Politica de Confidențialitate

1. Operator de date

Operatorul de date cu caracter personal este VaultApps S.R.L. (vaultapps.ro), cu sediul în România („noi”, „VaultApps”), care operează platforma olivLaw. Pentru orice întrebare privind protecția datelor, ne poți contacta la privacy@vaultapps.ro sau la responsabilul cu protecția datelor (DPO) la dpo@vaultapps.ro.

2. Ce date colectăm

• Date de cont: adresă de email, parolă (hash), nume afișat, organizația (opțional), preferințe de limbă și geografie (RO/EU/US).
• Date de identificare la autentificare: cod OTP trimis pe email, IP, user-agent, timestamp.
• Date de utilizare: pagini accesate, click-uri pe analize, interogări către API, durată sesiune (agregate pentru telemetrie).
• Date tehnice: adresa IP, tipul de browser și dispozitiv, sistemul de operare, identificator de sesiune (cookie strict necesar).
• Date de plată (doar abonamente): nume, adresă de facturare, CUI/CIF; datele complete de card NU sunt stocate de noi — sunt procesate de Netopia (PSP certificat PCI-DSS).
• Conținut trimis voluntar: feedback, mesaje de contact, ticketing.
• Date de comunicare: email-uri tranzacționale (confirmări, alerte), corespondență cu suportul.

3. Scopurile prelucrării și temei legal (GDPR Art. 6)

Procesăm datele personale doar pentru scopuri specifice, explicite și legitime, pe temeiurile legale enumerate mai jos:

• Furnizarea Platformei și a contului tău — Art. 6(1)(b) executarea contractului.
• Procesarea plăților și emiterea facturilor — Art. 6(1)(b) contract și Art. 6(1)(c) obligație legală (contabilitate, fiscalitate).
• Securitate, prevenire fraudă, log-uri de audit — Art. 6(1)(f) interes legitim al operatorului în protejarea infrastructurii.
• Comunicări tranzacționale (alerte, notificări de schimbări) — Art. 6(1)(b) contract.
• Comunicări de marketing (newsletter, recomandări) — Art. 6(1)(a) consimțământ explicit, retractabil oricând.
• Analiză de utilizare agregată și îmbunătățirea Platformei — Art. 6(1)(f) interes legitim, cu pseudonimizare.
• Conformitate cu cereri legale, ordin judecătoresc, autorități — Art. 6(1)(c) obligație legală.

4. Cui transmitem datele (împuterniciți și destinatari)

Nu vindem date personale. Le partajăm exclusiv cu împuterniciți contractuali („data processors”) care ne furnizează servicii necesare operării Platformei, sub clauze GDPR Art. 28:

• Hosting și infrastructură: furnizori cloud din UE (servere primare în UE).
• CDN și protecție DDoS: Cloudflare Inc. (transfer SCC + DPF, dacă e cazul).
• Procesare plăți: Netopia Payments S.R.L. (operator independent pentru date de card).
• Email tranzacțional: furnizor SMTP (UE preferat).
• Furnizori de inferență AI pentru asistarea editării (NU se trimit date personale identificabile către modele LLM externe — doar conținut public agregat sau prompt-uri sanitizate): Anthropic PBC, OpenAI LLC, OpenRouter Inc.
• Telemetrie și monitorizare: Grafana, Prometheus (self-hosted).
• Furnizori de servicii juridice/contabile sub obligație de confidențialitate.
• Autorități publice, doar pe baza unei solicitări legale valide.

5. Transferuri internaționale

Acolo unde un împuternicit este localizat în afara Spațiului Economic European (SEE), transferul se face exclusiv pe baza unei garanții adecvate prevăzute de GDPR: Decizii de adecvare (de ex. UK, Elveția, EU-US Data Privacy Framework pentru entități certificate), Clauze Contractuale Standard (SCC 2021/914) sau reguli corporatiste obligatorii (BCR). Lista actualizată a împuterniciților și mecanismelor de transfer se obține la cerere la privacy@vaultapps.ro.

