GDPR · Regulamentul (UE) 2016/679

Politica GDPR

Versiunea 1.1 · Data intrării în vigoare: 9 Mai 2026

Conform Regulamentului (UE) 2016/679 (GDPR), Legii nr. 190/2018 (transpunere RO), Legii nr. 506/2004 (ePrivacy), OUG nr. 112/2018 (procedura ANSPDCP), Deciziei ANSPDCP nr. 174/2018 (notificare incidente), Legii nr. 363/2007 (protecția consumatorilor) și ghidurilor ANSPDCP.

Angajamentul nostru, pe scurt

Prelucrăm date cu caracter personal numai dacă există un temei legal clar conform Art. 6 GDPR, exclusiv pentru scopurile descrise mai jos, doar atât cât este strict necesar și cu măsuri tehnice și organizatorice avansate. Nu vindem date personale, nu le folosim pentru profilare publicitară și nu rulăm decizii automate cu efecte juridice sau similare împotriva ta (Art. 22 GDPR). Pentru exercitarea oricărui drept GDPR folosește formularul dedicat la /contact/dpo — răspuns în 30 zile, fără costuri.

Cuprins

  1. Operator de date și DPO
  2. Definiții cheie (Art. 4 GDPR)
  3. Categorii de date prelucrate
  4. Scopuri și temei legal (Art. 6 / 9 / 10)
  5. Sursele datelor
  6. Perioade de retenție
  7. Destinatari și sub-procesori
  8. Transferuri internaționale (Capitolul V)
  9. Drepturile tale (Art. 12-22)
  10. Decizii automate și profilare (Art. 22)
  11. Datele copiilor (Art. 8)
  12. Cookies și tehnologii similare
  13. Măsuri de securitate (Art. 32)
  14. Notificarea incidentelor (Art. 33-34)
  15. DPIA și responsabilizare
  16. Plângere la autoritatea de supraveghere (Art. 77)
  17. Modificări ale politicii

1. Operatorul de date și Responsabilul cu Protecția Datelor (DPO)

NOIDEEA S.R.L.

CUI: RO48069626

Registrul Comerțului: J40/8019/2023

Sediul social: Calea Vitan 242, Corp C2 Parter Birou 17, Sector 3, București

Contact general: contact@statusdosar.ro

Responsabil cu Protecția Datelor (DPO): dpo@statusdosar.ro

Formular dedicat drepturi GDPR: /contact/dpo

NOIDEEA S.R.L. acționează ca operator de date în sensul Art. 4 alin. (7) GDPR pentru datele cu caracter personal prelucrate prin intermediul platformei Status Dosar (www.statusdosar.ro, my.statusdosar.ro, ipa.statusdosar.ro și aplicațiile mobile dedicate). DPO poate fi contactat direct și confidențial la adresa de mai sus; e-mailurile către cutia DPO nu sunt citite de alți angajați.

2. Definiții cheie (Art. 4 GDPR)

  • Date cu caracter personal — orice informație privind o persoană fizică identificată sau identificabilă.
  • Prelucrare — orice operațiune efectuată asupra datelor, automată sau manuală.
  • Operator — entitatea care stabilește scopurile și mijloacele prelucrării.
  • Persoană împuternicită (procesator) — entitatea care prelucrează date în numele operatorului.
  • Persoana vizată — persoana fizică la care se referă datele (tu, utilizatorul).
  • Consimțământ — manifestare de voință liber exprimată, specifică, informată și lipsită de ambiguitate (Art. 4 alin. 11 GDPR).
  • Profilare — prelucrare automată folosită pentru a evalua aspecte personale (Art. 4 alin. 4).
  • Categorii speciale — date care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice, apartenența sindicală, date genetice, biometrice, de sănătate, privind viața sexuală sau orientarea sexuală (Art. 9).
  • Pseudonimizare — prelucrare astfel încât datele să nu mai poată fi atribuite unei persoane vizate fără utilizarea unor informații suplimentare, păstrate separat și protejate (Art. 4 alin. 5).

3. Categorii de date cu caracter personal prelucrate

Prelucrăm strict datele necesare prestării serviciului contractat și conformării cu obligații legale. Minimizăm colectarea (Art. 5 alin. 1 lit. c GDPR — principiul minimizării).

Categoria Exemple Sursă
IdentificareNume, prenume, e-mail, telefon, tip cont (PF/PJ/AV).Furnizate de tine la înregistrare.
AutentificareParolă hash (bcrypt/argon2), secret 2FA TOTP (criptat), token-uri dispozitive de încredere, ID-uri OAuth (Google/Facebook).Generate local; OAuth transmite doar ID/e-mail.
Fiscale/juridiceCNP (doar PF, criptat la stocare), CUI (PJ), număr înregistrare ORC, adresă facturare. Număr matricol barou (AV).Furnizate de tine la abonare.
UtilizareDosare salvate, istoric căutări (fereastră limitată), preferințe notificare, etichete, layout dashboard, termene monitorizate.Generate de activitatea ta în platformă.
FacturarePlan, sumă, monedă, referință tranzacție, metadate factură. Datele de card (PAN, CVV) NU ajung pe serverele noastre — gestionate de procesator certificat PCI-DSS.Generate prin evenimente plată; datele cardului doar LibraPay.
ComunicăriTichete suport, e-mailuri trimise/primite, token-uri push (FCM/HMS), metadate SMS.Generate prin interacțiuni și notificări.
Tehnice/securitateAdresă IP, user agent, timestamp-uri autentificare, fingerprint dispozitiv, jurnal audit pentru acțiuni sensibile, evenimente securitate.Capturate automat pentru securitate și audit.
Date judiciare publiceDate dosare preluate din portal.just.ro / ECRIS / registre disponibile public (părți, termene, stadiu). Pot include incidental date privind condamnări — Art. 10 GDPR, vezi §4.4.Surse publice, preluate la cerere.

Nu prelucrăm categorii speciale de date conform Art. 9 GDPR (sănătate, biometrice, religie, orientare sexuală etc.). Nu partajăm date cu agenții de publicitate, brokeri sau marketeri terți.

4. Scopuri și temei legal (Art. 6, 9, 10 GDPR)

Pentru fiecare operațiune de prelucrare identificăm și documentăm un temei legal clar. Matricea de mai jos sintetizează evidența activităților de prelucrare (ROPA — Art. 30 GDPR).

4.1. Executarea contractului — Art. 6 alin. 1 lit. b

Crearea contului, autentificare, monitorizare dosare, notificări multi-canal, dashboard, facturare, suport clienți.

4.2. Obligație legală — Art. 6 alin. 1 lit. c

Evidență contabilă și fiscală (Legea 82/1991, Codul fiscal), emitere facturi, AML unde aplicabil, răspuns la solicitări legale ale autorităților, păstrare jurnal consimțăminte conform Art. 7 alin. 1 GDPR.

4.3. Interes legitim — Art. 6 alin. 1 lit. f

Limitat la: (i) securitatea platformei și prevenirea fraudelor; (ii) jurnalizare audit pentru acțiuni sensibile; (iii) monitorizarea infrastructurii și fiabilitate; (iv) apărarea drepturilor legale; (v) analize interne de produs pe date agregate, neidentificante. Am efectuat și documentat o evaluare a interesului legitim (LIA — necesitate / echilibru / garanții / drepturi vizat). Poți să te opui în orice moment conform Art. 21 GDPR folosind formularul de la /contact/dpo.

4.4. Date judiciare publice — Art. 9 / Art. 10 GDPR

Platforma indexează date din portaluri publice ale instanțelor (portal.just.ro, ECRIS) care pot conține incidental referințe la proceduri penale (Art. 10 GDPR — date privind condamnări penale și infracțiuni). Temei legal: interes public substanțial (Art. 9 alin. 2 lit. g GDPR via Art. 6 din Legea 190/2018 — administrarea publică a justiției și acces la informații de interes public), coroborat cu faptul că datele sunt deja făcute publice manifest de instanțe (Art. 9 alin. 2 lit. e unde aplicabil). Nu consolidăm istorice penale, nu construim scoruri de risc și nu îmbogățim dosarele cu date private.

4.5. Consimțământ — Art. 6 alin. 1 lit. a / Art. 7

Folosit strict pentru: cookie-uri opționale de analiză (Microsoft Clarity, Google Analytics), comunicări opționale de marketing (newsletter) și orice funcționalitate marcată explicit ca bazată pe consimțământ. Fiecare consimțământ este înregistrat (timestamp, IP anonimizat, hash user agent, versiune banner, versiune politică) — dovadă conform Art. 7 alin. 1 GDPR. Îți poți retrage consimțământul oricând fără a afecta legalitatea prelucrărilor anterioare (Art. 7 alin. 3 GDPR).

