Politica GDPR — ProcuChain
Operator de date: Fabulosos SRL · Jurisdicție: România
Identificare: RO33968578 · Sediu: Str. Valea Oltului, nr. 8, Sector 6, București, România
Versiune: v1.0 · În vigoare din: 1 iunie 2026 · Contact DPO: dpo@4pro.io
Acest document descrie modul în care ProcuChain (procuchain.com) respectă Regulamentul (UE) 2016/679 — Regulamentul General privind Protecția Datelor (GDPR) — pentru persoanele vizate din Uniunea Europeană și Spațiul Economic European. Platforma este operată de Fabulosos SRL, înregistrată cu RO33968578, cu sediul la Str. Valea Oltului, nr. 8, Sector 6, București, România.
1. Operator vs. Împuternicit (Controller vs. Processor)
- Operator de date (Controller) — fiecare organizație (Tenant) care utilizează ProcuChain este operator pentru datele propriilor angajați, furnizori și parteneri introduse în Platformă. Organizația decide ce date se colectează, în ce scop și cât timp se păstrează.
- Împuternicit (Processor) — Fabulosos SRL prelucrează aceste date exclusiv conform instrucțiunilor Tenantului și pentru furnizarea Serviciului. Pentru datele contului de utilizator (e-mail, parolă, identitate, facturare), Fabulosos SRL acționează ca Operator.
2. Baza legală a prelucrării (Art. 6 GDPR)
| Activitate | Temei juridic | Articol |
|---|---|---|
| Crearea contului și autentificare | Executarea contractului | Art. 6(1)(b) |
| Procesarea datelor de supply chain | Executarea contractului | Art. 6(1)(b) |
| Procesarea plăților | Executarea contractului | Art. 6(1)(b) |
| Integrări e-commerce (conectori) | Consimțământ explicit | Art. 6(1)(a) |
| Prognoze și analitică AI | Interes legitim | Art. 6(1)(f) |
| Notificări de serviciu | Interes legitim | Art. 6(1)(f) |
| Analitică de utilizare | Interes legitim | Art. 6(1)(f) |
| Retenția datelor financiare | Obligație legală | Art. 6(1)(c) |
3. Măsuri tehnice și organizatorice (Art. 32 GDPR)
3.1 Autentificare și control acces
- JWT (jose) — token de acces de scurtă durată + refresh token httpOnly.
- bcrypt — parole stocate cu funcții de hash cu cost factor adaptabil.
- MFA (TOTP) opțional, cu coduri de rezervă.
- RBAC — control al accesului bazat pe roluri (OWNER, ADMIN, MANAGER, VIEWER).
3.2 Izolare multi-tenant
- Fiecare înregistrare conține un
tenantIdobligatoriu, validat la nivel de middleware și ORM. - Imposibilitate tehnică de a accesa datele altui Tenant; audit trail separat per Tenant.
3.3 Criptare
- În tranzit: TLS pe toate conexiunile (HTTPS enforced).
- La repaus: criptare la nivel de bază de date pe infrastructura de găzduire.
- Credențiale externe: token-uri API și OAuth pentru conectori criptate la nivel de aplicație.
- Backup-uri: criptate.
3.4 Monitorizare și audit
- Audit trail pentru acțiunile critice (creare/modificare/ștergere).
- Jurnalizarea accesului la date sensibile și alerte pentru comportament anormal.
4. Subîmputerniciți (Sub-processors)
| Categorie | Serviciu | Garanții |
|---|---|---|
| Furnizor de găzduire / infrastructură | Servere, bază de date PostgreSQL, stocare | Acord de prelucrare, criptare |
| Procesator de plăți | Procesarea plăților pentru abonamente | PCI DSS, SCC unde se aplică |
| Furnizori AI / analitică | Prognoze de cerere (fără identificatori inutili) | Date minimizate, SCC unde se aplică |
| Platforme e-commerce (Shopify, WooCommerce, Salla, Zid, Noon, Amazon) | Surse de date prin conectori | Conform termenilor fiecărei platforme |
Nu vindem datele. Vă notificăm cu cel puțin 15 zile înainte de adăugarea unui nou subîmputernicit. Lista actualizată: legal.knowbest.ro/ro/sub-processors/procuchaingo2.
