Bookd
v2.1, 26 mai 2026
Acord de Procesare a Datelor (DPA)
Conform articolului 28 din Regulamentul (UE) 2016/679 (GDPR). Versiune printabilă a documentului oficial Bookd.
1. Părțile
Operator de date: utilizatorul Bookd (persoană fizică sau juridică) identificat prin emailul contului și/sau datele juridice furnizate la billing, denumit în continuare „Operator".
Persoană împuternicită: Workfused SRL, cu sediul în Strada Noua nr. 22, Satu Mare, România, CUI 52086722, identificator ONRC J2025048275009, denumită în continuare „Bookd".
2. Obiectul
Bookd prelucrează date personale ale clienților Operatorului exclusiv pentru furnizarea serviciului SaaS de programări online, conform instrucțiunilor documentate prin configurarea contului și folosirea platformei.
3. Categorii date și persoane vizate
Date prelucrate:
- Identificare client: prenume (obligatoriu), nume complet, telefon, email
- Date programare: data, ora, serviciul, staff, status, sursa rezervării
- Note de fișă adăugate de Operator
- Pentru cabinete (psiholog, veterinar, kinetoterapie, nutriționist): note de tratament, categorie specială GDPR art. 9
Persoane vizate: clienții afacerii Operatorului care rezervă prin pagina Bookd sau sunt adăugați manual de Operator.
4. Durata prelucrării
Pe durata contractului activ. La închiderea contului, ștergere imediată și ireversibilă a datelor personale identificabile (sau anonimizare la cererea expresă a Operatorului). Datele dispar treptat din backup-urile criptate pe măsură ce snapshot-urile vechi expiră, conform politicii de retenție a furnizorului DB (în mod normal sub 30 de zile).
5. Obligațiile Bookd
- Prelucrează datele exclusiv conform instrucțiunilor Operatorului
- Garantează confidențialitatea, personal cu acces e legat de obligație
- Aplică măsuri tehnice conform secțiunii 6
- Respectă regulile privind sub-procesorii (secțiunea 7)
- Asistă Operatorul pentru drepturile persoanelor vizate
- Notifică breach-uri în maximum 48 ore de la descoperire
- Returnează sau șterge datele la finalul contractului
- Permite audit conform secțiunii 9
6. Măsuri tehnice și organizatorice
Criptare: AES-256-GCM la nivel de câmp pentru date personale clienți; chei HKDF derivate per business; cheia master server-side în variabile de mediu. TLS 1.3 în tranzit.
Acces: autentificare bcrypt + OTP; Row Level Security la DB; acces intern Bookd pe roluri cu minim privilege; audit log pentru elevation.
Continuitate: backup-uri zilnice criptate prin Supabase; replicare automată AWS multi-AZ (Irlanda); plan de răspuns la incidente; monitorizare via Sentry + Supabase Logs.
Aplicație: CSP cu nonce; rate limiting; protecție CSRF; DDoS prin Cloudflare; headers HSTS / X-Frame-Options / X-Content-Type-Options.
7. Sub-procesori
| Sub-procesor | Scop | Locație |
|---|---|---|
| Supabase Inc. | DB + auth | UE (Irlanda) |
| Vercel Inc. | Hosting | Multi-region |
| Cloudflare Inc. | CDN, DDoS, DNS | Multi-region |
| Stripe Inc. | Procesare plăți | SUA + Irlanda |
| Resend Inc. | Email tranzacționale | SUA |
| Meta (WhatsApp Business API) | Reminder WhatsApp | Irlanda + SUA |
| Sentry | Monitorizare erori | SUA |
| Google (Analytics) | Analytics web | SUA |
Transferuri SUA acoperite de EU-US Data Privacy Framework (DPF) sau Standard Contractual Clauses (Meta). Modificări sub-procesori anunțate cu minimum 30 zile înainte.
8. Asistență drepturi persoane vizate
Bookd furnizează Operatorului instrumente self-service: export complet date client, editare directă fișă, ștergere/anonimizare, dezactivare reminder-uri per client. Pentru cereri complexe care necesită acțiuni la infrastructură, scrie la privacy@bookd.ro; acționăm în maximum 14 zile.
9. Audit
Operatorul poate solicita informații documentate la dpa@bookd.ro (răspuns 30 zile), raport audit independent (la cerere), sau audit on-site cu coordonare prealabilă. Cooperare completă și gratuită pentru audit ANSPDCP sau alte autorități.
10. Notificare breach
Bookd notifică Operatorul în maximum 48 ore de la descoperirea unui breach care afectează datele clienților Operatorului. Notificare include: natura breach-ului, categorii date afectate, număr estimat clienți, măsuri luate, persoană de contact.
11. Sfârșit contract
La închiderea contului: ștergere imediată și ireversibilă a datelor personale; export opțional JSON la cerere din Setări → Cont; excepție facturi (5 ani conform Legii 82/1991, cu snapshot al identității destinatarului); datele dispar treptat din backup-uri pe măsură ce snapshot-urile expiră (~30 zile pe planul Supabase curent).
12. Limitarea răspunderii
Răspunderea Bookd pentru încălcări DPA e limitată la sumele plătite în ultimele 12 luni, exceptând cazurile de intenție sau culpă gravă, conform legii.
13. Contact
Cereri DPA: dpa@bookd.ro, Cereri GDPR generale: privacy@bookd.ro, Suport: support@bookd.ro. Răspuns: 48 ore confirmare primire, 30 zile soluționare completă.
14. Acceptarea
Acest DPA e parte integrantă din Termenii Bookd și se consideră acceptat automat la crearea sau folosirea contului. Versiunea curentă publică e cea de la https://www.bookd.ro/dpa.
Operatorul poate cere o copie semnată electronic scriind la dpa@bookd.ro, primește în maximum 2 zile lucrătoare.
Semnături (opțional, pentru evidență internă a Operatorului)
__________________________
Operator: ____________________________ Data: ____________
__________________________
Workfused SRL prin reprezentant legal (confirmare electronică la dpa@bookd.ro)