1. Introducere
Această politică GDPR se aplică tuturor partenerilor GreenLead care accesează și procesează date personale ale clienților prin intermediul platformei noastre de lead marketplace. Prin acceptarea acestei politici, partenerul confirmă că a citit, a înțeles și se angajează să respecte toate prevederile de mai jos, în conformitate cu Regulamentul (UE) 2016/679 (GDPR) și legislația națională aplicabilă.
2. Definiții
- „Date Personale" — orice informație privind o persoană fizică identificată sau identificabilă, inclusiv nume, număr de telefon, adresă email, adresă fizică.
- „Procesare" — orice operațiune efectuată asupra datelor personale, inclusiv colectarea, stocarea, utilizarea, transmiterea sau ștergerea acestora.
- „Lead" — un client potențial care și-a exprimat interesul pentru servicii de energie verde și și-a dat consimțământul pentru a fi contactat.
- „Platformă" — sistemul digital GreenLead accesibil la www.greenlead.ro, inclusiv Dashboard-ul Partener, Lead Marketplace și toate funcționalitățile asociate.
- „Procesori terți" — furnizori de servicii care procesează date personale în numele GreenLead (inclusiv Supabase, OpenAI, Meta/WhatsApp).
3. Principii fundamentale
Partenerii GreenLead se angajează să respecte următoarele principii în procesarea datelor:
- Legalitate, echitate și transparență
- Limitarea scopului — datele vor fi folosite exclusiv pentru ofertare și prestare servicii
- Minimizarea datelor — accesarea doar a datelor necesare
- Acuratețe — menținerea datelor actualizate
- Limitarea stocării — păstrarea datelor doar pe perioada necesară
- Integritate și confidențialitate — protejarea datelor împotriva accesului neautorizat
4. Obligațiile partenerului
Prin acceptarea acestei politici, partenerul se obligă să:
- Utilizeze datele clienților exclusiv în scopul pentru care au fost furnizate (ofertare și prestare servicii de energie verde)
- Nu divulge datele către terți fără consimțământul explicit al clientului
- Implementeze măsuri tehnice și organizatorice adecvate pentru securitatea datelor
- Informeze imediat GreenLead despre orice breșă de securitate (în maximum 24 de ore)
- Șteargă datele la cererea clientului sau la finalizarea scopului procesării
- Coopereze cu GreenLead în cazul auditurilor sau investigațiilor GDPR
- Nu utilizeze datele clienților pentru marketing direct fără consimțământul explicit al acestora
5. Accesul la date și statut juridic
Statut GDPR al partenerului: Odată cu primirea datelor clienților, partenerul instalator devine operator independent de date conform Art. 4(7) GDPR. Partenerul este responsabil în mod direct pentru conformitatea GDPR a propriei procesări, pentru răspunsul la cererile persoanelor vizate (Art. 15-22) și pentru notificarea breșelor de securitate către ANSPDCP conform Art. 33. GreenLead nu acționează ca persoană împuternicită (Art. 28) — relația este de la operator la operator (controller-to-controller).
Accesul partenerului la datele personale ale clienților depinde de modelul de parteneriat ales. GreenLead operează două modele:
5.1 Model Comision
În modelul comision, datele de contact ale clientului devin accesibile partenerului doar după parcurgerea următoarelor etape:
- Partenerul transmite o ofertă gratuită către lead-ul din Marketplace (datele de contact sunt ascunse)
- Clientul vizualizează oferta și solicită încheierea unui contract
- Partenerul încarcă contractul de prestare servicii pe Platformă
- Clientul acceptă contractul — în acest moment datele de contact devin vizibile partenerului
- Tranzacția este înregistrată în sistemul de audit
Detaliile comerciale ale modelului comision (rate, termene de plată) sunt disponibile exclusiv în Dashboard-ul Partener și în Termenii Operaționali ai Platformei.
5.2 Model Pay per Lead (Wallet)
În modelul wallet, datele clienților devin accesibile partenerului doar după:
- Achiziționarea lead-ului prin sistemul de wallet al platformei
- Confirmarea plății și deducerea sumei din balanța partenerului
- Înregistrarea tranzacției în sistemul de audit
Important
Indiferent de modelul de parteneriat, datele de contact ale clientului sunt accesibile partenerului exclusiv după ce clientul și-a exprimat interesul explicit pentru oferta partenerului respectiv. Partenerul nu poate accesa date de contact pentru lead-uri pentru care nu a transmis ofertă sau pentru care clientul nu a acceptat.
6. Perioada de păstrare
Partenerii pot păstra datele clienților pentru:
- Clienți neconvertiți (fără contract semnat): maximum 90 de zile de la primirea datelor. După această perioadă, datele trebuie șterse complet din toate sistemele partenerului.
- Clienți cu contract semnat: pe durata contractului plus perioada impusă de obligațiile legale (ex: 10 ani pentru documente contabile conform Codului Fiscal român).
