MEDIA DESIGN Studio Laborator Colaborari Contact
Acceseaza programul ANTREPRENOR START pentru avantaje comerciale exclusive.
Ai nevoie de suport? Suna: +40 744 933 131

Media Design Legal

Acord Procesare Date (DPA)

Acordul standard de procesare a datelor (template) încheiat între Media Design S.R.L. în calitate de Procesator și clientul în calitate de Operator, conform GDPR Art. 28.

Prezentul document este un template. Câmpurile marcate cu se completează pentru fiecare client în parte înainte de semnare.

1. Părțile

Prezentul Acord de Procesare a Datelor ("DPA") este încheiat între:

OPERATOR: (denumit în continuare "Operatorul"), și
PROCESATOR: MEDIA DESIGN S.R.L., CUI RO22252840, Nr. Reg. Com. J31/624/2007, Str. Lt. Col. Pretorian Nr. 3, Bl. N116, Sc. A, Ap. 7, Zalău, jud. Sălaj, cod 450131 (denumit în continuare "Procesatorul").

DPA-ul face parte integrantă din contractul de prestări servicii încheiat între Operator și Procesator și intră în vigoare la data semnării acestuia: .

2. Definiții

Termenii utilizați în prezentul DPA au înțelesul atribuit de GDPR (Regulamentul (UE) 2016/679):

  • Date cu caracter personal: orice informații referitoare la o persoană fizică identificată sau identificabilă;
  • Prelucrare: orice operațiune sau set de operațiuni efectuate asupra datelor personale;
  • Operator: entitatea care stabilește scopurile și mijloacele prelucrării;
  • Procesator: entitatea care prelucrează datele personale în numele Operatorului;
  • Persoană vizată: persoana fizică ale cărei date sunt prelucrate;
  • Subprocesor: orice terț angajat de Procesator pentru a efectua activități specifice de prelucrare în numele Operatorului.

3. Obiectul prelucrării

Procesatorul prelucrează date cu caracter personal în numele Operatorului exclusiv pentru prestarea serviciilor contractate, conform detaliilor de mai jos:

  • Durata: pe durata contractului de servicii + maxim 90 de zile după încetare (pentru returnare / ștergere);
  • Natura prelucrării: stocare, transmitere, procesare, afișare, analiză, integrare cu terți autorizați de Operator;
  • Scopul prelucrării: furnizarea serviciilor contractate (web design, dezvoltare, marketing digital, SEO, hosting, suport tehnic);
  • Categoriile de date cu caracter personal: ;
  • Categoriile de persoane vizate: .

4. Obligațiile Procesatorului

Procesatorul se angajează, conform GDPR Art. 28 alin. (3), să:

  • (a) prelucreze datele personale exclusiv pe baza instrucțiunilor documentate ale Operatorului, inclusiv în ceea ce privește transferurile de date cu caracter personal către o țară terță sau o organizație internațională, cu excepția cazului în care are obligația legală de a procesa datele în alt mod;
  • (b) asigure că persoanele autorizate să prelucreze datele personale s-au angajat să respecte confidențialitatea sau fac obiectul unei obligații legale de confidențialitate;
  • (c) ia toate măsurile prevăzute la GDPR Art. 32 (securitatea prelucrării);
  • (d) respecte condițiile prevăzute la GDPR Art. 28 alin. (2) și (4) pentru angajarea unui alt procesator (subprocesor);
  • (e) țină seama de natura prelucrării și să asiste Operatorul prin măsuri tehnice și organizatorice adecvate, în măsura posibilului, pentru îndeplinirea obligației Operatorului de a răspunde cererilor persoanelor vizate;
  • (f) asiste Operatorul în asigurarea conformității cu obligațiile prevăzute la GDPR Art. 32–36, ținând cont de natura prelucrării și informațiile disponibile Procesatorului;
  • (g) la alegerea Operatorului, să șteargă sau să returneze toate datele cu caracter personal Operatorului după finalizarea prestării serviciilor de prelucrare și să șteargă copiile existente, cu excepția cazului în care dreptul Uniunii sau dreptul intern impune stocarea datelor;
  • (h) pună la dispoziția Operatorului toate informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute la GDPR Art. 28 și să permită efectuarea de audituri, inclusiv inspecții, de către Operator sau un alt auditor mandatat de acesta.

5. Subprocesori

Procesatorul menține o listă publică a subprocesorilor autorizați disponibilă la /legal/subprocesori. Operatorul autorizează în mod general angajarea subprocesorilor de pe această listă la momentul semnării DPA-ului.

Procesatorul va notifica Operatorul cu minim 30 de zile înainte de orice adăugare sau înlocuire a unui subprocesor. Operatorul are dreptul să se opună în scris în acest termen. Dacă Operatorul nu se opune în termen, se consideră că a acceptat modificarea. Dacă Operatorul se opune justificat și Procesatorul nu poate furniza serviciile fără subprocesorul respectiv, oricare dintre părți poate rezilia contractul cu un preaviz de 30 de zile.

Procesatorul se asigură că orice subprocesor este obligat prin același nivel de protecție a datelor ca cel din prezentul DPA, prin contract scris.

