*Cu excepția cazului în care clientul solicită expres păstrarea fișierelor pentru comenzi viitoare sau pentru arhivă personală – în acest caz, păstrarea se face până la solicitarea ștergerii.
(3) După expirarea perioadelor de păstrare, datele sunt șterse sau anonimizate ireversibil, cu excepția cazului în care există obligații legale de păstrare sau litigii în curs.

CAPITOLUL IV - DESTINATARII DATELOR CU CARACTER PERSONAL
Art. 15. Categorii de destinatari
(1) Datele cu caracter personal pot fi divulgate următoarelor categorii de destinatari, doar în măsura strict necesară pentru îndeplinirea scopurilor menționate:
A. Autorități publice:
• Agenția Națională de Administrare Fiscală (ANAF) – pentru facturi, declarații fiscale, raportări
• Inspectoratul Teritorial de Muncă (ITM) – pentru declarații, dosare personal, controale
• Casa Națională de Asigurări de Sănătate (CNAS) – pentru contribuții asigurări sănătate
• Casa Județeană de Pensii – pentru contribuții pensii, dosare pensionare
• Instanțe judecătorești – în caz de litigii de muncă sau comerciale
• Organele de poliție – la solicitarea legală (investigații, cereri înregistrări video)
• Alte autorități competente – la solicitarea legală (Garda Financiară, Protecția Consumatorului, etc.)
B. Furnizori de servicii (persoane împuternicite de operator):
• Servicii de contabilitate externă – pentru întocmirea situațiilor financiare, declarațiilor fiscale, statelor de plată
• Furnizori de servicii IT – pentru mentenanță hardware/software, hosting, suport tehnic
• Furnizori hosting site web și platformă PeHârtie.ro – pentru găzduirea site-ului și a bazelor de date online
• Furnizori software de facturare (Oblio) – pentru emiterea și gestionarea facturilor și pentru evidența stocurilor și comenzilor
• Furnizori software de gestiune (Saga) – pentru evidența registrului de casă
• Furnizori soluții de analiză web (de ex. Google Analytics, dacă este utilizat) – pentru analiza traficului pe site
• Bănci și procesatori de plăți – pentru virarea salariilor, încasări de la clienți, plăți online

• Servicii poștale și de curierat (Poșta Română, Fan Courier, DPD, etc.) – pentru livrarea comenzilor către clienți
• Societăți de asigurare – pentru asigurări obligatorii sau facultative (RCA, CASCO, asigurări angajați)
C. Subcontractori pentru execuția comenzilor:
• Parteneri cărora le externalizăm anumite comenzi sau părți din comenzi, în funcție de specificul lucrării (de ex. comenzi de mare volum, tipăriri speciale, finisaje specifice)
• Aceștia primesc doar datele strict necesare pentru executarea comenzii:
o Date identificare client (pentru etichetare, livrare)
o Specificații tehnice ale comenzii
o Fișierele pentru tipărire (conținutul materialelor)
o Detalii de livrare (dacă este cazul)
• Toți subcontractorii sunt obligați contractual să respecte confidențialitatea și securitatea datelor prin clauze GDPR (vezi Anexa 6)
D. Alți destinatari:
• Consultanți juridici și auditori externi – pe bază contractuală, cu clauze de confidențialitate, pentru consiliere juridică, audit financiar sau GDPR
• Furnizori de servicii de curierat/transport – pentru livrarea documentelor sau produselor
• Furnizori de servicii de marketing (la implementarea campaniilor) – pentru realizarea și difuzarea comunicărilor comerciale
(2) Toți destinatarii externi care acționează ca persoane împuternicite de operator sunt obligați contractual să:
• Prelucreze datele exclusiv conform instrucțiunilor Societății;
• Implementeze măsuri de securitate adecvate;
• Respecte confidențialitatea datelor;
• Nu transfere datele către terți fără acordul Societății;
• Returneze sau șteargă datele la încetarea contractului;

• Permită auditarea conformității cu GDPR.
Art. 16. Transferuri de date în afara Uniunii Europene
(1) În prezent, Societatea nu transferă datele cu caracter personal către țări din afara Uniunii Europene sau Spațiului Economic European (UE/SEE).
(2) În cazul în care un astfel de transfer ar deveni necesar în viitor (de exemplu, pentru utilizarea unor servicii cloud sau alte servicii furnizate de companii cu sediul în afara UE/SEE), Societatea va:
a) Informa persoanele vizate cu privire la transfer;
b) Implementa garanții corespunzătoare pentru protecția datelor, cum ar fi:
• Clauze contractuale standard aprobate de Comisia Europeană (Standard Contractual Clauses - SCC);
• Norme corporatiste obligatorii (Binding Corporate Rules - BCR);
• Certificate de conformitate;
• Alte mecanisme aprobate conform art. 44-50 din GDPR.
(3) Persoanele vizate vor fi informate cu privire la garanțiile implementate și vor putea solicita o copie a acestora.
CAPITOLUL V - DREPTURI ALE PERSOANELOR VIZATE
Art. 17. Drepturile generale
Orice persoană ale cărei date cu caracter personal sunt prelucrate de Societate are următoarele drepturi conform GDPR:
a) Dreptul de a fi informat cu privire la prelucrarea datelor sale (art. 13-14 GDPR);
b) Dreptul de acces la datele sale personale (art. 15 GDPR);
c) Dreptul la rectificare a datelor inexacte sau incomplete (art. 16 GDPR);
d) Dreptul la ștergerea datelor ("dreptul de a fi uitat") (art. 17 GDPR);
e) Dreptul la restricționarea prelucrării (art. 18 GDPR);
f) Dreptul la portabilitatea datelor (art. 20 GDPR);

