Loading... Please wait, this may take a few moments...

Acord de prelucrare a datelor

Acord de prelucrare a datelor (DPA) – Verdictor

Ultima actualizare: 15 decembrie 2025

Versiune document: v1.0

1. Părțile

Acest Acord de Prelucrare a Datelor („Acordul” sau „DPA”) se încheie între:

  • SC Verdictor SRL, cu sediul în Cluj Napoca, înregistrată sub CUI 51304241, în calitate de Operator;
  • Utilizatorul platformei Verdictor, în calitate de Persoană Vizată / Client.

Acest DPA face parte integrantă din Termenii și Condițiile Verdictor, iar acceptarea Termenilor și Condițiilor implică și acceptarea prezentului Acord.

2. Definiții

Termenii utilizați în acest Acord au sensul atribuit de GDPR (Regulamentul (UE) 2016/679). Se aplică, în special, noțiunile de Operator, Persoană vizată, Date cu caracter personal, Prelucrare, Împuternicit și Breșă de securitate a datelor.

În plus, în contextul Verdictor, următorii termeni au sensul de mai jos:

  • „Împuterniciți” – furnizorii tehnici ai Operatorului (de exemplu: Google Cloud, AWS, OpenAI, Heroku, Netopia) care prelucrează date în numele Operatorului, în baza unor contracte conforme cu art. 28 GDPR.
  • „DLP” – sistem dedicat protecției, tokenizării și gestionării securizate a datelor sensibile.
  • „Cheie personală de criptare” – cheia AES256 generată unic pentru fiecare utilizator, utilizată pentru criptarea și decriptarea datelor asociate contului său.

3. Obiectul și scopul prelucrării

Acest DPA reglementează prelucrarea datelor cu caracter personal de către Operator în scopul furnizării serviciilor Verdictor către Utilizator.

Prelucrarea datelor include, în principal:

  • analiză și asistență juridică asistată de AI;
  • procesare și transformare de documente;
  • gestionarea dosarelor de caz;
  • generare de documente, rezumate și rapoarte;
  • căutare semantică în documente, legislație și jurisprudență;
  • asigurarea securității contului și a infrastructurii Verdictor;
  • îndeplinirea obligațiilor legale ale Operatorului.

Operatorul prelucrează datele exclusiv în limitele și temeiurile prevăzute de GDPR și de Politica de Confidențialitate.

4. Durata Acordului

Acest DPA este valabil pe întreaga durată a utilizării Verdictor de către Utilizator și încetează automat:

  • la ștergerea contului Utilizatorului; sau
  • la încetarea contractului dintre Utilizator și Operator.

5. Tipuri de date și categorii de persoane vizate

Operatorul poate prelucra următoarele categorii de date cu caracter personal:

  • Date furnizate direct: nume, adresă de e‑mail, date profesionale, documente încărcate, conținutul discuțiilor cu asistenții AI, informații referitoare la dosare.
  • Date colectate automat: adresă IP, tip dispozitiv, sistem de operare, loguri tehnice necesare funcționării și securității.
  • Date sensibile (dacă sunt introduse de Utilizator în documente sau solicitări), tratate prin criptare, tokenizare și pseudonimizare.

Persoanele vizate pot include Utilizatorul și terți menționați în documentele încărcate (clienți, părți în dosare, alte persoane).

6. Obligațiile Operatorului

Operatorul se angajează:

  • să prelucreze datele doar în scopurile prevăzute la secțiunea 3 (Obiectul și scopul prelucrării);
  • să implementeze măsuri tehnice și organizatorice adecvate, inclusiv:
    • tokenizare automată a datelor sensibile înainte de procesarea AI;
    • criptare AES256 a datelor în repaus și TLS/SSL în tranzit;
    • utilizarea unei chei individuale de criptare per utilizator, stocată separat prin DLP;
    • restricționarea și jurnalizarea accesului tehnic, în limita strictului necesar.
  • să limiteze la maximum accesul intern la datele personale;
  • să se asigure că orice persoană care acționează sub autoritatea sa și are acces la date este obligată la confidențialitate;
  • să utilizeze exclusiv furnizori care oferă garanții suficiente privind respectarea GDPR.

7. Cheia personală de criptare și arhitectura „zero‑knowledge”

Pentru fiecare Utilizator se generează o cheie personală de criptare AES256, care este utilizată pentru protejarea datelor asociate contului său în cadrul arhitecturii de tip „zero‑knowledge” implementate de Verdictor.

Cheia personală de criptare:

  • este stocată într-un sistem DLP separat;
  • este criptată suplimentar cu o cheie de sistem;
  • nu este accesibilă Operatorului, echipei Verdictor sau împuterniciților;
  • este necesară pentru decriptarea datelor Utilizatorului.

În cazul pierderii sau compromiterii cheii personale, datele asociate devin ireversibil inaccesibile. Utilizatorul este responsabil pentru păstrarea în siguranță a acestei chei, în măsura în care îi este pusă la dispoziție.

8. Împuterniciți (subprocesatori)

Operatorul poate utiliza împuterniciți (subprocesatori) pentru furnizarea serviciilor Verdictor, inclusiv, dar fără a se limita la:

  • Google Cloud Platform;
  • Amazon Web Services (AWS);
  • Heroku;
  • OpenAI;
  • Netopia (procesator de plăți);
  • alți furnizori tehnici menționați în documentația oficială Verdictor.

Împuterniciții:

  • acționează numai pe baza instrucțiunilor Operatorului;
  • sunt selectați astfel încât să ofere garanții suficiente privind implementarea de măsuri tehnice și organizatorice adecvate;
  • nu au dreptul să utilizeze datele în scopuri proprii;
  • nu primesc date în formă necriptată sau direct identificabilă, potrivit arhitecturii tehnice a Verdictor.

9. Transferuri internaționale de date

Orice transfer de date către state din afara Spațiului Economic European (SEE) se realizează doar în condițiile prevăzute de GDPR, prin:

  • Clauze Contractuale Standard (SCC) aprobate de Comisia Europeană; și/sau
  • alte mecanisme legale aplicabile, conforme cu legislația europeană în vigoare.

În arhitectura Verdictor, datele transmise împuterniciților sunt, în măsura posibilului tehnic, tokenizate și/sau criptate, astfel încât să nu permită identificarea directă a persoanei vizate.

10. Drepturile persoanelor vizate

Utilizatorul, în calitate de persoană vizată, are următoarele drepturi cu privire la datele sale cu caracter personal:

  • dreptul de acces la date;
  • dreptul la rectificarea datelor inexacte;
  • dreptul la ștergerea datelor („dreptul de a fi uitat”);
  • dreptul la restricționarea prelucrării;
  • dreptul la portabilitatea datelor;
  • dreptul la opoziție față de anumite prelucrări;
  • dreptul de a retrage consimțământul, acolo unde temeiul este consimțământul.

Exercitarea drepturilor se face prin contactarea Operatorului la adresa EMAIL DEDICAT GDPR. Ștergerea contului determină distrugerea cheii de criptare și imposibilitatea ulterioară de a mai accesa datele.

11. Breșe de securitate

În cazul unei încălcări a securității datelor cu caracter personal susceptibile să genereze un risc pentru drepturile și libertățile persoanelor vizate, Operatorul:

  • va notifica autoritatea de supraveghere competentă fără întârzieri nejustificate și, dacă este posibil, în termen de 72 de ore de la momentul la care a luat cunoștință de incident;
  • va informa persoanele vizate afectate atunci când incidentul poate genera un risc ridicat pentru drepturile și libertățile lor;
  • va lua măsurile rezonabile pentru limitarea și remedierea efectelor.

12. Ștergerea și/sau returnarea datelor

La încetarea contractului sau la cererea expresă a Utilizatorului:

  • Operatorul va distruge cheia de criptare asociată, ceea ce face datele ireversibil inaccesibile;
  • backup-urile existente vor rămâne criptate și inaccesibile fără această cheie;
  • nu se vor păstra copii ale datelor în format decriptabil.

13. Audit și dovezi de conformitate

La cererea rezonabilă a Utilizatorului, Operatorul poate pune la dispoziție informații generale despre măsurile de securitate și conformitatea cu GDPR (de exemplu: politici interne, descrieri de arhitectură, certificări ale furnizorilor tehnici), cu respectarea secretului comercial și a securității infrastructurii.

14. Modificarea Acordului

Operatorul poate actualiza prezentul DPA pentru a reflecta:

  • schimbări legislative;
  • modificări ale infrastructurii sau ale furnizorilor tehnici;
  • introducerea unor noi funcționalități sau servicii.

Utilizatorii vor fi informați în prealabil prin email sau notificare în aplicație, iar continuarea utilizării serviciului după data intrării în vigoare a modificărilor echivalează cu acceptarea acestora.

15. Contact

Pentru orice întrebare sau solicitare privind acest DPA sau prelucrarea datelor cu caracter personal, Utilizatorul se poate adresa Operatorului la:

📧 admin@verdictor.ro
📍 Cluj Napoca, Cal. Turzii 164A