[ MGT-LGL-005 ] LEGAL · CONFIDENȚIALITATE

Politica de confidențialitate

Ultima actualizare: 14 mai 2026

Această politică explică pe înțeles ce date colectăm de la tine când folosești MonoFlow, de ce le colectăm, cu cine le împărtășim și cum le protejăm. Toate operațiunile sunt realizate conform Regulamentului (UE) 2016/679 (GDPR) și Legii nr. 190/2018 privind măsurile de aplicare a GDPR în România.

1. Cine este operatorul de date?

Operatorul datelor cu caracter personal este MONO CONCEPT SRL, societate înregistrată în România:

  • Sediu: Str. Ștefan cel Mare nr. 10, Bacău
  • CUI: 36056851
  • Reg. Comerțului: J2016000650048
  • Email contact: contact@monoflow.ro

Pentru orice întrebare legată de prelucrarea datelor sau exercitarea drepturilor tale, ne poți contacta la contact@monoflow.ro.

2. Ce date colectăm

2.1. Date de cont și autentificare

  • Adresa de email (necesară pentru autentificare și comunicarea tranzacțională)
  • Parola, stocată exclusiv ca hash criptografic (bcrypt). Nu cunoaștem și nu putem recupera parola ta în clar.
  • Numele afișat al utilizatorului (opțional, ales de tine)
  • Imaginea de profil (opțională)

2.2. Date despre organizație

  • Denumire, CUI, număr Registrul Comerțului, adresa sediului
  • Date de contact ale organizației (email, telefon)
  • Logo organizație (opțional)

2.3. Conținut încărcat

Documentele pe care le urci în MonoFlow (PDF, imagini, planșe DWG, fișiere Office etc.) sunt prelucrate exclusiv în interesul tău. Nu le citim, nu le analizăm și nu le folosim în alte scopuri (inclusiv antrenarea de modele AI).

2.4. Date de facturare

Plățile sunt procesate de Stripe Payments Europe Ltd. Pe serverele noastre nu stocăm numere complete de card; reținem doar identificatori Stripe (customer ID, subscription ID), ultimele 4 cifre, marca emitentă și data expirării, necesare pentru afișarea facturilor și gestionarea abonamentului.

2.5. Date tehnice automate

  • Adresa IP, agentul de browser (User-Agent), limba preferată
  • Timestamps pentru autentificare, încărcare documente, modificări
  • Loguri de eroare (păstrate maxim 30 de zile pentru depanare)

3. În ce scopuri folosim datele

  • Furnizarea serviciului: autentificare, organizarea documentelor, generare Cartea Tehnică, notificări de expirare, audit trail.
  • Facturare și abonamente: procesarea plăților, emiterea facturilor fiscale, gestionarea reînnoirilor și anulărilor.
  • Comunicare tranzacțională: emailuri despre cont, notificări, schimbări importante de serviciu.
  • Suport tehnic: răspuns la solicitările tale prin email sau telefon.
  • Securitate: detectarea și prevenirea accesului neautorizat, abuz, fraudă.
  • Analiză utilizare (agregat, anonim): măsurarea pattern-urilor de navigare pe paginile publice (landing, prețuri) pentru îmbunătățirea serviciului. Detalii în §10 Cookie-uri.
  • Conformitate legală: răspuns la solicitări ale autorităților competente, păstrare evidențe contabile (10 ani conform Legii contabilității nr. 82/1991).

Nu folosim datele tale pentru profilare individuală în scopuri de marketing, marketing direct neagreat sau revânzare către terți.

4. Temeiul legal al prelucrării

Prelucrăm datele tale personale având la bază următoarele temeiuri (Art. 6 GDPR):

  • Executarea contractului (Art. 6.1.b) pentru toate operațiunile necesare furnizării serviciului contractat (cont, abonament, hosting documente).
  • Obligația legală (Art. 6.1.c) pentru evidențele financiar-contabile și răspunsul la solicitări ale autorităților.
  • Interes legitim (Art. 6.1.f) pentru securitatea platformei (loguri, detectare abuz) și măsurători de utilizare agregate, anonime, pe paginile publice.
  • Consimțământ (Art. 6.1.a) pentru cookie-uri non-esențiale (vezi §10) și comunicări de marketing (le poți retrage oricând).

5. Subprocesatori

Pentru a funcționa, MonoFlow folosește următorii furnizori care procesează date în numele nostru. Toți sunt obligați prin acorduri DPA (Data Processing Agreement) conforme cu Art. 28 GDPR.

