Confidențialitate

Politică de Confidențialitate

Cum prelucrăm datele dumneavoastră în calitate de utilizator al platformei și ce drepturi aveți.

Ultima actualizare: 19 mai 2026 · Versiunea: 1.0.2 (draft)
Documentul este publicat în limba română. În caz de divergențe cu o eventuală traducere, prevalează textul în limba română.

Operator: RAMMER TECH S.R.L. (brand: Scribae) Versiunea: 1.0.1 Ultima actualizare: 18 mai 2026 Status: draft — în pregătire pentru review consultant juridic

Această politică explică, în limbaj accesibil, ce date personale prelucrăm despre tine atunci când vizitezi site-ul nostru sau folosești platforma Scribae, cum le folosim, cu cine le împărtășim și care sunt drepturile tale conform Regulamentului General privind Protecția Datelor (GDPR) și legislației române aplicabile.

1. Cine suntem (Operator)

Platforma Scribae este operată de:

Denumire legală: RAMMER TECH S.R.L.
Cod Unic de Identificare (CUI): 42223300
Numărul de înregistrare la Registrul Comerțului: J2020001650404 (EUID ROONRC.J2020001650404)
Sediu social: Intrarea Tăciunelui nr. 15, Et. 4, Ap. 8, Sector 2, București, cod poștal 023826
Reprezentant legal: Ciuca Albu Octavian Gabriel, Administrator
Brand operat: Scribae
Website: https://scribae.ro
Contact protecție date: dpo@scribae.ro

Rammer Tech S.R.L. este societatea care operează platforma Scribae. Această politică explică ce date personale prelucrăm despre tine ca vizitator al site-ului sau ca utilizator al platformei, cum le folosim, cu cine le împărtășim și care sunt drepturile tale.

2. Două roluri GDPR distincte

Pentru a înțelege această politică este important să cunoști că Scribae prelucrează date personale în două roluri GDPR diferite, în funcție de tipul datelor.

Pentru datele tale ca utilizator al platformei Scribae

Datele tale de cont (email, parolă, opțional autentificare cu doi factori), datele tale de plată (atunci când biroul plătește abonamentul), preferințele tale (limbă, temă, alegerile de consimțământ) și telemetria opt-in (atunci când o activezi explicit) sunt date pe care noi, Rammer Tech S.R.L., le primim direct de la tine la signup și pe parcursul utilizării platformei.

Pentru aceste date, Rammer Tech S.R.L. este Operator de date conform GDPR. Aceasta înseamnă că noi decidem scopurile (de ce prelucrăm) și mijloacele (cum prelucrăm) acestor date.

Pentru conținutul documentelor notariale încărcate

Atunci când un notar încarcă în platformă un document Word (.docx) cu conținutul unui act notarial care conține date despre clienții biroului, biroul notarial este Operator de date, iar Scribae (Rammer Tech) este Procesor.

Aceasta înseamnă că biroul notarial decide ce documente sunt prelucrate, în ce scop, și pe ce durată. Scribae procesează acel conținut strict pe instrucțiunile biroului notarial, prin Acordul de Prelucrare a Datelor (DPA — Data Processing Agreement) încheiat la signup. Detalii complete despre obligațiile noastre ca Procesor în Acordul de prelucrare a datelor (DPA).

De ce contează această distincție

Această distincție este importantă pentru a înțelege ce drepturi ai față de cine:

Pentru drepturile asupra contului tău Scribae (acces, rectificare, ștergere, portabilitate etc.), te adresezi nouă (Rammer Tech) la dpo@scribae.ro sau direct din aplicație, în meniul Setări.
Pentru drepturile asupra documentelor notariale pe care notarul ți le prelucrează (de exemplu un client al biroului care vrea să afle ce date despre el sunt în actul autentic), te adresezi biroului notarial direct — biroul este Operatorul.

3. Categorii de date personale prelucrate

Prelucrăm următoarele categorii de date personale.

3.1 Date de autentificare și cont (când îți creezi cont Scribae)

Email
Hash parolă (parola în sine NU este stocată — folosim funcție criptografică unidirecțională pentru a stoca doar amprenta parolei)
Opțional: token de autentificare cu doi factori (MFA)
Numele tău afișat în interfață
Identificator de tenant (asocierea ta la biroul notarial pentru care lucrezi)
Rolul tău în birou (Admin sau Notary)

3.2 Date de plată (când biroul plătește abonamentul)

Email destinatar factură
Nume cumpărător + adresă facturare (firmă sau persoană fizică)
Cod fiscal (CIF) sau cod numeric personal (CNP), după caz, pentru emiterea facturii
Date de plată tokenizate de furnizorul de plăți Stripe (numărul cardului în clar nu ajunge la noi — vezi §10 Transferuri internaționale pentru detalii complete)

3.3 Conținutul documentelor notariale (când ești notar care încarcă)

Documente Word (.docx) cu acte notariale care conțin date despre clienții biroului tău
Date personale ale părților din act (vânzători, cumpărători, mandatari, moștenitori, donatori etc.) — nume, CNP, adrese, date de naștere, sume, descrieri imobile, după caz date speciale precum informații despre sănătate în acte succesorale

Important: aceste date sunt prelucrate de noi în calitate de Procesor pentru biroul notarial, nu ca Operator (vezi §2).

3.4 Telemetrie opțională (opt-in)

Pattern-uri de utilizare agregate (frecvența folosirii anumitor funcționalități, durate medii de procesare etc.), fără identificatori personali expuși direct
Aceste date sunt colectate doar dacă activezi explicit opțiunea „Telemetrie analitică" în Setări → Confidențialitate, conform ADR 0006.
În lipsa consimțământului tău activ, această colecție nu se face.

3.5 Preferințe de consimțământ

Înregistrăm istoricul alegerilor tale (acceptarea cookie-urilor, opt-in-ul pentru telemetrie analitică, alte preferințe) ca dovadă de conformitate GDPR. Acest istoric este stocat ca audit-trail append-only (nu se modifică retroactiv) conform ADR 0006.

4. Scopuri și temei legal

Prelucrăm datele tale personale pentru următoarele scopuri, fiecare cu un temei legal explicit conform GDPR Art. 6:

Scop	Temei legal	Exemplu concret
Furnizare serviciu (creare cont, încărcare documente, procesare, generare facturi)	Executare contract — GDPR Art. 6(1)(b)	Procesăm email-ul tău pentru a-ți crea cont, a trimite invitația de echipă și a-ți permite accesul la platformă
Securitate platformă, prevenire fraudă, troubleshooting	Interes legitim — GDPR Art. 6(1)(f)	Logăm încercări eșuate de autentificare pentru a detecta atacuri brute-force și pentru a proteja conturile utilizatorilor
Telemetrie analitică	Consimțământ — GDPR Art. 6(1)(a)	Colectăm pattern-uri de utilizare agregate doar dacă activezi opt-in în Setări → Confidențialitate
Conformitate fiscală și legală (păstrare facturi, audit ANSPDCP)	Obligație legală — GDPR Art. 6(1)(c)	Păstrăm facturi 10 ani conform Codului Fiscal Român

5. Inteligență artificială și procesare automatizată

Această secțiune este importantă pentru transparența asupra modului în care platforma folosește inteligența artificială.

Ce face Scribae cu AI

Folosim servicii de inteligență artificială (inclusiv modele de limbaj natural pentru procesare textuală), găzduite pe infrastructura AWS în Uniunea Europeană (regiune Stockholm) pentru analiza și procesarea asistată a documentelor notariale — în prezent cu accent pe îmbunătățiri de formulare (diacritice, gramatică, ortografie, coerență). Aceste servicii rulează modele care pot propune, inter alia, modificări precum:

diacritice (de exemplu a → ă, s → ș, conform regulilor limbii române);
gramatică (acord, virgulă, conjuncții greșite);
ortografie;
coerență semantică (incoerențe între părți ale aceluiași document — de exemplu o sumă scrisă diferit în două locuri).

Datele rămân în Uniunea Europeană

Conținutul documentelor notariale rămâne integral în Uniunea Europeană pentru această componentă. Conținutul nu părăsește UE. Procesarea AI se face în regiunea AWS din Stockholm.

Datele tale NU sunt folosite pentru antrenarea modelelor AI

Această garanție este derivată din termenii contractuali activi între Scribae și AWS, fără document separat semnat:

AWS Service Terms § 50 prevede explicit că „Customer Content" (conținutul clientului) nu este folosit pentru dezvoltarea sau îmbunătățirea serviciilor AWS sau a modelelor de fundație asociate.
Pagina AWS privind protecția datelor pentru serviciile de inteligență artificială în infrastructura AWS confirmă același principiu și precizează că datele clientului sunt criptate în tranzit și la repaus.
Cadrul general este descris în AWS Data Processing Addendum (DPA).

Acești termeni sunt activi din momentul în care Scribae a creat contul AWS — au fost acceptați implicit la signup-ul AWS și constituie probă contractuală fără document separat semnat.

Retenție artefacte AI

Artefactele AI (versiuni intermediare ale documentului, trace-uri de debugging, rezultate ale pașilor de procesare) și documentele procesate sunt șterse automat în maxim 7 zile de la finalizarea procesării. Configurația aplicației (Proofreading:Retention:RetentionDays = 7) impune această retenție automată.

Poți șterge manual oricând documentele tale prin acțiunea „Purge" din interfață, înainte de expirarea celor 7 zile.

Notarul revizuiește întotdeauna corecturile

Notarul revizuiește întotdeauna corecturile sugerate înainte de autentificarea actului final. Sistemul AI este un asistent, nu un decident. Nu există decizii automatizate cu efecte juridice asupra clienților notarului — notarul rămâne integral responsabil pentru actul autentic.

Această abordare respectă cerințele Regulamentului (UE) 2024/1689 (EU AI Act) Art. 52 privind transparența sistemelor AI: utilizatorul este informat că documentul este procesat printr-un sistem AI, iar deciziile finale rămân ale persoanei umane (notarul).

6. Cu cine împărtășim datele (subprocesatori)

Folosim un număr limitat de furnizori — subprocesatori în sensul Art. 28 GDPR (în textul oficial al regulamentului în limba română: „altă persoană împuternicită de operator”) — pentru servicii pe care nu le rulăm intern (infrastructură cloud, plăți, facturare, email tranzacțional). Lista completă, actualizată, cu locații și baze legale de transfer, este disponibilă în subprocesatori.md.

Schimbarea oricărui subprocesator este notificată cu minim 15 zile preaviz către admini biroului notarial, conform politicii de versionare a documentelor legale (vezi §13).

7. Cookie-uri și stocare locală

Folosim un număr restrâns de cookie-uri și de stocare locală în browser (localStorage, sessionStorage) pentru ca platforma să funcționeze (autentificare, protecție CSRF) și pentru a-ți reține preferințele (limbă, temă, alegerile de consimțământ).

Telemetria analitică este opțională (opt-in) — nu se colectează nimic dacă nu activezi explicit această opțiune în Setări → Confidențialitate.

Detalii complete despre fiecare cookie folosit + cum gestionezi preferințele tale: politica-cookies.md.

8. Durata stocării datelor

Stocăm datele tale doar atât timp cât este necesar pentru scopul prelucrării.

Cont activ: datele tale de cont sunt stocate pe durata abonamentului tău Scribae. La închiderea contului prin acțiunea „Ștergere cont", datele de identificare sunt șterse imediat (vezi §9 pentru detalii despre dreptul de ștergere).
Documente notariale încărcate: maxim 7 zile de la finalizarea procesării (Proofreading:Retention:RetentionDays = 7 în configurația aplicației). Poți șterge manual oricând prin acțiunea „Purge" din interfață.
Trace-uri AI (versiuni intermediare debug, rezultate pași de procesare): maxim 7 zile, șterse împreună cu folder-ul documentului asociat.
Date de facturare: păstrăm facturile 10 ani conform Codului Fiscal Român. Aceasta este o obligație legală (Art. 6(1)(c) GDPR), nu o decizie a noastră opțională.
Preferințe de consimțământ: înregistrate ca audit-trail append-only conform ADR 0006. Sunt păstrate pe durata contractului și 3 ani după încetarea contractului, pentru a putea dovedi conformitatea în caz de audit ANSPDCP.

