1. Introducere și Angajament
CRESPO EXPRESS SRL (denumit în continuare „Click Post", „noi", „nostru") operează platforma de servicii de curierat local, logistică și intermediere transport disponibilă la adresa clickpost.ro și prin aplicațiile asociate.
Ne angajăm să protejăm confidențialitatea și securitatea datelor dumneavoastră personale. Această politică se aplică tuturor persoanelor care interacționează cu serviciile noastre: destinatari, comercianți parteneri, transportatori parteneri și vizitatori ai platformei.
Principiile noastre fundamentale sunt: transparență (vă spunem exact ce facem cu datele), minimizare (colectăm doar ce este necesar), securitate (protejăm datele cu măsuri tehnice avansate) și respect (drepturile dumneavoastră sunt prioritare).
2. Operatorul de Date
Operatorul de date personale este:
CRESPO EXPRESS SRL
CUI: RO29926817
Sediu: Str. Letea nr. 32, 600343 Bacău, România
Email DPO: [email protected]
Telefon: Contactează-ne pe WhatsApp
În relația cu Comercianții parteneri, Click Post acționează ca persoană împuternicită (processor) pentru datele destinatarilor furnizate de Comerciant în scopul efectuării livrărilor, și ca operator (controller) pentru datele colectate direct prin Platformă.
3. Categorii de Date Personale Colectate
Colectăm și procesăm următoarele categorii de date personale, în funcție de relația dumneavoastră cu platforma noastră:
3.1. Destinatari (persoane care primesc colete)
- Nume și prenume
- Adresa de livrare (stradă, număr, bloc, scară, etaj, apartament, cod poștal, localitate)
- Număr de telefon mobil
- Adresă de email (opțional, pentru notificări de tracking)
- Preferințe de livrare (slot orar, loc sigur, instrucțiuni speciale)
- Semnătura digitală (la confirmarea livrării — POD)
- Fotografie colet livrat (POD — fără date biometrice)
- Date de geolocalizare (exclusiv pentru tracking în timp real, cu consimțământ explicit)
3.2. Comercianți parteneri
- Denumire firmă, CUI, număr registrul comerțului, adresă sediu social
- Date de contact ale persoanei de legătură (nume, email, telefon)
- Date bancare (IBAN, bancă — pentru decontări COD)
- Chei API și credențiale de acces la Platformă
- Date despre comenzi, volume de livrări și performanță
- Date de facturare și istoricul plăților
3.3. Transportatori parteneri și curieri
- Nume, prenume, CNP (pentru contracte și verificare identitate)
- Date de contact (telefon, email, adresă)
- Date privind vehiculul (tip, număr înmatriculare, capacitate, tip combustibil)
- Licență de transport și asigurare CMR
- Localizare GPS în timp real (exclusiv în timpul livrărilor active)
- Performanță, rating și statistici de livrare
- Date bancare (IBAN — pentru plăți)
3.4. Date tehnice (toți vizitatorii platformei)
- Adresă IP (anonimizată după 30 de zile)
- Tip browser, versiune și sistem de operare
- Pagini vizitate, durata vizitei și sursa de referință
- Cookie-uri și identificatori similari (vezi secțiunea 6)
- Date de performanță a dispozitivului (pentru optimizarea aplicației)
4. Scopurile și Temeiurile Legale ale Prelucrării
| Scop | Temei Legal (GDPR) | Retenție |
|---|---|---|
| Procesarea și livrarea comenzilor | Art. 6(1)(b) — Executarea contractului | 24 luni de la livrare |
| Notificări tracking (WhatsApp, SMS, email) | Art. 6(1)(b) — Executarea contractului | 30 zile după livrare |
| Geolocalizare tracking live | Art. 6(1)(a) — Consimțământ explicit | 7 zile după livrare |
| POD (foto, semnătură, geolocalizare) | Art. 6(1)(b) — Executarea contractului | 6 luni de la livrare |
| Facturare, contabilitate și decontări COD | Art. 6(1)(c) — Obligație legală (Cod Fiscal) | 10 ani (legislație fiscală) |
| Gestionare retururi și reclamații | Art. 6(1)(b) — Executarea contractului | 24 luni de la soluționare |
| Analiză performanță și optimizare rute AI | Art. 6(1)(f) — Interes legitim | 24 luni (date anonimizate) |
| Raportare ESG și emisii carbon | Art. 6(1)(f) — Interes legitim | 36 luni (date agregate) |
| Marketing și comunicări promoționale | Art. 6(1)(a) — Consimțământ | Până la retragerea consimțământului |
| Prevenirea fraudei și securitate platformă | Art. 6(1)(f) — Interes legitim | 12 luni |
| Conformitate legală (ANPC, ANAF, ANCOM) | Art. 6(1)(c) — Obligație legală | Conform legislației aplicabile |
| Verificare identitate transportatori | Art. 6(1)(b) — Executarea contractului | Durata colaborării + 24 luni |
5. Mascare GDPR și Minimizare Date
Click Post implementează un sistem avansat de mascare a datelor personale pentru a minimiza expunerea informațiilor sensibile:
- Mascare telefon: Curierii văd doar ultimele 4 cifre ale numărului de telefon al destinatarului. Apelurile se realizează prin intermediul platformei, fără expunerea numărului real.
- Mascare adresă: Adresa completă este vizibilă doar curierului alocat, doar pe durata livrării active. După finalizare, adresa este mascată parțial.
- Anonimizare automată: La expirarea perioadei de retenție, datele personale sunt anonimizate automat prin procesul zilnic de GDPR cleanup (conform Art. 5(1)(e) GDPR — limitarea stocării).
6. Cookie-uri și Tehnologii Similare
Utilizăm cookie-uri și tehnologii similare pentru funcționarea platformei. Puteți gestiona preferințele de cookie-uri prin banner-ul de consimțământ afișat la prima vizită.
| Categorie | Descriere | Durată | Obligatoriu |
|---|---|---|---|
| Strict necesare | Autentificare, sesiune, securitate CSRF, preferințe de limbă | Sesiune / 30 zile | Da |
| Funcționale | Preferințe utilizator, slot-uri salvate, ultima locație de livrare | 90 zile | Nu |
| Analiză | Măsurarea traficului, analiza utilizării, identificarea erorilor (date anonimizate) | 12 luni | Nu |
| Marketing | Personalizarea comunicărilor, remarketing, măsurarea campaniilor | 6 luni | Nu |
Puteți dezactiva cookie-urile din setările browser-ului, dar acest lucru poate afecta funcționalitatea platformei. Cookie-urile strict necesare nu pot fi dezactivate deoarece sunt esențiale pentru funcționarea serviciului.
7. Partajarea Datelor cu Terți
Partajăm datele dumneavoastră personale doar în măsura strict necesară pentru furnizarea serviciilor, cu următoarele categorii de destinatari:
| Destinatar | Scop | Date partajate |
|---|---|---|
| Curieri / Transportatori parteneri | Efectuarea livrărilor | Nume, adresă, telefon (mascat GDPR) |
| Comercianți parteneri | Confirmări livrare, gestionare retururi | Status livrare, POD, semnătură |
| Parteneri curierat național | Expedieri naționale (eAWB, FAN, Sameday, Cargus) | Date expediere conform AWB |
| WhatsApp Business (Meta) | Notificări tracking și comunicare operațională | Telefon, nume, status comandă |
| Furnizori SMS (SMSO) | Notificări SMS failover | Telefon, mesaj tracking |
| Stripe | Procesare plăți online | Date de facturare (fără date card) |
| SmartBill | Facturare electronică | Date firmă, sume, CUI |
| Furnizori cloud (hosting) | Stocare și procesare date | Toate datele (criptat) |
| Autorități publice | Obligații legale (ANAF, ANPC, ANCOM, instanțe) | Conform solicitării legale |
Nu vindem și nu închiriem datele dumneavoastră personale către terți. Toate transferurile se fac pe baza unor Acorduri de Prelucrare a Datelor (DPA) conforme cu Art. 28 GDPR. Puteți solicita lista completă a sub-procesatorilor la [email protected].
8. Transferuri Internaționale de Date
Datele dumneavoastră pot fi transferate și procesate în afara Spațiului Economic European (SEE), în special pentru:
- Servicii cloud și infrastructură: Serverele principale sunt în UE. Anumite servicii auxiliare (CDN, analytics) pot procesa date în SUA, protejate prin Clauze Contractuale Standard (SCC) și EU-US Data Privacy Framework.
- Serviciul Click Post International: Transportul UK-România implică transferul datelor de expediere către Regatul Unit, protejat prin decizia de adecvare a Comisiei Europene pentru UK.
- WhatsApp Business (Meta): Mesajele sunt procesate prin infrastructura Meta, cu garanții conform SCC și certificare EU-US DPF.
Toate transferurile internaționale sunt protejate prin mecanisme de transfer recunoscute de GDPR (Art. 46): Clauze Contractuale Standard, decizii de adecvare sau reguli corporatiste obligatorii (BCR).
9. Drepturile Dumneavoastră
Conform GDPR, aveți următoarele drepturi cu privire la datele dumneavoastră personale. Le puteți exercita gratuit, trimițând un email la [email protected]:
Dreptul de acces (Art. 15)
Puteți solicita o copie completă a datelor personale pe care le deținem despre dumneavoastră, într-un format lizibil.
Dreptul la rectificare (Art. 16)
Puteți solicita corectarea datelor inexacte sau completarea celor incomplete, în orice moment.
Dreptul la ștergere (Art. 17)
Puteți solicita ștergerea datelor personale ("dreptul de a fi uitat"), sub rezerva obligațiilor legale de păstrare.
Dreptul la restricționare (Art. 18)
Puteți solicita limitarea prelucrării datelor în cazul contestării exactității sau al prelucrării ilegale.
Dreptul la portabilitate (Art. 20)
Puteți solicita transferul datelor într-un format structurat, utilizat frecvent (JSON/CSV), către alt operator.
Dreptul de opoziție (Art. 21)
Vă puteți opune prelucrării bazate pe interes legitim sau marketing direct, în orice moment.
Retragerea consimțământului (Art. 7)
Puteți retrage oricând consimțământul, fără a afecta legalitatea prelucrării anterioare retragerii.
Dreptul la plângere (Art. 77)
Puteți depune plângere la ANSPDCP (Autoritatea Națională de Supraveghere) dacă considerați că drepturile v-au fost încălcate.
Vom răspunde cererii dumneavoastră în termen de maximum 30 de zile calendaristice. În cazuri complexe, termenul poate fi prelungit cu încă 60 de zile, cu notificare prealabilă. Putem solicita verificarea identității înainte de procesarea cererii.
10. Securitatea Datelor
Implementăm măsuri tehnice și organizatorice de ultimă generație pentru protecția datelor personale, proporționale cu riscurile identificate:
Măsuri Tehnice
- Criptare în tranzit (TLS 1.3 / HTTPS) și la stocare (AES-256)
- Mascare GDPR a datelor sensibile (telefon, adresă) în interfețele curierilor
- Autentificare multi-factor (MFA) pentru accesul administrativ
- Jurnalizare completă a accesului la date (audit log imutabil)
- Anonimizare automată zilnică la expirarea perioadei de retenție
- Backup-uri criptate cu plan de recuperare în caz de dezastru (RPO: 1h, RTO: 4h)
- Scanare automată de vulnerabilități și actualizări de securitate
Măsuri Organizatorice
- Control acces bazat pe roluri (RBAC) — principiul minimului privilegiu
- Instruire periodică a personalului privind protecția datelor
- Evaluări de impact asupra protecției datelor (DPIA) pentru procesări cu risc ridicat
- Proceduri documentate de răspuns la incidente de securitate (notificare ANSPDCP în 72h)
- Audituri interne anuale de conformitate GDPR
- Acorduri de confidențialitate (NDA) cu toți angajații și subcontractorii
11. Perioada de Retenție și Anonimizare
Păstrăm datele personale doar pe durata necesară îndeplinirii scopurilor pentru care au fost colectate. La expirarea perioadei de retenție, datele sunt anonimizate automat prin procesul zilnic de GDPR cleanup.
| Categorie Date | Perioadă Retenție | Acțiune la Expirare |
|---|---|---|
| Date comenzi și livrări | 24 luni | Anonimizare automată |
| Date tracking GPS | 6 luni | Ștergere completă |
| POD (foto, semnătură) | 6 luni | Ștergere completă |
| Date facturare | 10 ani | Arhivare conformă Cod Fiscal |
| Date marketing | Până la retragere consimțământ | Ștergere în 30 zile |
| Jurnale acces (audit log) | 12 luni | Anonimizare |
| Date cookie-uri | Max. 12 luni | Expirare automată |
| Date transportatori | Durata colaborării + 24 luni | Anonimizare |
12. Date ale Minorilor
Serviciile Click Post sunt destinate exclusiv persoanelor cu vârsta de cel puțin 18 ani. Nu colectăm cu bună știință date personale de la minori sub 16 ani (conform Art. 8 GDPR și Legea nr. 190/2018).
Dacă descoperiți că un minor ne-a furnizat date personale fără consimțământul părintelui/tutorelui, vă rugăm să ne contactați imediat la [email protected] pentru ștergerea imediată a acestora.
13. Incidente de Securitate (Data Breach)
În cazul unui incident de securitate care afectează datele personale, Click Post:
- Notifică ANSPDCP în termen de maximum 72 de ore de la constatare (conform Art. 33 GDPR), dacă incidentul prezintă risc pentru drepturile persoanelor.
- Notifică persoanele afectate fără întârziere nejustificată (conform Art. 34 GDPR), dacă incidentul prezintă risc ridicat.
- Documentează fiecare incident într-un registru dedicat, cu natura încălcării, categoriile de date afectate, măsurile luate și consecințele evaluate.
14. Modificări ale Politicii
Ne rezervăm dreptul de a actualiza această politică periodic, pentru a reflecta modificări ale practicilor noastre sau ale legislației aplicabile. Modificările semnificative vor fi comunicate prin:
- Email către utilizatorii înregistrați
- Notificare WhatsApp pentru comercianții activi
- Banner vizibil pe platformă timp de 30 de zile
Data ultimei actualizări este afișată în partea de sus a acestei pagini. Vă recomandăm să verificați periodic această politică.
15. Contact și Autoritatea de Supraveghere
Pentru orice întrebări, solicitări sau reclamații legate de protecția datelor personale:
Responsabil Protecția Datelor (DPO)
Email: [email protected]
Telefon: Contactează-ne pe WhatsApp
Adresă: CRESPO EXPRESS SRL, Str. Letea nr. 32, 600343 Bacău, România
Autoritatea de Supraveghere
ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal
Platforma SOL (UE)