🛡️ GDPR & Privacy

Politica de confidențialitate (GDPR)

Cum colectăm, procesăm și protejăm datele tale personale pe DIYAdvisor. Conform Regulamentului UE 2016/679 (GDPR) și legislației române.

Ultima actualizare: 19 mai 2026

1. Operator și DPO

Operatorul datelor personale este Infomed Pro SRL, cu sediul în Cihei, strada Apateului 9A-1, Bihor, România, CUI RO20762338. Pentru orice solicitare GDPR, contactează Data Protection Officer (DPO) la dpo@infomedpro.ro. Pentru sesizări către autoritatea de supraveghere română: ANSPDCP — www.dataprotection.ro.

2. Ce date colectăm

Colectăm 3 categorii de date personale:

Date Tenant (clientul nostru B2B)

Email, nume, denumire entitate, telefon (opțional), date facturare (CUI, sediu social, IBAN doar pentru SEPA), credențiale autentificare (parolă hash bcrypt, token-uri sesiune), preferințe configurare platformă.

Date Useri end (vizitatori site Tenant)

Conversații chat (text mesaje, timestamps), context conversațional (limbă, locale, device fingerprint anonimizat), feedback explicit (thumbs up/down, rating). NU colectăm email/telefon User dacă User-ul nu le furnizează voluntar în conversație.

Date tehnice (analytics + securitate)

Adresă IP (mascată ultimul octet pentru analytics, completă pentru securitate temporar), user agent browser, referrer, timestamp acces, error logs (90 zile retention default, 1 an pe Pro).

3. Temeiul juridic al prelucrării (Art. 6 GDPR)

Prelucrăm date pe baza:

  • Executarea unui contract (Art. 6.1.b) — pentru servicii Platform, billing, suport — Tenant data + technical data necesare.
  • Consimțământ (Art. 6.1.a) — pentru cookie-uri analytics/marketing, comunicări promoționale (opt-in), tracking User în widget (Consent Mode v2).
  • Interes legitim (Art. 6.1.f) — pentru securitate (fraud prevention, rate limiting), îmbunătățire serviciu (analytics agregat anonimizat), comunicări tranzacționale.
  • Obligație legală (Art. 6.1.c) — pentru păstrare facturi (10 ani conform Cod Fiscal RO), răspuns la solicitări ANSPDCP/autorități.

4. Scopul prelucrării

Folosim datele pentru:

  • Furnizarea serviciilor Platform (chat AI, dashboard admin, sincronizare catalog, billing)
  • Comunicări tranzacționale (confirmare cont, notificări tehnice, facturi)
  • Suport tehnic (răspuns la ticket-uri, debugging)
  • Securitate (detectare fraudă, prevenire abuz, audit log)
  • Conformitate legală (facturare, raportare ANAF, răspuns DSAR)
  • Îmbunătățire serviciu (analytics agregat ANONIMIZAT, NU profilare individuală)

5. Cu cine partajăm datele (sub-procesatori)

Folosim sub-procesatori (terți care procesează date în numele nostru). Toți sunt obligați contractual să respecte GDPR. Categoriile sunt publice la /security. Numele exacte sunt disponibile la /sub-processors. Notificăm public orice modificare cu 30 zile în avans. Tenantul are dreptul să se opună (cu posibilă reziliere).

6. Cât timp păstrăm datele

Perioade de retenție:

Tip datePerioadă
Cont Tenant activCât timp există abonament + 30 zile
Cont Tenant inactiv (cancelled)30 zile, apoi ștergere automată
Conversații widgetConfigurabil de Tenant (default 90 zile, max 2 ani)
Facturi & date contabile10 ani (obligație legală Cod Fiscal RO)
Loguri securitate (audit)90 zile (Starter/Growth), 1 an (Pro)
Cookie-uriConform /cookies (max 1 an)

7. Drepturile tale (Art. 12-22 GDPR)

Ai următoarele drepturi cu privire la datele tale personale:

Acces

Să afli ce date avem despre tine + copie

Rectificare

Să corectezi date incomplete sau incorecte

Ștergere

«Right to be forgotten» — ștergem datele în maxim 30 zile

Restricție prelucrare

Să oprești temporar prelucrarea în anumite cazuri

Portabilitate

Export JSON/CSV oricând din dashboard sau pe email

Opoziție

Să te opui la prelucrare bazată pe interes legitim

Retragere consimțământ

Oricând, fără efect retroactiv

Plângere ANSPDCP

Sesizare la autoritatea română — www.dataprotection.ro

8. Cum exerciți drepturile (DSAR)

Trimite cerere la dpo@infomedpro.ro cu: (a) numele și emailul contului tău, (b) dreptul pe care vrei să-l exerciți, (c) detalii suplimentare dacă e cazul. Răspundem în maxim 30 zile (poate fi extins cu 60 zile pentru cereri complexe — te anunțăm). NU percepem taxă pentru DSAR, EXCEPȚIE: cereri vădit nefondate sau repetitive.

Self-service în dashboard

  • Export date complet (conversații + visitors + KB + config) — buton în Settings
  • Anulare cont cu ștergere automată în 30 zile
  • Modificare consimțăminte cookies oricând prin banner
dpo@infomedpro.ro

9. Transferuri internaționale de date

Unele sub-procesatori (ex: AI provider, payment processor) sunt în SUA. Folosim mecanisme legale GDPR pentru transferuri: Standard Contractual Clauses (SCCs) UE-SUA, sau certificare EU-US Data Privacy Framework unde aplicabil. Lista detaliată la /security.

10. Securitate

Aplicăm măsuri tehnice și organizatorice conform GDPR Art. 32: criptare în repaus și în tranzit (TLS 1.3), izolare strictă client-to-client, audit logs, rate limiting, MFA opțional pe Pro. Detalii la /security.

11. Modificări policy

Putem actualiza această politică cu preaviz 30 zile prin email și anunț la /gdpr. Modificările materiale (categorii noi date, sub-procesatori noi, scopuri noi) îți cer consimțământ explicit reînnoit. Modificări minore (clarificări text, corectări) intră în vigoare imediat după publicare.

12. Contact DPO

Pentru orice întrebare GDPR sau exercitare drepturi: dpo@infomedpro.ro. Pentru sesizare la autoritate: ANSPDCP — Bd. General Gheorghe Magheru 28-30, București, anspdcp@dataprotection.ro, +40.318.059.211.