// GDPR · POLITICĂ DE CONFIDENȚIALITATE //

Politică de Confidențialitate și Protecția Datelor

Ultima actualizare: 15.04.2026 · Versiunea 2.0 · Operator: DigitalCheck

1. Introducere și angajamentul nostru

Bine ați venit pe DigitalCheck.ro — o platformă dedicată educației și conștientizării în domeniul securității cibernetice. Misiunea noastră este să ajutăm utilizatorii să înțeleagă ce date personale au expuse public pe internet și să ia măsuri informate pentru protejarea identității lor digitale.

Această Politică de Confidențialitate descrie în detaliu modul în care colectăm, utilizăm, stocăm, protejăm și, în cele din urmă, ștergem datele dumneavoastră cu caracter personal. Ne angajăm să respectăm cele mai înalte standarde de protecție a datelor, în conformitate cu Regulamentul General privind Protecția Datelor (UE) 2016/679 (GDPR), Legea nr. 190/2018 privind măsurile de punere în aplicare a GDPR în România, Directiva NIS2 (UE) 2022/2555 și toate reglementările aplicabile în materie de protecție a datelor cu caracter personal.

Prin accesarea și utilizarea platformei DigitalCheck.ro, confirmați că ați citit, înțeles și acceptat practicile descrise în această politică. Dacă nu sunteți de acord cu oricare dintre prevederile de mai jos, vă rugăm să nu utilizați serviciile noastre.

2. Identitatea operatorului de date

Operatorul datelor cu caracter personal colectate prin intermediul platformei DigitalCheck.ro este:

Ne puteți contacta oricând pentru orice întrebare, solicitare sau nelămurire cu privire la modul în care vă procesăm datele personale. Ne angajăm să răspundem fiecărei solicitări într-un termen rezonabil, dar nu mai târziu de 30 de zile calendaristice de la primire, conform cerințelor GDPR.

3. Scopul și natura platformei

DigitalCheck.ro este un instrument de audit educațional de securitate cibernetică care oferă următoarele servicii:

  • Audit OSINT Social Media — analiză a informațiilor disponibile public pe profilurile de social media (Instagram, TikTok, Facebook, Twitter/X, LinkedIn, YouTube) pentru a identifica potențiale vulnerabilități ale setărilor de confidențialitate
  • Verificare Breșe de Date — verificare dacă adresa de email a fost compromisă în breșe de date cunoscute, utilizând surse publice de securitate cibernetică
  • Raport de Securitate Personalizat — generarea unui raport complet cu scor de risc, recomandări concrete de securitate și pași de remediere

Platforma are un caracter strict educațional și informativ. Nu oferim servicii de hacking, nu accesăm conturi protejate și nu colectăm informații care nu sunt deja disponibile public. Auditul se realizează exclusiv pe baza datelor accesibile oricui pe internet, simulând ceea ce un potențial atacator ar putea descoperi printr-o simplă căutare online (tehnici OSINT — Open Source Intelligence).

4. Categoriile de date cu caracter personal colectate

Respectăm principiul minimizării datelor (Art. 5 alin. 1 lit. c GDPR) — colectăm exclusiv datele strict necesare furnizării serviciului solicitat. Mai jos, detaliem fiecare categorie:

4.1 Date furnizate direct de utilizator

  • Adresa de email — utilizată exclusiv pentru livrarea raportului de audit. Nu este folosită pentru newsletter, marketing sau comunicări comerciale nesolicitate
  • Username / Handle de social media — introdus voluntar de utilizator pentru a indica profilul public ce urmează a fi auditat. Platforma verifică doar datele publice asociate acestui username
  • Consimțământul GDPR — bifarea explicită a acordului de prelucrare, împreună cu data, ora și adresa IP anonimizată la momentul consimțământului
  • Declarația de proprietate — confirmarea faptului că utilizatorul este titularul contului auditat sau că deține acordul explicit al titularului

4.2 Date colectate automat

  • Adresa IP — stocată exclusiv sub formă de hash SHA-256 (funcție criptografică ireversibilă). Hash-ul este utilizat doar pentru rate limiting și prevenirea abuzurilor. Nu putem și nu dorim să identificăm persoane pe baza acestui hash
  • Metadate de sesiune — informații tehnice minime necesare funcționării site-ului (token de sesiune PHP), fără identificare personală

4.3 Date prelucrate de terți în numele nostru

  • Date de plată — gestionate integral de procesatorul de plăți Stripe. DigitalCheck nu vede, nu accesează și nu stochează în niciun moment datele cardului bancar (număr card, CVV, dată expirare). Tranzacția se realizează direct între utilizator și Stripe, într-un mediu securizat certificat PCI DSS Level 1
  • Date publice de profil social media — extrase prin intermediul serviciului Apify, strict din sursele publice ale platformelor de social media. Aceste date sunt identice cu cele vizibile oricărui vizitator al profilului respectiv

4.4 Date pe care NU le colectăm

Transparența presupune și clarificarea a ceea ce NU facem:
  • Nu colectăm și nu stocăm parole — în nicio formă, în niciun moment
  • Nu colectăm date biometrice (amprentă, recunoaștere facială)
  • Nu colectăm date despre locația GPS a utilizatorilor
  • Nu colectăm istoricul de navigare sau activitatea pe alte site-uri
  • Nu colectăm date din conturile private ale rețelelor sociale — doar ceea ce este public
  • Nu colectăm sau procesăm categorii speciale de date (origine rasială/etnică, opinii politice, convingeri religioase, date privind sănătatea, orientare sexuală)

5. Temeiul legal al prelucrării (Art. 6 GDPR)

Prelucrăm datele dumneavoastră cu caracter personal pe baza următoarelor temeiuri juridice:

  • Art. 6 alin. 1 lit. a) — Consimțământul — Prelucrarea datelor are loc pe baza consimțământului explicit pe care îl acordați prin bifarea căsuței de acord înainte de inițierea auditului. Acest consimțământ poate fi retras oricând, fără a afecta legalitatea prelucrării efectuate anterior retragerii
  • Art. 6 alin. 1 lit. b) — Executarea contractului — Prelucrarea este necesară pentru furnizarea serviciului de audit educațional solicitat (generarea raportului de securitate și livrarea acestuia pe email)
  • Art. 6 alin. 1 lit. f) — Interesul legitim — Stocarea hash-ului IP pentru rate limiting și prevenirea abuzurilor reprezintă un interes legitim al operatorului, proporțional cu impactul minim asupra drepturilor persoanei vizate
  • Art. 6 alin. 1 lit. c) — Obligație legală — Păstrarea evidenței consimțământului și a logurilor de acces pentru conformitatea cu cerințele GDPR și ale legislației române aplicabile

6. Scopurile prelucrării datelor

Datele colectate sunt utilizate exclusiv pentru următoarele scopuri bine determinate:

  • Furnizarea serviciului de audit — generarea raportului de securitate bazat pe analiza datelor publice asociate profilului indicat de utilizator
  • Livrarea raportului — transmiterea raportului pe adresa de email furnizată
  • Procesarea plăților — facilitarea tranzacției prin redirectare către Stripe
  • Prevenirea abuzurilor — rate limiting pe baza hash-ului IP pentru a preveni utilizarea excesivă a platformei și atacuri de tip DDoS sau scraping automatizat
  • Conformitate legală — îndeplinirea obligațiilor legale în materia protecției datelor, inclusiv păstrarea dovezii consimțământului
  • Îmbunătățirea securității platformei — monitorizarea tentativelor de acces neautorizat și protejarea infrastructurii tehnice
Nu folosim datele dumneavoastră pentru profilare comportamentală, publicitate targetată, vânzare către terți sau orice alt scop nedeclarat în această politică.

7. Durata stocării datelor

Respectăm principiul limitării stocării (Art. 5 alin. 1 lit. e GDPR). Datele sunt păstrate doar atât timp cât este necesar scopului pentru care au fost colectate:

  • Rapoarte de audit online — sunt accesibile maximum 72 de ore de la generare, după care sunt șterse automat și ireversibil din sistem
  • Date personale (email, username, IP hash) — sunt șterse automat după 30 de zile calendaristice de la data colectării, prin procese automatizate care rulează zilnic
  • Log-uri de consimțământ GDPR — păstrate pe durata prevăzută de legislația aplicabilă (maximum 3 ani), ca dovadă a conformității
  • Date de plată — gestionate și păstrate de Stripe conform propriei politici de retenție și cerințelor legale aplicabile
  • Rapoarte PDF descărcate — odată descărcate, acestea se află exclusiv pe dispozitivul utilizatorului; copia de pe server este ștearsă conform regulii de 30 de zile

La expirarea perioadei de stocare sau la solicitarea dumneavoastră de ștergere, datele sunt eliminate definitiv din toate sistemele noastre, fără posibilitate de recuperare.

8. Destinatari și transferuri de date

Datele dumneavoastră pot fi accesate de următorii destinatari, strict în limita necesităților tehnice ale serviciului:

8.1 Procesatori de date (sub-procesatori)

Stripe, Inc. San Francisco, SUA

Procesare plăți securizate. Stripe este certificat PCI DSS Level 1, cel mai înalt nivel de certificare în industria plăților. Transferul de date în afara SEE este acoperit de Clauze Contractuale Standard (SCC) aprobate de Comisia Europeană și de EU-US Data Privacy Framework.

stripe.com/privacy

HaveIBeenPwned (HIBP) Australia

Verificare breșe de date. Emailul nu este trimis în clar. Utilizăm protocolul k-anonymity: se trimite doar un prefix scurt al hash-ului SHA-1 al emailului (primele 5 caractere), iar verificarea se face local. Astfel, HIBP nu cunoaște niciodată adresa de email completă a utilizatorului.

haveibeenpwned.com/API

Apify, s.r.o. Praga, Cehia / UE

Extragere date publice de social media. Apify procesează doar date disponibile public pe platforme, identice cu cele accesibile oricărui vizitator neautentificat. Prelucrarea se realizează în centre de date din UE, cu acorduri DPA conforme GDPR.

apify.com/privacy-policy

8.2 Furnizorul de hosting

Platforma este găzduită pe servere din România / Uniunea Europeană. Furnizorul de hosting asigură măsuri tehnice și organizatorice adecvate pentru securitatea datelor, inclusiv protecție fizică a serverelor, backup-uri criptate și monitorizare continuă.

8.3 Angajamentul nostru privind partajarea

Nu vindem, nu închiriem și nu partajăm datele dumneavoastră cu terți în scop comercial, publicitar sau de marketing. Nu există reclame, trackere sau pixeli de remarketing pe această platformă.

9. Transferuri internaționale de date

Anumite procesări implică transferul datelor în afara Spațiului Economic European (SEE):

  • Stripe (SUA) — Transfer acoperit de EU-US Data Privacy Framework și Clauze Contractuale Standard UE
  • HaveIBeenPwned (Australia) — Nu se transferă date personale identificabile (doar prefix hash, protocol k-anonymity)

Ne asigurăm că orice transfer internațional de date beneficiază de garanții adecvate conform Art. 44-49 GDPR, inclusiv decizii de adecvare ale Comisiei Europene sau alte mecanisme de transfer aprobate.

10. Drepturile dumneavoastră (Art. 15-22 GDPR)

În calitate de persoană vizată, beneficiați de următoarele drepturi garantate de GDPR, pe care le puteți exercita oricând, gratuit:

  • Dreptul de acces (Art. 15) — Aveți dreptul de a obține confirmarea că datele dumneavoastră sunt sau nu prelucrate și, în caz afirmativ, de a primi o copie a acestor date
  • Dreptul la rectificare (Art. 16) — Aveți dreptul de a solicita corectarea datelor inexacte sau completarea datelor incomplete care vă privesc
  • Dreptul la ștergere / „Dreptul de a fi uitat" (Art. 17) — Aveți dreptul de a solicita ștergerea imediată a tuturor datelor dumneavoastră. La primirea unei cereri valide, datele vor fi eliminate în cel mult 72 de ore
  • Dreptul la restricționarea prelucrării (Art. 18) — Aveți dreptul de a solicita limitarea prelucrării datelor în anumite situații prevăzute de lege
  • Dreptul la portabilitatea datelor (Art. 20) — Aveți dreptul de a primi datele într-un format structurat, utilizat în mod curent și care poate fi citit automat (JSON/CSV)
  • Dreptul la opoziție (Art. 21) — Aveți dreptul de a vă opune prelucrării datelor bazate pe interes legitim
  • Dreptul de a nu face obiectul unei decizii automate (Art. 22) — Nu luăm decizii automatizate cu efect juridic. Scorul de securitate din raport are caracter exclusiv informativ și educațional
  • Dreptul de retragere a consimțământului (Art. 7) — Puteți retrage consimțământul în orice moment, prin simpla trimitere a unui email

Cum exercitați aceste drepturi

Trimiteți un email la contact@digitalcheck.ro menționând dreptul pe care doriți să-l exercitați și adresa de email asociată contului auditat. Vom procesa cererea în maximum 30 de zile calendaristice. În cazul cererilor de ștergere, acționăm de regulă în 72 de ore.

11. Dreptul de a depune plângere

Dacă considerați că prelucrarea datelor dumneavoastră încalcă prevederile GDPR, aveți dreptul de a depune o plângere la autoritatea de supraveghere competentă:

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)

B-dul G-ral. Gheorghe Magheru nr. 28-30, Sector 1, București, 010336
Telefon: +40 318 059 211 / +40 318 059 212
Website: www.dataprotection.ro
Email: anspdcp@dataprotection.ro

Vă încurajăm totuși să ne contactați mai întâi la contact@digitalcheck.ro, pentru a putea rezolva rapid orice neregulă.

12. Politica privind cookie-urile

DigitalCheck.ro utilizează o abordare minimalistă și privacy-first în ceea ce privește cookie-urile:

Cookie-uri utilizate

  • Cookie de sesiune PHP (PHPSESSID) — Cookie tehnic esențial, strict necesar pentru funcționarea platformei. Se șterge automat la închiderea browserului. Nu conține date personale identificabile
  • Cookie de consimțământ GDPR — Memorează că ați acceptat termenii, pentru a nu vi se solicita din nou. Expiră după 30 de zile

Cookie-uri pe care NU le utilizăm

  • Nu utilizăm Google Analytics sau alte servicii de analiză a traficului
  • Nu utilizăm cookie-uri de remarketing sau publicitate (Google Ads, Facebook Pixel, etc.)
  • Nu utilizăm cookie-uri terțe de tracking cross-site
  • Nu utilizăm fingerprinting sau alte tehnici de urmărire invazivă
  • Nu participăm la nicio rețea publicitară și nu monetizăm datele de navigare

Deoarece utilizăm exclusiv cookie-uri tehnice esențiale (conform Art. 5 alin. 3 al Directivei ePrivacy 2002/58/CE), nu este necesar un banner de cookie-uri separat.

13. Măsuri de securitate tehnică și organizatorică

Am implementat următoarele măsuri conforme Art. 32 GDPR:

13.1 Criptare și transport securizat

  • Toate comunicațiile sunt criptate prin HTTPS/TLS 1.3 cu certificate SSL valide
  • Redirecționare automată HTTP → HTTPS pentru toate paginile
  • Header-e de securitate: HSTS, X-Content-Type-Options, X-Frame-Options, CSP

13.2 Anonimizare și pseudonimizare

  • Adresele IP sunt stocate ca hash-uri SHA-256 — funcție criptografică ireversibilă
  • Nu stocăm parole, date de card sau informații sensibile în format text clar
  • Rapoartele folosesc identificatori unici aleatorii (UUID) pentru URL-uri

13.3 Controlul accesului

  • Panoul de administrare este protejat prin autentificare cu doi factori (2FA)
  • Accesul SSH la server — restricționat prin chei criptografice, fără parolă
  • Principiul privilegiului minim — fiecare componentă are acces doar la datele strict necesare

13.4 Ștergerea automată a datelor

  • Procese automate (cron jobs) care verifică zilnic și șterg definitiv datele expirate
  • Rapoartele online devin inaccesibile automat după 72 de ore
  • Toate datele personale sunt eliminate complet după 30 de zile

13.5 Protecție la nivel de aplicație

  • Protecție CSRF (Cross-Site Request Forgery) prin tokenuri unice per sesiune
  • Validare și sanitizare a tuturor datelor de intrare — prevenire SQL injection și XSS
  • Rate limiting pentru prevenirea abuzurilor și a atacurilor brute-force
  • Monitorizare și logare a tentativelor de acces neautorizat

14. Protecția datelor minorilor

Serviciul este destinat exclusiv persoanelor cu vârsta de minimum 16 ani, în conformitate cu Art. 8 GDPR și Art. 2 din Legea nr. 190/2018.

Nu colectăm cu bună știință date de la persoane sub 16 ani. Dacă suntem informați că am colectat astfel de date, vom proceda la ștergerea imediată a tuturor datelor asociate.

Dacă sunteți părinte sau tutore legal și credeți că minorul aflat în grija dumneavoastră a furnizat date pe platforma noastră, contactați-ne imediat la contact@digitalcheck.ro.

15. Notificarea încălcărilor de securitate

În cazul unei încălcări a securității datelor (data breach), respectăm Art. 33-34 GDPR:

  • ANSPDCP va fi notificată în maximum 72 de ore de la momentul descoperirii incidentului
  • Persoanele vizate afectate vor fi informate fără întârzieri nejustificate dacă încălcarea prezintă un risc ridicat
  • Vom documenta detaliat natura încălcării, categoriile de date afectate, consecințele probabile și măsurile de remediere

16. Modificări ale politicii de confidențialitate

Ne rezervăm dreptul de a actualiza această politică. Procesul include:

  • Modificările semnificative vor fi comunicate prin email cu cel puțin 14 zile înainte de intrarea în vigoare
  • Modificările minore vor fi reflectate prin actualizarea datei din antet
  • Un banner informativ va fi afișat pe site minimum 7 zile după orice modificare semnificativă
  • Toate versiunile anterioare sunt arhivate și disponibile la cerere

17. Legislație aplicabilă și jurisdicție

Această politică este guvernată de legislația României și a Uniunii Europene. Cadrul legislativ relevant:

  • Regulamentul (UE) 2016/679 (GDPR) — Regulamentul General privind Protecția Datelor
  • Legea nr. 190/2018 — Lege privind măsuri de punere în aplicare a GDPR
  • Directiva (UE) 2022/2555 (NIS2) — Securitatea rețelelor și a sistemelor informatice
  • Directiva 2002/58/CE (ePrivacy) — Confidențialitatea comunicațiilor electronice
  • Legea nr. 506/2004 — Prelucrarea datelor în sectorul comunicațiilor electronice

Contact pentru protecția datelor

Pentru orice întrebare legată de prelucrarea datelor dumneavoastră personale:

Email general: contact@digitalcheck.ro
Responsabil date (DPO): dpo@digitalcheck.ro

Răspundem la toate solicitările în maximum 30 de zile calendaristice. Cererile de ștergere sunt procesate de regulă în 72 de ore.