Politica de confidențialitate

1. Introducere

S.C. Plasmik Studio S.R.L. ("Arhivault", "noi", "nostru") se angajează să protejeze confidențialitatea datelor personale ale utilizatorilor săi. Prezenta politică descrie modul în care colectăm, utilizăm, stocăm și protejăm datele cu caracter personal, în conformitate cu Regulamentul General privind Protecția Datelor (GDPR — Regulamentul UE 2016/679) și legislația română aplicabilă.

Această politică se aplică tuturor persoanelor care interacționează cu platforma noastră, inclusiv vizitatorilor site-ului, utilizatorilor înregistrați, angajaților organizațiilor cliente și reprezentanților partenerilor de afaceri.

2. Operatorul de date

Operatorul de date cu caracter personal este:

S.C. Plasmik Studio S.R.L. E-mail: contact@arhivault.ro Responsabil protecția datelor: dpo@arhivault.ro

3. Categoriile de date personale colectate

În funcție de relația dumneavoastră cu Arhivault, putem colecta următoarele categorii de date:

3.1. Date de identificare și cont

• Nume și prenume
• Adresa de e-mail
• Fotografia de profil
• Metoda de autentificare (e-mail, OAuth)

3.2. Date organizaționale

• Denumirea organizației
• Cod unic de înregistrare (CUI)
• Număr de înregistrare la Registrul Comerțului
• Adresa sediului social
• Număr de telefon
• Statut TVA
• Sigla organizației

3.3. Date ale angajaților

• Nume, e-mail, telefon, adresă — criptat
• CNP (cod numeric personal) — criptat
• Data angajării
• Funcția, departamentul
• Tarife de remunerare
• Înregistrări de pontaj și concedii

3.4. Date financiare

• Informații despre facturi (emise și primite)
• Date bancare (IBAN, denumire bancă, cod SWIFT)
• Tranzacții bancare (prin Finqware)
• Solduri ale conturilor bancare
• Informații despre plăți și abonamente

3.5. Date de comunicare

• E-mailuri și atașamente (prin integrarea Gmail)
• Mesaje primite în inbox-ul organizației
• Anunțuri, comentarii și reacții interne

3.6. Date tehnice

• Adresa IP
• Tipul de browser și dispozitiv (User Agent)
• Date de sesiune și autentificare
• Jurnale de audit
• Evenimente de utilizare a platformei (anonimizate, pentru analiză produs)
• Stare flaguri de funcționalități (feature flags)

4. Scopurile prelucrării

Prelucrăm datele personale pentru următoarele scopuri:

• Furnizarea și operarea serviciilor platformei
• Crearea și gestionarea conturilor de utilizator
• Procesarea facturilor și documentelor financiare
• Integrarea cu servicii terțe (ANAF SPV, Gmail, Microsoft, Finqware)
• Gestionarea angajaților, pontajului și concediilor
• Comunicarea internă în cadrul organizației
• Facturarea și procesarea plăților
• Asigurarea securității platformei și prevenirea fraudei
• Respectarea obligațiilor legale și fiscale
• Îmbunătățirea serviciilor și suportul tehnic

5. Temeiul juridic al prelucrării

Prelucrăm datele personale pe baza următoarelor temeiuri juridice:

• Executarea contractului — prelucrarea este necesară pentru furnizarea serviciilor solicitate (Art. 6(1)(b) GDPR)
• Obligație legală — prelucrarea este necesară pentru respectarea legislației fiscale și financiare (Art. 6(1)(c) GDPR)
• Interes legitim — asigurarea securității platformei, prevenirea fraudei și îmbunătățirea serviciilor (Art. 6(1)(f) GDPR)
• Consimțământul — pentru comunicări de marketing și utilizarea cookie-urilor non-esențiale (Art. 6(1)(a) GDPR)

6. Destinatarii datelor

Ca regulă, nu divulgăm datele dumneavoastră către terți, cu excepția următoarelor situații:

• Procesatori autorizați: furnizori de servicii care acționează în numele nostru (hosting, procesare plăți, livrare e-mail)
• Autorități publice: ANAF și alte autorități, în conformitate cu obligațiile legale
• Instanțe judecătorești: în cazul unor proceduri legale

