Acord de Prelucrare a Datelor (DPA)

1. Părțile contractante

Operatorul de date este Firma Client — organizația care creează contul și utilizează aplicația Vecto HR pentru administrarea resurselor umane, denumită în continuare Operator.

Împuternicitul / Procesatorul este Vecto, furnizorul platformei SaaS Vecto HR, care prelucrează datele cu caracter personal exclusiv în numele și conform instrucțiunilor Operatorului, în sensul Regulamentului (UE) 2016/679 (GDPR). Contact Procesator: contact@vecto.ro.

2. Obiectul acordului

Prelucrarea datelor are loc prin platforma Vecto HR, în scopul administrării resurselor umane: evidență angajați, salarizare, pontaj, documente de personal, rapoarte, securitate și sănătate în muncă (SSM) și funcționalități conexe.

3. Tipuri de date prelucrate

• date de identificare (nume, prenume, CNP, serie și număr CI);
• date de contact (adresă, telefon, e-mail);
• date bancare (IBAN, bancă) pentru viramente salariale;
• date profesionale (funcție, departament, salariu, vechime, pontaj);
• date medicale doar în măsura necesară SSM (avize medicale, fișe de aptitudine), la instrucțiunea Operatorului.

4. Subcontractanți (sub-împuterniciți)

Procesatorul poate utiliza furnizori de infrastructură, cu obligații contractuale echivalente GDPR și, unde este cazul, garanții pentru transferuri internaționale:

• Vercel — hosting aplicație;
• Neon — bază de date PostgreSQL;
• Cloudflare R2 — stocare fișiere (documente);
• Resend / SMTP configurat de Operator — notificări e-mail.

5. Măsuri de securitate

• criptare AES-256 pentru date sensibile (ex. CNP, IBAN);
• control al accesului pe baza de roluri (RBAC) și izolare multi-tenant;
• jurnal de audit (audit log) pentru acțiuni relevante;
• backup periodic conform configurației tehnice.

6. Durata prelucrării

Prelucrarea durează pe perioada abonamentului activ și, după caz, pe perioada de arhivare impusă de lege sau de instrucțiunile documentate ale Operatorului.

7. Drepturile Operatorului

• să emită instrucțiuni documentate privind prelucrarea și scopurile;
• să solicite informații necesare demonstrării conformității GDPR;
• să efectueze audituri în condiții rezonabile, cu preaviz;
• să solicite returnarea sau ștergerea datelor la încetarea contractului.

8. Obligațiile Procesatorului

• confidențialitate și acces limitat la personal autorizat;
• implementarea măsurilor tehnice și organizatorice adecvate;
• asistență rezonabilă pentru răspunsul la solicitările persoanelor vizate;
• notificarea Operatorului în maximum 72 de ore de la constatarea unei încălcări a securității datelor.

9. Returnarea și ștergerea datelor

La terminarea contractului, Procesatorul returnează sau șterge datele conform instrucțiunilor Operatorului, cu excepția copiilor reținute în backup-uri până la expirarea retenției tehnice sau a obligațiilor legale ale Procesatorului.

10. Semnarea acordului

Prezentul acord este acceptat electronic de Operator la înregistrarea în aplicație, prin bifarea obligatorie a căsuței de acceptare a DPA. Data și identificatorul utilizatorului sunt înregistrate în câmpurile dpaAcceptedAt și dpaAcceptedBy ale organizației.