Media Design Legal
Lista Subprocesori
Lista completă a subprocesorilor autorizați de Media Design S.R.L. pentru prelucrarea datelor cu caracter personal în numele clienților.
1. Scopul acestei pagini
Conform GDPR Art. 28 alin. (2), Procesatorul trebuie să informeze Operatorul despre orice subprocesor angajat și să obțină acordul acestuia. Prezenta pagină constituie lista publică a subprocesorilor autorizați de Media Design S.R.L. pentru prelucrarea datelor cu caracter personal în contextul serviciilor furnizate clienților. Clienții care au semnat un DPA cu Media Design S.R.L. au autorizat în mod general angajarea subprocesorilor listați la data semnării.
2. Cum selectăm subprocesorii
Fiecare subprocesor este evaluat înainte de angajare conform criteriilor:
- GDPR Art. 28: existența unui DPA valid sau a unor clauze contractuale standard (SCC) cu subprocesorul;
- GDPR Art. 32: auditarea măsurilor de securitate (certificări ISO 27001, SOC 2 sau raport de securitate echivalent);
- Transfer Impact Assessment (TIA): evaluarea riscurilor pentru transferurile extra-SEE, conform Recomandărilor EDPB 01/2020;
- Compatibilitatea cu scopurile și baza legală a prelucrărilor pentru care sunt angajați.
3. Notificarea schimbărilor
Media Design S.R.L. notifică orice adăugare sau înlocuire de subprocesor cu minim 30 de zile înainte prin:
- actualizarea acestei pagini (cu marcarea modificărilor în Changelog-ul din secțiunea 7);
- trimiterea unui email de notificare către toți clienții care au optat pentru notificările privind subprocesorii (opt-in la semnarea DPA-ului);
- anunț în portalul de client.
4. Dreptul de opoziție al Operatorului
Operatorul (clientul) are dreptul să se opună în scris angajării unui subprocesor nou sau înlocuirii unuia existent în termen de 30 de zile de la notificare. Opoziția trebuie să fie justificată și documentată. Procedura este detaliată în DPA-ul semnat între Operator și Media Design S.R.L.
5. Lista subprocesorilor (Schrems II + EU-US DPF + SCC)
Pentru fiecare sub-procesator listat mai jos sunt indicate explicit jurisdicția, categoriile de date prelucrate, mecanismul de transfer (Decizia C(2023) 4745 — EU-US Data Privacy Framework din 10.07.2023 sau Clauzele Contractuale Standard Modul 2 — Decizia 2021/914) și decizia de adecvare aplicabilă. Lista este actualizată cu notificare prealabilă de minimum 14 zile pentru modificări materiale.
| # | Subprocesor | Jurisdicție | Categorii date | Mecanism transfer | Decizie adecvare |
|---|---|---|---|---|---|
| 1 | Google LLC (Google Analytics 4) | SUA | ID-uri vizitatori pseudonimizate, geoloc IP (truncat la țară), fingerprint dispozitiv/browser, vizualizări pagini, evenimente, conversii | EU-US Data Privacy Framework (Google LLC certificat DPF) | C(2023) 4745 |
| 2 | Meta Platforms Ireland Ltd (Meta Pixel / Conversions API) | Irlanda (UE); transfer afiliat la Meta Platforms Inc, SUA | Evenimente pixel, e-mail hashed (CAPI), IP, dispozitiv | Meta Platforms Inc certificat EU-US DPF; Meta Ireland procesează datele UE inițial. Riscuri reziduale Schrems II recunoscute pentru anumite fluxuri transatlantice. | C(2023) 4745 |
| 3 | TikTok Technology Limited (Irlanda) (TikTok Pixel / Events API) | Irlanda (UE); transfer indirect posibil la TikTok Inc (SUA) și ByteDance Ltd (China) | Evenimente pixel, e-mail hashed, dispozitiv | Clauze Contractuale Standard Modul 2 (Decizia 2021/914 din 4 iunie 2021) + Evaluare Impact Transfer (TIA) din cauza riscului de transfer indirect către serverele din China. DPF nu se aplică. | SCC: Decizia 2021/914 |
| 4 | HubSpot Inc (CRM) | SUA | Nume lead, e-mail, telefon, companie, stadiu deal, toate interacțiunile CRM | EU-US Data Privacy Framework (HubSpot Inc certificat DPF) | C(2023) 4745 |
| 5 | SC Smartbill SRL (facturare / documente fiscale) | România (UE) | Date fiscale, facturi, date de identificare client | Fără transfer în afara SEE. Datele rămân în România/UE; nu este necesar niciun mecanism de transfer. | N/A — intra-UE |
| 6 | Stripe, Inc / Stripe Payments Europe Ltd (procesare plăți) | Stripe Payments Europe Ltd: Irlanda (UE); Stripe Inc: SUA | Metadate plată, detalii facturare | Stripe Payments Europe Ltd procesează datele clienților UE inițial. Stripe Inc (SUA) certificat EU-US DPF pentru fluxurile transatlantice. | C(2023) 4745 |
| 7 | Netopia Payments SRL (gateway plăți) | România (UE) | Metadate tranzacție, date de identificare plătitor | Fără transfer în afara SEE. Datele rămân în România/UE; nu este necesar niciun mecanism de transfer. | N/A — intra-UE |
| 8 | OpenAI, L.L.C (funcționalități AI — planificat) | SUA | Prompturi, conținut generat, context conversație | EU-US Data Privacy Framework (OpenAI înregistrat DPF din septembrie 2024). NU este în uz activ în prezent. Va fi activat exclusiv după notificarea prealabilă a persoanelor vizate. | C(2023) 4745 |
5.1 Notă privind transferurile internaționale post-Schrems II
Începând cu 10 iulie 2023, Decizia de adecvare a Comisiei Europene C(2023) 4745 (EU-US Data Privacy Framework) constituie mecanismul principal pentru transferul datelor cu caracter personal către entitățile americane certificate pe dataprivacyframework.gov. Pentru sub-procesatorii care nu dețin certificare DPF sau al căror perimetru de servicii excede certificarea (în special TikTok, din cauza riscului de transfer indirect către China), ne bazăm pe Clauzele Contractuale Standard Modulul 2 (Decizia de punere în aplicare 2021/914 din 4 iunie 2021) însoțite de o Evaluare a Impactului Transferului (TIA), în conformitate cu Orientările CEPD 01/2024. Media Design S.R.L. verifică periodic că sub-procesatorii din SUA rămân înscriși activ în lista DPF; în cazul retragerii certificării, activăm imediat SCC + TIA ca mecanism de rezervă.
