatoarele masuri pentru asigurarea unui nivel de securitate adecvat riscului, conform art. 32 GDPR:

A.1. Confidentialitate#

Controlul accesului fizic: infrastructura este gazduita in centre de date cu acces controlat (ROMARG — Romania, Backblaze — Germania), cu masuri fizice de securitate (paza 24/7, control acces cu badge, supraveghere video).
Controlul accesului logic la sistem: acces la productie limitat la personalul tehnic autorizat, prin chei SSH personalizate, fara parole. Numar restrans de persoane (max. 3) cu acces la productie.
Controlul accesului la date: utilizatorii Platformei se autentifica prin parola securizata (hash bcrypt cu factor de cost minim 12). Optional 2FA. Sesiuni cu expirare automata.
Izolare logica multi-tenant: fiecare Operator are date izolate la nivel de aplicatie prin tenant_id verificat la fiecare interogare; row-level security in baza de date pentru tabelele sensibile.
Pseudonimizare: identificatorii interni (UUID) sunt utilizati intern; numele si datele personale nu sunt expuse in URL-uri sau log-uri tehnice.
Criptare in repaus: documentele stocate in DMS sunt criptate la nivel de obiect prin furnizorul de stocare (Backblaze B2 — Server-Side Encryption, AES-256). Backup-urile bazei de date sunt criptate.
Criptare in tranzit: toate comunicatiile cu Platforma utilizeaza HTTPS/TLS 1.3 cu certificate emise de Let's Encrypt. Comunicatiile interne intre componente (aplicatie - baza de date - cache - storage) sunt restrictionate la o retea privata.
Politica parolelor: minim 8 caractere, cu cerinte de complexitate; protectie impotriva brute-force prin rate limiting si blocare progresiva.

A.2. Integritate#

Controlul introducerii datelor: log-uri de audit (audit trail) pentru actiunile sensibile (creare/modificare/stergere facturi, contracte, plati), cu pastrare 12 luni.
Controlul modificarilor: dezvoltarea Platformei urmeaza un proces de versionare (Git), cu code review obligatoriu inainte de merge si de deploy in productie.
Validarea datelor: validari la nivel de aplicatie si baza de date pentru prevenirea coruperii datelor (constrangeri tip, format, integritate referentiala).

A.3. Disponibilitate si rezilienta#

Backup-uri zilnice automate ale bazei de date, criptate, stocate intr-o locatie fizic separata (Backblaze B2 — bucket dedicat, doar scriere).
Plan de recuperare in caz de dezastru: procedura documentata de restore din backup, cu RTO target sub 4 ore si RPO target sub 24 ore.
Monitorizare continua a disponibilitatii si performantei aplicatiei, cu alerte automate.
Patch management: actualizarile de securitate ale sistemului de operare si ale dependintelor sunt aplicate prompt (in maxim 7 zile pentru CVE critice).
Protectie DDoS: prin reverse proxy si limitari la nivel de furnizor de gazduire.

A.4. Pseudonimizare si minimizare#

Datele de testare folosite in mediile de dezvoltare nu contin date reale ale Operatorilor (date generate sintetic).
Log-urile aplicatiei nu inregistreaza CNP-uri, parole, IBAN-uri sau alte date sensibile in clar.

A.5. Verificare regulata#

Audituri interne periodice ale masurilor de securitate.
Revizuirea logurilor de acces si de incidente.
Actualizarea anuala a evaluarii de risc.

A.6. Personal#

Toate persoanele cu acces la productie semneaza acord de confidentialitate.
Instruire periodica privind protectia datelor si securitatea informatiei.

A.7. Acces administrativ (impersonare)#

Prestatorul dispune de un mecanism tehnic de acces administrativ ("impersonare") care permite personalului autorizat sa acceseze conturile Clientilor in scopul furnizarii Serviciilor. Mecanismul este reglementat prin clauza 23 din Termenii si Conditiile FlowERP si este supus urmatoarelor controale tehnice si organizatorice:

Cazuri de utilizare autorizate: exclusiv suport tehnic la cererea Clientului, investigatie de incident de securitate, investigatie de suspiciune de abuz, obligatie legala sau mentenanta tehnica critica.
Audit log complet: fiecare sesiune este inregistrata cu identitatea administratorului, contul si Utilizatorul accesat, data si ora, motivul documentat (categorie + descriere) si operatiunile efectuate. Log-urile sunt pastrate minim 24 de luni si sunt disponibile Clientului la cerere (conform clauzei 23.5 din Termeni).
Acces read-only prin default: sesiunile sunt configurate in mod read-only. Operatiunile de modificare necesita activare explicita si sunt inregistrate distinct.
Indicator vizual: interfata Platformei afiseaza indicatoare clare in timpul sesiunilor de impersonare.
Restrictie personal autorizat: accesul la mecanism este limitat la un numar redus de administratori tehnici identificati nominal, cu obligatii de confidentialitate si instruire GDPR.
Notificare in cazuri exceptionale: accesele efectuate in afara cazurilor autorizate sunt documentate ca incidente de securitate si notificate Clientului.

Prezentele controale sunt implementate pentru a asigura ca accesul administrativ al Prestatorului la Datele cu Caracter Personal ale Operatorului ramane in limitele instructiunilor documentate conform art. 28 GDPR si principiilor de minimizare a datelor si integritate prevazute la art. 5 GDPR.

ANEXA B — Lista sub-imputernicitilor#

Lista actualizata la data: 15 aprilie 2026

Sub-imputernicit	Tara sediu	Locatia datelor	Activitati efectuate	Garantii transfer (daca este cazul)
ROMARG SRL	Romania	Romania	Gazduire infrastructura aplicatie, baza de date PostgreSQL, queue Redis	N/A — in SEE
Backblaze, Inc.	SUA	Germania (regiunea EU Central)	Stocare obiecte: documente DMS, backup-uri criptate	Standard Contractual Clauses (Decizia (UE) 2021/914)
Microsoft Ireland Operations Ltd.	Irlanda	UE	Email transactional (Microsoft 365 / Graph API) — pentru notificari operationale catre Operator si Utilizatori	N/A — in SEE

Note:

ANAF (Agentia Nationala de Administrare Fiscala) — primeste facturile transmise de Operator prin functionalitatea e-Factura. ANAF este operator independent in raport cu datele primite, conform obligatiilor legale ale Operatorului. Nu este sub-imputernicit al Persoanei imputernicite.
BNR (Banca Nationala a Romaniei) — sursa publica de cursuri valutare. Comunicarea este unidirectionala (preluare); nu se transmit Date cu Caracter Personal catre BNR. Nu este sub-imputernicit.
Bancile sau procesatorii de plati ai Operatorului — atunci cand Operatorul activeaza importul de extras bancar sau integrari similare, este responsabil pentru raporturile sale contractuale cu acesti furnizori. Nu sunt sub-imputerniciti ai Persoanei imputernicite.

Modificarea listei se face conform clauzei 7.3 din prezenta Anexa.

Pentru intrebari sau clarificari: [email protected]