Protectia Datelor (GDPR)

Conformitate cu Regulamentul General privind Protectia Datelor (UE) 2016/679

Ultima actualizare: 29 aprilie 2026

FiscalGuard RO proceseaza date cu caracter personal si date fiscale sensibile in conformitate cu Regulamentul (UE) 2016/679 (GDPR), Legea nr. 190/2018 privind masuri de punere in aplicare a GDPR si recomandarile Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP).

Aceasta pagina detaliaza masurile tehnice si organizatorice pe care le implementam pentru a asigura protectia datelor dumneavoastra.

Responsabilul cu Protectia Datelor (DPO)

DPO FiscalGuard

Email: dpo@fiscalguard.ro

Adresa: Bucuresti, Romania

Responsabilul cu Protectia Datelor poate fi contactat pentru orice intrebare legata de prelucrarea datelor personale.

Principiile GDPR Aplicate

Legalitate, echitate si transparenta

Prelucram datele pe baza unui temei legal clar (contract, interes legitim, consimtamant sau obligatie legala) si informam utilizatorii despre toate prelucrarile.

Limitarea scopului

Colectam date exclusiv pentru scopuri determinate, explicite si legitime: furnizarea serviciului de monitorizare fiscala.

Minimizarea datelor

Colectam doar datele strict necesare. Nu colectam certificatul digital, nu accesam date ANAF dincolo de cele necesare monitorizarii.

Exactitatea

Datele sincronizate din SPV sunt actualizate automat la fiecare 30 de minute. Utilizatorii pot corecta oricand datele personale din cont.

Limitarea stocarii

Datele sunt pastrate doar pe durata necesara scopului. La stergerea contului, datele sunt eliminate in termen de 30 de zile.

Integritate si confidentialitate

Implementam masuri tehnice si organizatorice adecvate (criptare, control acces, monitorizare) pentru protectia datelor.

Masuri Tehnice de Protectie

Criptare date sensibile

Tokenuri ANAF si API keys criptate cu Fernet (AES-128-CBC + HMAC-SHA256). Parole hash-uite cu bcrypt.

Transport securizat

Toate comunicatiile prin HTTPS cu TLS 1.2/1.3. Certificate SSL cu reinnoire automata. HSTS activat cu preload. OCSP Stapling activat.

Servere in UE

Infrastructura gazduita la Hetzner Online GmbH, datacenter Germania/UE, in conformitate cu GDPR.

Control acces

Acces pe baza de roluri (RBAC). Autentificare JWT cu JTI unic. Refresh token securizat. Rate limiting pe autentificare (5 incercari/minut).

Backup criptat zilnic

Backup-uri zilnice automate criptate cu GPG (RSA-4096) + sume de control SHA256. Retentie 7 zile zilnic + 4 saptamani.

Firewall si protectie retea

Firewall UFW (porturi 22/80/443). fail2ban activ pe SSH. Segmentare retea Docker in 3 zone izolate (frontend, backend, data).

Securitate containere

no-new-privileges pe toate containerele. Limite memorie si PID-uri. Backend ruleaza ca utilizator non-root.

Audit logging GDPR

Middleware de audit care logheaza automat accesul la date personale si fiscale. Rotatie automata la 90 de zile.

Masuri Organizatorice

  • Responsabil cu Protectia Datelor (DPO) desemnat
  • Registrul prelucrarii datelor conform Art. 30 GDPR
  • Evaluare de impact (DPIA) pentru prelucrari cu risc ridicat
  • Contracte de prelucrare date (DPA) cu toti sub-procesatorii
  • Procedura de notificare brese de securitate (72 ore conform Art. 33 GDPR)
  • Politica de acces pe principiul “need-to-know”
  • Audit complet de securitate cod-sursa efectuat (35 constatari identificate si remediate)
  • Audit dependente (pip-audit, npm audit) cu remedierea vulnerabilitatilor cunoscute

Categorii de Date si Temeiuri Legale

Categorie DateTemei LegalRetentie
Date cont (email, nume)Contract - Art. 6(1)(b)Durata cont + 30 zile
Date fiscale (facturi, TVA)Contract - Art. 6(1)(b)Durata abonament
Token ANAF OAuthContract - Art. 6(1)(b)Durata conexiune activa
Date de facturareObligatie legala - Art. 6(1)(c)10 ani (legislatie fiscala)
Log-uri acces si audit GDPRInteres legitim - Art. 6(1)(f)90 zile (rotatie automata)
Newsletter (email)Consimtamant - Art. 6(1)(a)Pana la dezabonare

Sub-procesatori

Datele dumneavoastra pot fi procesate de urmatorii sub-procesatori, cu care avem contracte de prelucrare date (DPA) conforme Art. 28 GDPR:

Hetzner (hetzner.com)

Gazduire infrastructura (server Germania/UE)

DE/UE

Anthropic (anthropic.com)

Procesare AI - reconciliere, evaluare risc, generare documente

SUA *

SmartBill (smartbill.ro)

Integrare facturare (optional, la activare de catre utilizator)

RO/UE

Cloudflare (cloudflare.com)

DNS, protectie DDoS, CDN

UE/SUA

Plausible Analytics (plausible.io)

Analiza web anonima, fara cookie-uri, fara date personale

UE

Transferuri Internationale de Date

Pentru functionalitatile bazate pe inteligenta artificiala, anumite date fiscale sunt transmise catre Anthropic (SUA) prin API securizat (HTTPS/TLS 1.3). Acest transfer se realizeaza in baza:

  • Clauzelor contractuale standard (SCC) conform Art. 46(2)(c) GDPR
  • Cadrului EU-US Data Privacy Framework (DPF)

Datele transmise sunt minimizate la strictul necesar pentru procesarea cererii si nu sunt stocate de Anthropic dupa finalizarea procesarii. Toate celelalte date (cont, facturi, backup-uri) sunt stocate exclusiv pe servere din Uniunea Europeana (Romania).

Transparenta AI: FiscalGuard utilizeaza modele AI (Claude de la Anthropic) pentru reconciliere E-TVA, evaluare risc fiscal si generare documente. Toate rezultatele AI au caracter orientativ si necesita verificare de catre un specialist. Conform Regulamentului UE 2024/1689 (AI Act), informam utilizatorii ca aceste functionalitati sunt asistate de inteligenta artificiala.

Drepturile Persoanelor Vizate

Conform GDPR, aveti urmatoarele drepturi pe care le puteti exercita contactandu-ne la dpo@fiscalguard.ro:

Dreptul de acces (Art. 15)

Obtineti confirmarea si o copie a datelor prelucrate.

Dreptul la rectificare (Art. 16)

Corectarea datelor inexacte sau completarea celor incomplete.

Dreptul la stergere (Art. 17)

Stergerea datelor cand nu mai sunt necesare scopului initial.

Dreptul la restrictionare (Art. 18)

Restrictionarea prelucrarii in situatii specifice.

Dreptul la portabilitate (Art. 20)

Primiti datele in format structurat (JSON/CSV).

Dreptul la opozitie (Art. 21)

Opozitia la prelucrarea bazata pe interes legitim.

Termen de raspuns: maximum 30 de zile de la primirea cererii. In cazuri complexe, termenul poate fi prelungit cu 60 de zile cu notificarea dumneavoastra.

Notificarea Breselor de Securitate

In conformitate cu Art. 33 si Art. 34 GDPR, in cazul unei brese de securitate care afecteaza datele personale:

  • Notificam ANSPDCP in termen de 72 de ore de la constatare
  • Notificam utilizatorii afectati fara intarziere nejustificata
  • Documentam toate incidentele in registrul intern de brese
  • Implementam masuri corective imediate

Autoritatea de Supraveghere

Daca considerati ca prelucrarea datelor dumneavoastra incalca GDPR, aveti dreptul de a depune o plangere la autoritatea de supraveghere:

Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP)

Adresa: B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, 010336 Bucuresti, Romania

Telefon: +40 318 059 211

Website: www.dataprotection.ro

Contact

FiscalGuard RO

Email DPO: dpo@fiscalguard.ro

Email general: contact@fiscalguard.ro

Adresa: Bucuresti, Romania