Operatorul de date cu caracter personal, în sensul art. 4 alin. (7) din GDPR, este:
În funcție de natura interacțiunii cu platforma sbr.systems, prelucrăm următoarele categorii de date:
| Categorie | Date specifice | Context colectare |
|---|---|---|
| Date de identificare | Nume, prenume, adresă de email | Creare cont, newsletter Signals |
| Date de autentificare | Email, hash parolă (bcrypt), token sesiune | Login platformă |
| Date de facturare | Nume companie, CIF, adresă, IBAN (plăți B2B) | Activare plan comercial |
| Date comportamentale | Răspunsuri quiz, scoruri SBR, tipare de decizie | SBR Score Engine, simulări |
| Date de utilizare | Paginile accesate, tipologiile vizualizate, timestamps | Audit log, îmbunătățire produs |
| Date tehnice | Adresă IP, User Agent, browser, sistem operare | Securitate, prevenire abuz |
| Date B2B (angajați) | Nume, email, departament, scoruri risc comportamental | Platforma Business — Employee Risk Scoring |
| Date de contact comercial | Email, telefon, companie, mesaj | Formulare contact, negocieri contractuale |
| Scop | Temei juridic (art. 6 GDPR) | Detalii |
|---|---|---|
| Furnizarea serviciilor platformei | Art. 6 alin. (1) lit. b — executarea contractului | Acces la Codex, AFIS, Signals, Post-Fraud Framework conform planului achiziționat |
| Gestionarea contului utilizator | Art. 6 alin. (1) lit. b — executarea contractului | Autentificare, management sesiune, gestionare plan de abonament |
| Procesarea plăților | Art. 6 alin. (1) lit. b — executarea contractului | Emitere factură, confirmare plată prin Stripe, gestionare abonament |
| SBR Score Engine — evaluare comportamentală | Art. 6 alin. (1) lit. b + consimțământ explicit | Calculul profilului de vulnerabilitate pe 5 dimensiuni. Consimțământ separat la accesarea funcționalității. |
| Signals newsletter | Art. 6 alin. (1) lit. a — consimțământ | Distribuire feed intelligence lunar. Dezabonare oricând prin link din email. |
| Comunicări comerciale | Art. 6 alin. (1) lit. a — consimțământ | Notificări actualizări produs, oferte, events. Opțiune separată la înregistrare. |
| Obligații legale și fiscale | Art. 6 alin. (1) lit. c — obligație legală | Arhivare facturi conform Legii 82/1991 și Codului Fiscal român |
| Securitate și prevenire fraudă | Art. 6 alin. (1) lit. f — interes legitim | Detectare acces neautorizat, protecție infrastructură, audit log. Interesul legitim prevalează față de interesul persoanei vizate. |
| B2B — Employee Risk Scoring | Art. 6 alin. (1) lit. b + art. 88 — context angajare | Operatorul corporativ (angajatorul) are obligația de a informa angajații despre prelucrare conform art. 13 GDPR. SBR acționează ca persoană împuternicită (processor) față de angajator (operator). |
| Îmbunătățire produs — analytics agregat | Art. 6 alin. (1) lit. f — interes legitim | Date anonimizate agregate privind utilizarea platformei. Nu permit identificarea individuală. |
SBR colaborează cu următorii subcontractori (persoane împuternicite) care prelucrează date în numele nostru, cu garanții contractuale GDPR conform art. 28:
| Subcontractor | Rol | Date transmise | Garanție GDPR |
|---|---|---|---|
| Supabase Inc. | Bază de date, autentificare | Date cont, scoruri, sesiuni | Clauze contractuale standard UE (SCC) |
| Stripe Inc. | Procesare plăți | Date facturare, plan achiziționat | SCC + Privacy Shield successor framework |
| Hostinger International | Hosting web | Fișiere statice, loguri web | UE — adecvat GDPR |
| Google LLC | Fonturi web (Google Fonts) | Adresă IP (request font) | SCC |
SBR nu vinde, nu închiriază și nu cedează date cu caracter personal către terți în scopuri comerciale proprii ale acestora. Datele nu sunt partajate cu agenții de publicitate sau brokeri de date.
