← Înapoi la pagina principală

Politica de Confidențialitate

Versiune: 2026-05-19 · Conform Regulamentului UE 2016/679 (GDPR) și Legii 506/2004

1. Operator de date personale

LASTBULLET L&D S.R.L., cu sediul în Str. Ana Ipătescu, nr. 171, Târgu-Jiu, Județul Gorj, România, CUI RO47826174, denumită „Operatorul" sau „InCont-rol".

Responsabil cu protecția datelor (DPO): lastbulletld@gmail.com.

2. Categorii de date colectate

În momentul creării contului și folosirii platformei, colectăm:

• Date de identificare: email, nume utilizator, parolă (stocată ca hash bcrypt, nu în clar).
• Date firmă: denumire companie, CUI, județ, adresă, regim fiscal.
• Date de plată: NU stocăm date de card direct. Procesarea plăților se face de Stripe (procesator extern, certificat PCI-DSS). Noi stocăm doar identificatorul Stripe Customer și Subscription.
• Date business: informațiile pe care le introduci în platformă (cheltuieli, venituri, importuri, produse, stocuri, etc.).
• Date tehnice: IP, user-agent, log-uri de acces — folosite pentru audit de securitate.

3. Scopul prelucrării

Folosim aceste date pentru:

• Prestarea serviciului SaaS (acces la platformă, sincronizare date, calcule financiare).
• Facturarea și procesarea plăților (prin Stripe).
• Comunicarea cu tine: confirmare cont, reminder trial, alerte tranzacții, suport tehnic.
• Îmbunătățirea platformei pe baza datelor agregate și anonimizate (NU folosim datele tale individuale pentru marketing terț).
• Conformitate cu obligațiile legale (păstrarea log-urilor pentru audit).

4. Temeiul juridic

Prelucrarea datelor se face pe baza:

• Executării contractului (art. 6(1)(b) GDPR) — pentru prestarea serviciului contractat.
• Interesul legitim (art. 6(1)(f) GDPR) — pentru securitate, audit log, prevenire fraudă.
• Obligația legală (art. 6(1)(c) GDPR) — păstrarea evidențelor contabile minime.
• Consimțământ explicit (art. 6(1)(a) GDPR) — pentru cookie-uri opționale (analytics, vezi Politica Cookies).

5. Destinatari ai datelor

Nu vindem datele tale. Le partajăm doar cu:

• Stripe (procesator plăți, sediu SUA) — sub Standard Contractual Clauses GDPR pentru transferul de date în afara UE. Stripe e certificat PCI-DSS și GDPR-compliant.
• SmartBill (dacă activezi integrarea opțională) — sediu România. Datele tale comerciale ajung la SmartBill doar dacă confirmi expres integrarea în profil.
• Autorități competente — exclusiv în baza unei cereri legale (ANSPDCP, Parchet, etc.).

5.bis Acces administrativ intern

Personalul tehnic InCont-rol poate accesa datele tale exclusiv pentru:

• Suport tehnic la cererea ta explicită (ticket, email, chat)
• Investigare suspiciune de fraudă sau abuz al platformei
• Reparare incidente operaționale (cron eșuat, integrare deconectată, date corupte)
• Conformitate GDPR și fiscală (DSAR, anonimizare, retenție 10 ani facturi)

Fiecare acces administrativ este logat și auditabil. Personalul cu rol de administrator este obligatoriu autentificat cu doi factori (MFA) și fiecare acțiune sensibilă (modificare, ștergere, dezvăluire credențiale) cere re-confirmarea parolei.

Lista personalului cu acces administrativ și jurnalul lor de acces sunt disponibile la cerere la lastbulletld@gmail.com (în maximum 30 de zile, conform GDPR Art. 15).

Personalul administrativ acționează în numele operatorului de date (InCont-rol) și NU este un sub-procesator independent. Lista sub-procesatorilor terți este publicată separat în secțiunea 5.ter de mai jos.

5.ter Sub-procesatori — Claude AI (Anthropic)

Anthropic PBC (San Francisco, SUA) este un sub-procesator pentru funcțiile opționale de AI: (1) clasificarea automată a tranzacțiilor bancare, (2) asistentul contextual (răspunde la întrebări despre cum se folosește platforma) și (3) copilotul pe datele tale (răspunde la întrebări despre cifrele tale: cheltuieli, venituri, cashflow, stoc). Toate sunt disponibile exclusiv dacă le activezi din profil (opt-in). Dacă nu ai activat funcțiile AI, datele tale nu ajung niciodată la Anthropic.

• Asistentul contextual: se trimite întrebarea ta (redactată automat de identificatori sensibili — IBAN/card/CNP/email/telefon) + numele paginii curente. NU se trimit date despre conturile, clienții sau sumele tale. Recomandare: nu introduce date sensibile în întrebări.
• Copilotul pe date: pentru a-ți răspunde la întrebări despre cifrele tale, se trimit către Anthropic agregate din datele tale financiare (sume pe categorie/perioadă, solduri mascate — doar ultimele 4 cifre IBAN) și numele și codurile (SKU) produselor tale. NU se trimit: IBAN integral, CNP, CUI/CIF, numele furnizorilor sau clienților, numerele de document (serie factură/NIR). Întrebarea ta e redactată de identificatori sensibili înainte de trimitere.

• Ce date se trimit către Anthropic: descrierea tranzacției bancare, cu identificatorii sensibili eliminați înainte de trimitere — IBAN-urile, numerele de card, CNP-ul, adresele de email și numerele de telefon sunt redactate automat pe server înainte ca orice text să plece spre API. Se trimit doar: textul descripției anonimizate, suma, direcția (încasare / plată) și moneda.
• Ce date NU se trimit: IBAN, număr de card, CNP, date de identificare personală, date despre firmă sau cont.
• Scopul prelucrării: clasificarea automată a tranzacției într-o categorie de cashflow (ex: „cheltuieli exploatare", „plăți stocuri") pentru a reduce munca manuală de categorisire.
• Temeiul juridic: consimțământ explicit (Art. 6(1)(a) GDPR), acordat la activarea funcției în profil. Poți retrage consimțământul oricând din Profil → Integrări, moment din care clasificarea cu AI se dezactivează și nicio tranzacție ulterioară nu mai ajunge la Anthropic.
• Transfer internațional: Anthropic PBC are sediul în SUA. Transferul se realizează sub Clauze Contractuale Standard (SCC) conform Art. 46(2)(c) GDPR. Retenția datelor transmise este guvernată de politica de confidențialitate Anthropic și de termenii API.

Pentru orice întrebare legată de această prelucrare, contactează-ne la lastbulletld@gmail.com.

6. Perioada de retenție

• Cont activ (trial sau plătit): păstrăm datele tale atât timp cât contul e activ.
• Cont expirat trial nemăsurat (read-only): 22 zile de la expirarea trial-ului — total 30 zile de la signup. După acest interval, contul e șters automat.
• Cont șters la cererea ta: datele business sunt șterse imediat. Înregistrarea contului rămâne cu PII anonimizat (email înlocuit cu `deleted_<id>@incont-rol.ro`, nume șters, parolă goală) pentru audit log și prevenirea reutilizării.
• Audit log: păstrat pe durata vieții companiei pentru audit forensic și obligații legale (art. 6(1)(f) GDPR — interes legitim pentru securitate, prevenire fraudă, investigație incidente). PII-ul (parole, token-uri, IBAN, CNP, CUI, sume) e redactat la inserare prin filtrare automată (pino). Adresele IP din log-uri sunt ofuscate la nivel de subnet /24 după 1 an pentru a păstra valoarea forensic fără a permite identificare directă.
• Date Stripe (subscription, facturi): păstrate conform politicii Stripe — minim 7 ani pentru obligații fiscale RO.

7. Drepturile tale GDPR

Conform GDPR ai dreptul:

• De acces — să primești o copie a datelor tale.
• De rectificare — să corectezi date inexacte.
• De ștergere („dreptul de a fi uitat") — să ceri ștergerea completă a contului și datelor.
• De portabilitate — să primești datele tale într-un format structurat (JSON).
• De opoziție — să te opui prelucrării bazate pe interes legitim.
• De restricție — să ceri restricționarea prelucrării în anumite scenarii.

Pentru exercitarea drepturilor, trimite email la lastbulletld@gmail.com. Răspundem în maxim 30 zile.

8. Securitatea datelor

Măsuri tehnice implementate:

• HTTPS obligatoriu (toate conexiunile criptate TLS 1.2+).
• Parolele stocate ca hash bcrypt (NU în clar).
• JWT cu rotație și verificare semnătură pentru sesiuni.
• Date IBAN bancar criptate AES-256-GCM cu chei rotabile.
• Rate limiting pentru prevenirea atacurilor de tip brute force.
• Log-uri auditabile pentru toate acțiunile critice.
• Redact PII automat în log-uri (parole, token-uri, IBAN-uri).

9. Autoritate de supraveghere

Ai dreptul să depui o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) — dataprotection.ro.

10. Modificări ale politicii

Politica se poate actualiza. Modificările materiale sunt anunțate cu minim 30 zile prin email și banner în platformă.