Addendum privind Prelucrarea Datelor

Ultima actualizare: 15 mai 2026

Prezentul DPA este incorporat prin trimitere în Termenii și Condițiile de Utilizare pentru Afaceri și intră în vigoare la data la care Clientul acceptă Termenii și Condițiile de Utilizare pentru Afaceri sau la data la care utilizează pentru prima dată Serviciul după data menționată mai sus, oricare dintre acestea survine mai devreme. Clientul care solicită un exemplar contrasemnat al prezentului DPA pe antet oficial de companie poate solicita acest lucru scriind la [email protected]. EasyWeek va contrasemna fără modificări ale conținutului acestui model.

1. Definiții

Termenii scrișiți cu majusculă, dar care nu sunt definiți în prezentul APD, au înțelesul conferit de Termenii și Condițiile de Utilizare pentru Companii sau de GDPR. În special:

• "GDPR" — Regulamentul (UE) 2016/679, astfel cum a fost transpus în dreptul intern prin Legea nr. 190/2018 privind măsuri de implementare a Regulamentului (UE) 2016/679, și, după caz, GDPR-ul Regatului Unit și Legea elvețiană privind protecția datelor (FADP), citite cu înlocuirile necesare.
• "Operator", "Persoană împuternicită de operator", "Persoană vizată", "Date cu caracter personal", "Încălcare a securității datelor cu caracter personal", "Prelucrare", "Subpersoană împuternicită de operator", "Autoritate de supraveghere" — astfel cum sunt definite la art. 4 din GDPR.
• "Date cu caracter personal ale Clientului" — Datele cu caracter personal pe care Clientul sau utilizatorii autorizați ai acestuia le transmit sau le generează prin intermediul Serviciului și care sunt prelucrate de EasyWeek în numele Clientului.
• "Clauze contractuale standard" — Clauzele contractuale standard pentru transferul datelor cu caracter personal către țări terțe în temeiul GDPR, adoptate prin Decizia de punere în aplicare a Comisiei (UE) 2021/914 din 4 iunie 2021.

2. Roluri

Clientul este Operatorul Datelor cu Caracter Personal ale Clientului. EasyWeek este Persoana Împuternicită de Operator și prelucrează Datele cu Caracter Personal ale Clientului numai pe baza instrucțiunilor documentate din partea Clientului și în conformitate cu prezentul DPA, Termenii și Condițiile de Utilizare pentru Companii și legislația aplicabilă, inclusiv GDPR și Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679.

Părțile recunosc că EasyWeek este Operator pentru categorii limitate de date cu caracter personal pe care EasyWeek le prelucrează în scopuri proprii — de exemplu, datele de autentificare ale utilizatorilor autorizați, datele de facturare și datele de telemetrie privind utilizarea Serviciului. Această prelucrare este reglementată de Politica de Confidențialitate pentru Companii, nu de prezentul DPA.

3. Obiectul, durata, scopul

Obiectul, natura, scopul, durata, categoriile de Date cu Caracter Personal și categoriile de Persoane Vizate sunt descrise în Anexa I.

DPA este în vigoare atât timp cât EasyWeek prelucrează Date cu Caracter Personal ale Clientului în numele Clientului și supraviețuiește încetării Termenilor și Condițiilor de Afaceri atât timp cât este necesar pentru a respecta Secțiunea 13.

4. Instrucțiunile Clientului

Serviciul în sine, configurația aplicată de Client prin interfața utilizatorului și API-ul Serviciului, Termenii de Afaceri ai Serviciului și prezentul APD constituie instrucțiunile complete și finale documentate ale Clientului către EasyWeek cu privire la prelucrarea Datelor cu Caracter Personal ale Clientului. Orice instrucțiuni suplimentare sau diferite necesită un acord scris și pot implica costuri suplimentare.

