Politica de Confidențialitate

1. Operatorul de date cu caracter personal

Platforma E-DOSAR.MD este administrată de organizația dvs. („Operatorul”). Fiecare organizație (casă de avocatură sau avocat independent) care utilizează platforma acționează în calitate de operator de date cu caracter personal în sensul Regulamentului (UE) 2016/679 (GDPR) și al Legii nr. 195/2024 privind protecția datelor cu caracter personal din Republica Moldova.

2. Responsabilul cu protecția datelor (DPO)

Fiecare organizație înregistrată pe platformă poate desemna un Responsabil cu Protecția Datelor (DPO) conform Art. 37-39 GDPR / Art. 28 Legea nr. 195/2024.

Contact DPO platforma E-DOSAR.MD: dpo@e-dosar.md

3. Categorii de date cu caracter personal prelucrate

• Date de identificare: nume, prenume, patronimic, email, telefon, IDNP (număr de identificare personal)
• Date financiare: IBAN, cont bancar, date de facturare
• Date profesionale: număr de licență avocat, tip organizație
• Date de autentificare: email, parolă (stocată criptat cu bcrypt)
• Date de utilizare: jurnale de activitate, sesiuni, adrese IP (pentru securitate)
• Date ale clienților: informații introduse de avocați despre clienții lor în cadrul exercitării profesiei

4. Scopurile și temeiurile juridice ale prelucrării

5. Măsuri de securitate (Art. 32 GDPR / Art. 29-30 Legea nr. 195/2024)

• Criptare AES-256-GCM pentru date sensibile (IDNP, IBAN)
• Parole stocate cu hashing bcrypt (12 runde)
• Autentificare în doi factori (2FA/TOTP) opțional
• Rate limiting și protecție contra atacurilor brute-force
• Sanitizare HTML pentru prevenirea atacurilor XSS
• Content Security Policy (CSP) pentru protecția împotriva injectărilor
• Control acces bazat pe roluri (RBAC) cu 5 niveluri de permisiuni
• Audit log pentru acțiuni critice
• HTTPS obligatoriu cu HSTS (Strict-Transport-Security)
• Sesiuni cu durată limitată (24 ore) — cookie-uri HttpOnly, Secure, SameSite=Lax
• Pseudonimizare adrese IP în jurnale (ultimul octet trunchiat)

6. Durata de stocare a datelor

Datele cu caracter personal sunt stocate pe durata relației contractuale și pentru o perioadă suplimentară conform obligațiilor legale aplicabile:

La expirarea termenelor, datele sunt șterse automat sau anonimizate.

7. Drepturile dvs. (Art. 15-22 GDPR / Art. 12-21 Legea nr. 195/2024)

• Dreptul de acces (Art. 15): puteți solicita o copie a datelor dvs. personale
• Dreptul la rectificare (Art. 16): puteți cere corectarea datelor inexacte
• Dreptul la ștergere (Art. 17): puteți solicita ștergerea datelor, sub rezerva obligațiilor legale
• Dreptul la restricționare (Art. 18): puteți limita prelucrarea în anumite condiții
• Dreptul la portabilitate (Art. 20): puteți primi datele într-un format structurat (JSON)
• Dreptul de opoziție (Art. 21): vă puteți opune prelucrării bazate pe interes legitim
• Dreptul de retragere a consimțământului (Art. 7): puteți retrage consimțământul oricând

Pentru exercitarea drepturilor, accesați secțiunea Setări → Datele mele din platformă sau contactați DPO la dpo@e-dosar.md. Termenul de răspuns este de maximum 30 de zile calendaristice.

8. Autoritatea de supraveghere

Aveți dreptul de a depune o plângere la Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) al Republicii Moldova:

Înregistrarea operatorului platformei la CNPDCP: după obținerea numărului oficial, acesta va fi publicat aici prin configurarea variabilei de mediu NEXT_PUBLIC_CNPDCP_REGISTRATION_REF (transparență Art. 12–13). Pentru clarificări: dpo@e-dosar.md.

9. Transferul datelor

Infrastructura principală a platformei este găzduită pe servere Hetzner Online GmbH, situate în Germania (UE), beneficiind de protecția integrală a GDPR.

Sub-operatori implicați:

* Opțional — doar dacă organizația dvs. configurează integrarea respectivă. Activarea unui provider cloud extern este condiționată de un checkbox obligatoriu prin care operatorul confirmă conformitatea cu Art. 44-46 GDPR / Art. 32 Legea nr. 195/2024. DPF = EU-U.S. Data Privacy Framework.

10. Cookie-uri

Platforma utilizează cookie-uri strict necesare pentru funcționare (autentificare, sesiune) și, cu consimțământul dvs., cookie-uri funcționale. Pentru detalii complete, consultați Politica de Cookie-uri.

11. Contact

Pentru orice întrebări legate de protecția datelor sau exercitarea drepturilor dvs., contactați:

• DPO E-DOSAR.MD: dpo@e-dosar.md
• Administratorul organizației: prin secțiunea Setări din platformă

Termenul de răspuns: max. 30 de zile calendaristice, cu posibilitate de prelungire cu 60 de zile în cazuri complexe (Art. 12(3) GDPR).

12. Notificarea breșelor de securitate (Art. 33-34 GDPR)

În cazul unei breșe de securitate care afectează datele cu caracter personal, vom notifica CNPDCP în termen de 72 de ore de la momentul constatării (Art. 33 GDPR / Art. 32 Legea nr. 195/2024). Dacă breșa prezintă un risc ridicat pentru drepturile dvs., veți fi notificat direct prin email (Art. 34 GDPR).

Platforma dispune de un sistem automatizat de gestionare a alertelor de breșe (Breach Alerts), care include:

• Înregistrarea incidentului cu severitate, date afectate și număr de persoane vizate
• Workflow de notificare: draft → trimis cu timestamp și destinatari
• Notificare automată prin email a persoanelor vizate (când breșa este de risc ridicat)
• Registru complet al incidentelor accesibil din panoul de administrare

13. Instrumente GDPR integrate în platformă

Platforma oferă instrumente integrate pentru conformitatea GDPR:

• ROPA (Registrul Activităților de Prelucrare) — document generat automat conform Art. 30 GDPR, accesibil din panoul admin
• DPIA (Evaluarea Impactului asupra Protecției Datelor) — raport generat automat conform Art. 35 GDPR
• Restricționare prelucrare — mecanism de suspendare a prelucrării datelor unui client sau dosar conform Art. 18 GDPR, cu blocare automată a creării facturilor pentru entitățile restricționate
• Checkbox obligatoriu transfer transfrontalier — la activarea unui provider cloud extern (Google Drive, OneDrive, Dropbox, S3), salvarea configurației este condiționată de confirmarea explicită a conformității cu Art. 44-46 GDPR / Art. 32 Legea nr. 195/2024
• Alerte breșe de securitate — gestionare incidente cu notificare automată (Art. 33-34 GDPR)
• Notificări sub-procesatori — evidența modificărilor de sub-procesatori cu notificare (Art. 28 GDPR)
• Export date personale — descărcare în format JSON conform dreptului la portabilitate (Art. 20 GDPR)
• Ștergere / anonimizare cont — dreptul la uitare implementat tehnic (Art. 17 GDPR)
• Gestionare consimțăminte — evidența granulară a consimțămintelor per scop, cu posibilitate de revocare (Art. 7 GDPR)