Politica de Confidențialitate
Ultima actualizare: Aprilie 2026
1. Introducere și identitatea operatorului
SC WebMinds SRL (denumită în continuare "Operatorul" sau "noi"), cu sediul social în Bârnova, Sat Sfânta Maria, județ Iași, România, CUI 47998595, J2023001259222, capital social 200 RON, se angajează să protejeze confidențialitatea datelor dvs. personale în conformitate cu Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal (GDPR).
Contact pentru protecția datelor: dpo@devizrapid.ro
2. Definiții
- Date personale — orice informație referitoare la o persoană fizică identificată sau identificabilă.
- Prelucrare — orice operațiune efectuată asupra datelor personale (colectare, stocare, utilizare, ștergere etc.).
- Operator — SC WebMinds SRL, care determină scopurile și mijloacele prelucrării.
- Persoana vizată — persoana fizică ale cărei date personale sunt prelucrate.
- Împuternicit — entitatea care prelucrează date personale în numele Operatorului.
3. Categorii de date colectate
Colectăm și prelucrăm următoarele categorii de date personale:
- Date de cont: nume complet, adresă de email, parolă (stocată criptat), număr de telefon (opțional).
- Date de firmă: denumire firmă, CUI, nr. registrul comerțului, adresă sediu, logo (opțional).
- Date clienți ai Utilizatorului: nume, telefon, email, adresă — introduse de Utilizator pentru generarea devizelor.
- Date de utilizare: funcționalități accesate, devize create, acțiuni efectuate în platformă.
- Date tehnice: adresă IP, tip browser, sistem de operare, date de sesiune.
- Date de facturare electronică (e-Factura): CNP (pentru clienții persoane fizice), CUI validat la ANAF, nr. registrul comerțului, formă juridică, capital social, IBAN și denumire bancă, adresă fiscală completă (stradă, oraș, județ, cod poștal, țară), tip persoană (fizică / juridică). Aceste date sunt „înghețate” într-un snapshot imutabil la momentul finalizării facturii și fac parte integrantă din documentul fiscal.
- Date de autorizare ANAF: token-uri OAuth pentru integrarea cu Spațiul Privat Virtual (SPV) / RO e-Factura, certificat digital (acolo unde e cazul) și informații despre contabilul desemnat pentru partajarea accesului.
4. Roluri GDPR — Operator vs. Împuternicit
Deviz Rapid prelucrează două categorii distincte de date, cu roluri GDPR diferite:
- Date despre Utilizator (titularul Contului): nume, email, parolă, date firmă (denumire, CUI, J, adresă, IBAN, capital social etc.), preferințe, log-uri. Pentru aceste date, SC WebMinds SRL este Operator de date (controller), în sensul Art. 4 pct. 7 GDPR.
- Date despre Clienții Finali ai Utilizatorului: nume, telefon, email, adresă, CUI/CNP, IBAN, semnătură electronică simplă etc. — date introduse de Utilizator în Serviciu pentru generarea de devize și facturi. Pentru aceste date, Utilizatorul este Operator, iar SC WebMinds SRL este Împuternicit (processor), conform Art. 4 pct. 8 GDPR și Art. 28 GDPR. Termenii contractuali ai acestei împuterniciri sunt detaliați în Anexa A — Acord de prelucrare a datelor (DPA) din Termeni și Condiții.
