Acord de Prelucrare a Datelor
Versiunea 1.0 · 16 iunie 2026
Conform art. 28 din Regulamentul (UE) 2016/679 (GDPR) — în format electronic, cu valoare juridică echivalentă unui acord scris.
Părțile acordului
Procesatorul:
Tiny Studio SRL, CUI: 50151310, J33/1014/29.05.2024
Email: contact@tinystudio.ro
Tiny Studio SRL prelucrează date personale în calitate de procesator, în numele și la instrucțiunile Operatorului.
Operatorul:
Firma de curierat (sau transportator) care a creat un cont pe platforma Colet App și a acceptat electronic prezentul acord prin intermediul platformei. Acceptarea electronică are valoare juridică echivalentă unei semnături, conform art. 28(3) GDPR care permite forma electronică.
1. Obiectul și durata prelucrării
Prezentul acord reglementează prelucrarea datelor personale de către Tiny Studio SRL (în calitate de Procesator) în scopul furnizării serviciului Colet App — platformă de management al comenzilor de curierat, rute, șoferi și notificări — în beneficiul Operatorului.
Durata prelucrării coincide cu durata contractului de utilizare a platformei Colet App. La terminarea contractului, Procesatorul șterge datele operaționale în conformitate cu prevederile art. 9 din prezentul acord.
2. Natura și scopul prelucrării
Prelucrarea constă în:
- Stocarea, organizarea și afișarea datelor privind comenzile de curierat
- Atribuirea comenzilor pe rute și șoferi
- Transmiterea notificărilor automatizate (email, WhatsApp, push) către clienții firmei de curierat
- Urmărirea locației GPS a șoferilor pe durata rutelor active
- Stocarea fotografiilor de confirmare a ridicărilor/livrărilor
- Înregistrarea colectărilor financiare și generarea rapoartelor operaționale
Procesatorul prelucrează datele exclusiv conform instrucțiunilor documentate ale Operatorului (setările și acțiunile efectuate în platformă). Procesatorul nu utilizează datele în alte scopuri proprii și nu le vinde sau transferă terților în afara scopului declarat.
3. Tipuri de date personale prelucrate
- Date de identificare: nume, număr de telefon, adresă de email ale clienților firmei de curierat (expeditori, destinatari de colete)
- Date de locație: adrese de ridicare și livrare cu coordonate GPS; coordonate GPS ale șoferilor pe durata rutelor active
- Date ale angajaților/colaboratorilor Operatorului: nume, email, număr de telefon, rol, locație GPS în timp ce sunt de serviciu
- Date financiare operaționale: sume colectate la livrare, metodă de plată, datorii clienți
- Imagini fotografice: fotografii realizate de șoferi ca dovadă a ridicării/livrării coletelor — pot conține imagini ale bunurilor sau ale ambianței
4. Categoriile de persoane vizate
- Clienții finali ai Operatorului (expeditori și destinatari de colete)
- Angajații și colaboratorii Operatorului (șoferi, dispeceri, operatori depozit, administratori)
5. Obligațiile Procesatorului
Tiny Studio SRL se angajează să:
- Prelucreze datele exclusiv pe baza instrucțiunilor documentate ale Operatorului; în cazul în care legislația UE sau a unui stat membru impune o prelucrare diferită, va informa Operatorul înainte de prelucrare (dacă legea nu interzice aceasta)
- Se asigure că persoanele autorizate să prelucreze datele s-au angajat să respecte confidențialitatea sau sunt supuse unei obligații statutare de confidențialitate
- Implementeze măsuri tehnice și organizatorice adecvate (art. 32 GDPR): criptare HTTPS pentru toate conexiunile, criptare la stocare, control acces prin Row Level Security, backup zilnic, servere în Uniunea Europeană (Frankfurt)
- Asiste Operatorul în îndeplinirea obligației de a răspunde cererilor de exercitare a drepturilor persoanelor vizate (acces, rectificare, ștergere, portabilitate, opoziție), în termen de 30 de zile
