📄 ACORD DE PRELUCRARE A DATELOR (DATA PROCESSING AGREEMENT – DPA)

Ultima actualizare: 13 Noiembrie 2025

1. Părțile acordului

Acest Acord de Prelucrare a Datelor („Acordul” sau „DPA”) este încheiat între:

  • LAVALI ONLINE SHOP SRL, în calitate de furnizor al platformei GIA Connect, operată prin domeniul www.giabooking.com, în calitate de împuternicit sau procesor al datelor cu caracter personal (denumit în continuare „Procesorul”); și
  • Clientul (Proprietarul / Unitatea de cazare / Partenerul contractual) care utilizează platforma GIA Connect, în calitate de operator („Operatorul”).

Prezentul Acord stabilește termenii și condițiile în care Procesorul prelucrează date cu caracter personal în numele Operatorului, în legătură cu utilizarea platformei GIA Connect.

2. Rolurile părților

  • Operatorul determină scopurile și mijloacele prelucrării datelor cu caracter personal ale oaspeților, clienților, angajaților sau altor persoane vizate asociate unității sale de cazare.
  • Procesorul prelucrează datele cu caracter personal exclusiv în numele și conform instrucțiunilor documentate ale Operatorului, în scopul furnizării serviciilor GIA Connect.
  • Atunci când este cazul, Operatorul poate fi la rândul său procesor pentru un alt operator (de exemplu, un lanț hotelier); în acest caz, Operatorul garantează că are dreptul legal de a mandata Procesorul pentru prelucrarea datelor.

3. Obiectul, durata, natura și scopul prelucrării

3.1 Obiectul prelucrării

Obiectul acestui Acord îl reprezintă prelucrarea datelor cu caracter personal de către Procesor, în numele Operatorului, în legătură cu utilizarea platformei GIA Connect și a modulelor sale (calendar, rezervări, rapoarte, administrare unități de cazare etc.).

3.2 Durata

Prelucrarea se desfășoară pe toată durata relației contractuale dintre Operator și Procesor, precum și pe perioada necesară îndeplinirii obligațiilor legale de arhivare și/sau ștergere a datelor.

3.3 Natura și scopul prelucrării

Natura prelucrării include operațiuni precum: colectare, înregistrare, organizare, structurare, stocare, modificare, consultare, utilizare, dezvăluire prin transmitere, aliniere sau combinare, restricționare, ștergere sau distrugere, după caz.

Scopurile prelucrării includ, cu titlu exemplificator:

  • gestionarea rezervărilor și a cererilor de cazare;
  • administrarea datelor despre camere, tarife, disponibilități și servicii;
  • emiterea de documente (facturi, confirmări, notificări) în contextul relației Operator–Oaspete;
  • generarea de rapoarte și statistici operaționale;
  • securizarea sistemelor și prevenirea fraudelor;
  • îndeplinirea obligațiilor legale ale Operatorului și/sau ale Procesorului, acolo unde sunt implicate.

4. Tipuri de date și categorii de persoane vizate

4.1 Tipuri de date cu caracter personal

În cadrul furnizării serviciilor GIA Connect, pot fi prelucrate, la nevoie și în funcție de modul de utilizare a platformei de către Operator, următoarele categorii de date cu caracter personal:

  • Date de identificare: nume, prenume, titlu, date de contact ale oaspeților, ale reprezentanților Operatorului sau ale personalului Operatorului;
  • Date de contact: adrese de email, numere de telefon, adrese poștale, date de facturare;
  • Date referitoare la rezervări: date de check-in/check-out, număr de camere, număr adulți/copii, preferințe de cazare, informații privind tarife și servicii suplimentare;
  • Date tranzacționale limitate: informații privind statusul plăților, metode de plată utilizate, fără ca Procesorul să stocheze date complete de card, dacă această prelucrare este făcută separat de un procesor de plăți specializat;
  • Date de utilizare a platformei: loguri tehnice, ID utilizator, IP, date tehnice de conectare, în măsura necesară pentru securitate și funcționare;
  • Alte date furnizate de Operator: observații privind rezervări, note interne, câmpuri personalizate definite de Operator, în măsura în care acestea conțin date personale.

