Document Legal

Politica de Confidențialitate

Ultima actualizare: aprilie 2026

Această Politică de Confidențialitate explică modul în care CarpaThin Logic colectează, utilizează și protejează datele cu caracter personal în conformitate cu Regulamentul General privind Protecția Datelor (GDPR — UE 2016/679), Legea 190/2018 privind aplicarea GDPR în România și alte reglementări naționale aplicabile.

1. Operatorul de date cu caracter personal

Datele tale cu caracter personal sunt prelucrate de:

  • Denumire juridică: Vasilache Claudiu-Gabriel Persoană Fizică Autorizată
  • Denumire comercială: CarpaThin Logic
  • Cod Unic de Înregistrare (CUI): 52647701
  • Cod TVA: RO52647701 (plătitor de TVA)
  • Număr Registrul Comerțului: F2025038505000
  • Sediu profesional: Iași, Str. Fântânilor nr. 43, bl. B14, ap. B39
  • Email: [email protected]
  • Telefon: +40 332 633 588

În sensul prezentei politici, CarpaThin Logic acționează ca operator de date pentru datele colectate prin website și pentru relația contractuală directă cu Clienții. În cadrul prestării serviciilor IT externalizate, putem acționa ca persoană împuternicită (procesator) pentru datele Clientului, în baza unui Acord de Prelucrare Date (Data Processing Agreement) semnat separat.

2. Date personale colectate

Colectăm și prelucrăm următoarele categorii de date cu caracter personal:

2.1. Date furnizate direct de tine

  • Prin formularul de contact și solicitare ofertă: nume și prenume, denumirea companiei, adresă de email, număr de telefon, mesajul tău, eventuale informații despre infrastructura IT pe care ne-o descrii.
  • Prin email sau telefon direct: orice informație pe care ne-o oferi voluntar în comunicările cu noi.
  • Prin contractare de servicii: date de identificare ale companiei și ale persoanei de contact, date de facturare, semnătură electronică sau olografă pe contract.

2.2. Date colectate automat când vizitezi site-ul

  • Date tehnice: adresă IP, tip browser, sistem de operare, dispozitiv, rezoluție ecran, fus orar, limba browserului;
  • Date de utilizare: pagini vizitate, durata vizitei, surse de trafic (referrer), interacțiuni cu site-ul;
  • Date prin cookie-uri: conform Politicii de Cookie-uri separate.

2.3. Date colectate în cadrul prestării serviciilor

Atunci când prestăm servicii IT pentru Clienți (suport remote, migrare email, backup, securitate cibernetică), putem avea acces tehnic la:

  • Adrese de email și conținut de email (în context de migrare sau troubleshooting);
  • Configurații de sistem, jurnale (logs) tehnice, parole de servicii (gestionate prin Keeper);
  • Date despre utilizatorii din infrastructura Clientului (nume, conturi, drepturi de acces);
  • Eventuale date de business stocate în sistemele monitorizate.

Pentru aceste date, CarpaThin Logic acționează ca persoană împuternicită a Clientului, conform unui Acord de Prelucrare Date (Data Processing Agreement) semnat ca anexă la Contractul principal.

2.4. Categorii speciale de date

Nu colectăm intenționat date sensibile (origine rasială sau etnică, opinii politice, convingeri religioase, date genetice, date biometrice, date privind sănătatea, viața sexuală sau orientarea sexuală, condamnări penale). Dacă astfel de date apar accidental în comunicațiile cu noi, vor fi șterse.

3. Scopurile prelucrării și baza legală

Prelucrăm datele tale personale în următoarele scopuri:

Scopul prelucrării Baza legală (GDPR) Durata stocării
Răspuns la solicitări de informații sau ofertă prin formular de contact Art. 6(1)(b) — măsuri precontractuale la cererea ta; Art. 6(1)(f) — interes legitim de a răspunde 12 luni de la ultima comunicare, dacă nu se semnează contract
Executarea contractelor de prestări servicii Art. 6(1)(b) — executarea contractului Pe durata contractului + 3 ani după încetare (termen prescripție)
Facturare și obligații contabile Art. 6(1)(c) — obligație legală (Codul fiscal) 10 ani conform Legii contabilității 82/1991
Răspuns la solicitări legale, controale, litigii Art. 6(1)(c) — obligație legală; Art. 6(1)(f) — apărarea drepturilor Pe durata necesară
Analiză trafic site (Google Analytics) Art. 6(1)(a) — consimțământ prin banner cookie Maxim 14 luni (setare GA4)
Securitatea site-ului (logs tehnice, prevenție atacuri) Art. 6(1)(f) — interes legitim de securitate IT Maxim 6 luni

4. Destinatarii datelor — cu cine partajăm informațiile

Datele tale pot fi partajate cu:

4.1. Persoane împuternicite (subprocesatori)

Pentru funcționarea operațională, lucrăm cu următorii subprocesatori, fiecare cu propriile măsuri de protecție:

  • Google Ireland Limited — Google Analytics, pentru analiza traficului site-ului (cu transfer SUA, conform secțiunii 6);
  • Google Ireland Limited — Google Fonts, pentru livrarea fonturilor (fără cookie-uri, dar cu colectare IP la încărcare);
  • Cloudflare, Inc. — pentru livrarea librăriei Font Awesome prin CDN.

În cadrul prestării serviciilor către Clienți, putem implica subprocesatori suplimentari (Microsoft Azure, Bitdefender, Veeam, Keeper Security, N-able, Amazon Web Services), conform celor specificate în Acordul de Prelucrare Date (DPA) semnat cu fiecare Client.

Toți subprocesatorii operează sub acorduri scrise care includ obligații de confidențialitate și măsuri tehnice de protecție conform standardelor GDPR (clauze contractuale standard).

4.2. Autorități publice și organe judiciare

Putem dezvălui date personale către autorități competente atunci când acest lucru este cerut de legea română (de exemplu, în cadrul unei anchete penale, controale fiscale, sau ordine judecătorești).

4.3. Consilieri profesioniști

În anumite situații, putem partaja date cu avocați, contabili sau auditori, în limita strictă necesară și sub obligația de confidențialitate.

4.4. Achizitori în caz de fuziune sau achiziție

În eventualitatea improbabilă a unei fuziuni, achiziții sau vânzări de active, datele pot fi transferate către cumpărător, cu informarea prealabilă a tuturor persoanelor vizate.

5. Cât timp păstrăm datele

Păstrăm datele personale doar atât timp cât este necesar scopului pentru care au fost colectate, sau atât cât impune legea. Termenele specifice sunt indicate în tabelul din secțiunea 3.

După expirarea acestor termene, datele sunt șterse în siguranță sau anonimizate ireversibil.

6. Transferul datelor în afara Spațiului Economic European (SEE)

Anumite date pot fi transferate în afara SEE, în special către Statele Unite ale Americii, prin intermediul subprocesatorilor noștri:

  • Google LLC (SUA) — pentru Google Analytics. Transferul se realizează în baza Cadrului de Confidențialitate Date UE-SUA (EU-U.S. Data Privacy Framework), Google fiind certificat conform acestui cadru. Pentru detalii: policies.google.com/privacy;
  • Cloudflare, Inc. (SUA) — pentru CDN. Cloudflare aderă la Data Privacy Framework. Pentru detalii: cloudflare.com/privacypolicy;
  • Microsoft Corporation (SUA) — în cazul în care folosim Microsoft 365 (subiect de verificare). Microsoft aderă la Data Privacy Framework.

Toate transferurile sunt efectuate cu garanții adecvate conform articolului 46 GDPR (clauze contractuale standard sau certificare conform Data Privacy Framework).

7. Drepturile tale conform GDPR

În calitate de persoană vizată, ai următoarele drepturi pe care le poți exercita oricând, gratuit (în condițiile legii):

  • Dreptul de acces (art. 15 GDPR): să afli ce date personale prelucrăm despre tine și să primești o copie a acestora;
  • Dreptul la rectificare (art. 16 GDPR): să ceri corectarea datelor inexacte sau completarea celor incomplete;
  • Dreptul la ștergere — „dreptul de a fi uitat" (art. 17 GDPR): să ceri ștergerea datelor în anumite condiții (ex: datele nu mai sunt necesare scopului colectării, ți-ai retras consimțământul, prelucrarea este ilegală);
  • Dreptul la restricționarea prelucrării (art. 18 GDPR): să ceri limitarea prelucrării în anumite situații (ex: contești exactitatea datelor pe perioada verificării);
  • Dreptul la portabilitatea datelor (art. 20 GDPR): să primești datele într-un format structurat, utilizat în mod curent și care poate fi citit automat, sau să le transmiți altui operator;
  • Dreptul de a obiecta (art. 21 GDPR): să te opui prelucrării bazate pe interes legitim sau pentru marketing direct;
  • Dreptul de a-ți retrage consimțământul (art. 7(3) GDPR): oricând, fără ca această retragere să afecteze legalitatea prelucrării anterioare;
  • Dreptul de a nu fi supus unei decizii automate (art. 22 GDPR): nu folosim profiling sau decizii automate cu efect juridic asupra ta;
  • Dreptul de a depune plângere la autoritatea de supraveghere — în România, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), B-dul G-ral. Gheorghe Magheru 28-30, București, sector 1, [email protected].

Cum îți exerciți drepturile: trimite o cerere scrisă la [email protected], indicând clar dreptul pe care vrei să-l exerciți. Vom răspunde în maximum 30 de zile calendaristice (sau mai mult dacă cererea este complexă, caz în care te vom informa despre extindere).

Pentru a-ți confirma identitatea, putem solicita informații suplimentare. Acest pas este necesar pentru a evita divulgarea datelor către persoane neautorizate.

8. Securitatea datelor

Aplicăm măsuri tehnice și organizaționale adecvate pentru a proteja datele personale împotriva accesului neautorizat, divulgării accidentale, modificării sau distrugerii. Acestea includ:

  • Criptarea datelor în tranzit prin HTTPS/TLS;
  • Autentificare cu factor multiplu (MFA) pentru acces la sistemele care conțin date;
  • Politici stricte de acces bazate pe principiul „least privilege" (privilegiul minim necesar);
  • Backup-uri regulate și criptate ale datelor critice;
  • Monitorizare activă a sistemelor și jurnale de acces (audit logs);
  • Antivirus și protecție EDR pe toate sistemele;
  • Acorduri de confidențialitate (NDA) semnate cu toți angajații și subcontractanții;
  • Formare periodică a personalului în privința securității și protecției datelor;
  • Plan documentat de răspuns la incidente de securitate.

9. Notificarea în caz de incident de securitate

În caz de incident de securitate care implică date personale (data breach), CarpaThin Logic se obligă să:

  • Notifice autoritatea de supraveghere (ANSPDCP) în maximum 72 de ore de la constatarea incidentului, conform articolului 33 GDPR;
  • Notifice persoanele vizate fără întârzieri nejustificate, dacă incidentul are un impact ridicat asupra drepturilor și libertăților lor (art. 34 GDPR);
  • Documenteze fiecare incident în registrul intern de incidente.

10. Cookie-uri și tehnologii similare

Utilizarea cookie-urilor pe site-ul nostru este descrisă detaliat în Politica de Cookie-uri separată, parte integrantă din această Politică de Confidențialitate.

11. Marketing și comunicări comerciale


În prezent, CarpaThin Logic nu trimite newsletter, comunicări de marketing direct sau alte forme de publicitate. Comunicăm cu tine exclusiv în legătură cu solicitările pe care ni le adresezi sau în cadrul executării contractelor active.

12. Datele copiilor

Serviciile noastre se adresează exclusiv persoanelor juridice (B2B) și persoanelor fizice cu vârstă peste 18 ani. Nu colectăm intenționat date despre copii sub 16 ani. Dacă luăm cunoștință că am primit astfel de date, le vom șterge fără întârziere.

13. Modificarea politicii de confidențialitate

Această politică poate fi actualizată periodic pentru a reflecta modificările în practicile noastre, în legislație sau în tehnologia utilizată. Versiunea curentă este publicată întotdeauna pe această pagină, cu data ultimei actualizări la final.

Modificările semnificative care afectează prelucrarea datelor tale îți vor fi comunicate proactiv (prin email dacă suntem în relație contractuală sau printr-o notificare proeminentă pe site).

14. Contact

Pentru orice întrebare, solicitare sau exercitare a drepturilor tale GDPR, ne poți contacta:

Versiune actualizată: 30 Aprilie 2026.
Această politică se aplică tuturor utilizatorilor site-ului și clienților CarpaThin Logic.