Politica de Confidențialitate — LICITON
Operator de date: LICITON — liciton.online · entitate juridică în curs de înregistrare Responsabil protecția datelor (DPO): 〔NUME_DPO〕 · dpo@liciton.online Versiune: 1.0 · În vigoare din: 11 iunie 2026 Temei: Regulamentul (UE) 2016/679 (GDPR), Legea 190/2018, Legea 506/2004.
1. CINE SUNTEM ȘI CE ACOPERĂ ACEASTĂ POLITICĂ
1.1. Această Politică explică modul în care LICITON prelucrează datele cu caracter personal în calitate de OPERATOR, conform art. 13–14 GDPR.
1.2. Rolul dublu — important. LICITON are două roluri distincte:
- pentru datele contului Utilizatorului (e-mail, nume, telefon, date de facturare) → LICITON este OPERATOR, iar prelucrarea este descrisă în prezenta Politică;
- pentru datele cu caracter personal cuprinse în documentele încărcate de Utilizator (de ex. datele clienților
săi, ale experților, persoanelor de contact) → Utilizatorul este OPERATOR, iar LICITON este PERSOANĂ
ÎMPUTERNICITĂ; acea prelucrare este reglementată separat de Acordul de Prelucrare a Datelor (
acord-prelucrare-date-dpa.md).
2. CE DATE PRELUCRĂM (ca operator) ȘI DE CE
| Categorie de date | Exemple | Scop | Temei juridic (art. 6 GDPR) |
|---|---|---|---|
| Date de identificare și contact | nume, e-mail, telefon, companie | crearea și administrarea contului | executarea contractului — art. 6(1)(b) |
| Date de autentificare | parolă (hash), secret 2FA (criptat) | securitatea contului | obligație legală de securitate + interes legitim — art. 6(1)(c)/(f) |
| Date de facturare | denumire, CUI, adresă | emitere facturi, contabilitate | obligație legală — art. 6(1)(c) |
| Date de plată | procesate de Stripe; noi nu stocăm cardul | încasarea contravalorii | executarea contractului — art. 6(1)(b) |
| Date de utilizare și jurnale | adresă IP, log-uri de acces, jurnal de audit | securitate, prevenirea fraudei, depanare | interes legitim — art. 6(1)(f) |
| Comunicări | e-mailuri de suport, notificări | asistență, informări de serviciu | executarea contractului / interes legitim |
| Comunicări de marketing | newsletter (dacă te abonezi) | informări comerciale | consimțământ — art. 6(1)(a) |
Nu prelucrăm categorii speciale de date (art. 9 GDPR) în scop propriu și nu desfășurăm decizii automate cu efecte juridice asupra persoanei vizate în sensul art. 22 GDPR în cadrul administrării contului.
3. CÂT TIMP PĂSTRĂM DATELE
- Date de cont: pe durata contului + maximum 90 de zile după închidere (pentru reactivare / litigii), apoi ștergere sau anonimizare.
- Date financiar-contabile (facturi): 10 ani, conform Legii contabilității 82/1991.
- Jurnale de securitate / audit log: append-only, păstrate pe durata necesară securității și conformității (de regulă până la 24 de luni), apoi arhivate/anonimizate.
- Documente încărcate și rapoarte: conform instrucțiunilor Utilizatorului-operator și DPA; implicit, pe durata contului, cu posibilitatea ștergerii la cerere.
- Date de marketing: până la retragerea consimțământului.
4. CUI DIVULGĂM DATELE — ÎMPUTERNICIȚI ȘI TERȚI
Nu vindem date personale. Le divulgăm doar subîmputerniciților strict necesari, sub contract conform art. 28 GDPR:
| Subîmputernicit | Rol | Localizare date |
|---|---|---|
| Hetzner Online GmbH | hosting infrastructură (servere, stocare) | Germania (UE) |
| Stripe Payments Europe, Ltd. | procesare plăți | UE / cu garanții adecvate |
| Furnizor e-mail (SMTP) 〔...〕 | trimitere notificări tranzacționale | UE / cu garanții adecvate |
| Furnizori AI (Anthropic / Mistral) 〔...〕 | procesare lingvistică pentru audit (vezi DPA) | conform DPA și garanțiilor de transfer |
| Sentry 〔dacă activ〕 | monitorizare erori | conform garanțiilor de transfer |
Lista actualizată a subîmputerniciților se menține în acord-prelucrare-date-dpa.md. Putem divulga date și
autorităților când există obligație legală.
5. TRANSFERURI ÎN AFARA SEE
Infrastructura principală este în Germania (UE) — fără transfer în afara SEE pentru datele găzduite. Acolo unde un subîmputernicit implică transfer în afara SEE, acesta se realizează numai în baza unor garanții adecvate (decizie de adecvare a Comisiei Europene sau Clauze Contractuale Standard — SCC), conform Cap. V GDPR.
6. DREPTURILE TALE (art. 15–22 GDPR)
Ai dreptul la: acces, rectificare, ștergere („dreptul de a fi uitat"), restricționare, portabilitate, opoziție (inclusiv la marketing), și de a nu fi supus unei decizii automate cu efecte juridice. Poți retrage consimțământul oricând (fără efect asupra prelucrării anterioare).
Cum le exerciți: scrie la dpo@liciton.online. Răspundem în maximum 30 de zile (prelungibil cu 60 în cazuri complexe, cu informare). Exercitarea drepturilor este gratuită, cu excepția cererilor vădit nefondate sau excesive.
Dreptul de a depune plângere: te poți adresa A.N.S.P.D.C.P. (Autoritatea Națională de Supraveghere a Prelucrării
Datelor cu Caracter Personal, www.dataprotection.ro) sau autorității de supraveghere din statul tău de reședință.
7. SECURITATEA DATELOR
Aplicăm măsuri tehnice și organizatorice conform art. 32 GDPR, între care:
- Criptare în repaus: documentele sunt criptate AES-256-GCM cu cheie unică per cont (envelope encryption); secretul 2FA este criptat la nivel de câmp în baza de date.
- Criptare în tranzit: HTTPS/TLS obligatoriu pe toate conexiunile.
- Izolare multi-tenant: separarea datelor între utilizatori (Row Level Security PostgreSQL).
- Autentificare: parole stocate ca hash (bcrypt), 2FA TOTP obligatorie, JWT cu rotație.
- Acces minim necesar, jurnal de audit imutabil (append-only), URL-uri presemnate cu durată de 15 minute pentru documente.
- Hosting în UE (Germania), sub jurisdicție GDPR.
În caz de breșă de securitate care prezintă risc, notificăm A.N.S.P.D.C.P. în 72 de ore și, când e cazul, persoanele vizate (art. 33–34 GDPR).
8. COOKIES
Utilizarea cookie-urilor și a tehnologiilor similare este descrisă în politica-cookies.md.
9. MODIFICĂRI
Putem actualiza această Politică. Modificările materiale se notifică prin Platformă și/sau e-mail. Versiunea curentă
este mereu disponibilă la https://liciton.online.
Pentru orice întrebare privind protecția datelor: dpo@liciton.online.