4.6. Interese vitale — Art. 6 alin. 1 lit. d / Sarcină publică — Art. 6 alin. 1 lit. e

Nu sunt folosite ca temeiuri uzuale ale platformei — listate pentru completitudine. Pot interveni doar în circumstanțe excepționale (ex. divulgare urgentă către autorități pentru protejarea vieții).

5. Sursele datelor cu caracter personal

  • Direct de la tine — la înregistrare, în timpul configurării contului, când contactezi suportul, la plata abonamentului.
  • Generate automat — log-uri utilizare, IP, user agent, evenimente securitate.
  • Furnizori OAuth — Google / Facebook trimit doar ID-ul unic și e-mailul autorizat de tine.
  • Date judiciare publice — portal.just.ro, ECRIS, registre publice, în temeiul interesului public (§4.4).
  • Procesatorul de plăți — LibraPay returnează statusul tranzacției și metadate (fără date card).
  • Instrumente suport terți — doar metadatele pe care le trimiți explicit (ex. conținut tichet).

6. Perioade de retenție

Păstrăm datele cu caracter personal numai atât timp cât este necesar îndeplinirii scopului (Art. 5 alin. 1 lit. e GDPR — limitarea stocării), sau cât impune legea.

Categorie date Retenție Referință
Date cont (activ)Pe durata contractuluiArt. 5(1)(e) GDPR
Date cont (după ștergere)Grație 30 zile, apoi ștergere permanentă PII; ledger ștergere păstrat pentru auditArt. 17 GDPR
Facturi și evidență contabilă10 aniLegea 82/1991 art. 25
Jurnal consimțăminte (cookie / GDPR)Minimum 5 ani de la retragere/expirareArt. 7(1) GDPR
Log-uri aplicație90 zilePolitică internă securitate
Audit-trail acțiuni sensibileDurata contractului + 5 aniArt. 5(2) GDPR (accountability)
Token-uri push (FCM/HMS)Până la dezinstalare aplicație sau dezactivare canalNecesitate serviciu
Istoric notificări trimise12 luniNecesitate serviciu
Copii de siguranțăZilnic criptate, retenție 35 zile; restaurate doar la incidentArt. 32 GDPR
Date judiciare publice (cache)Pe durata monitorizării active; reîmprospătate periodic; eliminate la cerere Art. 17 dacă nu se aplică excepțiile Art. 17 alin. 3Art. 17 GDPR

După expirarea perioadei de retenție, datele sunt ireversibil anonimizate sau șterse. Backupurile criptate nu sunt folosite pentru a „reconstrui" date șterse — restaurarea are loc doar în scenarii de dezastru cu jurnal de incidente documentat.

7. Destinatari și sub-procesori

Toți sub-procesorii operează în baza unor acorduri semnate de prelucrare a datelor (Art. 28 GDPR), cu măsuri tehnice și organizatorice documentate.

Sub-procesor Scop Locație Garanții
Contabo GmbHHosting infrastructură (servere producție)Germania (UE)DC strict UE, DPA Art. 28, ISO 27001
LibraPay (Libra Internet Bank)Procesare plăți card (PCI-DSS)România (UE)PCI-DSS Nivel 1, sub supravegherea BNR
FGOEmitere facturi fiscaleRomânia (UE)DPA Art. 28
Furnizor e-mail tranzacționalTrimitere e-mailuri cont, facturare, securitateUERezidență UE, DPA Art. 28
Google LLC (FCM, optional GA4)Notificări push Android; analytics (doar cu consimțământ)SUA (noduri edge UE)EU-US Data Privacy Framework + SCC
Huawei Mobile Services (HMS)Notificări push dispozitive HMSUE (DC Dublin)DPA, rezidență UE
Microsoft Corporation (Clarity, optional)Heatmap-uri și UX sesiune (doar cu consimțământ)SUA/IEEU-US DPF + SCC, mascare input forțată

Lista completă cu data fiecărei versiuni este disponibilă la cerere prin /contact/dpo. Schimbările materiale de sub-procesori cu impact DPA sunt anunțate în avans cu minim 30 zile preaviz și posibilitatea de a obiecta.

8. Transferuri internaționale (Capitolul V GDPR)

Implicit, toate datele de producție sunt găzduite în Uniunea Europeană. Transferurile în afara SEE au loc doar când sunt strict necesare și cu garanții adecvate conform Capitolului V GDPR:

  • EU-US Data Privacy Framework — pentru destinatari SUA certificați (Google LLC, Microsoft Corporation) unde operatorul are auto-certificarea activă.
  • Clauze Contractuale Standard (SCC) — Decizia de punere în aplicare (UE) 2021/914 a Comisiei, completate cu evaluări de impact al transferului (TIA) unde sunt aplicabile.
  • Criptare în tranzit și la stocare — minim TLS 1.3, criptare server-side AES-256.