- Asiste Operatorul în asigurarea conformității cu obligațiile prevăzute la art. 32-36 GDPR (securitate, DPIA, notificare autoritate, notificare persoane vizate)
- Notifice Operatorul în maximum 72 de ore de la constatarea unei încălcări a securității datelor cu caracter personal la adresa contact@tinystudio.ro
- Pună la dispoziția Operatorului toate informațiile necesare pentru a demonstra conformitatea cu prezentul acord și să permită desfășurarea de audituri sau inspecții efectuate de Operator sau de un auditor mandatat
6. Obligațiile Operatorului
Operatorul (firma de curierat) se angajează să:
- Asigure că are un temei legal valid pentru colectarea și prelucrarea datelor personale ale clienților săi finali (expeditori, destinatari), conform art. 6 GDPR
- Informeze clienții săi finali cu privire la prelucrarea datelor (inclusiv transmiterea acestora către Colet App ca platformă de management), prin propria politică de confidențialitate sau nota de informare
- Nu introducă în platformă date personale care depășesc scopul operațional al transportului de colete
- Notifice fără întârziere Procesatorul la adresa contact@tinystudio.ro în cazul primirii oricărei solicitări sau plângeri legate de datele personale prelucrate prin platformă
7. Sub-procesatori
Operatorul autorizează în mod general Procesatorul să angajeze sub-procesatori. Procesatorul informează Operatorul cu minimum 30 de zile înainte de orice modificare a listei de sub-procesatori, dând Operatorului posibilitatea de a formula obiecții motivate. Sub-procesatorii actuali:
| Sub-procesator | Locație | Scop | Temeiul transferului |
|---|---|---|---|
| Supabase Inc. (via Lovable Cloud) | UE — Frankfurt | Bază de date, autentificare, stocare fișiere, funcții serverless | UE — fără transfer extra-UE |
| Sendinblue SAS (Brevo) | Franța — UE | Email notificări tranzacționale | UE — fără transfer extra-UE |
| Meta Platforms Ireland Ltd. (WhatsApp Cloud API) | Irlanda — UE | Mesaje WhatsApp notificări (dacă activat de Operator) | UE — fără transfer extra-UE |
| Google Ireland Ltd. (Maps Platform) | Irlanda — UE | Calcul rute, geocodare adrese | UE — fără transfer extra-UE |
| HERE Global B.V. | Olanda — UE | Autocomplete și validare adrese | UE — fără transfer extra-UE |
| Mapbox Inc. | SUA | Calcul rute alternativ pentru optimizare | Clauze Contractuale Standard (SCC) aprobate de Comisia Europeană |
| Cap-Go SAS (Capgo) | Franța — UE | Distribuție actualizări aplicație mobilă | UE — fără transfer extra-UE |
8. Dreptul la audit
Operatorul poate solicita informații sau documente pentru a demonstra conformitatea Procesatorului cu prezentul acord. La cerere motivată, Procesatorul permite Operatorului sau unui auditor mandatat să efectueze un audit, cu notificare prealabilă de minimum 30 de zile și cu condiția că auditul nu perturbă activitatea operațională și respectă confidențialitatea datelor altor clienți.
9. Ștergerea datelor la terminarea contractului
La terminarea contractului de utilizare a platformei Colet App, Procesatorul:
- Permite Operatorului să exporte datele operaționale (comenzi, clienți, rute, rapoarte) în format CSV/Excel din secțiunea Setări → Export, timp de 90 de zile de la terminarea contractului
- Șterge definitiv toate datele operaționale ale Operatorului (comenzi, clienți, rute, fotografii, locații GPS, profiluri utilizatori) la expirarea perioadei de 90 de zile
Excepție: Documentele contabile proprii ale Procesatorului (facturi fiscale emise de Tiny Studio SRL pentru abonamentul Colet App) nu pot fi șterse, conform legislației fiscale române (Legea nr. 82/1991, art. 25) — termenul legal de păstrare este de 10 ani de la finele anului fiscal al emiterii. Aceste documente nu conțin date operaționale ale Operatorului.
