Ultima actualizare:

Prezentul document constituie informarea detaliată privind prelucrarea datelor cu caracter personal efectuată de QUIQ ONLINE SERVICES SRL în legătură cu site-ul ndru.ro și serviciile IT externalizate promovate și contractate prin intermediul acestuia. Documentul este elaborat în conformitate cu Regulamentul (UE) 2016/679 (GDPR), Legea nr. 190/2018 privind măsurile de punere în aplicare a GDPR în România și Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal în sectorul comunicațiilor electronice, acolo unde este aplicabilă.

Această Politică GDPR completează Politica de Confidențialitate publicată pe același site, care oferă o variantă accesibilă orientată utilizatorului. În caz de contradicție neintenționată, prevederile prezentului document prevalează pentru aspectele de conformitate GDPR detaliat.

1. Introducere și identitate operator

Responsabilul cu prelucrarea datelor cu caracter personal (operator) este:

  • Denumire: QUIQ ONLINE SERVICES SRL
  • CUI: 44738744
  • Nr. Reg. Com.: J38/888/2021
  • Sediu social: Str. Lucian Blaga nr. 2A, Bl. A52, Sc. A, Et. 1, Ap. 4, Loc. Râmnicu Vâlcea, Jud. Vâlcea, Cod poștal 240041, România
  • Telefon: +40 751 100 555
  • Email: contact@ndru.ro
  • Website: https://ndru.ro

QUIQ ONLINE SERVICES SRL nu a desemnat formal un Responsabil cu Protecția Datelor (DPO) conform art. 37 GDPR, întrucât activitatea de prelucrare nu îndeplinește, în mod obișnuit, condițiile obligativității desemnării. Punctul de contact pentru toate aspectele privind protecția datelor, exercitarea drepturilor persoanelor vizate și notificările de incidente este adresa de email contact@ndru.ro, cu mențiunea „Protecția datelor personale”, „Solicitare GDPR” sau „DPO” în subiectul mesajului.

2. Domeniu de aplicare

Prezenta politică se aplică prelucrării datelor cu caracter personal efectuate de QUIQ ONLINE SERVICES SRL în următoarele contexte:

  • Vizitatori ai site-ului ndru.ro — persoane care accesează paginile publice, indiferent de crearea unui cont;
  • Clienți potențiali — persoane care transmit solicitări de contact, ofertă sau informații prin formulare, email sau telefon;
  • Clienți contractuali — persoane fizice sau juridice care au încheiat contracte de prestări servicii IT cu Operatorul;
  • Utilizatori de cont — persoane care au creat cont pe platformă pentru acces la zone de client, documente, oferte, ticketing sau alte funcționalități;
  • Reprezentanți ai persoanelor juridice — persoane fizice care acționează în numele unei entități juridice client.

GDPR se aplică prelucrării datelor persoanelor vizate aflate în Uniunea Europeană / Spațiul Economic European (SEE), indiferent de locul unde este stabilit Operatorul. Pentru persoane vizate din afara SEE, Operatorul aplică principiile GDPR și garanțiile de transfer descrise în secțiunea 9, acolo unde prelucrarea este legată de oferirea de servicii sau monitorizarea comportamentului în SEE, sau ca bună practică pentru clienți internaționali.

3. Definiții GDPR (Art. 4)

În sensul Regulamentului (UE) 2016/679, termenii de mai jos au următoarele semnificații:

  • Date cu caracter personal — orice informații privind o persoană fizică identificată sau identificabilă (art. 4 alin. (1));
  • Prelucrare — orice operațiune efectuată asupra datelor personale, automat sau manual: colectare, înregistrare, organizare, stocare, adaptare, consultare, utilizare, divulgare, aliniere, restricționare, ștergere, distrugere (art. 4 alin. (2));
  • Operator — persoana fizică sau juridică care determină scopurile și mijloacele prelucrării; QUIQ ONLINE SERVICES SRL (art. 4 alin. (7));
  • Persoană vizată — persoana fizică identificată sau identificabilă a cărei date sunt prelucrate (art. 4 alin. (1));
  • Consimțământ — manifestare de voință liberă, specifică, informată și neechivocă a persoanei vizate (art. 4 alin. (11));
  • Încălcare a securității datelor — încălcare a securității care duce la distrugere, pierdere, alterare, divulgare neautorizată sau acces neautorizat la date (art. 4 alin. (12));
  • Persoană împuternicită (procesator) — entitatea care prelucrează date în numele operatorului (art. 4 alin. (8));
  • Destinatar — persoana fizică sau juridică căreia îi sunt comunicate datele (art. 4 alin. (9)).

