Acord de prelucrare și partajare a datelor (DPA)

Versiunea 1.0 · Ultima actualizare: 14 mai 2026

Prezentul Acord de prelucrare și partajare a datelor („DPA") reglementează modul în care datele cu caracter personal sunt partajate și prelucrate între TABO și Operator, în contextul utilizării platformei TABO Business. DPA face parte integrantă din Termenii și Condițiile TABO Business și trebuie acceptat de Operator odată cu aceștia. În caz de neconcordanță privind protecția datelor, prezentul DPA prevalează.

1. Obiectul acordului

Prin utilizarea platformei TABO Business, Operatorul primește acces la anumite date cu caracter personal ale Clienților, necesare pentru onorarea Rezervărilor și Comenzilor la Locațiile sale. Prezentul DPA stabilește condițiile, limitele și obligațiile aplicabile acestei partajări și prelucrări, în conformitate cu Regulamentul (UE) 2016/679 („GDPR") și legislația română aplicabilă.

2. Rolurile părților

În raport cu datele cu caracter personal ale Clienților:

• TABO este operator de date în legătură cu platforma TABO: colectează datele Clienților, le prelucrează pentru funcționarea aplicației și le partajează cu Operatorul în scopurile strict necesare prestării serviciilor.
• Operatorul acționează ca operator de date independent în raport cu datele Clienților pe care le primește și le prelucrează pentru propriile sale scopuri legitime (onorarea Rezervărilor, livrarea Comenzilor, gestionarea relației cu Clientul la Locația sa). Operatorul răspunde, în nume propriu, de respectarea GDPR pentru toate operațiunile pe care le efectuează asupra acestor date.

Fiecare parte răspunde pentru propriile prelucrări. Operatorul nu este împuternicitul TABO și nu prelucrează date în numele TABO; primește datele ca operator distinct, sub condițiile prezentului DPA. Nicio prevedere a acestui DPA nu poate fi interpretată ca transferând către TABO răspunderea Operatorului pentru prelucrările proprii.

3. Categoriile de date partajate

TABO partajează cu Operatorul, prin platformă, exclusiv datele minime necesare:

• Pentru Rezervări: numele și prenumele Clientului, numărul de telefon, locurile rezervate, data și intervalul rezervării, suma achitată, statusul rezervării.
• Pentru Comenzi: numele Clientului, produsele comandate, șezlongul/locul de livrare.
• Pentru recenzii: numele afișat de Client și conținutul recenziei.

TABO NU partajează cu Operatorul datele cardului bancar ale Clienților — acestea sunt prelucrate exclusiv de procesatorul de plăți Stripe. Operatorul nu are și nu va avea acces la date de plată complete.

4. Scopurile permise de prelucrare

Operatorul poate prelucra datele Clienților primite prin platformă exclusiv pentru:

• onorarea și gestionarea Rezervărilor și Comenzilor la propriile Locații;
• contactarea Clientului în legătură cu o Rezervare sau Comandă concretă (confirmare, modificare, probleme operaționale);
• emiterea documentelor fiscale aferente;
• soluționarea reclamațiilor și a disputelor legate de serviciile prestate;
• respectarea obligațiilor legale proprii;
• comunicări de marketing, strict în condițiile Secțiunii 5.

5. Comunicări de marketing către clienți

Operatorul poate transmite Clienților propriilor Locații comunicări de marketing (mesaje despre evenimente, oferte, promoții la Locațiile sale) numai în următoarele condiții cumulative:

• Consimțământ valabil: doar către Clienții care și-au exprimat consimțământul pentru a primi astfel de comunicări. Acest consimțământ este colectat de TABO prin Termenii și Politica de confidențialitate aplicabile Clienților și este pus la dispoziția Operatorului prin platformă; Operatorul nu trebuie să presupună consimțământul în lipsa acestei confirmări.
• Doar Locațiile proprii: comunicările pot privi exclusiv Locațiile Operatorului la care Clientul a făcut Rezervări sau Comenzi. Operatorul nu poate folosi datele pentru a promova alte afaceri, locații sau terți.
• Dreptul de dezabonare: fiecare comunicare trebuie să includă o modalitate clară, gratuită și simplă de dezabonare (opt-out). La retragerea consimțământului de către Client, Operatorul încetează imediat orice comunicare de marketing către acesta.
• Conformitate cu legea: Operatorul respectă GDPR, Legea nr. 506/2004 privind comunicările electronice și orice altă reglementare aplicabilă comunicărilor de marketing (inclusiv regulile privind ora de trimitere, frecvența rezonabilă și identificarea expeditorului).

6. Interdicții stricte

Încălcarea acestor interdicții constituie o încălcare gravă a contractului și poate atrage suspendarea imediată a contului, răspunderea pentru daune și sesizarea autorităților competente.

7. Obligațiile Operatorului

Operatorul se obligă, pe toată durata contractului:

• să prelucreze datele Clienților legal, echitabil și transparent, respectând principiile GDPR (minimizare, exactitate, limitarea scopului și a stocării);
• să asigure că doar personalul autorizat, instruit și obligat la confidențialitate are acces la datele Clienților;
• să implementeze măsuri tehnice și organizatorice adecvate pentru protejarea datelor (Secțiunea 8);
• să sprijine TABO în soluționarea cererilor persoanelor vizate și a solicitărilor autorităților;
• să notifice TABO fără întârziere nejustificată orice incident de securitate care implică datele Clienților (Secțiunea 11);
• să mențină, dacă legea îi impune, o evidență a activităților de prelucrare proprii;
• să nu prelucreze categorii speciale de date (date sensibile) prin intermediul platformei.

8. Măsuri de securitate

Operatorul implementează măsuri tehnice și organizatorice adecvate riscului, incluzând cel puțin: acces restricționat pe bază de necesitate (need-to-know), parole/credențiale individuale și confidențiale pentru utilizatorii subsidiari, dispozitive securizate, evitarea stocării necontrolate a datelor (capturi de ecran, exporturi, fișiere locale), și revocarea promptă a accesului angajaților care nu mai au acest rol.

TABO, la rândul său, aplică măsuri de securitate la nivel de platformă: conexiuni criptate (TLS), parole stocate cu algoritmi moderni (bcrypt), acces la baza de date pe bază de roluri și log de audit, backup-uri criptate, autentificare cu sesiune unică și găzduire în centre de date din Uniunea Europeană.

9. Sub-împuterniciți

TABO folosește, pentru funcționarea platformei, o serie de furnizori de servicii (sub-împuterniciți), printre care: Stripe (procesare plăți), Bird/MessageBird (SMS OTP), Google Firebase (notificări push), Hetzner (găzduire — UE, Germania). Lista actualizată este disponibilă în Politica de confidențialitate.

Operatorul nu poate angaja sub-împuterniciți pentru prelucrarea datelor Clienților primite prin platformă fără un temei legal propriu, fără garanții contractuale echivalente celor din prezentul DPA și fără respectarea obligației de informare a persoanelor vizate.

10. Drepturile persoanelor vizate

Clienții beneficiază de toate drepturile prevăzute de GDPR: acces, rectificare, ștergere, restricționare, portabilitate, opoziție și retragerea consimțământului. Dacă un Client își exercită un drept direct față de Operator, Operatorul îl soluționează în privința propriilor prelucrări și, după caz, redirecționează Clientul către TABO (privacy@tabo.app) pentru prelucrările la nivel de platformă. Părțile cooperează pentru a asigura un răspuns în termenul legal (de regulă 30 de zile).

11. Notificarea incidentelor de securitate

În cazul unui incident de securitate (acces neautorizat, pierdere, divulgare sau alterare a datelor Clienților) care implică datele primite prin platformă, Operatorul notifică TABO la privacy@tabo.app fără întârziere nejustificată și în cel mult 24 de ore de la luarea la cunoștință, furnizând toate informațiile relevante. Părțile cooperează pentru evaluarea incidentului și pentru notificarea autorității de supraveghere și/sau a persoanelor vizate, atunci când legea o impune.

12. Retenție și ștergere

Operatorul păstrează datele Clienților doar atât cât este necesar pentru scopurile permise sau cât impune legea (de exemplu, documentele fiscale — 10 ani conform Codului Fiscal român). La încetarea contractului cu TABO sau la încetarea scopului prelucrării, Operatorul șterge sau anonimizează datele Clienților aflate în controlul său, cu excepția celor pentru care există o obligație legală de păstrare. La cerere, Operatorul confirmă în scris ștergerea.

13. Audit și conformitate

TABO poate solicita Operatorului, în limite rezonabile, informații care să demonstreze conformitatea cu prezentul DPA. În cazul unor indicii de încălcare, TABO poate restricționa sau suspenda accesul Operatorului la datele Clienților, pentru protejarea persoanelor vizate, până la clarificarea situației.

14. Răspundere

Fiecare parte răspunde pentru încălcările GDPR rezultate din propriile prelucrări. Operatorul despăgubește și exonerează TABO pentru orice amendă, sancțiune, pretenție sau daună (inclusiv din partea persoanelor vizate sau a autorităților) rezultată din încălcarea de către Operator a prezentului DPA, a GDPR sau a oricărei legi aplicabile prelucrării datelor Clienților.

15. Durata și modificări

Prezentul DPA produce efecte de la data acceptării și pe toată durata utilizării platformei, precum și ulterior, pentru obligațiile care prin natura lor supraviețuiesc încetării (confidențialitate, ștergere, răspundere). TABO poate actualiza DPA; la publicarea unei versiuni noi, Operatorului i se va solicita re-acceptarea la următoarea autentificare, acceptarea fiind înregistrată electronic (versiune, marcaj de timp, adresă IP).

16. Contact