Ultima actualizare: August 2025

Această Politică de confidențialitate explică modul în care Klaroo colectează, utilizează și protejează datele dumneavoastră cu caracter personal în conformitate cu Regulamentul (UE) 2016/679 (“GDPR”) și legislația națională aplicabilă. Vă asigurăm că tratăm confidențialitatea datelor cu seriozitate și transparență, luând toate măsurile necesare pentru protecția lor.

1. Cine suntem și cum ne puteți contacta

Klaroo (denumită în continuare “Klaroo” sau “noi”) este o platformă digitală B2B (www.klaroo.ro) ce oferă servicii automatizate și asistate pentru afaceri, inclusiv: înregistrări la Registrul Comerțului (ONRC), semnături electronice calificate prin parteneri autorizați, acces la documente și modele juridice, generare mandate avocațiale, identificare la distanță (video) prin terți autorizați și un marketplace de parteneri profesioniști (avocați, contabili, consultanți).

Operatorul platformei este: Dharma Innovation SRL, cu sediul în Mun. București, Sector 4, Str. Ciochină nr. 3, bl. 20, sc. 3, parter, ap. 30, România, identificata cu cod fiscal 37850795, Tel: 0722-591 665; E-mail: office@klaroo.ro, persoană juridică înregistrată în România (operatorul datelor cu caracter personal), denumit in continuare Operatorul sau Klaroo.

Pentru orice întrebări sau solicitări legate de protecția datelor cu caracter personal, ne puteți contacta la adresa de e-mail office@klaroo.ro. De asemenea, ne puteți trimite corespondență poștală la sediul nostru (vezi detalii de contact pe site). Vom răspunde solicitărilor dumneavoastră legate de datele personale în cel mai scurt timp, dar nu mai târziu de termenul legal (30 de zile).

 Desemnarea unui DPO: În prezent, nu avem desemnat un responsabil cu protecția datelor (DPO), întrucât activitățile noastre nu se încadrează în cazurile prevăzute de art. 37 GDPR. Dacă situația se va schimba (de ex., extindere către monitorizare sistematică la scară largă sau prelucrarea directă, pe scară largă, a datelor biometrice), vom actualiza această Politică și vom publica datele de contact ale DPO-ului.

2. Ce categorii de date colectăm

În cursul utilizării platformei și serviciilor Klaroo, putem colecta diferite categorii de date cu caracter personal, după cum urmează:

  • Date de identificare personală: nume, prenume, cod numeric personal (CNP), seria și numărul actului de identitate (CI/pașaport), data și locul nașterii, semnătura olografă (atunci când este necesară pe documente). Dacă utilizați serviciile noastre pentru înființarea sau modificarea unei firme, este posibil să ne furnizați și datele altor persoane implicate (de ex. asociați, administratori); vă rugăm să vă asigurați că aceste persoane au fost informate despre prezenta Politică înainte de a ne comunica datele lor.
  • Date de contact: adresa de domiciliu/reședință, adresa de e-mail, numărul de telefon mobil sau fix, precum și alte date de contact pe care ni le furnizați (de exemplu, dacă completați formulare de contact sau vă creați un cont pe platformă).
  • Date despre companie: în cazul în care reprezentați sau înființați o societate prin Klaroo, colectăm date ale entității juridice cum ar fi denumirea firmei, forma juridică, codul unic de identificare (CUI), numărul de înregistrare la Registrul Comerțului, sediul social, obiectul de activitate (CAEN) și alte informații necesare pentru documentele și formularele oficiale. Aceste date pot include și informații despre reprezentanții legali ai companiei (nume, prenume, CNP, serie CI etc., după caz).
  • Date de autentificare și securitate: identificatori pentru autentificare în platformă (nume de utilizator, parola – stocată în format criptat), token-uri sau ID-uri de sesiune, precum și jurnale de activitate și log-uri de acces (timestamp, adrese IP, tip dispozitiv, browser). Adresa IP și alți identificatori de dispozitiv sunt colectați automat la accesarea platformei, în scop de securitate și pentru a asigura funcționarea corectă a serviciilor.
  • Documente și date juridice furnizate: documentele completate sau încărcate prin platformă pot conține date personale. De exemplu, formularele și actele generate pentru înregistrarea la ONRC (act constitutiv, declarații, cereri), contracte sau mandate avocațiale, ori alte documente juridice pe care le completați prin Klaroo, vor include datele personale necesare (precum cele menționate mai sus). Aceste documente pot fi în format PDF și, odată ce sunt semnate electronic, vor conține și semnăturile digitale și eventual mărci de timp.
  • Date legate de semnătura electronică: atunci când utilizați facilitățile de semnătură electronică prin Klaroo, vom prelucra informații legate de certificatul digital calificat emis pe numele dumneavoastră de partenerii noștri (de ex. date din certificatul digital calificat, cum ar fi numele și prenumele, organizația, valabilitatea certificatului, numele furnizorului de servicii de încredere care a emis certificatul). De asemenea, stocăm loguri de semnare electronică (de exemplu, identificatorul documentului semnat, momentul semnării, adresa IP de la care s-a realizat semnarea și un hash/firma digitală a documentului) pentru a avea evidența tranzacțiilor de semnare și a putea verifica ulterior autenticitatea semnăturilor. Important: Klaroo nu stochează înregistrările video folosite la identificarea la distanță – aceste înregistrări rămân la terții autorizați care efectuează procesul de identificare (conform Secțiunii 4 de mai jos).
  • Date obținute prin identificarea la distanță (KYC): pentru a respecta obligațiile legale de cunoaștere a clientelei (Know-Your-Customer) și prevenire a spălării banilor, va fi necesară verificarea identității dumneavoastră la distanță, prin mijloace video. În acest scop, colaborăm cu parteneri terți autorizați (furnizori de servicii de încredere calificați) care vă vor solicita și verifica anumite date: imagini foto/video ale feței, imagini cu actul de identitate, precum și alte informații necesare conform Legii 129/2019. Aceste date de identificare ajung la Klaroo sub forma unui raport de verificare (de ex. confirmarea identității sau rezultatul procesului KYC) și eventual copia actului de identitate, însă înregistrarea video rămâne stocată exclusiv la furnizorul terț autorizat, nu la Klaroo.
  • Date suplimentare colectate automat: pe lângă cele de mai sus, putem colecta informații prin cookie-uri și tehnologii similare privind modul în care utilizați platforma (de ex. pagini vizitate, acțiuni efectuate, durata sesiunii, preferințe de limbă). Aceste date ne ajută să îmbunătățim serviciile și experiența de utilizare. Pentru detalii privind cookie-urile folosite, vă rugăm să consultați Politica noastră de Cookies (disponibilă pe site). În orice caz, astfel de date tehnice devin date personale doar dacă sunt asociate cu identitatea dumneavoastră sau cu un profil de utilizator identificat.
  • Minori. Serviciile noastre se adresează persoanelor cu vârsta de minimum 18 ani. Nu colectăm în mod intenționat date ale minorilor. Dacă aflăm că am colectat din greșeală astfel de date, le vom șterge fără întârziere.
  • Date speciale. Nu solicităm și nu dorim să prelucrăm categorii speciale de date (ex. sănătate, convingeri religioase/politice, date biometrice) decât dacă acest lucru este cerut de lege sau strict necesar pentru serviciul solicitat. Vă rugăm să nu introduceți astfel de informații în câmpuri libere sau documente încărcate, cu excepția cazurilor în care vi se solicită explicit și cu temei legal.

În general, colectăm datele direct de la dumneavoastră (atunci când completați formulare, vă creați cont, încărcați documente sau comunicați cu noi). În anumite situații, obținem date și din surse terțe sau publice: de exemplu, putem verifica anumite informații despre firma dumneavoastră în registre publice (ONRC, Ministerul Finanțelor), sau putem primi date de la partenerii noștri (cum ar fi confirmarea identității de la furnizorul de identificare video, ori date de la furnizorul de semnătură electronică calificată necesare emiterii certificatului digital). Atunci când primim date despre dumneavoastră de la terți, ne asigurăm că aceștia au dreptul legal de a le colecta și transmite (de exemplu, că v-ați dat consimțământul sau există un temei legal în acest sens).

Pentru detalii privind cookie-urile și tehnologii similare (categorii, durate, parteneri, opțiuni de consimțământ), consultați Politica de Cookie-uri disponibilă pe site. Preferințele se pot modifica oricând din bannerul de consimțământ.

3. Scopuri și temeiuri legale

Prelucrăm datele cu caracter personal numai în scopuri legitime, clar determinate, și în baza unui temei legal conform GDPR. În continuare, descriem principalele scopuri pentru care vă prelucrăm datele și temeiurile juridice aferente:

  • Furnizarea serviciilor Klaroo (executarea contractului): Prelucrăm datele pentru a vă oferi serviciile solicitate pe platforma noastră, la nivel optim și personalizat. Acest scop include:
    • Înregistrarea și administrarea contului de utilizator pe Klaroo;
    • Procesarea cererilor de înființare de firme și alte operațiuni ONRC (pregătirea documentelor oficiale, depunerea lor electronică etc.);
    • Generarea și furnizarea documentelor juridice și a șabloanelor (acte constitutive, contracte, mandate etc.) conform informațiilor furnizate;
    • Facilitarea semnării electronice a documentelor prin integrarea cu furnizorii de certificate calificate (inclusiv transmiterea datelor necesare emiterii certificatului și aplicării semnăturii pe documente);
    • Intermedierea contactului cu partenerii din marketplace (de ex. conectarea cu un avocat, contabil sau consultant ales de dumneavoastră, și transmiterea datelor relevante către acesta la cererea dumneavoastră);
    • Comunicarea cu dumneavoastră pe durata furnizării serviciilor (informații privind stadiul cererilor, transmiterea documentelor finale, asistență tehnică sau suport clienți).

Temeiul legal principal pentru aceste prelucrări este executarea contractului la care sunteți parte (art. 6 alin. (1) lit. b GDPR) – respectiv furnizarea serviciilor pe care le solicitați prin platforma Klaroo. Fără aceste date, nu am putea să ne îndeplinim obligațiile asumate față de dumneavoastră (de exemplu, nu am putea să înregistrăm firma la ONRC sau să vă punem la dispoziție documentele necesare).

  • Îndeplinirea obligațiilor legale (conformitate legală): Klaroo este obligată să aplice măsuri de cunoaștere a clientelei și prevenire a spălării banilor/finanțării terorismului, în baza legislației aplicabile (Legea nr. 129/2019). Astfel, vă vom prelucra datele de identitate pentru:
  • Verificarea identității la distanță (KYC): Datele colectate în procesul de identificare video sunt prelucrate pentru a vă confirma identitatea și a ne conforma cerințelor legale de verificare a clientului. Acest proces este impus de lege în anumite servicii (de ex. înființare de societăți, servicii juridice sau financiare) și reprezintă o obligație legală pentru noi (art. 6 alin. (1) lit. c GDPR). În acest context, putem fi considerați o entitate raportoare conform Legii 129/2019, având obligația de a păstra anumite informații (copii de acte, date de identitate) pe durata prevăzută de lege.
  • Conformarea cu reglementările eIDAS și legislația privind semnătura electronică: Atunci când facilităm emiterea de certificate digitale calificate și utilizarea semnăturilor electronice, acționăm în conformitate cu Regulamentul (UE) nr. 910/2014 (Regulamentul eIDAS) și cu legislația națională aferentă. Prelucrăm datele dumneavoastră de identificare și contact, precum și alte informații necesare, pentru ca partenerii noștri calificați (QTSP) să poată emite certificatul digital în numele dumneavoastră și pentru a asigura validitatea legală a documentelor semnate electronic. Aceasta constituie tot un temei de obligație legală sau de interes public (art. 6 alin. (1) lit. c) și e) GDPR) – întrucât utilizarea semnăturilor calificate este reglementată legal și recunoscută de autorități.
  • Obligații fiscale și contabile: Dacă tranzacționați cu noi (de exemplu, achiziționați un abonament sau plătiți taxe de registru prin intermediul platformei), vom prelucra datele necesare emiterii facturilor și evidenței contabile (nume, adresă, CNP pentru persoană fizică sau date firmă pentru persoană juridică). Aceste prelucrări sunt necesare pentru respectarea obligațiilor legale fiscale și contabile (art. 6 alin. (1) lit. c GDPR).
  • Interesele noastre legitime: În anumite situații, prelucrăm datele personale pentru a ne proteja interesele legitime sau pentru a îmbunătăți serviciile, asigurând însă că drepturile și libertățile dumneavoastră nu sunt afectate în mod negativ. Astfel de cazuri includ:
    • Asigurarea securității platformei și prevenirea fraudei: Putem monitoriza și analiza jurnalele de acces, adresele IP și activitatea contului pentru a detecta accesul neautorizat, tentative de fraudă, utilizarea abuzivă a serviciilor sau încălcări ale Termenilor și Condițiilor. Aceste prelucrări se bazează pe interesul nostru legitim de a proteja integritatea sistemelor și a datelor (art. 6 alin. (1) lit. f GDPR) și, implicit, securitatea informațiilor utilizatorilor noștri.
    • Îmbunătățirea serviciilor și dezvoltarea afacerii: Putem prelucra feedback-ul pe care ni-l oferiți, răspunsurile la sondaje opționale, sau putem analiza modul de utilizare a platformei (în mod agregat/anonimizat acolo unde este posibil) pentru a înțelege nevoile clienților și a aduce îmbunătățiri funcționalităților. De asemenea, putem folosi date statistice anonimizate pentru a dezvolta noi caracteristici și servicii. Aceste activități se desfășoară în temeiul interesului nostru legitim de a ne optimiza serviciile (art. 6 alin. (1) lit. f GDPR).
    • Comunicări privind serviciile în derulare: Pe durata relației contractuale, vom utiliza datele de contact (email, telefon) pentru a vă trimite notificări importante legate de serviciile pe care le folosiți – de exemplu, confirmări de înregistrare, alerte privind expirarea unui certificat digital, notificări despre actualizări ale platformei sau ale Termenilor și Condițiilor. Aceste comunicări necesare se bazează tot pe interesul nostru legitim de a administra relația cu clienții și de a asigura buna executare a contractului (art. 6 alin. (1) lit. f GDPR).
  • Marketing (cu consimțământul dumneavoastră): Ocazional, dorim să vă transmitem informații despre noi servicii Klaroo, oferte promoționale sau noutăți relevante pentru antreprenori. Vom folosi datele dumneavoastră de contact (precum adresa de e-mail sau telefonul) în scop de comunicări de marketing direct doar dacă avem consimțământul dumneavoastră prealabil (art. 6 alin. (1) lit. a GDPR). Vă puteți răzgândi și retrage consimțământul în orice moment, fie apăsând link-ul de dezabonare din emailurile primite, fie contactându-ne prin mijloacele menționate la Secțiunea 1. Retragerea consimțământului nu va afecta legalitatea prelucrărilor efectuate anterior. De asemenea, chiar dacă sunteți client al Klaroo, vă vom respecta opțiunile de opt-out și nu vă vom agresa cu comunicări comerciale nesolicitate.

Notă: În situația în care vom dori să prelucrăm datele dumneavoastră în alte scopuri decât cele pentru care au fost inițial colectate, vă vom informa în prealabil și, dacă este necesar, vă vom solicita consimțământul. De asemenea, nu folosim datele dumneavoastră personale pentru decizii automatizate individuale care să producă efecte juridice sau semnificative pentru dumneavoastră, fără intervenție umană. Orice profilare realizată (de exemplu, clasificarea solicitărilor pe baza riscului, în scop AML) servește exclusiv îndeplinirii obligațiilor legale sau intereselor legitime menționate și implică factor uman în decizia finală.

4. Destinatarii datelor

Respectăm caracterul confidențial al datelor și, în principiu, nu divulgăm informațiile personale către terți decât dacă acest lucru este necesar pentru furnizarea serviciilor, se realizează în interesul dumneavoastră sau avem obligația legală să o facem. Atunci când transmitem date unor terți, ne asigurăm că există garanții contractuale adecvate (de exemplu, acorduri de prelucrare a datelor) și că acești destinatari asigură la rândul lor protecția datelor. Categoriile de destinatari includ:

  • Furnizori de servicii de identificare și semnătură electronică (parteneri autorizați) Pentru a vă oferi servicii precum identificarea video la distanță și semnătura electronică calificată, colaborăm cu furnizori terți de încredere calificați (Qualified Trust Service Providers – QTSP) autorizați și înscriși în lista oficială a Autorității pentru Digitalizarea României (ADR). Acești parteneri (de exemplu, companii precum certSIGN, DigiSign, Namirial, Trans Sped sau alți furnizori calificați) prelucrează datele de identitate necesare emiterii certificatelor digitale și verificării identității. Concret, la inițierea procesului de obținere a semnăturii electronice, Klaroo transmite către furnizorul de certificat datele dumneavoastră (nume, prenume, CNP, e-mail, telefon și copia actului de identitate). Furnizorul realizează procesul de identificare (inclusiv înregistrarea video și capturarea imaginii actului). Înregistrarea video și datele biometrice capturate în timpul identificării sunt stocate exclusiv de furnizorul calificat, conform obligațiilor legale ce îi revin, și nu de către Klaroo. Furnizorul emitent al certificatului are calitatea de operator de date independent pentru informațiile respective și aplică propriile politici de confidențialitate, însă Klaroo are acces la rezultatul verificării (de ex. confirmarea identității) și la datele din certificatul emis, pe care le utilizează pentru a facilita semnarea documentelor. Toți acești furnizori acționează fie ca persoane împuternicite de Klaroo (când prelucrează datele strict conform instrucțiunilor noastre, de exemplu pentru identificare), fie ca operatori independenți (când emit certificate calificate în baza Regulamentului eIDAS). Ne asigurăm că parteneriatele noastre sunt încheiate exclusiv cu furnizori certificați, care respectă cerințele legale și standardele de securitate. La data publicării prezentei Politici de confidențialitate, furnizorul de semnătură electronică integrat în platforma Klaroo este Trans Sped S.A. Puteți consulta documentele aplicabile emise de Trans Sped la următoarele adrese oficiale:
  • Parteneri din marketplace (prestatori de servicii profesionale): Platforma Klaroo vă permite să intrați în contact cu terțe părți – de exemplu, avocați colaboratori, experți contabili, consultanți de business – pentru servicii adiționale. Dacă solicitați în mod explicit conectarea cu un astfel de partener (de exemplu, să fiți contactat de un avocat pentru consultanță juridică sau de un contabil pentru servicii de contabilitate), Klaroo va transmite către acel partener doar datele personale strict necesare realizării legăturii și demarării serviciului solicitat (cum ar fi numele dumneavoastră, datele de contact și detaliile relevante ale solicitării). Transmiterea se face în temeiul executării contractului la cererea dumneavoastră (facilitarea serviciului dorit) sau al consimțământului dumneavoastră implicit prin acea solicitare. Rețineți că partenerii din marketplace acționează ulterior ca operatori de date independenți pentru interacțiunile și serviciile pe care vi le furnizează direct. Klaroo nu își asumă controlul asupra modului în care acești parteneri prelucrează datele primite de la noi, însă ei au obligația să respecte la rândul lor GDPR. Vă încurajăm să solicitați și să consultați politicile de confidențialitate ale fiecărui partener, atunci când începeți o colaborare cu acesta, pentru a înțelege cum vă vor fi protejate datele în continuare.
  • Furnizori interni de servicii IT și operaționale (persoane împuternicite): Klaroo poate apela la terți furnizori pentru servicii de suport tehnic, găzduire a platformei (hosting și cloud computing), stocare de date, servicii de e-mail/SMS, servicii de analiză și altele asemenea. De exemplu, este posibil să folosim un serviciu de email third-party pentru a trimite notificări automate, sau să stocăm date pe infrastructură cloud în centre de date din UE. În aceste situații, furnizorii respectivi pot avea acces la anumite date cu caracter personal, însă doar în măsura necesară prestării serviciilor lor (de obicei ca persoane împuternicite care acționează conform instrucțiunilor noastre). Vom alege numai furnizori care oferă garanții serioase de securitate și confidențialitate (ex. certificări de securitate, conformitate cu GDPR) și vom încheia cu fiecare contracte de prelucrare a datelor conforme art. 28 GDPR.
  • Instituții publice și autorități: În anumite cazuri, avem obligația legală de a dezvălui date către autorități sau instituții publice. Exemple:
  • Oficiul Național al Registrului Comerțului (ONRC): pentru serviciile de înființare sau modificare firmă, vom transmite documentele ce conțin datele personale ale fondatorilor/reprezentanților către ONRC, în vederea procesării și eliberării actelor oficiale. ONRC devine destinatar al datelor prin chiar natura serviciului solicitat (înregistrarea unei firme implică depunerea datelor personale în registrele publice). Similar, dacă solicitați prin noi obținerea unor certificate constatatoare sau altor informații de la ONRC, datele necesare interogării (ex. CNP pentru certificatul constatator de persoană fizică) vor fi folosite în relația cu sistemele ONRC.
  • Autorități de aplicare a legii sau autorități de reglementare: dacă ni se solicită legal (de exemplu, prin citație, ordonanță, adresă oficială) să furnizăm date personale către organe de urmărire penală, instanțe judecătorești sau autorități de reglementare/supraveghere (cum ar fi Autoritatea Națională de Supraveghere a Prelucrării Datelor – ANSPDCP, Oficiul Național de Prevenire și Combatere a Spălării Banilor – ONPCSB, Agenția Națională de Administrare Fiscală – ANAF, etc.), vom da curs acestor solicitări conform legii. De exemplu, în domeniul AML, putem fi obligați să raportăm tranzacții sau activități suspecte către ONPCSB, caz în care vom furniza datele relevante în cadrul raportării impuse de lege.
  • Alte instituții publice: dacă legislația impune, datele pot fi transmise și altor entități publice (de exemplu, către autoritatea emitentă a unui registru public – pentru verificări, sau către autoritatea de certificare a semnăturilor electronice – ADR, în contextul auditării furnizorilor de certificate).
  • Consultanți profesionali ai Klaroo: În măsura necesară, putem divulga informații personale în condiții de confidențialitate către consultanții noștri externi – de exemplu, avocați, contabili, auditori – atunci când solicităm servicii de specialitate (ex: asistență juridică în caz de litigiu, audit financiar). Acești destinatari sunt la rândul lor obligați să respecte confidențialitatea datelor și au, de obicei, calitatea de operatori de date independenți (prelucrând informațiile conform propriilor obligații legale de păstrare a secretului profesional).
  • Terți în context de tranzacții comerciale extraordinare: Dacă, în viitor, Klaroo ar fi subiectul unei fuziuni, achiziții, sau altei tranzacții de reorganizare, datele dumneavoastră ar putea fi dezvăluite cumpărătorilor potențiali sau reali și consultanților acestora, în conformitate cu legea. Ne vom asigura că asemenea divulgări respectă principiul minimizării (vor fi furnizate doar informațiile necesare) și că destinatarii mențin confidențialitatea datelor. În cazul în care tranzacția se realizează, persoana care va continua activitatea Klaroo ca operator de date vă va informa cu privire la orice schimbare relevantă în prelucrarea datelor.

Roluri și responsabilități. Klaroo acționează ca Operator pentru prelucrările descrise în această Politică. Furnizorii noștri tehnici (ex. găzduire, e-mail, SMS, suport) acționează în general ca Persoane împuternicite conform art. 28 GDPR, pe bază de acorduri de prelucrare. Furnizorii calificați de servicii de încredere (QTSP) care emit certificate digitale și derulează identificarea video acționează, în ceea ce privește aceste activități reglementate, ca Operatori independenți, având propriile politici de confidențialitate. Partenerii din marketplace (avocați, contabili, consultanți) sunt, după preluarea mandatului de la dvs., Operatori independenți pentru serviciile lor.

Sub nicio formă nu vindem, nu închiriem și nu dezvăluim datele dumneavoastră personale unor terțe părți pentru uzul lor independent (de exemplu, în scopuri de marketing direct proprii) fără consimțământul dumneavoastră explicit. Orice transfer de date către terți se face în conformitate cu temeiurile legale aplicabile, cu informarea dumneavoastră și cu implementarea măsurilor de securitate necesare pentru protejarea datelor.

5. Transferuri internaționale

Stocarea și prelucrarea datelor dumneavoastră se realizează, de regulă, pe teritoriul României și al altor state din Spațiul Economic European (SEE). Atunci când apelăm la furnizori sau parteneri, preferăm soluții găzduite în UE/SEE, astfel încât datele să fie guvernate de același cadru legal GDPR.

În mod curent nu transferăm datele dvs. în afara SEE. Dacă, în mod excepțional, un furnizor tehnic ar implica transferul către o țară terță (ex. un serviciu de e-mail), vom aplica Clauzele Contractuale Standard aprobate de Comisia Europeană, o evaluare a impactului transferului (TIA) și măsuri suplimentare de securitate, după caz. Vom actualiza această Politică dacă apar modificări relevante și vă vom informa în prealabil.

Vom depune întotdeauna eforturi pentru a proteja datele, indiferent unde sunt transferate, asigurând un nivel adecvat de protecție conform standardelor europene. Dacă doriți detalii despre eventualele transferuri de date în afara SEE sau garanțiile aplicate, ne puteți contacta oricând (vezi Secțiunea 1 pentru datele de contact).

6. Durata de stocare

Păstrăm datele cu caracter personal doar pe perioada necesară îndeplinirii scopurilor pentru care au fost colectate sau pe durata impusă de obligațiile legale. Durata de stocare poate varia în funcție de natura datelor și de scopul prelucrării, astfel:

  • Date asociate contului de utilizator: Informațiile din profilul dumneavoastră și documentele stocate în cont vor fi păstrate atâta timp cât aveți un cont activ pe Klaroo. Dacă solicitați ștergerea contului sau dacă nu v-ați autentificat o perioadă îndelungată, vom șterge sau anonimiza aceste date, cu excepția acelora pe care legea ne obligă să le păstrăm (vezi mai jos). În general, după închiderea contului, anumite date de bază (cum ar fi date de identificare, tranzacții efectuate) pot fi păstrate într-o arhivă internă securizată pentru încă 3 ani, reprezentând termenul general de prescripție pentru acțiuni legale, astfel încât să ne putem apăra în eventualitatea unor reclamații sau litigii.
  • Date procesate pentru înființări firme, acte și semnături electronice: Documentele generate prin platformă (care pot conține date personale) și logurile de semnătură electronică aferente acestora vor fi stocate pe durata necesară asigurării valabilității și probatoriului lor juridic. De exemplu, vom păstra copii ale actelor de înființare sau modificare firmă pe o durată rezonabilă (minim pe perioada existenței contului, posibil și o perioadă după, în caz că veți avea nevoie de ele sau pentru a face dovada serviciului prestat). Logurile și documentele semnate pot fi păstrate până la 3-5 ani de la momentul semnării, având în vedere termenul de prescripție și nevoia de a oferi asistență în caz de verificări (ex: dovedirea integrității unui document semnat). Vom anonimiza sau șterge elementele care nu mai sunt necesare identificării (de ex., putem păstra un hash al documentului pentru verificare fără ca acesta să conțină date personale).
  • Date de identificare colectate în scop KYC/AML: Conform Legii nr. 129/2019, suntem obligați să păstrăm datele de cunoaștere a clientelei (informațiile colectate pentru identificarea persoanelor și verificările efectuate) pentru o perioadă de minimum 5 ani de la încetarea relației de afaceri cu clientul. Prin urmare, documentele de identitate, rapoartele de verificare și datele asociate procesului KYC vor fi stocate cel puțin 5 ani după încetarea colaborării noastre (de exemplu, de la data închiderii contului sau finalizării ultimei tranzacții/serviciu) și pot fi prelungite cu încă 5 ani dacă o autoritate competentă solicită acest lucru în scop de prevenire a spălării banilor. După expirarea acestor termene, vom șterge sau distruge aceste date, cu excepția cazului în care alte prevederi legale ne impun o perioadă mai lungă de păstrare.
  • Date din evidențele financiare și tranzacții: Facturile, documentele contabile și orice evidențe financiar-fiscale care conțin date personale (de ex. numele persoanei împuternicite pe o factură emisă către o firmă) vor fi păstrate conform obligațiilor legale financiar-contabile – în prezent, legislația fiscală prevede o durată de păstrare de 10 ani pentru documentele financiar-contabile. După acest termen, astfel de date vor fi eliminate în siguranță.
  • Date de contact pentru marketing: Dacă v-ați abonat la newsletter sau v-ați dat consimțământul pentru comunicări de marketing, vom păstra datele de contact până când vă dezabonați sau vă retrageți consimțământul, sau până când decidem să întrerupem campaniile de marketing respective. Imediat după aceea, contactul dumneavoastră va fi marcat ca “opt-out” și nu veți mai primi comunicări promoționale. Putem păstra totuși dovada consimțământului acordat (de exemplu, log-ul înregistrării acestuia) pe o perioadă de până la 2 ani, în cazul în care ar fi nevoie să demonstrăm conformitatea cu cerințele GDPR.
  • Log-uri tehnice și date de navigare: Jurnalele de server ce includ adrese IP, evenimente de acces și erori sunt de obicei păstrate pentru o durată scurtă, de regulă 30 de zile până la 1 an, în funcție de necesitățile de securitate. Aceste log-uri pot fi șterse automat după expirarea perioadei de retenție, exceptând situațiile în care sunt necesare mai mult timp pentru investigarea unor incidente de securitate sau abuzuri (caz în care anumite extrase pot fi păstrate până la rezolvarea completă a incidentului).

După expirarea perioadelor menționate mai sus, datele personale vor fi șterse sau transformate în date anonime ireversibil (în așa fel încât să nu mai permită identificarea persoanelor vizate). În cazuri specifice, dacă dorim să păstrăm anumite informații pentru o perioadă mai lungă decât cea declarată (de exemplu, pentru arhivare în interes public, cercetare științifică sau istoric statistic), vom analiza cu atenție compatibilitatea unui asemenea scop secundar cu scopul inițial al colectării și vom aplica măsuri suplimentare de protecție, conform art. 89 GDPR.

Rețineți că, în pofida solicitării dumneavoastră de ștergere, este posibil să trebuiască să păstrăm anumite date personale pe durata impusă de lege sau cât timp este necesar pentru constatarea, exercitarea sau apărarea unui drept în justiție. În aceste situații, vom restricționa însă prelucrarea datelor respective strict la scopurile care justifică păstrarea lor în continuare.

7. Drepturile persoanelor vizate

În calitate de persoană vizată de prelucrările de date, beneficiați de o serie de drepturi garantate de GDPR, pe care Klaroo le respectă și facilitează. Drepturile dumneavoastră, pe care le puteți exercita în orice moment, sunt următoarele:

  • Dreptul la informare: aveți dreptul să fiți informat(ă) cu privire la prelucrările datelor dvs. personale, într-o manieră transparentă, concisă și ușor de înțeles. Prin prezenta Politică de confidențialitate vă furnizăm aceste informații. Dacă aveți orice nelămuriri, ne puteți pune întrebări suplimentare oricând.
  • Dreptul de acces: aveți dreptul de a obține din partea noastră o confirmare că prelucrăm sau nu date cu caracter personal care vă privesc, iar dacă da, să primiți acces la acele date și informații despre modul în care sunt prelucrate. Practic, ne puteți solicita o copie a datelor personale pe care le deținem despre dumneavoastră și detalii privind prelucrarea lor (scopuri, categorii de date, destinatari, durate de stocare etc.). Prima astfel de copie vă va fi furnizată gratuit, în format electronic sau fizic, conform preferinței.
  • Dreptul la rectificare: dacă observați că avem date inexacte sau incomplete despre dumneavoastră, aveți dreptul să ne cereți corectarea sau completarea acestora fără întârzieri nejustificate. Vom actualiza informațiile (de exemplu, adresa sau numărul de telefon) și, dacă este cazul, vom comunica rectificarea și terților la care au fost dezvăluite datele (de pildă, dacă am trimis date eronate la ONRC, vom corecta eroarea prin documente rectificative).
  • Dreptul la ștergere („dreptul de a fi uitat”): în anumite situații, puteți solicita ștergerea datelor dumneavoastră personale din evidențele noastre. Acest drept se aplică, de exemplu, dacă datele nu mai sunt necesare pentru scopurile pentru care au fost colectate, v-ați retras consimțământul (acolo unde prelucrarea era bazată pe consimțământ) și nu există alt temei legal, vă opuneți prelucrării și nu există motive legitime care să prevaleze sau prelucrarea a fost ilegală. Vom da curs cererii de ștergere în măsura în care nu suntem obligați de lege să păstrăm datele respective sau dacă acestea nu sunt necesare pentru constatarea sau apărarea unui drept în instanță. În caz de ștergere, vom confirma că datele au fost eliminate sau, dacă nu pot fi șterse integral, vă vom explica de ce (de exemplu, pentru că o anumită categorie trebuie păstrată conform legii).
  • Dreptul la restricționarea prelucrării: aveți dreptul să solicitați suspendarea temporară a prelucrării datelor în următoarele cazuri: (a) contestați exactitatea datelor (pentru perioada cât verificăm exactitatea lor); (b) prelucrarea este ilegală, dar nu doriți ștergerea datelor, ci doar limitarea utilizării lor; (c) nu mai avem nevoie de date, dar ni le solicitați pentru constatarea, exercitarea sau apărarea unui drept în instanță; (d) v-ați opus prelucrării (în baza dreptului de opoziție) și așteptați verificarea dacă interesele noastre legitime prevalează. Pe durata restricționării, datele vor fi doar stocate și nu vor fi prelucrate (cu excepția stocării și a cazurilor prevăzute de lege). Vă vom informa înainte de ridicarea restricției.
  • Dreptul la portabilitatea datelor: aveți dreptul să primiți de la noi datele personale pe care ni le-ați furnizat într-un format structurat, utilizat în mod curent și care poate fi citit automat (CSV, JSON etc.) și aveți dreptul să transmiteți aceste date altui operator, dacă prelucrarea se bazează pe consimțământul dumneavoastră sau pe executarea unui contract și este efectuată prin mijloace automate. La cererea dumneavoastră, dacă este tehnic fezabil, putem transmite datele direct unui alt operator indicat de dumneavoastră. Dreptul la portabilitate nu afectează drepturile și libertățile altora (vom avea grijă ca furnizarea datelor dvs. să nu divulge datele altor persoane).
  • Dreptul la opoziție: vă puteți opune oricând, din motive legate de situația particulară în care vă aflați, prelucrărilor întemeiate pe interesele noastre legitime (art. 6 alin. (1) lit. f GDPR). Ne vom conforma cererii de opoziție și vom înceta prelucrarea respectivă, cu excepția cazului în care avem motive legitime și imperioase care justifică prelucrarea și care prevalează intereselor, drepturilor și libertăților dumneavoastră, sau dacă scopul este constatarea, exercitarea sau apărarea unui drept în instanță. De asemenea, vă puteți opune oricând prelucrării datelor în scop de marketing direct (inclusiv creării de profiluri legate de marketing), caz în care vom înceta imediat prelucrarea în acest scop, fără excepții.
  • Dreptul de a retrage consimțământul: în situațiile în care prelucrarea datelor se bazează pe consimțământul dumneavoastră (de exemplu, pentru comunicări de marketing), aveți dreptul de a vă retrage consimțământul în orice moment. Retragerea consimțământului va produce efecte pentru viitor – vom înceta prelucrarea respectivă de îndată ce este posibil. Retragerea consimțământului nu va afecta legalitatea prelucrării efectuate înainte de retragere. Dacă v-ați creat cont la noi, puteți gestiona unele consimțăminte direct din setările contului (de ex. preferințe de comunicare) sau ne puteți contacta și ne vom ocupa noi de acest lucru.
  • Dreptul de a nu fi supus unei decizii individuale automatizate, inclusiv profilare: așa cum am menționat, Klaroo nu ia decizii automate fără intervenție umană care să producă efecte juridice în privința dumneavoastră sau să vă afecteze în mod similar semnificativ. Acest drept înseamnă că puteți cere intervenție umană sau puteți contesta o decizie luată exclusiv prin mijloace automate. În cazul nostru nu se aplică, deoarece orice eventuală profilare sau automatizare este în scop tehnic sau de filtrare, și are mereu o verificare umană înainte de un rezultat final.

Pentru a vă exercita oricare dintre aceste drepturi, ne puteți contacta oricând prin email la adresa indicată la Secțiunea 1 (sau prin oricare dintre mijloacele de contact puse la dispoziție), indicând: (i) dreptul exercitat, (ii) adresa de e-mail asociată contului și (iii) informații rezonabile pentru verificarea identității. Vom depune toate eforturile pentru a vă răspunde fără întârzieri nejustificate, în cel mult 30 de zile de la primirea cererii. Acest termen poate fi prelungit, dacă este necesar, cu până la 60 de zile (ținând cont de complexitatea și numărul cererilor), însă în orice caz vă vom informa despre motivul eventualei prelungiri.

Nu vă vom percepe nicio taxă pentru exercitarea drepturilor, cu excepția cazului în care cererile dumneavoastră sunt vădit nefondate sau excesive (de exemplu, repetitivitate foarte mare); într-o asemenea situație, conform GDPR, am putea percepe o taxă rezonabilă sau am putea refuza cererea, dar vă asigurăm că în mod uzual nu aplicăm astfel de măsuri.

Verificarea identității: pentru a preveni accesul neautorizat la date, este posibil să vă solicităm informații suplimentare pentru a vă confirma identitatea înainte de a da curs unei cereri privind datele personale (de exemplu, ne puteți fi solicitat să ne indicați din nou anumite date de contact sau să vă autentificați în cont). Facem acest lucru pentru a ne asigura că datele nu ajung pe mâini nepotrivite.

De asemenea, aveți dreptul de a depune o plângere în orice moment la autoritatea națională de supraveghere a protecției datelor, dacă considerați că v-au fost încălcate drepturile. (Pentru detalii, vezi Secțiunea 9 de mai jos.) Totuși, înainte de a apela la autoritate, recomandăm să ne contactați direct – vom încerca să rezolvăm pe cale amiabilă orice problemă întâmpinată sau nemulțumire a dumneavoastră.

8. Măsuri de securitate și conformitate

Klaroo implementează măsuri tehnice și organizatorice adecvate pentru a asigura securitatea datelor cu caracter personal pe care le prelucrăm. Înțelegem importanța protejării informațiilor dumneavoastră și luăm foarte în serios acest aspect. Iată, în rezumat, cum asigurăm confidențialitatea, integritatea și disponibilitatea datelor:

  • Securitate la nivel tehnic: Folosim tehnologii moderne de securitate IT, inclusiv protocoale de comunicație securizată (HTTPS/TLS) pentru transmiterea datelor pe platforma noastră. Datele sensibile (precum parolele de acces) sunt stocate utilizând algoritmi de criptare și hashing puternici. Implementăm mecanisme de control al accesului la bazele de date, firewall-uri și monitorizare constantă a infrastructurii pentru a detecta și preveni accesul neautorizat sau activitățile malițioase.
  • Controlul accesului și confidențialitatea personalului: Accesul angajaților și colaboratorilor noștri la datele personale este limitat pe baza principiului “need-to-know” – doar persoanele care au nevoie de date pentru îndeplinirea atribuțiilor lor (de exemplu, echipa de suport clienți pentru a rezolva o solicitare) pot accesa acele informații, și chiar și atunci numai datele strict necesare. Personalul Klaroo este instruit periodic cu privire la regulile de protecție a datelor și are obligația legală și contractuală de a păstra confidențialitatea. Orice încălcare a acestor obligații este tratată cu maximă seriozitate.
  • Pseudonimizarea și anonimizarea: Acolo unde este posibil, aplicăm tehnici de pseudonimizare (înlocuind identificatorii direcți cu identificatori artificiali) sau anonimizare ireversibilă, pentru a minimiza riscul asupra vieții private. De exemplu, anumite seturi de date folosite pentru statistici de utilizare nu mai conțin identificatori personali după prelucrare, iar documentele de logare sunt, în anumite cazuri, disociate de conturile userilor concreți, fiind folosite doar agregat.
  • Back-up și integritatea datelor: Avem proceduri de backup periodic al datelor, pentru a preveni pierderea lor accidentală sau distrugerea. Copiile de siguranță sunt stocate securizat și cu acces restricționat. De asemenea, folosim mecanisme de control al integrității datelor, astfel încât orice modificare neautorizată să poată fi detectată.
  • Audit și testare: Testăm și evaluăm în mod regulat eficacitatea măsurilor noastre de securitate. Efectuăm audituri interne și, la nevoie, audituri externe de securitate cibernetică. Orice nouă funcționalitate a platformei este supusă unei analize de securitate și protecție a datelor înainte de implementare (Privacy by Design și Security by Design). Ne ținem la curent cu evoluțiile tehnologice și cu riscurile emergente, adaptând constant politicile și măsurile de securitate.
  • Gestionarea breșelor de securitate: Avem o procedură internă pentru identificarea, raportarea și gestionarea eventualelor incidente/breșe de securitate. În eventualitatea puțin probabilă a unei încălcări a securității datelor cu caracter personal care este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile dumneavoastră, vom notifica Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal în termenul legal (cel mult 72 de ore de la constatare) și, de asemenea, vă vom informa pe dumneavoastră fără întârzieri nejustificate, furnizând detalii despre incident și despre măsurile luate pentru a limita efectele negative.
  • Conformitate legală și bune practici: Ne asigurăm că toate activitățile de prelucrare respectă principiile GDPR – legalitate, echitate, transparență, reducerea la minimum a datelor, exactitate, limitare la scopurile declarate, limitare a stocării și integritate/confidențialitate. Această politică de confidențialitate este una dintre măsurile de transparență pe care le oferim. De asemenea, evaluăm în permanență necesitatea prelucrării datelor pe care le solicităm – nu vom colecta sau prelucra mai multe date decât este necesar pentru scopurile legitime urmărite.
  • Parteneri conformi GDPR: Acolo unde folosim persoane împuternicite (ex. companii care ne furnizează servicii), ne asigurăm că și aceștia au un nivel adecvat de protecție a datelor. În contractele noastre cu împuterniciții includem clauze de securitate și confidențialitate, precum și obligația de a notifica Klaroo în caz de incidente de securitate, astfel încât să putem acționa prompt.

În concluzie, tratăm cu prioritate securitatea datelor dumneavoastră. Totuși, trebuie să rețineți că nicio transmisie de date prin internet sau niciun sistem de stocare electronică nu este 100% sigur. În calitate de utilizator, vă încurajăm să vă protejați contul printr-o parolă puternică și să evitați dezvăluirea credențialelor de acces altor persoane. Dacă observați vreo breșă sau aveți suspiciuni privind securitatea contului dumneavoastră, vă rugăm să ne sesizați de urgență.

9. Plângeri și autoritatea competentă

Dacă aveți întrebări sau nemulțumiri cu privire la modul în care Klaroo prelucrează datele dumneavoastră cu caracter personal, vă invităm să ne contactați mai întâi pe noi (vezi Secțiunea 1 pentru datele de contact). Vom depune toate eforturile pentru a rezolva orice problemă pe cale amiabilă și rapidă.

În cazul în care sunteți de părere că v-am încălcat vreun drept legat de protecția datelor sau că prelucrarea datelor dvs. personale nu este conformă cu legea, aveți dreptul de a depune o plângere la autoritatea națională de supraveghere. Autoritatea competentă în România este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).

Date de contact ANSPDCP:
– Adresă: B-dul General Gheorghe Magheru nr. 28-30, Sector 1, cod poștal 010336, București, România.
– Website: www.dataprotection.ro
– E-mail: anspdcp@dataprotection.ro
– Telefon: +40.318.059.211.

ANSPDCP vă va informa asupra stadiului și rezultatului plângerii depuse. De asemenea, fără a vă adresa în prealabil autorității, aveți dreptul să vă adresați instanțelor judecătorești competente pentru a vă apăra drepturile legale (inclusiv să solicitați despăgubiri pentru eventualul prejudiciu suferit în urma încălcării securității sau confidențialității datelor).

Reiterăm că ne dorim să evităm pe cât posibil litigii sau neînțelegeri – protecția datelor dvs. este importantă pentru noi, așadar vă rugăm să ne oferiți oportunitatea de a răspunde preocupărilor dvs. și de a remedia orice aspect, înainte de a escalada situația către autorități. Feedback-ul dumneavoastră este binevenit și îl tratăm cu maximă seriozitate.

10. Modificări ale politicii

Prezenta Politică de confidențialitate poate fi actualizată periodic, pe măsură ce serviciile Klaroo evoluează sau pe fondul modificărilor legislative ori de reglementare aplicabile. Când vom efectua modificări semnificative ale politicii, vă vom notifica în mod vizibil – fie prin publicarea unui anunț pe site, fie prin trimiterea unei informări pe e-mail (către adresa asociată contului dumneavoastră) – astfel încât să puteți lua cunoștință de noile prevederi.

Orice modificare va intra în vigoare de la data publicării Politicii actualizate pe website (cu excepția cazului în care se prevede altfel în textul actualizat). La începutul documentului vom menționa “ultima actualizare” pentru a reflecta data revizuirii. Vă încurajăm să verificați periodic această pagină pentru a rămâne la curent cu versiunea cea mai recentă a politicii noastre de confidențialitate.

În situația în care nu sunteți de acord cu modificările aduse Politicii, puteți decide încetarea utilizării platformei Klaroo și exercitarea drepturilor dumneavoastră prevăzute la Secțiunea 7 (de exemplu, să solicitați ștergerea datelor și închiderea contului). Dacă veți continua să utilizați serviciile noastre după intrarea în vigoare a unei versiuni actualizate a Politicii, vom considera acest fapt drept o confirmare că ați citit și ați înțeles modificările.

Pentru orice clarificări suplimentare referitoare la Politica de confidențialitate sau la modul în care Klaroo vă protejează datele, nu ezitați să ne contactați. Vă mulțumim pentru încredere și pentru că utilizați serviciile Klaroo, unde confidențialitatea și securitatea datelor dvs. rămân o prioritate absolută.

Această Politică de confidențialitate este pregătită spre a fi publicată și intră în vigoare la data de 31 august 2025.