INCI APIINCI API

Acord de prelucrare a datelor

Data intrării în vigoare: 26 martie 2026 · Ultima actualizare: 26 martie 2026

Descarcă PDF

Acest Acord de prelucrare a datelor („DPA”) face parte din Termenii și condițiile dintre Andrii Sukhanov, care operează ca INCI API („Persoană împuternicită”, „noi”, „nouă”), autónomo înregistrat în Spania (NIE: Z2338955K), și entitatea care acceptă acești termeni („Operator”, „dvs.”, „Client”).

Acest DPA este încheiat în temeiul articolului 28 al Regulamentului general al UE privind protecția datelor (Regulation 2016/679, „GDPR”) și reflectă acordul părților privind prelucrarea Datelor cu caracter personal de către Persoana împuternicită în numele Operatorului.

1. Definiții

  • „Date cu caracter personal” înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă („Persoană vizată”), conform articolului 4(1) din GDPR.
  • „Prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra Datelor cu caracter personal, prin mijloace automatizate sau nu, inclusiv colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea, recuperarea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea, ștergerea sau distrugerea.
  • „Sub-procesator” înseamnă orice terț angajat de Persoana împuternicită pentru a prelucra Date cu caracter personal în numele Operatorului.
  • „Persoană vizată” înseamnă persoana fizică identificată sau identificabilă la care se referă Datele cu caracter personal.
  • „GDPR” înseamnă Regulamentul general privind protecția datelor (UE) 2016/679 al Parlamentului European și al Consiliului.
  • „Clauze contractuale standard” (CCS) înseamnă clauzele contractuale aprobate de Comisia Europeană pentru transferul de Date cu caracter personal către țări terțe.

2. Domeniul de aplicare și scopul

Persoana împuternicită prelucrează Datele cu caracter personal în numele Operatorului exclusiv în următoarele scopuri:

  • Furnizarea serviciului INCI API, inclusiv analiza ingredientelor, căutarea produselor, scoring de siguranță, detectarea alergenilor și analiza compatibilității cutanate
  • Gestionarea contului, autentificare și autorizare
  • Urmărirea utilizării, limitarea ratei și facturare
  • Îmbunătățirea serviciului, monitorizarea performanței și analiză
  • Asistență pentru clienți și comunicare

Persoana împuternicită nu va prelucra Date cu caracter personal în alte scopuri decât cele specificate în acest DPA sau documentate în scris de către Operator.

3. Tipuri de date cu caracter personal prelucrate

  • Date de cont: nume, adresă de e-mail, parolă cu hash
  • Date de utilizare API: jurnale de cereri, marcaje temporale, adrese IP, endpoint-uri accesate, coduri de răspuns, identificatori de cheie API
  • Date de facturare: nivel de abonament, metadate ale metodei de plată (datele complete de plată sunt prelucrate exclusiv de Stripe și nu sunt niciodată stocate pe serverele noastre)
  • Date tehnice: tip de browser, informații despre dispozitiv, sistem de operare, URL-uri de referință (colectate prin analiză pentru îmbunătățirea serviciului)

Persoana împuternicită nu prelucrează categorii speciale de Date cu caracter personal (articolul 9 din GDPR) sau Date cu caracter personal referitoare la condamnări penale (articolul 10 din GDPR).

4. Categorii de persoane vizate

Datele cu caracter personal prelucrate în baza acestui DPA se referă la următoarele categorii de Persoane vizate:

  • Angajații și colaboratorii Clientului care accesează și utilizează INCI API
  • Utilizatori finali ai aplicațiilor Clientului integrate cu INCI API (în măsura în care datele lor sunt transmise prin cererile API)

5. Obligațiile Persoanei împuternicite

Persoana împuternicită va:

  1. Prelucra Datele cu caracter personal numai pe baza instrucțiunilor documentate ale Operatorului, inclusiv în ceea ce privește transferurile către o țară terță, cu excepția cazului în care este obligată să facă acest lucru în virtutea dreptului Uniunii sau al statului membru sub care se află Persoana împuternicită
  2. Asigura că persoanele autorizate să prelucreze Datele cu caracter personal s-au angajat să respecte confidențialitatea sau sunt sub o obligație legală adecvată de confidențialitate
  3. Implementa măsuri tehnice și organizatorice de securitate adecvate, conform articolului 32 din GDPR, pentru a asigura un nivel de securitate adecvat riscului
  4. Nu angaja un alt procesator (sub-procesator) fără autorizarea prealabilă, specifică sau generală, în scris a Operatorului. În cazul autorizării generale în scris, Persoana împuternicită va informa Operatorul despre orice modificări planificate privind adăugarea sau înlocuirea sub-procesatorilor, oferind Operatorului posibilitatea de a obiecta
  5. Ținând cont de natura prelucrării, asista Operatorul prin măsuri tehnice și organizatorice adecvate, în măsura posibilului, pentru îndeplinirea obligației Operatorului de a răspunde la cererile de exercitare a drepturilor Persoanei vizate
  6. Asista Operatorul în asigurarea conformității cu obligațiile prevăzute la articolele 32-36 din GDPR, ținând cont de natura prelucrării și de informațiile disponibile Persoanei împuternicite
  7. La alegerea Operatorului, șterge sau returna toate Datele cu caracter personal Operatorului după încheierea furnizării serviciilor și șterge copiile existente, cu excepția cazului în care dreptul Uniunii sau al statului membru impune stocarea
  8. Pune la dispoziția Operatorului toate informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute la articolul 28 din GDPR și permite și contribui la audituri, inclusiv inspecții, efectuate de Operator sau de un alt auditor autorizat de Operator

6. Măsuri de securitate

Persoana împuternicită implementează următoarele măsuri tehnice și organizatorice pentru a proteja Datele cu caracter personal în conformitate cu articolul 32 din GDPR:

  • Criptare în tranzit: Toate datele transmise între clienți și servere sunt criptate folosind TLS 1.2 sau o versiune superioară (HTTPS)
  • Criptare în repaus: Stocarea bazei de date utilizează criptarea în repaus a MongoDB pentru toate Datele cu caracter personal stocate
  • Controale de acces: Autentificare prin token-uri JWT și chei API; controale de acces bazate pe roluri; principiul privilegiilor minime
  • Securitatea parolelor: Parolele utilizatorilor sunt stocate utilizând hash-uirea bcrypt cu factori de cost adecvați; cheile API sunt stocate ca hash-uri securizate
  • Securitatea infrastructurii: Infrastructură protejată de firewall (UFW cu porturi restricționate), actualizări de securitate și patch-uri periodice
  • Locația serverului: Infrastructura DigitalOcean (în prezent în SUA; este planificată migrarea la un centru de date UE/SEE)
  • Date de plată: Fără stocarea datelor de card de plată pe serverele noastre. Toate procesările de plată sunt gestionate de Stripe, care menține conformitatea PCI DSS Nivel 1
  • Monitorizare: Monitorizare, jurnalizare și alertare automatizate pentru evenimentele de securitate și anomalii

7. Sub-procesatori

Operatorul acordă Persoanei împuternicite autorizația generală de a angaja următorii sub-procesatori. Persoana împuternicită va notifica Operatorul cu privire la orice modificări planificate privind adăugarea sau înlocuirea sub-procesatorilor cu o notificare prealabilă scrisă de cel puțin 30 de zile, oferind Operatorului posibilitatea de a obiecta la astfel de modificări.

Sub-procesatori angajați de INCI API
Sub-procesatorScopLocație
DigitalOceanGăzduire infrastructurăSUA (migrare în UE planificată)
StripeProcesare plățiSUA (centru de date UE)
Google AnalyticsAnaliza site-uluiSUA (prelucrare date în UE)
Microsoft ClarityAnaliza sesiunilorSUA

Dacă Operatorul obiectează la un nou sub-procesator pentru motive rezonabile legate de protecția datelor, părțile vor discuta cu bună-credință. Dacă nu se ajunge la o soluție în 30 de zile, Operatorul poate înceta serviciile afectate fără penalizare.

