Ultima actualizare: 29 aprilie 2026
Prezenta Politică de Confidențialitate descrie modul în care Science of Life Pharma S.R.L. (denumită în continuare „PureOrganics”, „noi”, „Operatorul”) prelucrează datele cu caracter personal ale persoanelor care vizitează site-ul pureorganics.ro, plasează comenzi sau interacționează în alt mod cu serviciile noastre.
Politica este elaborată în conformitate cu Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (denumit în continuare „GDPR”), Legea nr. 190/2018 privind măsurile de punere în aplicare a GDPR, Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice și Directiva 2002/58/CE (ePrivacy).
1. Identitatea și datele de contact ale Operatorului
Denumire legală: Science of Life Pharma S.R.L.
Sediu social: Oradea, județul Bihor, România
CUI/CIF: RO49469396
Nr. Registrul Comerțului: J5/225/2024
Email pentru solicitări GDPR: info@pureorganics.ro (subiect: „GDPR”)
Persoană de contact pentru protecția datelor: reprezentantul legal al societății, prin email la adresa de mai sus
Notă privind DPO: În conformitate cu art. 37 GDPR și deciziile ANSPDCP, PureOrganics nu îndeplinește pragul de obligativitate pentru desemnarea unui Responsabil cu Protecția Datelor (DPO) (nu prelucrăm date cu caracter special pe scară largă, nu suntem autoritate publică). Cu toate acestea, am alocat o adresă de email dedicată pentru orice solicitare GDPR, monitorizată de reprezentantul legal.
2. Categoriile de date prelucrate și sursa lor
2.1 Date colectate direct de la persoana vizată
- Date de identificare și contact: nume, prenume, adresă de email, număr de telefon, adresă de livrare/facturare, județ, oraș, cod poștal.
- Date privind comenzile: produse comandate, cantitate, valoare, istoric tranzacții, metoda de plată aleasă.
- Date privind contul de utilizator: nume utilizator, parolă (stocată exclusiv sub formă de hash criptografic, niciodată în clar), preferințe.
- Date introduse în formularele de contact, recenzii, quiz-uri: mesaje, opinii, răspunsuri la întrebări.
- Date pentru newsletter: email, prenume, segmentare după interese (când o oferi voluntar).
2.2 Date colectate automat
- Date tehnice și de log: adresă IP (anonimizată în rapoarte analitice), tip browser, sistem de operare, rezoluție ecran, paginile vizitate, durata sesiunii, sursa traficului (referer).
- Cookies și tehnologii similare: identificatori plasați conform Politicii de cookies.
- Date privind tranzacțiile electronice: hash-uri și tokeni de la procesatorii de plată (NU stocăm numărul cardului, CVV-ul sau data expirării).
2.3 Date care NU sunt prelucrate
- Datele cardului bancar (PAN, CVV, expiry) — sunt introduse direct pe pagina securizată a procesatorului certificat PCI-DSS.
- Date privind starea de sănătate (categorii speciale, art. 9 GDPR) — nu solicităm informații medicale. Dacă în câmpul liber al unui mesaj/quiz sunt menționate spontan astfel de informații, le tratăm ca date sensibile, le stocăm doar atât cât este necesar pentru a răspunde și nu le folosim pentru profilare.
- Date privind copiii sub 16 ani — nu colectăm intenționat (vezi secțiunea 9).
3. Scopurile prelucrării și baza legală
| Scop | Bază legală GDPR | Date relevante |
|---|---|---|
| Procesarea comenzii, livrare, retur | Art. 6(1)(b) — executarea contractului | Identificare, contact, livrare, comenzi |
| Emiterea facturii și evidența contabilă | Art. 6(1)(c) — obligație legală (Codul Fiscal, Legea contabilității 82/1991) | Identificare, comenzi, plăți |
| Crearea și administrarea contului de client (opțional) | Art. 6(1)(a) — consimțământ (contul nu este obligatoriu pentru plasarea comenzii) | Cont, preferințe |
| Newsletter, comunicări promoționale, oferte personalizate | Art. 6(1)(a) — consimțământ; sau art. 12 alin. (2) Legea 506/2004 (soft opt-in pentru clienți existenți, produse similare) | Email, prenume, preferințe |
| Răspuns la întrebări, suport client | Art. 6(1)(b) — executare contract / Art. 6(1)(f) — interes legitim | Date de contact, conținut mesaj |
| Analiză trafic, îmbunătățire site (cookies analitice) | Art. 6(1)(a) — consimțământ | Date tehnice, evenimente |
| Marketing online, retargeting (cookies marketing) | Art. 6(1)(a) — consimțământ | Identificatori publicitari, evenimente |
| Prevenire fraudă, securitate site | Art. 6(1)(f) — interes legitim | IP, log-uri server, comportament |
| Apărare drepturi în litigii, reclamații, audit | Art. 6(1)(f) — interes legitim / Art. 6(1)(c) — obligație legală | Documente comandă, corespondență |
| Respectarea obligațiilor către autorități (ANPC, ANAF, instanțe) | Art. 6(1)(c) — obligație legală | Toate categoriile, la cerere |
Pentru prelucrările bazate pe interesul legitim, am efectuat un test de echilibrare (LIA) și am stabilit că drepturile și libertățile persoanelor vizate nu prevalează asupra interesului legitim urmărit.
4. Perioada de păstrare a datelor
| Categorie | Termen | Temei |
|---|---|---|
| Facturi și documente justificative contabile | 5 ani | Art. 25 alin. (1) Legea 82/1991, modificat prin O.G. 1/2024 |
| Situații financiare anuale | 10 ani | Art. 25 alin. (1) Legea 82/1991 |
| State de salarii | 50 ani | Art. 25 alin. (1) Legea 82/1991 (excepție) |
| Documente justificative pentru garanție și retragere | 3 ani de la încheierea contractului | Art. 2517 Cod Civil (prescripție generală) |
| Date cont client (inactiv) | 3 ani de la ultima activitate, apoi anonimizate | Interes legitim / minimizare |
| Date newsletter | Până la dezabonare | Consimțământul retragerea consimțământului |
| Cookies analitice și marketing | Conform Politicii de cookies (max. 24 luni) | Consimțământ |
| Log-uri server (acces, erori) | 90 de zile | Securitate, interes legitim |
| Înregistrări audio/scrise ale comunicărilor cu suportul | 2 ani | Calitatea serviciului, prevenire dispute |
| Date privind reclamații ANPC/SAL/instanțe | Pe durata litigiului + 3 ani | Apărare drepturi, interes legitim |
După expirarea termenelor, datele sunt șterse sau anonimizate ireversibil.
5. Destinatarii datelor
5.1. Datele sunt prelucrate de personalul autorizat al PureOrganics pe baza principiului „need to know”.
5.2. Pentru îndeplinirea scopurilor declarate, putem transmite date către următoarele categorii de persoane împuternicite (procesatori), cu care am încheiat contracte conforme cu art. 28 GDPR:
- Operatori de curierat (FAN Courier, Sameday, Cargus sau similar) — primesc nume, telefon, adresă, valoarea ramburs, exclusiv pentru livrare.
- Procesator de plăți online (entitate certificată PCI-DSS, găzduită în UE) — pentru autorizarea plăților cu cardul.
- Furnizor de hosting și CDN (server în UE) — găzduiește baza de date și fișierele site-ului.
- Furnizor de email tranzacțional și newsletter — pentru transmiterea confirmărilor și a comunicărilor opt-in.
- Sistem de facturare și SPV / RO e-Factura — pentru emiterea documentelor fiscale.
- Google LLC / Google Ireland Ltd. — Google Analytics 4, Google Ads, cu IP anonimizat și Consent Mode v2.
- Meta Platforms Ireland Ltd. — Meta Pixel/CAPI, doar dacă utilizatorul a acceptat cookies de marketing.
- Microsoft Ireland Operations Ltd. — Microsoft Advertising / UET, doar cu consimțământ.
- TikTok Technology Ltd. — TikTok Pixel, doar cu consimțământ.
- Furnizori de instrumente de recenzii verificate — pentru colectarea feedback-ului post-comandă.
- Consultanți juridici, contabili, auditori — în limita necesității și sub obligație de confidențialitate.
5.3. Către autoritățile publice (ANAF, ANPC, ANSPDCP, instanțe, organe de urmărire penală) datele se transmit doar la cerere legală, în baza art. 6(1)(c) GDPR.
5.4. NU vindem datele personale către terți pentru marketing.
6. Transferuri internaționale de date
6.1. Procesarea de bază are loc în Uniunea Europeană / Spațiul Economic European.
6.2. Pentru anumite servicii (ex: Google Analytics, Meta Pixel), pot exista transferuri către Statele Unite. Aceste transferuri se efectuează în temeiul:
- Deciziei de adecvare a Comisiei Europene din 10 iulie 2023 privind cadrul UE-SUA pentru protecția datelor („EU-US Data Privacy Framework”), pentru entitățile certificate;
- Clauzelor Contractuale Standard (SCC) aprobate prin Decizia (UE) 2021/914;
- Măsuri suplimentare tehnice (criptare, pseudonimizare, anonimizare IP).
6.3. Persoana vizată poate solicita o copie a garanțiilor aplicate, prin email la info@pureorganics.ro.
7. Drepturile persoanei vizate
În conformitate cu Capitolul III GDPR (art. 12-23), beneficiezi de următoarele drepturi:
- Dreptul de acces (art. 15) — să afli ce date prelucrăm despre tine și să primești o copie.
- Dreptul la rectificare (art. 16) — corectarea datelor inexacte sau incomplete.
- Dreptul la ștergere („dreptul de a fi uitat”) (art. 17) — cu excepția datelor obligatorii legal (ex: facturi care trebuie păstrate 10 ani).
- Dreptul la restricționarea prelucrării (art. 18) — blocare temporară în condițiile legii.
- Dreptul la portabilitatea datelor (art. 20) — primirea datelor într-un format structurat și transferul către un alt operator.
- Dreptul la opoziție (art. 21) — în special pentru prelucrările bazate pe interes legitim sau pentru marketing direct (drept absolut).
- Dreptul de a nu face obiectul unei decizii automate (art. 22) — confirmăm că nu luăm decizii cu efecte juridice exclusiv pe baza prelucrării automate.
- Dreptul de a-ți retrage consimțământul oricând, pentru prelucrările bazate pe consimțământ (art. 7 alin. (3)). Retragerea nu afectează legalitatea prelucrării anterioare.
- Dreptul de a depune plângere la ANSPDCP (art. 77).
Cum exerciți drepturile: trimite o solicitare la info@pureorganics.ro cu subiectul „GDPR — [tipul cererii]”. Răspundem gratuit în maxim 30 de zile de la primirea cererii, conform art. 12 alin. (3) GDPR. Termenul poate fi prelungit cu maxim 2 luni în cazul cererilor complexe, cu notificare prealabilă. Pentru cereri vădit nefondate, repetitive sau abuzive, putem percepe o taxă rezonabilă sau refuza cererea (art. 12 alin. (5)).
Verificarea identității: pentru a preveni divulgarea datelor către terți, putem solicita confirmări suplimentare ale identității (ex: răspuns de pe adresa de email asociată contului, verificare nr. comandă).
Plângere la autoritatea de supraveghere:
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
B-dul Gheorghe Magheru nr. 28-30, sector 1, București, cod poștal 010336
Telefon: +40.318.059.211
Email: anspdcp@dataprotection.ro
Web: dataprotection.ro
8. Măsuri de securitate
În conformitate cu art. 32 GDPR, aplicăm măsuri tehnice și organizatorice adecvate riscurilor:
- Conexiune securizată HTTPS (TLS 1.2+) pe toate paginile.
- Bază de date pe servere în UE, cu criptare în repaus și backup regulat.
- Hashing criptografic al parolelor (algoritm modern, salt unic per utilizator); nu stocăm și nu putem citi parolele în clar.
- Acces pe bază de roluri (principiul minimizării și „least privilege”).
- Autentificare multi-factor pentru contul administrativ.
- Firewall aplicație web și protecție DDoS.
- Politică internă de gestionare a incidentelor — în caz de breșă de date care prezintă risc pentru drepturile și libertățile persoanelor, notificăm ANSPDCP în 72 de ore conform art. 33 GDPR și, după caz, persoanele vizate (art. 34).
- Audituri periodice de securitate și reviewuri ale procesatorilor.
9. Decizii automate și profilare
Nu luăm decizii care produc efecte juridice asupra persoanei vizate sau care o afectează în mod similar într-o măsură semnificativă, exclusiv pe baza prelucrării automate (art. 22 GDPR). Recomandările de produse afișate pe site (cross-sell, „funcționează mai bine împreună”, rezultate quiz) sunt sugestii non-obligatorii și nu intră sub incidența art. 22.
10. Date privind minorii
Site-ul nu este destinat persoanelor sub 16 ani. Conform art. 8 GDPR și art. 6 din Legea 190/2018, prelucrarea datelor copiilor sub 16 ani în legătură cu serviciile societății informaționale se face numai cu acordul titularului răspunderii părintești. Dacă un părinte/tutore constată că am colectat date despre un minor sub 16 ani, ne poate notifica la info@pureorganics.ro și vom șterge datele fără întârziere.
11. Date primite de la terți
Putem primi date despre tine de la:
- Procesatori de plăți (status tranzacție, fără date card).
- Curieri (status livrare, încercări de livrare).
- Platforme de recenzii verificate (când îți inviti dovada cumpărării).
- Surse publice (Registrul Comerțului, în cazul B2B).
12. Modificarea Politicii
Vom actualiza această Politică ori de câte ori intervin modificări în legislație, în categoriile de date prelucrate sau în relația cu procesatorii. Versiunea actualizată este publicată pe această pagină, cu mențiunea datei. Pentru modificări substanțiale, notificăm în plus prin email clienții cu cont activ, cu cel puțin 30 de zile înainte de intrarea în vigoare.
13. Contact
Email unic de contact: info@pureorganics.ro (subiect recomandat: „GDPR — [tipul cererii]”)
Adresă poștală: Science of Life Pharma S.R.L., Oradea, județul Bihor, România
Autoritatea de supraveghere: ANSPDCP — dataprotection.ro