Acord prelucrare date
pentru companii
DPA conform GDPR Art. 28. Versiune publică, semnabilă la cerere pentru orice client B2B care procesează date personale prin Router by MP.
Versiune: DPA v1.1 — 2026-05-15
1. Părți
Operator de date
Clientul B2B (compania abonată)
Datele de identificare se completează la semnare.
Procesator
MEGA PROMOTING S.R.L.
IDNO 1019600021765 · s. Dănceni, r-l Ialoveni, MD-6814
2. Scopul prelucrării
Procesatorul rulează un gateway API care primește apelurile AI ale Operatorului și le rutează către furnizorii AI upstream selectați. Procesatorul nu folosește datele pentru alt scop decât executarea apelurilor și facturare/operare.
3. Tipuri de date prelucrate
- Conținutul prompturilor și completărilor (tranzit, nu stocate persistent).
- Tokens consumați (input / output / cached) per cerere.
- Metadata cerere: model, latență, timestamp, status code.
- IP-ul de origine al cererii (90 zile pentru audit / anti-abuse).
- Alias-ul cheii API (etichetă agent / aplicație) — fără secret-ul cheii.
- Date de identificare cont companie (email, nume, IDNO pentru e-Factura).
4. Sub-procesatori autorizați
Operatorul autorizează în general sub-procesatorii enumerați mai jos. Lista completă este sincronizată cu Politica de confidențialitate. Vom notifica orice adăugare sau înlocuire cu cel puțin 30 zile înainte; Operatorul are dreptul de a obiecta motivat. Sub-procesatorii marcați „Dezactivat" sunt pre-aprobați dar nu primesc trafic în acest moment (necesită opt-in explicit din partea Operatorului).
| Sub-procesator | Scop | Jurisdicție | Mecanism transfer | DPF | Status |
|---|---|---|---|---|---|
OpenAI OpenAI, L.L.C. Politica de confidențialitate ↗ | Modele GPT (text), o-series (reasoning), embeddings, Whisper (ASR), Realtime API (voice). Conținutul promptului transmis în tranzit la momentul apelului; Zero Data Retention disponibil pentru clienții eligibili. Date: conținut prompt / completion (în tranzit), metadata cerere (model, tokens, latență), API request metadata | Statele Unite | EU-U.S. Data Privacy Framework | DPF certificat | Activ |
Anthropic Anthropic, PBC Politica de confidențialitate ↗ | Modele Claude (Opus, Sonnet, Haiku) — text, vision, tool use, extended thinking. Conținutul promptului transmis în tranzit; politică „no training on customer data by default". Date: conținut prompt / completion (în tranzit), metadata cerere (model, tokens, latență), API request metadata | Statele Unite | EU-U.S. Data Privacy Framework | DPF certificat | Activ |
Google Cloud Vertex AI Google LLC Politica de confidențialitate ↗ | Modele Gemini (text, vision, audio) via Vertex AI. Google OAuth pentru autentificare user (opt-in, expune doar email + nume profil). Date: conținut prompt / completion (în tranzit), metadata cerere (model, tokens, latență), Google profile (email, nume) la opt-in OAuth | Statele Unite | EU-U.S. Data Privacy Framework | DPF certificat | Activ |
Mistral AI Mistral AI SAS Politica de confidențialitate ↗ | Modele Mistral (Large, Small, Codestral, Pixtral) hostate în UE — avantaj rezidență date pentru clienți care preferă să nu transfere în afara UE. Date: conținut prompt / completion (în tranzit), metadata cerere (model, tokens, latență) | Franța (UE) | Procesare în UE/SEE | — | Activ |
xAI X.AI Corp. Politica de confidențialitate ↗ | Modele Grok upstream (text + vision). DPF certification în proces — actualmente acoperit de SCC + Transfer Impact Assessment. Date: conținut prompt / completion (în tranzit), metadata cerere (model, tokens, latență) | Statele Unite | SCC + Transfer Impact Assessment | DPF în curs | Activ |
Stripe Stripe Payments Europe Ltd. (UE) cu sub-procesator intern Stripe, Inc. (US) Politica de confidențialitate ↗ | Procesare carduri + abonamente. NU stocăm date de card pe serverele noastre — Stripe procesează tot prin Stripe Elements / Checkout. Entitatea contractuală pentru clienții EU/MD este Stripe Payments Europe Ltd. (Irlanda). Date: billing details (nume, email, adresă facturare), token plată (NU PAN — Stripe tokenizează), istoric tranzacții / facturi | Irlanda (UE) | EU-U.S. Data Privacy Framework | DPF certificat | Activ |
OVH OVH SAS Politica de confidențialitate ↗ | Hosting principal (datacenters Strasbourg + Roubaix, Franța). Servere bare-metal pentru API gateway, Postgres replica EU, MinIO object storage replica EU. Date: toate datele aplicației (database, object storage, logs), backup-uri encryption at rest AES-256 | Franța (UE) | Procesare în UE/SEE | — | Activ |
