← Toate documentele legale
Legale

Politica de confidențialitate

Aici descriem ce date colectăm despre tine, de ce le colectăm, cu cine le împărțim și ce drepturi ai. Aplică Regulamentul (UE) 2016/679 (GDPR) și Legea 190/2018.

1. Operatorul de date

Operatorul de date personale este SC Codedope SRL, persoană juridică română:

  • CUI: RO46169254
  • Reg. Com.: J2023000616026
  • Sediul: Arad, România
  • Email contact / DPO: support@evidenta.app

2. Datele pe care le colectăm

Date de cont (necesare pentru contract):

  • Adresa de email
  • Numele afișat (opțional, ales de tine)
  • Parola — stocată hash-uită (bcrypt), niciodată în clar
  • Data creării contului și ultimul login

Date despre cheltuieli (necesare pentru contract):

  • Sumele și descrierile pe care le adaugi tu
  • Categorie, dată, persoana asociată din gospodărie
  • Imagini ale bonurilor (opțional, doar pe Pro, doar dacă încarci tu)

Date tehnice (interes legitim, securitate):

  • Adresa IP — pentru rate limiting și protecție anti-abuz
  • User-agent — pentru optimizare per device
  • Logs minime de acces — păstrate 30 de zile

Nu colectăm: date bancare (sunt procesate exclusiv de procesatorul nostru de plăți), locația ta, cookies de tracking sau marketing, date de la rețele sociale, date despre alți utilizatori cu care nu ai relație directă.

3. Scopul prelucrării

Prelucrăm datele tale pentru:

  • Furnizarea serviciului Evidenta (executarea contractului)
  • Autentificare și securitate (interes legitim)
  • Comunicări tehnice esențiale (resetare parolă, notificări de facturare, schimbări importante)
  • Doar cu acord explicit: newsletter sau anunțuri despre funcții noi
  • Conformare cu obligații legale (fiscale, contabile)

4. Subprocesatori (categorii de furnizori)

Folosim un număr restrâns de furnizori certificați, fiecare cu un rol clar și un contract de prelucrare (DPA) semnat. Lista nominală completă este disponibilă la cerere, scriindu-ne pe email.

  • Furnizor de infrastructură cloud — hosting baza de date și serviciul de autentificare. Datele stocate într-un centru de date din Uniunea Europeană.
  • Furnizor de hosting web — servește aplicația web (paginile și API-ul) din Uniunea Europeană.
  • Procesator de plăți autorizat (EU) — procesarea plăților pentru abonamentele Pro. Datele cardului tău sunt introduse direct la procesator; noi nu le vedem și nu le stocăm.
  • Furnizor de sistem inteligent (parteneriat extern UE) — pentru analizele Pro generate automat. Trimitem doar cheltuielile recente, în formă anonimizată (fără email, fără nume), exclusiv atunci când tu apeși butonul de analiză.
  • Furnizor de email tranzacțional (EU) — trimiterea email-urilor esențiale (resetare parolă, factură, notificări de cont).

5. Transferuri internaționale

În prezent, singurul transfer de date în afara Spațiului Economic European este către furnizorul partener al sistemului inteligent, pentru analizele Pro. Transferul se face în baza Standard Contractual Clauses (SCC) aprobate de Comisia Europeană (Decizia 2021/914), iar datele trimise sunt anonimizate (fără email, nume sau alt identificator personal direct).

6. Perioada de retenție

  • Date de cont și cheltuieli — până când îți ștergi contul sau datele. După ștergere, mai păstrăm 30 de zile în backup-uri criptate, apoi se șterg permanent.
  • Logs tehnice — 30 de zile.
  • Documente fiscale (facturi) — 10 ani (obligație legală conform Codului Fiscal).
  • Newsletter — până când te dezabonezi.

7. Drepturile tale

Sub GDPR ai următoarele drepturi:

  • Acces — descarci toate datele tale din Setări → Export
  • Rectificare — modifici direct în aplicație
  • Ștergere („dreptul de a fi uitat") — Setări → Șterge cont
  • Portabilitate — export JSON / CSV
  • Restricționare / opoziție — scrie-ne pe email
  • Retragerea consimțământului — pentru newsletter, oricând, dintr-un click

Pentru detalii despre fiecare drept și cum îl exerciți, vezi pagina dedicată GDPR.

8. Securitate

  • Conexiuni HTTPS pe tot site-ul (TLS 1.3)
  • Parolele hash-uite cu bcrypt (cost factor 12)
  • Sesiuni semnate criptografic (HMAC) pe cookie-uri
  • Backup-uri zilnice, criptate, cu retenție de 30 zile
  • Acces la baza de date doar cu autentificare 2FA și pe IP-uri whitelisted
  • Audit periodic al dependențelor (npm audit, Snyk)

În caz de incident de securitate care îți afectează datele, te anunțăm în maxim 72 de ore (conform GDPR art. 33-34) și raportăm la ANSPDCP.

9. Cookies

Folosim doar cookies strict necesare pentru autentificare. Detalii în Politica de cookies.

10. Plângere către autoritatea de supraveghere

Dacă crezi că drepturile tale GDPR sunt încălcate, poți depune plângere la:

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
B-dul G-ral. Gheorghe Magheru 28-30, sector 1, București
www.dataprotection.ro
anspdcp@dataprotection.ro

11. Modificări

Te anunțăm prin email și in-app cu cel puțin 14 zile înainte de schimbări semnificative. Versiunea curentă apare cu data ultimei actualizări la finalul paginii.