1. IDENTITATEA OPERATORULUI DE DATE

XENBOT SOLUTIONS S.R.L. („XenBot", „noi", „societatea") acționează ca operator de date cu caracter personal în sensul art. 4 pct. 7 din Regulamentul (UE) 2016/679 (GDPR) și al Legii nr. 190/2018.

Denumire: XENBOT SOLUTIONS S.R.L.

CUI: 54728993

Nr. Registrul Comerțului: J2026033048002

Sediu social: Strada Zămcii, Nr.38, Șcheia, Județ Suceava, 727525, România

Email GDPR: contact@xenbot.ro

Persoană de contact pentru protecția datelor: Boberschi Vladut / contact@xenbot.ro

Această Politică se aplică tuturor vizitatorilor site-ului xenbot.ro, clienților, colaboratorilor și utilizatorilor finali ai soluțiilor dezvoltate de XenBot.

2. CE DATE COLECTĂM ȘI DE UNDE

2.1 Date furnizate direct de dumneavoastră

Colectăm datele pe care ni le transmiteți în mod direct, și anume: nume și prenume, adresă de email, număr de telefon, adresă fizică (pentru facturare), date fiscale (CUI, denumire societate) pentru clienți persoane juridice, detalii despre afacere, servicii solicitate și buget estimat, precum și conținutul mesajelor transmise prin formulare de contact sau chatbot.

2.2 Date colectate automat

La vizitarea site-ului, colectăm automat: adresa IP (parțial anonimizată prin Google Analytics), tipul și versiunea browserului, sistemul de operare, rezoluția ecranului, paginile vizitate, durata vizitei, sursa de trafic și date tehnice de sesiune (cookie-uri – detalii în Politica de Cookie-uri).

2.3 Date colectate prin instrumente terțe

Anumite date sunt colectate prin instrumente terțe integrate în serviciile noastre: date de conversație prin chatboturi Meta (WhatsApp Business API, Messenger, Instagram DM), date de plată procesate prin Stripe sau Revolut Business (XenBot nu stochează date de card – acestea sunt gestionate exclusiv de procesator) și date tehnice procesate prin automatizări n8n, Supabase și Vercel.

3. SCOPURILE ȘI TEMEIUL LEGAL AL PRELUCRĂRII

Prelucrăm datele dumneavoastră în următoarele scopuri:

Executarea contractului de servicii (livrarea chatboților, automatizărilor, integrărilor API) – în temeiul art. 6(1)(b) GDPR.

Emiterea facturilor și gestiunea plăților – în temeiul art. 6(1)(c) GDPR, ca obligație legală conform Legii nr. 227/2015 (Cod Fiscal) și Legii nr. 82/1991.

Comunicare și suport tehnic (răspuns la solicitări, asistență post-implementare) – în temeiul art. 6(1)(b) GDPR.

Marketing direct (oferte, noutăți) – exclusiv cu acordul dumneavoastră explicit, în temeiul art. 6(1)(a) GDPR. Retragerea consimțământului nu afectează serviciile contractate.

Analiza traficului pe site prin Google Analytics – în temeiul art. 6(1)(a) GDPR, activat exclusiv după acceptul exprimat în bannerul de cookie-uri.

Securitate și prevenire fraudă (protecția sistemelor și a datelor clienților) – în temeiul interesului legitim, art. 6(1)(f) GDPR.

Îmbunătățirea serviciilor prin analize interne anonimizate, fără profilare individuală – în temeiul interesului legitim, art. 6(1)(f) GDPR.

Nu prelucrăm date în scopuri de profilare automată cu efecte juridice sau semnificative asupra persoanelor vizate (art. 22 GDPR).

4. SUB-PROCESATORI ȘI DESTINATARII DATELOR

Datele dumneavoastră pot fi partajate cu următorii sub-procesatori sau operatori independenți, în scopuri strict necesare furnizării serviciilor:

Google LLC (Analytics) – analiză trafic anonim, date localizate în UE / SUA, transfer asigurat prin Data Privacy Framework UE–SUA și Clauze Contractuale Standard (SCC).

Meta Platforms Ireland Ltd. – API WhatsApp/Messenger/Instagram, date localizate în UE / SUA, transfer asigurat prin SCC (art. 46 GDPR).

Anthropic, PBC — procesare limbaj natural (asistent AI) — date în SUA — transfer prin SCC (art. 46 GDPR)

Supabase, Inc. – bază de date și autentificare, date localizate în UE (AWS Frankfurt), în cadrul Spațiului Economic European.

Vercel, Inc. – găzduire aplicație web, date localizate în UE / SUA, transfer asigurat prin SCC (art. 46 GDPR).

n8n GmbH – automatizări fluxuri de date, date localizate în UE (Germania), în cadrul Spațiului Economic European.

Revolut Ltd. – procesare plăți, date localizate în UE (Lituania), în cadrul Spațiului Economic European.

Twilio Inc. – SMS, voce, comunicații, date localizate în SUA / UE, transfer asigurat prin SCC (art. 46 GDPR).

Autorități publice din România – în cazul obligațiilor legale, în temeiul art. 6(1)(c) GDPR.

Cu fiecare sub-procesator care prelucrează date personale în numele XenBot avem încheiate acorduri de prelucrare a datelor (DPA) conform art. 28 GDPR. Transferurile în afara SEE se realizează exclusiv prin garanții adecvate: Clauze Contractuale Standard (SCC) și/sau Data Privacy Framework UE–SUA, acolo unde este aplicabil.

5. ROLUL DUAL: OPERATOR ȘI ÎMPUTERNICIT

În activitatea sa, XenBot acționează în două roluri distincte.

În calitate de operator de date, XenBot prelucrează datele propriilor clienți și vizitatori ai site-ului xenbot.ro.

În calitate de împuternicit al operatorului (Processor), XenBot prelucrează datele utilizatorilor finali ai Clientului atunci când livrează soluții precum chatboturi sau automatizări. În acest caz, Clientul este operatorul, iar XenBot prelucrează datele exclusiv conform instrucțiunilor Clientului.

În cel de-al doilea scenariu, se încheie obligatoriu un Acord de Prelucrare a Datelor (DPA) ca anexă la contractul de servicii, conform art. 28 GDPR. Clientul este responsabil pentru obținerea consimțămintelor necesare de la utilizatorii finali.

6. DURATA PĂSTRĂRII DATELOR

Datele contractuale și fiscale (facturi, contracte) se păstrează 10 ani de la emitere, conform art. 25 din Legea nr. 82/1991.

Corespondența prin email și mesajele se păstrează 3 ani de la ultima interacțiune, în baza interesului legitim și a termenelor de prescripție civilă.

Datele de plată se păstrează conform cerințelor procesatorului (Stripe/Revolut) și obligațiilor legale PSD2.

Datele analitice prelucrate prin Google Analytics se păstrează maximum 14 luni, conform setărilor recomandate GA4 și consimțământului acordat.

Datele din chatboturi și conversații se păstrează conform acordului DPA cu Clientul, dar nu mai mult decât este necesar scopului, în conformitate cu art. 5(1)(e) GDPR privind limitarea stocării.

Datele candidaților (dacă este aplicabil) se păstrează 1 an de la ultima interacțiune, în baza consimțământului sau interesului legitim.

La expirarea perioadelor de păstrare, datele sunt șterse ireversibil sau anonimizate în mod securizat.

7. DREPTURILE DUMNEAVOASTRĂ CONFORM GDPR

Conform Regulamentului (UE) 2016/679 și Legii nr. 190/2018, aveți următoarele drepturi:

Dreptul de acces (art. 15) – să primiți o copie a datelor prelucrate despre dumneavoastră.

Dreptul la rectificare (art. 16) – să corectați date inexacte sau incomplete.

Dreptul la ștergere (art. 17) – „dreptul de a fi uitat", cu excepțiile legale aplicabile.

Dreptul la restricționarea prelucrării (art. 18).

Dreptul la portabilitate (art. 20) – să primiți datele într-un format structurat, uzual, citibil automat.

Dreptul de opoziție (art. 21) – inclusiv față de prelucrările bazate pe interes legitim.

Dreptul de a nu face obiectul unei decizii automate (art. 22).

Dreptul de a retrage consimțământul oricând, fără a afecta legalitatea prelucrărilor anterioare.

Cererile se transmit la contact@xenbot.ro. Răspundem în termen de 30 de zile calendaristice, cu posibilitate de prelungire la 60 de zile în cazuri complexe, cu notificare prealabilă.

Aveți dreptul de a depune plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), cu sediul la B-dul G-ral Gheorghe Magheru 28–30, Sector 1, București, 010336, website: www.dataprotection.ro.

8. SECURITATEA DATELOR

XENBOT SOLUTIONS S.R.L. implementează măsuri tehnice și organizatorice adecvate nivelului de risc, printre care:

– comunicații criptate (HTTPS/TLS) pe toate canalele;

– autentificare în doi pași (2FA) pentru accesul la conturile critice;

– acces bazat pe principiul minimului priviegiu (least privilege);

– stocarea securizată a credențialelor printr-un manager de parole;

– backup-uri periodice ale bazelor de date.

În cazul unei încălcări a securității datelor care prezintă un risc pentru drepturile și libertățile persoanelor vizate, XENBOT SOLUTIONS S.R.L. va notifica Autoritatea Națională de Supraveghere (ANSPDCP) în conformitate cu art. 33 GDPR.

9. COOKIE-URI

Site-ul xenbot.ro utilizează cookie-uri. Detalii complete privind tipurile de cookie-uri, duratele de stocare și modalitatea de gestionare a consimțământului sunt disponibile în Politica de Cookie-uri.

Cookie-urile analitice (Google Analytics) sunt activate exclusiv după acordul explicit al utilizatorului prin bannerul de consimțământ, conform Directivei ePrivacy (2002/58/CE) și Legii nr. 506/2004.

10. MODIFICĂRI ALE POLITICII

XENBOT SOLUTIONS S.R.L. își rezervă dreptul de a actualiza această Politică pentru a reflecta modificări legislative, tehnologice sau operaționale. Modificările semnificative vor fi comunicate prin email clienților activi și/sau printr-un banner vizibil pe site, cu minimum 15 zile înainte de intrarea în vigoare.

Data ultimei actualizări este indicată în antetul documentului. Versiunile anterioare sunt arhivate și disponibile la cerere.

11. CONTACT

Email GDPR: contact@xenbot.ro

Adresă corespondență: Strada Zămcii, Nr.38, Șcheia, Județ Suceava, 727525, România

Persoană de contact pentru protecția datelor: Boberschi Vladut / contact@xenbot.ro