5. Temeiurile legale ale prelucrării (Art. 6 GDPR)
Prelucrăm datele pe baza următoarelor temeiuri legale, mapate per scop:
| Scop | Temei legal (Art. 6 GDPR) | Categorii date |
|---|---|---|
| Crearea contului, autentificare, furnizare Serviciu | Lit. b) — executarea contractului | Date cont, date firmă |
| Generare devize, PDF, semnătură electronică | Lit. b) — executarea contractului (Utilizator) / instrucțiunea Operatorului (Împuternicit) | Date Clienți Finali, Conținut Utilizator |
| Emitere și transmitere facturi e-Factura, prelucrare CNP, arhivare 10 ani | Lit. c) — obligație legală (Legea 82/1991, OUG 120/2021, Codul Fiscal) | Date fiscale, CNP, IBAN, snapshot factură |
| Procesare plăți abonament | Lit. b) — executarea contractului | Date facturare, ID tranzacții Stripe |
| Securitate, prevenire fraude, log-uri | Lit. f) — interes legitim (securitatea Serviciului) | IP, user-agent, log-uri sesiune |
| Comunicări tranzacționale (cont, devize, facturi) | Lit. b) — executarea contractului | Email Utilizator, conținut notificare |
| Cookie-uri de analiză (Google Analytics 4) | Lit. a) — consimțământ explicit (granular) | Identificator pseudonim, pagini vizitate |
| Cookie-uri esențiale (sesiune, CSRF, locale) | Art. 5(3) ePrivacy — exceptare strict-necesitate | Cookie sesiune |
6. Scopul prelucrării
Utilizăm datele colectate pentru:
- Furnizarea și administrarea Serviciului (crearea contului, autentificarea, gestionarea abonamentului)
- Generarea devizelor și documentelor PDF solicitate de Utilizator
- Comunicarea cu Utilizatorul privind contul, serviciul și actualizările
- Asigurarea securității platformei și prevenirea utilizărilor abuzive
- Îmbunătățirea Serviciului pe baza analizei pseudonimizate a utilizării
- Conformarea cu obligațiile legale (facturare, raportare fiscală)
- Emiterea, semnarea criptografică, transmiterea și arhivarea facturilor electronice prin sistemul național RO e-Factura
- Validarea datelor fiscale (CUI, CNP) prin API-uri oficiale
- Generarea facturilor storno și a corecțiilor fiscale
7. Destinatarii datelor (subprocesatori)
Datele dvs. personale pot fi partajate cu următoarele categorii de destinatari, exclusiv în măsura necesară. Toți subprocesatorii au DPA semnat și sunt obligați contractual să respecte măsurile de securitate prevăzute la Art. 32 GDPR.
| Subprocesator | Țară | Scop | Garanție transfer |
|---|---|---|---|
| Hetzner Online GmbH | Germania (UE/SEE) | Hosting infrastructură + PostgreSQL self-hosted | N/A — UE |
| Socrate | România (UE/SEE) | Formatare UBL 2.1, semnare criptografică, transmitere ANAF, arhivare PDF/XML | N/A — UE |
| ANAF | România | Destinatar legal RO e-Factura, validare CUI | Obligație legală |
| Stripe Payments Europe Limited | Irlanda (UE/SEE) | Procesare plăți abonament, PCI DSS Level 1 | N/A — UE |
| Resend, Inc. | Statele Unite | Email tranzacțional (cont, devize, facturi) | EU-US DPF + SCC |
| Google Ireland Limited / Google LLC (Analytics 4) | Irlanda + Statele Unite | Analiză trafic anonimizată — opțional, doar cu consimțământ | EU-US DPF + SCC + IP truncation |
| Autorități publice | România | Instanțe, organe fiscale — doar la solicitare legală | Obligație legală |
Lista actualizată completă a împuterniciților și subprocesatorilor este disponibilă la cerere la dpo@devizrapid.ro.
Nu vindem datele dvs. și nu le folosim în scopuri de marketing.
8. Transferuri internaționale (Schrems II)
Marea majoritate a prelucrărilor se desfășoară în Spațiul Economic European (Hetzner — Germania, Stripe — Irlanda, Socrate — România).
Transferurile către Statele Unite (Resend, Google LLC pentru Analytics) sunt protejate prin garanții cumulative, conform jurisprudenței CJUE în cauza Schrems II (C-311/18) și ulterioarelor decizii ale Comisiei Europene:
- EU-US Data Privacy Framework (DPF) — decizie de adecvare nr. 2023/1795 a Comisiei Europene din 10 iulie 2023. Atât Resend, cât și Google LLC sunt certificate sub DPF (verificabil pe dataprivacyframework.gov/list).
- Clauze Contractuale Standard (SCC) aprobate prin Decizia (UE) 2021/914 — ca garanție subsidiară contractuală.
- Măsuri tehnice suplimentare — pentru Google Analytics: pseudonimizare IP (IP truncation by default GA4), dezactivare partajării către alte produse Google.
Aveți dreptul, conform Art. 15 GDPR, să primiți o copie a garanțiilor aplicabile la cerere scrisă către dpo@devizrapid.ro.
9. Durata de stocare
- Date de cont și utilizare: pe toată durata în care contul dvs. este activ.
- După ștergerea contului: datele personale sunt eliminate în termen de 30 de zile.
- Facturi finalizate și transmise la ANAF: păstrate 10 ani conform Codului Fiscal (Legea 227/2015) și Legii contabilității 82/1991, atât în baza de date Deviz Rapid, cât și în arhiva permanentă ANAF (care nu poate fi ștearsă la cerere). Snapshot-urile „înghețate” supplier / customer fac parte integrantă din factură și au aceeași durată.
- Facturi în stadiu de draft (nefinalizate): șterse odată cu contul.
- Log-uri de securitate: maximum 12 luni.
- Log-uri email tranzacțional Resend: 90 de zile (default Resend).
- Date Google Analytics 4: 14 luni (durata minimă configurată GA4) — apoi eliminate automat.
- Backup-uri: suprascrise automat în 90 de zile.
- Înregistrări consimțământ cookie-uri: 12 luni de la ultima alegere (cu re-prompt automat la expirare).
10. Decizii automate și profilare (Art. 22 GDPR)
Deviz Rapid nu folosește decizii automate cu efecte juridice sau care vă afectează semnificativ în mod similar (Art. 22 GDPR). Nu există scoring automat de creditare, profilare comportamentală sau filtrare automată a accesului la Serviciu.
Validarea CUI/CNP prin API-ul ANAF este o verificare deterministă a corectitudinii datelor introduse, nu o decizie automată cu efect juridic.
11. Drepturile persoanei vizate
În conformitate cu GDPR, aveți următoarele drepturi pe care le puteți exercita oricând, gratuit:
- Dreptul de acces (Art. 15) — puteți solicita o copie a datelor personale pe care le deținem.
- Dreptul la rectificare (Art. 16) — puteți corecta datele inexacte sau incomplete.
- Dreptul la ștergere (Art. 17) — puteți solicita ștergerea datelor ("dreptul de a fi uitat").
- Dreptul la restricționare (Art. 18) — puteți limita prelucrarea datelor în anumite condiții.
- Dreptul la portabilitate (Art. 20) — puteți primi datele într-un format structurat, utilizabil automat.
- Dreptul la opoziție (Art. 21) — puteți să vă opuneți prelucrării bazate pe interes legitim.
- Dreptul de a depune plângere — la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), www.dataprotection.ro.
Pentru exercitarea drepturilor, contactați-ne la dpo@devizrapid.ro. Vom răspunde în maximum 30 de zile.
12. Securitatea datelor
Implementăm măsuri tehnice și organizatorice adecvate pentru protecția datelor dvs.:
- Criptarea datelor în tranzit (HTTPS/TLS) și la stocare
- Parolele sunt stocate utilizând algoritmi de hashing securizați (bcrypt)
- Acces limitat la date pe baza principiului "need to know"
- Backup-uri regulate și redundanță a datelor
- Monitorizarea și logarea accesurilor la date
- Actualizări periodice de securitate ale infrastructurii
- Token-urile OAuth pentru integrarea ANAF sunt stocate criptat
- Cheile API către Socrate sunt stocate ca secrete la nivel de tenant, separat de datele aplicației
- Snapshot-urile facturilor finalizate sunt imutabile, pentru garantarea integrității fiscale
- În cazul unei breșe de securitate care prezintă risc ridicat pentru drepturile și libertățile dvs., veți fi notificat fără întârzieri nejustificate, conform Art. 34 GDPR
13. Cookie-uri și tehnologii similare
Cookie-urile sunt fișiere mici de text stocate pe dispozitivul dvs. atunci când vizitați platforma noastră. Utilizăm cookie-uri pentru a asigura funcționarea corectă a Serviciului și pentru a îmbunătăți experiența dvs.
13.1 Tipuri de cookie-uri utilizate
| Cookie | Tip | Scop | Durata |
|---|---|---|---|
| session_token | Esențial | Autentificare și sesiune utilizator | Sesiune |
| locale | Esențial | Preferința de limbă | 1 an |
| csrf_token | Esențial | Protecție contra atacurilor CSRF | Sesiune |
13.2 Cookie-uri de analiză (Google Analytics)
Utilizăm Google Analytics 4 pentru a înțelege cum este folosit Serviciul și pentru a identifica posibile probleme tehnice. Google Analytics colectează date pseudonimizate precum paginile vizitate, durata sesiunii și tipul dispozitivului. Aceste cookie-uri sunt activate doar după ce vă exprimați consimțământul prin bannerul de cookie-uri.
Google poate procesa aceste date conform propriei Politici de Confidențialitate. Puteți renunța la urmărirea Google Analytics instalând extensia Google Analytics Opt-out.
13.3 Gestionarea cookie-urilor
Puteți controla și șterge cookie-urile din setările browserului dvs. Rețineți că dezactivarea cookie-urilor esențiale poate afecta funcționarea Serviciului.
