1. Ce este GDPR și de ce se aplică

GDPR este acronimul pentru General Data Protection Regulation și desemnează Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (denumit în continuare „GDPR”).

GDPR se aplică prelucrării datelor cu caracter personal în contextul activităților unui operator cu sediul în Uniunea Europeană și, în anumite situații, și în legătură cu ofertarea de bunuri sau servicii către persoane din UE sau monitorizarea comportamentului acestora. Site-ul www.ndru.ro poate fi accesat din România și din spațiul UE, iar relațiile cu utilizatorii și clienții (inclusiv persoane fizice) pot implica prelucrări supuse GDPR.

Prezenta politică are rolul de a informa persoanele vizate despre modul în care sunt prelucrate datele lor pe site-ul ndru.ro și în legătură cu serviciile conexe.

2. Identitatea operatorului de date

Operator de date (responsabil cu prelucrarea): www.ndru.ro

Date de contact pentru protecția datelor: contact@ndru.ro

Dacă ați desemnat un delegat pentru protecția datelor (DPO) sau dacă entitatea juridică completă are altă denumire oficială decât domeniul site-ului, este recomandat să actualizați această secțiune cu datele complete de identificare (denumire legală, sediu, CUI/CIF), pentru consistență cu facturarea și practica internă.

3. Categorii de date prelucrate

În funcție de interacțiunea dumneavoastră cu site-ul și de serviciile solicitate, pot fi prelucrate următoarele categorii de date (nu în mod obligatoriu pe toate simultan):

  • Date de identificare și de contact: nume, prenume, funcție (pentru B2B), adresă de e-mail, număr de telefon, denumire firmă.
  • Date de cont utilizator (WordPress / WooCommerce): identificator cont, nume utilizator, parolă sub formă securizată (hash), preferințe de cont acolo unde există.
  • Date de comandă și contractual-comerciale: detalii comandă, produse/abonamente selectate, istoric tranzacții în măsura păstrării în magazin.
  • Date de facturare și plată: informații necesare emiterii facturii și îndeplinirii obligațiilor fiscale (de exemplu adresă de facturare, TVA/CUI pentru persoane juridice), precum și date privind tranzacția în limita furnizată de procesatorii de plată (în general nu includem detalii complete despre card dacă plata este gestionată de un furnizor terț).
  • Date tehnice și de utilizare: adresa IP, identificatori de dispozitiv/browser, jurnale de securitate, date agregate sau pseudonimizate privind navigarea, precum și informații colectate prin cookie-uri și instrumente de analiză (ex.: Google Analytics) sau alte tool-uri de tracking/analytics, în funcție de consimțământ și configurare.
  • Conținut comunicări: mesaje trimise către contact@ndru.ro sau prin formulare, în măsura necesară pentru soluționarea solicitării.

4. Scopurile prelucrării și bazele legale (Art. 6 GDPR)

Prelucrăm date cu caracter personal numai atunci când există un temei legal. În principal, utilizăm următoarele baze, conform Art. 6 GDPR:

4.1. Executarea contractului sau demersuri la cererea persoanei vizate (lit. (b))

  • crearea și administrarea contului de utilizator;
  • procesarea comenzilor, livrarea/accesul la servicii digitale și gestionarea abonamentelor WooCommerce;
  • comunicări operaționale necesare îndeplinirii relației contractuale (confirmări, notificări esențiale).

4.2. Consimțământul (lit. (a))

  • cookie-uri și tehnologii similare care nu sunt strict necesare (analiză: Google Analytics; marketing sau alte tool-uri de tracking/analytics), în măsura în care sunt activate pe bază de consimțământ;
  • comunicări de marketing direct (ex.: newsletter), dacă sunt folosite și numai dacă s-a obținut consimțământ explicit acolo unde cerința legală o impune.

4.3. Obligație legală (lit. (c))

  • facturare, evidențe contabile și fiscalitate;
  • respectarea cerințelor legale aplicabile în România/UE (în domeniul raportărilor obligatorii, acolo unde există).

4.4. Interes legitim (lit. (f))

  • securitatea site-ului, prevenirea fraudelor și abuzurilor;
  • protecția drepturilor și intereselor operatorului (de exemplu gestionarea contestațiilor în limite rezonabile);
  • îmbunătățiri tehnice și măsurători interne, strict în măsura permisă și după caz pe bază de interes legitim evaluat, având în vedere drepturile persoanelor vizate și alternative (cum ar fi agregarea minimă).

Observație: pentru anumite prelucrări puteți combina mai multe temeiuri (de exemplu contract + obligație legală pentru facturare). Temeiul aplicabil va fi precizat, după caz, în momentul colectării sau în documentele contractuale.

5. Destinatari și transferuri

Datele pot fi puse la dispoziția furnizorilor care acționează ca împuterniciți ai operatorului (de exemplu: găzduire web, servicii de e-mail, procesatori de plăți, platforme de analiză), în limitele necesare prestării serviciului și cu garanții adecvate.

Dacă există transferuri către țări din afara SEE, acestea trebuie să fie fundamentate prin mecanisme prevăzute de GDPR (ex.: clauze contractuale standard), în funcție de furnizorii folosiți.

6. Perioada de stocare

Păstrăm datele pe perioade care reflectă:

  • necesitatea executării contractului și a suportului post-vânzare;
  • termenele legale pentru facturi și evidențe contabile;
  • prescripția drepturilor sau necesitatea apărării în litigii;
  • politici interne de retenție pentru jurnale tehnice și securitate.

După împlinirea scopului și a termenelor legale, datele se șterg sau se anonimizează acolo unde este posibil.

7. Drepturile persoanelor vizate

În condițiile și limitările GDPR, aveți următoarele drepturi:

7.1. Dreptul de acces (Art. 15)

Puteți solicita confirmarea faptului că se prelucrează date personale care vă privesc și puteți obține o copie a datelor și informații despre prelucrare.

7.2. Dreptul la rectificare (Art. 16)

Puteți solicita corectarea datelor inexacte sau completarea datelor incomplete.

7.3. Dreptul la ștergere („dreptul de a fi uitat”) (Art. 17)

Puteți solicita ștergerea datelor în situațiile prevăzute de lege (de exemplu retragerea consimțământului acolo unde prelucrarea se baza exclusiv pe consimțământ, sau dacă prelucrarea nu mai este necesară), sub rezerva excepțiilor legale (ex.: obligații de păstrare pentru facturare).

7.4. Dreptul la restricționarea prelucrării (Art. 18)

Puteți solicita restricționarea prelucrării în cazurile prevăzute de Art. 18 GDPR (de exemplu contestarea exactității datelor, pentru o perioadă care permite verificarea).

7.5. Dreptul la portabilitatea datelor (Art. 20)

În măsura în care prelucrarea se bazează pe consimțământ sau pe contract și este efectuată prin mijloace automate, puteți solicita primirea datelor furnizate de dumneavoastră într-un format structurat, utilizat în mod curent și citibil automat și puteți solicita transmiterea acestora către alt operator, dacă acest lucru este tehnic fezabil.

7.6. Dreptul la opoziție (Art. 21)

Puteți vă opune prelucrării bazate pe interes legitim, inclusiv profilării, în condițiile Art. 21 GDPR. De asemenea, puteți vă opune prelucrării în scopuri de marketing direct.

7.7. Retragerea consimțământului

Dacă prelucrarea se întemeiază pe consimțământ (Art. 7 GDPR), puteți retrage consimțământul în orice moment, fără a afecta legalitatea prelucrării efectuate înainte de retragere. Retragerea se poate face prin setările cookie-urilor (unde este disponibil), prin link de dezabonare la comunicări sau prin solicitare la contact@ndru.ro.

8. Modalitatea de exercitare a drepturilor

Pentru a vă exercita drepturile, puteți transmite o cerere scrisă la adresa contact@ndru.ro. Pentru a ne permite identificarea și evitarea divulgării neautorizate, putem solicita informații suplimentare rezonabile de verificare a identității.

Vom răspunde solicitării în termen de maximum 30 de zile de la primire, conform GDPR. Termenul poate fi prelungit cu până la două luni în cazuri complexe, cu o notificare prealabilă, unde este permis de lege.

9. Dreptul de a depune o plângere la autoritatea de supraveghere

Aveți dreptul să depuneți o plângere la autoritatea națională de protecție a datelor din România:

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
Site: https://www.dataprotection.ro/

10. Securitatea datelor

Operatorul implementează măsuri tehnice și organizatorice adecvate pentru protejarea datelor împotriva accesului neautorizat, pierderii, distrugerii sau alterării, ținând cont de natura prelucrării și de riscuri. Aceste măsuri pot include, după caz: controale de acces, utilizarea conexiunilor criptate (HTTPS), politici pentru parole și actualizări, restricționarea accesului la date la personal și furnizori autorizați, proceduri de reziliență și gestionare a incidentelor, în măsura aplicabilității infrastructurii utilizate.

11. Modificări ale prezentei politici

Operatorul poate actualiza periodic această politică pentru a reflecta modificări legislative, tehnologice sau operaționale (inclusiv schimbări ale instrumentelor de analiză sau ale fluxurilor WooCommerce). Versiunea actualizată va fi publicată pe site, iar acolo unde legea o impune, veți fi informat despre modificările relevante.

12. Contact

Pentru întrebări privind protecția datelor cu caracter personal: contact@ndru.ro.