Protecția Datelor

Conformitate
GDPR

Angajamentul nostru fata de protectia datelor tale personale, in conformitate cu Regulamentul General privind Protectia Datelor (UE 2016/679).

1. Angajamentul Nostru

AllAI se angajeaza sa respecte pe deplin prevederile Regulamentului General privind Protectia Datelor (GDPR) si ale legislatiei romanesti in domeniul protectiei datelor cu caracter personal (Legea nr. 190/2018). Ca platforma SaaS de chatbot si voicebot AI care deserveste clienti din Uniunea Europeana, protectia datelor este un pilon central al activitatii noastre.

Aceasta pagina descrie masurile concrete pe care le implementam pentru a asigura conformitatea cu GDPR si pentru a proteja drepturile persoanelor vizate.

2. Rolurile Noastre in Procesarea Datelor

In functie de context, AllAI actioneaza in doua calitati distincte:

Operator de Date

Cand colectam si prelucram datele utilizatorilor nostri directi (clientii care isi creeaza cont pe platforma): informatii de cont, date de facturare, comunicari cu echipa de suport.

Procesator de Date

Cand procesam datele utilizatorilor finali in numele clientilor nostri: conversatii purtate cu chatbotii si vocebotii, informatii de contact capturate prin agentii AI, inregistrari vocale.

Aceasta distinctie este importanta deoarece obligatiile noastre legale difera in functie de rolul pe care il avem. In calitate de Procesator, actionam exclusiv conform instructiunilor clientilor nostri (Operatorii de date).

3. Principiile GDPR pe Care le Respectam

  • 1.
    Legalitate, echitate si transparenta — Prelucram datele in mod legal, echitabil si transparent fata de persoanele vizate
  • 2.
    Limitarea scopului — Colectam date doar in scopuri determinate, explicite si legitime
  • 3.
    Minimizarea datelor — Colectam doar datele strict necesare pentru scopurile declarate
  • 4.
    Exactitate — Luam masuri pentru a ne asigura ca datele personale sunt exacte si actualizate
  • 5.
    Limitarea stocarii — Pastram datele doar atat timp cat este necesar pentru scopul prelucrarii
  • 6.
    Integritate si confidentialitate — Asiguram securitatea datelor prin masuri tehnice si organizatorice adecvate
  • 7.
    Responsabilitate — Putem demonstra conformitatea cu toate principiile de mai sus

4. Drepturile Persoanelor Vizate

GDPR va acorda urmatoarele drepturi, pe care AllAI le respecta si le faciliteaza:

Dreptul de Acces Art. 15 GDPR — Puteti solicita o copie a tuturor datelor personale pe care le detinem
Dreptul la Rectificare Art. 16 GDPR — Puteti corecta datele personale inexacte sau incomplete
Dreptul la Stergere Art. 17 GDPR — Puteti solicita stergerea datelor personale („dreptul de a fi uitat”)
Dreptul la Restrictionare Art. 18 GDPR — Puteti solicita limitarea prelucrarii datelor in anumite cazuri
Dreptul la Portabilitate Art. 20 GDPR — Puteti primi datele intr-un format structurat, utilizat frecvent
Dreptul la Opozitie Art. 21 GDPR — Va puteti opune prelucrarii datelor in baza interesului legitim

Raspundem la toate solicitarile in termen de 30 de zile. Pentru exercitarea drepturilor, contactati-ne la contact@allai.ro.

5. Masuri Tehnice si Organizatorice

Conform Art. 32 GDPR, implementam urmatoarele masuri de securitate:

Masuri tehnice

  • Criptare AES-256 pentru datele stocate
  • Protocol TLS 1.3 pentru datele in tranzit
  • Autentificare in doi pasi (2FA) pentru conturi
  • Controlul accesului bazat pe roluri (RBAC)
  • Backup-uri criptate si redundante in centre de date UE
  • Protectie DDoS si firewall de aplicatii web (WAF)
  • Monitorizare continua 24/7 a securitatii

Masuri organizatorice

  • Politici interne de protectie a datelor
  • Instruire regulata a angajatilor privind GDPR
  • Acorduri de confidentialitate cu toti angajatii
  • Evaluari periodice de impact asupra protectiei datelor (DPIA)
  • Proceduri de raspuns la incidente de securitate
  • Audituri externe de securitate (trimestrial)

6. Acordul de Procesare a Datelor (DPA)

In conformitate cu Art. 28 GDPR, oferim un Acord de Procesare a Datelor (DPA) tuturor clientilor nostri. DPA-ul nostru include:

  • Obiectul si durata prelucrarii datelor
  • Natura si scopul prelucrarii
  • Tipul datelor personale prelucrate
  • Categoriile de persoane vizate
  • Obligatiile si drepturile operatorului
  • Lista sub-procesatorilor autorizati
  • Masurile tehnice si organizatorice de securitate
  • Procedura de notificare a incidentelor de securitate

DPA-ul este disponibil la cerere. Contactati-ne la contact@allai.ro pentru a solicita un exemplar.

7. Transferuri Internationale de Date

Datele sunt stocate in centre de date din Uniunea Europeana (Germania si Olanda). In cazul transferurilor de date in afara SEE, aplicam urmatoarele garantii (Art. 44-49 GDPR):

  • Decizii de adecvare: transferuri catre tari recunoscute de Comisia Europeana ca oferind un nivel adecvat de protectie
  • Clauze Contractuale Standard (SCC): aprobate de Comisia Europeana, incluse in contractele cu sub-procesatorii
  • Evaluari de impact ale transferurilor (TIA): efectuate pentru fiecare transfer catre tari terte

8. Notificarea Incidentelor de Securitate

In conformitate cu Art. 33 si 34 GDPR, avem proceduri clare pentru gestionarea incidentelor de securitate:

  • Notificarea ANSPDCP: in termen de 72 de ore de la constatarea unui incident care prezinta riscuri pentru drepturile persoanelor vizate
  • Notificarea clientilor (Operatorilor): fara intarziere nejustificata, cu detalii despre incident si masurile luate
  • Notificarea persoanelor vizate: atunci cand incidentul prezinta un risc ridicat pentru drepturile si libertatile acestora

9. GDPR si Inteligenta Artificiala

Ca platforma de AI, acordam o atentie deosebita conformitatii in contextul procesarii automate:

  • Transparenta AI: informam utilizatorii ca interactioneaza cu un agent AI, nu cu o persoana reala
  • Fara profilare cu efecte juridice: nu luam decizii automatizate cu efecte juridice semnificative fara interventia umana
  • Izolarea datelor: datele fiecarui client sunt izolate logic si nu sunt accesibile altor clienti
  • Controlul antrenamentului: nu utilizam datele conversatiilor clientilor pentru antrenarea modelelor AI generale
  • Evaluari DPIA: efectuam evaluari de impact pentru functionalitatile AI care implica prelucrare pe scara larga
  • Conformitate AI Act: monitorizam si ne pregatim pentru conformitatea cu Regulamentul european privind Inteligenta Artificiala

10. Sub-procesatori

Utilizam urmatoarele categorii de sub-procesatori, toti conformi cu GDPR:

Categorie Scop Locatie Date
Infrastructura Cloud Gazduire servere si baze de date UE (Germania, Olanda)
Modele AI / LLM Procesarea limbajului natural UE / SCC in vigoare
Procesare Plati Gestionarea tranzactiilor UE (PCI-DSS conform)
Email Tranzactional Notificari si comunicari UE
Analiza si Monitorizare Performanta platformei UE

Lista completa a sub-procesatorilor este disponibila in DPA. Clientii sunt notificati cu 30 de zile inainte de adaugarea unui nou sub-procesator.

11. Autoritatea de Supraveghere

Autoritatea de supraveghere competenta pentru AllAI este Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP):

  • Adresa: B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, Bucuresti, cod postal 010336
  • Website: www.dataprotection.ro
  • Email: anspdcp@dataprotection.ro

Aveti dreptul de a depune o plangere la ANSPDCP daca considerati ca drepturile dumneavoastra privind protectia datelor au fost incalcate.

12. Contact

Pentru orice intrebari sau solicitari legate de conformitatea GDPR, protectia datelor personale sau exercitarea drepturilor dumneavoastra, ne puteti contacta:

Vom confirma primirea solicitarii in termen de 48 de ore si vom raspunde complet in termen de 30 de zile calendaristice.