Data Processing Agreement (DPA)

Contract de prelucrare a datelor conform Art. 28 GDPR pentru parteneri-asigurători.

Notă: Acesta e un sumar al DPA-ului. Versiunea contractuală semnată personal pentru fiecare partener, pe hârtie, e disponibilă la cerere. Scrie-ne pentru a primi draftul complet în format Word pentru review legal intern.

Părțile

Amiabila acționează în dublă calitate față de datele personale procesate prin platformă:

  • Ca operator (controller) pentru datele utilizatorilor direcți ai platformei (șoferii care completează constatări).
  • Ca procesator (processor) când livrezi un raport asigurătorului X, asigurătorul X devine controller pentru acel raport, iar Amiabila rămâne procesator.

Tipul datelor procesate

  • Nume, prenume, IDNP
  • Număr de telefon, email
  • Plăci de înmatriculare, VIN
  • Coordonate GPS ale locului accidentului
  • Fotografii ale accidentului (pot conține terțe persoane în fundal)
  • Semnături electronice

Scop + temei legal

Prelucrarea are temei în (a) executarea contractului — constatarea amiabilă e ea însăși un document contractual între părți + asigurători, și (b) interes legitim al asigurătorului de a primi datele necesare procesării dosarelor de daună.

Durata + ștergere

Datele se păstrează 10 ani (Art. 1006 Cod Civil MD, termen de prescripție asigurări). După 3 ani, numele/telefonul/IDNP se anonimizează automat, păstrându-se doar statisticile și PDF-ul original sigilat legal.

Sub-procesatori

Infrastructura e self-hosted în Republica Moldova. Niciun sub-procesator SaaS pentru datele personale. Singurele servicii terțe:

  • Let's Encrypt — certificate TLS (nu văd date personale)
  • Sentry (EU region) — error tracking cu scrubbing PII activ
  • Google Analytics — opțional, IP anonimizat, doar cu consimțământ

Adăugarea oricărui nou sub-procesator necesită notificare cu 30 de zile înainte; partenerul poate obiecta.

Măsuri tehnice + organizatorice

Detaliile complete sunt la /security. Rezumat: TLS 1.3 forțat, RLS pe toate tabelele cu PII, secret hashing + pepper, webhook-uri semnate HMAC, izolare test/live completă.

Incident + notificare breach

Notificăm partenerul + CNPDCP în 72h de la detecție, conform GDPR Art. 33. Canal de comunicare: security@amiabila.md + contactul tehnic dedicat al partenerului stabilit la onboarding.

Semnează DPA-ul

Scrie-ne la legal@amiabila.md cu numele companiei + IDNO + persoana de contact legal. Trimitem varianta PDF în 1 zi lucrătoare.