Acord de Prelucrare a Datelor (DPA)

Prezentul Acord de Prelucrare a Datelor (denumit în continuare „DPA" sau „Acord") completează contractul de servicii existent între HOSTON SRL (în calitate de Împuternicit) și Client (în calitate de Operator) și este încheiat în temeiul Art. 28 din Regulamentul (UE) 2016/679 (GDPR).

Acordul se aplică în situația în care Clientul stochează sau procesează pe infrastructura HostON date cu caracter personal aparținând terților (ex: vizitatorii site-ului, clienții unui magazin online, membrii unui portal etc.).

Prin utilizarea serviciilor HostON și acceptarea Termenilor și Condițiilor, Clientul acceptă și termenii prezentului DPA. Dacă ești un client business și ai nevoie de o versiune semnată a acestui acord, ne poți contacta la info@hoston.ro.

• Operator — Clientul care determină scopurile și mijloacele de prelucrare a datelor personale ale terților
• Împuternicit — HOSTON SRL, care prelucrează date personale în numele Operatorului
• Date cu caracter personal — orice informații referitoare la o persoană fizică identificată sau identificabilă, stocate pe infrastructura HostON
• Persoană vizată — utilizatorul final al Clientului (vizitator site, client e-commerce etc.) ale cărui date sunt stocate pe serverele HostON
• Incident de securitate — orice încălcare a securității care conduce la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la date personale

• Natura prelucrării: stocare, procesare, transmitere și backup de date cu caracter personal pe infrastructura HostON (servere, VPS, hosting)
• Scopul prelucrării: exclusiv furnizarea serviciilor de hosting conform contractului — HostON nu prelucrează datele în scopuri proprii
• Tipuri de date: orice date cu caracter personal pe care Clientul le stochează pe serverele HostON (ex: nume, email, adrese, date de plată, date comportamentale etc.)
• Categorii de persoane vizate: vizitatorii, clienții, utilizatorii sau angajații Clientului
• Durata: pe perioada contractului de servicii, plus perioada de retenție post-contract specificată în prezentul acord

Clientul, în calitate de Operator, garantează că:

• Prelucrarea datelor pe infrastructura HostON are un temei legal valid conform GDPR (Art. 6 și/sau Art. 9)
• A informat persoanele vizate cu privire la prelucrarea datelor, inclusiv despre utilizarea serviciilor de hosting ca subprocesori
• A implementat măsuri tehnice și organizatorice adecvate la nivel de aplicație (parole puternice, autentificare 2FA, criptare la nivel de aplicație etc.)
• Va notifica HostON cu privire la orice instrucțiuni specifice de prelucrare care depășesc obligațiile standard de hosting
• Este responsabil pentru conținutul stocat pe serverele HostON și pentru legalitatea prelucrărilor pe care le efectuează

HOSTON SRL, în calitate de Împuternicit, se obligă să:

• Proceseze datele exclusiv conform instrucțiunilor Clientului, fără a le utiliza în scopuri proprii sau terțe
• Asigure confidențialitatea — tot personalul autorizat să acceseze datele este obligat prin contract la confidențialitate
• Implementeze măsuri de securitate adecvate: izolarea conturilor (CageFS), criptare în transit (TLS/SSL), firewall, backup automat, protecție DDoS prin Cloudflare, monitorizare continuă
• Asiste Clientul în îndeplinirea obligațiilor față de persoanele vizate (dreptul de acces, rectificare, ștergere, portabilitate) în măsura posibilă prin capacitățile tehnice
• Nu transfere datele fără acordul Clientului, cu excepția cazurilor prevăzute de lege
• Notifice Clientul fără întârzieri nejustificate (în maxim 72 ore) cu privire la orice incident de securitate care afectează datele stocate pe infrastructura HostON
• Șteargă sau restituie datele la cererea Clientului sau la încheierea contractului, conform opțiunii Clientului
• Pună la dispoziție informații pentru demonstrarea conformității și să permită audituri rezonabile

Clientul autorizează în mod general utilizarea de sub-împuterniciți de către HostON pentru furnizarea serviciilor. Sub-împuterniciții actuali sunt:

• Centrul de date din România — colocare servere (stocare fizică date)
• Cloudflare Inc. — protecție DDoS și CDN (procesare adrese IP)
• Brevo (Sendinblue) — notificări email operaționale (adresă email client)

HostON va notifica Clientul cu minim 14 zile înainte de adăugarea sau înlocuirea unui sub-împuternicit. Clientul are dreptul să se opună, caz în care poate rezilia contractul fără penalități.

HostON impune sub-împuterniciților obligații echivalente de protecție a datelor prin contracte dedicate.

HostON implementează și menține măsuri tehnice și organizatorice adecvate pentru protejarea datelor, inclusiv:

• Criptare în transit (TLS 1.2/1.3) și la stocare pentru backup-uri
• Izolarea completă a conturilor prin CloudLinux CageFS
• Firewall la nivel de rețea și aplicație (ModSecurity WAF)
• Backup automat zilnic cu retenție 7 zile (JetBackup)
• Monitorizare 24/7 și alertare automată la anomalii
• Acces restricționat al personalului pe principiul „need-to-know"
• Scanare antivirus și antimalware prin Imunify360

În cazul unui incident de securitate care afectează datele Clientului, HostON va:

1. Notifica Clientul fără întârzieri nejustificate și în maxim 72 ore de la constatare
2. Furniza toate informațiile disponibile: natura incidentului, categoriile de date afectate, numărul estimat de persoane vizate, consecințele probabile, măsurile luate sau propuse
3. Coopera pe deplin cu Clientul în gestionarea incidentului și notificarea ANSPDCP

Notificarea se face la adresa de email asociată contului de client din sistemul HostON.

Datele stocate pe serverele HostON sunt localizate în România (UE). Transferurile efectuate de sub-împuterniciți (Cloudflare, Brevo) spre țări terțe se fac cu respectarea mecanismelor de transfer prevăzute de GDPR (Decizii de adecvare, Clauze Contractuale Standard — SCC). Detalii în Politica de Confidențialitate.

HostON va furniza la cerere documentația necesară demonstrării conformității cu Art. 28 GDPR.

Auditurile fizice sau tehnice la sediul/infrastructura HostON sunt posibile cu un preaviz de minim 30 de zile, o dată pe an, pe cheltuiala Clientului, și nu trebuie să perturbeze operațiunile altor clienți. HostON poate refuza audituri excesive sau nerezonabile.

La încheierea contractului de servicii (prin expirare, reziliere sau cerere expresă):

• Clientul are la dispoziție 14 zile calendaristice de la suspendare pentru a descărca datele din panoul de control (cPanel/DirectAdmin)
• După expirarea acestui termen, datele vor fi șterse definitiv de pe serverele HostON
• La cerere explicită, HostON poate furniza o confirmare scrisă a ștergerii datelor
• Backup-urile de sistem sunt reținute maxim 30 de zile după ștergerea contului, după care sunt distruse permanent

Prezentul DPA este valabil pe întreaga durată a contractului de servicii HostON și se reziliază automat odată cu acesta. HostON poate modifica prezentul DPA cu notificare de 30 de zile prin email. Continuarea utilizării serviciilor după această perioadă constituie acceptarea modificărilor. Dacă modificările nu sunt acceptabile, Clientul poate rezilia contractul fără penalități în termenul de notificare.

Pentru solicitări legate de acest acord, pentru cereri de DPA semnat sau pentru exercitarea drepturilor conform Art. 28 GDPR, contactează-ne la info@hoston.ro cu subiectul „DPA / Acord GDPR".