Legal
Politica de Confidențialitate
Versiunea 1.0 — Ultima actualizare: 14 mai 2025
1Identitatea și datele de contact ale Operatorului
Operatorul de date cu caracter personal în sensul Art. 4 alin. (7) GDPR este:
Responsabil cu Protecția Datelor (DPO): SC VOID SFT GAMES SRL nu a desemnat un DPO obligatoriu conform Art. 37 GDPR, întrucât prelucrările efectuate nu intră în categoriile care impun desemnarea obligatorie. Orice solicitare privind protecția datelor poate fi adresată la adresa de email contact@velos.ro cu subiectul „GDPR".
2Domeniu de aplicare. Calitatea Operatorului și a Împuternicitului
Platforma Velos este un serviciu de tip Software as a Service (SaaS) destinat persoanelor juridice (stații ITP). În acest context, SC VOID SFT GAMES SRL acționează în două calități distincte:
2.1 Operator independent — pentru datele utilizatorilor platformei
Prelucrăm ca Operator datele reprezentanților legali, administratorilor și angajaților stațiilor ITP care creează și utilizează un cont pe platforma Velos. Temeiul legal este Art. 6 alin. (1) lit. (b) GDPR (executarea contractului de abonament).
2.2 Împuternicit — pentru datele clienților finali ai stației ITP
Datele clienților finali (persoanele fizice care se programează la ITP) sunt introduse în platformă de stația ITP în calitate de Operator. SC VOID SFT GAMES SRL prelucrează aceste date exclusiv în calitate de Împuternicit (Data Processor) conform Art. 4 alin. (8) GDPR, în baza Acordului de Prelucrare a Datelor (APD/DPA) inclus în Termenii și Condițiile platformei.
Stația ITP este responsabilă de asigurarea unui temei legal pentru colectarea datelor clienților săi finali și de informarea acestora conform obligațiilor Art. 13 GDPR.
3Ce date cu caracter personal prelucrăm
3.1 Date ale utilizatorilor platformei (conturi Velos)
| Categorie date | Exemple | Temei legal (GDPR) | Durată păstrare |
|---|---|---|---|
| Date de identificare | Nume, prenume, adresă email, număr de telefon | Art. 6(1)(b) — executarea contractului | Pe durata contractului + 3 ani |
| Date firmă | Denumire societate, CUI, adresă sediu, nr. stație ITP | Art. 6(1)(b) — executarea contractului; Art. 6(1)(c) — obligație legală (facturare) | 10 ani (obligații contabile) |
| Date de autentificare | Email, parolă hash (bcrypt), token sesiune | Art. 6(1)(b) — executarea contractului | Pe durata contului activ |
| Date de facturare | Adresă facturare, date plată (tokenizate prin procesator), istoricul facturilor | Art. 6(1)(c) — obligație legală (Legea 227/2015, Legea 82/1991) | 10 ani |
| Date de utilizare | Acțiuni în platformă, funcții folosite, date de login | Art. 6(1)(f) — interes legitim (securitate, îmbunătățire servicii) | 12 luni |
| Date tehnice | Adresă IP, browser, sistem de operare, cookies | Art. 6(1)(f) — interes legitim (securitate) / Art. 6(1)(a) — consimțământ (cookies marketing) | Cf. Politica Cookies |
3.2 Date ale clienților finali ai stației ITP (prelucrate ca Împuternicit)
| Categorie date | Exemple | Temei legal (GDPR) | Durată păstrare |
|---|---|---|---|
| Identificare client | Nume, prenume, număr de telefon, email | Determinat de stația ITP (Operator) | Determinat de stația ITP |
| Date vehicul | Număr înmatriculare, marcă, model, an fabricație, tip, combustibil | Determinat de stația ITP (Operator) | Determinat de stația ITP |
| Programări și rezultate ITP | Data programării, rezultat inspecție, defecțiuni constatate | Determinat de stația ITP (Operator) | Determinat de stația ITP |
| Comunicări SMS | Conținut SMS, status livrare, număr destinatar | Art. 6(1)(a) consimțământ sau Art. 6(1)(b) executarea serviciului — determinat de stația ITP | 12 luni |
3.3 Date ale vizitatorilor paginii publice de programări (Smart Page)
| Categorie date | Exemple | Temei legal (GDPR) | Durată păstrare |
|---|---|---|---|
| Date programare online | Nume, telefon, număr înmatriculare, data aleasă | Art. 6(1)(b) — pașii precontractuali (programare ITP) | Determinat de stația ITP |
| Date tehnice | IP, browser, cookies tehnice | Art. 6(1)(f) — interes legitim (securitate serviciu) | 30 zile |
4Sursele datelor cu caracter personal
Colectăm date din următoarele surse:
- Direct de la dumneavoastră — prin formularul de înregistrare, configurarea contului, completarea profilului stației, introducerea manuală a clienților și vehiculelor în platformă.
