Document legal

Politica de confidențialitate

Ultima actualizare: 9 mai 2026

Această politică explică cum CV Angajare colectează, folosește și protejează datele tale personale când folosești site-ul cv-angajare.ro și serviciile asociate. Politica respectă Regulamentul (UE) 2016/679 (GDPR) și Legea nr. 190/2018 privind aplicarea GDPR în România.

1. Cine suntem (operatorul de date)

Operatorul de date personale, în sensul GDPR, este:

  • Denumire: S.C. Metis IT&Software S.R.L. (operăm sub marca comercială „CV Angajare")
  • CUI/CIF: RO46338515
  • Sediu: Str. Râmnicu Vâlcea nr. 8, cam. 1, et. 8, ap. 809, Sector 3, București
  • Email contact privacy: technical.med.dgc@gmail.com
  • Telefon: 0730 891 502

Pentru orice întrebare, cerere sau plângere legată de modul în care îți tratăm datele, ne poți contacta la adresa de email de mai sus. Vom răspunde în termen de cel mult 30 de zile, conform art. 12 GDPR.

2. Ce date colectăm

Colectăm doar datele strict necesare pentru a furniza serviciul. Pe categorii:

2.1. Date de cont (când îți creezi cont)

  • Adresa de email și parola (parola e stocată sub formă de hash, nu o vedem niciodată)
  • Numele complet (dacă alegi să-l completezi sau dacă te autentifici cu Google)
  • Pozele de profil oferite de Google OAuth (opțional)

2.2. Conținutul CV-ului

  • Datele pe care le introduci în editor: nume, contact, experiență profesională, educație, aptitudini, limbi, proiecte și certificări
  • Notă: dacă folosești editorul fără cont, aceste date sunt stocate doar în browser-ul tău (localStorage) până în momentul în care îți creezi un cont — atunci le preluăm pe serverul nostru ca să-ți poți regăsi CV-ul.

2.3. Date de plată

  • Statusul abonamentului tău (activ / anulat / expirat) și data următoarei reînnoiri
  • Identificatorii Stripe asociați (customer ID, subscription ID)
  • Important: nu colectăm și nu stocăm numărul cardului tău. Toate datele cardului sunt procesate direct de Stripe (PCI-DSS Level 1) — noi vedem doar metadata abonamentului.

2.4. Date tehnice (automat)

  • Adresa IP, user-agent, tipul dispozitivului
  • Timestamp-uri ale autentificărilor și acțiunilor importante
  • Cookie-uri tehnice și de sesiune (vezi secțiunea 9)

3. În ce scop folosim datele

  • Furnizarea serviciului: să-ți creezi cont, să editezi CV-uri, să generezi PDF-uri.
  • Gestionarea abonamentului: procesarea plăților, emiterea facturilor, anulări și reînnoiri.
  • Comunicare tranzacțională: confirmare cont, resetare parolă, notificări de plată, alerte de securitate.
  • Suport clienți: să răspundem la întrebările tale când ne contactezi.
  • Securitate și prevenirea fraudei: detectarea tentativelor de acces neautorizat sau abuz al serviciului.
  • Îmbunătățirea produsului: analiză agregată și anonimizată a modului în care e folosit site-ul.
  • Obligații legale: păstrarea documentelor contabile (facturi) pentru perioada cerută de lege.

Nu vindem datele tale către terți. Nu folosim datele pentru profilare publicitară.

5. Cui transmitem datele

Lucrăm cu sub-procesatori care ne ajută să operăm serviciul. Fiecare are acces strict la datele necesare scopului său și e obligat contractual să le protejeze conform GDPR.

Sub-procesatorRolLocație
SupabaseBază de date, autentificareUE (Irlanda)
VercelGăzduire site, CDNUE (Frankfurt) și SUA
StripeProcesare plățiUE (Irlanda) și SUA
Google (OAuth)Autentificare cu cont Google (opțional)SUA
Google AdSenseAfișarea de reclame pe paginile publice (doar dacă ai dat acord în banner-ul de cookies)SUA
ResendEmail-uri tranzacționale (când activăm)UE și SUA

Putem dezvălui date și autorităților publice doar când suntem obligați legal (instanță, organe de cercetare, ANAF, ANSPDCP).

6. Transferul internațional al datelor

O parte din furnizorii noștri (Stripe, Vercel, Google) pot procesa date în SUA. Aceste transferuri se fac în baza:

  • EU-US Data Privacy Framework — acolo unde sub-procesatorul e certificat.
  • Clauze contractuale standard (Standard Contractual Clauses) aprobate de Comisia Europeană pentru toate transferurile către state terțe.

Poți cere oricând o copie a clauzelor aplicate, scriindu-ne la technical.med.dgc@gmail.com.

7. Cât timp păstrăm datele

  • Datele de cont și CV-urile: cât timp ai cont activ. La ștergerea contului, le eliminăm definitiv în maxim 30 de zile.
  • Documente contabile (facturi, plăți): 10 ani de la încheierea exercițiului financiar, conform Legii contabilității 82/1991.
  • Log-uri tehnice și de securitate: maxim 12 luni.
  • Draft-uri anonime în localStorage: persistă în browser-ul tău până le ștergi tu. Nu ajung pe serverul nostru decât dacă îți creezi cont.

8. Drepturile tale

Conform GDPR, ai următoarele drepturi față de datele tale personale:

  • Dreptul la acces (art. 15): să afli ce date avem despre tine și să primești o copie.
  • Dreptul la rectificare (art. 16): să ne ceri să corectăm orice dată inexactă.
  • Dreptul la ștergere („dreptul de a fi uitat", art. 17): să ne ceri să-ți ștergem contul și datele.
  • Dreptul la restricționare (art. 18): să ne ceri să nu mai folosim datele într-un anumit scop.
  • Dreptul la portabilitate (art. 20): să-ți exportăm datele într-un format structurat (JSON) ca să le poți muta la alt furnizor.
  • Dreptul la opoziție (art. 21): să te opui prelucrării bazate pe interes legitim.
  • Dreptul de a-ți retrage consimțământul oricând, fără ca asta să afecteze valabilitatea prelucrării anterioare.
  • Dreptul de a depune plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).

Pentru a-ți exercita oricare dintre aceste drepturi, scrie-ne la technical.med.dgc@gmail.com. Răspundem în maxim 30 de zile (sau 60, în cazuri complexe, cu notificare).

9. Cookies și tehnologii similare

Cookies-urile pe care le poate seta site-ul sunt împărțite în trei categorii:

  • Esențiale — sesiunea de autentificare, securitate CSRF, preferințele de consimțământ. Active fără acordul tău, pentru că sunt strict necesare pentru funcționarea site-ului.
  • Analiză — statistici anonime de utilizare. Active doar dacă bifezi categoria în banner-ul de cookies.
  • Publicitate — Google AdSense și eventuali alți parteneri pe care îi vom adăuga. Active doar dacă bifezi categoria în banner.

Folosim de asemenea localStorage pentru a salva draft-urile de CV ale vizitatorilor anonimi (rămân exclusiv în browser-ul tău). Detaliile complete și tabelul de cookies pe pagina Politica de cookies.

10. Publicitate

Pe paginile publice ale site-ului (homepage, șabloane, prețuri, resurse) putem afișa reclame furnizate de Google AdSense. Reclamele sunt prezente doar dacă ai bifat categoria Publicitate în banner-ul de cookies — fără acordul tău nu se încarcă niciun script de publicitate.

Atunci când ai dat acord, Google AdSense poate prelucra următoarele date pentru a-ți afișa reclame relevante:

  • Adresa IP și dispozitivul / browser-ul folosit
  • Identificatori publicitari (cookies setate de Google pe domeniul lor)
  • Pagina vizitată și conținutul ei general
  • Istoricul tău de navigare pe alte site-uri partenere Google (dacă nu ai dezactivat personalizarea reclamelor în contul tău Google)

Datele sunt prelucrate de Google LLC în SUA. Transferul se face în baza EU-US Data Privacy Framework și a clauzelor contractuale standard. Detalii despre cum folosește Google datele: policies.google.com/technologies/ads.

Cum dezactivezi reclamele personalizate:

  • Refuză categoria Publicitate din banner-ul de cookies (sau din pagina Politica de cookies → Modifică preferințele).
  • Pentru control granular pe toate site-urile Google, vezi setările Google Ads.

Nu folosim Google AdSense și alte tehnologii similare în zonele logate (editor, contul tău, descărcarea PDF) — ele apar exclusiv pe paginile publice / informaționale.

11. Securitatea datelor

Implementăm măsuri tehnice și organizatorice rezonabile pentru a proteja datele tale:

  • Conexiune criptată TLS 1.3 pe tot site-ul (HTTPS)
  • Parolele sunt stocate doar ca hash (bcrypt) — nu vedem nici noi parolele
  • Acces la baza de date restricționat prin Row Level Security: fiecare utilizator vede doar propriile date
  • Datele cardului nu trec prin serverele noastre — sunt prelucrate direct de Stripe
  • Backup-uri criptate, recuperare în caz de incident
  • Acces administrativ limitat la persoanele care au strict nevoie

Notificare incidente: dacă se întâmplă o încălcare a securității care îți pune în risc datele, te anunțăm în maxim 72 de ore, conform art. 33-34 GDPR.

12. Vârsta minimă

Serviciul nu e destinat persoanelor sub 16 ani și nu colectăm cu bună știință date de la minori sub această vârstă. Dacă afli că un minor sub 16 ani ne-a furnizat date, scrie-ne la technical.med.dgc@gmail.com și le ștergem imediat.

13. Modificări ale acestei politici

Putem actualiza această politică din când în când — de exemplu când integrăm un sub-procesator nou sau când legea se schimbă. Versiunea curentă e marcată în partea de sus a paginii. Modificările materiale (care îți afectează drepturile) se comunică prin email cu cel puțin 14 zile înainte să intre în vigoare.

14. Contact și sesizări

Pentru orice întrebare legată de această politică, sau pentru a-ți exercita drepturile:

Dacă nu ești mulțumit de răspunsul nostru, poți depune o plângere la:

  • Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
  • B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București
  • Web: www.dataprotection.ro
  • Email: anspdcp@dataprotection.ro