ATH | CRM - Politica de Confidențialitate

1 Preambul și cadrul legislativ

Prezenta Politică de Confidențialitate (denumită în continuare „Politica") are scopul de a informa persoanele vizate cu privire la modalitățile de colectare, prelucrare, stocare și protecție a datelor cu caracter personal efectuate prin intermediul Platformei ATH | CRM.

Politica este elaborată în conformitate cu următoarele acte normative:

Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (Regulamentul General privind Protecția Datelor — GDPR);
Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679;
Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice;
Legea nr. 365/2002 privind comerțul electronic, republicată, cu modificările și completările ulterioare.

2 Identitatea operatorului de date

Operatorul de date cu caracter personal responsabil pentru prelucrările efectuate prin intermediul Platformei este:

Denumire: Nine International Logistics Management S.R.L.
Sediul social: România, Bucuresti, Bvd. Decebal 25-29
Email de contact: suport@crm.nineinternational.ro
Website: crm.nineinternational.ro

În contextul arhitecturii multi-tenant a Platformei, Operatorul acționează în calitate de persoană împuternicită (conform art. 28 GDPR) cu privire la datele cu caracter personal introduse de Utilizator (operatorul de date) în cadrul Tenantului propriu (date despre clienți, contacte, parteneri de afaceri etc.).

3 Categorii de date cu caracter personal prelucrate

3.1. Date furnizate direct de persoana vizată

Categoria de date	Exemple	Momentul colectării
Date de identificare	Nume, prenume, adresă de email, număr de telefon	Înregistrare, completare profil
Date ale organizației	Denumire companie, CUI/CIF, adresă sediu social	Înregistrare Tenant
Credențiale de autentificare	Adresă de email, parolă (stocată prin hash criptografic)	Înregistrare, autentificare
Date financiare	Informații de facturare, istoricul tranzacțiilor	Achiziție abonament
Date profesionale	Funcție, departament, rol în organizație	Completare profil, creare cont de angajat

3.2. Date colectate automat

Categoria de date	Exemple	Scopul colectării
Date tehnice	Adresă IP, tip browser, sistem de operare, rezoluție ecran	Securitate, optimizare, statistici de utilizare
Date de utilizare	Pagini accesate, acțiuni efectuate, durata sesiunii	Îmbunătățirea experienței utilizatorului
Jurnal de activitate	Istoricul autentificărilor, operațiunile CRUD efectuate	Audit, securitate, conformitate

3.3. Date introduse de Utilizator în cadrul Tenantului

Utilizatorul (în calitate de operator de date) poate introduce în Platformă date cu caracter personal ale terților (clienți, contacte, parteneri comerciali), inclusiv: nume, adrese de email, numere de telefon, adrese, date contractuale și financiare. În această situație, Utilizatorul este responsabil pentru obținerea consimțământului sau identificarea unui alt temei juridic valid conform GDPR pentru prelucrarea respectivelor date.

4 Scopurile și temeiurile juridice ale prelucrării

Scopul prelucrării	Temeiul juridic (GDPR)
Crearea și administrarea contului de utilizator	Art. 6 alin. (1) lit. b) — executarea contractului
Furnizarea serviciilor Platformei (CRM, raportare, management)	Art. 6 alin. (1) lit. b) — executarea contractului
Procesarea plăților și emiterea facturilor	Art. 6 alin. (1) lit. b) — executarea contractului; lit. c) — obligație legală
Comunicări privind serviciul (notificări, alerte de securitate)	Art. 6 alin. (1) lit. f) — interes legitim
Asigurarea securității și prevenirea fraudelor	Art. 6 alin. (1) lit. f) — interes legitim
Îmbunătățirea și optimizarea Platformei	Art. 6 alin. (1) lit. f) — interes legitim
Conformitatea cu obligațiile legale și fiscale	Art. 6 alin. (1) lit. c) — obligație legală
Comunicări de marketing (newsletters, oferte)	Art. 6 alin. (1) lit. a) — consimțământ

5 Durata prelucrării și criteriile de stabilire a perioadei de stocare

Datele cu caracter personal sunt prelucrate pe durata necesară îndeplinirii scopurilor pentru care au fost colectate, respectiv:

Date ale contului de utilizator — pe durata existenței contului și încă 30 de zile calendaristice după dezactivare/reziliere, pentru a permite recuperarea datelor;
Date financiare și de facturare — 10 ani de la data emiterii documentului fiscal, conform Legii contabilității nr. 82/1991 și Codului fiscal;
Jurnale de activitate (audit logs) — 12 luni de la data înregistrării evenimentului;
Date tehnice (IP, sesiuni) — 6 luni de la data colectării;
Date din Tenant — 30 de zile calendaristice de la data rezilierii contractului, după care sunt șterse ireversibil;
Date procesate pe baza consimțământului — până la retragerea consimțământului de către persoana vizată.

