Acord de Prelucrare a Datelor

Ultima actualizare: 9 iunie 2026

Acest Acord de Prelucrare a Datelor („DPA") face parte din Termenii și Condițiile („Acordul") dintre Oliniuc Bogdan-Nicolae PFA (Persoană Fizică Autorizată; CUI 46976220; Nr. Reg. F2022004979409; Bd. Bucureștii Noi nr. 136, parter, ap. 5, Sector 1, București, România) („Kronly", „noi", „nouă", „Persoana Împuternicită") și organizația care utilizează aplicația Kronly pentru a prelucra date cu caracter personal ale forței sale de muncă („Clientul", „dumneavoastră", „Operatorul").

Se aplică atunci când și în măsura în care Kronly prelucrează date cu caracter personal în numele Operatorului în cursul furnizării serviciului Kronly de management al forței de muncă în construcții („Serviciul"), conform descrierii din Politica noastră de Confidențialitate. Reflectă acordul părților cu privire la o astfel de prelucrare, în conformitate cu Articolul 28 din Regulamentul (UE) 2016/679 („GDPR") și cu Legea nr. 190/2018 din România.

Această pagină este DPA-ul standard (pro-forma) oferit tuturor Clienților care utilizează Kronly pentru managementul forței de muncă. Pentru a solicita o copie contrasemnată sau pentru a încheia un DPA negociat, contactați privacy@kronly.eu.

Cum se încheie acest DPA. Acest DPA este încorporat prin referință în Termenii și Condițiile (vedeți secțiunea „Roluri și Responsabilitățile Angajatorului" din Termeni). Se încheie, în formă electronică în sensul Art. 28(9) GDPR, atunci când o persoană autorizată să acționeze în numele Clientului acceptă Termenii și Condițiile prin crearea sau operarea unui cont de Manager pentru organizația Clientului — acea persoană declară și garantează că are autoritatea de a angaja juridic Clientul — sau, cel târziu, atunci când Clientul utilizează pentru prima dată Serviciul pentru a prelucra date cu caracter personal ale angajaților. Versiunea acestui DPA în vigoare la acceptare este identificată prin data „Ultima actualizare" de mai sus, care este aceeași versiune de politică înregistrată odată cu acceptarea Termenilor de către cont.

Atunci când Clientul acționează el însuși ca persoană împuternicită în numele unui operator terț, referințele la „Operator" se interpretează în consecință, iar Kronly acționează ca subîmputernicit în aceleași condiții.

1. Definiții

Termenii scriși cu majusculă și nedefiniți aici au înțelesul prevăzut în GDPR. În special, „date cu caracter personal", „prelucrare", „operator", „persoană împuternicită", „persoană vizată", „încălcarea securității datelor cu caracter personal" și „autoritate de supraveghere" au înțelesurile prevăzute la Art. 4 GDPR; „subîmputernicit" înseamnă orice persoană împuternicită angajată de Kronly pentru a prelucra date cu caracter personal în numele Operatorului. „Legislația aplicabilă privind protecția datelor" înseamnă GDPR, Legea nr. 190/2018, Legea nr. 506/2004 și orice altă lege privind protecția datelor aplicabilă prelucrării.

2. Obiect, Durată, Natură și Scop

Obiectul, durata, natura și scopul prelucrării, tipurile de date cu caracter personal și categoriile de persoane vizate sunt prevăzute în Anexa 1. Pe scurt, Kronly prelucrează date cu caracter personal ale angajaților exclusiv pentru a furniza Serviciul Operatorului — pontaj și evidența prezenței, rezultatele verificării proximității pe dispozitiv, gestionarea sarcinilor și a cererilor de materiale, documentarea fotografică a șantierelor și generarea rapoartelor de salarizare (inclusiv CNP-ul angajatului, atunci când este furnizat) — și în niciun alt scop.

Prelucrarea continuă pe durata Acordului și pentru orice perioadă limitată ulterioară necesară pentru returnarea sau ștergerea datelor în conformitate cu Secțiunea 11.