- Automat, prin utilizarea platformei — log-uri de acces, adresă IP, cookie-uri tehnice, date de sesiune.
- De la clienții finali ai stației — prin formularul de programare online (Smart Page), în cazul în care clientul final completează singur datele.
- De la procesatorul de plăți — confirmarea tranzacției, identificatorul tokenizat al metodei de plată.
5Scopurile prelucrării și temeiul legal
Acolo unde temeiul legal este consimțământul [Art. 6(1)(a)], aveți dreptul de a retrage consimțământul în orice moment, fără a afecta legalitatea prelucrării anterioare retragerii.
6Destinatarii datelor. Subprocesori
Nu vindem, nu închiriem și nu transferăm datele dumneavoastră unor terți în scopuri de marketing. Datele pot fi accesate de:
6.1 Angajații și colaboratorii SC VOID SFT GAMES SRL
Exclusiv cei care au nevoie de acces pentru prestarea serviciilor (principiul „need to know"). Toți sunt obligați prin clauze de confidențialitate.
6.2 Subprocesori tehnici (Împuterniciți)
| Furnizor | Rol | Sediu | Garanție transfer |
|---|---|---|---|
| Supabase, Inc. | Bază de date, autentificare, stocare fișiere | SUA | Clauze contractuale standard (SCC) — Art. 46 GDPR |
| Furnizor SMS (Twilio / SMSO / similar) | Trimitere SMS-uri programări și remindere | SUA/UE | SCC sau sediu în UE |
| Vercel, Inc. | Hosting aplicație web, CDN | SUA | Clauze contractuale standard (SCC) |
| Stripe, Inc. | Procesare plăți (dacă aplicabil) | SUA | SCC + certificare PCI DSS |
| Google LLC | Google Maps embed, Analytics (opțional) | SUA | SCC + Privacy Shield successor |
Lista subprocesorilor poate fi actualizată. Orice adăugare de subprocesori noi va fi notificată cu cel puțin 30 de zile înainte prin email sau notificare în platformă. Utilizatorul are dreptul de a obiecta față de noul subprocesor.
6.3 Autorități publice
Datele pot fi divulgate autorităților publice (ANAF, poliție, instanțe) exclusiv în temeiul unei obligații legale sau al unui ordin judecătoresc, în volumul minim necesar.
7Transferuri de date în afara Spațiului Economic European (SEE)
Unii subprocesori (Supabase, Vercel) au servere sau sedii în Statele Unite ale Americii, o țară care nu beneficiază de o decizie de adecvare din partea Comisiei Europene în baza Art. 45 GDPR.
Transferurile sunt efectuate cu garanții adecvate în baza Clauzelor Contractuale Standard (SCC) adoptate de Comisia Europeană prin Decizia de punere în aplicare (UE) 2021/914 din 4 iunie 2021, conform Art. 46 alin. (2) lit. (c) GDPR.
Puteți solicita o copie a clauzelor contractuale standard aplicabile scriind la contact@velos.ro.
8Durata păstrării datelor
Păstrăm datele cu caracter personal numai atât timp cât este necesar pentru scopurile descrise și/sau cât prevede legea:
- Date de cont și de utilizare: Pe durata relației contractuale. La reziliere, contul este dezactivat, iar datele sunt șterse în termen de 90 de zile, cu excepția celor supuse unor obligații legale de arhivare.
- Date de facturare și documente contabile: 10 ani de la data emiterii, conform Legii 82/1991 (Legea contabilității).
- Log-uri tehnice și de securitate: 12 luni, după care sunt anonimizate sau șterse.
- Date SMS (conținut, status): 12 luni de la trimitere.
- Cookie-uri: Conform Politicii de Cookies (durate variabile, maxim 13 luni pentru cookie-uri de analiză).
- Date prelucrate pe baza consimțământului: Până la retragerea consimțământului sau cererea de ștergere, oricare survine mai devreme.
La expirarea perioadelor de retenție, datele sunt șterse ireversibil sau anonimizate astfel încât să nu mai permită identificarea persoanei vizate.
9Drepturile dumneavoastră ca persoană vizată
Conform GDPR (Cap. III, Art. 15–22) și Legii 190/2018, aveți următoarele drepturi:
Dreptul de acces (Art. 15)
Aveți dreptul de a obține o confirmare că prelucrăm datele dumneavoastră și, dacă da, o copie a acestora, împreună cu informații despre scopuri, categorii, destinatari și durata păstrării.
Dreptul la rectificare (Art. 16)
Puteți solicita corectarea datelor inexacte sau completarea datelor incomplete, inclusiv prin furnizarea unei declarații suplimentare.
Dreptul la ștergere (Art. 17)
„Dreptul de a fi uitat” — puteți solicita ștergerea datelor în situațiile prevăzute de Art. 17 GDPR (date nu mai sunt necesare, consimțământ retras, opoziție, prelucrare ilegală). Nu se aplică dacă prelucrarea este necesară pentru obligații legale.
Dreptul la restricționarea prelucrării (Art. 18)
Puteți solicita marcarea datelor pentru a limita prelucrarea lor viitoare, în condițiile Art. 18 (contestarea exactității, prelucrare ilegală, nevoie pentru constatarea drepturilor).
Dreptul la portabilitatea datelor (Art. 20)
Aveți dreptul de a primi datele furnizate de dumneavoastră într-un format structurat, utilizat curent și care poate fi citit automat (JSON, CSV) și de a le transmite altui operator, acolo unde este tehnic posibil.
Dreptul la opoziție (Art. 21)
Puteți obiecta în orice moment față de prelucrarea bazată pe interesul legitim [Art. 6(1)(f)]. Prelucrarea va înceta cu excepția cazului în care există motive legitime imperioase.
Dreptul de a nu face obiectul deciziilor automate (Art. 22)
Aveți dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv profilarea, care produce efecte juridice sau vă afectează semnificativ. Velos nu ia astfel de decizii automate.
Retragerea consimțământului (Art. 7 alin. 3)
Acolo unde prelucrarea se bazează pe consimțământ, îl puteți retrage oricând, fără a afecta legalitatea prelucrării anterioare. Retragerea se face prin email la contact@velos.ro sau din setările contului.
Cum vă exercitați drepturile
Trimiteți o cerere scrisă la contact@velos.ro cu subiectul „Cerere GDPR — [Dreptul solicitat]". Vom răspunde în termen de 30 de zile calendaristicede la primirea cererii (termen care poate fi prelungit cu maximum 60 de zile suplimentare în cazuri complexe, cu notificarea dumneavoastră).
Cererea este gratuită. Dacă cererile sunt vădit nefondate sau excesive (în special datorită caracterului lor repetitiv), putem percepe o taxă rezonabilă sau refuza cererea, cu motivare.
Vom solicita verificarea identității dumneavoastră înainte de a procesa cererea, pentru a preveni divulgarea datelor unor terți neautorizați.
10Măsuri de securitate a datelor
Implementăm măsuri tehnice și organizatorice adecvate pentru a proteja datele cu caracter personal împotriva accesului neautorizat, distrugerii, pierderii, modificării sau divulgării, conform Art. 25 (Privacy by Design) și Art. 32 GDPR:
- Criptarea datelor în tranzit prin HTTPS/TLS 1.3
- Criptarea datelor stocate în repaus (AES-256) prin Supabase
- Parole stocate exclusiv ca hash-uri securizate (bcrypt)
- Autentificare cu doi factori (2FA) disponibilă pentru utilizatori
- Controlul accesului bazat pe roluri (RBAC) — Row Level Security (RLS) la nivel de bază de date
- Backup-uri automate criptate, cu retenție de 7 zile
- Monitorizare permanentă a incidentelor de securitate
- Restricții de acces intern (principiul „need to know")
- Evaluarea periodică a vulnerabilităților
Notificarea încălcărilor de securitate: În cazul unui incident de securitate care prezintă un risc pentru drepturile și libertățile persoanelor vizate, vom notifica ANSPDCP în termen de 72 de ore (Art. 33 GDPR) și persoanele vizate afectate fără întârzieri nejustificate (Art. 34 GDPR), dacă riscul este ridicat.
