Politica de Confidențialitate
Ultima actualizare: 19 mai 2026
Versiune: 1.0
Cine suntem
NotMessy este un serviciu SaaS pentru contabili, dezvoltat și operat de Dorin Vasilache (persoană fizică autorizată / SRL în curs de înregistrare), cu sediul în Chișinău, Republica Moldova. Adresa de contact pentru orice întrebări legate de această politică este [De completat: EMAIL].
NotMessy procesează date personale în calitate de:
- Operator de date (Data Controller) pentru datele contabililor utilizatori ai platformei;
- Persoană împuternicită de operator (Data Processor) pentru datele firmelor client gestionate de contabili.
Pentru relația de tip Processor, contabilul utilizator rămâne Data Controller responsabil pentru datele clienților săi, iar NotMessy operează pe baza unui Acord de Procesare a Datelor (DPA) disponibil în Setări.
Ce date colectăm și de ce
1. Date pe care ni le furnizezi direct
La crearea contului:
- Nume, prenume
- Adresă de email
- Telefon (opțional)
Pe parcursul utilizării:
- Date despre cabinetul tău de contabilitate (denumire, IDNO, adresă, statut TVA)
- Documente fiscale pe care le încarci sau primești prin bot Telegram (bonuri, facturi, contracte, declarații)
- Date despre firmele client pe care le gestionezi în NotMessy (denumire, IDNO, regim fiscal, domeniu de activitate)
- Categorii de cheltuieli și mapping conturi contabile (1C / Saga / alte sisteme)
Bază legală: Executarea contractului dintre tine și NotMessy (Art. 6(1)(b) GDPR), respectiv obligațiile legale fiscale pentru documentele contabile (Art. 6(1)(c) GDPR).
2. Date generate automat în timpul utilizării
- Adresa IP și informații despre dispozitiv (browser, sistem de operare)
- Loguri de activitate (login-uri, acțiuni efectuate, timestamps)
- Cookies necesare pentru autentificare și securitate
- Date de utilizare agregate (numărul de documente procesate, frecvența vizitelor)
Bază legală: Interes legitim pentru securitate, debugging și îmbunătățirea serviciului (Art. 6(1)(f) GDPR).
3. Date NU colectăm
NotMessy nu colectează:
- Date sensibile (rasă, etnie, religie, orientare politică, sănătate)
- Date biometrice
- Date de localizare GPS precisă
- Date despre minori (serviciul e exclusiv pentru profesioniști +18 ani)
- Numere de card de credit (plățile, când vor fi disponibile, se procesează prin furnizori specializați PCI-DSS)
De ce procesăm aceste date
- Furnizarea serviciului — gestionarea documentelor contabile, generarea rapoartelor, exportul în formate compatibile cu programe contabile (1C, Saga)
- Autentificare și securitate — verificarea identității tale la fiecare conectare, protecția împotriva accesului neautorizat
- Comunicare — trimiterea de email-uri tranzacționale (link de autentificare, confirmări, notificări de sistem)
- Conformitate legală — păstrarea documentelor fiscale conform legislației din Moldova și României
- Suport tehnic — diagnosticarea problemelor pe care le raportezi, asistență directă
- Îmbunătățirea produsului — analiza tendințelor de utilizare (anonimizate și agregate)
NU procesăm pentru:
- Marketing direct fără consimțământul tău explicit
- Profiling automatizat cu efecte juridice asupra ta
- Transfer către terți pentru advertising
- Antrenarea modelelor de inteligență artificială cu datele tale
Cu cine partajăm datele tale
NotMessy folosește următorii furnizori de servicii (sub-processori), fiecare cu obligații contractuale de confidențialitate și conformitate GDPR:
Anthropic, PBC (SUA)
- Servicii: Procesare AI pentru extragerea automată de date din documente fiscale (OCR + structured extraction)
- Date prelucrate: Imagini de bonuri/facturi încărcate de utilizatori
- Localizare: SUA (acoperit prin EU-US Data Privacy Framework și SCCs)
- Retenție: Anthropic NU folosește datele tale pentru antrenarea modelelor AI (conform ToS pentru API)
- Site: anthropic.com/privacy
Cloudflare, Inc. (SUA)
- Servicii: Storage R2 pentru documente, CDN, DDoS protection, DNS
- Date prelucrate: Imagini documente (criptate at-rest), DNS queries
- Localizare: SUA + EU edge locations
- Site: cloudflare.com/privacypolicy
Vercel, Inc. (SUA)
- Servicii: Hosting aplicație web app.notmessy.ai
- Date prelucrate: Metadata sesiuni, log-uri server
- Localizare: SUA + EU edge
- Site: vercel.com/legal/privacy-policy
Resend, Inc. (SUA)
- Servicii: Trimitere email-uri tranzacționale (magic link login, notificări, invitații colaboratori)
- Date prelucrate: Adresă email, conținut mesaj
- Localizare: SUA (eu-west-1 region Amazon SES)
- Site: resend.com/legal/privacy-policy
Hetzner Online GmbH (Germania)
- Servicii: VPS hosting pentru pipeline AI și baza de date PostgreSQL
- Date prelucrate: Bonuri/facturi (criptate at-rest în PostgreSQL), text OCR brut
- Localizare: Germania (Falkenstein datacenter)
- Site: hetzner.com/legal/privacy-policy
Telegram FZ-LLC (EAU)
- Servicii: Bot de încărcare documente (@notmessy_ai_bot)
- Date prelucrate: Imagini documente trimise prin chat, ID utilizator Telegram
- Localizare: EAU + distribuție globală
- Site: telegram.org/privacy
Nu vindem niciodată datele tale. Nu partajăm date cu agenți de marketing, brokeri de date sau alte terțe părți în scopuri comerciale.
Excepții legale: Putem partaja date dacă suntem obligați prin lege (ex: hotărâre judecătorească, anchetă penală oficială), notificându-te în prealabil dacă legea permite.
Transferuri internaționale
Unele servicii pe care le folosim (Vercel, Cloudflare, Resend, Anthropic) procesează date în SUA sau alte țări din afara UE. Aceste transferuri sunt protejate prin:
- Standard Contractual Clauses (SCC) aprobate de Comisia Europeană
- Data Privacy Framework (succesor Privacy Shield) pentru transferurile către SUA
- Garanții tehnice suplimentare (encryption in transit, encryption at rest)
Cât timp păstrăm datele
| Tip de date | Durată păstrare | Motivare | |---|---|---| | Cont utilizator activ | Pe durata contractului | Contract | | Cont după dezactivare | 30 zile (perioadă de grație pentru reactivare) | Serviciu clienți | | Documente fiscale (PDF/imagini + metadata) | 24 luni după dezactivarea contului | Cerințe legale de păstrare a documentației contabile (Legea contabilității Moldova) | | Loguri de securitate și audit | 12 luni | Interes legitim — investigații incidente | | Backup-uri ale bazei de date | 30 zile (rotație) | Disaster recovery | | Tokens de autentificare | 1 oră (consumate sau expirate automat) | Securitate | | Cookies de sesiune | Pe durata sesiunii browser | Funcționare aplicație |
După termenul de păstrare, datele sunt șterse definitiv din bazele primare și din backup-uri (cu maxim 30 zile întârziere tehnică pentru rotația backup-urilor).
Drepturile tale
În calitate de utilizator NotMessy, ai următoarele drepturi conform GDPR și Legii 133/2011 Moldova:
1. Dreptul de acces (Art. 15 GDPR)
Poți cere o copie a tuturor datelor tale procesate. Disponibil prin Setări → Cont → Exportă toate datele (descarcă un ZIP cu toate documentele și informațiile tale, generat în ~10 minute).
2. Dreptul la rectificare (Art. 16 GDPR)
Poți modifica oricând datele tale incorecte sau incomplete prin Setări → Cont.
3. Dreptul la ștergere / "Right to be Forgotten" (Art. 17 GDPR)
Poți cere ștergerea contului și a tuturor datelor tale prin Setări → Cont → Șterge cont. Procesul:
- Cererea ta e procesată imediat
- Contul devine inactiv în 24h
- Datele sunt șterse definitiv după 30 zile (perioadă de grație în caz de regret)
- Backup-urile sunt curățate în următoarele 30 zile
Excepție: Documentele fiscale pot fi reținute pe perioada cerută de legea contabilă (24 luni), dar fără să fie asociate identității tale (anonimizate).
4. Dreptul la restricționare (Art. 18 GDPR)
Poți seta contul pe "pauză" — datele rămân, dar nu se procesează activ.
5. Dreptul la portabilitate (Art. 20 GDPR)
Datele tale sunt exportabile în formate deschise (JSON, CSV, ZIP) prin funcția de export.
6. Dreptul la opoziție (Art. 21 GDPR)
Poți cere oprirea procesării pe bază de interes legitim (analytics agregate) prin contact direct la [De completat: EMAIL].
7. Dreptul de a nu fi supus deciziilor automatizate (Art. 22 GDPR)
NotMessy nu ia decizii automatizate cu efect juridic asupra ta. OCR-ul pe documente e o asistență tehnică, nu o decizie autonomă — rezultatele sunt mereu verificabile și modificabile de tine.
Cum exerciți aceste drepturi
- Prin Setări → Cont pentru acțiuni self-service (export, ștergere, modificare)
- Prin email la [De completat: EMAIL] pentru cereri specifice
- Timp de răspuns: Maxim 30 zile conform GDPR
- Cost: Gratuit (cu excepția cererilor manifest excesive)
Securitatea datelor
NotMessy implementează măsuri tehnice și organizatorice pentru protejarea datelor:
Tehnice:
- Comunicarea criptată (HTTPS/TLS 1.3, HSTS)
- Autentificare passwordless (magic link prin email, fără parole stocate)
- Sesiuni cu cookies HttpOnly și Secure, protecție CSRF
- Acces bază de date restricționat (least privilege)
- Backup-uri criptate zilnice
- Loguri de audit pentru acțiuni sensibile
Organizatorice:
- Echipă restrânsă cu acces strict necesar
- Code reviews pentru schimbări de securitate
- Plan de răspuns incident documentat
- Review trimestrial al practicilor de securitate
În caz de incident de securitate care afectează datele tale, te vom notifica în maxim 72 ore conform Art. 33 GDPR și vom notifica autoritățile competente (ANSPDCP în Moldova).
Cookies
Folosim cookies strict necesare pentru funcționarea platformei și cookies opționale pentru analytics. Detalii complete în Politica de Cookies.
Modificări ale acestei politici
Putem actualiza această politică periodic. La modificări semnificative te vom notifica:
- Prin email cu minim 30 zile înainte
- Printr-un banner vizibil în aplicație
- Update vizibil la "Ultima actualizare" în capul documentului
Istoricul versiunilor e disponibil la cerere la [De completat: EMAIL].
Cum ne contactezi
Pentru orice întrebare despre această politică sau despre datele tale:
- Email: [De completat: EMAIL]
- Adresă: [De completat: ADRESA]
- Responsabil cu protecția datelor (DPO): Dorin Vasilache (acting)
Pentru reclamații, te poți adresa și autorităților competente:
- Republica Moldova: Centrul Național pentru Protecția Datelor cu Caracter Personal (ANSPDCP), centru@anspdcp.md, tel. +373 22 820 801
- Uniunea Europeană: Autoritatea de Supraveghere din țara ta de reședință
Glosar
Date personale — orice informație despre o persoană fizică identificată sau identificabilă (ex: nume, email, IP).
Procesare — orice operațiune asupra datelor personale (colectare, stocare, modificare, ștergere).
Data Controller (Operator) — entitatea care decide ce date se colectează și de ce.
Data Processor (Persoană împuternicită) — entitatea care procesează date în numele unui Controller.
GDPR — Regulamentul General privind Protecția Datelor (EU 2016/679).
SCC (Standard Contractual Clauses) — clauze contractuale standard aprobate de Comisia Europeană pentru transferul de date în afara UE.