POLITICA DE PRELUCRARE A DATELOR CU CARACTER PERSONAL

Becoming W SRL – www.alinaamza.ro

Ultima actualizare: 15 octombrie 2025

Operator / Administrator: Becoming W SRL, cu sediul în Județul Ilfov, Com Corbeanca, înregistrată la Oficiul Registrului Comerțului sub nr. J2025037892002, CUI 51866266 (denumită în continuare „Operatorul” sau „Administratorul”).

Email responsabil protecția datelor: hello@alinaamza.ro

Reprezentant legal: Alina Amza

Persoana responsabilă cu protecția datelor (DPO/Contact GDPR): Alina Amza.

Prezenta Politică descrie, în termeni compleți și conformi cu Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal (denumit în continuare „GDPR”), precum și cu Legea nr. 190/2018, modul în care Operatorul colectează, utilizează, stochează, transmite și protejează datele cu caracter personal ale persoanelor care interacționează cu site-ul și serviciile www.alinaamza.ro (denumite în continuare „Date” sau „Date personale”).

⸻

ART. 1. Principii generale ale prelucrării

1.1. Operatorul prelucrează Datele personale în conformitate cu principiile prevăzute la art. 5 GDPR: legalitate, corectitudine, transparență, limitarea scopului, minimizarea datelor, exactitate, limitarea păstrării, integritate și confidențialitate, responsabilitate demonstrabilă.

1.2. Prelucrarea Datelor se va efectua cu respectarea drepturilor și libertăților fundamentale ale persoanelor vizate.

⸻

ART. 2. Categorii de persoane vizate

2.1. Prezenta Politică acoperă prelucrarea Datelor persoanelor fizice care intră în relație cu Operatorul, inclusiv, după caz:

a) vizitatori ai Site-ului;

b) potențiali clienți / clienți (persoane de contact din cadrul clienților juridici şi/sau persoane fizice în contracte de prestări servicii);

c) candidați la recrutare;

d) abonați la newsletter;

e) colaboratori, furnizori, parteneri;

f) alte persoane care transmit date prin formulare, email, telefon sau alte canale.

⸻

ART. 3. Categorii de date prelucrate

3.1. În funcție de contextul interacțiunii, Operatorul poate prelucra următoarele categorii de Date:

a) date de identificare: nume, prenume;

b) date de contact: adresa de e-mail, număr de telefon, adresă postală (dacă este furnizată);

c) date profesionale: funcție, companie, CV, experiență profesională (în cazul recrutărilor);

d) date contractuale și fiscale: date necesare facturării (denumire, CUI, adresă, IBAN, date personale ale reprezentantului), dacă este cazul;

e) date tehnice: adresă IP, tip browser, sistem de operare, user agent, date de navigare, pagini vizitate, referer, date colectate de cookie-uri;

f) date sensibile limitate: doar dacă furnizate voluntar de persoană (ex.: afirmarea unor condiții medicale necesare pentru furnizarea serviciilor) — Operatorul nu solicită și nu va prelucra categorii speciale de date fără temei legal foarte clar și consimțământ explicit;

g) corespondență: conținutul schimburilor de mesaje (email, mesaje în formular), inclusiv înregistrări ale solicitărilor de suport.

3.2. Nu colectăm în mod obișnuit Date sensibile (cum ar fi date despre origine rasială sau etnică, opinii politice, credinţe religioase, sănătate etc.). În cazul în care astfel de Date sunt primite din greșeală sau sunt furnizate de persoană, Operatorul va notifica persoana și va solicita instrucțiuni pentru ștergere sau va solicita consimțământul expres, în conformitate cu prevederile legale aplicabile.

⸻

ART. 4. Scopurile prelucrării şi temeiurile legale

Operatorul prelucrează Datele pentru următoarele scopuri, fiecare legat de temeiul legal aferent:

4.1. Furnizarea serviciilor și executarea contractelor

• Scop: derularea relației contractuale (ofertare, execuție servicii, facturare, gestionare clienți).

• Temei legal: executarea unui contract şi/sau demersuri precontractuale (art. 6(1)(b) GDPR).

