Politică de confidențialitate
Ultima actualizare: 28 Martie 2026 · Conform GDPR (Regulamentul UE 2016/679)
1. Operatorul de date
Qedara Finance OS SRL este operatorul de date cu caracter personal conform GDPR. Contact: gdpr@qedarastart.ro.
Responsabil cu protecția datelor (DPO): gdpr@qedarastart.ro
2. Ce date colectăm (Art. 13-14 GDPR)
Date de identificare și contact: nume, prenume, adresă de email, număr de telefon (opțional).
Date despre firmă: denumire entitate, CUI, adresă sediu, cod CAEN, regim fiscal, certificat digital SPV ANAF.
Date contabile: facturi emise și primite, registru jurnal, balanță de verificare, declarații fiscale, extrase bancare.
Date tehnice: adresă IP, tip browser, sistem de operare, activitate în platformă (audit log), cookies tehnice.
Date de facturare: vor fi colectate la momentul activării planurilor cu plată (funcționalitate în curs de implementare).
3. Scopul și temeiul legal al prelucrării
| Scop | Temei legal (Art. 6 GDPR) |
|---|---|
| Furnizarea serviciilor SaaS | Art. 6(1)(b) — executarea contractului |
| Autentificare și securitate cont | Art. 6(1)(b) — executarea contractului |
| Facturare și plăți | Art. 6(1)(b) — executarea contractului |
| Transmitere declarații fiscale ANAF | Art. 6(1)(c) — obligație legală |
| Audit log (imutabil) | Art. 6(1)(c) — obligație legală |
| Comunicări despre serviciu | Art. 6(1)(b) — executarea contractului |
| Newsletter și marketing | Art. 6(1)(a) — consimțământ (opțional) |
| Îmbunătățirea serviciului (date anonimizate) | Art. 6(1)(f) — interes legitim |
4. Durata stocării
- Date cont și date contabile: pe durata contractului + 5 ani (conform Legii contabilității nr. 82/1991)
- Date facturare: 5 ani de la data facturii (obligație fiscală)
- Audit log: 5 ani — append-only, nu poate fi șters
- Date tehnice (IP, logs): 90 de zile
- Date marketing (cu consimțământ): până la retragerea consimțământului
5. Transferuri internaționale
Datele dumneavoastră sunt stocate exclusiv pe servere din Frankfurt, Germania (UE), prin Neon (PostgreSQL) și Vercel Edge Network. Nu transferăm date în afara Spațiului Economic European.
Procesatorul de plăți va fi activat odată cu lansarea planurilor cu plată și va opera în UE cu garanții adecvate.
6. Drepturile dumneavoastră
Conform GDPR, aveți următoarele drepturi, exercitabile prin email la gdpr@qedarastart.ro:
- Dreptul de acces (Art. 15): primiți o copie a datelor prelucrate
- Dreptul la rectificare (Art. 16): corectarea datelor inexacte
- Dreptul la ștergere (Art. 17): ștergerea datelor (cu excepția celor impuse de lege)
- Dreptul la portabilitate (Art. 20): exportul datelor în format structurat (CSV/JSON)
- Dreptul la opoziție (Art. 21): opoziție față de prelucrarea pe baza interesului legitim
- Dreptul de restricționare (Art. 18): limitarea prelucrării în cazuri specifice
- Retragerea consimțământului: oricând, fără a afecta legalitatea prelucrării anterioare
Răspundem cererilor în maxim 30 de zile calendaristice. Puteți depune plângere și la ANSPDCP — www.dataprotection.ro.
7. Subcontractori (procesatori de date)
- Neon Inc. — baze de date PostgreSQL (Frankfurt, EU)
- Vercel Inc. — hosting și edge network (Frankfurt, EU)
- Resend Inc. — trimitere emailuri tranzacționale (SUA, Clauze Contractuale Standard UE)
- Anthropic PBC — asistență AI pentru înregistrare automată (date anonimizate, Zero Data Retention, Clauze Contractuale Standard UE)
- Render Services Inc. — hosting API backend (Frankfurt, EU, Clauze Contractuale Standard UE)
Lista completă a sub-procesatorilor, cu garanțiile asociate, este disponibilă în Acordul de Prelucrare a Datelor (DPA). Operatorul va fi notificat cu minimum 30 de zile înainte de adăugarea oricărui nou sub-procesator.
7a. Prelucrarea AI (Anthropic Claude)
Platforma utilizează Anthropic Claude API pentru funcționalitatea de înregistrare automată a documentelor. Important:
- Documentele trimise către API-ul Anthropic sunt anonimizate — sunt eliminate toate datele personale identificabile (nume, CNP, adrese) înainte de procesare
- Anthropic aplică politica Zero Data Retention pentru utilizatorii API: datele nu sunt stocate, nu sunt folosite pentru antrenarea modelelor
- Transferul se realizează cu garanții adecvate conform Clauzelor Contractuale Standard UE
- Funcționalitatea AI poate fi dezactivată din Setări → Integrări → AI înregistrare automată
Pentru mai multe informații despre politica de confidențialitate Anthropic: www.anthropic.com/privacy
8. Securitate
Aplicăm măsuri tehnice și organizatorice adecvate: criptare în tranzit (TLS 1.3), criptare la repaus (AES-256), autentificare cu token JWT cu expirare scurtă, audit log imutabil, backup zilnic cu point-in-time recovery, acces pe principiul least-privilege.
9. Notificarea breșelor de securitate (Art. 33-34 GDPR)
În cazul unei breșe de securitate care prezintă risc pentru drepturile și libertățile persoanelor vizate:
- Notificăm ANSPDCP în termen de 72 de ore de la data la care am luat cunoștință de breșă (Art. 33 GDPR), cu descrierea naturii incidentului, categoriile și numărul aproximativ de persoane afectate, consecințele probabile și măsurile luate
- Notificăm persoanele afectate fără întârzieri nejustificate dacă breșa prezintă un risc ridicat pentru drepturile și libertățile acestora (Art. 34 GDPR)
- Menținem un registru intern al tuturor breșelor de securitate, indiferent dacă au necesitat notificarea autorității
Notificarea va conține: natura breșei, datele de contact ale DPO, consecințele probabile, măsurile luate sau propuse pentru remedierea breșei.
Pentru a raporta o vulnerabilitate de securitate: security@qedarastart.ro