g) Dreptul la opoziție privind prelucrarea (art. 21 GDPR);
h) Dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri (art. 22 GDPR);
i) Dreptul de a depune o plângere la autoritatea de supraveghere (art. 77 GDPR);
j) Dreptul de a introduce o cale de atac judiciară (art. 78-79 GDPR).
Art. 18. Dreptul de acces (art. 15 GDPR)
(1) Persoana vizată are dreptul de a obține de la Societate o confirmare că se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, acces la datele respective și la următoarele informații:
a) Scopurile prelucrării; b) Categoriile de date cu caracter personal vizate; c) Destinatarii sau categoriile de destinatari cărora datele le-au fost sau urmează să le fie divulgate; d) Perioada pentru care se preconizează că vor fi stocate datele; e) Existența dreptului de a solicita rectificarea, ștergerea sau restricționarea prelucrării; f) Dreptul de a depune o plângere la ANSPDCP; g) Informații despre sursa datelor (dacă acestea nu au fost colectate direct de la persoana vizată); h) Existența unui proces decizional automatizat, inclusiv crearea de profiluri.
(2) Societatea furnizează persoanei vizate o copie a datelor cu caracter personal care fac obiectul prelucrării. Pentru orice copii suplimentare solicitate, Societatea poate percepe o taxă rezonabilă bazată pe costurile administrative.
Art. 19. Dreptul la rectificare (art. 16 GDPR)
(1) Persoana vizată are dreptul de a obține de la Societate, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc.
(2) Ținându-se seama de scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a obține completarea datelor cu caracter personal incomplete, inclusiv prin furnizarea unei declarații suplimentare.
Art. 20. Dreptul la ștergerea datelor - "dreptul de a fi uitat" (art. 17 GDPR)
(1) Persoana vizată are dreptul de a obține de la Societate ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, în următoarele cazuri:
a) Datele nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;

b) Persoana își retrage consimțământul pe baza căruia are loc prelucrarea și nu există niciun alt temei juridic pentru prelucrare;
c) Persoana se opune prelucrării și nu există motive legitime care să prevaleze;
d) Datele au fost prelucrate ilegal;
e) Datele trebuie șterse pentru respectarea unei obligații legale;
f) Datele au fost colectate în legătură cu oferirea de servicii ale societății informaționale către copii.
(2) Dreptul la ștergere NU se aplică în următoarele situații:
a) Pentru exercitarea dreptului la liberă exprimare și la informare;
b) Pentru respectarea unei obligații legale care prevede prelucrarea (de ex. obligația de păstrare a documentelor fiscale 10 ani);
c) Pentru motive de interes public în domeniul sănătății publice;
d) În scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice;
e) Pentru constatarea, exercitarea sau apărarea unui drept în instanță.
(3) Societatea va informa persoana vizată dacă cererea de ștergere poate fi îndeplinită sau dacă există motive legale pentru refuz.
Art. 21. Dreptul la restricționarea prelucrării (art. 18 GDPR)
(1) Persoana vizată are dreptul de a obține de la Societate restricționarea prelucrării în următoarele cazuri:
a) Persoana contestă exactitatea datelor, pe o perioadă care permite Societății verificarea exactității datelor;
b) Prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor, solicitând în schimb restricționarea utilizării lor;
c) Societatea nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanță;
d) Persoana s-a opus prelucrării, pentru intervalul de timp în care se verifică dacă motiveledrepte ale Societății prevalează asupra celor ale persoanei vizate.

(2) Atunci când prelucrarea a fost restricționată, astfel de date pot fi prelucrate, cu excepția stocării, numai cu consimțământul persoanei vizate sau pentru constatarea, exercitarea sau apărarea unui drept în instanță, pentru protecția drepturilor altei persoane fizice sau juridice sau din motive de interes public important al Uniunii sau al unui stat membru.
Art. 22. Dreptul la portabilitatea datelor (art. 20 GDPR)
(1) Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat Societății, într-un format structurat, utilizat în mod curent și care poate fi citit automat.
(2) Persoana vizată are dreptul ca aceste date să fie transmise direct de către Societate unui alt operator, în cazul în care acest lucru este fezabil din punct de vedere tehnic.
(3) Acest drept se aplică doar atunci când:
• Prelucrarea se bazează pe consimțământ sau pe un contract;
• Prelucrarea este efectuată prin mijloace automate.
(4) Dreptul la portabilitate nu se aplică prelucrărilor necesare pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este investit Societatea.
Art. 23. Dreptul la opoziție (art. 21 GDPR)
(1) Persoana vizată are dreptul de a se opune, din motive legate de situația particulară în care se află, prelucrării datelor cu caracter personal care o privesc, în cazul în care prelucrarea:
a) Este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice;
b) Este necesară în scopul intereselor legitime ale Societății sau ale unui terț (de ex. supravegherea video, monitorizare electronică).
(2) Societatea încetează prelucrarea datelor, cu excepția cazului în care demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță.
(3) În cazul supravegherii video: Opunerea la prelucrarea imaginii prin sistemul de supraveghere video va determina, de regulă, imposibilitatea accesului persoanei respective în incinta punctului de lucru, având în vedere că supravegherea este necesară pentru securitatea tuturor persoanelor și bunurilor.

(4) În cazul marketingului direct: Persoana vizată are dreptul de a se opune în orice moment prelucrării datelor care o privesc în scopuri de marketing direct, inclusiv creării de profiluri, în măsura în care este legată de marketingul direct. Societatea va înceta prelucrarea datelor în acest scop.
Art. 24. Dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată (art. 22 GDPR)
(1) Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care o privesc sau o afectează în mod similar într-o măsură semnificativă.
(2) În prezent, Societatea nu utilizează procese decizionale automate sau crearea de profiluri care să producă efecte juridice sau să afecteze semnificativ persoanele vizate.
(3) În cazul în care în viitor se vor implementa astfel de procese, persoanele vizate vor fi informate în prealabil și li se vor oferi garanțiile corespunzătoare (intervenție umană, posibilitatea de a-și exprima punctul de vedere, de a contesta decizia).
Art. 25. Dreptul de a depune o plângere la autoritatea de supraveghere (art. 77 GDPR)
(1) Fără a aduce atingere niciunei căi de atac administrativ sau jurisdicțional, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere, persoana vizată are dreptul de a depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) dacă consideră că prelucrarea datelor sale cu caracter personal încalcă dispozițiile GDPR.
(2) Date de contact ANSPDCP:
• Adresă: B-dul G-ral. Gheorghe Magheru nr. 28-30, Sector 1, cod 010336, București, România
• Telefon: +40.318.059.211
• Fax: +40.318.059.212
• Email: anspdcp@dataprotection.ro
• Website: www.dataprotection.ro
Art. 26. Modalitatea de exercitare a drepturilor
(1) Pentru a-și exercita drepturile prevăzute în prezentul capitol, persoana vizată poate:

a) Depune o cerere scrisă la sediul punctului de lucru din str. Dunării nr. 20B, Cluj-Napoca, jud. Cluj (direct la recepție sau prin poștă/curier);
b) Trimite o cerere prin email la adresa print@pehartie.ro.
c) Utiliza formularul-tip disponibil în Anexa 4 la prezenta Politică (Formular de Exercitare a Drepturilor Persoanelor Vizate), disponibil la recepție și pe site-ul web.
(2) Cererea poate fi formulată și în formă liberă, cu condiția să conțină:
• Date de identificare ale solicitantului (nume, prenume, CNP sau alt element de identificare);
• Precizarea dreptului pe care dorește să-l exercite;
• Descrierea clară a solicitării;
• Date de contact pentru transmiterea răspunsului;
• Semnătura (pentru cererile fizice) sau confirmare identitate (pentru cererile electronice).
(3) Societatea poate solicita informații suplimentare pentru confirmarea identității solicitantului, în scopul protejării datelor împotriva accesului neautorizat.
(4) Societatea va răspunde cererii fără întârzieri nejustificate și în orice caz în termen de maximum o lună de la primirea cererii. Acest termen poate fi prelungit cu încă două luni, atunci când este necesar, ținând seama de complexitatea și numărul cererilor. În acest caz, Societatea va informa persoana vizată cu privire la prelungirea termenului în prima lună de la primirea cererii.
(5) Informațiile și măsurile luate ca urmare a exercitării drepturilor sunt furnizate cu titlu gratuit. Totuși, în cazul în care cererile sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, Societatea poate:
• Să perceapă o taxă rezonabilă, ținând seama de costurile administrative; sau
• Să refuze să dea curs cererii.
CAPITOLUL VI - MĂSURI DE SECURITATE
Art. 27. Principii generale de securitate
(1) Societatea implementează măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului, ținând seama de stadiul actual al tehnologiei, de costurile

implementării, de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscurile de probabilitate și gravitate variabilă pentru drepturile și libertățile persoanelor fizice.
(2) Măsurile de securitate au ca scop:
• Prevenirea pierderii, distrugerii, modificării sau divulgării neautorizate a datelor;
• Prevenirea accesului neautorizat la date;
• Asigurarea confidențialității, integrității, disponibilității și rezilienței sistemelor;
• Capacitatea de a restabili rapid disponibilitatea datelor în caz de incident;
• Proceduri de testare și evaluare periodică a eficacității măsurilor.
Art. 28. Măsuri tehnice de securitate
Societatea implementează următoarele măsuri tehnice pentru protecția datelor cu caracter personal:
a) Control acces fizic:
• Restricționarea accesului în zonele unde se păstrează date personale (dulapuri încuiate pentru dosare de personal, zonă cu acces limitat pentru servere/echipamente IT);
• Sistem de supraveghere video în zonele sensibile;
b) Control acces logic:
• Parole individuale pentru fiecare utilizator al sistemelor informatice;
• Parole puternice (minimum 8 caractere, combinație litere mari/mici, cifre, caractere speciale);
• Schimbarea periodică a parolelor (cel puțin o dată la 6 luni);
• Blocare automată a sesiunii după un anumit timp de inactivitate;
• Niveluri de autorizare diferențiate în funcție de rolul și atribuțiile utilizatorului;
c) Protecție antivirus și anti-malware:
• Instalarea și actualizarea periodică a soluțiilor antivirus pe toate calculatoarele și serverele;
• Scanare automată și periodică;

d) Actualizări de securitate:
• Actualizarea periodică a sistemelor de operare, aplicațiilor și firmware-ului echipamentelor;
• Instalarea promptă a patch-urilor de securitate;
e) Criptare:
• Criptarea parolelor în bazele de date (hash + salt);
• Criptarea datelor sensibile stocate (de ex. date financiare, CNP-uri);
• Criptarea comunicațiilor prin HTTPS/SSL/TLS pentru site-ul web și platforma online;
f) Backup-uri (la implementare, planificat în următoarele 6 luni):
• Backup-uri regulate ale datelor critice;
• Stocare backup-uri pe suporturi separate, securizate;
• Testarea periodică a capacității de restaurare;
g) Firewall și protecție rețea:
• Configurarea firewall-ului pentru restricționarea accesului neautorizat;
• Segmentarea rețelei (separarea rețelei de producție de rețeaua de administrare, dacă este cazul);
h) Monitorizare și logging:
• Înregistrarea acceselor la sistemele critice (log-uri);
• Monitorizarea activităților suspecte;
i) Protecție pentru site-ul web și platforma online:
• Certificat SSL/TLS pentru conexiuni securizate (HTTPS);
• Protecție împotriva atacurilor DDoS, SQL injection, XSS;
• Actualizări regulate ale platformei și plugin-urilor;
• Validare și sanitizare input-uri utilizator.
Art. 29. Măsuri organizatorice de securitate

