Această politică explică ce date personale colectăm despre tine atunci când folosești site-ul și serviciile La Casa Demo (rezervări, comenzi online, program fidelitate), cum le folosim, cu cine le partajăm și ce drepturi ai conform Regulamentului UE 2016/679 (GDPR) și Legii 190/2018.
1. Cine suntem (Operator de date)
Operator de date: La Casa Demo SRL, înregistrată la Registrul Comerțului cu nr. J40/0000/2024, CUI RO99999999, cu sediul în Str. Demo nr. 1, București.
Datele de contact ale Responsabilului cu Protecția Datelor (DPO): dpo@lacasademo.ro.
Autoritatea de supraveghere: ANSPDCP (anspdcp.ro). Ai dreptul să depui o plângere la ANSPDCP dacă consideri că prelucrarea încalcă GDPR.
2. Ce date colectăm
Colectăm doar datele strict necesare pentru a-ți furniza serviciul cerut și pentru a respecta obligațiile legale fiscale și de protecție a consumatorilor.
- Date de identificare: nume, prenume, adresă email, număr de telefon.
- Date legate de rezervări și comenzi: data, ora, număr persoane, adresă de livrare (când e cazul), preferințe alimentare (alergii — opțional).
- Date de plată: NU stocăm niciodată numărul complet al cardului. Plățile sunt procesate exclusiv de Stripe (PCI DSS Level 1). Stocăm doar un token + ultimele 4 cifre + tipul cardului (necesar pentru afișare istoric).
- Date de navigare: IP, user agent, locale browser (folosite pentru securitate, prevenire fraudă, statistici anonime).
- Date de marketing: email (doar dacă te abonezi explicit la newsletter), preferințe de canal (email / SMS).
3. De ce le colectăm (scop) și pe ce bază legală
Fiecare prelucrare are o bază legală GDPR clară:
- Executare contract (Art. 6(1)(b)): pentru a procesa rezervări, comenzi, livrări, plăți, gestionare cont client.
- Obligație legală (Art. 6(1)(c)): pentru emitere facturi fiscale (Lege 227/2015) — datele facturate sunt păstrate 10 ani conform Cod Fiscal.
- Interes legitim (Art. 6(1)(f)): pentru prevenire fraudă, securitate aplicație, îmbunătățire serviciu (analytics anonimizat).
- Consimțământ (Art. 6(1)(a)): pentru newsletter marketing, cookies analitice și de marketing — îți poți retrage consimțământul oricând din /cookies sau din contul tău.
4. Cât timp păstrăm datele
Aplicăm principiul minimizării — păstrăm datele doar atât timp cât e necesar pentru scopul declarat.
- Cont client activ: pe durata existenței contului + 30 zile după ștergere (anonimizare istorică pentru statistici).
- Facturi fiscale: 10 ani (obligație legală — Cod Fiscal).
- Rezervări și comenzi: 5 ani de la data evenimentului.
- Date marketing (consimțământ): până la retragerea consimțământului sau 36 luni de inactivitate.
- Audit log securitate: 5 ani (specs §7.1).
- Cookies: vezi /cookies pentru duratele exacte per categorie.
5. Cu cine partajăm datele (sub-procesori)
Nu vindem datele tale și nu le transferăm către terți pentru scopuri comerciale proprii. Folosim totuși sub-procesori GDPR-compliant pentru operare:
- Stripe Payments Europe Ltd. (Irlanda) — procesare plăți, conform PCI DSS.
- SMSO.ro (România) — trimitere SMS tranzacționale (confirmări, reminders).
- Resend.com (UE) — trimitere email tranzacționale.
- Cloudflare Inc. (UE region) — CDN și protecție DDoS.
- Hosting pe VPS în UE (Hetzner, Frankfurt) — date stocate exclusiv în UE.
6. Drepturile tale GDPR
Conform Art. 15-22 GDPR ai următoarele drepturi:
- Dreptul de acces — primești o copie a datelor pe care le avem despre tine. Solicită din /cont/securitate sau email la dpo@lacasademo.ro.
- Dreptul la rectificare — corectare date inexacte. Direct din /cont sau prin email.
- Dreptul la ștergere ("dreptul de a fi uitat") — anonimizăm datele, păstrând doar ce e obligatoriu legal (facturi). Solicită din /cont/securitate.
- Dreptul la portabilitate — primești datele în format JSON/CSV structurat, ușor de importat altundeva.
- Dreptul la opoziție și retragere consimțământ — pentru marketing, oricând din /cookies sau din emailul de unsubscribe.
- Dreptul de a depune plângere la ANSPDCP (Autoritatea Națională pentru Protecția Datelor Personale, anspdcp.ro).
7. Cum te protejăm
Aplicăm măsuri tehnice și organizatorice rezonabile pentru a-ți proteja datele:
- Criptare TLS 1.3 pentru toate conexiunile.
- Parolele sunt hash-uite cu bcrypt (cost factor 12).
- Autentificare în 2 pași (2FA) disponibilă din /cont/securitate.
- Backup-uri zilnice criptate, retenție 30 zile.
- Audit log imutabil pentru acțiuni sensibile.
- Acces intern strict cu RBAC (role-based access control) — angajații accesează doar ce e necesar rolului.
9. Modificări
Vom actualiza această politică ocazional. Modificările materiale (schimbare scop, baze legale, sub-procesori) vor fi anunțate prin email (clienți cu cont) și banner pe site, cu minim 30 zile înainte de intrare în vigoare.