Politica de confidențialitate și de protecție a datelor cu caracter personal

Ultima actualizare

1. Operatorul de date

Construction Team este o platformă cloud pentru gestionarea proiectelor de construcții, furnizată ca serviciu (SaaS). În sensul Regulamentului (UE) 2016/679 (GDPR), operatorul de date este persoana juridică identificată în secțiunea 17 din prezenta politică.

  • Operatorul stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal colectate prin intermediul Platformei.
  • Atunci când un Client (persoană juridică) utilizează Platforma pentru a gestiona date privind angajații, subcontractanții sau partenerii săi, Clientul acționează în calitate de operator independent pentru aceste date, iar Construction Team acționează în calitate de persoană împuternicită de operator în sensul art. 28 din GDPR.
  • Raportul dintre Construction Team și Client în calitate de persoană împuternicită este reglementat printr-un Acord de prelucrare a datelor (DPA), care face parte integrantă din contractul de abonament.

2. Definiții

În sensul prezentei Politici de confidențialitate:

  • "Date cu caracter personal" -- orice informație referitoare la o persoană fizică identificată sau identificabilă (persoana vizată).
  • "Prelucrare" -- orice operațiune efectuată asupra datelor cu caracter personal: colectare, înregistrare, organizare, structurare, stocare, adaptare, extragere, consultare, utilizare, divulgare, ștergere sau distrugere.
  • "Persoana vizată" -- o persoană fizică ale cărei date cu caracter personal sunt prelucrate (utilizatori, angajați ai clienților, persoane de contact ale partenerilor).
  • "Persoana împuternicită de operator" -- o persoană care prelucrează date cu caracter personal în numele operatorului.
  • "Sub-împuternicit" -- un terț căruia persoana împuternicită i-a delegat o parte din prelucrare.
  • "Încălcarea securității datelor cu caracter personal" -- o încălcare care conduce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul la datele cu caracter personal.

3. Domeniul de aplicare și aplicabilitate

Prezenta Politică de confidențialitate se aplică:

  • Tuturor persoanelor fizice care vizitează site-ul web constructionteam.app.
  • Utilizatorilor care își creează un cont și utilizează Platforma.
  • Persoanelor de contact ale persoanelor juridice -- clienți, furnizori și parteneri ale căror date sunt introduse în Platformă.
  • Persoanelor fizice care ne contactează prin intermediul formularului de contact, prin e-mail sau prin alte canale.
  • Angajaților și reprezentanților societăților client ale căror date sunt prelucrate în temeiul contractului de abonament.

Prezenta Politică nu se aplică datelor anonimizate sau agregate care nu permit identificarea unei persoane fizice.

4. Categoriile de date cu caracter personal pe care le colectăm

4.1. Date de identificare și de contact

În cursul înregistrării și utilizării Platformei, colectăm:

  • Numele și prenumele utilizatorului.
  • Adresa de e-mail profesională.
  • Numărul de telefon (dacă este furnizat).
  • Denumirea societății, numărul de înregistrare și adresa entității client.
  • Funcția/rolul în cadrul organizației.

4.2. Date tehnice

Colectate în mod automat la accesarea Platformei:

  • Adresa IP și localizarea geografică aproximativă (la nivel de țară/oraș).
  • Tipul și versiunea browserului, sistemul de operare.
  • Identificatorii dispozitivului.
  • Data, ora și durata sesiunilor.
  • Paginile și funcționalitățile vizitate.

4.3. Date comerciale

În cursul utilizării Platformei, pot fi prelucrate următoarele:

  • Date din facturi, contracte, oferte și alte documente introduse de Client.
  • Numele și datele de contact ale angajaților, subcontractanților și partenerilor introduse de Client.
  • Informații financiare (conturi bancare, sume facturate) introduse de Client.
  • Date privind șantierele de construcții, antemăsurătorile și inventarul.

Important: Pentru datele comerciale introduse de Client, Clientul este operatorul de date. Construction Team prelucrează aceste date exclusiv pe baza instrucțiunilor Clientului și în temeiul Acordului de prelucrare a datelor.

4.4. Date de plată

Pentru procesarea plăților aferente abonamentului:

  • Construction Team NU stochează numerele complete ale cardurilor bancare.
  • Plățile sunt procesate de un operator de plăți certificat (Stripe), care respectă standardele PCI DSS Level 1.
  • Stocăm exclusiv: ultimele 4 cifre ale cardului, tipul cardului, data expirării și identificatorul tranzacției.

5. Scopurile și temeiurile juridice ale prelucrării

Prelucrăm date cu caracter personal numai atunci când există un temei juridic valabil în conformitate cu art. 6 alin. (1) din GDPR:

5.1. Executarea unui contract (art. 6 alin. (1) lit. (b))

  • Crearea și gestionarea conturilor de utilizator.
  • Furnizarea serviciului de abonament și a asistenței tehnice.
  • Procesarea plăților și emiterea facturilor.
  • Comunicarea privind serviciul (notificări de sistem, modificări ale termenilor).

5.2. Interes legitim (art. 6 alin. (1) lit. (f))

Sub rezerva unui test de proporționalitate care asigură faptul că interesul nostru nu prevalează asupra drepturilor persoanei vizate:

  • Îmbunătățirea Platformei prin analizarea utilizării (date agregate).
  • Asigurarea securității -- detectarea accesului neautorizat, a abuzurilor și a atacurilor cibernetice.
  • Prevenirea fraudelor și a utilizării abuzive a serviciului.
  • Raportarea internă și auditarea.

5.3. Obligație legală (art. 6 alin. (1) lit. (c))

  • Păstrarea documentelor contabile în conformitate cu Legea contabilității (10 ani).
  • Furnizarea de date atunci când acest lucru este impus prin lege sau prin dispoziția unei autorități competente.
  • Îndeplinirea obligațiilor fiscale.

5.4. Consimțământ (art. 6 alin. (1) lit. (a))

Doar atunci când nu se aplică niciun alt temei juridic:

  • Transmiterea comunicărilor de marketing și a buletinelor informative (cu dreptul de a renunța în orice moment).
  • Utilizarea modulelor cookie opționale pentru analiză și publicitate.
  • Participarea la sondaje de satisfacție și la studii.

Consimțământul poate fi retras în orice moment, fără a afecta legalitatea prelucrării efectuate înainte de retragere.

6. Module cookie și tehnologii de urmărire

Utilizăm următoarele categorii de module cookie:

6.1. Strict necesare (nu necesită consimțământ)

  • Module cookie de sesiune pentru autentificare și menținerea sesiunii utilizatorului.
  • Module cookie pentru protecția CSRF (securitatea formularelor).
  • Module cookie pentru memorarea preferințelor lingvistice.

6.2. De analiză (cu consimțământ)

  • Google Analytics -- pentru analiza traficului și a comportamentului vizitatorilor.
  • Analiză internă -- pentru îmbunătățirea experienței utilizatorului.

6.3. Gestionarea modulelor cookie

Puteți gestiona modulele cookie prin intermediul setărilor browserului dumneavoastră sau prin bannerul de module cookie afișat la prima vizită. Dezactivarea modulelor cookie strict necesare poate afecta funcționalitatea Platformei.

7. Perioada de păstrare a datelor

Păstrăm datele cu caracter personal numai atât timp cât este necesar pentru scopul în care au fost colectate:

  • Datele contului -- până la încetarea abonamentului, plus 30 de zile pentru exportul datelor.
  • Datele comerciale ale Clientului -- până la încetarea contractului, plus 30 de zile pentru export, după care sunt șterse definitiv.
  • Documentele contabile -- 10 ani, în conformitate cu Legea contabilității.
  • Jurnalele de securitate -- până la 12 luni.
  • Consimțământul de marketing -- până la retragerea acestuia de către persoana vizată.
  • Datele din formularul de contact -- până la 6 luni de la soluționarea solicitării.
  • Copiile de rezervă -- până la 90 de zile, după care sunt suprascrise automat.

După expirarea perioadelor de păstrare, datele sunt șterse sau anonimizate în mod ireversibil. În caz de litigiu sau cerere de natură juridică, datele pot fi păstrate până la finalizarea definitivă a procedurii.

8. Divulgarea datelor către terți

Nu vindem, nu închiriem și nu comercializăm date cu caracter personal. Divulgăm date numai în următoarele situații:

8.1. Sub-împuterniciți

Apelăm la furnizori de servicii de încredere pentru furnizarea serviciului, cu care am încheiat acorduri în temeiul art. 28 din GDPR:

  • Găzduire și infrastructură -- pentru stocarea datelor pe servere situate în UE.
  • Servicii de plată (Stripe) -- pentru procesarea plăților aferente abonamentului.
  • Servicii de e-mail -- pentru transmiterea e-mailurilor de sistem și tranzacționale.
  • Prelucrare AI (OpenAI) -- pentru recunoașterea inteligentă a documentelor (a se vedea secțiunea 12).
  • Monitorizare și urmărirea erorilor -- pentru asigurarea stabilității serviciului.

8.2. Cerințe legale

Putem divulga date cu caracter personal atunci când acest lucru este impus de:

  • Legislația aplicabilă sau un act normativ.
  • O hotărâre judecătorească sau un act al unei autorități competente.
  • Apărarea drepturilor, proprietății sau siguranței Construction Team, a utilizatorilor săi sau a publicului.

9. Transferul internațional de date

Datele dumneavoastră sunt stocate pe servere situate în Uniunea Europeană.

  • Atunci când transferul în afara SEE este necesar (de exemplu, către sub-împuterniciți din SUA), asigurăm un nivel adecvat de protecție prin intermediul Clauzelor contractuale standard (CCS) aprobate de Comisia Europeană (Decizia 2021/914).
  • Prelucrarea AI (OpenAI) poate implica transferul în SUA. OpenAI este certificată în cadrul EU-US Data Privacy Framework și aplică măsuri tehnice suplimentare de protecție.
  • Înainte de fiecare transfer, efectuăm o Evaluare a impactului transferului (Transfer Impact Assessment - TIA), în conformitate cu orientările EDPB.
  • O listă a sub-împuterniciților și a localizărilor acestora este disponibilă, la cerere, la adresa info@constructionteam.app.

10. Drepturile dumneavoastră în temeiul GDPR

În temeiul Regulamentului (UE) 2016/679, beneficiați de următoarele drepturi:

Dreptul de acces (art. 15)

Aveți dreptul de a obține confirmarea faptului că datele dumneavoastră cu caracter personal sunt prelucrate, accesul la acestea, precum și informații privind scopurile, categoriile de date, destinatarii și perioada de păstrare.

Dreptul la rectificare (art. 16)

Aveți dreptul de a solicita rectificarea datelor cu caracter personal inexacte sau completarea celor incomplete, fără întârzieri nejustificate.

Dreptul la ștergere (art. 17)

Aveți dreptul de a solicita ștergerea datelor dumneavoastră cu caracter personal atunci când: datele nu mai sunt necesare pentru scopul pentru care au fost colectate; vă retrageți consimțământul; vă opuneți prelucrării; sau datele au fost prelucrate în mod ilegal. Acest drept nu se aplică atunci când prelucrarea este necesară pentru îndeplinirea unei obligații legale.

Dreptul la restricționare (art. 18)

Aveți dreptul de a solicita restricționarea prelucrării atunci când contestați exactitatea datelor, prelucrarea este ilegală sau v-ați opus prelucrării, până la efectuarea verificărilor necesare.

Dreptul la portabilitatea datelor (art. 20)

Aveți dreptul de a primi datele dumneavoastră într-un format structurat, utilizat în mod curent și care poate fi citit automat (JSON, CSV), precum și de a le transmite altui operator. Platforma pune la dispoziție o funcție de export al datelor din panoul de utilizator.

Dreptul la opoziție (art. 21)

Aveți dreptul de a vă opune prelucrării datelor întemeiate pe interes legitim. În cazul opoziției, vom înceta prelucrarea, cu excepția cazului în care demonstrăm motive legitime și imperioase care prevalează asupra intereselor dumneavoastră. Vă puteți opune oricând, necondiționat, prelucrării în scopuri de marketing direct.

Dreptul de a nu face obiectul unei decizii automatizate (art. 22)

Aveți dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrare automată, inclusiv crearea de profiluri, care produce efecte juridice cu privire la dumneavoastră. Construction Team nu adoptă decizii automatizate cu efecte juridice fără intervenție umană.

11. Exercitarea drepturilor dumneavoastră

Pentru a vă exercita oricare dintre drepturi, ne puteți contacta prin următoarele canale:

  • E-mail: info@constructionteam.app (cu subiectul "Solicitare GDPR").
  • Prin intermediul formularului de contact de la constructionteam.app/contact.
  • Prin scrisoare, la adresa indicată în secțiunea 17.

Pentru protecția dumneavoastră, vă putem solicita verificarea identității înainte de soluționarea cererii.

Răspundem la fiecare cerere în termen de 30 de zile. În caz de complexitate sau de cereri multiple, termenul poate fi prelungit cu maximum 60 de zile, situație despre care veți fi informat.

Exercitarea drepturilor dumneavoastră este gratuită. Pentru cererile vădit nefondate sau excesive (în special din cauza caracterului lor repetitiv), putem percepe o taxă rezonabilă sau putem refuza să dăm curs solicitării.

12. Prelucrarea prin inteligență artificială și luarea automatizată a deciziilor

Platforma utilizează inteligența artificială (AI) în următoarele scopuri:

  • Recunoașterea și extragerea automată a datelor din documentele scanate (facturi, antemăsurători, procese-verbale).
  • Asocierea inteligentă a elementelor de nomenclator prin intermediul vectorilor semantici (embeddings).
  • Sugestii pentru categorizarea și clasificarea documentelor.

Garanții privind prelucrarea AI

  • Rezultatele AI au întotdeauna caracter de sugestie -- decizia finală aparține utilizatorului, care examinează și aprobă/respinge rezultatele.
  • Nu se iau decizii automatizate cu efecte juridice sau semnificative fără intervenție umană.
  • Documentele transmise pentru prelucrare AI sunt prelucrate în timp real și nu sunt stocate de furnizorul AI pentru antrenarea modelelor.
  • Prelucrarea AI poate implica transferul datelor către un sub-împuternicit (OpenAI), astfel cum este descris în secțiunea 9.
  • Aveți dreptul de a solicita intervenția umană sau de a refuza prelucrarea AI în orice moment.

13. Protecția datelor începând cu momentul conceperii și în mod implicit

În conformitate cu art. 25 din GDPR, aplicăm principiile Data Protection by Design și by Default:

  • Minimizarea datelor -- colectăm numai datele necesare pentru scopul concret urmărit.
  • Izolarea datelor (multi-tenancy) -- datele fiecărui Client sunt strict izolate la nivel de bază de date. Niciun Client nu poate accesa datele altui Client.
  • Control al accesului bazat pe roluri (RBAC) -- fiecare utilizator are acces numai la datele pentru care deține drepturi, astfel cum sunt stabilite de Administratorul contului.
  • Criptare în mod implicit -- toate datele sunt criptate în tranzit (TLS 1.3) și în repaus.
  • Pistă de audit -- fiecare acțiune a utilizatorului este înregistrată în vederea trasabilității și răspunderii.
  • Pseudonimizare -- ori de câte ori este posibil, utilizăm identificatori interni în locul datelor cu caracter personal directe.

14. Măsuri tehnice și organizatorice de securitate

Aplicăm următoarele măsuri în conformitate cu art. 32 din GDPR:

14.1. Măsuri tehnice

  • Criptarea datelor în tranzit prin TLS 1.3 și HSTS.
  • Criptarea datelor în repaus (AES-256) pentru bazele de date și copiile de rezervă.
  • Autentificare cu mai mulți factori (MFA) pentru accesul administrativ.
  • Web Application Firewall (WAF) și protecție împotriva atacurilor DDoS.
  • Detectarea automată a anomaliilor și a activităților suspecte.
  • Scanări regulate de vulnerabilități și teste de penetrare.
  • Copii de rezervă automate și regulate, cu replicare geografică.

