1. Introducere și domeniu de aplicare
Nova Carpathians Creations S.R.L. (operând sub numele de GreenLead, „noi", „Compania") respectă drepturile fundamentale ale persoanelor fizice privind protecția datelor cu caracter personal, în conformitate cu Regulamentul (UE) 2016/679 (GDPR) și legislația națională aplicabilă.
Această politică detaliază:
- Drepturile dumneavoastră conform GDPR
- Modul în care le puteți exercita
- Angajamentele noastre privind protecția datelor
- Măsurile implementate pentru securitatea datelor
- Bazele legale pentru procesarea datelor
1.1 Baze legale pentru procesare
Procesăm datele dumneavoastră doar când avem o bază legală validă conform Art. 6 GDPR:
- Consimțământ (Art. 6(1)(a)): Pentru newsletter, marketing, cookies non-esențiale
- Contract (Art. 6(1)(b)): Pentru furnizarea serviciilor, procesarea ofertelor, comunicări despre servicii
- Obligație legală (Art. 6(1)(c)): Pentru facturare, raportări fiscale, conformitate ANPC
- Interes legitim (Art. 6(1)(f)): Pentru îmbunătățirea serviciilor, securitate, prevenirea fraudei
Pentru fiecare activitate de procesare, vă putem indica baza legală specifică la cerere.
2. Operatorul de date
- Identitate: Nova Carpathians Creations S.R.L. (operând sub numele de GreenLead)
- CUI: RO40526927
- Nr. Reg. Com.: J7/158/2019
- CUI: RO40526927
- Adresă: Sat Câmpeni (Com. Prăjeni) Nr. 80, Botoșani 717306
- Email: contact@greenlead.ro
- Telefon: 0754 389 035
3. Drepturile dumneavoastră conform GDPR
3.1 Dreptul la informare (Art. 13-14 GDPR)
Aveți dreptul să fiți informat despre:
- Identitatea și datele de contact ale operatorului
- Scopurile prelucrării datelor
- Categoriile de date prelucrate
- Destinatarii datelor
- Perioada de stocare
- Drepturile pe care le aveți
- Sursa datelor (dacă nu le-am colectat direct)
Cum implementăm: Prin această politică și notificări clare la colectare.
3.2 Dreptul de acces (Art. 15 GDPR)
Aveți dreptul să obțineți:
- Confirmarea că prelucrăm datele dvs.
- O copie a datelor prelucrate
- Informații despre prelucrare
Procedură:
- Trimiteți cerere la contact@greenlead.ro
- Anexați dovada identității
- Răspundem în maximum 30 zile
- Prima copie este gratuită
3.3 Dreptul la rectificare (Art. 16 GDPR)
Puteți solicita:
- Corectarea datelor inexacte
- Completarea datelor incomplete
Acțiune imediată: Pentru date de cont, folosiți dashboard-ul pentru actualizare instantă.
3.4 Dreptul la ștergere („dreptul de a fi uitat") (Art. 17 GDPR)
Puteți cere ștergerea când:
- Datele nu mai sunt necesare
- Vă retrageți consimțământul
- Vă opuneți prelucrării
- Datele au fost prelucrate ilegal
- Există obligație legală de ștergere
Excepții: Nu putem șterge date necesare pentru:
- Obligații legale (ex: facturi — 10 ani)
- Constatarea/exercitarea drepturilor în instanță
- Interes public sau arhivare
3.5 Dreptul la restricționarea prelucrării (Art. 18 GDPR)
Puteți cere restricționarea când:
- Contestați exactitatea datelor
- Prelucrarea este ilegală dar nu doriți ștergerea
- Nu mai avem nevoie de date dar dvs. le solicitați pentru acțiuni legale
- V-ați opus prelucrării și așteptăm verificarea
Efect: Datele vor fi doar stocate, nu prelucrate.
3.6 Dreptul la portabilitatea datelor (Art. 20 GDPR)
Pentru datele:
- Furnizate de dvs.
- Prelucrate pe bază de consimțământ/contract
- Prelucrate automatizat
Puteți primi datele în format CSV/JSON sau le putem transfera direct altui operator.
