DECLARAȚIE DE CONFORMITATE GDPR — AASOFT.MD
Versiune: 1.0
Data: 17 aprilie 2026
Aplicabil pentru: Regulamentul UE 2016/679 (GDPR) + Legea nr.133/2011 (Moldova)
REZUMAT EXECUTIV
Platforma AASOFT.MD este integral conformă GDPR și respectă principiile:
- Liceitate, corectitudine, transparență
- Limitarea scopului
- Minimizarea datelor
- Exactitate
- Limitarea stocării
- Integritate și confidențialitate
- Răspundere
1. ROL GDPR
1.1. Operator de date
Muntean Oleg — acționează ca Operator pentru:
- Datele proprii ale AA-urilor (identificare, cont, plată)
- Datele procedurale aparținând AA-ului (dosare, creditori)
1.2. Persoană Împuternicită
Muntean Oleg acționează și ca Împuternicit atunci când procesează date ale terților furnizate de AA:
- Debitori (nume, IDNO)
- Creditori (denumire, IDNO)
- Reprezentanți
- Contact persoane juridice
Această dualitate e specifică sectorului — AA-ul este obligat legal să păstreze date despre terți.
2. TEMEIUL LEGAL AL PROCESĂRII
| Activitate | Temei art.6 GDPR |
|---|---|
| Furnizarea serviciului | (b) Executarea contractului |
| Facturare | (c) Obligație legală |
| Procesarea datelor despre debitori/creditori | (c) + (f) — interes legitim al creditorilor |
| Email marketing | (a) Consimțământ |
| Cookie-uri analitice | (a) Consimțământ |
| Audit log securitate | (f) Interes legitim |
3. EVALUARE RISCURI (DPIA)
3.1. Riscuri identificate
| Risc | Probabilitate | Impact | Măsuri |
|---|---|---|---|
| Breach de securitate | Mediu | Înalt | Encryption, RLS, audit log, backup |
| Acces neautorizat | Mic | Înalt | MFA, rate limiting, WAF |
| Scurgere prin angajați | Mic | Înalt | NDA, access control |
| Probleme AI (Anthropic) | Mic | Mediu | DPA, SCC, monitoring |
| Cerere retragere masivă | Mediu | Mic | Self-service delete, proces 30 zile |
| Conformitate evolutivă | Înalt | Mic | Review quarterly, consulting legal |
3.2. Măsuri mitigative implementate
✅ Encryption in transit (TLS 1.3)
✅ Encryption at rest (AES-256)
✅ Row-Level Security per AA
✅ Audit log complet
✅ Backup criptat zilnic
✅ Rate limiting anti-bruteforce
✅ Separate environment production/dev
✅ Sub-procesatori GDPR-certified
✅ Data Processing Agreement cu fiecare sub-procesator
✅ Proces formal de răspuns la cereri GDPR
4. DREPTURILE DATA SUBJECTS
4.1. Implementare tehnică
| Drept | Cum se execută | SLA |
|---|---|---|
| Acces | Settings → Export My Data (JSON/CSV) | Auto, instant |
| Rectificare | Settings → Profile (editare directă) | Instant |
| Ștergere | Settings → Delete Account | 30 zile |
| Restricționare | Email DPO | 72 ore |
| Portabilitate | Export JSON/CSV | Auto, instant |
| Opoziție | Email/Unsubscribe | 48 ore |
| Neexpunere AI automated decisions | N/A — Platforma nu ia decizii finale | Always |
4.2. Excepții legale
Anumite date pot fi retenționate după ștergerea contului:
- Date fiscale — 5 ani (Legea Contabilității RM)
- Audit log securitate — 1 an
- Date procedurale după închiderea dosarului — 10 ani (Legea 149/2012 obligație AA)
Utilizatorul este informat la ștergerea contului despre aceste excepții.
5. SUB-PROCESATORI ȘI DPA
5.1. Lista sub-procesatorilor cu DPA încheiat
Anthropic PBC
- Scop: AI processing (Claude Sonnet)
- Locație date: US/EU
- Certificări: SOC 2 Type II, GDPR, SCC
- DPA: https://www.anthropic.com/legal/dpa
- Retention: 30 zile (debugging), apoi șterse
Supabase Inc.
- Scop: Bază de date PostgreSQL
- Locație: EU (Frankfurt)
- Certificări: SOC 2 Type II, HIPAA, ISO 27001
- DPA: https://supabase.com/legal/dpa
- Retention: Pe durata contractului
Vercel Inc.
