← Înapoi

Acord de prelucrare a datelor (DPA)

Anexa nr. 1 la Termenii și Condițiile platformei — încheiat în temeiul art. 28 din Regulamentul (UE) 2016/679 (GDPR). Versiunea 1.0 — 11 iunie 2026.

1. Rolurile părților

Clientul este Operator (art. 4 pct. 7 GDPR) al Datelor Comenzi. GEEMAG S.R.L. este Persoană împuternicită (art. 4 pct. 8 GDPR) și prelucrează Datele Comenzi exclusiv în numele și pe seama Operatorului.

2. Descrierea prelucrării (art. 28 alin. (3) GDPR)

ObiectulContactarea Cumpărătorilor pentru feedback/recenzie onestă și expedierea unui Cadou
DurataDurata contractului de prestări servicii
NaturaColectare (prin contul eMAG/alte surse ale Operatorului), stocare, organizare, consultare, apelare telefonică, transmitere către curier (AWB), transmitere link Cadou (cu acord), arhivare, ștergere
ScopulSolicitarea de feedback și recenzii oneste; livrarea Cadourilor; raportare către Operator
Tipuri de dateNume, prenume, telefon, e-mail (unde există), adresă de livrare (inclusiv easybox), produs, ID comandă, status contactare, acord WhatsApp. NU se prelucrează CNP sau categorii speciale de date (art. 9 GDPR).
Persoane vizateCumpărătorii Operatorului (clienții finali ai comenzilor extrase)

3. Instrucțiunile Operatorului — art. 28(3)(a)

Împuternicitul prelucrează Datele Comenzi numai pe baza instrucțiunilor documentate ale Operatorului: prezentul DPA, setările configurate de Operator în Platformă (filtre, excluderi, intervale) și scriptul-cadru de apel. Împuternicitul informează imediat Operatorul dacă, în opinia sa, o instrucțiune încalcă GDPR sau alte dispoziții legale.

4. Confidențialitate — art. 28(3)(b)

Persoanele autorizate să prelucreze Datele Comenzi (agenți, personal tehnic) s-au angajat în scris la confidențialitate și sunt instruite periodic privind protecția datelor.

5. Securitatea prelucrării — art. 28(3)(c), art. 32

Criptare în tranzit (HTTPS/TLS), parole criptate (bcrypt), sesiuni cu token, control de acces pe roluri (fiecare Operator își vede doar propriile date), infrastructură izolată în containere, jurnalizare, copii de rezervă, găzduire în Uniunea Europeană, ștergere automată conform Politicii de retenție (pct. 13).

6. Sub-împuterniciți — art. 28(2), (4), (3)(d)

Operatorul acordă o autorizare generală pentru sub-împuterniciții de la pct. 14. Împuternicitul notifică Operatorul cu cel puțin 15 zile înainte de adăugarea/înlocuirea unui sub-împuternicit; Operatorul poate obiecta justificat, caz în care poate denunța contractul fără penalități. Împuternicitul impune sub-împuterniciților aceleași obligații și rămâne pe deplin răspunzător pentru aceștia.

Transferurile în afara SEE (ex. Anthropic — SUA) sunt acoperite de EU-US Data Privacy Framework și/sau clauze contractuale standard (SCC). Datele Comenzi nu se folosesc pentru antrenarea modelelor AI. Curierii acționează, pentru transportul propriu-zis, ca operatori independenți în temeiul legislației poștale.

7. Asistență pentru drepturile persoanelor vizate — art. 28(3)(e)

Împuternicitul transmite Operatorului, în cel mult 72 de ore, orice cerere a unei persoane vizate (acces, rectificare, ștergere, opoziție — art. 12–23 GDPR) și îl asistă la soluționare. Opoziția la marketing direct (art. 21(2) GDPR) se execută imediat și necondiționat — persoana nu mai este contactată (listă de opoziție per Operator).

8. Asistență art. 32–36 — art. 28(3)(f)

Împuternicitul notifică Operatorului orice încălcare a securității datelor fără întârzieri nejustificate (țintă: 48 de ore de la luarea la cunoștință), cu informațiile prevăzute la art. 33 alin. (3) GDPR, și cooperează la notificarea ANSPDCP/persoanelor vizate. Asistă, la cerere, la evaluările de impact (DPIA).

9. Ștergerea sau returnarea datelor — art. 28(3)(g)

  • Pe durata contractului: ștergere automată conform Politicii de retenție (pct. 13).
  • La încetare, la alegerea Operatorului exprimată în 15 zile: (a) returnarea Datelor Comenzi (export electronic) urmată de ștergere; sau (b) ștergerea integrală, inclusiv a copiilor, în cel mult 30 de zile, cu confirmare scrisă. Fac excepție datele a căror păstrare este impusă de lege (ex. facturile dintre părți — Legea 82/1991). În lipsa unei opțiuni, datele se șterg conform lit. (b).

10. Audit și informații — art. 28(3)(h)

Împuternicitul pune la dispoziția Operatorului informațiile necesare pentru demonstrarea conformității cu art. 28 GDPR și permite auditări efectuate de Operator sau de un auditor mandatat, cu preaviz de 15 zile lucrătoare, maximum o dată pe an, în timpul programului de lucru, pe costul Operatorului, fără acces la datele altor clienți.

11. Registrul prelucrărilor

Împuternicitul ține registrul activităților de prelucrare efectuate în numele Operatorului (art. 30 alin. (2) GDPR).

12. Răspundere

Răspunderea urmează art. 82 GDPR: Operatorul răspunde pentru legalitatea scopului și temeiului; Împuternicitul răspunde pentru neîndeplinirea obligațiilor specifice împuterniciților sau pentru acțiunile în afara/contrare instrucțiunilor licite ale Operatorului (art. 28(10) GDPR).

13. Politica de retenție (implementată tehnic în Platformă)

PDF AWB14 zile de la generare → ștergere automată (inclusiv linkul public)
Comenzi rezolvate~31 de zile de la extragere → arhivare automată + ștergerea capturii recenziei (rămâne doar indicatorul statistic)
Comenzi (orice status)după 40 de zile de la extragere → pot fi șterse definitiv de Operator
Listă opozițiepe durata contractului — păstrare ca dată minimă de blocare (do-not-call)
Acord WhatsApppe durata contractului — dovadă conformitate Legea 506/2004
Facturi GEEMAG ↔ Operator5 ani (Legea 82/1991) — nu conțin date ale Cumpărătorilor

14. Sub-împuterniciți autorizați

Hetzner Online GmbHGăzduire infrastructură — Germania (UE)
Curieri (Sameday etc.)Generare AWB, livrare Cadou — România (conturile Operatorului)
Furnizor e-mailE-mailuri tranzacționale — UE/SUA (SCC)
Meta (WhatsApp Business)Mesaje numai cu acordul Cumpărătorului — UE/SUA (SCC/DPF)
Anthropic PBCFuncții de asistență AI, fără Date Comenzi sau pseudonimizat — SUA (DPF/SCC)

15. Script-cadru de apel (informare art. 14 GDPR)

„Bună ziua, numele meu este [agent] și vă sun din partea [denumirea Clientului], magazinul de la care ați cumpărat recent [produs] pe eMAG. Datele dvs. de contact le avem din comanda dvs. eMAG, iar [Clientul] dorește să afle părerea dvs. despre produs. Apelul durează un minut — doriți să continuăm? [...] Pentru că părerea clienților contează, [Clientul] vă oferă un cadou dacă lăsați o recenzie sinceră pe eMAG — indiferent de nota pe care o acordați. Doriți să vă trimitem linkul cadoului pe WhatsApp? [acordul se consemnează] Vă reamintesc că vă puteți opune oricând acestor apeluri. Detalii: voceaclientului.com/politica-confidentialitate."

Interdicții pentru agenți: condiționarea cadoului de o recenzie pozitivă; solicitarea modificării/ștergerii recenziilor negative; reapelarea persoanelor din lista de opoziție; trimiterea de WhatsApp/e-mail fără acord consemnat.