Conformitate GDPR

Cum respectăm Regulamentul (UE) 2016/679 și ce angajamente practice ne asumăm față de clienții și utilizatorii noștri.

// Ultima actualizare: 01 mai 2026 · versiunea 2.4

1. Roluri și responsabilități

În cadrul utilizării platformei SALUX:

  • Clientul (operator privat sau UAT) este Operator de date pentru datele introduse în platformă.
  • SALUX (MILBAC MANAGEMENT S.R.L.) este Persoană împuternicită, prelucrând datele exclusiv conform instrucțiunilor clientului.

Pentru datele colectate direct de pe site-ul public salux.ro (formulare de contact, newsletter), SALUX este Operator de date — vezi Politica de confidențialitate.

2. Principii GDPR aplicate

Aplicăm cele 7 principii GDPR la nivel de arhitectură:

  • Legalitate, echitate, transparență — fiecare prelucrare are temei și documentație
  • Limitarea scopurilor — datele se folosesc doar în scopul declarat
  • Minimizarea datelor — nu colectăm ce nu ne trebuie
  • Exactitate — utilizatorii pot rectifica datele oricând
  • Limitarea stocării — politici de retenție pe fiecare tip de date
  • Integritate & confidențialitate — criptare în repaus & în tranzit
  • Responsabilitate — audit log complet, RBAC granular

3. Acord de prelucrare a datelor (DPA)

Toate contractele noastre includ un Acord de Prelucrare a Datelor (DPA) conform art. 28 GDPR. DPA-ul detaliază:

  • Categoriile de date prelucrate
  • Categoriile de persoane vizate
  • Durata prelucrării
  • Drepturile și obligațiile părților
  • Măsurile de securitate aplicate

O versiune standard de DPA poate fi obținută la cerere de la dpo@salux.ro.

4. Măsuri tehnice și organizatorice

Tehnice
  • Criptare în tranzit (TLS 1.3) și în repaus (AES-256)
  • Backup zilnic automat cu rotație 7/4/12 (zile / săptămâni / luni)
  • Audit log pentru toate acțiunile sensibile, stocat 5 ani
  • Autentificare în doi factori (2FA) disponibilă pentru toate conturile
  • RBAC granular (Role-Based Access Control)
  • Izolare multi-tenant prin client_id la nivel de framework
Organizatorice
  • Acces la date pe principiul „need-to-know”
  • Training GDPR anual obligatoriu pentru tot personalul
  • Politica de parolă forte și schimbare periodică
  • Acord de confidențialitate semnat de toți angajații
  • Plan de continuitate a activității (BCP) și recuperare în caz de dezastru (DRP)

5. Sub-procesatori

Folosim un număr minim de sub-procesatori, toți cu sediul / servere în UE:

  • Hetzner Online GmbH (DE) — găzduire infrastructură
  • SendGrid (Twilio Ireland) — email tranzacțional
  • Sentry (DE region) — monitorizare erori aplicație

Lista completă a sub-procesatorilor și DPA-urile semnate cu fiecare sunt disponibile la cerere.

6. Transferuri internaționale

Nu efectuăm transferuri de date personale în afara Spațiului Economic European (SEE). Toate serverele și sub-procesatorii sunt localizați în UE.

7. Notificare incidente de securitate

În caz de incident de securitate care implică date personale:

  • Notificăm clientul (în calitate de Operator) în maximum 24 de ore de la descoperire
  • Furnizăm toate informațiile necesare pentru ca acesta să-și îndeplinească obligația de notificare către ANSPDCP în 72h
  • Cooperăm complet la investigație și măsuri de remediere

8. Responsabilul cu protecția datelor (DPO)

Contact DPO

Email: dpo@salux.ro
Răspundem în maximum 30 de zile la orice solicitare GDPR.