Contavo

GDPR — Protecția datelor

Ultima actualizare: 24 iunie 2026

Acest document descrie angajamentul ContavoApp S.R.L. privind protecția datelor cu caracter personal conform Regulamentului (UE) 2016/679 (GDPR) și rolul nostru ca operator și persoană împuternicită.

1. Angajamentul nostru

ContavoApp S.R.L., operator al platformei Contavo, respectă pe deplin Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal (GDPR).

Ne angajăm să prelucrăm datele tale cu responsabilitate, transparență și exclusiv în scopurile declarate.

2. Principiile prelucrării (art. 5 GDPR)

Toate prelucrările noastre respectă principiile:

  • Legalitate, echitate și transparență — prelucrăm datele legal și îți comunicăm clar cum le folosim.
  • Limitarea scopului — datele sunt colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior în mod incompatibil.
  • Reducerea la minimum — colectăm doar datele necesare pentru scopul declarat.
  • Exactitate — menținem datele actualizate și ștergem sau corectăm datele inexacte.
  • Limitarea stocării — datele sunt păstrate nu mai mult decât este necesar.
  • Integritate și confidențialitate — protejăm datele prin măsuri tehnice și organizatorice adecvate.

3. Rolul ContavoApp S.R.L.

ContavoApp S.R.L. acționează în două calități distincte:

  • Operator (Controller) — pentru datele tale de cont, abonament și utilizare a platformei.
  • Persoană împuternicită (Processor) — pentru datele clienților tăi introduse în platformă (facturile, contractele, datele de contact ale clienților tăi). În această calitate, prelucrăm acele date exclusiv conform instrucțiunilor tale și în scopul furnizării serviciului. Între noi se aplică un Acord de Prelucrare a Datelor (DPA) conform art. 28 GDPR.

4. Acordul de Prelucrare a Datelor (DPA)

Prin acceptarea Termenilor și Condițiilor, înregistrezi și acceptați un Acord de Prelucrare a Datelor conform art. 28 GDPR. Acesta stabilește:

  • că prelucrăm datele clienților tăi exclusiv în scopul furnizării serviciului Contavo;
  • că nu divulgăm aceste date terților fără instrucțiunile tale, cu excepția obligațiilor legale;
  • că asigurăm măsuri de securitate adecvate;
  • că te sprijinim în exercitarea drepturilor persoanelor vizate;
  • că la încetarea contractului ștergem sau îți returnăm datele, conform solicitării tale.

5. Drepturile persoanelor vizate

Ai (și clienții tăi ale căror date le introduci în platformă au) următoarele drepturi conform GDPR:

  • Dreptul de acces (art. 15) — să știi ce date prelucrăm.
  • Dreptul la rectificare (art. 16) — corectarea datelor inexacte sau incomplete.
  • Dreptul la ștergere (art. 17) — „dreptul de a fi uitat", în condițiile legii.
  • Dreptul la restricționarea prelucrării (art. 18).
  • Dreptul la portabilitate (art. 20) — primirea datelor în format structurat, CSV sau JSON.
  • Dreptul de opoziție (art. 21) — în special față de marketingul direct.
  • Dreptul de a nu fi supus deciziilor automate (art. 22) — nu luăm decizii cu efect legal exclusiv prin mijloace automate.

6. Cum îți exerciți drepturile

Trimite o solicitare la contact@contavo.ro cu subiectul „Drept GDPR — [tipul dreptului]". Vom răspunde în termen de 30 de zile. Identitatea solicitantului poate fi verificată înainte de procesarea cererii.

7. Măsuri de securitate (art. 32 GDPR)

Implementăm un set complet de măsuri tehnice și organizatorice:

  • Criptare TLS 1.3 pentru toate datele în tranzit.
  • Criptare la stocare (AES-256) pentru datele sensibile.
  • Autentificare cu factori multipli (MFA) disponibilă pentru toate conturile.
  • Control strict al accesului — principiul minimului de privilegii.
  • Backup automat zilnic, cu retenție de 30 de zile.
  • Monitorizare continuă pentru detectarea incidentelor de securitate.
  • Evaluări periodice ale riscurilor și teste de penetrare.

8. Notificarea breșelor de securitate (art. 33–34 GDPR)

În cazul unei breșe de securitate, vom notifica ANSPDCP în termen de 72 de ore de la constatare.

Dacă breșa prezintă un risc ridicat pentru drepturile și libertățile persoanelor vizate, te vom informa direct, fără întârzieri nejustificate, cu privire la natura incidentului și măsurile luate.

9. Subprocesori

Utilizăm subprocesori autorizați pentru operarea platformei. Lista actualizată include:

  • Supabase Inc. — bază de date și autentificare (servere UE).
  • Vercel Inc. — găzduire aplicație (cu SCC pentru transferuri UE–SUA).
  • Stripe Inc. — procesarea plăților (cu SCC).
  • Resend Inc. — email tranzacțional.
  • Google LLC (Gemini AI) — extragerea automată a datelor din bonuri, extrase bancare și acte de identitate încărcate de utilizator (cu SCC). Documentele nu sunt folosite pentru antrenarea modelelor.
  • OpenAI LLC — procesarea întrebărilor adresate asistentului din aplicație (cu SCC).

10. Transferuri internaționale (cap. V GDPR)

Când datele sunt transferate în afara UE/SEE (ex. la furnizori din SUA), ne asigurăm că există garanții adecvate: Clauze Contractuale Standard (SCC) adoptate de Comisia Europeană sau aderența la cadrul EU–US Data Privacy Framework.

11. Responsabilul cu protecția datelor

ContavoApp S.R.L. nu are obligația legală de a desemna un DPO (Data Protection Officer), dat fiind că suntem o companie mică și nu prelucrăm date la scară largă sau categorii speciale de date. Solicitările privind protecția datelor se adresează direct echipei noastre la contact@contavo.ro.

12. Autoritatea de supraveghere

Dacă consideri că prelucrarea datelor tale încalcă GDPR, ai dreptul de a depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP):

  • Website: www.dataprotection.ro
  • Email: anspdcp@dataprotection.ro
  • Telefon: 031-805-9211
  • Adresă: B-dul G-ral Gheorghe Magheru 28–30, sector 1, București

Pentru orice întrebare legată de acest document ne poți scrie la contact@contavo.ro. Operator: ContavoApp S.R.L., București, Str. Ion Roată nr. 9.