Politică de Confidențialitate

1. Identitate și roluri GDPR

[Denumire juridică Avizo] (“Avizo”, “noi”), cu sediul în România, este operatorul platformei avizo.ro.

Roluri conform GDPR (Regulamentul UE 2016/679):

• Avizo este OPERATOR pentru datele personale ale utilizatorilor proprii (email, număr de telefon, date de autentificare, date de facturare) — colectate direct de la persoanele care creează conturi.
• Avizo este PROCESATOR pentru datele angajaților sau terților introduse de clienții noștri (Tenants) în platformă — spre exemplu, datele angajaților pentru urmărirea medicii muncii sau SSM. În acest caz, clientul nostru este Operatorul.

Relația dintre Avizo și Tenants în calitate de Procesator este reglementată prin Acordul de Procesare a Datelor (DPA) — inclus automat la acceptarea Termenilor.

2. Date colectate și baze legale

2.1. Date de cont (Operator)

Colectăm: email, parola (stocată hash), număr de telefon (opțional, pentru OTP și WhatsApp), denumire firmă, CUI (opțional), dată creare cont, informații despre planul ales.

Baza legală: executarea contractului (Art. 6(1)(b) GDPR) — aceste date sunt necesare pentru furnizarea Serviciului.

2.2. Date de utilizare (Operator)

Colectăm: adresă IP (pentru rate limiting și securitate), timestamps acțiuni, tipuri de iteme create, statistici de utilizare agregate.

Baza legală: interes legitim (Art. 6(1)(f) GDPR) — securitate și prevenirea fraudei.

2.3. Date de facturare (Operator, prin Paddle)

Plățile sunt procesate de Paddle (Merchant of Record). Nu stocăm date de card. Paddle transmite Avizo confirmarea plății și datele de facturare necesare (email, țară, CUI pentru TVA inversat).

2.4. Date introduse de Tenants (Procesator)

Datele angajaților sau terților introduse în platformă (denumiri, date de expirare, numere de telefon pentru notificări) sunt prelucrate exclusiv în scopul furnizării Serviciului contractat, conform instrucțiunilor Tenantului-Operator.

3. Sub-procesori

Avizo utilizează următorii sub-procesori pentru furnizarea Serviciului. Toți au sedii sau garanții de transfer adecvate pentru prelucrarea datelor din UE:

SCC = Clauze Contractuale Standard UE. Lista este actualizată la fiecare modificare.

4. Retenție date

• Date de cont activ: pe durata relației contractuale;
• Date cont după anulare: 30 de zile, după care sunt șterse;
• Date de facturare (pentru audit fiscal): 5 ani conform legislației fiscale RO;
• Loguri de securitate (IP, timestamps): 90 de zile;
• Backup-uri criptate: maximum 30 de zile rolling.

5. Drepturile tale

Conform GDPR, ai dreptul la:

• Acces — să soliciți o copie a datelor tale;
• Rectificare — să corectezi date incorecte;
• Ștergere — să ceri ștergerea datelor (cu excepția obligațiilor legale);
• Portabilitate — să primești datele în format structurat (JSON/CSV);
• Restricție — să limitezi procesarea în anumite situații;
• Opoziție — față de procesarea bazată pe interes legitim;
• Retragerea consimțământului — oricând, pentru procesările bazate pe consimțământ.

Cererile se trimit la [email protected]. Răspundem în maximum 30 de zile. Ai și dreptul de a depune plângere la ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal).

6. Securitate

Datele sunt criptate în tranzit (TLS 1.3) și la repaus. Parolele sunt stocate exclusiv ca hash bcrypt. Accesul la baza de date este restricționat prin network policies și acces pe bază de rol. Efectuăm backup-uri zilnice criptate.

În caz de incident de securitate cu impact asupra datelor personale, vei fi notificat conform Art. 34 GDPR în termen de 72 de ore de la descoperire.

7. Contact și DPO

Pentru orice solicitare legată de date personale: [email protected]

DPO: [Denumire DPO sau mențiune că nu este obligatoriu conform Art. 37 GDPR pentru dimensiunea actuală a operatorului — de actualizat cu avocatul].