Politică de Confidențialitate
SysPIC respectă Regulamentul (UE) 2016/679 (GDPR) și Legea nr. 190/2018. Această politică explică ce date colectăm, de ce le colectăm, cât timp le păstrăm și care sunt drepturile dumneavoastră.
Cuprins
1. Identitatea operatorului
Operator de date cu caracter personal (în sensul Art. 4(7) GDPR):
- Denumire: SysPIC — Valentin ILIE
- Sediu: București, România
- Email: contact@syspic.ro
- Website: www.syspic.ro
Notă: SysPIC acționează ca Operator direct pentru datele utilizatorilor platformei (conturi, cereri de cont, contacte) și ca Împuternicit (Processor) pentru datele angajaților introduse de organizațiile client. Datele angajaților sunt prelucrate conform Contractului DPA (Art. 28 GDPR).
2. Categorii de date prelucrate
2.1 Date utilizatori platformă (conturi de acces)
| Categorie | Date concrete | Obligatorie? |
|---|---|---|
| Identificare | Username, adresă email, prenume, nume | Da |
| Contact | Număr de telefon | Opțional |
| Securitate | Parolă (hash bcrypt), setări 2FA, coduri OTP (temporare) | Da |
| Rol și permisiuni | Rol în platformă (sef_ss, resp_pic, resp_ru etc.), organizație | Da |
| Activitate | Jurnalul de activitate (Audit Trail): acțiuni, timestamp, adresă IP, tip eveniment | Da |
2.2 Date angajați (gestionate de organizațiile client)
| Categorie | Date concrete | Stocare |
|---|---|---|
| Identificare personal | Nume complet, CNP | Criptat AES-256; CNP stocată și ca hash HMAC-SHA256 pentru căutare |
| Contact | Adresă email, telefon | Text simplu |
| Date profesionale | Departament, funcție, dată angajare, nivel acces informații clasificate | Text simplu |
| Documente de securitate | DAIC (număr, dată, nivel, stare), ASI (număr, periodicitate, fișiere), CSI (număr, termenul valabilității), SMI, SIC | Text + fișiere PDF |
| Chestionare | Răspunsuri la chestionarele de securitate și e-learning | Text simplu |
2.3 Date cereri de cont
La depunerea unei cereri de creare cont prin formularul /cerere-cont/ se colectează: numele și prenumele solicitantului, adresa de email, telefon, denumirea organizației și CUI-ul acesteia, rolul solicitat și mesajul opțional.
2.4 Date de contact (formularul de contact)
Prin formularul de pe pagina /contact/ se colectează: nume, email, telefon (opțional), companie (opțional), subiect și mesaj. Aceste date sunt transmise prin email la contact@syspic.ro și nu sunt stocate în baza de date.
2.5 Date tehnice
În scopuri de securitate și funcționare a platformei se prelucrează: adrese IP la autentificare și acțiuni sensibile, cookie-uri de sesiune și CSRF (detalii în Politica Cookies).
