Sari la conținut
Florova

Documente legale

Politica de confidențialitate

Ultima actualizare: 27 aprilie 2026

Pe scurt — ce facem cu datele tale

  • Colectăm doar ce e strict necesar pentru a funcționa serviciul.
  • NU vindem datele nimănui. Niciodată.
  • NU folosim datele pentru reclame.
  • Datele afacerii tale (produse, clienți, vânzări) îți aparțin 100%.
  • Le poți exporta sau șterge oricând.
  • Stocăm totul în UE, conform GDPR.

1. Operator de date

Operatorul datelor cu caracter personal este Alberto Iacob (PFA în curs de înregistrare), București, România. Email: contact@albertoiacob.ro · Site personal: albertoiacob.ro.

După înregistrarea PFA, datele complete (CIF, adresă juridică, număr Registrul Comerțului) vor fi publicate aici și actualizate pe această pagină.

2. Ce date colectăm

Date de cont: nume utilizator, email, parolă (stocată hashed bcrypt 12 rounds — niciodată plaintext), nume al florăriei.

Date despre afacerea ta: produse, prețuri, costuri, stoc, clienți (nume, telefon, email — dacă le introduci), vânzări, achiziții, pierderi, categorii. Acestea sunt datele tale operaționale și nu sunt accesate de noi cu excepția situațiilor explicite (suport tehnic, ordin judecătoresc).

Date tehnice automate: adresa IP (pentru rate limiting + securitate), tipul browserului, paginile vizitate, timpul petrecut pe pagină. Aceste date sunt colectate prin server log-uri și (după activare) cookie-uri și analytics consimțite.

Date de plată: NU stocăm date card. Plățile vor fi procesate de Stripe (după activare), care este PCI-DSS Level 1 certificat.

3. De ce le folosim (temei legal)

  • Furnizarea serviciului (art. 6(1)(b) GDPR — executare contract): autentificare, salvare date, generare rapoarte și facturi.
  • Securitate și prevenire abuz (art. 6(1)(f) GDPR — interes legitim): rate limiting, monitorizare erori, audit log.
  • Comunicare (art. 6(1)(b) sau 6(1)(a) — consimțământ pentru newsletter): emailuri tranzacționale (parolă uitată, factură nouă, abonament expirat) sunt obligatorii pentru funcționare. Emailurile de marketing (noutăți, oferte) sunt opt-in și pot fi dezactivate oricând.
  • Facturare și obligații fiscale (art. 6(1)(c) GDPR — obligație legală): emiterea de facturi conform Cod fiscal Art. 319, raportare TVA conform legislației.

4. Cu cine partajăm datele (sub-procesatori)

Folosim un număr minim de servicii terțe, alese pentru conformitate GDPR și infrastructură UE:

Sub-procesatorRolLocație
Vercel Inc.Hosting + CDN + edge functionsUE (Frankfurt) + global edge
GitHub Inc.Cod sursă (NU date utilizator)UE/SUA
Railway (planificat)Bază de date PostgreSQLUE
Resend (planificat)Email tranzacționalUE
Stripe (planificat)Procesare plățiUE/SUA (DPA semnat)

Cu fiecare sub-procesator avem (sau vom avea, înainte de activare) un Acord de Procesare a Datelor (DPA) conform art. 28 GDPR. Pentru transferurile către SUA, ne bazăm pe Standard Contractual Clauses (SCCs) sau Data Privacy Framework, după caz.

5. Cât timp păstrăm datele

  • Cont activ: pe durata abonamentului + 90 zile după anulare (recuperare conturi închise greșit).
  • Cont arhivat: ștergere completă după 12 luni de inactivitate totală (nu te-ai logat, nu ai răspuns la emailuri).
  • Cerere de ștergere (GDPR Art. 17): ștergere imediată în maxim 30 de zile, cu excepția datelor obligate prin lege (vezi mai jos).
  • Facturi fiscale: 10 ani conform Cod fiscal Art. 25(4) — obligație legală peste GDPR. Datele personale din facturi sunt anonimizate după ștergere cont, dar înregistrarea fiscală rămâne.
  • Server log-uri: 30 de zile.
  • Audit log securitate: 12 luni.

6. Drepturile tale (GDPR)

Conform GDPR, ai următoarele drepturi:

  • Acces (art. 15) — să afli ce date deținem despre tine.
  • Rectificare (art. 16) — să corectezi date greșite.
  • Ștergere / Drept la uitare (art. 17) — să ne ceri să ștergem datele tale.
  • Restricționare (art. 18) — să oprim temporar procesarea.
  • Portabilitate (art. 20) — să primești datele într-un format structurat (JSON) pentru a le muta în alt serviciu.
  • Opoziție (art. 21) — să te opui anumitor procesări (ex: marketing).
  • Plângere la ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal — dataprotection.ro

Pentru a-ți exercita orice drept, scrie-ne la contact@albertoiacob.ro. Răspundem în maxim 30 de zile (de obicei mult mai rapid). Nu percepem taxă pentru cereri rezonabile.

Vezi detalii practice în ghidul GDPR.

7. Securitate

Aplicăm măsuri tehnice și organizatorice rezonabile:

  • HTTPS pe toate paginile (HSTS preload activat)
  • Content Security Policy (CSP) strict
  • Cookie-uri httpOnly + Secure + SameSite=Lax cu prefix __Host-
  • Parole hash-uite cu bcrypt (12 rounds)
  • JWT semnate HS256 (jose)
  • Rate limiting pe endpoint-uri sensibile
  • Acces restricționat la baza de date (planuri Pro)
  • Backup zilnic criptat (planuri Pro)

În caz de breșă de date, te vom anunța în maxim 72 de ore conform art. 33 GDPR și vom notifica și ANSPDCP, dacă incidentul prezintă risc pentru drepturile tale.

8. Cookies și tracking

Folosim doar cookie-uri strict necesare (autentificare). Detalii complete în Politica cookies. Nu folosim cookie-uri de marketing sau analytics fără consimțământul tău prealabil.

9. Copii

Platforma este destinată profesioniștilor (B2B). Nu colectăm intenționat date de la persoane sub 16 ani. Dacă observi că un minor ne-a furnizat date, contactează-ne să le ștergem imediat.

10. Modificări

Vom actualiza această politică pe măsură ce serviciul evoluează. Versiunile anterioare sunt arhivate. Pentru schimbări semnificative te vom anunța prin email cu cel puțin 30 de zile înainte.