Lista Sub-procesori GDPR
Conform GDPR Art. 28 alin. (2) și Recital 81. Ultima actualizare: mai 2026.
SoftFactura folosește un număr limitat de sub-procesori atent selectați, toți cu DPA (Data Processing Agreement) semnat, hosting predominant în UE, și conformitate Schrems II pentru orice transfer extra-UE.
Vom notifica utilizatorii cu 30 zile înainte de a adăuga un nou sub-procesor, conform art. 28 (2) GDPR. Ai dreptul de a obiecta pe motive temeinice.
| Sub-procesor | Scop | Localizare | Schrems II |
|---|---|---|---|
Hetzner Online GmbH DPA → | Hosting servere (Helsinki, Finlanda) Date: Toate datele aplicației (DB, file storage, logs) | UE — Finlanda | N/A (UE) |
Stripe Payments Europe Ltd. DPA → | Procesare plăți card (Visa, Mastercard) Date: Numele firmei, CUI, email, sumă tranzacție. NU stochează numere card (PCI-DSS Level 1) | UE — Irlanda (cu transfere SUA via SCC) | SCC + Transfer Impact Assessment (TIA) signed |
Brevo (fost Sendinblue) DPA → | Trimitere email-uri tranzacționale + marketing Date: Email destinatar, nume firmă, conținut email (subject, body) | UE — Franța | N/A (UE) |
ANAF — Spațiul Privat Virtual (SPV) DPA → | Transmitere e-Factura (obligație legală OUG 89/2025) Date: Facturi XML UBL 2.1 (CUI firme, sume, descrieri) | UE — România (instituție publică) | N/A (UE — instituție publică) |
Cloudflare, Inc. DPA → | CDN + DDoS protection + DNS Date: IP-uri vizitatori, user agent, request headers (NO body intercept la TLS terminate) | SUA (cu nodes UE pentru routing) | SCC + Privacy Shield successor + EU-US Data Privacy Framework |
Drepturile tale
Conform Art. 21 GDPR, poți obiecta la utilizarea unui sub-procesor pe motive specifice situației tale. Notifică-ne la contact@softfactura.ro.
Notă: opozarea la utilizarea unui sub-procesor poate face imposibilă furnizarea Serviciilor (ex: imposibil de procesat plăți fără Stripe). În acest caz, vom încerca să găsim o soluție alternativă sau, dacă nu e posibil, putem rezilia contractul cu rambursare proporțională.