1. Identitatea și datele de contact ale operatorului
Operatorul de date personale este:
vreau.io S.R.L.
CUI: RO50112124
Nr. Reg. Com.: J32/986/2024
Sediu social: Aleea Călărașilor nr. 5, bl. G, ap. 54, Mun. Sibiu, Jud. Sibiu
E-mail: [email protected]
Website: https://firecomply.app
În funcție de contextul prelucrării, vreau.io S.R.L. acționează în următoarele calități:
- Operator de date personale — pentru datele conturilor de utilizator (nume, e-mail, telefon, rol, organizație) și datele de utilizare a platformei;
- Persoană împuternicită de operator — pentru datele personale conținute în informațiile despre clădiri, zone, documente și conformitate introduse de clienți în platformă. În această calitate, prelucrăm datele exclusiv conform instrucțiunilor clientului (operatorul), în baza unui Acord de Prelucrare a Datelor (DPA) încheiat cu fiecare client.
2. Categoriile de date personale colectate
2.1. Date de cont și autentificare
- Nume și prenume
- Adresă de e-mail
- Număr de telefon
- Rol în cadrul organizației (administrator, utilizator etc.)
- Denumirea organizației
2.2. Date despre clădiri și conformitate
- Adresa clădirilor gestionate
- Date despre proprietari (nume, date de contact)
- Date despre administratori (nume, date de contact)
- Informații despre zone, echipamente și sisteme de securitate la incendiu
2.3. Documente încărcate
- Fișiere PDF, imagini și alte documente scanate care pot conține nume, semnături, date de identificare ale persoanelor implicate în procesul de conformitate
2.4. Date de utilizare și date tehnice
- Adresa IP
- Tipul și versiunea browserului
- Sistemul de operare
- Jurnale de acces (timestamp-uri de autentificare și acțiuni în platformă)
- Date despre dispozitivul utilizat
2.5. Date de plată
- Datele de facturare (nume, adresă, CUI)
- Nu stocăm numerele cardurilor bancare. Plățile sunt procesate integral de Stripe, Inc., un procesator de plăți certificat PCI DSS Level 1.
3. Scopurile și temeiul juridic al prelucrării
3.1. Executarea contractului (Art. 6 alin. 1 lit. b RGPD)
| Scop | Date prelucrate |
|---|---|
| Crearea și gestionarea contului de utilizator | Nume, e-mail, telefon, rol, organizație |
| Furnizarea serviciului de management al conformității | Date despre clădiri, zone, echipamente, documente |
| Procesarea plăților și facturare | Date de facturare, istoric tranzacții |
| Comunicări legate de serviciu (notificări, alerte de expirare) | E-mail, nume |
3.2. Interesul legitim al operatorului (Art. 6 alin. 1 lit. f RGPD)
| Scop | Interes legitim | Date prelucrate |
|---|---|---|
| Asigurarea securității platformei | Prevenirea accesului neautorizat și a fraudei | Adresă IP, jurnale de acces, date tehnice |
| Îmbunătățirea serviciului | Analiza utilizării pentru optimizarea funcționalităților | Date de utilizare agregate |
| Suport tehnic | Rezolvarea problemelor raportate de utilizatori | Date de cont, jurnale de acces |
| Scanarea antivirus a documentelor | Protejarea platformei și a utilizatorilor împotriva fișierelor malițioase | Fișiere încărcate |
3.3. Obligația legală (Art. 6 alin. 1 lit. c RGPD)
| Scop | Obligația legală | Date prelucrate |
|---|---|---|
| Păstrarea documentelor fiscale | Codul fiscal, Legea contabilității nr. 82/1991 | Date de facturare, istoric tranzacții |
| Răspunsul la solicitările autorităților | Legislația aplicabilă (ANSPDCP, ANAF) | Orice date relevante solicitate |
3.4. Consimțământul (Art. 6 alin. 1 lit. a RGPD)
| Scop | Date prelucrate |
|---|---|
| Comunicări de marketing (newsletter, noutăți produs) | E-mail, nume |
| Cookie-uri analitice și de marketing | Date tehnice — vezi Politica de Cookie-uri |
Consimțământul poate fi retras oricând, fără a afecta legalitatea prelucrării efectuate anterior retragerii. Retragerea se poate face prin:
- Linkul de dezabonare din orice e-mail de marketing
- Setările contului de pe platformă
- E-mail la [email protected]
4. Destinatarii datelor (sub-procesatori)
Putem partaja datele dumneavoastră personale cu următorii sub-procesatori, exclusiv în scopurile descrise:
| Sub-procesator | Scop | Locație | Garanții |
|---|---|---|---|
| Hetzner Online GmbH | Găzduirea infrastructurii (servere aplicație și baze de date) | Germania (UE) | Prelucrare în SEE, conformitate RGPD |
| MinIO (self-hosted) | Stocarea documentelor (S3-compatible object storage) | Germania (UE) — găzduit pe Hetzner | Self-hosted, date rămân în SEE |
| ClamAV (self-hosted) | Scanare antivirus a documentelor încărcate | Germania (UE) — găzduit pe Hetzner | Self-hosted, fără transfer extern de date |
| Cloudflare, Inc. | CDN și protecție DDoS | Global (noduri distribuite) | Clauze contractuale standard (SCCs) |
| Resend | Trimitere e-mail-uri tranzacționale (notificări, recuperare parolă) | UE | Prelucrare în SEE, conformitate RGPD |
| Stripe, Inc. | Procesarea plăților, gestionarea abonamentelor (planificat) | SUA | Clauze contractuale standard (SCCs), certificare PCI DSS Level 1 |
| Storno.ro | Facturare electronică, e-Factura în SPV ANAF (planificat) | România (UE) | Prelucrare în SEE, conformitate RGPD |
Notă despre autentificare: Autentificarea utilizatorilor este gestionată intern, prin biblioteca open-source Better Auth auto-găzduită pe infrastructura Hetzner. Nu există sub-procesator terț pentru autentificare. Parolele sunt stocate exclusiv ca hash-uri criptografice (scrypt) în baza noastră de date.
Nu vindem, nu închiriem și nu partajăm datele dumneavoastră personale cu terți în scopuri de marketing.
5. Transferuri internaționale de date
Unii dintre sub-procesatorii noștri pot transfera date în afara Spațiului Economic European (SEE):
- Cloudflare, Inc. (global) — Traficul web poate trece prin nodurile Cloudflare din afara SEE pentru rutare și protecție DDoS. Transfer efectuat în baza Clauzelor Contractuale Standard (SCCs).
- Stripe, Inc. (SUA — planificat, va fi activat la lansarea plăților) — Transfer efectuat în baza Clauzelor Contractuale Standard (SCCs) și a certificării PCI DSS Level 1.
Datele primare (conturi utilizatori, clădiri, documente, audit logs) sunt stocate și prelucrate exclusiv în Germania (UE), pe infrastructura Hetzner Online GmbH.
Puteți solicita o copie a Clauzelor Contractuale Standard aplicabile contactându-ne la adresa de e-mail indicată în Secțiunea 1.
6. Perioada de păstrare a datelor
| Categorie de date | Perioada de păstrare |
|---|---|
| Date de cont | Pe durata contractului + 30 de zile după ștergerea contului |
| Date despre clădiri și conformitate | Pe durata contractului. La încetarea contractului, datele sunt exportate clientului și șterse în termen de 90 de zile, cu excepția obligațiilor legale de păstrare |
| Documente încărcate | Pe durata contractului. La încetarea contractului, sunt șterse conform politicii de mai sus |
| Date de facturare și tranzacții | 10 ani de la data tranzacției (conform Legii contabilității nr. 82/1991 și Codului fiscal) |
| Jurnale de acces și date tehnice | Maximum 12 luni de la colectare |
| Date de marketing (consimțământ) | Până la retragerea consimțământului |
La expirarea perioadei de păstrare, datele personale sunt șterse sau anonimizate ireversibil în mod automat sau la solicitare.
7. Drepturile dumneavoastră
În calitate de persoană vizată, beneficiați de următoarele drepturi în conformitate cu Regulamentul General privind Protecția Datelor (RGPD):
7.1. Dreptul de acces (Art. 15 RGPD)
Aveți dreptul de a obține confirmarea faptului că datele dumneavoastră personale sunt sau nu prelucrate și, în caz afirmativ, de a obține acces la acestea și informații despre prelucrare.
7.2. Dreptul la rectificare (Art. 16 RGPD)
Aveți dreptul de a solicita rectificarea datelor personale inexacte sau completarea datelor incomplete care vă privesc.
7.3. Dreptul la ștergere — „dreptul de a fi uitat" (Art. 17 RGPD)
Aveți dreptul de a solicita ștergerea datelor personale care vă privesc, în condițiile prevăzute de lege (de exemplu, datele nu mai sunt necesare scopului pentru care au fost colectate, vă retrageți consimțământul etc.).
7.4. Dreptul la restricționarea prelucrării (Art. 18 RGPD)
Aveți dreptul de a solicita restricționarea prelucrării datelor dumneavoastră în anumite condiții (de exemplu, contestați exactitatea datelor, prelucrarea este ilegală dar vă opuneți ștergerii etc.).
7.5. Dreptul la portabilitatea datelor (Art. 20 RGPD)
Aveți dreptul de a primi datele personale care vă privesc, pe care ni le-ați furnizat, într-un format structurat, utilizat în mod curent și care poate fi citit automat, și de a transmite aceste date altui operator.
7.6. Dreptul la opoziție (Art. 21 RGPD)
Aveți dreptul de a vă opune prelucrării datelor personale care vă privesc, atunci când prelucrarea se bazează pe interesul nostru legitim. Vom înceta prelucrarea cu excepția cazului în care demonstrăm motive legitime și imperioase pentru prelucrare.
7.7. Dreptul de a nu face obiectul unei decizii automate (Art. 22 RGPD)
Aveți dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv profilare. Nu utilizăm mecanisme de decizie automată sau profilare — vezi Secțiunea 10.
7.8. Dreptul de a retrage consimțământul
Atunci când prelucrarea se bazează pe consimțământ, aveți dreptul de a retrage consimțământul în orice moment, fără a afecta legalitatea prelucrării efectuate înainte de retragere.
Exercitarea drepturilor
Pentru a vă exercita oricare dintre aceste drepturi, ne puteți contacta la:
- E-mail: [email protected]
- Subiect: „Exercitare drepturi RGPD — [dreptul solicitat]"
Vom răspunde solicitării dumneavoastră în termen de 30 de zile calendaristice de la primirea cererii. Acest termen poate fi prelungit cu 60 de zile în cazul cererilor complexe sau numeroase, caz în care veți fi informat în prealabil.
Exercitarea drepturilor este gratuită. În cazul cererilor vădit nefondate sau excesive, ne rezervăm dreptul de a percepe o taxă rezonabilă sau de a refuza cererea, conform Art. 12 alin. 5 RGPD.
8. Dreptul de a depune plângere la autoritatea de supraveghere
Dacă considerați că prelucrarea datelor dumneavoastră personale încalcă prevederile RGPD, aveți dreptul de a depune o plângere la autoritatea de supraveghere competentă:
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
Adresă: B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, 010336 București, România
Telefon: +40 318 059 211
Website: https://www.anspdcp.ro
E-mail: [email protected]
Vă încurajăm să ne contactați mai întâi pentru a încerca să rezolvăm orice nemulțumire înainte de a depune o plângere formală.
9. Caracterul obligatoriu sau facultativ al furnizării datelor
Date obligatorii
Furnizarea numelui, adresei de e-mail și a informațiilor organizației este obligatorie pentru crearea unui cont și utilizarea platformei. Refuzul furnizării acestor date face imposibilă prestarea serviciului.
Date facultative
Următoarele date sunt facultative:
- Numărul de telefon
- Informații suplimentare de profil
- Consimțământul pentru comunicări de marketing
Nefurnizarea datelor facultative nu afectează accesul la funcționalitățile principale ale platformei.
