Document legal
Politica de confidențialitate
Ultima actualizare: 9 mai 2026
Această politică explică cum CV Angajare colectează, folosește și protejează datele tale personale când folosești site-ul cv-angajare.ro și serviciile asociate. Politica respectă Regulamentul (UE) 2016/679 (GDPR) și Legea nr. 190/2018 privind aplicarea GDPR în România.
1. Cine suntem (operatorul de date)
Operatorul de date personale, în sensul GDPR, este:
- Denumire: S.C. Metis IT&Software S.R.L. (operăm sub marca comercială „CV Angajare")
- CUI/CIF: RO46338515
- Sediu: Str. Râmnicu Vâlcea nr. 8, cam. 1, et. 8, ap. 809, Sector 3, București
- Email contact privacy: technical.med.dgc@gmail.com
- Telefon: 0730 891 502
Pentru orice întrebare, cerere sau plângere legată de modul în care îți tratăm datele, ne poți contacta la adresa de email de mai sus. Vom răspunde în termen de cel mult 30 de zile, conform art. 12 GDPR.
2. Ce date colectăm
Colectăm doar datele strict necesare pentru a furniza serviciul. Pe categorii:
2.1. Date de cont (când îți creezi cont)
- Adresa de email și parola (parola e stocată sub formă de hash, nu o vedem niciodată)
- Numele complet (dacă alegi să-l completezi sau dacă te autentifici cu Google)
- Pozele de profil oferite de Google OAuth (opțional)
2.2. Conținutul CV-ului
- Datele pe care le introduci în editor: nume, contact, experiență profesională, educație, aptitudini, limbi, proiecte și certificări
- Notă: dacă folosești editorul fără cont, aceste date sunt stocate doar în browser-ul tău (
localStorage) până în momentul în care îți creezi un cont — atunci le preluăm pe serverul nostru ca să-ți poți regăsi CV-ul.
2.3. Date de plată
- Statusul abonamentului tău (activ / anulat / expirat) și data următoarei reînnoiri
- Identificatorii Stripe asociați (customer ID, subscription ID)
- Important: nu colectăm și nu stocăm numărul cardului tău. Toate datele cardului sunt procesate direct de Stripe (PCI-DSS Level 1) — noi vedem doar metadata abonamentului.
2.4. Date tehnice (automat)
- Adresa IP, user-agent, tipul dispozitivului
- Timestamp-uri ale autentificărilor și acțiunilor importante
- Cookie-uri tehnice și de sesiune (vezi secțiunea 9)
3. În ce scop folosim datele
- Furnizarea serviciului: să-ți creezi cont, să editezi CV-uri, să generezi PDF-uri.
- Gestionarea abonamentului: procesarea plăților, emiterea facturilor, anulări și reînnoiri.
- Comunicare tranzacțională: confirmare cont, resetare parolă, notificări de plată, alerte de securitate.
- Suport clienți: să răspundem la întrebările tale când ne contactezi.
- Securitate și prevenirea fraudei: detectarea tentativelor de acces neautorizat sau abuz al serviciului.
- Îmbunătățirea produsului: analiză agregată și anonimizată a modului în care e folosit site-ul.
- Obligații legale: păstrarea documentelor contabile (facturi) pentru perioada cerută de lege.
Nu vindem datele tale către terți. Nu folosim datele pentru profilare publicitară.
4. Temeiul legal al prelucrării
Prelucrăm datele tale pe următoarele temeiuri (art. 6 GDPR):
- Executarea contractului (art. 6(1)(b)) — pentru cont, editor, abonament, livrarea PDF-urilor.
- Obligația legală (art. 6(1)(c)) — pentru păstrarea documentelor fiscale și contabile.
- Interesul legitim (art. 6(1)(f)) — pentru securitate, prevenirea fraudei, log-uri tehnice și analiză agregată anonimizată.
- Consimțământ (art. 6(1)(a)) — doar pentru cookie-uri non-esențiale (dacă vom integra unele) și pentru comunicări de marketing (când și dacă le activăm; momentan nu trimitem).
5. Cui transmitem datele
Lucrăm cu sub-procesatori care ne ajută să operăm serviciul. Fiecare are acces strict la datele necesare scopului său și e obligat contractual să le protejeze conform GDPR.
| Sub-procesator | Rol | Locație |
|---|---|---|
| Supabase | Bază de date, autentificare | UE (Irlanda) |
| Vercel | Găzduire site, CDN | UE (Frankfurt) și SUA |
| Stripe | Procesare plăți | UE (Irlanda) și SUA |
| Google (OAuth) | Autentificare cu cont Google (opțional) | SUA |
| Google AdSense | Afișarea de reclame pe paginile publice (doar dacă ai dat acord în banner-ul de cookies) | SUA |
| Resend | Email-uri tranzacționale (când activăm) | UE și SUA |
Putem dezvălui date și autorităților publice doar când suntem obligați legal (instanță, organe de cercetare, ANAF, ANSPDCP).
6. Transferul internațional al datelor
O parte din furnizorii noștri (Stripe, Vercel, Google) pot procesa date în SUA. Aceste transferuri se fac în baza:
- EU-US Data Privacy Framework — acolo unde sub-procesatorul e certificat.
- Clauze contractuale standard (Standard Contractual Clauses) aprobate de Comisia Europeană pentru toate transferurile către state terțe.
Poți cere oricând o copie a clauzelor aplicate, scriindu-ne la technical.med.dgc@gmail.com.
7. Cât timp păstrăm datele
- Datele de cont și CV-urile: cât timp ai cont activ. La ștergerea contului, le eliminăm definitiv în maxim 30 de zile.
- Documente contabile (facturi, plăți): 10 ani de la încheierea exercițiului financiar, conform Legii contabilității 82/1991.
- Log-uri tehnice și de securitate: maxim 12 luni.
- Draft-uri anonime în localStorage: persistă în browser-ul tău până le ștergi tu. Nu ajung pe serverul nostru decât dacă îți creezi cont.
8. Drepturile tale
Conform GDPR, ai următoarele drepturi față de datele tale personale:
- Dreptul la acces (art. 15): să afli ce date avem despre tine și să primești o copie.
- Dreptul la rectificare (art. 16): să ne ceri să corectăm orice dată inexactă.
- Dreptul la ștergere („dreptul de a fi uitat", art. 17): să ne ceri să-ți ștergem contul și datele.
- Dreptul la restricționare (art. 18): să ne ceri să nu mai folosim datele într-un anumit scop.
- Dreptul la portabilitate (art. 20): să-ți exportăm datele într-un format structurat (JSON) ca să le poți muta la alt furnizor.
- Dreptul la opoziție (art. 21): să te opui prelucrării bazate pe interes legitim.
- Dreptul de a-ți retrage consimțământul oricând, fără ca asta să afecteze valabilitatea prelucrării anterioare.
- Dreptul de a depune plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).
Pentru a-ți exercita oricare dintre aceste drepturi, scrie-ne la technical.med.dgc@gmail.com. Răspundem în maxim 30 de zile (sau 60, în cazuri complexe, cu notificare).
10. Publicitate
Pe paginile publice ale site-ului (homepage, șabloane, prețuri, resurse) putem afișa reclame furnizate de Google AdSense. Reclamele sunt prezente doar dacă ai bifat categoria Publicitate în banner-ul de cookies — fără acordul tău nu se încarcă niciun script de publicitate.
Atunci când ai dat acord, Google AdSense poate prelucra următoarele date pentru a-ți afișa reclame relevante:
- Adresa IP și dispozitivul / browser-ul folosit
- Identificatori publicitari (cookies setate de Google pe domeniul lor)
- Pagina vizitată și conținutul ei general
- Istoricul tău de navigare pe alte site-uri partenere Google (dacă nu ai dezactivat personalizarea reclamelor în contul tău Google)
Datele sunt prelucrate de Google LLC în SUA. Transferul se face în baza EU-US Data Privacy Framework și a clauzelor contractuale standard. Detalii despre cum folosește Google datele: policies.google.com/technologies/ads.
Cum dezactivezi reclamele personalizate:
- Refuză categoria Publicitate din banner-ul de cookies (sau din pagina Politica de cookies → Modifică preferințele).
- Pentru control granular pe toate site-urile Google, vezi setările Google Ads.
Nu folosim Google AdSense și alte tehnologii similare în zonele logate (editor, contul tău, descărcarea PDF) — ele apar exclusiv pe paginile publice / informaționale.
11. Securitatea datelor
Implementăm măsuri tehnice și organizatorice rezonabile pentru a proteja datele tale:
- Conexiune criptată TLS 1.3 pe tot site-ul (HTTPS)
- Parolele sunt stocate doar ca hash (bcrypt) — nu vedem nici noi parolele
- Acces la baza de date restricționat prin Row Level Security: fiecare utilizator vede doar propriile date
- Datele cardului nu trec prin serverele noastre — sunt prelucrate direct de Stripe
- Backup-uri criptate, recuperare în caz de incident
- Acces administrativ limitat la persoanele care au strict nevoie
Notificare incidente: dacă se întâmplă o încălcare a securității care îți pune în risc datele, te anunțăm în maxim 72 de ore, conform art. 33-34 GDPR.
12. Vârsta minimă
Serviciul nu e destinat persoanelor sub 16 ani și nu colectăm cu bună știință date de la minori sub această vârstă. Dacă afli că un minor sub 16 ani ne-a furnizat date, scrie-ne la technical.med.dgc@gmail.com și le ștergem imediat.
13. Modificări ale acestei politici
Putem actualiza această politică din când în când — de exemplu când integrăm un sub-procesator nou sau când legea se schimbă. Versiunea curentă e marcată în partea de sus a paginii. Modificările materiale (care îți afectează drepturile) se comunică prin email cu cel puțin 14 zile înainte să intre în vigoare.
14. Contact și sesizări
Pentru orice întrebare legată de această politică, sau pentru a-ți exercita drepturile:
- Email: technical.med.dgc@gmail.com
- Telefon: 0730 891 502
- Sediu: Str. Râmnicu Vâlcea nr. 8, cam. 1, et. 8, ap. 809, Sector 3, București
Dacă nu ești mulțumit de răspunsul nostru, poți depune o plângere la:
- Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
- B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București
- Web: www.dataprotection.ro
- Email: anspdcp@dataprotection.ro