Documentație structurată pentru decizii rapide: ce date colectăm, ce nu colectăm, cum păstrăm controlul în afara programului și cum demonstrăm conformitatea în audit.
Entity Verified
ADAPT INDUSTRIES SRL | CUI 40595773
Audit-Ready Package
Pachet documentar public + evidențe suplimentare la cerere (NDA)
GDPR Model Clar
Client = Operator | PontajAutomat = Processor
Legal by design
Controalele de confidențialitate sunt definite din faza de produs, nu adăugate ulterior.
Trasabilitate completă
Deciziile, accesările și evenimentele relevante au audit trail pentru verificări interne sau externe.
Minimizare date
Datele sunt colectate strict pentru pontaj, conformitate și operarea legitimă a serviciului.
Control pe drepturi
Flux dedicat pentru acces, rectificare, ștergere, opoziție și răspuns în termenul GDPR.
Evenimente de pontaj (check-in/check-out, tură, proiect).
Date tehnice minime pentru securitate, audit și funcționare.
Preferințe de consimțământ pentru cookie-uri și tracking non-esențial.
Date necesare procesării cererilor privind drepturile GDPR.
Monitorizare continuă a vieții private în afara scopului de pontaj.
Date personale din telefon care nu au legătură cu serviciul (contacte, mesaje, galerii personale).
Utilizare secundară incompatibilă cu scopurile declarate de conformitate și operare.
Date păstrate pe termen nelimitat fără justificare legală.
Pentru due diligence, separăm explicit cele două fluxuri de prelucrare: website/admin și datele angajaților din platforma clientului.
ADAPT INDUSTRIES SRL este Operator pentru datele colectate prin website și conturi administrative.
Categorii: Lead-uri B2B, date de cont admin, date suport, date tehnice și cookies.
Temei: Art. 6(1)(b), 6(1)(c), 6(1)(f), 6(1)(a) GDPR, în funcție de scop.
Angajatorul client este Operator, iar PontajAutomat este Persoană Împuternicită conform DPA.
Categorii: Pontaj, geofence/localizare relevantă, loguri de audit, date operaționale de proiect.
Temei: Instrucțiunile Operatorului + DPA art. 28 + obligațiile legale ale Operatorului.
Setul de documente juridice și operaționale este structurat pentru revizuire procurement/legal și pentru implementare contractuală.
| Doc | Document | Utilitate | Semnare | Acces | Status | Fișier |
|---|---|---|---|---|---|---|
| 00 | Index Legal Pack | Inventar complet + mapare rapidă pentru audit/procurement. | Referință | Public | Disponibil | |
| 01 | Protection Summary | Rezumat executiv al protecțiilor legale și operaționale. | Referință | Public | Disponibil | |
| 02 | MSA - Contract-cadru | Termeni comerciali și operaționali B2B. | Semnare obligatorie | Public | Disponibil | |
| 03 | Order Form | Configurație comercială, prețuri și activare servicii. | Semnare obligatorie | Public | Disponibil | |
| 04 | DPA (GDPR Art. 28) | Roluri Operator/Processor, instrucțiuni, subprocesatori, transferuri. | Semnare obligatorie | Public | Disponibil | |
| 05 | AUP | Reguli de utilizare acceptabilă și limite operaționale. | Acceptare în aplicație | Public | Disponibil | |
| 06 | SLA suport | Timpi de răspuns, prioritizare și escaladare. | Anexă contractuală | Public | Disponibil | |
| 07 | Security Pack (TOMs + retenții) | Măsuri art. 32 GDPR, incident response și retenție. | Anexă contractuală | Public | Disponibil | |
| 08 | Privacy & Cookies | Informare website/admin + politică cookies. | Public | Public | Disponibil | |
| 09 | Raport audit GDPR | Constatări, gap-uri, plan de remediere și evidențe. | Review legal | Public | Disponibil | |
| 10 | Integration Guide | Ghid procedural pentru onboarding legal + operațional. | Referință | Public | Disponibil | |
| 11 | Checklist Due Diligence (pontaj + geofence) | Checklist procurement/legal pentru evaluare vendor. | Referință due diligence | Public | Disponibil | |
| 12 | Questionnaire Enterprise (Privacy + Security) | Set de întrebări standard pentru review juridic + IT security. | Referință due diligence | Public | Disponibil |
Departamentul juridic poate separa rapid ce este disponibil imediat și ce se livrează controlat pe canal legal/confidențial.
| Artefact | Disponibilitate | Canal de acces |
|---|---|---|
| DPA (Art. 28) + anexe contractuale | Public | Legal Pack |
| TOMs + politică de retenție | Public | Legal Pack |
| Listă subprocesatori (sumar operațional) | Public | Centru Conformitate + Legal Pack |
| SCC / documente transfer extra-SEE | La cerere (NDA) | Canal juridic dedicat |
| Pachet evidențe tehnice (log samples, runbook detaliat) | La cerere (NDA) | Canal juridic + security |
| Model DPIA/LIA pentru localizare | Public | Security Pack (checklist + template) |
Actualizarea listei de subprocesatori și regimul de notificare/opțiune se operează contractual prin DPA și Order Form.
Format de tip întrebare-răspuns, construit pentru legal/procurement cu focus pe încredere, claritate și dovezi verificabile.
Întrebare 1
Răspuns
Pagina oferă o imagine clară și rapidă asupra modelului juridic, controalelor GDPR și guvernanței operaționale, astfel încât legal/procurement să decidă dacă intră în due diligence complet.
Dovadă: Roluri GDPR, matrice controale, retenții numerice, subprocesatori, DSAR, cookies, contacte juridice.
Întrebare 2
Răspuns
Semnarea se bazează pe pachetul contractual complet (MSA, DPA, TOMs, SLA, anexe), iar pagina publică funcționează ca index de orientare și trasabilitate.
Dovadă: Legal Pack public + artefacte la cerere (SCC/TIA și evidențe extinse) pe canal juridic dedicat.
Întrebare 3
Răspuns
Nu. Pagina este construită ca index de încredere și orientare; semnarea enterprise presupune validare contractuală completă pe MSA, DPA, TOMs, SLA și anexe.
Dovadă: Documente publice + workflow de clarificări juridice și security pe canal dedicat.
Întrebările frecvente din audit enterprise sunt tratate direct, în format factual, fără limbaj care creează dubii.
Întrebare 1
Răspuns
Colectarea este orientată pe evenimente relevante de pontaj/geofence, cu control off-hours și opțiune de fallback manual atunci când localizarea nu este adecvată.
Evidență: Parametri publici localizare + schedule guard + matrice retenție + model DPIA/LIA.
Întrebare 2
Răspuns
Transferurile sunt guvernate contractual prin DPA și, unde este cazul, prin mecanisme suplimentare (SCC/TIA), cu clarificări pe canal juridic dedicat.
Evidență: Tabel public subprocesatori + secțiune transparentă „public vs. la cerere”.
Întrebare 3
Răspuns
Utilizarea este delimitată contractual la onboarding, cu scop explicit, flux de date documentat și control operațional stabilit împreună cu Operatorul.
Evidență: Anexe contractuale + clarificări formalizate în etapa de due diligence.
Întrebare 4
Răspuns
Configurația recomandată minimizează colectarea și separă scopurile; pentru scenarii sensibile, Operatorul este asistat cu DPIA/LIA, politici interne și setări restrictive.
Evidență: Model DPIA/LIA + parametri de minimizare + suport juridic în onboarding.
Întrebare 5
Răspuns
Există un security baseline public pentru evaluare rapidă și un pachet extins de evidențe tehnice disponibil controlat pentru audit enterprise.
Evidență: Security baseline public + Security Pack + evidențe tehnice la cerere.
Întrebare 6
Răspuns
Regulile de program (schedule guard) blochează sau marchează evenimentele în afara programului, iar deciziile sunt trasabile prin audit trail.
Evidență: Control dedicat în matrice + setări program + jurnal de evenimente.
Întrebare 7
Răspuns
Documentele publice oferă baseline-ul contractual; în etapa de negociere se pot agrea clarificări/addendum pentru termeni specifici de risc, responsabilitate și guvernanță.
