Acord de prelucrare a datelor

Acord de prelucrare a datelor conform art. 28 GDPR

între utilizatorul serviciului BonusVoice (denumit în continuare „Operator") și

Bonus Service BS GmbH Dorotheenstr. 5, 45130 Essen E-mail: info@bonusvoice.de Telefon: 0201-89083160

(denumit în continuare „Împuternicit")

§ 1 – Obiectul și durata prelucrării

(1) Împuternicitul prelucrează date cu caracter personal în numele Operatorului în cadrul utilizării serviciului BonusVoice (transcriere și rezumare a înregistrărilor audio asistată de IA).

(2) Durata prelucrării corespunde duratei contractului de utilizare. Odată cu ștergerea contului de utilizator, prelucrarea încetează. Datele cu caracter personal sunt șterse în termen de 30 de zile de la ștergerea contului, cu excepția cazului în care există obligații legale de păstrare.

§ 2 – Tipul și scopul prelucrării

Prelucrarea cuprinde următoarele activități:

  • Stocarea înregistrărilor audio, transcrierilor și rezumatelor
  • Procesarea IA pentru transcriere (vorbire în text) și rezumare
  • Administrarea utilizatorilor (crearea contului, autentificare, apartenență la organizație)
  • Trimitere e-mail (confirmarea contului, notificări, trimiterea transcrierilor)
  • Procesarea plăților (gestionarea abonamentelor și facturare)

§ 3 – Tipul datelor cu caracter personal

Sunt prelucrate următoarele categorii de date:

  • Nume și adresă de e-mail
  • Parolă (stocată criptat)
  • Apartenența la organizație
  • Înregistrări audio și transcrieri și rezumate generate din acestea
  • Metadate (titlu, descriere, durată, limba înregistrărilor)
  • Date de plată (prelucrate de Stripe, nestocate la Împuternicit)
  • Date din jurnalele serverului (adresă IP, browser, marcaj temporal)

§ 4 – Categorii de persoane vizate

  • Utilizatori înregistrați ai serviciului
  • Persoane captate în înregistrările audio (vorbitori)

§ 5 – Obligațiile Împuternicitului

(1) Împuternicitul prelucrează date cu caracter personal exclusiv pe baza instrucțiunilor documentate ale Operatorului, cu excepția cazului în care este obligat la prelucrare prin dreptul Uniunii sau dreptul statului membru.

(2) Împuternicitul garantează că persoanele autorizate să prelucreze datele s-au angajat la confidențialitate.

(3) Împuternicitul ia toate măsurile necesare conform art. 32 GDPR, în special:

  • Criptare SSL/TLS a tuturor transferurilor de date
  • Stocare criptată a tuturor fișierelor audio pe Object Storage
  • Stocare criptată a parolelor
  • Control al accesului și concept de autorizare
  • Actualizări regulate de securitate ale tuturor sistemelor
  • Locația serverului exclusiv în Germania și UE

(4) Împuternicitul sprijină Operatorul în respectarea obligațiilor prevăzute la art. 32-36 GDPR.

(5) După încetarea prelucrării, Împuternicitul șterge toate datele cu caracter personal, cu excepția cazului în care există o obligație legală de păstrare.

(6) Împuternicitul pune la dispoziția Operatorului toate informațiile necesare pentru demonstrarea respectării obligațiilor prevăzute la art. 28 GDPR.

§ 6 – Subîmputerniciți (subcontractanți)

(1) Operatorul este de acord cu utilizarea următorilor subîmputerniciți:

6.1 Hetzner Online GmbH

| | | |---|---| | Scop | Găzduire server și stocare fișiere (Object Storage) | | Adresă | Industriestr. 25, 91710 Gunzenhausen, Germania | | Locația serverului | Germania | | Date prelucrate | Toate datele utilizatorilor și ale conținutului, fișiere audio, transcrieri | | APD | Acord de prelucrare a datelor conform art. 28 GDPR existent |

6.2 Mistral AI

| | | |---|---| | Scop | Procesare IA: transcriere (model Voxtral) și rezumare | | Adresă | 15 Rue des Halles, 75001 Paris, Franța | | Locația serverului | UE (Franța) | | Date prelucrate | Fișiere audio (pentru transcriere), transcrieri (pentru rezumare) | | Notă | Toată procesarea IA are loc exclusiv în cadrul UE. Niciun transfer de date în țări terțe. |

6.3 ALL-INKL.COM - Neue Medien Münnich

| | | |---|---| | Scop | Trimitere e-mail (confirmarea contului, notificări, trimiterea transcrierilor) | | Adresă | Hauptstraße 68, 02742 Friedersdorf, Germania | | Locația serverului | Germania | | Date prelucrate | Adresă de e-mail, nume, conținut e-mail |

6.4 Stripe, Inc.

| | | |---|---| | Scop | Procesarea plăților (carduri de credit, SEPA, gestionarea abonamentelor) | | Adresă | 354 Oyster Point Blvd, South San Francisco, CA 94080, SUA | | Procesarea datelor | UE (Stripe prelucrează datele de plată europene în UE) | | Date prelucrate | Informații de plată (date card de credit, date SEPA). Acestea sunt prelucrate exclusiv de Stripe și nu sunt stocate la Împuternicit. | | Notă | Stripe este responsabil exclusiv pentru procesarea plăților. Niciun fel de date audio, de transcriere sau de conținut nu sunt transmise către Stripe. | | Garanții | EU-US Data Privacy Framework, Clauze Contractuale Standard (SCC) |

6.5 Google Ireland Limited (opțional)

| | | |---|---| | Scop | Autentificare (Google OAuth 2.0) — doar dacă utilizatorul alege activ conectarea cu Google | | Adresă | Gordon House, Barrow Street, Dublin 4, Irlanda | | Procesarea datelor | UE (Irlanda) | | Date prelucrate | Numele și adresa de e-mail a utilizatorului (doar pentru identificarea contului) | | Notă | Google OAuth este complet opțional. Utilizatorii se pot conecta oricând prin E-mail/Parolă sau Magic Link. Nu sunt transmise înregistrări audio, transcrieri, rezumate sau alte date de conținut către Google. | | Garanții | EU-US Data Privacy Framework, Clauze Contractuale Standard (SCC) |

(2) Împuternicitul va informa Operatorul cu privire la orice modificare intenționată privind adăugarea sau înlocuirea subîmputerniciților. Operatorul poate formula obiecții împotriva unor astfel de modificări.

§ 7 – Transfer în țări terțe

(1) Un transfer al datelor cu caracter personal în țări terțe (în afara SEE) nu are loc, în principiu.

(2) Excepții:

  • Stripe (procesarea plăților): Stripe, Inc. are sediul în SUA, dar prelucrează datele europene în UE. Pentru transferul de date se aplică EU-US Data Privacy Framework și Clauzele Contractuale Standard.
  • Google (doar cu Google OAuth): Google Ireland Limited prelucrează date în UE. Doar la alegerea activă a conectării cu Google de către utilizator.

(3) Procesarea IA (transcriere și rezumare), precum și stocarea tuturor datelor de conținut și ale utilizatorilor au loc exclusiv în Germania și UE.

§ 8 – Drepturile persoanelor vizate

Împuternicitul sprijină Operatorul în îndeplinirea drepturilor persoanelor vizate conform art. 12-22 GDPR, în special:

  • Dreptul la informare (art. 15 GDPR)
  • Dreptul la rectificare (art. 16 GDPR)
  • Dreptul la ștergere (art. 17 GDPR)
  • Dreptul la restricționarea prelucrării (art. 18 GDPR)
  • Dreptul la portabilitatea datelor (art. 20 GDPR)

Utilizatorii pot consulta, exporta și șterge oricând datele lor prin contul de utilizator.

§ 9 – Obligația de notificare în cazul încălcărilor de date

Împuternicitul informează Operatorul fără întârziere, cel târziu în termen de 48 de ore, cu privire la orice încălcare a protecției datelor cu caracter personal conform art. 33 GDPR.

§ 10 – Drepturi de control

(1) Operatorul are dreptul de a verifica respectarea prezentului acord într-o manieră rezonabilă.

(2) Împuternicitul pune la dispoziția Operatorului, la cerere, toate informațiile necesare și permite verificări, inclusiv inspecții.

§ 11 – Durata și rezilierea

Prezentul acord este valabil pe durata utilizării serviciului BonusVoice. Acesta intră în vigoare odată cu înregistrarea și se încheie odată cu ștergerea contului de utilizator.

§ 12 – Dispoziții finale

(1) Dacă anumite dispoziții ale prezentului acord sunt invalide, validitatea celorlalte dispoziții nu este afectată.

(2) Se aplică dreptul Republicii Federale Germania.

(3) Instanța competentă este Essen.

Versiune: Martie 2026

Contact pentru întrebări privind protecția datelor: info@bonusvoice.de