3. Rolurile și Obligațiile Operatorului

Pentru datele cu caracter personal ale angajaților prelucrate prin Serviciu, Operatorul (angajatorul) stabilește scopurile și mijloacele prelucrării. Operatorul garantează că:

  • deține un temei legal valabil în temeiul Art. 6 GDPR — iar, pentru CNP, respectă Art. 87 GDPR și Art. 4 din Legea nr. 190/2018 — pentru datele cu caracter personal pe care le introduce sau pe care îi solicită Kronly să le prelucreze, inclusiv orice CNP al angajaților;
  • înainte de a introduce datele angajaților, a furnizat notificările impuse de Art. 13–14 GDPR și a informat angajații și a consultat reprezentanții angajaților conform Art. 5 din Legea nr. 190/2018;
  • instrucțiunile sale de prelucrare respectă Legislația aplicabilă privind protecția datelor; și
  • este responsabil, în calitate de operator, pentru exactitatea și legalitatea datelor cu caracter personal și a instrucțiunilor pe care le transmite Kronly.

4. Obligațiile Kronly în Calitate de Persoană Împuternicită

În ceea ce privește datele cu caracter personal prelucrate în numele Operatorului, Kronly:

  • (a) Instrucțiuni documentate. Prelucrează datele cu caracter personal numai pe baza instrucțiunilor documentate ale Operatorului, inclusiv în ceea ce privește transferurile către o țară terță, cu excepția cazului în care i se impune prin dreptul UE sau al unui stat membru; în acest caz, Kronly va informa Operatorul cu privire la obligația legală înainte de prelucrare, cu excepția cazului în care legea interzice acest lucru din motive importante de interes public. Instrucțiunile Operatorului sunt prevăzute în acest DPA, în Acord și în configurarea și utilizarea Serviciului de către Operator; instrucțiunile suplimentare trebuie convenite în scris. Kronly va informa Operatorul dacă, în opinia sa, o instrucțiune încalcă Legislația aplicabilă privind protecția datelor.
  • (b) Confidențialitate. Se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidențialitatea.
  • (c) Securitate. Ia toate măsurile impuse în temeiul Art. 32 GDPR, conform descrierii din Anexa 2.
  • (d) Subîmputerniciți. Respectă condițiile din Secțiunea 6 pentru angajarea unei alte persoane împuternicite.
  • (e) Drepturile persoanelor vizate. Ținând seama de natura prelucrării, asistă Operatorul prin măsuri tehnice și organizatorice adecvate, în măsura în care acest lucru este posibil, în îndeplinirea obligației sale de a răspunde cererilor de exercitare a drepturilor persoanelor vizate în temeiul Capitolului III GDPR (vedeți Secțiunea 8).
  • (f) Asistență pentru conformitate. Asistă Operatorul în asigurarea respectării obligațiilor sale în temeiul Art. 32–36 GDPR (securitate, notificarea încălcărilor, evaluarea impactului asupra protecției datelor și consultarea prealabilă), ținând seama de natura prelucrării și de informațiile aflate la dispoziția Kronly (vedeți Secțiunea 9 și Secțiunea 10).
  • (g) Returnare sau ștergere. La alegerea Operatorului, șterge sau returnează toate datele cu caracter personal după încetarea furnizării Serviciului și șterge copiile existente, cu excepția cazului în care dreptul UE sau al unui stat membru impune stocarea (vedeți Secțiunea 11).
  • (h) Audituri. Pune la dispoziția Operatorului toate informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute la Art. 28 GDPR și permite desfășurarea auditurilor, inclusiv a inspecțiilor, și contribuie la acestea (vedeți Secțiunea 12).

5. Securitatea Prelucrării (Art. 32)

Kronly implementează măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului, conform descrierii din Anexa 2. Acestea includ criptarea datelor în tranzit (TLS/HTTPS), găzduirea în UE pe infrastructură cu acces restricționat, controale de acces care limitează datele angajaților la managerii/administratorii Operatorului și la persoana vizată, precum și măsurile de confidențialitate prin design descrise în Politica de Confidențialitate — de exemplu, coordonatele GPS sunt prelucrate doar pe dispozitivul lucrătorului și nu sunt transmise niciodată către Kronly. Kronly poate actualiza aceste măsuri din când în când, cu condiția ca nivelul general de securitate să nu fie redus semnificativ.

6. Subîmputerniciți

Operatorul acordă o autorizație generală pentru ca Kronly să angajeze subîmputerniciții enumerați în Anexa 3 pentru a prelucra date cu caracter personal în numele său. Kronly:

  • impune fiecărui subîmputernicit, prin contract, obligații de protecție a datelor echivalente cu cele prevăzute în acest DPA (Art. 28(4) GDPR), în special garanții suficiente pentru implementarea unor măsuri tehnice și organizatorice adecvate;
  • rămâne pe deplin răspunzător față de Operator pentru îndeplinirea obligațiilor fiecărui subîmputernicit; și
  • informează Operatorul (titularul contului de Manager/administrator) cu privire la orice intenție de adăugare sau înlocuire a unui subîmputernicit care prelucrează date ale angajaților — prin e-mail la adresa asociată contului de Manager/administrator și/sau prin notificare în aplicație — cu un preaviz de cel puțin 30 de zile și cu posibilitatea de a se opune din motive rezonabile legate de protecția datelor. Dacă Operatorul se opune și părțile nu pot soluționa obiecția, Operatorul poate înceta partea afectată a Serviciului.

7. Transferuri Internaționale

Kronly stochează și prelucrează datele cu caracter personal pe servere situate în Uniunea Europeană. Datele cu caracter personal sunt prelucrate în afara Spațiului Economic European (SEE) doar în următoarele cazuri limitate: (i) livrarea notificărilor push prin serviciul Apple Push Notification operat de Apple Inc. (SUA) — tokenul push al dispozitivului și conținutul notificării — în temeiul certificării Apple în cadrul Cadrului UE-SUA privind confidențialitatea datelor (EU-US Data Privacy Framework); (ii) monitorizarea erorilor de către Sentry — rapoarte de eroare tehnice, fără identificatori personali, conform descrierii din Anexa 3, stocate în regiunea de date a Sentry din UE (Frankfurt); orice acces din Statele Unite al operatorului Sentry, Functional Software, Inc., este acoperit de certificarea acestuia în cadrul Cadrului UE-SUA privind confidențialitatea datelor; și (iii) atunci când utilizatorii Operatorului aleg autentificarea socială opțională (Apple, Google sau Facebook), caz în care furnizorul de identitate autentifică utilizatorul în propria infrastructură, în calitate de operator independent. În cazul în care orice alt subîmputernicit ar prelucra vreodată date cu caracter personal în afara SEE, Kronly se va asigura că este în vigoare un mecanism de transfer adecvat în temeiul Capitolului V GDPR — o decizie de adecvare, Clauzele Contractuale Standard ale Comisiei Europene sau o altă garanție valabilă — și va actualiza Anexa 3 în consecință. Detaliile actuale privind subîmputerniciții și transferurile sunt rezumate în Anexa 3 și în Secțiunea 15 a Politicii de Confidențialitate.

8. Asistență privind Drepturile Persoanelor Vizate

Ținând seama de natura prelucrării, Kronly va asista Operatorul, prin măsuri tehnice și organizatorice adecvate și în măsura în care acest lucru este posibil, în soluționarea cererilor persoanelor vizate de a-și exercita drepturile de acces, rectificare, ștergere, restricționare, portabilitate și opoziție (Capitolul III GDPR). Serviciul oferă instrumente de autoservire care permit managerilor/administratorilor Operatorului (și, pentru propriul cont, utilizatorilor individuali) să vizualizeze, să corecteze, să exporte și să șteargă date cu caracter personal. Dacă Kronly primește o cerere a unei persoane vizate referitoare la date prelucrate în numele Operatorului, va îndruma fără întârzieri nejustificate persoana vizată către Operator, va notifica Operatorul și nu va răspunde ea însăși cererii decât pe baza instrucțiunilor documentate ale Operatorului sau dacă i se impune prin lege.

9. Încălcarea Securității Datelor

Kronly va notifica Operatorul fără întârzieri nejustificate și, în orice caz, în termen de 48 de ore de la luarea la cunoștință a unei încălcări a securității datelor cu caracter personal care afectează datele prelucrate în numele Operatorului, astfel încât Operatorul să își poată respecta propriul termen de notificare de 72 de ore prevăzut la Art. 33(1) GDPR. Notificarea va descrie, în măsura în care sunt disponibile, natura încălcării, consecințele probabile, măsurile luate sau propuse și un punct de contact pentru informații suplimentare. Kronly va oferi asistență rezonabilă Operatorului în îndeplinirea propriilor obligații de notificare a autorității de supraveghere și a persoanelor vizate afectate, în temeiul Art. 33–34 GDPR. Notificarea unei încălcări nu constituie o recunoaștere a culpei sau a răspunderii.

10. Evaluarea Impactului asupra Protecției Datelor și Consultarea Prealabilă

Ținând seama de natura prelucrării și de informațiile aflate la dispoziția sa, Kronly va oferi asistență rezonabilă Operatorului pentru orice evaluare a impactului asupra protecției datelor (Art. 35 GDPR) și pentru orice consultare prealabilă a autorității de supraveghere (Art. 36 GDPR) pe care Operatorul este obligat să le efectueze în legătură cu utilizarea Serviciului. O descriere a prelucrării și a garanțiilor Serviciului, menită să sprijine o astfel de evaluare, este furnizată în Anexa 1, Anexa 2 și în Politica de Confidențialitate.

11. Ștergerea sau Returnarea Datelor

La încetarea sau expirarea Acordului, Kronly va șterge sau va returna, la alegerea Operatorului, toate datele cu caracter personal prelucrate în numele Operatorului și va șterge copiile existente, cu excepția cazului în care dreptul UE sau al unui stat membru impune stocarea în continuare. În lipsa unei instrucțiuni contrare, Kronly va șterge datele cu caracter personal în termen de 30 de zile de la încetarea Serviciului, cu excepția copiilor păstrate în backupurile de rutină, care sunt suprascrise în cadrul ciclului obișnuit de backup — cel târziu în termen de 6 luni — și rămân supuse acestui DPA până la ștergere. La cererea Operatorului, Kronly va certifica ștergerea în scris. Operatorul este responsabil să exporte, înainte de finalizarea ștergerii conform acestei Secțiuni și folosind instrumentele de export ale Serviciului (sau fereastra de export post-reziliere descrisă în Termeni și Condiții), orice date pe care dorește să le păstreze — de exemplu, evidențele de salarizare și de pontaj pe care angajatorul trebuie să le păstreze în temeiul Art. 119 din Codul Muncii.

12. Audituri și Informații

Kronly va pune la dispoziția Operatorului toate informațiile necesare în mod rezonabil pentru a demonstra respectarea Art. 28 GDPR și a acestui DPA și va permite desfășurarea auditurilor, inclusiv a inspecțiilor, efectuate de Operator sau de un auditor independent mandatat de Operator, și va contribui la acestea. Pentru a reduce perturbările, părțile vor conveni în prealabil domeniul de aplicare, momentul și modul de desfășurare a oricărui audit; auditurile se vor desfășura în timpul programului de lucru, cel mult o dată pe an (cu excepția cazului în care sunt impuse de o autoritate de supraveghere sau în urma unei încălcări a securității datelor) și sub rezerva confidențialității. Kronly poate răspunde unei cereri de audit prin furnizarea documentației existente, a certificărilor sau a rapoartelor de audit ale unor terți, atunci când acestea răspund în mod rezonabil cererii Operatorului.

13. Răspundere, Prevalență și Modificări

Răspunderea fiecărei părți în temeiul acestui DPA este supusă limitărilor și excluderilor de răspundere prevăzute în Acord. În caz de conflict între acest DPA și Termenii și Condițiile sau Politica de Confidențialitate în ceea ce privește prelucrarea datelor cu caracter personal în numele Operatorului, prevalează acest DPA. Putem actualiza acest DPA pentru a reflecta modificări ale Legislației aplicabile privind protecția datelor, ale subîmputerniciților noștri sau ale Serviciului; vom anunța modificările semnificative în modul descris pentru modificările subîmputerniciților în Secțiunea 6 și vom actualiza data „Ultima actualizare" de mai sus.

14. Durată, Legea Aplicabilă și Contact

Acest DPA intră în vigoare atunci când Operatorul utilizează pentru prima dată Serviciul pentru a prelucra date cu caracter personal ale angajaților și rămâne în vigoare atât timp cât Kronly prelucrează date cu caracter personal în numele Operatorului. Este guvernat de legea română și de GDPR; litigiile sunt supuse prevederilor privind jurisdicția din Acord. Pentru orice întrebare referitoare la acest DPA sau pentru a solicita o copie contrasemnată, contactați:

Oliniuc Bogdan-Nicolae PFA (Persoană Fizică Autorizată)
Bd. Bucureștii Noi nr. 136, parter, ap. 5, Sector 1, București, România
Cod fiscal (CUI): 46976220  ·  Nr. Reg.: F2022004979409
E-mail: privacy@kronly.eu

Anexa 1 — Detaliile Prelucrării

  • Obiect: furnizarea Serviciului Kronly de management al forței de muncă în construcții către Operator.
  • Durată: durata Acordului, plus perioada de ștergere/returnare din Secțiunea 11.
  • Natură și scop: colectarea, stocarea, organizarea, structurarea, utilizarea și ștergerea datelor cu caracter personal ale angajaților în scopul pontajului și evidenței prezenței, verificării proximității pe dispozitiv, gestionării sarcinilor și a cererilor de materiale, documentării fotografice a șantierelor și generării rapoartelor de salarizare pentru contabilul Operatorului.
  • Categorii de persoane vizate: lucrătorii și managerii Operatorului (angajați și, după caz, colaboratori) care utilizează Serviciul sau sunt gestionați prin intermediul acestuia.
  • Categorii de date cu caracter personal: date de identificare și de contact (nume, e-mail, număr de telefon); date de cont și de autentificare, inclusiv identificatori de dispozitiv și de sesiune (numele dispozitivului, tokenul push, identificatorul sesiunii și marcajele temporale) și jurnale tehnice care conțin adrese IP; evidențe de pontaj și prezență (ore de intrare/ieșire, durate); rezultatele verificării proximității pe dispozitiv (în rază / în afara razei — nu coordonate GPS); atribuiri de sarcini și cereri de materiale; fotografii de pe șantier (cu metadatele de locație EXIF eliminate înainte de încărcare); și, atunci când este furnizat, CNP-ul angajatului (Cod Numeric Personal), prelucrat exclusiv pentru raportarea salarială.
  • Categorii speciale de date: nu se intenționează prelucrarea niciuneia. CNP-ul este un număr național de identificare supus garanțiilor de la Art. 87 GDPR și Art. 4 din Legea nr. 190/2018; nu este o categorie specială de date în sensul Art. 9 GDPR.
  • Frecvența prelucrării: continuă, pe durata Serviciului.

Anexa 2 — Măsuri Tehnice și Organizatorice (Art. 32)

  • Criptare în tranzit și stocare cu acces restricționat: datele cu caracter personal sunt criptate în tranzit (TLS/HTTPS); în repaus, datele sunt păstrate pe servere și stocare de obiecte din UE cu acces restricționat, într-o rețea internă care nu este expusă internetului public, cu acces administrativ limitat și autentificat.
  • Minimizarea datelor prin design: coordonatele GPS sunt prelucrate doar pe dispozitivul lucrătorului și nu sunt transmise niciodată — se transmite doar un rezultat boolean de proximitate; metadatele de locație EXIF sunt eliminate din fotografii înainte de încărcare; CNP-ul este opțional și utilizat doar pentru exportul de salarizare.
  • Control al accesului și izolarea pe organizații: în cadrul organizației Operatorului, datele angajaților sunt accesibile doar managerilor/administratorilor Operatorului și persoanei vizate; izolarea multi-tenant restricționează accesul la propria organizație a Operatorului. Accesul la sistemele de producție de către personalul Kronly este limitat la cei care au nevoie de acesta și este supus obligațiilor de autentificare și confidențialitate.
  • Autentificare: tokenurile de acces au durată scurtă, iar tokenurile de reîmprospătare sunt revocabile; sesiunile pot fi revocate per dispozitiv.
  • Găzduire: datele sunt găzduite pe servere situate în Uniunea Europeană (centre de date Hetzner).
  • Reziliență și backup: backupurile de rutină, stocate pe infrastructură din UE cu acces restricționat, asigură disponibilitatea și restaurarea și sunt supuse ciclului de ștergere din Secțiunea 11.
  • Revizuire: aceste măsuri sunt revizuite și actualizate pe măsură ce Serviciul evoluează; nivelul general de securitate nu va fi redus semnificativ.

Anexa 3 — Subîmputerniciți Aprobați

La data „Ultima actualizare" de mai sus, Kronly utilizează următorii subîmputerniciți pentru a prelucra date cu caracter personal în numele Operatorului. Această listă și orice modificare a acesteia sunt reflectate și în Secțiunea 9.3 a Politicii de Confidențialitate:

  • Hetzner Online GmbH (Germania, UE) — infrastructură cloud care găzduiește toate datele de bază și stocarea de obiecte auto-găzduită pentru fotografii. Locație: Uniunea Europeană.
  • Apple Inc. — serviciul Apple Push Notification (APNs) — livrarea notificărilor push pe dispozitivele utilizatorilor. Date cu caracter personal: tokenul push al dispozitivului și conținutul notificării. Locație: Statele Unite; mecanism de transfer: Apple Inc. este certificată în cadrul Cadrului UE-SUA privind confidențialitatea datelor (EU-US Data Privacy Framework).
  • Brevo (Sendinblue SAS, Franța, UE) — (i) livrarea e-mailurilor tranzacționale (resetarea parolei, confirmarea ștergerii contului): adresa de e-mail a destinatarului și conținutul mesajului; (ii) widget de chat live pe pagina de Suport, încărcat doar atunci când vizitatorul dă clic pe „Începe conversația": mesajele de chat, adresa IP și informații despre browser/dispozitiv. Locație: Uniunea Europeană.
  • Sentry (Functional Software, Inc.) — monitorizarea erorilor și a căderilor aplicației. Date cu caracter personal: niciuna atașată prin design — rapoartele de eroare conțin doar detalii tehnice (tipul erorii, stack trace, URL-ul cererii, user agent), niciodată numele, adresa de e-mail, adresa IP sau identificatorul de cont; URL-urile cererilor pot conține incidental identificatori de resurse. Locație: regiunea de date din Uniunea Europeană (Frankfurt, Germania); mecanism de transfer: Functional Software, Inc. (SUA) este certificată în cadrul Cadrului UE-SUA privind confidențialitatea datelor (EU-US Data Privacy Framework), care acoperă orice acces din Statele Unite.
  • Apple, Google și Meta (Facebook) — furnizori de identitate pentru autentificarea socială opțională, atunci când este aleasă de utilizator; aceștia autentifică utilizatorul și returnează numele, e-mailul și un identificator unic. Acești furnizori acționează ca operatori independenți pentru propriile servicii de autentificare.

Atunci când un furnizor acționează doar ca operator independent pentru propriul serviciu (de exemplu, furnizorii de identitate pentru autentificarea socială), acest lucru este menționat mai sus; în toate celelalte cazuri, Kronly rămâne răspunzător față de Operator pentru subîmputernicit conform Secțiunii 6.