9. Drepturile tale GDPR (Art. 15–22)

Conform GDPR ai următoarele drepturi asupra datelor personale prelucrate de noi:

Dreptul de acces (Art. 15) — poți obține o copie a datelor pe care le avem despre tine, plus informații despre scopurile prelucrării, destinatari, durată de stocare etc.
Dreptul de rectificare (Art. 16) — poți cere corectarea datelor inexacte sau completarea celor incomplete.
Dreptul de ștergere („dreptul de a fi uitat") (Art. 17) — poți cere ștergerea datelor tale, în limitele permise de obligațiile legale (de exemplu păstrarea facturilor 10 ani).
Dreptul de restricționare a prelucrării (Art. 18) — poți cere oprirea temporară a prelucrării, în anumite situații (de exemplu cât timp verificăm o cerere de rectificare).
Dreptul de portabilitate (Art. 20) — poți primi datele tale într-un format structurat, citibil de mașină (de exemplu JSON sau CSV), și poți cere transmiterea către alt operator.
Dreptul de opoziție (Art. 21) — poți obiecta la prelucrarea bazată pe interesul legitim (de exemplu telemetrie sau analize de securitate). În acest caz vom înceta prelucrarea, cu excepția cazurilor în care avem motive legitime imperioase.
Dreptul de retragere a consimțământului (Art. 7(3)) — poți retrage oricând consimțământul dat anterior (de exemplu pentru telemetrie analitică). Retragerea nu afectează legalitatea prelucrării anterioare bazate pe acel consimțământ.

Cum exerciți aceste drepturi

În aplicație (cea mai rapidă cale):

Setări → „Ștergere cont" — declanșează POST /api/me/erase și cere un token de confirmare scris exact: ȘTERGE. Procesul șterge contul tău, documentele asociate ție și telemetria opt-in. Datele păstrate prin obligație legală (de exemplu facturi de 10 ani) rămân, dar sunt anonimizate față de identificator personal.
Setări → „Preferințe confidențialitate" — toggle pentru telemetrie analitică (poți activa sau retrage consimțământul oricând).

Prin email: scrie la dpo@scribae.ro. Răspundem în maxim 30 zile conform GDPR Art. 12. Dacă cererea este complexă, te putem informa că extindem termenul cu maxim 60 de zile suplimentare, cu explicație motivată.

Prin poștă: la sediul Rammer Tech S.R.L. (vezi §1 pentru adresă completă).

Reține că pentru drepturile asupra conținutului documentelor notariale (de exemplu un client al biroului care vrea acces la datele lui din actul autentic), te adresezi biroului notarial direct — biroul este Operatorul (vezi §2).

10. Transferuri internaționale

Mesaj-cheie: NU avem transferuri extra-UE pentru conținutul documentelor notariale.

Conținutul documentelor notariale

Rămâne integral în Uniunea Europeană:

Procesare AI: AWS regiunea Stockholm (eu-north-1)
Stocare aplicație: Microsoft Azure West Europe (Dublin, Irlanda)

Nu există transfer SUA pentru date brute. Detalii tehnice complete în subprocesatori.md.

Date plată Stripe

Stripe primește date personale pentru procesarea plății — nu doar metadate impersonale. Concret, Stripe primește:

Nume cumpărător
Email
Adresă facturare
Adresă IP
Fingerprint device (componenta anti-fraudă Stripe Radar — semnătură unică a dispozitivului folosit pentru a detecta tranzacții suspecte)
Token card (numărul cardului tokenizat — niciodată numărul de card în clar)

Toate aceste date sunt date personale conform GDPR pentru cumpărători persoană fizică.

Roluri GDPR (pe scurt): pentru plățile abonamentului, Rammer Tech S.R.L. decide scopurile și mijloacele prelucrării datelor tale de plată ca utilizator sau ca reprezentant al biroului — suntem operator GDPR pentru această prelucrare în relația cu tine. Stripe Payments Europe Ltd (Irlanda, UE) și Stripe Inc. (SUA) prelucrează aceste date ca împuterniciți (inclusiv în lanț, Art. 28 GDPR) și în orice alte calități prevăzute de contractele și politicile Stripe aplicabile modelului SaaS; detaliile sunt în Stripe DPA.

Unde intră datele în grupul Stripe:

Stripe Payments Europe Ltd (Irlanda, Uniunea Europeană) — flux de plată și operațiuni grup implicate pentru clienți din UE.
Stripe Inc. (Statele Unite) — backend operațional, inclusiv Stripe Radar (anti-fraudă) și notificări aferente.

