Cum prelucrăm datele cu caracter personal

Această politică explică ce date prelucrăm, de ce le prelucrăm, cui le dezvăluim și ce drepturi ai. Este scrisă pe înțelesul tuturor, fără jargon inutil.

Cadrul aplicabil. Prelucrăm datele tale conform Regulamentului (UE) 2016/679 (RGPD) și a Legii române nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice. Autoritatea de supraveghere competentă este ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) — vezi §8 pentru procedura de depunere a unei plângeri.

1. Operatorul de date

Operatorul datelor cu caracter personal pentru serviciul procese.online este Parma Digital SRL:

• CUI RO42128910
• Sediu România
• Email contact [email protected]

Bookarest Digital SRL acționează ca persoană împuternicită (procesator) pentru găzduire, transport și mesagerie, pe bază de contract. Bookarest nu folosește datele tale în interes propriu și nu le divulgă altor terți decât cei listați la §5.

2. Două regimuri de date

procese.online prelucrează două categorii distincte de date, cu temeiuri legale diferite. Le tratăm separat în această politică.

2.1. Date despre dosare publice (sursa portal.just.ro)

Acestea sunt datele publicate de Ministerul Justiției pe portal.just.ro: numere de dosare, instanțe, complete, termene, părți, soluții. Aceste date sunt publice prin lege — vezi §3 pentru baza legală — și nu îți aparțin ție ca utilizator. Le indexăm și ți le servim doar dacă te abonezi să urmărești un dosar specific.

2.2. Date despre tine (utilizatorul)

Acestea sunt datele pe care ni le furnizezi tu sau pe care le generăm pentru funcționarea contului tău: email, dispozitive pentru push, dosare monitorizate, plăți. Acestea îți aparțin și sunt protejate integral conform GDPR și legii române.

3. Bază legală pentru prelucrare

3.1. Pentru date din portal.just.ro

Temeiul legal este combinat:

• RGPD art. 6 alin. (1) lit. (e) — prelucrarea este necesară pentru îndeplinirea unei sarcini de interes public (informarea cetățenilor cu privire la activitatea instanțelor);
• RGPD art. 10 — pentru date privind condamnări penale, prelucrarea este autorizată prin dreptul intern care prevede garanții adecvate, anume:
  • Constituția României, art. 127 — publicitatea ședințelor;
  • Legea nr. 304/2004 privind organizarea judiciară;
  • Legea nr. 544/2001 privind liberul acces la informațiile de interes public, art. 2 (clasificarea explicită a activității instanțelor ca informație de interes public).
• Considerentele 50 și 73 ale RGPD — prelucrarea ulterioară pentru sarcini de interes public este permisă fără un nou temei specific.

Această poziție este în concordanță cu jurisprudența Curții de Justiție a Uniunii Europene în cauza C-398/15 Manni, care confirmă că datele publicate în registre publice pentru certitudine juridică nu pot fi șterse pe temeiul „dreptului de a fi uitat" în mod automat — interesul public are prioritate, sub rezerva unei evaluări de la caz la caz.

3.2. Pentru datele tale ca utilizator

Temeiul depinde de scopul prelucrării:

• RGPD art. 6 alin. (1) lit. (b) executarea contractului — pentru autentificare, gestionarea contului, livrarea notificărilor, facturare;
• RGPD art. 6 alin. (1) lit. (c) obligație legală — pentru păstrarea facturilor și a documentelor financiare conform legii române;
• RGPD art. 6 alin. (1) lit. (f) interes legitim — pentru securitatea infrastructurii, prevenirea abuzului, și remedierea bug-urilor.

Nu folosim consimțământul ca temei principal pentru funcționarea serviciului. Singurele excepții: notificările push (acordate explicit la instalare prin sistemul de operare) și eventuale newslettere de produs (opt-in explicit).

4. Ce date colectăm

4.1. Despre tine

Pentru fiecare categorie de date marcăm temeiul legal din §3.2 — astfel încât să vezi clar de ce o colectăm.

• Email — pentru autentificare prin link magic și comunicarea cu tine. Temei: RGPD art. 6(1)(b) executarea contractului.
• Token-uri push (APNS pentru iOS, FCM pentru Android) — pentru livrarea notificărilor pe dispozitivul tău. Temei: RGPD art. 6(1)(b) executarea contractului; consimțământul OS la instalare (Legea 506/2004 art. 4 pentru comunicații electronice).
• Limba interfeței și ora liniștită (quiet hours) — preferințe stocate la nivel de cont. Temei: RGPD art. 6(1)(b) executarea contractului.
• Dosare monitorizate — lista de dosare pe care le urmărești și data adăugării. Temei: RGPD art. 6(1)(b) executarea contractului.
• Date despre plăți — istoricul plăților Pro (dată, sumă, status). Datele cardului nu ajung niciodată la noi — sunt prelucrate exclusiv de Revolut Business. Temei: RGPD art. 6(1)(b) executarea contractului; art. 6(1)(c) obligație legală pentru păstrarea facturilor.
• Logs tehnice — IP, user-agent, timpii de răspuns, păstrate maxim 30 de zile pentru debugging și prevenirea abuzurilor. Temei: RGPD art. 6(1)(f) interes legitim.

4.2. Date despre dosare publice

• numere de dosare, denumirea instanței, departament, categorie, obiect, stadiu;
• părți (nume), rol procesual;
• termene, sala, completul, soluții publicate;
• tot ce este publicat de portal.just.ro despre dosarul respectiv.

Numele părților sunt afișate doar utilizatorilor care s-au abonat explicit la dosarul respectiv. Pe paginile publice ale calendarului afișăm doar instanță, oră, sală, număr dosar și obiect — niciodată nume de părți. Aceasta este o restricție voluntară, mai strictă decât cea a sursei portal.just.ro, în spiritul minimizării datelor.

4.3. Categorii pe care NU le colectăm

• parole (folosim link magic / OAuth);
• date despre carduri sau conturi bancare;
• date din profiluri sociale, dincolo de email-ul folosit la autentificare;
• cookie-uri de tracking pentru reclame (vezi §11);
• date de localizare GPS;
• contactele tale, fotografii, microfon — nimic din afara contextului procese.online.

5. Sub-procesatori

Pentru funcționarea serviciului folosim următorii sub-procesatori. Toți au contracte care includ clauze GDPR și, unde este cazul, clauze contractuale standard pentru transferuri internaționale (vezi §6).

• Bookarest Digital SRL (România) — platformă tehnică (autentificare, mesagerie, sincronizare).
• Hetzner Online GmbH (Germania, Falkenstein) — servere și infrastructură de calcul.
• Cloudflare, Inc. (SUA, cu prezență UE) — DNS, CDN, protecție DDoS, edge computing pentru paginile publice.
• Sygnal (broker push notifications) — releu între platformă și sistemele Apple / Google.
• Apple Push Notification Service (APNS) (Apple Inc., SUA) — livrarea push pe dispozitive iOS.
• Google Firebase Cloud Messaging (FCM) (Google LLC, SUA) — livrarea push pe dispozitive Android.
• Resend (SUA) — livrarea email-urilor tranzacționale (link magic, confirmări, facturi).
• Revolut Business (UK / EU) — procesare plăți. Datele cardului tău nu ajung la noi.

Această listă poate fi actualizată. Modificările se anunță cu cel puțin 30 de zile înainte, prin email celor cu cont activ și în aplicație.

6. Transferuri internaționale

Cele mai multe date stau pe servere din Uniunea Europeană (Hetzner Falkenstein, Germania). Pentru livrarea push notifications și email tranzacțional, datele tehnice (token de dispozitiv, conținutul notificării, email destinatar) tranzitează servicii din SUA — Apple APNS, Google FCM, Resend, Cloudflare.

Aceste transferuri se fac pe baza Clauzelor Contractuale Standard (SCC) aprobate de Comisia Europeană (Decizia 2021/914), care oferă garanții echivalente cu nivelul de protecție din UE.

7. Durată de păstrare

• Date despre tine — cont activ. Pe toată durata existenței contului tău.
• Date despre tine — cont șters. Ștergere completă în maxim 30 de zile (interval în care backup-urile de siguranță ciclează). După 30 de zile, doar logs anonimizate de sistem mai pot fi păstrate, conform obligațiilor legale (de exemplu, pentru investigarea fraudei sau conformitate fiscală).
• Facturi și documente fiscale. Conform legii române (Codul Fiscal, Legea contabilității), 10 ani.
• Logs tehnice. Maxim 30 de zile.
• Date despre dosare publice. Le păstrăm cât există abonați activi. După ce ultimul abonat se dezabonează de la un dosar, păstrăm datele încă 30 de zile pentru a permite re-abonarea fără pierderea istoricului, după care datele sunt arhivate și apoi șterse din baza activă (schema procese.online). Sursa primară rămâne în continuare portal.just.ro.

8. Drepturile tale (GDPR)

Conform RGPD ai următoarele drepturi:

• Dreptul de acces (art. 15) — să afli ce date avem despre tine. La cerere prin email la [email protected] îți trimitem o copie a datelor.
• Dreptul la rectificare (art. 16) — să corectezi datele inexacte.
• Dreptul la ștergere (art. 17) — să-ți ștergem datele. Implementat prin „Șterge cont" în setări. Pentru date din portal.just.ro, dreptul la ștergere se aplică sub rezerva unui test de echilibru între interesul public și cel privat (jurisprudența Manni).
• Dreptul la restricționarea prelucrării (art. 18).
• Dreptul la portabilitate (art. 20) — să primești datele într-un format structurat, citibil de mașină. La cerere prin email.
• Dreptul de a te opune (art. 21) — în special pentru prelucrarea bazată pe interes public sau interes legitim.
• Dreptul de a nu fi obiectul unei decizii automatizate (art. 22) — nu luăm decizii automatizate cu efect juridic asupra ta.

Pentru a exercita oricare drept, scrie-ne la [email protected]. Răspundem în maxim 30 de zile.

Dreptul la ștergere — date din portal.just.ro. Pentru o cerere de ștergere a datelor unui dosar de pe procese.online, evaluăm de la caz la caz interesul public versus interesul privat al persoanei vizate, în spiritul jurisprudenței CJUE C-398/15 Manni. În cazul în care decidem să nu ștergem (de exemplu, pentru un dosar de interes public continuu), motivăm decizia în scris și menționăm dreptul tău de a depune plângere la ANSPDCP.

Plângere la autoritatea de supraveghere. Ai dreptul să depui plângere la ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal):

• Adresă B-dul G-ral Gheorghe Magheru nr. 28-30, sect. 1, București
• Email [email protected]
• Site www.dataprotection.ro

9. Securitate

Măsuri tehnice pe care le aplicăm:

• conexiuni TLS pentru tot traficul de la și către serverele noastre;
• parole derivate criptografic, fără stocarea parolelor în clar (pentru sesiunile interne);
• identități pseudonimizate pentru participarea la canale de notificare (modelul shadow identity);
• acces administrativ limitat la persoanele care au strict nevoie pentru operare;
• backup-uri criptate, cu durată de viață limitată;
• actualizări de securitate aplicate prompt pe infrastructura subiacentă.

10. Notificare în caz de breșă

În cazul unei breșe de securitate care implică datele tale personale, vom notifica ANSPDCP în maxim 72 de ore de la luarea la cunoștință, conform RGPD art. 33. Dacă breșa prezintă un risc ridicat pentru drepturile tale, te vom notifica și pe tine direct, conform art. 34.

11. Cookies

procese.online folosește un singur cookie tehnic, procese_prefs, pentru a-ți reține tema și limba aleasă între pagini. Nu folosim cookies de tracking, pixeli de la rețele sociale, Google Ads remarketing sau alte instrumente de profilare.

Pentru detalii, vezi Politica privind cookie-urile.

12. Modificări ale politicii

Putem modifica această politică pentru a reflecta schimbări în serviciu sau în legislație. Modificările materiale se anunță cu un preaviz de 30 de zile prin email și în aplicație. Modificările minore se reflectă în actualizarea câmpului „Versiune" și „Actualizat" de mai sus. Versiunile vechi se păstrează pentru consultare la cerere.

13. Contact

Pentru orice întrebare legată de prelucrarea datelor:

• Email [email protected]
• Operator Parma Digital SRL · CUI RO42128910 · România