5. Drepturile persoanelor vizate (Art. 15-22 GDPR)
- Acces (Art. 15) — copie a datelor personale; export din setările contului sau cerere la dpo@4pro.io.
- Rectificare (Art. 16) — corectarea datelor inexacte din interfață sau prin suport.
- Ștergere / „dreptul de a fi uitat" (Art. 17) — ștergerea contului și a datelor asociate; backup-urile se elimină în termenul de retenție; excepție: datele financiare reținute prin lege.
- Restricționare (Art. 18) — în timpul verificării exactității sau când prelucrarea e contestată.
- Portabilitate (Art. 20) — export în format structurat (JSON, CSV) din dashboard.
- Opoziție (Art. 21) — la prelucrarea bazată pe interes legitim, inclusiv analitică.
- Decizii automatizate (Art. 22) — prognozele AI sunt recomandări, nu decizii cu efect juridic; pot fi oricând suprascrise manual.
Pentru datele importate prin conectori care aparțin clienților unui Tenant, cererile se adresează de regulă Tenantului (operatorul acelor date). Termen de răspuns: maxim 30 de zile (extensibil cu 60 de zile în cazuri complexe, cu notificare). Cereri: dpo@4pro.io.
6. Evaluarea impactului (DPIA, Art. 35 GDPR)
| Risc identificat | Măsură de atenuare |
|---|---|
| Acces neautorizat la date de business | Izolare multi-tenant + RBAC + MFA + audit trail |
| Scurgeri de date între Tenanți | Filtrare obligatorie tenantId la nivel ORM |
| Compromiterea credențialelor | bcrypt + JWT cu expirare scurtă + MFA |
| Pierdere de date | Backup periodic + replicare |
| Transfer de date în afara SEE | Mecanisme adecvate (SCC) pentru servicii din afara SEE |
| Decizii automate eronate (AI) | Recomandări, nu decizii; human-in-the-loop; override manual |
7. Procedura în caz de încălcare a securității datelor (Art. 33 și 34 GDPR)
- Detectare — monitorizare continuă + alerte pentru activitate anormală.
- Notificare autoritate — în maxim 72 de ore de la conștientizare, notificăm autoritatea de supraveghere competentă.
- Notificare utilizatori — dacă încălcarea prezintă risc ridicat, notificăm persoanele afectate fără întârziere nejustificată.
- Documentare și remediere — registru al încălcărilor + măsuri imediate de contenție și corectare.
8. Responsabil cu protecția datelor (DPO)
Pentru orice chestiuni legate de GDPR: dpo@4pro.io (termen de răspuns: maxim 30 de zile).
9. Dreptul de a depune plângere
Dacă considerați că prelucrarea încalcă GDPR, puteți sesiza autoritatea de supraveghere competentă. În România: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) — www.dataprotection.ro, B-dul G-ral. Gheorghe Magheru nr. 28-30, Sector 1, București, 010336, anspdcp@dataprotection.ro. Vă puteți adresa și autorității din statul membru UE de domiciliu, loc de muncă sau al presupusei încălcări (Art. 77 GDPR).
10. Acordul de prelucrare a datelor (DPA, Art. 28 GDPR)
Pentru organizațiile care necesită un Acord de Prelucrare a Datelor (DPA) separat, contactați dpo@4pro.io. Furnizăm DPA standard pentru planurile Enterprise și, la cerere, pentru alte planuri.
11. Actualizări ale Politicii GDPR
Această politică poate fi actualizată pentru a reflecta modificări legislative sau de practică. Versiunile publicate: legal.knowbest.ro/ro/gdpr/procuchaingo2. Modificările semnificative se notifică.