Înapoi la pagina principală

Politica de Confidențialitate

Ultima actualizare: 10 februarie 2026

1. Operatorul de date

Luxury Goods Manufacturing SRL, cu sediul în str. Fabricii de Zahar 104 Cluj-Napoca, CUI RO39394199, înregistrată la Registrul Comerțului sub nr. J40/1234/2024 (denumit în continuare "Bizu", "noi"), este operatorul datelor dumneavoastră cu caracter personal.

Email de contact pentru protecția datelor: privacy@bizucfo.ro

Responsabil cu protecția datelor (DPO): având în vedere volumul redus actual de date și absența activităților de monitorizare sistematică la scară largă (Art. 37(1)(b) GDPR), nu am desemnat încă un DPO formal. Pentru orice solicitare privind drepturile dvs. GDPR (acces, ștergere, portabilitate, opoziție), folosiți adresa de mai sus — răspundem în maxim 30 de zile. Dacă firma noastră depășește pragul de relevanță stabilit de ANSPDCP, vom desemna un DPO și vom actualiza această secțiune.

Autoritate de supraveghere: aveți dreptul să depuneți plângere la ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București, e-mail anspdcp@dataprotection.ro.

2. Ce date colectăm

  • Date de identificare: adresă de email, nume (opțional)
  • Date despre firmă: CUI, denumire firmă, cod CAEN
  • Documente financiare: balanțe de verificare, extrase de cont (PDF, Excel) încărcate de dumneavoastră
  • Date de la ANAF: informații publice despre firmă (bilanțuri, status TVA, cifra de afaceri)
  • Date tehnice: adresă IP, tip browser, cookie-uri esențiale pentru autentificare

3. Temeiul juridic al prelucrării

  • Executarea contractului (Art. 6 alin. 1 lit. b GDPR) — prelucrăm datele dumneavoastră pentru a vă furniza serviciul de analiză financiară conform termenilor și condițiilor acceptate
  • Interesul legitim (Art. 6 alin. 1 lit. f GDPR) — îmbunătățirea serviciului, prevenirea fraudelor, securitatea platformei
  • Obligație legală (Art. 6 alin. 1 lit. c GDPR) — respectarea obligațiilor fiscale și contabile

4. Cum folosim datele

  • Furnizarea analizei financiare automate (AI)
  • Îmbogățirea datelor cu informații publice ANAF
  • Generarea rapoartelor și indicatorilor
  • Comunicarea prin email sau WhatsApp
  • Îmbunătățirea serviciului și suport tehnic
  • Benchmark agregat pe sector (CAEN): calculăm statistici anonimizate și agregate pe cod CAEN și lună (medii și mediane: cifra de afaceri, marjă, lichiditate, termen de încasare etc.), pentru a-ți putea spune cum stai față de firme similare. Datele sunt anonimizate ireversibil (CUI-ul este înlocuit cu un cod criptografic, nu este stocat) și agregate — o statistică este afișată doar dacă provine de la cel puțin 5 firme, astfel încât nicio firmă individuală nu poate fi reconstruită. Temei: interes legitim (Art. 6 alin. 1 lit. f GDPR). Te poți retrage oricând din /dashboard/setari — contribuția firmei tale va fi exclusă din calcule de la acel moment.

5. Sub-procesatori

Utilizăm următorii furnizori terți care pot avea acces la datele dumneavoastră:

  • Vercel Inc. (SUA / EU) — hosting și infrastructură web
  • Supabase Inc. (SUA, regiune EU pentru stocare) — bază de date, autentificare, stocare fișiere
  • Anthropic PBC (SUA) — procesare AI pentru analiza documentelor financiare și răspunsuri în chat. Doar conținutul mesajelor + context-ul firmei (cifre balanță, CUI). NU includem date de identificare personală directă (nume, CNP, email) în prompt-uri.
  • Salt Edge SA (Lituania, UE) — agregare automată de tranzacții bancare (PSD2 AISP). Folosit DOAR dacă utilizatorul activează conexiunea bancară automată din /dashboard/banca. Date transmise: identificator de cont, IBAN, sold, lista tranzacțiilor (90 zile back). Salt Edge este TPP licențiat și operează sub regimul PSD2 + GDPR în UE.
  • ANAF (Agenția Națională de Administrare Fiscală) (România) — pentru integrarea eFactura via SPV (token OAuth scope CUI). NU este sub-procesator în sensul Art. 28 (este operator independent — autoritate fiscală), dar transmitem token + CUI către endpoint-urile lor. Token-urile sunt stocate criptat (AES-256-GCM) și pot fi revocate oricând de către ANAF independent de Bizu.
  • Oblio Software SRL (România) — generare facturi PDF (când utilizatorul activează integrarea Oblio). Date transmise: detalii client + linie de factură.
  • Meta Platforms Inc. (SUA / EU) — comunicare WhatsApp Business API
  • Stripe Inc. (SUA / EU) — procesare plăți și gestionare abonamente
  • Resend Inc. (SUA) — trimitere email-uri tranzacționale și newsletter
  • Upstash Inc. (SUA, region EU disponibil) — serviciu de rate limiting distribuit (Redis). Stocăm chei derivate din IP / user_id + counter, NU conținut.
  • Sentry (Functional Software, Inc.) (SUA) — monitorizare erori aplicație (date pseudonimizate, scrubbing automat de email/IP/cookies)

