Politica de Confidențialitate
Politica de Confidențialitate
Operator de date: Class RDA Impex SRL · Jurisdicție: RO CUI / VAT: 29867320 · Adresă: Str. Pridvorului, nr.5, bl.6, Ap.1, Sector 4, București, RO Versiune: vL2.1 · În vigoare din: 31 mai 2026
Prezenta Politică de Confidențialitate descrie modul în care Class RDA Impex SRL colectează, utilizează, stochează și protejează datele tale cu caracter personal în cadrul aplicației 4PRO, în conformitate cu Regulamentul (UE) 2016/679 (GDPR) și legislația română în vigoare.
Te rugăm să citești cu atenție acest document. Dacă ai întrebări, poți contacta Responsabilul nostru cu Protecția Datelor (DPO) la dpo@4pro.io.
1. Cine este operatorul tău de date
Class RDA Impex SRL este operatorul de date cu caracter personal colectate prin 4PRO.
| Denumire | Class RDA Impex SRL |
| Sediu | Str. Pridvorului, nr.5, bl.6, Ap.1, Sector 4, București, RO |
| CUI / VAT | 29867320 |
| Jurisdicție | RO |
| DPO | dpo@4pro.io |
În funcție de reședința ta sau de aplicația utilizată, operatorul tău efectiv poate diferi. În acest caz, vei fi notificat la înregistrare cu privire la entitatea care îți operează datele, conform regulilor de rutare a entității din sistemul nostru.
2. Responsabilul cu Protecția Datelor (DPO)
Am desemnat un DPO intern pentru a asigura respectarea GDPR. Poți contacta DPO-ul la orice oră la dpo@4pro.io pentru:
- exercitarea drepturilor tale (acces, ștergere, portabilitate etc.);
- întrebări despre modul în care prelucrăm datele tale;
- sesizări sau plângeri privind protecția datelor.
3. Ce date colectăm
3.1 Date de identificare și cont
La crearea contului colectăm: nume și prenume, adresă de e-mail, număr de telefon (opțional), parola (stocată în formă hash, niciodată în clar). Dacă te autentifici prin SSO (Single Sign-On) din altă aplicație din ecosistemul 4PRO, primim tokenul de sesiune și datele de profil aferente.
3.2 Date de utilizare a serviciului
Colectăm automat: log-uri de acces (adresă IP, User-Agent, timestamp), evenimentele de navigare în aplicație (paginile vizitate, funcțiile utilizate), preferințele setate în cont și istoricul acțiunilor efectuate.
3.3 Date privind sănătatea și nutriția (date speciale — Art. 9 GDPR)
Această secțiune se aplică doar dacă aplicația 4PRO prelucrează date privind sănătatea. În acest caz, funcționalitățile de jurnalizare nutrițională pot implica prelucrarea datelor speciale conform Art. 9 GDPR:
- Imagini de alimente încărcate pentru analiză prin IA;
- Mese jurnalizate (alimente consumate, cantitate, calorii, macronutrienți);
- Obiective nutriționale (calorii țintă, aport de proteine, carbohidrați, grăsimi);
- Greutate corporală și obiective de compoziție corporală (dacă le furnizezi);
- Scoruri de disciplină și progres generate de sistemul nostru;
- Interacțiuni cu AI Coach (mesaje, răspunsuri, recomandări).
Acolo unde sunt prelucrate, aceste date sunt prelucrate exclusiv pe baza consimțământului tău explicit (Art. 6(1)(a) + Art. 9(2)(a) GDPR), acordat prin bifarea câmpului dedicat la activarea funcționalității. Consimțământul este voluntar și poate fi retras oricând fără consecințe negative.
3.4 Date de comunicare
Dacă optezi pentru notificări prin WhatsApp, SMS sau e-mail: numărul de telefon WhatsApp/SMS și preferințele de notificare.
3.5 Date de plată
Plățile sunt procesate de furnizori terți certificați (Stripe, Revolut Business etc.). Nu stocăm date ale cardului bancar. Primim doar confirmarea tranzacției și un identificator de abonament.
3.6 Date tehnice și cookie-uri
Adresa IP, tipul de browser, sistemul de operare, rezoluția ecranului, date de sesiune și cookie-uri — conform Politicii de Cookie-uri.
4. Scopurile și temeiurile juridice ale prelucrării
| Scop | Categorii de date | Temei juridic (GDPR) |
|---|---|---|
| Crearea și gestionarea contului | Date de identificare | Art. 6(1)(b) — executarea contractului |
| Furnizarea funcționalităților de bază ale 4PRO | Date de utilizare, date cont | Art. 6(1)(b) — executarea contractului |
| Analiză nutrițională și coaching IA (dacă aplicația prelucrează date de sănătate) | Date de sănătate și nutriție | Art. 9(2)(a) — consimțământ explicit |
| Trimiterea notificărilor (push, WhatsApp, e-mail) | Date de contact, preferințe | Art. 6(1)(a) — consimțământ; sau Art. 6(1)(b) pentru notificări esențiale legate de cont |
| Procesarea plăților și managementul abonamentului | Date de tranzacție | Art. 6(1)(b) — executarea contractului |
| Securitate, prevenirea fraudei și abuzului | Date tehnice, log-uri | Art. 6(1)(f) — interes legitim |
| Îmbunătățirea produsului și analiza utilizării | Date de utilizare (anonimizate sau pseudonimizate) | Art. 6(1)(f) — interes legitim; sau Art. 6(1)(a) — consimțământ, pentru date personalizate |
| Respectarea obligațiilor legale (contabilitate, audit) | Date de identificare, tranzacție | Art. 6(1)(c) — obligație legală |
| Soluționarea litigiilor și apărarea drepturilor noastre | Date relevante litigiului | Art. 6(1)(f) — interes legitim |
Interesele noastre legitime (Art. 6(1)(f)) sunt evaluate prin test de proporționalitate (balancing test) și nu depășesc drepturile tale fundamentale. Poți solicita o copie a testului de balansare relevant contactând DPO-ul.
5. Date speciale privind sănătatea — garanții suplimentare
Această secțiune se aplică doar dacă aplicația 4PRO prelucrează date privind sănătatea. În acest caz, prelucrarea datelor de sănătate și nutriție (Art. 9 GDPR) este supusă unor garanții suplimentare:
- Consimțământ granular: poți activa/dezactiva separat jurnalizarea alimentară, urmărirea greutății și accesul AI Coach;
- Retragerea consimțământului: retragerea consimțământului pentru date de sănătate duce la dezactivarea funcționalităților asociate și la ștergerea datelor respective în termen de 30 de zile, fără a afecta legalitatea prelucrării anterioare;
- Acces restrictiv: datele de sănătate sunt accesibile exclusiv ție, echipei DPO și, în formă anonimizată, echipei tehnice pentru depanare;
- Nicio vânzare: nu vindem și nu comercializăm datele tale de sănătate niciunui terț;
- Fără antrenarea modelelor IA: datele tale speciale (de sănătate) transmise furnizorilor de IA pentru analiză nu sunt utilizate pentru antrenarea sau îmbunătățirea modelelor lor; sunt prelucrate exclusiv pentru a-ți returna rezultatul solicitat.
6. Destinatari și procesatori de date
Putem partaja datele tale cu terți exclusiv în contextele de mai jos:
6.1 Procesatori (acționează în numele nostru)
| Procesator | Rol | Locație | Garanție pentru transfer |
|---|---|---|---|
| Furnizor hosting (VPS / cloud) | Infrastructură server | UE/SEE | Nu se aplică (prelucrare în SEE) |
| Stripe / Revolut Business | Procesare plăți | UE/SEE și SUA | SUA: Clauze Contractuale Standard, Decizia (UE) 2021/914; EU-US Data Privacy Framework acolo unde furnizorul este certificat |
| Meta Platforms (WhatsApp Business API) | Notificări WhatsApp | SUA | Clauze Contractuale Standard, Decizia (UE) 2021/914; EU-US Data Privacy Framework acolo unde Meta este certificată |
| Furnizori AI (ex: Google Gemini, Anthropic, Groq) | Analiză imagini alimente, generare coaching | UE/SEE și SUA | SUA: Clauze Contractuale Standard, Decizia (UE) 2021/914; EU-US Data Privacy Framework acolo unde furnizorul este certificat |
| Serviciu e-mail tranzacțional | Trimitere e-mailuri de sistem | UE/SEE și, după caz, SUA | SUA: Clauze Contractuale Standard, Decizia (UE) 2021/914; EU-US Data Privacy Framework acolo unde furnizorul este certificat |
Toți procesatorii sunt obligați contractual să respecte GDPR prin Acorduri de Prelucrare a Datelor (DPA). Acolo unde transmitem date speciale (de sănătate) furnizorilor de IA, aceștia sunt obligați contractual să nu utilizeze datele pentru antrenarea modelelor lor.
