Documente legale

GDPR & DPA

Pentru datele clienților tăi pe care le procesezi prin PrimKron, noi acționăm ca persoană împuternicită. Acest document descrie rolurile, responsabilitățile și măsurile tehnice — și înlocuiește un Acord de Prelucrare a Datelor (DPA) standalone.

Ultima actualizare: 1 mai 2026

1. Rolurile părților

Conform Regulamentului UE 2016/679 (GDPR):

  • Tu (clientul PrimKron) ești operator pentru datele cu caracter personal ale propriilor tăi clienți, lead-uri, angajați și parteneri introduse în Platformă.
  • PRIMKRON SRL este persoană împuternicită pentru aceste date — le procesăm strict pe baza instrucțiunilor tale documentate prin utilizarea Serviciului.
  • Pentru datele tale de cont (administrator, facturare, plată), suntem operator independent — vezi Politica de confidențialitate.

2. Obiectul prelucrării

  • Categorii de persoane vizate: clienți finali ai dealerului, lead-uri, angajați ai dealerului, contacte din rețeaua comercială.
  • Tipuri de date: nume, contact (telefon, e-mail), adresă, CNP (în măsura în care tu îl introduci pentru contracte), date despre vehicule (VIN, serie, istoric service), date despre tranzacții.
  • Operațiuni: stocare, organizare, consultare, modificare, ștergere, export, generare documente.
  • Durata: pe toată perioada contractului plus 30 de zile de grație.

3. Obligațiile noastre ca persoană împuternicită

  • procesăm datele exclusiv conform instrucțiunilor tale, materializate prin utilizarea interfeței PrimKron;
  • asigurăm confidențialitatea: personalul cu acces este obligat prin contract;
  • aplicăm măsuri tehnice și organizatorice adecvate (vezi secțiunea 6);
  • te asistăm pentru a răspunde cererilor persoanelor vizate (acces, rectificare, ștergere, portabilitate);
  • te notificăm fără întârziere despre orice breșă de securitate;
  • punem la dispoziție toate informațiile necesare pentru auditurile tale.

4. Subprocesatori autorizați

Folosim subprocesatori pentru hosting, plată și comunicare. Lista completă, locația și DPA-ul fiecăruia sunt publicate în secțiunea „Cu cine împărtășim datele” din Politica de confidențialitate.

Te notificăm prin e-mail cu cel puțin 30 de zile înainte de adăugarea sau înlocuirea unui subprocesator. În acest interval poți obiecta în scris — dacă nu găsim o soluție alternativă, ai dreptul să încetezi contractul fără penalități.

5. Transferuri internaționale

Datele sunt stocate și procesate preponderent pe servere din Uniunea Europeană (Frankfurt, Irlanda). Pentru orice transfer către un furnizor cu prezență în afara SEE folosim Clauzele Contractuale Standard (SCC) aprobate prin Decizia Comisiei Europene 2021/914, plus măsuri suplimentare după caz (criptare la repaus, pseudonimizare, controale de acces).

6. Măsuri tehnice și organizatorice

  • Criptare în tranzit: TLS 1.2+ pe toate conexiunile externe.
  • Criptare la repaus: AES-256 pentru baza de date și backup-uri.
  • Hashing parole: bcrypt cu cost factor minim 12.
  • Autentificare cu doi factori (2FA): opțional pentru utilizatorii standard, recomandat pentru administratori.
  • Backup: zilnic, retenție 30 de zile, restore testat trimestrial.
  • Acces intern: pe principiul nevoii de a cunoaște, log-uri auditate.
  • Izolare: datele fiecărui client sunt izolate logic prin Row Level Security (RLS) la nivel de bază de date.
  • Detecție: monitorizare 24/7 cu alerte automate pentru tipare anormale.

7. Notificarea breșelor de securitate

În cazul unei breșe care afectează datele tale sau ale clienților tăi, te notificăm prin e-mail în maximum 72 de ore de la momentul în care am luat cunoștință, cu următoarele informații:

  • natura breșei și categoriile de date implicate;
  • numărul aproximativ de înregistrări afectate;
  • consecințele probabile;
  • măsurile luate pentru remediere și pentru prevenirea recurenței.

8. Asistență pentru cererile persoanelor vizate

Când o persoană vizată îți solicită acces, rectificare, ștergere sau portabilitate, poți:

  • să rezolvi singur prin interfața CRM (pentru majoritatea operațiunilor);
  • să ne ceri asistență tehnică la dpo@primkron.ro — răspundem în maxim 5 zile lucrătoare;
  • să soliciți un export complet al datelor tale, în format CSV sau JSON.

9. Returnarea sau ștergerea datelor la încetarea contractului

La încetarea contractului, alegi una dintre opțiuni:

  • Export complet: îți punem la dispoziție un fișier ZIP cu toate datele în format CSV/JSON, în maximum 14 zile.
  • Ștergere imediată: confirmăm în scris ștergerea din baza de date și marcăm pentru rotație din backup-uri (rotație completă în 30 de zile).

În lipsa unei opțiuni explicite, ștergerea se face automat după 30 de zile de la încetarea contractului.

10. Audit și conformitate

Pe planul Platinum poți solicita anual un raport de conformitate (rezumat al politicilor, certificări ale subprocesatorilor, rezultate testare). Audituri on-site se pot organiza cu preaviz de 30 de zile, în condiții rezonabile, fără perturbarea Serviciului.

11. Documente complementare

Responsabil cu protecția datelor

Pentru orice cerere GDPR, breșă, audit sau întrebare: dpo@primkron.ro.

Pentru depunerea unei plângeri: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).