  • Vercel Inc. (Vercel GmbH în UE): hosting aplicație, regiune Frankfurt (eu-central-1).
  • Neon Inc.: bază de date PostgreSQL, regiune Frankfurt (eu-central-1).
  • Cloudflare Ltd.: stocare obiecte (R2), regiune EU-Central. Folosit și pentru DNS și protecție DDoS.
  • Stripe Payments Europe Ltd. (Irlanda): procesare plăți cu cardul, abonamente recurente, emitere facturi.
  • Resend Inc.: trimitere emailuri tranzacționale (welcome, notificări, parolă).
  • Twilio Inc.: trimitere SMS pentru notificări de expirare, opțional, doar pentru organizațiile care activează această funcție.
  • Google LLC (Google Ireland Ltd. în UE) — AI Auto-Fill: furnizor AI implicit pentru funcționalitatea opțională „AI Auto-Fill” — extragere automată a câmpurilor de document (data emiterii, data expirării, emitent, număr înregistrare, tip aviz, categorie). Conținutul documentelor este transmis către modelele Gemini doar la apăsarea explicită a butonului „Completează cu AI” de către utilizator. Folosim API-ul Generative AI cu politica de zero data retention — datele nu sunt stocate de Google și nu sunt folosite pentru antrenarea modelelor.
  • Google LLC (Google Ireland Ltd. în UE) — Google Analytics 4: măsurători de utilizare pe paginile publice ale site-ului (landing, prețuri, FAQ etc.). Setează cookie-uri în browser-ul tău; vezi §10 pentru detaliu și opțiuni de control.
  • Anthropic PBC: furnizor AI alternativ pentru aceeași funcționalitate „AI Auto-Fill”, folosit doar dacă administratorul organizației tale comută provider-ul de la Gemini la Claude. Aceleași garanții de zero data retention și transmitere doar la cerere explicită.

Modificări: când adăugăm sau înlocuim un subprocesator, anunțăm modificarea prin email și actualizăm această pagină cu cel puțin 30 de zile înainte de intrarea în vigoare. Dacă obiectezi motivat la noul subprocesator, ai dreptul să anulezi abonamentul fără penalități înainte de acea dată.

6. Transferuri internaționale

Toate datele tale sunt stocate în Uniunea Europeană: aplicația rulează în Frankfurt (Germania), iar fișierele și baza de date sunt găzduite în centre de date din UE-Central. Pentru subprocesatorii cu sediul în SUA (Stripe, Cloudflare, Vercel, Resend, Twilio, Google, Anthropic), transferul de date se face exclusiv în baza Clauzelor Contractuale Standard ale Comisiei Europene (SCC, decizia 2021/914) sau a Data Privacy Framework UE-SUA, după caz.

7. Cât timp păstrăm datele

  • Date de cont și conținut: pe toată durata abonamentului activ.
  • După anularea abonamentului: 45 de zile de acces read-only cu descărcare ZIP integrală (categorie + proiect) disponibilă. După acest interval datele rămân stocate read-only — nu se șterg automat. Ștergerea integrală se face doar la cerere expresă (Art. 17 GDPR), în maxim 30 de zile din sistemele active + 35 de zile pentru rotația backup-urilor.
  • Documente fiscale (facturi): 10 ani, conform Legii contabilității.
  • Loguri tehnice (erori, request-uri): 30 de zile.
  • Audit trail al organizației: în funcție de plan — Trial & Starter 30 de zile; Pro 365 de zile; Business 730 de zile; Enterprise nelimitat.

8. Date personale ale terților din documentele tale

Documentele pe care le urci în MonoFlow (procese verbale, autorizații, avize, contracte, fișe de instructaj etc.) pot conține date personale ale unor terți — lucrători, diriginți de șantier, beneficiari, semnatari de la autorități, parteneri. Pentru aceste date:

  • Tu ești operator (data controller) în sensul Art. 4 GDPR — tu decizi ce documente urci, cu ce date și pentru ce scop.
  • MonoFlow este împuternicit (data processor) — prelucrăm acele date doar conform instrucțiunilor tale și în limita necesară furnizării serviciului (afișare, indexare pentru căutare, generare Cartea Tehnică, backup).
  • Obligațiile tale față de acești terți (informare conform Art. 13-14 GDPR, temei legal pentru prelucrare, gestionarea drepturilor lor) îți revin integral. MonoFlow îți pune la dispoziție unelte (jurnal audit, export, ștergere documente) dar nu se substituie operatorului.
  • DPA formal: pentru clienții care au nevoie de un Acord de prelucrare a datelor (Art. 28 GDPR) semnat distinct, oferim un DPA standard la cerere — trimite cererea la contact@monoflow.ro de pe adresa OWNER-ului.

9. Drepturile tale (GDPR)

Conform GDPR ai următoarele drepturi pe care le poți exercita oricând:

  • Acces (Art. 15): poți cere o copie a datelor tale; în multe cazuri sunt accesibile direct din contul tău.
  • Rectificare (Art. 16): editezi datele organizației și ale profilului tău din Setări.
  • Ștergere (Art. 17): trimite o cerere de ștergere la contact@monoflow.ro de pe adresa contului. Ștergerea integrală se aplică în maxim 30 de zile din sistemele active, plus încă 35 de zile pentru rotația backup-urilor zilnice.
  • Restricționare (Art. 18): poți cere oprirea anumitor procesări, cu păstrarea datelor.
  • Portabilitate (Art. 20): exporturi ale documentelor tale (ZIP organizat pe categorii sau pe proiect) sunt disponibile direct din interfață.
  • Opoziție (Art. 21): te poți opune prelucrărilor făcute pe temei de interes legitim.
  • Dezabonare: orice email comercial sau de marketing are link de dezabonare în subsol.

Răspundem solicitărilor legate de drepturi în maxim 30 de zile. Dacă nu ești mulțumit de răspuns, ai dreptul să depui plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP):

  • Web: www.dataprotection.ro
  • Email: anspdcp@dataprotection.ro
  • Adresa: B-dul G-ral Gheorghe Magheru 28-30, Sector 1, București

10. Cookie-uri și tehnologii similare

10.1. Cookie-uri esențiale (fără consimțământ)

Aceste cookie-uri sunt strict necesare pentru funcționarea aplicației și nu pot fi dezactivate fără a împiedica utilizarea ei:

  • Cookie de sesiune autentificare (__Secure-next-auth.session-token în producție): identifică utilizatorul autentificat. HttpOnly, Secure, SameSite=Lax. Esențial.
  • Cookie CSRF: protejează formularele împotriva atacurilor Cross-Site Request Forgery.
  • Cookie de preferințe UI: stochează tema (light/dark) și organizația activă, dacă ești membru în mai multe.

10.2. Cookie-uri de analiză — Google Analytics 4

Pe paginile publice ale site-ului (landing, prețuri, ajutor, termeni etc.) folosim Google Analytics 4 (măsurătoare ID G-DNLKQPRH62) pentru a înțelege pattern-uri agregate de navigare — care pagini sunt vizitate, de unde vin vizitatorii, ce conversii generează — și a ne îmbunătăți comunicarea publică. GA4 setează în browser-ul tău următoarele cookie-uri:

  • _ga — identificator anonim de vizitator, durată ~2 ani
  • _ga_DNLKQPRH62 — stare sesiune curentă, durată ~2 ani

GA4 nu primește de la noi date care te identifică direct (email, CUI, nume). Datele sunt agregate la nivel de site, nu la nivel de cont autentificat. GA4 nu rulează pe paginile interne ale aplicației (după autentificare).

Consimțământ: la prima vizită îți afișăm un banner cu opțiunile „Respinge tot” și „Accept toate”. GA4 folosește Google Consent Mode v2 — implicit, analytics_storage este setat la granted (modelul opt-out), iar ad_storage, ad_user_data, ad_personalization rămân la denied (nu rulăm reclame). Dacă apeși „Respinge tot”, analytics_storage trece la denied și GA nu mai setează cookie-uri persistente — trimite în continuare doar pings anonime pentru modelare, fără identificator.

Schimbarea preferințelor: click pe „Cookies” din subsolul paginii (sau accesează direct /?cookies=manage) pentru a redeschide banner-ul oricând. Decizia ta e salvată local în browser, sub cheia monoflow:cookie-consent.

10.3. Ce NU folosim

Nu folosim cookie-uri de marketing comportamental (remarketing), nu integrăm pixels de social media (Meta Pixel, LinkedIn Insight, TikTok Pixel) și nu vindem date despre comportament către rețele de publicitate.

11. Securitatea datelor

  • Conexiuni TLS 1.3 obligatorii pentru toate transferurile (HTTPS).
  • Criptare la rest pentru baza de date și pentru obiectele din Cloudflare R2 (AES-256).
  • Parolele utilizatorilor stocate exclusiv ca hash bcrypt (cost factor 12).
  • Backup zilnic al bazei de date, păstrat 35 de zile.
  • Acces la sistemele de producție restricționat la maxim 3 persoane din echipa noastră, cu autentificare în doi pași obligatorie.
  • Audit trail intern pentru orice acces administrativ la datele unui client.
  • Notificarea breșelor de securitate în maxim 72 de ore către ANSPDCP și utilizatorii afectați, conform Art. 33-34 GDPR.

12. Modificările acestei politici

Putem actualiza această politică din când în când, când introducem funcționalități noi sau când se modifică legislația. Versiunea curentă este marcată cu data ultimei actualizări la începutul paginii. Pentru modificări substanțiale (ex: subprocesator nou, scop nou de prelucrare) îți trimitem o notificare prin email cu cel puțin 30 de zile înainte de intrarea în vigoare.

13. Contact

Pentru orice întrebare legată de date personale sau exercitarea drepturilor tale:

  • Email: contact@monoflow.ro
  • Telefon: +40 31 630 21 17 (L–V, 09:00–18:00)
  • Adresa: Str. Ștefan cel Mare nr. 10, Bacău