Ultima actualizare: 10 mai 2026. Această versiune reflectă configurația actuală a sub-procesatorilor, inclusiv OpenAI pentru încorporări de text și răspunsuri AI contextuale. Pentru modificări viitoare ale sub-procesatorilor necesari, se aplică regulile de notificare și obiecție din Secțiunea 7.3.

Versiunea germană a acestui DPA este obligatorie din punct de vedere juridic. Traducerile sunt furnizate pentru comoditate; în caz de conflict, prevalează versiunea germană.

1. Preambul și domeniu de aplicare

Acest Acord de Prelucrare a Datelor (DPA) reglementează prelucrarea datelor cu caracter personal în conformitate cu Art. 28 GDPR între:

  • Operator de date: Clientul PlotonIQ (denumit în continuare „Operator de date”)
  • Persoană împuternicită de operator: K-Werbetechnik, proprietar: Ralph Kowalski, Banatstraße 31, 66424 Homburg, Germania, reprezentată prin platforma PlotonIQ (denumită în continuare „Persoană împuternicită”)

Acest DPA este parte integrantă a Termenilor și Condițiilor și reglementează prelucrarea datelor cu caracter personal în numele Operatorului de date în contextul serviciilor PlotonIQ.

2. Obiectul și durata prelucrării

Persoana împuternicită prelucrează datele cu caracter personal exclusiv în numele și conform instrucțiunilor documentate ale Operatorului de date.

2.1 Obiectul prelucrării

Prelucrarea datelor cuprinde următoarele categorii:

  • Date despre clienți: Nume, adrese, e-mail, telefon, denumirea companiei clienților Operatorului de date
  • Date despre comenzi: Descrieri ale proiectelor, termene, cerințe, modificări
  • Date de performanță: Calculații, specificații de materiale, dimensiuni, suprafețe
  • Date de comunicare: E-mailuri, mesaje de chat, memo-uri și înregistrări audio din activitatea operațională
  • Date despre echipă: Date ale angajaților, date de localizare (dacă geofencing-ul este activat), permisiuni
  • Date financiare: Informații de facturare, date de plată (tokenizate), detalii ale cardului de credit (doar Stripe)
  • Date vizuale: Fotografii pentru recunoașterea AI a măsurătorilor, capturi de ecran, propuneri de design

2.2 Durata prelucrării

Prelucrarea datelor are loc pe întreaga perioadă a contractului și ulterior, conform Secțiunii 8 (Ștergerea și păstrarea datelor).

3. Natura și scopul prelucrării

Persoana împuternicită prelucrează datele în următoarele scopuri:

  • Furnizarea și gestionarea serviciilor PlotonIQ (calculații de oferte, recunoașterea măsurătorilor, gestionarea comenzilor, CRM, pontaj)
  • Calculații și analize bazate pe AI cu ajutorul Anthropic Claude API
  • Încorporări de text cu OpenAI text-embedding-3-large (1536 de dimensiuni) pentru căutare semantică și răspunsuri AI contextuale (RAG)
  • Recunoașterea automată a măsurătorilor din fotografii prin Computer Vision (SAM/DINO)
  • Comunicarea cu utilizatorii (e-mailuri tranzacționale, notificări)
  • Procesarea plăților și facturare
  • Implementarea măsurilor de securitate și autentificare
  • Înregistrare în jurnal și monitorizarea sistemului pentru securitate și diagnosticarea erorilor
  • Geofencing și gestionarea echipei (opțional, doar dacă este activat)

4. Categoriile persoanelor vizate

Persoana împuternicită prelucrează datele următoarelor persoane:

  • Clienții Operatorului de date (clienți finali ai serviciilor de semnalistică)
  • Angajații Operatorului de date (utilizatori ai platformei)
  • Subcontractanții și partenerii Operatorului de date
  • Persoane de contact și reprezentanți

5. Categoriile de date cu caracter personal

Persoana împuternicită prelucrează următoarele categorii:

