Politica de confidențialitate
Această politică explică modul în care colectăm, folosim, stocăm și protejăm datele cu caracter personal în cadrul aplicației ROVA, în conformitate cu Regulamentul (UE) 679/2016 (GDPR) și legislația aplicabilă.
- 0) Cine suntem
- S.C. BETTER PERIODS S.R.L. ("ROVA") este o societate românească, cu capital 100% românesc, cu sediul social în Sibiu, Punct de lucru: Strada Ecaterina Varga Nr. 85B, Ap. 4, Sibiu, înregistrată la Registrul Comerțului sub nr. J32/1998/2023, având codul unic de înregistrare 49012725.
- Contact date personale (cereri GDPR): [email protected]. Adresă poștală: Str. Ecaterina Varga Nr. 85B, Ap. 4, Sibiu, România.
- 1) Roluri și responsabilități
- Better Periods SRL este operator pentru datele conturilor ROVA (utilizatori/parteneri, billing, suport). Pentru datele clienților finali ai Partenerilor (nume, telefon, programări), ROVA acționează ca împuternicit (processor) al Partenerului (operator).
- Ca împuternicit, ne angajăm să: procesăm datele doar conform instrucțiunilor tale, să nu le utilizăm în scopuri proprii, și să le ștergem/returnăm la cerere sau la încetarea contractului.
- 2) Categorii de date
-
- Cont ROVA: nume, e‑mail, telefon, parolă/identificator, date firmă (CUI, adresă), preferințe, loguri, abonamente, status plăți, configurări.
- Clienți finali: nume/prenume (opțional), telefon, servicii rezervate, data/ora programării, status plată, factură (link), notificări SMS.
- Tehnice: identificatori dispozitiv, adrese IP, loguri aplicație (minimizate), evenimente de securitate.
- 3) Surse de date
- Datele provin de la Partener/Utilizator (creare și utilizare cont), din integrări configurate (ex. import contacte din telefon, platforme de facturare), de la furnizorii de plăți/SMS (status evenimente) și din loguri tehnice generate de sistem.
- 4) Scopuri și temeiuri
- Prelucrăm datele în scopuri legitime, în principal în relația B2B:
-
- Executarea contractului: gestionarea programărilor; trimiterea SMS-urilor automate de confirmare și reamintire; generarea linkurilor de plată și confirmarea acestora; emiterea facturilor automate (EasyPay Pro); afișarea statisticilor privind activitatea; suport și administrare cont.
- Interes legitim: securitate, prevenire abuz/fraudă, jurnalizare tehnică, comunicări operaționale și tehnice.
- Obligație legală: evidențe financiar‑contabile și fiscale (ex. facturi).
- Consimțământ: unde e cazul – ex. import contacte din telefon sau anumite integrări/funcții opționale.
- Comunicări comerciale: nu trimitem mesaje de marketing prin SMS. Putem trimite e‑mailuri de tip newsletter doar cu consimțământ; te poți dezabona oricând.
- 5) Destinatari / împuterniciți
- Datele pot fi accesate de echipa tehnică ROVA (strict pentru suport/mentenanță) și de procesatori autorizați: Stripe Payments Europe, Ltd. (plăți), 4PAY Systems (SMS), Azure/Firebase (hosting), Oblio / SmartBill / FGO (facturare), Algolia (căutare). Toți partenerii respectă standardele GDPR și au acorduri de prelucrare semnate.
- ROVA păstrează lista actualizată de sub-procesatori și va notifica în cazul unor schimbări semnificative.
- 6) Transferuri internaționale
- Datele sunt stocate și procesate în UE/SEE. În cazuri excepționale (sub-procesori cu infrastructură non‑UE), se aplică Clauze Contractuale Standard (SCC) și garanții adecvate, inclusiv evaluări de transfer (TIA), după caz.
- 7) Măsuri de securitate
- Criptare în tranzit (TLS), backup zilnic, control acces RBAC, jurnalizare acces, minimizare date și segregare logică între conturi, revizuiri periodice ale permisiunilor și testări regulate. Accesul este permis doar utilizatorilor autentificați.
- 8) Perioade de păstrare
-
- Conturi și configurări: pe durata contractului + 3 ani (prescripție civilă) după încetare.
- Programări și loguri operaționale: 24 luni.
- Jurnale SMS: 12 luni.
- Facturi și documente financiar‑contabile: conform legii – 10 ani.
- Backup-uri: păstrate pe fereastra de rotație; ștergerile devin efective la următoarea rotație completă.
- 9) Drepturile persoanelor vizate
- Drept de acces, rectificare, ștergere ("dreptul de a fi uitat"), restricționare, portabilitate, opoziție. Ne poți scrie la [email protected]; răspundem în mod obișnuit în 30 de zile.
- Pentru a procesa cererile, putem solicita informații suplimentare rezonabile pentru verificarea identității.
- Ai dreptul de a depune plângere la ANSPDCP – www.dataprotection.ro.
- 10) Minori
- ROVA nu se adresează minorilor și nu colectează în mod intenționat date ale acestora. Dacă au fost introduse date ale minorilor, contactează-ne pentru remediere.
- 11) Decizii automate și profilare
- Nu efectuăm decizii automate cu efecte juridice similare și nu realizăm profilare în scopuri de marketing. Statistici operaționale sunt afișate doar pentru funcționarea serviciului.
- 12) Cookie-uri și tehnologii similare
- Folosim cookie-uri/LocalStorage necesare pentru autentificare, securitate și preferințe de sesiune (ex. Firebase Auth). Nu folosim cookie-uri de analiză/marketing în prezent. Dacă vom introduce cookie-uri nenecesare, vom implementa un mecanism de consimțământ (banner) și vom actualiza politica.
- 13) Incidente de securitate (breach) & notificare
- În caz de incident cu risc, vom notifica fără întârzieri nejustificate, în maxim 24h de la identificare, Partenerii afectați și, după caz, ANSPDCP și persoanele vizate, incluzând informațiile minime disponibile (natura incidentului, categoriile de date, măsurile luate).
- 14) Modificări ale politicii
- Politica poate fi actualizată. Versiunea curentă și data intrării în vigoare sunt publicate în aplicație, iar modificările semnificative pot fi notificate prin e‑mail/SMS. Dacă este necesar, vom re-colecta consimțământul pentru prelucrări noi.
Anexă: Acord de Prelucrare a Datelor (DPA – art. 28 GDPR)
- Părți
- Operator: Partenerul (entitatea care stabilește scopurile prelucrării privind propriii clienți finali).
Împuternicit: Better Periods SRL (ROVA), pentru prelucrările asupra datelor clienților finali necesare furnizării serviciului. - 1) Obiect, durată, natură și scop
- Obiect: prelucrarea datelor clienților finali (nume/prenume – opțional, telefon, servicii rezervate, data/ora, status plată, link factură) pentru programări, notificări SMS, plăți și facturare.
Durată: durata contractului cu Partenerul.
Natură: stocare, transmitere, organizare, consultare, ștergere.
Scop: furnizarea funcționalităților ROVA către Partener. - 2) Instrucțiuni documentate
- ROVA prelucrează numai conform instrucțiunilor Partenerului (configurații din aplicație, setări, acțiuni prin interfețe/API). ROVA nu utilizează datele în scopuri proprii.
- 3) Confidențialitate
- Personalul ROVA este obligat prin NDA și politici interne de confidențialitate.
- 4) Măsuri tehnice și organizatorice (TOMs)
- TLS, backup zilnic, RBAC, jurnalizare acces, separare logică, testare periodică. Măsurile pot fi ajustate pentru îmbunătățire, menținând un nivel adecvat de securitate.
- 5) Sub-procesatori
- Partenerul autorizează sub-procesorii enumerați în Politica de Confidențialitate. ROVA va informa cu privire la adăugări/înlocuiri cu un preaviz rezonabil; Partenerul poate obiecta în mod justificat.
- 6) Transferuri
- Numai în UE/SEE; dacă este necesar în afara SEE, se aplică SCC și garanții adecvate.
- 7) Asistență
- ROVA asistă Partenerul în îndeplinirea obligațiilor privind drepturile persoanelor vizate, evaluări DPIA și notificarea incidentelor, în măsura rezonabil necesară.
- 8) Ștergere/returnare date
- La încetarea contractului, la alegerea Partenerului, ROVA șterge sau returnează datele clienților finali. Copiile din backup se vor șterge la ciclul normal de rotație.
- 9) Audit
- La cerere, ROVA pune la dispoziție informații rezonabile pentru a demonstra conformitatea. Auditurile on‑site se vor agrea cu preaviz și în limite rezonabile (costuri suportate de Operator).
- 10) Răspundere
- Fiecare parte răspunde în limitele stabilite de contractul principal; ROVA nu răspunde pentru instrucțiuni ilegale sau incomplete ale Operatorului.