Politica de confidențialitate

• Colectăm doar ce e strict necesar pentru a funcționa serviciul.
• NU vindem datele nimănui. Niciodată.
• NU folosim datele pentru reclame.
• Datele afacerii tale (produse, clienți, vânzări) îți aparțin 100%.
• Le poți exporta sau șterge oricând.
• Stocăm totul în UE, conform GDPR.

Operatorul datelor cu caracter personal este IACOB MIHAI-ALBERTO PFA (Persoană Fizică Autorizată, CUI 54802933, Nr. ORC F2026028449007, sediu profesional în București, România — adresa completă pe factură și la cerere). Email: contact@albertoiacob.ro.

Date de cont: nume utilizator, email, parolă (stocată hashed cu algoritmul scrypt prin Better Auth — niciodată plaintext), nume al florăriei.

Date despre afacerea ta: produse, prețuri, costuri, stoc, clienți (nume, telefon, email — dacă le introduci), vânzări, achiziții, pierderi, categorii. Acestea sunt datele tale operaționale și nu sunt accesate de noi cu excepția situațiilor explicite (suport tehnic, ordin judecătoresc).

Date tehnice automate: adresa IP (pentru rate limiting + securitate), tipul browserului, paginile vizitate, timpul petrecut pe pagină. Aceste date sunt colectate prin server log-uri și (după activare) cookie-uri și analytics consimțite.

Date de plată: NU stocăm date card. Plățile vor fi procesate de Stripe (după activare), care este PCI-DSS Level 1 certificat.

• Furnizarea serviciului (art. 6(1)(b) GDPR — executare contract): autentificare, salvare date, generare rapoarte și facturi.
• Securitate și prevenire abuz (art. 6(1)(f) GDPR — interes legitim): rate limiting, monitorizare erori, audit log.
• Comunicare (art. 6(1)(b) sau 6(1)(a) — consimțământ pentru newsletter): emailuri tranzacționale (parolă uitată, factură nouă, abonament expirat) sunt obligatorii pentru funcționare. Emailurile de marketing (noutăți, oferte) sunt opt-in și pot fi dezactivate oricând.
• Facturare și obligații fiscale (art. 6(1)(c) GDPR — obligație legală): emiterea de facturi conform Cod fiscal Art. 319, raportare TVA conform legislației.

Folosim un număr minim de servicii terțe, alese pentru conformitate GDPR și infrastructură UE:

Cu fiecare sub-procesator activ avem un Acord de Procesare a Datelor (DPA) conform art. 28 GDPR. Pentru transferurile către SUA (GitHub, Stripe — când va fi activat), ne bazăm pe Standard Contractual Clauses (SCCs) și Data Privacy Framework, după caz. Lista sub-procesatorilor poate fi actualizată — schimbările materiale îți vor fi comunicate prin email cu cel puțin 30 de zile înainte.

• Cont activ: pe durata abonamentului + 90 zile după anulare (recuperare conturi închise greșit).
• Conturi inactive: conturile cu inactivitate prelungită (peste 12 luni fără autentificare) pot fi arhivate și ulterior șterse; te notificăm în prealabil prin email înainte de orice arhivare sau ștergere.
• Cerere de ștergere (GDPR Art. 17): contul intră imediat în ștergere programată, cu fereastră de 90 de zile pentru recuperare (în care contul e inaccesibil); după expirare, datele personale sunt anonimizate în cel mult 30 de zile, cu excepția datelor obligate prin lege (vezi mai jos).
• Facturi fiscale: 10 ani conform Cod fiscal Art. 25(4) — obligație legală peste GDPR. Datele personale din facturi sunt anonimizate după ștergere cont, dar înregistrarea fiscală rămâne.
• Server log-uri: 30 de zile.
• Audit log securitate: 7 ani (conform Cod fiscal pentru log-uri legate de operațiuni fiscale; tabelul e immutable la nivel Postgres prin REVOKE UPDATE/DELETE).

Conform GDPR, ai următoarele drepturi:

• Acces (art. 15) — să afli ce date deținem despre tine.
• Rectificare (art. 16) — să corectezi date greșite.
• Ștergere / Drept la uitare (art. 17) — să ne ceri să ștergem datele tale.
• Restricționare (art. 18) — să oprim temporar procesarea.
• Portabilitate (art. 20) — să primești datele într-un format structurat (JSON) pentru a le muta în alt serviciu.
• Opoziție (art. 21) — să te opui anumitor procesări (ex: marketing).
• Plângere la ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal — dataprotection.ro

Pentru a-ți exercita orice drept, scrie-ne la contact@albertoiacob.ro. Răspundem în maxim 30 de zile (de obicei mult mai rapid). Nu percepem taxă pentru cereri rezonabile.

Vezi detalii practice în ghidul GDPR.

Aplicăm măsuri tehnice și organizatorice rezonabile:

• HTTPS pe toate paginile (HSTS preload activat)
• Content Security Policy (CSP) strict
• Cookie-uri de sesiune httpOnly + Secure + SameSite=Lax, gestionate de Better Auth
• Parole hash-uite cu algoritmul scrypt prin Better Auth
• Sesiuni semnate criptografic prin Better Auth (validare server-side, durată limitată cu idle-timeout)
• Rate limiting durabil pe endpoint-uri sensibile (signin, signup, reset)
• Izolare strictă a datelor între florării (separare per cont la nivel de bază de date, pe toate tabelele care conțin date de business, fără excepții)
• Acces la baza de date restricționat pe rol de aplicație cu privilegii minime (fără cont administrativ, fără ocolire a izolării per cont)
• Salvare automată zilnică a bazei de date, cu posibilitate de restaurare la orice moment în ultimele 30 de zile

În caz de breșă de date, te vom anunța în maxim 72 de ore conform art. 33 GDPR și vom notifica și ANSPDCP, dacă incidentul prezintă risc pentru drepturile tale.

Folosim doar cookie-uri strict necesare (autentificare). Detalii complete în Politica cookies. Nu folosim cookie-uri de marketing sau analytics fără consimțământul tău prealabil.

Platforma este destinată profesioniștilor (B2B). Nu colectăm intenționat date de la persoane sub 16 ani. Dacă observi că un minor ne-a furnizat date, contactează-ne să le ștergem imediat.

Vom actualiza această politică pe măsură ce serviciul evoluează. Versiunile anterioare sunt arhivate. Pentru schimbări semnificative te vom anunța prin email cu cel puțin 30 de zile înainte.