6.2 Autorități publice
Partajăm date cu autorități publice exclusiv când avem obligație legală (ex: ANAF, instanțe judecătorești), în limita strictă a cererii.
6.3 Alți operatori din ecosistemul 4PRO
Dacă folosești mai multe aplicații din ecosistemul 4PRO (ex: 4PRO Client, 4PRO Pro), datele de cont pot fi partajate prin mecanismul SSO pentru autentificare unificată. Fiecare aplicație operează propriile funcționalități în calitate de operator distinct.
Acolo unde două sau mai multe aplicații stabilesc împreună scopurile și mijloacele unei prelucrări, acestea acționează ca operatori asociați în sensul Art. 26 GDPR. În acest caz, esența acordului dintre operatorii asociați (repartizarea responsabilităților privind îndeplinirea obligațiilor GDPR, în special exercitarea drepturilor tale, și un punct unic de contact pentru exercitarea drepturilor) îți este pusă la dispoziție, iar îți poți exercita drepturile față de oricare dintre operatorii asociați.
Nu vindem datele tale personale.
7. Transferuri internaționale de date
Operatorul tău de date este o entitate stabilită în România/UE; nu există un transfer internațional la nivelul operatorului. Anumiți destinatari și subîmputerniciți (procesatori) prelucrează însă date în afara Spațiului Economic European (SEE) — în special furnizorii de IA și de comunicații menționați mai jos. Garantăm că aceste transferuri se efectuează exclusiv pe baza unui mecanism legal valid conform Art. 46 GDPR:
- Stripe / Revolut Business (procesare plăți, SUA) — Clauze Contractuale Standard, Decizia (UE) 2021/914, completate de EU-US Data Privacy Framework acolo unde furnizorul este certificat;
- Meta Platforms / WhatsApp (notificări, SUA) — Clauze Contractuale Standard, Decizia (UE) 2021/914, completate de EU-US Data Privacy Framework acolo unde Meta este certificată;
- Furnizori AI — ex. Google Gemini, Anthropic, Groq (analiză imagini, coaching, SUA) — Clauze Contractuale Standard, Decizia (UE) 2021/914, completate de EU-US Data Privacy Framework acolo unde furnizorul este certificat;
- Serviciu e-mail tranzacțional / hosting — acolo unde implică prelucrare în afara SEE — Clauze Contractuale Standard, Decizia (UE) 2021/914, sau decizie de adecvare a Comisiei Europene.
Pentru destinatarii din țări cu decizie de adecvare a Comisiei Europene, transferul se bazează pe respectiva decizie de adecvare. Poți solicita o copie a garanțiilor aplicabile contactând DPO-ul la dpo@4pro.io.
8. Perioadele de retenție
| Categorie de date | Perioadă de retenție |
|---|---|
| Date de cont (activ) | Pe durata contului activ + 90 de zile după ștergere |
| Date de sănătate și nutriție | Pe durata contului activ + 30 de zile după retragerea consimțământului sau ștergerea contului |
| Log-uri de acces și securitate | 12 luni |
| Date de tranzacție și facturare | 10 ani (obligație legală — legislația fiscală) |
| Comunicări cu DPO | 5 ani (apărarea drepturilor legale) |
| Date de marketing (cu consimțământ) | Până la retragerea consimțământului |
| Conturi inactive | 24 luni inactivitate → notificare → 30 de zile → ștergere |
La expirarea perioadei de retenție, datele sunt șterse definitiv sau anonimizate ireversibil.
9. Drepturile tale conform GDPR
Conform GDPR, ai următoarele drepturi, pe care le poți exercita contactând dpo@4pro.io:
Dreptul de acces (Art. 15): Poți solicita o copie a datelor tale personale pe care le prelucrăm și informații despre modul de prelucrare.
Dreptul la rectificare (Art. 16): Poți solicita corectarea datelor inexacte sau completarea celor incomplete.
