ACORD DE PRELUCRARE A DATELOR CU CARACTER PERSONAL (DPA) conform Art. 28 din Regulamentul (UE) 2016/679 (GDPR) Versiunea: 1.0 (03.07.2026) — face parte integrantă din contractul de servicii Egalis. Text de referință; versiunea semnată prevalează. PĂRȚILE - Operatorul: compania-client identificată în contractul de servicii („Clientul”). - Persoana împuternicită: ADDO VISION SOLUTIONS SRL, cu sediul social în București, Șos. Berceni nr. 96, Monaco Towers, A9.06, înregistrată la registrul comerțului cu nr. J2013010973404, EUID ROONRC.J2013010973404, CUI RO32203240, office@addovision.ro („Egalis”), furnizorul platformei egalis.ro / app.egalis.ro. 1. OBIECTUL ȘI DURATA PRELUCRĂRII Egalis prelucrează date cu caracter personal în numele Clientului exclusiv pentru furnizarea platformei de conformitate cu legea transparenței salariale (transpunerea Directivei (UE) 2023/970): importul datelor de salarizare, evaluarea posturilor, calculul diferențelor de remunerare, raportarea, gestionarea cererilor de informare ale angajaților și a cazurilor de remediere. Durata: pe durata contractului de servicii, plus perioadele de retenție legală (minimum 4 ani pentru raportări — Art. 9(9) din lege), dacă Clientul nu instruiește altfel. 2. PERSOANELE VIZATE ȘI CATEGORIILE DE DATE Persoane vizate: angajații Clientului; în modulul de recrutare, candidații. Categorii de date: identificator intern (marca din payroll), sex, funcție, cod COR, departament, data angajării, norma, elementele de remunerare (salariu de bază, componente variabile, beneficii), evenimente de concediu, modificări salariale; opțional, numele angajatului (stocat separat, criptat AES-256-GCM); adresa de email furnizată de angajat la depunerea unei cereri de informare. NU se prelucrează: CNP, categorii speciale de date (Art. 9 GDPR) sau alte criterii de discriminare în datele de calcul — platforma refuză prin construcție astfel de câmpuri. 3. OBLIGAȚIILE EGALIS (Art. 28(3) GDPR) a) prelucrează datele numai pe baza instrucțiunilor documentate ale Clientului; configurarea și folosirea platformei de către utilizatorii autorizați ai Clientului constituie instrucțiuni documentate; b) garantează că persoanele autorizate să prelucreze datele s-au angajat să respecte confidențialitatea; c) aplică măsurile tehnice și organizatorice descrise la https://egalis.ro/securitate (Art. 32 GDPR), incluzând: găzduire exclusiv în Uniunea Europeană, pseudonimizare din construcție, criptarea identităților nominale la repaus, control de acces pe roluri, limitare de rată, jurnal de audit imutabil la nivel de bază de date, TLS pe tot traficul; d) respectă condițiile de la pct. 4 pentru recurgerea la subîmputerniciți; e) asistă Clientul, în măsura posibilului, la îndeplinirea obligației de a răspunde cererilor persoanelor vizate (platforma include instrumente directe: portalul de cereri Art. 7, exportul complet); f) asistă Clientul la asigurarea respectării Art. 32–36 GDPR (securitate, notificarea încălcărilor, evaluări de impact); g) NOTIFICAREA INCIDENTELOR: Egalis notifică Clientul fără întârzieri nejustificate și în cel mult 72 de ore de la constatarea unei încălcări a securității datelor, cu informațiile prevăzute la Art. 33(3) GDPR; h) la încetarea serviciilor, la alegerea Clientului, returnează toate datele (export complet, format structurat JSON, disponibil direct în aplicație) și șterge copiile existente, cu excepția jurnalului de audit (păstrat ca probă legală în temeiul Art. 17(3) GDPR; nu conține date salariale) și a datelor a căror păstrare este impusă de lege; i) pune la dispoziția Clientului toate informațiile necesare pentru a demonstra respectarea obligațiilor din prezentul acord și permite audituri, inclusiv inspecții, efectuate de Client sau de un auditor mandatat, cu notificare prealabilă rezonabilă (minimum 15 zile lucrătoare) și fără a periclita securitatea celorlalți clienți. 4. SUBÎMPUTERNICIȚI Clientul autorizează în mod general recurgerea la subîmputerniciții din Anexa 1. Egalis informează Clientul cu privire la orice adăugare sau înlocuire, Clientul având la dispoziție 15 zile pentru obiecții justificate. Egalis impune subîmputerniciților, prin contract, aceleași obligații de protecție a datelor. 5. TRANSFERURI ÎN AFARA UE/SEE Nu au loc. Toate datele sunt stocate și prelucrate exclusiv în Uniunea Europeană. 6. RĂSPUNDEREA ȘI LEGEA APLICABILĂ Răspunderea părților urmează regimul din contractul de servicii și Art. 82 GDPR. Legea aplicabilă: legea română. ANEXA 1 — SUBÎMPUTERNICIȚI AUTORIZAȚI 1. Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Germania — servicii de infrastructură și găzduire (centre de date în Germania, UE). 2. Email tranzacțional: server propriu (mail.egalis.ro), găzduit în UE — nu există furnizor terț de email. Semnături: conform contractului de servicii.