Conformitate GDPR
Convia este construită din prima zi pentru a respecta Regulamentul (UE) 2016/679 („GDPR”) și legislația română de aplicare (Legea 190/2018). Această pagină este un rezumat practic al modului în care ne îndeplinim obligațiile, conceput pentru echipele legale, ofițerii de protecția datelor (DPO) și departamentele de procurement care evaluează platforma. Convia este operată de NORTEC BLANC S.R.L., cu sediul în Sat Ciofrângeni, Comuna Ciofrângeni, Nr. 257 bis, corp C16, Județ Argeș, România, înregistrată la Registrul Comerțului sub nr. J3/2526/2019, CUI 41773828.
1. Rolurile noastre sub GDPR
Convia procesează date personale în două calități distincte, în funcție de context:
- Operator de date pentru contul tău de Convia (nume, email, credențiale, facturare, telemetrie de utilizare). În acest caz, deciziile despre prelucrare le luăm noi.
- Persoană împuternicită (data processor) pentru datele utilizatorilor tăi finali care interacționează cu boții tăi (mesaje, contacte, metadate de vizitator). În această situație, tu ești operatorul de date și noi prelucrăm datele exclusiv conform instrucțiunilor tale și a DPA-ului semnat.
Această distincție este esențială și se reflectă în Termeni, Politica de confidențialitate și în Acordul de prelucrare a datelor (DPA).
2. Acord de prelucrare a datelor (DPA)
Oferim un Acord de prelucrare a datelor standard, conform Art. 28 GDPR, care include:
- Obiectul, natura, scopul și durata prelucrării
- Tipurile de date personale și categoriile de persoane vizate
- Obligațiile de confidențialitate și securitate
- Reguli pentru sub-împuterniciți (inclusiv consimțământ general în avans)
- Asistență pentru exercitarea drepturilor persoanelor vizate
- Notificarea incidentelor de securitate
- Clauzele contractuale standard (SCC) aprobate de Comisia Europeană pentru transferurile internaționale (Decizia 2021/914)
- Ștergerea sau returnarea datelor la încetarea contractului
DPA-ul este disponibil la cerere pentru toți clienții. Pentru a primi o copie sau pentru a-l semna, scrie-ne la salut@convia.ro cu subiectul „Cerere DPA”. Odată semnat, DPA-ul face parte integrantă din relația contractuală cu Convia.
3. Sub-împuterniciți
Pentru a furniza Serviciul, lucrăm cu un număr restrâns de furnizori terți care procesează date personale în numele nostru. Fiecare sub-împuternicit este selectat pentru standarde stricte de securitate și este obligat prin DPA să respecte cerințele GDPR.
| Sub-împuternicit | Rol | Regiune |
|---|---|---|
| Furnizor cloud (infrastructură) | Autentificare, baza de date, stocare fișiere, vector store pentru RAG, mesagerie în timp real | UE (Frankfurt) |
| OpenAI | Generare răspunsuri AI | SUA (cu SCC) |
| Anthropic | Generare răspunsuri AI | SUA (cu SCC) |
| Stripe | Procesare plăți, gestionare abonamente | UE / SUA (cu SCC) |
| Furnizor email tranzacțional | Trimitere emailuri (confirmări, alerte, facturi) | UE / SUA (cu SCC) |
| Vercel | Găzduire frontend (dashboard, site, widget) | UE (Frankfurt), regiune principală |
Te vom notifica cu cel puțin 30 de zile înainte să adăugăm sau să înlocuim un sub-împuternicit. Dacă te opui din motive justificate legate de protecția datelor, vom depune eforturi rezonabile pentru a oferi o alternativă; în lipsa acesteia, fiecare parte poate înceta contractul.
4. Măsuri tehnice și organizatorice (Art. 32 GDPR)
Implementăm măsuri proporționale cu riscurile pentru drepturile persoanelor vizate:
4.1 Securitate tehnică
- Criptare în repaus: AES-256 pentru baza de date și fișierele stocate
- Criptare în tranzit: TLS 1.3 obligatoriu pentru toate conexiunile
- Hash bcrypt pentru parolele utilizatorilor, cu factor adaptiv
- Row-Level Security (RLS) la nivel de bază de date, garantând că datele unui cont nu pot fi accesate de alte conturi
- Rotația cheilor de criptare la intervale regulate
- Rate limiting și protecție anti-abuz pe toate API-urile
- Audit log-uri pentru acțiunile sensibile din dashboard
- Backup-uri zilnice criptate, cu retenție de 30 de zile
4.2 Măsuri organizatorice
- Control acces bazat pe roluri (RBAC): Owner, Admin, Developer, Agent uman, fiecare cu permisiuni granulare
- Principiul „nevoia de a cunoaște”: accesul angajaților la datele clienților este limitat la situațiile strict necesare (suport, debug, mentenanță)
- Pregătire periodică a echipei pe teme de protecția datelor și securitate
- Politici interne de management al parolelor, dispozitivelor și accesului
- Acorduri de confidențialitate semnate de toți angajații și colaboratorii
4.3 Continuitatea serviciului
- Monitorizare 24/7 a infrastructurii și alerte automate
- Backup-uri redundante geografic în regiunea UE
- Plan de recuperare după dezastre (DRP) testat periodic
5. Drepturile persoanelor vizate
GDPR garantează persoanelor vizate drepturi specifice. Modul în care le facem efective depinde de rolul nostru:
- Pentru datele contului tău (unde noi suntem operator): te poți adresa direct la salut@convia.ro. Răspundem în maximum 30 de zile.
- Pentru datele utilizatorilor tăi finali (unde noi suntem împuternicit): cererile se adresează ție, în calitate de operator. Te asistăm tehnic să le îndeplinești: exportul datelor unei persoane, ștergerea unei conversații sau restricționarea prelucrării sunt disponibile direct din dashboard.
Drepturile incluse:
- Acces (Art. 15): copie a datelor personale prelucrate
- Rectificare (Art. 16): corectarea datelor inexacte
- Ștergere (Art. 17): „dreptul de a fi uitat”
- Restricționare (Art. 18): limitarea prelucrării
- Portabilitate (Art. 20): date într-un format structurat, prelucrabil automat
- Opoziție (Art. 21)
- Retragerea consimțământului (Art. 7)
- Plângere la autoritatea de supraveghere (Art. 77): ANSPDCP în România
6. Transferuri internaționale de date
Datele stocate în infrastructura noastră principală rămân în Uniunea Europeană (Frankfurt). Anumiți sub-împuterniciți (precum furnizorii de modele AI) sunt situați în SUA. Pentru acele transferuri:
- Aplicăm clauzele contractuale standard (SCC) aprobate de Comisia Europeană (Decizia 2021/914)
- Realizăm evaluări de impact al transferului (TIA) pentru a verifica că legislația din țara destinatară nu compromite drepturile persoanelor vizate
- Implementăm măsuri suplimentare acolo unde este necesar (criptare suplimentară, pseudonimizare, contracte adiționale)
7. Notificarea incidentelor de securitate
În cazul unui incident de securitate care implică date personale:
- Identificare și conținere: Echipa noastră investighează imediat și limitează impactul
- Notificare ANSPDCP: Dacă suntem operator și incidentul prezintă risc pentru drepturile persoanelor vizate, notificăm ANSPDCP în maximum 72 de ore (Art. 33)
- Notificarea clienților: Dacă suntem împuternicit, te notificăm fără întârziere nejustificată, oferind toate detaliile necesare pentru ca tu, ca operator, să-ți îndeplinești la rândul tău obligațiile de raportare
- Notificarea persoanelor vizate: Atunci când este obligatorie conform Art. 34, transmitem comunicări clare și acționabile
- Documentare: Păstrăm înregistrări detaliate ale incidentelor și ale măsurilor luate, conform Art. 33(5)
8. Evidența activităților de prelucrare (Art. 30)
Menținem evidența activităților noastre de prelucrare, atât în calitate de operator, cât și de împuternicit, conform Art. 30 GDPR. Această evidență este disponibilă autorității de supraveghere la cerere. Clienții B2B care au nevoie de extrase relevante pentru propriile registre de prelucrare ne pot contacta la salut@convia.ro.
9. AI și prelucrarea automată
Boții noștri generează răspunsuri folosind modele AI ale unor furnizori terți (OpenAI, Anthropic). Câteva clarificări importante:
- Nu antrenăm modele AI cu datele tale. Conversațiile sunt transmise tranzitoriu, doar pentru a genera un răspuns. Furnizorii AI sunt obligați contractual să nu rețină datele pentru antrenare.
- Conținutul AI necesită supraveghere umană. Răspunsurile pot fi ocazional inexacte. Pentru cazurile unde este nevoie de decizie umană, oferim mecanism de preluare umană („human takeover”).
- Decizii automatizate. Convia nu ia decizii automate care produc efecte juridice asupra persoanelor vizate, în sensul Art. 22 GDPR.
10. Contact pentru protecția datelor
Pentru orice cerere legată de GDPR (DPA, cereri din partea persoanelor vizate, întrebări despre sub-împuterniciți sau notificarea unui incident), te rugăm să ne contactezi:
NORTEC BLANC S.R.L., operator Convia
Sediul social: Sat Ciofrângeni, Comuna Ciofrângeni, Nr. 257 bis, corp C16, Județ Argeș, România
Nr. Registrul Comerțului: J3/2526/2019
CUI: 41773828 · Cod TVA UE: RO41773828
Email protecția datelor: salut@convia.ro (subiect: „GDPR”)
11. Autoritatea de supraveghere
Dacă apreciezi că am încălcat drepturile tale conferite de GDPR, ai dreptul să depui o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP):
- Adresa: B-dul G-ral. Gheorghe Magheru nr. 28-30, Sector 1, 010336, București, România
- Site web: www.dataprotection.ro
- Email: anspdcp@dataprotection.ro
Poți depune plângere și la autoritatea de supraveghere a statului UE/SEE în care ai reședința obișnuită sau locul de muncă, ori unde a avut loc presupusa încălcare.