Acord de Prelucrare a Datelor (DPA)
Ultima actualizare: 9 mai 2026
Conform Regulamentului (UE) 2016/679 (GDPR), Art. 28
1. Părțile
Operator de date (Controller): Utilizatorul platformei Roxane — contabilul / cabinetul contabil care utilizează serviciile pentru clienții săi.
ROXANE DIGITAL S.R.L. — Împuternicit (Processor)
CUI: RO54496800
Nr. Reg. Com.: J2026025189009
Sediul social: Sat Hințești, Comuna Moșoaia, Str. Dealului, Nr. 6H, Județul Argeș, România
Reprezentant legal: Dumitru Florin (Administrator)
Contact DPO: privacy@roxane.ro
2. Obiectul prelucrării
Prezentul acord reglementează prelucrarea datelor cu caracter personal efectuată de Împuternicit în numele Operatorului prin intermediul platformei Roxane, în scopul furnizării serviciilor de informare fiscală, management clienți, generare calendar fiscal, analiză documente și asistență AI.
3. Durata prelucrării
Prelucrarea se desfășoară pe toată perioada în care Operatorul utilizează activ platforma Roxane. La încetarea contractului, datele sunt șterse conform politicii de retenție, cu excepția cazurilor în care legea impune păstrarea lor.
4. Natura și scopul prelucrării
- Stocarea și gestionarea datelor clienților contabilului
- Procesarea conversațiilor AI pentru informare fiscală
- Analiza documentelor fiscale uploadate
- Generarea calendarului fiscal și a checklist-urilor
- Furnizarea de calcule și informații fiscale
5. Tipul datelor prelucrate
- CUI / CIF al firmelor client
- Denumire firmă, adresă sediu social
- Date fiscale: regim fiscal, TVA, declarații
- Date de contact ale persoanelor fizice: email, telefon
- Conținutul documentelor fiscale uploadate
- Conținutul conversațiilor AI
6. Categoriile de persoane vizate
- Contabilii și angajații cabinetului contabil (utilizatori ai platformei)
- Reprezentanții legali ai firmelor client
- Persoane fizice ale căror date apar în documentele uploadate
7. Obligațiile Împuternicitului
- Confidențialitate: Toate persoanele care prelucrează datele sunt obligate la confidențialitate.
- Măsuri tehnice: Criptare TLS în tranzit, Row-Level Security (RLS) la nivel de bază de date, izolarea datelor per organizație.
- Asistență GDPR: Sprijin în exercitarea drepturilor persoanelor vizate (acces, rectificare, ștergere, portabilitate).
- Notificare: Notificarea Operatorului în maximum 72 de ore de la constatarea unui incident de securitate.
- Ștergere la încetare: La încetarea contractului, toate datele personale sunt șterse sau returnate Operatorului, la alegerea acestuia.