10. Securitate — măsuri implementate
Procesatorul implementează, conform art. 32 GDPR:
- Criptare HTTPS pentru toate conexiunile client-server
- Criptare la stocare pentru fișiere (fotografii, documente)
- Acces bazat pe roluri cu izolare completă între organizații (Row Level Security la nivel de bază de date)
- Backup zilnic automatizat al datelor
- Servere localizate în Uniunea Europeană (Frankfurt, Germania)
- Autentificare cu parolă sau link magic; sesiuni cu expirare automată
- Jurnale de audit pentru acțiunile administrative
11. Transferuri internaționale de date
Datele personale sunt stocate preponderent în Uniunea Europeană. Singurul sub-procesator cu sediul în afara UE este Mapbox Inc. (SUA), utilizat pentru calculul alternativ de rute. Transferul se efectuează pe baza Clauzelor Contractuale Standard (SCC) aprobate de Comisia Europeană prin Decizia de implementare (UE) 2021/914.
12. Modificări ale acordului
Procesatorul poate actualiza prezentul acord. În cazul unor modificări substanțiale, Operatorul va fi notificat prin email și prin bannere în platformă cu minimum 30 de zile înainte de intrarea în vigoare a noilor prevederi. Continuarea utilizării platformei după data intrării în vigoare constituie acceptul noii versiuni.
13. Legislație aplicabilă și autoritate de supraveghere
Prezentul acord este guvernat de dreptul român și de Regulamentul (UE) 2016/679. Autoritatea competentă de supraveghere este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), cu sediul în București, România.
14. Cereri ale autorităților publice (ANAF, instanțe)
Datele operaționale ale Operatorului (comenzi, rute, clienți) sunt prelucrate de Tiny Studio SRL exclusiv în calitate de persoană împuternicită. Ele aparțin și rămân sub controlul Operatorului. Procesatorul le predă unei autorități publice doar în baza unei obligații legale (art. 6 alin. (1) lit. (c) GDPR) și numai în condițiile de mai jos.
- ANAF poate solicita informații despre Operator doar printr-o cerere scrisă, motivată și punctuală, în cadrul verificării fiscale a Operatorului.
- ANAF nu poate solicita un export general ori în bloc al datelor mai multor firme și nu are acces automat sau direct la platformă.
- Procesatorul predă doar datele pe care le deține efectiv în momentul cererii. Procesatorul nu are obligația de a păstra datele operaționale ale Operatorului — retenția este controlată de Operator, care le poate șterge oricând (manual sau prin ștergere programată). Dacă datele au fost deja șterse, nu există ce furniza.
- Singurele date pe care legea obligă Procesatorul să le păstreze sunt propriile facturi de abonament (10 ani, Legea nr. 82/1991) — și doar pentru conturile cu plată; un cont gratuit nu generează facturi. Factura conține exclusiv denumirea firmei, suma și TVA — nicio dată operațională.
Art. 58, Codul de procedură fiscală (Legea nr. 207/2015): „Organul fiscal are dreptul să solicite informații de la alte persoane cu care contribuabilul/plătitorul are sau a avut raporturi economice ori juridice, iar acestea au obligația de a le furniza. Informațiile furnizate de aceste persoane se iau în considerare numai în măsura în care sunt confirmate prin alte mijloace de probă."
În cazul primirii unei astfel de cereri legale privind Operatorul, Procesatorul informează Operatorul, cu excepția cazului în care legea interzice expres această informare. După primirea informațiilor, autoritatea fiscală este ținută de obligația de secret fiscal (art. 11 din Codul de procedură fiscală).
15. Contact
Pentru orice aspect legat de prezentul acord sau de protecția datelor:
Email: contact@tinystudio.ro
Tiny Studio SRL · CUI 50151310 · J33/1014/29.05.2024