Politica de Confidențialitate

Această Politică de Confidențialitate descrie modul în care ELBA SA ("noi", "ELBA") colectează, utilizează și protejează datele cu caracter personal ale utilizatorilor platformei qr.elba.ro și ale aplicației mobile ELBA Light (denumite împreună "Serviciul").

Politica este redactată conform Regulamentului (UE) 2016/679 (GDPR) și a Legii nr. 190/2018 privind măsurile de aplicare a GDPR în România.

1. Operator de date

ELBA SA

Strada Hermann Oberth nr. 10, 410605 Timișoara, jud. Timiș, România

CUI: RO 1801806 · Reg. Com.: J35/2/1991

Email: office@elba.ro · Tel: +40 256 200 411

Responsabil cu Protecția Datelor (DPO): privacy@elba.ro

2. Categorii de date personale prelucrate

Pentru a oferi Serviciul, prelucrăm următoarele categorii de date:

Categorie	Date specifice	Sursă
Identificare	Nume, prenume, email, telefon (opțional)	Furnizate de utilizator la creare cont
Autentificare	Email, parolă criptată (hash bcrypt), token sesiune	Generate la login
Localizare	Coordonate GPS (lat/lng) ale instanțelor QR scanate sau editate	Furnizate explicit la activare instanță
Conținut user	Fotografii ("înainte" / "după") la raportare probleme	Încărcate voluntar de utilizator
Tehnice	Adresă IP, user-agent browser, timestamp acces, ID dispozitiv	Colectate automat la fiecare cerere
Push notifications	Token push (FCM/APNS) — doar dacă acceptați notificări	Generat de Apple/Google la prima rulare

Nu colectăm: date financiare, date privind sănătatea, date despre minori, date biometrice, opinii politice/religioase.

3. Scopul prelucrării

Furnizarea Serviciului: autentificare, gestionare instanțe QR, hartă instalații, raportare probleme.
Securitate și audit: jurnalizarea acțiunilor (cine a făcut ce, când) pentru integritate și investigare incidente.
Comunicare administrativă: trimitere parole noi, invitații cont, notificări despre instanțele alocate.
Asistență tehnică: răspuns la solicitări support trimise pe office@elba.ro.
Îmbunătățirea Serviciului: analiză agregată anonimă a utilizării (fără urmărire individuală).

4. Baza legală a prelucrării

Conform GDPR Art. 6, prelucrăm datele dumneavoastră în baza:

Executării unui contract (Art. 6(1)(b)) — pentru furnizarea Serviciului ce face obiectul relației contractuale ELBA — client.
Interesului legitim (Art. 6(1)(f)) — pentru audit, securitate, prevenire fraudă.
Consimțământului explicit (Art. 6(1)(a)) — pentru push notifications și fotografii voluntare.
Obligației legale (Art. 6(1)(c)) — pentru păstrarea jurnalelor conform legii.

5. Cu cine partajăm datele

Datele dumneavoastră NU sunt vândute, închiriate sau partajate cu terți în scop comercial. Le partajăm exclusiv cu:

Furnizor de hosting — server dedicat în România (datacenter cu certificare ISO 27001).
Apple Push Notification Service (APNS) — pentru notificări iOS, doar token-uri tehnice anonime.
Firebase Cloud Messaging (Google) — pentru notificări Android, doar token-uri tehnice anonime.
Autorități publice — strict la cerere legală motivată (instanță, parchet, ANSPDCP).

Transfer extra-UE: Apple și Google sunt entități cu sediul în SUA. Transferurile către aceste platforme sunt acoperite de Standard Contractual Clauses (SCC) aprobate de Comisia Europeană și sunt limitate la token-uri anonime push.

