Politica de confidențialitate
Această politică explică modul în care Commerce OS prelucrează datele cu caracter personal în legătură cu website-ul commerceos.ro, sistemul Commerce OS și serviciile aferente. Este redactată în conformitate cu Regulamentul (UE) 2016/679 (GDPR), Legea nr. 190/2018 privind măsurile de punere în aplicare a GDPR în România, și Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice.
1. Operatorul de date
Commerce OS (denumită în continuare "Operatorul", "noi")
- Email contact GDPR: contact@commerceos.ro
Responsabil cu protecția datelor (DPO) — desemnat voluntar (nu există obligație legală conform Art. 37 GDPR pentru activitatea actuală):
- Email DPO: contact@commerceos.ro
Operatorul stabilește scopurile și mijloacele prelucrării. În anumite scenarii (de ex. modelul RENT, operare Meta Ads pentru client) Operatorul poate acționa ca persoană împuternicită (procesator) Art. 28 GDPR pentru Utilizator — în acest caz se încheie un Data Processing Agreement (DPA) separat.
2. Ce date prelucrăm și de unde
2.1. Date colectate direct de la dvs.
- La aplicarea pe whitelist: nume, prenume, email, telefon (opțional), nume companie, website, cifră de afaceri estimativă, channel-uri de acquisition principale, mesaj liber
- La verificarea email: confirmare prin link unic cu token criptografic
- La acceptarea NDA: amprenta IP (truncated /24), user-agent, timestamp, versiune NDA acceptată
- La interacțiune ulterioară: răspunsuri la formulare, comentarii, mesaje către echipa noastră
- La încheierea contractului (RENT/OWN): date de facturare, date reprezentant legal, semnătură (electronică sau olografă)
2.2. Date colectate automat (cookies & telemetrie)
A se vedea [Politica de cookies](/legal/cookies) pentru detalii complete.
- Cookies necesare: `co_consent` (preferințele de cookies), `applicant_session` (sesiune autentificare)
- Cookies analitice (cu consimțământ): `_ga`, `_ga_*` (Google Analytics 4)
- Cookies marketing (cu consimțământ): `_fbp`, `_fbc` (Meta Pixel), `_gcl_au` (Google Ads)
- Server logs: IP truncated /24, user-agent, URL, timestamp, refferer
- Event telemetry: pageviews, scroll depth, click-uri pe CTA, durată sesiune (toate cu consimțământ analytics)
2.3. Date primite de la terți
- Meta Pixel & CAPI (Conversions API): evenimente conversie hash-uite (`fbp`, `fbc`)
- Google Ads / GA4: ID-uri click attribution (`gclid`, `_gcl_au`)
- Sisteme partenere: dacă încheiem parteneriate de referral, partenerul ne poate transmite contact cu acordul dvs.
2.4. Categorii speciale de date
NU prelucrăm intenționat date din categorii speciale (Art. 9 GDPR): origine rasială/etnică, opinii politice, convingeri religioase, date privind sănătatea, date biometrice, date privind viața sexuală. Dacă transmiteți accidental astfel de date în formularele libere, le vom șterge promptly la sesizare.
Date privind minori: serviciul este B2B, nu se adresează minorilor. Nu colectăm conștient date de la persoane sub 16 ani.
