(Data Processing Agreement / DPA)
conform Art. 28 alin. (3) din GDPR
în legătură cu utilizarea aplicației Shopify / WooCommerce
„Buton Retragere Retur”
între
SKY DESIGN MEDIA S.R.L.
Cu sediul în România, Email: [hello@moonimpact.co]
- numită în continuare „Împuternicitul” sau „Procesatorul” -
și
Comerciantul (Merchant),
care instalează și utilizează Aplicația prin intermediul Shopify App Store / direct pe platforma de e-commerce
- numit în continuare „Operatorul” -
colectiv numite „Părțile”, individual o „Parte”.
Versiune: Iunie 2026 (v1.0)
Împuternicitul operează aplicația „Buton Retragere Retur” (numită în continuare „Aplicația”). Aplicația sprijină Operatorul în implementarea tehnică a funcției electronice de retragere obligatorii, conform OUG nr. 34/2014 (modificată prin OUG nr. 18/2026) și Directivei UE (UE) 2023/2673.
În cursul utilizării Aplicației, Împuternicitul prelucrează datele cu caracter personal ale clienților finali ai Operatorului (consumatorii care trimit o cerere de retragere prin intermediul Aplicației) în numele și conform instrucțiunilor Operatorului. Prezentul Acord de Prelucrare a Datelor (numit în continuare „DPA”) specifică obligațiile de protecție a datelor ale Părților conform Art. 28 alin. (3) GDPR și completează Termenii și Condițiile de Utilizare (Terms of Service) agreate între Părți.
Notă: Prezentul DPA intră în vigoare în momentul confirmării active de către Operator (bifarea căsuței în setările Aplicației). Utilizarea Aplicației necesită acceptarea acestui DPA.
(1) Obiectul: Prezentul DPA reglementează prelucrarea datelor cu caracter personal de către Împuternicit în legătură cu furnizarea și funcționarea Aplicației. Prelucrarea se va efectua exclusiv în numele și în conformitate cu instrucțiunile documentate ale Operatorului.
(2) Durata: Prezentul DPA rămâne în vigoare pe întreaga durată a utilizării Aplicației de către Operator. Acesta încetează automat la dezinstalarea Aplicației sau la rezilierea raportului de utilizare, sub rezerva obligațiilor de ștergere prevăzute la Articolul 10.
(3) Natura și scopul prelucrării: Prelucrarea servește următoarelor scopuri: primirea și procesarea declarațiilor electronice de retragere de la clienții finali ai Operatorului; trimiterea automată a confirmării de primire către clientul final prin e-mail; punerea la dispoziție a unei interfețe administrative (Merchant Admin) pentru ca Operatorul să gestioneze și să documenteze cazurile de retragere.
(4) Tipuri de date cu caracter personal: Sunt prelucrate următoarele categorii de date: Nume și prenume; Adresă de e-mail; Număr de comandă; Timestamps (data/ora solicitării); Statusul retragerii; Produsele selectate (în caz de retragere parțială); Motivele retragerii/Comentarii (opțional, completate voluntar de client); Shopify Order ID / Customer ID (identificatori tehnici API); Adresă IP (tranzitorie, exclusiv pentru prevenirea spam-ului și a abuzurilor, păstrată temporar în ferestre de 60 de secunde și care NU este stocată permanent în baza de date).
(5) Categorii de persoane vizate: Clienții finali (consumatorii) ai Operatorului care trimit o solicitare de retragere/retur prin intermediul Aplicației.
(1) Împuternicitul va prelucra datele numai pe baza instrucțiunilor documentate ale Operatorului, cu excepția cazului în care prelucrarea este cerută de legislația Uniunii Europene sau a României. În acest caz, Împuternicitul va informa Operatorul cu privire la această cerință legală înainte de prelucrare.
(2) Instrucțiunile sunt documentate în principal prin configurarea și utilizarea Aplicației (ex: activarea/dezactivarea funcțiilor, setarea perioadelor de retenție).
(3) Împuternicitul va informa imediat Operatorul dacă, în opinia sa, o instrucțiune încalcă legislația privind protecția datelor.
Împuternicitul se obligă în special să: prelucreze datele doar conform instrucțiunilor; asigure confidențialitatea persoanelor autorizate să prelucreze datele; implementeze măsurile tehnice și organizatorice (TOMS) conform Art. 32 GDPR; asiste Operatorul în onorarea drepturilor persoanelor vizate (Art. 15-22 GDPR); șteargă sau să returneze datele la încheierea serviciilor conform Articolului 10.
Operatorul este obligat să asigure legalitatea prelucrării datelor (Art. 6 GDPR), să informeze clienții finali în propria Politică de Confidențialitate cu privire la utilizarea acestei Aplicații și a sub-împuterniciților acesteia și să se asigure că setările alese în Aplicație sunt conforme cu legislația aplicabilă magazinului său.
(1) Împuternicitul va implementa măsurile descrise în Anexa 1 pentru a asigura un nivel de securitate corespunzător riscului (criptare TLS în tranzit, criptare AES-256 la nivelul bazei de date, baze de date separate logic, etc.).
(1) Operatorul acordă Împuternicitului o autorizație generală scrisă pentru a angaja alți sub-împuterniciți. Sub-împuterniciții actuali sunt listați în Anexa 2 (inclusiv infrastructura de găzduire DigitalOcean).
(2) Împuternicitul va informa Operatorul cu privire la orice modificări intenționate (adăugarea sau înlocuirea de sub-împuterniciți) cu cel puțin 14 zile înainte, prin e-mail sau notificare în aplicație, acordând Operatorului dreptul de a formula obiecții justificate.
Dacă o persoană vizată contactează direct Împuternicitul pentru exercitarea drepturilor sale (ex. ștergerea datelor), Împuternicitul va redirecționa solicitarea imediat către Operator și nu va acționa independent fără instrucțiunile acestuia. Aplicația oferă funcții în panoul de administrare pentru exportul și ștergerea datelor clienților.
Împuternicitul va notifica Operatorul fără întârzieri nejustificate (fără întârzieri nejustificate) după ce a luat cunoștință de o încălcare a securității datelor cu caracter personal (Data Breach) și va coopera pentru limitarea efectelor.
Operatorul are dreptul de a efectua audituri sau inspecții pentru a verifica respectarea prezentului DPA, cu preaviz de cel puțin 30 de zile. Împuternicitul poate îndeplini această obligație și prin furnizarea unui raport de audit independent sau a unei auto-evaluări recente.
(1) La încetarea relației contractuale (Dezinstalarea Aplicației): Împuternicitul va șterge definitiv toate datele cu caracter personal procesate în numele Operatorului din serverele DigitalOcean într-un termen de maximum 30 de zile calendaristice de la dezinstalare (perioadă de grație tehnică pentru eventuale reinstalări din greșeală), cu excepția cazului în care legislația UE sau română cere păstrarea acestora.
(2) În timpul derulării contractului: Datele sunt păstrate conform planului tarifar ales sau configurării Operatorului:
(1) Prelucrarea datelor are loc în principal în interiorul UE/SEE. Infrastructura principală de date (DigitalOcean) este localizată geografic în regiunea Frankfurt, Germania / Amsterdam, Olanda (Uniunea Europeană).
(2) Pentru eventualii sub-împuterniciți din țări terțe (ex. SUA), Împuternicitul garantează un nivel adecvat prin Decizii de Adecvare (EU-US Data Privacy Framework) sau Clauze Contractuale Standard (SCCs).
Prezentul DPA este guvernat de **legile din România**. Orice litigiu decurgând din acest acord va fi supus competenței instanțelor judecătorești din România.
| Furnizor | Scop | Locație / Regiune | Bază Garanție GDPR |
|---|---|---|---|
| DigitalOcean, LLC | Găzduire aplicație, servere și baze de date principale | Frankfurt (Germania) / Amsterdam (Olanda) - UE | Stocare în UE. Acord DPA semnat + SCCs |
| Resend Inc. (sau similar) | Trimitere e-mailuri automate de confirmare retur către clienți | Regiunea UE (sau SUA cu conformitate) | EU-US Data Privacy Framework / Clauze Standard (SCCs) |
| Shopify Inc. / Platforma utilizată | Acces API date comenzi pentru verificare | Global / Canada | Decizie de adecvare (Canada) / Contract Shopify |
Prezentul acord devine obligatoriu din punct de vedere juridic în momentul în care Operatorul bifează caseta „Accept termenii DPA pentru prelucrarea datelor” din secțiunea administrativă a Aplicației. Acțiunea, timestamp-ul și ID-ul magazinului sunt înregistrate electronic în baza noastră de date ca dovadă a semnării.