Poți solicita o copie a garanțiilor (SCC redacted, sumar TIA) de la DPO.

9. Drepturile tale ca persoană vizată (Art. 12-22 GDPR)

Toate drepturile de mai jos se exercită gratuit și sunt procesate în 30 de zile calendaristice de la primirea unei cereri complete, cu posibilitatea unei extensii de până la 60 de zile suplimentare pentru cazuri complexe (Art. 12 alin. 3 GDPR), cu notificare prealabilă. Când nu te putem identifica, putem solicita verificare suplimentară.

Art. 13-14 GDPR

Dreptul la informare

Primești informare transparentă despre prelucrare — această politică este instrumentul principal; complementar, vezi Politica de Confidențialitate și Politica Cookies.

Art. 15 GDPR

Dreptul de acces

Poți cere un export complet al datelor tale, inclusiv categoriile, scopurile, destinatarii, retenția.

Art. 16 GDPR

Dreptul la rectificare

Datele inexacte sau incomplete pot fi corectate direct din cont sau prin formularul DPO.

Art. 17 GDPR

Dreptul la ștergere

Poți cere ștergerea când datele nu mai sunt necesare, retragi consimțământul sau prelucrarea a fost ilegală. Se aplică excepțiile Art. 17 alin. 3 — ex. obligații legale contabile.

Art. 18 GDPR

Dreptul la restricționare

Poți cere „înghețarea" prelucrării în timp ce verificăm acuratețea sau contești un temei legal.

Art. 19 GDPR

Obligația de notificare

Când rectificăm, ștergem sau restricționăm date, notificăm fiecare destinatar, exceptând cazurile imposibile sau disproporționate.

Art. 20 GDPR

Dreptul la portabilitate

Primești datele în format structurat, utilizat curent și citibil automat (JSON / CSV) — pentru prelucrările bazate pe consimțământ sau contract.

Art. 21 GDPR

Dreptul la opoziție

Poți te opui oricând prelucrărilor bazate pe interes legitim sau pentru marketing direct — pentru marketing, opoziția este absolută.

Art. 22 GDPR

Decizii automate

Nu ești supus deciziilor bazate exclusiv pe prelucrare automată care produc efecte juridice sau similare semnificative (vezi §10).

Art. 7(3) GDPR

Dreptul de retragere a consimțământului

Retragere oricând, fără a afecta legalitatea prelucrărilor anterioare. Disponibil din bannerul cookie, setări cont sau prin DPO.

Art. 77 GDPR

Dreptul de a depune plângere

Poți depune plângere la ANSPDCP oricând — vezi §15.

Art. 82 GDPR

Dreptul la despăgubiri

Poți cere despăgubiri pentru prejudiciile cauzate prin încălcarea GDPR.

Cum îți exerciți drepturile

Folosește formularul dedicat la /contact/dpo sau scrie la dpo@statusdosar.ro. Putem solicita verificarea identității pentru a preveni divulgări neautorizate. Verificarea nu va cere mai multe date decât strict necesar.

10. Decizii automate și profilare (Art. 22 GDPR)

Status Dosar nu folosește decizii automate cu efecte juridice sau similare semnificative împotriva ta. Nu ranchezi, nu acordăm scoruri și nu evaluăm utilizatorii pentru credit, eligibilitate sau ocupare. Prelucrarea automată este limitată la: rutarea notificărilor (canal, frecvență), verificări disponibilitate serviciu, semnale anti-fraudă în autentificarea plății și rate-limiting elementar anti-abuz — niciuna cu efect juridic obligatoriu. Acolo unde este aplicabil, poți cere intervenție umană conform Art. 22 alin. 3 GDPR.

11. Datele copiilor (Art. 8 GDPR)

Platforma este destinată adulților. România a stabilit vârsta consimțământului digital la 16 ani (Legea 190/2018 art. 2). Nu colectăm cu bună știință date de la minori sub 16 ani. Dacă afli că un minor a creat un cont fără consimțământ parental verificat, te rugăm să notifici DPO pentru investigare și, după caz, ștergerea datelor.

12. Cookies și tehnologii similare

Inventarul complet al cookie-urilor, retenția și furnizorii sunt în Politica Cookies. Cookie-urile strict necesare sunt exceptate de consimțământ (Art. 4 alin. 5 Legea 506/2004); cookie-urile de analiză, funcționale și marketing se încarcă doar după consimțământ explicit prin bannerul cookie. Poți redeschide panoul de consimțământ oricând folosind butonul din footer.

13. Măsuri de securitate (Art. 32 GDPR)

Aplicăm măsuri tehnice și organizatorice adecvate riscului:

  • Criptare în tranzit — minim TLS 1.3, HSTS preload, doar cipher-suite-uri moderne.
  • Criptare la stocare — AES-256 server-side; câmpuri sensibile (CNP, secrete 2FA, token-uri) criptate la nivel de coloană cu chei gestionate intern.
  • Hashing parole — argon2id / bcrypt cu salt per utilizator, cost ajustat la 12 luni.
  • Control acces — RBAC privilegiu minim, izolare tenant la nivel query, MFA pentru personal cu acces la baza de date.
  • Protecție rețea — IDS Suricata, fail2ban, WAF ModSecurity, CrowdSec, subdomenii segregate (www / my / ipa).
  • Hardening — profile AppArmor pentru PHP-FPM, patch-uri OS automate, audit dependințe la fiecare deploy.
  • Backupuri — backupuri zilnice criptate, NAS push-only, snapshot-uri ZFS, restore testat periodic (plan disaster-recovery).
  • Audit logging — audit-trail imutabil pentru acțiuni sensibile, agregare log-uri tip SIEM.
  • Management vulnerabilități — audituri interne de securitate + scan CVE pe dependințe; program de divulgare coordonată.
  • Oameni — acorduri de confidențialitate, instruire pe roluri, acces restricționat la producție.

14. Notificarea incidentelor (Art. 33-34 GDPR)

Dacă survine un incident de securitate ce afectează date cu caracter personal și este probabil să genereze un risc pentru drepturile și libertățile persoanelor fizice, notificăm ANSPDCP în 72 de ore de la luarea la cunoștință (Art. 33 GDPR), exceptând cazurile improbabile de risc. Când riscul este ridicat, notificăm persoanele vizate fără întârziere (Art. 34 GDPR), în limbaj clar care descrie natura, consecințele probabile, măsurile luate și contactul pentru informații suplimentare. Fiecare eveniment este înregistrat în registrul intern de incidente, indiferent de pragul de notificare (Art. 33 alin. 5 GDPR).

15. DPIA și principiul responsabilizării

Pentru prelucrări susceptibile să producă un risc ridicat (ex. prelucrarea la scară largă a datelor judiciare publice, inclusiv referințe incidentale Art. 10), efectuăm evaluări de impact asupra protecției datelor (DPIA — Art. 35 GDPR), menținem evidența activităților de prelucrare (ROPA — Art. 30) și rulăm revizuiri periodice de conformitate. Documentele sunt disponibile ANSPDCP la cerere și (în formă rezumat) persoanelor vizate prin DPO.

16. Plângere la autoritatea de supraveghere (Art. 77 GDPR)

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)

B-dul G-ral. Gheorghe Magheru nr. 28-30, Sector 1, București, cod poștal 010336

Telefon: +40.318.059.211 / +40.318.059.212

E-mail: anspdcp@dataprotection.ro

Web: www.dataprotection.ro

Fără a aduce atingere oricărui alt remediu administrativ sau jurisdicțional, ai dreptul să depui plângere, în special în statul membru al reședinței obișnuite, locul de muncă sau locul presupusei încălcări (Art. 77 GDPR). Te încurajăm cu tărie să contactezi întâi DPO — cele mai multe probleme se pot rezolva în câteva zile lucrătoare.

17. Modificări ale politicii

Această politică poate fi actualizată pentru a reflecta schimbări legale sau operaționale. Modificările materiale sunt anunțate cu minim 30 de zile preaviz prin bannerul cookie, notificare in-app și / sau e-mail către abonații activi, oferind posibilitatea de a obiecta acolo unde este aplicabil. Fiecare versiune este numerotată, datată și arhivată; versiunile anterioare sunt disponibile prin DPO. Continuarea utilizării platformei după data intrării în vigoare confirmă luarea la cunoștință a noii versiuni, fără a afecta dreptul de a te opune sau de a retrage consimțământul.

Acțiuni rapide

Deschide formular drepturi GDPR Politica de Confidențialitate Politica Cookies E-mail către DPO

Ultima actualizare: 9 Mai 2026 · Versiunea 1.1

© 2026 NOIDEEA S.R.L. — Toate drepturile rezervate.