Document legal

Politica de Confidențialitate

Versiunea 1.0 · Ultima actualizare: 9 mai 2026

Pe scurt

Respectăm GDPR și legislația română privind protecția datelor. Colectăm doar datele necesare pentru a oferi serviciul, le păstrăm doar cât e necesar, nu le vindem niciodată. Aveți drepturi clare asupra datelor dumneavoastră — detalii mai jos.

1. Cine suntem (Operator de date)

Operatorul de date personale pentru utilizatorii platformei Oferta Claro (accesibilă la ofertaclaro.ai) este:

SC GREENTECH INSTALL SRL
CUI: RO29528080
Reg. Comerțului: J22/35/2012
Sediu: Comuna Al. I. Cuza, Județul Iași, România
Email contact: contact@ofertaclaro.ai

Responsabil cu protecția datelor (DPO): În acest stadiu de dezvoltare al platformei, nu suntem obligați prin lege să desemnăm un DPO (conform Art. 37 GDPR — nu suntem autoritate publică, nu prelucrăm date sensibile la scară mare, nu monitorizăm sistematic). Pentru orice întrebări legate de date personale, contactați-ne direct la contact@ofertaclaro.ai.

2. Ce date colectăm

2.1. Date colectate direct de la utilizatori

La înregistrare și utilizarea Platformei colectăm:

Date de identificare cont: nume, prenume, email, parolă (criptată — nu o vedem niciodată în clar).
Date de contact: telefon (opțional).
Date despre companie: denumire firmă, brand, CUI, adresă, datele de facturare (pentru facturi cu TVA).
Conținut creat: oferte, template-uri, logo-uri, branding, descrieri produse, date despre clienții finali (nume, telefon, adresă) — vezi secțiunea 12 pentru clarificarea rolului nostru aici.

2.2. Date colectate automat (tehnice)

Adresa IP — stocată sub formă hash SHA-256 (cu sare secretă), nu în clar. Folosit pentru protecție anti-spam și rate-limiting.
User Agent — informații despre browser și sistem de operare (rezumat scurt, max 100 caractere).
Sesiuni de autentificare — un cookie de sesiune (signed JWT) pentru a vă menține autentificat.
Loguri de acces — timestamp, endpoint accesat, status HTTP — pentru debugging și securitate.
Eventuri tracking ofertă — când o ofertă publică este vizionată, când se face click pe „Acceptă", când se trimit întrebări — pentru a oferi feedback Utilizatorului asupra ofertei sale.

2.3. Date generate de utilizarea AI

Atunci când folosiți funcționalitățile AI (auto-populare ofertă din link, generare beneficii, generator demo), trimitem URL-ul și textul site-ului la sub-procesatorul nostru AI (Anthropic Claude). Acesta procesează cererea și returnează rezultatul. Nu trimitem date personale ale clienților finali în aceste interogări.

2.4. Date NU colectăm

Date bancare / numere card — toate plățile sunt procesate de Stripe. Noi nu vedem și nu stocăm numere de card.
Date sensibile (etnie, religie, sănătate, opinii politice, orientare sexuală) — Platforma nu colectează astfel de date.
Date despre minori — Platforma este destinată adulților (18+).

3. În ce scopuri folosim datele

Furnizarea serviciului: autentificare, salvare oferte, partajare linkuri publice, tracking interacțiuni.
Facturare și plăți: emiterea facturilor cu TVA, procesarea plăților prin Stripe, gestionarea abonamentelor.
Suport tehnic: răspundem la întrebările trimise prin email.
Securitate: detectarea și prevenirea fraudelor, abuzurilor, atacurilor (rate-limiting, captcha, etc.).
Comunicare tranzacțională: trimitem emailuri esențiale (confirmare plată, factura PDF, expirare trial, invitație în echipă, resetare parolă, alerte de securitate).
Comunicare comercială: NU trimitem newsletter-uri sau emailuri promoționale fără consimțământul dumneavoastră explicit.
Îmbunătățirea Platformei: analizăm folosirea agregată (anonimă) pentru a identifica probleme și a îmbunătăți funcționalitățile.
Conformitate legală: păstrăm date de facturare 10 ani conform legislației contabile române; răspundem la solicitări ale autorităților competente atunci când există obligație legală.

4. Temeiul juridic al prelucrării

Conform Art. 6 GDPR, prelucrăm date personale doar atunci când există un temei legal. Pentru fiecare activitate, temeiul este:

Executarea contractului (Art. 6(1)(b)) — pentru toate activitățile esențiale: cont, oferte, plăți, suport.
Obligație legală (Art. 6(1)(c)) — păstrarea facturilor 10 ani (Codul Fiscal RO), răspunsul la cereri ale autorităților.
Interes legitim (Art. 6(1)(f)) — securitate Platformă (rate-limiting, hash IP), îmbunătățirea agregată anonimă a serviciului, prevenirea fraudei.
Consimțământ (Art. 6(1)(a)) — pentru orice comunicare comercială (dacă o vom face în viitor cu opt-in explicit).

