Politică de Confidențialitate

Operator: ALMA FINCONSULTING SRL, România

Platformă: mydesks.ro

Data intrării în vigoare: 23 martie 2026

Versiunea: 1.0

1. Cine suntem și cum ne puteți contacta

ALMA FINCONSULTING SRL („MYDESKS", „noi", „nouă", „noastre") este o societate cu răspundere limitată română care operează platforma mydesks.ro — un serviciu de generare automată a documentelor de conformitate AI pentru organizații, cu revizuire umană înainte de livrare.

Acționăm în calitate de operator de date pentru toate datele cu caracter personal colectate prin intermediul platformei și serviciilor noastre.

Contact pentru probleme legate de confidențialitate:
Email: dpo@mydesks.ro (Subiect: Protecția Datelor)
Web: mydesks.ro

Vom confirma primirea solicitării în termen de 5 zile lucrătoare și vom răspunde în mod substanțial în termen de 30 de zile calendaristice.

2. Domeniul de aplicare

Această politică se aplică atunci când:

Creați un cont sau înregistrați organizația pe platformă
Completați Scannerul Fundație Digitală (gratuit, fără cont)
Completați Wizard-ul de Guvernanță (24 de întrebări)
Achiziționați și primiți pachetul de documente de conformitate
Interacționați cu comunicările noastre
Vizitați mydesks.ro

Această politică nu se aplică site-urilor terțe accesibile prin linkuri de pe platforma noastră.

3. Ce date cu caracter personal colectăm și de ce

3.1 Date de cont și înregistrare

Date colectate	Scop	Temei juridic
Nume, prenume, email	Creare cont, autentificare, comunicare	Executarea contractului — Art. 6(1)(b) GDPR
Parolă (hash bcrypt cost=12)	Autentificare securizată	Executarea contractului — Art. 6(1)(b) GDPR
Secret TOTP (criptat AES-256)	Autentificare MFA	Interes legitim — Art. 6(1)(f) GDPR
Token sesiune (hash SHA-256), fingerprint browser	Menținerea sesiunii, detectarea hijacking-ului	Executarea contractului — Art. 6(1)(b) GDPR

3.2 Date organizaționale

Date colectate	Scop	Temei juridic
Denumire companie, CUI, adresă	Facturare, personalizarea documentelor	Obligație legală + Executarea contractului — Art. 6(1)(b)(c) GDPR
Industrie, dimensiune, țară	Personalizarea documentelor	Executarea contractului — Art. 6(1)(b) GDPR
Modele AI utilizate, cazuri de utilizare, tipuri de date procesate	Generarea documentelor specifice organizației	Executarea contractului — Art. 6(1)(b) GDPR

3.3 Date din Wizard și Scanner

Date colectate	Scop	Temei juridic
Răspunsurile la Wizard (24 de întrebări despre procesele organizației)	Generarea documentelor; revizuire Human-in-the-Loop	Executarea contractului — Art. 6(1)(b) GDPR
Rezultatele Scannerului (evaluare pe 4 piloni)	Furnizarea rezultatelor gratuite; captare lead	Executarea contractului + Interes legitim — Art. 6(1)(b)(f) GDPR

Important: Răspunsurile la Wizard descriu procesele organizației, nu date personale ale angajaților sau clienților acesteia. Utilizatorul este responsabil să nu introducă în Wizard date personale sensibile. MYDESKS nu solicită și nu prelucrează astfel de date.

3.4 Date de facturare și plată

Date colectate	Scop	Temei juridic
Adresă de facturare, CUI	Emiterea facturilor conforme fiscal	Obligație legală — Art. 6(1)(c) GDPR
Referință tranzacție EuPlatesc, status plată	Procesarea comenzilor	Executarea contractului — Art. 6(1)(b) GDPR

Nu stocăm date de card bancar. Plățile sunt procesate exclusiv prin EuPlatesc Payments (certificat PCI-DSS). Primim doar o referință tokenizată a tranzacției.

3.5 Date de utilizare și tehnice

Date colectate	Scop	Temei juridic
Adresă IP, User Agent, timestamps	Securitate, prevenirea abuzurilor, debugging	Interes legitim — Art. 6(1)(f) GDPR
Audit log acțiuni sensibile	Securitate, conformitate	Obligație legală + Interes legitim
Evenimente accesare și descărcare documente	Confirmarea livrării	Interes legitim — Art. 6(1)(f) GDPR

3.6 Preferințe de marketing

Date colectate	Scop	Temei juridic
Email, consimțământ explicit (timestamp + versiune)	Comunicări despre servicii și actualizări legislative	Consimțământ — Art. 6(1)(a) GDPR
Parametri UTM, sursă de referință	Înțelegerea canalelor de achiziție (server-side)	Consimțământ — Art. 6(1)(a) GDPR

Puteți retrage consimțământul în orice moment prin link-ul „dezabonare" din orice email de marketing sau la dpo@mydesks.ro.

3.7 Date generate de platformă

Date generate	Scop	Temei juridic
Cele 4 documente de conformitate	Furnizarea serviciului contractat	Executarea contractului — Art. 6(1)(b) GDPR
Hash SHA-256 al pachetului (certificatul)	Verificarea autenticității de către terți	Executarea contractului — Art. 6(1)(b) GDPR
Pagina publică /verify/{hash}	Verificare fără autentificare	Executarea contractului — Art. 6(1)(b) GDPR

4. Cum utilizăm datele dumneavoastră

4.1 Furnizarea serviciului

Generarea celor 4 documente de conformitate utilizând răspunsurile din Wizard și profilul companiei
Revizuirea umană (Human-in-the-Loop) înainte de livrare — termen: 24–48 ore lucrătoare
Emiterea certificatului cu pagină de verificare publică
Procesarea plății și emiterea facturilor
Livrarea documentelor și comunicărilor aferente
Reînnoirea anuală cu actualizări legislative

4.2 Generarea documentelor asistată de AI

Răspunsurile din Wizard și profilul organizației sunt trimise la API-ul furnizorului AI activ (OpenAI, Gemini sau Anthropic) pentru generarea documentelor
Datele dumneavoastră nu sunt utilizate pentru antrenarea modelelor AI de către MYDESKS sau furnizorii AI terți
Conținutul generat de AI este revizuit de un expert intern înainte de livrare
Toate documentele conțin o notă privind natura lor automatizată

4.3 Revizuire Human-in-the-Loop (HITL)

Accesul expertului intern la documente este: înregistrat în audit log imutabil, restricționat prin controale de acces bazate pe roluri și supus obligațiilor contractuale de confidențialitate.

4.4 Securitate și prevenirea fraudei

Utilizăm adresele IP, evenimentele de autentificare și tiparele de utilizare pentru a detecta și preveni frauda și accesul neautorizat.

4.5 Conformitate legală

Păstrăm înregistrările de facturare pentru a respecta legislația fiscală română (Codul fiscal, Legea contabilității nr. 82/1991).

4.6 Îmbunătățirea serviciilor

Utilizăm date complet anonimizate și agregate. Nicio organizație sau persoană nu este identificabilă. Răspunsurile individuale din Wizard nu sunt partajate cu alți clienți.

4.7 Marketing (cu consimțământul dumneavoastră)

Trimitem actualizări despre servicii și modificări legislative relevante. Nu vindem date și nu permitem publicitate terților pe platformă.

5. Luarea automată a deciziilor

Fără decizii exclusiv automate cu efecte juridice: Tot conținutul generat de AI este revizuit de un expert uman înainte de livrare.
Evaluarea riscului: Profilul de risc estimat este un indicator orientativ, nu o determinare obligatorie.
Autoritatea de decizie rămâne a dumneavoastră: Toate deciziile de afaceri bazate pe documente rămân responsabilitatea organizației.

Conform Art. 22 GDPR, aveți dreptul de a solicita revizuire umană suplimentară. Contactați dpo@mydesks.ro.

6. Cu cine partajăm datele dumneavoastră

Nu vindem date cu caracter personal.

6.1 Furnizori de procesare AI

Furnizor	Prioritate	Date partajate	Scop	Protecția datelor
OpenAI (GPT-4o API)	Primar	Profilul organizației (fără PII individual)	Generarea documentelor	OpenAI DPA; SCC — Decizia 2021/914/UE
Google (Gemini API)	Fallback	Profilul organizației (fără PII individual)	Generarea documentelor (dacă OpenAI eșuează)	Google Cloud DPA; SCC — Decizia 2021/914/UE
Anthropic (Claude API)	Terțiar	Profilul organizației (fără PII individual)	Generarea documentelor (dacă Gemini eșuează)	Anthropic DPA; SCC — Decizia 2021/914/UE

6.2 Procesarea plăților

Furnizor	Date partajate	Scop
EuPlatesc Payments	Date de facturare, referință tranzacție	Procesarea plăților în RON, 3DS

EuPlatesc este certificat PCI-DSS. Datele de card nu ajung pe serverele MYDESKS.

6.3 Infrastructură și hosting

Datele sunt stocate pe servere localizate în Uniunea Europeană (provider cPanel România/UE).

6.4 Dezvăluiri legale

Putem dezvălui date autorităților competente când este impus de legislația aplicabilă. Unde este permis legal, vom notifica utilizatorul afectat.

6.5 Transferuri de afaceri

În cazul unei fuziuni sau achiziții, datele pot fi transferate entității succesoare cu notificare de minimum 30 de zile.

7. Transferuri internaționale de date

Datele sunt stocate pe servere în Spațiul Economic European (SEE).

Singurul transfer internațional curent este către Anthropic (SUA), efectuat în baza Clauzelor Contractuale Standard (SCC) — Decizia de implementare 2021/914/UE. DPA-ul cu Anthropic este disponibil la cerere la dpo@mydesks.ro.

8. Retenția datelor

Categorie de date	Perioadă de retenție	Temei
Date de cont activ	Durata relației contractuale + 3 ani	Obligații contabile și fiscale
Răspunsuri Wizard și documente	12 luni de la emitere	Executarea contractului
Date de facturare și plată	10 ani	Obligație legală — Codul fiscal; Legea nr. 82/1991
Audit log	24 luni	Securitate
Date tehnice (IP, sesiuni)	90 zile	Securitate operațională
Consimțământ marketing	Până la retragere + 1 an	Obligație legală (ePrivacy)
Date Scanner (fără cont)	30 zile	Interes legitim

La cerere, toate datele (cu excepția celor de facturare) pot fi șterse anticipat. Solicitări la dpo@mydesks.ro.

9. Drepturile dumneavoastră conform GDPR

Acces (Art. 15) — rezumat al tuturor datelor deținute
Portabilitate (Art. 20) — export JSON complet
Ștergere (Art. 17) — ștergere date (excepție: facturare — 10 ani obligație legală)
Rectificare (Art. 16) — corectare date inexacte din dashboard sau prin email
Restricționare (Art. 18) — blocarea temporară a prelucrării
Opoziție (Art. 21) — opoziție la prelucrarea bazată pe interes legitim
Retragere consimțământ (Art. 7(3)) — oricând, fără a afecta legalitatea prelucrării anterioare
Decizii automate (Art. 22) — dreptul la revizuire umană suplimentară

Cum vă exercitați drepturile: trimiteți solicitarea la dpo@mydesks.ro cu subiectul „Solicitare Drepturi privind Datele". Confirmare: 5 zile lucrătoare. Răspuns: 30 de zile calendaristice.

Dreptul de a depune reclamație

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București
Web: www.dataprotection.ro
Email: anspdcp@dataprotection.ro

10. Securitate

Criptare: HTTPS/TLS 1.2+, HSTS, bcrypt cost=12, AES-256-CBC (TOTP), AES-256-GCM (chei API).

Autentificare: MFA TOTP obligatoriu pentru admin, sesiuni cu fingerprint și auto-revocare, rate limiting, RBAC cu privilegii minime.

Monitorizare: Audit log imutabil (trigger anti-DELETE), alertare automată la activitate suspectă.

În cazul unei breșe de date, vom notifica ANSPDCP în termen de 72 de ore și utilizatorii afectați conform Art. 34 GDPR.

11. Cookie-uri

Tip	Scop	Consimțământ necesar
Token de sesiune (SHA-256)	Menținerea autentificării	Nu — strict necesar
Cookie funcțional preferințe	Limbă, setări UI	Nu — strict necesar
Atribuire marketing (UTM, server-side)	Canale de achiziție	Da — consimțământ

Nu utilizăm cookie-uri de advertising terțe, pixeli de urmărire cross-site sau publicitate comportamentală.

Detalii complete: Politica de Cookie-uri

12. Confidențialitatea copiilor

Nu colectăm date de la persoane sub 18 ani. Dacă un minor a transmis date, contactați dpo@mydesks.ro.

13. Modificări ale acestei politici

La modificări substanțiale, utilizatorii vor fi notificați prin email cu minimum 30 de zile înainte. Versiunile anterioare disponibile la cerere.

14. Acceptare

La crearea contului, acceptarea este înregistrată explicit — checkbox cu timestamp și versiunea politicii — în audit log imutabil.

15. Contact

ALMAFINCONSULTING SRL — Responsabil cu Protecția Datelor
Email: dpo@mydesks.ro (Subiect: Protecția Datelor)
Web: mydesks.ro

← Înapoi la MYDESKS