3.7 Dreptul la opoziție (Art. 21 GDPR)
Vă puteți opune:
- Prelucrării pentru marketing direct (opoziție absolută)
- Prelucrării bazate pe interes legitim (vom evalua)
- Prelucrării pentru cercetare/statistică
3.8 Dreptul de a nu fi supus deciziilor automatizate (Art. 22 GDPR)
Aveți dreptul să nu fiți supus unei decizii bazate exclusiv pe prelucrare automatizată.
La GreenLead: Nu luăm decizii complet automatizate cu efecte legale asupra dvs.
4. Drepturi specifice pentru decizii automatizate (AI)
Drepturi extinse pentru procesare AI
GreenLead utilizează inteligență artificială (GPT-4o-mini, operat de OpenAI) prin trei sisteme distincte:
- Spark AI — chat public pe site (fără autentificare, 15 mesaje/zi per IP)
- WhatsApp Spark — bot WhatsApp cu acces la ofertele și cererile dvs.
- GreenLead AI — asistent în dashboard-ul client (autentificat, 35 mesaje/zi)
Aveți drepturi specifice și extinse pentru aceste procesări automatizate.
4.1 Dreptul la intervenție umană
Puteți solicita ca orice decizie care vă afectează să fie revizuită de un operator uman:
- Cum: Email la contact@greenlead.ro
- Termen: Răspuns în maximum 30 zile conform Art. 12(3) GDPR (țintă internă: 5 zile lucrătoare)
- Ce se întâmplă: Un specialist uman va reevalua recomandarea/decizia
- Cost: Gratuit
4.2 Dreptul la explicații
Aveți dreptul să înțelegeți logica din spatele oricărei recomandări AI:
- De ce ați primit o anumită recomandare: Factorii principali luați în considerare
- Ce date au fost utilizate: Lista completă a datelor procesate
- Cum funcționează algoritmul: Explicație în limbaj non-tehnic
- Alternative considerate: Alte opțiuni analizate de sistem
Explicațiile sunt furnizate automat pentru fiecare recomandare sau la cerere în 72 ore.
4.3 Dreptul de contestare
Puteți contesta orice decizie automatizată prin:
- Trimiteți email la contact@greenlead.ro cu subiectul „Contestație decizie AI"
- Descrieți motivul contestației (opțional dar recomandat)
- Primirea confirmării în 24 ore
- Revizuire completă în 72 ore
- Decizie finală comunicată cu explicații detaliate
4.4 Dreptul de opt-out
Puteți dezactiva complet procesarea AI:
- Cum: Contactați contact@greenlead.ro cu subiectul „Dezactivare AI"
- Efect: Procesarea AI va fi dezactivată în maximum 48 ore, fără impact asupra altor servicii
- Ce pierdeți: Recomandări personalizate, asistentul Spark AI, asistentul WhatsApp Spark, GreenLead AI
- Ce păstrați: Acces complet la platformă, navigare manuală, comunicare directă cu partenerii
4.5 Transparența factorilor AI
Sistemul nostru AI (GPT-4o-mini) analizează următorii factori principali:
Date tehnice:
- Consum energetic istoric
- Suprafață disponibilă
- Orientare și umbrire
- Tip acoperiș/teren
Date preferințe:
- Buget disponibil
- Timeline dorit
- Priorități (cost vs. calitate)
- Experiențe anterioare
4.6 Garanții implementate
- Fără decizii 100% automatizate: Toate recomandările sunt sugestii, nu decizii finale
- Audit trimestrial: Verificăm bias-uri și discriminare
- Training echipă: Personal instruit pentru gestionarea contestațiilor AI
- Logs complete: Păstrăm istoricul complet pentru transparență
- Fără date sensibile: Nu procesăm date despre etnie, religie, opinii politice
4.7 Procedura de escalare
Dacă nu sunteți mulțumit de răspunsul primit, aveți următoarele opțiuni de escalare:
- Reluarea cererii la GreenLead: Trimiteți o nouă cerere la contact@greenlead.ro cu mențiunea „Escalare" și detaliile cererii inițiale. Cererea va fi prioritizată intern și revizuită de o persoană diferită de cea care a răspuns inițial.
