Matchquote

Matchquote

AI studio · pilot în 14 zile

ENDemo

Legal · DPA

Acord de prelucrare a datelor

Versiunea 1.0 · 23 aprilie 2026 · art. 28 GDPR

Acest Acord de prelucrare a datelor („DPA”) face parte din contractul de servicii („Contract”) dintre Client („Operator”) și Bogdan-Cătălin Chiotea PFA, având marca Matchquote („Împuternicit”). El reflectă obligațiile articolului 28 din Regulamentul (UE) 2016/679 („GDPR”).

Această pagină publică șablonul DPA standard. La cerere furnizăm un PDF semnabil care include datele de identificare ale Clientului și, dacă e cazul, modulul de Clauze Contractuale Standard UE corespunzător transferului.

1. Obiect și durată

Obiectul prelucrării este furnizarea serviciilor productizate de AI descrise în Contract. Durata este cea a Contractului plus orice perioadă de retenție impusă de lege.

2. Natură, scop și tipuri de date

ElementDescriere
Natura prelucrăriiGăzduire, parsare, clasificare, extragere, redactare, generare augmentată prin recuperare (RAG), jurnalizare, ștergere
ScopLivrarea Serviciilor, suport, auditabilitate
Categorii de persoane vizateAngajați ai Clientului, clienții și furnizorii Clientului, contribuabili (pentru produsele de conformitate RO), participanți la apeluri (pentru produsele vocale)
Categorii de date cu caracter personalDate de contact, identificatori de business, conținut al corespondenței, identificatori fiscali (TVA, CUI, CNP când apare în facturi B2C), înregistrări vocale (dacă Clientul activează produsul vocal), orice date personale conținute incidental în documentele încărcate
Date din categorii specialeNiciuna în mod implicit. Dacă Clientul încarcă date art. 9 (ex. date medicale în documente), se convin garanții suplimentare în scris înainte de prelucrare.

3. Obligațiile împuternicitului

Matchquote va:

  • Prelucra datele cu caracter personal doar pe baza instrucțiunilor documentate ale Operatorului, inclusiv pentru transferuri în afara SEE;
  • Se asigura că persoanele autorizate să prelucreze sunt obligate la confidențialitate;
  • Implementa măsuri tehnice și organizatorice adecvate (Anexa I de mai jos);
  • Asista Operatorul cu cererile persoanelor vizate, DPIA-uri, consultări prealabile și notificări de breach;
  • Șterge sau returna datele cu caracter personal la sfârșitul serviciilor, conform alegerii Operatorului, cu excepția situației în care legea impune retenție;
  • Pune la dispoziție informațiile necesare pentru a demonstra conformitatea și permite audituri, conform celor de mai jos.

4. Împuterniciți secundari (subprocesori)

Operatorul acordă autorizare generală pentru Matchquote de a angaja împuterniciții secundari listați mai jos. Matchquote va notifica Operatorul asupra adăugării sau înlocuirii acestora cu cel puțin 30 de zile înainte, cu posibilitatea de a se opune pe motive rezonabile de protecție a datelor.

Împuternicit secundarServiciuLocație / bază de transfer
Amazon Web Services EMEA SARLGăzduire, stocare, inferență Bedrockeu-central-1 Frankfurt · entitate UE
Anthropic PBC (via AWS Bedrock)Model de bază (Claude)Prelucrat în interiorul AWS eu-central-1 sub entitatea UE a AWS; Anthropic nu primește datele în SUA în această configurație
Vercel Inc.Găzduire statică, edge runtime pentru site-ul de marketingEdge UE preferat · SCC pentru origine SUA
Cloudflare Inc.CDN, WAF, DDoSEdge global · SCC
Google LLC (Workspace)Email de business, evidențe întâlniriUE cu SCC
Calendly LLCProgramare (doar marketing)SUA · SCC + EU-US DPF
Stripe Payments Europe Ltd.FacturareIrlanda

5. Transferuri internaționale

Datele Clientului prelucrate prin Servicii rămân în SEE (în principal AWS eu-central-1). Acolo unde un împuternicit este în afara SEE, transferurile se bazează pe Clauzele Contractuale Standard ale Comisiei UE (2021/914) și, unde este disponibil, pe EU-US Data Privacy Framework. Matchquote realizează o evaluare de impact al transferului înainte de angajarea oricărui împuternicit din afara SEE care are acces la conținutul clienților.

6. Securitate (Anexa I)

Măsurile sunt descrise în Prezentarea generală de securitate. Elemente-cheie:

  • Criptare în repaus: AES-256 (chei gestionate AWS KMS);
  • Criptare în tranzit: TLS 1.2+ pe toate endpoint-urile;
  • Control acces: IAM cu privilegiu minim, MFA, OAuth2 per-CUI pentru integrările ANAF, fără master token;
  • Separare de medii (dev, staging, producție);
  • Jurnalizare de audit pentru acțiuni privilegiate;
  • Backup + recovery point-in-time pentru stocurile durabile;
  • Revizii de securitate pentru împuterniciții secundari;
  • Ciclu de dezvoltare software sigur, cu revizuire de cod.

7. Cererile persoanelor vizate

Matchquote va notifica Operatorul fără întârzieri nejustificate asupra oricărei cereri primite direct de la o persoană vizată și va asista la răspuns prin măsuri tehnice și organizatorice adecvate.

8. Incident de securitate

Matchquote va notifica Operatorul despre orice incident confirmat de securitate care afectează Datele Clientului, fără întârziere și în orice caz în termen de 72 de ore de la luarea la cunoștință, furnizând informațiile cerute conform art. 33(3) GDPR.

9. Drepturi de audit

Operatorul poate audita conformitatea cu acest DPA o dată la 12 luni, cu notificare rezonabilă, în timpul orelor de lucru, cu condiția ca auditurile să nu compromită securitatea altor clienți. Rapoartele de asigurare ale unor terți (dacă sunt disponibile) satisfac cererile de audit, cu excepția cazului în care o autoritate de supraveghere impune un audit on-site specific.

10. Returnare sau ștergere

La încetarea serviciilor, la alegerea Operatorului, Matchquote va returna sau va șterge Datele Clientului în termen de 30 de zile, cu excepția cazului în care legea Uniunii sau a unui Stat Membru impune retenție (ex. evidențe fiscale conform legii contabilității RO).

11. Fără antrenare pe datele clienților

Matchquote nu folosește Datele Clientului pentru a antrena, ajusta sau altfel îmbunătăți modele care sunt partajate cu alți clienți. Inferența cu modele de bază se face prin AWS Bedrock, în configurații în care furnizorul de model nu reține conținutul prompt-urilor sau al output-urilor pentru antrenare.

12. Răspundere

Răspunderea fiecărei părți conform acestui DPA este supusă limitărilor convenite în Contract, cu excepția cazului în care aceste limitări sunt interzise de legea aplicabilă privind protecția datelor.

13. Prevalență

În caz de conflict între acest DPA și Contract pe subiecte de protecție a datelor, acest DPA prevalează.

14. Lege aplicabilă

Acest DPA este guvernat de legea română. Pentru transferuri în afara SEE, Clauzele Contractuale Standard UE au legea aplicabilă specificată în acele clauze.

Acest șablon DPA reflectă termenii noștri standard de împuternicire. O versiune semnabilă cu identitatea Clientului și specificul jurisdicției este furnizată la cerere înainte de onboarding. Modificări particulare pot fi negociate pentru clienții enterprise.

Întrebări? hello@matchquote.ai