Politica de confidențialitate

Politica de Confidențialitate

1. Introducere și operatorul de date

Această Politică de Confidențialitate explică modul în care colectăm, utilizăm, păstrăm și protejăm informațiile personale ale clienților în conformitate cu:

• Regulamentul (UE) nr. 2016/679 (GDPR)
• Legea nr. 190/2018 - Măsuri de punere în aplicare a GDPR în dreptul român
• OUG 34/2014 - Vânzări la distanță

2. Care sunt datele personale pe care le colectăm

2.1 Datele colectate în timpul procesului de cumpărare

Când creați un cont sau plasați o comandă, colectăm:

• Informații de identificare: Nume complet, adresă de email, număr de telefon
• Adresa de livrare: Strada, nr., bloc, scară, apt, cod poștal, localitate, județ
• Informații de plată: Metoda de plată selectată (nu stocăm detalii de card)
• Istoria comenzilor: Produse achiziționate, date, prețuri, status livrare
• Preferințe: Limba, corespondență marketing (cu consimțământul explicit)

2.2 Datele colectate automat

Platforma noastră colectează automat:

• Cookie-uri și tehnologii de urmărire: Tip dispozitiv, browser, adresă IP, pagini vizitate, timp de vizită
• Date de utilizare: Interacțiuni cu site (clickuri, căutări, produse adăugate în coș)
• Locație aproximativă: Oraș/județ pe bază de IP (nu geolocalizare precisă)

2.3 Datele de la terți

Primim date de la:

• Servicii de plată: Shopify Payments (confirmări de tranzacție, status plată)
• Curieri parteneri: Status livrare, date de urmărire, confirmare primire
• Furnizor de servicii email: Informații privind livrarea mesajelor, inclusiv erori de livrare și reclamații

3. Pentru ce folosim datele personale

3.1 Baza juridică pentru prelucrare

Prelucrarea datelor personale se face pe următoarele baze juridice conform GDPR Art. 6(1):

• (a) Consimțământul: Marketing, sondaje, newsletter (opțional)
• (b) Executarea contractului: Procesare comenzi, livrare, plată
• (c) Obligație legală: Legislație fiscală, TVA, evidență comercială
• (f) Interese legitime: Securitate, prevenire fraude, analiză a utilizării site-ului

3.2 Executarea contractului (Art. 6(1)(b) GDPR)

Utilizăm datele personale pentru:

• Crearea și gestionarea contului dumneavoastră
• Procesarea și finalizarea comenzii
• Organizarea și urmărirea livrării
• Gestionarea returnurilor și garanției
• Procesarea plăților (prin Shopify Payments)
• Comunicare privind comanda (confirmări, status livrare)
• Rezolvarea disputelor și reclamațiilor

3.3 Obligații legale (Art. 6(1)(c) GDPR)

• Respectarea legislației fiscale (TVA, rețineri)
• Conformitate cu OUG 34/2014 (vânzări la distanță)
• Evidența juridică a comenzilor (7 ani conform legislației)

3.4 Consimțământul explicit (Art. 6(1)(a) GDPR)

Cu consimțământul dumneavoastră expres:

• Newsletter de marketing (cupoane, noi produse)
• Notificări SMS (doar cu acceptare separată)
• Cookie-uri de analiză și retargetare (Google Analytics, Facebook Pixel)
• Sondaje de satisfacție și feedback

4. Partajarea datelor cu terți

4.1 Servicii de livrare (curieri)

Pentru livrare, partajăm cu curieri:

• FAN Courier
• Sameday
• Cargus
• DPD
• Curiera

Datele partajate: Nume, telefon, adresă livrare, descriere pachet. Curierii au propriile politici de confidențialitate.

4.2 Furnizori de plată

Shopify Payments: Procesează plăți VISA, Mastercard, Apple Pay, Google Pay. Noi nu avem acces la detalii de card. Shopify respectă PCI DSS 3.2.1.

4.3 Servicii de email și marketing

Pentru newsletter și comunicări, utilizăm servicii care respectă GDPR (în baza unor acorduri de prelucrare a datelor).

4.4 Analitică și publicitate

• Google Analytics 4: Analiza comportamentului vizitatorilor (anonimizat)
• Facebook Pixel: retargetare publicitară (cu consimțământ cookie)
• Alt software de analiză: audit al site-ului, detectare a fraudelor

4.5 Autoritățile legale

Putem partaja date dacă suntem obligați prin lege sau cu acordul unei autorități competente (poliție, ANPC, instanță).

5. Transferuri internaționale de date

Unii furnizori (Shopify, Google, Facebook) sunt situați în SUA. Acestea sunt acoperite de:

• Decizii de adecvare (adequacy decisions) UE pentru anumite servicii
• Contracte Standard de Transfer de Date (SCC) conform GDPR Art. 46

Datele nu sunt transferate în țări cu protecție insuficientă fără garanții corespunzătoare.

6. Cât timp păstrăm datele personale

6.1 Durata de păstrare standard

• Date comandă: 7 ani (obligație fiscală și comercială)
• Garanție și reclamații: 12 luni + 7 ani (pentru eventuale dispute)
• Email marketing: Până la dezabonare
• Cookies: 6-12 luni (în funcție de tip)
• Jurnale de acces/IP: 30-90 zile (securitate)

6.2 După ștergere

După expirarea termenului, datele sunt șterse din baze de date active. Copiile de siguranță pot fi reținute pentru conformitate legală, dar nu sunt accesate în mod activ.

7. Drepturile dumneavoastră conform GDPR

7.1 Dreptul de acces (Art. 15)

Aveți dreptul să primiți o copie a datelor personale pe care le deținem despre dumneavoastră. Vă vom furniza datele într-un format lizibil, în termen de 30 de zile.

7.2 Dreptul de rectificare (Art. 16)

Puteți cere corectarea datelor inexacte sau incomplete. Actualizăm înregistrările imediat, fără taxă.

7.3 Dreptul de ștergere (Art. 17 - „Dreptul de Uitare")

Puteți cere ștergerea datelor în cazuri specifice:

• Datele nu mai sunt necesare
• Ați retras consimțământul
• Vă opuneți prelucrării
• Datele au fost colectate ilegal

Excepții: Dacă păstrarea este obligatorie legal (taxe, garanție).

7.4 Dreptul de a restricționa prelucrarea (Art. 18)

Puteți cere restricționarea prelucrării în timp ce disputa este rezolvată.

7.5 Dreptul la portabilitatea datelor (Art. 20)

Aveți dreptul să primiți o copie a datelor personale într-un format structurat și portabil (CSV, JSON). Vom furniza în termen de 30 de zile.

7.6 Dreptul de opoziție (Art. 21)

Vă puteți opune prelucrării datelor pentru marketing direct. Vom înceta prelucrarea imediat fără taxă.

7.7 Dreptul de a nu fi supus deciziilor automate (Art. 22)

Nu utilizăm procese decizionale exclusiv automate pentru acceptare/respingere comenzi. Orice decizie implică evaluare umană.

8. Exercitarea drepturilor GDPR

Pentru a exercita oricare din drepturi, contactați-ne:

• Email: salut@niru.ro cu subiectul „Drept GDPR - [Tip Cerere]"
• Telefon: +40 721 522 328 (Luni-Vineri 09:00-18:00)

Vom răspunde în termen de 30 de zile calendaristice. Dacă cererea necesită investigație suplimentară, putem extinde termenul cu încă 60 de zile, caz în care vă vom informa prin email.

9. Cookie-uri și tehnologii similare

9.1 Ce sunt cookie-urile

Cookie-urile sunt mici fișiere salvate pe dispozitiv ce conțin date despre preferințe și activitate.

9.2 Tipuri de cookie-uri pe site

• Cookie-uri esențiale (obligatorii): Funcționare site, securitate, sesiune - nu necesită consimțământ
• Cookie-uri de analiză: Google Analytics - necesită consimțământ
• Cookie-uri de marketing/retargeting: Facebook Pixel - necesită consimțământ
• Cookie-uri de preferințe: Limbă, monedă - necesită consimțământ

9.3 Gestionarea cookie-urilor

Puteți gestiona cookie-urile prin:

• Bannerul de cookie-uri: Acceptare/Respingere la prima vizită
• Setări browser: Dezactivarea cookie-urilor în setări (afectează funcționare site)
• Gestionarea cookie-urilor: Retragere consimțământ oricând în setări cont

10. Măsuri de securitate

10.1 Criptare

• Criptare SSL/TLS pentru toate comunicațiile site-platformă
• Criptare end-to-end pentru plăți prin Shopify Payments
• Baze de date cu criptare de repaus

10.2 Controale de acces

• Acces restricționat la date - doar personal autorizat
• Autentificare cu doi factori pentru conturile administrative
• Politici de parolă puternică

10.3 Monitorare și audit

• Monitorizare în timp real a încercărilor de acces neautorizat
• Audit periodic de securitate
• Copii de siguranță regulate cu testare de recuperare

10.4 Confidențialitatea angajaților

Personalul cu acces la date personale:

• Semnează acorduri de confidențialitate
• Primește training GDPR anual
• Este supus verificărilor de siguranță

11. Protecția minorilor

Serviciile sunt destinate persoanelor cu vârsta 18+ ani. Nu colectăm în mod intenționat date de la minori.

Dacă vă dați seama că am colectat date de la un minor fără consimțământ parental, contactați imediat salut@niru.ro pentru ștergere.

12. Notificarea unei breșe de date

12.1 Plan de răspuns la incident

În caz de breșă de securitate (acces neautorizat la date):

1. Constatăm incidentul și evaluăm severitatea
2. Limităm accesul neautorizat
3. Investigăm cauza și amploarea breșei
4. Vom notifica ANSPDCP în termen de 72 de ore, dacă sunt îndeplinite condițiile legale
5. Vă notificăm dacă datele sunt la risc

12.2 Notificarea clienților în caz de risc ridicat

În cazul unei încălcări a securității datelor care poate genera un risc ridicat pentru drepturile și libertățile dumneavoastră, vă vom notifica fără întârziere nejustificată, conform Art. 34 GDPR. Notificarea va conține:

• Natura breșei și datele afectate
• Pericolele potențiale
• Măsuri de protecție recomandate
• Contact pentru mai multe informații

12.3 Contact în caz de breșă

Veți fi notificat prin email la adresa din cont cu detalii complete și pași de precauție.

13. Contact pentru confidențialitate și reclamații

13.1 Contact cu NIRU ONE SRL

Pentru orice întrebări despre confidențialitate:

13.2 Contact cu autoritatea de protecție a datelor

Dacă considerați că v-au fost încălcate drepturile prevăzute de GDPR, aveți dreptul să depuneți reclamație la:

14. Modificări ale politicii de confidențialitate

Ne rezervăm dreptul de a actualiza această politică periodic. Modificările semnificative vor fi comunicate prin:

• Notificare pe site cu „Data ultimei actualizări"
• Notificare prin e-mail pentru clienții activi, în cazul unor modificări semnificative

Continuarea utilizării platformei după modificări constituie acceptare.

15. Conformitate și audit

Ne angajăm să:

• Respectăm GDPR și legislația română de protecție a datelor
• Efectuăm Evaluări de Impact asupra Protecției Datelor (DPIA) pentru prelucrări noi
• Menținem registru de activități de prelucrare
• Efectuăm un audit intern anual de conformitate
• Furnizăm rapoarte de conformitate dacă este solicitat