1. Legal Framework and Controller
Prezenta informare este furnizată în conformitate cu Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (GDPR), completat de prevederile Legii nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului GDPR în România.
Operator de date cu caracter personal:
S.C. SSM Digital Solutions S.R.L.
Platformă: alciv.ro — https://alciv.eu
Email: dpo@alciv.ro
2. Personal Data Processed
Platforma alciv.ro prelucrează datele cu caracter personal ale utilizatorilor în calitate de operator, respectiv datele angajaților organizațiilor-client în calitate de persoană împuternicită de operator (procesator de date).
Categorii de date prelucrate ca operator:
- Date de identificare utilizator: nume, prenume, adresă email
- Date cont: parolă (criptată bcrypt), preferințe, setări
- Date organizație: denumire, CUI, adresă, domeniu de activitate
- Date de utilizare: log-uri accese, IP (anonimizat după 90 zile), activitate sesiune
- Date facturare: date fiscal necesare emiterii facturilor (nu stocăm date card)
Categorii de date prelucrate ca persoană împuternicită (procesator):
- Date angajați: CNP, nume, prenume, funcție, dată angajare, dată naștere
- Date medicale: fișe medicale, aptitudini muncă (categorie specială GDPR Art. 9)
- Date instruire SSM/PSI: participare cursuri, teste, certificate
- Date echipamente: ISCIR, PSI, siguranță — responsabili nominalizați
3. Purposes and Legal Bases
| Scop prelucrare | Bază juridică (GDPR) |
|---|---|
| Furnizarea serviciului platformă SaaS | Art. 6(1)(b) — executarea contractului |
| Conformitate SSM, PSI, GDPR legislație română | Art. 6(1)(c) — obligație legală |
| Gestionare conturi utilizatori și autentificare | Art. 6(1)(b) — executarea contractului |
| Facturare și contabilitate | Art. 6(1)(c) — obligație legală fiscală |
| Comunicări serviciu (notificări, alerte legislative) | Art. 6(1)(b) — executarea contractului |
| Marketing și newslettere | Art. 6(1)(a) — consimțământ |
| Date medicale angajați (medicina muncii) | Art. 9(2)(b) — obligație legală (Legea 319/2006) |
| Îmbunătățire serviciu, analiză anonimă | Art. 6(1)(f) — interes legitim |
4. Data Subject Rights
Ca persoană vizată, aveți următoarele drepturi garantate de GDPR, pe care le puteți exercita oricând:
Dreptul de acces (Art. 15)
Aveți dreptul să obțineți confirmarea că datele dumneavoastră sunt prelucrate și o copie a acestora.
Dreptul la rectificare (Art. 16)
Puteți solicita corectarea datelor inexacte sau completarea datelor incomplete.
Dreptul la ștergere ("dreptul de a fi uitat") (Art. 17)
Puteți solicita ștergerea datelor dacă nu mai sunt necesare sau dacă vă retrageți consimțământul.
Dreptul la restricționarea prelucrării (Art. 18)
Puteți solicita suspendarea temporară a prelucrării datelor dumneavoastră.
Dreptul la portabilitate (Art. 20)
Aveți dreptul să primiți datele furnizate în format structurat, lizibil de mașină.
Dreptul de opoziție (Art. 21)
Puteți obiecta față de prelucrarea bazată pe interes legitim sau marketing direct.
Dreptul de a nu fi supus deciziilor automate (Art. 22)
Aveți dreptul să nu fiți supus unei decizii bazate exclusiv pe prelucrare automată cu efecte juridice semnificative.
Dreptul de a retrage consimțământul
Retragerea nu afectează legalitatea prelucrărilor efectuate anterior pe baza consimțământului.
5. Sub-processors and Transfers
Datele sunt procesate și stocate pe infrastructura Supabase (PostgreSQL) și Vercel, ambele cu servere în Frankfurt, Germania (UE). Nu efectuăm transferuri de date în afara Spațiului Economic European (SEE) fără garanții adecvate.
Parteneri sub-procesatori (împuterniciți):
- Supabase Inc. — baze de date și autentificare (EU region, DPA semnat)
- Vercel Inc. — hosting și CDN (EU region Frankfurt, DPA semnat)
- Stripe Inc. — procesare plăți (PCI-DSS Level 1, GDPR compliant)
- Resend — trimitere emailuri tranzacționale (EU region)
- Anthropic PBC — procesare AI pentru extragere obligații legislative (date anonimizate, fără date personale)
6. Storage Duration
Datele sunt stocate conform principiului minimizării duratei:
- Date cont activ: pe durata relației contractuale + 3 ani (obligații fiscale)
- Date angajați (SSM/PSI): minim 5 ani conform Legii 319/2006 (SSM) și normelor PSI
- Date medicale angajați: minim 40 ani conform normelor medicina muncii (HG 355/2007)
- Log-uri securitate: 90 zile, anonimizate ulterior
- Date facturare: 10 ani conform Legii Contabilității nr. 82/1991
- Cont șters/reziliat: date anonimizate în 30 de zile, soft-delete ulterior
7. Data Security
Implementăm măsuri tehnice și organizatorice adecvate:
- Criptare end-to-end TLS 1.3 pentru toate conexiunile
- Parole criptate bcrypt (salt factor 10+)
- Row-Level Security (RLS) PostgreSQL — izolarea datelor per organizație
- Autentificare multi-factor (TOTP/OTP/PIN) disponibilă
- Access control RBAC cu 27 roluri granulare
- Audit log complet pentru toate operațiunile critice
- Backup-uri automate criptate — retenție 30 zile
- Monitorizare securitate și alertare fraud automată
8. Incident Notification
În cazul unui incident de securitate care afectează datele cu caracter personal cu risc ridicat pentru drepturile și libertățile persoanelor vizate, vom notifica:
- ANSPDCP — în termen de 72 de ore de la constatare (Art. 33 GDPR)
- Persoanele vizate — fără întârzieri nejustificate dacă există risc ridicat (Art. 34 GDPR)
Notificarea va include: natura incidentului, datele afectate, măsurile luate și recomandate, datele de contact DPO.
9. Controller-Processor Relationship
Platforma alciv.ro funcționează ca persoană împuternicită (procesator) față de organizațiile-client (operatori), conform unui Contract de Prelucrare a Datelor (DPA) inclus în Termenii și Condițiile de utilizare.
Organizațiile-client sunt responsabile (operatori) pentru datele angajaților lor procesate prin platformă. Platforma alciv.ro prelucrează aceste date exclusiv conform instrucțiunilor documentate ale operatorului.
10. Automated Processing and AI
Nu utilizăm datele dumneavoastră pentru profilare automată cu efecte juridice sau semnificative fără consimțământ explicit. Funcționalitățile AI din platformă (extragere obligații legislative, asistentul VA-AI) procesează exclusiv date legislative publice, nu date personale ale utilizatorilor.
11. DPO Contact and Complaints
Responsabil cu Protecția Datelor (DPO)
Autoritatea de supraveghere
ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal
Site: www.dataprotection.ro
B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, 010336 București
Aveți dreptul de a depune o plângere la ANSPDCP dacă considerați că drepturile dumneavoastră GDPR au fost încălcate.