Acord de Prelucrare a Datelor (DPA)
Data Processing Agreement — CartFlux
Ultima actualizare: Mai 2026 · Versiune: 1.0
Părțile
Persoana împuternicită (Processor):
NOVA CRAFT STUDIO SRL („CartFlux”) CUI: 54452722 Nr. înregistrare: J2026023506000 Sediu social: București, Sector 1, Strada Pitar Moș Nr. 27
Email: contact@cartflux.eu
Operatorul (Controller):
Merchantul înregistrat pe platforma CartFlux, ale cărui date de identificare sunt înregistrate în cont.
1. Context și scop
Prezentul Acord de Prelucrare a Datelor („DPA”) reglementează condițiile în care CartFlux, în calitate de persoană împuternicită, prelucrează date cu caracter personal în numele Merchantului, în calitate de operator, în contextul furnizării serviciilor platformei CartFlux.
Prezentul DPA face parte integrantă din Termenii și Condițiile CartFlux și se aplică conform Art. 28 din Regulamentul (UE) 2016/679 (GDPR).
2. Datele prelucrate
2.1 Categorii de date
CartFlux prelucrează în numele Merchantului următoarele categorii de date cu caracter personal ale clienților finali ai magazinului:
- Nume și prenume
- Adresă de email
- Adresă de livrare (stradă, oraș, județ, cod poștal, țară)
- Număr de telefon (când este furnizat)
- Istoricul comenzilor (produse, cantități, prețuri, status)
- Date sesiune cont client (când clientul final creează cont în magazin)
2.2 Categorii de persoane vizate
Clienții finali care plasează comenzi sau creează conturi în magazinele operate de Merchant pe platforma CartFlux.
2.3 Scopul prelucrării
Prelucrarea se realizează exclusiv pentru:
- Procesarea și gestionarea comenzilor din magazinul Merchantului
- Furnizarea funcționalităților platformei (dashboard comenzi, clienți, statistici)
- Trimiterea emailurilor tranzacționale aferente comenzilor
- Emiterea facturilor prin SmartBill (când este activat de Merchant)
3. Obligațiile CartFlux (Processor)
CartFlux se obligă să:
3.1 Instrucțiuni documentate
Prelucreze datele cu caracter personal exclusiv pe baza instrucțiunilor documentate ale Merchantului, cu excepția cazului în care legislația UE sau română impune altfel.
3.2 Confidențialitate
Se asigure că persoanele autorizate să prelucreze datele s-au angajat să respecte confidențialitatea sau fac obiectul unei obligații legale adecvate de confidențialitate.
3.3 Securitate
Implementeze măsuri tehnice și organizatorice adecvate pentru protejarea datelor, inclusiv:
- Criptare în tranzit (HTTPS/TLS)
- Criptare în repaus pentru datele sensibile
- Control acces bazat pe roluri (RLS)
- Monitorizare și detectare incidente (Sentry)
- Backup regulat al datelor
3.4 Sub-împuterniciți
Nu angajeze alți sub-împuterniciți fără informarea prealabilă a Merchantului. Lista actuală de sub-împuterniciți este disponibilă în Politica de Confidențialitate CartFlux. Merchantul acceptă utilizarea sub-împuterniciților listați prin acceptarea prezentului DPA.
3.5 Drepturile persoanelor vizate
Asiste Merchantul în îndeplinirea obligației de a răspunde cererilor privind exercitarea drepturilor persoanelor vizate (acces, rectificare, ștergere, portabilitate etc.), în limita datelor disponibile în platformă.
3.6 Asistență pentru obligațiile GDPR
Asiste Merchantul în asigurarea conformității cu obligațiile privind:
- Securitatea prelucrării (Art. 32 GDPR)
- Notificarea încălcărilor de securitate (Art. 33-34 GDPR)
- Evaluările de impact (DPIA) când sunt necesare (Art. 35 GDPR)
3.7 Notificarea incidentelor
Notifice Merchantul fără întârzieri nejustificate, și în cel mult 72 de ore, după constatarea unei încălcări a securității datelor cu caracter personal.
3.8 Ștergerea datelor
La încetarea serviciilor, șteargă sau returneze toate datele cu caracter personal, conform instrucțiunilor Merchantului, cu excepția cazului în care legislația impune păstrarea acestora.
3.9 Audit
Pună la dispoziția Merchantului toate informațiile necesare demonstrării conformității cu obligațiile prevăzute în Art. 28 GDPR.
4. Obligațiile Merchantului (Controller)
Merchantul, în calitate de operator, se obligă să:
- Asigure că prelucrarea datelor prin CartFlux are temei legal conform GDPR
- Informeze clienții finali cu privire la prelucrarea datelor (politică de confidențialitate proprie în magazin)
- Obțină consimțămintele necesare de la clienții finali acolo unde este aplicabil
- Notifice CartFlux imediat în cazul în care constată o încălcare a securității datelor
- Nu transmită CartFlux date din categorii speciale (Art. 9 GDPR) fără acord prealabil explicit
5. Sub-împuterniciți (Sub-processors)
CartFlux utilizează următorii sub-împuterniciți pentru furnizarea serviciilor:
| Sub-împuternicit | Rol | Locație | DPA/Garanții |
|---|---|---|---|
| Supabase Inc. | Bază de date, autentificare | EU (AWS Frankfurt) | DPA disponibil |
| Vercel Inc. | Găzduire aplicație | EU/US | DPA disponibil |
| Stripe Inc. | Procesare plăți | EU/US | DPA disponibil |
| Resend Inc. | Email tranzacțional | EU/US | DPA disponibil |
| Functional Software (Sentry) | Monitorizare erori | EU/US | DPA disponibil |
| SmartBill SRL | Facturare electronică | România | DPA disponibil |
CartFlux va informa Merchantul cu privire la orice modificări planificate referitoare la adăugarea sau înlocuirea sub-împuterniciților, oferind Merchantului posibilitatea de a formula obiecții.
6. Transferuri internaționale
Unii sub-împuterniciți pot procesa date în afara Spațiului Economic European (SEE). CartFlux se asigură că astfel de transferuri se realizează cu garanții adecvate, în conformitate cu Cap. V GDPR (Clauze Contractuale Standard, decizii de adecvare ale Comisiei Europene).
7. Durata și încetarea
Prezentul DPA este valabil pe durata contractului de servicii CartFlux. La încetarea contractului, CartFlux va șterge datele clienților finali ai Merchantului în termen de 30 de zile, cu excepția datelor a căror păstrare este impusă de lege.
8. Răspundere
Răspunderea fiecărei părți față de cealaltă în baza prezentului DPA este limitată conform prevederilor din Termenii și Condițiile CartFlux. Fiecare parte răspunde față de autoritățile de supraveghere și persoanele vizate conform rolului său (operator / persoană împuternicită) stabilit prin GDPR.
9. Legea aplicabilă
Prezentul DPA este guvernat de legislația română și de Regulamentul (UE) 2016/679 (GDPR). Orice litigiu va fi soluționat conform prevederilor din Termenii și Condițiile CartFlux.
10. Contact pentru probleme de protecția datelor
NOVA CRAFT STUDIO SRL Responsabil protecția datelor: Doiciu Irinel Adresă: București, Sector 1, Strada Pitar Moș Nr. 27
Email: contact@cartflux.eu
Prin acceptarea Termenilor și Condițiilor CartFlux, Merchantul acceptă și prezentul Acord de Prelucrare a Datelor, care devine parte integrantă a relației contractuale dintre părți.