Dacă prestezi servicii unei companii din UE — dezvoltare software, marketing, contabilitate, suport clienți, găzduire — mai devreme sau mai târziu vei primi pe email un document numit DPA (Data Processing Agreement). Multe firme din Moldova îl semnează în grabă, fără să înțeleagă ce își asumă. Iată ce trebuie să știi.
Ce este un DPA și de ce ți-l cere partenerul
DPA-ul este contractul de prelucrare a datelor, impus de articolul 28 GDPR. El apare ori de câte ori o firmă (controlorul) încredințează date personale unei alte firme (procesatorul) care le prelucrează în numele ei.
În relația cu un partener european:
- Controlorul este de obicei clientul tău din UE, care decide de ce și cum se prelucrează datele.
- Procesatorul ești tu, firma din Moldova, care execută prelucrarea conform instrucțiunilor lui.
GDPR îl obligă pe controlor să lucreze doar cu procesatori care oferă garanții. De aceea partenerul nu poate colabora legal cu tine fără un DPA semnat — nu e birocrație, e o cerință a regulamentului.
Ce clauze conține un DPA corect
Un DPA standard acoperă:
- Obiectul și durata prelucrării, tipurile de date și categoriile de persoane vizate.
- Instrucțiunile documentate — prelucrezi doar ce îți cere controlorul, nu în scopuri proprii.
- Confidențialitatea persoanelor care au acces la date.
- Măsurile de securitate (articolul 32): criptare, control al accesului, backup, jurnalizare.
- Subprocesatorii — nu poți angaja un terț fără acordul controlorului și fără garanții echivalente.
- Asistența pe care i-o dai controlorului pentru a răspunde cererilor persoanelor vizate și pentru notificarea breșelor.
- Ștergerea sau returnarea datelor la finalul contractului.
- Auditul — dreptul controlorului de a verifica conformitatea ta.
La ce să fii atent înainte să semnezi
DPA-ul nu e un formular de bifat. Verifică:
- Subprocesatorii. Dacă folosești servicii cloud, un CRM extern sau freelanceri, listează-i. Angajamentul de a nu subprocesa fără acord este ușor de încălcat din neatenție.
- Transferurile internaționale. Dacă datele UE ajung în Moldova, vei avea și clauze contractuale standard atașate. Nu le trata separat de DPA.
- Termenele de notificare a breșelor. Adesea ți se cere să anunți controlorul „fără întârziere nejustificată", uneori în 24 sau 48 de ore. Verifică dacă poți respecta termenul.
- Răspunderea. Citește clauzele de despăgubire; un DPA prost negociat te poate expune la costuri disproporționate.
Cum arăți că poți respecta DPA-ul în practică
Semnătura e ușoară; execuția e greul. Ca să fii un procesator credibil:
- Ține o evidență internă a prelucrărilor pe care le faci pentru fiecare client.
- Documentează măsurile tehnice de securitate.
- Ai o procedură scrisă pentru breșe de securitate.
- Arată maturitate încă de la primul contact — inclusiv prin propriul tău site conform.
Aici GDPR Moldova contribuie la percepția de furnizor serios: instalezi rapid un banner de consimțământ conform, cu blocare reală prin Google Consent Mode v2, și publici politica de cookies în română și rusă. Un partener care îți deschide site-ul și vede o abordare corectă a datelor pornește negocierea cu mai multă încredere.
Ce riști dacă îl încalci
Un procesator care nu respectă DPA-ul se expune sancțiunilor GDPR, care ajung până la 20.000.000 € sau 4% din cifra de afaceri anuală. În plus, controlorul îți poate rezilia contractul și te poate acționa în despăgubiri. Pentru o firmă din Moldova care își construiește reputația pe piața europeană, pierderea unui client important pe motiv de conformitate e adesea mai costisitoare decât amenda.
Concluzie
DPA-ul nu este o formalitate, ci contractul care definește exact ce ai voie să faci cu datele clientului tău european. Citește-l atent, listează-ți onest subprocesatorii, verifică termenele de breșă și asigură-te că poți executa ce semnezi. Un procesator care își ia obligațiile în serios devine un partener de lungă durată.
Material orientativ, nu constituie consultanță juridică.