KinderGuard

Confidențialitate

Termeni

DPA

Acord de Prelucrare a Datelor

Data Processing Agreement (DPA) conform Articolului 28 din Regulamentul (UE) 2016/679 (GDPR)

Ultima actualizare: 27 martie 2026

Versiunea: 1.0

Preambul

Prezentul Acord de Prelucrare a Datelor (denumit în continuare “Acordul” sau “DPA”) este încheiat intre:

  • Operatorul (Data Controller): Grădinița care utilizează platforma KinderGuard, identificată prin contul său pe Platforma (denumită în continuare “Operatorul” sau “Grădinița”).
  • Procesatorul (Data Processor): KinderGuard, platformă SaaS de management al grădinițelor, accesibilă la kinderguard.ro (denumită în continuare “Procesatorul” sau “KinderGuard”).

Prezentul Acord face parte integrantă din contractul de prestări servicii (inclusiv Termenii și Condițiile) încheiat între Operator și Procesator și se aplică de la data la care Operatorul începe să utilizeze Platforma KinderGuard.

Scopul prezentului Acord este de a stabili drepturile și obligațiile părților în ceea ce privește prelucrarea datelor cu caracter personal, în conformitate cu Articolul 28 din GDPR.

1. Obiectul și Durata Prelucrării

1.1. Obiectul

Procesatorul prelucrează date cu caracter personal în numele Operatorului prin intermediul platformei KinderGuard, în scopul furnizarii serviciilor de management al grădiniței, așa cum sunt descrise în Termenii și Condițiile de Utilizare.

1.2. Durata

Prezentul Acord produce efecte pe întreaga durata a utilizării Platformei de către Operator. Obligatiile de confidențialitate și protecție a datelor supraviețuiesc încetării prezentului Acord.

2. Natura și Scopul Prelucrării

Prelucrarea consta în următoarele operațiuni efectuate asupra datelor cu caracter personal, prin mijloace automate:

  • Colectarea și stocarea datelor introduse de Operator și utilizatorii săi autorizați
  • Organizarea și structurarea datelor (repartizare pe clase, relatii părinte-copil)
  • Afisarea și punerea la dispozitie a datelor către utilizatorii autorizați, conform permisiunilor bazate pe roluri
  • Transmiterea de notificări și mesaje (email, notificări în timp real)
  • Procesarea plăților prin intermediul sub-procesatorului Stripe
  • Stocarea fișierelor (fotografii, documente) în stocare securizată in cloud
  • Generarea de rapoarte și statistici agregate
  • Backup-uri automate ale bazei de date
  • Ștergerea sau anonimizarea datelor la cererea Operatorului

3. Tipurile de Date cu Caracter Personal

Procesatorul prelucrează următoarele categorii de date cu caracter personal în numele Operatorului:

CategorieTipuri de dateDate speciale (Art. 9)
Date copiiNume, data nașterii, gen, fotografie, repartizare clasa, prezenta, activități, contact urgențăAlergii, informații medicale (date privind sănătatea)
Date parintiNume, email, telefon, adresa, fotografie profil, preferințe notificări, date autentificare, istoric plati-
Date educatoriNume, email, telefon, fotografie profil, repartizare clase, date autentificare-
Date administratoriNume, email, date autentificare-
Conținut generatMesaje, anunturi, fotografii, documente, evenimente, invitații-
Date financiareFacturi, plăți (procesate prin Stripe — fără date de card)-
Date tehniceSesiuni, token-uri, dispozitive înregistrate, timestamp-uri actiuni-

4. Categorii de Persoane Vizate

Datele cu caracter personal prelucrate privesc următoarele categorii de persoane vizate:

  • Copii înscriși la grădinița (minori)
  • Părinți / Reprezentanti legali ai copiilor înscriși
  • Educatori și personal angajat al grădiniței
  • Administratori ai grădiniței
  • Contacte de urgență desemnate de părinți

5. Obligatiile Procesatorului (KinderGuard)

Procesatorul se obligă sa:

