Acord de Procesare a Datelor (DPA)

Pe scurt

Când folosești Bookd, datele clienților tăi (nume, telefon, email, note de fișă) ne sunt încredințate pentru gestionare. Conform art. 28 GDPR, această relație trebuie reglementată printr-un Data Processing Agreement (DPA). Acest document e DPA-ul oficial Bookd. E parte integrantă din Termenii tăi; folosind Bookd, accepți și acest DPA.

Dacă ai nevoie de o copie semnată electronic pentru arhivă internă sau audit, scrie la dpa@bookd.ro și o trimitem în 1-2 zile lucrătoare. Pentru o versiune printabilă self-service, descarcă template-ul DPA (formato A4, gata de tipărit sau salvat ca PDF).

1. Părțile

Operator de date: tu, persoana fizică sau juridică ce folosește Bookd cu un cont activ, identificat prin adresa email a contului și/sau date juridice furnizate la billing.

Persoană împuternicită (Data Processor): Workfused SRL, Strada Noua nr. 22, Satu Mare, CUI 52086722, J2025048275009, denumită în continuare „Bookd".

2. Obiectul prelucrării

Bookd prelucrează date personale ale clienților tăi exclusiv în scopul furnizării serviciului de programări online, conform instrucțiunilor tale documentate prin configurarea contului și folosirea platformei.

Operațiuni acoperite:

• Stocare și organizare programări
• Trimitere reminder-uri către clienți (email, SMS, WhatsApp) conform setărilor tale
• Facilitare comunicare client-afacere prin pagina ta publică
• Procesare plăți în avans dacă activezi această funcție
• Generare rapoarte și statistici pentru tine
• Backup pentru recuperare după dezastru

3. Tipuri de date și categorii de persoane

Date prelucrate:

• Identificare client: prenume (obligatoriu), nume complet, telefon, email
• Date programare: data, ora, serviciul ales, staff, status, sursa rezervării
• Note adăugate de tine în fișa clientului (opțional)
• Istoric: programări anterioare, anulări, no-show
• Pentru cabinete cu date sensibile (psihologic, veterinar, kineto, nutriționist): note specifice tratamentului, categorie specială conform art. 9 GDPR

Categorii de persoane: clienții afacerii tale care fac rezervări prin pagina Bookd a afacerii sau sunt adăugați manual în lista de clienți.

4. Durata prelucrării

Bookd prelucrează datele pe durata contractului tău activ cu noi (cât timp ai cont). La închiderea contului:

• Datele clienților tăi se șterg sau se anonimizează imediat, conform alegerii tale la momentul închiderii
• Ștergerea e ireversibilă, nu există perioadă de recuperare
• Backup-urile criptate care conțin datele dispar treptat pe măsură ce snapshot-urile vechi expiră, conform politicii de retenție a furnizorului DB (în mod normal sub 30 de zile)

5. Obligațiile Bookd ca procesator

Bookd se angajează să:

1. Prelucreze datele exclusiv conform instrucțiunilor tale documentate (configurarea contului)
2. Garanteze confidențialitatea, personalul Bookd cu acces e legat de obligație de confidențialitate
3. Aplice măsuri tehnice și organizatorice adecvate, detaliate în secțiunea 6
4. Respecte regulile privind sub-procesorii (secțiunea 7)
5. Te asiste pentru drepturile persoanelor vizate (răspuns la cereri GDPR)
6. Te notifice fără întârziere despre breach-uri de securitate care îți afectează datele
7. Returneze sau șteargă datele la finalul contractului, conform alegerii tale
8. Permită audit (vezi secțiunea 9)

6. Măsuri tehnice și organizatorice

Conform art. 32 GDPR, Bookd implementează:

Criptare

• Date clienți (nume, telefon, email, note): criptare la nivel de câmp cu AES-256-GCM
• Chei de criptare separate per business, derivate prin HKDF dintr-o cheie master server-side
• Cheia master stocată exclusiv în variabile de mediu securizate, niciodată în cod sau bundle browser
• Criptare în tranzit TLS 1.3 pe toate conexiunile

Control acces

• Autentificare prin parolă bcrypt + OTP one-time password pentru acțiuni sensibile
• Row Level Security (RLS) la nivel de bază de date, separare logică completă între business-uri
• Acces strict pe roluri pentru staff-ul intern Bookd, cu principiul minim privilege
• Audit log pentru toate accesările de tip „elevation of privilege" și cereri GDPR procesate

Continuitate și recuperare

• Backup-uri zilnice criptate prin Supabase
• Replicare automată AWS multi-AZ în regiunea Irlanda
• Plan documentat de răspuns la incidente
• Monitorizare continuă via Sentry și Supabase Logs pentru anomalii

Securitate aplicație

• Content Security Policy cu nonce per request
• Rate limiting pe toate endpoint-urile sensibile
• Protecție CSRF pe toate formularele
• Protecție DDoS prin Cloudflare
• Headers de securitate stricte: HSTS, X-Frame-Options, X-Content-Type-Options

7. Sub-procesori

Bookd folosește următorii sub-procesori pentru funcționarea serviciului. Folosirea lor e autorizată generic prin acceptarea acestui DPA.

Toate transferurile către SUA sunt acoperite de EU-US Data Privacy Framework (toți cei marcați self-certified) sau Standard Contractual Clauses (Meta).

Bookd va anunța orice modificare a listei de sub-procesori cu minimum 30 de zile înainte de intrarea în vigoare, prin email la adresa contului tău. Te poți opune motivat la noul sub-procesor; dacă nu putem găsi o alternativă, ai dreptul să închizi contul cu rambursare pro-rata pentru perioada neutilizată.

8. Asistență pentru drepturile persoanelor vizate

Când un client al tău exercită un drept GDPR direct către tine, ești operatorul responsabil pentru răspuns. Bookd te asistă cu instrumente tehnice:

• Export complet date client din dashboard (pentru cerere de acces)
• Editare directă fișă client (pentru rectificare)
• Ștergere sau anonimizare client (pentru dreptul de a fi uitat)
• Dezactivare reminder-uri per client (pentru opoziție/restricționare)

Pentru cereri complexe care necesită acțiuni la nivel de infrastructură (de exemplu eliminare din backup), scrie la privacy@bookd.ro și acționăm în maximum 14 zile.

9. Audit și control

Ai dreptul să verifici conformitatea Bookd cu acest DPA, prin:

• Cerere de informații documentate la dpa@bookd.ro, răspundem în 30 de zile
• Cerere de raport de audit independent (la cerere, dacă există)
• Pentru audit on-site (rar, doar cu motivare specifică): coordonare prealabilă, suportarea costurilor de către operator dacă auditul nu identifică probleme

Pentru audit ANSPDCP sau alte autorități de supraveghere, cooperăm complet și gratuit conform obligațiilor legale.

10. Notificare breach

Conform art. 33 GDPR, în cazul unui breach de securitate care îți afectează datele clienților:

• Te notificăm fără întârziere, maximum 48 de ore de la descoperire
• Notificarea conține: natura breach-ului, categorii de date afectate, număr estimat de clienți, măsuri luate, persoană de contact pentru detalii
• Te asistăm să-ți îndeplinești obligația de notificare către ANSPDCP (72 ore) și către persoanele vizate (dacă risc ridicat)

11. Returnare sau ștergere la sfârșitul contractului

La închiderea contului tău:

• Opțiunea implicită: ștergere imediată și ireversibilă a datelor personale identificabile
• Opțiunea opțională: export complet în JSON înainte de ștergere (auto-service din Setări → Cont → „Exportă datele tale”)
• Excepție: facturile și documentele fiscale rămân stocate 5 ani conform Legii 82/1991, cu identitatea destinatarului înghețată la momentul emiterii
• Backup-uri: datele dispar treptat din snapshot-uri pe măsură ce acestea expiră (retenție Supabase ~30 zile pe planul curent)

12. Limitarea răspunderii și despăgubiri

Răspunderea Bookd în calitate de procesator pentru încălcări ale acestui DPA e limitată la sumele plătite de tine în ultimele 12 luni, exceptând cazurile de încălcare intenționată sau culpă gravă, conform legii. Această limitare e similară cu cea din Termenii principali, secțiunea 12.

13. Versionare și modificări

Acest DPA poate fi actualizat periodic. Modificările substanțiale se anunță cu minimum 30 de zile înainte de intrarea în vigoare, prin email și banner în dashboard. Versiunea curentă e marcată în partea de sus a documentului. Istoricul modificărilor e public.

14. Contact

Pentru cereri specifice DPA (copie semnată, audit, întrebări tehnice): dpa@bookd.ro. Pentru cereri generale GDPR: privacy@bookd.ro. Răspundem în maximum 48 ore lucrătoare pentru confirmare primire și în maximum 30 de zile pentru soluționare completă.