Versiune: 1.0 — în vigoare din 2026-04-27. Conformitate: GDPR (Regulament UE 2016/679) + Lege 133/2011 RM privind protecția datelor cu caracter personal.
Scurt și clar: NU vindem datele tale, NU le folosim pentru reclame, NU le trimitem în SUA. Servere OVH în Polonia. Tu ești proprietar pe ce încarci la noi. Poți cere ștergere oricând.
1. Cine suntem (Operator de date)
index9
- Sediu: Chișinău, mun. Chișinău, , Republica Moldova
- IDNO:
- Reprezentant legal: echipa fondatoare, administrator
- Contact privacy: dpo@index9.site
- Contact general: contact@index9.site / +373 22 000 999
DPO (Data Protection Officer): numit intern, contactabil la dpo@index9.site. Răspuns în max 30 zile la orice cerere GDPR/Lege 133.
2. Ce date colectăm
2.1 Date pe care le furnizezi tu
- Cont: email (obligatoriu), parolă (criptată bcrypt cu salt), nume (opțional), telefon (opțional), limbă preferată
- Plată: nu stocăm date card direct — Stripe/Maib/Paynet procesează. Ținem doar last 4 cifre + brand pentru recunoaștere
- Setări: planuri abonament, preferințe republish, alerturi configurate
- Conținut user: anunțuri tale 999.md (titluri, descrieri, foto) — procesate doar pentru a-ți furniza Serviciul
2.2 Date colectate automat
- Tehnic: IP (anonimizat la /24 după 24h), User-Agent, timestamp request, pagina vizitată
- Activitate: ce funcții folosești, frecvența republish, performanță anunțuri (CTR, views)
- Analytics: agregate fără PII (Plausible Analytics, no cookies, no fingerprinting)
2.3 Date din surse terțe
- 999.md GraphQL public: date publice ale anunțurilor tale (pe care le vede oricine pe site)
- Autentificare conectare (dacă folosești): email + nume + foto profil de la Google/Microsoft
2.4 Date pe care NU le colectăm
- Date sensibile (rasă, religie, opinii politice, sănătate, orientare sexuală)
- Date copii sub 16 ani (Serviciul e doar pentru 18+)
- Localizare GPS precisă (doar oraș/raion la nivel anunț, conform 999.md)
- Conținut comunicare privată (mesajele tale cu cumpărători 999.md)
3. De ce le folosim (Bază legală)
| Scop | Bază legală GDPR | Lege 133 MD |
|---|---|---|
| Furnizare Serviciu | Art. 6(1)(b) Contract | Art. 5(b) executare contract |
| Procesare plăți | Art. 6(1)(b) Contract + Art. 6(1)(c) Obligație legală | Art. 5(b)+(c) |
| Suport tehnic | Art. 6(1)(b) Contract | Art. 5(b) |
| Analytics agregat | Art. 6(1)(f) Interes legitim | Art. 5(g) |
| Marketing email | Art. 6(1)(a) Consimțământ explicit | Art. 5(a) |
| Securitate (anti-fraudă) | Art. 6(1)(f) Interes legitim | Art. 5(g) |
| Conformitate fiscală | Art. 6(1)(c) Obligație legală | Art. 5(c) |
4. Cui le împărtășim
4.1 Procesatori terți (acord de prelucrare date semnat)
- OVH SAS (FR) — hosting servere Polonia datacenter UE primary + datacenter UE secundar
- Stripe Inc. (IE entity pentru EU) — procesare plăți card
- Maib SA (MD) — procesare plăți Moldova
- Paynet (MD) — procesare plăți cash terminale
- Anthropic PBC (US) — Claude API prin proxy de-identificare (nu trimitem PII direct)
- Google LLC (IE entity) — Gemini Vision prin proxy de-identificare
- Plausible Insights OÜ (EE) — analytics anonim
- Better Stack OÜ (EE) — uptime monitoring + status page
4.2 Autorități
La cerere oficială documentată (citație, ordin instanță) conform legii. Te notificăm dacă legal posibil.
4.3 Achizitori potențiali
În caz de fuziune/achiziție: date transferate cu obligație acceptare aceleași politici. Notice 30 zile minim.
4.4 NICIODATĂ
- Advertiseri (Facebook, Google Ads, etc)
- Brokeri de date
- Companii nelegate de Serviciu fără acord de prelucrare date + necesitate
5. Transfer internațional
Date stocate exclusiv în EU (Polonia, OVH). NU folosim AWS/GCP/Azure US.
Excepții cu mecanisme GDPR:
- Anthropic Claude / Google Gemini (SUA): folosite via proxy de-identificare, fără PII direct, sub Standard Contractual Clauses (SCC) UE 2021/914.
- Stripe (IE): entitate UE, dar procesarea poate atinge US — sub SCC + Adequacy Decision.
6. Cât păstrăm
| Date | Durată | Bază |
|---|---|---|
| Cont activ | Cât timp rămâi user | Contract |
| Cont șters | 30 zile grace + ștergere | GDPR Art. 17 |
| Backup-uri | 30 zile rotație | Operațional |
| Logs tehnice | 12 luni max | Securitate |
| Facturi | 5 ani | Lege 287/2017 contabilitate MD |
| Marketing consents | Până la withdraw | GDPR consent |
| inteligență artificială training data | NICIODATĂ | N/A |
7. Drepturile tale (GDPR Art. 15-22 + Lege 133)
7.1 Drept de acces (Art. 15)
Cere copie integrală a datelor noastre despre tine. Self-service: Setări → Privacy → Export. Email: dpo@index9.site.
7.2 Drept de rectificare (Art. 16)
Date incorecte? Modifică în Setări sau cere prin email.
7.3 Drept de ștergere ("dreptul de a fi uitat") (Art. 17)
Setări → Delete account = ștergere în 30 zile. Excepție: facturi păstrate 5 ani (lege fiscală).
7.4 Drept restricționare (Art. 18)
Putem suspenda procesarea fără ștergere completă (ex. în litigiu legal).
7.5 Drept portabilitate (Art. 20)
Export complet în format JSON + CSV (machine-readable). Self-service.
7.6 Drept opoziție (Art. 21)
Te poți opune procesării bazată pe interes legitim. Marketing: 1 apăsare "Unsubscribe" pe orice email.
7.7 Drepturi privind decizii automatizate (Art. 22)
Folosim inteligență artificială pentru: generator de anunț perfect (generare anunț), prognoza prețului (predicție preț), verificare poze (calitate foto), alegere categorie (alegere subcategorie). NU iau decizii cu efect juridic semnificativ — toate sugestii pe care tu le aprobi/respingi. Drept la intervenție umană: oricând prin contact@index9.site.
7.8 Drept la plângere
La autoritatea competentă:
- Moldova: Centrul Național pentru Protecția Datelor cu Caracter Personal (datepersonale.md)
- EU: autoritatea statului tău de reședință (lista la edpb.europa.eu)
8. Cookies și urmărire
8.1 Cookies pe care le folosim
- Esențiale: session_id (conectare), csrf_token (securitate), lang_pref (RO/RU)
- Funcționale: theme_dark (preferință UI), tour_completed (inițiere)
NU folosim cookies advertising, NU Facebook Pixel, NU Google Analytics 4 cu user-id.
8.2 Plausible Analytics
Analytics privacy-first: NO cookies, NO fingerprinting, NO cross-site urmărire. Date agregate, geo doar la nivel țară. Conform GDPR fără banner cookie cerut (BfDI Germania confirmare 2021).
8.3 Local Storage
Folosim doar pentru: preferințe UI (cache settings), draft-uri anunțuri (autosave), nu pentru urmărire.
9. Securitate
Vezi pagina dedicată /securitate. În rezumat:
- TLS 1.3 toate conexiunile
- AES-256 cifrare at-rest baze date
- Bcrypt parole + autentificare în 2 pași opțional gratis
- Backup criptat zilnic
- Audit security extern anual
- Bug bounty program privat
10. Date copii
Serviciul e exclusiv pentru 18+ (T&C Art. 4.1). Dacă identificăm cont minor → ștergere imediată + notificare. Notificare suspect: dpo@index9.site.
11. Marketing
Email marketing doar cu opt-in explicit dublu (confirmare email). Frecvență: max 2 emailuri/lună (newsletter + ofertă specifică). 1 apăsare "Unsubscribe" pe orice email. Lista marketing separată de lista tranzacțională (facturi, alerte cont — acestea nu necesită opt-in).
12. Modificări politică
Modificări majore = email + banner în app + 30 zile preaviz. Modificări minore (clarificări, contact updated) = update dată "modificat" în pagină. Versiuni vechi păstrate la /confidentialitate/v1.0, etc.
13. Contact privacy
- DPO: dpo@index9.site
- General privacy: privacy@index9.site
- Telegram secure: @bravin_dpo
- Adresă fizică pentru cereri scrise: index9, Chișinău, Republica Moldova, RM, atenție DPO
14. Autorități supraveghere
Moldova
Centrul Național pentru Protecția Datelor cu Caracter Personal
- Site: datepersonale.md
- Email: centru@datepersonale.md
- Tel: +373 22 820 801
EU (după statul tău de reședință)
Listă completă: edpb.europa.eu/about-edpb/about-edpb/members_en
Următorul pas
index9 | Chișinău, Republica Moldova | DPO: dpo@index9.site | General: contact@index9.site | +373 22 000 999 Versiune: 1.0 | Data: 2026-04-27