6. Cât timp păstrăm datele

Tip date	Perioadă păstrare
Cont utilizator activ	Cât timp este activ contul + 30 zile după ștergere
Jurnale audit (system_log, audit_log)	5 ani (obligație legală)
Fotografii (issue reports)	5 ani sau până la ștergerea contului asociat instanței
Sesiuni active (cookies, token-uri)	Maxim 30 zile inactivitate, apoi expirare automată
Push tokens	Până la dezactivare notificări sau dezinstalare app

7. Securitatea datelor

Implementăm măsuri tehnice și organizatorice pentru protejarea datelor:

Criptare în tranzit prin TLS 1.2+ (HTTPS forțat).
Parole hash-uite cu bcrypt (cost factor 12).
Token-uri sesiune cu expirare automată și CSRF protection.
Acces la baza de date limitat la administratori autorizați (single sign-on).
Backup criptat zilnic, restaurat trimestrial pentru verificare integritate.
Audit log imutabil (append-only) pentru toate acțiunile critice.

8. Drepturile dumneavoastră (GDPR)

Aveți următoarele drepturi conform GDPR:

Dreptul la informare (Art. 13-14) — această Politică satisface obligația noastră.
Dreptul de acces (Art. 15) — obțineți o copie a tuturor datelor pe care le deținem despre dumneavoastră.
Dreptul la rectificare (Art. 16) — corectați datele inexacte sau incomplete.
Dreptul la ștergere ("dreptul de a fi uitat") (Art. 17) — solicitați ștergerea datelor.
Dreptul la restricționare (Art. 18) — opriți temporar prelucrarea datelor.
Dreptul la portabilitate (Art. 20) — primiți datele în format JSON exportabil.
Dreptul de opoziție (Art. 21) — vă opuneți prelucrării bazate pe interes legitim.
Dreptul de a nu fi supus deciziilor automate (Art. 22) — nu folosim profilare automată.

Pentru exercitarea acestor drepturi, contactați-ne la privacy@elba.ro. Vom răspunde în maxim 30 de zile calendaristice.

9. Ștergerea contului (Apple App Store cerință)

Conform cerinței Apple App Store §5.1.1(v), oferim posibilitatea ștergerii contului direct din aplicație și de pe web.

Pentru a șterge contul:

Din aplicația ELBA Light: Profil → Setări → "Șterge cont" → confirmă.
De pe web: autentificați-vă pe qr.elba.ro → Setări → "Șterge cont definitiv".
Prin email: trimiteți o cerere semnată la privacy@elba.ro de pe adresa contului.

După ștergere: contul este dezactivat imediat, iar datele personale sunt anonimizate în 30 zile (cu excepția jurnalelor audit care sunt păstrate 5 ani conform legii).

10. Cookie-uri și tehnologii similare

Folosim un număr minim absolut necesar de cookie-uri:

PHPSESSID — sesiune autentificare (HTTPOnly, Secure, SameSite=Lax). Expiră la închidere browser.
elba_csrf — token anti-CSRF pentru protecție formulare. Expiră la 24h.
elba_auth_token — token persistent pentru aplicația mobilă (KeyChain iOS / EncryptedSharedPreferences Android). Expiră la 30 zile inactivitate.

Nu folosim cookie-uri de tracking, advertising, sau third-party analytics.

11. Date privind copiii

Serviciul este destinat exclusiv profesioniștilor adulți (administratori sistem, electricieni, primării). Nu colectăm conștient date de la persoane sub 18 ani. Dacă identificați o astfel de situație, contactați-ne imediat pentru ștergere.

12. Modificări ale acestei Politici

Putem actualiza periodic această Politică. Modificările esențiale vor fi comunicate prin:

Email către toți utilizatorii cu cont activ (cu 30 zile înainte de aplicare).
Notificare in-app la următoarea autentificare.
Banner vizibil pe qr.elba.ro/privacy.

Versiunea curentă și data ultimei modificări sunt afișate în partea de sus a acestei pagini.

13. Reclamații și autorități

Dacă considerați că drepturile dumneavoastră au fost încălcate, puteți depune o reclamație la:

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)

B-dul G-ral. Gheorghe Magheru 28-30, sector 1, București, cod poștal 010336

Email: anspdcp@dataprotection.ro

Web: www.dataprotection.ro

14. Contact

Întrebări sau solicitări legate de confidențialitate:

Email DPO: privacy@elba.ro

Email general: office@elba.ro

Adresă: Strada Hermann Oberth nr. 10, 410605 Timișoara, România