Aplicația OutOfDesk este un produs oferit de NeuroAI Advance S.R.L. (brand comercial NeuroAI Consulting). Această Politică de Confidențialitate explică ce date personale colectăm, cum le utilizăm, cu cine le împărtășim și ce drepturi ai asupra lor.
Prelucrarea datelor este guvernată de Regulamentul (UE) 2016/679 (GDPR), de Legea nr. 190/2018 privind măsurile de punere în aplicare a GDPR în România, de Legea nr. 53/2003 (Codul Muncii) și de legislația sectorială aplicabilă.
Politica se aplică tuturor persoanelor care interacționează cu Aplicația OutOfDesk prin outofdesk.ro: administratorii clienților-firmă, angajații acestora, precum și vizitatorii site-ului public de prezentare. Pentru site-ul principal https://neuroai.ro, este publicată o politică separată de confidențialitate.
1. Operatorul de date
Datele tale personale sunt prelucrate de:
Denumire legală: NeuroAI Advance S.R.L.
Brand comercial: NeuroAI Consulting
Sediul social: Str. Călugărului nr. 17, Sat Bălteni, Comuna Periș, Jud. Ilfov, România
2. Rolul dublu al NeuroAI Advance S.R.L. în prelucrarea datelor
Această secțiune este fundamentală pentru înțelegerea modului în care sunt protejate datele, mai ales cele ale angajaților introduși în Aplicație de către companiile-client. Conform GDPR, NeuroAI Advance S.R.L. poate acționa în două calități distincte:
(a) Operator de date (Data Controller)
Pentru datele companiilor-client și ale persoanelor care administrează contul companiei (administratori, responsabili de cont), NeuroAI Advance S.R.L. este Operator. Stabilește singur scopurile și mijloacele prelucrării. Aceste date sunt necesare pentru: contractarea serviciului, facturare, comunicare tehnică, suport, apărare în eventuale dispute.
(b) Împuternicit (Data Processor)
Pentru datele angajaților introduse în Aplicație de către clienții-angajatori (nume, funcție, cereri de concediu, aprobări), NeuroAI Advance S.R.L. este Împuternicit. În acest caz, Operatorul este clientul-angajator (firma care folosește OutOfDesk pentru managementul concediilor), iar NeuroAI Advance S.R.L. execută exclusiv instrucțiunile acestuia, prin punerea la dispoziție a Aplicației ca instrument tehnic.
Pentru această relație B2B, NeuroAI Advance S.R.L. semnează cu fiecare client un Acord de Prelucrare a Datelor (în practica internațională: „Data Processing Addendum", prescurtat „DPA") separat, conform art. 28 GDPR. Detalii complete despre DPA sunt în Termenii și condițiile publicate la /terms.html.
Consecința practică pentru angajați: Dacă ești angajat al unei companii care folosește OutOfDesk și vrei să-ți exerciți drepturile GDPR cu privire la datele din Aplicație, cererea ta se adresează în primul rând angajatorului tău, care este Operatorul de date. NeuroAI Advance S.R.L. te poate asista tehnic, dar temeiul legal și deciziile finale aparțin angajatorului. Cererea ta către noi va fi înaintată angajatorului spre rezolvare.
3. Categoriile de date personale prelucrate
3.1. Date despre vizitatorii site-ului outofdesk.ro
Adresa IP (utilizată pentru securitate, anonimizată pentru analytics)
Tipul browser-ului, sistemul de operare, rezoluția ecranului
Pagini vizitate, timpul petrecut, sursa traficului
Cookie-uri (vezi secțiunea dedicată)
3.2. Date despre compania-client și administratorii acesteia
Colectate la înregistrare și activarea contului, ca Operator independent:
Denumirea firmei, CUI, număr angajați, domeniul de activitate
Numele, prenumele, emailul, telefonul și funcția administratorului de cont
Planul de abonament și istoricul plăților
Istoricul interacțiunilor cu echipa de suport
3.3. Date despre angajați (prelucrate ca Împuternicit)
Introduse de administratorul clientului-angajator pe seama companiei:
Nume, prenume, email de serviciu, funcție / departament
Cereri de concediu (tip, perioadă, motiv opțional, status aprobare)
Istoricul aprobărilor/respingerilor și al aprobatorilor
Calendarul absențelor la nivel de echipă
Aplicația OutOfDesk NU solicită și NU prelucrează: CNP, seria sau numărul cărții de identitate, date bancare ale angajaților, date privind sănătatea (ex. diagnostic pentru concediu medical), convingeri politice, religioase sau alte categorii speciale de date (art. 9 GDPR). Dacă un administrator al clientului încearcă să introducă astfel de date într-un câmp text liber, responsabilitatea legală aparține exclusiv companiei-client.
3.4. Date din corespondența prin email
Orice informație pe care o transmiți prin email la contact@outofdesk.ro sau ca răspuns la mesajele noastre tranzacționale este stocată în serviciul de email până la finalizarea scopului comunicării.
4. Scopurile și temeiurile legale ale prelucrării
4.1. Executarea contractului (art. 6 alin. 1 lit. b GDPR)
Crearea și operarea contului companiei-client
Procesarea cererilor de concediu și a aprobărilor
Notificări email pentru evenimente relevante (cereri noi, aprobări, respingeri)
Suport tehnic și rezolvarea tichetelor de asistență
Emiterea de facturi și păstrarea evidențelor contabile (Legea 82/1991)
Răspunsul la solicitările autorităților competente (ANAF, ANSPDCP)
Conformitatea cu obligațiile GDPR
4.3. Interesul legitim (art. 6 alin. 1 lit. f GDPR)
Securizarea Aplicației și a backend-ului (prevenirea atacurilor, detectarea fraudei)
Analiza anonimizată a utilizării pentru îmbunătățirea produsului
Apărarea în fața unor potențiale dispute și recuperarea creanțelor
4.4. Notă specială pentru datele angajaților
Pentru datele angajaților prelucrate în Aplicație pe seama angajatorului, temeiul legal este stabilit de clientul-angajator (Operatorul), nu de NeuroAI Advance S.R.L. Conform practicii ANSPDCP, consimțământul angajatului NU constituie o bază legală validă pentru prelucrări în contextul relației de muncă, datorită dezechilibrului de putere. Temeiul corect este executarea contractului individual de muncă (art. 6 alin. 1 lit. b) sau obligația legală a angajatorului de a ține evidența timpului de muncă (art. 6 alin. 1 lit. c, în corelare cu art. 119 din Codul Muncii). Responsabilitatea stabilirii și documentării bazei legale corecte revine integral clientului-angajator.
5. Destinatarii datelor (subcontractori și terți)
NU vindem, NU închiriem și NU transferăm datele tale personale către terți în scop comercial. Divulgăm datele strict către prestatorii care ne permit să funcționăm și către autoritățile publice, la solicitări legale documentate.
Subcontractorii actuali sunt:
Google Cloud / Firebase (Google LLC) — găzduiește backend-ul Aplicației (autentificare, baza de date Firestore, funcții serverless, stocare fișiere). Regiunea de stocare configurată este europe-west (Uniunea Europeană). Unele componente complementare (Firebase Authentication, Analytics) pot stoca metadate în Statele Unite, cu garanțiile descrise în secțiunea următoare.
Stripe (Stripe Payments Europe Limited, Dublin, Irlanda; cu procesare secundară prin Stripe, Inc., Statele Unite, certificată EU-U.S. Data Privacy Framework) — procesează online plățile cu cardul pentru abonamentele Aplicației. Stripe primește datele cardului direct de la plătitor (Stripe Elements), iar NeuroAI Advance S.R.L. nu primește și nu stochează acele date. Stripe acționează ca Operator independent pentru conformitatea bancară (certificat PCI-DSS Level 1) și antifraudă.
Oblio Software S.R.L. (România) — emiterea automată a facturilor fiscale electronice și transmiterea către SPV/ANAF, prin integrare nativă cu Stripe pe fluxul de plăți. Primește numele, datele de facturare, valoarea comenzii și descrierea produsului.
Microsoft Clarity (Microsoft Corporation, Statele Unite) și Hotjar (Hotjar Ltd, Malta — Uniunea Europeană) — analiză agregată a comportamentului pe site-ul public de prezentare (hărți de interacțiune / heatmaps și, în cazul Hotjar, reconstrucția anonimizată a sesiunilor). Sunt încărcate numai după consimțământul explicit dat prin bannerul de la prima vizită și numai dacă browserul nu semnalează „Global Privacy Control" sau „Do Not Track". Nu rulează în Aplicația propriu-zisă (zona autentificată).
Sentry (Functional Software, Inc.; infrastructură UE pentru proiectele NeuroAI Advance S.R.L.) — monitorizează erorile tehnice ale Aplicației pentru identificarea și remedierea rapidă a problemelor (observability). Primește identificator intern de utilizator (UID Firebase — nu adresă de email), tipul rolului, URL-uri navigate și mesaje de eroare; nu primește conținutul cererilor de concediu, parole, PIN-uri, adrese de email sau semnături. Înregistrările sunt păstrate maximum 90 de zile. Retransmisia de date e bazată pe interes legitim (art. 6 alin. 1 lit. f GDPR) — operarea fiabilă a unui serviciu B2B.
Autorități publice competente (ANAF, ANSPDCP, Inspecția Muncii, instanțe) — exclusiv la solicitări legale documentate, conform legislației în vigoare.
Lista completă și actualizată a subcontractorilor poate fi solicitată oricând la contact@outofdesk.ro.
6. Transferul datelor în afara Uniunii Europene
Configurația implicită a bazei de date principale a Aplicației este europe-west — datele operaționale ale clienților și angajaților lor rămân în UE. Cu toate acestea, anumite componente complementare (Firebase Authentication, Microsoft Clarity, Resend pentru emailuri și procesarea secundară Stripe) sunt stabilite în Statele Unite ale Americii. Hotjar (Malta), Sentry (infrastructură UE) și Oblio (România) prelucrează în Uniunea Europeană.
Pentru aceste transferuri, NeuroAI Advance S.R.L. se bazează pe garanțiile adecvate prevăzute de GDPR:
Clauze contractuale standard (Standard Contractual Clauses — SCC) aprobate de Comisia Europeană prin Decizia de punere în aplicare (UE) 2021/914
EU-U.S. Data Privacy Framework, pentru furnizorii certificați DPF (Google LLC este certificat DPF)
Măsuri tehnice suplimentare: criptare în tranzit (TLS 1.2+), criptare în repaus pentru datele sensibile, controlul accesului pe bază de roluri
Poți solicita detalii complete despre locațiile fiecărei categorii de date printr-o cerere scrisă la contact@outofdesk.ro.
7. Cookie-uri și tehnologii similare
Site-ul outofdesk.ro folosește cookie-uri clasificate în trei categorii:
Strict necesare — funcționarea site-ului și a Aplicației (sesiune, preferință, consimțământ cookie). Nu pot fi dezactivate.
Analitice — măsurare a comportamentului pe site-ul public de prezentare prin Microsoft Clarity și Hotjar (hărți de interacțiune și reconstrucția anonimizată a sesiunilor). Aceste instrumente nu se încarcă deloc înainte de consimțământ: sunt activate numai după ce apeși „Accept" în bannerul de la prima vizită și numai dacă browserul nu semnalează „Global Privacy Control" sau „Do Not Track".
Funcționale — îmbunătățiri ale experienței de utilizare. Opționale, plasate doar cu consimțământ.
Poți gestiona preferințele în orice moment prin ștergerea cookie-urilor din browser și reîncărcarea paginii.
8. Durata păstrării datelor
Păstrăm datele personale strict atât timp cât este necesar pentru scopurile pentru care au fost colectate sau cât impune legea:
Contul companiei-client activ: pe toată durata abonamentului, plus 30 de zile pentru export de date după reziliere
Cont companie-client dezactivat: ștergere completă după 30 de zile de la reziliere, cu excepția datelor păstrate pentru obligații legale (facturi și documente contabile — pe durata impusă de legislația fiscal-contabilă)
Datele angajaților: pe toată durata contului activ al companiei. La rezilierea contului, se aplică perioada de 30 zile de export; după, ștergere ireversibilă.
Log-uri de acces ale Aplicației: maxim 6 luni
Date analytics (trafic anonimizat pe site-ul public): maxim 14 luni
Corespondența pe email: până la finalizarea scopului comunicării, apoi arhivare maxim 36 luni
După expirarea acestor perioade, datele sunt șterse ireversibil sau, acolo unde e tehnic mai potrivit, anonimizate complet.
9. Drepturile tale conform GDPR
Ai următoarele drepturi, exercitabile gratuit prin email la contact@outofdesk.ro:
Dreptul de acces (art. 15 GDPR) — să afli ce date personale deținem despre tine și să primești o copie
Dreptul la rectificare (art. 16 GDPR) — să corectezi date inexacte sau incomplete
Dreptul la ștergere / „dreptul de a fi uitat" (art. 17 GDPR)
Dreptul la restricționarea prelucrării (art. 18 GDPR)
Dreptul la portabilitate (art. 20 GDPR) — să primești datele în format structurat (CSV, JSON)
Dreptul la opoziție (art. 21 GDPR) — pentru prelucrările bazate pe interes legitim
Dreptul de a nu face obiectul unei decizii automate (art. 22 GDPR) — NeuroAI Advance S.R.L. nu ia decizii exclusiv automate care produc efecte juridice; fluxul de aprobare a cererilor de concediu este controlat integral de managerii umani ai companiei-client
Dreptul de a retrage consimțământul — oricând, fără a afecta legalitatea prelucrării anterioare retragerii
Dreptul de a depune plângere la autoritatea de supraveghere
Important pentru angajați: dacă ești angajat al unei companii care folosește OutOfDesk și vrei să-ți exerciți drepturile GDPR cu privire la datele tale din Aplicație, cererea se adresează angajatorului tău (Operatorul de date), nu NeuroAI Advance S.R.L. (care este doar Împuternicit). Dacă ne trimiți cererea direct, o vom înainta angajatorului tău spre rezolvare.
Răspundem cererilor primite în termen de 30 de zile calendaristice, cu posibilitatea de extindere cu maxim 60 de zile pentru cereri complexe (art. 12 alin. 3 GDPR).
Autoritatea de supraveghere din România: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), B-dul G-ral Gheorghe Magheru nr. 28-30, Sector 1, București, email anspdcp@dataprotection.ro, website www.dataprotection.ro.
10. Securitatea datelor
Aplicăm măsuri tehnice și organizatorice proporționale cu riscul, pentru a proteja datele personale împotriva accesului neautorizat, pierderii, alterării sau distrugerii:
Criptare TLS 1.2+ pe toate conexiunile între browser, Aplicație și subcontractori
Criptare în repaus pentru baza de date Firestore și pentru stocarea fișierelor
Control al accesului pe bază de roluri și autentificare cu parolă puternică (administratori și utilizatori)
Back-up-uri regulate ale datelor operaționale, testate pentru restaurare
Monitorizarea log-urilor de acces și a comportamentului anormal
Procedură de notificare a breșelor de date: evaluare în 24 de ore, notificare la ANSPDCP în maxim 72 de ore dacă riscul este prezent, notificare a persoanelor vizate când riscul este ridicat (art. 33-34 GDPR)
Nicio metodă de transmitere prin Internet și de stocare electronică nu este 100% sigură. Depunem eforturi rezonabile comercial pentru a proteja datele, dar nu putem garanta securitate absolută.
11. Minori
Aplicația OutOfDesk este destinată exclusiv utilizării profesionale în context B2B. Nu colectăm intenționat date personale de la minori sub 16 ani. Respectarea vârstei minime legale de angajare (15 ani pentru munci ușoare cu acord parental, 16 ani pentru angajare completă, conform Codului Muncii) revine integral clientului-angajator care introduce datele angajaților în Aplicație.
12. Modificări ale politicii
Ne rezervăm dreptul de a actualiza această Politică de Confidențialitate pentru a reflecta modificările legislative sau ale practicilor noastre. Orice modificare substanțială va fi notificată prin:
Un anunț vizibil pe site la prima vizită după modificare
Un email către administratorii clienților-companii cu cont activ, cu minimum 30 de zile înainte
Actualizarea datei „Ultima actualizare" din antetul paginii
Pentru orice întrebare legată de prelucrarea datelor personale, pentru exercitarea drepturilor GDPR sau pentru semnalarea unor probleme de protecție a datelor, ne poți contacta:
Răspundem la fiecare cerere în termenul legal de 30 de zile calendaristice. Dacă nu ești mulțumit de răspunsul nostru, ai oricând dreptul de a depune o plângere la ANSPDCP.
Consultați și Termeni și Condiții pentru detalii privind utilizarea Aplicației OutOfDesk.