Termeni și Condiții
Versiunea 2.0 — Ultima actualizare: 30 aprilie 2026
Acceptarea termenilor: Prin crearea unui cont sau prin utilizarea serviciului Rezervatio.AI, confirmați că ați citit, ați înțeles și acceptați prezenții Termeni și Condiții, împreună cu Politica de Confidențialitate, Politica de Cookies și Acordul de Procesare a Datelor (DPA) aplicabil pentru clienții B2B.
1. Informații generale
Serviciul Rezervatio.AI este oferit de {{COMPANY_NAME}} (în curs de înregistrare la Registrul Comerțului — datele complete vor fi publicate la momentul finalizării procedurii), denumită în continuare „Rezervatio.AI", „Operatorul" sau „noi".
Date de contact:
- Denumire: {{COMPANY_NAME}}
- CUI: {{COMPANY_CUI}}
- Număr Registrul Comerțului: {{COMPANY_ONRC}}
- Sediu social: {{COMPANY_ADDRESS}}
- Email general: contact@rezervatio.ai
- Email protecția datelor: privacy@rezervatio.ai
- Site web: https://rezervatio.ai
2. Definiții
- Serviciul: platforma SaaS Rezervatio.AI, care include agentul vocal AI pentru rezervări telefonice, dashboard-ul de management, aplicația mobilă Rezervatio Book și toate funcționalitățile aferente.
- Client sau Utilizator: persoana fizică autorizată, persoana juridică sau întreprindere care creează cont și utilizează Serviciul pentru gestionarea rezervărilor unei afaceri (restaurant, salon, clinică, hotel, service auto, spa etc.).
- Apelant: client final care sună afacerea Clientului pentru a face o rezervare prin agentul vocal AI.
- Utilizator Book: persoana fizică ce își creează cont în aplicația mobilă Rezervatio Book pentru a face rezervări.
- Abonament: pachetul comercial selectat de Client pentru utilizarea Serviciului. Detaliile și prețurile abonamentelor sunt afișate public la rezervatio.ai/preturi.
- Cont: identitatea digitală creată pentru accesarea Serviciului, asociată unui număr de telefon validat prin OTP.
3. Eligibilitate
3.1 Condiții generale
Pentru a utiliza Serviciul trebuie să îndepliniți următoarele condiții:
- Să aveți vârsta minimă de 18 ani (pentru cont B2B sau Book App)
- Să aveți capacitatea legală de a încheia contracte conform legii române
- Pentru clienții B2B: să reprezentați legal o entitate înregistrată sau o activitate autorizată
- Să furnizați informații corecte și actuale la înregistrare
3.2 Vârsta minimă
Serviciul nu este destinat persoanelor sub 18 ani. Dacă aflăm că un cont a fost creat de o persoană sub 18 ani, vom proceda la ștergerea imediată a contului și a datelor asociate.
4. Servicii oferite
4.1 Funcționalități principale
Rezervatio.AI oferă următoarele funcționalități:
- Agent vocal AI care răspunde la apelurile telefonice ale afacerii și procesează cererile de rezervare
- Dashboard management pentru vizualizarea, modificarea și gestionarea rezervărilor
- Notificări automate prin SMS / email pentru confirmări, modificări și remindere
- Aplicația mobilă Rezervatio Book pentru rezervări self-service de către clienții finali
- Statistici și rapoarte agregate despre activitatea de rezervări
- Configurare avansată per tipul afacerii (restaurant, salon, clinică etc.)
4.2 Limite de utilizare
Fiecare abonament include limite specifice (număr minute apel, SMS-uri lunare, useri staff). Limitele exacte sunt afișate la rezervatio.ai/preturi. Depășirea limitelor poate genera costuri suplimentare conform tarifelor publicate sau poate suspenda temporar funcționalitățile aferente.
4.3 Disponibilitate serviciu
Depunem eforturi rezonabile pentru a menține Serviciul disponibil cel puțin 99.5% din timp pe bază lunară, exceptând mentenanțele planificate (anunțate în prealabil) și evenimentele de forță majoră.
În caz de întrerupere neplanificată mai mare de 24 ore continue, Clienții cu abonament plătit beneficiază de un credit pro-rata în luna următoare, calculat la valoarea abonamentului zilnic.
5. Abonamente și plăți
5.1 Tarife
Tarifele actuale ale abonamentelor sunt publicate transparent la rezervatio.ai/preturi. Modificările de tarife sunt comunicate cu cel puțin 30 de zile înainte de aplicarea pentru abonamentele active și nu afectează perioada deja plătită.
5.2 Modalități de plată
Plățile se efectuează prin furnizorul nostru de procesare plăți Stripe Inc. (SUA / Irlanda), prin metode acceptate (card bancar, transfer bancar dacă e activat). Nu colectăm și nu stocăm direct date de card — acestea sunt procesate exclusiv de Stripe în conformitate cu PCI DSS.
5.3 Facturare
Facturile fiscale sunt emise lunar și trimise prin email la adresa contului. Pentru clienții B2B din România, facturile sunt emise conform Codului Fiscal cu CUI / TVA aferent.
5.4 Perioada de probă
Serviciul include o perioadă de probă gratuită de 14 zile, fără obligația introducerii unui card. La expirarea perioadei de probă, este necesară activarea unui abonament plătit pentru continuarea utilizării.
5.5 Reziliere și refund
Clientul poate rezilia abonamentul oricând din dashboard. Rezilierea produce efecte la finalul perioadei deja plătite — nu se acordă refund pro-rata pentru perioada neutilizată, exceptând situațiile prevăzute la 4.3 (întrerupere serviciu) sau în cazul încălcării de către noi a obligațiilor contractuale.
5.6 Neplata
În caz de neplată a abonamentului după expirarea perioadei plătite, Serviciul va fi suspendat automat după o perioadă de grație de 7 zile cu notificări prealabile. Datele Clientului sunt păstrate 30 de zile pentru reactivare. După 30 de zile fără reactivare, contul este șters și datele anonimizate conform Politicii de Confidențialitate.
6. Obligațiile noastre
Rezervatio.AI se obligă să:
- Furnizeze Serviciul în conformitate cu prezenții Termeni și descrierile publicate
- Mențină infrastructura într-o stare funcțională și securizată
- Implementeze măsuri tehnice și organizatorice pentru protecția datelor (vezi Politica de Confidențialitate și DPA)
- Furnizeze suport tehnic pentru problemele aferente Serviciului
- Notifice Clientul despre modificări semnificative ale Serviciului sau Termenilor
- Respecte legislația aplicabilă (GDPR, Codul Fiscal, EU AI Act)
7. Obligațiile Clientului
Clientul se obligă să:
- Utilizeze Serviciul exclusiv în scopul gestionării rezervărilor activității sale legitime
- Furnizeze date corecte și actuale la înregistrare și pe parcursul utilizării
- Păstreze în siguranță datele de autentificare ale contului
- Plătească abonamentul la termen
- Informeze apelanții / clienții finali că apelurile sunt preluate și procesate de un agent AI (conform Art. 50 EU AI Act — vezi secțiunea 15)
- Aibă un temei legal valid (Art. 6 GDPR) pentru toate prelucrările efectuate prin platformă în calitate de Operator de date
- Nu utilizeze Serviciul pentru activități ilegale, fraudă, hărțuire, spam sau orice altă activitate care încalcă legislația în vigoare
- Nu încerce să acceseze, să modifice sau să compromită infrastructura Serviciului
- Nu efectueze ingineria inversă, decompilarea sau modificarea Serviciului
8. Garanții și limitarea răspunderii
8.1 Garanții limitate
Serviciul este oferit „ca atare" și „pe baza disponibilității". Depunem eforturi rezonabile pentru a oferi un Serviciu funcțional și conform descrierii, dar nu garantăm că:
- Serviciul va funcționa neîntrerupt sau fără erori
- Toate funcționalitățile vor satisface exact cerințele specifice ale fiecărui Client
- Defectele vor fi corectate într-un timp anume
8.2 Limitarea răspunderii
În limitele permise de lege, răspunderea totală a Rezervatio.AI față de Client pentru orice pretenție legată de Serviciu (indiferent de temei: contractual, delictual sau altul) este limitată la:
- Suma echivalentă cu valoarea abonamentului plătit de Client în ultimele 12 luni precedente evenimentului care a generat pretenția, sau
- 1.000 EUR, oricare dintre acestea este mai mare
8.3 Excluderi de răspundere
Rezervatio.AI nu răspunde pentru:
- Pierderi indirecte, consecvențiale, pierdere de profit, pierdere de oportunități comerciale, pierdere de date
- Daune cauzate de utilizarea incorectă a Serviciului de către Client
- Daune cauzate de acțiunile sau inacțiunile sub-procesatorilor în afara controlului nostru rezonabil
- Daune cauzate de intervenții ale autorităților sau de evenimente de forță majoră
Limitările de răspundere de mai sus nu se aplică în caz de dol, culpă gravă sau în măsura în care legea aplicabilă nu permite o astfel de limitare.
9. Proprietate intelectuală
9.1 Drepturile noastre
Rezervatio.AI și toate componentele sale (cod sursă, design, marcă, logo, documentație, prompt-uri AI, configurări) sunt proprietatea exclusivă a {{COMPANY_NAME}} sau a licențiatorilor săi și sunt protejate de legislația privind proprietatea intelectuală.
9.2 Licența acordată Clientului
Pe perioada abonamentului activ, Clientul beneficiază de o licență limitată, neexclusivă, netransferabilă și revocabilă de a utiliza Serviciul exclusiv în scopul declarat. Această licență nu transferă niciun drept de proprietate.
9.3 Drepturile Clientului asupra propriilor date
Clientul rămâne proprietarul tuturor datelor pe care le încarcă sau le generează prin Serviciu (date afacere, configurări, istoric rezervări). Aceste date pot fi exportate oricând din dashboard în format JSON.
10. Suspendare și reziliere de către noi
Putem suspenda sau rezilia accesul Clientului la Serviciu, cu notificare rezonabilă, în următoarele situații:
- Încălcarea repetată sau gravă a prezenților Termeni
- Neplata abonamentului după perioada de grație (vezi 5.6)
- Utilizarea Serviciului pentru activități ilegale, frauduloase sau care prejudiciază alți utilizatori
- Cerere a unei autorități competente
- Risc de securitate identificat care impune acțiune imediată
- Încetarea Serviciului în ansamblu, cu notificare prealabilă de minim 90 de zile
În cazul rezilierii justificate de încălcări ale Clientului, abonamentul plătit pentru perioada în curs nu se restituie. În cazul rezilierii din cauze imputabile nouă, vom oferi refund pro-rata pentru perioada neutilizată.
11. Forța majoră
Niciuna dintre părți nu răspunde pentru neexecutarea sau executarea cu întârziere a obligațiilor sale dacă aceasta este cauzată de un eveniment de forță majoră — inclusiv dar fără a se limita la: dezastre naturale, război, atacuri cibernetice masive, întreruperi prelungite ale infrastructurii internetului sau ale furnizorilor de utilități esențiale, decizii ale autorităților publice care împiedică furnizarea Serviciului.
Partea afectată va notifica cealaltă parte despre evenimentul de forță majoră și va depune eforturi rezonabile pentru a remedia situația. Dacă evenimentul persistă mai mult de 30 de zile, oricare parte poate rezilia contractul fără penalizări.
12. Separabilitate
Dacă o prevedere a prezenților Termeni este declarată invalidă, ilegală sau inexecutabilă de o instanță competentă, celelalte prevederi rămân valabile și executorii. Prevederea afectată va fi interpretată în măsura permisă de lege pentru a reflecta cât mai aproape intenția originală a părților.
13. Modificări ale termenilor
Putem actualiza prezenții Termeni periodic. Modificările semnificative vor fi notificate cu cel puțin 30 de zile înainte de intrarea în vigoare prin:
- Email la adresa contului
- Notificare în dashboard la următorul login
- Anunț vizibil pe site
Continuarea utilizării Serviciului după intrarea în vigoare a modificărilor constituie acceptarea acestora. Dacă nu sunteți de acord cu modificările, puteți rezilia contractul înainte de intrarea în vigoare, fără penalizări.
Versiunile anterioare ale Termenilor sunt arhivate intern și pot fi furnizate la cerere.
14. Acord integral
Prezenții Termeni și Condiții, împreună cu Politica de Confidențialitate, Politica de Cookies și Acordul de Procesare a Datelor (DPA) aplicabil clienților B2B, constituie întregul acord între Client și Rezervatio.AI cu privire la utilizarea Serviciului și înlocuiesc orice acord, înțelegere sau comunicare anterioară între părți referitoare la acest subiect.
15. Disclosure AI (Art. 50 EU AI Act)
Disclosure obligatorie: Conform Art. 50 al Regulamentului (UE) 2024/1689 privind inteligența artificială (EU AI Act), informăm transparent că:
- Apelurile telefonice către afacerea Clientului sunt preluate și procesate de un agent vocal AI, nu de un operator uman
- Agentul AI utilizează tehnologii de recunoaștere a vorbirii (STT), procesare limbaj natural (LLM) și sinteză vocală (TTS)
- La începutul fiecărui apel, agentul anunță clar interlocutorul că este un asistent vocal automat
- Apelantul are dreptul oricând să solicite redirecționarea către un operator uman (dacă afacerea oferă această opțiune)
Clientul (afacerea care utilizează Serviciul) are obligația legală în calitate de Operator de date să informeze suplimentar clienții săi finali despre utilizarea AI și despre gestionarea datelor — vezi DPA, secțiunea 4.
16. Lege aplicabilă și jurisdicție
Prezenții Termeni și Condiții sunt guvernați de legea română, completată cu legislația Uniunii Europene aplicabilă (în special GDPR și EU AI Act).
Orice litigiu rezultat din sau în legătură cu prezenții Termeni se va soluționa pe cale amiabilă prin negociere directă între părți. În cazul eșuării negocierilor, litigiile vor fi soluționate de instanțele competente din România, în jurisdicția sediului social al Operatorului.
Pentru consumatori (persoane fizice care acționează în scopuri străine de activitatea profesională), drepturile de protecție conferite de legislația statului de reședință nu sunt afectate de această clauză.
17. Acord de Procesare a Datelor (B2B)
Pentru clienții B2B (afaceri care utilizează Serviciul pentru gestionarea rezervărilor clienților lor finali), relația de procesare a datelor personale este reglementată de Acordul de Procesare a Datelor (DPA), document accesibil în tab-ul DPA.
DPA-ul se aplică automat la activarea contului și face parte integrantă din prezenții Termeni. Clientul confirmă acceptarea DPA-ului prin acceptarea acestor Termeni și prin utilizarea Serviciului.
18. Contact
Pentru orice întrebare legată de prezenții Termeni și Condiții sau de utilizarea Serviciului:
Email general: contact@rezervatio.ai
Email protecția datelor: privacy@rezervatio.ai
Operator: {{COMPANY_NAME}}
CUI: {{COMPANY_CUI}}
Sediu: {{COMPANY_ADDRESS}}
Site web: https://rezervatio.ai
Ultima actualizare: 30 aprilie 2026 — Versiunea 2.0
Politica de Confidențialitate
Versiunea 2.0 — Ultima actualizare: 30 aprilie 2026
1. Identitatea Operatorului
Acest serviciu este operat de {{COMPANY_NAME}} (în curs de înregistrare la Registrul Comerțului — datele complete vor fi publicate la momentul finalizării procedurii), denumită în continuare „Rezervatio.AI" sau „Operatorul".
Date de contact Operator:
- Denumire: {{COMPANY_NAME}}
- CUI: {{COMPANY_CUI}}
- Număr Registrul Comerțului: {{COMPANY_ONRC}}
- Sediu social: {{COMPANY_ADDRESS}}
- Email general: contact@rezervatio.ai
- Email protecția datelor: privacy@rezervatio.ai
- Site web: https://rezervatio.ai
1.1 Roluri în protecția datelor
Rezervatio.AI oferă o platformă SaaS pentru rezervări telefonice automate cu agent vocal AI. În raport cu datele personale prelucrate, rolul nostru variază în funcție de categoria de utilizator:
| Categorie utilizator | Rolul Rezervatio.AI | Rolul utilizatorului afacerii (clientul nostru B2B) |
|---|---|---|
| Vizitator site (rezervatio.ai) | Operator | — |
| Proprietar afacere (cont dashboard) | Operator | — |
| Apelant (client final care sună pentru rezervare) | Persoană împuternicită (Procesator) | Operator |
| Utilizator Book (cont rezervări mobil) | Operator | — |
Pentru apelanții care sună în afacerile clienților noștri B2B, afacerea respectivă (restaurantul, salonul, clinica etc.) este Operatorul de date, iar Rezervatio.AI acționează ca Persoană Împuternicită conform Art. 28 GDPR. Detaliile relației sunt reglementate prin Acordul de Procesare a Datelor (DPA) încheiat la onboarding.
1.2 Contact protecția datelor
Pentru întrebări privind protecția datelor sau pentru a vă exercita drepturile GDPR, contactați-ne la privacy@rezervatio.ai. Răspundem în maxim 30 de zile conform Art. 12(3) GDPR.
Aveți de asemenea dreptul de a depune plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) — detalii în secțiunea 13 a acestui document.
2. Date personale pe care le colectăm
Colectăm diferite categorii de date în funcție de tipul utilizatorului. Mai jos sunt prezentate explicit toate datele prelucrate pe platforma noastră.
2.1 Date colectate de la proprietarii de afaceri (cont dashboard)
| Categorie | Date specifice | Sursă |
|---|---|---|
| Identificare cont | Nume, prenume, număr telefon (autentificare OTP), email | Înregistrare manuală |
| Date afacere | Denumire afacere, tip activitate, adresă, oraș, telefon contact | Onboarding |
| Configurare serviciu | Personal angajat (nume, telefon, rol), servicii oferite, mese/cabinete, program | Onboarding |
| Date facturare | Date fiscale firmă (CUI, sediu), informații plată (procesate de Stripe) | Activare abonament plătit |
| Date utilizare | Adrese IP, jurnal autentificări, acțiuni dashboard | Automat la utilizare |
| Consimțăminte | Termeni acceptați, versiuni documente, data acordului, IP | La înregistrare |
2.2 Date colectate de la apelanții (clienții finali ai afacerilor)
Când un client final sună o afacere care utilizează Rezervatio.AI pentru a face o rezervare, agentul vocal AI procesează:
| Categorie | Date specifice | Sursă |
|---|---|---|
| Identificator apel | Număr telefon (CallerID) | Furnizor telefonie |
| Conținut apel | Audio conversație, transcript text, data/ora apel, durată | În timpul apelului |
| Detalii rezervare | Nume rezervare, număr persoane, data/ora dorită, serviciu solicitat, observații (ex. alergii alimentare, cerințe speciale) | În timpul apelului |
| Status rezervare | Confirmat, anulat, modificat, no-show | Sistem + dashboard afacere |
Atenție — date sensibile (Art. 9 GDPR): În contextul clinicilor medicale sau cabinetelor stomatologice, conversațiile pot include spontan informații de sănătate (simptome, motiv consultație). Agentul vocal este instruit să nu solicite explicit astfel de date. Dacă apelantul le menționează din proprie inițiativă, ele sunt prelucrate strict pentru gestionarea rezervării și beneficiază de aceleași măsuri de securitate ca toate celelalte date.
2.3 Date colectate de la utilizatorii aplicației Rezervatio Book
Utilizatorii care își creează cont în aplicația mobilă Rezervatio Book pentru a face rezervări direct (fără apel telefonic):
| Categorie | Date specifice |
|---|---|
| Identificare cont | Număr telefon (autentificare OTP), nume opțional |
| Rezervări proprii | Istoric rezervări făcute prin aplicație, status, observații |
| Date utilizare | Adrese IP autentificare, dispozitiv, sistem de operare |
| Consimțăminte | Termeni acceptați, versiuni, data acordului, IP |
2.4 Date colectate automat de la vizitatori (rezervatio.ai)
La accesarea site-ului colectăm minimul necesar pentru funcționare și analiză:
- Date tehnice: adresa IP (anonimizată zilnic prin hash criptografic), tip browser, sistem de operare, paginile vizitate, sursă trafic (referrer)
- Cookie tehnic Cloudflare (
_cf_bm) pentru protecție anti-bot — vezi secțiunea 11 - Preferințe locale stocate în browser (temă, limbă, preferințe cookies) — vezi secțiunea 11
NU folosim Google Analytics, Facebook Pixel, sau alte servicii de tracking publicitar pe site-ul de prezentare.
3. Temeiul legal al prelucrării (Art. 6 GDPR)
Fiecare prelucrare de date are un temei legal explicit. Mai jos sunt prezentate temeiurile pentru fiecare scop:
| Scop prelucrare | Temei legal Art. 6 |
|---|---|
| Furnizare serviciu rezervări (apel + dashboard + Book App) | Art. 6(1)(b) — executarea contractului |
| Comunicări tranzacționale (confirmări rezervări prin SMS/email) | Art. 6(1)(b) — executarea contractului |
| Facturare și contabilitate | Art. 6(1)(c) — obligație legală (Codul Fiscal RO) |
| Securitate platformă, prevenire fraudă, jurnale audit | Art. 6(1)(f) — interes legitim |
| Îmbunătățire serviciu (analiză agregată, statistici de utilizare) | Art. 6(1)(f) — interes legitim |
| Comunicări de marketing (newsletter, oferte) | Art. 6(1)(a) — consimțământ explicit (opt-in) |
| Procesare date sensibile menționate spontan în apel | Art. 9(2)(a) — consimțământ explicit (apelantul a ales să le menționeze) |
| Răspuns la cereri ANSPDCP / autorități judiciare | Art. 6(1)(c) — obligație legală |
Când temeiul este interesul legitim (Art. 6(1)(f)), am efectuat o evaluare de echilibrare (LIA) care confirmă că interesele noastre legitime nu prevalează asupra drepturilor și libertăților fundamentale ale persoanelor vizate. Documentația LIA poate fi solicitată la privacy@rezervatio.ai.
Când temeiul este consimțământul (Art. 6(1)(a)), aveți dreptul să îl retrageți oricând fără consecințe asupra serviciului de bază — vezi secțiunea 8.
4. Cum utilizăm datele dumneavoastră
Datele colectate sunt folosite exclusiv pentru scopurile declarate la secțiunea 3. În concret:
- Funcționare serviciu: primirea apelului, transcrierea conversației, înțelegerea cererii de rezervare, salvarea în baza de date, sincronizarea cu calendarul afacerii.
- Comunicări automate: trimiterea SMS-ului de confirmare către apelant, notificarea proprietarului afacerii despre noi rezervări, remindere de rezervări (dacă afacerea le activează).
- Dashboard și raportare: afișarea rezervărilor în dashboard-ul proprietarului afacerii, generarea de statistici agregate (număr apeluri, rată de conversie, motive de anulare).
- Suport tehnic: investigarea reclamațiilor sau a problemelor tehnice (acces limitat la transcripte numai pentru personalul autorizat, sub strict need-to-know).
- Securitate: detectarea utilizării frauduloase, protecție împotriva atacurilor, respectarea limitelor de utilizare.
- Conformitate legală: răspuns la cereri ale autorităților, păstrare jurnale audit, păstrare facturi conform Codului Fiscal.
Nu vindem și nu închiriem date personale niciunei terțe părți. Nu folosim datele dumneavoastră pentru profilare în scopuri publicitare și nu le partajăm cu rețele de advertising sau brokeri de date.
5. Sub-procesatori autorizați
Pentru a furniza serviciul, ne bazăm pe furnizori specializați care procesează date personale în numele nostru, sub instrucțiunile noastre stricte și în baza unor acorduri de procesare a datelor (DPA) conforme cu Art. 28 GDPR.
| Sub-procesator | Țară | Scop |
|---|---|---|
| Hetzner Online GmbH | Germania (UE) | Găzduire infrastructură (toate datele platformei) |
| Cloudflare Inc. | SUA (edge global) | Securitate, distribuție conținut, protecție DDoS |
| Scaleway SAS | Franța (UE) | Email tranzacțional (confirmări, notificări) |
| Telnyx LLC | SUA și UE | Telefonie și SMS |
| ElevenLabs Inc. | SUA | Procesare voce AI (recunoaștere vorbire, sinteză, transcripte) |
| Stripe Inc. | SUA / Irlanda | Procesare plăți (la lansarea comercială) |
Lista completă, scope detaliat, mecanisme de transfer și jurisdicții sunt descrise în Acordul de Procesare a Datelor (DPA).
5.1 Notificare modificări sub-procesatori
Ne rezervăm dreptul de a adăuga sau înlocui sub-procesatori. Pentru clienții B2B, vom notifica orice modificare cu cel puțin 30 de zile înainte, conform Art. 28(2) GDPR. Aveți dreptul să vă opuneți unei modificări, caz în care putem rezilia contractul de comun acord.
6. Transferuri internaționale de date
O parte din sub-procesatorii noștri sunt stabiliți în Statele Unite. Pentru aceste transferuri folosim mecanismele de protecție aprobate de Comisia Europeană:
- EU-US Data Privacy Framework (DPF) — pentru sub-procesatorii certificați DPF (Decizia de adecvare a Comisiei Europene din 10 iulie 2023). Verificarea certificării: dataprivacyframework.gov
- Clauze Contractuale Standard (SCC) — Decizia 2021/914 a Comisiei Europene, semnate cu fiecare sub-procesator non-UE neacoperit de DPF
- Măsuri suplimentare — criptare în tranzit (TLS 1.2+), criptare la repaus pentru date sensibile, control acces strict, audit logs
Pentru Telnyx (telefonie și SMS), există regiune europeană disponibilă. Pentru ElevenLabs (procesare voce AI), în deployment-ul actual procesarea audio se face în infrastructura globală ElevenLabs cu garanții contractuale DPF + SCC. Lista completă de sub-procesatori ElevenLabs este publică la compliance.elevenlabs.io.
7. Cât timp păstrăm datele (retenție)
Păstrăm datele doar pe durata necesară scopului prelucrării. Mai jos sunt perioadele aplicate:
| Categorie date | Durată păstrare | Acțiune la expirare |
|---|---|---|
| Rezervări (finalizate, anulate, no-show) | 12 luni de la rezervare | Anonimizare automată (numele, telefonul, emailul, observațiile sunt eliminate) |
| Jurnal apeluri (call_logs) | 12 luni | Ștergere completă |
| Sesiuni apel orfane (fără rezervare asociată) | 30 zile | Ștergere completă |
| Adresa IP din vizitele site (forma cu IP brut) | 30 zile | Ștergere IP brut (păstrăm doar hash anonimizat zilnic) |
| Cont user după cerere de ștergere | 7 zile (perioadă de grație pentru restaurare) | Ștergere ireversibilă + anonimizare istoric |
| Jurnal SMS-uri trimise | 6 luni | Ștergere completă |
| Jurnal export GDPR (audit log al cererilor) | 12 luni | Ștergere completă |
| Jurnal cereri ștergere (audit legal) | 5 ani | Ștergere completă (după expirare obligație audit) |
| Jurnal consimțăminte (consent_log) | Pe durata existenței contului + arhivare | Păstrat ca dovadă conformitate Art. 7 GDPR |
| Audio și transcripte apeluri (la sub-procesatorul ElevenLabs) | 30 zile la sursă | Ștergere automată de către ElevenLabs conform politicii lor |
| Facturi și documente fiscale | 10 ani | Păstrare conform Codului Fiscal RO |
La expirarea perioadei de retenție, datele sunt șterse sau anonimizate automat printr-un proces de cleanup planificat zilnic. Nicio acțiune manuală nu este necesară din partea dumneavoastră.
