Politică de confidențialitate

Versiunea 1.0 · Ultima actualizare: 14 mai 2026

Această politică descrie modul în care EU AI Comply prelucrează datele cu caracter personal ale utilizatorilor platformei euaicomply.eu, în conformitate cu Regulamentul (UE) 2016/679 (GDPR) și legislația română aplicabilă.

1. Identitatea operatorului de date

Operatorul de date cu caracter personal colectate prin Platformă este EU AI Comply, entitate înregistrată în România. Pentru orice problemă legată de prelucrarea datelor dvs., ne puteți contacta la:

2. Categorii de date cu caracter personal colectate

a) Date furnizate direct de dvs.:

  • Date de identificare: nume, prenume, adresă de email profesională
  • Date organizaționale: denumirea companiei, sectorul de activitate, țara, numărul de TVA (opțional)
  • Date de contact: număr de telefon (opțional), persoana de contact
  • Conținut generat: mesaje transmise prin formularul de contact
  • Documente încărcate în Document Vault (manuale tehnice, rapoarte FRIA, DPIA etc.) — acestea pot conține date cu caracter personal dacă utilizatorul alege să le includă

b) Date colectate automat:

  • Date tehnice: adresă IP, tip browser, sistem de operare, rezoluție ecran
  • Date de navigare: paginile accesate, durata sesiunii, acțiunile efectuate în Platformă
  • Cookie-uri funcționale și de sesiune (detalii în Politica de Cookies)
  • Jurnale de acces (logs) pentru scopuri de securitate și diagnosticare

EU AI Comply nu colectează și nu prelucrează categorii speciale de date cu caracter personal în sensul Art. 9 GDPR (date privind sănătatea, originea rasială sau etnică, opiniile politice, convingerile religioase, datele biometrice etc.).

3. Scopurile prelucrării și temeiul juridic

Scop Descriere Temei juridic
Furnizarea Serviciului Crearea și gestionarea contului, autentificare, acces la funcționalitățile Platformei. Executarea contractului (Art. 6(1)(b) GDPR)
Facturare și gestionarea abonamentului Transmiterea datelor necesare procesatorului de plăți Paddle (Merchant of Record) pentru activarea și reînnoirea abonamentului. Executarea contractului (Art. 6(1)(b) GDPR)
Securitate și prevenirea fraudelor Detectarea accesului neautorizat, monitorizarea activităților suspecte, protecția datelor Clientului. Interesul legitim al operatorului (Art. 6(1)(f) GDPR)
Asistență tehnică Răspuns la solicitările de suport, diagnosticarea problemelor tehnice. Executarea contractului / Interesul legitim (Art. 6(1)(b)(f) GDPR)
Comunicări de produs Notificări privind actualizări legislative, funcționalități noi, termene de conformitate. Interesul legitim (Art. 6(1)(f) GDPR) — cu drept de opoziție
Îmbunătățirea Platformei Analiză anonimizată a comportamentului de utilizare pentru dezvoltarea de noi funcționalități. Interesul legitim (Art. 6(1)(f) GDPR)
Conformitate legală Respectarea obligațiilor legale aplicabile (fiscale, arhivistice, răspuns la solicitări ale autorităților). Obligație legală (Art. 6(1)(c) GDPR)
Marketing (opțional) Trimiterea de newsletter-uri sau comunicări comerciale, exclusiv cu consimțământul dvs. explicit. Consimțământ (Art. 6(1)(a) GDPR) — retractabil oricând

4. Destinatari și transferuri de date

EU AI Comply nu vinde date cu caracter personal terților. Datele pot fi partajate exclusiv în următoarele situații:

Destinatar Rol Locație Garanții
Paddle.com Inc. / Paddle Payments Ltd. Procesator de plăți și Merchant of Record. Primește datele de facturare necesare activării abonamentului. Paddle acționează ca operator independent pentru datele de plată. SUA / UE Clauze contractuale standard (SCCs), conformitate DPF
Furnizori de infrastructură cloud (Hetzner) Găzduire servere în UE — baza de date PostgreSQL, stocare fișiere MinIO, Redis. Germania (UE) Art. 28 GDPR — contract de prelucrare date
Servicii de monitorizare (Sentry) Captarea erorilor tehnice pentru diagnosticare. Datele sunt pseudonimizate înainte de transmitere. UE Art. 28 GDPR — contract de prelucrare date
Autorități publice În cazul unei obligații legale exprese sau al unui ordin judecătoresc. România / UE Art. 6(1)(c) GDPR — obligație legală

Transferurile de date în afara Spațiului Economic European (SEE) se efectuează exclusiv cu garanții adecvate conform Cap. V GDPR (Clauze Contractuale Standard adoptate de Comisia Europeană sau Cadrul de confidențialitate a datelor UE-SUA).

5. Durata retenției datelor

  • Date de cont activ Pe durata abonamentului activ + 30 de zile după reziliere (fereastră de export)
  • Date de cont după reziliere Șterse ireversibil la 30 de zile de la data efectivă a rezilierii, cu excepția datelor necesare obligațiilor legale
  • Date de facturare 10 ani de la emiterea documentului fiscal, conform Legii contabilității nr. 82/1991
  • Jurnale de securitate (logs) Maximum 12 luni, după care sunt anonimizate sau șterse
  • Mesaje contact / suport 3 ani de la ultima interacțiune, pentru istoricul relației contractuale
  • Consimțăminte marketing Pe durata consimțământului activ + 3 ani pentru evidența conformității
  • Date anonimizate (analiză produs) Nedefinit — nu mai constituie date cu caracter personal

6. Drepturile dvs. ca persoană vizată

În conformitate cu GDPR, aveți următoarele drepturi în legătură cu datele dvs. cu caracter personal:

  • Dreptul de acces (Art. 15)
    Puteți solicita o copie a datelor cu caracter personal pe care le deținem despre dvs., inclusiv informații despre cum le prelucrăm.
  • Dreptul la rectificare (Art. 16)
    Puteți solicita corectarea datelor inexacte sau completarea datelor incomplete.
  • Dreptul la ștergere („dreptul de a fi uitat") (Art. 17)
    Puteți solicita ștergerea datelor dvs. dacă nu mai există o bază legală pentru prelucrarea lor. Dreptul nu se aplică datelor pe care suntem obligați să le păstrăm prin lege.
  • Dreptul la restricționarea prelucrării (Art. 18)
    Puteți solicita suspendarea temporară a prelucrării datelor dvs. în situațiile prevăzute de GDPR.
  • Dreptul la portabilitatea datelor (Art. 20)
    Puteți primi datele furnizate de dvs. într-un format structurat, utilizat în mod curent, lizibil automat (CSV, JSON), pentru a le transfera unui alt operator.
  • Dreptul la opoziție (Art. 21)
    Vă puteți opune prelucrărilor bazate pe interesul legitim al operatorului, inclusiv utilizării datelor în scop de marketing direct.
  • Dreptul de a retrage consimțământul (Art. 7(3))
    Acolo unde prelucrarea se bazează pe consimțământul dvs., îl puteți retrage oricând, fără a afecta legalitatea prelucrărilor anterioare.
  • Dreptul de a nu face obiectul unei decizii automate (Art. 22)
    Nu utilizăm decizii bazate exclusiv pe prelucrare automată cu efecte juridice semnificative.

Pentru exercitarea oricărui drept, transmiteți o cerere scrisă la [email protected]. Răspundem în termen de maximum 30 de zile calendaristice (termen ce poate fi prelungit cu 60 de zile în cazuri complexe, cu notificarea dvs. prealabilă). Exercitarea drepturilor este gratuită, cu excepția cererilor vădit nefondate sau excesive.

7. Rolul de operator împuternicit față de clienții B2B

Atunci când Clienții (persoane juridice) utilizează Platforma și introduc în aceasta date cu caracter personal ale propriilor angajați, colaboratori sau persoane afectate de sistemele AI gestionate, EU AI Comply acționează în calitate de operator împuternicit (processor) în sensul Art. 28 GDPR, iar Clientul este operatorul de date (controller).

În această calitate, EU AI Comply: (a) prelucrează datele exclusiv conform instrucțiunilor documentate ale Clientului; (b) implementează măsuri tehnice și organizatorice adecvate de securitate; (c) nu angajează sub-operatori fără acordul Clientului; (d) asistă Clientul în îndeplinirea obligațiilor față de persoanele vizate; (e) șterge sau returnează datele la finalizarea serviciilor.

Un Acord de Prelucrare a Datelor (DPA) conform Art. 28 GDPR este disponibil la solicitare ([email protected]) sau este inclus în planul Enterprise. Clienții care prelucrează date cu caracter personal prin Platformă sunt obligați să execute un DPA cu EU AI Comply.

8. Securitatea datelor

EU AI Comply implementează măsuri tehnice și organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva accesului neautorizat, pierderii, distrugerii sau divulgării accidentale, inclusiv:

  • Criptare în tranzit: TLS 1.3 pentru toate conexiunile la Platformă
  • Criptare la repaus: date stocate pe servere Hetzner în Germania (ISO 27001)
  • Izolare multi-tenant: izolare strictă a datelor per companie, aplicată la nivel de aplicație — niciun tenant nu poate accesa datele altui tenant
  • Autentificare în doi factori (TOTP) disponibilă și recomandată pentru toți utilizatorii
  • Jurnalizare completă a accesurilor și acțiunilor (audit trail imuabil)
  • Scanare antivirus pentru fișierele încărcate (ClamAV)
  • Acces privilegiat al personalului EU AI Comply: minim necesar, pe baza principiului „need-to-know"
  • Testare periodică a securității și revizuirea configurațiilor

În cazul unui incident de securitate care afectează datele cu caracter personal, EU AI Comply notifică Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) în termen de 72 de ore de la constatare (Art. 33 GDPR) și informează persoanele vizate afectate, acolo unde există riscuri ridicate (Art. 34 GDPR).

9. Cookie-uri și tehnologii similare

Platforma utilizează cookie-uri strict necesare funcționării (sesiune, securitate CSRF, preferințe limbă) și nu utilizează cookie-uri de tracking sau publicitate. Detalii complete sunt disponibile în Politica de Cookies la euaicomply.eu/cookies.

10. Modificări ale acestei politici

EU AI Comply poate actualiza această politică pentru a reflecta modificări ale practicilor de prelucrare a datelor, ale legislației aplicabile sau ale Platformei. Versiunea actualizată va fi publicată pe această pagină cu data revizuirii. Dacă modificările sunt semnificative, vom notifica utilizatorii înregistrați prin email cu cel puțin 14 zile înainte de intrarea în vigoare. Continuarea utilizării Platformei după data intrării în vigoare constituie acceptarea politicii revizuite.

11. Plângeri și autoritatea de supraveghere

Dacă considerați că prelucrarea datelor dvs. cu caracter personal încalcă GDPR, aveți dreptul de a depune o plângere la autoritatea de supraveghere competentă. În România, aceasta este:

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)

B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București

www.dataprotection.ro

De asemenea, vă puteți adresa autorității de supraveghere din statul membru UE în care vă aflați în mod obișnuit.

Vă încurajăm să ne contactați mai întâi direct la [email protected] — ne angajăm să soluționăm orice problemă legată de prelucrarea datelor dvs. în termen de 30 de zile.

Contact privind protecția datelor:
[email protected] · Răspundem în maximum 30 de zile calendaristice.