Addendumul privind prelucrarea datelor (DPA)

1. Preambul și acceptare

Prezentul Addendum privind prelucrarea datelor („DPA" sau „Addendum") face parte integrantă din Termenii și condițiile MINOMO și completează dispozițiile acestora privind prelucrarea datelor cu caracter personal.

Părțile prezentului Addendum sunt:

• AVi Kairos Srl, societate de drept român, cu sediul social la Strada Lungă 188, Corp C2, Ap. 2, 500051 Brașov, România (CUI 52477194 · J08/68/2025 · EUID ROONRC.J2025068492002), denumită în continuare "MINOMO", "Persoană împuternicită de operator" sau "Noi";
• comerciantul — persoană fizică sau juridică — care a acceptat Termenii și condițiile MINOMO și care, pentru activitățile descrise la art. 3 din prezentul Addendum, determină în mod autonom scopurile și mijloacele prelucrării, denumit în continuare "Comerciant", "Operator de date" sau "Tu".

Prin acceptarea Termenilor și condițiilor MINOMO, Comerciantul acceptă și prezentul Addendum, care intră în vigoare odată cu prima activare a uneia dintre funcționalitățile enumerate la art. 3. Dacă nu ești de acord cu aceste condiții, nu activa funcționalitățile respective și contactează-ne la [email protected].

Prezentul Addendum disciplinează exclusiv prelucrările în care MINOMO acționează ca persoană împuternicită de operator în sensul art. 28 din Regulamentul (UE) 2016/679 („RGPD"). Toate celelalte prelucrări efectuate de MINOMO pentru furnizarea platformei rămân disciplinate de Politica de confidențialitate MINOMO, în care AVi Kairos Srl acționează ca operator de date autonom.

2. Definiții

În sensul prezentului Addendum, se înțelege prin:

• „RGPD": Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date;
• „Date cu caracter personal": orice informație privind o persoană fizică identificată sau identificabilă, în sensul art. 4 alin. (1) din RGPD;
• „Prelucrare": orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal, cu sau fără utilizarea de mijloace automatizate, în sensul art. 4 alin. (2) din RGPD;
• „Operator de date" (sau "Operator"): Comerciantul, în măsura în care determină scopurile și mijloacele prelucrărilor disciplinate de prezentul Addendum;
• „Persoană împuternicită de operator" (sau "Persoană împuternicită"): AVi Kairos Srl / MINOMO, în măsura în care prelucrează datele cu caracter personal în numele Operatorului, conform instrucțiunilor acestuia și în cadrul funcționalităților enumerate la art. 3;
• „Subîmputernicit" sau "subprocessor": orice parte terță numită de MINOMO pentru a desfășura, integral sau parțial, activități de prelucrare în numele Operatorului, în contextul prezentului Addendum;
• „Persoane vizate": persoanele fizice ale căror date cu caracter personal sunt prelucrate în cadrul prezentului Addendum. Pe platforma MINOMO, acestea sunt în principal urmăritorii Comerciantului și participanții activi la campaniile sale de fidelizare;
• „Încălcare a securității datelor cu caracter personal" (sau "data breach"): o încălcare a securității care conduce, în mod accidental sau ilicit, la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul la datele cu caracter personal transmise, stocate sau prelucrate în alt mod, în sensul art. 4 alin. (12) din RGPD;
• „CCS": Clauzele contractuale standard aprobate de Comisia Europeană prin Decizia de punere în aplicare 2021/914/UE din 4 iunie 2021, astfel cum au fost completate și actualizate;
• „SEE": Spațiul Economic European, cuprinzând statele membre ale Uniunii Europene, precum și Islanda, Liechtenstein și Norvegia.

3. Domeniu de aplicare — când se aplică acest DPA

Prezentul Addendum se aplică exclusiv prelucrărilor în care Comerciantul determină în mod autonom scopurile prelucrării și se folosește de MINOMO ca instrument de execuție. Prelucrările incluse în domeniu sunt:

• Trimiterea de notificări push direcționate: atunci când folosești funcția „trimite la o subseleecție" din panoul tău de comerciant pentru a îndrepta o notificare push către un segment specific al urmăritorilor tăi (de ex. numai membrii programului tău de fidelizare, numai cei care au atins un anumit prag de puncte, numai cei care au activat cardul într-o anumită perioadă). În acest caz, tu definești criteriul de selecție și conținutul mesajului; MINOMO execută tehnic trimiterea;
• Gestionarea campaniilor de fidelizare digitale cu profilare per urmăritor: atunci când programul tău de fidelizare generează, dincolo de simpla numărare a punctelor, date trasabile atribuibile unor utilizatori identificați în mod individual (de ex. istoricul tranzacțiilor per urmăritor, segmentare comportamentală bazată pe recompense răscumpărate);
• Raportare și analiză agregată solicitată de Comerciant privind campaniile sale: atunci când soliciți prelucrări care pornesc de la datele cu caracter personal ale persoanelor vizate — chiar dacă rezultatul final este agregat — pentru a evalua eficacitatea unei campanii specifice a tale.

Prezentul Addendum nu se aplică următoarelor prelucrări, în care MINOMO acționează ca operator de date autonom:

• contul Comerciantului (email, hash parolă, date de facturare, date DSA conform art. 30 din Regulamentul (UE) 2022/2065);
• pagina comercială publică a Comerciantului și conținuturile sale editoriale;
• portofelul preplătit și istoricul tranzacțiilor de credit;
• relația de urmărire dintre utilizatorul consumator și pagina Comerciantului (MINOMO gestionează această relație ca operator de date autonom; Comerciantul nu are acces la datele de identificare ale urmăritorilor săi, ci doar la contorizări agregate);
• notificările push de tip broadcasting trimise întregului oraș sau unui segment geografic larg, în care selecția destinatarilor este efectuată de MINOMO pe baza unor parametri de sistem.

În caz de îndoială cu privire la calificarea juridică a unei anumite prelucrări, te invităm să ne scrii la [email protected] înainte de a o iniția.

4. Instrucțiunile operatorului de date

MINOMO prelucrează datele cu caracter personal ale persoanelor vizate exclusiv conform instrucțiunilor documentate ale Operatorului, cu excepția cazului în care prelucrarea este impusă de dreptul Uniunii Europene sau de dreptul statului membru căruia MINOMO îi este supusă; în acest caz, MINOMO te informează în prealabil cu privire la prelucrare, cu excepția situației în care dreptul aplicabil interzice o astfel de informare din motive de interes public.

Instrucțiunile Operatorului sunt considerate transmise exclusiv prin intermediul platformei MINOMO — funcționalitățile tehnice disponibile în panoul comerciantului, configurarea campaniilor, selectarea criteriilor de segmentare. Nu prelucrăm date pe baza unor instrucțiuni verbale, telefonice sau comunicate prin email informal. Dacă ai nevoi specifice pe care platforma nu le acoperă, contactează-ne la [email protected] pentru a evalua o soluție documentată.

Dacă MINOMO consideră că o instrucțiune a ta încalcă RGPD sau altă reglementare aplicabilă în materie de protecție a datelor, îți comunicăm acest lucru în scris fără întârziere. În acest caz, MINOMO își rezervă dreptul de a suspenda executarea instrucțiunii până la soluționarea problemei.

Responsabilitatea pentru legalitatea instrucțiunilor — inclusiv verificarea faptului că prelucrarea respectivă se întemeiază pe o bază juridică valabilă (consimțământul persoanelor vizate, executarea unui contract, interes legitim etc.) — revine în întregime ție, în calitate de Operator. MINOMO furnizează instrumentele tehnice; guvernanța prelucrării îți aparține ție.

5. Obligațiile MINOMO în calitate de persoană împuternicită de operator

Pentru prelucrările din domeniu (art. 3), MINOMO se angajează să:

• Prelucreze exclusiv conform instrucțiunilor: să nu utilizeze datele persoanelor vizate în scopuri proprii ale MINOMO, pentru activități de marketing intern, pentru profilare publicitară sau pentru orice alt scop diferit de executarea instrucțiunii primite;
• Garanteze confidențialitatea: să se asigure că persoanele autorizate să prelucreze datele sunt legate de obligații de confidențialitate, contractuale sau legale;
• Adopte măsuri de securitate adecvate în temeiul art. 32 din RGPD, astfel cum sunt descrise în Anexa II din prezentul Addendum;
• Respecte condițiile privind subîmputerniciții prevăzute la art. 6;
• Asiste Operatorul în îndeplinirea obligațiilor descrise la art. 9, 10 și 11;
• Șteargă sau restituie datele la finalul prelucrării conform modalităților prevăzute la art. 13;
• Pună la dispoziție informațiile necesare pentru demonstrarea respectării obligațiilor prevăzute la art. 28 din RGPD și să permită activitățile de audit prevăzute la art. 12.

6. Subîmputerniciți (subprocessori)

Pentru executarea activităților de prelucrare din domeniu, MINOMO apelează la furnizori terți — „subîmputerniciții" — care prelucrează date cu caracter personal în numele său. În temeiul art. 28 alin. (2) din RGPD, îți comunicăm următoarele.

Autorizare generală

Prin acceptarea prezentului Addendum, autorizezi MINOMO să apeleze la subîmputerniciții enumerați pe pagina minomo.io/ro/legal/subprocessors/, care este actualizată în timp real și constituie parte integrantă din prezentul DPA. Acea pagină indică pentru fiecare subîmputernicit: denumirea, categoria de prelucrare, țara de stabilire și garanțiile de transfer aplicabile.

Preaviz pentru noi subîmputerniciți

Înainte de a adăuga sau înlocui un subîmputernicit, te informăm cu un preaviz de cel puțin 30 de zile prin email la adresa asociată contului tău de comerciant și prin aviz în panou. Informarea include denumirea noului furnizor, categoria de prelucrare și țara de stabilire.

Dreptul de opoziție

Ai dreptul de a te opune adăugării unui nou subîmputernicit în termen de 10 zile de la primirea preavizului, trimițând o comunicare motivată la [email protected]. Dacă opoziția se întemeiază pe motive legitime și nu suntem în măsură să găsim o alternativă adecvată, poți rezilia funcționalitățile din domeniu fără penalități. Rezilierea nu afectează celelalte funcționalități MINOMO pentru care nu acționezi ca operator de date autonom.

Răspunderea față de subîmputerniciți

MINOMO impune contractual fiecărui subîmputernicit obligații echivalente cu cele din prezentul Addendum în materie de protecție a datelor. Dacă un subîmputernicit nu respectă obligațiile sale în materie de protecție a datelor, MINOMO rămâne pe deplin răspunzătoare față de tine pentru îndeplinirea obligațiilor subîmputernicitului, în temeiul art. 28 alin. (4) din RGPD.

7. Transferuri internaționale de date cu caracter personal

Unii dintre subîmputerniciții MINOMO au sediul în afara Spațiului Economic European. Pentru prelucrările din domeniu, transferurile către țări terțe se efectuează cu respectarea garanțiilor prevăzute de Capitolul V din RGPD.

În particular:

• acolo unde este aplicabil, MINOMO utilizează Clauzele contractuale standard (CCS) 2021/914/UE, Modulul 2 (Operator → Persoană împuternicită), completate de evaluări ale impactului transferurilor (Transfer Impact Assessment, TIA) și, acolo unde este necesar, de măsuri suplimentare de natură tehnică și organizatorică;
• pentru transferurile către Statele Unite, dacă furnizorul aderă la EU-U.S. Data Privacy Framework (decizia de adecvare a CE din 10 iulie 2023), utilizăm acest instrument în completarea CCS;
• pentru transferurile către Regatul Unit, aplicăm decizia de adecvare a CE din 28 iunie 2021.

Detaliul per furnizor — țara, instrumentul de garanție, data ultimei verificări — este disponibil pe pagina minomo.io/ro/legal/subprocessors/. Poți solicita o copie a CCS aplicabile unui anumit subîmputernicit scriind la [email protected].

Monitorizăm constant evoluția jurisprudenței UE privind transferurile internaționale și adaptăm garanțiile adoptate ori de câte ori este necesar.

8. Securitate

Măsurile tehnice și organizatorice pe care MINOMO le adoptă pentru protejarea datelor cu caracter personal prelucrate în cadrul prezentului Addendum sunt descrise în Anexa II din prezentul DPA. Aceste măsuri sunt revizuite și actualizate periodic în funcție de evoluția tehnologică și de riscurile identificate.

Dacă, în cadrul utilizării platformei, identifici un potențial risc pentru securitatea datelor persoanelor vizate, te rugăm să îl semnalezi imediat la [email protected].

9. Asistență acordată operatorului de date

MINOMO te asistă în îndeplinirea obligațiilor pe care RGPD le impune Operatorului, în măsura în care aceste obligații se referă la prelucrările din domeniu:

9.1 Cereri de exercitare a drepturilor (DSAR)

Dacă un urmăritor al tău sau un participant la o campanie de fidelizare a ta îți transmite o cerere de exercitare a drepturilor în temeiul art. 15-22 din RGPD (acces, rectificare, ștergere, portabilitate etc.), MINOMO îți furnizează asistență tehnică pentru identificarea și extragerea datelor relevante din sistemele platformei. Vom răspunde cererii tale de asistență în termen de 10 zile lucrătoare.

9.2 Evaluarea impactului (DPIA)

Dacă prelucrarea din domeniu se numără printre cele pentru care RGPD impune o Evaluare a impactului asupra protecției datelor (art. 35 din RGPD), MINOMO îți furnizează informațiile disponibile despre propria arhitectură tehnică și despre măsurile de securitate adoptate, pentru ca tu să poți realiza DPIA în cunoștință de cauză. Nu suntem în măsură să realizăm DPIA în locul tău: acea responsabilitate îți aparține ție, în calitate de Operator. Te putem sprijini cu documentație tehnică și cu o discuție dedicată, după prealabilă înțelegere la [email protected].

9.3 Consultare prealabilă

Dacă, în urma DPIA, evaluarea reziduală a riscului impune consultarea prealabilă a autorității de supraveghere (art. 36 din RGPD), te asistăm furnizând informațiile tehnice necesare pentru a completa cererea.

10. Notificarea încălcărilor securității datelor cu caracter personal

Dacă MINOMO identifică o încălcare a securității datelor cu caracter personal care implică date prelucrate în cadrul prezentului Addendum — adică o încălcare care afectează persoanele vizate pentru care tu ești Operator — procedăm astfel:

1. îți notificăm încălcarea în termen de 48 de ore de la constatare, prin email la adresa contului tău de comerciant. Notificarea include: descrierea naturii încălcării, categoriile și numărul aproximativ de persoane vizate afectate, măsurile adoptate sau propuse pentru remediere;
2. îți oferim asistență pentru redactarea notificării către autoritatea de supraveghere competentă, dacă încălcarea se încadrează în cazurile prevăzute de art. 33 din RGPD (care prevede notificarea în termen de 72 de ore de la cunoașterea evenimentului). Decizia finală privind notificarea autorității și responsabilitatea aferentă revin ție, în calitate de Operator;
3. te asistăm în evaluarea eventualei necesități de a comunica direct încălcarea persoanelor vizate în temeiul art. 34 din RGPD.