- Scop: Hosting, edge network
- Locație: EU (Frankfurt)
- Certificări: SOC 2 Type II
- DPA: https://vercel.com/legal/dpa
- Retention: Logs 30 zile
Google LLC (OAuth only)
- Scop: Autentificare Gmail + Calendar sync
- Locație: US/EU
- Token storage: Supabase (EU)
- DPA: Google Cloud DPA
5.2. Cum se audit-ează sub-procesatorii
- Review anual DPA și certificări
- Monitoring incidente (status pages)
- Dreptul de audit (prin request formal)
6. TRANSFERURI INTERNAȚIONALE
6.1. Bază legală
- Standard Contractual Clauses (SCC) — Anthropic, Google
- Adequacy Decision — nu aplicabil (US)
- Explicit Consent — solicitat la onboarding
6.2. Măsuri suplimentare
- Encryption end-to-end
- Pseudonymization acolo unde e posibil
- Data Minimization (se transmite doar strictul necesar)
7. PROCEDURA DE BREACH
7.1. Definiție breach
Orice incident care afectează:
- Confidențialitatea (scurgere)
- Integritatea (modificare)
- Disponibilitatea (pierdere)
7.2. Fluxul de răspuns
T+0 — Detectare
T+1 oră — Confirmare DPO
T+2 ore — Evaluare severitate și scope
T+24 ore — Documentare incident
T+48 ore — Plan remediere
T+72 ore — Notificare ANPDCP (Moldova) — dacă risc
T+72 ore — Notificare Data Subjects afectați
T+7 zile — Raport complet intern
T+30 zile — Review și lessons learned
7.3. Canale notificare
- DPO: birou.olegmuntean@gmail.com
- ANPDCP: oficiul@datepersonale.md
- Utilizatori: Email personal + banner în platformă
8. DATA PROTECTION IMPACT ASSESSMENT (DPIA)
Activitățile care au necesitat DPIA:
- ✅ Procesare AI cu Anthropic (completat)
- ✅ Integrare Gmail OAuth2 (completat)
- ⏳ Voice commands (în progres)
- ⏳ Push notifications (Q3 2026)
Rezultatul DPIA: Risc acceptabil cu măsurile implementate.
9. FORMAREA ECHIPEI
9.1. Cerințe GDPR pentru angajați
- Training obligatoriu la onboarding
- NDA semnat
- Access control minimum necessary
- Review anual
9.2. Status actual
- DPO: Muntean Oleg (acting, până la scaling)
- Echipă: N/A (platformă operată de fondator solo în această fază)
- La angajări: formare GDPR obligatorie înainte de acces
10. AUDIT ȘI REVIEW
10.1. Review periodic
- Quarterly: Review politici, proceduri, DPA-uri
- Anual: Audit complet GDPR cu consultant extern
- Ad-hoc: La orice incident sau modificare majoră
10.2. Documentație menținută
- ✅ Registrul de activități de prelucrare (Art.30 GDPR)
- ✅ DPIA pentru activități high-risk
- ✅ DPA-uri cu sub-procesatorii
- ✅ Politici de securitate
- ✅ Incident response plan
- ✅ Procedura de răspuns la cereri GDPR
11. RESURSE PUBLICE
Pentru utilizatori:
- Politica de Confidențialitate: aasoft.md/confidentialitate
- Formular cerere GDPR: aasoft.md/gdpr-request
- Cookie settings: aasoft.md/cookies
- Data export: aasoft.md/export (în cont)
Autorități competente:
-
Moldova: Autoritatea Națională pentru Protecția Datelor cu Caracter Personal
- Website: datepersonale.md
- Email: oficiul@datepersonale.md
- Telefon: 022 820 801
-
EU: European Data Protection Board (EDPB)
- Website: edpb.europa.eu
12. CONTACT DPO
Data Protection Officer:
Muntean Oleg (acting DPO)
📧 birou.olegmuntean@gmail.com (Subject: "GDPR")
📱 069 072 200
📍 str. N. Ruso 2, ap.24, mun. Chișinău, MD-2068
⏰ L-V 09:00-18:00
Răspuns garantat: max 48 ore (lucrătoare)
13. DECLARAȚIE FINALĂ
Muntean Oleg, în calitate de Operator al platformei AASOFT.MD, declar pe proprie răspundere că:
- Procesarea datelor cu caracter personal respectă integral prevederile GDPR și Legii nr.133/2011
- Au fost implementate măsuri tehnice și organizatorice adecvate
- Data Subjects pot exercita toate drepturile prevăzute de regulament
- Această declarație este actualizată periodic
Semnat:
Muntean Oleg, AA nr.30
Data: 17 aprilie 2026
Chișinău, Republica Moldova
© 2026 AASOFT.MD · Conformitate GDPR certificată