Lista Subprocesatorilor Scribae
Entitățile terțe care prelucrează date în numele RAMMER TECH S.R.L. în cadrul serviciului Scribae.
Introducere
Pentru a furniza serviciul Scribae, Rammer Tech S.R.L. (Procesor) folosește un set restrâns de furnizori externi. În textul oficial al GDPR în limba română (Regulamentul (UE) 2016/679), raportul dintre persoana împuternicită de operator și persoanele pe care aceasta le angajează în lanț este descris la Art. 28 alin. (2) și (4) prin formularea „altă persoană împuternicită de operator” (uneori „cea de a doua persoană împuternicită”); în documentele comerciale și în practica de conformitate folosim termenul scurt subprocesator / subprocesatori. Conform Art. 28 din GDPR, fiecare subprocesator este autorizat de Operator (biroul notarial care semnează contractul Scribae) prin Acordul de Prelucrare a Datelor (DPA). Această listă este sursa autoritativă a subprocesatorilor în uz, este actualizată continuu și constituie Anexa 1 a DPA-ului. Orice modificare a listei este notificată birourilor notariale cu cel puțin 15 zile preaviz, conform mecanismului descris la secțiunea „Mecanism de actualizare a listei" de mai jos.
Tabel canonic al subprocesatorilor
Acest tabel este sursa autoritativă pentru toate celelalte documente legale ale Scribae — Politica de Confidențialitate, DPA-ul și nota de informare a clientului final se referă la acest tabel când descriu cine prelucrează datele și unde.
| # | Subprocesator | Rol | Locație prelucrare | Categorii date | Bază legală transfer | DPA / referințe |
|---|---|---|---|---|---|---|
| 1 | Amazon Web Services EMEA SARL (Luxembourg) | Infrastructură cloud și servicii de inteligență artificială pentru platformă (inclusiv procesare textuală / limbaj natural prin Amazon Bedrock; modele Anthropic Claude găzduite intern de AWS, fără relație contractuală directă Scribae↔Anthropic) | eu-north-1 Stockholm (Uniunea Europeană) |
Conținutul documentelor notariale; metadate de procesare AI; trace-uri de inferență (intermediare debug) | UE — fără SCC (Clauze Contractuale Standard) pentru date brute; fără antrenare AI activ contractual prin AWS Service Terms § 50 și AWS Bedrock Data Protection, termeni acceptați implicit la crearea contului AWS, fără semnătură separată | AWS Data Processing Addendum + AWS GDPR Center |
| 2 | Microsoft Ireland Operations Ltd | Azure App Service (găzduire aplicație web) + Azure SQL Database (stocare date relaționale) | Azure West Europe (Dublin, UE) + North Europe (regiune secundară pentru failover) | Date de cont (email, hash de parolă, token MFA), metadate documente, telemetrie diagnostic | UE — fără SCC | Microsoft Products and Services Data Protection Addendum |
| 3 | Stripe Payments Europe Ltd (Dublin, Irlanda) + Stripe Inc. (San Francisco, SUA) | Procesare plăți card, gestionare abonamente, detectare fraudă prin Stripe Radar | UE primar (Irlanda) + SUA pentru backend operațional și componenta anti-fraudă Stripe Radar | Date de plată (token card, ultimele 4 cifre, brand), nume cumpărător, email, adresă de facturare, IP, fingerprint de dispozitiv (Stripe Radar) — toate sunt date personale GDPR pentru cumpărători persoane fizice | UE primar; transfer SUA pe baza Data Privacy Framework + Standard Contractual Clauses (SCC) Stripe | Stripe Data Processing Addendum |
| 4 | FGO România S.R.L. | Facturare electronică conform legislației române (emitere factură legală) | România (UE) | Date de facturare: denumire firmă sau nume persoană fizică, CUI sau CNP (după caz), adresă, sume, articole de pe factură, perioadă de prestare a serviciului | UE — fără SCC | DPA FGO (link: în curs de publicare — completat la momentul integrării finale) |
| 5 | furnizor de email (în curs de configurare) (opțiuni candidate: Postmark, SendGrid EU, Mailgun EU) |
Email tranzacțional (invitații în echipă, recuperare parolă, alerte de facturare, confirmări de cont) | UE recomandat (toți candidații au regiune UE disponibilă) | Email destinatar, conținutul mesajului tranzacțional (fără conținut al documentelor notariale) | UE preferat (fără SCC); dacă alegem un furnizor cu backend SUA → transfer pe baza Data Privacy Framework + SCC | DPA furnizor — link de adăugat când furnizorul este ales (Wave 0 târziu) |
| 6 | Microsoft Application Insights (opt-in conform ADR 0006) | Telemetrie diagnostic, agregate de uzaj (numai dacă utilizatorul activează explicit din Setări → Confidențialitate) | Azure West Europe (UE) | Pattern-uri de uzaj agregate, fără identificatori personali direct expuși | UE — fără SCC | Acoperit de Microsoft Products and Services Data Protection Addendum (același DPA cu rândul 2) |
De ce Anthropic nu apare ca subprocesator direct
Amazon Web Services EMEA SARL este subprocesatorul direct menționat la rândul 1 (deja inclus în tabel). Modelele Claude sunt folosite numai prin infrastructura AWS; relația contractuală relevantă pentru biroul notarial este Scribae → AWS, fără flux contractual sau flux de date direct Scribae ↔ Anthropic. Anthropic PBC și Anthropic Ireland Ltd nu sunt subprocesatori direcți ai Scribae. O integrare directă API Anthropic ar impune listarea separată a Anthropic; Scribae nu folosește astăzi API-ul Anthropic direct.
Orice schimbare de arhitectură (de exemplu, furnizor AI cu flux direct către un terț neacoperit aici) va declanșa o versiune major a acestui document și notificare prealabilă conform mecanismului de mai jos.
Mecanism de actualizare a listei
Orice schimbare la lista subprocesatorilor (adăugare, înlocuire, extindere a scopului prelucrării) urmează politica de versionare a documentelor Scribae descrisă în README.md. În particular:
- Schimbări
minor— subprocesator nou care nu schimbă scopul prelucrării și a cărui locație rămâne în Uniunea Europeană (de exemplu, un furnizor SMTP UE înlocuit cu alt furnizor SMTP UE pentru aceleași tipuri de email tranzacțional). Notificare prin email către administratorii birourilor cu minim 15 zile preaviz; fără re-acceptare obligatorie în interfață. - Schimbări
major— subprocesator nou care introduce un transfer extra-UE pentru date brute, sau care extinde semnificativ scopul prelucrării (de exemplu, un nou furnizor AI care ar primi conținutul documentelor notariale dintr-o locație din afara UE). Notificare prin email cu minim 15 zile preaviz; bifă de re-acceptare în interfață la următorul login; drept de obiecție care poate duce la rezilierea contractului fără penalizare, conform DPA.
Modificările sunt vizibile public prin diff-ul versiunilor acestui document, păstrat sub controlul de versiuni intern al Rammer Tech (git). Frontmatter-ul fiecărei versiuni conține un changelog append-only care sumarizează schimbarea.
Contact pentru întrebări
Pentru întrebări despre subprocesatori, pentru a solicita copiile DPA-urilor încheiate cu fiecare subprocesator, sau pentru a notifica o obiecție conform mecanismului de mai sus, vă rugăm să scrieți la dpo@scribae.ro sau să folosiți adresa oficială a Rammer Tech S.R.L. (vezi Acordul de prelucrare a datelor (DPA) pentru contactele oficiale).
Acest document este Anexa 1 a Acordul de prelucrare a datelor (DPA) (DPA-ul Scribae) și constituie sursa autoritativă pentru lista subprocesatorilor Scribae.
Intrarea Tăciunelui 15, Et. 4, Ap. 8, Sector 2, București, 023826
Pentru întrebări privind protecția datelor: dpo@scribae.ro