Acord de Prelucrare a Datelor (DPA)
Data ultimei actualizări: 5 iulie 2026
Prezentul Acord de Prelucrare a Datelor („DPA") reglementează prelucrarea datelor cu caracter personal efectuată de Cantera S.R.L. în numele utilizatorului (biroul notarial sau profesionistul care utilizează Serviciul), în legătură cu utilizarea aplicației TERRALIS, accesibilă la terralis.ro („Serviciul"). Prezentul DPA face parte integrantă din Termenii și Condițiile Serviciului și se încheie în temeiul art. 28 din Regulamentul (UE) 2016/679 (GDPR).
1. Părțile
Persoana împuternicită de operator („Împuternicitul"):
Cantera S.R.L.
- Sediu social: Jud. Alba, Mun. Sebeș, Str. Transilvania nr. 2, bl. 2C, et. 3, ap. 30
- CUI: 54973429
- Nr. de ordine în Registrul Comerțului: J2026040630007
- Email: contact@terralis.ro
Operatorul („Operatorul"): utilizatorul Serviciului — biroul notarial sau profesionistul care creează un cont și introduce ori importă în Serviciu date cu caracter personal privind dosarele și solicitanții săi.
Prin acceptarea prezentului DPA la momentul înrolării sau prin utilizarea Serviciului, Operatorul confirmă încheierea acestui acord cu Împuternicitul.
2. Obiectul și natura prelucrării
2.1. Obiectul
Împuternicitul prelucrează date cu caracter personal în numele Operatorului, exclusiv în scopul furnizării Serviciului de urmărire și gestiune a dosarelor cadastrale ANCPI, conform Termenilor și Condițiilor și instrucțiunilor Operatorului.
2.2. Natura și scopul prelucrării
Prelucrarea constă în colectarea, stocarea, organizarea, structurarea, consultarea, utilizarea și ștergerea datelor introduse sau importate de Operator, în scopul: urmăririi statusului dosarelor; verificării automate și manuale a stării acestora pe baza informațiilor publice ANCPI; evidenței termenelor; gestiunii comunicării cu solicitanții; căutării și filtrării dosarelor.
2.3. Durata
Prelucrarea are loc pe durata existenței contului Operatorului și a relației contractuale, sub rezerva obligațiilor legale de păstrare și a prevederilor secțiunii 9 (Returnarea și ștergerea datelor).
2.4. Instrucțiunile Operatorului
Utilizarea Serviciului de către Operator și configurările efectuate de acesta constituie instrucțiuni documentate privind prelucrarea datelor necesară furnizării Serviciului, în sensul art. 28 GDPR. Orice instrucțiune suplimentară se transmite în scris la contact@terralis.ro.
2.5. Loguri tehnice și metadate
Pentru securitatea, funcționarea și administrarea Serviciului se prelucrează loguri tehnice și metadate, după cum urmează:
- Jurnal intern de audit: Împuternicitul păstrează un jurnal al acțiunilor relevante în cadrul Serviciului (de exemplu adăugarea, modificarea sau arhivarea dosarelor), care poate include nume ale solicitanților, deponenților și ale utilizatorilor care au efectuat acțiunile, precum și momentul acestora. Acest jurnal servește scopurilor de securitate, trasabilitate și bună funcționare.
- Jurnale de autentificare și acces (la nivel de furnizor): adresele IP și jurnalele de autentificare sunt prelucrate la nivelul furnizorilor de infrastructură (de exemplu Vercel și Supabase Auth), în calitatea acestora de subîmputerniciți, pentru securitatea și funcționarea Serviciului. Împuternicitul nu colectează și nu stochează în mod independent adrese IP în baza de date a Serviciului.
Aceste date sunt păstrate pe o durată proporțională cu scopurile menționate.
3. Categoriile de persoane vizate și de date
3.1. Persoane vizate
- Solicitanții și deponenții dosarelor cadastrale gestionate de Operator;
- Alte persoane fizice ale căror date sunt cuprinse în dosarele introduse de Operator.
3.2. Categorii de date cu caracter personal
- Date de identificare: nume, prenume, denumire (pentru persoane juridice);
- Coduri de identificare: CNP, CUI;
- Date privind dosarele: numere de înregistrare, obiectul cererilor, identificatori de imobil, observații introduse de Operator.
Operatorul se obligă să nu introducă în Serviciu categorii speciale de date (art. 9 GDPR) care nu sunt necesare scopului urmărit. Operatorul este responsabil pentru stabilirea temeiului legal care justifică introducerea și prelucrarea CNP-urilor și a altor identificatori naționali în cadrul Serviciului.