  1. Prelucreze datele cu caracter personal exclusiv conform instrucțiunilor documentate ale Operatorului, inclusiv în ceea ce privește transferurile de date către țări terțe sau organizatii internaționale. Dacă dreptul Uniunii Europene sau dreptul national impune Procesatorului să prelucreze datele, acesta va informa Operatorul înainte de prelucrare, cu excepția cazului în care legea interzice acest lucru.
  2. Se asigure ca persoanele autorizate să prelucreze date cu caracter personal s-au angajat la respectarea confidențialității sau sunt supuse unei obligații legale adecvate de confidențialitate.
  3. Implementeze măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului, conform Art. 32 GDPR (detaliate în Secțiunea 8).
  4. Respecte condițiile privind recurgerea la un alt procesator (sub-procesator), conform Secțiunii 7.
  5. Asiste Operatorul în îndeplinirea obligațiilor de a răspunde cererilor de exercitare a drepturilor persoanelor vizate (Art. 15-22 GDPR), prin măsuri tehnice și organizatorice adecvate.
  6. Asiste Operatorul în asigurarea conformității cu obligațiile privind securitatea prelucrării, notificarea încălcărilor, evaluările de impact și consultarile prealabile (Art. 32-36 GDPR).
  7. La alegerea Operatorului, șteargă sau returneze toate datele cu caracter personal după încetarea prestării serviciilor, și să șteargă copiile existente, cu excepția cazului în care dreptul Uniunii sau dreptul national impune păstrarea datelor (detaliat în Secțiunea 9).
  8. Pună la dispoziția Operatorului toate informațiile necesare pentru demonstrarea conformității cu Art. 28 GDPR și să permită și să contribuie la audituri și inspecții (Secțiunea 10).
  9. Informeze imediat Operatorul dacă, în opinia Procesatorului, o instructiune a Operatorului încalcă GDPR sau alte dispoziții de drept al Uniunii sau de drept national privind protecția datelor.

6. Obligatiile Operatorului (Grădinița)

Operatorul se obligă sa:

  1. Asigure un temei legal valid pentru prelucrarea datelor cu caracter personal (consimțământ, contract, obligație legala sau interes legitim), în conformitate cu Art. 6 și Art. 9 GDPR.
  2. Informeze persoanele vizate (părinți, educatori) cu privire la prelucrarea datelor lor prin intermediul Platformei, inclusiv prin furnizarea unei politici de confidențialitate proprii.
  3. Obtina consimțământul explicit al părinților/ reprezentanților legali pentru prelucrarea fotografiilor copiilor și a informațiilor medicale (categorii speciale de date).
  4. Furnizeze instrucțiuni documentate Procesatorului cu privire la prelucrarea datelor.
  5. Se asigure ca datele introduse în Platformă sunt corecte, actualizate și relevante pentru scopurile prelucrării.
  6. Notifice ANSPDCP în termen de 72 de ore de la luarea la cunoștință a unui incident de securitate, dacă acesta prezintă un risc pentru drepturile persoanelor vizate.
  7. Răspundă cererilor persoanelor vizate privind exercitarea drepturilor lor, cu asistenta Procesatorului.

7. Sub-procesatori

7.1. Autorizație Generala

Prin semnarea prezentului Acord, Operatorul acorda Procesatorului o autorizație generala de a recurge la sub-procesatori pentru îndeplinirea obligațiilor sale, cu respectarea condițiilor de mai jos.

7.2. Lista Sub-procesatorilor

La data prezentului Acord, Procesatorul utilizează următorii sub-procesatori:

Sub-procesatorLocatieScopDate prelucrate
ScalewayFranta (UE)Găzduire infrastructură, stocare obiecte (fișiere, fotografii)Toate datele stocate pe Platforma
NeonUEBază de date PostgreSQL gestionatăToate datele structurate dîn bază de date
StripeUE / SUA (DPF)Procesare plăți și facturiNume, email părinte, sume facturi, date de card (gestionate exclusiv de Stripe)
ResendSUA (SCC)Trimitere email-uri tranzacționaleAdrese de email, nume destinatări, conținut email-uri
PusherUE / UKMesagerie în timp real (WebSockets)Metadate de conexiune (ID canal, ID utilizator) — fără continut mesaje stocat

7.3. Notificarea Modificărilor

Procesatorul va informa Operatorul cu cel putin 30 de zile înainte de orice adăugare sau inlocuire a unui sub-procesator, oferind Operatorului posibilitatea de a se opune modificării.

În cazul în care Operatorul se opune în mod justificat, părțile vor discuta o solutie. Dacă nu se ajunge la un acord, Operatorul poate înceta contractul cu un preaviz de 30 de zile, fără penalitati, cu returnarea tuturor datelor.

7.4. Obligatii pentru Sub-procesatori

Procesatorul se asigură ca fiecarui sub-procesator ii sunt impuse aceleasi obligații de protecție a datelor prevăzute in prezentul Acord, prin contracte scrise. Procesatorul rămâne pe deplin răspunzător fata de Operator pentru îndeplinirea obligațiilor sub-procesatorilor.

8. Măsuri de Securitate

Conform Art. 32 GDPR, Procesatorul implementeaza următoarele măsuri tehnice și organizatorice:

8.1. Măsuri Tehnice

  • Criptare în tranzit: Toate comunicatiile sunt criptate prin TLS 1.2+ (HTTPS)
  • Criptare în repaus: Bază de date și stocarea de obiecte utilizează criptare la nivel de disc
  • Hasharea parolelor: Parolele utilizatorilor sunt hashate cu algoritm bcrypt, nu sunt stocate în text clar
  • Izolarea datelor: Row Level Security (RLS) la nivel de bază de date PostgreSQL asigură izolarea completă a datelor între gradinite
  • Controlul accesului: Role-Based Access Control (RBAC) cu trei niveluri: Administrator, Educator, Părinte
  • Sesiuni securizate: Token-uri de sesiune cu expirare automată, timeout de inactivitate
  • Autentificare securizată: Suport pentru email/parolă și magic link (fara partajare de parole)
  • Backup-uri: Backup-uri automate zilnice ale bazei de date, cu retenție conform politicii furnizorului

8.2. Măsuri Organizatorice

  • Accesul la infrastructură și date este limitat la personalul autorizat al Procesatorului, pe baza principiului “need-to-know”
  • Personalul Procesatorului care are acces la date cu caracter personal este supus obligațiilor de confidențialitate
  • Revizuirea periodică a măsurilor de securitate și actualizarea acestora în funcție de riscuri
  • Proceduri documentate pentru gestionarea incidentelor de securitate

9. Notificarea Încălcărilor de Securitate

În cazul unui incident de securitate care implica date cu caracter personal (“încălcare a securității datelor”), Procesatorul se obligă sa:

  1. Notifice Operatorul fără întârziere nejustificata și în cel mult 48 de ore de la constatarea incidentului.
  2. Furnizeze Operatorului următoarele informații (conform Art. 33(3) GDPR):
    • Natura încălcării, inclusiv categoriile și numărul aproximativ de persoane vizate afectate
    • Numele și datele de contact ale persoanei responsabile
    • Consecintele probabile ale încălcării
    • Măsurile luate sau propuse pentru remedierea încălcării și atenuarea efectelor
  3. Coopereze pe deplin cu Operatorul în investigarea și remedierea incidentului.
  4. Documenta incidentul, inclusiv circumstanțele, efectele și măsurile corective luate.

Nota: Operatorul rămâne responsabil pentru notificarea ANSPDCP (în termen de 72 de ore) și, după caz, a persoanelor vizate afectate, în conformitate cu Art. 33 și Art. 34 GDPR.

10. Audituri și Inspectii

Procesatorul pune la dispoziția Operatorului toate informațiile necesare pentru a demonstra conformitatea cu obligațiile prevăzute în Art. 28 GDPR și permite și contribuie la audituri, inclusiv inspecții, efectuate de Operator sau de un alt auditor desemnat de Operator.

Condiții pentru audituri:

  • Operatorul va notifica Procesatorul cu cel putin 30 de zile înainte de data planificata a auditului.
  • Auditurile se vor desfășura în timpul programului normal de lucru și nu vor perturba în mod nejustificat operațiunile Procesatorului.
  • Operatorul poate efectua maximum un audit pe an, cu excepția cazurilor în care exista indicii de încălcare a prezentului Acord sau a GDPR, sau în cazul în care auditul este solicitat de ANSPDCP.
  • Costurile auditului sunt suportate de Operatorul care solicita auditul.
  • Auditorul este obligat la confidențialitate cu privire la informațiile obținute.

