Polityka prywatności

1. Administrator danych

Operatorul de date cu caracter personal în sensul art. 4 alin. (7) din Regulamentul (UE) 2016/679 (GDPR) este:

Pentru datele cu caracter personal ale angajaților Clientului, Furnizorul acționează în calitate de persoană împuternicită de operator (art. 4 alin. (8) GDPR), prelucrând aceste date exclusiv în baza instrucțiunilor Clientului și conform unui contract de prelucrare a datelor (DPA).

2. Zbierane dane osobowe

Colectăm și prelucrăm următoarele categorii de date:

• Date de cont și identificare: nume, prenume, adresă de email, număr de telefon, denumire organizație, CUI, adresă, codul CAEN, date de facturare.
• Date de utilizare a Platformei: adresă IP, tip browser, sistemul de operare, paginile accesate, durata sesiunilor, acțiunile efectuate în Platformă (jurnal de audit).
• Date ale angajaților (introduse de Client): nume, funcție, departament, hash CNP (stocat criptat și ireversibil), dată angajare, informații medicale relevante (rezultat examinare medicală), date formare profesională SSM/PSI, date privind echipamentele din responsabilitate.
• Date de autentificare: parole (hash bcrypt, niciodată în clar), tokeni de sesiune, dispozitive de încredere, coduri OTP.
• Date de comunicare: mesajele trimise prin formularul de contact sau email.
• Date de plată: Procesate exclusiv prin Stripe. Nu stocăm numere de card sau date bancare complete pe serverele noastre.

Nu colectăm categorii speciale de date cu caracter personal (art. 9 GDPR) cu excepția informațiilor medicale minime necesare gestionării fișelor de aptitudine la locul de muncă, în baza obligației legale a Clientului.

3. Cele przetwarzania

• — Furnizarea și îmbunătățirea Platformei și a Serviciilor;
• — Autentificarea și securizarea accesului la cont;
• — Gestionarea abonamentelor, facturare și plăți;
• — Trimiterea notificărilor operaționale (alerte de conformitate, expirări, rapoarte);
• — Respectarea obligațiilor legale ale Furnizorului (fiscale, contabile, GDPR);
• — Analiza statistică anonimă pentru îmbunătățirea produsului;
• — Răspunsul la solicitări de suport tehnic.

4. Podstawa prawna przetwarzania

Prelucrăm datele dumneavoastră în baza următoarelor temeiuri juridice prevăzute de art. 6 GDPR:

• Art. 6 alin. (1) lit. b) — executarea contractului: prelucrarea necesară furnizării Serviciilor contractate.
• Art. 6 alin. (1) lit. c) — obligație legală: conformitatea cu legislația fiscală, contabilă și GDPR aplicabilă Furnizorului.
• Art. 6 alin. (1) lit. f) — interes legitim: securitatea Platformei, prevenirea fraudei, îmbunătățirea serviciilor, comunicare de suport.
• Art. 6 alin. (1) lit. a) — consimțământ: pentru comunicări de marketing (newsletter, oferte), acolo unde este aplicabil. Consimțământul poate fi retras oricând.

Datele medicale ale angajaților sunt prelucrate în baza art. 9 alin. (2) lit. b) GDPR — obligații în domeniul securității și sănătății în muncă — coroborat cu Legea nr. 319/2006 și HG nr. 1425/2006.

5. Odbiorcy danych

Datele dumneavoastră pot fi accesate sau transferate către:

• Supabase Inc. — furnizor de infrastructură baze de date (PostgreSQL), stocare fișiere și autentificare. Date stocate în UE (Frankfurt, Germania).
• Vercel Inc. — furnizor de hosting și CDN pentru aplicația web. Centre de date în UE (Frankfurt).
• Stripe Inc. — procesator de plăți. Datele de plată sunt gestionate exclusiv de Stripe conform PCI-DSS.
• Resend Inc. — serviciu de livrare email (notificări operaționale).
• Anthropic PBC — furnizor de servicii AI (extragere date legislative). Datele transmise sunt anonimizate sau pseudonimizate.
• Autorități publice — în cazul în care suntem obligați legal (autorități fiscale, instanțe judecătorești, ANSPDCP).