EasyWeek va informa Clientul fără întârziere nejustificată dacă, în opinia sa, o instrucțiune încalcă GDPR-ul, Legea nr. 190/2018 sau o altă dispoziție a dreptului Uniunii Europene sau a unui stat membru privind protecția datelor, și poate suspenda instrucțiunea contestată până la confirmarea scrisă a Clientului.

5. Confidențialitate

EasyWeek se asigură că personalul autorizat să prelucreze Datele cu Caracter Personal ale Clientului s-a angajat să respecte confidențialitatea (sau este supus unei obligații legale corespunzătoare de confidențialitate) și este supus controalelor de acces și principiilor accesului minim necesar. Accesul la Datele cu Caracter Personal ale Clientului este limitat la personalul care are nevoie de acesta pentru a opera sau a îmbunătăți Serviciul.

6. Securitate (MOT)

EasyWeek implementează măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului, astfel cum se precizează în Anexa II. EasyWeek poate actualiza periodic măsurile sale tehnice și organizatorice (MOT), cu condiția ca nivelul de protecție să nu fie redus.

7. Sub-procesatori

Clientul acordă prin prezenta EasyWeek o autorizație generală scrisă pentru a angaja Sub-procesatori. Lista Sub-procesatorilor aprobați la data prezentului DPA este prevăzută în Anexa III și este menținută la /business/subprocessors.

EasyWeek va notifica Clientul cu cel puțin treizeci (30) de zile înainte de orice adăugare sau înlocuire intenționată a Sub-procesatorilor, prin centrul de notificări din aplicație și, acolo unde Clientul s-a abonat, prin e-mail. Clientul poate formula obiecții pe motive documentate și rezonabile legate de protecția datelor în termen de treizeci (30) de zile de la notificare. În cazul în care părțile nu pot conveni asupra unei soluții, Clientul poate rezilia Termenii și Condițiile de Utilizare pentru Companii cu privire la partea din Serviciu care necesită Sub-procesatorul disputat, cu o rambursare pro-rata a tarifelor plătite în avans pentru perioada rămasă.

EasyWeek impune obligații privind protecția datelor fiecărui Sub-procesator printr-un contract scris care nu sunt mai puțin protective decât cele prevăzute în prezentul DPA. EasyWeek rămâne pe deplin răspunzătoare față de Client pentru îndeplinirea obligațiilor Sub-procesatorilor săi.

8. Transferuri internaționale

Datele cu Caracter Personal ale Clientului sunt prelucrate în principal în Spațiul Economic European. Atunci când Datele cu Caracter Personal ale Clientului sunt transferate într-o țară din afara SEE care nu beneficiază de o decizie de adecvare a Comisiei Europene, se aplică Clauzele Contractuale Standard (CCS) cu următoarele opțiuni selectate:

• Modulul Doi (de la Operator la Persoana Împuternicită) este încorporat prin trimitere pentru transferurile de la Client (sau de la operatorul său din SEE) către EasyWeek, în cazul în care EasyWeek prelucrează Datele cu Caracter Personal ale Clientului într-o țară terță.
• Modulul Trei (de la Persoana Împuternicită la Persoana Împuternicită) este încorporat prin trimitere pentru transferurile ulterioare de la EasyWeek către Subpersoanele Împuternicite dintr-o țară terță.
• Clauza 7 (clauza de aderare) este inclusă.
• Clauza 9(a) — Opțiunea 2 (autorizare generală scrisă, notificare cu 30 de zile) se aplică.
• Clauza 11(a) — organismul independent de soluționare a litigiilor nu este selectat.
• Clauza 17 — legea aplicabilă este legea Germaniei.
• Clauza 18 — instanțele competente sunt cele din Düsseldorf, Germania.
• Anexa I a CCS este completată prin trimitere la Anexa I a prezentului APD.
• Anexa II a CCS este completată prin trimitere la Anexa II a prezentului APD.
• Anexa III a CCS este completată prin trimitere la Anexa III a prezentului APD.