Notificarea unei încălcări către tine, în calitate de Operator, nu constituie o recunoaștere din partea MINOMO a vreunei răspunderi sau neglijențe în legătură cu respectiva încălcare.

11. Drepturile persoanelor vizate

Pentru prelucrările din domeniu, ești tu, în calitate de Operator, subiectul responsabil de răspunsul la cererile de exercitare a drepturilor persoanelor vizate în temeiul art. 15-22 din RGPD.

MINOMO nu răspunde direct cererilor persoanelor vizate care se referă la prelucrări pentru care ești Operator. Dacă o persoană vizată ne contactează direct — de exemplu scriind la [email protected] — în legătură cu o prelucrare din domeniu, îți transmitem cererea fără întârziere și fără a o soluționa pe fond.

Informează persoanele vizate, în politica de confidențialitate pe care ești obligat să o publici în calitate de Operator, că pentru prelucrările gestionate prin platforma MINOMO punctul de contact pentru exercitarea drepturilor ești tu. Te rugăm să indici în comunicările tale către persoanele vizate o adresă de email sau un formular de contact accesibil.

MINOMO îți furnizează instrumentele tehnice pentru gestionarea cererilor: în particular, funcția de ștergere din programul de fidelizare și de eliminare a datelor unei persoane vizate individuale este accesibilă din panoul comerciantului. Pentru cereri pe care nu le poți soluționa în mod autonom din platformă, scrie la [email protected]: te asistăm în termen de 10 zile lucrătoare.

12. Audit și inspecții

Ai dreptul de a verifica respectarea, de către MINOMO, a obligațiilor din prezentul Addendum. Modalitățile de exercitare a acestui drept sunt următoarele.

12.1 Documentație standard

MINOMO pune la dispoziția ta, la cerere, documentația tehnică referitoare la măsurile de securitate adoptate (vezi Anexa II), jurnalele de prelucrare relevante pentru datele din domeniu, eventuale sinteze de evaluări sau chestionare de conformitate (de exemplu CAIQ — Consensus Assessment Initiative Questionnaire al Cloud Security Alliance). Pentru a solicita documentația, scrie la [email protected].

12.2 Audit on-site

Poți solicita un audit on-site sau încredințat unui inspector terț — maxim 1 audit pe an calendaristic, cu excepția situației justificate de o încălcare documentată. Auditul este supus următoarelor condiții:

• preaviz scris de cel puțin 30 de zile la [email protected], cu descrierea perimetrului și a obiectivelor;
• acord prealabil privind modalitățile operaționale, pentru a evita interferențele cu funcționarea platformei și pentru a garanta confidențialitatea informațiilor altor clienți;
• toate costurile auditului (inclusiv timpul personalului MINOMO implicat în activitățile de suport) sunt în sarcina solicitantului;
• inspectorul terț trebuie să semneze un acord de confidențialitate cu MINOMO înainte de a accesa orice informație.

13. Ștergerea și restituirea datelor la finalul prelucrării

La finalul raportului contractual — fie prin rezilierea de către Comerciant, fie prin încetarea serviciului de către MINOMO, fie prin dezactivarea funcționalităților din domeniu — procedăm astfel:

• în termen de 30 de zile de la încetare, MINOMO șterge datele cu caracter personal ale persoanelor vizate prelucrate în cadrul prezentului Addendum din propriile sisteme active (baza de date operațională, cache, sisteme de analiză). Ștergerea privește copiile din sistemele de backup în următoarele 90 de zile (pentru finalizarea ciclului de rotație a backup-urilor);
• dacă o soliciți în scris înainte de ștergere, MINOMO îți restituie o copie a datelor în format structurat (JSON sau CSV, în funcție de tipologie). Cererea trebuie trimisă la [email protected] înainte de încetarea raportului;
• MINOMO poate păstra datele peste termenul de 30 de zile în măsura strict necesară pentru îndeplinirea obligațiilor legale (de exemplu, păstrarea jurnalelor de audit în scopuri fiscale sau pentru a da curs ordinelor autorității). În acest caz, te informăm cu privire la păstrare și durata acesteia.

