Această politică intră în vigoare la data de 31 mai 2025.

Rezumat

Această Politică de Confidențialitate descrie modul în care SeedByte SRL (“noi”, “nostru” sau “SeedByte SRL”), operatorul aplicației Cardora, colectează, utilizează, stochează și protejează datele personale ale utilizatorilor (“dumneavoastră” sau “utilizatori”) pe site-ul https://cardora.ro/ și în cadrul sistemului nostru de loialitate destinat afacerilor mici și mijlocii din România. SeedByte SRL nu gestionează tranzacții financiare; cu toate acestea, colectăm și procesăm date de identificare (nume, e-mail, număr de telefon) ale clienților care dețin carduri de loialitate, precum și informații despre afacerile care utilizează platforma (denumire firmă, locații, detalii de contact). În conformitate cu Regulamentul (UE) 2016/679 (GDPR), ne angajăm să asigurăm transparența modului în care aceste date sunt prelucrate și să garantăm drepturile utilizatorilor privind confidențialitatea.

---

1. Definiții și Principii Generale

1.1 Definiții

• Date cu caracter personal: orice informație referitoare la o persoană fizică identificată sau identificabilă (ex.: nume, adresă de e-mail, număr de telefon).
• Operator de date: entitatea care stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal (în acest caz, SeedByte SRL).
• Date furnizate direct de utilizator: datele pe care le oferiți voluntar (de exemplu, atunci când vă înscrieți în programul de loialitate).
• Utilizator: orice persoană fizică (client de afacere) sau reprezentant al unei firme (proprietar/administrator al afacerii și/sau angajat) care interacționează cu aplicația Cardora sau cu site-ul https://cardora.ro/.
• Card de loialitate (Loyalty Card): card digital stocat în Google Wallet sau Apple Wallet care conține puncte/stemple de loialitate pentru clienți.

1.2 Principii ale prelucrării datelor

1. Legalitate, Echitate și Transparență Datele cu caracter personal sunt prelucrate legal, echitabil și transparent vizavi de persoana vizată.
2. Limitarea Scopului Colectăm date doar pentru scopurile specificate (gestionarea cardurilor de loialitate, comunicare cu utilizatorii, îmbunătățirea serviciilor Cardora).
3. Minimizarea Datelor Prelucrăm doar datele strict necesare pentru îndeplinirea scopurilor de mai sus.
4. Exactitate Ne străduim să menținem datele corecte și actualizate; utilizatorii pot solicita în orice moment rectificarea informațiilor inexacte.
5. Limitarea Duratei de Stocare Păstrăm datele numai pe durata necesară îndeplinirii scopurilor în care au fost colectate, respectând termenele legale și de business.
6. Integritate și Confidențialitate Implementăm măsuri tehnice și organizatorice adecvate pentru a asigura securitatea datelor (autentificare, criptare, backup regulat, control al accesului).

---

2. Date colectate și modalități de colectare

2.1 Date ale clienților (deținători de carduri de loialitate)

• Nume și prenume: furnizat de utilizator la înscrierea în programul de loialitate.
• Adresă de e-mail: pentru comunicări legate de cardul de loialitate, notificări promoționale și confirmări de recompense.
• Număr de telefon (opțional): utilizat pentru SMS de bun-venit sau notificări legate de recompense.
• Identificator unic al cardului de loialitate (ex.: cod QR sau ID generat automat): stocat în baza de date pentru a lega tranzacțiile și punctele de loialitate de utilizator.
• Istoricul tranzacțiilor de loialitate: puncte/stemple obținute și răscumpărate, locația în care s-au efectuat.

2.1.1 Modalități de colectare

• Formular de înscriere online: la crearea contului în aplicația Cardora sau la solicitarea cardului digital prin site.
• Scanare QR în magazine: datele se înregistrează automat atunci când un utilizator prezintă cardul și clerk-ul efectuează operațiunea de adăugare/stingere de puncte.
• Înregistrări manuale de către comercianti: atunci când clientul nu are acces la card în momentul tranzacției, se pot introduce manual datele esențiale (nume, e-mail, telefon).
• Interacțiuni prin API: aplicații mobile sau site-ul business-urilor integrate care transmit automat informații de tranzacții către Cardora.

2.2 Date ale afacerilor (clienți B2B)

• Denumirea firmei: numele oficial al afacerii care se înscrie pentru serviciile Cardora.
• CUI (Cod Unic de Identificare): pentru facturare și verificarea legală, necesar înscrierii ca afacere în platformă.
• Adresă sediu social și adrese puncte de lucru: utilizate pentru a genera coduri QR pentru fiecare locație și pentru geo-push (geo-notificări).
• Date de contact ale reprezentantului: nume, e-mail, telefon ale persoanei de contact la SeedByte SRL (administrator de platformă) sau ale reprezentantului firmei (administrator, manager).
• Logo/branding (opțional): pentru personalizarea cardurilor digitale și trimiterea de notificări cu identitate vizuală a firmei.
• Configurări program loialitate: tipul de card (stemple, discount, cashback), reguli de acumulare/răscumpărare, perioade de expirare.
• SeedByte, prin servicile Cardora, nu colecteaza sau proceseaza date de tip card de credit/debit sau tranzactii financiare. Plata pentru serviciile Cardora se face prin intermediul furnizorilor de servicii de plata online sau prin transfer bancar.

2.2.1 Modalități de colectare

• Formular de înregistrare business online: când proprietarul sau administratorul firmei completează datele firmei pe https://app.cardora.ro/.
• Încărcare fișiere (imagini) în dashboard: logo, seturi de imagini pentru carduri și materiale promoționale.
• Import date din fișiere CSV/XLSX: atunci când business-ul dorește să migreze date dintr-un sistem existent către Cardora.

2.3 Rolul operatorului și persoanei împuternicite

• Operator de date (pentru clienții finali): Fiecare afacere care utilizează platforma Cardora este operator de date pentru informațiile privind cardul de loialitate și tranzacțiile asociate clienților săi.
• Persoană împuternicită (processor): SeedByte SRL acționează ca persoană împuternicită pentru aceste date, furnizând exclusiv infrastructura tehnică necesară gestionării și prelucrării lor, fără a decide scopurile sau mijloacele procesării datelor clienților finali.

2.4 Date de utilizare și tehnice

• Adresă IP: colectată automat la fiecare acces la site, pentru securitate și analize (limitare abuzuri, detectare fraudă).
• Cookie-uri și tehnologii similare:
  • Cookie-uri esențiale: pentru autentificare și menținerea sesiunii în aplicația Cardora.
  • Cookie-uri de analiză: pentru a înțelege modul de navigare pe site (Google Analytics), doar cu consimțământ explicit.
• Jurnal de evenimente (log-uri): data/ora accesului, tipul de acțiune (scanare card, adăugare puncte, răscumpărare recompense, modificări de configurări).

---

3. Scopurile prelucrării și temeiul legal

3.1 Scopuri primare

1. Gestionarea programului de loialitate prin aplicația Cardora
   • Crearea, actualizarea și stocarea profilului clienților (informații personale minime).
   • Înregistrarea și urmărirea punctelor/stempelelor și recompenselor.
   • Generarea și actualizarea cardurilor digitale pentru Google Wallet și Apple Wallet, livrate prin Cardora.
2. Comunicare cu utilizatorii și business-urile
   • Transmiterea notificărilor privind punctele acumulate, recompense disponibile și promoții.
   • Servirea mesajelor de bun-venit, notificărilor de aniversare, oferte speciale prin e-mail, SMS sau push.
   • Gestionarea solicitărilor de asistență clienți (e-mail, telefon) prin intermediul SeedByte SRL.
3. Administrarea afacerilor (B2B) prin dashboard-ul Cardora
   • Furnizarea instrumentelor de configurare pentru reguli de loialitate, vizualizare rapoarte și export date.
   • Contact pentru suport tehnic și facturare de către SeedByte SRL, în calitate de operator al platformei Cardora.
4. Îmbunătățirea serviciilor și analiză
   • Analiza statistică a utilizării platformei (număr de tranzacții, răscumpărări, utilizatori activi/inactivi).
   • Îmbunătățirea funcționalităților, detectarea și prevenirea fraudei prin monitorizarea log-urilor și a traficului.
5. Conformitate legală și fiscală
   • Păstrarea evidențelor în scopuri de audit și raportare financiară pentru business-uri, conform legislației românești.
   • Respectarea cerințelor legale privind stocarea și arhivarea datelor conform GDPR și reglementărilor locale.

3.2 Temeiul legal pentru prelucrare

• Executarea unui contract: Prelucrăm date ca să putem oferi serviciile de loialitate business-urilor care au achizitionat un pachet de servicii Cardora de la SeedByte SRL, acceptand Termenii și Condițiile Cardora.
• Consimțământ:
  • Colectăm și folosim date tehnice și de tip cookie (analiză, marketing) doar după obținerea consimțământului explicit al utilizatorilor.
  • Utilizatorii/clienții pot retrage în orice moment consimțământul pentru cookie-uri neesențiale și marketing.
• Îndeplinirea unei obligații legale: Păstrăm datele în scopuri de raportare fiscală și audit, conform legislației românești și GDPR.
• Interesele legitime ale operatorului: Prelucrarea datelor (ex.: adresă IP, log-uri) pentru a asigura securitatea platformei, prevenirea fraudei și îmbunătățirea serviciilor Cardora.

---

4. Divulgarea și partajarea datelor

4.1 Terți și parteneri

• Furnizori de servicii de hosting și infrastructură: pentru găzduirea serverelor, backup și securitate fizică (ex.: Amazon Web Services, Google Cloud Platform).
• Platforme de notificări push: Firebase Cloud Messaging (FCM) pentru a trimite notificări către dispozitivele mobile.
• Producători de portofele digitale: Google Wallet și Apple Wallet pentru generarea și distribuirea cardurilor digitale Cardora.
• Servicii de analiză web: Google Analytics sau alte instrumente similare pentru colectarea datelor tehnice și de utilizare (numai cu consimțământ).
• Servicii de plati online: Stripe, Netopia sau alte instrumente similare pentru procesarea tranzactiilor de plata.
• Servicii de e-mail și SMS: SendGrid sau alți furnizori pentru trimiterea de comunicări legate de programul de loialitate.

4.2 Afișarea datelor clienților către afaceri

• Pentru afacerile care folosesc Cardora pentru a-și gestiona programele de loialitate, anumite informații despre clienți sunt afișate direct business-ului respectiv în dashboard-ul platformei, cu scopul de a permite acestei afaceri să administreze și să monitorizeze programul de loialitate – inclusiv vizualizarea informațiilor despre propriii clienți așa cum au fost colectate și înregistrate prin Cardora.
• Acest acces la informațiile clienților este limitat la informațiile necesare pentru administrarea programului și respectă cerințele de confidențialitate și securitate prevăzute de legislația aplicabilă.
• Pentru afacerile (clienți B2B) care folosesc Cardora, SeedByte SRL acționează ca persoană împuternicită (processor) în sensul GDPR, iar relația de prelucrare a datelor este guvernată de Acordul de Prelucrare a Datelor (DPA) – Anexa 1 la Termenii de Folosire.

4.3 Divulgări legale și transferuri internaționale

• Autorități publice: în condițiile prevăzute de lege (de exemplu, la solicitare judiciară, audit fiscal etc.), SeedByte SRL poate fi obligată să furnizeze datele cu caracter personal solicitate de autoritățile competente.
• Transferuri internaționale: Datele pot fi transferate în afara Spațiului Economic European numai dacă furnizorii terți asigură un nivel adecvat de protecție (clauze contractuale standard, decizie de adecvare a Comisiei Europene).

4.4 Păstrarea și ștergerea datelor și anonimizare

• Durata de păstrare:
  • Datele utilizatorilor (clienți): păstrate atâta timp cât contul Cardora este activ și ulterior conform politicilor de retenție (ex.: clienții inactivi mai mult de 24 luni pot fi anonimizați sau șterși).
  • Datele afacerilor (client B2B): păstrate pe durata colaborării cu SeedByte SRL și ulterior conform reglementărilor fiscale (minimum 5 ani).
  • Datele tehnice (log-uri, IP): păstrate pentru maximum 12 luni, cu excepția situațiilor excepționale de securitate sau audit.
• Dreptul de ștergere (“dreptul de a fi uitat”): Utilizatorii pot solicita ștergerea completă a datelor personale prin intermediul paginii de contact sau a opțiunilor din contul Cardora. SeedByte SRL va îndeplini cererea în termen de 30 de zile, cu excepția cazurilor în care există obligații legale să păstrăm datele mai mult.
• Anonimizare: Datele istorice pot fi anonimizate (eliminarea elementelor de identificare personală) pentru a fi păstrate în scop statistic sau de analiză, fără a putea fi asociate cu o persoană fizică.

---

5. Drepturile persoanelor vizate și exercitarea drepturilor

5.1 Dreptul de acces

Aveți dreptul de a solicita o confirmare dacă datele dumneavoastră personale sunt prelucrate și de a obține o copie a acestora.

5.2 Dreptul la rectificare

Aveți dreptul să cereți corectarea oricăror date inexacte sau completarea datelor incomplete.

5.3 Dreptul la ștergere (Dreptul de a fi uitat)

Aveți dreptul să solicitați ștergerea datelor cu caracter personal atunci când:

• Datele nu mai sunt necesare în scopul pentru care au fost colectate.
• Ați retras consimțământul, iar procesarea nu se bazează pe alt temei legal.
• Ați demonstrat că datele au fost prelucrate ilegal.

5.4 Dreptul la restricționarea prelucrării

Puteți solicita restricționarea prelucrării datelor în anumite situații (de exemplu, contestați exactitatea datelor personale).

5.5 Dreptul la portabilitatea datelor

În anumite situații, aveți dreptul să primiți datele personale care vă privesc, într-un format structurat, utilizat frecvent și care poate fi citit automat, și aveți dreptul să transmiteți aceste date către un alt operator de date.

5.6 Dreptul de a vă opune prelucrării datelor

Vă puteți opune prelucrării datelor în scopuri de marketing direct, precum și în baza interesului legitim al operatorului, pentru motive legate de situația dvs. particulară.

5.7 Dreptul de retragere a consimțământului

Dacă prelucrarea datelor se bazează pe consimțământ, îl puteți retrage în orice moment, fără a afecta legalitatea prelucrării înainte de retragere.

5.8 Dreptul de a depune plângere la autoritate

Dacă considerați că drepturile dumneavoastră au fost încălcate, aveți dreptul să depuneți o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) în România.

---

6. Măsuri Tehnice și Organizatorice de Securitate

1. Criptarea Datelor
   • Toate comunicările între utilizatori și site (interacțiuni prin browser/API) sunt protejate prin TLS (HTTPS).
   • Cardora nu stocheaza date sensibile (cum ar fi parole), autentificarea se face prin utilizarea direct de catre utilizator a serviciilor Google, Apple sau Facebook.
2. Controlul Accesului
   • Acces limitat la baza de date numai pentru persoanele autorizate (administratorii de sistem și echipa de suport IT din cadrul SeedByte SRL).
   • Autentificare în două etape (2FA) pentru conturile de administrare și clerk, dacă se solicită.
3. Backup și Recuperare
   • Realizăm backup periodic al bazelor de date și al fișierelor critice.
   • Proceduri documentate de recuperare după dezastru (restore) testate anual.
4. Monitorizare și Audit
   • Înregistrăm log-uri pentru acțiunile sensibile (autentificări, modificări ale configurației afacerilor, ștergeri de date).
   • Supervisăm periodic pentru a detecta tentative de acces neautorizat sau comportamente anormale.
5. Formare și Conștientizare
   • Operatorii SeedByte SRL sunt instruiți periodic cu privire la bune practici de securitate și confidențialitate a datelor.
   • Sunt desfășurate campanii interne de conștientizare privind phishing-ul și alte amenințări cibernetice.

---

7. Utilizarea Cookie-urilor și Tehnologii Similare

7.1 Tipuri de Cookie-uri

1. Cookie-uri Strict Necesare
   • Permit funcționarea corectă a aplicației Cardora (gestionarea sesiunii, autentificare).
   • Nu necesită consimțământ explicit.
2. Cookie-uri de Performanță / Analiză
   • Colectează informații anonime despre modul în care vizitatorii utilizează site-ul (pagini vizualizate, interacțiuni, timpul petrecut).
   • Exemple: Google Analytics
   • Necesită consimțământ prealabil; utilizatorii pot refuza în orice moment.
3. Cookie-uri de Marketing / Publicitate
   • Folosite pentru a urmări vizitatorii pe diferite site-uri în scopuri de afișare de reclame relevante.
   • Nu sunt setate fără consimțământ explicit.

7.2 Gestionarea Cookie-urilor

• La prima accesare a site-ului, daca folosim cookie-uri neesențiale, afișăm un banner de consimțământ pentru cookie-uri, oferind opțiunea de a accepta sau refuza cookie-urile neesențiale.
• Utilizatorii pot modifica preferințele privind cookie-urile prin link-ul "Setări cookie" din footer-ul site-ului.

---

8. Transferuri Internaționale de Date

Dacă furnizorii noștri de servicii (de ex.: Stripe, Google, Apple) se află în afara Spațiului Economic European, analizăm conformitatea acestora cu GDPR și asigurăm un nivel adecvat de protecție prin:

• Clauze contractuale standard (Standard Contractual Clauses) aprobate de Comisia Europeană.
• Transferuri către țări cu decizie de adecvare a Comisiei Europene.

---

9. Actualizări ale Politicii de Confidențialitate

• Putem actualiza această Politică de Confidențialitate periodic (ex.: odată cu modificări ale serviciilor Cardora, legislației sau practicilor interne ale SeedByte SRL).
• Orice modificare semnificativă va fi comunicată utilizatorilor prin e-mail și/sau prin afișarea unei notificări la următoarea autentificare în aplicația Cardora.
• Data ultimei actualizări este afișată în partea de sus a documentului.

---

10. Contact și Informații Suplimentare

Pentru întrebări, solicitări privind exercitarea drepturilor în temeiul GDPR sau preocupări legate de politica noastră de confidențialitate, ne puteți contacta la:

• Denumire Operator date: SeedByte SRL
• E-mail: contact@seedbyte.eu
• Responsabil cu Protecția Datelor (DPO): dpo@seedbyte.eu

Opțiunea dumneavoastră de a vă exercita drepturile include accesul la copie, rectificarea, ștergerea, restricționarea prelucrării, portabilitatea datelor și depunerea unei plângeri la ANSPDCP.

---