Ce documente analizează platforma AnalizaDosar.ro?

Platforma analizează documentele juridice uzuale în administrația publică: contracte de prestări servicii, convenții, contracte de muncă și fișe de post, decizii și dispoziții, hotărâri de comisii, planuri individualizate, documentație de achiziții publice și convenții cu autorități partenere.

Cum se sincronizează baza legislativă?

Baza legislativă a platformei se actualizează automat zilnic prin sincronizare cu sursele profesionale Legis și Lege 6. Beneficiarul nu trebuie să dețină abonamente proprii la aceste surse.

Cum funcționează perspectiva configurabilă (Beneficiar / Prestator)?

Pentru fiecare document, utilizatorul stabilește în ce calitate apare instituția în contract — Beneficiar sau Prestator. Motorul AI ajustează automat criteriile, recomandările și scorul de risc, astfel încât raportul să reflecte fidel poziția contractuală pe care o reprezinți.

Cât durează implementarea platformei?

Implementarea durează 15 zile lucrătoare de la semnarea contractului și plata setup-ului. Intervalul acoperă provisioning-ul tehnic, personalizarea, trainingul utilizatorilor și go-live-ul productiv.

Cum sunt protejate datele cu caracter personal?

Hosting în Uniunea Europeană, criptare AES-256 în repaus și TLS 1.3 în tranzit, autentificare multi-factor obligatorie, anonimizare automată a datelor personale înainte de transmiterea către motorul de analiză, audit trail integral 24+ luni, DPA inclus conform art. 28 GDPR.

GDPR & DPA — AnalizaDosar.ro

Despre acest document

Acest document servește atât ca notificare GDPR publică, cât și ca Acord de prelucrare a datelor (DPA) — anexă la contractul de abonament. La activarea contului, Beneficiarul confirmă acceptarea integrală a acestor termeni. O versiune semnată în PDF poate fi solicitată oricând la legal@analizadosar.ro.

1. Rezumat și arhitectura conformității

AnalizaDosar.ro este construit pe principiul „privacy by design and by default" (art. 25 GDPR). În tabelul de mai jos prezentăm, pe scurt, modul în care platforma se aliniază la principiile fundamentale ale Regulamentului.

Principiu GDPR (art. 5)	Cum îl aplicăm
Legalitate, echitate, transparență	Toate prelucrările au temei legal documentat și sunt descrise în Politica de confidențialitate.
Limitarea scopurilor	Datele Beneficiarului sunt prelucrate exclusiv în scopul prestării Serviciilor, fără utilizări secundare (analytics, profiling, antrenare modele).
Reducerea la minimum	Anonimizare automată a datelor personale înainte de transmiterea către motorul AI.
Exactitate	Beneficiarul controlează direct conținutul; oferim mecanisme de corecție și ștergere.
Limitarea stocării	Termene de retenție explicite (vezi secțiunea 12).
Integritate și confidențialitate	Criptare, MFA, audit trail, segregarea datelor pe tenant.
Responsabilitate	Documentație, registru de prelucrări (art. 30), DPIA pentru categoriile speciale.

2. Părțile acordului

Procesatorul

CYBERSKILL S.R.L.

Sediu: Str. Nerva Traian 27-33, Sc. B, Et. 1, București, Sector 3
Reg. Com.: J2021005758239 · CUI: RO 33007390
Email DPO: legal@analizadosar.ro

Operatorul

Beneficiarul (instituția) — identificat în contractul individual de abonament, cu datele de identificare furnizate la crearea contului instituțional.

3. Roluri și responsabilități

Operator (Beneficiarul): determină scopurile și mijloacele prelucrării datelor cuprinse în documentele încărcate. Răspunde pentru legitimitatea colectării inițiale, pentru informarea persoanelor vizate și pentru exercitarea drepturilor acestora.
Procesator (CyberSkill): prelucrează datele exclusiv conform instrucțiunilor documentate ale Operatorului, exprimate prin acceptarea acestui DPA și prin utilizarea efectivă a Platformei.

Pentru datele despre vizitatorii site-ului public și clienții comerciali ai CyberSkill, CyberSkill acționează ca operator independent — vezi Politica de confidențialitate.