La cererea ta, MINOMO emite o declarație scrisă de confirmare a ștergerii datelor din domeniu, cu indicarea datei și a modalităților operaționale.

14. Limitarea răspunderii

Răspunderea MINOMO pentru daunele rezultate din prelucrarea efectuată în cadrul prezentului Addendum este limitată în condițiile și cu excluderile prevăzute de Termenii și condițiile MINOMO, care se consideră integral incorporate prin referință.

În particular: MINOMO nu este răspunzătoare pentru daunele rezultate din instrucțiuni eronate, incomplete sau ilegale ale Operatorului; din utilizarea neconformă a platformei de către Comerciant; din accesul neautorizat la acreditivele panoului comerciantului cauzat de neglijența Comerciantului însuși; din încălcări imputabile subîmputerniciților care au adoptat măsuri de securitate echivalente cu cele cerute de prezentul DPA.

Dacă MINOMO a acționat în calitate de persoană împuternicită de operator, dar a contribuit direct și cauzal la o încălcare a RGPD, răspunderea față de persoanele vizate este cea prevăzută de art. 82 din RGPD. În acest caz, MINOMO și Operatorul sunt răspunzători solidar față de persoana vizată, cu drept de regres între părți proporțional cu cota de culpă a fiecăreia.

15. Legea aplicabilă și instanța competentă

Prezentul Addendum este disciplinat de dreptul român, cu respectarea Regulamentului (UE) 2016/679 și a reglementărilor privind protecția datelor aplicabile în statele membre în care activează Comercianții.

Pentru orice litigiu privind interpretarea, validitatea sau executarea prezentului Addendum, părțile convin competența exclusivă a Tribunalului din Brașov (România), cu excepția cazului în care Comerciantul este un consumator rezident în Uniunea Europeană, situație în care se aplică normele imperative de protecție a consumatorilor în vigoare în țara de reședință obișnuită.

Nimic din prezentul articol nu limitează dreptul Comerciantului de a depune o plângere la autoritatea de supraveghere pentru protecția datelor cu caracter personal competentă din propriul stat membru (art. 77 din RGPD).

16. Modificări ale DPA

MINOMO poate actualiza prezentul Addendum pentru a reflecta modificări normative, evoluții tehnologice, funcționalități noi ale platformei sau indicații ale autorităților de supraveghere. Când procedăm astfel:

• modificările nesubstanțiale (actualizări redacționale, corectarea referințelor normative, adăugarea de noi subîmputerniciți comunicați deja prin procesul prevăzut la art. 6) produc efecte imediat;
• modificările substanțiale — care afectează drepturile tale în calitate de Operator, categoriile de date prelucrate, scopurile, subîmputerniciții principali sau mecanismele de garanție pentru transferurile internaționale — îți sunt comunicate cu cel puțin 30 de zile de preaviz, prin email și prin aviz în panoul comerciantului;
• dacă nu accepți o modificare substanțială, poți dezactiva funcționalitățile din domeniu în perioada de preaviz fără penalități. Continuarea utilizării funcționalităților după expirarea termenului constituie acceptarea modificărilor.

Versiunile anterioare ale DPA rămân accesibile prin intermediul changelog-ului publicat la finalul acestei pagini.

Istoricul versiunilor

17. Contact

Pentru orice problemă legată de prezentul Addendum:

• Corespondență formală DPA: [email protected]
• Probleme specifice de confidențialitate: [email protected]
• Poștă ordinară: AVi Kairos Srl — Strada Lungă 188, Corp C2, Ap. 2, Brașov 500051, România

Ne angajăm să furnizăm un răspuns în termen de 10 zile lucrătoare de la primire. Pentru semnalările urgente privind încălcările securității datelor cu caracter personal în curs, folosește subiectul "DATA BREACH — URGENT" pentru a garanta prioritatea în gestionare.

Prezenta Anexă descrie caracteristicile prelucrărilor pentru care MINOMO acționează ca persoană împuternicită de operator în temeiul art. 3 din prezentul DPA.

I.A — Categorii de persoane vizate

I.B — Categorii de date cu caracter personal

I.C — Scopurile prelucrării

• Executarea tehnică a notificărilor push adresate unor segmente specifice de urmăritori definite de Operator;
• Gestionarea registrului de puncte de fidelizare per utilizator în cadrul programului Operatorului;
• Producerea de rapoarte și analize agregate privind eficacitatea campaniilor Operatorului.

I.D — Durata prelucrării

Prelucrarea începe odată cu prima activare de către Operator a uneia dintre funcționalitățile din domeniu și încetează odată cu dezactivarea definitivă a acestora sau cu încetarea raportului contractual. Modalitățile de ștergere la final sunt reglementate de art. 13 din prezentul DPA.

Măsurile descrise în această Anexă sunt cele pe care MINOMO le adoptă, în cadrul prelucrărilor din domeniu, în temeiul art. 32 din RGPD. Ele constituie referința pentru evaluarea adecvării tehnice și organizatorice cerute de prezentul DPA.

II.1 — Criptarea datelor

• În tranzit: toate datele transmise între clienți (browser, aplicație nativă, panou comerciant) și serverele MINOMO sunt protejate prin TLS 1.2 sau superior, cu certificate gestionate prin Let's Encrypt sau echivalent. Utilizarea protocoalelor depășite (SSL 3.0, TLS 1.0, TLS 1.1) este dezactivată la nivel de configurare a serverului.
• În repaus: bazele de date și sistemele de fișiere care găzduiesc datele persoanelor vizate sunt criptate la nivel de stocare, cu chei gestionate de infrastructura de hosting (criptare AES-256 sau echivalent). Cheile de criptare în repaus sunt separate de datele criptate.
• Payload-ul notificărilor push: conținutul notificărilor push (text, titlu, imagini, link) este criptat end-to-end între expeditor și dispozitivul destinatarului. Serverele MINOMO și gateway-urile terților (FCM, APNs, Web Push) nu accesează payload-ul în clar. Această măsură este specifică mecanismului push și nu se extinde la alte tipuri de date gestionate de platformă.

II.2 — Controlul accesului

• Principiul privilegiului minim: accesul la datele persoanelor vizate este limitat la personalul MINOMO care are o necesitate operațională efectivă. Drepturile de acces sunt atribuite pe bază de roluri și revizuite periodic.
• Autentificarea personalului: accesele la sistemele de producție (baze de date, panouri de administrare, infrastructură cloud) necesită autentificare multifactor (MFA). Utilizarea de parole slabe sau reutilizate este blocată la nivel de politică.
• Accesul comercianților: panoul comerciantului este protejat prin autentificare cu email verificat și parolă. Autentificarea în doi factori este disponibilă și puternic recomandată pentru conturile cu acces la funcționalitățile din domeniu.
• Jurnale de audit: accesele privilegiate la sistemele care găzduiesc datele persoanelor vizate sunt înregistrate în jurnale de audit cu marcaj temporal, identificatorul operatorului și natura operațiunii. Jurnalele sunt păstrate cel puțin 12 luni și nu pot fi modificate de operatorii ordinari.

II.3 — Segregarea mediilor

Datele utilizatorilor din producție sunt segregate față de mediile de dezvoltare și staging. Accesul la datele de producție în medii non-producție are loc exclusiv prin date anonimizate sau sintetice. Deploy-urile în producție urmează o procedură documentată cu revizuire de cod și teste automatizate înainte de lansare.

