Acord de prelucrare a datelor (DPA)

Ultima actualizare: 28 iunie 2026

Acest acord reglementează prelucrarea datelor cu caracter personal de către DRAWDEM S.R.L., în calitate de persoană împuternicită, în numele companiilor care utilizează platforma Ovelino (operatori), conform Art. 28 din GDPR. Versiunea contractuală semnabilă, cu anexe (categorii de date, sub-procesatori, măsuri de securitate, termene de păstrare), este disponibilă la cerere — scrie la contact@ovelino.com.

1. Obiectul prelucrării

Ovelino prelucrează datele angajaților clientului (date de identificare, contractuale, salariale și, după caz, de sănătate) exclusiv pentru a furniza funcțiile platformei: salarizare, raportare, conformitate și documente.

Ovelino este un instrument tehnic: prelucrează datele angajaților strict pe baza instrucțiunilor companiei-client (operatorul) și NU ia decizii de personal (angajare, concediere, sancțiuni, evaluare) și nici prelucrări automate cu efecte juridice asupra persoanelor vizate (Art. 22 GDPR). Compania-client rămâne responsabilă pentru temeiul juridic, informarea angajaților, raportările (REGES/Revisal, ANAF, medicina muncii) și termenele legale de arhivare.

2. Obligațiile persoanei împuternicite

  • Prelucrează datele doar pe baza instrucțiunilor documentate ale operatorului.
  • Asigură confidențialitatea persoanelor autorizate să prelucreze datele.
  • Implementează măsuri tehnice și organizatorice adecvate (criptare, izolare per companie, control acces).
  • Sprijină operatorul în răspunsul la cererile persoanelor vizate și la incidente de securitate.
  • Permite și sprijină auditurile rezonabile ale operatorului privind respectarea acestor obligații.
  • La încetarea contractului, șterge sau returnează datele, la alegerea operatorului, sub rezerva termenelor legale de arhivare aplicabile.

3. Subîmputerniciți

Ovelino utilizează următorii subîmputerniciți, cu obligații echivalente de protecție a datelor — listă actualizată la 28 iunie 2026:

  • Furnizor de găzduire și infrastructură web — în Uniunea Europeană.
  • Furnizor de bază de date — în Uniunea Europeană.
  • Furnizor de email tranzacțional; poate prelucra date și în afara UE, pe baza clauzelor contractuale standard (SCC, art. 46 GDPR).

Lista nominală completă a subîmputerniciților este inclusă în versiunea contractuală semnabilă a acestui DPA, disponibilă la cerere. Ovelino informează operatorul cu cel puțin 30 de zile înainte de a adăuga sau înlocui un subîmputernicit; operatorul poate obiecta motivat, pe temeiuri de protecția datelor, în 30 de zile, iar dacă nu se găsește o alternativă rezonabilă poate rezilia fără penalități partea afectată a serviciului.

4. Localizarea datelor și transferuri

Datele sunt stocate în Uniunea Europeană. Anumiți subîmputerniciți (de ex. furnizorul de email) pot prelucra date și în afara UE, pe baza clauzelor contractuale standard aprobate de Comisia Europeană (art. 46 GDPR), cu măsuri suplimentare — către furnizorul de email se transmit doar date de notificare/răspuns, fără CNP, IBAN sau date de sănătate.

5. Notificarea breșelor de securitate

Ovelino notifică operatorul fără întârziere nejustificată după ce ia cunoștință de o breșă ce afectează datele acestuia (adică din momentul în care are un grad rezonabil de certitudine că a avut loc un incident), în mod normal în cel mult 48 de ore, cu informațiile prevăzute de Art. 33(3) GDPR, sprijinind operatorul să își respecte propriul termen de 72 de ore. Procedura internă de incidente țintește un prim semnal în 24 de ore.

6. Audit

Punem la dispoziția operatorului documentația de conformitate și răspundem la chestionare de securitate. Auditurile la fața locului se programează în mod rezonabil, cel mult o dată pe an (sau după o breșă confirmată ori la cererea unei autorități), cu preaviz și confidențialitate. La data prezentei, Ovelino nu deține certificări ISO 27001 / SOC 2 și va comunica orice obținere ulterioară.

7. Încetare, prevalență și contact

La încetarea contractului, la alegerea operatorului, returnăm datele într-un format uzual (CSV/PDF) și/sau le ștergem, sub rezerva termenelor legale de arhivare. Pe aspecte de protecția datelor, DPA-ul semnat prevalează față de Termeni și condiții; vezi și Politica de confidențialitate. Pentru semnarea unui DPA dedicat sau întrebări, scrie la contact@ovelino.com.