Ultima actualizare:
Prezenta pagină descrie modul în care QUIQ ONLINE SERVICES SRL prelucrează datele cu caracter personal în conformitate cu Regulamentul (UE) 2016/679 (GDPR), Legea nr. 190/2018, Legea nr. 506/2004 și actele normative aplicabile. Documentul este versiunea extinsă de conformitate pentru security-audit.ro — site de prezentare servicii de audit de securitate cibernetică — și completează Politica de Confidențialitate orientată utilizatorului.
1. Introducere
QUIQ ONLINE SERVICES SRL operează security-audit.ro și prestează servicii profesionale de audit de securitate cibernetică. Prelucrarea datelor personale intervine în două contexte principale: vizitarea site-ului (date tehnice, cookie-uri, analytics) și relația contractuală cu clienții (oferte, contracte, execuție audit, rapoarte). Site-ul nu dispune de cont utilizator, newsletter sau plată online.
În calitate de firmă de cybersecurity, aplicăm măsuri tehnice și organizatorice ridicate pentru protecția datelor, inclusiv cele accesate în cadrul proiectelor de audit. Vă încurajăm să citiți integral acest document, Politica de Confidențialitate și Politica privind Cookie-urile.
2. Operator și contact
- Denumire: QUIQ ONLINE SERVICES SRL
- CUI: 44738744
- Nr. Reg. Com.: J38/888/2021
- EUID: ROONRC.J38/888/2021
- Sediu: Str. Lucian Blaga nr. 2A, Bl. A52, Sc. A, Et. 1, Ap. 4, Loc. Râmnicu Vâlcea, Jud. Vâlcea, Cod poștal 240041, România
- Telefon: +40 751 100 555
- Email: contact@security-audit.ro
- Website: https://security-audit.ro
Pentru exercitarea drepturilor GDPR, întrebări despre prelucrare sau notificări de incidente: contact@security-audit.ro, mențiune „Protecția datelor” sau „GDPR”. Nu am desemnat DPO conform art. 37; dacă desemnăm un DPO, informațiile vor fi actualizate aici.
3. Domeniu — vizitatori vs. clienți contractuali
3.1. Vizitatori site
Prelucrăm date tehnice (IP, browser, pagini vizitate), cookie-uri conform Politicii Cookie-uri, date din contact voluntar prin email/telefon pentru răspuns la solicitări precontractuale.
3.2. Clienți contractuali
Prelucrăm date de identificare și contact ale reprezentanților clienților, date firmă (denumire, CUI, sediu), descrieri infrastructură IT, credențiale temporare, loguri, rezultate testări, vulnerabilități, rapoarte — strict pentru ofertare, executare audit, facturare, conformitate legală și apărare drepturi.
3.3. Date din sistemele clientului în audit
În proiectele de audit, putem accesa date personale din sistemele Clientului (ex. date angajați, clienți ai Clientului în aplicații testate). Rolurile GDPR sunt stabilite prin Contract — vezi secțiunea 7.
4. Principiile prelucrării — art. 5 GDPR
Respectăm principiile art. 5: legalitate, corectitudine, transparență; limitare scop; minimizare date; exactitate; limitare stocare; integritate și confidențialitate; responsabilitate. În proiectele de audit aplicăm minimizarea datelor: accesăm doar datele necesare scope-ului, evităm copierea excesivă și ștergem datele temporare după finalizarea proiectului, conform Contractului.
5. Categorii de date
5.1. Vizitatori și contact precontractual
- Identificare: nume, prenume, funcție, email, telefon
- Date firmă: denumire, CUI, sediu, reprezentant legal
- Tehnic: IP, logs, cookie-uri, analytics
- Conținut solicitări: descriere infrastructură, nevoi audit (pot include date tehnice sensibile)
5.2. Execuție audit contractual
- Date reprezentanți Client desemnați
- Credențiale temporare, token-uri, acces VPN (stocate criptat, durată limitată)
- Loguri sisteme, configurații, output scanări
- Vulnerabilități descoperite (confidențiale, acces restricționat)
- Rapoarte audit, recomandări, corespondență proiect
- Date facturare, plăți transfer bancar (fără card pe site)
5.3. Surse
Direct de la persoana vizată, de la Client, automat la navigare, de la Google/Meta cu consimțământ cookie.
6. Categorii speciale — art. 9 GDPR
Nu solicităm în mod activ date privind sănătatea, originea etnică, convingerile religioase sau alte categorii speciale art. 9. În audit, datele personale din sistemele Clientului pot include accidental categorii speciale (ex. date medicale într-o aplicație testată). Prelucrăm astfel de date doar în măsura strict necesară scope-ului, pe baza Contractului, obligației legale sau consimțământului Clientului ca operator al acelor date, cu măsuri de confidențialitate sporite. Raportăm Clientului dacă identificăm prelucrări neașteptate de categorii speciale.
7. Roluri operator / împuternicit în proiecte audit
7.1. QUIQ ca operator
Pentru datele proprii ale relației comerciale (contact, ofertă, contract, facturare, corespondență, date vizitatori site), QUIQ ONLINE SERVICES SRL acționează ca operator conform art. 4 alin. (7) GDPR.
7.2. QUIQ ca împuternicit (processor)
Atunci când accesăm date personale din sistemele Clientului exclusiv pentru executarea Auditului, conform instrucțiunilor documentate ale Clientului, putem acționa ca împuternicit (art. 4 alin. (8) GDPR). Clientul rămâne operator pentru aceste date. Contractul de audit sau acordul de prelucrare (DPA) stabilește: obiectul, durata, natura și scopul prelucrării, tipurile de date, categoriile de persoane vizate, obligațiile și drepturile părților, măsurile art. 32, sub-împuterniciții, transferuri, procedura breach.
7.3. QUIQ ca operator independent
În situații limitate — ex. elaborarea Raportului cu concluzii proprii, păstrarea evidențelor proiectului pentru conformitate, apărare în instință — QUIQ poate acționa ca operator distinct pentru datele pe care le determină singur. Contractul clarifică scenariul aplicabil fiecărui tip de date.
7.4. Client ca operator față de propriii angajați/utilizatori
Clientul garantează că deține temeiul legal pentru accesul Operatorului la sistemele și datele incluse în scope, inclusiv informarea persoanelor vizate unde este necesar.
8. Scopuri și temeiuri — art. 6 GDPR
- Funcționare site — interes legitim (art. 6 alin. 1 lit. f)
- Securitate site, logs — interes legitim (lit. f)
- Analytics, Meta — consimțământ (lit. a), banner cookie
- Răspuns solicitări, oferte — măsuri precontractuale (lit. b), interes legitim (lit. f)
- Executare contract audit — contract (lit. b)
- Facturare, arhivă contabilă — obligație legală (lit. c)
- Confidențialitate vulnerabilități — contract (lit. b), interes legitim (lit. f)
- Apărare drepturi, litigii — interes legitim (lit. f)
- Cooperare autorități — obligație legală (lit. c)
9. Destinatari și împuterniciți — art. 28
- Furnizori hosting, infrastructură IT, backup criptat
- Google Ireland Limited — Analytics, conform consimțământ
- Meta Platforms Ireland Limited — Pixel, conform consimțământ
- Furnizori email — contact@security-audit.ro
- Contabilitate, consultanță juridică — facturare, conformitate
- Sub-împuterniciți audit — doar cu acord Client în DPA, dacă aplicabil
- Autorități — ANSPDCP, instanțe, organe aplicare lege, când legea impune
Nu vindem date personale. Lista împuterniciților poate fi solicitată la contact@security-audit.ro.
10. Transferuri internaționale — art. 44–49
Transferuri către SUA și alte țări terțe prin Google, Meta, hosting global — doar cu SCC, decizii de adecvare sau EU-U.S. Data Privacy Framework pentru furnizori certificați. Transferuri în SEE fără garanții suplimentare. Copii SCC sau informații suplimentare la solicitare.
11. Perioade de retenție
- Oferte neacceptate: până la 2 ani de la transmitere
- Contracte, rapoarte audit, documentație proiect: 5–10 ani, conform obligațiilor legale, prescripție și Contract
- Date temporare audit (credențiale, dump-uri test): ștergere la finalizare proiect sau termen Contract, de regulă maximum 90 zile post-livrare
- Facturi: 10 ani (Cod fiscal)
- Corespondență generală: până la 3 ani
- Logs securitate site și infrastructură: 6–12 luni, exceptând investigații incidente
- Cookie analytics: conform Politici Cookie-uri
12. Drepturile persoanei vizate — art. 15–22
12.1. Acces (art. 15)
Confirmați prelucrarea și obțineți acces la date, scopuri, destinatari, perioade, drepturi.
12.2. Rectificare (art. 16)
Corectați date inexacte sau incomplete.
12.3. Ștergere (art. 17)
Solicitați ștergerea când datele nu mai sunt necesare, v-ați retras consimțământul sau prelucrarea e ilegală. Excepții: obligații legale, arhivă contracte, apărare instanță. Date din audit pot fi de șters doar în limitele Contractului și rolului Operator/împuternicit.
12.4. Restricționare (art. 18)
Limitați prelucrarea în situațiile prevăzute de lege.
12.5. Portabilitate (art. 20)
Export date furnizate de dumneavoastră, prelucrate automat pe baza contractului sau consimțământului, format structurat.
12.6. Procedură
Solicitări la contact@security-audit.ro, subiect „Exercitare drepturi GDPR”. Confirmare identitate. Răspuns în o lună, prelungibil cu două luni. Gratuit; solicitări nefondate/excesive pot fi refuzate conform art. 12.
Persoane vizate ale căror date sunt în sistemele Clientului auditate — adresați-vă în principal Clientului ca operator; QUIQ sprijină Clientul conform DPA.
13. Opoziție — art. 21
Opoziție la prelucrare bazată pe interes legitim, din motive legate de situația particulară. Opoziție absolută la marketing direct — refuz cookie marketing, setări Meta, email contact@security-audit.ro.
14. Retragere consimțământ cookie — art. 7 alin. (3)
Retragere oricând: Setări cookie footer, ștergere browser, email contact@security-audit.ro. Fără afectarea legalității prelucrării anterioare.
15. Decizii automate — art. 22
Nu utilizăm decizii bazate exclusiv pe prelucrare automatizată cu efect juridic semnificativ sau impact similar asupra persoanelor vizate. Fără profilare automată a clienților sau vizitatorilor pentru decizii contractuale.
16. Securitate — art. 32 (extins)
Ca firmă de audit securitate cibernetică, implementăm măsuri proporționale cu riscul:
- Criptare comunicații HTTPS/TLS; criptare date în repaus pentru rapoarte și credențiale
- Autentificare multi-factor (MFA) pentru acces sisteme interne și infrastructură
- Control acces pe roluri, principiul privilegiului minim
- Logging și monitorizare acces; revizuire periodică logs
- Segmentare rețea, firewall, protecție endpoint
- Backup criptat, testare restaurare
- Politici securitate, instruire personal, NDA angajați/colaboratori
- Proceduri gestionare credențiale Client — stocare temporară, ștergere post-proiect
- Evaluare vulnerabilități infrastructură proprie, patch management
- Minimizare date în rapoarte — pseudonimizare unde posibil
Nicio măsură nu garantează securitate absolută; descriem măsurile la solicitare în cadrul due diligence clienților B2B.
17. Breach — art. 33–34
Menținem procedură internă de gestionare incidente. La încălcarea securității datelor cu risc pentru drepturi și libertăți: notificare ANSPDCP în 72 ore dacă e cazul; informare persoane vizate când risc ridicat.
În proiecte audit unde QUIQ acționează ca împuternicit: notificăm Clientul fără întârzieri nejustificate după luarea cunoștinței, conform art. 33 alin. (2) GDPR și DPA, pentru ca Clientul să poată notifica autoritatea și persoanele vizate. Cooperăm cu Clientul la investigație, contenție și documentare. Menținem registru incidente art. 33 alin. (5).
18. Evaluare impact (DPIA) — art. 35
Realizăm evaluări de impact (DPIA) când prelucrările pot genera risc ridicat pentru drepturile persoanelor vizate — ex. acces extins la volume mari de date personale în audit, testări invazive, procesare sistematică date sensibile. Clientul, ca operator al datelor din propriile sisteme, poate avea obligația DPIA proprie; cooperăm la solicitare. DPIA intern pentru prelucrările proprii ale QUIQ se actualizează periodic.
19. Minori — art. 8
Site-ul și serviciile se adresează persoanelor juridice și profesioniștilor B2B, precum și consumatorilor persoane fizice. Nu colectăm intenționat date de la minori. Cookie non-esențiale necesită consimțământ. Contact la contact@security-audit.ro pentru ștergere date minor.
20. Plângere ANSPDCP
- ANSPDCP — B-dul G-ral. Gheorghe Magheru 28–30, sector 1, București
- www.dataprotection.ro — anspdcp@dataprotection.ro
21. Obligația de a furniza date
Navigarea de bază nu necesită date identificabile, exceptând date tehnice automate. Contact voluntar și date pentru ofertă/contract sunt necesare pentru colaborare; refuzul limitează capacitatea de a presta Servicii. Consimțământ cookie opțional. În audit, Clientul furnizează accesul conform Contractului.
22. Relația cu Politica de Confidențialitate
Politica de Confidențialitate security-audit.ro prezintă aceleași prelucrări în limbaj accesibil. Prezenta pagină Conformitate GDPR este documentul extins tehnic-juridic; se completează reciproc, fără contradicție.
23. Actualizări
Putem actualiza această pagină. Modificări semnificative publicate pe security-audit.ro. Consultați periodic.
Contact: contact@security-audit.ro, +40 751 100 555, QUIQ ONLINE SERVICES SRL, Str. Lucian Blaga nr. 2A, Râmnicu Vâlcea, 240041, România.