- Chrome: Setări → Confidențialitate și securitate → Cookie-uri
- Firefox: Opțiuni → Confidențialitate → Cookie-uri
- Safari: Preferințe → Confidențialitate → Cookie-uri
- Edge: Setări → Cookie-uri și permisiuni site
14. Semnătura electronică — clarificare GDPR
Semnătura grafică a Clientului Final este o reprezentare imagine (PNG) a desenului pe ecran. NU prelucrăm parametri dinamici (presiune, viteză, accelerație, timestamps mouse/touch events) și NU folosim semnătura pentru identificare biometrică automată.
Tehnic, Serviciul folosește librăria signature_pad (open-source) care permite desenarea pe canvas (mouse / deget pe ecran tactil). În momentul finalizării, capturăm exclusiv imaginea finală în format PNG (base64), care este stocată asociat devizului și inclusă în PDF-ul generat. Codul nostru NU păstrează istoricul evenimentelor de pointer, presiune, viteză sau accelerație.
Statut juridic GDPR: conform WP29 Opinion 3/2012, Art. 4 pct. 14 GDPR și Recital 51, o semnătură grafică simplă (fără captare comportamentală dinamică) NU constituie o dată biometrică și NU intră în categoriile speciale de date prevăzute la Art. 9 GDPR. Distincția critică:
- Semnătură grafică simplă (PNG/SVG, fără parametri dinamici) = dată personală obișnuită → temei Art. 6(1)(b) executarea contractului
- Semnătură dinamică/behaviorală (pressure, velocity, acceleration) = dată biometrică Art. 9 → ar necesita consimțământ explicit. Deviz Rapid NU folosește această abordare.
Semnătura noastră este similară unei semnături olografe scanate fizic, prelucrată în temeiul executării contractului dintre Utilizator și Clientul Final (Art. 6 alin. 1 lit. b GDPR).
Statut eIDAS: conform Art. 3 pct. 10 din Regulamentul (UE) 910/2014 (eIDAS), această semnătură reprezintă o semnătură electronică simplă. Are valoare probatorie ca început de dovadă scrisă, dar poate fi insuficientă în anumite contexte juridice care impun semnătură electronică avansată sau calificată. Utilizatorul este responsabil pentru alegerea mecanismului de semnare adecvat scopului urmărit.
Stocare: imaginea semnăturii este stocată criptat la repaus, asociată devizului, și este parte din documentul PDF generat. Durata de stocare urmează regimul devizului / facturii corespunzătoare.
15. Drepturi vs. obligații fiscale (limitarea dreptului la ștergere)
Conform Art. 17 alin. (3) lit. b din GDPR, dreptul la ștergere („dreptul de a fi uitat”) nu se aplică datelor pe care suntem obligați legal să le păstrăm. În practică, aceasta înseamnă că:
- Facturile finalizate și transmise la ANAF nu pot fi șterse înainte de expirarea termenului fiscal de 10 ani, chiar dacă vă ștergeți contul DevizRapid.
- Datele incluse în snapshot-ul „înghețat” al unei facturi finalizate (denumire, CUI, CNP, adresă, IBAN etc.) nu pot fi modificate sau șterse, deoarece factura este un document fiscal imutabil.
- Corecțiile fiscale se realizează exclusiv prin emiterea unei facturi storno, care la rândul ei se transmite la ANAF.
- Arhiva ANAF este permanentă și nu poate fi modificată la cererea operatorului sau a Utilizatorului.
În rest, toate celelalte drepturi (acces, portabilitate, rectificarea datelor de cont, opoziție etc.) rămân pe deplin valabile.
16. Modificări ale politicii
Putem actualiza această politică periodic pentru a reflecta modificări ale practicilor noastre sau ale cerințelor legale. Modificările semnificative vor fi comunicate prin:
- Notificare prin email la adresa asociată contului dvs.
- Anunț vizibil în aplicație
Vă recomandăm să revedeți periodic această pagină.
17. Contact
Pentru întrebări privind prelucrarea datelor, exercitarea drepturilor sau orice nelămuriri legate de confidențialitate:
- Contact protecția datelor: dpo@devizrapid.ro
- Email general: contact@devizrapid.ro
- Adresă: SC WebMinds SRL, Bârnova, Sat Sfânta Maria, județ Iași, România
Dacă considerați că prelucrarea datelor dvs. încalcă GDPR, aveți dreptul de a depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), B-dul G-ral Gheorghe Magheru 28-30, Sector 1, București, România, www.dataprotection.ro.