Infobip Infobip d.o.o. Politica de confidențialitate ↗ | Email transactional bulk + SMS verificare telefon (OTP MFA). Hostat în UE (Croația). Date: email destinatar, număr de telefon, conținut email/SMS transactional (OTP, verificare, notificare) | Croația (UE) | Procesare în UE/SEE | — | Activ |
Microsoft 365 / Microsoft Graph Microsoft Corporation Politica de confidențialitate ↗ | Mailboxes corporate (dpo@, sales@, contracte@, suport@) + Microsoft Graph API pentru email transactional din interiorul aplicației. Hostat în EU Data Boundary unde aplicabil. Date: email destinatar, conținut email corespondență suport/sales/legal, istoric tickete | Statele Unite | EU-U.S. Data Privacy Framework | DPF certificat | Activ |
Telegram Telegram FZ-LLC Politica de confidențialitate ↗ | Telegram Login Widget (autentificare opt-in) + bot Telegram pentru notificări utilizator (alerte budget, incidente). Sediu Dubai cu entitate UE pentru clienții UE. Date: Telegram user id, username opțional, first/last name profil (la opt-in), conținut mesaje bot (NU mesaje private între useri) | Emiratele Arabe Unite | Standard Contractual Clauses | — | Activ |
Cloudflare Cloudflare, Inc. Politica de confidențialitate ↗ | Cloudflare Turnstile (captcha non-tracking, alternativă la reCAPTCHA), edge DDoS protection + CDN pentru asset-urile statice. NU rutăm trafic API sensibil prin Cloudflare proxy. Date: IP vizitator, user-agent, challenge token (anti-bot, fără tracking) | Statele Unite | EU-U.S. Data Privacy Framework | DPF certificat | Activ |
DeepSeek Hangzhou DeepSeek Artificial Intelligence Co., Ltd. Politica de confidențialitate ↗ | Modele DeepSeek (R1, V3) — momentan DEZACTIVAT în LiteLLM (necesită opt-in explicit client + addendum DPA cu SCC + TIA dată fiind jurisdicția CN). Listat aici pentru transparență, nu se rutează nicio cerere implicit. Date: conținut prompt / completion (în tranzit, doar la opt-in), metadata cerere (model, tokens) | China | SCC + Transfer Impact Assessment | — | Dezactivat |
mfinante.gov.md (e-Factura) Serviciul Fiscal de Stat al Republicii Moldova Politica de confidențialitate ↗ | Emitere și transmitere e-Factura conform Codului Fiscal RM (obligatoriu pentru companii MD înregistrate ca operator e-Factura). Transfer de date strict către autoritatea fiscală MD pe baza obligației legale Art. 6(1)(c) GDPR. Date: denumire companie, IDNO, IBAN, sume facturate, TVA | Republica Moldova | Procesare în UE/SEE | — | Activ |
Sub-procesator pentru e-Factura MD ( mfinante.gov.md) se aplică doar companiilor MD înregistrate ca operator e-Factura, pe baza obligației legale conform Codului Fiscal RM (Art. 6(1)(c) GDPR).
5. Măsuri de securitate
- TLS 1.3 obligatoriu pe toate endpoint-urile API și UI.
- Row-Level Security (RLS) Postgres izolând datele între tenanți.
- Audit log 90 zile pentru orice acțiune sensibilă.
- MFA TOTP opt-in pentru utilizatori, obligatoriu pentru admin.
- Parole stocate ca hash bcrypt (cost 12); secrete chei API hashate la rest.
- Backup-uri zilnice encryption at rest, retenție 30 zile.
- Network isolation: Docker network privat, fără DB expusă public.
6. Transferuri internaționale
Transferurile către furnizori AI în SUA sunt acoperite de cadrul EU-US Data Privacy Framework (DPF) Adequacy Decision. Dacă Operatorul are restricții suplimentare, putem semna Standard Contractual Clauses (SCC) module 2 (controller → processor) sau module 3 (processor → processor) la cerere.
7. Durată
DPA-ul este valabil pe durata Contractului principal de servicii. La încetare, Procesatorul șterge sau returnează datele conform secțiunii 10.
8. Drept de auditare
Operatorul are dreptul la raport anual de audit la cerere scrisă cu notificare de 14 zile. Costurile rezonabile ale auditului sunt suportate de Operator, cu excepția cazului în care auditul evidențiază neconformități materiale.
9. Notificare incidente
Procesatorul notifică Operatorul în max. 72 ore de la cunoașterea unui incident de securitate care afectează datele personale, conform GDPR Art. 33. Notificarea include natura incidentului, datele afectate, consecințele probabile și măsurile luate / propuse.
10. Ștergere la final
La încetarea contractului, Procesatorul șterge toate datele Operatorului în max. 30 zile (cu excepția obligațiilor legale de retenție — facturare 7 ani). Backup-urile sunt rotite și expiră în max. 60 zile. Confirmare scrisă disponibilă la cerere.
Vrei DPA semnabil?
Trimitem versiunea Word/PDF gata de semnătură (incl. SCC dacă e necesar) în 24h.