4. Principii Art. 5 GDPR

Operatorul respectă principiile enunțate la art. 5 alin. (1) GDPR:

  • Legalitate, corectitudine, transparență — prelucrare licită, corectă și transparentă față de persoana vizată;
  • Limitarea scopului — colectare pentru scopuri determinate, explicite și legitime; prelucrare compatibilă cu scopurile inițiale;
  • Minimizarea datelor — date adecvate, relevante și limitate la necesar;
  • Exactitate — date exacte și actualizate; măsuri rezonabile pentru rectificare sau ștergere a datelor inexacte;
  • Limitarea stocării — păstrare numai pe perioada necesară scopurilor;
  • Integritate și confidențialitate — securitate adecvată, inclusiv protecție împotriva prelucrării neautorizate;
  • Responsabilitate (accountability) — Operatorul demonstrează conformitatea cu principiile de mai sus.

5. Categorii de date și surse

Operatorul prelucrează următoarele categorii de date, din sursele indicate:

  • Date de identificare — nume, prenume, denumire reprezentant legal; sursă: direct de la persoana vizată, contract, formular;
  • Date de contact — email, telefon, adresă poștală; sursă: direct, contract, factură;
  • Date profesionale — denumire firmă, CUI, funcție, sediu social client; sursă: direct, documente contractuale;
  • Date financiare — IBAN client (pentru returnări plăți, rambursări), date facturare, istoric plăți transfer bancar; sursă: direct, extras bancar, contract; nu colectăm număr complet card;
  • Date tehnice — adresă IP, user agent (browser, dispozitiv, OS), logs acces, cookies; sursă: automat, la vizitarea site-ului;
  • Date comunicări — conținut emailuri, mesaje formulare, înregistrări solicitări suport; sursă: direct;
  • Date cont platformă — credențiale autentificare (parolă hash), preferințe, istoric acces zone client; sursă: direct, automat;
  • Date contractuale — oferte, contracte, livrabile, termene, status proiect; sursă: relația comercială.

Operatorul nu colectează în mod intenționat date din fluxuri de plăți cu card; plata serviciilor se efectuează prin transfer bancar, iar confirmările de plată provin de la instituțiile bancare ale Clientului, nu de la procesatori de card.

6. Categorii speciale de date (Art. 9)

Operatorul nu solicită și nu prelucrează în mod intenționat date din categorii speciale prevăzute de art. 9 GDPR (date privind originea rasială sau etnică, opinii politice, convingeri religioase, apartenență sindicală, date genetice, biometrice, sănătate, viață sexuală, orientare sexuală, condamnări penale).

Dacă o persoană vizată include accidental astfel de date într-o comunicare (email, formular), Operatorul va limita prelucrarea la gestionarea corespondenței și va șterge datele cât mai curând posibil, cu excepția cazurilor în care legea impune păstrarea. Operatorul nu utilizează date speciale pentru profilare sau decizii automate.

7. Scopuri și temeiuri Art. 6 GDPR

Art. 6 alin. (1) lit. b) — Executarea contractului / măsuri precontractuale

Prelucrare necesară pentru executarea contractului la care persoana vizată este parte sau pentru măsuri precontractuale la cererea acesteia: răspuns solicitări ofertă, negociere, încheiere contract servicii IT, executare contract, facturare, comunicări tranzacționale, gestionare cont client, livrare documente, suport contractual.

Art. 6 alin. (1) lit. c) — Obligație legală

Prelucrare necesară pentru respectarea obligațiilor legale: emitere și arhivare facturi fiscale, evidențe contabile (10 ani), raportări ANAF, răspuns solicitări autorități (ANSPDCP, instanțe, ANPC), păstrare documente conform Legii nr. 82/1991 și Codului fiscal.

Art. 6 alin. (1) lit. f) — Interes legitim

Prelucrare necesară pentru interesele legitime ale Operatorului, echilibrate cu drepturile persoanei vizate: securitate IT, prevenire fraudă, logs acces, monitorizare infrastructură, apărarea drepturilor în litigii, statistici agregate interne (fără identificare directă), comunicări despre modificări termeni/politici esențiale. Persoana vizată poate exercita dreptul de opoziție conform art. 21 GDPR.

Art. 6 alin. (1) lit. a) — Consimțământ

Prelucrare bazată pe consimțământ explicit: cookie-uri analitice non-esențiale (Google Analytics), cookie-uri marketing (Meta Pixel, remarketing). Consimțământul este solicitat prin banner cookie; poate fi retras oricând fără a afecta legalitatea prelucrării anterioare. Operatorul nu desfășoară newsletter; remarketing Meta necesită consimțământ cookie marketing.

8. Destinatari și împuterniciți Art. 28

Datele pot fi comunicate următorilor destinatari și persoane împuternicite, pe baza contractelor conform art. 28 GDPR:

  • Furnizori hosting și infrastructură cloud — găzduire site, baze de date, backup;
  • Furnizori servicii email — trimitere facturi, confirmări, comunicări;
  • Furnizori contabilitate și consultanță fiscală — obligații legale;
  • Furnizori dezvoltare și suport IT — mentenanță platformă, sub instrucțiuni Operator;
  • Google Ireland Limited / Google LLC — Google Analytics, Search Console; procesator/operator conform termenilor Google;
  • Meta Platforms Ireland Limited — Meta Pixel; remarketing cu consimțământ;
  • Instituții bancare — procesare transferuri bancare; Operatorul nu utilizează procesator de plăți cu card pe site; comunicarea cu banca Clientului se face în cadrul transferului inițiat de Client, fără colectare date card de către Operator;
  • Autorități publice — ANAF, ANSPDCP, instanțe, alte autorități competente, când legea impune.

Operatorul nu vinde date personale terților. Împuterniciții sunt obligați contractual să prelucreze date numai conform instrucțiunilor Operatorului și să implementeze măsuri de securitate adecvate.

9. Transferuri internaționale Art. 44–49

Datele pot fi transferate către țări din afara SEE, inclusiv:

  • Statele Unite ale Americii — Google LLC, Meta Platforms Inc.; garanții: EU-U.S. Data Privacy Framework (Decizie de adecvare Comisia Europeană, iulie 2023), Clauze Contractuale Standard (SCC) aprobate de Comisia Europeană (art. 46 alin. (2) lit. c));
  • Regatul Unit — acolo unde furnizori au sediu în UK; garanții: Decizie de adecvare sau SCC, conform reglementărilor post-Brexit;
  • Alte țări — transfer numai cu garanții adecvate: SCC, Binding Corporate Rules, decizii de adecvare, sau excepții art. 49 GDPR (consimțământ explicit, executare contract).

Persoana vizată poate solicita informații despre garanțiile aplicate și copii ale SCC la contact@ndru.ro. Operatorul evaluează periodic adecvarea garanțiilor pentru furnizorii utilizați.

10. Perioade de stocare

  • Cont utilizator — pe durata existenței contului; după ștergere la cerere, date profil șterse/anonymizate, exceptând date cu obligație legală;
  • Contracte și documente fiscale — 10 ani de la data emiterii, conform legislației fiscale și contabile;
  • Oferte neacceptate și solicitări precontractuale — până la 3 ani de la ultimul contact;
  • Comunicări marketing/remarketing (Meta, consimțământ cookie) — până la retragerea consimțământului; date agregate analytics până la 26 luni (Google);
  • Logs securitate și acces — 6–12 luni, sau mai mult pentru investigații incidente;
  • Reclamații și litigii — până la rezolvare + termen prescripție aplicabil;
  • Cookie-uri — conform Politicii de Cookie-uri.

La expirare, datele sunt șterse, anonymizate ireversibil sau arhivate securizat, fără identificare persoană vizată.

11. Drepturile persoanei vizate Art. 15–22

Dreptul de acces (Art. 15)

Persoana vizată poate obține confirmarea prelucrării, acces la date, informații despre scopuri, categorii, destinatari, perioada stocare, drepturi, sursă, existența profilare/decizii automate, copie date. Solicitare la contact@ndru.ro. Răspuns în 1 lună (30 zile); prelungire cu 2 luni (total 3) pentru complexitate, cu informare prealabilă.

Dreptul la rectificare (Art. 16)

Rectificare date inexacte, completare incomplete. Operatorul procedează fără întârzieri nejustificate; informează destinatarii conform art. 19 GDPR.

Dreptul la ștergere (Art. 17)

Ștergere când datele nu mai sunt necesare, consimțământ retras, opoziție fără motive legitime, prelucrare ilegală, obligație legală ștergere. Excepții: obligație legală arhivare (facturi 10 ani), apărare drepturi instanță. Procedură: email contact@ndru.ro, subiect „Ștergere date GDPR”.

Dreptul la restricționare (Art. 18)

Restricționare când exactitate contestată, prelucrare ilegală, date necesare apărare drepturi, opoziție în curs verificare. Date stocate, prelucrare limitată conform art. 18 alin. (2).

Dreptul la portabilitate (Art. 20)

Primire date furnizate, format structurat, lizibil automat (JSON, CSV), transmitere alt operator, unde prelucrarea e bazată pe consimțământ sau contract și e automată. Nu include date derivate sau inferate de Operator.

Dreptul de opoziție (Art. 21)

Vezi secțiunea 12.

Identificarea solicitantului

Operatorul poate solicita informații suplimentare pentru verificarea identității, prevenind accesul neautorizat la date. Pentru reprezentanți legali, se poate solicita document justificativ.

12. Dreptul de opoziție Art. 21

Persoana vizată se poate opune prelucrării bazate pe art. 6 alin. (1) lit. e) sau f) GDPR, din motive legate de situația particulară, inclusiv profilare. Operatorul încetează prelucrarea, cu excepția cazului în care demonstrează motive legitime imperioase care prevalează.

Opoziție oricând la prelucrarea în scop marketing direct, inclusiv profilare legată de marketing direct. Operatorul încetează imediat prelucrarea pentru acest scop. Remarketing Meta se oprește prin retragere consimțământ cookie marketing sau setări Meta.

13. Retragere consimțământ Art. 7 alin. (3)

Consimțământul pentru cookie-uri analytics/marketing poate fi retras oricând, prin banner cookie, setări browser sau email contact@ndru.ro. Retragerea nu afectează legalitatea prelucrării efectuate înainte de retragere. Retragerea trebuie să fie la fel de ușoră ca acordarea.

14. Decizii automate Art. 22

Operatorul declară că nu utilizează procese de luare automată a deciziilor, inclusiv profilare, care produc efecte juridice față de persoana vizată sau o afectează în mod similar într-o măsură semnificativă, conform art. 22 GDPR. Nu există scoring automat de credit, respingere automată contract fără intervenție umană sau alte decizii cu impact juridic similar.

Instrumentele Google Analytics și Meta Pixel pot genera segmente pseudonime pentru statistici și remarketing, fără efect juridic asupra persoanei vizate. Filtrele tehnice anti-fraudă pot bloca tranzacții suspecte, cu revizuire umană disponibilă.

15. Securitate Art. 32

Ca firmă IT, Operatorul implementează măsuri tehnice și organizatorice adecvate riscului:

  • Criptare TLS/HTTPS pentru transmisii; criptare date sensibile la rest acolo unde e cazul;
  • Parole stocate hash (bcrypt/Argon2 sau echivalent); politici complexitate;
  • Autentificare multi-factor (MFA) pentru acces administrativ și zone sensibile, acolo unde e implementat;
  • Control acces bazat pe rol, principiul least privilege;
  • Politici securitate, proceduri incidente, instruire personal;
  • Backup-uri regulate, testare restaurare;
  • Monitorizare logs, detectare intruziuni;
  • Evaluare periodică vulnerabilități, patch management;
  • Contracte securitate cu împuterniciții (art. 28).

Plățile se fac prin transfer bancar; Operatorul nu stochează date card pe servere proprii.

16. Încălcări de securitate Art. 33–34

Operatorul menține proceduri pentru detectarea, raportarea și gestionarea încălcărilor securității datelor. În caz de încălcare cu risc pentru drepturile persoanelor vizate, Operatorul notifică ANSPDCP în maximum 72 de ore de la constatare, conform art. 33 GDPR, cu descrierea naturii încălcării, categorii date, număr aproximativ persoane afectate, consecințe probabile, măsuri luate/propuse.

Dacă încălcarea prezintă risc ridicat, Operatorul comunică persoana vizată fără întârziere nejustificată, conform art. 34 GDPR, cu excepțiile legale (date criptate, măsuri ulterioare, efort disproporționat cu comunicare publică). Persoanele vizate pot contacta contact@ndru.ro pentru informații despre incidente care le privesc.

17. Evaluări de impact (DPIA)

Conform art. 35 GDPR, Operatorul efectuează Evaluări de Impact asupra Protecției Datelor (DPIA) atunci când tipul de prelucrare, în special utilizarea de tehnologii noi, este susceptibil să genereze risc ridicat pentru drepturile persoanelor vizate. DPIA se realizează pentru prelucrări noi sau modificate cu risc ridicat (ex. monitorizare sistematică extinsă, prelucrare la scară largă date sensibile — de regulă neaplicabil Operatorului). Rezultatele DPIA ghidează măsuri de atenuare a riscurilor.

18. Minori Art. 8

Site-ul ndru.ro nu vizează persoane sub 16 ani. Prelucrarea datelor minorilor în legătură cu servicii societății informaționale necesită consimțământ titularului răspunderii părintești, conform art. 8 GDPR și Legii nr. 190/2018. Operatorul nu colectează intenționat date de la minori sub 16 ani. Părinții pot solicita ștergerea la contact@ndru.ro.

19. Plângere la ANSPDCP

Persoana vizată are dreptul de a depune plângere la autoritatea de supraveghere:

  • Denumire: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
  • Adresă: B-dul G-ral. Gheorghe Magheru nr. 28-30, Sector 1, 010336 București, România
  • Website: www.dataprotection.ro

Plângerea poate fi depusă indiferent dacă persoana vizată a contactat anterior Operatorul. Persoanele vizate din alte state SEE pot depune plângere la autoritatea din statul reședinței obișnuite, locului de muncă sau locului presupusei încălcări.

20. Obligația furnizării datelor

Furnizarea anumitor date este necesară pentru încheierea și executarea contractului, emiterea facturilor, gestionarea contului sau răspunsul la solicitări. Refuzul de a furniza date obligatorii poate împiedica: crearea contului, transmiterea ofertei, încheierea contractului, facturarea, livrarea serviciilor. Refuzul nu afectează dreptul de a naviga pe paginile publice informative.

Date opționale (telefon secundar, detalii suplimentare) pot fi omise fără a afecta accesul la informații publice; pot limita calitatea răspunsului comercial.

21. Actualizări politică

Operatorul poate actualiza prezenta Politică GDPR pentru reflectarea modificărilor legislative, operaționale sau tehnologice. Modificările intră în vigoare la publicare. Modificări substanțiale pot fi comunicate prin email sau notificare pe site, acolo unde e fezabil. Verificare periodică recomandată.

22. Contact și formulare cereri

Pentru exercitarea drepturilor GDPR, întrebări sau notificări:

  • Email: contact@ndru.ro (subiect: Solicitare GDPR / Protecția datelor)
  • Telefon: +40 751 100 555
  • Adresă poștală: QUIQ ONLINE SERVICES SRL, Str. Lucian Blaga nr. 2A, Bl. A52, Sc. A, Et. 1, Ap. 4, Loc. Râmnicu Vâlcea, Jud. Vâlcea, Cod poștal 240041, România

Model cerere (opțional): Subsemnatul/Subsemnata [nume, prenume], email [email], solicit exercitarea dreptului de [acces / rectificare / ștergere / restricționare / portabilitate / opoziție / retragere consimțământ] conform art. [15/16/17/18/20/21/7] GDPR. Detalii suplimentare: [descriere]. Data: [data]. Semnătură (dacă pe hârtie): [semnătură].

Operatorul răspunde în termen de 1 lună calendaristică, prelungibil cu 2 luni pentru cazuri complexe, cu informare prealabilă conform art. 12 alin. (3) GDPR. Prima copie a datelor este gratuită; copii suplimentare pot fi taxate conform art. 12 alin. (5).

Prin utilizarea site-ului ndru.ro sau contractarea serviciilor, persoana vizată confirmă că a luat cunoștință de prezenta Politică GDPR.