4.2 Categorii de persoane vizate

Persoanele vizate pot include, în funcție de utilizarea platformei de către Operator:

  • oaspeți, clienți sau potențiali clienți ai unității de cazare;
  • angajați, colaboratori sau reprezentanți ai Operatorului;
  • alte persoane ale căror date sunt introduse de Operator în platformă (în măsura în care acest lucru se încadrează în scopurile legitime ale Operatorului).

5. Instrucțiunile Operatorului

  • Procesorul va prelucra datele cu caracter personal numai pe baza instrucțiunilor documentate ale Operatorului, incluzând și documentația tehnică, setările din cont și configurațiile efectuate de Operator în platformă.
  • Dacă Procesorul consideră că o instrucțiune a Operatorului încalcă legislația aplicabilă în materie de protecție a datelor, acesta va informa Operatorul, în măsura în care legea îi permite.
  • În lipsa unor instrucțiuni clare sau în cazul unei situații de urgență (e.g. incidente de securitate), Procesorul poate lua măsuri rezonabile pentru a proteja datele persoanelor vizate, informând ulterior Operatorul.

6. Confidențialitate

  • Procesorul se asigură că persoanele aflate sub autoritatea sa (angajați, colaboratori) care au acces la datele cu caracter personal sunt supuse unor obligații de confidențialitate adecvate și au primit instruire adecvată în materie de protecția datelor.
  • Procesorul nu va divulga datele cu caracter personal către terți, cu excepția cazurilor în care:
    • Operatorul a autorizat în mod expres un anumit transfer sau dezvăluire; sau
    • dezvăluirea este obligatorie în temeiul legii sau al unei solicitări legitime a unei autorități competente (caz în care, în măsura permisă, Operatorul va fi informat în prealabil).

7. Sub-procesatori

  • Operatorul autorizează în general utilizarea de sub-procesatori de către Procesor, în scopul furnizării serviciilor (de exemplu: servicii de hosting, e-mail, securitate, analytics, backup etc.).
  • Procesorul menține o listă actualizată a sub-procesatorilor pe care o pune la dispoziția Operatorului (de exemplu, prin pagina „Lista sub-procesatori” din cadrul centrului legal).
  • Procesorul se asigură că fiecare sub-procesor este supus unor obligații contractuale care oferă un nivel de protecție a datelor cel puțin echivalent cu cel din acest Acord.
  • Procesorul rămâne pe deplin responsabil față de Operator pentru obligațiile sub-procesatorilor săi.

8. Securitatea prelucrării

Procesorul implementează măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscurilor, incluzând, dar fără a se limita la:

  • criptarea datelor în tranzit (TLS) și, dacă este cazul, la rest;
  • controale de autentificare și autorizare bazate pe roluri (RBAC);
  • separarea mediilor de dezvoltare/test de mediul de producție;
  • mecanisme de backup și restaurare a datelor;
  • monitorizarea și logarea accesului la sistemele critice;
  • protecție împotriva accesului neautorizat, a pierderii sau distrugerii accidentale a datelor;
  • proceduri interne privind răspunsul la incidente de securitate.

9. Notificarea incidentelor de securitate

  • În cazul în care Procesorul ia cunoștință de un incident de securitate care afectează datele cu caracter personal prelucrate pentru Operator (de exemplu: acces neautorizat, pierdere, divulgare accidentală), acesta va notifica Operatorul fără întârzieri nejustificate, în măsura posibilului.
  • Notificarea va include, în măsura în care informațiile sunt disponibili:
    • natura incidentului;
    • categoriile și, dacă este posibil, numărul aproximativ al persoanelor vizate afectate;
    • categoriile și, dacă este posibil, numărul aproximativ al înregistrărilor de date afectate;
    • măsurile luate sau propuse pentru a remedia incidentul și pentru a atenua eventualele efecte.
  • Operatorului îi revine responsabilitatea de a decide dacă și în ce măsură notifică autoritatea de supraveghere și/sau persoanele vizate, în funcție de legislația aplicabilă.

10. Asistența oferită Operatorului

Procesorul va sprijini Operatorul, în măsura rezonabilă și în limita responsabilităților sale, pentru îndeplinirea obligațiilor Operatorului în ceea ce privește:

  • răspunsul la solicitările persoanelor vizate (drept de acces, rectificare, ștergere, restricționare, portabilitate, opoziție etc.);
  • realizarea evaluărilor de impact privind protecția datelor (DPIA) atunci când acestea privesc utilizarea platformei;
  • consultările prealabile cu autoritățile de supraveghere, acolo unde sunt necesare;
  • gestionarea incidentelor de securitate și a încălcărilor de securitate.

În cazul în care asistența solicitată depășește ceea ce este considerat în mod rezonabil inclus în serviciile standard, Procesorul poate solicita un onorariu rezonabil pentru timpul și resursele implicate, cu acordul Operatorului.

11. Transferuri internaționale de date

Procesorul poate transfera sau permite accesul la date în afara jurisdicției Operatorului, inclusiv în state din afara Spațiului Economic European sau din alte regiuni cu regimuri diferite de protecție a datelor, cu condiția implementării unor garanții adecvate, cum ar fi:

  • Clauze Contractuale Standard (SCC) aprobate de Comisia Europeană sau alte autorități relevante;
  • reguli corporatiste obligatorii (BCR), acolo unde este cazul;
  • măsuri tehnice suplimentare, cum ar fi criptarea sau pseudonimizarea;
  • evaluări de impact privind transferurile de date, când sunt necesare.

12. Răspundere

  • Fiecare parte răspunde pentru prejudiciile cauzate prin încălcarea obligațiilor prevăzute de prezentul Acord sau de legislația aplicabilă privind protecția datelor, în măsura în care îi este imputabilă.
  • Procesorul răspunde pentru acțiunile și omisiunile sub-procesatorilor săi în aceeași măsură în care ar răspunde dacă ar fi fost acțiunile sau omisiunile sale proprii.
  • Limitările de răspundere prevăzute în contractul principal dintre Operator și Procesor se aplică și în ceea ce privește acest Acord, în măsura permisă de legislația aplicabilă.

13. Încetarea acordului și ștergerea datelor

  • La încetarea relației contractuale dintre Operator și Procesor (indiferent de motiv), Procesorul va:
    • șterge sau returna Operatorului, la alegerea acestuia, toate datele cu caracter personal prelucrate în numele Operatorului, cu excepția cazului în care stocarea continuă este impusă de lege; și
    • șterge sau anonimiza copii suplimentare sau de backup într-un termen rezonabil, conform politicilor interne de retenție.
  • Operatorul este responsabil pentru descărcarea sau exportul datelor necesare înainte de data încetării, în funcție de facilitățile oferite de platformă.

14. Audit și verificare

  • La solicitarea Operatorului, Procesorul poate pune la dispoziție documentația relevantă (de exemplu, politici interne, descrierea măsurilor de securitate, certificări în vigoare) pentru a demonstra conformitatea cu prezentul Acord.
  • În situațiile în care legislația o impune sau contractul principal prevede acest lucru, Operatorul poate solicita efectuarea unui audit sau a unei inspecții, cu un preaviz rezonabil și în condiții care să nu afecteze în mod nejustificat operațiunile Procesorului.
  • Costurile unui astfel de audit pot fi suportate de Operator, cu excepția cazului în care auditul relevă o încălcare materială a obligațiilor Procesorului.

15. Relația cu alte documente

  • Acest Acord face parte integrantă din relația contractuală dintre Operator și Procesor (de ex. Termenii și Condițiile sau contractul principal de servicii).
  • În caz de conflict între prevederile prezentului Acord și cele ale contractului principal, în ceea ce privește protecția datelor cu caracter personal, prevaleză prevederile acestui Acord, în măsura în care legea aplicabilă o impune.

16. Modificări ale Acordului

Procesorul poate actualiza periodic prezentul Acord pentru a reflecta schimbări legislative, modificări ale serviciilor sau ale structurii sale operaționale.

  • Data ultimei actualizări este afișată în partea superioară a acestei pagini.
  • Modificările semnificative vor fi comunicate Operatorului prin mijloace adecvate (de exemplu, notificare în platformă sau prin e-mail).
  • Continuarea utilizării serviciilor după intrarea în vigoare a modificărilor reprezintă acceptarea Acordului astfel modificat.

17. Contact

Pentru întrebări sau solicitări legate de prezentul Acord sau de prelucrarea datelor cu caracter personal, Operatorul poate contacta Procesorul la:

📩 Email confidențialitate / DPO: legal@giabooking.com