Politica de confidențialitate

1. Identitatea operatorului de date

Operatorul de date cu caracter personal este:

• Denumire: SC VOID SFT GAMES SRL
• CUI: 43474393
• Sediu social: Str. Progresului, Nr. 2, Mătăsari, Jud. Gorj, România
• Email: contact@edinio.com
• Telefon: 0750 456 809

Prezenta politică este elaborată în conformitate cu Regulamentul (UE) 2016/679 (GDPR) și Legea nr. 190/2018 privind măsuri de punere în aplicare a GDPR.

2. Rolul Edinio: operator și persoană împuternicită

Edinio acționează în două calități distincte în privința datelor cu caracter personal:

2.1. Operator de date

Edinio este operator de date (data controller) pentru datele personale ale Utilizatorilor platformei (persoanele care își creează cont și administrează un magazin). În această calitate, Edinio stabilește scopurile și mijloacele de prelucrare conform Art. 4 pct. 7 din GDPR.

2.2. Persoană împuternicită (procesor de date)

Pentru datele clienților finali colectate prin magazinele create pe Platformă (nume, telefon, adresă, comenzi), Edinio acționează ca persoană împuternicită (data processor) în sensul Art. 28 din GDPR. Utilizatorul (proprietarul magazinului) este operatorul de date pentru clienții săi și este responsabil să asigure conformitatea cu GDPR în relația cu aceștia.

Edinio prelucrează datele clienților finali exclusiv în scopul furnizării Serviciului și pe baza instrucțiunilor Utilizatorului.

3. Categorii de date personale colectate

3.1. Date ale Utilizatorilor (proprietari de magazine)

3.2. Date ale clienților finali (vizitatori și cumpărători ai magazinelor)

3.3. Date tehnice

În mod automat, la accesarea Platformei, colectăm: adresa IP, tipul și versiunea browserului, sistemul de operare, rezoluția ecranului, paginile accesate și durata vizitei. Aceste date sunt colectate în baza interesului nostru legitim de a asigura securitatea și performanța Platformei (Art. 6 alin. 1 lit. f din GDPR).

4. Scopul și temeiul legal al prelucrării

5. Destinatarii datelor

Datele personale pot fi transmise următoarelor categorii de destinatari, exclusiv în scopul furnizării Serviciului:

5.1. Furnizori de infrastructură

• Supabase Inc.– hosting bază de date, autentificare, stocare fișiere. Serverele sunt localizate în UE (Stockholm, Suedia, regiune eu-north-1). Supabase respectă GDPR și dispune de Acord de prelucrare a datelor (DPA).

5.2. Procesatori de plăți (configurați de Utilizator)

• Stripe – procesare plăți online. Stripe este certificat PCI-DSS Level 1. Datele cardului nu sunt stocate pe serverele Edinio.
• NetOpia Payments – procesare plăți online (procesator românesc).

5.3. Servicii de curierat (configurate de Utilizator)

• Cargus, SameDay, DPD, Fan Courier, Colete.ro, Woot – pentru generarea AWB-urilor și livrarea comenzilor. Se transmit: nume destinatar, telefon, adresă de livrare, detalii colet.

5.4. Servicii de facturare (configurate de Utilizator)

• SmartBill, Oblio, Factura.online – pentru emiterea facturilor. Se transmit: date client, produse, prețuri.

5.5. Servicii de comunicare

• Resend – trimitere email-uri tranzacționale (confirmări comandă, notificări cont, resetare parolă).
• SMSO – trimitere SMS-uri (notificări comandă, campanii SMS – configurate de Utilizator).

5.6. Servicii de analiză și marketing (configurate de Utilizator pe magazinul său)

• Google Analytics / Google Tag Manager – analiză trafic și conversii.
• Meta (Facebook Pixel) – tracking conversii și remarketing.
• TikTok Pixel – tracking conversii.

Serviciile de analiză și marketing de la pct. 5.6 sunt activate exclusiv de Utilizator pe magazinul său. Edinio nu activează aceste servicii pe Platforma principală (edinio.com).

5.7. Alte situații

Datele pot fi dezvăluite autorităților competente în cazul în care există o obligație legală în acest sens, conform legislației române sau europene.

6. Transferuri internaționale de date

Baza de date principală este stocată în Uniunea Europeană (Stockholm, Suedia), prin Supabase Inc.

Unele servicii terțe (Stripe, Resend, Google, Meta, TikTok) pot prelucra date în afara Spațiului Economic European. În aceste cazuri, transferul se realizează pe baza următoarelor garanții adecvate, conform Art. 46 din GDPR:

• Clauze contractuale standard (SCC) aprobate de Comisia Europeană
• Decizii de adecvare ale Comisiei Europene (acolo unde există)
• Certificări de protecție a datelor (ex. EU-US Data Privacy Framework)

7. Durata stocării datelor

La expirarea perioadelor de retenție, datele sunt șterse sau anonimizate ireversibil. Datele a căror păstrare este impusă de lege nu pot fi șterse la cererea persoanei vizate până la expirarea termenului legal.

8. Drepturile dumneavoastră

În conformitate cu Art. 15-22 din GDPR, beneficiați de următoarele drepturi:

• Dreptul de acces (Art. 15) – să obțineți confirmarea prelucrării datelor și o copie a acestora
• Dreptul la rectificare (Art. 16) – să solicitați corectarea datelor inexacte
• Dreptul la ștergere (Art. 17) – să solicitați ștergerea datelor ("dreptul de a fi uitat")
• Dreptul la restricționare (Art. 18) – să solicitați limitarea prelucrării în anumite situații
• Dreptul la portabilitate (Art. 20) – să primiți datele într-un format structurat, utilizat frecvent și care poate fi citit automat
• Dreptul la opoziție (Art. 21) – să vă opuneți prelucrării bazate pe interes legitim
• Dreptul de a nu fi supus deciziilor automate (Art. 22) – inclusiv profilarea cu efecte juridice
• Dreptul de retragere a consimțământului (Art. 7) – în orice moment, fără a afecta legalitatea prelucrării anterioare

Pentru exercitarea acestor drepturi, consultați pagina Drepturile GDPR sau contactați-ne la contact@edinio.com.

9. Securitatea datelor

Implementăm măsuri tehnice și organizatorice adecvate pentru protecția datelor personale, în conformitate cu Art. 32 din GDPR, inclusiv:

• Criptarea datelor în tranzit (TLS/SSL) și în repaus
• Controlul accesului bazat pe roluri (Row Level Security la nivel de bază de date)
• Autentificare cu doi factori (MFA) disponibilă pentru conturile utilizatorilor
• Parolele sunt stocate folosind algoritmi de hashing siguri (bcrypt)
• Backup-uri automate ale bazei de date
• Monitorizarea și logarea accesului la date
• Evaluări periodice ale vulnerabilităților

Datele cardurilor de plată nu sunt stocate pe serverele Edinio. Procesarea plăților cu cardul se realizează exclusiv prin procesatori certificați PCI-DSS (Stripe, NetOpia).

10. Protecția datelor copiilor

Platforma Edinio nu este destinată persoanelor cu vârsta sub 18 ani. Nu colectăm cu bună știință date personale de la minori. În conformitate cu Art. 8 din GDPR și Art. 5 din Legea 190/2018, vârsta minimă pentru consimțământul digital în România este de 16 ani.

Dacă descoperim că am colectat date de la un minor fără consimțământul parental adecvat, vom șterge acele date fără întârziere.

11. Notificarea incidentelor de securitate

În conformitate cu Art. 33-34 din GDPR, în cazul unei încălcări a securității datelor cu caracter personal:

• Vom notifica ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) în termen de 72 de ore de la data la care am luat cunoștință de incident, cu excepția cazului în care este improbabil ca încălcarea să genereze un risc pentru drepturile persoanelor vizate
• Vom notifica persoanele vizate afectate fără întârziere nejustificată dacă încălcarea este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile acestora

12. Modificări ale politicii

Ne rezervăm dreptul de a actualiza prezenta Politică de confidențialitate. Modificările semnificative vor fi comunicate prin email și/sau prin notificare în Platformă, cu cel puțin 30 de zile înainte de intrarea în vigoare.

Data ultimei actualizări este afișată la începutul acestei pagini. Vă recomandăm să consultați periodic această pagină.

13. Plângeri

Dacă considerați că prelucrarea datelor dumneavoastră personale încalcă prevederile GDPR, aveți dreptul de a depune o plângere la autoritatea de supraveghere: