K
Document legal · B2B

Data Processing Agreement

Versiune 2 mai 2026 · Conform GDPR Art. 28 · Document ID: DPA-22026-MSS

Cum se semnează

Acest DPA este disponibil ca atașament la contractul tău de subscriere Kronexo. La crearea unui plan B2B (Pro / Agency), DPA-ul este acceptat tacit prin acceptarea Termenilor și Condițiilor. Pentru o copie semnată în mod separat (necesară de unele departamente legale), trimite o cerere la billing@kronexo.com cu denumirea și CUI-ul firmei tale; vei primi un PDF semnat electronic în 2-3 zile lucrătoare.

1. Părțile

Prezent DPA este încheiat între:

  • Persoana împuternicită (Procesator): METAMIND SOFTWARE SRL, cu sediul în Aleea Constantin Gane 12, Scara A, ap 16, Botosani, CUI RO 47791890, înregistrată ORC ROONRC.J2023000171077("Kronexo")
  • Operatorul de date (Controller): clientul B2B identificat la subscriere ("Clientul"), care utilizează platforma Kronexo

DPA-ul completează și face parte din Termenii și Condițiile Kronexo.

2. Obiectul prelucrării

Kronexo, în calitate de procesator, prelucrează datele personale ale Clientului și ale persoanelor vizate ale acestuia doar în scopul furnizării serviciului: automatizare SEO, generare conținut AI, integrări cu Google și platforme sociale, analize și recomandări.

3. Durata

DPA produce efecte de la data acceptării și încetează automat la încetarea contractului principal de subscriere. Obligațiile de confidențialitate persistă după încetare.

4. Tipul datelor și categoriile vizate

Categoriile de date personale pe care le prelucrăm în numele Clientului:

  • Date de cont ale utilizatorilor Clientului (email, parolă hash-uită, preferințe)
  • Date de business: postări sociale, comentarii clienți, recenzii, brand book, catalog produse
  • Metrici de la Google (Search Console, Analytics 4, Merchant Center) și Meta (Facebook/Instagram)
  • Adrese IP, log-uri de utilizare, date tehnice de sesiune

Categorii de persoane vizate: angajații Clientului care folosesc platforma, clienții finali ai Clientului ale căror date apar în comentarii/recenzii.

5. Obligațiile Procesatorului (Kronexo)

  1. Prelucrăm datele doar conform instrucțiunilor Clientului (acordate prin folosirea platformei).
  2. Asigurăm confidențialitatea: angajații și colaboratorii sunt obligați la confidențialitate.
  3. Implementăm măsuri tehnice și organizatorice adecvate (vezi Anexa A — Măsuri de securitate).
  4. Asistăm Clientul cu cereri ale persoanelor vizate (acces, rectificare, ștergere, portabilitate).
  5. Notificăm Clientul în maxim 72 de ore de la confirmarea unei breșe de date personale.
  6. La încetarea contractului: ștergem sau returnăm datele Clientului, conform alegerii lui (30 zile soft-delete + ștergere).
  7. Punem la dispoziție informațiile necesare pentru a demonstra conformitatea, inclusiv pentru audituri (vezi 8).

6. Sub-procesatori

Clientul autorizează generic folosirea sub-procesatorilor. Lista actualizată este la/subprocessors. Notificăm modificările cu cel puțin 30 zile înainte; Clientul poate obiecta în scris.

7. Transferuri internaționale

Pentru sub-procesatorii din afara SEE (USA în principal), folosim Standard Contractual Clauses (SCC) aprobate de Comisia Europeană (Decizia 2021/914) și/sau certificarea EU-US Data Privacy Framework.

8. Audit și inspecție

La cerere scrisă cu minim 30 zile preaviz, Clientul poate audita conformitatea Kronexo o dată pe an (sau mai des în caz de breșă confirmată). Auditul se face prin chestionar SIG-Lite și, la cerere, partajare de rapoarte SOC 2 / ISO 27001 dacă sunt disponibile. Costurile auditului sunt suportate de Client, cu excepția cazului în care se descoperă neconformități materiale.

9. Răspundere și despăgubiri

Răspunderea totală pentru încălcarea acestui DPA este limitată conform clauzelor de răspundere din Termenii și Condițiile principale (vezi Secțiunea 8 din Termeni). Această limitare nu se aplică pentru încălcări intenționate, neglijență gravă sau încălcarea secțiunilor de confidențialitate.

10. Lege aplicabilă

Acest DPA este guvernat de legea română. Conflict cu legea statului Clientului: prevalează cea mai protectivă pentru persoanele vizate.

Anexa A — Măsuri tehnice și organizatorice

  • Criptare în tranzit: TLS 1.3 pentru toate conexiunile externe
  • Criptare la repaus: bcrypt pentru parole, Fernet (AES-128) pentru token-uri OAuth
  • Acces restrâns: principiul minimului necesar, IP whitelist pentru baze de date, MFA pentru personalul cu acces
  • Backup-uri: zilnic, retenție 30 zile, off-site (în pregătire: hourly external)
  • Logging și monitorizare: log-uri de acces 90 zile, alerte automate la incidente
  • Testare regulată: pentest anual la lansare, dependency scanning în CI
  • Formare personal: training GDPR + securitate la onboarding și anual
  • Continuitate: RTO 4h, RPO 1h pentru servicii critice

Anexa B — Contact DPO

Pentru orice întrebare privind acest DPA sau prelucrarea datelor: