Ultima actualizare: 1 iulie 2026
Politică GDPR — Siguranța Datelor
Cum colectăm, stocăm, protejăm și ștergem datele cu caracter personal — măsuri tehnice, organizatorice și drepturile dumneavoastră.
1. Principiile prelucrării datelor cu caracter personal
GTC SELECT GRUP SRL prelucrează datele cu caracter personal cu respectarea strictă a celor șapte principii fundamentale prevăzute de art. 5 din GDPR:
- Legalitate, echitate și transparență — prelucrăm datele numai în baza unui temei juridic valid și informăm persoanele vizate în mod clar și accesibil.
- Limitarea scopului — datele sunt colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior în mod incompatibil cu aceste scopuri.
- Reducerea la minimum a datelor — colectăm exclusiv datele necesare pentru scopul declarat, evitând colectarea excesivă.
- Exactitate — luăm măsuri rezonabile pentru a corecta sau șterge datele inexacte fără întârziere.
- Limitarea stocării — datele nu sunt păstrate mai mult decât este necesar; termenele de retenție sunt definite în Politica de Confidențialitate.
- Integritate și confidențialitate — asigurăm securitatea tehnică și organizatorică adecvată împotriva accesului neautorizat, pierderii sau distrugerii.
- Responsabilitate (accountability) — putem demonstra conformitatea cu principiile de mai sus și menținem documentația corespunzătoare.
2. Măsuri tehnice și organizatorice de securitate
2.1 Criptare și transmisie securizată
- Toate datele în tranzit sunt protejate prin TLS 1.2 sau superior; conectarea HTTP simplă este redirecționată automat spre HTTPS.
- Datele stocate în Supabase (baza de date PostgreSQL și fișierele Storage) beneficiază de criptare la repaus (AES-256).
- Parolele utilizatorilor sunt hașate prin algoritmul bcrypt gestionat de Supabase Auth; nu stocăm parole în text clar.
- Cookie-urile de sesiune sunt de tip HTTP-only și Secure, inaccesibile din JavaScript.
2.2 Infrastructură și hosting
- Aplicația web rulează pe Vercel (edge network global, izolare per-cerere).
- Baza de date și stocarea fișierelor sunt găzduite pe Supabase în regiunea AWS eu-central-1 (Frankfurt), în interiorul Uniunii Europene.
- Rețelele de producție sunt separate de mediile de development și staging.
- Copiile de rezervă (backup) ale bazei de date sunt realizate automat zilnic de Supabase și reținute 7 zile.
2.3 Securitatea aplicației
- Row Level Security (RLS) este activat pe toate tabelele cu date ale restaurantelor; fiecare client accesează exclusiv datele proprii.
- Cheile secrete (cheia API Anthropic, cheia secretă Stripe, cheia serviciu Supabase) sunt stocate exclusiv ca variabile de mediu server-side și nu sunt expuse niciodată în browser.
- Dependențele sunt monitorizate automat pentru vulnerabilități cunoscute (CVE) prin audit periodic.
- Capetele de API care generează sau accesează resurse sensibile (facturi PDF, URL-uri semnate) verifică întotdeauna proprietatea înainte de a răspunde.
2.4 Măsuri organizatorice
- Accesul la sistemele de producție este acordat pe baza principiului nevoii minime (least privilege).
- Membrii echipei cu acces la date de producție sunt instruiți periodic în materie de protecția datelor și securitate informatică.
- Contractele cu sub-procesatorii includ clauze obligatorii privind protecția datelor.
- Incidentele de securitate sunt gestionate conform procedurii descrise în secțiunea 7.
3. Controlul accesului
- Autentificare multi-factor (MFA) — disponibilă și recomandată pentru conturile de administrator al platformei.
- Izolare multi-tenant — fiecare restaurant operează într-un spațiu izolat logic; politicile RLS de la nivel de bază de date garantează că niciun client nu poate accesa datele altui client, chiar și în cazul unui token valid dar greșit aplicat.
- Cheia de serviciu Supabase — utilizată exclusiv în codul server (Server Actions, Route Handlers) pentru operații administrative justificate (ex. generarea token-urilor QR, procesarea webhook-urilor). Nu este niciodată transmisă clientului.
- Panoul super-admin — accesibil doar prin conturi cu rolul
super_admin, separat de conturile de restaurant. - Sesiunile expiră automat conform politicii Supabase Auth; reautentificarea este necesară periodic.
4. Sub-procesatori
GTC SELECT GRUP SRL utilizează următorii sub-procesatori pentru prestarea serviciilor. Toți au fost evaluați din perspectiva conformității GDPR și au semnat Acorduri de Prelucrare a Datelor (DPA):
| Furnizor | Rol | Sediu | Garanție transfer |
|---|---|---|---|
| Supabase Inc. | Bază de date, autentificare, stocare | SUA (date în UE) | DPA + SCC; date stocate în AWS eu-central-1 |
| Vercel Inc. | Hosting aplicație web, edge functions | SUA (edge UE) | DPA + SCC |
| Stripe Inc. | Procesare plăți | SUA | DPA + SCC; certificat PCI-DSS Level 1 |
| Resend Inc. | E-mail tranzacțional | SUA | DPA + SCC |
| Anthropic PBC | Modele AI (upselling, chat) | SUA | DPA + SCC; date nepermanente (nu sunt folosite pentru antrenament) |
| PostHog Inc. | Analitică produs | SUA (date în UE) | DPA + SCC; instanță eu.posthog.com |
| Functional Software (Sentry) | Monitorizare erori | SUA | DPA + SCC; date anonimizate/pseudonimizate |
Lista sub-procesatorilor este revizuită periodic. Clienții pot solicita lista actualizată la contact@tablette.ro. Adăugarea unui nou sub-procesator major este comunicată cu cel puțin 14 zile înainte prin e-mail.
5. Transferuri internaționale de date
Anumite servicii utilizate de Tablette implică transferul de date cu caracter personal în afara Spațiului Economic European (SEE), în special în Statele Unite ale Americii.
Aceste transferuri se efectuează exclusiv în baza unuia dintre mecanismele de transfer aprobate de art. 46 GDPR:
- Clauze Contractuale Standard (SCC) — adoptate prin Decizia de punere în aplicare (UE) 2021/914 a Comisiei Europene — utilizate cu toți sub-procesatorii din SUA.
- Stocarea în UE — pentru Supabase și PostHog, datele sunt stocate fizic în regiuni ale UE (Frankfurt), eliminând transferul efectiv.
Nu transferăm date cu caracter personal în țări fără un nivel adecvat de protecție și fără un mecanism de transfer valid.
6. Politica de retenție și ștergere a datelor
Datele cu caracter personal nu sunt păstrate mai mult decât este necesar pentru scopul prelucrării sau decât impun obligațiile legale.
| Categorie date | Perioadă retenție | Motivare |
|---|---|---|
| Date cont activ | Pe durata contractului + 30 zile | Fereastră export date post-reziliere |
| Date de facturare și documente contabile | 10 ani | Obligație legală (Legea contabilității nr. 82/1991) |
| Istoricul comenzilor | 3 ani | Interes legitim (litigii, audit) |
| Sesiuni AI (chat oaspeți) | 90 de zile | Minimizarea datelor; șterse automat |
| Loguri de securitate și acces | 12 luni | Detectare incidente, audit securitate |
| Date de marketing (cu consimțământ) | Până la retragerea consimțământului | — |
| Date backup bază de date | 7 zile (backup zilnic) | Recuperare dezastre; retenție automată Supabase |
La expirarea perioadei de retenție, datele sunt șterse definitiv sau anonimizate ireversibil. Ștergerea datelor la cererea persoanei vizate (dreptul la ștergere) se procesează în termen de 30 de zile calendaristice, cu excepția datelor pentru care există obligații legale de păstrare.
7. Gestionarea încălcărilor de securitate a datelor
GTC SELECT GRUP SRL dispune de o procedură internă de răspuns la incidente de securitate (Data Breach Response Plan), care acoperă:
7.1 Detectare și evaluare
Orice incident suspect este semnalat imediat echipei tehnice. Se efectuează o evaluare a gravității (natura datelor afectate, numărul persoanelor vizate, probabilitatea prejudiciului) în termen de 24 de ore.