Nu vindem și nu cedăm datele dumneavoastră unor terți în scopuri de marketing.

6. Przekazywanie danych za granicę

Unii dintre sub-procesatorii noștri (Supabase, Vercel, Stripe, Resend, Anthropic) sunt companii cu sediul în Statele Unite ale Americii. Transferurile se realizează pe baza Deciziei de adecvare UE-SUA (Data Privacy Framework, adoptată de Comisia Europeană la 10 iulie 2023), a Clauzelor Contractuale Standard (SCC) aprobate de Comisie sau a altor garanții adecvate conform art. 46 GDPR.

7. Okres przechowywania

• Date de cont activ: pe toată durata contractului și 5 ani ulterior (obligații fiscale și contabile).
• Date ale angajaților (introduse de Client): pe durata contractului; la reziliere, datele sunt exportabile 90 de zile, apoi șterse definitiv.
• Jurnale de audit și securitate: 12 luni.
• Date de facturare și plată: 10 ani (obligații fiscale conform Codului Fiscal).
• Date de comunicare (email, suport): 3 ani de la ultima interacțiune.

8. Twoje prawa

În conformitate cu art. 15–22 GDPR, beneficiați de următoarele drepturi:

• Dreptul de acces (art. 15): să solicitați o copie a datelor prelucrate.
• Dreptul la rectificare (art. 16): să corectați datele inexacte sau incomplete.
• Dreptul la ștergere (art. 17): să solicitați ștergerea datelor, în condițiile legii.
• Dreptul la restricționarea prelucrării (art. 18): să limitați anumite operațiuni de prelucrare.
• Dreptul la portabilitatea datelor (art. 20): să primiți datele într-un format structurat, lizibil de mașini.
• Dreptul la opoziție (art. 21): să vă opuneți prelucrării bazate pe interesul legitim sau în scopuri de marketing.
• Dreptul de a nu face obiectul unei decizii automatizate (art. 22): să nu fiți supuși unei decizii bazate exclusiv pe prelucrarea automatizată.

Cererile se transmit la: contact@alciv.ro. Vom răspunde în termen de 30 de zile calendaristice.

9. Inspektor Ochrony Danych (IOD)

[Daniel completează: dacă s-a desemnat DPO — nume, email DPO; dacă nu, menționați că nu există obligația legală de desemnare DPO conform art. 37 GDPR, întrucât activitatea de bază nu implică monitorizarea sistematică la scară largă a persoanelor]

Contact pentru probleme legate de protecția datelor: contact@alciv.ro

10. Bezpieczeństwo danych

Implementăm măsuri tehnice și organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva accesului neautorizat, divulgării, modificării sau distrugerii accidentale, incluzând:

• — Criptare în tranzit (TLS 1.2+) și în repaus (AES-256);
• — Hash ireversibil pentru CNP (bcrypt/SHA-256);
• — Autentificare multi-factor (OTP, TOTP, PIN);
• — Control acces bazat pe roluri (RBAC) și politici de securitate la nivel de rând (RLS);
• — Jurnalizare completă a accesului (audit trail);
• — Backup-uri periodice și plan de recuperare în caz de dezastru.

11. Zmiany polityki

Prezenta Politică de Confidențialitate poate fi actualizată periodic pentru a reflecta modificările legislative, tehnice sau organizatorice. Orice modificare semnificativă va fi comunicată prin email și prin notificare în Platformă cu cel puțin 15 zile înainte de intrarea în vigoare.

12. Skargi

Dacă considerați că drepturile dumneavoastră privind protecția datelor personale au fost încălcate, puteți depune o plângere la:

Vă încurajăm să ne contactați în primul rând pentru a rezolva orice nelămurire pe cale amiabilă: contact@alciv.ro