4. Obligațiile Împuternicitului
Împuternicitul se obligă:
a) să prelucreze datele cu caracter personal numai pe baza instrucțiunilor documentate ale Operatorului, inclusiv în ceea ce privește transferurile, cu excepția cazului în care o obligație legală impune altfel (caz în care va informa Operatorul, dacă legea permite);
b) să se asigure că persoanele autorizate să prelucreze datele s-au angajat să respecte confidențialitatea sau au o obligație legală de confidențialitate;
c) să implementeze măsuri tehnice și organizatorice adecvate pentru asigurarea securității prelucrării, conform secțiunii 6;
d) să respecte condițiile privind recurgerea la alți subîmputerniciți, conform secțiunii 5;
e) să asiste Operatorul, în măsura posibilului, prin măsuri tehnice și organizatorice adecvate, pentru îndeplinirea obligației Operatorului de a răspunde cererilor de exercitare a drepturilor persoanelor vizate (secțiunea 7);
f) să asiste Operatorul în asigurarea respectării obligațiilor privind securitatea, notificarea breșelor și evaluările de impact (art. 32–36 GDPR);
g) să șteargă sau să returneze datele la încetarea relației, conform secțiunii 9;
h) să pună la dispoziția Operatorului informațiile necesare pentru a demonstra respectarea obligațiilor și să permită audituri, conform secțiunii 10.
5. Subîmputerniciți (subprocesatori)
5.1. Autorizare generală
Operatorul autorizează Împuternicitul să recurgă la subîmputerniciți pentru furnizarea Serviciului. Împuternicitul încheie cu fiecare subîmputernicit un acord care impune obligații de protecție a datelor echivalente celor din prezentul DPA și rămâne răspunzător față de Operator pentru îndeplinirea obligațiilor de către subîmputerniciți.
5.2. Lista subîmputerniciților
La data prezentului DPA, Împuternicitul recurge la următorii subîmputerniciți:
| Subîmputernicit | Scopul prelucrării | Localizare |
|---|---|---|
| Supabase | Găzduirea bazei de date, autentificare și stocare | Uniunea Europeană (Dublin, Irlanda) |
| Vercel | Găzduirea și livrarea aplicației | Uniunea Europeană (Dublin, Irlanda) — funcțiile aplicației; rețea globală de livrare (cu garanții adecvate) |
| Resend | Trimiterea de emailuri tranzacționale (confirmări de cont, facturi) | Trimitere din Uniunea Europeană (Irlanda); date de cont și jurnale — SUA (cu garanții adecvate) |
| Sentry | Monitorizarea erorilor și a performanței | Uniunea Europeană (Germania) |
| Stripe | Procesarea plăților | SUA (cu garanții adecvate) |
| Oblio | Emiterea facturilor fiscale pentru abonament | România (Uniunea Europeană) |
| Cloudflare (Turnstile) | Protecție anti-bot la autentificare/înregistrare | Global (cu garanții adecvate) |
| GitHub (GitHub, Inc. / Microsoft) | Stocarea copiilor de siguranță criptate ale bazei de date (AES-256, cheia de criptare deținută exclusiv de Împuternicit), în repozitoriu privat | SUA (cu garanții adecvate) |
5.3. Modificarea listei
Lista actualizată a subîmputerniciților este disponibilă permanent la terralis.ro/subimputerniciti. Împuternicitul poate adăuga sau înlocui subîmputerniciți, notificând Operatorul (prin Serviciu sau email) cu un preaviz rezonabil. Operatorul poate obiecta motivat, din rațiuni legate de protecția datelor; în lipsa unei soluții, Operatorul poate înceta utilizarea Serviciului afectat.
6. Măsuri de securitate
Împuternicitul implementează măsuri tehnice și organizatorice adecvate, ținând cont de stadiul actual al tehnicii și de riscuri, printre care:
- criptarea datelor în tranzit;
- stocarea criptată a credențialelor de autentificare (parolele nu se păstrează în clar);
- controlul accesului la date pe bază de roluri și autentificare;
- găzduirea pe infrastructură situată, pentru componenta principală, în Uniunea Europeană;
- monitorizarea erorilor și a securității, configurată să limiteze colectarea de date personale identificabile;
- minimizarea datelor: documentele încărcate pentru extragere nu sunt păstrate după finalizarea procesării; în măsura în care sunt reținute temporar pe durata prelucrării, sunt eliminate automat la finalul acesteia, păstrându-se numai datele extrase.
7. Asistență la exercitarea drepturilor persoanelor vizate
Persoanele vizate își exercită drepturile (acces, rectificare, ștergere, restricționare, portabilitate, opoziție) față de Operator, în calitatea acestuia de operator al datelor din dosare. Împuternicitul va asista Operatorul, în măsura în care acest lucru este posibil din punct de vedere tehnic și rezonabil raportat la natura Serviciului, în soluționarea acestor cereri, inclusiv prin punerea la dispoziție a funcționalităților necesare în cadrul Serviciului. Dacă o persoană vizată se adresează direct Împuternicitului, acesta va redirecționa cererea către Operator, fără a o soluționa pe cont propriu.
8. Notificarea breșelor de securitate
Împuternicitul va notifica Operatorul fără întârziere nejustificată și, atunci când este posibil, în termen de 72 de ore de la confirmarea unei breșe de securitate care afectează datele cu caracter personal prelucrate în numele Operatorului, furnizând informațiile rezonabil disponibile pentru a permite Operatorului să își îndeplinească obligațiile de notificare conform art. 33–34 GDPR.
9. Returnarea și ștergerea datelor
La încetarea relației contractuale, Împuternicitul va șterge sau, la alegerea Operatorului, va returna datele cu caracter personal prelucrate în numele Operatorului și va șterge copiile existente, cu excepția cazului în care păstrarea este impusă de o obligație legală. Operatorul poate exporta datele cererilor sale prin funcționalitățile Serviciului, în limita acestora, înainte de încetare. După închiderea contului sau a biroului, datele din sistemele active pot fi păstrate temporar pentru o perioadă de până la 30 de zile, pentru a permite exportul sau recuperarea acestora, după care vor fi șterse din sistemele active. Datele pot persista pentru o perioadă suplimentară limitată în copiile de siguranță criptate (backup), care sunt rotite și eliminate periodic conform politicii de retenție a backup-urilor (în prezent, pe o durată de până la aproximativ 3 luni), după care sunt șterse definitiv, cu excepția cazurilor în care legea impune păstrarea lor.
Se face distincția între: (i) ștergerea unui cont individual de utilizator (membru), care se efectuează la cerere, cu efect asupra datelor de cont ale acelui utilizator; și (ii) închiderea unui birou, caz în care datele dosarelor aferente biroului intră în fereastra de retenție de până la 30 de zile descrisă mai sus, pentru a permite recuperarea, înainte de ștergerea din sistemele active.
10. Audit și demonstrarea conformității
Împuternicitul pune la dispoziția Operatorului, la cerere rezonabilă, informațiile necesare pentru a demonstra respectarea obligațiilor din prezentul DPA. Audituri la fața locului se vor efectua numai dacă sunt în mod rezonabil necesare pentru verificarea conformității cu GDPR, cu o notificare prealabilă de minimum 30 de zile, în timpul programului normal de lucru, fără a perturba nejustificat activitatea Împuternicitului și fără acces la informații confidențiale privind alți clienți, la secrete comerciale sau la măsuri de securitate a căror dezvăluire ar putea compromite securitatea Serviciului.
11. Transferuri internaționale
În măsura în care prelucrarea implică transferuri de date în afara Spațiului Economic European (de exemplu prin anumiți subîmputerniciți), acestea se realizează cu garanții adecvate conform GDPR, precum clauzele contractuale standard adoptate de Comisia Europeană și/sau alte mecanisme recunoscute de GDPR, aplicabile la momentul transferului.
12. Răspundere și dispoziții finale
12.1. Relația cu Termenii și Condițiile
Prezentul DPA completează Termenii și Condițiile Serviciului. În caz de contradicție privind prelucrarea datelor cu caracter personal, prevederile prezentului DPA prevalează.
12.2. Limitarea răspunderii
Răspunderea părților în temeiul prezentului DPA este supusă limitărilor de răspundere prevăzute în Termenii și Condiții, în măsura permisă de lege.
12.3. Legea aplicabilă
Prezentul DPA este guvernat de legea română și se interpretează în conformitate cu GDPR.
12.4. Modificări
Împuternicitul poate actualiza prezentul DPA pentru a reflecta modificări legislative, ale subîmputerniciților sau ale Serviciului, notificând Operatorul prin Serviciu sau email. Continuarea utilizării Serviciului după intrarea în vigoare constituie acceptarea versiunii actualizate.
13. Contact
Pentru orice aspect privind prezentul DPA sau prelucrarea datelor: contact@terralis.ro.
Data ultimei actualizări: 5 iulie 2026
© 2026 TERRALIS · Cantera S.R.L.