POLITICA DE CONFIDENȚIALITATE (GDPR) – MERCATUS.RO
1. Operatorul de date și contact
1.1. Operator (Data Controller): [SC MERCATUS DIGITAL S.R.L.], [formă juridică], CUI [RO51885918], denumită în continuare „Mercatus” sau „Operatorul”.
1.2. Contact: support@mercatus.ro
Responsabil cu protectia datelor: gdpr@mercatus.ro
2. Domeniu și roluri în ecosistemul marketplace
2.1. Mercatus.ro este o platformă de intermediere (marketplace) care facilitează publicarea anunțurilor, comunicarea, în mod gratuit și, după caz, accesul la servicii plătite (promovări).
2.2. Mercatus nu este parte în contractul de vânzare-cumpărare dintre Vânzător și Cumpărător. Fiecare utilizator este responsabil pentru legalitatea și conformitatea bunurilor/serviciilor oferite.
2.3. În anumite fluxuri (de ex. suport/contestații, antifraudă, securitate), Mercatus prelucrează date ca Operator (controller). Furnizorii de servicii (hosting, e-mail, plăți, analytics) acționează, de regulă, ca Împuterniciți (processors) în baza art. 28 GDPR, iar în situații specifice pot acționa ca operatori independenți (ex. furnizor de plăți, în funcție de flux).
3. Principii de prelucrare
3.1. Prelucrăm date personale cu respectarea principiilor: legalitate, echitate, transparență; limitarea scopului; minimizarea datelor; exactitate; limitarea stocării; integritate și confidențialitate; responsabilitate (accountability) – art. 5 GDPR.
3.2. Nu folosim practici opace („shadow blocking”) și nu aplicăm restricții invizibile. Dacă restricționăm un cont sau un anunț, comunicăm motivul, durata și calea de contestare (a se vedea Termenii și Condițiile).
4. Categorii de date personale prelucrate
4.1. Date de cont: nume/alias, e-mail, telefon, parolă (stocată criptat/hash), ID utilizator, setări, iar in cazul utilizatorilor persoane juridice se prelucrează datele de identificare ale companiei (denumire si forma de organizare, cod unic de înregistrare, adresa sediului socia) e-mail, telefon, parolă
4.2. Date aferente anunțurilor: titlu/descriere, fotografii încărcate, categorie, preț, locație generală (ex. oraș), istoricul modificărilor.
4.3. Date de comunicare: mesaje în platformă între utilizatori; solicitări către suport; contestații; dovezi atașate (poze, AWB, capturi ecran etc.).
4.4. Date tehnice și de securitate: adresă IP, device/browser, identificatori tehnici, log-uri de acces, evenimente antifraudă, marcatori de risc.
4.5. Date financiare minime pentru servicii plătite: status plată, ID tranzacție, facturare (dacă e cazul). Mercatus nu stochează integral datele cardului; acestea sunt procesate de Stripe.
5. Scopuri și temeiuri legale (art. 6 GDPR) privind prelucrarea datelor
5.1. Furnizarea serviciului (cont, autentificare, publicare anunțuri, mesagerie): art. 6 alin. (1) lit. (b) – executarea contractului.
5.2. Administrare, suport, rezolvarea incidentelor/contestațiilor: – interes legitim (funcționare corectă, protecția utilizatorilor) și/sau art. 6 alin. (1) lit. (c) – obligație legală, după caz.
5.3. Securitate, prevenirea fraudei, abuzului și incidentelor: art. 6 alin. (1) lit. (f) – interes legitim; în cazuri aplicabile, art. 6 alin. (1) lit. (c).
5.4. Facturare/contabilitate pentru servicii plătite: art. 6 alin. (1) lit. (c) – obligație legală.
5.5. Marketing direct (newsletter etc.): art. 6 alin. (1) lit. (a) – consimțământ; alternativ, strict limitat, art. 6 alin. (1) lit. (f) cu drept de opoziție (art. 21), dacă este aplicabil.
5.6. Analytics (Google Analytics) și cookie-uri neesențiale: numai pe baza consimțământului (art. 6 alin. (1) lit. (a) GDPR + reguli ePrivacy pentru cookie-uri).
6. Cookie-uri și Google Analytics
6.1. Cookie-urile esențiale sunt necesare funcționării (login, securitate, preferințe) și se bazează pe art. 6 alin. (1) lit. (b)/(f), după caz.
6.2. Cookie-urile neesențiale (analiză/marketing) sunt plasate numai după consimțământ explicit, granular. Refuzul este la fel de ușor ca acceptul.
6.3. Google Analytics se activează numai după consimțământ pentru categoria „Analiză”. Dacă refuzați, nu colectăm prin GA.
6.4. Măsuri de reducere a riscurilor pentru transferuri (Schrems II) atunci când GA este folosit:
(i) configurări de confidențialitate (ex. dezactivare Google Signals/ads personalization, limitare data sharing),
(ii) implementare Consent Mode,
(iii) evaluare transfer (TIA) + Clauze Contractuale Standard (SCC) și măsuri suplimentare.
6.5. Detaliile complete sunt în Politica de Cookie-uri (document separat).
7. Stripe (plăți)
7.1. Pentru plăți, folosim Stripe (entitatea relevantă pentru SEE/UE), ca furnizor de servicii de plată.
7.2. Mercatus primește confirmări de tranzacție (status, ID plată) și, după caz, date de facturare. Datele cardului sunt procesate direct de Stripe.
7.3. Stripe poate prelucra date ca operator independent sau împuternicit, în funcție de fluxul contractual. Mercatus încheie acorduri contractuale adecvate și aplică garanții pentru transferuri internaționale.
8. Destinatari și divulgări
8.1. Împuterniciți (art. 28): furnizori IT/hosting, e-mail/SMS, antifraudă, analytics, procesator plăți – pe baza contractelor.
8.2. Autorități publice/instanțe: doar dacă există obligație legală sau pentru apărarea unui drept (art. 6 alin. (1) lit. (c)/(f)).
8.3. Alți utilizatori: date minime necesare tranzacției (ex. date de contact/livrare) numai dacă sunt comunicate de utilizator în mod voluntar sau sunt necesare funcționalității alese.
9. Transferuri în afara SEE
9.1. Serviciile nu implică transfer către țări din afara SEE.
10. Perioade de stocare (retenție)
10.1. Cont utilizator: pe durata contului. La solicitarea de ștergere, datele sunt șterse/anonimizate în 5 zile, cu excepția celor necesare pentru: (i) obligații legale; (ii) apărarea drepturilor în justiție.
10.2. Reclamații/contestații: pe durata soluționării + 18 luni pentru audit și apărare.
10.3. Log-uri securitate: 6-12 luni (proporțional).
10.4. Date contabile/facturi: conform obligațiilor legale.
11. Drepturile persoanelor vizate
Aveți dreptul la: acces, rectificare, ștergere, restricționare, portabilitate, opoziție, și drepturi privind decizii automate.
11.1. Exercitare: trimiteți cererea la gdpr@mercatus.ro, cu identificarea contului și dreptul solicitat.
11.2. Verificare identitate: putem solicita informații suplimentare proporțional necesităților.
11.3. Termen răspuns: 1 lună, cumposibilitatea extinderii în condițiile legii.
11.4. Mercatus implementează proceduri și evidențe interne pentru a preveni întârzieri nejustificate.
12. Decizii automatizate și profilare
12.1. Putem folosi reguli/indicatori automați pentru securitate și antifraudă.
12.2. Nu aplicăm decizii exclusiv automatizate cu efecte juridice definitive fără posibilitatea intervenției umane și fără comunicarea motivelor.
13. Securitate și incidente
13.1. Măsuri: control acces, criptare în tranzit, jurnalizare, backup, teste periodice, politici interne.
13.2. În caz de incident: notificare către autoritate în max. 72h când e cazul și informarea persoanelor vizate dacă există risc ridicat.
14. Plângeri și autoritate de supraveghere
14.1. Aveți dreptul să depuneți plângere la ANSPDCP și/sau să vă adresați instanței.
14.2. Vă încurajăm să ne contactați anterior la gdpr@mercatus.ro pentru soluționare amiabilă.
15. Actualizări
15.1. Putem actualiza politica pentru schimbări legislative/tehnice. Versiunea curentă și data ultimei actualizări sunt afișate sus.