7.2 Notificarea autorității de supraveghere
În cazul unui incident care prezintă un risc pentru drepturile și libertățile persoanelor vizate, notificăm ANSPDCP în termen de 72 de ore de la momentul constatării, conform art. 33 GDPR. Notificarea include natura incidentului, categoriile și numărul aproximativ de persoane vizate, măsurile luate și cele planificate.
7.3 Notificarea persoanelor vizate
Dacă incidentul prezintă un risc ridicat pentru drepturile persoanelor vizate, le notificăm direct, fără întârzieri nejustificate (art. 34 GDPR), printr-un limbaj clar și simplu, indicând natura incidentului și măsurile de protecție recomandate.
7.4 Documentare
Toate incidentele de securitate sunt documentate intern (indiferent dacă impun notificare externă), inclusiv faptele, efectele și măsurile corective, conform art. 33(5) GDPR.
8. Evaluarea impactului asupra protecției datelor (DPIA)
Efectuăm o Evaluare a Impactului asupra Protecției Datelor (DPIA) ori de câte ori o prelucrare planificată este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, în special când:
- introducem o nouă funcționalitate care implică prelucrare automată la scară largă;
- utilizăm un nou sub-procesator care accesează categorii speciale de date;
- schimbăm fundamental modul de stocare sau procesare a datelor oaspeților.
DPIA-urile sunt documentate intern și revizuite periodic. Dacă în urma DPIA identificăm un risc rezidual ridicat pe care nu îl putem reduce, consultăm ANSPDCP înainte de a demara prelucrarea.
9. Registrul activităților de prelucrare (ROPA)
Conform art. 30 GDPR, GTC SELECT GRUP SRL menține un Registru al Activităților de Prelucrare (ROPA) care documentează:
- denumirea și datele de contact ale operatorului;
- scopurile prelucrării pentru fiecare activitate;
- categoriile de persoane vizate și de date cu caracter personal;
- categoriile de destinatari;
- transferurile către țări terțe și garanțiile aferente;
- termenele de ștergere planificate;
- o descriere generală a măsurilor tehnice și organizatorice de securitate.
ROPA este disponibil la cererea ANSPDCP și este actualizat ori de câte ori intervine o modificare semnificativă a activităților de prelucrare.
10. Drepturile persoanelor vizate
Detalii complete privind drepturile dumneavoastră (acces, rectificare, ștergere, restricționare, portabilitate, opoziție, retragerea consimțământului) și modul de exercitare a acestora se regăsesc în Politica de Confidențialitate.
Cererile de exercitare a drepturilor se depun la contact@tablette.ro și sunt soluționate în termen de 30 de zile calendaristice. În situații complexe, termenul poate fi prelungit cu încă 60 de zile, cu notificarea prealabilă a solicitantului.
Nu percepem taxe pentru exercitarea drepturilor, cu excepția cazului în care cererile sunt vădit nefondate sau excesive, situație în care putem percepe o taxă rezonabilă sau refuza să dăm curs cererii, motivând decizia.
11. Contact și depunerea reclamațiilor
Pentru orice întrebare legată de această politică, de prelucrarea datelor dumneavoastră sau pentru exercitarea drepturilor GDPR:
GTC SELECT GRUP SRL — Protecția DatelorStr. Comarnic 59, București, România
CUI: 39138255
contact@tablette.ro
+40 751 954 687
Dacă nu sunteți mulțumit de răspunsul primit sau considerați că drepturile vă sunt încălcate, puteți depune o plângere la autoritatea de supraveghere competentă:
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)B-dul G-ral. Gheorghe Magheru 28–30, Sector 1, 010336 București
www.dataprotection.ro
anspdcp@dataprotection.ro
Versiunea în limba română a acestei politici este versiunea cu forță juridică obligatorie. Versiunea în limba engleză este furnizată exclusiv în scop informativ.
© 2026 GTC SELECT GRUP SRL. Toate drepturile rezervate.