Politica de confidențialitate

• MEGA PROMOTING S.R.L., IDNO 1019600021765, înregistrată în Republica Moldova.
• Sediu: s. Dănceni, r-l Ialoveni, MD-6814, Republica Moldova.
• Responsabil cu protecția datelor (DPO): dpo@megapromoting.com.
• Brand operațional: Router by Mega Promoting (router.megapromoting.com), gateway AI (acces unificat OpenAI / Anthropic / Google / xAI / Mistral via api.megapromoting.com) cu facturare locală RM.

• Cont: email, nume opțional, parolă (hash bcrypt), data creării, MFA secret (opțional), conturi OAuth conectate (Google, Telegram).
• Plăți: token-uri Stripe (NU stocăm date de card — Stripe procesează tot). Suma, moneda, data, factura, IBAN companie pentru e-Factura (după caz).
• Date companie pentru facturare: denumire, IDNO, IBAN, adresă juridică (necesare e-Factura MD conform Legii contabilității RM).
• Operațional: IP-ul la login + apeluri API (audit 90 zile), user-agent, log-uri rate limit, sesiuni active.
• Apeluri API prin /v1/* (proxy LiteLLM): stocăm doar metadata per cerere — model, tokens consumați (input / output / cached), latență, status code, alias cheie, timestamp, cost. NU stocăm conținutul promptului sau al răspunsului — bodies sunt transmise în tranzit către furnizorul upstream (OpenAI, Anthropic, Google etc.) și descărcate din memoria gateway-ului imediat după streaming. Excepție: dacă activezi explicit per-cheie modul „debug capture" în setări, salvăm temporar request/response pentru maxim 14 zile doar pe acea cheie.
• Conversații playground și produse chat (mesaje stocate): dacă folosești playground-ul, chat-ul integrat sau orice produs construit deasupra (ex. widget-uri AI livrate clienților noștri), conținutul mesajelor ESTE stocat persistent în baza noastră de date pentru a-ți permite să revii la istoricul conversațiilor. Câmpul messages.content poate conține până la 50 KB per mesaj (text + tool calls). Retenție: 90 zile inactiv → soft-archived (mutate într-un tabel rece, nu mai apar în UI); 1 an → hard-delete definitiv. Poți dezactiva salvarea oricând din Setări → Privacy → Salvare conversații (toggle în implementare, Sprint 2 — 2026-Q2).
• Atașamente conversații (imagini, fișiere, audio): stocate pe MinIO (UE/MD) pentru durata conversației. La ștergerea unei conversații, atașamentele sunt păstrate 90 zile pentru recuperare accidentală, apoi hard-delete definitiv.
• Contact form: nume, email, telefon opțional, denumire + IDNO firmă (la persoană juridică, IDNO opțional), mesaj, scop, IP/user-agent/referer pentru audit. Retenție: 24 luni.
• Comunicări: emailuri trimise/primite pe conturile de suport (dpo, sales, contracte) pentru istoricul ticket-urilor și auditul răspunsurilor GDPR.

• Executare contract (Art. 6(1)(b) GDPR / Art. 5 Legea RM 133/2011): cont user, livrare API, billing, suport tehnic.
• Obligație legală (Art. 6(1)(c) GDPR): facturare e-Factura (mfinante.gov.md), contabilitate 7 ani, AML/KYC unde aplicabil, raportare BNM (după caz).
• Consimțământ explicit (Art. 6(1)(a) GDPR / Art. 5 Legea RM 133/2011): contact form (separat: procesare cerere vs marketing), emailuri promoționale, cookies non-esențiale.
• Interes legitim (Art. 6(1)(f) GDPR, test de proporționalitate efectuat): audit logs 90 zile pentru securitate, rate limiting anti-abuse, telemetrie agregată pentru îmbunătățire produs.

• Autentificare: verificare login, sesiuni JWT, MFA challenge.
• Facturare: calculul costurilor, generarea e-Facturilor pentru companii MD, raportare către mfinante.gov.md.
• Suport: răspuns la tickete, debugging incidente, audit de securitate.
• Conformitate: respectarea obligațiilor legale (fiscale, AML, GDPR, Legea RM 133/2011 / 195/2024).
• Îmbunătățire produs: metrici agregate, anonimizate, NU conținutul prompturilor.
• Transparență AI (EU AI Act Art. 50, în vigoare 2 aug 2026): orice interfață chatbot pe care o livrăm informează clar că userul interacționează cu un AI.

Toți sub-procesatorii sunt legați prin DPA scris conform Art. 28 GDPR. Lista de mai jos este sursa unică de adevăr și este identică cu cea publicată în Acordul de prelucrare a datelor (DPA).

• mfinante.gov.md (e-Factura): denumire companie, IDNO, sume — doar pentru companii MD înregistrate ca operator e-Factura (vezi tabel).
• Autorități competente: doar la cerere legală scrisă, conform legislației RM (CNPDCP, organe de cercetare, instanțe).
• NU vindem date. NU partajăm cu rețele publicitare. NU folosim Google Analytics sau alte tool-uri third-party de tracking comportamental.

• USA (Stripe, OpenAI, Anthropic, xAI, Google, Microsoft): acoperit de EU-U.S. Data Privacy Framework (DPF) — decizie adecvare CE iulie 2023 — sau Standard Contractual Clauses (SCC) cu Transfer Impact Assessment unde DPF nu este aplicabil.
• UE (Infobip Croația, Mistral Franța): cadru GDPR direct, nu necesită garanții suplimentare.
• RM ↔ UE: Republica Moldova nu are încă decizie de adequacy formală; Acordul de Asociere UE-RM și transpunerea GDPR prin Legea 195/2024 (în vigoare 23 aug 2026) reprezintă pași majori spre adequacy. Transferurile UE → MD sunt acoperite de SCC unde necesar.

• Postgres: bază de date pe servere proprii în Republica Moldova (Chișinău) cu replica EU (OVH Strasbourg). Nu pe servere USA.
• MinIO (object storage): avatare, backup-uri, fișiere user — local MD + replica EU.
• Backup-uri: zilnice, encryption at rest (AES-256), retenție 30 zile (max 60 zile pentru propagare delete).

• TLS 1.3 obligatoriu pentru toate conexiunile (HSTS preload).
• Encryption at rest AES-256 pentru bază de date + backup-uri.
• Parole stocate ca hash bcrypt (cost 12).
• Sesiuni JWT cu rotație 7 zile + revocare instant la /settings.
• MFA TOTP obligatoriu pentru conturi cu chei API (din mai 2026).
• Row-Level Security (RLS) Postgres la nivel de tenant.
• Audit log 90 zile pentru orice acțiune sensibilă (login, cheie, billing).
• Notificare breach 72h către CNPDCP și utilizatori afectați (conform Art. 33 GDPR / Legea RM 195/2024 după 23 aug 2026).

• Cont activ: cât timp contul este folosit + 30 zile grace period post-ștergere.
• Facturi și date contabile: 7 ani (obligație fiscală RM — Codul Fiscal, Legea contabilității).
• Contact form: 24 luni de la submit, după care soft-delete automat (PII este șters; pastrate doar metrici anonime).
• Log-uri audit: 90 zile.
• Backup-uri: ștergerea propaga în backup-uri în max. 60 zile.

Conform Regulamentului UE 2016/679 (GDPR) și Legii RM 133/2011 (înlocuită cu Legea 195/2024 din 23 aug 2026):

• Drept de informare (ce, de ce, cum)
• Drept de acces (copie a datelor tale)
• Drept de rectificare (corectare date inexacte)
• Drept de ștergere / „forgotten" (când scop nu mai există)
• Drept de restricționare (limitare temporară)
• Drept de portabilitate (export format standard)
• Drept de opoziție (la marketing, profiling)
• Drept de retragere consimțământ oricând, fără penalitate
• Drept la non-decizie automată (Art. 22 GDPR)
• Drept de plângere la CNPDCP (datepersonale.md)

Cerere DPO: dpo@megapromoting.com — răspundem în max. 30 zile (extensibil 2 luni motivat). Vezi și /legal/cnpdcp.

• Sesiune autentificare (esențial): cookie router_token SameSite=Lax + Secure, expirare 30 zile.
• Stripe checkout (esențial): cookies setate de Stripe pe domeniul lor (vezi stripe.com/cookies).
• Tema UI (funcțional): preferința dark/light în localStorage.
• Analytics: NU folosim Google Analytics sau alt tool de tracking third-party. Folosim metrici proprii fără identificatori persistenți.
• Marketing: niciun cookie de marketing third-party setat fără consimțământ explicit.

• Router by MP livrează acces la modele AI generative de la furnizori upstream (OpenAI, Anthropic, Google, xAI, Mistral). Suntem clasificați ca downstream provider când oferim acces API către alți developeri și deployer când operăm interfețe chatbot (widget-uri).
• Conform Art. 50 AI Act (aplicabil 2 august 2026): orice interfață conversațională pe care o livrăm informează clar userul că interacționează cu un AI.
• Outputurile sintetice (imagini, audio generat) vor purta marcaj machine-readable conform standardelor publicate de Comisia Europeană.
• NU folosim datele clienților noștri pentru antrenare modele AI. Conținutul prompturilor este transmis upstream doar pentru a obține răspunsul și NU este stocat persistent.

Data Protection Officer și punct unic de contact pentru orice cerere GDPR sau Legea RM 133/2011 / 195/2024:

dpo@megapromoting.com
MEGA PROMOTING S.R.L., s. Dănceni, r-l Ialoveni, MD-6814, Republica Moldova
IDNO 1019600021765

Autoritate de supraveghere RM: Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), str. Serghei Lazo 48, Chișinău MD-2004. Procedură plângere: în maxim 6 luni de la aflarea încălcării.

Notificare CNPDCP a operatorului: în proces de înregistrare oficială (mai 2026). Numărul de înregistrare va fi publicat aici imediat după confirmare.