Transferuri internaționale (Schrems II): pentru transferurile către SUA aplicăm Clauzele Contractuale Standard (SCC) aprobate de Comisia Europeană prin Decizia (UE) 2021/914. În plus, am realizat un Transfer Impact Assessment (TIA) și aplicăm măsuri tehnice și organizatorice suplimentare: pseudonimizarea datelor sensibile, criptare în tranzit (TLS 1.3) și la repaus (AES-256), izolare strictă pe user/firmă prin mecanisme Row Level Security, limitarea minimă a datelor transmise către modelele AI (fără date de identificare directă în prompt-uri).

6. Durata stocării (retention)

  • Datele contului: păstrate pe toată durata existenței contului activ. După ștergerea contului, datele sunt eliminate în maxim 30 de zile.
  • Documentele financiare (balanțe încărcate): procesate automat și stocate pentru maxim 12 luni de la încărcare, apoi șterse automat.
  • Rezultatele analizelor: păstrate pe durata existenței contului.
  • Conversații AI (chat web + WhatsApp): mesajele individuale sunt păstrate pentru context conversațional și continuitate; pentru conturi inactive (fără login > 24 luni) conversațiile sunt arhivate automat. Conținutul prompt-urilor NU este reținut de Anthropic conform politicii lor zero-retention pentru API enterprise.
  • Tranzacții bancare (Salt Edge): ultimele 90 de zile, refresh la cererea utilizatorului. La deconectare cont, tranzacțiile aferente conexiunii sunt șterse automat (CASCADE).
  • Token-uri ANAF SPV (eFactura): stocate criptat AES-256-GCM până la deconectare sau expirare (refresh ~5 ani per spec OAuth ANAF).
  • Memorie AI persistentă (fapte despre firmă): fapte cu nivel scăzut de încredere (<0.3) sau ne-referențiate de peste 18 luni sunt purgeate automat. Userul poate șterge manual oricare fapt din /dashboard/setari/memorie.
  • Log audit consimțământ (consent_log): 5 ani (Art. 7(1) GDPR — sarcina probei că am obținut consimțământul).
  • Newsletter dezabonați: rândul rămâne ca listă de suppression pentru max 24 luni după dezabonare, apoi e șters.
  • Telemetrie LLM (llm_request_log): 365 zile — metadata only (tokens consumați, cost, model, pack folosit). NU stocăm conținutul prompt-urilor sau răspunsurilor.

7. Drepturile dumneavoastră

Conform GDPR, aveți următoarele drepturi asupra datelor personale:

  • Dreptul de acces — puteți solicita o copie a datelor pe care le deținem despre dumneavoastră
  • Dreptul la rectificare — puteți cere corectarea datelor inexacte
  • Dreptul la ștergere ("dreptul de a fi uitat") — puteți cere ștergerea datelor
  • Dreptul la portabilitate — puteți primi datele într-un format structurat
  • Dreptul la restricționarea prelucrării
  • Dreptul de opoziție la prelucrarea bazată pe interesul legitim

Pentru exercitarea oricărui drept, contactați-ne la privacy@bizucfo.ro. Vom răspunde în maxim 30 de zile.

8. Procesare automatizată

Bizu utilizează inteligență artificială pentru analiza documentelor financiare. Rezultatele sunt generate automat și au caracter exclusiv informativ. Nu se iau decizii automate cu efecte juridice asupra dumneavoastră.

9. Plângeri

Dacă considerați că drepturile dumneavoastră privind protecția datelor au fost încălcate, aveți dreptul de a depune o plângere la:

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București
Website: www.dataprotection.ro

10. Modificări

Ne rezervăm dreptul de a actualiza această politică. Orice modificare semnificativă va fi comunicată prin email sau prin notificare în aplicație.