Politica de confidențialitate

Ultima actualizare: 6 mai 2026

1. Operatorul de date

Acest serviciu este operat de ClaFlowX (Costin Dendea, persoană fizică autorizată — date complete în Termeni). Pentru orice întrebare privind datele personale: [email protected].

2. Ce date colectăm

• Cont: email, nume, parolă (hash bcrypt) sau, la login Google, identificator OAuth.
• Date workspace: tot ce introduci tu și colegii în CRM — contacte, companii, deal-uri, note, fișiere atașate.
• Email + Calendar (opțional): dacă activezi sincronizarea Google Workspace, citim metadate email/calendar din contul tău cu permisiunile tale OAuth (read-only). Conținutul nu părăsește serverul nostru EU.
• Date tehnice: adresa IP, user-agent, timestamp pentru request-uri API. Reținute 14 zile pentru securitate (detectare brute-force).
• Date plată (Pro/Enterprise): procesate exclusiv prin Stripe (Irlanda). Noi vedem doar ID-ul tranzacției și statusul abonamentului — nu vedem numărul cardului.

3. Temei legal (GDPR Art. 6)

• Executarea contractului (art. 6 alin. 1 lit. b) — pentru tot ce ține de furnizarea CRM-ului.
• Interes legitim (art. 6 alin. 1 lit. f) — securitate, prevenire fraudă, log-uri tehnice.
• Consimțământ (art. 6 alin. 1 lit. a) — pentru sincronizare Google Calendar/Gmail. Poți retrage oricând din Settings.
• Obligație legală (art. 6 alin. 1 lit. c) — facturi fiscale conform Legii 227/2015.

4. Subcontractori (Sub-processors)

Furnizor	Rol	Locație date
Hetzner Online GmbH	Hosting VM (DB + app)	Germania (UE)
Cloudflare, Inc.	CDN, DNS, Origin TLS	UE/SUA (DPA cu SCC)
Stripe Payments Europe Ltd.	Procesare plăți	Irlanda (UE)
Resend (DeBugged Labs Inc.)	Email tranzacțional	UE
Anthropic PBC	AI features (Claude API)	SUA (DPA cu SCC)
Google LLC	OAuth + Calendar/Gmail (dacă activat)	UE/SUA (DPA cu SCC)

5. Transferuri în afara UE

Anthropic și Google pot procesa date în SUA. Folosim Standard Contractual Clauses (SCC) și criptare în tranzit (TLS 1.3). Nu transferăm date personale ale clienților tăi către AI fără consimțământul tău explicit (per-feature toggle în Settings).

6. Cât timp păstrăm datele

• Cont activ: cât ai abonament + 30 zile după anulare (perioadă de revenire).
• Backup-uri: 14 zile retenție rolling.
• Log-uri tehnice: 14 zile.
• Facturi: 10 ani (obligație Legea Contabilității 82/1991).

7. Drepturile tale (GDPR Art. 15-22)

Ai dreptul să soliciți: acces, rectificare, ștergere ("dreptul de a fi uitat"), restricționare, portabilitate (export JSON/CSV), opoziție, și să retragi consimțământul. Cere prin email la [email protected] — răspundem în max 30 zile.

Te poți plânge la ANSPDCP (autoritatea română) sau autoritatea din statul UE de reședință.

8. Cookie-uri

Folosim doar cookie-uri strict necesare (sesiune, autentificare, preferințe limbă). Nu folosim cookie-uri de tracking sau publicitate. Niciun banner GDPR nu e necesar pentru cookie-uri esențiale.

9. Securitate

TLS 1.3 obligatoriu, parole hash-uite cu bcrypt, backup-uri criptate, izolare per-tenant la nivel schema Postgres, fail2ban + UFW, 2FA disponibil. Notificăm orice breach în max 72h conform GDPR Art. 33.

10. Modificări

Anunțăm orice modificare materială prin email cu min 14 zile înainte. Versiunile vechi sunt disponibile la cerere.