Politica de Confidențialitate
Versiunea 2.0 — Ultima actualizare: 30 aprilie 2026
1. Identitatea Operatorului
Acest serviciu este operat de QUANTEMI S.R.L., denumită în continuare „Rezervatio.AI" sau „Operatorul".
Date de contact Operator:
- Denumire: QUANTEMI S.R.L.
- CUI: 54694424
- Număr Registrul Comerțului: J2026031979003
- Sediu social: Năvodari, Jud. Constanța, Str. Liniștii nr. 8
- Email general: contact@rezervatio.ai
- Email protecția datelor: privacy@rezervatio.ai
- Site web: https://rezervatio.ai
1.1 Roluri în protecția datelor
Rezervatio.AI oferă o platformă SaaS de rezervări care include: un agent vocal AI pentru rezervări telefonice automate, un dashboard pentru afaceri și aplicația mobilă Rezervatio Book prin care clienții fac rezervări direct. În raport cu datele personale prelucrate, rolul nostru variază în funcție de categoria de utilizator:
| Categorie utilizator | Rolul Rezervatio.AI | Rolul utilizatorului afacerii (clientul nostru B2B) |
|---|---|---|
| Vizitator site (rezervatio.ai) | Operator | — |
| Proprietar afacere (cont dashboard) | Operator | — |
| Apelant (client final care sună pentru rezervare) | Persoană împuternicită (Procesator) | Operator |
| Utilizator Book (cont rezervări mobil) | Operator | — |
Pentru apelanții care sună în afacerile clienților noștri B2B, afacerea respectivă (restaurantul, salonul, clinica etc.) este Operatorul de date, iar Rezervatio.AI acționează ca Persoană Împuternicită conform Art. 28 GDPR. Detaliile relației sunt reglementate prin Acordul de Procesare a Datelor (DPA) încheiat la onboarding.
1.2 Contact protecția datelor
Pentru întrebări privind protecția datelor sau pentru a vă exercita drepturile GDPR, contactați-ne la privacy@rezervatio.ai. Răspundem în maxim 30 de zile conform Art. 12(3) GDPR.
Aveți de asemenea dreptul de a depune plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) — detalii în secțiunea 13 a acestui document.
2. Date personale pe care le colectăm
Colectăm diferite categorii de date în funcție de tipul utilizatorului. Mai jos sunt prezentate explicit toate datele prelucrate pe platforma noastră.
2.1 Date colectate de la proprietarii de afaceri (cont dashboard)
| Categorie | Date specifice | Sursă |
|---|---|---|
| Identificare cont | Nume, prenume, număr telefon (autentificare OTP), email | Înregistrare manuală |
| Date afacere | Denumire afacere, tip activitate, adresă, oraș, telefon contact | Onboarding |
| Configurare serviciu | Personal angajat (nume, telefon, rol), servicii oferite, mese/cabinete, program | Onboarding |
| Date facturare | Date fiscale firmă (CUI, sediu), informații plată (procesate de Stripe) | Activare abonament plătit |
| Date utilizare | Adrese IP, jurnal autentificări, acțiuni dashboard | Automat la utilizare |
| Consimțăminte | Termeni acceptați, versiuni documente, data acordului, IP | La înregistrare |
2.2 Date colectate de la apelanții (clienții finali ai afacerilor)
Când un client final sună o afacere care utilizează Rezervatio.AI pentru a face o rezervare, agentul vocal AI procesează:
| Categorie | Date specifice | Sursă |
|---|---|---|
| Identificator apel | Număr telefon (CallerID) | Furnizor telefonie |
| Conținut apel | Audio conversație, transcript text, data/ora apel, durată | În timpul apelului |
| Detalii rezervare | Nume rezervare, număr persoane, data/ora dorită, serviciu solicitat, observații (ex. alergii alimentare, cerințe speciale) | În timpul apelului |
| Status rezervare | Confirmat, anulat, modificat, no-show | Sistem + dashboard afacere |
Atenție — date sensibile (Art. 9 GDPR): În contextul clinicilor medicale sau cabinetelor stomatologice, conversațiile pot include spontan informații de sănătate (simptome, motiv consultație). Agentul vocal este instruit să nu solicite explicit astfel de date. Dacă apelantul le menționează din proprie inițiativă, ele sunt prelucrate strict pentru gestionarea rezervării și beneficiază de aceleași măsuri de securitate ca toate celelalte date.
2.3 Date colectate de la utilizatorii aplicației Rezervatio Book
Utilizatorii care își creează cont în aplicația mobilă Rezervatio Book pentru a face rezervări direct (fără apel telefonic):
| Categorie | Date specifice |
|---|---|
| Identificare cont | Număr telefon (autentificare OTP); numele este obligatoriu la prima autentificare; email (dacă vă autentificați cu Google sau Apple) |
| Rezervări proprii | Istoric rezervări făcute prin aplicație, status, observații |
| Mesaje rezervare | Conținutul mesajelor schimbate cu afacerea în legătură cu o rezervare. Se șterg la ștergerea contului. Temei: executarea contractului (Art. 6(1)(b)). |
| Favorite | Business-uri / specialiști salvați ca favorite |
| Notificări push | Token de notificări push / identificator de notificare generat de sistemul de operare al dispozitivului, folosit exclusiv pentru notificări legate de rezervări; dezactivabil oricând din setări. Temei: consimțământ (Art. 6(1)(a)). |
| Locație | Doar local pe dispozitiv (dacă acordați acces), pentru afișarea hărții și a business-urilor apropiate — nu este transmisă către sau stocată pe serverele noastre. |
| Cameră | Acces la cameră doar pentru scanarea codului QR al unui business (rezervare rapidă). Imaginea este procesată local pe dispozitiv; nu este transmisă către sau stocată pe serverele noastre. |
| Calendar | Dacă alegeți „Adaugă în calendar", rezervarea este scrisă ca eveniment în calendarul dispozitivului. Operațiune strict locală; nu accesăm și nu stocăm datele din calendarul dumneavoastră. |
| Date utilizare | Adrese IP autentificare, dispozitiv, sistem de operare |
| Consimțăminte | Acceptare prin continuarea utilizării (Termeni + Politica de Confidențialitate); aplicația nu înregistrează versiuni/dată/IP — spre deosebire de contul business din dashboard, unde consimțămintele sunt înregistrate versionat. |
2.4 Date colectate automat de la vizitatori (rezervatio.ai)
La accesarea site-ului colectăm minimul necesar pentru funcționare și analiză:
- Date tehnice: adresa IP (anonimizată zilnic prin hash criptografic), tip browser, sistem de operare, paginile vizitate, sursă trafic (referrer)
- Cookie tehnic Cloudflare (
_cf_bm) pentru protecție anti-bot — vezi secțiunea 11 - Preferințe locale stocate în browser (temă, limbă, preferințe cookies) — vezi secțiunea 11
NU folosim Google Analytics, Facebook Pixel, sau alte servicii de tracking publicitar pe site-ul de prezentare.
2.5 Apel demo (vizitator nelogat)
La inițierea unui apel demo de pe pagina principală (formularul „Sună-mă"):
| Categorie | Date specifice | Sursă |
|---|---|---|
| Identificare apel | Număr de telefon, adresă IP, timestamp | Vizitator (introducere manuală) |
| Anti-abuz | Cod OTP temporar (SMS, valabil 10 minute), token Cloudflare Turnstile | Generat automat pentru verificare deținător număr |
Bază legală: consimțământ explicit (Art. 6(1)(a) GDPR). Acordați permisiunea apăsând „Sună-mă" și completând codul OTP primit prin SMS.
Sub-procesatori: aceiași ca pentru întreaga platformă — vezi secțiunea 5 (Telnyx pentru telefonie/SMS, ElevenLabs pentru agentul vocal AI, Cloudflare pentru Turnstile anti-bot).
Conversația vocală tranzitează ElevenLabs pentru procesare în timp real. Audio-ul nu este stocat de noi; transcriptul automat este păstrat de ElevenLabs maximum 30 zile la sursă (vezi secțiunea 7).
Retenție specifică demo: numărul de telefon și IP-ul sunt șterse automat după 7 zile (perioadă strictă pentru prevenirea abuzului — multiple apeluri către numere terțe). Codurile OTP expiră în 10 minute și sunt curățate la 24 ore.
Drepturile dumneavoastră: puteți cere ștergerea imediată a numărului utilizat trimițând email la privacy@rezervatio.ai. Datele se șterg în maxim 72 ore.
3. Temeiul legal al prelucrării (Art. 6 GDPR)
Fiecare prelucrare de date are un temei legal explicit. Mai jos sunt prezentate temeiurile pentru fiecare scop:
| Scop prelucrare | Temei legal Art. 6 |
|---|---|
| Furnizare serviciu rezervări (apel + dashboard + Book App) | Art. 6(1)(b) — executarea contractului |
| Comunicări tranzacționale (confirmări rezervări prin SMS/email) | Art. 6(1)(b) — executarea contractului |
| Facturare și contabilitate | Art. 6(1)(c) — obligație legală (Codul Fiscal RO) |
| Securitate platformă, prevenire fraudă, jurnale audit | Art. 6(1)(f) — interes legitim |
| Îmbunătățire serviciu (analiză agregată, statistici de utilizare) | Art. 6(1)(f) — interes legitim |
| Comunicări de marketing (newsletter, oferte) | Art. 6(1)(a) — consimțământ explicit (opt-in) |
| Procesare date sensibile menționate spontan în apel | Art. 9(2)(a) — consimțământ explicit (apelantul a ales să le menționeze) |
| Răspuns la cereri ANSPDCP / autorități judiciare | Art. 6(1)(c) — obligație legală |
Când temeiul este interesul legitim (Art. 6(1)(f)), am efectuat o evaluare de echilibrare (LIA) care confirmă că interesele noastre legitime nu prevalează asupra drepturilor și libertăților fundamentale ale persoanelor vizate. Documentația LIA poate fi solicitată la privacy@rezervatio.ai.
Când temeiul este consimțământul (Art. 6(1)(a)), aveți dreptul să îl retrageți oricând fără consecințe asupra serviciului de bază — vezi secțiunea 8.
4. Cum utilizăm datele dumneavoastră
Datele colectate sunt folosite exclusiv pentru scopurile declarate la secțiunea 3. În concret:
- Funcționare serviciu: primirea apelului, transcrierea conversației, înțelegerea cererii de rezervare, salvarea în baza de date, sincronizarea cu calendarul afacerii.
- Comunicări automate: trimiterea SMS-ului de confirmare către apelant, notificarea proprietarului afacerii despre noi rezervări, remindere de rezervări (dacă afacerea le activează).
- Dashboard și raportare: afișarea rezervărilor în dashboard-ul proprietarului afacerii, generarea de statistici agregate (număr apeluri, rată de conversie, motive de anulare).
- Suport tehnic: investigarea reclamațiilor sau a problemelor tehnice (acces limitat la transcripte numai pentru personalul autorizat, sub strict need-to-know).
- Securitate: detectarea utilizării frauduloase, protecție împotriva atacurilor, respectarea limitelor de utilizare.
- Conformitate legală: răspuns la cereri ale autorităților, păstrare jurnale audit, păstrare facturi conform Codului Fiscal.
Nu vindem și nu închiriem date personale niciunei terțe părți. Nu folosim datele dumneavoastră pentru profilare în scopuri publicitare și nu le partajăm cu rețele de advertising sau brokeri de date.
5. Sub-procesatori autorizați
Pentru a furniza serviciul, ne bazăm pe furnizori specializați care procesează date personale în numele nostru, sub instrucțiunile noastre stricte și în baza unor acorduri de procesare a datelor (DPA) conforme cu Art. 28 GDPR.
| Sub-procesator | Țară | Scop |
|---|---|---|
| Hetzner Online GmbH | Germania (UE) | Găzduire infrastructură (toate datele platformei) |
| Cloudflare Inc. | SUA (edge global) | Securitate, distribuție conținut, protecție DDoS |
| Scaleway SAS | Franța (UE) | Email tranzacțional (confirmări, notificări) |
| Telnyx LLC | SUA și UE | Telefonie și SMS |
| ElevenLabs Inc. | SUA | Procesare voce AI (recunoaștere vorbire, sinteză, transcripte) |
| Stripe Inc. | SUA / Irlanda | Procesare plăți (la lansarea comercială) |
| Apple Inc. | SUA | Autentificare „Sign in with Apple" (identitate) |
| Google Ireland Ltd. | Irlanda / SUA | Autentificare „Google Sign-In" (identitate) |
| Expo (650 Industries, Inc.) | SUA | Livrare notificări push (Expo Push) |
Lista completă, scope detaliat, mecanisme de transfer și jurisdicții sunt descrise în Acordul de Procesare a Datelor (DPA).
5.1 Notificare modificări sub-procesatori
Ne rezervăm dreptul de a adăuga sau înlocui sub-procesatori. Pentru clienții B2B, vom notifica orice modificare cu cel puțin 30 de zile înainte, conform Art. 28(2) GDPR. Aveți dreptul să vă opuneți unei modificări, caz în care putem rezilia contractul de comun acord.
6. Transferuri internaționale de date
O parte din sub-procesatorii noștri sunt stabiliți în Statele Unite. Pentru aceste transferuri folosim mecanismele de protecție aprobate de Comisia Europeană:
- EU-US Data Privacy Framework (DPF) — pentru sub-procesatorii certificați DPF (Decizia de adecvare a Comisiei Europene din 10 iulie 2023). Verificarea certificării: dataprivacyframework.gov
- Clauze Contractuale Standard (SCC) — Decizia 2021/914 a Comisiei Europene, semnate cu fiecare sub-procesator non-UE neacoperit de DPF
- Măsuri suplimentare — criptare în tranzit (TLS 1.2+), criptare la repaus pentru date sensibile, control acces strict, audit logs
Pentru Telnyx (telefonie și SMS), există regiune europeană disponibilă. Pentru ElevenLabs (procesare voce AI), în deployment-ul actual procesarea audio se face în infrastructura globală ElevenLabs cu garanții contractuale DPF + SCC. Lista completă de sub-procesatori ElevenLabs este publică la compliance.elevenlabs.io.
7. Cât timp păstrăm datele (retenție)
Păstrăm datele doar pe durata necesară scopului prelucrării. Mai jos sunt perioadele aplicate:
| Categorie date | Durată păstrare | Acțiune la expirare |
|---|---|---|
| Rezervări (finalizate, anulate, no-show) | 12 luni de la rezervare | Anonimizare automată (numele, telefonul, emailul, observațiile sunt eliminate) |
| Jurnal apeluri (call_logs) | 12 luni | Ștergere completă |
| Sesiuni apel orfane (fără rezervare asociată) | 30 zile | Ștergere completă |
| Adresa IP din vizitele site (forma cu IP brut) | 30 zile | Ștergere IP brut (păstrăm doar hash anonimizat zilnic) |
| Cont user după cerere de ștergere | 7 zile (perioadă de grație pentru restaurare) | Ștergere ireversibilă + anonimizare istoric |
| Jurnal SMS-uri trimise | 6 luni | Ștergere completă |
| Jurnal export GDPR (audit log al cererilor) | 12 luni | Ștergere completă |
| Jurnal cereri ștergere (audit legal) | 5 ani | Ștergere completă (după expirare obligație audit) |
| Jurnal consimțăminte (consent_log) | Pe durata existenței contului + arhivare | Păstrat ca dovadă conformitate Art. 7 GDPR |
| Audio și transcripte apeluri (la sub-procesatorul ElevenLabs) | 30 zile la sursă | Ștergere automată de către ElevenLabs conform politicii lor |
| Apeluri demo de pe pagina principală (număr telefon, IP) | 7 zile | Ștergere automată (cron zilnic) — strict anti-abuz |
| Coduri OTP demo (SMS verificare) | 10 minute (valabilitate) → 24 ore (curățare totală) | Ștergere automată |
| Facturi și documente fiscale | 10 ani | Păstrare conform Codului Fiscal RO |
La expirarea perioadei de retenție, datele sunt șterse sau anonimizate automat printr-un proces de cleanup planificat zilnic. Nicio acțiune manuală nu este necesară din partea dumneavoastră.
8. Drepturile dumneavoastră
În conformitate cu GDPR, aveți următoarele drepturi cu privire la datele personale prelucrate de noi:
8.1 Dreptul de acces (Art. 15)
Aveți dreptul să obțineți confirmarea că prelucrăm date despre dumneavoastră și să primiți o copie a acestora într-un format structurat (JSON). Puteți obține această copie la cerere, contactând privacy@rezervatio.ai; vom răspunde în termenul legal (o lună, conform Art. 12(3) GDPR).
8.2 Dreptul de rectificare (Art. 16)
Puteți corecta sau actualiza datele inexacte sau incomplete direct din dashboard / aplicație sau prin email la privacy@rezervatio.ai.
8.3 Dreptul la ștergere (Art. 17, „dreptul de a fi uitat")
Puteți solicita ștergerea contului și a datelor asociate:
- Utilizatori Rezervatio Book: direct în aplicație (Setări → Cont → Șterge cont)
- Proprietari de afaceri: direct în dashboard (Cont → Șterge cont)
Ștergerea include o perioadă de grație de 7 zile în care contul poate fi restaurat printr-un link unic. După 7 zile, datele sunt șterse ireversibil.
8.4 Dreptul la restricția prelucrării (Art. 18)
Puteți solicita limitarea temporară a prelucrării datelor în cazuri specifice (ex. contestați exactitatea datelor până la verificare). Cerere la privacy@rezervatio.ai.
8.5 Dreptul la portabilitate (Art. 20)
Vă puteți exporta datele în format structurat, comun și prelucrabil automat (JSON), la cerere, contactând privacy@rezervatio.ai. Vom răspunde în termenul legal (o lună, conform Art. 12(3) GDPR).
8.6 Dreptul de opoziție (Art. 21)
Vă puteți opune oricând prelucrării bazate pe interes legitim (Art. 6(1)(f)). Vom înceta prelucrarea cu excepția situațiilor în care avem motive legitime imperioase care prevalează sau pentru constatarea / exercitarea unor drepturi în instanță.
8.7 Drepturi privind deciziile automate (Art. 22)
Agentul vocal AI procesează cererile de rezervare automat, dar nu produce decizii cu efecte juridice sau similar semnificative asupra dumneavoastră. Refuzul unei rezervări nu constituie o decizie automată în sensul Art. 22 (este o consecință operațională — capacitatea afacerii este limitată). Aveți totuși dreptul să solicitați intervenție umană — orice afacere clientă a noastră are obligația de a verifica manual cazurile contestate.
8.8 Dreptul de retragere a consimțământului (Art. 7(3))
Când prelucrarea se bazează pe consimțământul dumneavoastră (ex. marketing), îl puteți retrage oricând din setările contului sau prin email la privacy@rezervatio.ai. Retragerea nu afectează legalitatea prelucrării efectuate înainte de retragere.
8.9 Termen de răspuns
Răspundem cererilor în maxim 30 de zile conform Art. 12(3) GDPR. În situații complexe, termenul poate fi prelungit cu încă 60 de zile cu notificare prealabilă.
8.10 Dreptul de plângere
Aveți dreptul să depuneți plângere la ANSPDCP (vezi secțiunea 13) sau la autoritatea de protecție a datelor din statul membru de reședință.
9. Securitatea datelor (Art. 32 GDPR)
Aplicăm măsuri tehnice și organizatorice adecvate pentru protecția datelor:
9.1 Măsuri tehnice
- Criptare în tranzit (TLS 1.2+) pentru toate comunicațiile
- Criptare la repaus pentru baza de date
- Autentificare cu OTP (One-Time Password) prin SMS — fără parole stocate de noi
- Token-uri de sesiune cu durată limitată și rotire automată
- Firewall, protecție DDoS și filtrare bot prin Cloudflare
- Acces controlat strict pe principiul „least privilege" și „need-to-know"
- Backup automat zilnic cu retenție controlată
- Monitorizare continuă a logurilor pentru detectarea activității suspecte
9.2 Măsuri organizatorice
- Număr minim de persoane cu acces administrativ la date
- Acces auditabil — toate acțiunile administrative sunt logate
- Acorduri de confidențialitate cu orice furnizor sau colaborator extern
- Politici interne de securitate și răspuns la incidente
- Evaluări periodice de risc și actualizări ale măsurilor de protecție
Niciun sistem nu este 100% impenetrabil. Dezvoltăm constant măsurile de protecție și vă încurajăm să folosiți parole puternice pentru contul dumneavoastră (la activarea autentificării cu parolă, dacă alegeți această opțiune în loc de OTP).
10. Notificare incidente de securitate
În cazul producerii unei încălcări a securității datelor (data breach) care poate genera un risc pentru drepturile și libertățile dumneavoastră, vom proceda conform Art. 33 și 34 GDPR:
- Notificare ANSPDCP — în maxim 72 de ore de la luarea la cunoștință, cu detalii privind natura încălcării, categoriile și numărul aproximativ de persoane afectate, consecințele probabile și măsurile luate sau propuse.
- Notificare persoane vizate — fără întârziere nejustificată (în practică, sub 48 de ore), prin email sau SMS, dacă încălcarea este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile dumneavoastră.
- Conținut notificare: descrierea naturii încălcării, categoriile de date afectate, măsurile luate pentru remediere, recomandări pentru reducerea consecințelor (ex. schimbare parole), contact suport și privacy@rezervatio.ai.
Menținem un registru intern al tuturor incidentelor de securitate, conform Art. 33(5) GDPR.
11. Cookies și stocare locală
Site-ul și aplicația folosesc tehnologii de stocare locală pentru funcționarea de bază. Detalii complete în Politica de Cookies.
În rezumat:
- NU folosim Google Analytics, Facebook Pixel sau alte servicii de tracking publicitar.
- localStorage pentru preferințe UI (temă, limbă, preferințe cookies, sidebar) — strict tehnic, nu necesită consimțământ
- Cookie tehnic Cloudflare (
_cf_bm) pentru protecție anti-bot — cookie de securitate esențial - Token-uri sesiune după autentificare — necesare pentru menținerea sesiunii
- Analiză vizite agregată — folosim un sistem propriu de contorizare a vizitelor cu hash criptografic zilnic al adresei IP, fără cookies de tracking și fără servicii externe. Bazat pe interes legitim conform Art. 6(1)(f) — analiză internă agregată neidentificabilă individual.
12. Modificări ale prezentei politici
Putem actualiza această Politică de Confidențialitate pentru a reflecta modificări operaționale, juridice sau tehnologice. Modificările semnificative vor fi notificate prin:
- Email la adresa contului (pentru utilizatorii înregistrați)
- Notificare în dashboard / aplicație la următorul login
- Anunț vizibil pe site
Pentru modificări care necesită un consimțământ nou (ex. extindere scop prelucrare), vă vom solicita acordul explicit înainte de aplicarea modificărilor. Versiunile anterioare sunt arhivate intern și pot fi furnizate la cerere.
Versiunea curentă: 2.0 — 30 aprilie 2026
13. Plângere la ANSPDCP
Dacă considerați că prelucrarea datelor dumneavoastră încalcă GDPR sau alte prevederi legale, aveți dreptul să depuneți plângere la:
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
- Adresă: B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București, cod poștal 010336
- Telefon: +40 318 059 211 / +40 318 059 212
- Fax: +40 318 059 602
- Email: anspdcp@dataprotection.ro
- Site: www.dataprotection.ro
Vă încurajăm să ne contactați întâi la privacy@rezervatio.ai înainte de a depune o plângere — am dori să rezolvăm direct orice problemă pe care o aveți.
14. Contact
Pentru orice întrebare legată de această Politică de Confidențialitate sau de prelucrarea datelor dumneavoastră:
Email principal protecția datelor: privacy@rezervatio.ai
Email general: contact@rezervatio.ai
Operator: QUANTEMI S.R.L.
CUI: 54694424
Sediu: Năvodari, Jud. Constanța, Str. Liniștii nr. 8
Site web: https://rezervatio.ai
Pentru întrebări privind protecția datelor sau pentru a vă exercita drepturile GDPR, contactați-ne la privacy@rezervatio.ai. Răspundem în maxim 30 de zile conform Art. 12(3) GDPR.
Ultima actualizare: 30 aprilie 2026 — Versiunea 2.0
UE · GDPR Compliant