O Evaluare a Impactului Transferului, care rezumă evaluarea realizată de EasyWeek cu privire la legislația țării de destinație și la orice măsuri tehnice, contractuale sau organizatorice suplimentare, este disponibilă la cerere la adresa [email protected].

Pentru transferurile către Regatul Unit, se aplică Addendumul UK pentru Transferul Internațional de Date la CCS (emis de ICO și în vigoare de la 21 martie 2022). Pentru transferurile către Elveția, CCS se interpretează cu substituțiile impuse de PFPDT.

9. Cererile persoanelor vizate

Serviciul oferă funcționalități de autoservire care permit Clientului să îndeplinească Cererile persoanelor vizate privind accesul, rectificarea, ștergerea, restricționarea, portabilitatea și opoziția. În cazul în care o persoană vizată contactează direct EasyWeek, EasyWeek va transmite cererea Clientului fără întârzieri nejustificate și nu va răspunde persoanei vizate altfel decât pentru a confirma primirea și a direcționa cererea către Client.

EasyWeek va asista Clientul, ținând cont de natura prelucrării, prin măsuri tehnice și organizatorice adecvate, în îndeplinirea obligației Clientului de a răspunde Cererilor persoanelor vizate în temeiul art. 12–22 din GDPR și al Legii nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679.

10. Încălcarea securității datelor cu caracter personal

EasyWeek va notifica Clientul fără întârzieri nejustificate și, în orice caz, în termen de șaptezeci și două (72) de ore de la momentul în care a luat cunoștință de o Încălcare a Securității Datelor cu Caracter Personal care afectează Datele cu Caracter Personal ale Clientului. Notificarea va include, cel puțin, informațiile prevăzute de art. 33 alin. (3) din RGPD și art. 13 din Legea nr. 190/2018, în măsura în care acestea sunt cunoscute: natura Încălcării, categoriile și numărul aproximativ al Persoanelor Vizate și al înregistrărilor afectate, consecințele probabile, precum și măsurile luate sau propuse.

EasyWeek va lua măsuri rezonabile pentru a limita și remedia Încălcarea și pentru a furniza Clientului informațiile necesare pentru ca acesta să își îndeplinească propriile obligații de notificare față de Autoritatea sa de Supraveghere — ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, https://www.dataprotection.ro/) — și față de Persoanele Vizate afectate.

11. DPIA și consultarea prealabilă

EasyWeek va oferi Clientului asistență rezonabilă în legătură cu orice Evaluare a Impactului asupra Protecției Datelor sau consultare prealabilă pe care Clientul este obligat să o efectueze în temeiul art. 35 sau 36 din RGPD și al art. 22–23 din Legea nr. 190/2018, în măsura în care o astfel de asistență este în mod rezonabil necesară și informațiile respective sunt deținute de EasyWeek.

12. Audit

EasyWeek va pune la dispoziția Clientului toate informațiile necesare pentru a demonstra conformitatea cu prezentul DPA, inclusiv:

• Copii actualizate ale celor mai relevante certificări și rapoarte de audit (precum ISO 27001, acolo unde este disponibil, rapoarte SOC 2 tip II ale Subprocesatorilor relevanți).
• Răspunsuri scrise la un chestionar de securitate rezonabil, o dată pe perioadă de douăsprezece luni, fără costuri.

În cazul în care informațiile de mai sus nu sunt suficiente și Clientul este obligat de Autoritatea sa de Supraveghere să efectueze un audit la fața locului, Clientul poate efectua sau poate mandata un auditor independent să efectueze un audit pe cheltuiala Clientului, cu un preaviz scris de cel puțin șaizeci (60) de zile, în timpul orelor de program, cel mult o dată pe perioadă de douăsprezece luni (cu excepția cazului în care a avut loc o Încălcare a Datelor cu Caracter Personal), sub angajamente rezonabile de confidențialitate și fără a perturba operațiunile de afaceri ale EasyWeek sau securitatea altor clienți. Domeniul de aplicare al auditului este limitat la verificarea conformității EasyWeek cu prezentul DPA.

13. Returnarea și ștergerea datelor

În termen de treizeci (30) de zile de la încetarea Termenilor și Condițiilor de Afaceri, Clientul poate exporta Datele cu Caracter Personal ale Clientului prin intermediul instrumentelor de export self-service puse la dispoziție de Serviciu. După această perioadă de grație de treizeci de zile, EasyWeek va șterge sau va anonimiza Datele cu Caracter Personal ale Clientului într-un termen rezonabil și, în orice caz, în termen de nouăzeci (90) de zile, cu excepția cazului în care EasyWeek este obligată prin legislația UE sau a unui stat membru ori prin Legea nr. 190/2018 privind măsuri de implementare a Regulamentului (UE) 2016/679 să păstreze o parte sau totalitatea acestora (caz în care datele păstrate rămân supuse obligațiilor de confidențialitate și securitate din prezentul DPA).

Copiile de rezervă care conțin Date cu Caracter Personal ale Clientului sunt suprascrise în mod continuu în cadrul perioadei standard de retenție a copiilor de rezervă și rămân supuse prezentului DPA până la expirarea acesteia.

14. Răspundere și dispoziții diverse

Răspunderea fiecărei părți în temeiul sau în legătură cu prezentul APD este supusă limitărilor și excluderilor de răspundere prevăzute în Termenii și condițiile de utilizare pentru companii.

Prezentul APD face parte integrantă din Termenii și condițiile de utilizare pentru companii. În cazul oricărui conflict între prezentul APD și Termenii și condițiile de utilizare pentru companii în ceea ce privește prelucrarea Datelor cu caracter personal ale Clientului, prezentul APD prevalează. În cazul oricărui conflict între prezentul APD și Clauzele contractuale standard, Clauzele contractuale standard prevalează.

Prezentul APD este guvernat de legea Republicii Federale Germania. Instanțele din Düsseldorf, Germania, au jurisdicție exclusivă, fără a aduce atingere protecțiilor obligatorii ale Persoanelor vizate prevăzute de legislația statului în care acestea își au reședința obișnuită.

Anexa I – Descrierea prelucrării

Obiectul prelucrării Prelucrarea necesară pentru furnizarea Serviciului Business EasyWeek către Client.

Durata Pe durata Termenilor și Condițiilor de Serviciu Business și orice perioadă de retenție ulterioară încetării, necesară pentru executarea Secțiunii 13.

Natura și scopul prelucrării Găzduire, stocare, regăsire, organizare, modificare, transmitere, ștergere, anonimizare, analiză statistică și alte operațiuni de prelucrare necesare pentru furnizarea rezervărilor online, gestionării relațiilor cu clienții, finanțelor și facturării, automatizării marketingului, construirii de site-uri web, reminderelor și notificărilor, listării în marketplace, funcționalităților asistate de AI și a funcțiilor auxiliare.

Categorii de persoane vizate

• Clienții finali și potențialii clienți ai Clientului
• Angajații, freelancerii, contractorii și alți utilizatori autorizați ai Clientului
• Vizitatorii paginilor de rezervare online ale Clientului și ai widget-urilor integrate
• Expeditorii și destinatarii comunicărilor transmise prin intermediul Serviciului

Categorii de date cu caracter personal

• Date de identificare (nume, fotografie, gen)
• Date de contact (e-mail, telefon, adresă)
• Credențiale de cont ale utilizatorilor autorizați ai Clientului
• Istoricul rezervărilor și programărilor
• Notițe, fișiere, fotografii, documente încărcate de Client
• Date aferente programelor de fidelizare, solduri ale cardurilor cadou, segmente de clienți
• Conținutul comunicărilor (SMS, WhatsApp, corpul e-mailului, corpul notificărilor push, chat în aplicație)
• Date financiare (înregistrări ale facturilor, starea plăților, ultimele 4 cifre ale cardurilor de plată — datele complete ale cardului sunt prelucrate direct de Stripe și nu sunt stocate de EasyWeek)
• Date tehnice (adresă IP, identificator de dispozitiv, browser, limbă, marcaje temporale)
• În cazul în care Clientul alege să le înregistreze: notițe legate de sănătate (în contexte de frumusețe, wellness, medical sau stomatologic). Clientul este responsabil pentru a se asigura că dispune de un temei juridic valabil în temeiul Art. 9 din GDPR și Legea nr. 190/2018 înainte de înregistrarea unor astfel de date.

Frecvența transferurilor Continuă.

Retenție Datele cu caracter personal ale Clientului sunt reținute atât timp cât Clientul dispune și astfel cum este descris în continuare în Secțiunea 13.

Anexa II – Măsuri tehnice și organizatorice

EasyWeek implementează cel puțin următoarele măsuri, pe care le poate actualiza periodic, cu condiția că nivelul de protecție nu este redus:

• Pseudonimizare și criptare — TLS 1.3 pentru datele în tranzit pe rețele publice; AES-256 pentru datele stocate (stocare baze de date, stocare obiecte, copii de rezervă); chei de criptare per-chiriaș pentru câmpurile sensibile, acolo unde este aplicabil.
• Confidențialitate — control al accesului bazat pe roluri cu principiul privilegiului minim, autentificare cu mai mulți factori obligatorie pentru tot accesul administrativ, expirare automată a sesiunii, controale de acces bazate pe IP pentru sistemele de producție, obligații scrise de confidențialitate pentru întregul personal.
• Integritate — management al modificărilor, revizuire cod, scanare automată a dependențelor, artefacte de implementare semnate, verificări de integritate ale copiilor de rezervă.
• Disponibilitate și reziliență — găzduire de producție în centrele de date Hetzner din Germania cu alimentare și rețea redundante, orchestrare Kubernetes cu recuperare automată, copii de rezervă zilnice cu replicare între zone, plan documentat de recuperare în caz de dezastru cu exerciții anuale simulate, pagină de status la status.easyweek.io.
• Restaurare — retenție a copiilor de rezervă suficientă pentru restaurarea serviciului în urma unui incident fizic sau tehnic; teste de restaurare trimestriale.
• Testare și evaluare — test anual de penetrare de către terți al mediului de producție, testare continuă de securitate statică și dinamică a aplicațiilor în CI/CD, proces de management al vulnerabilităților cu SLA-uri de remediere definite.
• Segregarea rețelei — mediile de producție, testare și dezvoltare sunt separate logic și fizic; accesul administrativ se face exclusiv prin gazde bastion.
• Jurnalizare și monitorizare — jurnale de audit centralizate pentru autentificare, autorizare, modificări de configurație și evenimente de export de date, păstrate cel puțin un an; monitorizarea informațiilor și evenimentelor de securitate cu alertare la anomalii.
• Dezvoltare securizată — SDLC cu modelare a amenințărilor, revizuire de tip peer review, scanare a secretelor, conformitate cu licențele și standarde de codare aliniate OWASP.
• Managementul furnizorilor — contracte scrise cu toți Suboperatorii care impun obligații echivalente; revizuire periodică.
• Securitatea personalului — verificări de antecedente acolo unde este permis de lege; formare în domeniul securității și protecției datelor la angajare și anual ulterior.
• Managementul incidentelor — tură de gardă 24/7; plan de răspuns la incidente documentat; notificarea încălcărilor securității datelor în termen de 72 de ore conform Secțiunii 10.
• Securitate fizică — accesul fizic la facilitățile de prelucrare este controlat de Suboperatorul care operează facilitatea (Hetzner, Google Cloud) în conformitate cu controale certificate ISO 27001 / SOC 2.

Anexa III – Sub-procesatori aprobați

Lista actuală a Sub-procesatorilor EasyWeek este publicată și menținută la /business/subprocessors. Lista de la acea adresă URL este prin prezenta încorporată prin trimitere în acest ADP și Anexa III.