8. Sub-procesatori
| Sub-procesator | Scop | Localizare |
|---|---|---|
| Supabase Inc. | Stocare date, autentificare, storage fișiere | Frankfurt, DE (UE) |
| Vercel Inc. | Hosting aplicație web | Frankfurt, DE (UE) |
| Anthropic PBC | Procesare AI pe trei niveluri: (a) Claude Haiku pentru clasificarea întrebărilor și generarea titlurilor de conversații; (b) Claude Sonnet pentru răspunsurile fiscale standard și procesarea conținutului documentelor uploadate (procesare separată pentru extragerea datelor); (c) Claude Opus pentru Analizele Aprofundate (spețe complexe — serviciu separat, Art. 2-bis din Termeni). | SUA. Datele pot fi transferate în afara SEE conform Clauzelor Contractuale Standard (SCC) și termenilor Anthropic. |
| Google LLC | Autentificare utilizatori prin Google OAuth 2.0. Date prelucrate: adresă email, nume complet (dacă disponibil în profil), identifier Google unic (sub-claim). Bază legală GDPR: Art. 6(1)(b) — executarea contractului (autentificarea este pre-condiție pentru accesul la serviciu). Politică confidențialitate · DPA Google. | Global. Transfer internațional acoperit prin Standard Contractual Clauses (SCC) ale Comisiei Europene. |
| Stripe Payments Europe Ltd. | Procesare plăți și gestionare abonamente. Date prelucrate: email, nume, ID Stripe Customer, metadata abonament. Datele de card sunt procesate exclusiv de Stripe; Roxane nu are acces la numere de card sau CVV. DPA Stripe. | Irlanda (UE) + transfer parental Stripe Inc. (SUA) prin SCC. PCI DSS Level 1. |
| Oblio Software S.R.L. | Emitere facturi fiscale către Operatorii cu abonament plătit și transmitere e-Factura în SPV ANAF. Date prelucrate: denumire firmă Operator, CUI, adresă sediu, email facturare, sumă, descriere serviciu. Termeni Oblio. | România (Cluj). Intra-UE. Conformitate ANAF e-Factura. |
| Sentry (Functional Software, Inc.) | Monitorizare erori aplicație și performanță, exclusiv pentru detectarea și remedierea problemelor tehnice. Date prelucrate: stack trace, ID utilizator (pseudonimizat), URL pagină, browser. Nu se transmit conținutul conversațiilor, documentelor sau parolele. DPA Sentry. | SUA. Transfer prin SCC. ISO 27001, SOC 2 Type II. |
| Zoho Corporation B.V. | Email tranzacționale (SMTP relay pentru autentificare, notificări serviciu) și mailbox-uri operaționale (contact@, privacy@, facturare@, noreply@roxane.ro). Date prelucrate: adresa email a destinatarului, conținutul mesajului tranzacțional. Politică Zoho. | UE (Olanda) — instanță Zoho EU dedicată. Intra-UE. ISO 27001, SOC 2. |
8.bis. Procedura de modificare a sub-procesatorilor
Conform Art. 28(2) GDPR, Împuternicitul informează Operatorul cu privire la orice intenție de adăugare sau înlocuire a unui sub-procesator, cu cel puțin 30 de zile calendaristice înainte de activarea acestuia.
Notificarea se transmite prin email la adresa de contact a Operatorului și prin actualizarea publică a prezentei secțiuni 8. Operatorul are dreptul de a obiecta motivat în termen de 30 de zile de la primirea notificării. În cazul unei obiecții pe care părțile nu o pot rezolva amiabil, Operatorul are dreptul de a rezilia contractul fără penalități, cu retenție pro-rata pentru perioada neutilizată.
Lista actualizată a sub-procesatorilor este publicată permanent la www.roxane.ro/dpa. Data ultimei modificări este indicată la începutul prezentului document.
9. Transferuri internaționale
Datele sunt stocate în UE (Frankfurt, Germania). Procesarea AI prin Anthropic poate implica transferuri în afara Spațiului Economic European, efectuate pe baza Clauzelor Contractuale Standard (SCC) aprobate de Comisia Europeană. Vezi secțiunea Sub-procesatori pentru detalii.
10. Dreptul de audit
Operatorul are dreptul de a efectua sau de a solicita audituri pentru a verifica conformitatea Împuternicitului cu prezentul acord, cu notificare prealabilă rezonabilă.
11. Legea aplicabilă
Prezentul acord este guvernat de legislația română și de Regulamentul (UE) 2016/679 (GDPR). Orice dispută va fi soluționată de instanțele competente din România.
12. Responsabilul cu protecția datelor (DPO)
ROXANE DIGITAL S.R.L. a desemnat un punct de contact pentru protecția datelor. Orice solicitare GDPR poate fi adresată la: privacy@roxane.ro. Termenul de răspuns este de maximum 30 de zile calendaristice.
13. Evaluarea impactului asupra protecției datelor (DPIA)
O evaluare a impactului asupra protecției datelor (DPIA) este disponibilă la cerere pentru Operatorii care necesită acest document în cadrul obligațiilor lor GDPR.