Societatea implementează următoarele măsuri organizatorice pentru protecția datelor cu caracter personal:
a) Politici și proceduri:
• Prezenta Politică de Confidențialitate și Protecție a Datelor;
• Regulamentul de Ordine Interioară (cu prevederi GDPR);
• Procedura de Gestionare a Incidentelor de Securitate (Anexa 5);
• Politica privind Supravegherea Video (Anexa 8);
• Proceduri specifice pentru fiecare categorie de prelucrare;
b) Responsabilități clare:
• Desemnarea persoanei responsabile cu protecția datelor (Vlad Milonean, Administrator);
• Atribuirea clară a responsabilităților în fișele de post (Anexa 11);
c) Instruirea personalului:
• Instruire inițială în domeniul protecției datelor pentru toți angajații noi;
• Instruiri periodice (cel puțin o dată la doi ani) pentru menținerea și actualizarea cunoștințelor;
• Instruiri suplimentare în caz de modificări legislative sau proceduri noi;
• Conștientizare cu privire la riscurile de securitate (phishing, social engineering, etc.);
d) Angajamente de confidențialitate:
• Toți angajații semnează Angajamentul de Confidențialitate (Anexa 7);
• Angajații care prelucrează date personale semnează Anexa la Fișa Postului (Anexa 11);
e) Limitarea accesului la date:
• Principiul "need to know" – angajații au acces doar la datele strict necesare pentru îndeplinirea atribuțiilor;
• Evidența persoanelor cu drept de acces la diferite categorii de date;
f) Gestionarea accesului terților:

• Verificarea identității persoanelor care solicită acces la date (clienți care vin să ridice comenzi, furnizori, etc.);
• Însoțirea vizitatorilor în zonele sensibile;
g) Contracte cu persoane împuternicite:
• Toate contractele cu furnizori care prelucrează date personale în numele Societății conțin clauze GDPR (Anexa 6);
• Verificarea măsurilor de securitate implementate de persoanele împuternicite;
h) Distrugerea securizată a datelor:
• Fragmentarea documentelor fizice care conțin date personale atunci când nu mai sunt necesare;
• Ștergerea ireversibilă a datelor electronice (nu doar ștergere simplă, ci suprascriere sau distrugere fizică a suporturilor);
i) Registre de evidență:
• Registrul de Evidență a Activităților de Prelucrare (Anexa 1);
• Registrul de Incidente de Securitate (menținut conform Procedurii - Anexa 5);
• Registrul de Cereri ale Persoanelor Vizate (dacă se primesc cereri);
j) Evaluarea periodică:
• Revizuirea anuală a măsurilor de securitate;
• Teste de penetrare sau audituri de securitate (la necesitate);
• Actualizarea măsurilor în funcție de noile riscuri identificate.
Art. 30. Gestionarea suporturilor care conțin date personale
(1) Documente fizice (dosare de personal, facturi, contracte):
• Păstrare în dulapuri încuiate sau în zone cu acces restricționat;
• Evidența clară a documentelor (inventariere, arhivare conform nomenclatorului);
• Distrugere prin fragmentare când documentele nu mai sunt necesare.
(2) Suporturi electronice (USB, hard disk-uri externe, DVD-uri):

• Utilizarea preferabilă a suporturilor criptate;
• Evidența suporturilor care conțin date personale;
• Ștergere securizată înainte de cedarea/casarea suporturilor.
(3) Echipamente IT (calculatoare, imprimante, faxuri):
• Ștergerea securizată a datelor înainte de reparare, vânzare sau casare;
• Distrugere fizică a hard disk-urilor în caz de echipamente foarte vechi sau defecte.
(4) Transport documente/suporturi:
• Utilizarea de plicuri securizate, sigilate;
• Transport personal sau prin curier de încredere, cu confirmare de primire.
CAPITOLUL VII - OBLIGAȚII ALE ANGAJAȚILOR
Art. 31. Obligații generale
Toți angajații Societății, indiferent de funcția ocupată, au următoarele obligații generale în domeniul protecției datelor cu caracter personal:
a) Respectarea GDPR și a prezentei Politici:
• Să cunoască și să respecte prevederile Regulamentului (UE) 2016/679 (GDPR), ale legislației naționale aplicabile și ale prezentei Politici;
b) Confidențialitate:
• Să păstreze confidențialitatea strictă a tuturor datelor cu caracter personal la care au acces în exercitarea atribuțiilor de serviciu;
• Să nu divulge, nu transmită și nu comunice date cu caracter personal către persoane neautorizate (inclusiv către alți angajați care nu au nevoie să le cunoască, către familia/prieteni, pe rețele sociale);
• Obligația de confidențialitate subzistă și după încetarea contractului de muncă;
c) Raportarea incidentelor:

• Să raporteze imediat (în maximum 12 ore) către persoana responsabilă cu protecția datelor (Vlad Milonean) orice incident de securitate a datelor personale: pierdere, furt, acces neautorizat, divulgare accidentală, etc.;
d) Cooperare:
• Să coopereze cu persoana responsabilă cu protecția datelor și cu autoritatea de supraveghere (ANSPDCP) în cazul controlurilor sau investigațiilor;
e) Instruire:
• Să participe la instruirile periodice organizate de Societate în domeniul protecției datelor.
Art. 32. Obligații specifice pentru personalul administrativ și de birouri
Angajații care lucrează cu dosare de personal, documente fiscale, contracte cu clienți sau alte documente care conțin date personale au următoarele obligații suplimentare:
a) Să nu lase documente nesupravegheate pe birouri sau în zone accesibile publicului;
b) Să blocheze computerul ori de câte ori se deplasează de la birou, chiar și pentru perioade scurte;
c) Să păstreze dosarele și documentele în dulapuri încuiate la sfârșitul programului;
d) Să nu divulge informații salariale, evaluări de performanță sau alte date confidențiale ale colegilor;
e) Să distrugă prin fragmentare documentele care conțin date personale atunci când nu mai sunt necesare;
f) Să nu trimită documente cu date personale prin email către destinatari greșiți sau prin canale nesecurizate.
Art. 33. Obligații specifice pentru personalul de producție (design grafic, pretipărire, tipărire, legătorie)
Angajații care lucrează cu fișierele clienților și cu materialele transmise pentru tipărire au următoarele obligații esențiale:
a) Confidențialitatea conținutului materialelor:
• Să nu divulge conținutul materialelor clienților (texte, imagini, documente) către nicio persoană din afara Societății (inclusiv familie, prieteni, pe rețele sociale);
• Să nu discute despre conținutul comenzilor în locuri publice sau în prezența persoanelor neautorizate;
• Să trateze toate materialele clienților cu discreție maximă, indiferent de natura conținutului (personal, profesional, sensibil);

b) Interzicerea copierii și stocării neautorizate:
• Să NU copieze, NU stocheze și NU transmită fișierele clienților pe dispozitive personale (stick USB propriu, hard disk extern personal, cont cloud personal precum Google Drive/Dropbox personal, email personal);
• Să NU facă fotografii sau capturi de ecran ale materialelor clienților pentru uz personal;
• Să lucreze cu fișierele clienților exclusiv pe echipamentele și în sistemele de lucru ale Societății;
c) Ștergerea fișierelor după finalizare:
• Să șteargă fișierele de lucru temporare, versiunile draft și alte fișiere auxiliare după finalizarea comenzii, cu excepția cazului în care clientul solicită expres păstrarea pentru comenzi viitoare;
• Să se asigure că fișierele nu rămân pe desktop, în folderele de download sau în alte locații accesibile;
d) Manipularea fizică a materialelor:
• Să păstreze produsele finite și semifabricatele în zone securizate, cu acces restricționat;
• Să nu lase materiale ale clienților (printuri, machete, probe) nesupravegheate în zonele accesibile vizitatorilor;
e) Prevenirea erorilor:
• Să verifice cu atenție că materialul livrat corespunde comenzii clientului corect (nu se livrează din greșeală materiale ale altui client);
• Să eticheteze clar comenzile pentru a evita confuziile.
Art. 34. Obligații specifice pentru personalul de recepție/vânzări/relații cu clienții
Angajații care interacționează direct cu clienții au următoarele obligații:
a) Să solicite datele personale ale clienților numai în măsura strict necesară pentru prestarea serviciului sau emiterea facturii;
b) Să nu divulge informații despre comenzile, prețurile sau datele personale ale altor clienți;
c) Să informeze clienții cu privire la prelucrarea datelor lor personale prin punerea la dispoziție a Notificării GDPR pentru clienți (Anexa 3);

d) Să obțină consimțământul scris al clienților persoane fizice pentru emiterea facturilor cu CNP (Anexa 9);
e) Să verifice identitatea clientului la ridicarea comenzilor de valoare mare sau cu caracter confidențial;
f) Să răspundă politicos și prompt la întrebările clienților legate de protecția datelor, orientându-i către persoana responsabilă (Vlad Milonean) pentru clarificări suplimentare.
Art. 35. Obligații specifice pentru personalul IT (dacă există funcții dedicate sau responsabilități IT)
Angajații cu responsabilități în domeniul IT au următoarele obligații:
a) Să configureze și să mențină măsurile tehnice de securitate (parole, criptare, firewall, antivirus, backup-uri);
b) Să gestioneze drepturile de acces la sistemele informatice conform principiului "need to know";
c) Să monitorizeze și să raporteze tentativele de acces neautorizat sau alte activități suspecte;
d) Să efectueze backup-uri regulate și să testeze capacitatea de restaurare;
e) Să șteargă securizat datele de pe echipamentele IT care urmează să fie reparate, vândute sau casate.
Art. 36. Sancțiuni pentru nerespectarea obligațiilor
(1) Nerespectarea obligațiilor prevăzute în prezentul capitol constituie abatere disciplinară și se sancționează conform Regulamentului de Ordine Interioară și Codului Muncii.
(2) În funcție de gravitatea abaterii, se pot aplica următoarele sancțiuni disciplinare:
• Avertisment scris;
• Suspendarea contractului individual de muncă;
• Retrogradarea din funcție;
• Reducerea salariului de bază;
• Desfacerea disciplinară a contractului individual de muncă (pentru abaterile grave sau repetate, cum ar fi divulgarea intenționată a datelor personale, copierea neautorizată a fișierelor clienților, accesul neautorizat la date sensibile).

(3) Fără a aduce atingere sancțiunilor disciplinare, angajatul poate fi tras la răspundere civilă (obligația de a repara prejudiciul cauzat Societății sau persoanelor vizate) sau, după caz, la răspundere penală (în cazul în care faptele constituie infracțiuni conform Codului Penal sau altor legi speciale).
CAPITOLUL VIII - GESTIONAREA INCIDENTELOR DE SECURITATE
Art. 37. Definiție
(1) Prin incident de securitate a datelor cu caracter personal (încălcare a securității datelor) se înțelege o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.
(2) Exemple de incidente de securitate includ, fără a se limita la:
• Pierderea sau furtul unui laptop, stick USB, hard disk extern, telefon mobil sau alt dispozitiv care conține date personale;
• Accesul neautorizat la bazele de date, dosarele de personal, fișierele clienților;
• Trimiterea prin eroare a unui email cu date personale către destinatari greșiți;
• Divulgarea accidentală sau intenționată a datelor către persoane neautorizate;
• Atacuri cibernetice (virus, malware, ransomware, phishing, hacking);
• Distrugerea sau deteriorarea accidentală a suporturilor care conțin date personale;
• Furtul de documente fizice (dosare, facturi, contracte);
• Modificarea neautorizată a datelor în sistemele informatice;
• Accesul neautorizat la înregistrările video de pe camerele de supraveghere.
Art. 38. Obligația de raportare imediată
(1) Orice angajat care ia cunoștință despre un incident de securitate sau despre o suspiciune de incident are obligația de a raporta imediat acest lucru persoanei responsabile cu protecția datelor (Vlad Milonean).
(2) Raportarea se face fără întârziere, în termen de maximum 12 ore de la luarea la cunoștință, prin orice mijloc disponibil:

• Telefonic: +40 772 073 306
• Email: print@pehartie.ro
• Comunicare directă
(3) Raportarea se face indiferent de ziua săptămânii sau ora din zi. În cazul unui incident grav, se contactează persoana responsabilă și în afara programului de lucru.
Art. 39. Procedura detaliată de gestionare
Procedura completă de gestionare a incidentelor de securitate este detaliată în Anexa 5 - Procedura de Gestionare a Incidentelor de Securitate a Datelor cu Caracter Personal, care cuprinde:
• Etapele de gestionare a incidentului (de la raportare până la închidere);
• Măsuri imediate de limitare a impactului;
• Investigarea incidentului;
• Evaluarea necesității notificării către ANSPDCP (în termen de 72 de ore);
• Evaluarea necesității comunicării către persoanele vizate (dacă există risc ridicat);
• Măsuri corective și preventive;
• Documentarea în Registrul de Incidente.
Art. 40. Notificarea către ANSPDCP
(1) Dacă un incident de securitate poate genera un risc pentru drepturile și libertățile persoanelor vizate, Societatea notifică incidentul către ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) în termen de maximum 72 de ore de la luarea la cunoștință despre incident.
(2) Notificarea se face conform procedurii detaliate în Anexa 5 și conține informații despre natura încălcării, categoriile și numărul de persoane afectate, consecințele probabile și măsurile luate.
Art. 41. Comunicarea către persoanele vizate
(1) Dacă un incident de securitate poate genera un risc ridicat pentru drepturile și libertățile persoanelor vizate, Societatea comunică incidentul și persoanelor vizate afectate, fără întârzieri nejustificate.

(2) Comunicarea descrie natura încălcării într-un limbaj clar și simplu, și include recomandări pentru persoanele vizate privind măsurile pe care le pot lua pentru a se proteja.
(3) Detalii complete despre comunicarea către persoanele vizate sunt incluse în Anexa 5.
CAPITOLUL IX - PRELUCRĂRI SPECIFICE
SECȚIUNEA 1 - PRELUCRAREA DATELOR PRIN INTERMEDIUL SITE-ULUI WEB ȘI COOKIES
Art. 42. Categorii de date colectate prin site-ul web
(1) Prin intermediul site-ului web al Societății (www.printlab.ro sau alt domeniu), precum și prin intermediul platformei online PeHârtie.ro, se colectează următoarele categorii de date cu caracter personal:
A. Date furnizate direct de utilizatori:
• Date din formulare de contact: nume, email, telefon, mesaj;
• Date din formulare de comandă online: nume, adresă livrare, telefon, email, specificații comandă;
• Date de creare cont PeHârtie.ro: username, email, parolă (criptată), adresă, telefon;
• Date din formulare de newsletter (la implementare): email, nume (opțional), consimțământ.
B. Date colectate automat prin tehnologii web:
• Adresa IP a dispozitivului utilizatorului;
• Tipul browserului și versiunea;
• Sistemul de operare;
• Data și ora accesării site-ului;
• Paginile vizitate, timpul petrecut pe fiecare pagină;
• Clickuri, scroll, elemente cu care utilizatorul interacționează;
• Referrer (site-ul de pe care a venit utilizatorul);
• Date de localizare aproximativă (oraș, țară - derivate din IP);
• Rezoluția ecranului, limba browserului.

(2) Aceste date sunt colectate prin utilizarea cookie-urilor și a altor tehnologii similare (web beacons, pixel tags, local storage).
Art. 43. Ce sunt cookie-urile
(1) Cookie-urile sunt fișiere text de mici dimensiuni pe care site-ul web le stochează pe dispozitivul utilizatorului (computer, telefon, tabletă) atunci când acesta vizitează site-ul.
(2) Cookie-urile permit site-ului să recunoască dispozitivul utilizatorului la vizitele ulterioare și să îmbunătățească experiența de navigare.
(3) Tipuri de cookie-uri utilizate:
A. În funcție de durata de viață:
• Cookie-uri de sesiune – sunt șterse automat când utilizatorul închide browserul;
• Cookie-uri persistente – rămân stocate pe dispozitiv pentru o perioadă determinată (de ex. 30 de zile, 1 an, 2 ani) sau până când utilizatorul le șterge manual.
B. În funcție de emitent:
• Cookie-uri first-party – sunt setate direct de site-ul Societății;
• Cookie-uri third-party – sunt setate de servicii terțe integrate în site (de ex. Google Analytics, Facebook Pixel, dacă sunt utilizate).
C. În funcție de scop:
• Cookie-uri strict necesare (esențiale) – indispensabile pentru funcționarea site-ului (de ex. autentificare utilizator, coș de cumpărături, securitate);
• Cookie-uri de performanță / analiză – colectează informații despre modul în care vizitatorii utilizează site-ul (pagini vizitate, erori întâlnite), pentru îmbunătățirea site-ului;
• Cookie-uri de funcționalitate – memorează preferințele utilizatorului (de ex. limba, regiunea, setări personalizate);
• Cookie-uri de marketing / publicitate – urmăresc activitatea utilizatorului pe site și pe alte site-uri pentru a afișa publicitate personalizată.
Art. 44. Utilizarea cookie-urilor de către Societate
(1) Societatea utilizează următoarele categorii de cookie-uri:
A. Cookie-uri strict necesare (esențiale):