II.4 — Backup și recuperare

• Bazele de date sunt supuse unor backup-uri zilnice automate, cu păstrare pentru o perioadă minimă de 30 de zile.
• Procedurile de recuperare sunt documentate și testate periodic pentru a verifica integritatea backup-urilor și timpul de recuperare.
• Backup-urile sunt arhivate în locații fizic separate față de locația principală a datelor active.

II.5 — Gestionarea incidentelor

MINOMO dispune de o procedură documentată de gestionare a incidentelor de securitate, care include: lanțul de escaladare intern, criteriile de clasificare a gravității, modalitățile de contenție și remediere, termenele de notificare către Operator (art. 10 din prezentul DPA) și către autoritățile de supraveghere (art. 33 din RGPD). Personalul responsabil cu securitatea este instruit anual cu privire la procedurile de răspuns la incidente.

II.6 — Formarea personalului

Personalul MINOMO care are acces la datele persoanelor vizate primește formare periodică în materie de protecție a datelor, securitate informatică și gestionare a incidentelor. Formarea este documentată. Noii angajați cu acces la sisteme care conțin date cu caracter personal primesc formare dedicată înainte de accesul operațional.

II.7 — Securitatea subîmputerniciților

Înainte de a numi un nou subîmputernicit, MINOMO verifică că furnizorul adoptă măsuri de securitate cel puțin echivalente cu cele descrise în prezenta Anexă, prin revizuirea documentației de securitate a furnizorului (raport SOC 2, ISO/IEC 27001 sau echivalent, CAIQ sau altă documentație comparabilă) și prin încheierea unui DPA cu furnizorul. MINOMO selectează furnizori cu controale de securitate inspirate de familia de standarde ISO/IEC 27000 sau de framework-uri echivalente; nu declarăm certificări specifice în numele furnizorilor dacă nu sunt certificate de aceștia înșiși.

II.8 — Teste de securitate

MINOMO efectuează activități de scanare continuă a vulnerabilităților și teste de penetrare periodice (cel puțin o dată pe an) pe componentele platformei care găzduiesc datele persoanelor vizate. Rezultatele sunt documentate, iar vulnerabilitățile identificate sunt remediate conform unei politici de prioritizare bazate pe gravitate. Nu declarăm că am obținut certificări de securitate specifice (SOC 2 Type II, ISO 27001) dacă nu au fost efectiv obținute; măsurile adoptate sunt inspirate din controalele acestor framework-uri.

Lista completă, actualizată și versionată a subîmputerniciților MINOMO — cu denumirea, categoria de prelucrare, țara de stabilire, garanțiile de transfer aplicabile și data ultimei actualizări — este publicată și menținută în timp real pe pagina:

minomo.io/ro/legal/subprocessors/

Acea pagină constituie parte integrantă din prezenta Anexă III și din prezentul DPA. Este actualizată ori de câte ori un subîmputernicit este adăugat, modificat sau eliminat, cu indicarea datei modificării în changelog-ul aferent.

Categoriile generale de subîmputerniciți care intervin în prelucrările din domeniu ale prezentului DPA includ:

• Infrastructură aplicativă și baze de date: serverele pe care rulează platforma MINOMO, inclusiv componentele care gestionează campaniile de fidelizare și registrele de segmentare push;
• Gateway-uri pentru notificări push: furnizorii care asigură transportul fizic al notificărilor push către dispozitivele persoanelor vizate (Google Firebase Cloud Messaging pentru Android, Apple Push Notification service pentru iOS, Web Push standard pentru PWA). Acești furnizori primesc payload-ul deja criptat end-to-end;
• Rețea de distribuție a conținutului (CDN): pentru distribuirea activelor statice asociate campaniilor (imagini, logo-uri);
• Arhivare de backup: serviciul de stocare la distanță pe care sunt arhivate backup-urile bazelor de date.

Pentru orice solicitare privind subîmputerniciții, scrie-ne la [email protected].