Evidență: MSA + Order Form + DPA, cu traseu formal de comentarii juridice.
Fiecare punct este prezentat în format întrebare-răspuns, gata pentru review juridic și IT security.
Q1
Ce date de localizare se stochează exact: coordonate, status geofence sau ambele?
R: Implicit se prioritizează evenimentele de pontaj și statusul geofence; coordonatele sunt limitate la cazurile în care localizarea este activată de Operator pentru scop legitim.
Q2
Cum este limitată colectarea localizării în afara sesiunii de lucru?
R: Regulile de tip schedule guard restrâng prelucrările off-hours, iar evenimentele neconforme sunt blocate sau marcate pentru review uman.
Q3
Care sunt retențiile numerice și cum se verifică ștergerea automată?
R: Retențiile sunt publicate pe categorii (ex. snapshots 30 zile, pontaj 10 ani), iar execuția ștergerii este trasabilă prin loguri și rapoarte operaționale.
Q4
Cum sunt gestionate transferurile extra-SEE pentru subprocesatori relevanți?
R: Transferurile sunt acoperite prin mecanisme contractuale adecvate (inclusiv SCC/TIA unde este cazul), cu detalii disponibile pe canal juridic dedicat.
Q5
Cum este notificat Operatorul în caz de incident de securitate?
R: Există procedură de incident response și notificare fără întârzieri nejustificate, astfel încât Operatorul să poată respecta obligațiile GDPR (inclusiv fereastra de 72h).
Q6
Ce controale administrative de securitate sunt active?
R: Controlul accesului este bazat pe roluri, cu autentificare întărită, jurnalizare audit și măsuri de izolare multi-tenant pentru prevenirea accesului neautorizat.
Q7
Cum este asistat Operatorul pe DSAR?
R: Fluxul DSAR include înregistrare, verificare identitate, execuție și audit trail, cu SLA intern și suport pentru răspuns în termenul legal.
Q8
Ce se întâmplă cu datele la încetarea contractului?
R: Datele sunt returnate/exportate și șterse conform clauzelor contractuale și politicii de retenție, cu trasabilitate pentru audit.
Q9
Cum sunt tratate scenariile în care datele ar putea indica absențe medicale?
R: Se aplică minimizarea datelor, delimitarea scopului și controlul accesului, iar Operatorul stabilește politicile finale cu suport documentar pentru conformitate.
Q10
Cum procedăm dacă departamentul juridic cere ajustări pe clauzele MSA?
R: Procesul standard este review pe baseline-ul public și consolidare într-un addendum/versiune negociată, fără a afecta trasabilitatea obligațiilor GDPR.
Tabel de lucru pentru juridic: scop, locație, existență transfer și mecanism de protecție contractuală aplicat.
| Furnizor | Scop | Locație | Transfer extra-SEE | Mecanism |
|---|---|---|---|---|
| Convex Cloud | Database + backend serverless | UE (Frankfurt) | Nu (flux principal) | DPA + control contractual |
| Vercel | Hosting aplicație web | UE edge / posibil SUA | Posibil | DPA + SCC unde este cazul |
| Clerk | Autentificare și identity | SUA | Da | DPA + SCC |
| Stripe | Plăți / billing | UE / posibil SUA | Posibil | DPA standard Stripe + SCC unde e cazul |
| BulkGate | Notificări SMS | UE | Nu pentru fluxul principal SMS | DPA + control contractual |
| Google Cloud (Gemini) | Funcții AI / analiză | SUA | Da | DPA + SCC |
Nivelul minim de controale tehnice și organizatorice publicate pentru evaluarea inițială legal + IT security.
TLS 1.2+ pentru transport; criptare la nivelul furnizorului cloud pentru date stocate.
Evidență: Security Pack (A.3).
RBAC pe roluri operaționale și autentificare prin furnizor specializat cu suport MFA.
Evidență: Security Pack (A.1).
Separare logică prin companyId și validări pentru prevenirea accesului cross-tenant.
Evidență: Security Pack (A.2).
Jurnalizare pentru modificări, aprobări, exporturi, autentificări și configurații critice.
Evidență: Security Pack (A.4).
Backup zilnic conform infrastructurii; proceduri de restaurare și testare periodică.
Evidență: Security Pack (A.5).
Proces detectare, conținere, remediere, notificare către Operator fără întârzieri nejustificate.
Evidență: Security Pack (A.8, C.1).
| Act normativ | Acoperire | Aplicare practică |
|---|---|---|
| Regulamentul (UE) 2016/679 (GDPR) | Principii, temei legal, drepturi, securitate, transferuri. | Art. 5, 6, 12-22, 25, 28, 30, 32-35, 44-49; aplicare directă pentru toate prelucrările de date personale. |
| Legea nr. 190/2018 | Aplicarea GDPR în România și particularități locale. | Completări privind contextul național (inclusiv în relații de muncă) și competența ANSPDCP. |
| Legea nr. 506/2004 (ePrivacy RO) | Comunicări electronice, cookie-uri și stocare informație pe terminal. | Consimțământ pentru cookie-uri non-esențiale; informare clară privind scopurile tehnice, analitice și marketing. |
| Legea nr. 53/2003, Codul Muncii, art. 119 | Evidența orelor de muncă prestate zilnic. | Pontajul este configurat pentru a susține obligația de evidență a timpului de muncă și verificabilitatea datelor. |
Filtrează după temă legală sau caută rapid termeni specifici.
Statusurile indică stadiul de guvernanță continuă, nu suspiciuni de neconformitate.
Afișare: 12 din 12 controale.
În modelul B2B, clientul angajator este Operator, iar PontajAutomat este Persoană Împuternicită pentru procesări instruite.
Datele sunt prelucrate pentru evidența timpului de muncă, rapoarte operaționale și obligații legale asociate raporturilor de muncă.
Logica de pontaj folosește validare de prezență în zona de lucru, evitând colectarea excesivă de trasee personale.
În modurile automate, regulile de program pot bloca sau marca pentru review evenimentele în afara intervalelor de lucru configurate.
Persoanele vizate primesc informații despre scopuri, temeiuri, retenție, drepturi, contacte și autoritatea de supraveghere.
Există flux operațional pentru acces, rectificare, ștergere, restricționare, opoziție și portabilitate, cu răspuns în termen legal.
Datele sunt protejate prin controale de acces, criptare în tranzit și monitorizare evenimente de securitate.
Există proces de triere, evaluare impact și notificare către Operator fără întârzieri nejustificate, pentru respectarea termenului de 72h.
Datele sunt păstrate pe perioade limitate, diferențiate pe categorii și corelate cu obligațiile legale ale Operatorului.
Furnizorii terți sunt evaluați contractual; transferurile în afara SEE sunt acoperite prin garanții adecvate (de ex. SCC) unde este cazul.
Cookie-urile non-esențiale (analitic/marketing) sunt activate doar după exprimarea opțiunii utilizatorului.
Prelucrările cu componentă de monitorizare sunt revizuite periodic pentru proporționalitate, necesitate și riscuri reziduale.
Durată: 10 ani
Bază: Codul Muncii art. 119 + obligații contabile/fiscale aplicabile + principiul responsabilității.
Durată: 30 zile (ștergere automată)
Bază: GDPR art. 5(1)(c),(e) + minimizare date + necesitate operațională.
Durată: 24 luni (extensibil Enterprise, contractual)
Bază: GDPR art. 32 + interes legitim de securitate și investigație.
Durată: 24 luni (configurabil în comandă)
Bază: Interes legitim operațional + minimizare prin agregare.
Durată: 5 ani
Bază: Necesitate de audit operațional și remediere.
Durată: 10 ani
Bază: Obligații legale contabile/fiscale.
Valorile reprezintă baseline-ul publicat; Operatorul poate configura termene diferite prin comandă, cu respectarea obligațiilor legale.
Răspuns în max. 30 zile calendaristice (extensibil conform GDPR, cu informarea solicitantului).
Procesare după validarea identității și după calificarea juridică Operator/Processor.
Evaluare juridică punctuală; excepții aplicabile dacă există obligație legală de păstrare.
Solicitări DSAR: dpo@pontajautomat.ro; plângeri: ANSPDCP (dataprotection.ro).
Informare privind dreptul de sesizare ANSPDCP prin canalul oficial dataprotection.ro.
Workflow DSAR (audit trail)
Înregistrare cerere + verificare identitate
0-3 zile lucrătoare (SLA intern țintă).
Registru DSAR + jurnal verificare identitate.
Calificare juridică (Operator / Processor)
Înainte de execuția cererii.
Notă de calificare și responsabilități.
Execuție (export, rectificare, ștergere, restricționare)
În termenul legal GDPR de 30 zile; extindere motivată unde e cazul.
Log operațional + copie răspuns.
Închidere cerere + audit trail
Imediat după comunicarea răspunsului.
Registru DSAR finalizat și KPI lunar.
Registrul de mai jos oferă vizibilitate directă asupra categoriilor, partenerilor și duratelor uzuale. Detaliile complete rămân publicate în Politica de confidențialitate și cookies.
| Categorie | Furnizor | Scop | Durată | Temei |
|---|---|---|---|---|
| Strict necesare | First-party (platformă + autentificare) | Sesiune, autentificare, securitate | Sesiune | Interes legitim / necesitate tehnică |
| Funcționale | First-party | Preferințe UI și setări utilizator | 12 luni | Consimțământ |
| Analitice | Google Analytics | Măsurare trafic și utilizare website | 24 luni | Consimțământ |
| Marketing | Google Ads, Meta Pixel | Campanii și remarketing | până la 90 zile (în funcție de furnizor/browser) | Consimțământ |
Cookie-urile non-esențiale sunt încărcate exclusiv după consimțământ, cu posibilitate de retragere din setările de cookies.
Parametrii de mai jos descriu configurarea recomandată pentru minimizare și proporționalitate în raporturi de muncă; valorile finale sunt stabilite contractual de Operator.
| Parametru | Regulă operațională | Retenție / limitare |
|---|---|---|
| Ce se stochează | Evenimente de pontaj (check-in/check-out), timestamp, proiect/șantier, status geofence; coordonate GPS doar când modul localizare este activ. | Evenimente pontaj: 10 ani; snapshots localizare/activitate: 30 zile. |
| Când se colectează | În sesiunea de lucru, între check-in și check-out, conform programului configurat de Operator. | Datele în afara programului sunt blocate sau marcate pentru review uman (schedule guard). |
| Frecvență și minimizare | Model orientat pe evenimente relevante de pontaj/geofence, evitând trasee personale continue. | Regim de minimizare cu ștergere automată pentru datele de granularitate mare. |
| Fallback fără localizare | Pontaj manual disponibil pentru scenarii cu risc de disproporționalitate sau limitări tehnice. | Se aplică aceleași reguli de retenție pentru evidența de pontaj rezultată. |
Datele de localizare sunt folosite pentru validarea prezenței în raport cu zona de lucru, nu pentru urmărire personală continuă.
Colectarea și folosirea trebuie configurate de Operator pe bază de necesitate, proporționalitate și informare prealabilă.
În afara programului, controalele de tip schedule guard reduc prelucrările nejustificate și permit verificare umană.
Pontajul manual rămâne disponibil pentru scenarii în care localizarea automată nu este adecvată.
Conformitatea este tratată ca proces continuu: documentare, implementare, monitorizare, revizie.
Pas 1
Documentare legală și contractuală (T&C, Privacy, DPA, cookies).
Pas 2
Aplicare tehnică în produs (minimizare, control acces, retenție, audit trail).
Pas 3
Monitorizare continuă (security logs, DSAR log, verificări periodice).
Pas 4
Revizie juridică recurentă la schimbări de produs, legislație sau furnizori.
Pentru revizii contractuale, audituri, DPA, listă subprocesatori, transferuri internaționale, TOMs și pachet complet de due diligence, folosiți canalele de mai jos.
Revizie recomandată: trimestrial sau imediat după modificări de produs, integrare furnizori noi, schimbări legislative ori incidente de securitate.