Legal

Politica de confidențialitate

Data intrării în vigoare: 2 iunie 2026

Această Politică de confidențialitate explică modul în care KodeKind S.R.L. ("SRLeads", "noi", "al nostru"), o societate înregistrată în România, colectează, utilizează, partajează și protejează datele cu caracter personal atunci când utilizați platforma noastră de gestionare a lead-urilor ("Serviciul").

Ne angajăm să protejăm confidențialitatea dumneavoastră și să respectăm Regulamentul General privind Protecția Datelor (RGPD), Directiva ePrivacy și legislația română aplicabilă în materie de protecție a datelor.

1. Operatorul de date

KodeKind S.R.L. este operatorul de date pentru datele cu caracter personal pe care le colectăm despre utilizatorii noștri (titularii de conturi). Atunci când clienții noștri ("Organizațiile") utilizează Serviciul pentru a gestiona lead-uri, Organizația este operatorul de date pentru datele cu caracter personal din acele lead-uri, iar noi acționăm ca persoană împuternicită în numele acestora.

Nu am desemnat un Responsabil cu Protecția Datelor (RPD), deoarece nu îndeplinim pragurile obligatorii de desemnare conform art. 37 RGPD. Pentru toate solicitările privind confidențialitatea și pentru exercitarea drepturilor dumneavoastră de protecție a datelor, ne puteți contacta la [email protected].

2. Ce date colectăm

2.1 Date de cont (furnizate de dumneavoastră)

  • Înregistrare: prenume, nume, adresă de e-mail, parolă, număr de telefon (opțional).
  • Profil: preferința de limbă.
  • Facturare: denumire societate, cod de identificare fiscală (CUI), număr TVA, adresă de facturare. Detaliile cardului de plată sunt procesate de Stripe și nu sunt stocate niciodată pe serverele noastre.
  • Organizație: denumire organizație, denumire publică, logo.

2.2 Date de utilizare (colectate automat)

  • Date de sesiune: adresă IP, user agent, marcaje temporale ale sesiunii.
  • Jurnale de audit: acțiunile pe care le efectuați în cadrul Serviciului (crearea proiectelor, mutarea lead-urilor, modificarea setărilor), stocate împreună cu ID-ul dumneavoastră de utilizator, adresa IP și marcajul temporal.
  • Jurnale API: pentru utilizatorii API, înregistrăm metoda cererii, calea, codul de stare, timpul de răspuns și adresa IP.

2.3 Date despre lead-uri (furnizate de Organizația dumneavoastră)

Atunci când Organizația dumneavoastră creează și gestionează lead-uri, următoarele date cu caracter personal pot fi stocate:

  • Nume contact, e-mail, număr de telefon, link-uri social media (website, Instagram, Facebook, LinkedIn).
  • Note, înregistrări de activitate (apeluri, e-mailuri, întâlniri) și informații privind relațiile.
  • Stări de consimțământ (consimțământ SMS, e-mail, apel) și istoricul interacțiunilor.

Organizația dumneavoastră este operatorul de date pentru datele lead-urilor. Noi le procesăm exclusiv în numele Organizației dumneavoastră și în conformitate cu instrucțiunile acesteia.

2.4 Date despre companii (date deschise guvernamentale)

Menținem o bază de date de aproximativ 4 milioane de companii românești înregistrate, provenind din seturi de date deschise guvernamentale:

  • ANAF (Agenția Națională de Administrare Fiscală): denumiri companii, CUI, coduri CAEN, adrese, numere de telefon, stare fiscală.
  • ONRC (Oficiul Național al Registrului Comerțului prin data.gov.ro): detalii companii, reprezentanți legali (nume, funcții).
  • Ministerul Finanțelor (prin data.gov.ro): situații financiare anuale (venituri, profit, angajați).

2.5 Date privind reprezentanții legali (Notificare Art. 14 RGPD)

Obținem date cu caracter personal despre reprezentanții legali ai companiilor românești (nume și funcții) în mod indirect de la Oficiul Național al Registrului Comerțului (ONRC) prin data.gov.ro. Aceste date sunt publicate de ONRC ca set de date deschise guvernamentale în temeiul Legii 26/1990 (Registrul Comerțului) și al Licenței de Date Deschise a Guvernului României.

Procesăm aceste date în baza temeiului juridic al interesului public (art. 6 alin. (1) lit. (e) RGPD), întrucât sunt derivate din date deschise guvernamentale publicate oficial, puse la dispoziție în scopuri de transparență comercială. Aceste date sunt utilizate pentru afișarea informațiilor despre companii în funcțiile noastre de descoperire și căutare.

Furnizarea unei notificări individuale către toate persoanele vizate ar implica un efort disproporționat având în vedere amploarea (milioane de înregistrări fără date de contact directe disponibile), conform art. 14 alin. (5) lit. (b) RGPD. Dacă sunteți un reprezentant legal ale cărui date apar în baza noastră de date, vă puteți exercita drepturile (inclusiv dreptul de opoziție și ștergere) contactându-ne la [email protected]. Vom răspunde în termen de o lună.

2.6 Date de comunicare

  • SMS: numerele de telefon și conținutul mesajelor sunt stocate temporar în timpul livrării și sunt șterse permanent (anulate) imediat după livrarea cu succes sau eșec.
  • E-mail: adresele destinatarilor și conținutul e-mailurilor sunt procesate de furnizorul nostru de e-mail (Resend) pentru livrare.
  • Evidențe de consimțământ: evenimentele de consimțământ SMS/e-mail/apel sunt înregistrate într-un jurnal de interacțiuni imuabil pentru conformitate legală.

2.7 Dacă ați primit o comunicare nedorită

Dacă ați primit un SMS sau e-mail prin platforma noastră și considerați că a fost trimis fără consimțământul dumneavoastră, puteți: (a) răspunde STOP la SMS pentru a retrage imediat consimțământul; (b) utiliza pagina de opt-in/opt-out din link-ul inclus în mesaj pentru a vă gestiona preferințele; sau (c) raporta abuzul la [email protected].

Când primim un astfel de raport, vom identifica Organizația expeditoare, vom solicita dovada consimțământului și vom suspenda accesul acesteia la canalul de comunicare dacă consimțământul nu poate fi demonstrat. Acționăm ca persoană împuternicită — Organizația care v-a contactat este operatorul de date responsabil pentru obținerea consimțământului dumneavoastră.

3. Cum utilizăm datele dumneavoastră

ScopDate utilizateTemei juridic
Furnizarea și operarea ServiciuluiDate de cont, date de utilizareExecutarea contractului (art. 6 alin. (1) lit. (b))
Procesarea plăților și generarea facturilorDate de facturare, date de platăExecutarea contractului + Obligație legală (art. 6 alin. (1) lit. (b) + (c))
Trimiterea de e-mailuri tranzacționale (bun venit, chitanțe, alerte)Adresă de e-mail, prenumeExecutarea contractului (art. 6 alin. (1) lit. (b))
Trimiterea de e-mailuri de marketingAdresă de e-mail, prenumeConsimțământ (art. 6 alin. (1) lit. (a)) — opt-in la înregistrare
Gestionarea datelor lead-urilor în numele OrganizațiilorDate de contact lead, stări de consimțământExecutarea contractului (art. 6 alin. (1) lit. (b)) — rol de persoană împuternicită
Livrarea SMS prin releu Android în numele OrganizațiilorNumăr de telefon, conținut mesaj (anulat după livrare)Consimțământul lead-ului (art. 6 alin. (1) lit. (a)) — gestionat de Organizație
Menținerea securității și prevenirea abuzurilorAdresă IP, date de sesiune, jurnale de auditInteres legitim (art. 6 alin. (1) lit. (f))
Furnizarea descoperirii și căutării de companiiDate despre companii din surse guvernamentaleInteres public (art. 6 alin. (1) lit. (e))
Afișarea datelor reprezentanților legaliNume și funcții din ONRCInteres public (art. 6 alin. (1) lit. (e))
Analiza utilizării site-ului (dacă s-a acordat consimțământul)Vizualizări pagini, interacțiuni (anonimizate)Consimțământ (art. 6 alin. (1) lit. (a)) — consimțământ cookie
Afișarea de reclame (utilizatori gratuiți/neautentificați)Adresă IP, comportament de navigare, informații dispozitiv (partajate cu rețeaua de publicitate)Consimțământ (art. 6 alin. (1) lit. (a)) — consimțământ cookie
Notificări pushEndpoint abonament push + cheiConsimțământ (art. 6 alin. (1) lit. (a)) — permisiune browser
Aplicarea limitelor de rată și a cotelorAdresă IP, cheie API, număr cereriInteres legitim (art. 6 alin. (1) lit. (f))
Trasabilitate și conformitate legalăAcțiuni utilizator, adrese IP, marcaje temporaleInteres legitim (art. 6 alin. (1) lit. (f))
Creare automată de lead-uri (auto-add)Date companii conform criteriilor de filtrareInteresul legitim al Organizației (art. 6 alin. (1) lit. (f))
Verificarea e-mailuluiAdresă de e-mail, coduri OTP (TTL 10 minute)Executarea contractului (art. 6 alin. (1) lit. (b))