- Clienți care au refuzat oferta: ștergere imediată a datelor, cu excepția unei mențiuni minimale (telefon + dată refuz) pentru evitarea contactării repetate timp de 12 luni.
Termenele de mai sus sunt obligatorii contractual prin Acordul de Parteneriat. Nerespectarea poate duce la suspendarea accesului la platformă și răspundere conform Art. 83 GDPR.
7. Drepturile clienților
Partenerul trebuie să respecte și să faciliteze exercitarea următoarelor drepturi ale clienților:
- Dreptul de acces la datele personale (Art. 15 GDPR)
- Dreptul de rectificare a datelor incorecte (Art. 16 GDPR)
- Dreptul de ștergere („dreptul de a fi uitat") (Art. 17 GDPR)
- Dreptul de restricționare a procesării (Art. 18 GDPR)
- Dreptul de portabilitate a datelor (Art. 20 GDPR)
- Dreptul de opoziție la procesare (Art. 21 GDPR)
8. Măsuri de securitate
Partenerii trebuie să implementeze minimum următoarele măsuri:
- Parole puternice și autentificare securizată pentru accesul la platformă
- Criptarea datelor în tranzit și în repaus
- Acces restricționat la date doar pentru personalul autorizat
- Backup regulat al datelor
- Instruirea personalului privind protecția datelor
9. Notificări prin WhatsApp
GreenLead utilizează WhatsApp Business API (operat de Meta Platforms Ireland Ltd.) pentru a transmite notificări partenerilor și clienților, inclusiv:
- Notificări despre lead-uri noi disponibile
- Notificări despre oferte primite sau acceptate
- Notificări despre statusul contractelor
- Comunicări operaționale legate de activitatea pe platformă
Prin utilizarea platformei, partenerul consimte la primirea acestor notificări prin WhatsApp. Mesajele sunt procesate prin infrastructura Meta, care acționează ca procesor de date în conformitate cu Art. 28 GDPR. Detalii despre garanțiile de transfer internațional sunt disponibile în Politica de Confidențialitate.
10. Procesare AI și date partener
GreenLead utilizează sisteme de inteligență artificială (modelul GPT-4o-mini, operat de OpenAI) pentru a oferi servicii îmbunătățite clienților. Aceste sisteme pot accesa și procesa următoarele date ale partenerilor:
- Date firmă: denumire, zonă de acoperire, specializări
- Portofoliu: tipuri de servicii, experiență, certificări
- Date oferte: prețuri, termene, condiții din ofertele transmise
Aceste date sunt utilizate în cadrul a trei sisteme AI distincte:
- Spark AI (chat public pe site) — oferă informații generale despre energie verde vizitatorilor anonimi. Nu accesează date individuale ale partenerilor.
- WhatsApp Spark (bot WhatsApp) — asistă clienții înregistrați cu informații despre ofertele primite. Poate accesa datele ofertelor partenerilor asociate cererii clientului.
- GreenLead AI (asistent în dashboard-ul clientului) — oferă consiliere personalizată clienților autentificați. Accesează ofertele reale ale partenerilor pentru comparații și recomandări.
Datele partenerilor procesate prin AI sunt utilizate exclusiv pentru a oferi recomandări clienților și nu sunt folosite pentru antrenarea modelelor AI. OpenAI acționează ca procesor de date cu obligația de a șterge datele după 30 de zile.
11. Procesori terți de date
GreenLead utilizează următorii procesori terți care pot accesa date personale ale clienților în contextul serviciilor oferite partenerilor:
- Supabase (UE — Germania/Irlanda): Hosting bază de date și autentificare
- Vercel (UE — Frankfurt): Hosting aplicație web
- Stripe (SUA): Procesare plăți — EU-US Data Privacy Framework + SCC
- OpenAI (SUA): Procesare AI (Spark AI, WhatsApp Spark, GreenLead AI) — EU-US Data Privacy Framework + SCC + DPA
- Meta / WhatsApp (UE/SUA): Notificări WhatsApp Business — EU-US Data Privacy Framework + SCC
- Resend (SUA): Trimitere email-uri — Clauze Contractuale Standard
Toate transferurile către procesori terți sunt reglementate prin Acorduri de Procesare a Datelor (DPA) conforme cu Art. 28 GDPR.
12. Răspundere și sancțiuni
Încălcarea acestei politici poate duce la:
- Suspendarea accesului la platformă
- Rezilierea contractului de parteneriat
- Răspundere legală conform GDPR (amenzi până la 4% din cifra de afaceri anuală)
- Obligația de a despăgubi clienții afectați
13. Contact
Pentru întrebări privind această politică sau pentru raportarea incidentelor GDPR:
- Email: contact@greenlead.ro
- Telefon: 0754 389 035
Această politică este efectivă începând cu 6 aprilie 2026. Versiunea: 2.0.