Furnizori de servicii terți

• Stripe (SUA/UE) — procesarea plăților
• Resend (SUA) — livrarea e-mailurilor tranzacționale
• Railway (UE) — infrastructură cloud și hosting
• Google (UE/SUA) — integrarea Gmail (OAuth 2.0)
• Microsoft (UE/SUA) — integrarea Outlook (OAuth 2.0)
• Finqware (UE) — Open Banking, acces la date bancare
• ANAF/SPV (România) — facturare electronică
• Autumn.js — urmărirea utilizării și facturare metrică
• DeepL (Germania) — servicii de traducere
• PostHog (UE) — analiză produs și statistici de utilizare anonimizate
• Flagsmith (UK/UE) — gestionarea feature flags și a configurației progresive

7. Transferuri internaționale de date

Unii dintre furnizorii noștri de servicii pot prelucra date în afara Spațiului Economic European (SEE), în special în SUA. În aceste cazuri, ne asigurăm că transferurile sunt protejate prin:

• Cadrul de confidențialitate UE-SUA (EU-U.S. Data Privacy Framework)
• Clauze contractuale standard aprobate de Comisia Europeană
• Măsuri suplimentare de securitate conform recomandărilor EDPB

8. Durata stocării datelor

Stocăm datele personale doar pe perioada necesară scopurilor pentru care au fost colectate:

• Date de cont: pe durata existenței contului și 90 de zile după ștergere
• Date financiare și fiscale: conform perioadei legale de arhivare (minimum 10 ani)
• Jurnale de audit: în mod permanent, conform cerințelor de conformitate
• Date tehnice (loguri): maximum 12 luni
• Comunicări de marketing: până la retragerea consimțământului

9. Securitatea datelor

Implementăm măsuri tehnice și organizatorice pentru protecția datelor:

• Criptare AES-256 pentru datele sensibile în repaus (inclusiv CNP-uri)
• Criptare TLS 1.3 pentru datele în tranzit
• Tokenuri de autentificare criptate pentru integrări (Gmail, Outlook, ANAF, Finqware)
• Izolarea datelor per organizație (multi-tenancy)
• Control al accesului bazat pe roluri (owner, manager, employee)
• Jurnale de audit imutabile pentru acțiuni sensibile
• Copii de siguranță regulate
• Stocare securizată în bucketuri S3 private

10. Drepturile dumneavoastră

Conform GDPR, aveți următoarele drepturi:

• Dreptul de acces — să solicitați o copie a datelor personale prelucrate
• Dreptul la rectificare — să solicitați corectarea datelor inexacte
• Dreptul la ștergere — să solicitați ștergerea datelor ("dreptul de a fi uitat")
• Dreptul la restricționarea prelucrării — să solicitați limitarea prelucrării în anumite condiții
• Dreptul la portabilitatea datelor — să primiți datele într-un format structurat (CSV/JSON). Funcția de export GDPR din platformă permite descărcarea completă a datelor organizației.
• Dreptul de opoziție — să vă opuneți prelucrării bazate pe interes legitim
• Dreptul de retragere a consimțământului — în orice moment, fără a afecta legalitatea prelucrării anterioare
• Dreptul de a depune plângere — la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)

Pentru exercitarea drepturilor, contactați-ne la: dpo@arhivault.ro. Vom răspunde în termen de 30 de zile de la primirea solicitării.

11. Decizii automatizate

Nu luăm decizii bazate exclusiv pe prelucrarea automată a datelor care ar produce efecte juridice sau ar afecta semnificativ persoanele vizate.

12. Prelucrarea datelor în calitate de procesator

Atunci când organizațiile cliente introduc date ale propriilor angajați sau clienți în platformă, Arhivault acționează ca procesator de date, iar organizația client este operatorul de date. În aceste cazuri, organizația client este responsabilă pentru:

• Stabilirea temeiurilor legale ale prelucrării
• Informarea persoanelor vizate
• Răspunsul la cererile de exercitare a drepturilor

13. Modificări ale politicii

Ne rezervăm dreptul de a actualiza prezenta politică. Modificările vor fi publicate pe platformă cu cel puțin 15 zile înainte de intrarea în vigoare. Vă recomandăm să verificați periodic această pagină.

14. Contact

Pentru orice întrebări legate de prelucrarea datelor personale:

S.C. Plasmik Studio S.R.L. E-mail: contact@arhivault.ro Responsabil protecția datelor (DPO): dpo@arhivault.ro