4. Cu cine partajăm datele

Nu vindem datele dumneavoastră personale. Partajăm date doar cu următoarele categorii de destinatari, fiecare acționând ca persoană împuternicită sau sub-împuternicită în baza unor acorduri corespunzătoare:

4.1 Sub-împuterniciți

ServiciuScopDate partajateLocație
StripeProcesarea plăților, gestionarea abonamentelorDenumire organizație, e-mail, metodă de plată, sume facturiSUA/UE (procesare date în UE)
SmartBillGenerarea facturilor fiscale româneștiDenumire societate, CUI, număr TVA, adresă, e-mail proprietar, sume facturiRomânia
ResendLivrare e-mailuri tranzacționale și de marketingE-mail destinatar, prenume, conținut e-mailSUA
CloudflareCDN, DNS, stocare obiecte (R2), CAPTCHA (Turnstile)Tot traficul HTTP proxy, logo-uri organizații, token-uri CAPTCHA + IPSUA/UE (rețea globală)
Google AnalyticsAnaliză site web (doar dacă s-a acordat consimțământul)Vizualizări pagini, interacțiuni, date anonimizateSUA/UE
Google AdSensePublicitate (doar dacă s-a acordat consimțământul, numai utilizatori gratuiți/neautentificați)Adresă IP, comportament de navigare, identificatori dispozitiv, date interacțiune cu reclameSUA/UE

Google Analytics este încărcat doar atunci când acordați consimțământul pentru analiză prin bannerul nostru de cookie-uri. Niciun script de analiză nu este încărcat și nicio informație nu este trimisă către Google până nu optați explicit.

4.4 Publicitate

Afișăm reclame prin Google AdSense vizitatorilor care nu sunt autentificați sau care utilizează un cont gratuit. Scripturile și cookie-urile de publicitate sunt încărcate doar după ce acordați explicit consimțământul pentru publicitate prin bannerul nostru de cookie-uri. Dacă nu acordați consimțământul, niciun script de publicitate nu este încărcat și nicio informație nu este partajată cu rețelele de publicitate.

Atunci când consimțământul pentru publicitate este acordat, Google și partenerii săi de publicitate pot plasa cookie-uri pe dispozitivul dumneavoastră pentru a difuza reclame personalizate pe baza comportamentului de navigare. Puteți gestiona preferințele de publicitate Google la adssettings.google.com sau puteți retrage consimțământul oricând prin bannerul nostru de cookie-uri. Abonații cu plan plătit nu vor vedea niciodată reclame.

4.2 Surse de date guvernamentale

Primim date de la API-urile guvernamentale românești și portalurile de date deschise (ANAF, ONRC, Ministerul Finanțelor). Nu partajăm datele dumneavoastră personale cu aceste surse.

4.3 Integrările Organizației dumneavoastră

Dacă Organizația dumneavoastră configurează webhook-uri, acțiuni rapide sau integrări API, datele lead-urilor pot fi transmise către URL-uri terțe specificate de Organizație. Organizația este responsabilă pentru aceste integrări.

5. Transferuri internaționale de date

Unii dintre sub-împuterniciții noștri au sediul în Statele Unite ale Americii (Stripe, Resend, Cloudflare, Google). Aceste transferuri sunt protejate prin:

  • Cadrul UE-SUA privind confidențialitatea datelor (Data Privacy Framework) (când sub-împuternicitul este certificat DPF).
  • Clauze contractuale standard (CCS) adoptate de Comisia Europeană, menținute ca mecanism de transfer suplimentar pentru toți sub-împuterniciții din SUA.
  • Măsuri tehnice și organizatorice suplimentare, conform Capitolului V din RGPD.

Monitorizăm evoluțiile în materie de drept al transferurilor internaționale de date și efectuăm Evaluări ale Impactului Transferurilor pentru sub-împuterniciții noștri din SUA. Puteți solicita o copie a garanțiilor de transfer relevante contactându-ne la [email protected].

6. Retenția datelor

Păstrăm datele dumneavoastră doar atât timp cât este necesar pentru scopurile descrise în această politică sau conform cerințelor legale.

DatePerioadă de retențieMotiv
Date de contPână la ștergerea contului + 30 zileExecutarea contractului + fereastră de export
Sesiuni24 oreSecuritate
OTP-uri de verificare e-mail10 minuteSecuritate
Token-uri apel90 secundeSecuritate
Numere de telefon și conținut SMSAnulate imediat la livrare/eșecMinimizarea datelor
Token-uri de consimțământ SMSPână la ștergerea lead-uluiGestionarea continuă a consimțământului
Jurnal de interacțiuni (evenimente consimțământ)Permanent (imuabil)Trasabilitate pentru conformitate legală
Jurnal de audit (operațiuni organizație)PermanentTrasabilitate pentru conformitate legală
Jurnale cereri API7 zile (curățare automată)Monitorizare operațională
Jurnale livrare webhook90 zileDepanare și audit
Facturi10 aniLegislația fiscală română (Legea 82/1991)
Date companii (pipeline)Actualizare continuăDate de bază ale produsului
Logo-uri organizațiiPână la ștergerea de către utilizatorControlat de utilizator
Preferințe consimțământ cookie1 anEvidență consimțământ RGPD

7. Cookie-uri și urmărire

Utilizăm un set minim de cookie-uri și stocare pe partea de client pentru a opera Serviciul. Nu utilizăm cookie-uri de urmărire în mod implicit.

7.1 Cookie-urile pe care le setăm

CookieScopDuratăTip
connect.sidAutentificarea sesiunii (httpOnly, secure)24 oreStrict necesar
cookie_consentPreferințele dumneavoastră de cookie (JSON)1 anStrict necesar

7.2 Altă stocare pe partea de client

StocareCheieScopDurată
Session Storageproject_setup_draftPăstrează starea asistentului de configurare proiectSesiune tab
Session Storage__chunk_reloadPrevine reîncărcarea infinită la erori de scriptSesiune tab
Cache APIsrleads-v2Service worker-ul memorează în cache resursele statice pentru performanțăPână la curățare

No localStorage nu este utilizat.

7.3 Cookie-uri de publicitate

Dacă acordați consimțământul pentru cookie-urile de publicitate prin bannerul nostru de cookie-uri, Google AdSense poate plasa cookie-uri pe dispozitivul dumneavoastră pentru a difuza și măsura reclamele. Aceste cookie-uri sunt plasate doar pentru vizitatorii care nu sunt autentificați sau care au un plan gratuit. Cookie-urile de publicitate comune includ:

CookieScopDuratăTip
__gads / __gpiDifuzare reclame Google și limitarea frecvențeiPână la 13 luniPublicitate (necesită consimțământ)
__eoiUrmărirea interacțiunilor cu reclamele GooglePână la 6 luniPublicitate (necesită consimțământ)
NID / IDE / DSIDPersonalizare reclame Google/DoubleClickPână la 13 luniPublicitate (necesită consimțământ)

Aceste cookie-uri nu sunt încărcate decât dacă acordați explicit consimțământul pentru publicitate. Puteți retrage consimțământul oricând prin bannerul de cookie-uri, care va elimina aceste cookie-uri de pe dispozitivul dumneavoastră.

7.4 Analiză de la terți

Utilizăm Google Analytics 4 pe paginile noastre de marketing (nu în dashboard) pentru a înțelege cum interacționează vizitatorii cu site-ul nostru. Google Analytics este încărcat doar după ce acordați explicit consimțământul pentru analiză prin bannerul nostru de cookie-uri. Dacă nu acordați consimțământul, niciun script de analiză nu este încărcat și nicio informație nu este trimisă către Google.

Atunci când consimțământul pentru analiză este acordat, utilizăm Google Consent Mode v2 cu următoarele setări:

  • analytics_storage: granted — permite cookie-urile Google Analytics.
  • ad_storage: denied implicit — setat la granted doar când acordați consimțământul pentru cookie-urile de publicitate.
  • ad_user_data: denied implicit — setat la granted doar când acordați consimțământul pentru cookie-urile de publicitate.
  • ad_personalization: denied implicit — setat la granted doar când acordați consimțământul pentru cookie-urile de publicitate.

Puteți retrage consimțământul pentru analiză oricând ajustând setările cookie-urilor din bannerul de consimțământ care apare în partea de jos a paginii.

7.5 CAPTCHA

Utilizăm Cloudflare Turnstile pe formularul de înregistrare pentru a preveni abuzurile automatizate. Turnstile poate procesa adresa dumneavoastră IP și caracteristicile browser-ului. Aceasta este strict necesară pentru securitate și nu necesită consimțământ.

8. Drepturile dumneavoastră

Conform RGPD, aveți următoarele drepturi privind datele dumneavoastră cu caracter personal:

DreptDescriereCum se exercită
Acces (art. 15)Solicitați o copie a tuturor datelor cu caracter personal pe care le deținem despre dumneavoastră.Utilizați butonul „Descarcă datele" din Profil > Date și confidențialitate sau trimiteți-ne un e-mail.
Rectificare (art. 16)Corectați datele cu caracter personal inexacte.Editați-vă profilul din dashboard sau trimiteți-ne un e-mail.
Ștergere (art. 17)Solicitați ștergerea datelor dumneavoastră cu caracter personal.Utilizați butonul „Șterge contul" din Profil > Date și confidențialitate. Trebuie să ștergeți mai întâi orice Organizație pe care o dețineți.
Restricționare (art. 18)Solicitați limitarea modului în care vă procesăm datele.Trimiteți-ne un e-mail la adresa de mai jos.
Portabilitate (art. 20)Primiți datele dumneavoastră într-un format lizibil automat (JSON).Utilizați butonul „Descarcă datele" din Profil > Date și confidențialitate.
Opoziție (art. 21)Opuneți-vă procesării bazate pe interes legitim.Trimiteți-ne un e-mail. Pentru e-mailurile de marketing, folosiți link-ul de dezabonare.
Retragerea consimțământului (art. 7 alin. (3))Retrageți orice consimțământ pe care l-ați acordat.Consimțământ cookie: ajustați prin bannerul de cookie-uri. Consimțământ SMS/e-mail pentru lead-uri: utilizați pagina de opt-in/opt-out. E-mailuri de marketing: link-ul de dezabonare.

Pentru a exercita oricare dintre aceste drepturi, contactați-ne la [email protected]. Vom răspunde în termen de o lună. Această perioadă poate fi prelungită cu două luni suplimentare pentru cererile complexe sau numeroase, caz în care vă vom informa despre prelungire în prima lună. Este posibil să vă solicităm verificarea identității înainte de procesarea cererii dumneavoastră.

8.1 Ce nu putem șterge

Anumite date sunt păstrate chiar și după ștergerea contului, conform cerințelor legale:

  • Intrări în jurnalul de interacțiuni: evidențe imuabile ale consimțământului și comunicărilor, necesare pentru conformitate legală. Acestea sunt protejate de trigger-e la nivel de bază de date care previn modificarea sau ștergerea.
  • Intrări în jurnalul de audit: evidențe ale acțiunilor semnificative, păstrate pentru securitate și conformitate.
  • Facturi: păstrate timp de 10 ani conform legislației fiscale române (Legea 82/1991).
  • Evidențe de consimțământ: ID-ul dumneavoastră de utilizator este eliminat (setat la null), dar evidența consimțământului este păstrată pentru a demonstra conformitatea legală.

