Acord de Prelucrare a Datelor cu Caracter Personal
Art. 1 — Obiectul și Durata Prelucrării
Prezentul DPA se aplică serviciilor de găzduire web (hosting shared), găzduire email și înregistrare domenii furnizate de ZKWebs. ZKWebs acționează exclusiv ca Persoană Împuternicită și prelucrează datele numai pe baza instrucțiunilor documentate ale Clientului. DPA este valabil pe durata contractului de servicii.
Art. 2 — Obligațiile ZKWebs (Procesator)
2.1. Prelucrare doar pe instrucțiunile Operatorului
Dacă ZKWebs consideră că o instrucțiune încalcă GDPR, va informa imediat Clientul.
2.2. Confidențialitate
Persoanele autorizate să acceseze datele s-au angajat la respectarea confidențialității sau sunt supuse unei obligații legale. Obligația subzistă după încetarea raportului de muncă.
2.3. Securitate (Art. 32 GDPR)
ZKWebs implementează măsuri tehnice și organizatorice adecvate — detaliate în Anexa 2.
2.4. Asistarea Clientului
ZKWebs asistă Clientul în răspunsul la cererile privind drepturile persoanelor vizate (Art. 15-22 GDPR) prin instrumentele tehnice disponibile în cPanel și prin răspuns la solicitări scrise.
2.5. Furnizare informații și audit
ZKWebs pune la dispoziție informațiile necesare pentru demonstrarea conformității și permite audituri cu respectarea condițiilor din Art. 6.
Art. 3 — Sub-Persoane Împuternicite
Prin acceptarea DPA, Clientul acordă o autorizare generală pentru angajarea sub-procesatorilor de mai jos. ZKWebs va notifica Clientul cu 14 zile înainte de orice modificare.
| Sub-procesator | Serviciu | Sediu | Garanție GDPR |
|---|---|---|---|
| Brevo (Sendinblue SAS) | Relay SMTP emailuri tehnice | Franța (UE) | Transfer intra-UE |
| Cloudflare Inc. | CDN, protecție DDoS, DNS | SUA | Clauze Contractuale Standard (SCC) |
Backup-urile locale pe infrastructura proprie ZKWebs nu constituie angajarea unui sub-procesator extern.
ZKWebs impune sub-procesatorilor aceleași obligații și rămâne pe deplin responsabilă față de Client pentru respectarea acestora.
Art. 4 — Obligațiile Clientului (Operator)
Clientul declară că: prelucrează date cu respectarea GDPR; deține temei legal pentru datele transmise la ZKWebs; a informat persoanele vizate despre transferul la ZKWebs ca Procesator; conținutul stocat este conform legislației aplicabile; va notifica imediat ZKWebs dacă identifică solicitări de la autorități publice privind datele stocate.
Art. 5 — Notificarea Incidentelor de Securitate
ZKWebs va notifica Clientul fără întârzieri nejustificate, în cel mult 48 de ore de la constatarea unui incident, cu: natura incidentului, categoriile și volumul de date afectate, consecințele probabile și măsurile luate. ZKWebs cooperează pentru îndeplinirea obligației de notificare ANSPDCP în 72h (Art. 33 GDPR).
Art. 6 — Returnarea și Ștergerea Datelor
La încetarea contractului, Clientul are 10 zile pentru a descărca datele prin cPanel. Ulterior, ZKWebs șterge definitiv datele de pe serverele active. Datele pot persista în backup-uri operative maximum 30 de zile, după care sunt șterse. ZKWebs confirmă ștergerea în scris la solicitare.
Art. 7 — Audit și Inspecție
Clientul sau un auditor mandatat poate efectua audituri cu minimum 30 de zile notificare prealabilă. Auditorul semnează un acord de confidențialitate. ZKWebs poate înlocui un audit on-site cu un raport de audit recent de la un terț independent.
Art. 8 — Dispoziții Finale
Prezentul DPA este guvernat de legea română și dreptul UE aplicabil. Versiunea în limba română este versiunea oficială. DPA prevalează față de alte prevederi contractuale în materia prelucrării datelor.
Anexa 1 — Detaliile Prelucrării
Tipuri de date prelucrate
| Categorie | Exemple tipice |
|---|---|
| Identificare | Nume, prenume, username — vizitatori/clienți ai site-ului Clientului |
| Contact | Email, telefon, adresă — formulare contact, comenzi |
| Economice | Date card (tokenizate), adresă facturare — magazine online |
| Autentificare | Email, parole hash — conturi utilizatori pe site-ul Clientului |
| Comunicare | Conținut emailuri, mesaje — căsuțe poștale găzduite |
| Tehnice | Adrese IP, log-uri acces — generate automat de server |
| Date speciale (Art. 9) | Posibil — Clientul are obligația de a informa ZKWebs |
Persoane vizate: vizitatorii și clienții site-urilor Clientului, destinatarii/expeditorii emailurilor, orice altă persoană ale cărei date sunt stocate de Client pe infrastructura ZKWebs.
Durata: Pe durata contractului + maximum 30 zile pentru ștergere din backup-uri.
Anexa 2 — Măsuri Tehnice și Organizatorice (Art. 32 GDPR)
| Domeniu | Măsuri implementate |
|---|---|
| Criptare | TLS 1.2/1.3 pentru toate comunicațiile; parole stocate ca hash (bcrypt/SHA-512); certificate SSL valide cu reînnoire automată |
| Control acces | 2FA pentru acces administrativ WHM/cPanel; principiu need-to-know; SSH restricționat prin IP whitelist; conturi individuale pentru fiecare administrator |
| Securitate rețea | Firewall perimetral (firewalld); IDS/IPS (Imunify360 cu ModSecurity/WAF); rate-limiting anti-brute-force; protecție DDoS Cloudflare |
| Izolare conturi | CageFS (CloudLinux) — izolarea completă a fiecărui cont de hosting; LVE — limitare resurse per cont |
| Disponibilitate | Backup-uri operative ~4x/săptămână; backup remote SFTP pe destinație separată fizic; monitorizare uptime și alertare automată |
| Vulnerabilități | Actualizări automate de securitate OS; scanare rkhunter și AIDE (monitorizare integritate fișiere sistem) |
| Organizatoric | Personal cu obligații contractuale de confidențialitate; proceduri documentate pentru gestionarea incidentelor; registrul activităților de prelucrare (Art. 30 GDPR) |
Data Processing Agreement (DPA)
Art. 1 — Subject Matter and Duration
This DPA applies to web hosting (shared hosting), email hosting, and domain registration services. ZKWebs acts exclusively as Processor and processes data only on documented instructions from the Client. The DPA is valid for the duration of the service contract.
Art. 2 — ZKWebs Obligations (Processor)
Processing only on instructions: ZKWebs will inform the Client if it considers an instruction infringes GDPR.
Confidentiality: Authorised persons have committed to confidentiality or are under a statutory obligation. This obligation persists after the end of employment.
Security (Art. 32 GDPR): ZKWebs implements appropriate technical and organisational measures — detailed in Annex 2.
Assisting the Client: ZKWebs assists in responding to data subject rights requests (Art. 15-22 GDPR) via cPanel tools and written requests.
Art. 3 — Sub-processors
By accepting the DPA, the Client grants general authorisation for the sub-processors below. ZKWebs will notify the Client 14 days before any changes.
| Sub-processor | Service | Location | GDPR safeguard |
|---|---|---|---|
| Brevo (Sendinblue SAS) | SMTP relay for technical emails | France (EU) | Intra-EU transfer |
| Cloudflare Inc. | CDN, DDoS protection, DNS | USA | Standard Contractual Clauses (SCC) |
ZKWebs remains fully responsible to the Client for sub-processors' compliance.
Art. 4 — Client Obligations (Controller)
The Client declares it: processes data in compliance with GDPR; has a legal basis for data transferred to ZKWebs; has informed data subjects about the transfer to ZKWebs as Processor; will immediately notify ZKWebs of any authority requests regarding stored data.
Art. 5 — Security Incident Notification
ZKWebs will notify the Client without undue delay, within 48 hours of becoming aware of an incident, including: nature of the incident, categories/volume of data affected, likely consequences, and measures taken. ZKWebs cooperates to fulfil the ANSPDCP notification obligation within 72h (Art. 33 GDPR).
Art. 6 — Return and Deletion of Data
Upon termination, the Client has 10 days to download data via cPanel. After this period, ZKWebs permanently deletes all data from active servers. Data may persist in backups for a maximum of 30 days. ZKWebs confirms deletion in writing upon request.
Art. 7 — Audit and Inspection
Audits require minimum 30 days written notice. The auditor signs a confidentiality agreement. ZKWebs may replace an on-site audit with a recent independent third-party audit report.
Art. 8 — Final Provisions
This DPA is governed by Romanian law and applicable EU law. The Romanian version is the official version and prevails in case of conflict.
Annex 1 — Processing Details
| Category | Typical examples |
|---|---|
| Identification | Name, surname, username — Client's website visitors/customers |
| Contact | Email, phone, address — contact forms, orders |
| Financial | Card data (tokenised), billing address — online stores |
| Authentication | Email addresses, hashed passwords — user accounts on Client's site |
| Communication | Email content, messages — hosted mailboxes |
| Technical | IP addresses, access logs — automatically generated |
| Special categories (Art. 9) | Possible — Client must inform ZKWebs |
Duration: Contract duration + maximum 30 days for deletion from backups.
Annex 2 — Technical and Organisational Measures (Art. 32 GDPR)
| Area | Measures implemented |
|---|---|
| Encryption | TLS 1.2/1.3 for all communications; passwords stored as hash; SSL certificates valid with auto-renewal |
| Access control | 2FA for WHM/cPanel admin access; need-to-know principle; SSH restricted by IP whitelist |
| Network security | Perimeter firewall; IDS/IPS (Imunify360 + ModSecurity/WAF); anti-brute-force rate-limiting; Cloudflare DDoS protection |
| Account isolation | CageFS (CloudLinux) — full hosting account isolation; LVE — per-account resource limits |
| Availability | Operational backups ~4x/week; remote SFTP backup on separate physical destination; uptime monitoring |
| Vulnerabilities | Automatic OS security updates; rkhunter and AIDE scanning (system file integrity monitoring) |
| Organisational | Staff contractual confidentiality obligations; documented incident management procedures; Art. 30 GDPR register maintained |