Politica de Confidențialitate & Cookie‑uri

Operator: ONE MILLION GREEN ROOTS SRL · Ultima actualizare: 12 August 2025

Document unificat care acoperă confidențialitatea (GDPR) și cookie‑urile pentru greenroots.ro. Textul oferă descriere detaliată pentru fiecare punct, în conformitate cu Regulamentul (UE) 2016/679 și Legea 190/2018.

1) Operator & date de contact

ONE MILLION GREEN ROOTS SRL

  • CUI: 50914489
  • Nr. Înmatriculare: J2024042732000
  • EUID: ROONRC.J2024042732000
  • Administrator: Sergiu Diaconu

Nu avem desemnat un responsabil cu protecția datelor (DPO); pentru orice solicitare GDPR, folosește canalele de mai sus.

2) Scop & domeniu de aplicare

Documentul se aplică tuturor prelucrărilor de date derulate prin https://greenroots.ro/ și canalele asociate (cont client, checkout, newsletter, suport, panou administrare, aplicații Shopify). Scopul este de a explica în mod transparent ce date colectăm, de ce, pentru cât timp, cui le dezvăluim și ce drepturi ai.

3) Temei legal & referințe

  • GDPR
  • Regulamentul (UE) 2016/679 – articolele 5 (principii), 6 (temei), 12-23 (drepturi), 24-32 (securitate), 44-49 (transferuri).
  • Legea 190/2018
  • privind măsuri de punere în aplicare a GDPR în România.
  • Legea 506/2004
  • privind comunicații electronice (pentru marketing electronic și cookie-uri).
  • Legislație fiscal-contabilă (pentru păstrarea facturilor).

4) Categorii de persoane vizate

  • Vizitatori ai site-ului
  • Clienți (persoane fizice) și reprezentanți ai clienților (persoane juridice)
  • Abonați la newsletter
  • Solicitanți prin formularul de contact/suport

5) Categorii de date

5.1. Furnizate direct

  • Identitate: nume, prenume
  • Contact: email, telefon
  • Livrare/facturare: adresă, cod poștal, localitate
  • Cont: utilizator, parolă (stocată hash‑uit), preferințe
  • Comandă/retur/garanție: produse, cantități, valori, motive retur

5.2. Colectate automat

  • Identificatori: IP, ID cookie, ID dispozitiv
  • Tehnice: tip/versiune browser, OS, rezoluție, performanță
  • Utilizare: pagini, clickuri, evenimente checkout
  • Localizare aproximativă (geo‑IP); nu colectăm localizare GPS

5.3. Categorii speciale

Nu solicităm date sensibile (sănătate, convingeri, biometrice). Dacă sunt transmise accidental, le ștergem/anonimizăm rezonabil prompt.

6) Scopuri + temeiuri (tabel detaliat)

Scop Exemple concrete Tipuri de date Temei (art. 6 GDPR)
Cont client creare/autentificare, resetare parolă identitate, contact, parolă hash (b) executarea contractului
Comandă & livrare coș, checkout, AWB identitate, adresă, telefon, produse comandate (b) executarea contractului
Facturare & contabilitate factură, evidențe date facturare, plăți (c) obligație legală
Suport & reclamații ticketing, dovezi contact, istoric comenzi (f) interes legitim
Securitate & fraudă loguri, rate limiting IP, user‑agent, evenimente (f) interes legitim
Analitică GA4, rapoarte conversie ID cookie, evenimente (a) consimțământ
Marketing newsletter, remarketing email, ID marketing (a) consimțământ (Legea 506/2004)
Îmbunătățiri UX heatmaps, A/B testing ID cookie, interacțiuni (a) consimțământ

Dacă temeiul este consimțământul, îl poți retrage oricând din setările de cookie/abonări.

7) Proveniență & caracter obligatoriu

Datele provin de la tine (formulare, cont, checkout) sau se colectează automat (cookie‑uri, loguri). Anumite informații sunt necesare pentru a încheia/execua contractul (ex.: adresă livrare). Refuzul furnizării lor poate împiedica plasarea/onorarea comenzii.

8) Consimțământ: acord & retragere

La prima vizită, afișăm un banner de consimțământ pentru cookie‑uri non‑esențiale (analitice/marketing). Bifarea explicită înseamnă acord. Îți poți modifica opțiunile oricând din pagina Preferințe cookie sau prin linkul din footer („Setări cookie”).

Retragerea consimțământului nu afectează legalitatea prelucrării realizate înainte de retragere. Pentru newsletter, poți folosi linkul de dezabonare din fiecare email sau ne poți scrie la info@greenroots.ro.

9) Marketing & comunicări comerciale

Trimitem comunicări comerciale prin email doar cu acordul tău (opt‑in). În lipsa consimțământului, putem trimite comunicări post‑vânzare privind produse similare achiziției, în măsura permisă de lege, oferindu‑ți opțiune clară de dezabonare.

10) Cookie‑uri & tehnologii similare (secțiune integrată)

10.1. Ce sunt & de ce le folosim

Cookie‑urile sunt fișiere text plasate în browser. Le folosim pentru funcționare (coș, checkout), analiză (trafic, conversii) și marketing (reclame personalizate) – ultimele doar cu consimțământ.

10.2. Tipuri

  • Esențiale – necesare funcționării (nu cer consimțământ)
  • Funcționale – rețin preferințe (pot necesita consimțământ)
  • Analitice – măsoară trafic (consimțământ)
  • Marketing – publicitate personalizată (consimțământ)

10.3. Exemplu listă cookie‑uri (orientativ)

Nume Furnizor Scop Durată Tip
_shopify_s Shopify Sesiune/checkout Sesiune Esențial
_shopify_y Shopify Analytics 1 an Analitic
_ga Google Identificator GA 13 luni Analitic
_fbp Meta Remarketing 90 zile Marketing

Lista variază în funcție de aplicațiile active în Shopify; o actualizăm periodic.