Autorități publice: datele pot fi divulgate autorităților competente (Poliție, DIICOT, instanțe judecătorești) exclusiv în baza unei obligații legale sau ordin judecătoresc, conform art. 6 alin. (1) lit. c și e GDPR.
| Categorie date | Durată stocare | Criteriu |
|---|---|---|
| Date cont utilizator activ | Pe durata contractului + 90 zile după închidere | Executarea contractului |
| Date facturare și plăți | 10 ani | Obligație legală — Legea 82/1991 |
| Scoruri comportamentale SBR | Pe durata abonamentului activ | Contractual — șterse la expirare cont |
| Loguri de securitate | 12 luni | Interes legitim — securitate |
| Date newsletter Signals | Până la dezabonare + 30 zile | Consimțământ retras |
| Date contact comercial B2B | 3 ani de la ultimul contact | Interes legitim comercial |
| Date Employee Risk Scoring | Pe durata contractului B2B + 30 zile | Contract cu operatorul corporativ |
La expirarea termenelor de stocare, datele sunt șterse irevocabil sau anonimizate astfel încât să nu mai permită identificarea persoanei vizate, conform politicii interne de retenție a datelor.
Conform Capitolului III din GDPR, persoanele vizate beneficiază de următoarele drepturi, exercitabile prin cerere scrisă la dpo@sbr.systems:
SBR implementează măsuri tehnice și organizatorice adecvate conform art. 32 GDPR, proporționale cu riscurile identificate:
Platforma sbr.systems utilizează cookie-uri și tehnologii similare în conformitate cu Directiva ePrivacy (2002/58/CE) și GDPR:
| Tip cookie | Denumire / Furnizor | Scop | Durată | Bază legală |
|---|---|---|---|---|
| Esențiale | sbr-auth (Supabase) | Menținere sesiune autentificată | Sesiune / 7 zile | Necesar tehnic — fără consimțământ |
| Esențiale | sbr_lang | Preferința de limbă selectată | 1 an | Interes legitim |
| Preferințe | sbr-plan (localStorage) | Memorare plan achiziționat local | Persistent | Executarea contractului |
| Terțe | Google Fonts | Livrare fonturi web | Sesiune | Interes legitim |
SBR nu utilizează cookie-uri de tracking publicitar (Google Analytics, Facebook Pixel, etc.) și nu participă la niciun sistem de remarketing. Datele de navigare pe platformă nu sunt partajate cu rețele publicitare.
Consimțământul pentru cookie-uri non-esențiale poate fi retras oricând prin ștergerea cookie-urilor din setările browserului.
Platforma sbr.systems este destinată exclusiv persoanelor cu vârsta de minimum 18 ani. Nu colectăm în mod intenționat date cu caracter personal ale minorilor sub 16 ani fără consimțământul titularului autorității părintești.
Dacă avem cunoștință că am colectat date ale unui minor fără consimțământ parental adecvat, vom proceda imediat la ștergerea acestor date. Sesizările se transmit la dpo@sbr.systems.
Platforma SBR utilizează SBR Score Engine, un sistem de evaluare comportamentală automată care calculează un profil de vulnerabilitate la fraude digitale pe baza răspunsurilor la quiz-uri și simulări interactive.
Utilizatorul poate solicita oricând:
Cererile se transmit la dpo@sbr.systems cu subiectul "Drept art. 22 GDPR — SBR Score".
Unii dintre subcontractorii noștri au sediul în afara Spațiului Economic European (SEE). Transferurile de date către acești subcontractori se efectuează cu garanții adecvate conform art. 46 GDPR:
La cerere, SBR poate furniza copii ale garanțiilor aplicabile. Cererea se transmite la dpo@sbr.systems.
SBR poate actualiza periodic prezenta politică pentru a reflecta modificări legislative, schimbări în serviciile oferite sau actualizarea practicilor de prelucrare. Modificările semnificative vor fi comunicate prin:
Continuarea utilizării platformei după intrarea în vigoare a modificărilor constituie acceptarea versiunii actualizate. Utilizatorul care nu este de acord cu modificările poate solicita închiderea contului și ștergerea datelor.
Pentru orice solicitare privind protecția datelor cu caracter personal, exercitarea drepturilor prevăzute în prezenta politică sau sesizarea oricărei potențiale încălcări: