Politica de Confidențialitate

Operatorul de date cu caracter personal este:

PALM RICCO S.R.L. prelucrează datele personale în conformitate cu Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului (GDPR), Legea nr. 190/2018 privind măsuri de punere în aplicare a GDPR în România și Legea nr. 506/2004 privind prelucrarea datelor personale și protecția vieții private în sectorul comunicațiilor electronice.

Platforma Expirely este destinată exclusiv utilizatorilor B2B (firme, PFA). În relația cu datele personale ale clienților finali introduse de Utilizatori în Platformă, PALM RICCO S.R.L. acționează în calitate de persoană împuternicită, iar Utilizatorul (firma care utilizează Expirely) este operatorul de date.

Colectăm și prelucrăm următoarele categorii de date personale:

A. Date furnizate direct de Utilizator la înregistrare și utilizare:

• Adresă de email — obligatorie, folosită ca identificator principal de cont și pentru notificări;
• CUI și denumire firmă — colectate la onboarding pentru identificarea workspace-ului;
• Nume și prenume — opțional, dacă Utilizatorul alege să îl completeze în profil;
• Date despre clienții gestionați — denumire firmă, număr de telefon, email — introduse de Utilizator pentru firmele/clienții pe care îi administrează în Platformă. Aceste date sunt prelucrate de PALM RICCO S.R.L. în calitate de persoană împuternicită.

B. Date colectate automat în scopuri de securitate:

• Adresa IP — procesată temporar în memoria serverului pentru limitarea tentativelor de autentificare (rate limiting: maximum 5 tentative/minut per IP). Adresa IP nu este stocată persistent în baza de date.

Nu colectăm:

• Date de plată (carduri bancare) — plățile nu sunt active; când vor fi activate, vor fi procesate exclusiv prin Stripe și nu vor fi stocate pe serverele noastre;
• Date de navigare, analytics sau profilare comportamentală;
• Date biometrice, de sănătate sau din categorii speciale conform Art. 9 GDPR;
• Date de localizare geografică.

Prelucrăm datele personale în baza următoarelor temeiuri juridice (Art. 6 GDPR):

Nu prelucrăm date personale în scopuri de marketing direct sau profilare fără consimțământul explicit al persoanei vizate.

Datele personale pot fi transmise doar sub-procesatorilor care ne ajută să furnizăm serviciul, în baza unor contracte de prelucrare a datelor (DPA) conforme cu Art. 28 GDPR:

Nu transmitem date personale către terți în scop de marketing, publicitate sau profilare. Nu vindem date personale.

Datele stocate în baza de date (Neon) se află exclusiv în Spațiul Economic European (Frankfurt, Germania), în conformitate cu cerințele GDPR.

Zoho Mail procesează emailurile prin servere din UE, conform angajamentelor GDPR ale Zoho Corporation.

Vercel poate procesa cererile HTTP prin infrastructura sa globală (Edge Network), însă datele aplicației nu sunt stocate în afara UE. În cazul în care sunt necesare transferuri în afara SEE, ne asigurăm că există garanții adecvate, cum ar fi Clauzele Contractuale Standard aprobate de Comisia Europeană (Art. 46(2)(c) GDPR).

Păstrăm datele personale conform următoarelor criterii:

• Date de cont (email, profil): pe durata existenței Contului și până la 90 de zile după ștergerea acestuia;
• Datele despre documente și clienți: pe durata abonamentului activ și până la 90 de zile după încetarea contractului;
• Jurnale de audit: maximum 12 luni, pentru securitate și investigarea incidentelor;
• Jurnale de notificări email: maximum 6 luni;
• Date de facturare: minimum 10 ani conform Legii contabilității nr. 82/1991 și Codului fiscal;
• Adresa IP (rate limiting): stocare temporară în memorie (in-process), fără persistență în baza de date.

La cererea Utilizatorului sau la expirarea termenelor de mai sus, datele vor fi șterse sau anonimizate, cu excepția celor a căror păstrare este impusă de obligații legale.

În conformitate cu GDPR (Art. 15–22), aveți următoarele drepturi în legătură cu datele dumneavoastră personale:

• Dreptul de acces (Art. 15) — dreptul de a obține o copie a datelor personale pe care le prelucrăm;
• Dreptul la rectificare (Art. 16) — dreptul de a corecta datele inexacte sau incomplete;
• Dreptul la ștergere (Art. 17) — dreptul de a solicita ștergerea datelor, în condițiile prevăzute de GDPR. Ștergerea contului se face manual prin contactarea noastră la palmriccobussines@gmail.com (funcția automată de ștergere cont va fi adăugată în interfața aplicației);
• Dreptul la restricționarea prelucrării (Art. 18) — dreptul de a solicita limitarea prelucrării datelor în anumite circumstanțe;
• Dreptul la portabilitate (Art. 20) — dreptul de a primi datele furnizate într-un format structurat, utilizat frecvent, care poate fi citit automat;
• Dreptul la opoziție (Art. 21) — dreptul de a vă opune prelucrării bazate pe interesul legitim al operatorului;
• Dreptul de a nu face obiectul unei decizii individuale automatizate (Art. 22) — nu luăm decizii automate cu efect semnificativ bazate exclusiv pe prelucrare automată.

Pentru exercitarea acestor drepturi, vă rugăm să ne contactați la palmriccobussines@gmail.com. Vom răspunde solicitărilor în termen de maximum 30 de zile calendaristice.

Implementăm măsuri tehnice și organizatorice adecvate pentru a proteja datele personale împotriva accesului neautorizat, modificării, divulgării sau distrugerii accidentale, în conformitate cu Art. 32 GDPR:

• Criptarea parolelor utilizând algoritmul bcrypt;
• Transmiterea datelor prin protocolul HTTPS (TLS);
• Cookie de sesiune cu atributele httpOnly și Secure, cu durată de viață de 7 zile;
• Rate limiting pentru autentificare (maximum 5 tentative/minut per IP);
• Baza de date Neon cu criptare la repaus și în tranzit;
• Jurnal de audit complet pentru acțiunile sensibile din platformă;
• Acces restricționat la datele de producție prin principiul minimei privilegii.

În cazul unui incident de securitate care afectează datele personale, vom notifica Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) în termen de 72 de ore, conform Art. 33 GDPR, și vom informa persoanele vizate afectate fără întârziere nejustificată, conform Art. 34 GDPR.

Folosim exclusiv un singur cookie strict necesar: expirely_session — utilizat pentru menținerea sesiunii de autentificare. Acesta este setat cu atributele httpOnly, Secure și are o durată de viață de 7 zile.

Nu folosim cookies de analiză, marketing sau retargeting. Detalii complete în Politica de Cookies.

Serviciul este destinat exclusiv persoanelor juridice și persoanelor fizice autorizate. Nu colectăm cu bună știință date personale de la persoane cu vârsta sub 18 ani. Dacă aflăm că am colectat date de la un minor, le vom șterge imediat.

Această Politică de Confidențialitate poate fi actualizată periodic pentru a reflecta modificări legislative, tehnice sau organizatorice. Versiunea actualizată va fi publicată pe această pagină cu indicarea datei ultimei modificări. Utilizatorii vor fi notificați prin email cu privire la modificările semnificative.

Pentru orice întrebări, solicitări sau reclamații legate de prelucrarea datelor personale, ne puteți contacta la:

• Email: palmriccobussines@gmail.com
• Adresă: Str. Luncii nr. 269, Oraș Roznov, Jud. Neamț, 617390, România

Dacă considerați că drepturile dumneavoastră privind protecția datelor personale au fost încălcate, aveți dreptul de a depune o plângere la autoritatea de supraveghere competentă: