Acord de Prelucrare a Datelor (DPA)
Ultima actualizare: 17 aprilie 2026
Conform Regulamentului (UE) 2016/679 (GDPR), Art. 28
1. Părțile
Operator de date (Controller): Utilizatorul platformei Roxane — contabilul / cabinetul contabil care utilizează serviciile pentru clienții săi.
ROXANE DIGITAL S.R.L. — Împuternicit (Processor)
CUI: 54496800
Nr. Reg. Com.: J2026025189009
Sediul social: Sat Hințești, Comuna Moșoaia, Str. Dealului, Nr. 6H, Județul Argeș, România
Reprezentant legal: Dumitru Florin (Administrator)
Contact DPO: privacy@roxane.ro
2. Obiectul prelucrării
Prezentul acord reglementează prelucrarea datelor cu caracter personal efectuată de Împuternicit în numele Operatorului prin intermediul platformei Roxane, în scopul furnizării serviciilor de informare fiscală, management clienți, generare calendar fiscal, analiză documente și asistență AI.
3. Durata prelucrării
Prelucrarea se desfășoară pe toată perioada în care Operatorul utilizează activ platforma Roxane. La încetarea contractului, datele sunt șterse conform politicii de retenție, cu excepția cazurilor în care legea impune păstrarea lor.
4. Natura și scopul prelucrării
- Stocarea și gestionarea datelor clienților contabilului
- Procesarea conversațiilor AI pentru informare fiscală
- Analiza documentelor fiscale uploadate
- Generarea calendarului fiscal și a checklist-urilor
- Furnizarea de calcule și informații fiscale
5. Tipul datelor prelucrate
- CUI / CIF al firmelor client
- Denumire firmă, adresă sediu social
- Date fiscale: regim fiscal, TVA, declarații
- Date de contact ale persoanelor fizice: email, telefon
- Conținutul documentelor fiscale uploadate
- Conținutul conversațiilor AI
6. Categoriile de persoane vizate
- Contabilii și angajații cabinetului contabil (utilizatori ai platformei)
- Reprezentanții legali ai firmelor client
- Persoane fizice ale căror date apar în documentele uploadate
7. Obligațiile Împuternicitului
- Confidențialitate: Toate persoanele care prelucrează datele sunt obligate la confidențialitate.
- Măsuri tehnice: Criptare TLS în tranzit, Row-Level Security (RLS) la nivel de bază de date, izolarea datelor per organizație.
- Asistență GDPR: Sprijin în exercitarea drepturilor persoanelor vizate (acces, rectificare, ștergere, portabilitate).
- Notificare: Notificarea Operatorului în maximum 72 de ore de la constatarea unui incident de securitate.
- Ștergere la încetare: La încetarea contractului, toate datele personale sunt șterse sau returnate Operatorului, la alegerea acestuia.
8. Sub-procesatori
| Sub-procesator | Scop | Localizare |
|---|---|---|
| Supabase Inc. | Stocare date, autentificare, storage fișiere | Frankfurt, DE (UE) |
| Vercel Inc. | Hosting aplicație web | Frankfurt, DE (UE) |
| Anthropic PBC | Procesare AI pe trei niveluri: (a) Claude Haiku pentru clasificarea întrebărilor și generarea titlurilor de conversații; (b) Claude Sonnet pentru răspunsurile fiscale standard și procesarea conținutului documentelor uploadate (procesare separată pentru extragerea datelor); (c) Claude Opus pentru Analizele Aprofundate (spețe complexe — serviciu separat, Art. 2-bis din Termeni). | SUA. Datele pot fi transferate în afara SEE conform Clauzelor Contractuale Standard (SCC) și termenilor Anthropic. |
9. Transferuri internaționale
Datele sunt stocate în UE (Frankfurt, Germania). Procesarea AI prin Anthropic poate implica transferuri în afara Spațiului Economic European, efectuate pe baza Clauzelor Contractuale Standard (SCC) aprobate de Comisia Europeană. Vezi secțiunea Sub-procesatori pentru detalii.
10. Dreptul de audit
Operatorul are dreptul de a efectua sau de a solicita audituri pentru a verifica conformitatea Împuternicitului cu prezentul acord, cu notificare prealabilă rezonabilă.
11. Legea aplicabilă
Prezentul acord este guvernat de legislația română și de Regulamentul (UE) 2016/679 (GDPR). Orice dispută va fi soluționată de instanțele competente din România.
12. Responsabilul cu protecția datelor (DPO)
ROXANE DIGITAL S.R.L. a desemnat un punct de contact pentru protecția datelor. Orice solicitare GDPR poate fi adresată la: privacy@roxane.ro. Termenul de răspuns este de maximum 30 de zile calendaristice.
13. Evaluarea impactului asupra protecției datelor (DPIA)
O evaluare a impactului asupra protecției datelor (DPIA) este disponibilă la cerere pentru Operatorii care necesită acest document în cadrul obligațiilor lor GDPR.