Ultima actualizare: 14 iunie 2026
Această politică explică modul în care BIWizz („noi") colectează, utilizează și protejează datele cu caracter personal ale utilizatorilor săi, în conformitate cu Regulamentul (UE) 2016/679 („GDPR"), Legea nr. 190/2018 privind măsuri de punere în aplicare a GDPR, Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice și legislația fiscală română aplicabilă (Legea nr. 227/2015 — Codul fiscal, Legea nr. 207/2015 — Codul de procedură fiscală).
1. Operatorul de date
Datele dumneavoastră sunt prelucrate de:
| Denumire legală | BIWIZZ PARTNERS S.R.L. |
| CUI | 54301827 |
| Nr. Registrul Comerțului | J2026018731004 |
| Sediu social | București, Sectorul 4, Drumul Binelui nr. 7-9, 042146 |
| Email contact | contact@biwizz.ro |
| Site web | https://app.biwizz.ro |
Pentru orice întrebare legată de prelucrarea datelor dumneavoastră, ne puteți scrie la contact@biwizz.ro.
2. Datele cu caracter personal pe care le prelucrăm
În contextul utilizării BIWizz, prelucrăm:
- Date de identificare cont: nume, prenume, adresă de email, parolă (stocată hash-uit), număr de telefon (opțional).
- Date despre firma utilizatorului: denumire, CUI/CIF, număr Registrul Comerțului, sediu social, IBAN, bancă, regim TVA, cod CAEN.
- Date contractuale și financiare: facturi emise și primite, contracte, încasări/plăți, declarații fiscale, registru de casă, raport Z, contacte (clienți, furnizori).
- Date de utilizare a serviciului: jurnale de audit (cine a făcut ce, când), adrese IP, token-uri de sesiune, identificatori dispozitiv.
- Documente încărcate: facturi PDF/imagini, bonuri fiscale, contracte și alte documente justificative pe care le încărcați în platformă.
- Token-uri de integrare: token-uri OAuth pentru ANAF SPV (e-Factura), Google Drive (dacă este conectat), criptate la repaus cu AES-256-GCM.
3. Scopurile și temeiul legal al prelucrării
| Scopul | Temeiul legal |
|---|---|
| Crearea și administrarea contului, furnizarea funcționalităților platformei | Art. 6(1)(b) GDPR — executarea contractului |
| Procesarea automată a documentelor (extragere date din facturi prin AI) | Art. 6(1)(b) GDPR (executare contract) și Art. 6(1)(f) GDPR (interes legitim — eficientizarea procesului) |
| Transmiterea facturilor și declarațiilor către ANAF prin SPV / e-Factura | Art. 6(1)(c) GDPR — obligație legală (Codul fiscal, OUG 120/2021) |
| Păstrarea documentelor justificative pe durata legală | Art. 6(1)(c) GDPR — obligație legală (Legea 207/2015) |
| Securitatea platformei, prevenirea fraudei, jurnalizarea audit | Art. 6(1)(f) GDPR — interes legitim |
| Comunicări de marketing, newsletter (dacă optați explicit) | Art. 6(1)(a) GDPR — consimțământ, retractabil oricând |
| Apărarea drepturilor noastre în fața instanțelor sau autorităților | Art. 6(1)(f) GDPR — interes legitim |
4. Destinatari și sub-procesatori
Pentru a furniza serviciul, ne bazăm pe următorii prestatori („sub-procesatori") care prelucrează datele dumneavoastră în numele nostru, în baza unor acorduri scrise (DPA) și a Clauzelor Contractuale Standard (SCC) aprobate de Comisia Europeană:
| Furnizor | Rol | Locație |
|---|---|---|
| Supabase Inc. | Bază de date Postgres, autentificare, stocare fișiere | UE / SUA (AWS, Frankfurt) |
| Vercel Inc. | Hosting aplicație, CDN, funcții serverless | UE / SUA |
| Google LLC (Gemini API) | Procesare AI a documentelor — extragere date | UE / SUA (zero data retention) |
| Resend Inc. | Trimitere email tranzacționale | UE / SUA |
| PostHog | Analiză produs (statistici de utilizare a platformei) — activată exclusiv cu consimțământul dumneavoastră prin bannerul de cookie-uri | UE (eu.i.posthog.com) |
| Meta Platforms Ireland Ltd. | Marketing — măsurarea conversiilor publicitare prin Meta Pixel (operator asociat), activat exclusiv cu consimțământul dumneavoastră | UE / SUA |
| TikTok Technology Ltd. | Marketing — măsurarea conversiilor publicitare prin TikTok Pixel (operator asociat), activat exclusiv cu consimțământul dumneavoastră | UE / SUA |
| Comet ML, Inc. (Opik) | Observabilitate AI — jurnalizarea interacțiunilor cu asistentul Wizzy pentru depanare și îmbunătățirea calității (utilizatori autentificați) | SUA |
| ANAF (Agenția Națională de Administrare Fiscală) | Schimb de date pentru e-Factura și declarații | România |
Nu vindem și nu închiriem datele dumneavoastră. Datele pot fi divulgate către autorități competente doar în baza unei obligații legale (de exemplu, ANAF, instanțele de judecată, organe de urmărire penală).
5. Transferuri internaționale
Anumite date pot fi transferate în afara Spațiului Economic European (SEE), în special în Statele Unite ale Americii. În aceste cazuri, transferurile sunt protejate prin:
- Decizii de adecvare ale Comisiei Europene, acolo unde se aplică (de exemplu, EU-US Data Privacy Framework);
- Clauze Contractuale Standard (SCC) aprobate de Comisia Europeană prin Decizia 2021/914;
- Măsuri tehnice suplimentare: criptare TLS în tranzit, criptare AES-256 la repaus pentru token-uri sensibile.
6. Perioada de stocare
| Categorie de date | Perioadă de păstrare |
|---|---|
| Date cont (email, nume, parolă) | Pe durata utilizării contului + 90 de zile (perioadă de recuperare GDPR) |
| Documente fiscale (facturi, declarații, registre) | 10 ani de la încheierea exercițiului financiar — Legea 207/2015 art. 25 |
| Jurnale de audit | 10 ani — pentru conformitate fiscală și investigații de securitate |
| Token-uri OAuth (ANAF, Google Drive) | Pe durata conectării active; șterse imediat la dezconectare |
| Backup-uri criptate | 30 de zile rotative |
| Cookie-uri de sesiune | 24 de ore (sesiune autentificare) sau până la închiderea browserului |
Notă: documentele fiscale și jurnalele de audit nu pot fi șterse înainte de termenul legal de 10 ani, chiar la cerere expresă, conform obligațiilor de păstrare prevăzute în Codul de procedură fiscală. La ștergerea contului, doar datele de cont sunt șterse imediat; documentele fiscale rămân pentru perioada legală minimă, pe suport criptat și acces restricționat.
7. Drepturile dumneavoastră
În temeiul GDPR, aveți următoarele drepturi în legătură cu datele dumneavoastră:
- Dreptul de acces (Art. 15) — să obțineți o copie a datelor pe care le deținem despre dumneavoastră.
- Dreptul la rectificare (Art. 16) — să solicitați corectarea datelor inexacte.
- Dreptul la ștergere („dreptul de a fi uitat") (Art. 17) — să solicitați ștergerea, sub rezerva obligațiilor legale de păstrare a documentelor fiscale.
- Dreptul la restricționarea prelucrării (Art. 18).
- Dreptul la portabilitatea datelor (Art. 20) — exportarea datelor în format structurat (CSV/JSON). Această funcționalitate este disponibilă direct din aplicație, în secțiunea „Exporturi".
- Dreptul de opoziție (Art. 21) — la prelucrarea bazată pe interes legitim sau marketing direct.
- Dreptul de a nu face obiectul unei decizii automate (Art. 22) — să cereți intervenție umană pentru orice decizie luată exclusiv prin algoritm.
- Dreptul de a retrage consimțământul (Art. 7) — în orice moment, fără a afecta legalitatea prelucrărilor anterioare.
Pentru a exercita aceste drepturi, scrieți-ne la contact@biwizz.ro. Vom răspunde în termen de cel mult 30 de zile de la primirea cererii (termen prelungit cu maxim 60 de zile pentru cereri complexe, conform Art. 12(3) GDPR, cu informarea dumneavoastră prealabilă).
8. Decizii automate și inteligență artificială
BIWizz folosește modele de inteligență artificială (Google Gemini) pentru:
- extragerea automată de date din facturile încărcate (denumire furnizor, sume, TVA, articole);
- clasificarea contabilă sugerată (cont contabil, tip articol, deductibilitate TVA);
- detectarea documentelor duplicate și a anomaliilor.
Rezultatele acestor procesări sunt sugestii, nu decizii finale. Toate sugestiile AI sunt supuse confirmării utilizatorului înainte de a fi salvate ca documente contabile. Nu luăm decizii care produc efecte juridice sau care vă afectează semnificativ exclusiv pe baza algoritmilor AI. Aveți întotdeauna dreptul de a contesta o sugestie automată și de a solicita intervenție umană.
Documentele dumneavoastră sunt trimise la Google Gemini cu opțiunea „zero data retention" activată — Google nu reține conținutul după procesare și nu îl folosește pentru antrenarea modelelor.
9. Cookies și tehnologii similare
Folosim cookie-uri strict necesare pentru funcționarea platformei, exempte de consimțământ conform art. 4 alin. (5) din Legea 506/2004:
- Cookie-uri de autentificare (Supabase) — necesare pentru menținerea sesiunii dvs.
- Cookie-uri de protecție CSRF — pentru securitatea împotriva atacurilor cross-site.
- Cookie de stare OAuth ANAF (
spv_pending_connection) — temporar, expiră după 10 minute, semnat HMAC.
Suplimentar, numai cu consimțământul dumneavoastră — pe care îl puteți acorda sau retrage oricând din bannerul de cookie-uri (vezi butonul „Setări cookie-uri" din subsolul site-ului) — folosim:
- Cookie-uri de analiză (PostHog) pentru statistici de utilizare care ne ajută să îmbunătățim platforma.
- Cookie-uri de marketing (Meta Pixel, TikTok Pixel) pentru a măsura eficiența campaniilor publicitare și a afișa reclame relevante. Scripturile nu se încarcă și niciun cookie de marketing nu este plasat până la acceptarea explicită, iar retragerea consimțământului dezactivează aceste tehnologii.
Detaliile complete, inclusiv furnizorii și duratele de stocare, sunt în Politica de cookie-uri.
10. Securitate
Implementăm măsuri tehnice și organizatorice adecvate pentru protejarea datelor:
- criptare TLS 1.3 pentru toate transferurile de date;
- criptare AES-256-GCM la repaus pentru token-urile OAuth sensibile;
- hash-uire bcrypt a parolelor (gestionată de Supabase Auth);
- Row-Level Security (RLS) la nivel de bază de date — fiecare interogare verifică automat permisiunile utilizatorului;
- jurnalizare audit pentru toate operațiile sensibile;
- backup-uri automate criptate, retenție 30 de zile;
- acces restricționat al personalului în baza principiului need-to-know și a NDA-urilor semnate;
- monitorizare permanentă pentru detectarea breșelor de securitate.
În cazul unei breșe de date care ar putea afecta drepturile și libertățile dumneavoastră, vom notifica ANSPDCP în termen de 72 de ore conform Art. 33 GDPR și pe dumneavoastră fără întârziere nejustificată conform Art. 34 GDPR.
11. Modificări ale politicii
Putem actualiza această politică periodic, pentru a reflecta modificări legislative sau ale serviciilor noastre. Modificările substanțiale vor fi anunțate prin email cu cel puțin 30 de zile înainte de intrarea în vigoare, conform Art. 13(3) GDPR. Versiunea curentă este disponibilă întotdeauna la adresa https://app.biwizz.ro/privacy-policy.
12. Contact și reclamații
Pentru orice întrebare legată de prelucrarea datelor sau pentru exercitarea drepturilor dumneavoastră, ne puteți scrie la contact@biwizz.ro.
Aveți, de asemenea, dreptul de a depune o plângere la autoritatea de supraveghere română:
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
Adresă: B-dul G-ral. Gheorghe Magheru nr. 28-30, Sector 1, 010336 București
Telefon: +40 318 059 211
Email: anspdcp@dataprotection.ro
Website: www.dataprotection.ro