4. Obiectul, durata și natura prelucrării

Aspect	Descriere
Natură	Stocare, analiză automată cu AI, generare rapoarte de conformitate, sincronizare legislativă, audit trail.
Scop	Prestarea Serviciilor contractate prin platforma AnalizaDosar.ro.
Durată	Pe durata abonamentului activ + termenele post-contract pentru ștergere/audit (max. 90 zile pentru documente; vezi sect. 12).
Categorii de persoane vizate	Angajați ai Operatorului; persoane fizice menționate în documentele juridice (beneficiari ai serviciilor sociale, asistenți maternali, copii sub măsuri de protecție, persoane cu dizabilități, victime ale violenței domestice etc.).
Categorii de date	Date de identificare, date de contact, date contractuale; opțional, categorii speciale conform art. 9 GDPR (date privind sănătatea, situații sociale, date despre minori) — exclusiv în calitatea de procesator.

5. Instrucțiuni și limitări

Procesatorul prelucrează datele exclusiv pe baza instrucțiunilor documentate ale Operatorului. Constituie instrucțiuni:

prevederile prezentului DPA;
contractul de abonament și anexele lui;
setările configurate de Operator în Platformă;
solicitările scrise transmise prin canalele oficiale (suport, email DPO).

Procesatorul nu va folosi datele în alte scopuri (ex. publicitate, vânzare, antrenare a unor modele AI proprii sau ale unor terți), decât cu consimțământul scris, expres și separat al Operatorului. Procesatorul informează Operatorul în maximum 5 zile lucrătoare dacă apreciază că o instrucțiune încalcă GDPR sau alte prevederi din legislația UE/română privind protecția datelor.

6. Sub-procesatori autorizați

Lista de sub-procesatori este redusă intenționat la trei furnizori, toți localizați în Uniunea Europeană:

Furnizor	Scop	Locație
Chroot.ro	Hosting și infrastructură	România (UE)
Stripe Payments Europe	Procesare plăți online	Irlanda (UE)
OBLIO Software	Emitere facturi, raportare e-Factura	România

Motorul AI rulează local — niciun document nu părăsește infrastructura Chroot.ro.

Modelele de inteligență artificială sunt găzduite și executate exclusiv pe infrastructura Chroot.ro din România, izolate de internetul public — fără apeluri către API-uri externe de LLM (OpenAI, Anthropic, Google etc.). Singura conexiune externă este unidirecțională, la sfârșitul fiecărei zile, pentru ingestia automată a actelor normative din Legis și Lege 6. Documentele Beneficiarului nu sunt trimise niciodată unui furnizor extern de LLM și nu alimentează antrenarea unui model — al CyberSkill sau al unei terțe părți.

Procesatorul:

încheie cu fiecare sub-procesator un contract care impune obligații cel puțin echivalente celor din prezentul DPA;
notifică Operatorul cu minimum 30 zile înainte de adăugarea sau înlocuirea unui sub-procesator;
permite Operatorului să se opună motivat; în caz de imposibilitate de soluționare, Operatorul poate înceta contractul, fără penalități.

7. Măsuri tehnice și organizatorice (TOMs)

Conform art. 32 GDPR, Procesatorul aplică măsuri adecvate riscului:

Tehnice

Hosting integral în UE, pe infrastructura Chroot.ro (România) — data center cu certificări de securitate aliniate la ISO 27001;
Motor AI local, decuplat de internetul public — fără apeluri către LLM-uri externe (OpenAI, Anthropic etc.); ingestia legislativă zilnică este unidirecțională, în reverse-proxy controlat;
Criptare în repaus (AES-256) și în tranzit (TLS 1.3);
Autentificare multi-factor obligatorie (TOTP / WebAuthn);
Segregarea datelor pe tenant la nivel de aplicație și de schemă DB;
Anonimizare automată a datelor personale înainte de transmiterea către motorul AI;
Backup zilnic, criptat, cu retenție 30 zile;
Audit trail integral 24+ luni;
Sistem de detecție a intruziunilor și monitorizare 24/7;
Patch management automat, scanare de vulnerabilități periodică.

Organizatorice

Politică internă de protecție a datelor și de securitate informatică;
Acord de confidențialitate (NDA) semnat de toți angajații cu acces la date;
Acces minim necesar (least privilege), revizuit trimestrial;
Training anual GDPR pentru personalul cu acces la date;
Procedură formală de management al incidentelor;
DPO desemnat și înregistrat la ANSPDCP (după caz);
Registrul prelucrărilor (art. 30 GDPR) menținut și actualizat.