8.2 Plângeri

Dacă depuneți o plângere privind confidențialitatea la noi, o vom confirma în termen de 5 zile lucrătoare și vom furniza un răspuns substanțial în termen de 30 de zile.

Dacă considerați că nu am abordat adecvat preocupările dumneavoastră, aveți dreptul de a depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP):

ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal
Website: www.dataprotection.ro

9. Securitate

Implementăm măsuri tehnice și organizatorice adecvate pentru a proteja datele dumneavoastră cu caracter personal, inclusiv:

  • Parole hașurate cu bcrypt (10 runde de salt).
  • Secrete MFA criptate în repaus cu AES-256-GCM.
  • Coduri de recuperare MFA hașurate cu SHA-256 înainte de stocare.
  • Cookie-uri de sesiune marcate ca httpOnly, secure (în producție) și SameSite=Lax.
  • Chei API hașurate cu SHA-256 (chei organizație) sau bcrypt (chei releu).
  • Numerele de telefon și conținutul mesajelor SMS șterse permanent imediat după livrare.
  • Semnăturile webhook Stripe verificate prin HMAC-SHA256.
  • Protecție CAPTCHA la înregistrare pentru prevenirea abuzurilor automatizate.
  • Limitare de rată pe endpoint-urile de autentificare și acces API.
  • Headere de securitate (Helmet) pe backend; headere securizate pe API-ul public.
  • Tot traficul criptat în tranzit prin HTTPS/TLS.

Niciun sistem nu este perfect securizat. Dacă descoperiți o vulnerabilitate de securitate, vă rugăm să o raportați responsabil la [email protected].

10. Procesare automată

Serviciul include următoarele funcționalități de procesare automată:

  • Adăugare automată de lead-uri: companiile care corespund criteriilor de filtrare ale Organizației dumneavoastră sunt adăugate automat pe board-uri ca lead-uri. Aceasta este configurată de Organizația dumneavoastră și utilizează date publice disponibile despre companii. Nu implică profilarea persoanelor fizice.
  • Expirare lead-uri: lead-urile adăugate automat pot fi eliminate automat după o perioadă de timp configurabilă dacă nu se acționează asupra lor.
  • Automatizări: regulile de tranziție între coloane pot declanșa acțiuni automate (notificări, actualizări de câmpuri, webhook-uri). Acestea sunt configurate de Organizația dumneavoastră.

Niciuna dintre aceste funcționalități nu implică luarea de decizii automatizate care produc efecte juridice sau afectează semnificativ persoanele fizice (art. 22 RGPD). Acestea operează pe date de entități comerciale, nu pe profilarea persoanelor fizice.

11. Confidențialitatea copiilor

Serviciul nu se adresează persoanelor cu vârsta sub 18 ani. Nu colectăm în cunoștință de cauză date cu caracter personal de la copii. Dacă aflăm că am colectat date de la un copil, le vom șterge prompt.

12. Modificări ale acestei politici

Este posibil să actualizăm această Politică de confidențialitate periodic. Atunci când efectuăm modificări substanțiale, vă vom notifica prin e-mail sau prin Serviciu cu cel puțin 30 de zile înainte ca modificările să intre în vigoare. "Data intrării în vigoare" din partea de sus a acestei pagini indică data ultimei actualizări a politicii.

13. Contactați-ne

Dacă aveți întrebări despre această Politică de confidențialitate, datele dumneavoastră personale sau doriți să vă exercitați drepturile, contactați-ne la:

KodeKind S.R.L.
CUI: RO54603957
ONRC: J2026028952000
Adresă: Str. Mihail Kogalniceanu, Camera 1, Bl.C8, Et.4, Ap.16, Timisoara, Timis, Romania
Telefon: +40 729 041 296
Solicitări confidențialitate: [email protected]
Solicitări generale: [email protected]

Politica de confidențialitate — SRLeads | SRLeads