AXS Learning

Legal

Acord de procesare a datelor (DPA)

Ultima actualizare: 13 mai 2026

Tip: din dialogul de print, selectează „Save as PDF" ca destinație ca să obții un PDF semnabil.

Acest DPA este conceput special pentru școlile din România. Versiunea pre-completată mai jos îți permite să-l prezinți direct în dosarul GDPR al școlii, fără să-ți consume timp cu redactarea. Pentru contractul final, AXS Learning îl semnează pe baza datelor școlii.

Preambul

Prezentul Acord de procesare a datelor („DPA") completează contractul principal de servicii încheiat între:

  • Operatorul: [Numele școlii] cu sediul în [Adresa], CUI [CUI], reprezentată legal de [Nume director] în calitate de [Funcție] („Școala");
  • Persoana împuternicită (Procesor): AXS LEARNING SRL, cu sediul în România, CUI 52330648, reprezentată legal de administrator („AXS Learning").

Acordul este încheiat în conformitate cu Articolul 28 din Regulamentul (UE) 2016/679 (GDPR) și Legea nr. 190/2018 privind măsurile de punere în aplicare a GDPR în România.

1. Obiectul procesării

AXS Learning va procesa date personale în numele Școlii exclusiv în scopul furnizării serviciilor educaționale prin platforma AXS Learning, așa cum sunt detaliate în contractul principal de servicii.

2. Categorii de persoane vizate

  • Elevi (inclusiv minori sub 16 ani)
  • Părinți / Tutori legali
  • Cadre didactice și personal didactic auxiliar
  • Administratori și personal administrativ al școlii

3. Categorii de date personale procesate

  • Date de identificare: nume, prenume, e-mail, telefon, dată naștere
  • Date educaționale: note, absențe, prezență, teme, mesaje
  • Documente atașate (justificări absențe, materiale didactice) — pot conține date sensibile
  • Date tehnice: token notificări push, loguri acces anonimizate

4. Durata procesării

Pe toată durata contractului principal de servicii, plus o perioadă de 90 de zile pentru ștergerea sau returnarea datelor către Școală.

5. Obligațiile AXS Learning (Procesor)

AXS Learning se obligă:

  1. Să proceseze datele exclusiv pe baza instrucțiunilor documentate ale Școlii și conform contractului principal;
  2. Să asigure că persoanele autorizate să proceseze date sunt obligate la confidențialitate;
  3. Să implementeze măsurile tehnice și organizatorice prevăzute la Anexa A;
  4. Să nu angajeze sub-procesatori fără autorizarea generală sau specifică a Școlii. Lista actuală de sub-procesatori este în Anexa B;
  5. Să asiste Școala în îndeplinirea obligațiilor de răspuns la cererile persoanelor vizate (drepturile GDPR);
  6. Să notifice Școala fără întârzieri nejustificate (maxim 24 de ore) despre orice încălcare a securității datelor;
  7. Să asiste Școala în îndeplinirea obligațiilor de DPIA și notificare ANSPDCP;
  8. La încetarea contractului, să șteargă sau să returneze toate datele personale către Școală, conform alegerii acesteia;
  9. Să pună la dispoziția Școlii toate informațiile necesare pentru a demonstra conformitatea cu obligațiile Articolului 28 GDPR.

6. Obligațiile Școlii (Operator)

  1. Să obțină consimțământul informat al persoanelor vizate (sau bază legală echivalentă) pentru procesarea datelor;
  2. Să furnizeze AXS Learning instrucțiuni documentate;
  3. Să informeze persoanele vizate despre procesarea datelor lor, conform Articolelor 13-14 GDPR;
  4. Să asigure conformitatea propriilor procese (interne) cu GDPR.

7. Sub-procesatori

Școala autorizează AXS Learning să angajeze următorii sub-procesatori pentru livrarea serviciilor (Anexa B):

  • Google Cloud Ireland Limited — infrastructură cloud (Firestore, Cloud Functions, Storage), date stocate în regiunea Europe-West;
  • Google Ireland Limited — Firebase Authentication, Firebase Cloud Messaging (notificări push);
  • [Furnizor e-mail tranzacțional, TBD] — trimitere e-mail-uri de notificare, parolă uitată.

Toți sub-procesatorii au sediul în UE sau au semnat Standard Contractual Clauses pentru transferurile internaționale.

8. Transferuri internaționale

Toate datele sunt stocate pe servere din Uniunea Europeană. Eventualele transferuri în afara UE/SEE se fac doar pe baza Clauzelor Contractuale Standard aprobate de Comisia Europeană.

9. Auditul

Școala poate solicita, cu un preaviz rezonabil (minim 30 zile), audit privind conformitatea AXS Learning cu prezentul DPA, pe cheltuiala Școlii. AXS Learning va răspunde solicitărilor de informații în maximum 30 de zile.

10. Răspundere

Părțile răspund pentru încălcările proprii ale obligațiilor GDPR conform Articolelor 82-83 GDPR. Răspunderea AXS Learning este limitată la prejudiciul direct și cauzal.

11. Durata și modificarea

Prezentul DPA produce efecte pe toată durata contractului principal. Modificările se fac în scris, cu acordul ambelor părți.

Anexa A — Măsuri tehnice și organizatorice

  • Criptare: TLS 1.3 în tranzit, AES-256 la rest
  • Control acces: autentificare cu parolă + 2FA pentru administratori; principiul cunoașterii minime
  • Audit trail: toate acțiunile administrative sunt logate cu user, timestamp și acțiune
  • Backup: zilnic automat, păstrat 30 de zile
  • Patch management: dependențele de securitate actualizate săptămânal
  • Securitate fizică: servere Google Cloud cu certificare ISO 27001, SOC 2 Type II
  • Training: personal AXS Learning instruit anual pe GDPR și securitate
  • Plan de continuitate: disaster recovery cu RTO 4h, RPO 24h

Anexa B — Lista sub-procesatorilor

Lista actualizată a sub-procesatorilor este disponibilă la cerere la office@axslearning.ro și în versiunea curentă a Politicii de confidențialitate.

Semnături

Pentru Școală

Nume: ______________________

Funcție: ______________________

Data: ______________________

Semnătură: ______________________

Ștampilă:

Pentru AXS LEARNING SRL

Nume: ______________________

Funcție: Administrator

Data: ______________________

Semnătură: ______________________

Ștampilă: