Ultima actualizare: 1 iulie 2026

Politică GDPR — Siguranța Datelor

Cum colectăm, stocăm, protejăm și ștergem datele cu caracter personal — măsuri tehnice, organizatorice și drepturile dumneavoastră.

1. Principiile prelucrării datelor cu caracter personal

GTC SELECT GRUP SRL prelucrează datele cu caracter personal cu respectarea strictă a celor șapte principii fundamentale prevăzute de art. 5 din GDPR:

  • Legalitate, echitate și transparență — prelucrăm datele numai în baza unui temei juridic valid și informăm persoanele vizate în mod clar și accesibil.
  • Limitarea scopului — datele sunt colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior în mod incompatibil cu aceste scopuri.
  • Reducerea la minimum a datelor — colectăm exclusiv datele necesare pentru scopul declarat, evitând colectarea excesivă.
  • Exactitate — luăm măsuri rezonabile pentru a corecta sau șterge datele inexacte fără întârziere.
  • Limitarea stocării — datele nu sunt păstrate mai mult decât este necesar; termenele de retenție sunt definite în Politica de Confidențialitate.
  • Integritate și confidențialitate — asigurăm securitatea tehnică și organizatorică adecvată împotriva accesului neautorizat, pierderii sau distrugerii.
  • Responsabilitate (accountability) — putem demonstra conformitatea cu principiile de mai sus și menținem documentația corespunzătoare.

2. Măsuri tehnice și organizatorice de securitate

2.1 Criptare și transmisie securizată

  • Toate datele în tranzit sunt protejate prin TLS 1.2 sau superior; conectarea HTTP simplă este redirecționată automat spre HTTPS.
  • Datele stocate în Supabase (baza de date PostgreSQL și fișierele Storage) beneficiază de criptare la repaus (AES-256).
  • Parolele utilizatorilor sunt hașate prin algoritmul bcrypt gestionat de Supabase Auth; nu stocăm parole în text clar.
  • Cookie-urile de sesiune sunt de tip HTTP-only și Secure, inaccesibile din JavaScript.

2.2 Infrastructură și hosting

  • Aplicația web rulează pe Vercel (edge network global, izolare per-cerere).
  • Baza de date și stocarea fișierelor sunt găzduite pe Supabase în regiunea AWS eu-central-1 (Frankfurt), în interiorul Uniunii Europene.
  • Rețelele de producție sunt separate de mediile de development și staging.
  • Copiile de rezervă (backup) ale bazei de date sunt realizate automat zilnic de Supabase și reținute 7 zile.

2.3 Securitatea aplicației

  • Row Level Security (RLS) este activat pe toate tabelele cu date ale restaurantelor; fiecare client accesează exclusiv datele proprii.
  • Cheile secrete (cheia API Anthropic, cheia secretă Stripe, cheia serviciu Supabase) sunt stocate exclusiv ca variabile de mediu server-side și nu sunt expuse niciodată în browser.
  • Dependențele sunt monitorizate automat pentru vulnerabilități cunoscute (CVE) prin audit periodic.
  • Capetele de API care generează sau accesează resurse sensibile (facturi PDF, URL-uri semnate) verifică întotdeauna proprietatea înainte de a răspunde.

2.4 Măsuri organizatorice

  • Accesul la sistemele de producție este acordat pe baza principiului nevoii minime (least privilege).
  • Membrii echipei cu acces la date de producție sunt instruiți periodic în materie de protecția datelor și securitate informatică.
  • Contractele cu sub-procesatorii includ clauze obligatorii privind protecția datelor.
  • Incidentele de securitate sunt gestionate conform procedurii descrise în secțiunea 7.

3. Controlul accesului

  • Autentificare multi-factor (MFA) — disponibilă și recomandată pentru conturile de administrator al platformei.
  • Izolare multi-tenant — fiecare restaurant operează într-un spațiu izolat logic; politicile RLS de la nivel de bază de date garantează că niciun client nu poate accesa datele altui client, chiar și în cazul unui token valid dar greșit aplicat.
  • Cheia de serviciu Supabase — utilizată exclusiv în codul server (Server Actions, Route Handlers) pentru operații administrative justificate (ex. generarea token-urilor QR, procesarea webhook-urilor). Nu este niciodată transmisă clientului.
  • Panoul super-admin — accesibil doar prin conturi cu rolul super_admin, separat de conturile de restaurant.
  • Sesiunile expiră automat conform politicii Supabase Auth; reautentificarea este necesară periodic.

4. Sub-procesatori

GTC SELECT GRUP SRL utilizează următorii sub-procesatori pentru prestarea serviciilor. Toți au fost evaluați din perspectiva conformității GDPR și au semnat Acorduri de Prelucrare a Datelor (DPA):

FurnizorRolSediuGaranție transfer
Supabase Inc.Bază de date, autentificare, stocareSUA (date în UE)DPA + SCC; date stocate în AWS eu-central-1
Vercel Inc.Hosting aplicație web, edge functionsSUA (edge UE)DPA + SCC
Stripe Inc.Procesare plățiSUADPA + SCC; certificat PCI-DSS Level 1
Resend Inc.E-mail tranzacționalSUADPA + SCC
Anthropic PBCModele AI (upselling, chat)SUADPA + SCC; date nepermanente (nu sunt folosite pentru antrenament)
PostHog Inc.Analitică produsSUA (date în UE)DPA + SCC; instanță eu.posthog.com
Functional Software (Sentry)Monitorizare eroriSUADPA + SCC; date anonimizate/pseudonimizate

Lista sub-procesatorilor este revizuită periodic. Clienții pot solicita lista actualizată la contact@tablette.ro. Adăugarea unui nou sub-procesator major este comunicată cu cel puțin 14 zile înainte prin e-mail.

5. Transferuri internaționale de date

Anumite servicii utilizate de Tablette implică transferul de date cu caracter personal în afara Spațiului Economic European (SEE), în special în Statele Unite ale Americii.

Aceste transferuri se efectuează exclusiv în baza unuia dintre mecanismele de transfer aprobate de art. 46 GDPR:

  • Clauze Contractuale Standard (SCC) — adoptate prin Decizia de punere în aplicare (UE) 2021/914 a Comisiei Europene — utilizate cu toți sub-procesatorii din SUA.
  • Stocarea în UE — pentru Supabase și PostHog, datele sunt stocate fizic în regiuni ale UE (Frankfurt), eliminând transferul efectiv.

Nu transferăm date cu caracter personal în țări fără un nivel adecvat de protecție și fără un mecanism de transfer valid.

6. Politica de retenție și ștergere a datelor

Datele cu caracter personal nu sunt păstrate mai mult decât este necesar pentru scopul prelucrării sau decât impun obligațiile legale.

Categorie datePerioadă retențieMotivare
Date cont activPe durata contractului + 30 zileFereastră export date post-reziliere
Date de facturare și documente contabile10 aniObligație legală (Legea contabilității nr. 82/1991)
Istoricul comenzilor3 aniInteres legitim (litigii, audit)
Sesiuni AI (chat oaspeți)90 de zileMinimizarea datelor; șterse automat
Loguri de securitate și acces12 luniDetectare incidente, audit securitate
Date de marketing (cu consimțământ)Până la retragerea consimțământului
Date backup bază de date7 zile (backup zilnic)Recuperare dezastre; retenție automată Supabase

La expirarea perioadei de retenție, datele sunt șterse definitiv sau anonimizate ireversibil. Ștergerea datelor la cererea persoanei vizate (dreptul la ștergere) se procesează în termen de 30 de zile calendaristice, cu excepția datelor pentru care există obligații legale de păstrare.

7. Gestionarea încălcărilor de securitate a datelor

GTC SELECT GRUP SRL dispune de o procedură internă de răspuns la incidente de securitate (Data Breach Response Plan), care acoperă:

7.1 Detectare și evaluare

Orice incident suspect este semnalat imediat echipei tehnice. Se efectuează o evaluare a gravității (natura datelor afectate, numărul persoanelor vizate, probabilitatea prejudiciului) în termen de 24 de ore.

7.2 Notificarea autorității de supraveghere

În cazul unui incident care prezintă un risc pentru drepturile și libertățile persoanelor vizate, notificăm ANSPDCP în termen de 72 de ore de la momentul constatării, conform art. 33 GDPR. Notificarea include natura incidentului, categoriile și numărul aproximativ de persoane vizate, măsurile luate și cele planificate.

7.3 Notificarea persoanelor vizate

Dacă incidentul prezintă un risc ridicat pentru drepturile persoanelor vizate, le notificăm direct, fără întârzieri nejustificate (art. 34 GDPR), printr-un limbaj clar și simplu, indicând natura incidentului și măsurile de protecție recomandate.

7.4 Documentare

Toate incidentele de securitate sunt documentate intern (indiferent dacă impun notificare externă), inclusiv faptele, efectele și măsurile corective, conform art. 33(5) GDPR.

8. Evaluarea impactului asupra protecției datelor (DPIA)

Efectuăm o Evaluare a Impactului asupra Protecției Datelor (DPIA) ori de câte ori o prelucrare planificată este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, în special când:

  • introducem o nouă funcționalitate care implică prelucrare automată la scară largă;
  • utilizăm un nou sub-procesator care accesează categorii speciale de date;
  • schimbăm fundamental modul de stocare sau procesare a datelor oaspeților.

DPIA-urile sunt documentate intern și revizuite periodic. Dacă în urma DPIA identificăm un risc rezidual ridicat pe care nu îl putem reduce, consultăm ANSPDCP înainte de a demara prelucrarea.

9. Registrul activităților de prelucrare (ROPA)

Conform art. 30 GDPR, GTC SELECT GRUP SRL menține un Registru al Activităților de Prelucrare (ROPA) care documentează:

  • denumirea și datele de contact ale operatorului;
  • scopurile prelucrării pentru fiecare activitate;
  • categoriile de persoane vizate și de date cu caracter personal;
  • categoriile de destinatari;
  • transferurile către țări terțe și garanțiile aferente;
  • termenele de ștergere planificate;
  • o descriere generală a măsurilor tehnice și organizatorice de securitate.

ROPA este disponibil la cererea ANSPDCP și este actualizat ori de câte ori intervine o modificare semnificativă a activităților de prelucrare.

10. Drepturile persoanelor vizate

Detalii complete privind drepturile dumneavoastră (acces, rectificare, ștergere, restricționare, portabilitate, opoziție, retragerea consimțământului) și modul de exercitare a acestora se regăsesc în Politica de Confidențialitate.

Cererile de exercitare a drepturilor se depun la contact@tablette.ro și sunt soluționate în termen de 30 de zile calendaristice. În situații complexe, termenul poate fi prelungit cu încă 60 de zile, cu notificarea prealabilă a solicitantului.

Nu percepem taxe pentru exercitarea drepturilor, cu excepția cazului în care cererile sunt vădit nefondate sau excesive, situație în care putem percepe o taxă rezonabilă sau refuza să dăm curs cererii, motivând decizia.

11. Contact și depunerea reclamațiilor

Pentru orice întrebare legată de această politică, de prelucrarea datelor dumneavoastră sau pentru exercitarea drepturilor GDPR:

GTC SELECT GRUP SRL — Protecția Datelor
Str. Comarnic 59, București, România
CUI: 39138255
contact@tablette.ro
+40 751 954 687

Dacă nu sunteți mulțumit de răspunsul primit sau considerați că drepturile vă sunt încălcate, puteți depune o plângere la autoritatea de supraveghere competentă:

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
B-dul G-ral. Gheorghe Magheru 28–30, Sector 1, 010336 București
www.dataprotection.ro
anspdcp@dataprotection.ro

Versiunea în limba română a acestei politici este versiunea cu forță juridică obligatorie. Versiunea în limba engleză este furnizată exclusiv în scop informativ.

© 2026 GTC SELECT GRUP SRL. Toate drepturile rezervate.