14.2. Măsuri organizatorice

  • Principiul privilegiului minim pentru accesul angajaților.
  • Instruirea personalului în domeniul protecției datelor.
  • Politica de gestionare a incidentelor privind datele cu caracter personal.
  • Revizuirea și actualizarea periodică a măsurilor de securitate.
  • Acorduri de confidențialitate cu toți angajații și subcontractanții.

15. Notificarea încălcărilor securității datelor

În cazul unei încălcări a securității datelor cu caracter personal:

  • Notificăm autoritatea de supraveghere competentă (Comisia pentru protecția datelor cu caracter personal - CPDP) în termen de 72 de ore de la luarea la cunoștință, atunci când încălcarea este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice (art. 33 din GDPR).
  • Informăm persoanele vizate afectate fără întârzieri nejustificate, atunci când încălcarea este susceptibilă să genereze un risc ridicat (art. 34 din GDPR).
  • Documentăm fiecare încălcare, inclusiv faptele, consecințele și măsurile corective adoptate.
  • Atunci când Construction Team acționează în calitate de persoană împuternicită, notificăm Clientul (operatorul) fără întârzieri nejustificate, astfel încât acesta să își poată îndeplini obligațiile de notificare.

16. Responsabilul cu protecția datelor (DPO)

Pentru orice întrebări legate de protecția datelor cu caracter personal, ne puteți contacta responsabilul cu protecția datelor:

  • E-mail: info@constructionteam.app
  • Subiect: "DPO / Protecția datelor"
  • Responsabilul cu protecția datelor analizează toate solicitările și cererile referitoare la prelucrarea datelor cu caracter personal și coordonează îndeplinirea drepturilor persoanelor vizate.

17. Dreptul de a depune o plângere și contactul cu autoritatea de supraveghere

Dacă apreciați că prelucrarea datelor dumneavoastră cu caracter personal încalcă GDPR, aveți dreptul de a depune o plângere la autoritatea de supraveghere:

Comisia pentru protecția datelor cu caracter personal (CPDP)

  • Adresă: Bd. Prof. Țvetan Lazarov nr. 2, Sofia 1592
  • Telefon: 02/91-53-518
  • E-mail: kzld@cpdp.bg
  • Site web: www.cpdp.bg

Vă recomandăm să ne contactați mai întâi la info@constructionteam.app, pentru soluționarea directă a problemei.

18. Datele copiilor

Construction Team este o platformă B2B destinată persoanelor juridice și angajaților acestora. Nu colectăm cu bună știință date cu caracter personal de la persoane sub 16 ani. În cazul în care constatăm că am colectat date de la un copil, le vom șterge imediat. Dacă apreciați că un copil a furnizat date cu caracter personal prin intermediul Platformei, vă rugăm să ne contactați la info@constructionteam.app.

19. Modificări ale Politicii de confidențialitate

Ne rezervăm dreptul de a actualiza prezenta Politică în cazul:

  • Modificărilor legislației aplicabile sau ale orientărilor autorității de supraveghere.
  • Modificărilor serviciilor, funcționalităților sau sub-împuterniciților.
  • Schimbărilor tehnologice care impun adaptarea măsurilor de protecție.
  • Recomandărilor rezultate din audituri sau evaluări de impact.

În cazul modificărilor substanțiale, vă vom notifica prin e-mail și/sau printr-o notificare în Platformă cu cel puțin 30 de zile în avans. Continuarea utilizării Platformei după intrarea în vigoare a modificărilor constituie acceptarea Politicii actualizate.

20. Legea aplicabilă și datele de contact

Prezenta Politică de confidențialitate este reglementată de Regulamentul (UE) 2016/679 (GDPR), de Legea bulgară privind protecția datelor cu caracter personal și de legislația europeană și națională aplicabilă.

Contact pentru solicitări privind protecția datelor:

  • E-mail: info@constructionteam.app
  • Site web: constructionteam.app
  • Subiect: "Protecția datelor cu caracter personal"

Utilizăm cookie-uri pentru a asigura buna funcționare a platformei și pentru a îmbunătăți experiența dvs. Aflați mai multe despre cookie-uri