Conformitate GDPR

Ultima actualizare: 23 ianuarie 2026

1. Angajamentul nostru

C.M.I. SOFT SRL (CIF: RO22131996, Nr. reg. com.: J35/2715/2007, cu sediul în Bld. Take Ionescu, Nr. 46B, Demisol, Timișoara, Timiș) se angajează să respecte Regulamentul General privind Protecția Datelor (GDPR - Regulamentul UE 2016/679) și legislația românească privind protecția datelor cu caracter personal (Legea nr. 190/2018).

Această pagină oferă informații despre modul în care platforma Rebond implementează cerințele GDPR și drepturile pe care le aveți în calitate de persoană vizată.

2. Rolurile în procesarea datelor

2.1 C.M.I. SOFT SRL ca Operator

Suntem operator de date pentru:

  • Datele Proprietarilor de conturi (date de contact, facturare)
  • Datele Angajaților (credențiale de acces)
  • Datele tehnice colectate de Platformă (log-uri, analytics)

2.2 C.M.I. SOFT SRL ca Persoană Împuternicită

Acționăm ca persoană împuternicită pentru:

  • Datele Clienților finali, colectate de Proprietari prin intermediul Platformei
  • Datele tranzacționale generate în cadrul programelor de loialitate

În acest caz, Proprietarul este operatorul de date, iar noi procesăm datele doar conform instrucțiunilor sale și în scopul furnizării Serviciului.

3. Principiile GDPR aplicate

  • Legalitate, corectitudine, transparență: Prelucrăm datele doar în baza unui temei legal valid și informăm utilizatorii despre prelucrare.
  • Limitarea scopului: Colectăm date doar pentru scopuri specifice, explicite și legitime.
  • Minimizarea datelor: Colectăm doar datele strict necesare funcționării Serviciului.
  • Exactitatea: Menținem datele actualizate și permitem rectificarea lor.
  • Limitarea stocării: Păstrăm datele doar atât timp cât este necesar.
  • Integritate și confidențialitate: Implementăm măsuri de securitate adecvate.
  • Responsabilitatea: Documentăm și putem demonstra conformitatea.

4. Drepturile persoanelor vizate

Platforma Rebond oferă mecanisme pentru exercitarea tuturor drepturilor GDPR:

4.1 Dreptul de acces (Art. 15)

Puteți solicita o copie a tuturor datelor personale pe care le deținem despre dumneavoastră. Vom furniza informațiile într-un format electronic structurat în termen de 30 de zile.

4.2 Dreptul la rectificare (Art. 16)

Puteți actualiza datele personale direct din contul dumneavoastră sau prin contactarea noastră.

4.3 Dreptul la ștergere (Art. 17)

Puteți solicita ștergerea contului și a tuturor datelor asociate. Procesul de ștergere:

  • Solicitarea se face din cont sau prin email
  • Perioada de așteptare: 7 zile (pentru confirmare)
  • Ștergerea este ireversibilă
  • Datele fiscale sunt păstrate conform obligațiilor legale

4.4 Dreptul la restricționare (Art. 18)

Puteți solicita restricționarea prelucrării datelor în anumite circumstanțe (ex: contestarea exactității datelor).

4.5 Dreptul la portabilitate (Art. 20)

Puteți solicita exportul datelor dumneavoastră într-un format structurat, utilizat în mod curent și care poate fi citit automat (JSON/CSV).

4.6 Dreptul de opoziție (Art. 21)

Vă puteți opune prelucrării datelor bazate pe interes legitim. Vom înceta prelucrarea, cu excepția cazului în care demonstrăm motive legitime imperioase.

5. Măsuri de securitate

Implementăm măsuri tehnice și organizatorice conform Art. 32 GDPR:

5.1 Măsuri tehnice

  • Criptare end-to-end pentru comunicații (TLS 1.3)
  • Criptarea datelor sensibile în baza de date
  • Hasharea parolelor cu algoritmi moderni (bcrypt)
  • Firewall și protecție DDoS
  • Scanări periodice de vulnerabilități
  • Backup-uri criptate și redundante
  • Rate limiting pentru prevenirea atacurilor brute force

5.2 Măsuri organizatorice

  • Acces restricționat pe principiul nevoii de a cunoaște
  • Politici interne de securitate a informațiilor
  • Proceduri de răspuns la incidente
  • Evaluări periodice ale impactului (DPIA unde necesar)

6. Notificarea breșelor de securitate

În conformitate cu Art. 33 și 34 GDPR:

  • Vom notifica ANSPDCP în termen de 72 de ore de la constatarea unei breșe care prezintă risc pentru drepturile persoanelor
  • Vom notifica persoanele vizate fără întârzieri nejustificate dacă breșa prezintă un risc ridicat
  • Documentăm toate incidentele de securitate și măsurile luate

7. Transferuri internaționale

Datele sunt procesate și stocate în Uniunea Europeană. Nu efectuăm transferuri de date în afara SEE. În cazul în care un furnizor terț necesită transfer, ne asigurăm că există garanții adecvate (Clauze Contractuale Standard, Decizii de adecvare).

8. Acorduri de procesare (DPA)

Încheiem Acorduri de Prelucrare a Datelor cu toți sub-procesatorii noștri, conform Art. 28 GDPR. Acestea includ:

  • Obligații de confidențialitate
  • Măsuri de securitate specifice
  • Restricții privind sub-procesarea ulterioară
  • Obligații de asistare în exercitarea drepturilor
  • Obligații de ștergere/returnare la încheierea contractului

9. Obligații pentru Proprietari (în calitate de Operatori)

Proprietarii care utilizează Rebond pentru a colecta date ale Clienților au obligația de:

  • A informa Clienții despre colectarea datelor și scopul acesteia
  • A obține consimțământul Clienților unde este necesar
  • A respecta drepturile Clienților conform GDPR
  • A nu utiliza datele în scopuri incompatibile cu programul de loialitate

10. Registrul activităților de prelucrare

Menținem un registru al activităților de prelucrare conform Art. 30 GDPR, care include:

  • Categoriile de date prelucrate
  • Scopurile prelucrării
  • Categoriile de destinatari
  • Termenele de ștergere
  • Măsurile de securitate aplicate

11. Responsabilul cu protecția datelor (DPO)

Pentru solicitări privind protecția datelor, contactați-ne la:

Vom răspunde în termen de maximum 30 de zile calendaristice.

12. Autoritatea de supraveghere

Autoritatea competentă pentru protecția datelor în România este:

  • Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
  • Adresă: B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București
  • Website: www.dataprotection.ro
  • Email: anspdcp@dataprotection.ro
  • Telefon: +40 318 059 211