3. Scopuri și temei juridic
| Scop | Date prelucrate | Temei juridic (Art. 6 GDPR) | Retenție |
|---|---|---|---|
| Evaluare aplicare whitelist | Nume, email, telefon, companie, mesaj | Art. 6(1)(b) — măsuri precontractuale | 24 luni de la aplicare |
| Verificare email | Email, token, IP truncated | Art. 6(1)(b) | 7 zile token; activitate 24 luni |
| Acceptare NDA & docs gate | IP /24, user-agent, timestamp, versiune NDA | Art. 6(1)(b) + Art. 6(1)(c) (probă) | Durata contract + 3 ani după |
| Comunicări tranzacționale | Art. 6(1)(b) | Durata relației + 3 ani | |
| Suport tehnic | Email, log conversație | Art. 6(1)(b) | 3 ani de la ultimul contact |
| Facturare și obligații fiscale | Date facturare, CUI, sediu | Art. 6(1)(c) — obligație legală (Legea 227/2015 Cod Fiscal) | 10 ani (arhivare contabilă) |
| Analytics website (agregat) | `_ga`, `_ga_*`, eveniment pseudonimizat | Art. 6(1)(a) — consimțământ + Art. 5(1) Legea 506/2004 | 14 luni GA4 default |
| Marketing & atribuire (Meta Pixel, Ads) | `_fbp`, `_fbc`, `_gcl_au`, evenimente conversie hash-uite | Art. 6(1)(a) — consimțământ | 90 zile cookies; 24 luni server-side |
| Securitate (anti-fraud, rate limit) | IP /24, user-agent, fingerprint sesiune | Art. 6(1)(f) — interes legitim (securitate sistem) | 90 zile |
| Prevenire scraping/abuse | IP /24, log access | Art. 6(1)(f) — interes legitim | 30 zile |
| Email transactional Resend | Email, status delivery | Art. 6(1)(b) + Art. 6(1)(f) | 90 zile log |
| Personalizare conținut (intent landings) | Pseudonimizat — fingerprint sesiune | Art. 6(1)(a) — consimțământ marketing | 90 zile |
4. Cui transmitem datele (destinatari și subprocesatori)
Datele dvs. pot fi transmise următorilor destinatari, strict în limita necesității și pe baza unor contracte conforme Art. 28 GDPR (Data Processing Agreements):
| Destinatar / Subprocesator | Rol | Locație | Bază transfer extern |
|---|---|---|---|
| Vercel Inc. | Hosting aplicație Next.js | USA + UE edge | Standard Contractual Clauses (SCC) + Data Privacy Framework (DPF) |
| MongoDB Atlas (MongoDB Inc.) | Bază de date primară | UE (Frankfurt) | În UE — fără transfer extern |
| Resend (Bounce Press) | Servicii email tranzacțional | USA | SCC + DPF |
| ImageKit (Raw Engineering) | CDN imagini & media | UE/USA | SCC |
| OpenAI Ireland Ltd. | Generare conținut AI (în uz limitat, fără PII) | UE/USA | SCC + DPF |
| Meta Platforms Ireland Ltd. | Pixel, CAPI, Catalog, Ads, Audiences | UE/USA | SCC + DPF — cu consimțământ |
| Google Ireland Ltd. | GTM, GA4, Google Ads | UE/USA | SCC + DPF — cu consimțământ |
| cron-job.org (Patrick Stadler) | Trigger joburi planificate | UE (Germania) | În UE — fără transfer extern |
| Smart Bill (Intelligent IT S.R.L.) | Facturare electronică | UE (România) | În UE |
| ANAF | Raportare e-Factura SPV | UE (România) | Obligație legală |
Lista completă și actualizată poate fi solicitată la contact@commerceos.ro.
NU vindem datele dvs. către terți. Nu le folosim pentru profilare cu efect juridic în sensul Art. 22 GDPR.
5. Transferuri internaționale
Anumite servicii presupun transferul datelor în afara Spațiului Economic European (în special USA). Aceste transferuri se realizează în temeiul:
- Clauzelor contractuale standard (SCC) adoptate de Comisia Europeană (Decizia 2021/914)
- Certificării EU-US Data Privacy Framework (DPF) unde furnizorul este certificat
- Măsurilor tehnice suplimentare: criptare în tranzit (TLS 1.2+), criptare la repaus, pseudonimizare
Puteți solicita o copie a clauzelor SCC aplicabile la contact@commerceos.ro.
6. Securitatea datelor
Aplicăm măsuri tehnice și organizatorice adecvate (Art. 32 GDPR):
- Criptare la repaus: AES-256-GCM pentru datele sensibile în baza de date (chei OAuth Meta, secrete Catalog)
- Criptare în tranzit: TLS 1.2+ pe toate endpoint-urile, HSTS activ
- Hashing PII: SHA-256 pentru parametrii Advanced Matching (email, phone) trimiși către Meta CAPI
- Truncare IP: stocăm doar primul /24 pentru IPv4, /48 pentru IPv6
- Bcrypt pentru parolele administratorilor (cost 12)
- Cookies HttpOnly + Secure + SameSite pentru sesiuni
- Rate limiting pe endpoint-urile sensibile
- Logging audit pentru toate acțiunile administrative
- Backup-uri zilnice MongoDB Atlas, retenție 7 zile snapshot + 30 zile point-in-time
- Access control principle of least privilege
7. Drepturile dvs. conform GDPR
În calitate de persoană vizată aveți următoarele drepturi:
- Art. 15 — Acces: să obțineți confirmarea că prelucrăm datele dvs. și o copie a acestora
- Art. 16 — Rectificare: corectarea datelor inexacte sau incomplete
- Art. 17 — Ștergere ("dreptul de a fi uitat"): în condițiile legii, cu excepția datelor pe care trebuie să le păstrăm (de ex. facturi 10 ani)
- Art. 18 — Restricționare: limitarea prelucrării pe durata verificării unei contestații
- Art. 20 — Portabilitate: primirea datelor într-un format structurat, utilizat în mod curent și citibil automat (JSON)
- Art. 21 — Opoziție: dreptul de a vă opune prelucrării bazate pe interes legitim
- Art. 22 — Decizii automate: nu luăm decizii cu efect juridic exclusiv automat
- Art. 7(3) — Retragere consimțământ: în orice moment, fără efect asupra prelucrărilor anterioare retragerii. Preferințele de cookies pot fi modificate oricând prin butonul "Preferințe cookies" din [Politica de cookies](/legal/cookies)
Cum exercitați aceste drepturi
Trimiteți o cerere scrisă la contact@commerceos.ro indicând: (a) dreptul exercitat, (b) datele de identificare suficiente pentru a vă valida identitatea, (c) datele de contact pentru răspuns.
Termen de răspuns: 1 lună de la primirea cererii, prelungibil cu maxim 2 luni pentru cereri complexe (cu notificarea prealabilă).
Tarif: gratuit. Pentru cereri vădit nefondate sau excesive (în special prin caracter repetitiv) putem percepe o taxă rezonabilă sau refuza cererea, motivând decizia.
8. Dreptul de a depune plângere la autoritatea de supraveghere
Aveți dreptul de a depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP):
- B-dul G-ral. Gheorghe Magheru nr. 28-30, Sector 1, București, cod poștal 010336
- Telefon: +40.318.059.211 / +40.318.059.212
- Email: anspdcp@dataprotection.ro
- Website: www.dataprotection.ro
- Formular online: dataprotection.ro/index.jsp?pid=1546
De asemenea, vă puteți adresa autorității de supraveghere din statul membru UE de reședință obișnuită sau locul de muncă, sau locului unde se presupune că s-a produs încălcarea.
9. Cookies și tehnologii similare
Detalii complete în [Politica de cookies](/legal/cookies). Pe scurt:
- Folosim cookies necesare (fără consimțământ — Art. 5(3) ePrivacy excepție)
- Folosim cookies analitice și marketing strict cu consimțământul prealabil expres colectat prin banner-ul de cookies
- Implementăm Google Consent Mode v2 (`gtag('consent','update',…)`) pentru a propaga semnalele de consimțământ către Google Ads & GA4 fără tracking în absența consimțământului
- Puteți retrage consimțământul oricând prin butonul "Preferințe cookies"
10. Modificări ale politicii
Această politică poate fi actualizată. Modificările materiale se notifică:
- Prin banner persistent pe website timp de 30 zile
- Prin email către persoanele vizate active
Versiunea curentă: 2026-05-27 · În vigoare de la 27 mai 2026.
11. Întrebări și contact
Pentru orice întrebare privind prelucrarea datelor sau pentru exercitarea drepturilor:
Email: contact@commerceos.ro
Această politică este interpretată în conformitate cu legea română și legislația UE aplicabilă. Versiunea în limba română prevalează în caz de divergență față de traduceri.