• Scop: Funcționarea tehnică a site-ului, autentificare utilizator pe PeHârtie.ro, gestionarea coșului de cumpărături, securitate (protecție CSRF).
• Temei juridic: Art. 6 alin. (1) lit. f) GDPR – interes legitim (funcționarea site-ului).
• Consimțământ necesar: NU – aceste cookie-uri sunt strict necesare și nu necesită consimțământ.
• Durata: Sesiune sau max. 30 de zile.
• Exemple: cookie_consent, session_id, csrf_token, auth_token, cart_id.
B. Cookie-uri de performanță / analiză (dacă sunt utilizate, de ex. Google Analytics):
• Scop: Analizarea traficului pe site, înțelegerea comportamentului utilizatorilor, îmbunătățirea site-ului.
• Temei juridic: Art. 6 alin. (1) lit. a) GDPR – consimțământ.
• Consimțământ necesar: DA – se obține prin banner cookie-uri.
• Durata: Max. 24 luni.
• Exemple: _ga, _gid, _gat (Google Analytics).
• Transfer date: Datele pot fi transferate către Google LLC (SUA), cu garanții corespunzătoare.
C. Cookie-uri de funcționalitate (dacă sunt utilizate):
• Scop: Memorarea preferințelor utilizatorului (limba, regiune, setări personalizate).
• Temei juridic: Art. 6 alin. (1) lit. f) GDPR – interes legitim (îmbunătățire experiență utilizator).
• Consimțământ necesar: DA (în general, pentru siguranță se solicită consimțământ).
• Durata: Max. 12 luni.
• Exemple: language_preference, region_preference.
D. Cookie-uri de marketing / publicitate (la implementarea campaniilor):
• Scop: Afișarea de publicitate personalizată, remarketing, tracking conversii.
• Temei juridic: Art. 6 alin. (1) lit. a) GDPR – consimțământ.
• Consimțământ necesar: DA – se obține prin banner cookie-uri.

• Durata: Max. 12 luni (conform bune practici).
• Exemple: _fbp (Facebook Pixel), ads/ga-audiences (Google Ads).
• Transfer date: Datele pot fi transferate către SUA (Facebook, Google), cu garanții corespunzătoare.
(2) Banner cookie-uri și gestionarea consimțământului:
a) La prima vizitare a site-ului, utilizatorul este informat prin intermediul unui banner cookie-uri (pop-up sau bară) despre utilizarea cookie-urilor;
b) Banner-ul conține informații clare despre:
• Ce sunt cookie-urile;
• Ce tipuri de cookie-uri se utilizează;
• Scopurile utilizării;
• Link către Politica de cookie-uri detaliată;
c) Utilizatorul poate:
• Accepta toate cookie-urile (inclusiv ne-esențiale);
• Respinge cookie-urile ne-esențiale (doar cookie-uri strict necesare);
• Personaliza setările (alege ce categorii de cookie-uri acceptă);
d) Cookie-urile ne-esențiale (analiză, funcționalitate, marketing) nu vor fi activate înainte de obținerea consimțământului utilizatorului;
e) Utilizatorul poate retrage consimțământul oricând prin intermediul link-ului "Setări cookie-uri" disponibil în footer-ul site-ului sau poate șterge manual cookie-urile din browser.
(3) Politica de cookie-uri detaliată:
O Politică de cookie-uri detaliată este disponibilă pe site-ul Societății, accesibilă prin link în footer și în banner-ul cookie-uri. Aceasta conține:
• Lista completă a cookie-urilor utilizate (nume, scop, durata, emitent);
• Instrucțiuni despre cum să gestioneze/șteargă cookie-urile din browser;
• Informații despre drepturile utilizatorilor.
Art. 45. Drepturile utilizatorilor privind cookie-urile

(1) Utilizatorii au următoarele drepturi:
a) Dreptul de a refuza cookie-urile ne-esențiale prin banner-ul cookie-uri;
b) Dreptul de a-și retrage consimțământul oricând, prin setările cookie-uri de pe site sau prin ștergerea cookie-urilor din browser;
c) Dreptul de a șterge manual cookie-urile din browser (instrucțiuni disponibile în Politica de cookie-uri);
d) Dreptul de a dezactiva cookie-urile la nivelul browserului (cu mențiunea că acest lucru poate afecta funcționarea site-ului).
(2) Ștergerea sau refuzul cookie-urilor nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia.
SECȚIUNEA 2 - PLATFORMA ONLINE PeHârtie.ro
Art. 46. Descrierea platformei
(1) PeHârtie.ro este o platformă online dezvoltată și administrată de PRINTLAB INTERNATIONAL S.R.L., care permite utilizatorilor să:
• Creeze conturi de utilizator;
• Încarce fișiere pentru tipărire;
• Personalizeze specificațiile comenzilor (format, cantitate, tipul hârtiei, finisaje, etc.);
• Plaseze comenzi online;
• Urmărească statusul comenzilor;
• Gestioneze istoricul comenzilor;
• Salveze adrese de livrare și preferințe.
(2) Utilizarea platformei PeHârtie.ro necesită crearea unui cont de utilizator, ceea ce implică prelucrarea datelor cu caracter personal conform prezentei Politici.
Art. 47. Date prelucrate prin PeHârtie.ro
(1) Pentru crearea și gestionarea contului de utilizator pe PeHârtie.ro, se colectează și prelucrează următoarele date:
A. Date obligatorii pentru creare cont:

