Salt la continut

GDPR Conform

Politica de Confidențialitate

Această politică descrie modul în care VISTERIA WEB SRL colectează, utilizează și protejează datele dumneavoastră cu caracter personal în cadrul platformei B-ONE, în conformitate cu Regulamentul (UE) 2016/679 (GDPR) și legislația națională de implementare.

📅 Ultima actualizare: 1 Aprilie 2026 🇪🇺 GDPR Conformă 📄 Versiunea 1.0

1 Identitatea operatorului de date

Operatorul de date cu caracter personal, în înțelesul art. 4 alin. (7) GDPR, este:

VISTERIA WEB SRL
CUI: 38709965
Nr. Reg. Com.: J20/18000049323
Sediu social: Str. Valea Adâncă 9, Ap. 1, Mediaș, Județul Sibiu, Cod 551060, România
Email: suport@visteria.ro
Telefon: 0740 432 898
Website: biserica.one

VISTERIA WEB SRL operează platforma B-ONE ca serviciu SaaS (Software as a Service), destinat organizațiilor religioase, și determină scopul și mijloacele prelucrării datelor cu caracter personal ale utilizatorilor platformei.

În ceea ce privește datele membrilor bisericilor introduse în platformă de administratorii de cont, relația juridică privind protecția datelor poate fi, după caz, una de operator-împuternicit (VISTERIA WEB SRL acționând ca împuternicit al bisericii, în calitate de operator) sau co-operator, în funcție de circumstanțele specifice. Această relație este reglementată prin Acordul de Prelucrare a Datelor disponibil la cerere.

2 Responsabilul cu protecția datelor (DPO)

VISTERIA WEB SRL a desemnat un punct de contact pentru toate aspectele legate de protecția datelor cu caracter personal:

Contact protecția datelor: suport@visteria.ro
Vă rugăm să includeți în subiectul emailului mențiunea „GDPR / Protecția datelor" pentru prioritizarea solicitărilor.

3 Categorii de date cu caracter personal colectate

3.1 Date de cont (utilizatori-administratori)

  • Adresă de email — utilizată pentru autentificare, notificări și comunicare;
  • Parolă — stocată exclusiv în formă hash (bcrypt), niciodată în text clar;
  • Nume și prenume — pentru identificarea utilizatorului în platformă;
  • Datele organizației (numele bisericii, adresă, CIF dacă există) — pentru configurarea tenantului.

3.2 Date ale membrilor bisericilor

Acestea sunt introduse în platformă de administratorii de cont în beneficiul organizației religioase pe care o reprezintă:

  • Date de identificare: nume și prenume, dată naștere, sex, CNP (opțional);
  • Date de contact: număr de telefon, adresă de email, adresă poștală;
  • Date despre familie: relații de rudenie, stare civilă, membri de familie;
  • Date spirituale: data botezului, data convertirii, confesiune, apartenența la grupă, implicare în ministere — categorizate ca date privind credințele religioase (date speciale conform art. 9 GDPR), prelucrate exclusiv pe baza consimțământului explicit al persoanei vizate sau în temeiul unei excepții aplicabile;
  • Date de prezență: participarea la serviciile divine, înregistrate prin sistemul QR.

3.3 Date financiare

  • Tranzacții financiare ale organizației (încasări și plăți);
  • Facturi emise și primite;
  • Datele de cont bancar ale organizației religioase (nu ale membrilor individuali);
  • Date transmise la ANAF prin serviciul eFactura (facturi electronice), care pot include date ale partenerilor comerciali ai organizației.

3.4 Date tehnice

  • Adresa IP — pentru securitate, prevenirea abuzurilor și jurnalizare;
  • User-Agent (tipul browserului și sistemul de operare);
  • Cookie-uri de sesiune (PHPSESSID, csrf_token) — strict necesare pentru funcționarea platformei;
  • Jurnale de acces (log-uri) — pentru diagnosticare și securitate.

3.5 Date QR și prezență

  • Timestamp-uri ale scanărilor codurilor QR;
  • Identificatorul de eveniment/serviciu la care s-a înregistrat prezența;
  • Identificatorul membrului asociat scanării.

4 Scopul prelucrării și temeiul legal (art. 6 GDPR)

Scop Date prelucrate Temei legal (art. 6 GDPR)
Furnizarea serviciilor platformei B-ONE Date de cont, date organizație Art. 6 alin. (1) lit. b) — executarea contractului
Autentificarea utilizatorilor și securitatea sesiunilor Email, parolă hash, cookie-uri sesiune, IP Art. 6 alin. (1) lit. b) — executarea contractului; lit. f) — interes legitim (securitate)
Gestionarea registrului de membri al organizației Date de identificare, contact, familie ale membrilor Art. 6 alin. (1) lit. b) — executarea contractului (cu organizația religioasă)
Prelucrarea datelor spirituale (religioase) Date botez, conversie, implicare Art. 9 alin. (2) lit. a) — consimțământ explicit; sau art. 9 alin. (2) lit. d) — activitate legitimă organizație religioasă
Evidența financiară a organizației Tranzacții, facturi, conturi bancare Art. 6 alin. (1) lit. b) — contract; lit. c) — obligație legală (contabilitate)
Emiterea facturilor electronice (ANAF eFactura) Date facturi, date parteneri comerciali Art. 6 alin. (1) lit. c) — obligație legală (Legea 227/2015, OUG 120/2021)
Înregistrarea prezenței la servicii divine (QR) Date QR, timestamp-uri, ID-uri membri Art. 6 alin. (1) lit. b) — contract; sau consimțământ
Trimiterea notificărilor și comunicărilor Adresă email Art. 6 alin. (1) lit. b) — contract; lit. f) — interes legitim
Diagnosticare, securitate și prevenirea abuzurilor IP, user-agent, log-uri acces Art. 6 alin. (1) lit. f) — interes legitim
Îndeplinirea obligațiilor fiscale și contabile proprii Date de facturare ale clienților plătitori Art. 6 alin. (1) lit. c) — obligație legală

5 Durata stocării datelor

Categorie de date Durata stocării
Date de cont (email, parolă, profil utilizator) Pe durata existenței contului + 30 de zile după ștergere
Date membri (introduse de organizație) Pe durata existenței contului organizației + 30 de zile
Date financiare și facturi Minimum 10 ani de la data documentului (obligație legală — Legea contabilității nr. 82/1991)
Jurnale de acces (log-uri) 90 de zile
Date QR / prezență Pe durata existenței contului organizației
Cookie-uri de sesiune 2 ore de inactivitate sau până la deconectare
Date facturare clienți B-ONE (pentru obligații fiscale proprii) 10 ani conform legislației fiscale

La expirarea perioadei de stocare, datele sunt șterse în mod irevocabil sau anonimizate, cu excepția cazului în care o obligație legală impune păstrarea lor pentru o perioadă mai lungă.

6 Destinatarii datelor — transferul către terți

VISTERIA WEB SRL nu vinde și nu comercializează datele cu caracter personal. Datele pot fi transmise sau accesate de:

6.1 Destinatari cu obligație legală

  • ANAF (Agenția Națională de Administrare Fiscală) — în cadrul integrării eFactura, facturile electronice ale organizațiilor sunt transmise la ANAF conform obligațiilor legale impuse de OUG 120/2021 și reglementările ulterioare. Această transmitere constituie o obligație legală în temeiul art. 6 alin. (1) lit. c) GDPR.
  • Autorități publice — la solicitarea scrisă a autorităților competente (poliție, parchet, instanțe), în condițiile legii.

6.2 Furnizori de servicii (împuterniciți)

  • Furnizor de hosting/infrastructură cloud — serverele pe care rulează platforma B-ONE. Se asigură că furnizorii prelucrează datele exclusiv pe baza instrucțiunilor VISTERIA WEB SRL și oferă garanții adecvate de securitate;
  • Furnizori de servicii email tranzacțional — pentru trimiterea notificărilor și confirmărilor din platformă.

6.3 Terți neautorizați

Datele nu sunt transmise terților în scopuri de marketing, publicitate sau orice alt scop incompatibil cu cele pentru care au fost colectate, fără consimțământul explicit al persoanei vizate.

7 Transferuri internaționale de date

VISTERIA WEB SRL procesează și stochează datele preponderent pe servere situate în Uniunea Europeană. În cazul utilizării unor servicii terțe (de ex. Google Fonts prin CDN) care pot implica transferuri de date în afara SEE, ne asigurăm că există garanții adecvate conform Capitolului V GDPR (Decizie de adecvare, Clauze Contractuale Standard).

8 Securitatea datelor

VISTERIA WEB SRL implementează măsuri tehnice și organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva accesului neautorizat, pierderii, modificării sau divulgării. Printre măsurile implementate se numără:

  • Criptare AES-256 pentru token-urile sensibile și datele stocate ce impun confidențialitate ridicată;
  • HTTPS/TLS — toate comunicațiile dintre browser și server sunt criptate prin protocol TLS;
  • Parole hash — parolele utilizatorilor sunt stocate exclusiv în formă hash bcrypt, cu salt aleatoriu;
  • Token-uri CSRF — protecție împotriva atacurilor Cross-Site Request Forgery pentru toate formularele;
  • Sesiuni securizate — cookie-uri de sesiune cu flag HttpOnly și Secure; expirare automată la 2 ore de inactivitate;
  • Izolarea datelor (multi-tenancy) — datele fiecărei organizații sunt strict separate la nivel de bază de date, prevenind accesul încrucișat;
  • Backup periodic — copii de siguranță ale datelor cu recuperare în caz de incident;
  • Principiul accesului minim — utilizatorii accesează exclusiv datele organizației proprii.

Nicio măsură de securitate nu este absolută. Deși depunem toate eforturile rezonabile pentru securizarea datelor, nu putem garanta securitatea absolută a oricărui sistem informatic. Vă încurajăm să utilizați parole complexe, să nu partajați datele de autentificare și să deconectați sesiunea după utilizare.

9 Drepturile persoanelor vizate

În conformitate cu GDPR, orice persoană vizată ale cărei date sunt prelucrate de VISTERIA WEB SRL beneficiază de următoarele drepturi:

Dreptul de acces (art. 15)

Dreptul de a obține o copie a datelor personale prelucrate și informații despre prelucrare.

Dreptul la rectificare (art. 16)

Dreptul de a solicita corectarea datelor inexacte sau completarea celor incomplete.

Dreptul la ștergere (art. 17)

Dreptul de a solicita ștergerea datelor („dreptul de a fi uitat"), în condițiile și cu excepțiile prevăzute de GDPR.

Dreptul la restricționare (art. 18)

Dreptul de a solicita limitarea prelucrării datelor în anumite circumstanțe prevăzute de GDPR.

Dreptul la portabilitate (art. 20)

Dreptul de a primi datele furnizate într-un format structurat, uzual și lizibil automat.

Dreptul la opoziție (art. 21)

Dreptul de a vă opune prelucrării bazate pe interesul legitim al operatorului.

Retragerea consimțământului

Dreptul de a retrage consimțământul în orice moment, fără a afecta legalitatea prelucrării anterioare.

Dreptul de a depune plângere

Dreptul de a depune plângere la ANSPDCP (Autoritatea Națională) dacă considerați că drepturile vă sunt încălcate.

9.1 Modalitatea de exercitare a drepturilor

Drepturile se pot exercita prin:

  • Secțiunile dedicate din cadrul platformei (export date, ștergere cont);
  • Transmiterea unei cereri scrise la adresa de email suport@visteria.ro, cu mențiunea „Exercitare drepturi GDPR";
  • Transmiterea unei solicitări la sediul social al VISTERIA WEB SRL.

Solicitările vor fi soluționate în cel mult 30 de zile calendaristice de la primire. În cazuri complexe, termenul poate fi prelungit cu maximum 60 de zile, cu notificarea prealabilă a solicitantului.

9.2 Autoritatea de supraveghere

Dacă considerați că drepturile dumneavoastră au fost încălcate, aveți dreptul de a depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP):

  • Website: www.dataprotection.ro
  • Email: anspdcp@dataprotection.ro
  • Adresă: B-dul G-ral Gheorghe Magheru 28-30, Sector 1, București

10 Cookie-uri

Platforma B-ONE utilizează cookie-uri strict necesare pentru funcționarea serviciilor (cookie de sesiune PHPSESSID și token CSRF), precum și cookie-uri funcționale opționale (preferința temă dark/light). Nu utilizăm cookie-uri de publicitate sau tracking terț.

Detalii complete despre cookie-urile utilizate, durata lor și modalitățile de control sunt disponibile în Politica de Cookies, care face parte integrantă din prezentul document.

11 Prelucrarea datelor minorilor

Platforma B-ONE nu este destinată utilizatorilor cu vârsta sub 18 ani în calitate de titulari de cont. Cu toate acestea, în cadrul gestionării membrilor unei comunități religioase, pot fi introduse date ale persoanelor minore (copii ai membrilor).

Prelucrarea datelor minorilor în platformă se efectuează exclusiv cu consimțământul expres al părinților sau reprezentanților legali, în sarcina exclusivă a administratorului de cont al organizației religioase respective. VISTERIA WEB SRL nu poartă răspundere pentru nerespectarea acestei obligații de către utilizatorii platformei.

12 Încălcarea securității datelor

În cazul unui incident de securitate care implică date cu caracter personal și care prezintă un risc pentru drepturile și libertățile persoanelor vizate, VISTERIA WEB SRL va:

  1. notifica ANSPDCP în cel mult 72 de ore de la constatarea încălcării, conform art. 33 GDPR;
  2. informa fără întârziere nejustificată persoanele vizate afectate în cazul în care incidentul prezintă un risc ridicat pentru drepturile și libertățile lor, conform art. 34 GDPR;
  3. documenta intern toate incidentele de securitate, indiferent de gravitate, conform art. 33 alin. (5) GDPR.

Notificarea persoanelor vizate va include cel puțin: descrierea naturii incidentului, categoriile și numărul aproximativ de persoane afectate, măsurile luate sau propuse pentru remedierea situației.

13 Modificarea politicii

VISTERIA WEB SRL poate actualiza prezenta politică în orice moment, cu notificarea utilizatorilor prin email și/sau prin afișarea unui anunț în platformă. Data ultimei actualizări este afișată în antetul documentului.

Continuarea utilizării platformei după data intrării în vigoare a modificărilor constituie acceptul noii versiuni a politicii. Recomandăm revizuirea periodică a prezentului document.

14 Contact și exercitarea drepturilor

Pentru orice întrebări, solicitări sau plângeri legate de prelucrarea datelor cu caracter personal, vă rugăm să ne contactați:

VISTERIA WEB SRL — Responsabil Protecția Datelor
Email: suport@visteria.ro (subiect: „GDPR / Protecția datelor")
Telefon: 0740 432 898 (Luni–Vineri, 09:00–18:00)
Adresă: Str. Valea Adâncă 9, Ap. 1, Mediaș, Jud. Sibiu, 551060, România

VISTERIA WEB SRL — Str. Valea Adâncă 9, Ap. 1, Mediaș, Jud. Sibiu, 551060 — CUI 38709965 — suport@visteria.ro — 0740 432 898