Acord de procesare a datelor
Ultima actualizare: 24 februarie 2026
În conformitate cuArticolul 28 din Regulamentul (UE) 2016/679 (GDPR).
Cine are nevoie de acest DPA? Acest Acord de procesare a datelor se aplică clienților comerciali („Operatori”) care utilizează Veluvanto pentru a procesa datele cu caracter personal ale propriilor clienți, angajați sau ale altor persoane fizice în cadrul activităților lor comerciale. Dacă utilizați Veluvanto exclusiv în scopuri personale, se aplicăPolitica de confidențialitatestandard.
Prin utilizarea Veluvanto în calitate de client persoană juridică, sunteți de acord cu termenii acestui DPA. Pentru un DPA semnat sau un DPA personalizat pentru companii mari, contactațilegal@veluvanto.com.
1. Părți și definiții
Acest Acord de procesare a datelor („DPA”) este încheiat între:
- Operator:Clientul comercial sau organizația care a fost de acord cuTermenii de utilizareVeluvanto și utilizează Veluvanto pentru a procesa date cu caracter personal în numele afacerii sale („dumneavoastră”).
- Persoană împuternicită de operator:Veluvanto s.r.o., Korunní 2569/108, Vinohrady, 101 00 Praha 10, IČO: 249 15 122 („Veluvanto”, „noi”, „nouă”).
Termenii care nu sunt definiți aici au înțelesul care le este atribuit în GDPR (Regulamentul (UE) 2016/679).
2. Obiectul și natura prelucrării
Veluvanto prelucrează date cu caracter personal în numele Operatorului în scopul furnizării de servicii de gestionare a documentelor, inclusiv:
- Stocarea și indexarea documentelor încărcate de Operator
- Analiza, categorisirea și extragerea de metadate din documente pe bază de AI
- Căutarea semantică și full-text în documente
- Răspunsuri ale asistentului de chat AI pe baza conținutului documentelor
- Traducerea și rezumarea documentelor
- Mementouri automate bazate pe conținutul documentelor
- Orice alte funcționalități descrise în documentația serviciului Veluvanto
3. Categorii de date cu caracter personal prelucrate
legal.dpa.section3.prose
Categorii speciale de date:Operatorul nu trebuie să încarce documente care conțin categorii speciale de date cu caracter personal (date privind sănătatea, originea rasială/etnică etc.), așa cum sunt definite la articolul 9 din GDPR, cu excepția cazului în care a obținut acordul prealabil scris al Veluvanto și are un temei juridic adecvat pentru o astfel de prelucrare. Contactațilegal@veluvanto.compentru acorduri specifice.
4. Categorii de persoane vizate
Persoanele vizate ale căror date cu caracter personal pot fi prelucrate includ: clienții, furnizorii, partenerii de afaceri, angajații, colaboratorii Operatorului sau orice alte persoane fizice ale căror date cu caracter personal apar în documentele încărcate în Veluvanto.
5. Durata prelucrării
Prelucrarea continuă pe durata acordului de servicii Veluvanto. La încetarea acordului, datele sunt gestionate așa cum este descris în Secțiunea 12 (Returnarea și ștergerea datelor).
6. Obligațiile persoanei împuternicite (Veluvanto)
Veluvanto (în calitate de Persoană împuternicită) va:
- Prelucra datele cu caracter personal numai pe baza instrucțiunilor documentate de la Operator (Termenii de utilizare și prezentul DPA constituie aceste instrucțiuni)
- Se asigura că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidențialitatea
- Implementa măsuri tehnice și organizatorice adecvate de securitate (Articolul 32 GDPR)
- Nu recruta alte persoane împuternicite fără o autorizație prealabilă, specifică sau generală, din partea Operatorului (a se vedea Secțiunea 9 pentru lista curentă a sub-împuterniciților autorizați)
- Asista Operatorul în îndeplinirea obligației de a răspunde cererilor de exercitare a drepturilor persoanelor vizate (Articolele 15–22 GDPR)
- Asista Operatorul în asigurarea respectării obligațiilor privind securitatea, notificarea încălcării securității datelor, evaluarea impactului asupra protecției datelor (DPIA) și consultarea prealabilă a autorităților de supraveghere
- Șterge sau returna toate datele cu caracter personal la încetarea furnizării serviciilor (a se vedea Secțiunea 12)
- Pune la dispoziția Operatorului toate informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute la Articolul 28 din GDPR
- Notifica Operatorul cu privire la o încălcare a securității datelor cu caracter personal fără întârzieri nejustificate (în termen de 72 de ore de la luarea la cunoștință)
7. Obligațiile Operatorului
Operatorul va:
- Se asigura că există un temei juridic valabil pentru prelucrarea datelor cu caracter personal încărcate în Veluvanto
- Furniza informațiile necesare persoanelor vizate cu privire la prelucrare (inclusiv utilizarea Veluvanto ca persoană împuternicită)
- Se asigura că datele cu caracter personal furnizate către Veluvanto sunt exacte și relevante
- Nu instrui Veluvanto să prelucreze datele cu caracter personal într-un mod care încalcă GDPR sau legislația aplicabilă
- Respecta propriile obligații în calitate de Operator conform GDPR
8. Măsuri tehnice și organizatorice de securitate
Veluvanto implementează următoarele măsuri de securitate pentru a proteja datele cu caracter personal:
8.1 Criptare
- Date în tranzit: criptare TLS 1.2+ pentru toate transferurile de date
- Date în repaus: criptare AES-256 pentru datele și documentele stocate
8.2 Controlul accesului
- Controlul accesului pe bază de roluri (RBAC) pentru orice acces la sistem
- Autentificare multi-factor (MFA) obligatorie pentru accesul administrativ
- Principiul accesului minim necesar aplicat întregului personal
- Jurnale de acces menținute pentru orice accesare a datelor
8.3 Securitatea infrastructurii
- Documente și date stocate pe stocarea de obiecte Backblaze B2 în centre de date din UE (Amsterdam, Olanda); Backblaze deține certificare SOC 2 Type II
- Servere de aplicație găzduite pe infrastructura Hetzner Online GmbH în centre de date din UE (Germania/Finlanda); Hetzner deține certificarea ISO/IEC 27001:2022 (SOCOTEC, valabilă 2025–2028)
- Evaluări regulate de securitate și teste de penetrare
- Proceduri de gestionare a vulnerabilităților și de aplicare a patch-urilor
- Protecție DDoS și monitorizare a securității rețelei
8.4 Măsuri organizatorice
- Acorduri de confidențialitate ale personalului și instruire privind protecția datelor
- Proceduri de răspuns la incidente și plan de răspuns în caz de încălcare a securității datelor
- Principii de minimizare a datelor aplicate pe parcursul întregului serviciu
9. Sub-împuterniciți
Prin acceptarea acestui DPA, Operatorul oferă o autorizație generală pentru Veluvanto de a angaja următoarele categorii de sub-împuterniciți:
| Sub-împuternicit | Scop | Locație |
|---|---|---|
| Google LLC | Furnizor de identitate (autentificare OAuth) | SUA (SCC) |
| Microsoft Corporation | Furnizor de identitate (autentificare OAuth) | UE/SUA (se aplică Addendumul de protecție a datelor Microsoft) |
| Paddle.com Market Ltd. | Procesare plăți (comerciant oficial) | Marea Britanie (Decizie de adecvare a Regatului Unit) |
| Google LLC (Vertex AI) | Inferență modele AI (modele Gemini) pentru procesarea documentelor, căutare semantică și chat AI | UE (regiunea Google Cloud europe-west; fără transfer în afara SEE; se aplică Addendumul de prelucrare a datelor Google Cloud; datele din API nu sunt utilizate implicit pentru antrenarea modelelor) |
| Backblaze, Inc. | Stocare principală de obiecte pentru documente și copii de rezervă (B2 Cloud Storage) | UE (Amsterdam, Olanda; certificat SOC 2 Type II) |
| IDrive, Inc. | Stocare de obiecte pentru recuperare în caz de dezastru | UE (Frankfurt, Germania) |
| Hetzner Online GmbH | Infrastructură cloud și servere de aplicație | UE (Germania / Finlanda; certificat ISO/IEC 27001:2022) |
| Cloudflare, Inc. | Rețea de livrare de conținut, protecție DDoS și securitate de rețea (prelucrează metadate ale cererilor HTTP: adrese IP, șiruri user-agent, marcaje temporale ale cererilor) | SUA (SCC) |
Veluvanto va notifica Operatorul cu privire la orice modificări intenționate privind sub-împuterniciții prin actualizarea acestei liste cu o notificare prealabilă de cel puțin 14 zile (prin e-mail sau actualizare pe site). Operatorul poate formula obiecții față de noii sub-împuterniciți în termen de 14 zile de la notificare. Dacă Veluvanto nu poate soluționa obiecția, Operatorul poate rezilia serviciul.