- Plângere la ANSPDCP: Aveți dreptul absolut de a vă adresa direct autorității de supraveghere conform Art. 77 GDPR — www.dataprotection.ro
- Acțiune în instanță: Conform Art. 79 GDPR și Legii 190/2018, puteți acționa GreenLead în justiție la tribunalul din circumscripția domiciliului dvs.
Toate solicitările sunt gestionate prin canalul unic contact@greenlead.ro cu prioritizare internă bazată pe complexitate și urgență. Confidențialitatea cererii este garantată.
Important
Conform EU AI Act și GDPR Art. 22, aveți dreptul absolut de a nu fi supus unei decizii bazate exclusiv pe prelucrare automatizată care produce efecte juridice sau vă afectează în mod similar într-o măsură semnificativă. GreenLead garantează acest drept prin design.
5. Exercitarea drepturilor
5.1 Cum puteți face o cerere
- Email: contact@greenlead.ro
- Poștă: Sat Câmpeni (Com. Prăjeni) Nr. 80, Botoșani 717306
5.2 Ce trebuie să includeți
- Identificare clară (nume, email cont)
- Dreptul pe care îl exercitați
- Detalii specifice despre cerere
- Dovada identității (copie CI cu CNP acoperit parțial)
5.3 Termene de răspuns
- Standard: Maximum 30 zile calendaristice de la primire (Art. 12(3) GDPR)
- Țintă internă: 10 zile lucrătoare pentru cereri standard
- Extindere: +60 zile pentru cereri complexe (vă vom notifica în primele 30 zile)
- Cereri repetitive/nefondate: Putem percepe taxă rezonabilă sau refuza, conform Art. 12(5) GDPR
6. Măsuri tehnice și organizatorice
6.1 Securitate tehnică
- Criptare SSL/TLS pentru toate transmisiile
- Criptare AES-256 pentru date sensibile
- Firewall și protecție DDoS
- Monitorizare 24/7
- Penetration testing periodic
- Backup-uri criptate
6.2 Securitate organizatorică
- Principiul „need-to-know"
- Training GDPR pentru personal
- NDA pentru toți angajații
- Proceduri de incident response
- Audit anual de conformitate
6.3 Privacy by design
- Minimizarea datelor colectate
- Pseudonimizare unde e posibil
- Retenție limitată
- Acces granular bazat pe roluri
6.4 Documentație conformitate
- Menținem un Registru al Activităților de Prelucrare (ROPA) conform Art. 30 GDPR
- Am realizat Evaluări de Impact asupra Protecției Datelor (DPIA — Art. 35 GDPR) pentru procesările cu risc ridicat, inclusiv procesarea AI
- Aceste documente sunt disponibile la cerere pentru ANSPDCP
7. Transferuri internaționale
Principiu: Datele dumneavoastră sunt stocate primar în UE (România — Supabase hosting).
7.1 Furnizori din UE
- Supabase: Hosting bază de date (Germania/Irlanda)
- Vercel: Hosting aplicație (Frankfurt, Germania)
7.2 Transferuri către SUA
Utilizăm următorii furnizori din SUA, cu garanții adecvate:
- Stripe: Procesare plăți (EU-US Data Privacy Framework + Clauze Contractuale Standard)
- Google Analytics: Analiză trafic (Clauze Contractuale Standard)
- Resend: Serviciu email (Clauze Contractuale Standard)
- Meta (WhatsApp Business): Notificări și asistent WhatsApp Spark (EU-US Data Privacy Framework + Clauze Contractuale Standard)
- Microsoft Clarity: Heatmaps și session recordings (EU-US Data Privacy Framework + Clauze Contractuale Standard). Setat doar după consimțământ explicit.
7.3 Garanții implementate
- Verificăm certificările Privacy Shield/EU-US Data Privacy Framework
- Semnăm Clauze Contractuale Standard (SCC) conform Deciziei 2021/914/UE
- Realizăm Transfer Impact Assessments (TIA) pentru fiecare furnizor
- Implementăm măsuri suplimentare (criptare, pseudonimizare) unde e necesar
- Monitorizăm schimbările legislative (Schrems III)
7.4 Drepturile dvs.
Puteți solicita oricând informații despre transferurile internaționale ale datelor dvs. și copii ale garanțiilor implementate contactându-ne la contact@greenlead.ro.
8. Breșe de securitate
8.1 Procedura internă
- Detectare și containment (0-4 ore)
- Evaluare impact (4-24 ore)
- Notificare ANSPDCP (max 72 ore dacă e risc)
- Notificare persoane vizate (dacă risc ridicat)
- Documentare și îmbunătățiri
8.2 Angajamentul nostru
Vă vom notifica direct dacă:
- Breșa vă afectează
- Există risc pentru drepturi și libertăți
- Sunt necesare acțiuni din partea dvs.
9. Categorii speciale de date
NU procesăm:
- Date despre sănătate
- Date biometrice/genetice
- Opinii politice/religioase
- Origine rasială/etnică
- Orientare sexuală
- Apartenență sindicală
10. Marketing și comunicări
10.1 Baza legală
- Newsletter: Doar cu consimțământ explicit
- Notificări serviciu: Baza contractuală
- Oferte parteneri: Consimțământ separat
10.2 Dezabonare
- Link în fiecare email
- Dashboard cont
- Email la contact@greenlead.ro
- Efect imediat
11. Copii
Nu procesăm cu bună știință date ale persoanelor sub 16 ani. Conform Art. 8 GDPR, în România vârsta minimă pentru consimțământ valid este de 16 ani. Dacă descoperim date ale persoanelor sub această vârstă, le vom șterge imediat.
Pentru persoanele sub 16 ani, consimțământul trebuie acordat sau autorizat de titularul autorității părintești.
12. Retenția datelor
| Tip date | Perioadă | Motiv |
|---|---|---|
| Cont client activ | Pe durata cererii + 6 luni de la închidere | Executare contract |
| Cont client neconvertit (fără contract) | Maximum 2 ani de la ultima interacțiune | Interes legitim |
| Cont instalator | Durata contract + 5 ani | Obligații fiscale |
| Facturi/Plăți | 10 ani | Obligații legale (Cod Fiscal) |
| Date partajate cu instalatori | 90 zile la nivelul instalatorului | Obligație contractuală |
| Documente Casa Verde | 2 ani de la încărcare | Suport finanțare |
| Conversații WhatsApp | 12 luni de la ultima interacțiune | Suport utilizator |
| Conversații AI (Spark, GreenLead AI) | 30 zile | Diagnoză și debugging |
| Scoruri compatibilitate AI | 90 zile | Optimizare matching |
| Logs audit AI | 2 ani | Conformitate EU AI Act |
| Rate limiting (IP/user) | 90 zile | Anti-abuz |
| Logs tehnice | 90 zile | Securitate |
| Newsletter | Până la dezabonare | Consimțământ |
| Cookies | Vezi Politica Cookies | Variabil |
13. Autoritatea de supraveghere
ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal
- Website: www.dataprotection.ro
- Email: anspdcp@dataprotection.ro
- Telefon: +40.318.059.211
- Adresă: B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București
Aveți dreptul să depuneți plângere dacă considerați că drepturile dvs. au fost încălcate.
14. Actualizări ale politicii
- Revizuire: Minim anual
- Notificare: Email pentru schimbări majore
- Arhivă: Versiuni anterioare disponibile la cerere
- Ultima actualizare: 6 aprilie 2026
15. Contact și suport
Pentru exercitarea drepturilor GDPR:
- Email: contact@greenlead.ro
- Telefon: 0754 389 035
- Program: Luni-Vineri, 09:00-18:00
Termene de răspuns conform Art. 12(3) GDPR:
- Termen maxim legal: 30 zile calendaristice de la primirea cererii
- Pentru cereri complexe, termenul poate fi extins cu maximum 60 zile (vă vom notifica în primele 30 zile)
- Ne străduim să răspundem în 10 zile lucrătoare pentru cereri standard
- Confirmare de primire: 48 ore lucrătoare
16. Drepturi suplimentare conform Legii 190/2018 (România)
Legislație națională specifică
Pe lângă drepturile conferite de GDPR, Legea 190/2018 privind măsuri de punere în aplicare a GDPR în România vă oferă drepturi și garanții suplimentare.