8. Drepturile dumneavoastră
În conformitate cu GDPR, aveți următoarele drepturi cu privire la datele personale prelucrate de noi:
8.1 Dreptul de acces (Art. 15)
Aveți dreptul să obțineți confirmarea că prelucrăm date despre dumneavoastră și să primiți o copie a acestora într-un format structurat (JSON). Pentru utilizatorii Rezervatio Book și proprietarii de afaceri, exportul este disponibil direct în dashboard / aplicație, cu descărcare instantanee.
8.2 Dreptul de rectificare (Art. 16)
Puteți corecta sau actualiza datele inexacte sau incomplete direct din dashboard / aplicație sau prin email la privacy@rezervatio.ai.
8.3 Dreptul la ștergere (Art. 17, „dreptul de a fi uitat")
Puteți solicita ștergerea contului și a datelor asociate:
- Utilizatori Rezervatio Book: direct în aplicație (Setări → Cont → Șterge cont)
- Proprietari de afaceri: direct în dashboard (Cont → Șterge cont)
Ștergerea include o perioadă de grație de 7 zile în care contul poate fi restaurat printr-un link unic. După 7 zile, datele sunt șterse ireversibil.
8.4 Dreptul la restricția prelucrării (Art. 18)
Puteți solicita limitarea temporară a prelucrării datelor în cazuri specifice (ex. contestați exactitatea datelor până la verificare). Cerere la privacy@rezervatio.ai.
8.5 Dreptul la portabilitate (Art. 20)
Datele dumneavoastră pot fi exportate în format structurat, comun și prelucrabil automat (JSON). Exportul este disponibil direct în dashboard / aplicație cu un singur click.
8.6 Dreptul de opoziție (Art. 21)
Vă puteți opune oricând prelucrării bazate pe interes legitim (Art. 6(1)(f)). Vom înceta prelucrarea cu excepția situațiilor în care avem motive legitime imperioase care prevalează sau pentru constatarea / exercitarea unor drepturi în instanță.
8.7 Drepturi privind deciziile automate (Art. 22)
Agentul vocal AI procesează cererile de rezervare automat, dar nu produce decizii cu efecte juridice sau similar semnificative asupra dumneavoastră. Refuzul unei rezervări nu constituie o decizie automată în sensul Art. 22 (este o consecință operațională — capacitatea afacerii este limitată). Aveți totuși dreptul să solicitați intervenție umană — orice afacere clientă a noastră are obligația de a verifica manual cazurile contestate.
8.8 Dreptul de retragere a consimțământului (Art. 7(3))
Când prelucrarea se bazează pe consimțământul dumneavoastră (ex. marketing), îl puteți retrage oricând din setările contului sau prin email la privacy@rezervatio.ai. Retragerea nu afectează legalitatea prelucrării efectuate înainte de retragere.
8.9 Termen de răspuns
Răspundem cererilor în maxim 30 de zile conform Art. 12(3) GDPR. În situații complexe, termenul poate fi prelungit cu încă 60 de zile cu notificare prealabilă.
8.10 Dreptul de plângere
Aveți dreptul să depuneți plângere la ANSPDCP (vezi secțiunea 13) sau la autoritatea de protecție a datelor din statul membru de reședință.
9. Securitatea datelor (Art. 32 GDPR)
Aplicăm măsuri tehnice și organizatorice adecvate pentru protecția datelor:
9.1 Măsuri tehnice
- Criptare în tranzit (TLS 1.2+) pentru toate comunicațiile
- Criptare la repaus pentru baza de date
- Autentificare cu OTP (One-Time Password) prin SMS — fără parole stocate de noi
- Token-uri de sesiune cu durată limitată și rotire automată
- Firewall, protecție DDoS și filtrare bot prin Cloudflare
- Acces controlat strict pe principiul „least privilege" și „need-to-know"
- Backup automat zilnic cu retenție controlată
- Monitorizare continuă a logurilor pentru detectarea activității suspecte
9.2 Măsuri organizatorice
- Număr minim de persoane cu acces administrativ la date
- Acces auditabil — toate acțiunile administrative sunt logate
- Acorduri de confidențialitate cu orice furnizor sau colaborator extern
- Politici interne de securitate și răspuns la incidente
- Evaluări periodice de risc și actualizări ale măsurilor de protecție
Niciun sistem nu este 100% impenetrabil. Dezvoltăm constant măsurile de protecție și vă încurajăm să folosiți parole puternice pentru contul dumneavoastră (la activarea autentificării cu parolă, dacă alegeți această opțiune în loc de OTP).
10. Notificare incidente de securitate
În cazul producerii unei încălcări a securității datelor (data breach) care poate genera un risc pentru drepturile și libertățile dumneavoastră, vom proceda conform Art. 33 și 34 GDPR:
- Notificare ANSPDCP — în maxim 72 de ore de la luarea la cunoștință, cu detalii privind natura încălcării, categoriile și numărul aproximativ de persoane afectate, consecințele probabile și măsurile luate sau propuse.
- Notificare persoane vizate — fără întârziere nejustificată (în practică, sub 48 de ore), prin email sau SMS, dacă încălcarea este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile dumneavoastră.
- Conținut notificare: descrierea naturii încălcării, categoriile de date afectate, măsurile luate pentru remediere, recomandări pentru reducerea consecințelor (ex. schimbare parole), contact suport și privacy@rezervatio.ai.
Menținem un registru intern al tuturor incidentelor de securitate, conform Art. 33(5) GDPR.
11. Cookies și stocare locală
Site-ul și aplicația folosesc tehnologii de stocare locală pentru funcționarea de bază. Detalii complete în Politica de Cookies.
În rezumat:
- NU folosim Google Analytics, Facebook Pixel sau alte servicii de tracking publicitar.
- localStorage pentru preferințe UI (temă, limbă, preferințe cookies, sidebar) — strict tehnic, nu necesită consimțământ
- Cookie tehnic Cloudflare (
_cf_bm) pentru protecție anti-bot — cookie de securitate esențial - Token-uri sesiune după autentificare — necesare pentru menținerea sesiunii
- Analiză vizite agregată — folosim un sistem propriu de contorizare a vizitelor cu hash criptografic zilnic al adresei IP, fără cookies de tracking și fără servicii externe. Bazat pe interes legitim conform Art. 6(1)(f) — analiză internă agregată neidentificabilă individual.
12. Modificări ale prezentei politici
Putem actualiza această Politică de Confidențialitate pentru a reflecta modificări operaționale, juridice sau tehnologice. Modificările semnificative vor fi notificate prin:
- Email la adresa contului (pentru utilizatorii înregistrați)
- Notificare în dashboard / aplicație la următorul login
- Anunț vizibil pe site
Pentru modificări care necesită un consimțământ nou (ex. extindere scop prelucrare), vă vom solicita acordul explicit înainte de aplicarea modificărilor. Versiunile anterioare sunt arhivate intern și pot fi furnizate la cerere.
Versiunea curentă: 2.0 — 30 aprilie 2026
13. Plângere la ANSPDCP
Dacă considerați că prelucrarea datelor dumneavoastră încalcă GDPR sau alte prevederi legale, aveți dreptul să depuneți plângere la:
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
- Adresă: B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București, cod poștal 010336
- Telefon: +40 318 059 211 / +40 318 059 212
- Fax: +40 318 059 602
- Email: anspdcp@dataprotection.ro
- Site: www.dataprotection.ro
Vă încurajăm să ne contactați întâi la privacy@rezervatio.ai înainte de a depune o plângere — am dori să rezolvăm direct orice problemă pe care o aveți.
14. Contact
Pentru orice întrebare legată de această Politică de Confidențialitate sau de prelucrarea datelor dumneavoastră:
Email principal protecția datelor: privacy@rezervatio.ai
Email general: contact@rezervatio.ai
Operator: {{COMPANY_NAME}}
CUI: {{COMPANY_CUI}}
Sediu: {{COMPANY_ADDRESS}}
Site web: https://rezervatio.ai
Pentru întrebări privind protecția datelor sau pentru a vă exercita drepturile GDPR, contactați-ne la privacy@rezervatio.ai. Răspundem în maxim 30 de zile conform Art. 12(3) GDPR.
Ultima actualizare: 30 aprilie 2026 — Versiunea 2.0
Politica de Cookies
Versiunea 2.0 — Ultima actualizare: 30 aprilie 2026
1. Ce sunt cookies și stocarea locală
Cookies sunt fișiere mici de text plasate pe dispozitivul dumneavoastră de către site-urile pe care le vizitați, folosite pentru memorarea preferințelor sau pentru identificarea sesiunilor.
Stocarea locală (localStorage) este o tehnologie similară, dar datele rămân strict în browserul dumneavoastră și nu sunt trimise automat la fiecare cerere către server.
Folosim ambele tehnologii în mod minimalist, doar pentru funcționarea de bază a serviciului. Nu folosim cookies de tracking publicitar, Google Analytics, Facebook Pixel, TikTok Pixel sau alte servicii de profilare.
2. Cookies HTTP utilizate
| Cookie | Setat de | Scop | Durată | Categorie |
|---|---|---|---|---|
_cf_bm | Cloudflare | Detectare boți, protecție anti-abuse | 30 minute | Strict necesar (securitate) |
| Token sesiune Supabase | Rezervatio.AI | Menținerea autentificării după login | Sesiune curentă + refresh | Strict necesar (autentificare) |
Aceste cookies sunt esențiale pentru funcționarea serviciului și nu necesită consimțământ prealabil conform ePrivacy Directive și Art. 5(3) Legea 506/2004.
3. Date stocate local în browser (localStorage)
Pentru personalizare și preferințe UI, folosim localStorage cu următoarele chei:
| Cheie | Scop | Categorie |
|---|---|---|
rz-theme | Tema vizuală (light / dark) | Preferințe UI |
rz-sidebar | Stare sidebar (extins / restrâns) | Preferințe UI |
rz-active-org | Organizația activă în dashboard (multi-tenant) | Funcțional |
rz-active-tab | Tab-ul activ în dashboard | Funcțional |
rz-consent-v2 | Preferințe cookies salvate | Conformitate (necesar) |
rz-clinica-*, rz-salon-* etc. | Preferințe UI specifice tipului de afacere | Funcțional |
| Drafts onboarding | Salvare automată progress completare formulare | Funcțional |
Aceste date rămân exclusiv pe dispozitivul dumneavoastră și nu sunt trimise la server. Le puteți șterge oricând din setările browserului.
4. Analiză vizite (interes legitim)
Folosim un sistem propriu, minimalist, de măsurare a vizitelor pentru înțelegerea utilizării site-ului:
- La fiecare vizită, înregistrăm: pagina accesată, sursa trafic (referrer), tip browser, sistem de operare
- Adresa IP este imediat anonimizată printr-un hash criptografic (SHA-256) cu o cheie zilnică — IP-ul brut nu este stocat
- Datele sunt agregate pentru statistici interne (număr vizitatori unici pe zi, pagini populare, surse trafic)
- Nu folosim cookies sau servicii externe pentru această analiză — totul rulează pe infrastructura noastră
- Datele sunt șterse automat după 30 de zile
Temei legal: interes legitim conform Art. 6(1)(f) GDPR — analiză statistică agregată pentru îmbunătățirea serviciului, fără identificarea individuală a utilizatorilor. Aveți dreptul să vă opuneți acestei prelucrări conform Art. 21 GDPR — vezi Politica de Confidențialitate, secțiunea 8.6.
5. Resurse externe (CDN)
Pentru livrarea eficientă a conținutului, utilizăm furnizori de tip CDN (Content Delivery Network):
| Serviciu | Scop | Date primite |
|---|---|---|
| Cloudflare | Distribuție conținut, securitate, protecție DDoS | Adresă IP, tip browser, paginile vizitate |
| jsDelivr | Distribuție bibliotecă JavaScript Supabase (autentificare) | Adresă IP la încărcarea scriptului |
Acești furnizori sunt sub-procesatori autorizați — vezi Politica de Confidențialitate, secțiunea 5 și DPA, Anexa III.
6. Cum controlați cookies și stocarea
6.1 Banner de consimțământ
La prima vizită, vă prezentăm un banner cu informații despre cookies și o opțiune de a accepta sau respinge. Decizia este memorată local (localStorage rz-consent-v2) și poate fi modificată oricând din linkul „Preferințe cookies" din subsolul site-ului.
6.2 Setări browser
Puteți controla sau bloca cookies din setările browserului. Atenție: blocarea cookies-urilor strict necesare poate împiedica funcționarea autentificării și a altor funcții esențiale.
Linkuri rapide la setări cookies:
7. Modificări ale acestei politici
Această Politică de Cookies poate fi actualizată periodic pentru a reflecta modificări tehnice sau juridice. Versiunea curentă este afișată mereu pe această pagină, cu data ultimei actualizări indicată în antet.
8. Contact
Pentru întrebări privind cookies sau stocarea locală:
Email: privacy@rezervatio.ai
Ultima actualizare: 30 aprilie 2026 — Versiunea 2.0
Acordul de Procesare a Datelor (DPA)
Versiunea 1.0 — Ultima actualizare: 30 aprilie 2026
Cui se adresează acest document: Acest Acord de Procesare a Datelor (DPA) reglementează relația dintre Rezervatio.AI (Persoana Împuternicită) și afacerea care utilizează serviciul nostru (Operator). Se aplică automat oricărui client B2B la activarea contului și face parte integrantă din Termenii și Condițiile de utilizare.
1. Părți și definiții
Operator („Clientul"): afacerea juridică sau persoana fizică autorizată care utilizează Rezervatio.AI pentru gestionarea rezervărilor (restaurant, salon, clinică medicală, hotel, service auto, spa etc.). În raport cu apelanții / clienții săi finali, Clientul este Operator de date conform Art. 4(7) GDPR.
Persoana Împuternicită („Rezervatio.AI"): {{COMPANY_NAME}}, în calitate de furnizor al platformei SaaS, prelucrează datele în numele Operatorului conform Art. 4(8) GDPR.
Persoana vizată: clientul final care sună afacerea pentru a face o rezervare, precum și orice altă persoană ale cărei date sunt prelucrate prin platformă (ex. angajați ai Operatorului).
Termenii nedefiniți în acest document au sensul prevăzut de Regulamentul (UE) 2016/679 (GDPR) și Legea 190/2018.
2. Obiectul, durata și scopul prelucrării
2.1 Obiectul prelucrării
Rezervatio.AI prelucrează date personale ale apelanților / clienților finali ai Operatorului în scopul exclusiv al furnizării serviciului de rezervări telefonice automate cu agent vocal AI, inclusiv: primire apel, transcriere conversație, înțelegere cerere, salvare rezervare, trimitere confirmări SMS, sincronizare cu dashboard-ul Operatorului.
2.2 Durata prelucrării
Prelucrarea continuă pe toată durata contractului dintre Operator și Rezervatio.AI. După încetarea contractului, datele sunt șterse sau returnate Operatorului conform secțiunii 9.
2.3 Categorii de date și persoane vizate
Categoriile de date prelucrate și persoanele vizate sunt detaliate în Anexa I a acestui DPA.
3. Obligațiile Persoanei Împuternicite (Rezervatio.AI)
Rezervatio.AI se obligă să:
- Prelucreze datele exclusiv conform instrucțiunilor documentate ale Operatorului, inclusiv în privința transferurilor către țări terțe. Instrucțiunile sunt cuprinse în: prezentul DPA, Termenii și Condițiile, și setările configurate de Operator în dashboard.
- Asigure confidențialitatea personalului autorizat să prelucreze date — toți membrii echipei sunt obligați prin contract de confidențialitate.
- Implementeze măsuri tehnice și organizatorice adecvate conform Art. 32 GDPR — detaliate în Anexa II.
- Asiste Operatorul cu măsuri tehnice și organizatorice rezonabile în îndeplinirea obligațiilor sale conform Art. 32-36 GDPR (securitate, notificări incidente, evaluări de impact DPIA, consultări prealabile cu autoritatea de supraveghere).
- Asiste Operatorul în răspunsul la cererile persoanelor vizate (acces, rectificare, ștergere, portabilitate etc.) prin instrumentele platformei (export GDPR, ștergere cont).
- Notifice Operatorul fără întârziere nejustificată (în maxim 48 de ore) despre orice încălcare a securității datelor relevantă pentru datele Operatorului.
- Șteargă sau returneze datele la încetarea contractului conform secțiunii 9.
- Pună la dispoziția Operatorului toate informațiile necesare pentru a demonstra conformitatea cu Art. 28 GDPR și să permită audituri rezonabile (vezi secțiunea 8).
4. Obligațiile Operatorului
Operatorul se obligă să:
- Aibă un temei legal valid conform Art. 6 GDPR pentru toate prelucrările pe care le instructează Rezervatio.AI să le efectueze.
- Informeze persoanele vizate conform Art. 13/14 GDPR despre prelucrarea datelor lor — în special despre faptul că apelurile telefonice sunt preluate și procesate de un agent AI.
- Configureze platforma corect în dashboard (program, servicii, retenție personalizată dacă este cazul) și să păstreze conturile de utilizator securizate.
- Răspundă direct cererilor persoanelor vizate în calitate de Operator, folosind instrumentele puse la dispoziție de platformă.
- Notifice Rezervatio.AI dacă primește plângeri, cereri ale autorităților sau alte solicitări care necesită asistență din partea noastră.
5. Sub-procesatori (Art. 28(2) și (4) GDPR)
5.1 Autorizare generală
Operatorul autorizează Rezervatio.AI să angajeze sub-procesatori pentru furnizarea serviciului. Lista actuală de sub-procesatori autorizați este detaliată în Anexa III.
5.2 Notificare modificări
Vom notifica Operatorul cu cel puțin 30 de zile înainte de adăugarea sau înlocuirea unui sub-procesator. Notificarea se face prin email la adresa contului și printr-un anunț în dashboard.
5.3 Drept de opoziție
Operatorul are dreptul să se opună unei modificări de sub-procesatori, justificând obiecția în baza unor motive legitime privind protecția datelor. În acest caz, părțile vor căuta o soluție de comun acord. Dacă nu se ajunge la un acord, Operatorul poate rezilia contractul fără penalizări.
5.4 Lanț de obligații
Toți sub-procesatorii sunt angajați prin contracte care impun obligații de protecție a datelor cel puțin echivalente cu cele din prezentul DPA, conform Art. 28(4) GDPR. Rezervatio.AI rămâne răspunzător față de Operator pentru îndeplinirea obligațiilor sub-procesatorilor.
6. Transferuri internaționale de date
O parte din sub-procesatori sunt stabiliți în afara Spațiului Economic European. Pentru aceste transferuri folosim:
- EU-US Data Privacy Framework (DPF) pentru sub-procesatorii certificați DPF
- Clauze Contractuale Standard (SCC) conform Deciziei 2021/914 a Comisiei Europene pentru sub-procesatorii non-UE neacoperiți de DPF
- Măsuri tehnice și organizatorice suplimentare conform recomandărilor EDPB (criptare în tranzit și la repaus, control acces strict, audit logs)
Detaliile mecanismului de transfer pentru fiecare sub-procesator sunt în Anexa III.
7. Drepturile persoanelor vizate
Rezervatio.AI asistă Operatorul în răspunsul la cererile persoanelor vizate prin următoarele instrumente integrate în platformă:
- Export date (Art. 15, 20 GDPR) — disponibil instantaneu în dashboard, format JSON
- Ștergere cont (Art. 17 GDPR) — disponibil în dashboard, cu perioadă de grație 7 zile pentru restaurare
- Anonimizare automată a rezervărilor vechi conform politicii de retenție
- Consimțăminte versionate (Art. 7 GDPR) — log audit complet al consimțămintelor utilizatorilor
Cererile primite direct de Rezervatio.AI care vizează date prelucrate în numele Operatorului vor fi redirecționate către Operator fără întârziere nejustificată.
8. Audit și conformitate
8.1 Documentație
Punem la dispoziția Operatorului, la cerere și fără costuri suplimentare, următoarele documente:
- Lista actualizată de sub-procesatori (Anexa III)
- Descrierea măsurilor tehnice și organizatorice (Anexa II)
- Politica noastră de răspuns la incidente
- Confirmări de certificare ale sub-procesatorilor (DPF, ISO 27001 dacă aplicabil)
8.2 Audit
Operatorul are dreptul să efectueze audituri pentru verificarea conformității cu Art. 28 GDPR, în următoarele condiții:
- Notificare scrisă cu cel puțin 30 de zile înainte
- Maxim un audit pe an, exceptând cazurile în care există motive întemeiate (incident de securitate, plângere ANSPDCP)
- Auditorul respectă obligații de confidențialitate și nu este competitor direct al Rezervatio.AI
- Costurile auditului sunt suportate de Operator, exceptând cazul în care auditul relevă o neconformitate semnificativă
În majoritatea cazurilor, conformitatea poate fi demonstrată prin documentația menționată la 8.1, fără a fi necesar audit on-site.
9. Încetarea contractului
La încetarea contractului din orice motiv, Rezervatio.AI va:
- Furniza Operatorului un export complet al datelor în format JSON, în maxim 30 de zile de la cerere
- Șterge sau anonimiza toate datele Operatorului din sistemele active în maxim 90 de zile de la încetarea contractului
- Păstra obligatoriu doar datele necesare conform obligațiilor legale (facturi conform Codului Fiscal — 10 ani, jurnale audit GDPR — până la 5 ani)
- Confirma în scris finalizarea procesului de ștergere
10. Răspundere
Răspunderea fiecărei părți pentru încălcări ale GDPR este reglementată de Art. 82 GDPR. În raporturile dintre părți, fiecare suportă amenzile, sancțiunile și despăgubirile rezultate din propriile sale încălcări.
Limitele generale de răspundere contractuală sunt cele prevăzute în Termenii și Condițiile de utilizare.
11. Modificări
Acest DPA poate fi modificat prin:
- Acord scris al părților
- Notificare unilaterală din partea Rezervatio.AI cu cel puțin 30 de zile înainte, pentru modificări minore care nu reduc nivelul de protecție
Modificările semnificative care reduc nivelul de protecție pentru persoanele vizate necesită acordul scris al Operatorului.
12. Lege aplicabilă și jurisdicție
Prezentul DPA este guvernat de legea română și de GDPR. Orice litigiu se va soluționa pe cale amiabilă sau, în cazul eșuării negocierilor, de instanțele competente din România.
Anexa I — Detalii prelucrare
| Element | Descriere |
|---|---|
| Categorii persoane vizate | Apelanți / clienți finali ai Operatorului care fac rezervări prin agent vocal AI sau aplicație mobilă |
| Categorii date personale | Nume, număr telefon, email (opțional), conținut conversație audio și transcript, detalii rezervare (data, ora, număr persoane, serviciu, observații), date tehnice apel (durată, calitate) |
| Date sensibile (Art. 9) | Posibil menționate spontan în apel în contextul clinicilor medicale (simptome, motiv consultație). Agentul nu solicită explicit date sensibile. |
| Natura prelucrării | Colectare, înregistrare, transcriere, structurare, stocare, transmitere, ștergere |
| Scopul prelucrării | Furnizare serviciu rezervări telefonice automate |
| Durata prelucrării | Pe durata contractului + perioada de retenție post-încetare conform secțiunii 9 |
Anexa II — Măsuri tehnice și organizatorice (Art. 32 GDPR)
Măsuri tehnice
- Criptare în tranzit (TLS 1.2+) pentru toate comunicațiile
- Criptare la repaus pentru baza de date
- Autentificare cu OTP — fără parole stocate în clar
- Token-uri de sesiune cu durată limitată și rotire automată
- Firewall, protecție DDoS și filtrare bot prin Cloudflare
- Acces controlat strict pe principiul „least privilege" și „need-to-know"
- Backup automat zilnic cu retenție controlată
- Monitorizare continuă a logurilor pentru detectarea activității suspecte
- Pseudonimizare și anonimizare automată a datelor expirate
- Izolare logică per Operator (multi-tenancy securizat)
Măsuri organizatorice
- Număr minim de persoane cu acces administrativ la date
- Acces auditabil — toate acțiunile administrative sunt logate
- Acorduri de confidențialitate cu personal și colaboratori externi
- Politici interne de securitate și răspuns la incidente
- Evaluări periodice de risc
- DPIA actualizată pentru riscurile principale (clinici, AI vocal, transferuri internaționale)
- Registru intern al incidentelor de securitate (Art. 33(5))
Notificare incidente
- Operator notificat în maxim 48 de ore de la luarea la cunoștință a unei încălcări
- Conținut notificare conform Art. 33(3) GDPR
- Persoane vizate notificate direct dacă încălcarea generează risc ridicat
Anexa III — Lista sub-procesatorilor autorizați
| Sub-procesator | Țară | Scop | Mecanism transfer |
|---|---|---|---|
| Hetzner Online GmbH | Germania (UE) | Găzduire infrastructură (toate datele platformei) | Art. 28 GDPR (intra-UE) |
| Cloudflare Inc. | SUA (edge global) | Securitate, distribuție conținut, protecție DDoS | DPF + SCC |
| Scaleway SAS | Franța (UE) | Email tranzacțional | Art. 28 GDPR (intra-UE) |
| Telnyx LLC | SUA și UE | Telefonie și SMS | DPF + SCC |
| ElevenLabs Inc. | SUA | Procesare voce AI (recunoaștere vorbire, sinteză, transcripte) | DPF + SCC |
| Stripe Inc. | SUA / Irlanda | Procesare plăți (la lansarea comercială) | DPF + SCC |
Lista sub-procesatorilor publică:
- ElevenLabs: compliance.elevenlabs.io
- Telnyx: telnyx.com/sub-processors
- Cloudflare: cloudflare.com/gdpr/subprocessors
- Stripe: stripe.com/legal/subprocessors
Contact
Pentru întrebări sau cereri legate de acest DPA:
Email: privacy@rezervatio.ai
Operator (Persoana Împuternicită): {{COMPANY_NAME}}
CUI: {{COMPANY_CUI}}
Sediu: {{COMPANY_ADDRESS}}
Ultima actualizare: 30 aprilie 2026 — Versiunea 1.0
UE · GDPR Compliant