Toți sub-împuterniciții sunt obligați prin acorduri de prelucrare a datelor care conțin obligații de protecție a datelor echivalente cu cele din prezentul DPA.
10. Transferuri internaționale de date
În cazul în care datele cu caracter personal sunt transferate către sub-împuterniciți din afara SEE, aceste transferuri sunt protejate prin Clauze Contractuale Standard (SCC) aprobate de Comisia Europeană (Decizia de punere în aplicare a Comisiei (UE) 2021/914) sau prin alte garanții adecvate conform Articolului 46 din GDPR. Operatorul poate solicita copii ale acestor garanții de lalegal@veluvanto.com.
11. Asistență privind drepturile persoanelor vizate
Veluvanto va asista Operatorul în îndeplinirea cererilor privind drepturile persoanelor vizate în temeiul Articolelor 15–22 din GDPR. Acolo unde este fezabil din punct de vedere tehnic, Operatorul poate îndeplini multe dintre aceste drepturi direct prin intermediul aplicației Veluvanto (de exemplu, exportul datelor, ștergerea contului).
Pentru cererile care necesită implicarea directă a Veluvanto, contactațiprivacy@veluvanto.com. Veluvanto va răspunde în termen de 5 zile lucrătoare și va oferi asistență într-un interval de timp care să permită Operatorului să respecte termenele limită de răspuns prevăzute de GDPR.
12. Returnarea și ștergerea datelor
La încetarea serviciului sau la cererea Operatorului:
- Exportul datelor:Operatorul poate exporta toate documentele și datele prin funcția de export a aplicației în orice moment în timpul utilizării serviciului
- Ștergerea la încetare:În termen de 30 de zile de la ștergerea contului sau încetarea serviciului, Veluvanto va șterge definitiv toate datele cu caracter personal, inclusiv documentele, metadatele și conținutul generat de AI, cu excepția cazului în care păstrarea este impusă de legislația aplicabilă
- Confirmare:La cerere, Veluvanto va furniza o confirmare scrisă a ștergerii
Înregistrările de facturare și jurnalele de audit cerute prin lege pot fi păstrate conform legislației contabile cehe (Legea nr. 563/1991 Coll.) timp de până la 10 ani.
13. Drepturi de audit
Veluvanto va pune la dispoziție toate informațiile necesare pentru a demonstra conformitatea cu prezentul DPA. Operatorul poate solicita un audit al activităților de prelucrare a datelor ale Veluvanto prin:
- Solicitarea documentației privind măsurile de securitate și a rapoartelor de conformitate
- Solicitarea rapoartelor de audit ale terților (certificare ISO 27001, SOC 2 etc.) acolo unde sunt disponibile
- Efectuarea de audituri sau inspecții prin programare prealabilă (cu o notificare de cel puțin 30 de zile, pe cheltuiala Operatorului și sub rezerva unor obligații rezonabile de confidențialitate)
14. Notificarea încălcării securității datelor
În cazul unei încălcări a securității datelor cu caracter personal care afectează datele Operatorului, Veluvanto va notifica Operatorul fără întârzieri nejustificate și în termen de 72 de ore de la luarea la cunoștință a încălcării. Notificarea va include informațiile disponibile despre: natura încălcării, categoriile și numărul aproximativ de persoane vizate afectate, consecințele probabile și măsurile luate sau propuse. Informații suplimentare vor fi furnizate pe măsură ce devin disponibile.
15. Legea aplicabilă
Prezentul DPA este guvernat de legile Republicii Cehe și de legislația aplicabilă a UE, inclusiv GDPR. Orice litigii vor fi soluționate în conformitate cu dispozițiile privind legea aplicabilă din Termenii de utilizare Veluvanto.
16. DPA semnat
Dacă organizația dumneavoastră solicită un DPA semnat și executat separat (de exemplu, pentru cerințe de conformitate enterprise), vă rugăm să ne contactați lalegal@veluvanto.com. Vă vom furniza o copie semnată într-un termen rezonabil.
17. Contact
Pentru toate întrebările legate de DPA:
Veluvanto s.r.o.
Korunní 2569/108, Vinohrady, 101 00 Praha 10
E-mail: legal@veluvanto.com
Confidențialitate: privacy@veluvanto.com