Legal
GDPR — Protecția Datelor cu Caracter Personal
Versiunea 1.0 — Ultima actualizare: 14 mai 2025
1Ce este GDPR și ce înseamnă pentru dumneavoastră?
GDPR (General Data Protection Regulation — Regulamentul General privind Protecția Datelor) este un regulament european care a intrat în vigoare la 25 mai 2018 și care se aplică în toate statele membre ale Uniunii Europene, inclusiv România. A fost transpus în legislația națională prin Legea nr. 190/2018.
GDPR reglementează modul în care organizațiile colectează, stochează, prelucrează și șterg datele cu caracter personal ale persoanelor fizice. O dată cu caracter personal este orice informație care poate identifica direct sau indirect o persoană fizică: nume, email, număr de telefon, adresă IP, număr de înmatriculare vehicul etc.
Ce înseamnă pentru dumneavoastră: Aveți drepturi clare și aplicabile cu privire la datele dumneavoastră personale. SC VOID SFT GAMES SRL (operatorul platformei Velos) are obligația legală de a respecta aceste drepturi și de a vă oferi transparență deplină privind prelucrarea datelor.
2Cine suntem. Rolurile noastre conform GDPR
| Rol GDPR | Definiție | Când se aplică |
|---|---|---|
| Operator | Entitatea care stabilește scopurile și mijloacele prelucrării [Art. 4(7) GDPR] | Prelucrăm datele utilizatorilor platformei (reprezentanți stații ITP, angajați) — SC VOID SFT GAMES SRL este Operator |
| Împuternicit | Entitatea care prelucrează date în numele Operatorului [Art. 4(8) GDPR] | Prelucrăm datele clienților finali ai stațiilor ITP — SC VOID SFT GAMES SRL este Împuternicit, stația ITP este Operator |
| Sub-împuternicit | Furnizori tehnici care prelucrează date în numele Împuternicitului | Supabase, furnizor SMS, Vercel — prelucrează date pentru a furniza infrastructura platformei Velos |
Datele de contact ale Operatorului:
3Principiile GDPR pe care le respectăm
Conform Art. 5 GDPR, toate prelucrările de date efectuate de SC VOID SFT GAMES SRL respectă următoarele principii fundamentale:
Legalitate, echitate și transparență
Prelucrăm date numai în baza unui temei legal valid și vă informăm clar despre aceasta.
Limitarea scopului
Datele sunt colectate în scopuri determinate, explicite și legitime — nu le folosim în alt mod.
Reducerea la minimum a datelor
Colectăm numai datele strict necesare scopului — nu cerem mai mult decât avem nevoie.
Exactitate
Datele sunt menținute exacte și actualizate; puteți corecta oricând datele inexacte.
Limitarea stocării
Datele sunt păstrate numai atât timp cât este necesar sau prevăzut de lege.
Integritate și confidențialitate
Aplicăm măsuri tehnice și organizatorice adecvate pentru securitatea datelor.
Responsabilitate (Accountability)
Putem demonstra respectarea GDPR — ținem evidența activităților de prelucrare.
Privacy by Design & Default
Protecția datelor este integrată în arhitectura platformei, nu adăugată ulterior.
4Drepturile dumneavoastră. Cum le exercitați
GDPR (Capitolul III, Art. 15–22) vă conferă opt drepturi fundamentale privind datele dumneavoastră cu caracter personal:
Dreptul de acces
Art. 15Aveți dreptul de a ști dacă prelucrăm datele dumneavoastră și, dacă da, de a obține o copie a acestora (extras de date), împreună cu informații despre: scopuri, categorii de date, destinatari, durată de stocare, dreptul de portabilitate și rectificare.
Trimiteți un email la contact@velos.ro cu subiectul „GDPR — Drept de acces”. Vom răspunde în max. 30 zile cu un export al datelor dumneavoastră.
Dreptul la rectificare
Art. 16Dacă datele dumneavoastră sunt inexacte sau incomplete, aveți dreptul de a solicita corectarea sau completarea lor fără întârzieri nejustificate.
