Politica de Confidențialitate

1. Operator de Date cu Caracter Personal

Operatorul de date cu caracter personal este:

• Denumire: ACE HOURS S.R.L.
• CUI: 3159071
• Sediu social: Str. Luigi Cazzavillan nr. 9A, Sector 1, București, România
• Telefon: +40 746 675 717
• Email contact GDPR: contact@elisara.ro
• Website: www.elisara.ro

Pentru orice întrebări sau solicitări privind prelucrarea datelor personale, ne puteți contacta la adresele de mai sus.

2. Ce Date Colectăm

2.1. Date de identificare și contact

• Nume și prenume
• Adresă de email
• Număr de telefon
• Adresă (opțional, pentru facturare sau livrare)
• CNP (doar dacă este necesar pentru servicii specifice)

2.2. Date privind contul de utilizator

• Parola (stocată criptat)
• Preferințe de notificare
• Istoricul rezervărilor
• Preferințe pentru servicii și terapeuți

2.3. Date medicale și de sănătate (Categorie specială - Art. 9 GDPR)

ATENȚIE: Datele medicale sunt considerate "date sensibile" conform GDPR și sunt prelucrate cu garanții suplimentare.

• Afecțiuni medicale relevante pentru serviciile de masaj
• Contraindicații medicale
• Alergii la produse utilizate în tratamente
• Medicamente administrate care pot influența tratamentul
• Istoricul tratamentelor efectuate

Temei legal: Art. 9(2)(h) GDPR - prelucrare necesară pentru furnizarea de asistență medicală, evaluarea capacității de muncă și gestionarea sistemelor și serviciilor de asistență medicală sau socială.

2.4. Date financiare

• Informații de facturare (nume firmă, CUI, adresă)
• Istoricul achizițiilor și plăților
• Date card bancar (prelucrate prin procesatori autorizați, nu stocăm datele complete ale cardului)

2.5. Date tehnice și de utilizare

• Adresa IP
• Tip de browser și dispozitiv
• Sistem de operare
• Pagini vizitate și durata vizitei
• Cookies și tehnologii similare (vezi secțiunea 8)

3. Temeiurile Legale pentru Prelucrare (Art. 6 GDPR)

3.1. Executarea contractului (Art. 6(1)(b) GDPR)

Prelucrăm datele personale pentru:

• Gestionarea rezervărilor și programărilor
• Prestarea serviciilor de masaj și wellness
• Comunicare cu clienții privind programările
• Procesarea plăților

3.2. Obligație legală (Art. 6(1)(c) GDPR)

Prelucrăm datele pentru a respecta obligațiile legale:

• Legislație fiscală și contabilă: Păstrarea documentelor contabile și fiscale pentru 10 ani (conform Legii contabilității nr. 82/1991 și Codului fiscal)
• Emiterea facturilor fiscale conform Codului fiscal
• Raportări către autorități (ANAF, ANPC, etc.)

3.3. Consimțământ (Art. 6(1)(a) GDPR)

Pentru anumite activități, solicităm consimțământul explicit:

• Trimiterea de comunicări marketing (newsletter, oferte speciale)
• Notificări WhatsApp pentru programări (opțional)
• Utilizarea cookies non-esențiale (analytics, marketing)

Puteți retrage consimțământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimțământului înainte de retragere.

3.4. Interese legitimate (Art. 6(1)(f) GDPR)

Prelucrăm date pe baza intereselor noastre legitime pentru:

• Îmbunătățirea serviciilor și experienței utilizatorilor
• Securitatea sistemelor informatice
• Prevenirea fraudelor
• Apărarea drepturilor în instanță

4. Scopurile Prelucrării

Datele personale sunt prelucrate pentru următoarele scopuri:

4.1. Prestarea serviciilor

• Gestionarea rezervărilor și programărilor
• Prestarea serviciilor de masaj și wellness
• Personalizarea tratamentelor conform nevoilor medicale
• Asigurarea siguranței și sănătății clienților

4.2. Comunicare cu clienții

• Confirmări de rezervare prin email/SMS
• Reminder-uri pentru programări
• Notificări despre modificări sau anulări
• Răspunsuri la întrebări și solicitări

4.3. Procesarea plăților

• Prelucrarea tranzacțiilor
• Emiterea facturilor
• Gestionarea rambursărilor
• Prevenirea fraudelor financiare

4.4. Marketing (cu consimțământ)

• Trimiterea de newsletter-e
• Oferte personalizate și promoții
• Programe de loialitate
• Sondaje de satisfacție

4.5. Conformitate legală

• Respectarea obligațiilor fiscale și contabile
• Răspunsuri la solicitări ale autorităților
• Apărarea drepturilor în instanță

4.6. Îmbunătățirea serviciilor

• Analiză și statistici (anonimizate)
• Îmbunătățirea website-ului și experienței utilizatorului
• Dezvoltarea de noi servicii

5. Perioada de Păstrare a Datelor

Păstrăm datele personale doar cât timp este necesar pentru îndeplinirea scopurilor pentru care au fost colectate sau conform obligațiilor legale.

5.1. Date contractuale și fiscale

10 ANI de la încheierea relației contractuale (conform Legii contabilității nr. 82/1991 și Codului fiscal)

IMPORTANT: Aceste date NU pot fi șterse la cerere din motive de obligație legală fiscală.

5.2. Date medicale

10 ANI de la ultima prestare de servicii (conform legislației privind evidența medicală și pentru apărarea eventualelor reclamații)

IMPORTANT: Datele medicale NU pot fi șterse din motive de protecție a sănătății publice și apărare în justiție.

5.3. Date marketing

• Până la retragerea consimțământului sau până la închiderea contului
• Newsletter: până la dezabonare
• Consimțământ cookies: conform setărilor browserului

5.4. Date cont utilizator

• Cât timp contul este activ sau până la solicitarea ștergerii
• După ștergerea contului, datele sunt arhivate conform obligațiilor fiscale (10 ani)

5.5. Date tehnice (log-uri, IP)

• 6-12 luni pentru securitate și depanare
• Până la 10 ani pentru prevenirea fraudelor și apărare în justiție

5.6. Date anulări și rambursări

10 ANI de la efectuarea rambursării (conform Legii contabilității nr. 82/1991 și Codului fiscal)

IMPORTANT: Aceste date NU pot fi șterse din motive de obligație legală fiscală și contabilă:

• Înregistrări de anulare rezervări: 10 ani
• Date tranzacții de rambursare: 10 ani (inclusiv detalii despre suma rambursată, taxe aplicate, metoda de rambursare)
• Dispute privind plăți/rambursări: Până la rezolvarea disputei + 3 ani suplimentari pentru apărare în justiție
• Istoric modificări rezervări: 10 ani (pentru audit și conformitate fiscală)

Datele de rambursare includ: suma originală plătită, cuponul promoțional folosit (dacă există), suma taxei de anulare, suma rambursată, metoda de rambursare, data procesării și motivul anulării/rambursării.

7. Destinatari ai Datelor (Art. 28 GDPR - Împuternicți)

Pentru prestarea serviciilor, putem divulga datele personale următorilor destinatari (împuterniciți):

7.1. Procesatori de plăți

• Furnizori de servicii de procesare a cardurilor (procesatori de plăți autorizați)
• Bănci și instituții financiare

Garanții: Toți procesatorii sunt conformi cu PCI-DSS și GDPR.

7.2. Furnizori de servicii IT

• Servicii de hosting și cloud computing
• Furnizori de email și SMS
• Platforme de gestionare a rezervărilor
• Servicii de backup și arhivare

7.3. Servicii de contabilitate și consultanță juridică

• Contabili și consultanți fiscali
• Avocați și consilieri juridici

7.4. Autorități publice

În cazuri speciale, putem fi obligați să dezvăluim date către:

• ANAF (Agenția Națională de Administrare Fiscală)
• ANPC (Autoritatea Națională pentru Protecția Consumatorilor)
• Instanțe judecătorești
• Poliție/Parchet (în cazuri de investigații penale)

7.5. Contracte de prelucrare (Art. 28 GDPR)

Toți împuternicitul noștri (procesatori) sunt obligați contractual să:

• Respecte GDPR și legislația aplicabilă
• Implementeze măsuri tehnice și organizatorice adecvate
• Prelucreze datele doar conform instrucțiunilor noastre
• Nu subcontracteze fără autorizare scrisă
• Asiste în exercitarea drepturilor persoanelor vizate

8. Cookies și Tehnologii Similare

8.1. Ce sunt cookies?

Cookies-urile sunt fișiere text de mici dimensiuni stocate pe dispozitivul tău atunci când vizitezi un website. Acestea permit website-ului să recunoască dispozitivul tău și să memoreze anumite informații despre preferințele sau acțiunile tale.

8.2. Tipuri de cookies utilizate

A. Cookies esențiale (necesare)

Nu necesită consimțământ

• Autentificare și sesiune utilizator
• Coș de cumpărături și rezervări
• Securitate și prevenirea fraudelor
• Preferințe de limbă

Durată: Sesiune sau până la 1 an

B. Cookies funcționale

Necesită consimțământ

• Memorarea preferințelor (ex: terapeut preferat)
• Setări de accesibilitate
• Personalizarea interfeței

Durată: Până la 1 an

C. Cookies de analiză și performanță

Necesită consimțământ

• Google Analytics (trafic, comportament utilizatori)
• Statistici de utilizare (anonimizate)
• Îmbunătățirea performanței website-ului

Durată: Până la 2 ani

D. Cookies de marketing

Necesită consimțământ

• Remarketing și publicitate targetată
• Social media (Facebook, Instagram)
• Măsurarea eficienței campaniilor

Durată: Până la 2 ani

8.3. Gestionarea cookies

Poți gestiona preferințele pentru cookies prin:

• Banner de consimțământ afișat la prima vizită
• Setările browserului: Poți bloca sau șterge cookies din setările browserului
• Panoul de preferințe din contul tău

NOTĂ: Blocarea cookies-urilor esențiale poate afecta funcționalitatea website-ului (ex: nu te vei putea autentifica).

9. Transferuri Internaționale de Date

În principiu, datele personale sunt stocate și prelucrate în România și Uniunea Europeană/Spațiul Economic European (UE/SEE).

În cazuri excepționale (ex: servicii cloud cu servere globale), datele pot fi transferate în afara UE/SEE doar dacă:

• Țara de destinație asigură un nivel adecvat de protecție (decizie de adecvare UE)
• Există garanții adecvate (Clauze Contractuale Standard aprobate de Comisia Europeană)
• Furnizorul respectă un mecanism de certificare aprobat (ex: EU-U.S. Data Privacy Framework)

Pentru informații detaliate despre transferurile internaționale, ne puteți contacta la contact@elisara.ro.

10. Măsuri de Securitate

Implementăm măsuri tehnice și organizatorice adecvate pentru protecția datelor personale împotriva pierderii, accesului neautorizat, dezvăluirii sau distrugerii:

10.1. Măsuri tehnice

• Criptare: Datele sensibile sunt criptate în tranzit (SSL/TLS) și în repaus
• Parolele: Sunt stocate folosind algoritmi de hash securizați (bcrypt/Argon2)
• Firewall și sisteme de detectare a intruziunilor
• Backup-uri regulate și plan de recuperare în caz de dezastru
• Actualizări de securitate regulate pentru software-ul utilizat
• Monitorizare continuă a sistemelor pentru activități suspecte

10.2. Măsuri organizatorice

• Acces restricționat: Doar personalul autorizat are acces la datele personale
• Confidențialitate: Angajații semnează clauze de confidențialitate
• Training GDPR: Personal instruit în protecția datelor
• Politici și proceduri interne pentru gestionarea datelor
• Evaluări periodice ale riscurilor și securității

10.3. Limitarea accesului

Accesul la datele personale este acordat pe principiul "need-to-know" (necesitatea de a cunoaște) și doar personalului care are nevoie de aceste date pentru îndeplinirea sarcinilor de serviciu.

11. Notificarea Încălcărilor de Date (Data Breach)

În cazul unei încălcări de securitate a datelor personale care poate prezenta un risc pentru drepturile și libertățile tale:

11.1. Notificare către ANSPDCP

• Vom notifica ANSPDCP în termen de 72 de ore de la luarea la cunoștință
• Notificarea va include natura încălcării, categoriile și numărul de persoane afectate, consecințele posibile și măsurile luate

11.2. Notificare către persoanele afectate

• Dacă încălcarea prezintă un risc ridicat pentru drepturile tale, te vom notifica direct
• Notificarea va include descrierea încălcării, consecințele posibile și măsurile de protecție pe care le poți lua

11.3. Măsuri de atenuare

Vom lua imediat măsuri pentru:

• Limitarea impactului încălcării
• Recuperarea datelor
• Prevenirea încălcărilor viitoare
• Asistarea persoanelor afectate

12. Date despre Minori

Serviciile noastre sunt destinate persoanelor cu vârsta de minimum 16 ani.

Nu colectăm în mod intenționat date personale de la minori sub 16 ani fără consimțământul părinților sau tutorelui legal. Pentru minori între 16-18 ani, serviciile pot fi rezervate de părinți/tutori.

Dacă descoperim că am colectat din greșeală date de la un minor fără consimțământ adecvat, vom șterge aceste informații cât mai curând posibil.

13. Modificări ale Politicii de Confidențialitate

Ne rezervăm dreptul de a actualiza această Politică de Confidențialitate pentru a reflecta modificările în practicile noastre sau cerințele legale.

În cazul modificărilor semnificative:

• Vom actualiza data ultimei modificări
• Vom publica noua versiune pe website
• Vom notifica clienții prin email (pentru modificări majore)

Versiunea actualizată intră în vigoare de la data publicării. Îți recomandăm să consulți periodic această pagină pentru a fi la curent cu modul în care protejăm datele tale.

14. Link-uri către Site-uri Terțe

Website-ul nostru poate conține link-uri către website-uri terțe (ex: social media, parteneri). Nu suntem responsabili pentru practicile de confidențialitate ale acestor site-uri.

Îți recomandăm să citești politicile de confidențialitate ale fiecărui website pe care îl vizitezi.

15. Contact și Exercitarea Drepturilor

15.1. Date de contact GDPR

Pentru orice întrebări sau solicitări privind datele personale:

• Email: contact@elisara.ro
• Telefon: +40 746 675 717
• Adresă poștală: Str. Luigi Cazzavillan nr. 9A, Sector 1, București, România
• Program: Luni - Vineri: 9:00 - 20:00, Sâmbătă: 10:00 - 18:00

15.2. Autoritatea de supraveghere

Dacă consideri că drepturile tale au fost încălcate, poți depune o plângere la: