Politica de confidențialitate și prelucrare a datelor

Ultima actualizare: 05.05.2026

Operator: Moneta Digi S.R.L.CUI: 53243922ONRC: J2026001579006

1. Cine suntem

Moneta Digi S.R.L. („DigiOHS”, „noi”) este operatorul datelor cu caracter personal prelucrate prin intermediul platformei digiohs.com („Platforma”).

Sediu: Str. Popa Tănase, Nr. 31D, Găești, jud. Dâmbovița, România. Contact: office@digiohs.com.

Dacă ai întrebări despre datele tale sau despre această politică, ne poți scrie la adresa de mai sus. (În prezent nu avem desemnat public un responsabil DPO separat; dacă vom desemna, vom actualiza această pagină.)

2. Ce acoperă această politică

Această politică descrie ce date prelucrăm, de ce le prelucrăm, cât timp le păstrăm și ce drepturi ai, atunci când folosești Platforma (cont, fișe SSM/SU digitale, instruiri, semnătură electronică simplă, selfie, PDF și audit trail).

Pentru cookie-uri și preferințe, consultă Politica de Cookies.

3. Roluri în prelucrare (operator / împuternicit)

Platforma este folosită în principal de organizații (angajatori) care gestionează date despre salariați. În această situație:

  • Clientul (organizația/angajatorul) este, de regulă, operator pentru datele salariaților (stabilește scopurile și mijloacele prelucrării).
  • DigiOHS acționează, de regulă, ca persoană împuternicită (procesator) pentru a furniza serviciul (stocare, generare documente, audit, acces securizat).
  • Pentru anumite date (ex. conturile DigiOHS, securitate, cookie-uri), DigiOHS poate avea calitatea de operator.

Pentru relația Client (operator) - DigiOHS (împuternicit) publicăm un DPA (Acord de prelucrare a datelor) explicit, cu anexa tehnică (măsuri de securitate) și lista de subprocessori.

4. Ce date prelucrăm (categorii)

În funcție de rol și de funcțiile folosite, putem prelucra:

  • Date de cont: email/username, rol (client/admin/affiliate/serviciu extern), parolă (stocată doar sub formă de hash), sesiuni, setări, consimțăminte.
  • Date organizație: denumire, CUI, adresă sediu, județ/oraș, date de contact, setări interne (locuri de muncă, profiluri instruire, configurări).
  • Date salariați (introduse de client): nume, funcție/loc de muncă, contact (email/telefon) și câmpuri necesare completării fișelor SSM/SU și gestionării instruirilor (de exemplu: domiciliu, data nașterii, locul nașterii, calificare, marca/legitimație, grupa sanguină, autorizări, traseu deplasare, date angajare/întocmire fișă). Clientul este responsabil să introducă doar datele necesare și corecte.
  • Date instruiri: materiale încărcate (ex. PDF), întrebări/teste, rezultate/calificative, statusuri (ex. semnat/în așteptare), programări, excepții (inclusiv instruire periodică suplimentară SSM).
  • Date de identificare în scop de semnătură: în funcție de setările Clientului și de cerințele interne, Platforma poate gestiona și câmpuri precum CNP/serie și număr act identitate (doar dacă Clientul decide să le colecteze). DigiOHS nu solicită aceste date ca regulă, însă Platforma permite completarea fișelor conform nevoilor organizației.
  • Semnături electronice simple: semnături desenate + metadate de audit (ex. user ID, dată/ora, IP, device/User-Agent, hash de integritate; geolocație doar dacă este activată explicit).
  • Selfie: imaginea selfie încărcată de salariat + metadate asociate. Platforma verifică prezența unei fețe în cadru pentru a preveni încărcarea unor imagini irelevante. Nu realizăm identificare biometrică 1:1 și nu comparăm cu acte de identitate.
  • Date tehnice și de securitate: IP, User-Agent, evenimente de autentificare, evenimente de audit (cine/când/ce), acces Vault (inclusiv motiv), erori și loguri operaționale.
  • Date de facturare (B2B): pachet ales, număr de salariați, discount afiliat, date fiscale și de contact ale organizației, facturi emise (format electronic). Nu intenționăm să stocăm date de card; plățile vor fi procesate de procesatori de plăți (ex. Netopia) atunci când modulul este activat.
  • Date de suport: tichete/mesaje, fișiere/atașamente încărcate în conversații, istoricul interacțiunilor cu echipa de suport (în Platformă).
  • Date medicale (Art. 9 GDPR — minimization 2026-05-10). Pentru evidența vizelor medicale de aptitudine în muncă (HG 355/2007), Platforma stochează exclusiv:
    • Data expirării avizului medical (text scurt, neclasificat ca date de sănătate).
    • Opțional, PDF-ul scanat al fișei de aptitudine — încărcat de Client în "Dosar salariat", stocat criptat la repaus pe Hetzner storage (DE), fără indexare, analiză sau citire automată a conținutului (diagnostic, restricții, recomandări).
    Conținutul medical (text liber cu diagnostic) NU este stocat ca date structurate, căutabile sau exportabile separat de PDF. Operatorul rămâne angajatorul + medicul de medicina muncii — DigiOHS acționează exclusiv ca persoană împuternicită pentru stocarea criptată și transmiterea către inspector ITM.
    Pentru drepturile salariatului asupra conținutului medical (acces, rectificare la diagnostic), contactați direct medicul emitent. Pentru ștergerea referinței din Platformă, contactați angajatorul.

5. Sursa datelor

Datele pot proveni:

  • Direct de la tine (prin formulare: creare cont, setări, suport).
  • De la client (angajator), când acesta introduce datele salariaților în Platformă.
  • Din surse publice/terțe la cererea clientului (ex. completare automată date companie pe baza CUI), prin interogarea unor servicii precum VIES/ANAF/ONRC, atunci când funcția este activă.
  • Automat, prin utilizarea Platformei (loguri, audit, cookie-uri strict necesare).

6. Scopuri și temeiuri (GDPR)

Prelucrăm datele pentru următoarele scopuri și în baza următoarelor temeiuri:

6.1 Furnizarea serviciului (cont + platformă)
  • Creare cont, autentificare, sesiune, acces module/pagini.
    Temei: GDPR art. 6(1) lit. b / lit. f.
  • Gestionarea fișelor SSM/SU, instruiri, materiale, teste, semnături, generare PDF și audit.
    Temei: art. 6(1) lit. b și/sau lit. c.
6.2 Securitate, prevenire abuz, audit
  • Protecție cont, limitare abuz, jurnal audit, investigare erori.
    Temei: GDPR art. 6(1) lit. f.
  • Trasabilitate acces Vault (PIN + motiv) și evidențe asociate.
    Temei: art. 6(1) lit. f și/sau lit. c.
6.3 Suport
  • Tichete/mesaje și atașamente, pentru rezolvarea solicitărilor.
    Temei: art. 6(1) lit. b și/sau lit. f.
6.4 Cookie-uri

Cookie-urile strict necesare sunt folosite pentru funcționarea Platformei. Cookie-urile opționale (ex. analiză) sunt folosite doar cu consimțământul tău.

7. Cui divulgăm datele (destinatari)

Nu vindem datele tale. Le putem divulga doar către destinatari necesari pentru funcționarea Platformei și/sau obligații legale:

  • Furnizori IT/hosting (servere aplicație, bază de date, object storage, backup) – ca persoane împuternicite, cu acces limitat.
  • Furnizori de comunicare (email/WhatsApp) – atunci când sunt activați, doar pentru trimiterea mesajelor inițiate de client sau funcții de sistem.
  • Autorități publice – dacă există obligație legală sau solicitare validă.
  • Inspector SSM/SU – doar prin mecanisme securizate (link/PIN) și doar cu scop de vizualizare a dosarelor relevante (SSM sau SU), conform setărilor de acces.
  • Subprocesatori – lista actualizată și rolul fiecăruia sunt publicate în DPA.
7.1 Procesarea plăților prin Netopia Payments

Pentru încasarea plăților online (abonamente, credite WhatsApp, alte servicii prestate de DigiOHS), Platforma folosește procesatorul de plăți NETOPIA Financial Services S.A. (denumit în continuare „NETOPIA"). În acest flux, DigiOHS și NETOPIA acționează fiecare ca operatori independenți de date cu caracter personal – fiecare răspunde pentru propriile operațiuni de prelucrare, nu există relație de operator/împuternicit între cele două entități pentru procesarea plății în sine.

Ce date putem colecta în legătură cu Tranzacțiile de Plată (de către DigiOHS și/sau NETOPIA, fiecare pentru scopul propriu): nume și prenume, adresă de e-mail, număr de telefon, adresă de facturare/livrare, adresa IP de la care este inițiată tranzacția. DigiOHS nu primește și nu stochează datele complete ale cardului bancar – acestea sunt introduse direct pe pagina securizată a NETOPIA și sunt prelucrate exclusiv de NETOPIA în calitate de procesator certificat PCI-DSS.

Informarea persoanelor vizate. Atunci când efectuezi o plată prin NETOPIA Payments, NETOPIA îți pune la dispoziție pe propria platformă o notă proprie de informare GDPR cu privire la prelucrarea datelor în scopul procesării plății. Recomandăm consultarea acelei note în completarea politicii de față; categoriile de date pe care DigiOHS le transferă către NETOPIA pentru inițierea tranzacției sunt cele strict necesare procesării plății, în funcție de modul de integrare tehnică al serviciului.

Rapoarte de tranzacții. Ca parte a serviciului, NETOPIA pune la dispoziția DigiOHS rapoarte privind tranzacțiile procesate (denumite „Rapoarte"), care pot conține anumite date personale ale plătitorilor. DigiOHS are obligația de a asigura securitatea și confidențialitatea datelor de acces (utilizator, parolă sau alte credențiale) la contul NETOPIA și la canalele prin care sunt transmise Rapoartele (e-mail etc.). DigiOHS este pe deplin răspunzător pentru modul în care prelucrează datele personale cuprinse în Rapoarte și își asumă obligațiile de raportare și investigare a oricărui incident de securitate care le-ar putea afecta.

Drepturile tale. Cererile referitoare la prelucrarea datelor în legătură cu plățile online se gestionează de fiecare operator pentru propriile sale operațiuni: pentru fluxul tehnic al plății (autorizare card, antifraudă etc.) te poți adresa direct NETOPIA; pentru ce face DigiOHS cu datele rezultate (facturare, evidență contabilă, încasare abonament) ne poți contacta pe noi conform secțiunii 12 de mai jos.

8. Transferuri internaționale

Infrastructura principală este configurată în UE. Dacă anumite servicii terțe (ex. comunicare/analiză) implică transferuri în afara UE/SEE, vom folosi mecanisme legale aplicabile (ex. clauze contractuale standard) și vom actualiza această politică atunci când este necesar.

Platforma poate utiliza servicii AI în funcții dedicate (ex. asistență contextuală, căutare semantică, procesare conținut încărcat de client), doar în fluxuri activate de Client și cu minimizarea datelor transmise. Nu folosim AI pentru decizii automate cu efect juridic asupra persoanelor vizate.

9. Cât timp păstrăm datele

Păstrăm datele doar cât este necesar pentru scopurile de mai sus și conform obligațiilor legale. Pentru documente, loguri și audit trail asociate fișelor/instruirilor, retenția standard este de 7 ani.

Categorie datePerioadă retențieTemei/observații
Date cont (user/rol/sesiune)Durata contractului + max. 3 aniSecuritate cont, apărare drepturi, obligații legale
Documente SSM/SU, semnături, PDF, audit trail7 ani (standard)Conformitate operațională și cerințe de trasabilitate
Loguri tehnice de securitate12 luni - 7 aniÎn funcție de criticitate și obligații de audit
Tichete suport și atașamente24 luni de la închidereManagement suport, continuitate servicii
Cookie-uri și preferințeConform politicii dedicateVezi Politica de Cookies

Datele tehnice de securitate și statisticile (dacă sunt active) pot avea perioade mai scurte, conform configurației Platformei și cerințelor de securitate.

10. Securitate

Implementăm măsuri tehnice și organizatorice pentru protecția datelor: control de acces, separare roluri, audit trail, stocare securizată, criptare în tranzit (TLS) și politici de retenție. Nicio măsură nu poate garanta securitate absolută, dar lucrăm constant pentru îmbunătățire.

11. Notificarea incidentelor de securitate

În cazul unui incident de securitate care afectează date cu caracter personal, DigiOHS aplică proceduri interne de răspuns, izolare și investigare, cu jurnal de incidente și măsuri de remediere.

  • SLA de informare inițială: fără întârzieri nejustificate, ținta operațională este în maximum 24 ore de la confirmarea incidentului.
  • Canal de notificare: email către persoanele de contact desemnate de Client și, dacă e necesar, notificare în Platformă.
  • Conținut minim notificare: natura incidentului, categoriile de date afectate, impact estimat, măsuri luate și pașii recomandați Clientului.
  • Responsabilități: DigiOHS notifică și oferă suport tehnic; Clientul (operator) decide, unde este cazul, notificarea autorității de supraveghere și/sau persoanelor vizate.

12. Drepturile tale

În condițiile GDPR, poți solicita: acces, rectificare, ștergere (cu excepțiile legale), restricționare, portabilitate, opoziție și retragerea consimțământului (unde e cazul).

Dacă datele se află în contul organizației tale (ex. date despre salariați introduse de angajator), solicitarea poate fi gestionată împreună cu operatorul (clientul), deoarece acesta stabilește scopurile și mijloacele prelucrării pentru acele date.

Ne poți contacta la office@digiohs.com pentru exercitarea drepturilor. Vom răspunde în termen de maximum 30 de zile de la primirea solicitării, cu posibilitatea prelungirii cu încă 60 de zile în cazuri complexe, conform art. 12(3) GDPR.

Ai dreptul să depui o plângere la ANSPDCP.

13. Decizii automate și profilare

DigiOHS nu utilizează prelucrarea automată a datelor pentru a lua decizii cu efect juridic sau similar semnificativ asupra persoanelor vizate, în sensul art. 22 GDPR. Funcțiile de asistență AI disponibile în Platformă (ex. căutare semantică, sugestii) sunt instrumente auxiliare puse la dispoziția Clientului și nu produc decizii automate.

14. Minori

Platforma este destinată utilizării de către organizații (persoane juridice) și utilizatorii lor autorizați. Nu colectăm în mod intenționat date ale minorilor sub 16 ani. Dacă un Client introduce în Platformă date ale unui salariat minor (conform legislației muncii aplicabile), responsabilitatea legalității revine Clientului în calitate de operator.

15. Actualizări

Putem actualiza această politică periodic. Versiunea curentă este disponibilă pe această pagină. Dacă modificările sunt semnificative, le vom comunica în mod rezonabil (ex. prin notificare în Platformă).