6. Perioada de păstrare

• Date de cont: pe durata existenței contului + 90 de zile după ștergere (pentru recuperare accidentală).
• Date de utilizare/log-uri: 12 luni (pseudonimizate după 90 de zile).
• Facturi și documente contabile: 10 ani (obligație legală, Codul Fiscal).
• Email-uri de marketing: până la retragerea consimțământului.
• Tichete suport: 3 ani de la închidere.
• Backup-uri criptate: rotație 30 de zile.
• Date de plată (token-uri agregate): conform politicii Netopia.

7. Drepturile tale (GDPR Art. 15-22)

Ai următoarele drepturi cu privire la datele tale personale, exercitabile gratuit la privacy@vaultapps.ro:

• Dreptul de acces (Art. 15) — copie a datelor pe care le procesăm despre tine.
• Dreptul la rectificare (Art. 16) — corectarea datelor inexacte sau incomplete.
• Dreptul la ștergere / „dreptul de a fi uitat” (Art. 17) — cu excepția obligațiilor legale de păstrare.
• Dreptul la restricționarea prelucrării (Art. 18).
• Dreptul la portabilitate (Art. 20) — exportul datelor într-un format structurat (JSON/CSV).
• Dreptul la opoziție (Art. 21) — în special față de prelucrările bazate pe interes legitim sau marketing direct.
• Dreptul de a nu fi supus deciziilor automate, inclusiv profilare (Art. 22) — Platforma nu produce decizii cu efecte juridice automate; conținutul AI este orientativ.
• Dreptul de a-ți retrage consimțământul oricând, fără a afecta legalitatea prelucrării anterioare.
• Dreptul de a depune plângere la autoritatea de supraveghere: ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București; www.dataprotection.ro).

8. Cookies și tehnologii similare

Folosim cookie-uri strict necesare (sesiune, autentificare, preferințe limbă) fără consimțământ, în temeiul interesului legitim de a furniza Platforma. Cookie-urile de analiză și marketing sunt activate doar cu consimțământ explicit prin banner. Detalii complete în Politica de Cookie-uri.

9. Securitate

• Criptare în tranzit (TLS 1.2+) și la repaus (AES-256 pentru baze de date și backup-uri).
• Hashing parole cu Argon2id / bcrypt.
• Autentificare prin OTP email (fără parole permanente pentru anumite fluxuri).
• Control acces bazat pe roluri (RBAC) și principiul celui mai mic privilegiu.
• Audit-log pentru acțiuni administrative; rotație log-uri și monitorizare anomalii.
• Testare periodică (scanări automate, code review de securitate, lucid-security gate).
• Plan de răspuns la incidente: notificare ANSPDCP în 72h și utilizatori afectați fără întârziere nejustificată, conform Art. 33-34 GDPR.

10. Minori

Platforma nu este destinată minorilor sub 16 ani. Dacă luăm cunoștință că am colectat date de la un minor sub această vârstă fără consimțământul titularului răspunderii părintești, vom șterge datele fără întârziere. Părinții sau tutorii pot solicita ștergerea la privacy@vaultapps.ro.

11. Profilare și decizii automate

Platforma utilizează modele AI și forecast probabilistic, însă acestea NU iau decizii cu efecte juridice sau similare semnificative asupra ta. Conținutul generat este orientativ și revizuit prin gateuri editoriale. Nu efectuăm profilare comportamentală pentru publicitate țintită terț-parte.

12. Date colectate din surse publice

Procesăm date din surse publice (știri, registru comerț, BVB, BPI, date.gov.ro) pentru scopuri jurnalistice și de cercetare, în temeiul interesului legitim (Art. 6(1)(f)) și al excepțiilor jurnalistice (Art. 85 GDPR + Legea 190/2018 art. 7). Persoanele vizate care apar în conținut publicat pot solicita rectificare sau ștergere; vom evalua cererea în raport cu libertatea de informare.

13. Modificări ale Politicii

Putem actualiza această Politică pentru a reflecta schimbări legale, tehnice sau operaționale. Modificările materiale vor fi anunțate cu cel puțin 14 zile înainte prin email și banner pe Platformă. Versiunea curentă și data revizuirii sunt afișate mereu sus.

14. Contact

Operator: VaultApps S.R.L. (vaultapps.ro), România. Email general: privacy@vaultapps.ro. Responsabil cu protecția datelor (DPO): dpo@vaultapps.ro. Plângeri: ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București; www.dataprotection.ro).