Puteți actualiza datele direct din setările contului Velos sau trimiteți o cerere la contact@velos.ro cu subiectul „GDPR — Rectificare”.
Dreptul la ștergere („dreptul de a fi uitat”)
Art. 17Puteți solicita ștergerea datelor atunci când: nu mai sunt necesare scopului inițial, v-ați retras consimțământul, ați obiectat la prelucrare, datele au fost prelucrate ilegal sau ștergerea este impusă de o obligație legală. Nu se aplică pentru date supuse obligațiilor legale de arhivare (ex. facturi — 10 ani).
Trimiteți o cerere la contact@velos.ro cu subiectul „GDPR — Ștergere date”. Vom confirma ștergerea sau vă vom explica motivul pentru care nu poate fi efectuată.
Dreptul la restricționarea prelucrării
Art. 18Puteți solicita „înghețarea” prelucrării datelor (nu și ștergerea) în situații specifice: contestați exactitatea datelor (pe durata verificării), prelucrarea este ilegală dar preferați restricționarea în loc de ștergere, aveți nevoie de date pentru constatarea unui drept în instanță.
Trimiteți o cerere la contact@velos.ro cu subiectul „GDPR — Restricționare”. Vom aplica restricția și vă vom notifica înainte de ridicarea ei.
Dreptul la portabilitatea datelor
Art. 20Aveți dreptul de a primi datele furnizate de dumneavoastră într-un format structurat, utilizat curent și care poate fi citit automat (JSON sau CSV) și de a le transmite direct unui alt operator, acolo unde este tehnic posibil. Se aplică numai pentru datele prelucrate pe baza contractului sau a consimțământului.
Solicitați un export la contact@velos.ro cu subiectul „GDPR — Portabilitate”. Vom furniza un fișier JSON/CSV în termen de 30 zile.
Dreptul la opoziție
Art. 21Puteți obiecta în orice moment față de prelucrarea datelor dumneavoastră bazată pe interesul nostru legitim [Art. 6(1)(f)], inclusiv pentru profilare. Vom înceta prelucrarea cu excepția cazului în care demonstrăm motive legitime imperioase. Puteți obiecta oricând față de prelucrarea în scop de marketing direct.
Trimiteți o opoziție la contact@velos.ro cu subiectul „GDPR — Opoziție”. Pentru marketing: link dezabonare din orice email sau setările contului.
Dreptul de a nu face obiectul deciziilor automate
Art. 22Aveți dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată (inclusiv profilare) care produce efecte juridice sau vă afectează semnificativ în mod similar. SC VOID SFT GAMES SRL nu ia astfel de decizii automate cu privire la utilizatorii platformei.
Dacă considerați că o decizie automată v-a afectat, contactați-ne la contact@velos.ro cu subiectul „GDPR — Decizie automată”.
Retragerea consimțământului
Art. 7(3)Acolo unde prelucrarea se bazează pe consimțământul dumneavoastră, îl puteți retrage oricând, fără a afecta legalitatea prelucrării efectuate anterior retragerii. Retragerea consimțământului nu afectează serviciile bazate pe contract sau obligații legale.
Retragere din setările contului (secțiunea Notificări) sau prin email la contact@velos.ro cu subiectul „GDPR — Retragere consimțământ”.
5Cum procesăm o cerere GDPR
Procesul nostru pentru gestionarea cererilor privind drepturile GDPR:
Primiți cererea dumneavoastră
Trimiteți un email la contact@velos.ro cu subiectul „GDPR — [dreptul solicitat]”. Vă rugăm să precizați clar ce solicitați și să includeți datele de identificare (email cont, nume).
Verificăm identitatea
Pentru a proteja datele dumneavoastră față de solicitări neautorizate, vom verifica identitatea prin confirmarea adresei de email asociate contului sau prin întrebări de verificare. Nu solicităm documente de identitate în mod standard.
Analizăm și procesăm cererea
Evaluăm cererea în raport cu prevederile GDPR. Dacă există motive pentru care nu putem da curs integral cererii (ex. obligații legale de arhivare), vă vom explica în detaliu.
Răspundem în termen de 30 de zile
Termenul legal de răspuns este de 30 de zile calendaristice de la primirea cererii. În cazuri complexe sau multiple, termenul poate fi prelungit cu maximum 60 de zile suplimentare, cu notificarea dumneavoastră în termen de 30 zile și explicarea motivelor.
Răspunsul este gratuit
Exercitarea drepturilor GDPR este gratuită. Excepție: dacă cererile sunt vădit nefondate sau excesive (repetitive), putem percepe o taxă administrativă rezonabilă sau refuza cererea, cu motivare scrisă.
Trimiteți cererea dumneavoastră GDPR:
Email: contact@velos.ro — Subiect: „GDPR — [dreptul solicitat]"
Exemplu: „GDPR — Drept de acces", „GDPR — Ștergere date", „GDPR — Portabilitate"
6Acordul de Prelucrare a Datelor (APD / DPA) pentru clienții B2B
Conform Art. 28 GDPR, atunci când un Operator (stația ITP) utilizează un Împuternicit (SC VOID SFT GAMES SRL / Velos) pentru prelucrarea datelor cu caracter personal ale clienților săi finali, relația trebuie reglementată printr-un Acord de Prelucrare a Datelor (APD) în formă scrisă.
APD-ul este integrat în Termenii și Condițiile platformei Velos (Secțiunea 11 — Acord de Prelucrare a Datelor). Prin acceptarea Termenilor și Condițiilor la înregistrarea contului, stația ITP (Operatorul) și SC VOID SFT GAMES SRL (Împuternicitul) încheie automat un APD valabil conform Art. 28 GDPR.
| Cerință Art. 28(3) GDPR | Cum este îndeplinită de Velos |
|---|---|
| Prelucrare numai pe baza instrucțiunilor documentate ale Operatorului | Platforma procesează datele clienților finali exclusiv conform acțiunilor efectuate de stația ITP |
| Confidențialitate — persoanele autorizate se angajează la confidențialitate | Toți angajații și colaboratorii sunt obligați prin clauze de confidențialitate contractuale |
| Măsuri de securitate adecvate [Art. 32] | TLS 1.3, AES-256, bcrypt, RLS, backup, monitorizare — detaliate în Politica de Confidențialitate |
| Respectarea condițiilor pentru sub-împuterniciți | Lista sub-împuterniciților este publicată și actualizată. Notificare cu 30 zile înainte de schimbări |
| Asistență pentru exercitarea drepturilor persoanelor vizate | Funcționalități platformă pentru export, ștergere, rectificare date clienți finali |
| Ștergerea / returnarea datelor la finalul contractului | La reziliere, datele sunt exportabile 30 zile, apoi șterse în 90 zile |
| Punerea la dispoziție a informațiilor pentru audituri | La cerere scrisă, furnizăm documentație privind conformitatea GDPR |
Textul complet al APD-ului se regăsește în Termenii și Condițiile platformei (Secțiunea 11). La cerere, APD-ul poate fi furnizat și ca document separat semnat. Contactați-ne la contact@velos.ro.
7Evidența activităților de prelucrare (Registrul GDPR)
Conform Art. 30 GDPR, SC VOID SFT GAMES SRL ține o evidență scrisă a activităților de prelucrare (Registrul de prelucrare) care documentează:
- Denumirea și datele de contact ale operatorului
- Scopurile prelucrării pentru fiecare activitate
- Categoriile de persoane vizate și categoriile de date
- Categoriile de destinatari și transferuri internaționale
- Termenele de ștergere sau retenție
- Descrierea măsurilor de securitate aplicate
Registrul este un document intern, pus la dispoziția ANSPDCP la solicitare conform Art. 30 alin. (4) GDPR. Un rezumat al activităților principale de prelucrare este disponibil în Politica de Confidențialitate (Secțiunea 3 — Tabelele de categorii de date).
8Evaluarea impactului asupra protecției datelor (DPIA)
Conform Art. 35 GDPR, efectuăm o Evaluare a Impactului asupra Protecției Datelor (DPIA) înainte de orice operațiune de prelucrare care poate genera un risc ridicat pentru drepturile și libertățile persoanelor fizice.
Categoriile de prelucrare care pot necesita DPIA conform liniilor directoare EDPB WP248:
- Prelucrare la scară largă de date sensibile
- Prelucrare sistematică și extinsă bazată pe profilare automată
- Monitorizare sistematică a persoanelor în spații publice
Platforma Velos nu efectuează prelucrări care să necesite obligatoriu DPIA conform criteriilor EDPB. Monitorizăm continuu activitățile de prelucrare și efectuăm DPIA ori de câte ori introducem funcționalități noi cu potențial risc ridicat.
9Notificarea încălcărilor de securitate (Data Breach)
În cazul unui incident de securitate care implică date cu caracter personal, SC VOID SFT GAMES SRL respectă obligațiile prevăzute de Art. 33 și Art. 34 GDPR:
Notificare ANSPDCP [Art. 33]
În termen de 72 de ore de la constatarea incidentului care prezintă risc pentru drepturile persoanelor fizice, notificăm ANSPDCP cu toate detaliile disponibile (natura incidentului, date afectate, persoane implicate, măsuri luate).
Notificare persoane vizate [Art. 34]
Dacă incidentul prezintă un risc ridicat pentru drepturile și libertățile dumneavoastră, vă vom notifica fără întârzieri nejustificateprin email, cu descrierea clară a incidentului și a măsurilor recomandate.
Menținem un registru intern al incidentelor de securitate conform Art. 33 alin. (5) GDPR, inclusiv pentru incidentele care nu necesită notificarea autorității.
10Obligațiile stației ITP ca Operator de date
Stațiile ITP care utilizează platforma Velos prelucrează date cu caracter personal ale clienților lor finali în calitate de Operator independent. Prin urmare, stația ITP are următoarele obligații proprii conform GDPR:
- Informarea clienților finali [Art. 13 GDPR]: Stația ITP trebuie să informeze clienții finali despre prelucrarea datelor lor (prin afișaj la recepție, formular de programare, etc.).
- Temeiul legal pentru prelucrare: Stația ITP trebuie să identifice și să documenteze temeiul legal pentru fiecare prelucrare (contract, consimțământ, obligație legală, interes legitim).
- Consimțământ pentru SMS-uri [Legea 506/2004]: Trimiterea de SMS-uri cu caracter comercial (remindere, oferte) necesită consimțământul explicit al destinatarului. Platforma Velos oferă funcționalitatea de gestionare a opt-in/opt-out SMS per client (câmpul
sms_optindin profilul clientului). - Durata de retenție: Stația ITP stabilește propria politică de retenție a datelor clienților finali și poate exporta sau șterge datele din platformă.
- Răspuns la cereri GDPR ale clienților finali: Stația ITP este responsabilă de răspunsul la cererile GDPR ale clienților săi finali. SC VOID SFT GAMES SRL oferă asistență tehnică prin funcționalitățile platformei.
SC VOID SFT GAMES SRL pune la dispoziția stațiilor ITP documentație și suport pentru conformitatea GDPR. Contactați-ne la contact@velos.ro pentru asistență.
11Autoritatea de supraveghere. Dreptul de a depune plângere
Fără a aduce atingere oricărei alte căi de atac administrative sau judiciare, aveți dreptul de a depune o plângere la autoritatea de supraveghere competentă conform Art. 77 GDPR și Art. 8 din Legea 190/2018:
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
Vă încurajăm să ne contactați în primul rând direct la contact@velos.ro pentru a rezolva orice problemă legată de protecția datelor. Suntem angajați să găsim o soluție amiabilă în cel mai scurt timp posibil.
12Documente conexe
Această pagină face parte dintr-un set complet de documente de conformitate GDPR:
Termeni și Condiții →
Contractul de utilizare a platformei, inclusiv APD (Art. 28 GDPR)
Politica de Confidențialitate →
Detalii complete despre datele colectate, scopuri, temeie legale, subprocesori
Politica de Cookies →
Lista completă a cookie-urilor, categorii, durată, gestionare consimțământ
Contact GDPR →
contact@velos.ro — Subiect: GDPR — [dreptul solicitat]