Firme Românești
Autentificare
  1. Acasă
  2. Politica de confidențialitate

Politica de confidențialitate

În vigoare începând cu .

Această politică explică modul în care SC QWERTYBIT SRL colectează, folosește și protejează datele cu caracter personal când utilizați platforma firmeromanesti.com, în conformitate cu Regulamentul General privind Protecția Datelor (GDPR) și Legea 190/2018.

1. Operatorul de date

Operatorul datelor cu caracter personal este SC QWERTYBIT SRL, persoană juridică română:

  • CUI: RO38120209
  • Sediu social: Str. Constantin Vodă nr. 16, București, România
  • Email pentru solicitări GDPR: office@qwertybit.com

QWERTYBIT nu are obligația legală de a desemna un Responsabil cu Protecția Datelor (DPO), însă punctul de contact unic pentru toate cererile privind protecția datelor este adresa de email de mai sus.

2. Ce date colectăm

2.1 Date despre vizitatori (fără cont)

Când vizitați platforma fără să vă autentificați, colectăm:

  • Adresa IP (parțial anonimizată) — pentru securitate și statistici agregate;
  • User-agent (tipul browserului, sistemul de operare);
  • URL-ul vizitat și momentul vizitei;
  • Cookie-uri de preferințe (limbă, temă) — explicate în secțiunea 7.

2.2 Date despre utilizatorii cu cont

La crearea contului, prin autentificare Google (OAuth), colectăm:

  • Adresa de email asociată contului Google;
  • Numele afișat și avatar-ul (dacă sunt setate în profilul Google);
  • ID-ul intern al contului dumneavoastră în baza noastră de date;
  • Istoricul cererilor de analiză (firmele pentru care ați solicitat raport AI), pentru afișarea în secțiunea „Analizele mele";
  • Statusul abonamentului și soldul de credite, primite de la Stripe (procesatorul de plăți).

2.3 Date despre persoane fizice afișate în profilurile firmelor

Agentul AI poate identifica și afișa, pe pagina unei firme, informații publice despre fondatorii, asociații, administratorii sau persoanele cheie ale acelei firme, în măsura în care aceste informații sunt deja publice (Registrul Comerțului, comunicate de presă, profiluri LinkedIn publice). Aceste persoane sunt persoane vizate în sensul GDPR și beneficiază de drepturile prevăzute la secțiunea 8 — inclusiv dreptul de a solicita ștergerea datelor lor de pe platformă.

2.4 Date despre firme (NU sunt date cu caracter personal)

Datele despre persoane juridice (CUI, denumire, sediu social, CAEN, bilanțuri, status TVA) NU sunt date cu caracter personal sub GDPR și nu intră sub incidența acestei politici. Provin din surse oficiale ale statului român, sub licență CC-BY 4.0.

3. Scopurile prelucrării și temeiul legal

ScopTemei legal (Art. 6 GDPR)
Furnizarea funcționalităților contuluiExecutarea contractului — Art. 6(1)(b)
Procesarea plățilorExecutarea contractului — Art. 6(1)(b)
Statistici de utilizare agregate (Vercel Analytics)Interes legitim — Art. 6(1)(f)
Notificări interne (Slack) la evenimente cheieInteres legitim — Art. 6(1)(f)
Răspuns la solicitările de suportInteres legitim — Art. 6(1)(f)
Conformitate fiscală (păstrare facturi)Obligație legală — Art. 6(1)(c)
Afișare publică a informațiilor despre firmeInteres public legitim — Art. 6(1)(e) / (f)

4. Cu cine partajăm datele (sub-procesatori)

Pentru funcționarea platformei lucrăm cu următorii sub-procesatori. Toți sunt selectați să ofere garanții suficiente privind securitatea datelor.

  • Supabase Inc. (SUA, infrastructură EU-frankfurt) — bază de date, autentificare, edge functions. Date transferate: contul utilizatorului, istoric cereri. Bază pentru transfer internațional: Standard Contractual Clauses (SCCs).
  • Vercel Inc. (SUA) — găzduire frontend, analytics agregate (Vercel Analytics) și Speed Insights. Date transferate: log-uri, statistici de performanță. SCCs.
  • Anthropic, PBC (SUA) — furnizor al modelului AI Claude folosit pentru generarea analizelor. Date transferate: numele firmei și CUI-ul ei (NU date personale ale utilizatorului). SCCs.
  • Stripe Payments Europe Limited (Irlanda) — procesare plăți. Date transferate: email-ul, suma, ID-ul tranzacției. Procesator independent de date pentru obligații proprii (PCI-DSS).
  • Google LLC (SUA) — autentificare OAuth. Date transferate: email, nume, avatar. SCCs.
  • Slack Technologies LLC (SUA) — notificări interne către echipa noastră când un utilizator se înregistrează sau cere o analiză. Conținutul notificării include email-ul utilizatorului. SCCs.

5. Transferuri internaționale

Unii dintre sub-procesatorii noștri sunt stabiliți în afara Spațiului Economic European (SUA). Aceste transferuri se efectuează în baza Clauzelor Contractuale Standard (SCCs) adoptate de Comisia Europeană sau, după caz, în baza Cadrului Trans-Atlantic privind Confidențialitatea Datelor (EU-US Data Privacy Framework). Furnizorii americani sunt certificați sub acest cadru.

6. Durata stocării

  • Datele contului: pe durata existenței contului + 30 de zile după ștergerea acestuia (perioadă tehnică de retenție pentru backup-uri).
  • Facturi și documente fiscale: 10 ani, conform Codului Fiscal român.
  • Log-uri de acces și audit: 12 luni.
  • Cookie-uri de preferințe: 12 luni de la ultima vizită.
  • Statistici agregate (Vercel Analytics): nelimitat, dar nu permit identificarea utilizatorilor individuali.

7. Cookie-uri

Folosim un număr minim de cookie-uri, toate strict necesare sau funcționale:

  • locale — limba preferată (RO/EN), 12 luni.
  • theme — tema vizuală (deschis/întunecat), 12 luni.
  • Cookie-uri de sesiune Supabase — autentificare; șterse la deconectare.
  • Cookie-uri Vercel Analytics — anonimizate, fără identificator persistent.

Nu folosim cookie-uri de tracking publicitar și nu partajăm date cu rețele publicitare. Pentru cookie-urile strict necesare nu solicităm consimțământ explicit, conform Recomandărilor ANSPDCP.

8. Drepturile dumneavoastră

În baza GDPR aveți următoarele drepturi:

  • Acces — să primiți o copie a datelor personale stocate (Art. 15);
  • Rectificare — să corectați datele inexacte (Art. 16);
  • Ștergere („dreptul de a fi uitat") — în condițiile prevăzute la Art. 17;
  • Restricționare a prelucrării (Art. 18);
  • Portabilitate — să primiți datele într-un format structurat (Art. 20);
  • Opoziție — la prelucrarea bazată pe interes legitim (Art. 21);
  • Reclamație la ANSPDCP dacă considerați că drepturile au fost încălcate.

Pentru a exercita oricare dintre aceste drepturi, scrieți la office@qwertybit.com. Vom răspunde în termen de cel mult 30 de zile (extins cu maxim 60 de zile pentru cereri complexe, cu notificare).

8.1 Solicitări din partea persoanelor afișate în profilurile firmelor

Dacă numele dumneavoastră, datele de contact sau alte informații personale apar pe pagina unei firme (ca fondator, asociat, administrator etc.), aveți dreptul să cereți ștergerea sau anonimizarea acestor date. Vom răspunde la cerere în termen de 30 de zile, indiferent dacă aveți sau nu un cont pe platformă. Eliminarea va viza câmpurile generate de agentul AI; datele provenite direct din ONRC rămân publice prin lege.

9. Securitatea datelor

  • Conexiuni HTTPS obligatorii (HSTS preîncărcat);
  • Parolele utilizatorilor nu sunt stocate de noi (folosim OAuth Google);
  • Acces la baza de date strict prin chei service-role, niciodată expuse în browser;
  • Backup-uri zilnice cu retenție 7 zile;
  • Audit periodic al sub-procesatorilor.

10. Notificarea breșelor

În cazul unei breșe de securitate care afectează datele dumneavoastră, vă vom notifica fără întârziere nejustificată și vom raporta către ANSPDCP în termen de 72 de ore, conform Art. 33-34 GDPR.

11. Modificări

Această politică poate fi actualizată periodic. Modificările intră în vigoare la 30 de zile după publicarea pe această pagină. Pentru utilizatorii cu cont, vom trimite notificare prin email.

12. Contact

Pentru orice întrebare sau solicitare: office@qwertybit.com.

Pentru întrebări sau exercitarea drepturilor prevăzute de GDPR, scrieți la office@qwertybit.com. Documentul este disponibil și prin secțiunea suport a aplicației.