Ultima actualizare: 18 aprilie 2026

ACORD DE PROCESARE A DATELOR (DPA)

Data Processing Agreement conform Regulamentului UE 2016/679 (GDPR) art.28

Versiune: 1.0
Data intrării în vigoare: 18 aprilie 2026

PĂRȚILE

Operatorul de date ("Client" / "Administrator autorizat")

Administrator autorizat care utilizează platforma AASOFT.MD pentru gestiunea procedurilor de insolvabilitate, identificat prin contul creat pe platformă.

Persoana împuternicită ("Sub-procesor" / "AASOFT")

Muntean Oleg — Administrator autorizat (nr. 30 din 14.01.2015)
IDNP: 2001047008550
Sediu: mun. Chișinău, str. N. Ruso 2, ap. 24, MD-2068
Email DPO: birou.olegmuntean@gmail.com
Telefon: +373 69 072 200

Prin acceptarea Termenilor și Condițiilor platformei AASOFT.MD, părțile încheie prezentul Acord de Procesare a Datelor.

1. SCOP ȘI DOMENIU DE APLICARE

1.1. Context juridic

În cadrul procedurilor de insolvabilitate conform Legii nr. 149/2012 a Republicii Moldova, administratorul autorizat (AA) procesează date cu caracter personal despre:

  • Debitori (persoane fizice sau juridice insolvabile)
  • Creditori și reprezentanți
  • Membri ai organelor de conducere ale debitorului
  • Contraparte în litigii subsidiare

AA, în calitate de Operator de date conform GDPR și Legii nr. 133/2011 RM, încredințează AASOFT procesarea acestor date pentru funcționarea platformei ERP specializate.

1.2. Natura procesării

AASOFT procesează datele exclusiv pentru:

  • Stocarea dosarelor de insolvabilitate
  • Automatizarea notificărilor și documentelor
  • Clasificarea AI a corespondenței electronice
  • Integrări cu sisteme terțe autorizate (Gmail, Calendar, reginsolv.md)
  • Generarea rapoartelor statistice și bilanțurilor

1.3. Durata

Prezentul Acord este valabil pe toată durata abonamentului Client la platformă + 30 de zile pentru procesul de ștergere a datelor, cu excepția datelor retenționate obligatoriu prin lege (10 ani conform art.82 LI — arhivare profesională AA).

2. CATEGORII DE DATE ȘI PERSOANE VIZATE

2.1. Categorii de date procesate

Date de identificare:

  • Nume, prenume, denumire juridică
  • IDNO / IDNP (cod fiscal)
  • Adresă sediu / domiciliu

Date de contact:

  • Email, telefon
  • Adresă corespondență

Date financiare:

  • Sume creanțe declarate și validate
  • IBAN-uri și solduri bancare
  • Operațiuni ale masei debitoare
  • Distribuții efectuate

Date procedurale:

  • Număr dosar, instanță, judecător
  • Data intentării, etape procedurii
  • Corespondență email legată de procedură
  • Documente scanate (PDF, DOCX)

Date despre imobile / mobile:

  • Numere cadastrale
  • VIN vehicule
  • Evaluări și valorizări

2.2. Persoane vizate

  • Debitorii (persoane fizice sau juridice)
  • Creditorii (SFS, CNAS, CNAM, bănci, furnizori, persoane fizice)
  • Reprezentanții legali și convenționali
  • Judecători și personal de instanță (nume, contact)
  • Administrator-i debitorului și organe de conducere

2.3. Date speciale

În mod excepțional, dacă în corespondența procedurală apar date privind sănătatea (ex: documente medicale ale debitorului-persoană fizică pentru calculul capacității), acestea sunt protejate prin măsuri suplimentare:

  • Criptare suplimentară
  • Acces restricționat doar pentru AA-ul care gestionează dosarul
  • Log de audit pentru fiecare accesare

3. OBLIGAȚIILE AASOFT (SUB-PROCESOR)

3.1. Procesarea în baza instrucțiunilor Clientului

AASOFT procesează datele exclusiv conform instrucțiunilor Clientului, formalizate prin:

  • Termenii și Condițiile platformei
  • Acest DPA
  • Instrucțiuni exprese ale Clientului prin email oficial

Orice procesare dincolo de aceste limite se face doar cu acordul scris al Clientului.

3.2. Confidențialitate

AASOFT garantează că toate persoanele autorizate să proceseze date sunt obligate la confidențialitate prin:

  • Contracte de muncă sau servicii cu clauze de confidențialitate
  • NDA-uri separate pentru contractori externi
  • Training GDPR obligatoriu

3.3. Măsuri tehnice și organizatorice

AASOFT implementează următoarele măsuri de securitate:

Tehnice:

  • Criptare în tranzit (TLS 1.3)
  • Criptare la repaus (AES-256 pentru Supabase)
  • Row-Level Security (RLS) pentru izolare per-AA
  • Two-Factor Authentication disponibil
  • Firewall și DDoS protection (Vercel Edge)
  • Backup zilnic criptat cu retention 30 zile
  • Monitoring continuu (Vercel Analytics, Supabase Logs)

Organizaționale:

  • Principiul minimum privilege pentru accesul intern
  • Log de audit pentru toate operațiunile
  • Incident response plan cu notificare în 24h
  • Review anual al măsurilor de securitate
  • Training angajați și contractori

3.4. Asistență către Client

AASOFT asistă Clientul în:

  • Răspunsul la cererile persoanelor vizate (acces, rectificare, ștergere, portabilitate)
  • Evaluările de impact asupra protecției datelor (DPIA)
  • Notificarea încălcărilor de securitate
  • Colaborarea cu autoritățile de supraveghere

3.5. Breach notification

În caz de încălcare a securității datelor, AASOFT notifică Clientul în cel mult 24 ore de la descoperire, indicând:

  • Natura încălcării
  • Categoriile și numărul aproximativ de persoane afectate
  • Datele afectate
  • Consecințele probabile
  • Măsurile luate sau propuse

4. SUB-PROCESORI AUTORIZAȚI

4.1. Lista sub-procesorilor curenți

Clientul autorizează expres următorii sub-procesori:

Sub-procesorRolLocație dateCertificări
Supabase Inc.Bază de date PostgreSQLUE (Frankfurt)SOC 2 Type II, ISO 27001, HIPAA
Vercel Inc.Hosting + Edge CDNUE (Frankfurt)SOC 2 Type II
Anthropic PBCProcesare AI (Claude)US/UESOC 2 Type II, SCC
Google LLCOAuth Gmail + CalendarUS/UEISO 27001, SOC 2

4.2. DPA-uri cu sub-procesori

AASOFT are acorduri DPA active cu fiecare sub-procesor, disponibile la cerere:

4.3. Schimbarea sub-procesorilor

AASOFT notifică Clientul cu minim 30 zile înainte de adăugarea sau schimbarea unui sub-procesor. Clientul are dreptul de a obiecta motivat. În caz de obiecție nerezolvată, Clientul poate rezilia Acordul fără penalități.

4.4. Transferuri internaționale

Transferurile de date în afara UE (către Anthropic, Google) sunt acoperite prin:

  • Standard Contractual Clauses (SCC) aprobate de Comisia Europeană
  • Măsuri suplimentare: pseudonimizare unde e posibil, minimizare date
  • Auditare anuală a practicilor sub-procesorilor

5. DREPTURILE PERSOANELOR VIZATE

5.1. Facilitarea exercitării drepturilor

AASOFT furnizează Clientului instrumente și proceduri pentru:

Dreptul de acces:

  • Export complet date JSON/CSV prin panel client
  • Răspuns automat în 48 ore

Dreptul la rectificare:

  • Editare directă din interfața platformei
  • Istoric modificări pentru audit

Dreptul la ștergere ("right to be forgotten"):

  • Self-service ștergere cont
  • Cascadă de ștergere prin RLS
  • Confirmare în 30 zile
  • Excepție: Date retenționate obligatoriu prin art.82 LI (10 ani)

Dreptul la portabilitate:

  • Export machine-readable în format JSON structurat
  • Include toate dosarele, creditori, termene, corespondență

Dreptul de restricționare:

  • Marcare date ca "restricționate" — nu se procesează activ
  • Rămân accesibile doar pentru compliance

Dreptul la opoziție:

  • Acceptat și procesat în 48 ore
  • Excepții legale documentate

5.2. Răspuns la cereri

Când un persoan vizat se adresează direct AASOFT, Sub-procesorul:

  1. Notifică Clientul în 24 ore
  2. Redirectează persoana către Client (care este Operatorul de date)
  3. Asistă Clientul cu datele tehnice necesare

6. AUDIT ȘI CONTROL

6.1. Drept de audit al Clientului

Clientul poate audita conformitatea AASOFT prin:

Audit documentar:

  • Copii DPA cu sub-procesorii
  • Politici de securitate
  • Log-uri de audit relevante pentru datele sale

Audit tehnic (on-site sau remote):

  • Max 1 dată pe an (cu excepția incidentelor)
  • Preaviz minim 30 zile
  • Cost suportat de Client (cu excepția cazurilor de încălcare)

6.2. Certificări terțe

AASOFT se bazează pe certificările sub-procesorilor (SOC 2, ISO 27001) care pot fi invocate ca echivalent al auditului direct.

6.3. Rapoarte

La cerere, AASOFT furnizează rapoarte privind:

  • Implementarea măsurilor de securitate
  • Incidente de securitate (anonymized dacă afectează alți clienți)
  • Solicitări de date de la autorități

7. DURATA ȘI ÎNCETAREA

7.1. Intrarea în vigoare

Prezentul Acord intră în vigoare la acceptarea Termenilor de utilizare ai platformei AASOFT.MD și rămâne valabil pe toată durata utilizării serviciului.

7.2. Încetare

Acordul încetează automat la:

  • Anularea abonamentului Clientului
  • Rezilierea prin acord scris al părților
  • Încetarea activității AASOFT (cu preaviz 90 zile)

7.3. Ce se întâmplă cu datele la încetare

La încetarea Acordului, AASOFT:

În termen de 30 zile:

  • Furnizează Clientului export complet al tuturor datelor
  • Șterge datele din toate sistemele active
  • Invalidează accesul tuturor sub-procesorilor

Excepții de la ștergere:

  • Date retenționate prin lege (art.82 LI — 10 ani pentru arhivare procedurală): rămân arhivate cu acces restricționat
  • Backup-uri istorice (30 zile după ștergerea principală)
  • Log-uri de audit (1 an pentru securitate)

7.4. Confirmare ștergere

AASOFT furnizează Clientului certificat scris confirmând:

  • Data ștergerii
  • Categoriile de date șterse
  • Datele retenționate obligatoriu și temeiul legal

8. RĂSPUNDERE

8.1. Răspunderea AASOFT

AASOFT răspunde pentru daunele cauzate direct de neîndeplinirea obligațiilor din prezentul Acord, limitat la:

  • Prejudiciul direct dovedit
  • Maxim 12 luni de abonament plătit de Clientul afectat

Excepții (răspundere nelimitată):

  • Culpă gravă sau dol
  • Încălcări ale drepturilor fundamentale persoanelor vizate

8.2. Exonerare

AASOFT nu răspunde pentru:

  • Instrucțiuni nelegale ale Clientului care au cauzat prejudicii
  • Întârzieri cauzate de sub-procesori sau terți
  • Fenomene de forță majoră (cyberattack sponsored de stat, cutremur, război)

8.3. Indemnizare reciprocă

Fiecare parte indemnizează cealaltă parte pentru pretențiile terților cauzate exclusiv de încălcările proprii.

9. CONFLICTE CU ALTE ACORDURI

În caz de conflict între prezentul DPA și alte acorduri dintre părți (Termeni, Condiții), prezentul DPA prevalează exclusiv în materia protecției datelor.

10. MODIFICĂRI

10.1. Modificări unilaterale

AASOFT poate modifica prezentul DPA pentru:

  • Adaptare la schimbări legislative (GDPR, Legea 133/2011)
  • Îmbunătățiri tehnice ale măsurilor de securitate
  • Adăugare / schimbare sub-procesori (cu notificare 30 zile)

10.2. Modificări negociate

Orice modificare ce afectează esența drepturilor Clientului necesită acord scris bilateral.

11. LEGEA APLICABILĂ ȘI LITIGII

11.1. Legea aplicabilă

  • Primară: Regulamentul UE 2016/679 (GDPR)
  • Secundară: Legea nr. 133/2011 RM privind protecția datelor cu caracter personal
  • Subsidiar: Legea aplicabilă contractului principal (Legislația RM)

11.2. Soluționarea litigiilor

  1. Mediere amiabilă (30 zile) — email birou.olegmuntean@gmail.com
  2. Autoritatea Națională pentru Protecția Datelor (ANPDCP Moldova) — pentru plângeri specifice
  3. Instanțele competente din mun. Chișinău — pentru litigii contractuale

11.3. Autorități competente

Autoritatea Națională pentru Protecția Datelor cu Caracter Personal (Moldova)
Adresă: mun. Chișinău, str. Serghei Lazo 48
Website: https://datepersonale.md
Email: oficiul@datepersonale.md
Telefon: +373 22 820 801

12. CONTACT DPO

Data Protection Officer:

Muntean Oleg
Email: birou.olegmuntean@gmail.com
Telefon: +373 69 072 200
Adresă: str. N. Ruso 2, ap. 24, mun. Chișinău, MD-2068
Program: L–V, 09:00–18:00

Răspuns garantat: maximum 48 ore lucrătoare.

13. ACCEPTARE

Prin acceptarea Termenilor și Condițiilor platformei AASOFT.MD, Clientul confirmă:

  1. A citit integral prezentul DPA
  2. A înțeles rolurile (Operator vs Sub-procesor)
  3. Acceptă lista sub-procesorilor curenți și mecanismul de notificare
  4. Recunoaște obligațiile proprii ca Operator de date
  5. Semnează electronic prin acceptarea contului

Data acceptării: marcată electronic la crearea contului platformei.

ANEXA 1 — Lista sub-procesorilor (actualizată dinamic)

Disponibilă permanent la: https://aasoft.md/dpa#sub-procesori

Ultima actualizare: 18 aprilie 2026

ANEXA 2 — Măsuri tehnice și organizatorice detaliate

Măsuri tehnice

Pseudonimizare și criptare:

  • TLS 1.3 în tranzit, AES-256 la repaus
  • Chei gestionate prin Supabase KMS și Vercel

Confidențialitate, integritate, disponibilitate:

  • RLS per AA — izolare garantată
  • Audit log imutabil (append-only)
  • Backup cross-region (Frankfurt + Dublin)

Rezistență la incidente:

  • Incident response plan (max 24h detection, 48h notification)
  • Disaster recovery (RTO 4h, RPO 24h)
  • Penetration testing anual

Testare periodică:

  • Automated security scans
  • Dependency updates (Dependabot)
  • Annual external security review

Măsuri organizaționale

Management acces:

  • Principiul minimum privilege
  • Review trimestrial permisiuni
  • Offboarding proceduri documentate

Training:

  • GDPR training onboarding
  • Annual refresh training
  • Awareness campaigns pentru phishing, social engineering

Managment incidente:

  • 24/7 on-call pentru incidente critice
  • Post-mortem pentru fiecare incident
  • Lessons learned publicate intern

© 2026 AASOFT.MD · Acest document este emis conform obligațiilor GDPR art.28 și revizuit anual sau la schimbări legislative majore.

© 2026 AASOFT.MD — DPA (Data Processing Agreement)← Înapoi la AASOFT