XXADMIN

Politica de Confidențialitate

Versiunea: 1.0  ·  Data ultimei actualizări:

Prezenta Politică de Confidențialitate explică modul în care WINCOR PREST SRL (denumită în continuare „Operatorul" sau „noi") colectează, utilizează, stochează și protejează datele cu caracter personal pe care le primește de la persoanele care utilizează site-ul www.xadmin.ro, aplicația cloud XADMIN sau serviciile profesionale oferite de WINCOR PREST.

Prelucrarea datelor cu caracter personal se face cu respectarea:

  • Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 (Regulamentul General privind Protecția Datelor — „GDPR");
  • Legea nr. 190/2018 privind măsuri de punere în aplicare a GDPR;
  • Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice;
  • Deciziile și recomandările Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal („ANSPDCP").

1. Operatorul de date

DenumireWINCOR PREST S.R.L.
Cod Unic de Înregistrare (CUI)27883256
Nr. Reg. Com.J2011000015172
SediuStr. Ion Luca Caragiale nr. 38, 800101 Galați, România
Email generalcontact@xadmin.ro
Email protecția datelor / DPOdpo@xadmin.ro

1.1. Responsabilul cu protecția datelor (DPO)

În măsura în care prelucrarea datelor de către WINCOR PREST atinge pragurile prevăzute la art. 37 GDPR, Operatorul desemnează un Responsabil cu Protecția Datelor (DPO). Datele actuale de contact ale DPO sunt comunicate la dpo@xadmin.ro.

2. Definiții

  • Date cu caracter personal — orice informații privind o persoană fizică identificată sau identificabilă.
  • Persoană vizată — persoana fizică ale cărei date sunt prelucrate.
  • Operator — persoana care stabilește scopurile și mijloacele prelucrării (WINCOR PREST, pentru datele propriilor clienți, utilizatori și vizitatori site).
  • Persoană împuternicită — persoana care prelucrează date pe seama operatorului (rolul WINCOR PREST față de datele angajaților/partenerilor unui Client B2B încărcate în XADMIN).
  • Prelucrare — orice operațiune efectuată asupra datelor (colectare, înregistrare, stocare, modificare, ștergere etc.).

3. Rolurile noastre în prelucrare

WINCOR PREST acționează în două calități distincte:

  1. Ca Operator, atunci când prelucrăm date pentru scopurile proprii: gestiunea contactelor de pe site, administrarea contractelor, facturare, marketing direct propriu, recrutare, comunicare cu vizitatorii.
  2. Ca Persoană împuternicită (processor), atunci când Clientul B2B încarcă în Aplicația XADMIN date cu caracter personal ale angajaților, partenerilor, clienților săi. În acest caz, Clientul este Operatorul, iar WINCOR PREST acționează strict pe baza instrucțiunilor sale, conform art. 28 GDPR. La cerere, se poate încheia un Acord de Prelucrare a Datelor (DPA) separat.

4. Categorii de date prelucrate

4.1. La accesarea site-ului

  • Adresă IP, tip de browser, sistem de operare, paginile vizitate, durata vizitei (date de trafic);
  • Identificatori de cookies (a se vedea Politica de Cookies);
  • Datele furnizate voluntar prin formularul de contact (nume, email, telefon, mesaj).

4.2. La crearea unui Cont în Aplicație

  • Nume, prenume, adresă email, parolă (stocată exclusiv hash-uită);
  • Telefon (opțional);
  • Funcție / rol în organizație;
  • Date privind organizația reprezentată (denumire, CUI, sediu, dacă este cazul).

4.3. La utilizarea Aplicației (Client B2B)

Clientul, pe propria răspundere, poate încărca date cu caracter personal ale angajaților, colaboratorilor, partenerilor săi: nume, CNP, adresă, telefon, salariu, date contract, documente HR, documente medicale, datele clienților proprii din facturi etc. Pentru aceste date, WINCOR PREST acționează ca Persoană împuternicită.

4.4. La contractarea Serviciilor Profesionale (B2B sau direct cu PFA / persoană fizică)

  • Date de identificare ale Clientului persoană fizică / PFA / II / IF: nume, prenume, CNP, adresă, serie și nr. CI, IBAN;
  • Date privind angajații pentru care se prestează salarizare;
  • Documente contabile, fiscale, financiare;
  • Corespondență comercială.

4.5. La recrutare

  • Datele incluse în CV-uri, scrisori de intenție, formulare de candidatură.

5. Scopurile prelucrării și temeiul legal

ScopTemei legal (art. 6 GDPR)Durata stocării
Funcționarea site-ului, asigurarea securității, prevenirea fraudeiInteres legitim (art. 6 alin. 1 lit. f)până la 12 luni
Răspuns la cererile de contact / ofertareDemersuri precontractuale (art. 6 alin. 1 lit. b)12 luni de la ultimul contact, dacă nu se încheie contract
Crearea și administrarea Contului în AplicațieExecutarea contractului (art. 6 alin. 1 lit. b)pe durata Contractului + 3 ani
Prestarea Serviciilor Profesionale (contabilitate, salarizare)Executarea contractului (art. 6 alin. 1 lit. b) și obligație legală (art. 6 alin. 1 lit. c)conform legii (vezi sec. 8)
Facturare și evidență financiar-contabilă proprieObligație legală (art. 6 alin. 1 lit. c) — Legea 82/1991, Cod fiscal10 ani conform Legii 82/1991 art. 25
Comunicări de marketing direct către clienți / prospecțiConsimțământ (art. 6 alin. 1 lit. a) sau interes legitim (clienți existenți, art. 6 alin. 1 lit. f, sub rezerva dreptului de opoziție)până la retragerea consimțământului sau exercitarea opoziției
Soluționarea reclamațiilor, apărarea în litigiiInteres legitim (art. 6 alin. 1 lit. f)până la împlinirea termenelor de prescripție extinctivă
Conformitate cu obligații legale (raportări, control, AML, sancțiuni)Obligație legală (art. 6 alin. 1 lit. c)conform legii
RecrutareConsimțământ și demersuri precontractuale12 luni de la recepție, în lipsa angajării

6. Date sensibile (categorii speciale)

În principiu, Operatorul nu solicită colectarea de date sensibile (date privind sănătatea, originea etnică, opinii politice etc.). Astfel de date pot apărea, însă, în documentele HR / medicale încărcate de Clienții B2B în Aplicație (de exemplu, certificate medicale). Pentru aceste situații, Clientul (Operator) răspunde pentru existența unui temei legal adecvat (art. 9 GDPR — de regulă, executarea obligațiilor în materie de muncă).

7. Sursele datelor

  • direct de la persoana vizată (formulare, înregistrare cont, contracte, corespondență);
  • de la Clientul B2B, atunci când acesta încarcă date despre angajații sau partenerii săi în Aplicație;
  • din surse publice (registrul comerțului, ANAF — pentru verificare CUI etc.).

8. Perioade specifice de retenție

Datele aferente Serviciilor Profesionale sunt păstrate conform legislației aplicabile, după cum urmează (perioade minime obligatorii):

  • Documente contabile, registre, facturi: 10 ani — Legea contabilității nr. 82/1991, art. 25 alin. (1);
  • Statele de plată, fluturași, declarații salariale: 50 ani — Legea contabilității, art. 25 alin. (1) coroborat cu Codul muncii și legislația privind asigurările sociale;
  • Documente cu termen scurt de retenție (note de recepție, registre de casă etc.): 5 ani;
  • Contracte individuale de muncă, dosare personal: 75 ani — conform legislației privind arhivele și pensiile;
  • Documente fiscale: 5 ani de la 1 ianuarie a anului următor celui în care s-a născut creanța fiscală, conform Codului de procedură fiscală.

După expirarea termenelor legale, datele sunt șterse sau anonimizate definitiv, cu excepția cazurilor în care există un alt temei legal de păstrare.

9. Destinatari ai datelor (subprocesatori)

Datele pot fi transmise următoarelor categorii de destinatari, exclusiv în limitele necesare scopurilor declarate:

9.1. Furnizori de servicii IT (subprocesatori)

SubprocesatorServiciuLocație date
Google Ireland Limited (Google Cloud Platform / Firebase)Găzduire aplicație, bază de date, autentificare, stocare fișiere, funcții backendUE (region europe-west1)
Furnizor email tranzacțional (exemplu: SendGrid, Brevo — a se completa)Trimitere emailuri de confirmare, notificare, recuperare parolăUE / SUA (cu clauze contractuale standard)
Furnizor procesare plăți (exemplu: Stripe, NETOPIA, EuPlatesc — a se completa)Procesare plăți onlineUE / SUA (cu clauze contractuale standard)
Furnizor analiză web (opțional, doar cu consimțământ cookies — exemplu: Google Analytics)Analiză trafic siteUE / SUA (cu clauze contractuale standard)

Lista actualizată a subprocesatorilor este disponibilă la cerere, prin email la dpo@xadmin.ro. Notificăm Clienții B2B cu cel puțin 30 de zile înainte de adăugarea oricărui subprocesator nou.

9.2. Autorități publice

În îndeplinirea obligațiilor legale, datele pot fi transmise: ANAF, Inspectoratul Teritorial de Muncă (ITM), Casele de pensii și de sănătate, Direcția pentru Evidența Persoanelor, instanțe de judecată, organe de cercetare penală — la cerere fondată legal.

9.3. Consultanți, avocați, auditori

Doar în limitele necesare apărării drepturilor noastre legitime sau respectării obligațiilor profesionale, cu obligație contractuală de confidențialitate.

10. Transferuri internaționale

În principiu, datele sunt stocate în spațiul Uniunii Europene. Atunci când unii subprocesatori (de ex. furnizori de servicii email, analiză sau plăți) procesează date și în afara UE, aceste transferuri se fac:

  • către state cu nivel adecvat de protecție recunoscut de Comisia Europeană; sau
  • pe baza clauzelor contractuale standard adoptate de Comisia Europeană (CCS — 2021/914/UE); sau
  • pe baza altor garanții prevăzute la art. 46 GDPR.

11. Drepturile persoanei vizate

Conform GDPR, aveți următoarele drepturi:

  1. Dreptul de acces (art. 15) — de a obține confirmarea că prelucrăm datele dvs. și copia acestora.
  2. Dreptul la rectificare (art. 16) — de a solicita corectarea datelor inexacte sau completarea celor incomplete.
  3. Dreptul la ștergere („dreptul de a fi uitat", art. 17) — în condițiile prevăzute de Regulament; nu se aplică datelor pe care suntem obligați legal să le păstrăm.
  4. Dreptul la restricționarea prelucrării (art. 18).
  5. Dreptul la portabilitatea datelor (art. 20) — de a primi datele dvs. în format structurat, utilizat în mod curent și care poate fi citit automat.
  6. Dreptul de opoziție (art. 21) — în special față de prelucrarea bazată pe interes legitim și față de marketing direct.
  7. Dreptul de a nu fi supus unei decizii bazate exclusiv pe prelucrare automatizată, inclusiv profilare (art. 22).
  8. Dreptul de a retrage consimțământul oricând, fără a afecta legalitatea prelucrării efectuate înainte de retragere.
  9. Dreptul de a depune o plângere la ANSPDCP: B-dul. General Gheorghe Magheru nr. 28-30, sector 1, București, www.dataprotection.ro, email: anspdcp@dataprotection.ro.
  10. Dreptul de a se adresa instanței de judecată competente.

11.1. Cum exercitați drepturile

Pentru a exercita oricare dintre drepturile de mai sus, transmiteți o cerere scrisă la:

  • Email: dpo@xadmin.ro
  • Adresă poștală: Str. Ion Luca Caragiale nr. 38, 800101 Galați, în atenția DPO

Vom răspunde în termen de maxim 30 de zile de la primire (cu posibilitate de prelungire cu încă 2 luni pentru cereri complexe, cu notificare prealabilă, conform art. 12 alin. 3 GDPR). Verificăm identitatea solicitantului pentru a preveni divulgarea către terți.

11.2. Drepturile în context Persoană împuternicită

Atunci când prelucrăm date în calitate de Persoană împuternicită (date ale angajaților Clientului B2B etc.), cererile persoanelor vizate trebuie adresate Operatorului (Clientul B2B). Vom redirecționa solicitarea către Client în maxim 5 zile lucrătoare.

12. Securitatea datelor

Operatorul aplică măsuri tehnice și organizatorice adecvate pentru protejarea datelor împotriva pierderii, accesului neautorizat, divulgării, modificării sau distrugerii. Acestea includ, fără a se limita la:

  • criptarea datelor în repaus (AES-256) și în tranzit (TLS 1.2+);
  • controlul accesului bazat pe roluri (RBAC);
  • autentificare cu posibilitate de 2FA;
  • backup automat zilnic cu retenție minim 30 de zile;
  • monitorizare și jurnalizare a accesului;
  • politici interne de securitate, formarea personalului;
  • contracte cu subprocesatorii care impun măsuri echivalente;
  • plan de răspuns la incidente.

12.1. Incidente de securitate

În cazul unui incident de securitate care prezintă risc pentru drepturile și libertățile persoanelor vizate, vom notifica:

  • ANSPDCP în maxim 72 de ore de la constatare (art. 33 GDPR);
  • persoanele vizate, atunci când riscul este ridicat (art. 34 GDPR).

13. Cookies și tehnologii similare

Detalii complete sunt prezentate în Politica de Cookies.

14. Minori

Aplicația și site-ul nu sunt destinate persoanelor cu vârsta sub 16 ani. Nu colectăm cu bună-știință date despre minori. Dacă luăm cunoștință de astfel de prelucrări, le vom elimina.

15. Decizii automate și profilare

Nu luăm decizii bazate exclusiv pe prelucrare automatizată care să producă efecte juridice asupra dvs. sau să vă afecteze în mod semnificativ.

16. Modificări ale Politicii

Putem actualiza prezenta Politică pentru a reflecta modificări legislative, ale serviciilor sau ale practicilor noastre. Versiunea curentă este afișată permanent pe site, cu dată actualizată. Modificările semnificative se vor notifica suplimentar Clienților prin email.

17. Date de contact pentru protecția datelor

  • Email: dpo@xadmin.ro
  • Adresă: WINCOR PREST SRL, Str. Ion Luca Caragiale nr. 38, 800101 Galați, în atenția DPO
  • Autoritatea de supraveghere: ANSPDCP — www.dataprotection.ro

← Înapoi la pagina principală