§ 01Operator de date
Operatorul de date cu caracter personal (data controller) este ERNESTO MOTION S.R.L., conform Art. 4 pct. 7 din GDPR.
| Denumire | ERNESTO MOTION S.R.L. |
|---|---|
| CUI | 50449465 |
| Sediu | Calea Doftanei Nr. 183, Câmpina, Jud. Prahova, România |
| Email protecția datelor | admin@devsolution.ro |
| DPO (Ofițer Protecția Datelor) | Momentan nu suntem obligați să desemnăm un DPO conform Art. 37 GDPR. Pentru orice cerere legată de date personale, contactează adresa de email de mai sus. |
§ 02Datele pe care le colectăm
Date de cont
- Adresă de email (la înregistrare sau via Google OAuth)
- Nume (opțional, transmis de Google OAuth dacă folosești acea metodă)
- Parolă — nu o vedem niciodată; Supabase o stochează hash-uită (bcrypt)
- Data creării contului, data ultimei autentificări
Date legate de scanuri
- URL-urile pe care le introduci pentru analiză
- Adresa IP (pentru prevenirea abuzului și verificarea de ownership la scanuri anonime)
- Rezultatul analizei AI (scor, copy generat, reclame etc.) — salvat în contul tău, accesibil doar ție
- Timestamp-urile operațiunilor (când ai inițiat scanul, când s-a completat)
Date despre website-ul scanat
- Conținutul public al paginii: text vizibil, heading-uri, CTA-uri, meta description, structura linkurilor interne
- Screenshot full-page al paginii de start
Aceste date nu sunt asociate cu o persoană identificabilă — reprezintă conținut public al unui website. Totuși, le tratăm cu grijă: textul brut e păstrat temporar doar pentru analiza curentă și nu e salvat după generarea output-ului. Screenshot-ul se șterge automat după 7 zile.
Date de plată
- Gestionate integral de Stripe. Noi nu vedem și nu stocăm numărul complet al cardului sau CVV-ul
- Primim: ID-ul Stripe Customer, ultimele 4 cifre ale cardului (pentru afișare), statusul abonamentului, facturile
- Date de facturare (nume, adresă, CUI/VAT ID) — necesare pentru emiterea facturilor fiscale conform Codului Fiscal RO
Date tehnice / log-uri
- Adresa IP, user agent, paginile vizitate, referrer, timestamp
- Log-urile serverului pentru detectarea erorilor, abuzului și debugging
- Păstrate maxim 90 de zile, apoi anonim sau șterse
§ 03Scopuri și temei legal
Fiecare prelucrare are un scop specific și un temei legal conform Art. 6 din GDPR:
| Ce facem | Temei legal |
|---|---|
| Prestarea serviciului (scan, rezultate, dashboard, istoric) | Art. 6(1)(b) — executarea contractului |
| Procesare plăți și facturare | Art. 6(1)(b) — contract + Art. 6(1)(c) — obligație legală (Codul Fiscal RO) |
| Trimitere email notificare scan finalizat | Art. 6(1)(b) — contract |
| Prevenirea abuzului (rate limiting, verificare ownership) | Art. 6(1)(f) — interes legitim (protejarea serviciului) |
| Îmbunătățirea serviciului (statistici agregate, anonime) | Art. 6(1)(f) — interes legitim |
| Securitate, detectare fraude | Art. 6(1)(f) — interes legitim |
| Răspunsul la cereri legale (autorități, instanțe) | Art. 6(1)(c) — obligație legală |
§ 04Cât timp păstrăm datele
| Categorie | Durată |
|---|---|
| Date de cont (activ) | Cât timp contul există |
| Date de cont după ștergere la cerere | 30 de zile în backup-uri, apoi anonimizare ireversibilă |
| Rezultate scan (output AI) | Cât timp contul există; poți șterge individual |
| Screenshot-uri website-uri scanate | 7 zile, apoi ștergere automată |
| Conținut scrapat (text brut al paginii) | Nu e salvat. Folosit doar pentru generarea output-ului curent |
| Log-uri tehnice (IP, user agent) | 90 de zile |
| Date de facturare (facturi, plăți) | 10 ani — obligație legală Codul Fiscal RO (Art. 25) |
| Comunicări cu suportul | 3 ani pentru documentare; șterse ulterior la cerere |
§ 05Procesatori și transferuri internaționale
Folosim următorii procesatori, toți sub DPA (Data Processing Agreement) sau Clauze Contractuale Standard (SCCs) aprobate de Comisia Europeană conform deciziei 2021/914/EU:
| Serviciu | Scop | Țară | Garanții |
|---|---|---|---|
| Supabase | Bază de date PostgreSQL, autentificare, storage screenshot-uri | UE (Frankfurt) | SCCs + DPA, criptare at-rest |
| Vercel | Hosting aplicație (edge network) | UE (regiune Frankfurt) + US | SCCs + DPA |
| Anthropic (Claude API) | Analiză AI a conținutului scrapat | US | SCCs. Anthropic NU folosește datele clienților API pentru antrenarea modelelor. |
| Stripe | Procesare plăți abonament | US (Stripe Payments Europe Ltd. — Irlanda) | PCI-DSS Level 1, SCCs, DPA |
| Inngest | Coordonare job-uri asincrone de scanare | US/UE | SCCs + DPA |
| Resend | Trimitere email-uri notificare și confirmare | US | SCCs |
| DigitalOcean | Worker de scanare Playwright (browser automation) | UE (Frankfurt) | SCCs + DPA, criptare at-rest |
| Google (OAuth) | Autentificare opțională cu cont Google | US/UE | Google Cloud DPA + SCCs |
| Cloudflare | DNS, CDN pentru asset-uri publice | US (anycast global) | SCCs + DPA |
Transfer internațional: unii procesatori (Anthropic, Resend, Cloudflare, Stripe US) procesează date în Statele Unite. Transferul se bazează pe SCCs UE → procesator, cu măsuri tehnice suplimentare (criptare în transit și la repaus).
§ 06Drepturile tale GDPR
Conform Art. 15–22 din GDPR, ai următoarele drepturi:
- Dreptul de acces (Art. 15): să afli ce date avem despre tine și să primești o copie
- Dreptul la rectificare (Art. 16): corectarea datelor incorecte sau incomplete
- Dreptul la ștergere / “de a fi uitat” (Art. 17):ștergerea contului și a datelor asociate
- Dreptul la portabilitate (Art. 20): să primești datele într-un format structurat (JSON, CSV)
- Dreptul la restricționare (Art. 18): limitarea prelucrării în anumite circumstanțe
- Dreptul de opoziție (Art. 21): să te opui prelucrării bazate pe interes legitim
- Dreptul de a-ți retrage consimțământul: oricând (unde prelucrarea se bazează pe consimțământ) — fără efect retroactiv
- Dreptul de a nu fi supus deciziilor automatizate (Art. 22): nu luăm decizii automate cu efect legal asupra ta
Cum exerciți aceste drepturi: trimite email la admin@devsolution.ro. Răspundem în maxim 30 de zile (Art. 12 GDPR). În cazuri complexe, putem prelungi cu încă 60 de zile, notificându-te explicit.
Plângere la autoritatea de supraveghere: dacă nu ești mulțumit de răspunsul nostru, poți depune plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP):
- Adresă: B-dul G-ral. Gheorghe Magheru nr. 28-30, Sector 1, București
- Telefon:
+40 318 059 211 - Email: anspdcp@dataprotection.ro
- Website: https://www.dataprotection.ro
§ 07Securitate
Măsurile tehnice și organizatorice pe care le luăm:
- Parole: hash bcrypt via Supabase Auth. Noi nu vedem parolele niciodată
- Transport: HTTPS obligatoriu cu HSTS activ (max-age 2 ani, preload)
- La repaus: criptare la nivel de disc la toți furnizorii de infrastructură (Supabase, DigitalOcean, Vercel)
- Access control: principiul minimului necesar. Cheile service role sunt stocate doar în mediul server-side
- SSRF + prompt injection defense: validăm URL-urile înainte de scanare și sanitizăm input-ul pentru AI
- CSP strict: prevenire XSS prin Content-Security-Policy setat pe fiecare răspuns
- Rate limiting: Redis-backed distributed rate limiting pentru toate endpoint-urile sensibile
- Monitorizare: log-uri pentru detectarea accesului neautorizat
Deși luăm toate măsurile rezonabile, niciun sistem nu e 100% sigur. În caz de incident de securitate care afectează datele tale personale, te notificăm în 72 de ore conform Art. 33–34 GDPR și raportăm autorității competente.
§ 08Date despre minori
Serviciul nu este destinat persoanelor sub 16 ani. Nu colectăm conștient date de la minori. Conform Art. 8 din GDPR, prelucrarea datelor unui minor sub 16 ani necesită consimțământul părintelui — nu oferim mecanism pentru asta.
Dacă observi că un minor sub 16 ani folosește serviciul, te rugăm să ne anunți la admin@devsolution.ro — ștergem contul și datele asociate imediat.
§ 09Cookies
Folosim doar cookies strict necesare pentru funcționarea serviciului (sesiune de autentificare, preferință de limbă, token sesiune anonimă). Nu folosim cookies de tracking, analytics sau marketing. Detalii complete în Politica de Cookies.
§ 10Modificări ale politicii
Actualizăm această politică când practicile noastre de prelucrare se schimbă sau când intervin modificări legislative. Versiunea curentă e mereu disponibilă pe această pagină, cu data ultimei actualizări vizibilă în antetul documentului.
Pentru modificări materiale (schimbări în scopurile prelucrării, adăugare de procesatori noi, schimbarea drepturilor tale), te notificăm prin email cu cel puțin 14 zile înainte de intrarea în vigoare.
§ 11Contact
Pentru orice întrebare sau cerere legată de datele tale personale:
- Email dedicat protecția datelor: admin@devsolution.ro
- Email general: contact@devsolution.ro
- Adresă poștală: ERNESTO MOTION S.R.L., Calea Doftanei Nr. 183, Câmpina, Jud. Prahova, România