Politica de Confidențialitate

Ultima actualizare: 13 iunie 2026

1. Introducere

Oliniuc Bogdan-Nicolae PFA — persoană fizică autorizată, înregistrată în România — operează aplicația mobilă Kronly („Aplicația") sub marca „Kronly" („Kronly", „noi" sau „al nostru"). Kronly este un instrument de management al șantierelor pentru iOS și Android care permite managerilor și muncitorilor din construcții să ponteze timpul, să gestioneze echipele, să proceseze cererile de materiale și să documenteze șantierele cu fotografii.

Această Politică de Confidențialitate explică modul în care colectăm, utilizăm, stocăm și protejăm datele dumneavoastră personale atunci când utilizați Aplicația Kronly și orice servicii asociate. Ne angajăm să vă protejăm confidențialitatea și să gestionăm datele dumneavoastră în conformitate cu Regulamentul General privind Protecția Datelor (GDPR — Regulamentul (UE) 2016/679), Legea nr. 190/2018 din România și alte legislații aplicabile române și europene privind protecția datelor.

Prin utilizarea Kronly, confirmați că ați citit și înțeles această Politică de Confidențialitate. Dacă nu sunteți de acord cu practicile descrise aici, vă rugăm să nu utilizați Aplicația.

2. Operator și Împuternicit

2.1 Rolul Nostru ca Operator de Date

Pentru următoarele categorii de date, Kronly acționează ca operator de date (conform definiției din Art. 4(7) GDPR):

  • Date de înregistrare și autentificare ale contului
  • Informații despre dispozitiv și token-uri de notificări push
  • Date de utilizare și jurnale de erori
  • Date legate de operarea și securizarea Aplicației

Operatorul de date este:

Oliniuc Bogdan-Nicolae PFA (Persoană Fizică Autorizată)
Sediu profesional: Bd. Bucureștii Noi nr. 136, parter, ap. 5, Sector 1, București, România
Nr. de ordine în registrul comerțului: F2022004979409  ·  EUID: ROONRC.F2022004979409
CUI: 46976220
Email: privacy@kronly.eu

2.2 Rolul Nostru ca Împuternicit

Atunci când Kronly este utilizat de o organizație pentru managementul personalului (pontaj, verificarea proximității, atribuiri de sarcini, cereri de materiale), organizația angajatoare (reprezentată de titularul contului de Manager) este operatorul de date pentru datele angajaților. În acest context, Kronly acționează ca persoană împuternicită (conform definiției din Art. 4(8) GDPR) care prelucrează date în numele angajatorului.

Kronly oferă un Acord de Prelucrare a Datelor (DPA) conform Art. 28 GDPR tuturor organizațiilor angajatoare care utilizează Aplicația pentru managementul personalului. Puteți consulta Acordul de Prelucrare a Datelor online; pentru a solicita o copie contrasemnată, contactați-ne la privacy@kronly.eu.

2.3 Responsabil cu Protecția Datelor

La nivelul actual al operațiunilor noastre, am stabilit că numirea unui Responsabil cu Protecția Datelor (DPO) nu este necesară conform Art. 37 GDPR. Vom reevalua această determinare pe măsură ce operațiunile noastre cresc. Pentru toate întrebările privind protecția datelor, contactați-ne la privacy@kronly.eu.

Dacă aveți întrebări despre această Politică de Confidențialitate sau despre prelucrarea datelor dumneavoastră personale, contactați-ne la adresa de e-mail de mai sus.

3. Date pe Care le Colectăm

Colectăm și prelucrăm următoarele categorii de date personale:

3.1 Informații despre Cont

  • Numele complet
  • Numărul de telefon (parte a datelor dumneavoastră de contact profesionale; poate fi folosit și pentru autentificare dacă autentificarea pe bază de telefon va fi activată în viitor)
  • Adresa de e-mail
  • Furnizorul de autentificare (Apple, Google sau Facebook) și identificatorii de cont asociați
  • Codul Numeric Personal (CNP)opțional. Numărul național de identificare din România, colectat exclusiv pentru generarea rapoartelor de salarizare destinate contabilului angajatorului dumneavoastră (vedeți Secțiunea 5.6). Poate fi introdus de dumneavoastră sau, în numele dumneavoastră, de către managerul organizației. Îl puteți adăuga, modifica sau elimina oricând; lăsarea câmpului necompletat nu vă limitează utilizarea Aplicației.

3.2 Date Organizaționale

  • Numele companiei sau organizației
  • Rolul dumneavoastră în organizație (Manager sau Muncitor)
  • Apartenența la organizație și atribuirile de echipă

3.3 Date de Pontaj

  • Marcajele temporale de intrare și ieșire
  • Duratele sesiunilor de lucru
  • Timpii și duratele pauzelor
  • Starea de aprobare a pontajului

3.4 Rezultatele Verificării Proximității

  • O valoare booleană indicând dacă muncitorul se afla în rază sau în afara razei șantierului la momentul înregistrării intrării sau ieșirii
  • Raza configurată a șantierului la momentul verificării proximității

Consultați Secțiunea 7 pentru informații detaliate despre modul în care funcționează verificarea proximității și ce date sunt — și nu sunt — colectate.

3.5 Fotografii

  • Fotografii de documentare a șantierului încărcate de utilizatori
  • Fotografii atașate cererilor de materiale

Fotografiile sunt încărcate fără metadate GPS. Datele de localizare încorporate în fotografii (tag-urile GPS EXIF) sunt eliminate înainte de transmitere și nu sunt niciodată trimise sau stocate pe serverele noastre.

3.6 Informații despre Dispozitiv

  • Token-uri de dispozitiv pentru notificări push (token-uri APNs)
  • Tipul și modelul dispozitivului
  • Versiunea sistemului de operare
  • Numele dispozitivului și înregistrările sesiunilor active (identificatorul sesiunii, data creării și data ultimei utilizări) — utilizate pentru funcția de autentificare pe mai multe dispozitive, astfel încât să vă puteți vedea dispozitivele conectate și să deconectați oricare dintre ele

3.7 Date de Utilizare

  • Utilizarea funcționalităților și interacțiunile cu aplicația
  • Starea sincronizării și informații de conectivitate
  • Jurnale de erori și rapoarte de crash — jurnalele de server păstrate pe propria noastră infrastructură din UE pot include adresa dumneavoastră IP și identificatorul de cont; rapoartele de eroare trimise furnizorului nostru de monitorizare a erorilor conțin doar detalii tehnice și niciodată numele, adresa de e-mail, adresa IP sau identificatorul dumneavoastră de cont (vedeți Secțiunea 9.3)

3.8 Cookie-uri și Analiză a Site-ului Web

Site-ul nostru web (kronly.eu / kronly.ro) utilizează un instrument de analiză prietenos cu confidențialitatea, găzduit pe serverele noastre, pentru a înțelege utilizarea agregată — de exemplu, ce pagini sunt vizitate și site-ul de proveniență. Acest instrument rulează pe propriile noastre servere din Uniunea Europeană; nu trimitem aceste date către o rețea publicitară terță. Înregistrează informații tehnice limitate: paginile vizualizate, adresa URL de proveniență și tipul general de browser, tipul dispozitivului și țara aproximativă (derivată din adresa dumneavoastră IP, pe care nu o stocăm într-o formă care să vă identifice). Prelucrăm aceste date în baza interesului nostru legitim (Art. 6(1)(f) GDPR) de a măsura și îmbunătăți site-ul. Nu utilizăm cookie-uri publicitare, nu vă urmărim pe alte site-uri și nu vindem aceste date.

Singurul script terț de pe site-ul nostru este widget-ul de chat live Brevo (vedeți Secțiunea 9.3), care se încarcă — și plasează un cookie funcțional de sesiune — doar după ce dați clic pe „Începe conversația". Niciun cookie de analiză sau de chat nu este plasat ca o condiție prealabilă pentru simpla citire a paginilor noastre.

Vă puteți opune analizei site-ului în orice moment contactându-ne la privacy@kronly.eu și puteți bloca scripturile de analiză folosind setările de confidențialitate ale browserului sau o extensie de blocare a conținutului.

Renunțare cu un clic. De asemenea, puteți dezactiva analiza site-ului direct în acest browser. Alegerea dumneavoastră este salvată local pe acest dispozitiv (în spațiul de stocare al browserului, nu un cookie) și se aplică doar acestui browser:

4. Date pe Care NU le Colectăm

Kronly este conceput cu o abordare de tip confidențialitate prin design. Următoarele date nu sunt în mod explicit colectate, transmise sau stocate pe serverele noastre:

  • Coordonate GPS — Locația dumneavoastră precisă (latitudine și longitudine) nu părăsește niciodată dispozitivul. Toată procesarea GPS pentru verificarea proximității are loc pe dispozitiv.
  • Urmărire continuă a localizării — Nu monitorizăm locația dumneavoastră în fundal, în timpul orelor de lucru, între evenimentele de pontaj sau în orice alt moment.
  • Metadate GPS din fotografii — Datele de localizare EXIF sunt eliminate din fotografii înainte de încărcare. Nu știm unde au fost făcute fotografiile.
  • Date biometrice — Nu colectăm amprente, date de recunoaștere facială sau orice alți identificatori biometrici.
  • Date personale ale dispozitivului — Nu accesăm contactele, calendarul, mesajele, istoricul de navigare sau orice alte date personale de pe dispozitivul dumneavoastră, în afara celor enumerate în Secțiunea 3.

Prelucrăm datele dumneavoastră personale pe baza următoarelor temeiuri legale conform Articolului 6 GDPR:

5.1 Executarea unui Contract (Art. 6(1)(b) GDPR)

Prelucrarea este necesară pentru executarea contractului între dumneavoastră și Kronly pentru utilizarea Aplicației Kronly. Aceasta include:

  • Crearea și autentificarea contului
  • Managementul echipei și apartenența la organizație
  • Procesarea cererilor de materiale
  • Atribuirea și managementul sarcinilor
  • Documentarea foto a șantierelor
  • Sincronizarea datelor între dispozitive

5.2 Interese Legitime (Art. 6(1)(f) GDPR)

Prelucrarea este necesară pentru interesele noastre legitime, care includ:

  • Îmbunătățirea și menținerea calității serviciului nostru
  • Asigurarea securității și integrității Aplicației (prevenirea fraudei, limitarea accesului)
  • Analizarea datelor de utilizare anonimizate pentru a îmbunătăți experiența utilizatorului
  • Furnizarea suportului tehnic și rezolvarea problemelor

Aveți dreptul de a vă opune prelucrării bazate pe interese legitime. Consultați Secțiunea 11 pentru detalii.

5.3 Consimțământ (Art. 6(1)(a) GDPR)

Pentru anumite activități de prelucrare, ne bazăm pe consimțământul dumneavoastră explicit. Puteți retrage consimțământul în orice moment, fără a afecta legalitatea prelucrării efectuate anterior. Prelucrarea bazată pe consimțământ include:

  • Notificări push (memento-uri de pontaj, alerte de aprobare, actualizări de echipă)

5.4 Obligație Legală (Art. 6(1)(c) GDPR)

Putem prelucra datele dumneavoastră acolo unde este necesar pentru a respecta o obligație legală la care Kronly este supusă, cum ar fi reglementările fiscale sau contabile, sau ca răspuns la o cerere legală validă din partea unei autorități competente.

5.5 Notă privind Datele de Pontaj și Verificare a Proximității

Atunci când Kronly este utilizat de un angajator pentru pontajul personalului, temeiul legal pentru prelucrarea datelor de pontaj și a rezultatelor verificării proximității este stabilit de angajator (în calitate de operator), nu de Kronly (în calitate de împuternicit). Temeiul legal al angajatorului va fi de obicei:

  • Obligație legală (Art. 6(1)(c)) — Codul Muncii din România (Art. 119) obligă angajatorii să mențină evidența timpului de lucru.
  • Interese legitime (Art. 6(1)(f)) — Angajatorul are un interes legitim în verificarea prezenței personalului la șantiere.

Important: Consimțământul angajatului nu este în general un temei legal valid pentru monitorizarea impusă de angajator din cauza dezechilibrului de putere în relația de muncă (conform Opiniei EDPB 2/2017 și Legii nr. 190/2018 din România). Angajatorii nu ar trebui să se bazeze pe consimțământul angajaților ca singur temei legal pentru implementarea funcționalităților de pontaj ale Kronly.

5.6 Codul Numeric Personal (CNP)

Atunci când furnizați un CNP (Cod Numeric Personal), Kronly îl prelucrează exclusiv pentru generarea rapoartelor de salarizare destinate contabilului angajatorului dumneavoastră. Temeiul legal este:

  • Obligație legală (Art. 6(1)(c) GDPR) și/sau executarea unui contract (Art. 6(1)(b) GDPR) — reglementările române privind salarizarea, taxele și contabilitatea impun CNP-ul pentru identificarea unui angajat în evidențele de salarizare și fiscale.

În concordanță cu Secțiunea 5.5, nu ne bazăm pe consimțământul angajatului ca temei pentru prelucrarea CNP-ului: într-o relație de muncă, consimțământul nu este în general acordat în mod liber (Ghidul EDPB 05/2020 privind consimțământul; Legea nr. 190/2018 din România), iar CNP-ul poate fi introdus de managerul dumneavoastră în numele dumneavoastră, caz în care niciun consimțământ al dumneavoastră nu s-ar putea aplica. Acceptarea Termenilor și a acestei Politici de confidențialitate la crearea contului reprezintă acceptare contractuală și luare la cunoștință a acestei notificări — nu reprezintă temeiul legal pentru prelucrarea CNP-ului dumneavoastră.

Garanții (Legea nr. 190/2018 din România, Art. 4 — numere naționale de identificare). Întrucât CNP-ul este un număr național de identificare de aplicabilitate generală, aplicăm garanții specifice: este opțional și colectat doar în scopul de raportare salarială descris mai sus (minimizarea datelor); accesul este restricționat — în cadrul organizației dumneavoastră, CNP-ul este vizibil doar managerilor/administratorilor și dumneavoastră, nu este niciodată afișat altor lucrători și nu este utilizat în niciun alt scop în afara exportului de salarizare; este transmis prin conexiuni criptate (TLS/HTTPS) și stocat pe servere din Uniunea Europeană; și este păstrat conform Secțiunii 10. O înregistrare scrisă a acestei evaluări a temeiului legal este menținută intern.

5.7 Informații Atunci Când Datele Sunt Furnizate de Angajatorul Dumneavoastră (Art. 14 GDPR)

Anumite date pot fi introduse în Kronly în numele dumneavoastră de către managerul organizației, nu direct de dumneavoastră — cel mai frecvent CNP-ul și, în unele cazuri, numele sau numărul de telefon. Atunci când datele dumneavoastră cu caracter personal sunt obținute de la angajatorul dumneavoastră, nu de la dumneavoastră, Articolul 14 GDPR impune să fiți informat cu privire la următoarele:

  • Sursa datelor — angajatorul dumneavoastră (organizația care v-a invitat în Kronly), acționând printr-un cont de manager sau administrator.
  • Categoriile de date vizate — CNP-ul dumneavoastră și, dacă este cazul, numele și numărul de telefon.
  • Scopul — generarea rapoartelor de salarizare pentru contabilul angajatorului dumneavoastră și menținerea evidențelor de personal pe care angajatorul este obligat să le păstreze (vedeți Secțiunea 6).
  • Temeiul legal — obligație legală (Art. 6(1)(c) GDPR) și/sau executarea unui contract (Art. 6(1)(b) GDPR); nu consimțământul (vedeți Secțiunea 5.6).
  • Destinatari — angajatorul dumneavoastră și contabilul desemnat de acesta pentru salarizare; în afara furnizorilor de servicii enumerați în Secțiunea 9.3, nu există alți destinatari. Nu vindem aceste date.
  • Retenție — conform Secțiunii 10.
  • Drepturile dumneavoastră — acces, rectificare, ștergere, restricționare, opoziție și portabilitate, conform Secțiunii 11, inclusiv dreptul de a depune o plângere la autoritatea de supraveghere din România (ANSPDCP).

Responsabilitatea operatorului. Pentru datele angajaților introduse de un manager, angajatorul dumneavoastră este operatorul de date și este responsabil să vă informeze conform Art. 14; Kronly acționează ca persoană împuternicită în numele angajatorului (vedeți Secțiunea 2.2). Furnizăm această notificare aici din motive de transparență și punem la dispoziția angajatorilor un model de notificare conform Art. 14 în Ghidul DPIA pentru Angajatori și Modele de Notificări, pentru a-și informa direct personalul. Atunci când un manager introduce datele dumneavoastră, aplicația îi solicită să confirme că este autorizat să furnizeze aceste date și că v-a informat conform cerințelor.

6. Cum Utilizăm Datele

Utilizăm datele dumneavoastră personale în următoarele scopuri:

6.1 Furnizarea Serviciului

  • Facilitarea pontajului cu verificarea proximității pe dispozitiv
  • Facilitarea managementului echipei, inclusiv invitații, cereri de alăturare și atribuiri de roluri
  • Procesarea și urmărirea cererilor de materiale
  • Managementul sarcinilor și al atribuirilor de lucru
  • Stocarea și afișarea fotografiilor de documentare a șantierului
  • Sincronizarea datelor între dispozitive și între manageri și muncitori

6.2 Comunicări

  • Trimiterea notificărilor push pentru memento-uri de pontaj, alerte de aprobare și actualizări de echipă
  • Trimiterea e-mailurilor tranzacționale de cont (de exemplu, resetarea parolei și confirmarea ștergerii contului)

6.3 Îmbunătățirea Serviciului

  • Analizarea tiparelor de utilizare anonimizate pentru a îmbunătăți Aplicația
  • Identificarea și rezolvarea problemelor tehnice

Nu utilizăm datele dumneavoastră personale, Conținutul Utilizator sau fotografiile pentru a antrena modele de machine learning sau inteligență artificială.

Nu desfășurăm procese decizionale automatizate, inclusiv crearea de profiluri, care să producă efecte juridice sau efecte similare semnificative asupra dumneavoastră (Art. 22 GDPR). Aprobarea pontajelor, a cererilor de materiale și a cererilor de alăturare este întotdeauna decisă de managerul dumneavoastră — niciodată automat.

6.4 Securitate

  • Prevenirea și detectarea fraudei
  • Limitarea accesului pentru prevenirea abuzurilor
  • Autentificarea utilizatorilor și verificarea permisiunilor de acces

7. Verificarea Proximității (Pe Dispozitiv)

Kronly utilizează o abordare de tip confidențialitate prin design pentru verificarea proximității. Iată exact cum funcționează:

7.1 Cum Funcționează

Când înregistrați intrarea sau ieșirea, Aplicația Kronly solicită poziția GPS a dispozitivului dumneavoastră. Aplicația compară apoi poziția dumneavoastră cu limita șantierului configurat de managerul organizației. Această comparație este efectuată integral pe dispozitivul dumneavoastră. Coordonatele GPS sunt procesate local și nu sunt niciodată transmise către serverele Kronly.

7.2 Ce Este Trimis către Serverele Noastre

După verificarea pe dispozitiv, doar următoarele date non-localizare sunt transmise:

  • O valoare booleană: dacă vă aflați în rază sau în afara razei șantierului
  • Raza configurată a șantierului (în metri) la momentul verificării

Aceste date nu dezvăluie locația dumneavoastră. Indică doar dacă vă aflați în interiorul sau în exteriorul unei zone definite la momentul înregistrării intrării sau ieșirii.

7.3 Ce Nu Este Trimis Niciodată

  • Coordonatele GPS (latitudine, longitudine) nu sunt niciodată transmise
  • Distanța față de limita șantierului nu este niciodată transmisă
  • Locația dumneavoastră între evenimentele de pontaj nu este niciodată accesată sau transmisă

7.4 Controlul Dumneavoastră

Puteți dezactiva serviciile de localizare pentru Kronly în orice moment din setările dispozitivului (iOS: Setări → Confidențialitate și securitate → Servicii de localizare → Kronly; Android: Setări → Aplicații → Kronly → Permisiuni → Locație). Dacă accesul la localizare este refuzat:

  • Puteți în continuare să înregistrați intrarea și ieșirea normal
  • Verificarea proximității nu va fi disponibilă
  • Managerul va vedea că pontajul a fost efectuat fără verificarea proximității

8. Stocarea Fotografiilor

Fotografiile încărcate prin Kronly (documentare de șantier, atașamente la cereri de materiale) sunt stocate în spațiu de stocare de obiecte compatibil S3, pe servere cu acces controlat situate în Uniunea Europeană (Hetzner).

Eliminarea metadatelor GPS: Înainte de încărcarea oricărei fotografii de pe dispozitivul dumneavoastră, Kronly elimină toate metadatele GPS EXIF (latitudine, longitudine, altitudine). Fotografia stocată pe serverele noastre nu conține informații de localizare. Nu știm unde au fost făcute fotografiile dumneavoastră.

Fotografiile dumneavoastră sunt:

  • Asociate organizației dumneavoastră și șantierului, cererii de materiale sau sarcinii relevante
  • Vizibile managerilor din organizația dumneavoastră
  • Stocate pe servere cu acces restricționat, care nu sunt expuse internetului public
  • Transmise prin conexiuni criptate (TLS/HTTPS)
  • Șterse permanent la ștergerea contului, în termen de 30 de zile de la ștergerea contului

Nu utilizăm fotografiile dumneavoastră în niciun alt scop decât furnizarea serviciului Kronly. Fotografiile nu sunt niciodată analizate, utilizate pentru antrenarea AI/ML, vândute sau partajate cu terți.

9. Partajarea Datelor

Valorizăm confidențialitatea dumneavoastră și limităm partajarea datelor la ceea ce este strict necesar pentru operarea serviciului.

9.1 În Cadrul Organizației Dumneavoastră

Managerul organizației dumneavoastră poate accesa:

  • Pontajele dumneavoastră, inclusiv orele de intrare/ieșire, duratele și rezultatele verificării proximității (în rază sau în afara razei — nu coordonatele GPS)
  • Cererile dumneavoastră de materiale și fotografiile asociate
  • Atribuirile dumneavoastră de sarcini și starea acestora
  • Fotografiile de documentare a șantierului
  • Informațiile dumneavoastră de profil (nume, rol, date de contact)
  • CNP-ul dumneavoastră, dacă a fost furnizat — vizibil doar managerilor/administratorilor, exclusiv pentru generarea exportului de salarizare destinat contabilului angajatorului (vedeți Secțiunea 5.6). Contabilul desemnat de angajatorul dumneavoastră primește exportul de salarizare care conține CNP-ul, în calitate de destinatar în numele angajatorului.

9.2 Fără Vânzare sau Utilizare Publicitară

Nu vindem datele dumneavoastră personale niciunei terțe părți. Nu utilizăm datele dumneavoastră în scopuri publicitare. Nu partajăm datele dumneavoastră cu brokeri de date sau platforme de marketing.

9.3 Furnizori de Servicii Terți

Utilizăm următorii furnizori de servicii terți pentru a opera Kronly. Acești furnizori prelucrează date în numele nostru și sunt obligați prin acorduri de prelucrare a datelor conform GDPR:

  • Apple, Google, Facebook — Furnizori de autentificare pentru autentificarea socială (primim doar numele, e-mailul și un identificator unic de la aceste servicii)
  • Hetzner — Găzduire cloud și stocare de obiecte compatibilă S3 pentru serverele și stocarea fotografiilor noastre, situate în Uniunea Europeană
  • Apple Push Notification Service (APNs) — Livrarea notificărilor push pe dispozitivul dumneavoastră. Conținutul notificării reprezintă referințe operaționale precum numele unui proiect, sarcini sau material — niciodată numele unei persoane, CNP sau locația.
  • Brevo (Sendinblue SAS, Franța) — (i) Livrarea e-mailurilor tranzacționale de cont (resetarea parolei, confirmarea ștergerii contului): adresa dumneavoastră de e-mail și conținutul acestor mesaje; (ii) Widget de chat live pe pagina noastră de Suport. Widget-ul de chat este încărcat doar atunci când dați clic pe „Începe conversația” pe pagina de Suport (nu rulează automat). Odată încărcat, Brevo prelucrează mesajele pe care le trimiteți, adresa dumneavoastră IP, informații despre browser/dispozitiv și plasează cookie-uri funcționale în browserul dumneavoastră pentru a menține sesiunea de chat. Brevo este stabilit în UE. Consultați politica de confidențialitate Brevo.
  • Sentry (Functional Software, Inc.) — Monitorizarea erorilor și a căderilor aplicației (site web și aplicațiile mobile pe iOS și Android), găzduită în regiunea de date a Sentry din Uniunea Europeană (Frankfurt, Germania). Rapoartele de eroare conțin doar detalii tehnice (tipul erorii, stack trace, URL-ul cererii, user agent); nu atașăm numele, adresa de e-mail, adresa IP sau identificatorul dumneavoastră de cont. Operatorul Sentry este o companie din SUA certificată în cadrul Cadrului UE-SUA privind confidențialitatea datelor (EU-US Data Privacy Framework), care acoperă orice acces din Statele Unite (vedeți Secțiunea 15).
  • Google LLC — Firebase Cloud Messaging (FCM) — Livrarea notificărilor push pe dispozitivul dumneavoastră, atât pe iOS, cât și pe Android (pe iOS, notificarea push este rutată prin FCM și retransmisă către serviciul Apple Push Notification). Furnizăm FCM tokenul push al dispozitivului dumneavoastră și conținutul notificării, care reprezintă referințe operaționale precum numele unui proiect, sarcini sau material — niciodată numele unei persoane, CNP sau locația. Locație: Statele Unite. Google LLC este certificată în cadrul Cadrului UE-SUA privind confidențialitatea datelor (EU-US Data Privacy Framework), acoperind orice acces la tokenurile push și la conținutul notificărilor din Statele Unite (vedeți Secțiunea 15).
  • TelemetryDeck GmbH (Germania) — Analiză axată pe confidențialitate pentru aplicațiile noastre mobile (iOS și Android), pentru a înțelege utilizarea funcționalităților și a îmbunătăți aplicația. Date cu caracter personal: doar un identificator anonim per-instalare și evenimente de utilizare a funcționalităților; nu sunt colectați identificatori personali sau alte date cu caracter personal care să permită identificarea. Locație: Uniunea Europeană (Germania). Niciun transfer internațional. Aceasta este distinctă de analiza site-ului web descrisă în Secțiunea 3.8.

Vom notifica administratorii organizațiilor (titularii conturilor de Manager) despre orice modificări ale sub-împuterniciților noștri care afectează prelucrarea datelor angajaților, cu un preaviz de cel puțin 30 de zile.

9.4 Obligații Legale

Putem divulga datele dumneavoastră personale dacă este necesar conform legii române, legislației UE sau ca răspuns la o cerere legală validă din partea unei autorități competente (de ex., o hotărâre judecătorească, o investigație ANSPDCP sau o anchetă de reglementare).

10. Retenția Datelor

Păstrăm datele dumneavoastră personale atâta timp cât contul dumneavoastră este activ și sunteți membru al unei organizații care utilizează Kronly. Lista de mai jos rezumă cât timp păstrăm fiecare categorie de date; acolo unde nu este posibilă o perioadă fixă, păstrăm datele doar atât timp cât este necesar pentru scopul descris.

  • Date de cont și de profil (nume, telefon, e-mail, identificatori de autentificare) — pe durata de viață a contului; șterse în termen de 30 de zile de la ștergerea contului.
  • Codul Numeric Personal (CNP), dacă este furnizat — până când îl eliminați sau vă ștergeți contul; șters în termen de 30 de zile.
  • Pontaje, rezultate ale verificării proximității, cereri de materiale și sarcini — pe durata de viață a contului; șterse în termen de 30 de zile de la ștergerea contului (angajatorii rămân responsabili pentru exportul și păstrarea separată a pontajelor conform legii — vedeți nota de mai jos).
  • Fotografii — pe durata de viață a contului; șterse în termen de 30 de zile de la ștergerea contului.
  • Token-uri de dispozitiv și de notificări push (APNs) — păstrate cât timp dispozitivul dumneavoastră este înregistrat pentru notificări; eliminate la deconectare, la reîmprospătarea token-ului sau în termen de 30 de zile de la ștergerea contului.
  • Înregistrările sesiunilor active (numele dispozitivului, identificatorul sesiunii, data creării și data ultimei utilizări) — șterse atunci când deconectați dispozitivul sau acesta este înlocuit de o autentificare mai recentă; cel târziu în termen de 30 de zile de la ștergerea contului.
  • Jurnale de erori și de crash — jurnalele interne de server pot include adresa IP și identificatorul de cont; rapoartele de monitorizare a erorilor conțin doar detalii tehnice (vedeți Secțiunea 9.3). Ambele sunt păstrate doar atât timp cât este necesar pentru diagnosticarea și remedierea problemelor, apoi șterse.
  • Analiza site-ului web — păstrată doar în formă agregată, neidentificabilă (vedeți Secțiunea 3.8).

Se aplică, de asemenea, următoarele reguli generale:

  • Conturi active: Toate datele personale sunt păstrate pentru a furniza serviciul.
  • Ștergerea contului: Când vă ștergeți contul, toate datele personale (inclusiv pontajele, fotografiile, cererile de materiale, rezultatele verificării proximității și token-urile de dispozitiv) sunt eliminate permanent din sistemele noastre în termen de 30 de zile.
  • Copii de siguranță (backup): Copii reziduale ale datelor șterse pot persista în copiile noastre de siguranță de rutină până când acestea sunt suprascrise în cadrul ciclului obișnuit de backup — cel târziu în termen de 6 luni — și nu sunt utilizate în niciun alt scop în acest interval.
  • Date anonimizate: Datele agregate și anonimizate care nu pot fi utilizate pentru a vă identifica pot fi păstrate pe termen nedefinit în scopuri de analiză și îmbunătățire a serviciului.
  • Cerințe legale: Anumite date pot fi păstrate dincolo de perioada de ștergere de 30 de zile dacă este cerut de reglementările fiscale, de muncă sau contabile din România aplicabile Kronly
  • Codul Numeric Personal (CNP): Dacă ați furnizat un CNP, acesta este șters din sistemele Kronly atunci când vă ștergeți contul (în aceeași fereastră de 30 de zile). Acolo unde angajatorul dumneavoastră este obligat legal să păstreze evidențe de salarizare și fiscale care conțin CNP-ul, angajatorul — în calitate de operator de date — este responsabil pentru acea copie păstrată separat (vedeți nota de mai jos).

Notă Importantă pentru Angajatori

Legislația muncii din România (Codul Muncii, Art. 268) stabilește un termen de prescripție de 3 ani pentru litigiile de muncă. Angajatorii sunt obligați legal să păstreze pontajele cel puțin pentru această perioadă. Politica de ștergere în 30 de zile a Kronly se aplică exclusiv sistemelor Kronly. Angajatorii trebuie să exporte și să păstreze independent pontajele utilizând funcționalitatea de export a Kronly pentru a-și îndeplini obligațiile legale de retenție. Kronly nu este responsabilă pentru conformitatea angajatorului cu cerințele de retenție a evidențelor după ce datele contului au fost șterse.

11. Drepturile Dumneavoastră

Conform Regulamentului General privind Protecția Datelor, aveți următoarele drepturi privind datele dumneavoastră personale:

  • Dreptul de acces (Art. 15 GDPR) — Aveți dreptul de a solicita o copie a datelor personale pe care le deținem despre dumneavoastră, împreună cu informații despre modul în care sunt prelucrate.
  • Dreptul la rectificare (Art. 16 GDPR) — Aveți dreptul de a solicita corectarea oricăror date personale inexacte sau incomplete pe care le deținem despre dumneavoastră.
  • Dreptul la ștergere (Art. 17 GDPR) — Aveți dreptul de a solicita ștergerea datelor dumneavoastră personale („dreptul de a fi uitat"), sub rezerva anumitor excepții legale.
  • Dreptul la restricționarea prelucrării (Art. 18 GDPR) — Aveți dreptul de a solicita restricționarea prelucrării datelor dumneavoastră personale în anumite circumstanțe.
  • Dreptul la portabilitatea datelor (Art. 20 GDPR) — Aveți dreptul de a primi datele dumneavoastră personale într-un format structurat, utilizat frecvent și care poate fi citit automat (CSV sau JSON) și de a le transmite altui operator.
  • Dreptul la opoziție (Art. 21 GDPR) — Aveți dreptul de a vă opune prelucrării datelor dumneavoastră personale atunci când ne bazăm pe interese legitime ca temei legal. Dacă sunteți muncitor și doriți să vă opuneți verificării proximității, puteți dezactiva serviciile de localizare pe dispozitiv; capacitatea de a înregistra pontajul nu va fi afectată, deși rezultatele verificării proximității nu vor fi disponibile.
  • Dreptul de retragere a consimțământului — Acolo unde prelucrarea se bazează pe consimțământ (de ex., notificări push), aveți dreptul de a retrage consimțământul în orice moment. Retragerea nu afectează legalitatea prelucrării efectuate anterior retragerii.
  • Dreptul de a depune o plângere — Aveți dreptul de a depune o plângere la o autoritate de supraveghere a protecției datelor:
    • În România: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) — www.dataprotection.ro
    • În statul dumneavoastră membru UE: Puteți depune o plângere la autoritatea de supraveghere din statul membru al reședinței obișnuite, locului de muncă sau locului presupusei încălcări (Art. 77 GDPR).

Pentru a exercita oricare dintre aceste drepturi, contactați-ne la privacy@kronly.eu. Vom răspunde solicitării dumneavoastră în termen de o lună, conform Art. 12(3) GDPR.

12. Securitatea Datelor

Implementăm măsuri tehnice și organizatorice adecvate pentru a proteja datele dumneavoastră personale împotriva accesului, modificării, divulgării sau distrugerii neautorizate. Aceste măsuri includ:

  • Criptare în tranzit: Toate datele transmise între Aplicația Kronly și serverele noastre sunt criptate folosind TLS/HTTPS.
  • Stocare cu acces restricționat: Datele sunt stocate pe servere din Uniunea Europeană, într-o rețea internă care nu este expusă internetului public, cu acces limitat la operator.
  • Autentificare: Utilizăm autentificarea JWT (JSON Web Token) cu token-uri de acces cu durată scurtă (15 minute) și token-uri de reîmprospătare cu durată mai lungă, cu suport de revocare.
  • Limitare acces: Limitarea ratei API protejează împotriva atacurilor de forță brută și abuzurilor.
  • Control al accesului: Multi-tenancy bazat pe organizație asigură că utilizatorii pot accesa doar datele din propria organizație.
  • Anteturi de securitate: Serverele noastre aplică anteturi de securitate (via Helmet) pentru a atenua vulnerabilitățile web comune.
  • Verificarea aplicației: Toate cererile API necesită un identificator de aplicație verificat pentru a preveni accesul neautorizat.
  • Procesare GPS pe dispozitiv: Coordonatele GPS sunt procesate local și niciodată transmise, eliminând expunerea datelor de localizare pe server.
  • Eliminarea metadatelor foto: Datele GPS EXIF sunt eliminate din fotografii înainte de încărcare, prevenind divulgarea accidentală a localizării.

13. Notificări Push

Kronly utilizează Apple Push Notification Service (APNs) pentru a livra notificări la timp pe dispozitivul dumneavoastră. Aceste notificări pot include:

  • Memento-uri de pontaj
  • Alerte de aprobare sau respingere a pontajelor și cererilor de materiale
  • Notificări privind cererile de alăturare la echipă (pentru manageri)
  • Actualizări privind atribuirea sarcinilor

Pentru a livra notificări push, stocăm token-ul dispozitivului APNs pe serverele noastre. Acest token este unic pentru dispozitivul dumneavoastră și Aplicația Kronly și nu poate fi utilizat pentru a vă identifica personal.

Puteți dezactiva notificările push în orice moment din setările dispozitivului (iOS: Setări > Notificări > Kronly; Android: Setări > Aplicații > Kronly > Notificări). Dezactivarea notificărilor nu va afecta funcționalitatea de bază a Aplicației.

14. Copii

Kronly este un instrument profesional de management al construcțiilor și nu este destinat utilizării de către copii sub 16 ani. Nu colectăm sau prelucrăm în mod conștient date personale de la copii sub 16 ani.

Dacă un muncitor între 15 și 16 ani este angajat legal conform legislației muncii din România (Art. 13 Codul Muncii), angajatorul poate solicita un cont supervizat cu acordul părintelui sau tutorelui legal.

Dacă aflăm că am colectat din greșeală date personale de la un copil sub pragul de vârstă aplicabil fără consimțământul corespunzător, vom lua imediat măsuri pentru a șterge acele date din sistemele noastre. Dacă credeți că un copil ne-a furnizat date personale, contactați-ne la privacy@kronly.eu.

15. Transferuri Internaționale

Toate datele de bază prelucrate de Kronly — date de cont, pontaje, fotografii și rezultate ale verificării proximității — sunt stocate și prelucrate pe servere situate în Uniunea Europeană (centrele de date Hetzner). Nu transferăm datele dumneavoastră cu caracter personal în afara Spațiului Economic European (SEE) pentru operarea Serviciului, cu următoarele excepții limitate:

  • Notificări push — livrate prin serviciul Apple Push Notification operat de Apple Inc. (SUA); token-ul push al dispozitivului și conținutul notificării (referințe operaționale precum numele unui proiect, sarcini sau material — niciodată numele unei persoane, CNP sau locația) tranzitează infrastructura Apple. Apple Inc. este certificată în cadrul Cadrului UE-SUA privind confidențialitatea datelor (EU-US Data Privacy Framework).
  • Livrarea notificărilor push (Firebase Cloud Messaging) — notificările push, atât pentru iOS, cât și pentru Android, sunt livrate prin Firebase Cloud Messaging, operat de Google LLC (SUA); pe iOS, mesajul este retransmis de Google către serviciul Apple Push Notification. Tokenul push al dispozitivului și conținutul notificării (referințe operaționale precum numele unui proiect, sarcini sau material — niciodată numele unei persoane, CNP sau locația) tranzitează infrastructura Google. Google LLC este certificată în cadrul Cadrului UE-SUA privind confidențialitatea datelor (EU-US Data Privacy Framework), acoperind orice acces la tokenurile push și la conținutul notificărilor din Statele Unite.
  • Monitorizarea erorilor — rapoarte de eroare tehnice, fără numele, adresa de e-mail, adresa IP sau identificatorul dumneavoastră de cont (vedeți Secțiunea 9.3), sunt stocate în regiunea de date a Sentry din Uniunea Europeană (Frankfurt, Germania); operatorul Sentry, Functional Software, Inc. (SUA), este certificat în cadrul Cadrului UE-SUA privind confidențialitatea datelor, care acoperă orice acces din Statele Unite.
  • Autentificarea socială opțională — dacă alegeți să vă autentificați cu Apple, Google sau Facebook, acel furnizor vă autentifică în propria sa infrastructură (care poate fi situată în afara SEE), conform propriei politici de confidențialitate. Datele cu caracter personal pe care le primim de la acești furnizori — numele, e-mailul și un identificator unic — sunt stocate și prelucrate exclusiv pe serverele noastre din UE.

16. Obligațiile Angajatorului și Legea nr. 190/2018

Această secțiune se adresează organizațiilor și managerilor care utilizează Kronly pentru managementul personalului în România. Legea nr. 190/2018 stabilește cerințe specifice privind monitorizarea angajaților pe care angajatorii trebuie să le respecte.

16.1 Abordarea Kronly de Confidențialitate prin Design

Sistemul de verificare a proximității pe dispozitiv al Kronly este conceput pentru a minimiza povara de conformitate a angajatorilor. Deoarece coordonatele GPS nu părăsesc niciodată dispozitivul muncitorului, arhitectura Kronly reduce semnificativ domeniul de aplicare al monitorizării angajaților. Singurele date legate de monitorizare transmise sunt un rezultat boolean de proximitate, care nu constituie urmărirea localizării conform majorității interpretărilor Legii nr. 190/2018.

16.2 Responsabilitățile Angajatorului

Cu toate acestea, angajatorii care implementează Kronly pentru pontajul personalului ar trebui să:

  • Evalueze necesitatea (Art. 5, Legea 190/2018): Să determine că utilizarea funcționalităților de pontaj și verificare a proximității ale Kronly este justificată de interese legitime și că mijloace mai puțin intruzive nu ar fi la fel de eficiente.
  • Informeze angajații (Art. 5, Legea 190/2018): Să furnizeze angajaților o informare prealabilă completă despre utilizarea Kronly și a funcționalităților de verificare a proximității înainte de implementare. Notificarea ar trebui să explice: ce date sunt colectate, cum sunt utilizate și că coordonatele GPS rămân pe dispozitiv.
  • Consulte reprezentanții angajaților (Art. 5, Legea 190/2018): Acolo unde este aplicabil, să consulte sindicatele sau reprezentanții angajaților înainte de implementarea Aplicației.
  • Mențină evidența timpului de lucru (Art. 119, Codul Muncii): Să exporte și să păstreze independent pontajele pentru perioadele cerute de lege (minimum 3 ani).
  • Să aibă încheiat un Acord de Prelucrare a Datelor: În calitate de operator de date pentru datele angajaților, angajatorul ar trebui să aibă un DPA încheiat cu Kronly (vedeți Acordul de Prelucrare a Datelor; o copie contrasemnată este disponibilă la cerere).

16.3 Considerente privind DPIA

Având în vedere arhitectura de confidențialitate prin design a Kronly (nicio coordonată GPS transmisă, nicio urmărire continuă, nicio dată biometrică), o Evaluare a Impactului asupra Protecției Datelor (DPIA) completă conform Art. 35 GDPR ar putea să nu fie necesară. Cu toate acestea, angajatorii ar trebui să evalueze circumstanțele lor specifice. Dacă implementați Kronly alături de alte instrumente de monitorizare sau dacă scenariul dumneavoastră de utilizare implică prelucrare suplimentară de date, un DPIA poate fi recomandabil. Kronly va coopera cu orice angajator care efectuează un DPIA în legătură cu utilizarea Aplicației Kronly. Pentru o listă de verificare practică, un model DPIA și un model de notificare pentru angajați, vedeți Ghidul DPIA pentru Angajatori și Modele de Notificări.

17. Modificări ale Politicii

Putem actualiza această Politică de Confidențialitate periodic pentru a reflecta modificări în practicile noastre de date, cerințele legale sau funcționalitatea Aplicației Kronly.

Dacă aducem modificări semnificative acestei politici, vă vom notifica printr-o notificare în Aplicația Kronly și vom furniza un preaviz de cel puțin 30 de zile. Vă încurajăm să revizuiți periodic această politică.

Continuarea utilizării Aplicației după perioada de notificare constituie acceptarea Politicii de Confidențialitate actualizate. Dacă nu sunteți de acord cu modificările, ar trebui să încetați utilizarea Aplicației și să vă ștergeți contul.

18. Contact

Dacă aveți întrebări, preocupări sau solicitări privind această Politică de Confidențialitate sau prelucrarea datelor dumneavoastră personale, contactați-ne:

Oliniuc Bogdan-Nicolae PFA (Persoană Fizică Autorizată)
Bd. Bucureștii Noi nr. 136, parter, ap. 5, Sector 1, București, România
CUI: 46976220  ·  Nr. reg. com.: F2022004979409
Email: privacy@kronly.eu

Pentru plângeri privind protecția datelor, puteți contacta:

  • ANSPDCP (România): Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal — www.dataprotection.ro
  • Autoritatea locală de supraveghere din UE: Aveți dreptul de a depune o plângere la autoritatea de protecție a datelor din statul membru UE al reședinței dumneavoastră obișnuite (Art. 77 GDPR).

Ne angajăm să rezolvăm orice plângere privind confidențialitatea dumneavoastră și colectarea sau utilizarea datelor personale. Vom răspunde tuturor solicitărilor în termen de o lună.