Acordul de Procesare a Datelor (DPA)
Versiunea 1.0 — Ultima actualizare: 30 aprilie 2026
Cui se adresează acest document: Acest Acord de Procesare a Datelor (DPA) reglementează relația dintre Rezervatio.AI (Persoana Împuternicită) și afacerea care utilizează serviciul nostru (Operator). Se aplică automat oricărui client B2B la activarea contului și face parte integrantă din Termenii și Condițiile de utilizare.
1. Părți și definiții
Operator („Clientul"): afacerea juridică sau persoana fizică autorizată care utilizează Rezervatio.AI pentru gestionarea rezervărilor (restaurant, salon, clinică medicală, hotel, service auto, spa etc.). În raport cu apelanții / clienții săi finali, Clientul este Operator de date conform Art. 4(7) GDPR.
Persoana Împuternicită („Rezervatio.AI"): QUANTEMI S.R.L., în calitate de furnizor al platformei SaaS, prelucrează datele în numele Operatorului conform Art. 4(8) GDPR.
Persoana vizată: clientul final care sună afacerea pentru a face o rezervare, precum și orice altă persoană ale cărei date sunt prelucrate prin platformă (ex. angajați ai Operatorului).
Termenii nedefiniți în acest document au sensul prevăzut de Regulamentul (UE) 2016/679 (GDPR) și Legea 190/2018.
2. Obiectul, durata și scopul prelucrării
2.1 Obiectul prelucrării
Rezervatio.AI prelucrează date personale ale apelanților / clienților finali ai Operatorului în scopul exclusiv al furnizării serviciului de rezervări telefonice automate cu agent vocal AI, inclusiv: primire apel, transcriere conversație, înțelegere cerere, salvare rezervare, trimitere confirmări SMS, sincronizare cu dashboard-ul Operatorului.
2.2 Durata prelucrării
Prelucrarea continuă pe toată durata contractului dintre Operator și Rezervatio.AI. După încetarea contractului, datele sunt șterse sau returnate Operatorului conform secțiunii 9.
2.3 Categorii de date și persoane vizate
Categoriile de date prelucrate și persoanele vizate sunt detaliate în Anexa I a acestui DPA.
3. Obligațiile Persoanei Împuternicite (Rezervatio.AI)
Rezervatio.AI se obligă să:
- Prelucreze datele exclusiv conform instrucțiunilor documentate ale Operatorului, inclusiv în privința transferurilor către țări terțe. Instrucțiunile sunt cuprinse în: prezentul DPA, Termenii și Condițiile, și setările configurate de Operator în dashboard.
- Asigure confidențialitatea personalului autorizat să prelucreze date — toți membrii echipei sunt obligați prin contract de confidențialitate.
- Implementeze măsuri tehnice și organizatorice adecvate conform Art. 32 GDPR — detaliate în Anexa II.
- Asiste Operatorul cu măsuri tehnice și organizatorice rezonabile în îndeplinirea obligațiilor sale conform Art. 32-36 GDPR (securitate, notificări incidente, evaluări de impact DPIA, consultări prealabile cu autoritatea de supraveghere).
- Asiste Operatorul în răspunsul la cererile persoanelor vizate (acces, rectificare, ștergere, portabilitate etc.) prin instrumentele platformei (export GDPR, ștergere cont).
- Notifice Operatorul fără întârziere nejustificată (în maxim 48 de ore) despre orice încălcare a securității datelor relevantă pentru datele Operatorului.
- Șteargă sau returneze datele la încetarea contractului conform secțiunii 9.
- Pună la dispoziția Operatorului toate informațiile necesare pentru a demonstra conformitatea cu Art. 28 GDPR și să permită audituri rezonabile (vezi secțiunea 8).
4. Obligațiile Operatorului
Operatorul se obligă să:
- Aibă un temei legal valid conform Art. 6 GDPR pentru toate prelucrările pe care le instructează Rezervatio.AI să le efectueze.
- Informeze persoanele vizate conform Art. 13/14 GDPR despre prelucrarea datelor lor — în special despre faptul că apelurile telefonice sunt preluate și procesate de un agent AI.
- Configureze platforma corect în dashboard (program, servicii, retenție personalizată dacă este cazul) și să păstreze conturile de utilizator securizate.
- Răspundă direct cererilor persoanelor vizate în calitate de Operator, folosind instrumentele puse la dispoziție de platformă.
- Notifice Rezervatio.AI dacă primește plângeri, cereri ale autorităților sau alte solicitări care necesită asistență din partea noastră.
5. Sub-procesatori (Art. 28(2) și (4) GDPR)
5.1 Autorizare generală
Operatorul autorizează Rezervatio.AI să angajeze sub-procesatori pentru furnizarea serviciului. Lista actuală de sub-procesatori autorizați este detaliată în Anexa III.
