Sari la conținut
HIR
Începe gratuit

Politica de Confidențialitate și Prelucrare a Datelor cu Caracter Personal (GDPR)

Versiune: v2.0-draft Data emiterii: 2026-05-11 Status: DRAFT JURIDIC — necesită review avocat și DPO înainte de activare în producție Operator de date (cont): HIR Workforce OS Persoană împuternicită (date lucrători non-EU): HIR Workforce OS, în numele Tenantului Contact GDPR: iulianm698@gmail.com DPO: [VERIFICĂ AVOCAT: GDPR art. 37 — DPO obligatoriu pentru operator când activitatea principală constă în prelucrare regulată și sistematică a datelor la scară largă, sau prelucrare a categoriilor speciale art. 9. Pentru SaaS HR cu sub 50.000 subjects, DPO este probabil opțional dar puternic recomandat. Recomand declarare voluntară a DPO și înregistrare la ANSPDCP. Contact dedicat: dpo@hir-workforce.ro după achiziția domeniului.]

Disclaimer global. Acest text este o variantă preliminară de lucru. Va fi validat de avocat specializat GDPR + DPO înainte de lansarea pilotului (iulie 2026). Politica respectă cerințele Regulamentului (UE) 2016/679 (GDPR) și ale Legii nr. 190/2018 privind măsurile de punere în aplicare a GDPR. [VERIFICĂ AVOCAT: confirmă versiune finală înainte de prima activare consimțământ.]

1. Operator de date — Cine suntem

HIR Workforce OS (denumit „Operatorul" sau „Furnizorul") oferă o platformă SaaS dedicată angajatorilor din România care lucrează cu cetățeni non-UE.

Forma juridică operator: [VERIFICĂ AVOCAT: completare oficială — Iulian Moldoveanu PFA / II / SRL, cu CUI/J, sediu social, reprezentant legal. Până la înregistrare juridică, prezentul document este emis în nume propriu de Iulian Moldoveanu, antreprenor individual, cu adresa de corespondență declarată.]

În calitate de:

  • Operator de date cu caracter personal (Data Controller) — pentru datele contului Utilizatorului (email, autentificare, audit, consimțăminte), conform GDPR art. 4 pct. 7;
  • Persoană împuternicită (Data Processor) — pentru datele lucrătorilor non-EU prelucrate în numele Tenantului, conform GDPR art. 4 pct. 8 și art. 28 (DPA).

Operatorul aplică principiile GDPR art. 5: legalitate, transparență, limitarea scopului, minimizarea datelor, exactitate, limitarea stocării, integritate și confidențialitate, responsabilitate.

2. Responsabil cu Protecția Datelor (DPO)

[VERIFICĂ AVOCAT: necesitatea DPO conform GDPR art. 37 alin. (1):

  • (a) autoritate sau organism public — NU se aplică;
  • (b) activitatea principală constă în monitorizare regulată și sistematică la scară largă — POSIBIL aplicabil pentru SaaS care prelucrează zilnic date despre lucrători non-EU pe scară largă (>5.000 subjects);
  • (c) activitatea principală constă în prelucrare la scară largă de categorii speciale (art. 9) sau date legate de condamnări (art. 10) — Date despre lucrători non-EU pot include date sensibile (sănătate prin fișa medicală obligatorie pentru autorizație, eventual condamnări prin cazier judiciar). Aici DPO devine obligatoriu.

Recomandare: numire DPO voluntară și declarare la ANSPDCP (formular online dataprotection.ro). Cost rezonabil: DPO outsourced (cabinet specializat) începând cu 200-500 EUR/lună.]

Contact DPO: dpo@hir-workforce.ro (după achiziția domeniului) sau iulianm698@gmail.com.

Termen răspuns: 1 lună de la solicitare, conform GDPR art. 12 alin. (3), extensibilă cu încă 2 luni pentru cereri complexe (cu notificare în prima lună).

3. Ce date colectăm

3.1 Date despre Utilizator (titularul contului)

  • Adresă de email (obligatoriu — identitate cont);
  • Nume (dacă este furnizat în profil);
  • Rol în tenant (owner / admin / collaborator);
  • Parolă hash bcrypt (Supabase Auth — nu păstrăm parola în clar);
  • Metadate de autentificare: timestamp login, IP la momentul logării, user-agent;
  • Consimțăminte exprimate (tip, versiune, dată, IP, user-agent) — păstrate în tabela gdpr_consents.

3.2 Date despre Tenant

  • Denumire firmă, CUI, J/registrul comerțului [VERIFICĂ AVOCAT: validare CUI prin ONRC sau ANAF — implementare viitoare];
  • Tip operațiune (angajator direct / agenție de plasare autorizată ANOFM / cabinet de avocatură / consultant HR);
  • Date de contact ale companiei (telefon, adresă sediu social, email contact);
  • Plan tarifar și status abonament.

3.3 Date despre lucrători non-EU (PII sensibilă)

Aceste date sunt încărcate de Tenant și prelucrate de Operator strict în numele Tenantului, în calitate de Persoană împuternicită (DPA art. 28).

Date identitate:

  • Nume complet, prenume, naționalitate (10 țări active HIR), data nașterii, sex;
  • Număr și serie pașaport, perioadă de valabilitate, țara emitentă;
  • CNP IGI (cod numeric personal atribuit de Inspectoratul General pentru Imigrări la primirea permisului de ședere) [VERIFICĂ AVOCAT: CNP IGI = date personale art. 4(1) GDPR; nu intră în art. 9 categorii speciale; criptare la rest recomandată];
  • Adresă declarată în RO, număr telefon contact;
  • Stare civilă, dependenți (pentru reîntregire familie eventuală).

Date document oficial:

  • Scanuri document: pașaport, viza D, permis ședere, aviz angajare IGI, decizie ANOFM, autorizație de muncă;
  • Scanuri document HR: CIM, anexe CIM, fișa medicală, cazier judiciar (RO + țara de origine), apostilă/legalizare;
  • Documente fiscale: A1, A2, NIF nerezident.

[VERIFICĂ AVOCAT: cazierul judiciar = date art. 10 GDPR „condamnări penale și infracțiuni" — prelucrare permisă numai dacă autorizată prin dreptul UE sau intern; OUG 194/2002 art. 44 alin. (3) cere cazier judiciar pentru autorizație de muncă, ceea ce constituie baza legală art. 6(1)(c) + art. 10. Recomand declarare clară în prezentul document.]

[VERIFICĂ AVOCAT: fișa medicală = date art. 9 alin. (1) GDPR „date privind sănătatea" — prelucrare permisă conform art. 9 alin. (2) lit. (b) „necesar îndeplinirii obligațiilor și exercitării drepturilor specifice în domeniul dreptului muncii" — bază legală Codul Muncii art. 27 + HG 355/2007 (medicina muncii). Recomand criptare la rest specifică și acces restricționat.]

Date contractuale:

  • Ocupația conform Clasificarea Ocupațiilor din România (cod COR);
  • Data începerii activității, durata contractului;
  • Salariul brut și constituentele (sporuri, prime, bonuri masă);
  • Loc de muncă declarat (sediu + punct de lucru).

[VERIFICĂ AVOCAT: salariul = PII non-sensibilă dar de mare valoare; nu intră art. 9; criptare la rest recomandată; afișare doar pentru utilizatori cu rol autorizat.]

Date despre cazare și transport (dacă oferite de angajator):

  • Adresă cazare, tip cazare, condiții;
  • Tip transport oferit, costuri suportate.

3.4 Date de utilizare platformă

  • Log-uri aplicație: erori, evenimente de audit (cine, ce, când), retenție 90 zile;
  • IP la momentul acțiunilor, user-agent;
  • Audit trail acțiuni (insert/update/delete pe entități critice).

3.5 Date despre relații (dacă Tenant = agenție)

  • Cui colaborează agenția (angajator final), pe baza autorizării ANOFM Legea 156/2000;
  • Lucrători intermediati per relație.

3.6 Date tehnice și cookies

Vezi clauza 11 (Cookies).

[VERIFICĂ AVOCAT: dacă adăugăm tracking analitic (ex. PostHog, Plausible, Mixpanel) în viitor, banner consent obligatoriu conform Legii 506/2004 și ePrivacy Directive.]

4. Scopuri și temei legal (GDPR art. 6)

  • 4.1 Crearea și administrarea contului Tenant — temei: art. 6 alin. (1) lit. (b) — executarea contractului. Necesar pentru a oferi Serviciul.
  • 4.2 Prelucrarea datelor lucrătorilor non-EU în numele Tenantului — temei: art. 28 GDPR (DPA) + art. 6 alin. (1) lit. (c) la nivel Tenant (obligație legală OUG 32/2026, OUG 194/2002, Codul Muncii art. 17). Tenantul este Operator, HIR este Persoană împuternicită.
  • 4.3 Prelucrare date sensibile (sănătate / fișa medicală) — temei: art. 9 alin. (2) lit. (b) — drept muncii. Codul Muncii art. 27 + HG 355/2007.
  • 4.4 Prelucrare date art. 10 (cazier judiciar) — temei: OUG 194/2002 art. 44 alin. (3) — autorizat prin dreptul intern. Strict pentru dosare autorizație muncă.
  • 4.5 Conformitate fiscală și raportare Operator — temei: art. 6 alin. (1) lit. (c) — obligație legală. L. 82/1991 contabilitate, Codul Fiscal.
  • 4.6 Trimitere email-uri tranzacționale (reset parolă, notificări sistem, alerte termene) — temei: art. 6 alin. (1) lit. (b) — executare contract. Resend / EU email provider.
  • 4.7 Trimitere email-uri de marketing despre actualizări produs — temei: art. 6 alin. (1) lit. (a) — consimțământ explicit. Bifa „marketing" la /setup, revocabil prin /settings/gdpr.
  • 4.8 Audit, securitate, prevenirea fraudei — temei: art. 6 alin. (1) lit. (f) — interes legitim. Balansat cu drepturile data subject, LIA disponibilă la cerere.
  • 4.9 Îmbunătățire produs (date agregate anonimizate) — temei: art. 6 alin. (1) lit. (f) — interes legitim. Date strict anonimizate, fără reidentificare posibilă.

[VERIFICĂ AVOCAT: LIA (Legitimate Interest Assessment) pentru scopurile 4.8 și 4.9 — recomand să o producem ca document anexă, conform Recital 47 GDPR.]

5. Durata stocării

  • Cont activ Utilizator/Tenant: pe durata abonamentului + 24 luni post-close (audit, eventuale litigii).
  • Audit logs aplicație: 5 ani (securitate, conformitate). [VERIFICĂ AVOCAT: GDPR art. 5(1)(e) minimizare vs cerințe interne audit — 5 ani este standard B2B SaaS.]
  • Documente contabile (facturi, contracte plătite): 10 ani — Legea 82/1991 art. 25.
  • Document vault Tenant (scan-uri lucrători): pe durata abonamentului + 30 zile grace după închidere cont (recuperare urgentă).
  • Consimțăminte GDPR: 5 ani după revocare — probă conformitate, GDPR art. 7.
  • Log-uri IP / user-agent: 90 zile (securitate, prevenire fraudă). [VERIFICĂ AVOCAT: cerințe ANSPDCP / DSA / NIS2 — confirmă durata acceptabilă pentru log-uri securitate; minim 6 luni este uzual pentru investigații.]
  • Backup-uri DB: 7 zile rotație (Supabase PITR default) — disaster recovery.
  • Backup-uri storage (scan-uri): 30 zile — disaster recovery.

După aceste perioade, datele sunt șterse ireversibil sau anonimizate. Ștergere efectivă include și backup-urile (la rotire naturală în max 30 zile).

[VERIFICĂ AVOCAT: confruntare GDPR art. 5(1)(e) minimizare vs L. 82/1991 contabilitate 10 ani — recomand separare clară între date contabile (10 ani) și date operaționale lucrători (24 luni post-close). Documente fiscale (facturi) se păstrează 10 ani; scan-urile lucrătorilor nu sunt documente contabile, deci se șterg la 24 luni post-close sau imediat la cerere expresă a Tenantului.]

6. Destinatari și Persoane împuternicite (subprocessors)

Datele sunt accesate de:

6.1 Personalul Operatorului

  • Strict pe principiul „need to know", sub obligație contractuală de confidențialitate;
  • Acces la date sensibile (fișe medicale, cazier) limitat la cazuri de debugging cu acord Tenant.

6.2 Subprocessors (art. 28)

  • Supabase Inc. — hosting PostgreSQL DB + Auth + Storage; locație: EU-Central-1 (Frankfurt, AWS); garanții: DPA semnat, ISO 27001, SOC 2, GDPR-compliant.
  • Vercel Inc. — hosting frontend Next.js + edge runtime; locație: edge cache global, date persistente rămân EU prin Server Actions sticky-EU; garanții: DPA semnat, ISO 27001, SOC 2.
  • Anthropic PBC — AI Parser documente + AI Legal Assistant (Claude API); locație: US-based. [VERIFICĂ AVOCAT: transfer date EU-US — Anthropic publică SCC (Standard Contractual Clauses 2021/914) și DPA; situația post-Schrems II 2020 cere SCC + Transfer Impact Assessment (TIA); EU-US Data Privacy Framework (DPF) operațional din iulie 2023 — confirmă dacă Anthropic este înregistrat DPF. Recomandare alternativă: minimizare date trimise la API (anonimizare PII înainte de trimitere). Concret: AI Parser primește scan document fără hash linking la lucrător, AI Legal Assistant primește doar întrebări fără PII.]
  • Resend — email tranzacțional (reset parolă, alerte); locație: EU (resend.com infrastructură EU); garanții: DPA semnat.
  • Netopia Payments sau VivaWallet — procesare plăți abonamente; locație: România; garanții: sub reglementare BNR, DPA, PCI-DSS. [VERIFICĂ AVOCAT: confirma procesator final.]
  • GitHub — repository cod sursă (NU date producție); locație: US; garanții: NU prelucrează date Tenant.
  • Sentry sau echivalent (dacă activăm) — error tracking; locație: EU instance preferat. [VERIFICĂ AVOCAT: dacă activăm Sentry, configurare cu scrub PII automat.]

Transferuri în afara SEE:

  • Anthropic (US) — singurul transfer extra-SEE; sub SCC 2021/914 + posibil DPF; date trimise sunt minimizate și pseudonimizate unde tehnic posibil [VERIFICĂ AVOCAT: TIA + decizie de necesitate transfer pentru fiecare scop AI; alternativă on-premise model AI europen ar putea elimina transferul — viitor].
  • Vercel edge global — date persistente rămân EU; doar caching efemer poate atinge edge non-EU [VERIFICĂ AVOCAT: configurare Vercel regions: ['fra1'] pentru Server Actions critice].

[VERIFICĂ AVOCAT: lista subprocessors trebuie afișată public pe /legal/subprocessors și notificată Tenantului la modificare cu 30 zile înainte, conform GDPR art. 28(2) — obligație DPA standard.]

7. Drepturile persoanei vizate (GDPR art. 15-22)

Conform GDPR, persoana vizată are următoarele drepturi, exercitate prin /settings/gdpr sau email la iulianm698@gmail.com:

7.1 Dreptul de acces (art. 15)

Confirmare prelucrare + copie a datelor + informații suplimentare (scopuri, categorii, destinatari, durată). Implementare: export ZIP cu JSON + CSV (toate datele cont) prin /settings/gdpr/export.

7.2 Dreptul la rectificare (art. 16)

Corectarea datelor inexacte sau incomplete. Implementare: UI editor pe entități (worker, tenant settings).

7.3 Dreptul la ștergere — „dreptul de a fi uitat" (art. 17)

Ștergere date când:

  • nu mai sunt necesare scopurilor;
  • revocare consimțământ;
  • opoziție justificată;
  • prelucrare ilegală.

Excepții (art. 17 alin. 3): obligație legală păstrare (L. 82/1991 contabilitate 10 ani; OUG 32/2026 dosare lucrători).

Implementare: /settings/gdpr/delete cu confirmare email + grace period 30 zile + flag soft-delete → hard-delete după grace.

7.4 Dreptul la restricționarea prelucrării (art. 18)

Marcare date ca „restricționate" — păstrate dar nu prelucrate, în cazuri de contestare exactitate sau opoziție pendentă. Implementare: [VERIFICĂ AVOCAT: implementare UI în viitor — moment Wave 2; până atunci procesare la cerere prin email, în 1 lună].

7.5 Dreptul la portabilitate (art. 20)

Primirea datelor într-un format structurat, prelucrabil automat (JSON / CSV), transmisibil către alt operator. Implementare: export ZIP cu JSON + CSV, format documentat în /legal/data-format.

7.6 Dreptul la opoziție (art. 21)

Opoziție la prelucrări bazate pe interes legitim (art. 6(1)(f)) sau marketing. Implementare: revocare consimțământ marketing prin /settings/gdpr.

7.7 Dreptul de a nu fi supus unei decizii automate (art. 22)

Platforma generează propuneri, alerte și schițe, dar deciziile finale (semnare contract, depunere dosar, plata) rămân umane. Nu există profilare automată cu efecte juridice asupra persoanei.

7.8 Dreptul de a-și retrage consimțământul (art. 7 alin. 3)

Pentru prelucrările bazate pe consimțământ (ex. marketing), oricând, fără a afecta legalitatea prelucrării anterioare retragerii. Implementare: /settings/gdpr/consents.

7.9 Dreptul de a depune plângere

La Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) — www.dataprotection.ro, anspdcp@dataprotection.ro, B-dul G-ral Magheru nr. 28-30, sector 1, București.

Termen răspuns Operator: 1 lună de la primire solicitare, extensibilă 2 luni cu notificare (GDPR art. 12).

8. Securitate (GDPR art. 32)

Măsuri tehnice:

  • Encryption la rest: Supabase AES-256 default; pentru câmpuri sensibile (CNP IGI, salariu, fișă medicală metadata) — [VERIFICĂ AVOCAT: implementare encryption coloană dedicată Wave 2 cu pgcrypto];
  • Encryption în tranzit: TLS 1.2+ obligatoriu, TLS 1.3 preferat;
  • Row Level Security (RLS): policies strict per tenant pe TOATE tabelele — un tenant nu poate accesa date alt tenant nici la nivel SQL direct;
  • Audit log append-only: tabela audit_log cu trigger insert; modificare/ștergere blocată RLS;
  • Rate limiting + WAF: Vercel built-in + custom middleware Next.js pentru rute sensibile;
  • Backup automat: zilnic Supabase PITR (retenție 7 zile);
  • Disaster recovery: RTO 24h, RPO 24h [VERIFICĂ AVOCAT: target-uri RPO/RTO declarate în SLA — recomand RTO 4h, RPO 1h pentru tier Business].

Măsuri organizatorice:

  • Acces administrativ HIR restricționat și auditat (audit_log + Supabase admin logs);
  • Politică „least privilege" pe API keys (anon, service_role separat);
  • Obligație confidențialitate semnată de orice colaborator HIR;
  • Procedură onboarding/offboarding cu revocare credențiale.

Testare:

  • Pen-test RLS internal trimestrial (scripts/test-rls.mjs);
  • [VERIFICĂ AVOCAT: pen-test extern obligatoriu? Pentru SaaS HR non-critical infrastructure NU este obligatoriu legal, dar puternic recomandat anual; cost ~3.000-8.000 EUR];
  • Code review obligatoriu pentru schimbări care ating auth, RLS, migrations.

9. Notificare incidente (GDPR art. 33-34)

9.1 Notificare ANSPDCP (art. 33)

În caz de breach: notificare ANSPDCP în maxim 72h de la detecție, prin formular online dataprotection.ro.

Conținut notificare:

  • Natura breach (categorii date, număr aproximativ subjects afectați);
  • Date contact DPO;
  • Consecințe probabile;
  • Măsuri luate / propuse pentru remediere.

9.2 Notificare data subjects (art. 34)

Dacă risc ridicat pentru drepturi și libertăți: notificare directă a persoanelor afectate, fără întârziere nejustificată, în limbaj clar și simplu.

9.3 Procedură internă

  1. Detect — monitorizare alerts Sentry / Supabase / Vercel + raportare angajat;
  2. Contain — izolare resurse compromise, revocare credențiale;
  3. Assess — evaluare scope (subjects afectați, date expuse, risc);
  4. Notify — ANSPDCP în 72h + data subjects dacă risc ridicat;
  5. Document — registru intern breach permanent;
  6. Remediate — fix root cause, post-mortem, măsuri prevenire.

[VERIFICĂ AVOCAT: template notificare ANSPDCP — pregătire pre-incident pentru reacție rapidă în 72h; recomand draft + checklist agreat cu DPO.]

10. Evaluare impact (DPIA — GDPR art. 35)

DPIA este obligatoriu când prelucrarea poate genera risc ridicat pentru drepturi și libertăți, în special pentru:

  • profilare sistematică la scară largă;
  • prelucrare categorii speciale (art. 9) la scară largă;
  • supraveghere sistematică zone publice.

Aplicabilitate HIR: prelucrare la scară largă PII lucrători non-EU + date art. 9 (sănătate fișă medicală) + date art. 10 (cazier judiciar) ⇒ DPIA recomandat.

[VERIFICĂ AVOCAT: DPIA full obligatoriu pentru SaaS HR cu PII multi-tenant care prelucrează date art. 9 + art. 10; recomand întocmire DPIA pre-pilot (iulie 2026) împreună cu avocat + DPO, urmând metodologia CNIL PIA tool sau ANSPDCP ghid 2018; cost estimat 1.500-3.000 EUR.]

DPIA livrabil pre-pilot va include:

  • descriere sistematică operațiuni prelucrare + scopuri;
  • evaluare necesitate și proporționalitate;
  • evaluare risc;
  • măsuri prevăzute pentru tratare risc + garanții.

11. Cookies și tracking

Folosim exclusiv cookies strict necesare la momentul lansării pilot:

  • Cookie sesiune Supabase Auth (autentificare);
  • Cookie CSRF (protecție formulare);
  • Cookie preferință temă UI (light/dark — non-essential dar fără consent conform GHILD-CNIL: preferință technic fără tracking nu cere consent).

NU folosim:

  • Google Analytics, Mixpanel, PostHog la momentul lansării;
  • Cookies marketing (Facebook Pixel, Google Ads);
  • Tracking third-party.

[VERIFICĂ AVOCAT: dacă în viitor activăm analytics (recomand Plausible — fără cookies, fără tracking individual; alternativă PostHog cu opt-in), banner consent obligatoriu conform Legii 506/2004 art. 4 alin. (5) și Directivei ePrivacy 2002/58/CE. Banner trebuie să permită „Reject all" cu aceeași vizibilitate ca „Accept all" — CJUE C-673/17 (Planet49).]

12. Minori

Platforma nu este destinată persoanelor sub 16 ani (vârsta consimțământ digital în România, conform L. 190/2018 art. 5 — vârsta minimă pentru consimțământ direct la servicii digitale).

Lucrătorii non-EU pentru care se gestionează dosare trebuie să fie adulți (peste 18 ani), conform legislației muncii din România (Codul Muncii art. 13 — vârsta minimă încadrare).

[VERIFICĂ AVOCAT: situații excepționale minori ucenici 16-18 ani (Codul Muncii art. 13 alin. 1) — prezent în prezent ignorate; dacă viitor apar, completare politică.]

13. Modificări ale Politicii

Vom actualiza această politică periodic. Modificările materiale (afectează drepturi, scopuri, durată, destinatari) vor fi notificate Tenantului prin:

  • email la adresa de cont, cu cel puțin 30 de zile înainte de aplicare;
  • notificare în Platformă la următorul login;
  • bump versiune (v2.0v2.1).

Pentru modificări care necesită un nou consimțământ (ex. adăugare scop nou, subprocessor nou non-EU), se re-solicită explicit acordul la următorul login, conform GDPR art. 7.

Istoric versiuni:

  • v1.0 (2026-05-11) — draft inițial generic;
  • v2.0-draft (2026-05-11) — rewrite research-based cu markeri AVOCAT;
  • v1.0-prod (post-validare avocat, înainte pilot iulie 2026) — versiune oficială lansare.

14. Contact și DPO

Operator:

  • Denumire: HIR Workforce OS
  • Reprezentant: Iulian Moldoveanu
  • Forma juridică: [VERIFICĂ AVOCAT: completare post-înregistrare]
  • Sediu social: [VERIFICĂ AVOCAT: completare post-înregistrare]
  • CUI / J: [VERIFICĂ AVOCAT: completare post-înregistrare]

DPO: [VERIFICĂ AVOCAT: nominare oficială DPO; recomand outsourced la cabinet specializat]

  • Email DPO: dpo@hir-workforce.ro (după domeniu) sau iulianm698@gmail.com
  • Subiect recomandat: „[HIR Workforce OS] — GDPR — [tipul cererii]"

Termen răspuns: confirmare primire în 72h lucrătoare, răspuns final în 1 lună (GDPR art. 12 alin. 3).

ANSPDCP (autoritate supraveghere):

  • Website: www.dataprotection.ro
  • Email: anspdcp@dataprotection.ro
  • Adresă: B-dul G-ral Gheorghe Magheru nr. 28-30, sector 1, București, 010336

Notă finală: Această politică este o variantă preliminară de lucru (v2.0-draft, 2026-05-11). Versiunea validată juridic va fi publicată ca v1.0-prod înainte de încheierea fazei pilot și notificată tuturor Tenanților activi.

Sursă referințe: Regulamentul (UE) 2016/679 (GDPR), Legea 190/2018, Legea 506/2004 (comunicații electronice), OUG 32/2026, OUG 194/2002, Codul Muncii (Legea 53/2003), HG 355/2007 (medicina muncii), Legea 82/1991 (contabilitate), Directiva 2002/58/CE (ePrivacy), Decizii CJUE C-311/18 Schrems II, C-673/17 Planet49.