Legal
Prelucrarea datelor (DPA)
Ultima actualizare: 2 iulie 2026
1. Rolurile părților
Pentru conținutul pe care organizația ta îl încarcă în Platformă — evaluări, fișiere-dovadă, incidente, date despre furnizori, documente — organizația ta este operator de date, iar Normward acționează ca persoană împuternicită (art. 28 GDPR): prelucrăm aceste date exclusiv la instrucțiunile tale, pentru a furniza serviciul.
Pentru datele contului tău de utilizator, Normward este operator — vezi Politica de confidențialitate.
2. Detaliile prelucrării (art. 28 alin. 3 GDPR)
Obiectul și natura prelucrării: stocarea, organizarea, afișarea și — la cererea explicită a utilizatorului — prelucrarea cu AI a datelor de conformitate ale organizației, în cadrul platformei.
Scopul: furnizarea serviciului de management al conformității (evaluare, lacune, remediere, dovezi, incidente, furnizori, documente).
Durata: pe durata contului organizației; la încetare, datele se șterg sau se returnează conform secțiunii 3.
Tipuri de date: date de identificare și contact ale membrilor echipei (nume, email, rol), conținutul operațional încărcat de organizație (evaluări, fișiere-dovadă, incidente, date despre furnizori, documente) — care poate include date personale în măsura în care organizația le include.
Categorii de persoane vizate: angajații și colaboratorii organizației-client; persoanele menționate în conținutul încărcat (de ex. persoane de contact ale furnizorilor).
3. Angajamentele noastre ca împuternicit
- prelucrăm datele doar pe baza instrucțiunilor documentate ale organizației tale (inclusiv în privința transferurilor), adică doar pentru furnizarea serviciului;
- persoanele autorizate să prelucreze datele sunt supuse unei obligații de confidențialitate;
- asigurăm măsuri tehnice și organizatorice adecvate (art. 32 GDPR): izolare per organizație (Row Level Security) la nivelul bazei de date și al stocării de fișiere, criptare în tranzit și în repaus, acces pe bază de sesiune autentificată;
- te asistăm, în limite rezonabile, la cererile persoanelor vizate, la obligațiile tale de securitate, la notificarea încălcărilor și la evaluările de impact (DPIA), dacă sunt necesare;
- la încetarea serviciului, la alegerea ta, ștergem datele organizației sau ți le returnăm (export), după care le ștergem din sistemele active conform politicii de retenție;
- te notificăm fără întârzieri nejustificate despre încălcări ale securității care afectează datele tale;
- îți punem la dispoziție informațiile necesare pentru a demonstra respectarea acestor obligații și permitem audituri sau verificări, în condiții rezonabile convenite în prealabil.
4. Sub-împuterniciți autorizați
Lista curentă de sub-împuterniciți:
- Supabase (bază de date, autentificare, stocare) — UE, AWS eu-west-3 (Paris);
- Vercel (găzduirea aplicației);
- Anthropic (generarea documentelor cu AI, doar la cererea explicită a utilizatorului; transfer protejat prin SCC; datele nu sunt folosite pentru antrenarea modelelor).
Vom actualiza lista înainte de a adăuga sub-împuterniciți noi (de ex. Stripe, la activarea facturării).
5. DPA-ul semnabil
Această pagină rezumă angajamentele noastre. Documentul complet, semnabil (inclusiv anexele cu categoriile de date și măsurile tehnice și organizatorice), va fi disponibil la lansarea comercială și se va semna la contractare. Dacă ai nevoie de el mai devreme — de exemplu pentru evaluarea internă a furnizorilor — scrie-ne la pascalmihail@gmail.com.