5.2 Notificare modificări
Vom notifica Operatorul cu cel puțin 30 de zile înainte de adăugarea sau înlocuirea unui sub-procesator. Notificarea se face prin email la adresa contului și printr-un anunț în dashboard.
5.3 Drept de opoziție
Operatorul are dreptul să se opună unei modificări de sub-procesatori, justificând obiecția în baza unor motive legitime privind protecția datelor. În acest caz, părțile vor căuta o soluție de comun acord. Dacă nu se ajunge la un acord, Operatorul poate rezilia contractul fără penalizări.
5.4 Lanț de obligații
Toți sub-procesatorii sunt angajați prin contracte care impun obligații de protecție a datelor cel puțin echivalente cu cele din prezentul DPA, conform Art. 28(4) GDPR. Rezervatio.AI rămâne răspunzător față de Operator pentru îndeplinirea obligațiilor sub-procesatorilor.
6. Transferuri internaționale de date
O parte din sub-procesatori sunt stabiliți în afara Spațiului Economic European. Pentru aceste transferuri folosim:
- EU-US Data Privacy Framework (DPF) pentru sub-procesatorii certificați DPF
- Clauze Contractuale Standard (SCC) conform Deciziei 2021/914 a Comisiei Europene pentru sub-procesatorii non-UE neacoperiți de DPF
- Măsuri tehnice și organizatorice suplimentare conform recomandărilor EDPB (criptare în tranzit și la repaus, control acces strict, audit logs)
Detaliile mecanismului de transfer pentru fiecare sub-procesator sunt în Anexa III.
7. Drepturile persoanelor vizate
Rezervatio.AI asistă Operatorul în răspunsul la cererile persoanelor vizate prin următoarele instrumente integrate în platformă:
- Export date (Art. 15, 20 GDPR) — disponibil instantaneu în dashboard, format JSON
- Ștergere cont (Art. 17 GDPR) — disponibil în dashboard, cu perioadă de grație 7 zile pentru restaurare
- Anonimizare automată a rezervărilor vechi conform politicii de retenție
- Consimțăminte versionate (Art. 7 GDPR) — log audit complet al consimțămintelor utilizatorilor
Cererile primite direct de Rezervatio.AI care vizează date prelucrate în numele Operatorului vor fi redirecționate către Operator fără întârziere nejustificată.
8. Audit și conformitate
8.1 Documentație
Punem la dispoziția Operatorului, la cerere și fără costuri suplimentare, următoarele documente:
- Lista actualizată de sub-procesatori (Anexa III)
- Descrierea măsurilor tehnice și organizatorice (Anexa II)
- Politica noastră de răspuns la incidente
- Confirmări de certificare ale sub-procesatorilor (DPF, ISO 27001 dacă aplicabil)
8.2 Audit
Operatorul are dreptul să efectueze audituri pentru verificarea conformității cu Art. 28 GDPR, în următoarele condiții:
- Notificare scrisă cu cel puțin 30 de zile înainte
- Maxim un audit pe an, exceptând cazurile în care există motive întemeiate (incident de securitate, plângere ANSPDCP)
- Auditorul respectă obligații de confidențialitate și nu este competitor direct al Rezervatio.AI
- Costurile auditului sunt suportate de Operator, exceptând cazul în care auditul relevă o neconformitate semnificativă
În majoritatea cazurilor, conformitatea poate fi demonstrată prin documentația menționată la 8.1, fără a fi necesar audit on-site.
9. Încetarea contractului
La încetarea contractului din orice motiv, Rezervatio.AI va:
- Furniza Operatorului un export complet al datelor în format JSON, în maxim 30 de zile de la cerere
- Șterge sau anonimiza toate datele Operatorului din sistemele active în maxim 90 de zile de la încetarea contractului
- Păstra obligatoriu doar datele necesare conform obligațiilor legale (facturi conform Codului Fiscal — 10 ani, jurnale audit GDPR — până la 5 ani)
- Confirma în scris finalizarea procesului de ștergere
10. Răspundere
Răspunderea fiecărei părți pentru încălcări ale GDPR este reglementată de Art. 82 GDPR. În raporturile dintre părți, fiecare suportă amenzile, sancțiunile și despăgubirile rezultate din propriile sale încălcări.
Limitele generale de răspundere contractuală sunt cele prevăzute în Termenii și Condițiile de utilizare.
11. Modificări
Acest DPA poate fi modificat prin:
- Acord scris al părților
- Notificare unilaterală din partea Rezervatio.AI cu cel puțin 30 de zile înainte, pentru modificări minore care nu reduc nivelul de protecție
Modificările semnificative care reduc nivelul de protecție pentru persoanele vizate necesită acordul scris al Operatorului.