8. Transferuri de date

Datele cu caracter personal pot fi transferate și prelucrate în țări din afara Uniunii Europene și a Spațiului Economic European. Atunci când au loc astfel de transferuri, Persoana împuternicită asigură existența garanțiilor adecvate în conformitate cu Capitolul V din GDPR, inclusiv:

  • Clauze contractuale standard (CCS) aprobate de Comisia Europeană (Decizia de punere în aplicare (UE) 2021/914)
  • Decizii de adecvare ale Comisiei Europene, atunci când sunt aplicabile
  • Măsuri tehnice și organizatorice suplimentare pentru a completa mecanismele de transfer atunci când este necesar, în conformitate cu hotărârea Schrems II (Cauza C-311/18)

9. Notificarea încălcărilor datelor

Persoana împuternicită va notifica Operatorul fără întârziere nejustificată și, în orice caz, în termen de 72 de ore de la luarea la cunoștință a unei încălcări a Datelor cu caracter personal, conform definiției de la articolul 4(12) din GDPR. Notificarea va include:

  • O descriere a naturii încălcării, inclusiv categoriile și numărul aproximativ de Persoane vizate și înregistrări vizate
  • Numele și datele de contact ale responsabilului cu protecția datelor de la care pot fi obținute informații suplimentare
  • O descriere a consecințelor probabile ale încălcării
  • O descriere a măsurilor luate sau propuse pentru a remedia încălcarea, inclusiv măsuri pentru atenuarea posibilelor sale efecte adverse

Persoana împuternicită va coopera cu Operatorul și va lua măsuri comerciale rezonabile pentru a asista la investigarea, atenuarea și remedierea fiecărei astfel de încălcări.

10. Drepturile persoanelor vizate

Persoana împuternicită va asista Operatorul în îndeplinirea obligațiilor sale de a răspunde la cererile Persoanelor vizate care își exercită drepturile în temeiul Capitolului III din GDPR, inclusiv:

  • Dreptul de acces (articolul 15)
  • Dreptul la rectificare (articolul 16)
  • Dreptul la ștergere / dreptul de a fi uitat (articolul 17)
  • Dreptul la restricționarea prelucrării (articolul 18)
  • Dreptul la portabilitatea datelor (articolul 20)
  • Dreptul de opoziție (articolul 21)

Dacă Persoana împuternicită primește o cerere direct de la o Persoană vizată, va notifica prompt Operatorul și nu va răspunde la cerere fără autorizarea scrisă prealabilă a Operatorului, cu excepția cazului în care este obligată legal să facă acest lucru.

11. Drepturi de audit

Operatorul poate audita conformitatea Persoanei împuternicite cu acest DPA. Auditurile vor fi supuse următoarelor condiții:

  • Operatorul va furniza o notificare prealabilă scrisă cu cel puțin 30 de zile
  • Auditurile vor fi efectuate cel mult o dată pe an calendaristic, cu excepția cazului în care sunt impuse de o autoritate de supraveghere sau în urma unei încălcări a Datelor cu caracter personal
  • Auditurile vor fi efectuate în timpul orelor normale de lucru și nu vor interfera nerezonabil cu operațiunile Persoanei împuternicite
  • Operatorul va suporta costurile auditului, cu excepția cazului în care auditul dezvăluie neconformitate materială din partea Persoanei împuternicite
  • Operatorul poate angaja un auditor terț calificat și independent, sub rezerva unor obligații rezonabile de confidențialitate

12. Durată și încetare

Acest DPA va rămâne în vigoare pe durata acordului de servicii dintre părți. La încetarea acordului de servicii:

  • Persoana împuternicită, la alegerea Operatorului, va șterge sau va returna toate Datele cu caracter personal în termen de 30 de zile de la data încetării
  • Persoana împuternicită va șterge copiile existente ale Datelor cu caracter personal, cu excepția cazului în care dreptul Uniunii sau al statului membru impune stocarea (de exemplu, evidențe fiscale și financiare conform legii spaniole)
  • Persoana împuternicită va furniza, la cererea Operatorului, certificare scrisă a ștergerii

13. Legea aplicabilă

Acest DPA va fi guvernat și interpretat în conformitate cu legile Regatului Spaniei, fără a se ține cont de dispozițiile sale privind conflictul de legi. GDPR se aplică tuturor problemelor legate de prelucrarea Datelor cu caracter personal. Orice dispute care decurg din acest DPA sunt supuse jurisdicției exclusive a instanțelor din Insulele Canare, Spania (Santa Cruz de Tenerife).

14. Contact

Pentru întrebări, preocupări sau cereri legate de acest Acord de prelucrare a datelor, contactați-ne:

Contact protecția datelor

Andrii Sukhanov

Av. Marítima 2, puerta 05c
Los Silos, Santa Cruz de Tenerife, España

E-mail: privacy@inciapi.com

Site web: inciapi.com

Documente conexe