  • Date de bază: Nume, titlu, adresă, telefon, adresă de e-mail, denumirea companiei
  • Date de identificare: ID-ul utilizatorului, token-uri JWT, cookie-uri de sesiune, amprentă a browserului (cu hash)
  • Date de localizare: Adresă IP, coordonate GPS (doar dacă geofencing-ul este activat)
  • Date de afaceri: Descrieri ale proiectelor, calculații, oferte, comenzi, facturi
  • Date de comunicare: Mesaje, transcrieri audio, e-mailuri
  • Date tehnice: Fișiere jurnal, jurnale ale serverului, accesul la sistem, protocoale de erori
  • Categorii speciale: Niciuna (cu excepția informațiilor de identificare furnizate voluntar)

6. Obligațiile Persoanei împuternicite — Măsuri tehnice și organizatorice

6.1 Măsuri tehnice de securitate

  • Criptarea datelor:
    • Criptare AES-256 pentru date sensibile în baza de date
    • TLS 1.2+ pentru transmitere (HTTPS)
    • Autentificare JWT cu cookie-uri httpOnly (inaccesibile prin JavaScript)
  • Protecția bazei de date:
    • Bază de date PostgreSQL cu autentificare puternică
    • Conexiuni criptate între aplicație și baza de date
    • Backup-uri automate periodice cu criptare
    • Stocare redundantă și disaster recovery
  • Controlul accesului:
    • Control al accesului bazat pe roluri (RBAC)
    • Arhitectură multi-tenant cu izolare strictă a tenant-urilor
    • Jurnale de audit pentru toate accesările administrative
    • Principiul privilegiului minim: fără permisiuni inutile
  • Securitatea rețelei:
    • Protecție DDoS prin Cloudflare
    • Reguli firewall și detectarea intruziunilor
    • Actualizări și patch-uri de securitate periodice
  • Securitatea API:
    • Autentificare API bazată pe JWT
    • Limitarea ratei pentru a preveni atacurile de tip brute-force
    • Fără date sensibile în URL-uri sau parametri de interogare

6.2 Măsuri organizatorice de securitate

  • Personal și instruire:
    • Număr limitat de angajați cu acces la datele clienților
    • Acorduri de confidențialitate (NDA) cu toți angajații
    • Instruire în domeniul protecției datelor pentru personalul relevant
  • Guvernanța protecției datelor:
    • Politică de confidențialitate și acest DPA
    • Responsabil cu protecția datelor (acolo unde este necesar)
    • Politici de protecție și utilizare a datelor cu caracter personal
  • Răspunsul la incidente:
    • Proceduri pentru detectarea și raportarea breșelor de date
    • Notificarea Operatorului de date în termen de 24 de ore de la cunoașterea incidentelor de securitate
    • Cooperare în obligațiile de notificare către autorități și persoanele afectate
  • Documentare și monitorizare:
    • Registrul activităților de prelucrare conform Art. 30 GDPR
    • Audituri de securitate periodice
    • Înregistrarea tuturor accesărilor de date (acolo unde este fezabil din punct de vedere tehnic)
  • Securitate fizică:
    • Hosting la Hetzner Online GmbH (Falkenstein, Germania) cu certificare ISO-27001
    • Controlul accesului fizic la centrul de date
    • Monitorizare și măsuri de securitate ale furnizorului de hosting

7. Sub-procesatori și terțe părți

Persoana împuternicită folosește următorii sub-procesatori și furnizori de servicii pentru a oferi serviciile:

7.1 Sub-procesatori necesari

Serviciu Furnizor Locație Scop Transfer de date
Hosting de servere Hetzner Online GmbH Falkenstein, Germania Bază de date, server de aplicație Intra-UE (DE)
CDN / Protecție DDoS Cloudflare, Inc. San Francisco, SUA Performanța site-ului, securitate SUA (EU-US DPF, SCC)
E-mailuri tranzacționale Brevo SAS Paris, Franța E-mailuri de confirmare și notificare Intra-UE (FR)
Procesare plăți Stripe, Inc. San Francisco, SUA Plăți cu cardul, gestionarea abonamentelor SUA (SCC) — tokenizat
API AI (Calculații) Anthropic, PBC San Francisco, SUA Calculații AI, generare de text SUA (SCC) — Zero Data Retention
API AI (transcriere audio opțională, principală) Groq, Inc. Mountain View, SUA Transcriere STT principală pentru memo-uri audio cu whisper-large-v3, atunci când funcția opțională de transcriere audio este utilizată de Operatorul de date SUA (SCC) — prelucrare conform DPA-ului GroqCloud pentru furnizarea funcției STT
API AI (încorporări de text și asistență contextuală) OpenAI, L.L.C. San Francisco, SUA Încorporări de text cu text-embedding-3-large (1536 de dimensiuni) pentru căutare semantică și răspunsuri AI contextuale (RAG); funcții selectate de text și asistent, acolo unde sunt active SUA (EU-US DPF, SCC) — datele API nu sunt utilizate implicit pentru antrenare; jurnale de monitorizare a abuzului până la 30 de zile
API AI (transcriere audio opțională) OpenAI, L.L.C. San Francisco, SUA OpenAI gpt-4o-transcribe doar ca traseu STT de rezervă, dacă Groq STT este indisponibil, iar transcrierea audio este utilizată de Operatorul de date și configurată corespunzător SUA (EU-US DPF, SCC) — traseu opțional, separat de încorporări/RAG