6. Măsuri tehnice și organizatorice

Procesatorul implementează și menține, conform GDPR Art. 32, cel puțin următoarele măsuri tehnice și organizatorice:

  • Criptare în tranzit: HTTPS cu TLS 1.3 pentru toate suprafețele expuse public;
  • Criptare parole: hash bcrypt cu factor de cost minim 12;
  • Autentificare cu doi factori (2FA): obligatorie pentru toți administratorii sistemelor;
  • Web Application Firewall: Cloudflare WAF activ pe toate domeniile administrate;
  • Backup criptat: backup-uri zilnice criptate, retenție 30 de zile, testate trimestrial;
  • Principiul minimei privilegieri: accesul la date se acordă pe baza rolului și a nevoii demonstrate; acces revizuit trimestrial;
  • Politici interne: instruire anuală a colaboratorilor cu acces la date personale, politică de clean desk, blocare automată sesiune.

7. Asistență pentru drepturile persoanei vizate

La solicitarea Operatorului, Procesatorul va asista în exercitarea drepturilor persoanelor vizate (GDPR Art. 15–22), prin:

  • furnizarea exportului de date relevante în format structurat (JSON/CSV) în termen de 5 zile lucrătoare de la solicitare;
  • aplicarea ștergerii sau pseudonimizării datelor persoanei vizate la instrucțiunea scrisă a Operatorului;
  • confirmarea în scris a acțiunilor efectuate.

8. Asistență în caz de incident de securitate

La detectarea unui incident de securitate care implică date prelucrate în numele Operatorului, Procesatorul va:

  • notifica Operatorul fără întârzieri nejustificate și în termen de maxim 24 de ore de la detecție;
  • furniza toate informațiile disponibile pentru a permite Operatorului să evalueze riscul și să îndeplinească obligația de notificare ANSPDCP în 72 de ore conform GDPR Art. 33;
  • coopera deplin la investigarea incidentului și la aplicarea măsurilor de remediere.

9. Ștergerea sau returnarea datelor

La finalizarea contractului sau la solicitarea scrisă a Operatorului, Procesatorul va:

  • returna toate datele cu caracter personal Operatorului în format portabil (JSON sau CSV) în termen de 30 de zile;
  • șterge irevocabil toate copiile datelor personale din sistemele proprii și ale subprocesorilor, inclusiv backup-uri, în termen de 90 de zile de la finalizarea contractului;
  • furniza o confirmare scrisă a ștergerii la solicitarea Operatorului.

Excepție: datele care trebuie păstrate conform unei obligații legale (de exemplu, documente contabile) vor fi reținute pe durata legală obligatorie, izolate și inaccesibile pentru alte prelucrări.

10. Audit

Procesatorul permite Operatorului sau unui auditor independent mandatat de acesta să efectueze maximum 1 audit pe an, cu un preaviz scris de minim 30 de zile, la sediul Procesatorului sau de la distanță, cu respectarea confidențialității informațiilor terților. Costurile auditului sunt suportate de Operator, cu excepția cazului în care auditul relevă neconformități semnificative, caz în care costurile sunt suportate de Procesator. Ca alternativă, Procesatorul poate furniza un raport de audit independent recunoscut (ISO 27001, SOC 2 sau echivalent) care acoperă perioada relevantă, iar Operatorul poate renunța la auditul propriu pe baza acestuia.

11. Transferuri internaționale

Orice transfer de date cu caracter personal în afara Spațiului Economic European (SEE) realizat de Procesator sau subprocesorii săi este protejat prin:

  • Clauze Contractuale Standard (SCC) aprobate prin Decizia (UE) 2021/914 sau 2021/915, după caz;
  • Transfer Impact Assessment (TIA) efectuat pentru fiecare transfer extra-SEE conform Recomandărilor EDPB 01/2020;
  • certificarea subprocesorului în cadrul EU-US Data Privacy Framework, acolo unde este aplicabilă.

12. Durata și încetarea

Prezentul DPA intră în vigoare la data semnării și rămâne în vigoare pe toată durata contractului de prestări servicii. La încetarea contractului, DPA-ul rămâne aplicabil până la finalizarea procesului de ștergere / returnare a datelor descris în secțiunea 9.

13. Legea aplicabilă și instanța competentă

Prezentul DPA este guvernat de legea română. Orice litigiu generat de sau în legătură cu prezentul DPA va fi soluționat de instanțele judecătorești competente de la sediul Procesatorului, respectiv Zalău, jud. Sălaj, Romania, cu excepția cazului în care legea aplicabilă consumatorilor stabilește altfel.

14. Semnături

Prin semnarea prezentului DPA, părțile confirmă că au citit, înțeles și acceptat toate prevederile sale.

OPERATOR PROCESATOR
MEDIA DESIGN S.R.L.
Semnătură: ___________________ Semnătură: ___________________
Nume: ___________________ Nume: Dumitrescu Radu
Funcție: [FUNCȚIE SEMNATAR CLIENT] Funcție: Administrator
Data: Data:

Ultima actualizare template: 1 iunie 2026.

Newsletter

Prin trimiterea acestui formular, datele tale sunt prelucrate de Media Design SRL a-ți trimite newsletter-ul nostru ocazional + a-ți comunica noutățile relevante, în temeiul Art. 6(1)(a) GDPR + Art. 12 Legea 506/2004 -- consimțământ explicit, pentru o durată de până la dezabonare (cu un click în orice email). Drepturile tale GDPR + detalii complete în Politica de Confidențialitate.

*

Aboneaza-te la newsletter-ul nostru si fii la curent cu cele mai recente tendinte in design digital.

"Sunt aici sa preiau greutatea organizarii de pe umerii tai. Rolul meu este sa armonizez munca tuturor acestor specialisti pentru ca proiectul tau sa fie livrat la timp si la standardele promise. Iti ofer garantia unei comunicari transparente si a unui parteneriat in care nu exista surprize neplacute."
Radu Project Manager