5.2 Drepturile persoanelor vizate în raport cu sub-procesatorii
În temeiul Art. 21 GDPR, aveți dreptul de a vă opune prelucrării datelor dvs. de către oricare dintre sub-procesatorii enumerați mai sus, în măsura în care această prelucrare se bazează pe interese legitime sau se desfășoară în scopuri de marketing direct. Solicitările de exercitare a drepturilor (acces, rectificare, ștergere, portabilitate, restricționare, opoziție) se transmit prin formularul dedicat la adresa /legal/data-subject-request/form. Media Design S.R.L. răspunde în termen de 30 de zile calendaristice de la primirea cererii și, dacă este relevant, intermediază solicitarea cu sub-procesatorul implicat.
5.3 Tabel legacy (echipa de colaboratori interni)
| Subprocesor | Furnizor / Entitate juridică | Locație servere | Scopul prelucrării | Mecanism transfer |
|---|---|---|---|---|
| Cloudflare | Cloudflare, Inc. (SUA) | EU + SUA (CDN global) | CDN, DNS, WAF, protecție DDoS, optimizare performanță | SCC (Decizia 2021/914) + EU-US DPF |
| Google Analytics 4 | Google Ireland Limited (IE) | EU + SUA | Analiză trafic site (anonimizată), raportare comportament utilizator | SCC (Decizia 2021/914) + EU-US DPF |
| Google Ads | Google Ireland Limited (IE) | EU + SUA | Conversii publicitare, remarketing (cu consimțământ) | SCC (Decizia 2021/914) + EU-US DPF |
| Google Workspace | Google Ireland Limited (IE) | EU + SUA | Email business, stocare documente interne operaționale | SCC (Decizia 2021/914) + EU-US DPF |
| Meta Ads (Facebook + Instagram) | Meta Platforms Ireland Limited (IE) | EU + SUA | Conversii publicitare, Pixel remarketing (cu consimțământ) | SCC (Decizia 2021/914) + EU-US DPF |
| LinkedIn Ads + Insight Tag | LinkedIn Ireland Unlimited Company (IE) | EU + SUA | Conversii publicitare B2B, remarketing (cu consimțământ) | SCC (Decizia 2021/914) + EU-US DPF |
| HubSpot CRM | HubSpot Ireland Limited (IE) | EU + SUA | Gestionare leaduri B2B, CRM, tracking comportament prospect | SCC (Decizia 2021/914) |
| Smartbill | Intelligent IT SRL (RO) | Romania | Facturare electronică, e-Factura ANAF, gestiune financiară | Drept național (RO) — fără transfer extra-SEE |
| Stripe | Stripe Technology Europe, Limited (IE) | EU + SUA | Procesare plăți online (la intrarea în vigoare a modulului de plăți) | SCC (Decizia 2021/914) + EU-US DPF; PCI-DSS Level 1 |
| Netopia | Netopia SRL (RO) | Romania | Procesare plăți online cu card (la intrarea în vigoare) | Drept național (RO) — fără transfer extra-SEE; PCI-DSS |
| Postmark / Mailgun | ActiveCampaign, LLC / Mailgun Technologies, Inc. (SUA) | SUA (+ EU opțional) | Email tranzacțional (notificări sistem, confirmări) | SCC (Decizia 2021/914) |
| Colaboratori PFA / SRL | Persoane fizice autorizate și societăți comerciale individuale (RO) | Romania | Livrare servicii (design, copywriting, development) în baza contractului cu clientul | DPA individual semnat per colaborator; drept național (RO) |
6. Cum raportezi nepotriviri
Dacă identifici un subprocesor care nu apare pe această listă, dar care prelucrează date în contextul serviciilor Media Design S.R.L., sau dacă constați că un subprocesor listat nu respectă GDPR, ne contactezi la:
- Email: contact@mediadesignro.ro — subiect: "Subprocesor nelistat" sau "Neconformitate subprocesor"
- Telefon: +40 744 933 131
Investigăm orice sesizare în termen de 10 zile lucrătoare și actualizăm lista dacă se confirmă.
7. Changelog
| Dată | Modificare |
|---|---|
| 1 iunie 2026 | Versiune inițială a listei publice de subprocesori MediaDesign.ro |
8. Contact
Pentru orice întrebare legată de subprocesori sau de DPA:
- Email: contact@mediadesignro.ro
- Telefon: +40 744 933 131
- Adresă poștală: MEDIA DESIGN S.R.L., Str. Lt. Col. Pretorian Nr. 3, Bl. N116, Sc. A, Ap. 7, Zalău, jud. Sălaj, cod 450131
Ultima actualizare: 1 iunie 2026.