Conformitate

Protecția datelor (GDPR)

Conformitatea nu este un PDF semnat când ești obligat — este structura platformei. Iată cum tratăm datele cu caracter personal și cum îți poți exercita drepturile.

Ultima actualizare:

1. Angajamentul nostru

Fluturaș este construit conform principiilor „privacy by design” și „privacy by default” din Regulamentul (UE) 2016/679 (GDPR) și Legea nr. 190/2018. Prelucrăm doar datele necesare scopului declarat, le ținem în siguranță și le păstrăm doar atât cât trebuie.

2. Operator și persoană împuternicită

Pentru datele colectate direct de noi (vizitatori, listă de așteptare, contact) suntem operator. Pentru datele angajaților clienților noștri (nume, CNP, informații salariale din fluturași) suntem persoană împuternicită: operatorul rămâne angajatorul, iar noi prelucrăm aceste date strict conform instrucțiunilor sale și ale acordului de prelucrare a datelor.

3. Drepturile persoanelor vizate

Conform GDPR, ai următoarele drepturi:

  • Acces — să afli ce date prelucrăm despre tine.
  • Rectificare — corectarea datelor inexacte.
  • Ștergere („dreptul de a fi uitat”) — în condițiile legii.
  • Restricționare a prelucrării.
  • Portabilitate — primirea datelor într-un format structurat, uzual și care poate fi citit automat.
  • Opoziție — la prelucrările bazate pe interes legitim.
  • Retragerea consimțământului — oricând, fără a afecta legalitatea prelucrării anterioare.

Trimite cererea la gdpr@fluturas.ro. Răspundem în cel mult 30 de zile. Dacă ești angajatul unui client Fluturaș, te rugăm să te adresezi mai întâi angajatorului tău (operatorul datelor), iar noi îl vom sprijini.

4. Date găzduite în România

Toate datele sunt stocate exclusiv pe servere localizate în România, cu infrastructură primară și copie de rezervă redundantă pe teritoriul național. Acest angajament este prevăzut explicit în contractele cu clienții. Nu efectuăm transferuri de date în afara României sau a SEE, cu excepția unei obligații legale exprese.

5. Măsuri tehnice și organizatorice

  • Criptare AES-256 la stocare și TLS 1.3 la transport; politici HSTS și CSP active.
  • Registru de audit imutabil cu amprente înlănțuite (SHA-256) — orice modificare retroactivă rupe lanțul și devine vizibilă.
  • Acces pe bază de rol, cu jurnalizarea acțiunilor administrative.
  • Separarea logică a datelor per organizație și principiul minimizării datelor.
  • Politici clare de retenție și de ștergere la cerere.

6. Subîmputerniciți

Folosim un număr minim de subîmputerniciți (de ex. găzduire și e-mail tranzacțional), toți localizați în România și obligați contractual la garanții cel puțin echivalente cu cele din acest document. Lista actualizată a subîmputerniciților este disponibilă la cerere pentru clienți.

7. Notificarea breșelor de securitate

În cazul unei breșe de securitate care prezintă un risc pentru drepturile persoanelor vizate, notificăm autoritatea de supraveghere în termen de 72 de ore de la luarea la cunoștință și informăm clienții afectați fără întârziere nejustificată, conform art. 33–34 GDPR.

8. Acord de prelucrare a datelor (DPA)

Pentru clienți, încheiem un acord de prelucrare a datelor (DPA) care reglementează obiectul, durata, natura și scopul prelucrării, categoriile de date și de persoane vizate, precum și obligațiile părților, conform art. 28 GDPR. Solicită un exemplar la gdpr@fluturas.ro.

9. Autoritatea de supraveghere

Ai dreptul să depui o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)dataprotection.ro.

10. Contact

Operator
CODMOV S.R.L.
Sediu
Constanța, România
Protecția datelor
gdpr@fluturas.ro