Acord de prelucrare a datelor cu caracter personal (DPA)

în conformitate cu art. 28 din Regulamentul (UE) 2016/679 (GDPR)

Ultima actualizare: 1 iunie 2026

1. Părțile

Prezentul Acord de prelucrare a datelor („DPA") se încheie între:

  • Operatorul – persoana fizică sau juridică ce administrează o structură de primire turistică și utilizează Platforma StayForm;
  • Rentzz Management Software SRL, CUI 51644448 – furnizorul Platformei digitale stayform.ro, denumit în continuare „StayForm" sau „Persoană împuternicită".

Prin acceptarea prezentului DPA în format electronic, la crearea contului sau pe durata utilizării Platformei, părțile convin asupra următoarelor:

2. Obiectul acordului

Prezentul DPA reglementează condițiile în care StayForm prelucrează date cu caracter personal în numele Operatorului, exclusiv pentru furnizarea serviciilor digitale de colectare și gestionare a fișelor de cazare, în conformitate cu instrucțiunile documentate ale Operatorului.

3. Natura și scopul prelucrării

Prelucrarea datelor constă în:

  • colectarea datelor prin formulare digitale;
  • stocarea și organizarea acestora în Platformă;
  • transmiterea și accesarea datelor de către Operator;
  • ștergerea sau anonimizarea datelor la solicitarea Operatorului sau la încetarea contractului.

Scopul exclusiv al prelucrării este îndeplinirea obligațiilor legale ale Operatorului și furnizarea serviciilor contractate prin Platforma StayForm.

4. Tipuri de date și categorii de persoane vizate

4.1 Tipuri de date prelucrate

  • nume și prenume;
  • adresă de domiciliu sau reședință;
  • CNP sau alte date de identificare, acolo unde legea impune;
  • date de contact (telefon, e-mail);
  • date privind rezervarea și sejurul;
  • date tehnice (adresă IP, jurnale de acces).

4.2 Categorii de persoane vizate

  • turiști;
  • reprezentanți ai Operatorului (utilizatori ai Platformei).

5. Durata prelucrării

Datele sunt prelucrate pe durata existenței relației contractuale dintre Operator și StayForm și sunt șterse sau returnate Operatorului la încetarea contractului, conform instrucțiunilor acestuia și prevederilor legale aplicabile.

La încetarea contractului, Operatorul are posibilitatea de a-și exporta datele (inclusiv fișele de cazare) din Platformă. StayForm șterge datele în maximum 30 de zile de la încetarea contractului, copiile de rezervă expirând în cadrul ciclului normal de rotație, cu excepția cazurilor în care legislația Uniunii Europene sau legislația națională impune păstrarea acestora.

6. Obligațiile StayForm (Persoană împuternicită)

StayForm se obligă să:

  • prelucreze datele numai pe baza instrucțiunilor documentate ale Operatorului, inclusiv în ceea ce privește transferurile de date către țări terțe sau organizații internaționale; în cazul în care o obligație legală impune StayForm o anumită prelucrare, StayForm va informa Operatorul înainte de prelucrare, cu excepția cazului în care legea interzice această informare;
  • asigure confidențialitatea persoanelor autorizate să prelucreze datele;
  • implementeze măsuri tehnice și organizatorice adecvate pentru securitatea datelor (art. 32 GDPR), incluzând: criptarea datelor în tranzit (TLS), stocarea copiilor de rezervă în formă criptată, controlul accesului pe principiul necesității de a cunoaște, jurnalizarea accesului, monitorizarea internă a erorilor și a funcționării Platformei (fără transmiterea datelor de diagnosticare către terți și cu mascarea integrală a conținutului introdus de utilizatori) și proceduri de backup și restaurare;
  • nu utilizeze datele în scop propriu;
  • asiste Operatorul în îndeplinirea obligațiilor privind drepturile persoanelor vizate;
  • asiste Operatorul, în măsura în care este necesar, la realizarea evaluărilor de impact asupra protecției datelor (DPIA) și la consultarea prealabilă a autorității de supraveghere (art. 35–36 GDPR);
  • notifice Operatorul fără întârzieri nejustificate în cazul unui incident de securitate;
  • șteargă sau returneze datele la încetarea serviciilor, conform instrucțiunilor Operatorului și termenelor prevăzute la secțiunea 5;
  • pună la dispoziția Operatorului informațiile necesare pentru demonstrarea conformității cu GDPR și să permită și să contribuie la audituri și inspecții efectuate de Operator sau de un auditor mandatat de acesta, cu notificare prealabilă rezonabilă, cel mult o dată pe an și cu respectarea confidențialității.

7. Obligațiile Operatorului

Operatorul se obligă să:

  • stabilească scopurile și temeiurile legale ale prelucrării;
  • informeze persoanele vizate conform art. 13–14 GDPR;
  • obțină consimțământul, acolo unde este necesar;
  • se asigure că instrucțiunile transmise StayForm sunt conforme cu legislația;
  • răspundă solicitărilor persoanelor vizate.

8. Subîmputerniciți

StayForm poate utiliza subîmputerniciți (ex. furnizori de infrastructură IT) doar în măsura în care aceștia oferă garanții suficiente privind protecția datelor și sunt obligați contractual la respectarea GDPR. Găzduirea și infrastructura tehnică sunt asigurate de Hetzner Online GmbH, iar copiile de rezervă (backup) sunt stocate în formă criptată la IONOS SE, ambii furnizori având centre de date situate în Germania (Uniunea Europeană). Serviciile de DNS, CDN și securitate a rețelei sunt furnizate de Cloudflare, Inc. (SUA), pe baza unor garanții adecvate pentru transferul internațional de date.

Operatorul este informat și își exprimă acordul general pentru utilizarea unor astfel de subîmputerniciți.

StayForm va informa Operatorul, cu cel puțin 15 zile înainte, cu privire la orice intenție de adăugare sau înlocuire a unui subîmputernicit (prin e-mail sau prin notificare în Platformă), oferind Operatorului posibilitatea de a formula obiecții justificate, în conformitate cu art. 28 alin. (2) GDPR.

9. Transferuri internaționale

Datele cu caracter personal introduse în platformă, inclusiv copiile de rezervă, sunt stocate exclusiv pe servere situate în Germania (Uniunea Europeană), la furnizorii de găzduire Hetzner Online GmbH și IONOS SE.

Pentru serviciile de DNS, CDN și securitate a rețelei, StayForm utilizează Cloudflare, Inc. (SUA), situație în care anumite date tehnice și de conexiune (în special adrese IP) pot fi prelucrate în afara Spațiului Economic European. Acest transfer se realizează cu garanții adecvate, în conformitate cu Capitolul V din GDPR, respectiv Cadrul UE–SUA privind confidențialitatea datelor (EU–US Data Privacy Framework) și/sau clauzele contractuale standard (art. 46 GDPR).

10. Răspundere

Fiecare parte răspunde pentru încălcarea obligațiilor care îi revin conform GDPR și prezentului DPA.

11. Încetarea acordului

Prezentul DPA încetează automat la data încetării relației contractuale dintre Operator și StayForm.

12. Dispoziții finale

Prezentul DPA face parte integrantă din Termenii și condițiile Platformei StayForm și este guvernat de legea română.

Pentru orice aspecte legate de prezentul DPA sau de prelucrarea datelor, Operatorul poate contacta StayForm la adresa de e-mail [email protected].

Acceptarea electronică a prezentului document produce efecte juridice depline.