12. Lege aplicabilă și jurisdicție
Prezentul DPA este guvernat de legea română și de GDPR. Orice litigiu se va soluționa pe cale amiabilă sau, în cazul eșuării negocierilor, de instanțele competente din România.
Anexa I — Detalii prelucrare
| Element | Descriere |
|---|---|
| Categorii persoane vizate | Apelanți / clienți finali ai Operatorului care fac rezervări prin agent vocal AI sau aplicație mobilă |
| Categorii date personale | Nume, număr telefon, email (opțional), conținut conversație audio și transcript, detalii rezervare (data, ora, număr persoane, serviciu, observații), date tehnice apel (durată, calitate) |
| Date sensibile (Art. 9) | Posibil menționate spontan în apel în contextul clinicilor medicale (simptome, motiv consultație). Agentul nu solicită explicit date sensibile. |
| Natura prelucrării | Colectare, înregistrare, transcriere, structurare, stocare, transmitere, ștergere |
| Scopul prelucrării | Furnizare serviciu rezervări telefonice automate |
| Durata prelucrării | Pe durata contractului + perioada de retenție post-încetare conform secțiunii 9 |
Anexa II — Măsuri tehnice și organizatorice (Art. 32 GDPR)
Măsuri tehnice
- Criptare în tranzit (TLS 1.2+) pentru toate comunicațiile
- Criptare la repaus pentru baza de date
- Autentificare cu OTP — fără parole stocate în clar
- Token-uri de sesiune cu durată limitată și rotire automată
- Firewall, protecție DDoS și filtrare bot prin Cloudflare
- Acces controlat strict pe principiul „least privilege" și „need-to-know"
- Backup automat zilnic cu retenție controlată
- Monitorizare continuă a logurilor pentru detectarea activității suspecte
- Pseudonimizare și anonimizare automată a datelor expirate
- Izolare logică per Operator (multi-tenancy securizat)
Măsuri organizatorice
- Număr minim de persoane cu acces administrativ la date
- Acces auditabil — toate acțiunile administrative sunt logate
- Acorduri de confidențialitate cu personal și colaboratori externi
- Politici interne de securitate și răspuns la incidente
- Evaluări periodice de risc
- DPIA actualizată pentru riscurile principale (clinici, AI vocal, transferuri internaționale)
- Registru intern al incidentelor de securitate (Art. 33(5))
Notificare incidente
- Operator notificat în maxim 48 de ore de la luarea la cunoștință a unei încălcări
- Conținut notificare conform Art. 33(3) GDPR
- Persoane vizate notificate direct dacă încălcarea generează risc ridicat
Anexa III — Lista sub-procesatorilor autorizați
| Sub-procesator | Țară | Scop | Mecanism transfer |
|---|---|---|---|
| Hetzner Online GmbH | Germania (UE) | Găzduire infrastructură (toate datele platformei) | Art. 28 GDPR (intra-UE) |
| Cloudflare Inc. | SUA (edge global) | Securitate, distribuție conținut, protecție DDoS | DPF + SCC |
| Scaleway SAS | Franța (UE) | Email tranzacțional | Art. 28 GDPR (intra-UE) |
| Telnyx LLC | SUA și UE | Telefonie și SMS | DPF + SCC |
| ElevenLabs Inc. | SUA | Procesare voce AI (recunoaștere vorbire, sinteză, transcripte) | DPF + SCC |
| Stripe Inc. | SUA / Irlanda | Procesare plăți (la lansarea comercială) | DPF + SCC |
| Apple Inc. | SUA | Autentificare „Sign in with Apple" (identitate) | DPF + SCC |
| Google Ireland Ltd. | Irlanda / SUA | Autentificare „Google Sign-In" (identitate) | DPF + SCC |
| Expo (650 Industries, Inc.) | SUA | Livrare notificări push (Expo Push) | DPF + SCC |
Lista sub-procesatorilor publică:
- ElevenLabs: compliance.elevenlabs.io
- Telnyx: telnyx.com/sub-processors
- Cloudflare: cloudflare.com/gdpr/subprocessors
- Stripe: stripe.com/legal/subprocessors
- Google: policies.google.com/privacy
- Apple: apple.com/legal/privacy
- Expo: expo.dev/privacy
Contact
Pentru întrebări sau cereri legate de acest DPA:
Email: privacy@rezervatio.ai
Operator (Persoana Împuternicită): QUANTEMI S.R.L.
CUI: 54694424
Sediu: Năvodari, Jud. Constanța, Str. Liniștii nr. 8
Ultima actualizare: 30 aprilie 2026 — Versiunea 1.0
UE · GDPR Compliant