Politica de Confidențialitate

01

Introducere și domeniu de aplicare

QReportly („Platforma” sau „Furnizorul”) acordă o importanță fundamentală protecției datelor cu caracter personal și confidențialității persoanelor care utilizează serviciile sale.

Prezenta Politică de Confidențialitate se aplică: (i) prelucrărilor efectuate de Furnizor în calitate de Operator de Date pentru propriile activități (conturi de administrator, facturare, suport); (ii) prelucrărilor efectuate de Furnizor în calitate de Împuternicit (Processor) în numele Clienților, pentru datele incluse în sesizări și în operațiunile de canal intern de raportare.

Pentru canalul public de raportare accesibil raportorilor, Furnizorul aplică măsuri tehnice și organizatorice avansate de minimizare a datelor, detaliate în secțiunile dedicate de mai jos.

02

În ceea ce privește datele cu caracter personal conținute în sesizările transmise prin canalul intern, rapoartele, mesajele, fișierele atașate și metadatele operaționale asociate gestionării cazurilor, Clientul — Persoana Juridică înrolată — acționează ca Operator de Date (Data Controller).

QReportly acționează strict ca Împuternicit (Data Processor / Furnizor tehnic), prelucrând datele exclusiv în baza instrucțiunilor documentate ale Clientului, în scopul furnizării serviciilor contractate și în limitele prezentei Politici și ale Acordului de Utilizare.

Pentru datele proprii ale conturilor de administrator, datele de facturare și comunicările comerciale, Furnizorul acționează ca Operator de Date independent, cu obligația de a furniza informațiile prevăzute de GDPR persoanelor vizate.

Relația Operator — Împuternicit

Furnizorul nu utilizează conținutul sesizărilor în scopuri proprii de marketing, profilare sau analiză comercială. Accesul personalului Furnizor la datele Clienților este strict limitat la personalul autorizat, în scop de mentenanță, suport tehnic, securitate și conformare legală, și este supus obligațiilor de confidențialitate.

Clientul răspunde pentru legalitatea prelucrării, informarea persoanelor vizate, răspunsul la solicitările de exercitare a drepturilor în legătură cu sesizările și notificarea autorităților de supraveghere, acolo unde este cazul.

03

Categorii de date prelucrate

În funcție de modul de utilizare a Platformei, pot fi prelucrate următoarele categorii de date:

Date de identificare ale administratorilor Clientului: nume, adresă de e-mail, funcție, preferințe de limbă;
Date organizaționale: denumire workspace, țară de înregistrare, configurări de conformitate, plan tarifar;
Date de facturare și plată: procesate în principal de Stripe; Furnizorul poate stoca referințe de tranzacție, nu date complete ale cardului;
Conținutul sesizărilor: text, categorii, fișiere atașate, mesaje din chat-ul securizat, stări procedurale, marcaje temporale;
Date tehnice limitate ale sesiunilor de administrare: jurnale de securitate, identificatori de sesiune, evenimente de autentificare;
Date furnizate voluntar de raportori: nume, contact sau alte elemente, exclusiv dacă raportorul alege raportarea identificată.

04

Arhitectura de anonimat (zero-knowledge)

Platforma este proiectată structural pentru a nu colecta, jurnaliza sau stoca adrese IP, date de geolocație sau amprente digitale (browser fingerprinting) ale avertizorilor de integritate care accesează canalul public de raportare.

Această arhitectură de minimizare are scopul de a reduce riscul reidentificării raportorilor care aleg raportarea anonimă și de a sprijini Clientul în îndeplinirea obligațiilor legale privind confidențialitatea.

Furnizorul nu utilizează tehnologii de urmărire comportamentală, profilare publicitară sau analytics invaziv în interiorul fluxului de raportare destinat raportorilor. Orice instrument de analiză aplicat site-ului public de prezentare este separat de canalul securizat de sesizări.

Raportare nominală

În cazul în care raportorul optează în mod explicit pentru raportarea identificată, datele furnizate voluntar sunt accesibile Persoanei Desemnate a Clientului și sunt protejate prin măsuri tehnice de criptare și control al accesului. Clientul rămâne Operatorul responsabil pentru prelucrarea acestor date.

05

Metadate, fișiere atașate și sanitizare

Toate fișierele atașate sesizărilor (documente PDF, DOCX, imagini PNG/JPG/JPEG) sunt supuse unui proces automat de curățare criptografică a metadatelor în momentul încărcării, inclusiv dar fără a se limita la: date EXIF din imagini, informații despre autorul documentului, proprietăți embedded, marcaje temporale de editare și alte elemente care ar putea facilita reidentificarea involuntară.

Procesul de sanitizare are loc înainte de stocarea definitivă a fișierelor în infrastructura Platformei. Clientul este responsabil să evalueze dacă informațiile rămase în conținutul vizibil al documentelor sunt adecvate scopului investigației.

Fișierele care nu pot fi procesate în siguranță sau care depășesc limitele tehnice stabilite pot fi respinse automat, fără păstrarea conținutului original.

06

Retenția și purjarea automată a datelor

Furnizorul aplică politici stricte de retenție și ștergere automată, concepute pentru a limita expunerea datelor peste perioadele necesare furnizării serviciului și conformării legale.

Fișiere media și documente probatorii

Fișierele media și documentele încărcate ca dovezi în cadrul sesizărilor sunt șterse definitiv și ireversibil de pe servere la 6 luni (180 de zile calendaristice) de la marcarea cazului ca „Închis” în Platformă. Purjarea este executată automat, prin proceduri programate, fără intervenție manuală.

Istoric textual și registru

Istoricul textual al chat-ului securizat, înregistrările procedurale și datele asociate registrului oficial sunt păstrate pe perioada legală standard configurată în workspace-ul Clientului: 5 (cinci) ani ca durată implicită, respectiv 3 (trei) ani pentru jurisdicțiile care prevăd acest termen — cum este cazul Germaniei — după care sunt eliminate automat prin procedură de Hard Delete (ștergere fizică ireversibilă din sistemele active de producție).

Clientul poate configura perioada de retenție în limitele permise de legislația aplicabilă organizației sale. Furnizorul nu garantează păstrarea datelor dincolo de termenele configurate sau dincolo de încetarea contractuală, cu excepția obligațiilor legale imperativ impuse Furnizorului.

07

Temeiuri legale ale prelucrării

În calitate de Împuternicit, Furnizorul prelucrează datele sesizărilor pe baza contractului încheiat cu Clientul (art. 6 alin. (1) lit. b) GDPR) și a obligațiilor legale aplicabile furnizorilor de servicii cloud (art. 6 alin. (1) lit. c) GDPR, unde este cazul).

În calitate de Operator pentru conturile de administrare, temeiurile includ: executarea contractului; interesul legitim privind securitatea Platformei și prevenirea fraudei; obligații legale contabile și fiscale; consimțământul, acolo unde este solicitat în mod explicit (ex. comunicări de marketing — dacă sunt activate).

08

Drepturile persoanelor vizate

Persoanele vizate beneficiază de drepturile prevăzute de GDPR: acces, rectificare, ștergere, restricționare, portabilitate, opoziție și dreptul de a nu fi supuse unei decizii bazate exclusiv pe prelucrarea automată, în condițiile legii.

Pentru datele din sesizări, solicitările privind exercitarea drepturilor trebuie adresate în primul rând Clientului, în calitate de Operator de Date. Furnizorul va asista Clientul, în măsura rezonabilă și conform contractului, la onorarea acestor solicitări.

Pentru datele prelucrate de Furnizor ca Operator (conturi administrator, facturare), solicitările pot fi transmise la adresa de contact indicată la finalul prezentului document. Furnizorul va răspunde în termenele prevăzute de GDPR.

Persoanele vizate au dreptul de a depune plângere la autoritatea de supraveghere competentă din statul membru al reședinței lor habituale, locului de muncă sau al locului presupusei încălcări.

09

Măsuri de securitate

Furnizorul implementează măsuri tehnice și organizatorice adecvate pentru protejarea datelor, inclusiv: criptare în tranzit (TLS), controale de acces bazate pe rol, izolare logică între workspace-uri, monitorizare de securitate, proceduri de răspuns la incidente și backup-uri criptate în infrastructură găzduită în Uniunea Europeană.

Niciun sistem nu poate garanta securitate absolută. În cazul unui incident de securitate care afectează datele Clienților, Furnizorul va notifica Clientul fără întârzieri nejustificate, în conformitate cu obligațiile contractuale și legale aplicabile.

10

Subîmputerniciți și transferuri internaționale

Furnizorul poate apela la subîmputerniciți pentru găzduire, procesare plăți, livrare e-mail sau securitate, cu obligația de a impune acestora garanții contractuale echivalente celor prevăzute de GDPR.

Datele sunt găzduite preponderent în Uniunea Europeană. Dacă anumite servicii terțe implică transferuri în afara SEE, Furnizorul va utiliza mecanisme de transfer recunoscute (Clauze Contractuale Standard, decizii de adecvare sau alte garanții permise de GDPR).

11

Modificări ale Politicii

Furnizorul poate actualiza prezenta Politică pentru a reflecta evoluții legislative, tehnice sau operaționale. Versiunea curentă este publicată pe Platformă, cu data actualizării.

În cazul modificărilor materiale, Clientul va fi informat prin canale rezonabile (notificare în dashboard sau e-mail). Utilizarea continuă a serviciilor după intrarea în vigoare constituie acceptarea actualizărilor, în limitele permise de lege.