Transferul către Stripe Inc. (SUA) este protejat prin:

Data Privacy Framework (DPF) — cadru de adecvare aprobat de Comisia Europeană pentru transferurile UE → SUA;
Standard Contractual Clauses (SCC) — clauze contractuale standardizate aprobate de Comisia Europeană.

Detalii complete în Stripe DPA.

Important: Stripe NU primește conținutul documentelor notariale. Stripe primește doar metadata cumpărător necesar procesării plății.

Telemetrie opt-in

Microsoft Application Insights, exclusiv în Azure West Europe (Uniunea Europeană).

De ce este important să declarăm Stripe în această secțiune

GDPR Art. 13 cere transparență privind toți destinatarii datelor personale. Stripe primește identitate (nume), locație (adresă, IP), comportament (fingerprint device pentru anti-fraudă) și token card — toate sunt date personale. Nu este suficient să spunem „doar pentru plată"; trebuie să fim expliciți despre ce primește Stripe și unde se procesează.

11. Securitate

Aplicăm măsuri tehnice și organizatorice pentru protecția datelor personale:

TLS 1.2+ pentru toate transmisiile (de la browser-ul tău la serverele noastre);
Criptare la repaus pentru baza de date (Azure managed encryption);
Control acces pe roluri (Admin / Notary) — fiecare utilizator vede doar ce are dreptul să vadă conform rolului din birou;
Izolare strictă multi-tenant — un birou notarial nu vede în niciun fel datele altui birou;
Rate limiting pe API pentru a preveni abuzul (atacuri automate, scraping);
Audit log pentru evenimente importante (autentificare, ștergere cont, modificare consimțăminte, încărcare și ștergere document);
Autentificare cu doi factori (MFA) disponibilă pentru toți utilizatorii — recomandată pentru conturile cu rol de Admin.

În caz de încălcare a securității care afectează datele tale personale, vom notifica autoritatea de supraveghere (ANSPDCP) în maxim 72 de ore conform GDPR Art. 33, și te vom informa direct dacă există un risc ridicat pentru drepturile tale conform Art. 34.

12. ANSPDCP — dreptul de a depune plângere

Dacă consideri că prelucrarea datelor tale personale încalcă GDPR, ai dreptul să depui plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP):

Website: https://www.dataprotection.ro/
Telefon: +40.318.059.211
Email: anspdcp@dataprotection.ro
Adresă: B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București, cod poștal 010336

Te încurajăm însă să ne contactezi direct mai întâi la dpo@scribae.ro ca să încercăm să rezolvăm problema rapid și amiabil.

13. Modificări la această politică

Schimbările la această politică urmează politica de versionare detaliată în README.md al folder-ului docs/legal/:

Schimbări patch (typo, clarificare formulare, fără schimbare de drept material): notă internă, fără re-notificare a utilizatorilor.
Schimbări minor (clarificare nouă, subprocesator adițional fără transfer extra-UE pentru date brute): notificare prin email către utilizatori, fără re-acceptare hard.
Schimbări major (schimbare scope prelucrare, transfer extra-UE nou pentru date brute, schimbare locație procesare AI): re-acceptare obligatorie la următorul login + banner persistent in-app până la confirmare.

Versiunea curentă, data ultimei actualizări și istoricul schimbărilor sunt vizibile în frontmatter-ul acestui document și în secțiunea changelog din header.

14. Contact

Pentru orice întrebare privind protecția datelor personale, ne poți contacta:

Email DPO / protecție date: dpo@scribae.ro
Adresă poștală: Rammer Tech S.R.L., Intrarea Tăciunelui nr. 15, Et. 4, Ap. 8, Sector 2, București, cod poștal 023826

Această politică este versiunea 1.0.2 din 19 mai 2026, status draft — în pregătire pentru review consultant juridic. Versiunea publicată finală va fi disponibilă pe https://scribae.ro după hosting public.

RAMMER TECH S.R.L. · CUI 42223300 · J2020001650404
Intrarea Tăciunelui 15, Et. 4, Ap. 8, Sector 2, București, 023826
Pentru întrebări privind protecția datelor: dpo@scribae.ro