5. Sub-procesatori (Third parties)

Pentru a opera Platforma, folosim următorii sub-procesatori (toți fiind operatori conformi GDPR):

Furnizor	Scop	Localizare date
Vercel Inc.	Hosting aplicație, CDN, edge functions	UE (Frankfurt) + global
Neon Inc.	Bază de date PostgreSQL	UE (Frankfurt — eu-central-1)
Stripe Payments Europe Ltd.	Procesare plăți, facturare	UE (Irlanda) + SUA
Resend Inc.	Trimitere emailuri tranzacționale	UE + SUA
Anthropic PBC	Servicii AI (Claude) pentru auto-populare ofertă	SUA (cu DPA semnat)
Cloudflare Inc.	DNS, email routing, protecție DDoS	Global
Google LLC	(Opțional) Calendar sync pentru taskuri (dacă activat)	SUA (cu DPF — Data Privacy Framework)

Cu fiecare dintre acești furnizori avem acorduri de procesare a datelor (DPA — Data Processing Agreement) conforme cu Art. 28 GDPR.

6. Transferuri internaționale

Unele date pot fi transferate în afara Spațiului Economic European (SEE) către sub-procesatori din SUA (Stripe, Anthropic, Cloudflare, Google). Aceste transferuri se realizează pe baza:

Clauze Contractuale Standard (SCC) aprobate de Comisia Europeană prin Decizia 2021/914/UE;
EU-US Data Privacy Framework (DPF) pentru furnizorii certificați;
Măsuri suplimentare de securitate (criptare în tranzit și la repaus).

Datele cele mai sensibile (parole hash, conținut oferte, date facturare) sunt găzduite în UE (Frankfurt) și nu părăsesc spațiul UE decât în mod tranzitoriu (procesare AI).

7. Cât timp păstrăm datele

Cont activ: pe toată durata contractului + 30 de zile după închidere (pentru recuperare posibilă).
Date facturare: 10 ani (obligație legală — Legea Contabilității nr. 82/1991, Art. 25).
Loguri sistem: 90 de zile (configurat în AppSettings.logRetentionDays).
Demo logs (interogări AI demo): 90 de zile.
Backups bază de date: 30 de zile (rolling backup).
IP hash și user agent: 90 de zile pentru rate-limiting și protecție.
Date marketing: până la retragerea consimțământului (dacă va exista).

După aceste perioade, datele sunt șterse automat sau anonimizate. Dacă solicitați ștergerea anticipată, ne conformăm conform secțiunii 8.

8. Drepturile dumneavoastră (GDPR)

Conform GDPR (Regulamentul UE 2016/679), aveți următoarele drepturi:

8.1. Dreptul de acces (Art. 15)

Puteți solicita o copie a datelor personale pe care le procesăm despre dumneavoastră.

8.2. Dreptul de rectificare (Art. 16)

Puteți cere corectarea datelor inexacte sau completarea celor incomplete (de exemplu, schimbarea numelui sau a emailului).

8.3. Dreptul de ștergere („dreptul de a fi uitat") (Art. 17)

Puteți cere ștergerea datelor în cazurile prevăzute de lege. Anumite date (de exemplu, facturile) nu pot fi șterse înainte de termenul legal de 10 ani.

8.4. Dreptul la restricționarea procesării (Art. 18)

Puteți cere ca datele să fie „înghețate" temporar (procesate doar pentru păstrare, nu activ) în caz de dispută sau verificare.

8.5. Dreptul la portabilitatea datelor (Art. 20)

Puteți cere o copie structurată (JSON, CSV) a datelor pe care le-ați furnizat, pentru a le putea transfera la alt furnizor.

8.6. Dreptul de opoziție (Art. 21)

Puteți să vă opuneți procesării bazate pe interes legitim sau pentru marketing direct.

8.7. Dreptul de a nu fi supus unor decizii automatizate (Art. 22)

Platforma nu ia decizii automatizate care să producă efecte juridice asupra dumneavoastră (toate deciziile despre cont sunt luate manual de echipa noastră).

8.8. Dreptul de a depune plângere la autoritatea de supraveghere

Puteți depune plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) dacă considerați că drepturile vă sunt încălcate:

Site: https://www.dataprotection.ro
Adresă: B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București
Email: anspdcp@dataprotection.ro

8.9. Cum exercitați drepturile

Trimiteți un email la contact@ofertaclaro.ai cu subiectul „Cerere GDPR". Vom răspunde în termen de maxim 30 de zile (cu posibilitate de prelungire la 60 de zile pentru cereri complexe, cu informarea dumneavoastră).

Răspunsul este gratuit. Pentru cereri vădit nefondate sau excesive, putem cere o taxă rezonabilă sau refuza.

9. Cookies și tracking

9.1. Cookies esențiale (strict necesare)

Folosim un singur cookie esențial:

sqf_session — păstrează autentificarea (JWT signed). Durată: 30 zile sau până la logout. Necesar funcționării Platformei — nu necesită consimțământ conform Directivei ePrivacy (Art. 5(3) excepția „strict necessary").

9.2. Cookies de impersonare (admin)

sqf_original_session — folosit doar de superadmin pentru a impersona temporar un tenant test (debugging). Setat doar la cerere explicită din panoul admin.

9.3. Cookies de marketing / tracking terți

Nu folosim cookies de marketing, analytics sau retargeting (Google Analytics, Facebook Pixel, etc.) la momentul publicării acestei politici. Dacă vom adăuga astfel de instrumente în viitor, vom afișa un banner de consimțământ explicit conform GDPR.

9.4. Pagina ofertei publice

Pe paginile ofertei publice (/o/<slug>), nu setăm cookies — colectăm doar evenimente anonime (vizionări, click-uri pe butoane) pentru tracking-ul interacțiunilor în Platformă.

10. Măsuri de securitate

Implementăm măsuri tehnice și organizaționale pentru a proteja datele:

Criptare în tranzit: HTTPS/TLS 1.3 pentru toate comunicațiile.
Criptare la repaus: bazele de date Neon sunt criptate AES-256.
Parole criptografate: bcrypt (nu vedem niciodată parola în clar).
Tokens semnate: JWT cu HS256 pentru autentificare.
IP hashing: SHA-256 cu sare secretă, niciodată stocate în clar.
Rate limiting: protecție anti-brute-force pe login și endpoint-uri publice.
CSP (Content Security Policy): politici stricte pentru paginile ofertei publice.
Monitorizare: loguri și alerte automate pentru activitate suspectă.
Backup-uri: zilnice, păstrate 30 zile, restorabile rapid.
Acces restrictiv: doar personalul autorizat are acces la date, pe principiul „need-to-know".

În cazul unei încălcări a securității datelor („data breach") cu impact asupra drepturilor utilizatorilor, vom notifica ANSPDCP în 72 de ore și utilizatorii afectați direct prin email, conform Art. 33-34 GDPR.

11. Minori

Platforma este destinată exclusiv adulților (18+) și companiilor. Nu colectăm conștient date personale despre minori. Dacă aflăm că am colectat din eroare astfel de date, le ștergem imediat. Dacă sunteți părinte și suspectați că un minor și-a creat cont, vă rugăm să ne contactați la contact@ofertaclaro.ai.

12. Operator vs. persoană împuternicită

12.1. Pentru utilizatorii Platformei (admin, agent)

Furnizorul (SC GREENTECH INSTALL SRL) este OPERATOR al datelor personale ale utilizatorilor înregistrați (administratori și agenți ai tenanților). Determinăm scopurile și mijloacele prelucrării.

12.2. Pentru clienții finali ai utilizatorilor (destinatari ai ofertelor)

Atunci când un Utilizator (de exemplu, o companie de șeminee) introduce în Platformă datele unui client final (nume, telefon, email, adresă) pentru a genera o ofertă, situația este următoarea:

Utilizatorul este OPERATOR al datelor clientului său final (el a colectat datele și a determinat scopul — întocmirea unei oferte comerciale).
Furnizorul (Oferta Claro) este PERSOANĂ ÎMPUTERNICITĂ (processor) — procesăm datele exclusiv pe baza instrucțiunilor Utilizatorului, conform contractului SaaS.

Pentru această relație, Termenii și Condițiile noștri (în special secțiunea 13) și prezenta Politică de Confidențialitate formează acordul de procesare a datelor (DPA) între Furnizor și Utilizator. Utilizatorul rămâne responsabil pentru:

Obținerea consimțământului (sau alt temei legal valid) de la clientul final pentru a-i procesa datele;
Informarea clientului final despre colectarea și prelucrarea datelor (propria politică de confidențialitate a Utilizatorului);
Răspunsul la solicitările clientului final privind drepturile sale GDPR.

Dacă un client final solicită drepturile GDPR direct la Furnizor, vom redirecționa cererea către Utilizatorul-operator în maxim 7 zile.

13. Modificarea politicii

Putem actualiza această politică pentru a reflecta schimbări în Platformă, în legislație sau în practicile noastre. Versiunea curentă (cu data ultimei actualizări) este vizibilă în antetul documentului.

Pentru modificări substanțiale (extinderea scopurilor, adăugarea de sub-procesatori importanți, modificarea retenției), vom notifica utilizatorii prin email cu minim 30 de zile înainte de intrarea în vigoare.

14. Contact și plângeri

Pentru orice întrebare sau cerere legată de date personale:

Email principal: contact@ofertaclaro.ai
Adresa poștală: Comuna Al. I. Cuza, Județul Iași, România

Răspundem în termen de maxim 30 de zile (cu posibilitate de prelungire la 60 zile pentru cereri complexe).

Dacă nu sunteți mulțumit de răspunsul nostru, puteți depune plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) — https://www.dataprotection.ro.

Această Politică de Confidențialitate a fost actualizată ultima dată pe 9 mai 2026.