Politica de confidențialitate Oifers.com

În funcție de situație, STNS Development SRL poate acționa ca operator de date sau ca persoană împuternicită de operator, după cum urmează.

Când prelucrăm date pentru scopurile noastre proprii, de exemplu:

• gestionarea conturilor;
• facturare;
• relația contractuală cu clienții;
• securitatea platformei;
• suport;
• marketing propriu;
• administrarea site-ului.

Când prelucrăm datele introduse de clienții noștri în Platformă, precum datele clienților finali ai acestora, în numele și conform instrucțiunilor Clientului.

Clientul care introduce datele în Platformă rămâne, de regulă, operatorul acelor date.

În fluxul **acceptării înregistrate electronic** a unei oferte publice (formular identitate, adresă de e-mail, confirmare prin cod OTP, bifare consimțământ pentru textele afișate în flux), datele destinatarului ofertei sunt, de regulă, prelucrate de STNS **în calitate de persoană împuternicită** în raport cu **organizația Clientului** care a creat oferta și a distribuit linkul; Clientul stabilește scopul comercial și conținutul mesajelor legale afișate destinatarilor în acel flux. În același scop tehnic sunt potrivite și date operaționale (ex. adresă IP, identificatori de sesiune publică) descrise în secțiunea dedicată linkurilor publice.

Putem colecta următoarele categorii de date:

• nume;
• prenume;
• adresă de e-mail;
• număr de telefon;
• parolă criptată;
• rol în organizație;
• status cont;
• organizație asociată.

• denumire comercială;
• denumire legală;
• CUI / cod TVA;
• adresă;
• e-mail;
• telefon;
• website;
• logo;
• imagine de copertă;
• date bancare, precum IBAN și bancă;
• setări de brand și preferințe.

• nume;
• companie;
• e-mail;
• telefon;
• adresă;
• cod fiscal;
• alte date introduse voluntar de Client.

• titlu ofertă;
• proiect;
• client asociat;
• produse și servicii ofertate;
• prețuri;
• cantități;
• discounturi;
• TVA;
• monedă;
• note;
• imagini;
• linkuri publice;
• status ofertă;
• date de publicare, expirare sau revocare.

• adresă IP;
• browser;
• sistem de operare;
• tip dispozitiv;
• rezoluție ecran;
• referrer;
• pagini accesate;
• data și ora accesării;
• identificator sesiune;
• durată sesiune;
• loguri de securitate;
• acțiuni efectuate în Platformă.

• nume firmă;
• CUI;
• adresă facturare;
• e-mail facturare;
• plan tarifar;
• istoric plăți;
• status abonament.

Datele complete ale cardului, dacă se folosesc plăți online, sunt procesate de furnizorul de plăți și nu sunt stocate direct de noi.

• mesaje trimise către suport;
• solicitări;
• fișiere atașate;
• istoricul comunicărilor.

În măsură în care această funcție este disponibilă și activată pentru organizație, pentru persoana care accesează linkul și parcurge acceptarea în Platformă pot fi procesate în mod combinat pentru Client și pentru operarea tehnică a Serviciului:

• **identificare destinatar în flux**: nume, prenume, adresă de e-mail (aceasta poate coincide cu un client salvat anterior în CRM de către organizație, dacă utilizatorii au precompletare);
• **probe tehnice de confirmare adresă**: fapt că a fost solicitat/expirat/regenerat un cod OTP și rezultatele brute ale verificării (fără a stoca întreg conținutul mesajelor e-mail către destinatar în afara jurnalului tehnic necesar);
• **înregistrare consimțământ bifat și text**: versiuni ale fragmentelor comunicate destinatarului (inclusiv text termeni bifat, versiuni notificabile politici) conform configurației Clientului;
• **captură rezumativă („snapshot„)**: reproducere tehnică a structurii ofertei vizualizate ori a totalurilor la moment înregistrare, dacă această opțiune există pentru auditul Clientului;
• **înregistrări istoric („evenimente funnel„)**: marcaje cronologice (ex. vizualizare, trimitere identitate, trimitere cod, rezultate verificare, acceptare înregistrată);
• împreună cu **date tehnice** deja enumerate la §3.5 / §6 (IP, user-agent, referrer, sesiune, durată unde se aplică).

Datele rezultând din acceptare sunt, de regulă, vizibile echipei Clientului în zona administrativă („Acceptare” / audit) și sunt prelucrate pentru nevoile acestui raport profesional între destinatar și Client.

Colectăm date:

• direct de la utilizatori, la crearea contului sau utilizarea Platformei;
• de la administratorii organizațiilor care creează conturi pentru alți utilizatori;
• prin utilizarea Platformei;
• prin accesarea linkurilor publice de ofertă;
• prin parcurgerea fluxului opțional de acceptare înregistrată electronic (formular OTP pe pagina de ofertă), unde această funcție este activă;
• prin cookies și tehnologii similare;
• prin furnizori terți, cum ar fi procesatori de plăți sau servicii de e-mail.

Prelucrăm datele pentru următoarele scopuri:

• creare cont;
• autentificare;
• administrare organizație;
• creare și trimitere oferte;
• afișare pagini publice de ofertă;
• gestionare produse, clienți și utilizatori.

Temei legal: executarea contractului sau demersuri precontractuale.

• emiterea facturilor;
• gestionarea abonamentelor;
• confirmarea plăților;
• evidență financiar-contabilă.

Temei legal: executarea contractului și obligații legale.

• loguri de acces;
• detectarea activităților suspecte;
• protecția conturilor;
• prevenirea fraudelor;
• investigarea incidentelor.

Temei legal: interes legitim și obligații legale.

• înregistrarea accesării linkurilor publice;
• generarea de statistici pentru Client;
• afișarea statusului de deschidere;
• estimarea duratei sesiunii.

Temei legal: interes legitim al Clientului și/sau consimțământ, acolo unde acesta este necesar potrivit legislației aplicabile.

• răspuns la solicitări;
• notificări tehnice;
• informări privind contul;
• mesaje despre abonament.

Temei legal: executarea contractului și interes legitim.

• analiză utilizare;
• remediere erori;
• dezvoltare funcționalități;
• testare internă;
• raportare agregată.

Temei legal: interes legitim.

• informări despre funcționalități noi;
• oferte comerciale;
• comunicări promoționale.

Temei legal: consimțământ sau interes legitim, în funcție de situație și legislația aplicabilă.

• permiterea destinatarilor să finalizeze tehnic fluxul comunicat de Client (confirmare e-mail prin OTP, bifare acord pentru textele afișate, înregistrare tehnică a evenimentelor);
• punerea la dispoziția Clientului a jurnalelor și a datelor de audit legate de acceptare;
• securitatea fluxului și limitarea abuzurilor (rate limiting la solicitări OTP, protecție împotriva încercărilor automate în exces — **art. 32 GDPR**, integritate).

**Între STNS și Client (contractant al Platformei):** prelucrarea destinatarilor pentru funcționarea fluxului tehnic este încadrată în **executarea contractului** Serviciului (art. 6 alin. (1) lit. b GDPR — raport Furnizor–Client). Măsurile tehnice de securitate globală pentru infrastructură se pot sprijini și pe **interes legitim** proporțional (art. 6 alin. (1) lit. f GDPR).

**Între Client și destinatarul ofertei:** temeiul concret (**executarea unui raport contractual**, **consimțământ** art. 6 alin. (1) lit. a, **interes legitim** art. 6 alin. (1) lit. f, sau altele aplicabile), precum și **informările conform art. 13 / 14 GDPR** și exercitarea **drepturilor din capitolul III GDPR** de către destinatar sunt stabilite și asumate **de către Client**, în conformitate cu natura operațiunilor sale și legea română / UE aplicabilă în relația cu destinatarul. STNS oferă instrumentele software definite în Termenii Serviciului.

Pentru e-mailul tranzacțional ce conține codul OTP și mesajele conexe, procesarea tehnică (transmitere prin infrastructură gestionată de STNS sau furnizori) apare în registrele procesatorilor; destinatarului trebuie să îi fie suficient comunicat cine sunt operatorii și sub ce politici sunt prelucrate datele (**Client** pentru conținutul juridico-comercial vizat destinatarului, **STNS** pentru rolul tehnic SaaS după cum se descrie în această Politică).

Când o persoană accesează o ofertă prin link public, putem colecta date tehnice precum:

• IP;
• ora accesării;
• browser;
• sistem de operare;
• dispozitiv;
• referrer;
• durata aproximativă a sesiunii;
• evenimente de heartbeat.

Aceste informații sunt puse la dispoziția Clientului care a creat oferta, pentru a înțelege dacă oferta a fost accesată.

Clientul este responsabil să informeze destinatarii ofertelor, atunci când legislația aplicabilă impune acest lucru.

**Acceptarea înregistrată electronic și cod OTP.** Dacă funcția este disponibilă pentru organizație, după accesarea paginii publice destinatarul poate introduce date personale și poate solicita trimiterea unui **cod unic de verificare la adresa de e-mail** indicată. Prelucrările asociate (inclusiv jurnalul încercărilor, temporizări la retrimitere cod) servesc scopurilor de la §5.8 — cu vizualizare în interfața administrativă pentru **Clientul** căruia îi aparține oferta — și măsurilor de securitate rezonabile (**art. 32 GDPR**).

Folosim cookies și tehnologii similare pentru:

• autentificare;
• securitate;
• funcționarea Platformei;
• preferințe;
• analiză utilizare;
• eventual marketing.

Cookies strict necesare sunt folosite pentru funcționarea Platformei.

Pentru cookies neesențiale, cum ar fi analytics sau marketing, vom solicita consimțământul acolo unde legea o cere.

Pentru detalii, consultați Politica de Cookies (document separat, disponibil la cerere sau pe site).

Putem divulga date către:

Pentru stocarea și rularea Platformei.

Pentru trimiterea mesajelor tranzacționale sau comerciale.

Plățile online aferente abonamentelor sunt procesate **exclusiv** prin **Stripe Payments Europe Ltd.** (sediu social: 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irlanda), procesator de plăți autorizat și supravegheat în Uniunea Europeană și certificat **PCI-DSS Level 1**, în baza unui contract de prelucrare a datelor încheiat cu STNS Development SRL.

Pentru operarea globală a infrastructurii Stripe, anumite date pot fi transferate către **Stripe, Inc.**, societatea-mamă cu sediul în Statele Unite ale Americii (354 Oyster Point Boulevard, South San Francisco, CA 94080, SUA). A se vedea §10 pentru garanțiile aplicate acestui transfer.

Datele transmise către Stripe în cadrul procesului de plată includ, după caz:

• numele și prenumele titularului cardului (din câmpul de Checkout);
• adresa de e-mail;
• adresa de facturare;
• codul fiscal (CUI / VAT ID), dacă este introdus de Client;
• moneda, suma și descrierea abonamentului;
• adresa IP și user-agent-ul de la care s-a inițiat plata, pentru prevenția fraudei.

**Datele complete ale cardului (PAN, CVV/CVC, data expirării) sunt introduse direct pe interfața Stripe și nu trec niciodată prin serverele STNS Development SRL.** Primim de la Stripe doar identificatori opaci (ex.: `customer_id`, `subscription_id`, `payment_intent_id`, ultimele 4 cifre ale cardului, tipul de card) necesari pentru evidența abonamentului și emiterea facturii.

Pentru detalii privind prelucrările efectuate de Stripe în calitate de operator propriu, consultați Politica de Confidențialitate Stripe disponibilă la `https://stripe.com/privacy`.

Pentru măsurarea performanței, erorilor și utilizării Platformei.

Pentru mentenanță, securitate și dezvoltare.

Dacă suntem obligați legal sau dacă este necesar pentru apărarea drepturilor noastre.

Nu vindem date personale către terți.

Mai jos este lista actualizată a principalelor categorii de furnizori terți de care ne folosim pentru operarea Platformei. Lista poate fi modificată; orice schimbare semnificativă va fi comunicată în mod rezonabil înainte de aplicare.

| Furnizor | Categorie | Rol | Locație principală | | --- | --- | --- | --- | | **Stripe Payments Europe Ltd.** + **Stripe, Inc.** | Procesator plăți | Procesare carduri, abonamente, facturare, Stripe Tax | Irlanda (UE) + SUA | | **DigitalOcean LLC** (Spaces) | Hosting & stocare obiecte | Găzduire backend, bază de date și stocare fișiere (imagini oferte, logo-uri, exporturi) | UE (Frankfurt) | | **MaxMind, Inc.** (baza de date GeoLite2) | Geolocalizare aproximativă | Determinare țară/limbă din IP pentru ghidare moneda/limbă | Date statice descărcate local (fără API extern în runtime) | | Furnizor SMTP transactional (a se vedea pagina dedicată sau la cerere) | Trimitere e-mail | E-mail-uri tranzacționale (verificare cont, OTP, notificări trial-ending, etc.) | UE |

Lista detaliată cu instanțele exacte (regiuni, versiuni, cont) poate fi solicitată la `contact@stns-development.com` în calitate de „lista subprocesatorilor STNS Development SRL”.

În măsura posibilului, folosim furnizori care stochează datele în Uniunea Europeană sau în Spațiul Economic European (SEE).

Transferurile către **Stripe, Inc.** (SUA) sunt necesare pentru funcționarea globală a serviciilor Stripe (procesare plată, prevenirea fraudei, raportare globală). Stripe, Inc. este aderentă la **EU–U.S. Data Privacy Framework (DPF)** și auto-certificată conform cadrului DPF stabilit prin **Decizia de adecvare a Comisiei Europene C(2023) 4745 din 10 iulie 2023**. Suplimentar, între părți sunt încheiate **Clauze Contractuale Standard (SCC)** aprobate prin Decizia de punere în aplicare (UE) 2021/914 a Comisiei Europene, ca mecanism de garanție de rezervă pentru ipoteza în care DPF ar fi suspendat sau modificat. Detalii: `https://stripe.com/privacy-center/legal`.

Pentru orice alte transferuri în afara SEE, vom utiliza mecanisme legale adecvate (decizie de adecvare, clauze contractuale standard, reguli corporatiste obligatorii etc.) și vom evalua riscul de impact (TIA) conform jurisprudenței CJUE și ghidurilor CEPD.

Păstrăm datele doar atât timp cât este necesar pentru scopurile descrise în această Politică.

Orientativ:

• date cont: pe durata existenței contului;
• date facturare: conform obligațiilor fiscale și contabile;
• loguri tehnice: pentru o perioadă rezonabilă necesară securității;
• date oferte: pe durata contului, până la ștergere sau conform instrucțiunilor Clientului;
• date suport: pe durata necesară soluționării cererii și apărării drepturilor;
• date marketing: până la retragerea consimțământului sau opoziție;
• date din acceptarea înregistrată electronic (jurnal evenimente, date verificare OTP, texte termeni versiune, snapshot ofertă la momentul înregistrării): pe durată relației contractuale între STNS și Client și, ulterior, pentru perioada necesară apărării drepturilor, conformării obligațiilor legale sau rezolvării solicitărilor autorităților; drepturile persoanei vizate (inclusiv către Client ca operator al raportului cu destinatarul) se exercită conform cap. III GDPR.

Implementăm măsuri tehnice și organizatorice rezonabile, precum:

• autentificare;
• parole criptate;
• control acces pe roluri;
• izolare date pe organizații;
• conexiuni securizate;
• loguri;
• backup;
• limitarea accesului intern;
• măsuri de protecție a infrastructurii.

Totuși, niciun sistem nu poate garanta securitate absolută.

În condițiile GDPR, persoanele vizate pot avea următoarele drepturi:

• dreptul de acces;
• dreptul la rectificare;
• dreptul la ștergere;
• dreptul la restricționarea prelucrării;
• dreptul la portabilitatea datelor;
• dreptul la opoziție;
• dreptul de retragere a consimțământului;
• dreptul de a nu face obiectul unei decizii automate individuale, unde este cazul;
• dreptul de a depune plângere la autoritatea de supraveghere.

Pentru exercitarea drepturilor, ne puteți contacta la contact@stns-development.com.

Dacă solicitarea privește date introduse de un Client în Platformă, este posibil să direcționăm solicitarea către Clientul respectiv, acesta fiind operatorul datelor.

Dacă sunteți **destinatar al unei oferte** accesate prin link public și ați utilizat funcția de acceptare online, **în mod obișnuit organizația Client** (cel care a emis oferta) este **persoana căreia i se adresează în primul rând** cererile privind accesul, rectificarea, ștergerea sau restricționarea prelucrării în raport cu scopul lor comercial și conținutul pe care l-au afișat în flux. Ne puteți scrie la **contact@stns-development.com** și explicăm rolul STNS (împuternicit / infrastructură); acolo unde suntem obligați în calitate de Furnizor tehnic, cooperăm cu Clientul pentru răspunsul dvs.

Vom răspunde cererilor persoanelor vizate în termenul prevăzut de legislația aplicabilă.

Putem solicita informații suplimentare pentru confirmarea identității solicitantului.

Platforma nu este destinată copiilor și nu colectăm cu bună știință date ale minorilor.

Dacă descoperim că au fost introduse astfel de date fără temei legal, putem lua măsuri pentru ștergerea acestora.

Nu folosim datele personale pentru decizii automate care produc efecte juridice semnificative asupra persoanelor vizate.

Putem actualiza această Politică periodic.

Versiunea actualizată va fi publicată pe site și va indica data ultimei modificări.

Pentru întrebări privind protecția datelor:

STNS Development SRL E-mail: contact@stns-development.com Adresă: STR. CERNEI 7, CLUJ NAPOCA, CLUJ