16.1 Drepturi extinse în România
- Dreptul la despăgubire efectivă: Pentru prejudicii materiale sau morale cauzate de încălcarea GDPR, cu posibilitatea de a obține daune compensatorii și punitive conform legislației civile române
- Dreptul la acțiune în justiție: Puteți acționa în instanță operatorul sau persoana împuternicită, la tribunalul din circumscripția domiciliului dvs.
- Dreptul de a sesiza ANSPDCP fără taxe: Toate plângerile către autoritatea de supraveghere sunt gratuite
- Protecție specială pentru date biometrice: Restricții suplimentare pentru procesarea datelor biometrice (GreenLead nu colectează astfel de date)
- Dreptul la reprezentare: Puteți mandata o organizație non-profit să vă reprezinte în fața ANSPDCP sau instanțelor
- Protecție împotriva deciziilor administrative: Drept de contestare a sancțiunilor ANSPDCP în instanță
16.2 Sesizări către ANSPDCP
- Online: Formular electronic pe www.dataprotection.ro
- Email: anspdcp@dataprotection.ro
- Poștă: B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București
- Termen răspuns: Maximum 3 luni de la primire
- Limbă: Română (obligatoriu pentru documente oficiale)
16.3 Acțiuni în justiție
- Instanță competentă: Tribunalul din circumscripția domiciliului dvs.
- Termen prescripție: 3 ani de la data încălcării
- Taxe de timbru: Scutire pentru acțiuni GDPR (conform Legii 190/2018)
- Asistență juridică: Drept la avocat din oficiu dacă îndepliniți condițiile
- Probe: Sarcina probei revine operatorului (inversarea sarcinii probei)
16.4 Medierea conflictelor
Conform Legii 190/2018, puteți opta pentru medierea conflictelor privind protecția datelor:
- Medierea poate fi solicitată înainte sau în timpul procedurii la ANSPDCP
- Mediatorul trebuie să fie autorizat și specializat în protecția datelor
- Costurile medierii sunt suportate în mod egal de părți (sau negociabil)
- Acordul de mediere are putere de titlu executoriu
- GreenLead acceptă medierea ca metodă de rezolvare amiabilă
16.5 Sancțiuni specifice României
Pe lângă amenzile GDPR, Legea 190/2018 prevede:
- Sancțiuni contravenționale: 5.000 - 20.000 RON pentru încălcări minore
- Sancțiuni penale: Pentru încălcări grave cu intenție (utilizare ilegală date sensibile)
- Măsuri corective: Obligarea la implementarea măsurilor tehnice și organizatorice
- Publicarea sancțiunilor: ANSPDCP poate publica identitatea contravenienților
16.6 Particularități pentru servicii AI
Sistemele AI ale GreenLead sunt reglementate de Regulamentul UE 2024/1689 (EU AI Act), aplicabil direct în România începând cu 1 august 2024 (cu aplicare graduală pentru diferite categorii de risc). GreenLead respectă următoarele obligații:
- Transparență completă privind utilizarea AI (vezi secțiunea AI din Termeni și Condiții)
- Posibilitatea de dezactivare a procesării AI prin contact la contact@greenlead.ro
- Documentație tehnică internă conform Art. 6 EU AI Act, disponibilă autorităților la cerere
- Explicații în limba română pentru orice recomandare AI, la cerere
- Principiul „human-in-the-loop" — niciun proces decizional complet automatizat cu impact semnificativ
La nivel național, ANSPDCP este autoritatea competentă pentru aspectele GDPR ale procesării AI. Eventuala legislație națională suplimentară privind AI va fi reflectată în această secțiune la momentul intrării în vigoare.
Informații de contact ANSPDCP
- Website: www.dataprotection.ro
- Telefon: +40.318.059.211 / +40.318.059.212
- Program audiențe: Marți și Joi, 10:00 - 14:00
- Formular online plângeri: Disponibil pe website cu certificat digital
17. Declarație de angajament
GreenLead se angajează să:
- Respecte toate drepturile GDPR
- Mențină transparența totală
- Implementeze best practices
- Îmbunătățească continuu protecția datelor
- Colaboreze cu autoritățile
- Pună confidențialitatea dvs. pe primul loc
Document valabil începând cu 6 aprilie 2026. Versiunea: 2.0. Următoarea revizuire: 6 aprilie 2027.