4.2. Comunicare și suport

• Scop: răspuns la solicitări prin formulare, email, telefon; gestionarea relației cu clienții.

• Temei legal: executarea contractului sau interesul legitim pentru gestionarea relaţiei cu clienţii (art. 6(1)(b) sau (f) GDPR).

4.3. Marketing direct (newsletter, oferte)

• Scop: transmiterea de comunicări comerciale, newslettere, oferte personalizate.

• Temei legal: consimțământul explicit al persoanei vizate (art. 6(1)(a) GDPR) sau, în anumite cazuri limitate și conforme cu legislația aplicabilă, interesul legitim (art. 6(1)(f)) — cu respectarea dreptului la opoziție.

4.4. Analiză și optimizare a Site-ului

• Scop: analizarea traficului, îmbunătățirea experienței utilizatorului, măsurare performanţă.

• Temei legal: interes legitim al Operatorului sau consimțământ (în funcție de cookie-urile folosite); utilizatorul este informat și are opțiunea de a-și exprima consimțământul/refuzul.

4.5. Securitate și prevenirea fraudelor

• Scop: protecția infrastructurii, detectarea activităţilor neautorizate, prevenirea abuzurilor.

• Temei legal: interes legitim pentru securitatea platformei (art. 6(1)(f) GDPR).

4.6. Conformitate legală

• Scop: păstrarea evidențelor contabile, raportări fiscale, răspuns la solicitări ale autorităților.

• Temei legal: obligații legale (art. 6(1)(c) GDPR și legislația națională).

4.7. Arhivare și dovezi

• Scop: păstrarea evidențelor necesare pentru apărarea intereselor Operatorului și dovada tranzacțiilor.

• Temei legal: interes legitim și obligații legale.

⸻

ART. 5. Perioade de stocare și criterii de retenție

5.1. Datele sunt reținute doar atât timp cât este necesar pentru îndeplinirea scopurilor pentru care au fost colectate și în conformitate cu prevederile legale. Politica de retenție tipică (orientativă; poate fi adaptată pe fiecare categorie de Date):

a) Date de contact din formulare/abonare newsletter: păstrate până la retragerea consimțământului + 3 luni administrativ;

b) Date contractuale/fiscale: păstrate conform obligațiilor fiscale și contabile naționale (minim 10 ani, conform legislației fiscale aplicabile);

c) Date de candidatură (CV-uri): păstrate 12 luni de la primire, cu excepția cazului în care candidatul și-a dat consimțământul pentru păstrare mai îndelungată;

d) Logs tehnice/backup: păstrate conform politicii interne de securitate (ex.: 6 luni–3 ani în funcție de natura logului);

e) Date în scop marketing: până la retragerea consimțământului sau 3 ani de la ultima interacțiune, dacă este aplicabil pe baza interesului legitim.

5.2. La expirarea perioadei de retenție, Datele vor fi șterse sau anonimizate, cu excepția situației în care există obligații legale care impun păstrarea acestora.

⸻

ART. 6. Drepturile persoanelor vizate şi procedura de exercitare

6.1. Persoanele vizate au drepturile prevăzute de art. 15–22 GDPR: dreptul de acces, rectificare, ștergere („dreptul de a fi uitat”), restricționare a prelucrării, opoziție, portabilitate, dreptul de a nu fi supus unei decizii automate (inclusiv profilare) — acolo unde este aplicabil.

6.2. Procedura de exercitare:

a) Cererile se pot transmite în scris la adresa de email: [email GDPR] sau prin poștă la sediul: [adresa completă].

b) Cererile trebuie să includă cel puțin: numele complet, dovada identității (scan/poza act identitate) pentru a preveni divulgarea neautorizată, descrierea solicitării și date de contact pentru răspuns. Pentru cererile privind accesul, persoana poate specifica ce date dorește.

c) Termen de răspuns: Operatorul răspunde fără întârzieri nejustificate și, în orice caz, în termen de 1 lună de la primirea cererii; termenul poate fi prelungit cu încă 2 luni în funcție de complexitate (conform art. 12(3) GDPR), cu notificare prealabilă.

d) Taxe: cererile excesive sau repetate pot fi supuse unei taxe rezonabile sau pot fi refuzate (conform art. 12(5) GDPR), Operatorul evaluând situația în mod obiectiv.

6.3. Model de cerere simplificată (exemplu):

• Subiect: Cerere drepturi GDPR – [Acces / Rectificare / Ștergere / Portabilitate / Opoziție / Restricționare]

• Nume: …

• Email: …

• Data nașterii: … (sau alt identificator)

• Dovada identității: [atașat]

• Detaliu solicitare: …

6.4. Dacă cererea este respinsă total sau parțial, Operatorul va motiva în scris refuzul și va informa despre posibilitatea depunerii unei plângeri la ANSPDCP și/sau recursul judiciar.

⸻

ART. 7. Consimţământul şi revocarea consimţământului

7.1. Consimţământul va fi exprimat în mod liber, specific, informat şi neechivoc (ex.: bifă dinamică în formularele online). Exemplu: abonare newsletter, cookie-uri neesențiale.

7.2. Persoana îşi poate retrage consimţământul oricând, prin contact la hello@alinaamza.ro sau prin linkul de dezabonare din e-mailurile trimise. Retragerea consimţământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragere.

⸻

ART. 8. Transferuri de date și procesatori (third parties)

8.1. Operatorul poate angaja procesatori (furnizori de servicii) pentru a efectua prelucrări în numele său (ex.: găzduire, servicii de e-mail, analytics, servicii de plată, servicii IT). Lista procesatorilor principali (exemplificativă) va fi menționată în Anexa 1. Pentru fiecare procesator există un contract de prelucrare a datelor (DPA) care include obligaţii GDPR (confidenţialitate, securitate, drepturi ale persoanelor vizate, sub-procesatori, audit).

8.2. Transferuri internaţionale: în cazul transferurilor către ţări din afara Spaţiului Economic European, Operatorul va asigura existenţa unui temei legal corespunzător: decizie de adecvare a Comisiei Europene, Clauze Contractuale Standard (SCC) aprobate, reguli corporative obligatorii (Binding Corporate Rules) sau alte garanţii conform art. 46 GDPR. În lipsa unei decizii de adecvare sau a unor garanții, Operatorul nu va efectua transferuri.

8.3. Subprocesatori: orice procesator autorizat poate subcontracta mai departe (subprocesator) numai cu acordul scris al Operatorului şi după verificarea conformităţii GDPR; lista subprocesatorilor este disponibilă la cerere.

⸻

ART. 9. Măsuri tehnice şi organizatorice de securitate

9.1. Operatorul implementează măsuri tehnice şi organizatorice adecvate pentru a asigura un nivel de securitate adecvat riscului: criptare în tranzit (TLS/HTTPS), controale de acces, parole puternice şi politici de rotaţie, autentificare multi-factor pentru conturi administrative, backup regulat, segregare a mediilor de producţie/testare, actualizări şi patch-uri periodice, monitorizare şi detectare incidente.

9.2. Control intern: politici de confidenţialitate internă, instruire periodică a personalului, contracte de confidenţialitate cu angajaţii şi colaboratorii, proceduri pentru managementul accesului la date.

9.3. Evaluări: se efectuează evaluări periodice de risc şi, acolo unde este necesar, Evaluări de Impact asupra Protecţiei Datelor (DPIA) conform art. 35 GDPR.

⸻

ART. 10. Securizarea transferurilor catre terți și clauze contractuale

10.1. Operatorul va include în contractele cu procesatorii clauze ce impun: prelucrarea în conformitate cu instrucțiunile operatorului, obligaţii de confidenţialitate, măsuri tehnice şi organizatorice, notificare în caz de incident, cooperare în exercitarea drepturilor persoanelor vizate şi audit.

10.2. În cazul transferurilor internaţionale, se vor utiliza SCC aprobate de Comisia Europeană sau alte mecanisme legale.

⸻

ART. 11. Incidente de securitate (data breach)

11.1. În cazul în care se constată un incident de securitate care conduce la compromiterea Datele personale (data breach), Operatorul are obligaţia de a:

a) identifica şi a limita efectele incidentului cât mai rapid;

b) documenta incidentul şi măsurile luate;

c) dacă este probabilă o încălcare a drepturilor şi libertăţilor persoanelor vizate, să notifice Autoritatea de Supraveghere (ANSPDCP) în termen de 72 de ore de la momentul la care a luat la cunoştinţă, conform art. 33 GDPR;

d) dacă incidentul prezintă un risc ridicat pentru drepturile şi libertăţile persoanelor fizice, să notifice direct persoanele vizate, cu informaţii clare despre natura incindentului şi măsurile recomandate.

11.2. Notificările vor conţine elementele cerute de art. 33 şi 34 GDPR (descrierea naturii incidentului, categoriile şi numărul estimat al persoanelor vizate, categoriile de Date implicate, consecinţele probabile, măsurile adoptate).

⸻

ART. 12. Decizii automate şi profilare

12.1. Operatorul nu utilizează, în mod curent, decizii automate sau profilare care produc efecte juridice sau impact semnificativ pe persoane fără intervenţie umană; în cazul în care astfel de mecanisme ar fi implementate, Operatorul va informa în prealabil persoanele vizate, va asigura garanţii corespunzătoare şi va obţine consimţământul explicit, acolo unde este necesar.

⸻

ART. 13. Minori

13.1. Site-ul şi serviciile nu sunt destinate persoanelor sub 18 ani. Operatorul nu solicită în mod activ Date ale minorilor; dacă se constată colectarea Datelor unei persoane sub 16 ani fără consimțământul reprezentantului legal, Operatorul va șterge acele Date imediat şi va notifica, după caz, autorităţile competente.

⸻

ART. 14. Transferul drepturilor și cesiuni

14.1. Operatorul poate ceda sau transfera drepturile și obligațiile sale rezultate din această politică în contextul unei fuziuni, achiziții sau vânzări de active; în cazul unui transfer de date personale către un terț ca urmare a unei astfel de tranzacții, Operatorul va asigura respectarea garanţiilor legale privind protecţia datelor şi va notifica persoanele vizate, dacă este cazul.

⸻

ART. 15. Publicitate, oferte și marketing

15.1. Comunicările de marketing se transmit doar pe baza consimțământului sau în baza unui temei legal permis; fiecare comunicare include opţiunea clară şi simplă de dezabonare („unsubscribe”) şi procedura de retragere. Operatorul păstrează dovezi ale consimțământului (time-stamp, IP, conținutul formularului).

⸻

ART. 16. Evidenţa activităţilor de prelucrare (Record of processing)

16.1. Operatorul păstrează, conform art. 30 GDPR, un registru al activităţilor de prelucrare care conține: scopurile prelucrării, categoriile de persoane vizate, categoriile de Date, destinatarii, transferurile internaţionale, perioada de păstrare estimată, descrierea măsurilor tehnice şi organizatorice, numele şi datele de contact ale DPO (dacă este cazul). Registrul este disponibil autorității la solicitare.

⸻

ART. 17. Audit şi inspecţii

17.1. Operatorul permite, în condiţii rezonabile şi cu notificare prealabilă, audituri ale conformităţii GDPR efectuate de autorităţile competente sau de auditori independenţi desemnaţi de Operator (în cazul unor contracte cu clienţi care solicită audit). Procesatorii vor permite auditorilor Operatorului accesul rezonabil pentru verificări.

⸻

ART. 18. Actualizarea politicii

18.1. Prezenta Politică poate fi actualizată periodic. Orice modificare va fi publicată pe Site cu data ultimei actualizări. Modificările semnificative care afectează drepturile persoanelor vizate vor fi comunicate proactiv (email sau banner pe site) înaintea aplicării.

⸻

ART. 19. Contact şi exercitarea drepturilor

19.1. Pentru exercitarea drepturilor şi pentru orice întrebări legate de prelucrare, contactați:

• Email: hello@alinaamza.ro

• Sediu: Ilfov, Corbeanca

• Telefon: 0723311210

19.2. În caz de nemulţumire ca urmare a soluționării, persoana vizată are dreptul de a depune o plângere la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) — www.dataprotection.ro — sau poate solicita reparaţii în faţa instanţelor competente.