11) Profilare & decizii automate

Nu luăm decizii cu efecte juridice semnificative bazate exclusiv pe prelucrări automate. Putem realiza segmentări de marketing (ex.: frecvența cumpărăturilor) doar cu consimțământ sau, limitat, pe interes legitim, oferind drept de opoziție.

12) Destinatari & împuterniciți

Dezvăluim date către categorii de destinatari strict necesare:

  • Furnizori IT & hosting (administrare, mentenanță)
  • Curieri & logistică (livrare)
  • Procesatori de plăți (plăți cu cardul)
  • Servicii de analiză/marketing (numai cu consimțământ)
  • Consultanți juridici/contabili; autorități publice (temei legal)

Încheiem acorduri de prelucrare (art. 28 GDPR) și impunem garanții adecvate.

13) Transferuri internaționale

Dacă un furnizor se află în afara SEE, folosim clauze contractuale standard (SCC) și efectuăm o evaluare a transferului (TIA), pentru a asigura nivel adecvat de protecție (art. 46 GDPR).

14) Retenție & ștergere

Tip date Perioadă Justificare Ștergere/anonimizare
Cont client pe durata activă + 3 ani apărarea drepturilor, evidențe la cerere sau la închidere cont
Comenzi/facturi 10 ani legislație fiscal‑contabilă după termen, anonimizare/ștergere
Ticketing/garanții 3 ani prescripție ștergere periodică
Marketing (opt‑in) până la retragere consimțământ dezabonare instant
Loguri securitate 6–24 luni interes legitim rotație automată loguri

15) Măsuri tehnice & organizatorice

  • Transport securizat TLS/HTTPS; parole hash + salt
  • Control acces pe roluri; politici de parole; autentificare cu 2 factori acolo unde e posibil
  • Backup regulat; plan de continuitate & recuperare în caz de dezastru
  • Actualizări, patch management, monitorizare loguri & alerte
  • Minimizare date; limitare drepturi; instruire personal
Incidente de securitate: în caz de breșă cu risc pentru drepturi/libertăți, notificăm ANSPDCP în max. 72 de ore și, dacă este necesar, informăm persoanele vizate fără întârzieri nejustificate.

16) Drepturi GDPR – explicații & pași

16.1. Acces

Primești confirmare dacă îți prelucrăm datele și o copie a acestora. Indică ce informații dorești pentru a grăbi procesul.

16.2. Rectificare

Corectăm datele inexacte și completăm cele incomplete; poți actualiza și din cont.

16.3. Ștergere

„Dreptul de a fi uitat” se aplică în condițiile art. 17 (ex.: date prelucrate ilegal, retragere consimțământ).

16.4. Restricționare

Limităm temporar prelucrarea în caz de contestare exactitate sau opoziție.

16.5. Portabilitate

Îți furnizăm datele într-un format structurat, utilizat în mod curent, ușor de citit automat.

16.6. Opoziție

Te poți opune prelucrării bazate pe interes legitim sau marketingului direct (te vom exclude imediat).

16.7. Retragerea consimțământului

Oricând, fără a afecta prelucrările anterioare retragerii.

17) Procedură de soluționare a cererilor

  1. Trimitere cerere la info@greenroots.ro cu subiectul „Drepturi GDPR”.
  2. Verificare identitate (minim: email/telefon asociat contului/comenzii).
  3. Termen: răspuns în 30 de zile (putem prelungi încă 60 de zile pentru cereri complexe – te informăm).
  4. Taxe: gratuit; putem solicita o taxă rezonabilă pentru cereri excesive sau repetate.

Model cerere (copy/paste)

Către ONE MILLION GREEN ROOTS SRL
Subiect: Exercitare drepturi GDPR

Bună ziua,
Doresc să îmi exercit dreptul de [ACCES/RECTIFICARE/ȘTERGERE/RESTRICȚIONARE/PORTABILITATE/OPOZIȚIE].
Date de identificare: [nume], [email/telefon], [nr. comandă dacă există].
Vă rog confirmați primirea cererii și pașii următori.
Mulțumesc.

18) Plângeri & Autoritatea de supraveghere

Dacă ești nemulțumit, ne poți contacta oricând. De asemenea, ai dreptul să depui o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) – detalii pe site‑ul oficial.

Website ANSPDCP: anspdcp.ro

19) Datele minorilor

Nu vizăm în mod intenționat persoane sub 16 ani. Dacă aflăm că am colectat astfel de date, le ștergem prompt.

20) Versiuni & modificări

Putem actualiza prezentul document pentru a reflecta schimbări legislative sau operaționale. Vom publica versiunea actuală pe această pagină și vom marca data ultimei actualizări.

21) Anexe

21.A. Registru minim al prelucrărilor

Operațiune Scop Date Destinatari Retenție
Checkout vânzare & livrare identitate, adresă, comandă curier, contabilitate 10 ani (facturi)
Suport asistență clienți contact, istoric 3 ani
Marketing newsletter email, preferințe până la retragere

21.B. Baza legală – repere

  • Art. 6(1)(b) – contract (cont, comenzi, livrare)
  • Art. 6(1)(c) – obligație legală (facturare)
  • Art. 6(1)(f) – interes legitim (securitate, suport)
  • Art. 6(1)(a) – consimțământ (analitică, marketing)

21.C. Glosar

„Împuternicit” = furnizor care procesează date în numele Operatorului; „Date cu caracter personal” = informații care identifică o persoană.

© 2025 ONE MILLION GREEN ROOTS SRL. Toate drepturile rezervate.