Dreptul la ștergere — „dreptul de a fi uitat" (Art. 17): Poți solicita ștergerea datelor tale atunci când: scopul prelucrării a încetat, ți-ai retras consimțământul, ai obiectat la prelucrare și nu există motive legitime prevalente, prelucrarea a fost ilegală, sau există o obligație legală de ștergere. Excepții: date necesare pentru obligații legale sau apărarea drepturilor în instanță.
Dreptul la restricționarea prelucrării (Art. 18): Poți solicita restricționarea prelucrării în anumite situații (de ex. contestarea exactității datelor).
Dreptul la portabilitate (Art. 20): Poți primi datele furnizate de tine în format structurat, utilizat în mod curent, citibil automat (JSON/CSV), și le poți transmite altui operator, atunci când prelucrarea se bazează pe consimțământ sau contract și este efectuată prin mijloace automatizate.
Dreptul la opoziție (Art. 21): Poți obiecta oricând la prelucrarea bazată pe interese legitime. Vom înceta prelucrarea dacă nu demonstrăm motive legitime imperative care prevalează. Ai dreptul necondiționat de opoziție la prelucrarea în scopuri de marketing direct.
Dreptul de a retrage consimțământul (Art. 7(3)): Consimțământul poate fi retras oricând, la fel de ușor cum a fost acordat, fără a afecta legalitatea prelucrării anterioare. Retragerea se poate face din Setări → Contul meu sau contactând DPO-ul.
Dreptul de a nu face obiectul unei decizii automate (Art. 22): Nu aplicăm decizii automate cu efect juridic semnificativ bazate exclusiv pe prelucrare automatizată fără implicare umană. Scorurile de disciplină și recomandările IA sunt consultative și nu produc efecte juridice.
Timp de răspuns: Îți vom răspunde la cerere în termen de 30 de zile calendaristice de la primire. Termenul poate fi prelungit cu 60 de zile în cazuri complexe, cu notificarea ta prealabilă.
10. Securitatea datelor
Implementăm măsuri tehnice și organizatorice adecvate pentru protejarea datelor tale:
- Transmisie criptată: toate comunicațiile utilizează TLS 1.2+;
- Stocare securizată: parolele sunt stocate hash cu bcrypt (cost factor ≥ 12); datele sensibile sunt criptate în repaus;
- Acces limitat: principiul necesității de cunoaștere (need-to-know) pentru angajați și contractori;
- Monitorizare: log-uri de acces și sisteme de detectare a intruziunilor;
- Proceduri de notificare a breșelor: în caz de incident care afectează drepturile tale, te notificăm în termen de 72 de ore de la descoperire (sau imediat ce este posibil), conform Art. 33-34 GDPR.
11. Cookie-uri
Utilizăm cookie-uri conform Politicii de Cookie-uri, care face parte integrantă din prezenta Politică de Confidențialitate.
12. Copii și minori
Serviciul nu este destinat copiilor sub 16 ani. Nu colectăm cu bună știință date de la minori sub această vârstă. Dacă afli că un minor ne-a furnizat date fără consimțământ parental adecvat, te rugăm să ne contactezi la dpo@4pro.io și vom șterge prompt datele respective.
13. Modificări ale politicii
Această Politică poate fi actualizată periodic. Modificările semnificative vor fi comunicate prin banner în aplicație și/sau e-mail cu minimum 14 zile înainte de intrarea în vigoare. Data ultimei actualizări este indicată în antetul documentului.
Continuarea utilizării Serviciului după intrarea în vigoare a modificărilor constituie acceptarea noii Politici.
14. Dreptul de a depune plângere la autoritatea de supraveghere
Dacă consideri că datele tale sunt prelucrate cu încălcarea GDPR, ai dreptul de a depune plângere la autoritatea de supraveghere competentă:
România — ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) Bd. G-ral. Gheorghe Magheru, nr. 28-30, Sector 1, București, Cod poștal 010336 Telefon: +40.318.059.211 E-mail: anspdcp@dataprotection.ro Web: https://www.dataprotection.ro
Ai și dreptul de a contacta autoritatea de supraveghere din statul UE în care îți ai reședința obișnuită, locul de muncă sau locul presupusei încălcări.
Exercitarea acestui drept nu aduce atingere dreptului tău de a recurge la căi de atac judiciare.
Contact
Class RDA Impex SRL Str. Pridvorului, nr.5, bl.6, Ap.1, Sector 4, București, RO E-mail DPO: dpo@4pro.io
Versiune vL2.1 · În vigoare din 31 mai 2026