8. Incidente de securitate

În cazul unei breșe de securitate ce poate afecta datele Operatorului, Procesatorul:

notifică Operatorul fără întârziere nejustificată, în maximum 72 ore de la luarea la cunoștință;
furnizează: natura incidentului, categoriile și numărul aproximativ de persoane vizate, consecințele probabile, măsurile luate sau propuse;
asistă Operatorul în notificarea către ANSPDCP și, dacă este cazul, către persoanele vizate (art. 33-34 GDPR);
păstrează un registru intern al tuturor incidentelor.

Canalul de raportare: legal@analizadosar.ro (24/7) și prin pagina .well-known/security.txt.

9. Asistență pentru Operator

Procesatorul asistă Operatorul, în limita rezonabilă, în îndeplinirea obligațiilor sale GDPR:

răspunsul la cererile persoanelor vizate (art. 12-22);
asigurarea securității prelucrării (art. 32);
notificarea breșelor (art. 33-34);
evaluările de impact (DPIA, art. 35);
consultarea prealabilă (art. 36).

Asistența peste activitățile standard incluse în abonament poate fi facturată separat, la tarifele de listă comunicate.

10. Transferuri internaționale

Toate datele Operatorului rămân pe teritoriul Uniunii Europene, distribuite între cei trei sub-procesatori (Chroot.ro — RO, Stripe — IE, OBLIO — RO). Procesatorul nu efectuează transferuri către țări terțe în afara SEE.

Dacă, în viitor, va fi nevoie de un sub-procesator în afara UE, transferul se va realiza exclusiv pe baza unuia dintre mecanismele art. 44-49 GDPR (decizie de adecvare, Clauze Contractuale Standard 2021/914, scheme certificate gen Data Privacy Framework), însoțit de evaluare TIA și notificat Operatorului în prealabil cu minimum 30 zile.

11. Audit și verificare

Operatorul are dreptul de a verifica respectarea prezentului DPA. Procesatorul:

pune la dispoziția Operatorului toate informațiile necesare;
permite și contribuie la audituri rezonabile, cu un preaviz de 30 zile lucrătoare, în timpul programului de lucru, fără să afecteze desfășurarea activității;
poate furniza, în prealabil, rapoarte de audit independente (ISO 27001, SOC 2 etc.) pentru acoperirea obligației.

Costurile auditurilor inițiate de Operator (fără indicii de neconformitate) sunt suportate de Operator.

12. Durată și ștergere la încetare

La încetarea contractului, la alegerea Operatorului, Procesatorul:

furnizează un export complet al datelor în format machine-readable (JSON / CSV) în maximum 15 zile lucrătoare; și/sau
șterge ireversibil datele Operatorului din toate sistemele active în maximum 90 zile de la încetare;
șterge backup-urile criptate care conțin datele în maximum 30 zile suplimentare (după ciclul natural de retenție);
furnizează, la cerere, un certificat scris de ștergere.

Excepție: datele necesare pentru îndeplinirea obligațiilor legale (ex. facturare, audit) se păstrează strict pe durata legală minimă.

13. Drepturile persoanelor vizate

Cererile primite direct de Procesator de la persoane vizate ale Operatorului sunt redirecționate fără întârziere către Operator. Procesatorul oferă suport tehnic pentru identificarea, exportul, rectificarea sau ștergerea datelor relevante, conform sect. 9.

Pentru cererile referitoare la datele proprii ale CyberSkill (vizitatori site, clienți comerciali), procesul este descris în Politica de confidențialitate, sect. 9.

14. Descarcă DPA semnabil

Vrei o versiune PDF semnabilă?

Pentru o copie a acestui DPA în format PDF, semnată electronic de CyberSkill S.R.L., trimite o cerere la legal@analizadosar.ro cu datele de identificare ale instituției. Returnăm documentul în maximum 2 zile lucrătoare.

Document generat de CYBERSKILL S.R.L., CUI 33007390, J2021005758239, Str. Nerva Traian 27-33, București, Sector 3. Pentru o copie semnată în format PDF a oricărui document legal, scrie la legal@analizadosar.ro.