Politica de confidențialitate (GDPR)
Cum colectăm, procesăm și protejăm datele tale personale pe DIYAdvisor. Conform Regulamentului UE 2016/679 (GDPR) și legislației române.
Ultima actualizare: 19 mai 2026
1. Operator și DPO
Operatorul datelor personale este Infomed Pro SRL, cu sediul în Cihei, strada Apateului 9A-1, Bihor, România, CUI RO20762338. Pentru orice solicitare GDPR, contactează Data Protection Officer (DPO) la dpo@infomedpro.ro. Pentru sesizări către autoritatea de supraveghere română: ANSPDCP — www.dataprotection.ro.
2. Ce date colectăm
Colectăm 3 categorii de date personale:
Date Tenant (clientul nostru B2B)
Email, nume, denumire entitate, telefon (opțional), date facturare (CUI, sediu social, IBAN doar pentru SEPA), credențiale autentificare (parolă hash bcrypt, token-uri sesiune), preferințe configurare platformă.
Date Useri end (vizitatori site Tenant)
Conversații chat (text mesaje, timestamps), context conversațional (limbă, locale, device fingerprint anonimizat), feedback explicit (thumbs up/down, rating). NU colectăm email/telefon User dacă User-ul nu le furnizează voluntar în conversație.
Date tehnice (analytics + securitate)
Adresă IP (mascată ultimul octet pentru analytics, completă pentru securitate temporar), user agent browser, referrer, timestamp acces, error logs (90 zile retention default, 1 an pe Pro).
3. Temeiul juridic al prelucrării (Art. 6 GDPR)
Prelucrăm date pe baza:
- Executarea unui contract (Art. 6.1.b) — pentru servicii Platform, billing, suport — Tenant data + technical data necesare.
- Consimțământ (Art. 6.1.a) — pentru cookie-uri analytics/marketing, comunicări promoționale (opt-in), tracking User în widget (Consent Mode v2).
- Interes legitim (Art. 6.1.f) — pentru securitate (fraud prevention, rate limiting), îmbunătățire serviciu (analytics agregat anonimizat), comunicări tranzacționale.
- Obligație legală (Art. 6.1.c) — pentru păstrare facturi (10 ani conform Cod Fiscal RO), răspuns la solicitări ANSPDCP/autorități.
4. Scopul prelucrării
Folosim datele pentru:
- Furnizarea serviciilor Platform (chat AI, dashboard admin, sincronizare catalog, billing)
- Comunicări tranzacționale (confirmare cont, notificări tehnice, facturi)
- Suport tehnic (răspuns la ticket-uri, debugging)
- Securitate (detectare fraudă, prevenire abuz, audit log)
- Conformitate legală (facturare, raportare ANAF, răspuns DSAR)
- Îmbunătățire serviciu (analytics agregat ANONIMIZAT, NU profilare individuală)
5. Cu cine partajăm datele (sub-procesatori)
Folosim sub-procesatori (terți care procesează date în numele nostru). Toți sunt obligați contractual să respecte GDPR. Categoriile sunt publice la /security. Numele exacte sunt disponibile la /sub-processors. Notificăm public orice modificare cu 30 zile în avans. Tenantul are dreptul să se opună (cu posibilă reziliere).
6. Cât timp păstrăm datele
Perioade de retenție:
| Tip date | Perioadă |
|---|---|
| Cont Tenant activ | Cât timp există abonament + 30 zile |
| Cont Tenant inactiv (cancelled) | 30 zile, apoi ștergere automată |
| Conversații widget | Configurabil de Tenant (default 90 zile, max 2 ani) |
| Facturi & date contabile | 10 ani (obligație legală Cod Fiscal RO) |
| Loguri securitate (audit) | 90 zile (Starter/Growth), 1 an (Pro) |
| Cookie-uri | Conform /cookies (max 1 an) |
7. Drepturile tale (Art. 12-22 GDPR)
Ai următoarele drepturi cu privire la datele tale personale:
Acces
Să afli ce date avem despre tine + copie
Rectificare
Să corectezi date incomplete sau incorecte
Ștergere
«Right to be forgotten» — ștergem datele în maxim 30 zile
Restricție prelucrare
Să oprești temporar prelucrarea în anumite cazuri
Portabilitate
Export JSON/CSV oricând din dashboard sau pe email
Opoziție
Să te opui la prelucrare bazată pe interes legitim
Retragere consimțământ
Oricând, fără efect retroactiv
Plângere ANSPDCP
Sesizare la autoritatea română — www.dataprotection.ro
8. Cum exerciți drepturile (DSAR)
Trimite cerere la dpo@infomedpro.ro cu: (a) numele și emailul contului tău, (b) dreptul pe care vrei să-l exerciți, (c) detalii suplimentare dacă e cazul. Răspundem în maxim 30 zile (poate fi extins cu 60 zile pentru cereri complexe — te anunțăm). NU percepem taxă pentru DSAR, EXCEPȚIE: cereri vădit nefondate sau repetitive.
Self-service în dashboard
- Export date complet (conversații + visitors + KB + config) — buton în Settings
- Anulare cont cu ștergere automată în 30 zile
- Modificare consimțăminte cookies oricând prin banner
9. Transferuri internaționale de date
Unele sub-procesatori (ex: AI provider, payment processor) sunt în SUA. Folosim mecanisme legale GDPR pentru transferuri: Standard Contractual Clauses (SCCs) UE-SUA, sau certificare EU-US Data Privacy Framework unde aplicabil. Lista detaliată la /security.
10. Securitate
Aplicăm măsuri tehnice și organizatorice conform GDPR Art. 32: criptare în repaus și în tranzit (TLS 1.3), izolare strictă client-to-client, audit logs, rate limiting, MFA opțional pe Pro. Detalii la /security.
11. Modificări policy
Putem actualiza această politică cu preaviz 30 zile prin email și anunț la /gdpr. Modificările materiale (categorii noi date, sub-procesatori noi, scopuri noi) îți cer consimțământ explicit reînnoit. Modificări minore (clarificări text, corectări) intră în vigoare imediat după publicare.
12. Contact DPO
Pentru orice întrebare GDPR sau exercitare drepturi: dpo@infomedpro.ro. Pentru sesizare la autoritate: ANSPDCP — Bd. General Gheorghe Magheru 28-30, București, anspdcp@dataprotection.ro, +40.318.059.211.