Protectia Datelor
1. Principii GDPR
Prelucram datele cu caracter personal in conformitate cu principiile de baza din GDPR Art. 5:
- Legalitate, echitate si transparenta - baza legala clara pentru fiecare activitate de prelucrare
- Limitarea scopului - date colectate pentru scopuri specifice, explicite si legitime
- Minimizarea datelor - doar datele necesare pentru scopul declarat
- Acuratete - mentinute la zi; datele inexacte sunt corectate sau sterse
- Limitarea stocarii - retinute doar atat cat este necesar
- Integritate si confidentialitate - protejate prin masuri de securitate adecvate
2. Roluri si Procesatori
- Operator: Devi Devs Technologies S.R.L.
- Procesatori:
- Supabase (baza de date, UE Frankfurt)
- Upstash (limitare rata, UE Frankfurt)
- Vercel (gazduire, CDN global)
- Resend (email tranzactional)
- Google reCAPTCHA (protectie impotriva abuzului)
- Google Analytics 4 (analiza, pe baza de consimtamant)
- Plausible Analytics (analiza respectuoasa cu viata privata, UE Estonia)
Pentru detalii complete despre fiecare procesator, inclusiv locatie si mecanisme de transfer, vezi Politica de Confidentialitate, Sectiunea 4.
3. Activitati de Prelucrare a Datelor
| Proces | Sistem | Categorii | Scop | Baza legala |
|---|---|---|---|---|
| Formular contact | Vercel → Supabase | Nume, email, telefon, mesaj | Raspuns la solicitari | Art. 6(1)(b) |
| Newsletter | Vercel → Supabase → Resend | Adresa de email | Trimitere actualizari si informatii | Art. 6(1)(a) (consimtamant) |
| Engagement email | Resend webhooks → Supabase | Evenimente livrare | Monitorizarea livrarii | Art. 6(1)(f) |
| Cereri GDPR | Vercel → Supabase | Nume, email, cerere | Indeplinirea drepturilor persoanelor vizate | Art. 6(1)(c) |
| Limitare rata | Upstash Redis | Adresa IP (hash) | Prevenire abuz | Art. 6(1)(f) |
4. Analiza si Masurare
- Google Analytics 4: Se incarca doar dupa consimtamant. Controlezi din Setarile de reclame si Activitatea mea.
- Plausible Analytics: Respectuos cu viata privata, fara cookie-uri, fara date personale colectate. Gazduit in UE.
- Consent Mode v2: Toate cele patru semnale (
ad_storage,ad_user_data,ad_personalization,analytics_storage) sunt setate conform alegerilor tale de consimtamant.
5. Retentie si Stergere
Retinem datele doar pentru perioada minima necesara. Perioade specifice de retentie:
| Categorie date | Perioada de retentie | Baza |
|---|---|---|
| Trimiteri formular contact | 3 ani de la ultima interactiune | Precontractual + obligatii fiscale |
| Abonari newsletter | Pana la dezabonare + 30 zile | Bazat pe consimtamant |
| Inregistrari consimtamant | 3 ani | Obligatie legala (dovada GDPR Art. 7(1)) |
| Loguri securitate / audit | 12 luni | Interes legitim |
| Backup-uri baza de date | 30 zile de la stergerea primara | Necesitate tehnica |
Dupa expirarea perioadei de retentie, datele sunt sterse sau anonimizate, cu exceptia cazului in care retentia este impusa de lege.
6. Masuri Tehnice si Organizatorice
Implementam masuri adecvate nivelului de risc (GDPR Art. 32):
- Criptare TLS 1.2+ pentru toate datele in tranzit
- Content Security Policy (CSP) bazata pe nonce cu strict-dynamic
- HSTS cu preload pentru impunerea HTTPS
- Limitare rata prin Upstash Redis (algoritm sliding window)
- Validare input (scheme Zod), escapare entitati XSS, reCAPTCHA + honeypot
- Row Level Security (RLS) la nivel de baza de date
- Acces bazat pe necesitate, control al accesului bazat pe roluri
- Backup-uri regulate cu testare de restaurare
- Minimizarea datelor si segregarea mediilor
7. Incidente de Securitate
In cazul unei incalcari a securitatii datelor cu caracter personal care afecteaza confidentialitatea, integritatea sau disponibilitatea, vom: (1) evalua impactul si contine incalcarea; (2) notifica autoritatea de supraveghere (ANSPDCP) in termen de 72 de ore, acolo unde este necesar conform GDPR Art. 33; (3) comunica persoanelor vizate afectate, acolo unde incalcarea prezinta un risc ridicat conform GDPR Art. 34; (4) documenta incidentul, efectele sale si masurile de remediere luate.
8. Evaluarea Impactului asupra Protectiei Datelor
Acolo unde o activitate de prelucrare este susceptibila sa genereze un risc ridicat pentru drepturile si libertatile persoanelor fizice, efectuam o Evaluare a Impactului asupra Protectiei Datelor (DPIA) in conformitate cu GDPR Art. 35. Consultam autoritatea de supraveghere (ANSPDCP) acolo unde este necesar conform GDPR Art. 36.
9. Acces si Control
Accesul la date este restrictionat personalului autorizat pe baza de rol si necesitate. Cererile persoanelor vizate pot fi trimise la security@devidevs.com (raspuns in 30 de zile). Poti trimite si o cerere prin formularul de cerere GDPR.
10. Transferuri Internationale
Acolo unde datele sunt transferate in afara UE/SEE, ne bazam pe EU-US Data Privacy Framework (pentru furnizorii din SUA certificati) si/sau Clauzele Contractuale Standard (SCCs) conform Deciziei de punere in aplicare a Comisiei (UE) 2021/914. Stocarea primara a datelor (Supabase, Upstash) este in UE (Frankfurt). Vezi Politica de Confidentialitate, Sectiunea 5 pentru detalii.
11. Autoritatea de Supraveghere
ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal)
B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, 010336, București, România
Email: anspdcp@dataprotection.ro
Website: www.dataprotection.ro
12. Referinte Legislative
- Regulamentul General privind Protectia Datelor (Regulamentul (UE) 2016/679)
- Legea Romaniei 190/2018 (implementarea GDPR)
- Legea Romaniei 506/2004 (prelucrarea datelor in comunicatiile electronice)
- Directiva ePrivacy 2002/58/CE
- EU AI Act (Regulamentul (UE) 2024/1689)
Versiune: v2.1.0 · Ultima actualizare: 2026‑02‑13