10. Decizii automate și profilare
Nu utilizăm mecanisme de luare a deciziilor automate și nu efectuăm profilare în sensul Art. 22 RGPD.
Platforma calculează automat statusuri de conformitate (conform, neconform, expirat etc.) pe baza documentelor și termenelor introduse de utilizatori. Aceste calcule:
- Nu sunt decizii cu privire la persoane fizice
- Se referă exclusiv la statusul de conformitate al clădirilor și echipamentelor
- Nu produc efecte juridice sau efecte semnificative similare asupra persoanelor vizate
- Pot fi verificate și modificate manual de utilizatori
11. Cookie-uri
Platforma FireComply.app utilizează cookie-uri esențiale pentru funcționarea serviciului (autentificare, menținerea sesiunii, preferințe de utilizare).
Pentru informații detaliate despre tipurile de cookie-uri utilizate, scopurile acestora și modalitățile de gestionare, vă rugăm să consultați Politica de Cookie-uri.
12. Securitatea datelor
Implementăm măsuri tehnice și organizatorice adecvate pentru protejarea datelor dumneavoastră personale împotriva accesului neautorizat, pierderii, distrugerii sau modificării accidentale, inclusiv:
Măsuri tehnice
- Criptare în tranzit: Toate comunicațiile sunt protejate prin SSL/TLS (HTTPS)
- Criptare la stocare: Bazele de date și documentele sunt stocate pe volume criptate
- Hash-ing parole: Parolele sunt stocate exclusiv ca hash-uri scrypt (Better Auth), niciodată în text clar
- Control al accesului bazat pe roluri (RBAC): Accesul la date este restricționat în funcție de rolul utilizatorului în cadrul organizației
- Scanare antivirus: Toate documentele încărcate sunt scanate automat cu ClamAV
- Jurnale de audit: Toate acțiunile relevante sunt înregistrate cu timestamp și identificatorul utilizatorului
- Izolarea datelor (multi-tenancy): Datele fiecărei organizații sunt strict izolate; un utilizator nu poate accesa datele altei organizații
Măsuri organizatorice
- Acces la infrastructură limitat la personalul autorizat
- Politici interne de securitate a informațiilor
- Revizuirea periodică a drepturilor de acces
- Proceduri de răspuns la incidente de securitate
În cazul unei breșe de securitate care prezintă un risc pentru drepturile și libertățile persoanelor vizate, vom notifica ANSPDCP în termen de 72 de ore și, dacă este cazul, vom informa direct persoanele vizate afectate, conform Art. 33-34 RGPD.
13. Modificări ale politicii de confidențialitate
Ne rezervăm dreptul de a actualiza această Politică de Confidențialitate periodic, pentru a reflecta modificările aduse practicilor noastre de prelucrare a datelor sau cerințelor legale.
În cazul unor modificări semnificative:
- Vom afișa o notificare vizibilă în platformă
- Vom trimite o notificare prin e-mail la adresa asociată contului dumneavoastră
- Vom actualiza data „Ultima actualizare" din partea de sus a acestui document
Vă încurajăm să verificați periodic această pagină. Continuarea utilizării platformei după publicarea modificărilor constituie acceptarea noii versiuni a politicii.
14. Contact
Pentru orice întrebări, solicitări sau nelămuriri legate de prelucrarea datelor dumneavoastră personale, ne puteți contacta la:
vreau.io S.R.L.
E-mail: [email protected]
Adresă: Aleea Călărașilor nr. 5, bl. G, ap. 54, Mun. Sibiu, Jud. Sibiu
Vom depune toate eforturile pentru a răspunde solicitărilor dumneavoastră în cel mai scurt timp posibil, dar nu mai târziu de 30 de zile calendaristice de la primirea cererii.
Acest document a fost redactat în conformitate cu Regulamentul (UE) 2016/679 (RGPD) și legislația națională aplicabilă privind protecția datelor cu caracter personal.