1. INTRODUCERE

Atelierul Luminii SRL (denumită în continuare "Operatorul", "noi" sau "Atelierul Luminii") acordă o importanță deosebită protecției datelor cu caracter personal ale persoanelor fizice care interacționează cu site-ul nostru www.atelierul-luminii.ro (denumit în continuare "Site-ul").

Prezenta Politica de Confidențialitate a fost elaborată în conformitate cu:

•           Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (GDPR);
•           Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679;
•           Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice;
•           Directiva ePrivacy 2002/58/CE, astfel cum a fost modificată prin Directiva 2009/136/CE;
•           Orientările și recomandările Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).

 

Prin utilizarea Site-ului și/sau plasarea de comenzi, confirmați ca ati citit, înțeles și acceptat prezenta Politica de Confidențialitate. Vă rugăm să nu utilizați Site-ul dacă nu sunteti de acord cu aceasta politica.

2. DEFINIȚII ȘI TERMINOLOGIE

În sensul prezentei Politici de Confidențialitate, urmatorii termeni au următoarele semnificații:

 

Termen	definiție
Date cu caracter personal	Orice informații privind o persoana fizică identificată sau identificabila (art. 4 pct. 1 GDPR)
Operator	Persoana juridică care stabileste scopurile și mijloacele de prelucrare a datelor (art. 4 pct. 7 GDPR) - Atelierul Luminii SRL
Persoana vizată	Orice persoana fizică ale carei date cu caracter personal sunt prelucrate (art. 4 pct. 1 GDPR)
Prelucrare	Orice operațiune efectuată asupra datelor cu caracter personal: colectare, înregistrare, stocare, modificare, consultare, utilizare, divulgare, ștergere etc. (art. 4 pct. 2 GDPR)
Consimțământ	Orice manifestare de vointa libera, specifică, informată și neechivocă a persoanei vizate (art. 4 pct. 11 GDPR)
Persoana imputernicita	Persoana juridică sau fizică care prelucrează date cu caracter personal în numele operatorului (art. 4 pct. 8 GDPR)
Încălcarea securității	Orice incident de securitate care duce la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la date (art. 4 pct. 12 GDPR)

3. CATEGORIILE DE DATE CU CARACTER PERSONAL PRELUCRATE

3.1 Date colectate de la clienți (persoane care plasează comenzi)

În calitate de client al Site-ului, Atelierul Luminii SRL prelucrează următoarele categorii de date cu caracter personal:

 

A. DATE DE IDENTIFICARE ȘI CONTACT

Nume și prenume

Adresa de e-mail

Număr de telefon

Adresa de facturare (strada, număr, localitate, judet, tara, cod postal)

Adresa de livrare (dacă este diferita de adresa de facturare)

 

B. DATE FINANCIARE ȘI TRANZACȚIONALE

Valoarea comenzilor și istoricul achizițiilor

Datele facturilor fiscale emise

Codul numeric personal (CNP) - EXCLUSIV pentru emiterea facturilor fiscale, dacă este solicitat de client

Nota: Datele cardurilor bancare NU sunt stocate de Atelierul Luminii SRL; acestea sunt procesate exclusiv de procesatorii de plăți certificați PCI-DSS

 

C. DATE DE CONT ȘI AUTENTIFICARE

Adresa de e-mail utilizată pentru contul de utilizator

Parola (stocată exclusiv în forma criptată - hash)

Data creării contului și istoricul activității

În cazul autentificării prin Facebook/Google: nume de utilizator și adresa de e-mail afișate public de respectivele platforme

 

D. DATE DE UTILIZARE A SITE-ULUI (COOKIE-URI ȘI DATE TEHNICE)

Adresa IP și datele de localizare geografică aproximativă

Tipul și versiunea browserului utilizat

Sistemul de operare și versiunea acestuia

Paginile vizualizate și durata vizitei

Sursa de trafic (motoare de cautare, rețele sociale, acces direct)

Preferintele de navigare și comportamentul pe site (click-uri, scroll, cautari)

Cookie-uri tehnice, funcționale, analitice și de marketing (conform Politicii Cookie)

 

3.2 Date colectate de la vizitatori (fără cont sau comandă)

În cazul vizitatorilor Site-ului care nu plasează comenzi și nu isi creeaza un cont, Atelierul Luminii SRL colecteaza exclusiv:

•           Date furnizate voluntar prin formularul de contact, secțiunea de întrebări sau reclamații (e-mail, nume, conținutul mesajului);
•           Date tehnice colectate automat (adresa IP, browser, durata navigării, pagini vizualizate) - în conformitate cu consimțământul dat prin bannerul de cookie-uri;
•           Adresa de e-mail - exclusiv dacă vizitatorii se abonează la newsletter prin consimțământ explicit.

 

3.3 Date EXCLUSE din prelucrare

Atelierul Luminii SRL NU colecteaza și NU prelucrează, în nicio circumstanta, următoarele categorii de date speciale (art. 9 GDPR):

•           Date privind originea rasială sau etnică;
•           Date privind opiniile politice sau convingerile religioase;
•           Date privind starea de sănătate sau date genetice/biometrice;
•           Date privind viață sexuală sau orientarea sexuală;
•           Date privind condamnările penale sau contraventiile;
•           Datele cardurilor bancare (acestea sunt gestionate exclusiv de procesatorii de plăți).

4. SCOPURILE ȘI TEMEIURILE JURIDICE ALE PRELUCRĂRII

Atelierul Luminii SRL prelucrează datele cu caracter personal numai în baza unuia dintre temeiurile juridice prevăzute la art. 6 GDPR, detaliate în tabelul de mai jos:

 

Scop de prelucrare	Activități specifice	Temei juridic (GDPR)	Obligativitate
Executarea contractului de vanzare-cumparare	Procesarea comenzii, validare, expediere, livrare, facturare, gestionare retur/garanție, comunicare privind statusul comenzii	Art. 6 alin. (1) lit. b) - Necesitatea executării unui contract	Obligatoriu - refuzul furnizării datelor impiedica plasarea comenzii
Respectarea obligățiilor legale	Emiterea facturilor fiscale, arhivarea documentelor contabile, raportări fiscale către ANAF, respectarea legislației privind comertul electronic	Art. 6 alin. (1) lit. c) - Obligație legală	Obligatoriu - impus de lege
Serviciul clienți și soluționarea litigiilor	Răspuns la solicitări, reclamații, cereri de retur, soluționarea disputelor, apărarea drepturilor în instanță	Art. 6 alin. (1) lit. f) - Interes legitim	Necesar pentru calitatea serviciilor
Marketing direct (newsletter, promoții)	Trimiterea de e-mail-uri/SMS-uri cu oferte, promoții, noutăți privind produsele disponibile pe site	Art. 6 alin. (1) lit. a) - Consimțământ explicit	Optional - refuzul nu afectează comandă
Analiza și imbunatatirea site-ului	Analiza comportamentului de navigare, statistici de utilizare, testare, optimizare UX/UI, prevenirea fraudelor	Art. 6 alin. (1) lit. f) - Interes legitim	Optional - datele pot fi anonimizate
Personalizarea experientei	Afișarea de produse recomandate pe baza istoricului de vizualizare, salvarea preferintelor de cont	Art. 6 alin. (1) lit. a) - Consimțământ / lit. f) Interes legitim	Optional
Securitatea platformei	Detectarea și prevenirea accesului neautorizat, protecția împotriva atacurilor informatice, gestionarea incidentelor de securitate	Art. 6 alin. (1) lit. f) - Interes legitim	Necesar pentru securitate

5. DURATA STOCĂRII DATELOR CU CARACTER PERSONAL

Atelierul Luminii SRL respectă principiul "limitării legate de stocare" prevazut la art. 5 alin. (1) lit. e) GDPR. Datele cu caracter personal sunt păstrate intr-o forma care permite identificarea persoanelor vizate pe o durata care nu depășește perioadă necesară îndeplinirii scopurilor în care sunt prelucrate.

 

Categoria de date	Durata de stocare	Temeiul legal al duratei
Date din contracte și comenzi finalizate	5 ani de la data finalizării comenzii	Art. 2500 Cod Civil (prescripția generală)
Documente financiar-contabile (facturi, chitanțe)	10 ani de la data încheierii exercitiului financiar în care au fost întocmite	Art. 25 Legea nr. 82/1991 a contabilității
Date de cont (client activ)	Pe durata existenței contului + 2 ani de la ultima autentificare	Interes legitim / Executarea contractului
Date de cont după ștergerea contului	30 de zile (perioadă de grație pentru recuperare)	Interes legitim
Corespondență serviciu clienți (e-mail, chat)	3 ani de la data ultimei interacțiuni	Interes legitim / Apărarea drepturilor în instanță
Date de marketing (newsletter)	Până la retragerea consimțământului sau dezabonare	Consimțământ (art. 6 alin. 1 lit. a GDPR)
Date analitice anonimizate (statistici)	Nedeterminat (datele nu mai sunt cu caracter personal după anonimizare)	Nu se aplică GDPR (art. 26 considerent GDPR)
Loguri de securitate (IP, autentificări)	90 de zile	Interes legitim / Securitate informatică
Cookie-uri de sesiune	Până la închiderea browserului	Tehnic necesar
Cookie-uri persistente	Conform setărilor individuale (maxim 13 luni - directiva ePrivacy)	Consimțământ / Interes legitim

 

La expirarea perioadei de stocare, datele cu caracter personal vor fi sterse în mod securizat sau anonimizate, astfel încât să nu mai poată fi utilizate pentru identificarea persoanelor vizate.

6. DESTINATARII DATELOR CU CARACTER PERSONAL

6.1 Principiul general

Atelierul Luminii SRL NU vinde, NU închiriază și NU comercializeaza datele dumneavoastră cu caracter personal către terți în scopuri proprii ale acestora.

Datele pot fi dezvaluite exclusiv în următoarele situații, cu respectarea stricta a principiilor GDPR:

6.2 Persoane împuternicite (procesatori de date)

Atelierul Luminii SRL colaborează cu urmatorii furnizori de servicii care prelucrează date în numele nostru, în baza unor contracte de prelucrare a datelor (Data Processing Agreements - DPA) conform art. 28 GDPR:

 

Categorie furnizor	Date transferate	Garanții aplicate
Procesatori de plăți (ex. Stripe, PayU, EuPlatesc)	Date minime pentru autorizarea plății (suma, referință tranzacție)	Certificare PCI-DSS; contracte DPA; serverele NU stocheaza datele cardului la Atelierul Luminii
Curierat și livrare (ex. Fan Courier, DPD, Sameday)	Nume, adresa de livrare, număr telefon	Contracte de confidențialitate; date sterse după livrare conform politicii curierului
Hosting și infrastructura cloud (ex. AWS, Hetzner)	Date tehnice ale site-ului, baze de date	Contracte DPA; servere în UE; certificari ISO 27001
Platforma e-mail marketing (ex. Mailchimp, Brevo)	Adresa de e-mail, nume (EXCLUSIV pentru abonați newsletter)	Contracte DPA; mecanisme de transfer adecvate (SCCs)
Servicii de analiza web (ex. Google Analytics)	Date de navigare anonimizate/pseudonimizate	Consimțământ cookie; IP anonimizat; contracte DPA
Servicii contabile/juridice	Date financiare și de identificare strict necesare	Obligație de confidențialitate profesionala; contracte

 

6.3 Autorități publice

Datele cu caracter personal pot fi dezvaluite către autoritățile publice (ANAF, poliție, Parchet, instanțe de judecată) exclusiv în următoarele situații:

•           Cand dezvaluirea este impusa de o obligăție legală expresa;
•           În baza unui ordin judecatoresc sau a unei cereri legale a unei autorități competente;
•           Pentru apărarea drepturilor și intereselor legitime ale Atelierul Luminii SRL în cadrul unor litigii;
•           În situații de urgenta pentru protejarea vieții sau integrității fizice a unei persoane.

 

În toate cazurile, vom dezvalui exclusiv datele strict necesare scopului legitim, respectând principiul minimizării datelor (art. 5 alin. 1 lit. c GDPR).

7. TRANSFERUL DATELOR ÎN AFARĂ SPAȚIULUI ECONOMIC EUROPEAN

Ca regula generală, Atelierul Luminii SRL prelucrează datele cu caracter personal exclusiv pe teritoriul României și al Uniunii Europene/Spatiului Economic European (SEE).

În situația în care, pentru anumite servicii tehnice (ex. servicii cloud, e-mail marketing), datele sunt transferate în afară SEE, Atelierul Luminii SRL garanteaza ca transferul se efectueaza numai în următoarele condiții, conform Capitolului V GDPR:

 

•           Transfer către țări cu un nivel adecvat de protecție, conform unei decizii de adecvare a Comisiei Europene (ex. Regatul Unit, Canada, Japonia, SUA - în cadrul Data Privacy Framework);
•           În baza Clauzelor Contractuale Standard (Standard Contractual Clauses - SCCs) adoptate de Comisia Europeana prin Decizia de punere în aplicare 2021/914/UE;
•           În baza altor garanții adecvate prevăzute la art. 46 GDPR (reguli corporatiste obligatorii, coduri de conduita aprobate, mecanisme de certificare aprobate);
•           În baza derogării pentru situații specifice prevăzute la art. 49 GDPR (consimțământ explicit, executarea contractului etc.).

 

Puteți solicita informații detaliate privind garantiile aplicate pentru transferurile internaționale de date la adresa de e-mail menționată în Secțiunea 11.

8. MĂSURI DE SECURITATE A DATELOR

Atelierul Luminii SRL implementeaza măsuri tehnice și organizatorice adecvate, conform art. 25 și art. 32 GDPR, pentru a asigură un nivel de securitate corespunzator riscului, inclusiv:

 

8.1 Măsuri tehnice

•           Criptarea datelor în tranzit (protocolul TLS/SSL - HTTPS) și a datelor sensibile stocate (hashing pentru parole);
•           Autentificare în doi factori (2FA) pentru accesul la panoul de administrare al site-ului;
•           Actualizări regulate ale sistemelor software și aplicarea patch-urilor de securitate;
•           Sisteme de detecție a intruderilor (IDS) și monitorizare continuă a traficului;
•           Backupuri periodice ale datelor, stocate în locații separate și criptate;
•           Firewall și protecție împotriva atacurilor DDoS;
•           Accesul la datele personale este limitat strict la angajații/colaboratorii care au nevoie de acestea pentru îndeplinirea atribuțiilor (principiul "need-to-know").

 

8.2 Măsuri organizatorice

•           Instruirea periodică a personalului privind protecția datelor și securitatea informatică;
•           Politici interne privind gestionarea datelor cu caracter personal și răspunsul la incidente;
•           Acorduri de confidențialitate cu toți angajații și colaboratorii care au acces la date;
•           Evaluări periodice ale riscurilor și audituri de securitate.

 

8.3 Notificarea incidentelor de securitate

În cazul unui incident de securitate care ar putea prezenta un risc ridicat pentru drepturile și libertățile persoanelor vizate, Atelierul Luminii SRL se obligă să:

•           Notifice Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) în termen de 72 de ore de la momentul luării la cunoștință a incidentului, conform art. 33 GDPR;
•           Informeze fără întârzieri nejustificate persoanele vizate afectate, în conformitate cu art. 34 GDPR;
•           Documenteze toate incidentele de securitate, indiferent de gravitatea acestora, în Registrul intern al incidentelor.

9. DREPTURILE DUMNEAVOASTRĂ ÎN CALITATE DE PERSOANA VIZATĂ

În conformitate cu Capitolul III din GDPR (art. 12-23) și cu Legea nr. 190/2018, beneficiați de următoarele drepturi cu privire la datele dumneavoastră cu caracter personal:

 

Dreptul	Ce înseamnă	Cum il exercitați
Dreptul la informare (art. 13-14 GDPR)	Să fiti informat cu privire la modul în care datele dumneavoastră sunt prelucrate - acest document îndeplinește aceasta obligăție	Prin consultarea prezentei Politici de Confidențialitate
Dreptul de acces (art. 15 GDPR)	Să obtineti confirmarea ca datele dumneavoastră sunt prelucrate și să primiti o copie a acestora, împreună cu informații privind prelucrarea	Cerere scrisă la adresa de e-mail din Sect. 11
Dreptul la rectificare (art. 16 GDPR)	Să solicitați corectarea datelor inexacte sau completarea datelor incomplete, fără întârzieri nejustificate	Prin contul de utilizator sau cerere scrisă
Dreptul la ștergere - 'dreptul de a fi uitat' (art. 17 GDPR)	Să solicitați ștergerea datelor cand: scopul a disparut, v-ati retras consimțământul, datele au fost prelucrate ilegal, etc. (cu exceptiile legale aplicabile)	Cerere scrisă; răspuns în 30 de zile
Dreptul la restricționarea prelucrării (art. 18 GDPR)	Să solicitați suspendarea temporara a prelucrării datelor în situații specifice (contestarea exactității, opoziția la ștergere, etc.)	Cerere scrisă la adresa de e-mail din Sect. 11
Dreptul la portabilitate (art. 20 GDPR)	Să primiti datele furnizate intr-un format structurat, utilizat frecvent, lizibil automat (ex. JSON, CSV) și să le transmiteți unui alt operator	Cerere scrisă; date furnizate în 30 de zile
Dreptul la opoziție (art. 21 GDPR)	Să vă opuneti prelucrării în scop de marketing direct (oricand, gratuit, fără justificare) sau în temeiul interesului legitim (cu justificare legată de situația dumneavoastră)	Dezabonare prin link sau cerere scrisă
Dreptul de a nu fi supus deciziei automate (art. 22 GDPR)	Să nu faceti obiectul unei decizii bazate exclusiv pe prelucrare automatizată (inclusiv profilare) care produce efecte juridice semnificative	Cerere scrisă; dreptul este garantat implicit
Dreptul de a depune plângere (art. 77 GDPR)	Să depuneti o plângere la ANSPDCP sau la instanță competenta dacă considerați ca prelucrarea datelor încalcă GDPR	Direct la ANSPDCP: www.dataprotection.ro

 

9.1 Procedura de exercitare a drepturilor

Pentru exercitarea oricaruia dintre drepturile de mai sus, vă rugăm să:

1. Trimiteti o cerere scrisă la adresa de e-mail indicată în Secțiunea 11 sau prin posta la sediul social al Atelierul Luminii SRL;
2. precizați în cerere: (a) identitatea dumneavoastră, (b) dreptul pe care doriti să-l exercitați, (c) datele la care se referă cererea;
3. Atașați o copie a unui document de identitate (carte de identitate/pasaport), exclusiv pentru verificarea identității - acestea nu vor fi stocate;
4. Așteptați răspunsul nostru, care va fi transmis în termen de 30 de zile calendaristice (art. 12 alin. 3 GDPR); în cazuri complexe, termenul poate fi prelungit cu inca 60 de zile, cu notificarea dumneavoastră prealabilă.

 

Exercitarea drepturilor este GRATUITA, cu excepția cererilor vadit nefondate sau excesive, pentru care putem percepe o taxa rezonabilă sau refuza acțiunea, cu justificarea refuzului.

10. PROTECȚIA DATELOR MINORILOR

Site-ul www.atelierul-luminii.ro se adresează exclusiv persoanelor care au implinit varsta de 16 ani. Conform art. 8 GDPR și art. 6 din Legea nr. 190/2018:

•           Atelierul Luminii SRL nu colecteaza în mod intenționat date cu caracter personal de la persoane cu varsta sub 16 ani;
•           În cazul în care se utilizeaza datele unui cont bazat pe consimțământ (ex. newsletter), varstele sub 16 ani necesită consimțământul părinților sau al tutorelui legal;
•           părinții sau tutorii legali pot solicita verificarea și ștergerea datelor unui minor prin trimiterea unei cereri la adresa de e-mail din Secțiunea 11.

 

Dacă Atelierul Luminii SRL ia cunoștință că a colectat din eroare date ale unui minor sub 16 ani fără consimțământul parental, va șterge imediat aceste date.

11. DATE DE CONTACT ȘI RESPONSABIL CU PROTECȚIA DATELOR

Pentru orice întrebări, solicitări sau exercitarea drepturilor legate de prelucrarea datelor cu caracter personal, vă puteți adresa Atelierul Luminii SRL prin următoarele canale:

 

Denumire operator:	Atelierul Luminii SRL
Sediu social:	Str. Panseluței nr. 32, Strunga, Județul Iași, România
E-mail pentru protecția datelor:	gdpr@atelierul-luminii.ro (sau adresa de contact disponibilă pe site)
Website:	https://www.atelierul-luminii.ro
Autoritate de supraveghere:	ANSPDCP - Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal
Website ANSPDCP:	https://www.dataprotection.ro
Adresa ANSPDCP:	B-dul G-ral. Gheorghe Magheru nr. 28-30, Sector 1, București
Telefon ANSPDCP:	+40 318 059 211

 

Nota: Atelierul Luminii SRL vă analiza necesitatea desemnării unui Responsabil cu Protecția Datelor (DPO - Data Protection Officer) conform art. 37 GDPR, în funcție de evoluția activităților de prelucrare.

12. MODIFICĂRI ALE POLITICII DE CONFIDENȚIALITATE

Atelierul Luminii SRL isi rezerva dreptul de a actualiza sau modifica prezenta Politica de Confidențialitate ori de cate ori este necesar, pentru a reflectă:

•           Modificările legislative sau de reglementare aplicabile (GDPR, legi naționale, orientari ANSPDCP/EDPB);
•           Schimbarile în activitățile de prelucrare a datelor sau în serviciile oferite;
•           Recomandările autorităților de supraveghere sau ale instanțelor de judecată.

 

În cazul unor modificări substantiale care vă afectează drepturile, veti fi notificăți prin:

•           E-mail trimis la adresa de contact înregistrată în cont (dacă aveți un cont activ);
•           Afișarea unui banner/notificări vizibile pe Site înainte de intrarea în vigoare a noilor prevederi;
•           Publicarea versiunii actualizate pe Site, cu menționarea datei ultimei modificări.

 

Continuarea utilizării Site-ului după intrarea în vigoare a modificărilor constituie acceptul dumneavoastră cu privire la noua versiune a Politicii de Confidențialitate.

13. DISPOZIȚII FINALE

Prezenta Politica de Confidențialitate intră în vigoare la data publicării pe Site și se aplică tuturor vizitatorilor și clientilor Site-ului www.atelierul-luminii.ro.

În cazul oricarui conflict între prezenta Politica de Confidențialitate și dispozițiile GDPR sau ale legislației naționale aplicabile, prevederile legale au prioritate.

Prezenta Politica de Confidențialitate a fost redactată în limba română. În cazul oricarui conflict între versiunea în limba română și eventuale traduceri, versiunea în română este cea autentifică.