7.2 Transferuri către țări terțe

Pentru transferurile de date către SUA se aplică următoarele mecanisme:

  • EU-US Data Privacy Framework (DPF): Cloudflare și OpenAI sunt prezentate de furnizori ca fiind certificate conform EU-US Data Privacy Framework
  • Clauze contractuale standard (SCC): Pentru Anthropic, Groq, OpenAI și Stripe, acolo unde sunt implicate transferuri către țări terțe

Operatorul de date consimte la aceste transferuri prin acceptarea Termenilor și Condițiilor.

7.3 Modificări ale sub-procesatorilor

Persoana împuternicită va informa Operatorul de date înainte de a angaja noi sub-procesatori necesari sau înainte de a modifica substanțial sub-procesatorii necesari existenți. Operatorul de date are dreptul de a obiecta față de utilizarea unor sub-procesatori necesari noi sau modificați substanțial, prin notificare scrisă în termen de 30 de zile de la notificare. Dacă nu se ridică o obiecție în timp util, utilizarea modificărilor viitoare este considerată acceptată după perioada de notificare. În acest caz, oricare dintre părți poate rezilia relația contractuală.

8. Ștergerea și păstrarea datelor

8.1 Termenele de ștergere după încetarea contractului

  • Date despre clienți și proiecte: Vor fi șterse la cererea Operatorului de date, cel târziu la 30 de zile după încetarea contractului
  • Backup-uri: Vor fi șterse automat conform politicilor de retenție Hetzner, după aproximativ 30-90 de zile
  • Fișiere jurnal și date de sistem: Vor fi anonimizate sau șterse automat după 90 de zile
  • Documente financiare și facturi: Vor fi păstrate conform legislației fiscale germane (§14 StGB, §239 HGB) timp de 6-10 ani

8.2 Dreptul la ștergere în timpul utilizării

Operatorul de date poate solicita oricând ștergerea unor înregistrări individuale, cu excepția cazului în care legea o împiedică. Datele șterse nu vor fi recuperate.

8.3 Exportul de date

Operatorul de date poate solicita exportul de date într-un format structurat și uzual (de ex., CSV, JSON) pentru a permite portabilitatea.

9. Drepturile și obligațiile Operatorului de date

9.1 Instrucțiuni din partea Operatorului de date

Operatorul de date poate emite instrucțiuni pentru prelucrarea datelor cu caracter personal prin:

  • Configurarea setărilor platformei
  • Instrucțiuni scrise explicite, prin e-mail la [email protected]
  • Utilizarea endpoint-urilor API cu parametrii corespunzători

9.2 Cooperarea Operatorului de date

Operatorul de date este responsabil pentru:

  • Securizarea credențialelor de autentificare și a codurilor de acces
  • Conformitatea cu legile aplicabile la colectarea datelor despre clienți
  • Acuratețea și legalitatea datelor prelucrate
  • Documentarea bazei legale pentru prelucrarea datelor
  • Notificarea persoanelor afectate conform GDPR (acolo unde este necesar)

9.3 Politica de confidențialitate a Operatorului de date

Operatorul de date este responsabil pentru furnizarea propriei politici de confidențialitate către clienții finali, comunicând faptul că datele sunt transmise către PlotonIQ / Persoana împuternicită.

10. Drepturile și obligațiile persoanelor vizate

Persoana împuternicită sprijină Operatorul de date în îndeplinirea drepturilor persoanelor vizate:

  • Dreptul de acces (Art. 15 GDPR): Operatorul de date poate solicita accesul; Persoana împuternicită va răspunde în termen de 14 zile
  • Dreptul la rectificare (Art. 16 GDPR): Persoanele vizate pot corecta sau solicita corectarea datelor eronate
  • Dreptul la ștergere (Art. 17 GDPR): Cererile de ștergere vor fi prelucrate în termen de 14 zile (cu excepția obligațiilor legale de păstrare)
  • Dreptul la restricționarea prelucrării (Art. 18 GDPR): Disponibil prin setările platformei
  • Dreptul la portabilitatea datelor (Art. 20 GDPR): Operatorul de date poate exporta date în format standard
  • Dreptul de opoziție (Art. 21 GDPR): Se aplică prelucrării bazate pe interese legitime

11. Breșe de date și obligații de notificare

11.1 Notificarea breșelor de date

În cazul unei breșe de date, Persoana împuternicită va notifica Operatorul de date imediat, dar nu mai târziu de 24 de ore, în scris. Notificarea include:

  • Natura și amploarea breșei
  • Categoriile și numărul aproximativ al persoanelor afectate
  • Consecințele probabile ale breșei
  • Măsurile luate și planificate pentru remediere și atenuarea daunelor
  • Numele și informațiile de contact ale Responsabilului cu protecția datelor sau ale persoanei de contact

11.2 Cooperarea cu autoritățile

Persoana împuternicită va coopera cu Operatorul de date și cu autoritățile competente pentru protecția datelor și va sprijini Operatorul de date în:

  • Notificarea persoanelor afectate
  • Raportarea către autoritatea de supraveghere competentă
  • Investigații și audituri

12. Drepturile de audit ale Operatorului de date

12.1 Drepturi de inspecție

Operatorul de date are dreptul de a audita modul în care Persoana împuternicită prelucrează datele cu caracter personal, la cerere:

  • Acces la registrul activităților de prelucrare
  • Examinarea măsurilor de securitate
  • Audituri cu notificare prealabilă

Auditurile ar trebui să aibă loc în timpul orelor normale de lucru și nu trebuie să perturbe substanțial operațiunile.

12.2 Certificate și audituri

Persoana împuternicită va furniza următoarele dovezi:

  • Certificatul ISO-27001 al Hetzner (furnizor de hosting)
  • Raport SOC-2 (dacă este disponibil)
  • Politicile de securitate și catalogul de măsuri

13. Privacy by Design și Privacy by Default

Persoana împuternicită implementează privacy by design conform Art. 25 GDPR:

  • Colectarea minimă a datelor: se colectează doar datele necesare
  • Pseudonimizare: amprentele browserului sunt cu hash
  • Criptare: AES-256 pentru date sensibile
  • Controlul accesului: permisiuni bazate pe roluri
  • Revizuire periodică: audituri și teste de penetrare

14. Prelucrarea AI și luarea deciziilor automatizate

14.1 Natura prelucrării AI

PlotonIQ folosește AI pentru:

  • Calculații de oferte (Anthropic Claude API)
  • Încorporări de text cu OpenAI text-embedding-3-large (1536 de dimensiuni) pentru căutare semantică și răspunsuri AI contextuale (RAG)
  • Recunoașterea suprafețelor și a măsurătorilor din fotografii (SAM/DINO — local, pe Hetzner)
  • Transcrierea memo-urilor audio (funcție STT opțională; în principal Groq whisper-large-v3, OpenAI gpt-4o-transcribe doar ca rezervă atunci când este utilizat și configurat)
  • Generarea de informații de afaceri și recomandări

Pentru încorporările OpenAI și RAG sunt transmise doar fragmente de text legate de scop, în special fragmente din texte de comenzi, memo-uri și oportunități. În funcție de conținutul utilizatorului, pot fi incluse nume de clienți, date de contact, adrese și date de măsurători, proiecte sau notițe.

Nu se transmit către OpenAI pentru încorporări/RAG datele de plată Stripe, credențialele de autentificare sau hash-urile de parolă, dump-urile brute ale bazei de date backend sau exporturile de date, datele de imagine SAM/DINO pentru segmentarea vizuală, sau intenționat categorii speciale de date cu caracter personal conform Art. 9 GDPR.

14.2 Fără luare a deciziilor pur automatizată

Conform Art. 22 GDPR, NU există luare a deciziilor pur automatizată cu efect juridic. Aceasta înseamnă:

  • Calculațiile AI sunt SUGESTII, nu sunt obligatorii
  • Utilizatorii decid întotdeauna manual
  • Nicio respingere automată a comenzilor sau a clienților

14.3 Transparența în utilizarea AI

Utilizatorii sunt informați clar atunci când AI este implicat într-un proces, prin:

  • Zone etichetate în interfața de utilizator (de ex., „Sugestie AI”)
  • Explicarea abordării AI în textele de ajutor
  • Această Politică de confidențialitate și acest DPA

15. EU AI Act — Conformitate

Sistemele AI utilizate în PlotonIQ sunt clasificate conform EU AI Act:

  • Generare de text (Claude API): Risc limitat — cerințele de transparență sunt îndeplinite
  • Căutare semantică și RAG (OpenAI text-embedding-3-large, 1536 de dimensiuni): Risc limitat — funcție de asistent și context, fără decizie automată
  • Recunoașterea măsurătorilor (SAM/DINO): Risc limitat — executat local, fără transfer către țări terțe
  • Transcriere audio (Groq whisper-large-v3, OpenAI gpt-4o-transcribe ca rezervă): Risc limitat — opt-in al utilizatorului necesar

NU există aplicații AI cu risc ridicat conform AI Act.

16. Taxe și costuri

Acest Acord de Prelucrare a Datelor este inclus ca parte a contractului de abonament. NU există taxe suplimentare pentru conformitatea cu acest DPA.

17. Baza legală și domeniul de aplicare

  • Bază legală principală: GDPR UE (2016/679), GDPR, Directiva ePrivacy (Germania)
  • Domeniu de aplicare: Toți utilizatorii cu sediul în Germania sau în UE
  • Intră în vigoare de la: 1 aprilie 2026
  • Limbă: Germană; în caz de discrepanțe, se aplică versiunea germană

18. Durată și reziliere

18.1 Durată legată de contract

Acest DPA se desfășoară în paralel cu contractul de abonament. La încetarea abonamentului, încetează și acest DPA.

18.2 Reziliere

Rezilierea acestui DPA este posibilă numai împreună cu rezilierea contractului de abonament.

18.3 Efectele rezilierii

După reziliere, datele clienților vor fi șterse conform Secțiunii 8 sau păstrate dacă este cerut prin lege.

19. Modificări ale acestui DPA

Persoana împuternicită poate modifica acest DPA cu un preaviz de 30 de zile dacă:

  • Cerințele legale sau de reglementare o impun
  • Modificarea îmbunătățește protecția datelor cu caracter personal
  • Operatorul de date nu obiectează în scris în termen de 30 de zile

Operatorul de date va fi informat în prealabil, în scris, despre modificări.

20. Contact și plângeri

20.1 Adresa de contact a Persoanei împuternicite

K-Werbetechnik / PlotonIQ
Banatstraße 31
66424 Homburg
Germania
E-mail: [email protected]
Telefon: +49 (0)6821-6797414

20.2 Autoritatea pentru protecția datelor

Plângerile privind prelucrarea datelor pot fi depuse la autoritatea competentă pentru protecția datelor. Informațiile de contact pentru Germania (Saarland) sunt:

Centrul Independent pentru Protecția Datelor Saarland
Fritz-Dobisch-Straße 12
66111 Saarbrücken, Germania
E-mail: [email protected]
Site web: www.datenschutz.saarland.de

21. Validitate și clauză de divizibilitate

În cazul în care vreo prevedere a acestui DPA este nevalidă, aceasta nu afectează valabilitatea întregului acord. Părțile vor conveni asupra unei prevederi de înlocuire valabile, care să corespundă scopului economic al acordului inițial.

22. Dispoziții finale

Acest Acord de Prelucrare a Datelor intră în vigoare la 1 aprilie 2026 și este obligatoriu pentru toți clienții PlotonIQ care încheie un contract începând cu acea dată sau care reînnoiesc contractele existente.

Versiune: 1.1

În vigoare de la: 1 aprilie 2026

Ultima actualizare: 10 mai 2026