La expirarea perioadei de stocare, datele sunt șterse în mod definitiv sau, după caz, anonimizate astfel încât să nu mai permită identificarea persoanei vizate.

6 Destinatarii datelor cu caracter personal

Datele cu caracter personal pot fi transmise către următoarele categorii de destinatari, exclusiv în măsura necesară îndeplinirii scopurilor declarate:

Furnizori de servicii de hosting și infrastructură cloud — pentru stocarea și procesarea datelor în condiții de securitate;
Furnizori de servicii de plată — pentru procesarea tranzacțiilor financiare (Netopia Payments sau alți procesatori autorizați);
Furnizori de servicii de email tranzacțional — pentru transmiterea notificărilor, codurilor OTP și a comunicărilor esențiale;
Autorități publice — în cazul în care există o obligație legală sau o solicitare legitimă din partea unei autorități competente (ANAF, instanțe judecătorești, organe de urmărire penală);
Consilieri juridici și auditori — în cadrul exercitării obligațiilor de conformitate și guvernanță corporativă.

Toți furnizorii terți care procesează date cu caracter personal în numele Operatorului sunt obligați prin acorduri de prelucrare a datelor (Data Processing Agreement — DPA) conforme cu art. 28 GDPR.

O listă detaliată a sub-procesatorilor utilizați de Platformă (inclusiv denumirea, locația și scopul prelucrării) poate fi furnizată la cerere, prin transmiterea unei solicitări scrise la adresa suport@crm.nineinternational.ro.

7 Transferul datelor în afara Spațiului Economic European

Ca regulă generală, datele cu caracter personal sunt stocate și prelucrate pe servere localizate în cadrul Spațiului Economic European (SEE).

În situația în care un transfer de date către o țară terță sau o organizație internațională devine necesar, acesta se va efectua exclusiv cu respectarea garanțiilor prevăzute de Capitolul V al GDPR, inclusiv:

Existența unei decizii de adecvare emise de Comisia Europeană (art. 45 GDPR);
Încheierea de clauze contractuale standard aprobate de Comisia Europeană (art. 46 alin. (2) lit. c) GDPR);
Aplicarea de reguli corporatiste obligatorii (art. 47 GDPR).

În cazul utilizării unor servicii terțe (de exemplu, servicii de analiză, comunicare prin email sau infrastructură cloud) care pot implica transferul de date sau metadate către servere situate în afara SEE (inclusiv Statele Unite ale Americii), Operatorul se asigură că sunt implementate Clauzele Contractuale Standard (Standard Contractual Clauses — SCCs) aprobate de Comisia Europeană, în conformitate cu art. 46 alin. (2) lit. c) GDPR, pentru a garanta un nivel adecvat de protecție a datelor transferate.

8 Drepturile persoanelor vizate

În conformitate cu GDPR, persoanele vizate beneficiază de următoarele drepturi:

Dreptul de acces (art. 15 GDPR) — dreptul de a obține confirmarea faptului că datele cu caracter personal sunt sau nu prelucrate și, în caz afirmativ, de a obține acces la acestea și informații suplimentare privind prelucrarea;
Dreptul la rectificare (art. 16 GDPR) — dreptul de a solicita corectarea datelor inexacte sau completarea datelor incomplete;
Dreptul la ștergere („dreptul de a fi uitat") (art. 17 GDPR) — dreptul de a solicita ștergerea datelor în anumite condiții prevăzute de lege;
Dreptul la restricționarea prelucrării (art. 18 GDPR) — dreptul de a solicita limitarea prelucrării în anumite circumstanțe;
Dreptul la portabilitatea datelor (art. 20 GDPR) — dreptul de a primi datele furnizate într-un format structurat, comun și interoperabil;
Dreptul la opoziție (art. 21 GDPR) — dreptul de a se opune prelucrării datelor în anumite condiții, inclusiv în cazul prelucrării în scopuri de marketing direct;
Dreptul de a nu fi supus unei decizii individuale automatizate (art. 22 GDPR) — dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrare automatizată, inclusiv crearea de profiluri, care produce efecte juridice sau afectează semnificativ persoana vizată;
Dreptul de a retrage consimțământul (art. 7 alin. (3) GDPR) — în orice moment, fără a afecta legalitatea prelucrării efectuate anterior retragerii.

Cererile pot fi adresate prin email la adresa suport@crm.nineinternational.ro. Operatorul va răspunde în termen de 30 de zile calendaristice de la primirea cererii, cu posibilitatea prelungirii cu încă 60 de zile în cazuri de complexitate deosebită, cu informarea prealabilă a persoanei vizate.

9 Securitatea datelor cu caracter personal

Operatorul implementează măsuri tehnice și organizatorice adecvate pentru asigurarea unui nivel de securitate corespunzător riscului, în conformitate cu prevederile art. 32 GDPR, incluzând, dar fără a se limita la:

Criptare — parolele utilizatorilor sunt stocate exclusiv sub formă de hash criptografic (bcrypt); comunicațiile sunt protejate prin protocol TLS/SSL;
Izolare multi-tenant — datele fiecărui Tenant sunt izolate logic, prevenind accesul neautorizat inter-organizațional;
Autentificare securizată — mecanisme de verificare în doi pași (OTP), protecție împotriva atacurilor de tip brute-force prin limitarea ratei de autentificare;
Controlul accesului — sistem de permisiuni bazat pe roluri (RBAC), cu separarea clară între drepturile de administrator și cele de utilizator standard;
Jurnalizare și audit — înregistrarea sistematică a operațiunilor critice (autentificări, modificări de date, operațiuni administrative);
Copii de siguranță — realizarea periodică de backup-uri ale bazelor de date, cu stocare redundantă;
Evaluări de securitate — efectuarea periodică a evaluărilor de risc și a testelor de securitate.

10 Cookie-uri și tehnologii similare de urmărire

10.1. Definiție

Cookie-urile sunt fișiere de mici dimensiuni stocate pe dispozitivul utilizatorului de către browserul web. Platforma utilizează cookie-uri în scopuri funcționale și analitice.

10.2. Tipuri de cookie-uri utilizate

Cookie-uri strict necesare — indispensabile funcționării Platformei (autentificare, menținerea sesiunii, token CSRF). Aceste cookie-uri nu necesită consimțământ conform art. 5 alin. (3) din Directiva 2002/58/CE;
Cookie-uri de performanță — colectează informații agregate și anonimizate privind utilizarea Platformei, în scopul optimizării și îmbunătățirii performanței;
Cookie-uri funcționale — rețin preferințele utilizatorului (tema vizuală, limba de afișare, setări de personalizare).

În cazul în care Platforma utilizează instrumente de analiză sau monitorizare furnizate de terți (de exemplu, Google Analytics, Hotjar sau soluții similare), acestea vor fi încărcate exclusiv după obținerea consimțământului explicit al Utilizatorului prin intermediul unui mecanism de tip „Cookie Banner". Cookie-urile strict necesare funcționării Platformei sunt exceptate de la această cerință, în conformitate cu art. 5 alin. (3) din Directiva 2002/58/CE.

10.3. Gestionarea cookie-urilor

Utilizatorul poate controla și gestiona cookie-urile prin setările browserului web. Dezactivarea cookie-urilor strict necesare poate afecta funcționalitatea Platformei.

11 Prelucrarea datelor minorilor

Platforma ATH | CRM este destinată exclusiv utilizării profesionale și comerciale. Serviciul nu este adresat persoanelor cu vârsta sub 18 ani. Operatorul nu colectează în mod intenționat date cu caracter personal de la minori. În cazul în care Operatorul constată că a prelucrat date ale unui minor, acestea vor fi șterse fără întârziere nejustificată.

12 Responsabilul cu protecția datelor (DPO)

Pentru orice aspecte legate de protecția datelor cu caracter personal, persoanele vizate pot contacta responsabilul cu protecția datelor la următoarea adresă de email:

suport@crm.nineinternational.ro

Responsabilul cu protecția datelor asigură monitorizarea conformității cu prevederile GDPR și acționează ca punct de contact atât pentru persoanele vizate, cât și pentru Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).

Persoana desemnată ca responsabil cu protecția datelor deține pregătirea necesară în domeniul protecției datelor cu caracter personal, în conformitate cu cerințele art. 37-39 GDPR, și este actualizată periodic cu privire la evoluțiile legislative și bunele practici în materie.

13 Modificarea prezentei politici

Operatorul își rezervă dreptul de a actualiza și modifica prezenta Politică pentru a reflecta schimbările legislative, evoluțiile tehnologice sau modificările practicilor de prelucrare. Data ultimei actualizări este indicată în antetul documentului.

Modificările substanțiale vor fi comunicate Utilizatorilor prin notificare pe adresa de email asociată contului sau prin afișare proeminentă pe Platformă, cu cel puțin 30 de zile calendaristice anterior intrării în vigoare.

14 Dispoziții finale și căi de atac

În cazul în care persoana vizată consideră că drepturile sale cu privire la protecția datelor cu caracter personal au fost încălcate, aceasta are dreptul de a depune plângere la:

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
Adresă: B-dul G-ral. Gheorghe Magheru nr. 28-30, sector 1, București
Website: www.dataprotection.ro
Email: anspdcp@dataprotection.ro

De asemenea, persoana vizată are dreptul de a exercita o cale de atac judiciară împotriva Operatorului sau a unei persoane împuternicite, în conformitate cu art. 79 GDPR, la instanțele judecătorești competente de la domiciliul persoanei vizate sau de la sediul Operatorului.

Prezenta Politică de Confidențialitate trebuie interpretată coroborat cu Termenii și Condițiile de Utilizare ale Platformei.

Politica de Confidențialitate

Cuprins