1. INTRODUCERE

Atelierul Luminii SRL (denumita in continuare "Operatorul", "noi" sau "Atelierul Luminii") acorda o importanta deosebita protectiei datelor cu caracter personal ale persoanelor fizice care interactioneaza cu site-ul nostru www.atelierul-luminii.ro (denumit in continuare "Site-ul").

Prezenta Politica de Confidentialitate a fost elaborata in conformitate cu:

•           Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date (GDPR);
•           Legea nr. 190/2018 privind masuri de punere in aplicare a Regulamentului (UE) 2016/679;
•           Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice;
•           Directiva ePrivacy 2002/58/CE, astfel cum a fost modificata prin Directiva 2009/136/CE;
•           Orientarile si recomandarile Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP).

 

Prin utilizarea Site-ului si/sau plasarea de comenzi, confirmati ca ati citit, inteles si acceptat prezenta Politica de Confidentialitate. Va rugam sa nu utilizati Site-ul daca nu sunteti de acord cu aceasta politica.

2. DEFINITII SI TERMINOLOGIE

In sensul prezentei Politici de Confidentialitate, urmatorii termeni au urmatoarele semnificatii:

 

Termen	Definitie
Date cu caracter personal	Orice informatii privind o persoana fizica identificata sau identificabila (art. 4 pct. 1 GDPR)
Operator	Persoana juridica care stabileste scopurile si mijloacele de prelucrare a datelor (art. 4 pct. 7 GDPR) - Atelierul Luminii SRL
Persoana vizata	Orice persoana fizica ale carei date cu caracter personal sunt prelucrate (art. 4 pct. 1 GDPR)
Prelucrare	Orice operatiune efectuata asupra datelor cu caracter personal: colectare, inregistrare, stocare, modificare, consultare, utilizare, divulgare, stergere etc. (art. 4 pct. 2 GDPR)
Consimtamant	Orice manifestare de vointa libera, specifica, informata si neechivoca a persoanei vizate (art. 4 pct. 11 GDPR)
Persoana imputernicita	Persoana juridica sau fizica care prelucreaza date cu caracter personal in numele operatorului (art. 4 pct. 8 GDPR)
Incalcarea securitatii	Orice incident de securitate care duce la distrugerea, pierderea, modificarea, divulgarea neautorizata sau accesul neautorizat la date (art. 4 pct. 12 GDPR)

3. CATEGORIILE DE DATE CU CARACTER PERSONAL PRELUCRATE

3.1 Date colectate de la clienti (persoane care plaseaza comenzi)

In calitate de client al Site-ului, Atelierul Luminii SRL prelucreaza urmatoarele categorii de date cu caracter personal:

 

A. DATE DE IDENTIFICARE SI CONTACT

Nume si prenume

Adresa de e-mail

Numar de telefon

Adresa de facturare (strada, numar, localitate, judet, tara, cod postal)

Adresa de livrare (daca este diferita de adresa de facturare)

 

B. DATE FINANCIARE SI TRANZACTIONALE

Valoarea comenzilor si istoricul achizitiilor

Datele facturilor fiscale emise

Codul numeric personal (CNP) - EXCLUSIV pentru emiterea facturilor fiscale, daca este solicitat de client

Nota: Datele cardurilor bancare NU sunt stocate de Atelierul Luminii SRL; acestea sunt procesate exclusiv de procesatorii de plati certificati PCI-DSS

 

C. DATE DE CONT SI AUTENTIFICARE

Adresa de e-mail utilizata pentru contul de utilizator

Parola (stocata exclusiv in forma criptata - hash)

Data crearii contului si istoricul activitatii

In cazul autentificarii prin Facebook/Google: nume de utilizator si adresa de e-mail afisate public de respectivele platforme

 

D. DATE DE UTILIZARE A SITE-ULUI (COOKIE-URI SI DATE TEHNICE)

Adresa IP si datele de localizare geografica aproximativa

Tipul si versiunea browserului utilizat

Sistemul de operare si versiunea acestuia

Paginile vizualizate si durata vizitei

Sursa de trafic (motoare de cautare, retele sociale, acces direct)

Preferintele de navigare si comportamentul pe site (click-uri, scroll, cautari)

Cookie-uri tehnice, functionale, analitice si de marketing (conform Politicii Cookie)

 

3.2 Date colectate de la vizitatori (fara cont sau comanda)

In cazul vizitatorilor Site-ului care nu plaseaza comenzi si nu isi creeaza un cont, Atelierul Luminii SRL colecteaza exclusiv:

•           Date furnizate voluntar prin formularul de contact, sectiunea de intrebari sau reclamatii (e-mail, nume, continutul mesajului);
•           Date tehnice colectate automat (adresa IP, browser, durata navigarii, pagini vizualizate) - in conformitate cu consimtamantul dat prin bannerul de cookie-uri;
•           Adresa de e-mail - exclusiv daca vizitatorii se aboneaza la newsletter prin consimtamant explicit.

 

3.3 Date EXCLUSE din prelucrare

Atelierul Luminii SRL NU colecteaza si NU prelucreaza, in nicio circumstanta, urmatoarele categorii de date speciale (art. 9 GDPR):

•           Date privind originea rasiala sau etnica;
•           Date privind opiniile politice sau convingerile religioase;
•           Date privind starea de sanatate sau date genetice/biometrice;
•           Date privind viata sexuala sau orientarea sexuala;
•           Date privind condamnarile penale sau contraventiile;
•           Datele cardurilor bancare (acestea sunt gestionate exclusiv de procesatorii de plati).

4. SCOPURILE SI TEMEIURILE JURIDICE ALE PRELUCRARII

Atelierul Luminii SRL prelucreaza datele cu caracter personal numai in baza unuia dintre temeiurile juridice prevazute la art. 6 GDPR, detaliate in tabelul de mai jos:

 

Scop de prelucrare	Activitati specifice	Temei juridic (GDPR)	Obligativitate
Executarea contractului de vanzare-cumparare	Procesarea comenzii, validare, expediere, livrare, facturare, gestionare retur/garantie, comunicare privind statusul comenzii	Art. 6 alin. (1) lit. b) - Necesitatea executarii unui contract	Obligatoriu - refuzul furnizarii datelor impiedica plasarea comenzii
Respectarea obligatiilor legale	Emiterea facturilor fiscale, arhivarea documentelor contabile, raportari fiscale catre ANAF, respectarea legislatiei privind comertul electronic	Art. 6 alin. (1) lit. c) - Obligatie legala	Obligatoriu - impus de lege
Serviciul clienti si solutionarea litigiilor	Raspuns la solicitari, reclamatii, cereri de retur, solutionarea disputelor, apararea drepturilor in instanta	Art. 6 alin. (1) lit. f) - Interes legitim	Necesar pentru calitatea serviciilor
Marketing direct (newsletter, promotii)	Trimiterea de e-mail-uri/SMS-uri cu oferte, promotii, noutati privind produsele disponibile pe site	Art. 6 alin. (1) lit. a) - Consimtamant explicit	Optional - refuzul nu afecteaza comanda
Analiza si imbunatatirea site-ului	Analiza comportamentului de navigare, statistici de utilizare, testare, optimizare UX/UI, prevenirea fraudelor	Art. 6 alin. (1) lit. f) - Interes legitim	Optional - datele pot fi anonimizate
Personalizarea experientei	Afisarea de produse recomandate pe baza istoricului de vizualizare, salvarea preferintelor de cont	Art. 6 alin. (1) lit. a) - Consimtamant / lit. f) Interes legitim	Optional
Securitatea platformei	Detectarea si prevenirea accesului neautorizat, protectia impotriva atacurilor informatice, gestionarea incidentelor de securitate	Art. 6 alin. (1) lit. f) - Interes legitim	Necesar pentru securitate

5. DURATA STOCARII DATELOR CU CARACTER PERSONAL

Atelierul Luminii SRL respecta principiul "limitarii legate de stocare" prevazut la art. 5 alin. (1) lit. e) GDPR. Datele cu caracter personal sunt pastrate intr-o forma care permite identificarea persoanelor vizate pe o durata care nu depaseste perioada necesara indeplinirii scopurilor in care sunt prelucrate.

 

Categoria de date	Durata de stocare	Temeiul legal al duratei
Date din contracte si comenzi finalizate	5 ani de la data finalizarii comenzii	Art. 2500 Cod Civil (prescriptia generala)
Documente financiar-contabile (facturi, chitante)	10 ani de la data incheierii exercitiului financiar in care au fost intocmite	Art. 25 Legea nr. 82/1991 a contabilitatii
Date de cont (client activ)	Pe durata existentei contului + 2 ani de la ultima autentificare	Interes legitim / Executarea contractului
Date de cont dupa stergerea contului	30 de zile (perioada de gratie pentru recuperare)	Interes legitim
Corespondenta serviciu clienti (e-mail, chat)	3 ani de la data ultimei interactiuni	Interes legitim / Apararea drepturilor in instanta
Date de marketing (newsletter)	Pana la retragerea consimtamantului sau dezabonare	Consimtamant (art. 6 alin. 1 lit. a GDPR)
Date analitice anonimizate (statistici)	Nedeterminat (datele nu mai sunt cu caracter personal dupa anonimizare)	Nu se aplica GDPR (art. 26 considerent GDPR)
Loguri de securitate (IP, autentificari)	90 de zile	Interes legitim / Securitate informatica
Cookie-uri de sesiune	Pana la inchiderea browserului	Tehnic necesar
Cookie-uri persistente	Conform setarilor individuale (maxim 13 luni - directiva ePrivacy)	Consimtamant / Interes legitim

 

La expirarea perioadei de stocare, datele cu caracter personal vor fi sterse in mod securizat sau anonimizate, astfel incat sa nu mai poata fi utilizate pentru identificarea persoanelor vizate.

6. DESTINATARII DATELOR CU CARACTER PERSONAL

6.1 Principiul general

Atelierul Luminii SRL NU vinde, NU inchiriaza si NU comercializeaza datele dumneavoastra cu caracter personal catre terti in scopuri proprii ale acestora.

Datele pot fi dezvaluite exclusiv in urmatoarele situatii, cu respectarea stricta a principiilor GDPR:

6.2 Persoane imputernicite (procesatori de date)

Atelierul Luminii SRL colaboreaza cu urmatorii furnizori de servicii care prelucreaza date in numele nostru, in baza unor contracte de prelucrare a datelor (Data Processing Agreements - DPA) conform art. 28 GDPR:

 

Categorie furnizor	Date transferate	Garantii aplicate
Procesatori de plati (ex. Stripe, PayU, EuPlatesc)	Date minime pentru autorizarea platii (suma, referinta tranzactie)	Certificare PCI-DSS; contracte DPA; serverele NU stocheaza datele cardului la Atelierul Luminii
Curierat si livrare (ex. Fan Courier, DPD, Sameday)	Nume, adresa de livrare, numar telefon	Contracte de confidentialitate; date sterse dupa livrare conform politicii curierului
Hosting si infrastructura cloud (ex. AWS, Hetzner)	Date tehnice ale site-ului, baze de date	Contracte DPA; servere in UE; certificari ISO 27001
Platforma e-mail marketing (ex. Mailchimp, Brevo)	Adresa de e-mail, nume (EXCLUSIV pentru abonati newsletter)	Contracte DPA; mecanisme de transfer adecvate (SCCs)
Servicii de analiza web (ex. Google Analytics)	Date de navigare anonimizate/pseudonimizate	Consimtamant cookie; IP anonimizat; contracte DPA
Servicii contabile/juridice	Date financiare si de identificare strict necesare	Obligatie de confidentialitate profesionala; contracte

 

6.3 Autoritati publice

Datele cu caracter personal pot fi dezvaluite catre autoritatile publice (ANAF, Politie, Parchet, instante de judecata) exclusiv in urmatoarele situatii:

•           Cand dezvaluirea este impusa de o obligatie legala expresa;
•           In baza unui ordin judecatoresc sau a unei cereri legale a unei autoritati competente;
•           Pentru apararea drepturilor si intereselor legitime ale Atelierul Luminii SRL in cadrul unor litigii;
•           In situatii de urgenta pentru protejarea vietii sau integritatii fizice a unei persoane.

 

In toate cazurile, vom dezvalui exclusiv datele strict necesare scopului legitim, respectand principiul minimizarii datelor (art. 5 alin. 1 lit. c GDPR).

7. TRANSFERUL DATELOR IN AFARA SPATIULUI ECONOMIC EUROPEAN

Ca regula generala, Atelierul Luminii SRL prelucreaza datele cu caracter personal exclusiv pe teritoriul Romaniei si al Uniunii Europene/Spatiului Economic European (SEE).

In situatia in care, pentru anumite servicii tehnice (ex. servicii cloud, e-mail marketing), datele sunt transferate in afara SEE, Atelierul Luminii SRL garanteaza ca transferul se efectueaza numai in urmatoarele conditii, conform Capitolului V GDPR:

 

•           Transfer catre tari cu un nivel adecvat de protectie, conform unei decizii de adecvare a Comisiei Europene (ex. Regatul Unit, Canada, Japonia, SUA - in cadrul Data Privacy Framework);
•           In baza Clauzelor Contractuale Standard (Standard Contractual Clauses - SCCs) adoptate de Comisia Europeana prin Decizia de punere in aplicare 2021/914/UE;
•           In baza altor garantii adecvate prevazute la art. 46 GDPR (reguli corporatiste obligatorii, coduri de conduita aprobate, mecanisme de certificare aprobate);
•           In baza derogarii pentru situatii specifice prevazute la art. 49 GDPR (consimtamant explicit, executarea contractului etc.).

 

Puteti solicita informatii detaliate privind garantiile aplicate pentru transferurile internationale de date la adresa de e-mail mentionata in Sectiunea 11.

8. MASURI DE SECURITATE A DATELOR

Atelierul Luminii SRL implementeaza masuri tehnice si organizatorice adecvate, conform art. 25 si art. 32 GDPR, pentru a asigura un nivel de securitate corespunzator riscului, inclusiv:

 

8.1 Masuri tehnice

•           Criptarea datelor in tranzit (protocolul TLS/SSL - HTTPS) si a datelor sensibile stocate (hashing pentru parole);
•           Autentificare in doi factori (2FA) pentru accesul la panoul de administrare al site-ului;
•           Actualizari regulate ale sistemelor software si aplicarea patch-urilor de securitate;
•           Sisteme de detectie a intruderilor (IDS) si monitorizare continua a traficului;
•           Backupuri periodice ale datelor, stocate in locatii separate si criptate;
•           Firewall si protectie impotriva atacurilor DDoS;
•           Accesul la datele personale este limitat strict la angajatii/colaboratorii care au nevoie de acestea pentru indeplinirea atributiilor (principiul "need-to-know").

 

8.2 Masuri organizatorice

•           Instruirea periodica a personalului privind protectia datelor si securitatea informatica;
•           Politici interne privind gestionarea datelor cu caracter personal si raspunsul la incidente;
•           Acorduri de confidentialitate cu toti angajatii si colaboratorii care au acces la date;
•           Evaluari periodice ale riscurilor si audituri de securitate.

 

8.3 Notificarea incidentelor de securitate

In cazul unui incident de securitate care ar putea prezenta un risc ridicat pentru drepturile si libertatile persoanelor vizate, Atelierul Luminii SRL se obliga sa:

•           Notifice Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP) in termen de 72 de ore de la momentul luarii la cunostinta a incidentului, conform art. 33 GDPR;
•           Informeze fara intarzieri nejustificate persoanele vizate afectate, in conformitate cu art. 34 GDPR;
•           Documenteze toate incidentele de securitate, indiferent de gravitatea acestora, in Registrul intern al incidentelor.

9. DREPTURILE DUMNEAVOASTRA IN CALITATE DE PERSOANA VIZATA

In conformitate cu Capitolul III din GDPR (art. 12-23) si cu Legea nr. 190/2018, beneficiati de urmatoarele drepturi cu privire la datele dumneavoastra cu caracter personal:

 

Dreptul	Ce inseamna	Cum il exercitati
Dreptul la informare (art. 13-14 GDPR)	Sa fiti informat cu privire la modul in care datele dumneavoastra sunt prelucrate - acest document indeplineste aceasta obligatie	Prin consultarea prezentei Politici de Confidentialitate
Dreptul de acces (art. 15 GDPR)	Sa obtineti confirmarea ca datele dumneavoastra sunt prelucrate si sa primiti o copie a acestora, impreuna cu informatii privind prelucrarea	Cerere scrisa la adresa de e-mail din Sect. 11
Dreptul la rectificare (art. 16 GDPR)	Sa solicitati corectarea datelor inexacte sau completarea datelor incomplete, fara intarzieri nejustificate	Prin contul de utilizator sau cerere scrisa
Dreptul la stergere - 'dreptul de a fi uitat' (art. 17 GDPR)	Sa solicitati stergerea datelor cand: scopul a disparut, v-ati retras consimtamantul, datele au fost prelucrate ilegal, etc. (cu exceptiile legale aplicabile)	Cerere scrisa; raspuns in 30 de zile
Dreptul la restrictionarea prelucrarii (art. 18 GDPR)	Sa solicitati suspendarea temporara a prelucrarii datelor in situatii specifice (contestarea exactitatii, opozitia la stergere, etc.)	Cerere scrisa la adresa de e-mail din Sect. 11
Dreptul la portabilitate (art. 20 GDPR)	Sa primiti datele furnizate intr-un format structurat, utilizat frecvent, lizibil automat (ex. JSON, CSV) si sa le transmiteti unui alt operator	Cerere scrisa; date furnizate in 30 de zile
Dreptul la opozitie (art. 21 GDPR)	Sa va opuneti prelucrarii in scop de marketing direct (oricand, gratuit, fara justificare) sau in temeiul interesului legitim (cu justificare legata de situatia dumneavoastra)	Dezabonare prin link sau cerere scrisa
Dreptul de a nu fi supus deciziei automate (art. 22 GDPR)	Sa nu faceti obiectul unei decizii bazate exclusiv pe prelucrare automatizata (inclusiv profilare) care produce efecte juridice semnificative	Cerere scrisa; dreptul este garantat implicit
Dreptul de a depune plangere (art. 77 GDPR)	Sa depuneti o plangere la ANSPDCP sau la instanta competenta daca considerati ca prelucrarea datelor incalca GDPR	Direct la ANSPDCP: www.dataprotection.ro

 

9.1 Procedura de exercitare a drepturilor

Pentru exercitarea oricaruia dintre drepturile de mai sus, va rugam sa:

1. Trimiteti o cerere scrisa la adresa de e-mail indicata in Sectiunea 11 sau prin posta la sediul social al Atelierul Luminii SRL;
2. Precizati in cerere: (a) identitatea dumneavoastra, (b) dreptul pe care doriti sa-l exercitati, (c) datele la care se refera cererea;
3. Atasati o copie a unui document de identitate (carte de identitate/pasaport), exclusiv pentru verificarea identitatii - acestea nu vor fi stocate;
4. Asteptati raspunsul nostru, care va fi transmis in termen de 30 de zile calendaristice (art. 12 alin. 3 GDPR); in cazuri complexe, termenul poate fi prelungit cu inca 60 de zile, cu notificarea dumneavoastra prealabila.

 

Exercitarea drepturilor este GRATUITA, cu exceptia cererilor vadit nefondate sau excesive, pentru care putem percepe o taxa rezonabila sau refuza actiunea, cu justificarea refuzului.

10. PROTECTIA DATELOR MINORILOR

Site-ul www.atelierul-luminii.ro se adreseaza exclusiv persoanelor care au implinit varsta de 16 ani. Conform art. 8 GDPR si art. 6 din Legea nr. 190/2018:

•           Atelierul Luminii SRL nu colecteaza in mod intentionat date cu caracter personal de la persoane cu varsta sub 16 ani;
•           In cazul in care se utilizeaza datele unui cont bazat pe consimtamant (ex. newsletter), varstele sub 16 ani necesita consimtamantul parintilor sau al tutorelui legal;
•           Parintii sau tutorii legali pot solicita verificarea si stergerea datelor unui minor prin trimiterea unei cereri la adresa de e-mail din Sectiunea 11.

 

Daca Atelierul Luminii SRL ia cunostinta ca a colectat din eroare date ale unui minor sub 16 ani fara consimtamantul parental, va sterge imediat aceste date.

11. DATE DE CONTACT SI RESPONSABIL CU PROTECTIA DATELOR

Pentru orice intrebari, solicitari sau exercitarea drepturilor legate de prelucrarea datelor cu caracter personal, va puteti adresa Atelierul Luminii SRL prin urmatoarele canale:

 

Denumire operator:	Atelierul Luminii SRL
Sediu social:	Str. Panselutei nr. 32, Strunga, Judetul Iasi, Romania
E-mail pentru protectia datelor:	gdpr@atelierul-luminii.ro (sau adresa de contact disponibila pe site)
Website:	https://www.atelierul-luminii.ro
Autoritate de supraveghere:	ANSPDCP - Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal
Website ANSPDCP:	https://www.dataprotection.ro
Adresa ANSPDCP:	B-dul G-ral. Gheorghe Magheru nr. 28-30, Sector 1, Bucuresti
Telefon ANSPDCP:	+40 318 059 211

 

Nota: Atelierul Luminii SRL va analiza necesitatea desemnarii unui Responsabil cu Protectia Datelor (DPO - Data Protection Officer) conform art. 37 GDPR, in functie de evolutia activitatilor de prelucrare.

12. MODIFICARI ALE POLITICII DE CONFIDENTIALITATE

Atelierul Luminii SRL isi rezerva dreptul de a actualiza sau modifica prezenta Politica de Confidentialitate ori de cate ori este necesar, pentru a reflecta:

•           Modificarile legislative sau de reglementare aplicabile (GDPR, legi nationale, orientari ANSPDCP/EDPB);
•           Schimbarile in activitatile de prelucrare a datelor sau in serviciile oferite;
•           Recomandarile autoritatilor de supraveghere sau ale instantelor de judecata.

 

In cazul unor modificari substantiale care va afecteaza drepturile, veti fi notificati prin:

•           E-mail trimis la adresa de contact inregistrata in cont (daca aveti un cont activ);
•           Afisarea unui banner/notificari vizibile pe Site inainte de intrarea in vigoare a noilor prevederi;
•           Publicarea versiunii actualizate pe Site, cu mentionarea datei ultimei modificari.

 

Continuarea utilizarii Site-ului dupa intrarea in vigoare a modificarilor constituie acceptul dumneavoastra cu privire la noua versiune a Politicii de Confidentialitate.

13. DISPOZITII FINALE

Prezenta Politica de Confidentialitate intra in vigoare la data publicarii pe Site si se aplica tuturor vizitatorilor si clientilor Site-ului www.atelierul-luminii.ro.

In cazul oricarui conflict intre prezenta Politica de Confidentialitate si dispozitiile GDPR sau ale legislatiei nationale aplicabile, prevederile legale au prioritate.

Prezenta Politica de Confidentialitate a fost redactata in limba romana. In cazul oricarui conflict intre versiunea in limba romana si eventuale traduceri, versiunea in romana este cea autentica.