Alternativ, Procesatorul poate pune la dispoziția Operatorului un raport de audit realizat de un auditor independent terț, care să acopere conformitatea cu prezentul Acord.

11. Returnarea și Ștergerea Datelor

La încetarea prestării serviciilor:

  1. Procesatorul va pune la dispoziția Operatorului, la cererea acestuia, un export complet al tuturor datelor cu caracter personal prelucrate, într-un format structurat, utilizat în mod curent și care poate fi citit automat (CSV și/sau JSON).
  2. Procesatorul va oferi o perioada de 30 de zile dupa încetare pentru descărcarea exportului.
  3. După expirarea perioadei de 30 de zile (sau imediat, la cererea expresă a Operatorului), Procesatorul va șterge irevocabil toate datele cu caracter personal de pe serverele sale și din backup-uri, în termen de maximum 60 de zile.
  4. Procesatorul va confirma în scris ștergerea completă a datelor.
  5. Excepție: Procesatorul poate pastra datele dacă dreptul Uniunii sau dreptul national impune stocarea (de exemplu, date fiscale), caz în care va informa Operatorul și va limita prelucrarea la păstrare.

12. Transferuri Internaționale

Datele cu caracter personal sunt stocate și prelucrate prioritar in Uniunea Europeană.

În cazul în care un sub-procesator se afla în afara Spatiului Economic European, Procesatorul se asigură ca transferul se realizează în baza unuia dintre următoarele mecanisme:

  • Decizie de adecvare a Comisiei Europene (inclusiv EU-US Data Privacy Framework)
  • Clauze contractuale standard (SCC) adoptate de Comisia Europeană
  • Reguli corporatiste obligatorii (BCR) aprobate

Procesatorul nu va transfera date cu caracter personal către o tara terță fără garanții adecvate conform Art. 46 GDPR și fără informarea prealabilă a Operatorului.

13. Asistenta pentru Drepturile Persoanelor Vizate

Procesatorul asista Operatorul, prin măsuri tehnice și organizatorice adecvate, în îndeplinirea obligației de a răspunde cererilor de exercitare a drepturilor persoanelor vizate:

  • Dreptul de acces (Art. 15): Exportul datelor personale ale persoanei vizate
  • Dreptul la rectificare (Art. 16): Interfata de editare a profilurilor și datelor
  • Dreptul la ștergere (Art. 17): Functionalitate de ștergere a conturilor și datelor asociate
  • Dreptul la restricționare (Art. 18): Posibilitatea de dezactivare a conturilor
  • Dreptul la portabilitate (Art. 20): Export de date în format CSV/JSON
  • Dreptul la opozitie (Art. 21): Facilitarea dezactivării prelucrării specifice

Procesatorul va răspunde cererilor Operatorului privind asistenta pentru drepturile persoanelor vizate în termen de maximum 10 zile lucratoare.

14. Răspunderea

Fiecare parte este responsabilă pentru daunele cauzate de o prelucrare care încalcă prezentul Acord sau GDPR, în conformitate cu Art. 82 GDPR.

Procesatorul este răspunzător doar în măsura în care nu si-a îndeplinit obligațiile impuse în mod specific procesatorilor prin GDPR sau a actionat în afara sau contrar instrucțiunilor legale ale Operatorului.

15. Legea Aplicabilă

Prezentul Acord este guvernat de legea română, inclusiv Regulamentul (UE) 2016/679 (GDPR) și Legea nr. 190/2018. Orice litigii decurgând din sau în legătură cu prezentul Acord vor fi soluționate conform prevederilor din Termenii și Condițiile de Utilizare.

16. Contact

Pentru orice aspecte legate de prezentul Acord sau de prelucrarea datelor cu caracter personal:

  • Procesator (KinderGuard): contact@kinderguard.ro
  • Operator (Grădinița): Datele de contact sunt disponibile în setările contului pe Platforma.

Prezentul Acord intra în vigoare la data la care Operatorul începe să utilizeze Platforma KinderGuard și rămâne valabil pe întreaga durata a utilizării serviciilor.