11Cookie-uri și tehnologii similare
Platforma Velos utilizează cookie-uri și tehnologii similare (localStorage, sesiuni). Categoriile principale sunt:
- Cookie-uri strict necesare: Esențiale pentru funcționarea platformei (sesiune autentificare, preferințe UI). Nu necesită consimțământ (Legea 506/2004, Art. 4³).
- Cookie-uri de performanță/analiză: Ne ajută să înțelegem cum este folosită platforma (date agregate, anonimizate). Necesită consimțământ.
- Cookie-uri de marketing: Nu utilizăm cookie-uri de marketing pe paginile interne ale platformei. Pe pagina de prezentare (landing page) pot fi utilizate, cu consimțământul dumneavoastră.
Detalii complete privind fiecare cookie, durata și gestionarea preferințelor se găsesc în Politica de Cookies (velos.ro/cookies).
12Comunicări de marketing
Trimitem comunicări comerciale (noutăți despre platformă, oferte, ghiduri) exclusiv utilizatorilor care și-au exprimat consimțământul explicit la înregistrare sau ulterior, conform Art. 6(1)(a) GDPR și Art. 12 din Legea 506/2004.
Vă puteți dezabona oricând prin:
- Link-ul „Dezabonare" din orice email comercial
- Setările contului Velos → Notificări → Marketing
- Email la contact@velos.ro cu subiectul „Dezabonare marketing"
Dezabonarea de la comunicările de marketing nu afectează notificările tranzacționale necesare prestării serviciului (facturi, expirare abonament, alerte tehnice).
13Date cu privire la minori
Platforma Velos este destinată exclusiv persoanelor cu vârsta de cel puțin 18 ani sau persoanelor juridice reprezentate de persoane cu vârsta legală. Nu colectăm în mod intenționat date cu caracter personal de la minori sub 16 ani (vârsta consimțământului digital conform Art. 8 GDPR coroborat cu Legea 190/2018).
Dacă descoperim că am colectat din greșeală date ale unui minor, le vom șterge prompt. Ne puteți notifica la contact@velos.ro.
14Link-uri către site-uri terțe
Platforma poate conține link-uri către site-uri externe (Google Maps, ANPC, etc.). Această politică se aplică exclusiv datelor prelucrate de SC VOID SFT GAMES SRL. Nu suntem responsabili de practicile de confidențialitate ale site-urilor terțe. Vă recomandăm să consultați politicile de confidențialitate ale acestora.
15Modificări ale Politicii de Confidențialitate
Putem actualiza periodic această politică pentru a reflecta modificări ale serviciilor, cerințelor legale sau practicilor de prelucrare a datelor. Versiunea actualizată va fi publicată la velos.ro/confidentialitate cu menționarea datei ultimei actualizări.
Pentru modificările semnificative (care afectează drepturile dumneavoastră sau scopurile prelucrării), vă vom notifica prin email sau printr-un banner vizibil în platformă cu cel puțin 14 zile înainte de intrarea în vigoare, oferindu-vă posibilitatea de a obiecta sau de a rezilia contractul dacă nu sunteți de acord.
Continuarea utilizării platformei după intrarea în vigoare a noii versiuni constituie acceptarea tacită a modificărilor.
16Dreptul de a depune o plângere la autoritatea de supraveghere
Fără a aduce atingere oricărei alte căi de atac administrative sau judiciare, aveți dreptul de a depune o plângere la autoritatea de supraveghere competentă, în conformitate cu Art. 77 GDPR:
Vă încurajăm să ne contactați în primul rând la contact@velos.ro pentru a încerca rezolvarea amiabilă a oricărei probleme legate de protecția datelor înainte de a vă adresa autorității de supraveghere.
17Contact pentru probleme de protecția datelor
Pentru orice întrebări, solicitări sau reclamații privind prelucrarea datelor cu caracter personal, ne puteți contacta:
contact@velos.ro
Subiect: GDPR — [subiect]
Telefon
0757 941 553
Luni – Vineri, 09:00 – 18:00
Poștă
Strada Progresului, Nr. 2
SC VOID SFT GAMES SRL
SC VOID SFT GAMES SRL — CUI 43474393 — Strada Progresului, Nr. 2, România