3. Scopurile și temeiurile juridice
| Scop | Temei juridic (GDPR) |
|---|---|
| Furnizarea serviciului platformei (autentificare, acces funcționalități) | Art. 6(1)(b) — executarea contractului |
| Gestionarea evidenței DAIC, ASI, CSI, SMI, SIC conform legii | Art. 6(1)(c) — obligație legală (Legea 182/2002, HG 585/2002) |
| Securitate platformă, prevenire fraudă, audit | Art. 6(1)(f) — interes legitimate al operatorului |
| Răspuns la cereri de contact și suport | Art. 6(1)(b) — măsuri precontractuale / Art. 6(1)(f) |
| Notificări operaționale (expirare DAIC etc.) | Art. 6(1)(b) — executarea contractului |
| Facturare și evidențe contabile | Art. 6(1)(c) — obligație legală (Legea contabilității) |
4. Durata stocării
| Categorie date | Perioadă de retenție |
|---|---|
| Date cont utilizator activ | Pe durata relației contractuale + 30 zile după dezactivarea contului |
| Date angajat activ (AngajatRU) | Pe durata angajării + perioada obligatorie legal (minim 5 ani conform legislației arhivistice) |
| DAIC, ASI, CSI (documente de securitate) | Minim 10 ani de la expirare, conform instrucțiunilor ORNISS |
| Jurnalul Audit Trail | 3 ani |
| Coduri OTP email | Maximum 10 minute (șterse automat la expirare sau utilizare) |
| Date cereri de cont respinse | 1 an de la data cererii |
| Date formular de contact | Nu sunt stocate în DB; rămân în căsuța de email a operatorului maxim 2 ani |
| Facturi și evidențe contabile | 10 ani, conform Legii contabilității |
5. Destinatarii datelor
Datele dumneavoastră nu sunt vândute și nu sunt divulgate comercial. Pot fi accesate de:
- Personalul SysPIC autorizado cu administrarea și suportul tehnic al platformei
- Furnizori de servicii tehnice (hosting, email tranzacțional) în calitate de sub-împuterniciți, cu obligații contractuale de confidențialitate
- Autorități publice (ORNISS, instanțe, organe de urmărire penală) exclusiv în baza unei obligații legale exprese
- Utilizatorii cu rol autorizat din aceeași organizație, în limita rolului lor (de ex. Resp. RU vede lista angajaților din organizația sa)
6. Transferul internațional de date
În mod curent, datele sunt stocate pe servere situate în Uniunea Europeană (VPS Ubuntu 22.04, centru de date EU). Nu se efectuează transferuri de date în afara UE/SEE. În cazul în care acest lucru s-ar modifica, utilizatorii vor fi informați, iar transferurile vor fi acoperite de garanții adecvate (clauze contractuale standard sau decizie de adecvare).
7. Drepturile dumneavoastră GDPR
Conform Capitolului III din GDPR, beneficiați de:
Puteți solicita o copie a datelor personale pe care le prelucrăm despre dumneavoastră.
Puteți solicita corectarea datelor inexacte sau completarea celor incomplete.
Puteți solicita ștergerea datelor, în absența unei obligații legale de păstrare.
Puteți solicita restricționarea prelucrării în anumite circumstanțe.
Puteți solicita datele dumneavoastră în format structurat, uzual și citibil automat.
Puteți vă opune prelucrărilor bazate pe interes legitim.
Pentru exercitarea oricărui drept, trimiteți o cerere scrisă la contact@syspic.ro. Răspundem în maximum 30 de zile. Aveți de asemenea dreptul de a depune plângere la ANSPDCP (www.dataprotection.ro).
8. Securitatea datelor
SysPIC implementează măsuri tehnice și organizatorice adecvate pentru protecția datelor:
- Criptare la stocare: CNP și Numele complet al angajaților sunt stocate criptat (AES-256); CNP este indexat prin hash HMAC-SHA256 (nu în clar)
- Criptare în tranzit: Toate comunicațiile se realizează exclusiv prin HTTPS (TLS 1.2+)
- Autentificare robustă: Parolele sunt stocate cu hash bcrypt; autentificarea în doi factori (2FA) disponibilă prin email OTP sau aplicație TOTP
- Audit Trail complet: Toate acțiunile sensibile sunt jurnalizate cu timestamp și IP
- Acces pe principiul necesității: Fiecare rol accesează exclusiv datele necesare funcției sale
- Backup regulat: Copii de siguranță periodice ale bazei de date
În cazul unui incident de securitate care afectează datele cu caracter personal, SysPIC va notifica ANSPDCP în maximum 72 de ore și persoanele afectate, conform Art. 33-34 GDPR.
9. Cookie-uri
Pentru detalii complete despre cookie-urile utilizate de platformă, consultați Politica noastră de Cookies.
10. Modificarea politicii
Această politică poate fi actualizată periodic. Modificările semnificative vor fi comunicate prin notificare în platformă sau email cu minimum 15 zile înainte. Data ultimei actualizări este afișată în antetul acestui document.
Întrebări sau solicitări legate de datele personale? Contactați-ne la contact@syspic.ro.