• Adresă de email (utilizată ca username);
• Parolă (stocată criptată - Societatea nu are acces la parola în clar);
• Nume, prenume;
• Număr de telefon.
B. Date opționale sau colectate ulterior:
• Adrese de livrare (adresă, persoană contact, telefon);
• Preferințe personalizate (specificații predefinite pentru comenzi);
• Istoric comenzi (comenzi plasate, fișiere încărcate, specificații, prețuri, statusuri);
• Date de plată (dacă se implementează plata online) – număr card, dată expirare (procesate de procesatorul de plăți, nu stocate de Societate);
• Facturi emise pentru comenzile plasate online.
C. Date tehnice:
• Adresă IP la autentificare;
• Data și ora ultimei autentificări;
• Dispozitiv și browser utilizat;
• Tokeni de sesiune (pentru menținerea autentificării).
D. Fișierele încărcate pentru tipărire:
• Conținutul fișierelor (texte, imagini, documente) – prelucrat conform art. 11 alin. (1) lit. F.
(2) Temeiuri juridice:
• Art. 6 alin. (1) lit. b) GDPR – executarea contractului (prestarea serviciilor de tipărire online);
• Art. 6 alin. (1) lit. f) GDPR – interesul legitim (îmbunătățirea platformei, securitatea conturilor).
Art. 48. Securitatea conturilor pe PeHârtie.ro
(1) Societatea implementează măsuri tehnice pentru securitatea conturilor utilizatorilor:

a) Parolele sunt stocate criptate (hash cu algoritm puternic + salt) – Societatea nu poate vedea parolele utilizatorilor în clar;
b) Cerințe pentru parole: Utilizatorii sunt încurajați să creeze parole puternice (minimum 8 caractere, combinație litere, cifre, caractere speciale);
c) Autentificare securizată: Conexiunea la platformă se face prin HTTPS (criptare SSL/TLS);
d) Limitare tentative de autentificare: Blocarea temporară a contului după un număr de tentative eșuate de autentificare (protecție împotriva atacurilor brute force);
e) Deconectare automată: După o perioadă de inactivitate, utilizatorul este deconectat automat pentru protecție;
f) Recuperare parolă: Procedură securizată de resetare parolă prin link trimis pe email (link valabil pentru o perioadă limitată).
(2) Responsabilitatea utilizatorului:
a) Utilizatorul are obligația de a păstra confidențialitatea parolei și de a nu o împărtăși cu alte persoane;
b) Utilizatorul trebuie să notifice imediat Societatea în cazul în care suspectează că contul său a fost compromis;
c) Utilizatorul răspunde pentru activitățile desfășurate prin contul său până la notificarea Societății despre compromitere.
Art. 49. Ștergerea contului pe PeHârtie.ro
(1) Utilizatorul poate solicita ștergerea contului oricând, prin:
• Funcționalitatea "Șterge cont" din setările platformei; sau
• Cerere scrisă transmisă la adresa print@pehartie.ro sau la sediul punctului de lucru.
(2) La ștergerea contului:
a) Datele personale ale utilizatorului (nume, email, telefon, adrese) vor fi șterse ireversibil din platformă;
b) Istoricul comenzilor și facturile vor fi păstrate pentru 10 ani conform obligațiilor legale fiscale și contabile, dar fără legătură cu contul utilizatorului (anonimizate parțial);
c) Fișierele încărcate pentru comenzile finalizate vor fi șterse (cu excepția cazului în care utilizatorul a solicitat expres păstrarea lor);

d) Ștergerea contului este ireversibilă – utilizatorul nu va mai putea accesa istoricul comenzilor din platformă după ștergere.
(3) Dacă contul rămâne inactiv (fără autentificare) pentru o perioadă de 3 ani consecutivi, Societatea poate șterge contul și datele asociate, cu notificare prealabilă pe email (cu minimum 30 de zile înainte).
SECȚIUNEA 3 - CONȚINUTUL MATERIALELOR TRANSMISE DE CLIENȚI PENTRU TIPĂRIRE
Art. 50. Natura prelucrării conținutului materialelor
(1) În cadrul prestării serviciilor de tipărire, design grafic, pretipărire și activități conexe, clienții transmit Societății fișiere care conțin textele, imaginile și alte elemente care urmează să fie tipărite (denumite în continuare "materiale" sau "fișiere").
(2) Aceste materiale pot conține:
• Texte (documente personale, profesionale, contracte, rapoarte, cărți, reviste, flyere, broșuri, etc.);
• Imagini și fotografii (personale, profesionale, artistice);
• Grafice, diagrame, ilustrații;
• Date cu caracter personal ale clientului sau ale altor persoane (de ex. nume, adrese, fotografii, CNP-uri, semnături, date medicale, financiare, juridice, etc.).
(3) IMPORTANT: Societatea nu verifică și nu monitorizează în mod activ conținutul materialelor transmise de clienți. Prelucrarea conținutului se realizează exclusiv în scopul executării serviciului de tipărire solicitat de client.
Art. 52. Scopurile prelucrării conținutului materialelor
Societatea prelucrează conținutul materialelor transmise de clienți exclusiv în următoarele scopuri legitime:
a) Verificare tehnică: Analiza fișierelor pentru a verifica dacă sunt conforme cu specificațiile tehnice necesare tipăririi (rezoluție, format, culori, fonturi, bleed, etc.);
b) Ajustări grafice: Efectuarea de ajustări tehnice solicitate de client sau necesare pentru asigurarea calității tipăririi (corectare culori, ajustare dimensiuni, adăugare bleed, conversie format, etc.);

c) Pregătire pentru tipar: Procesarea fișierelor pentru a le face compatibile cu echipamentele de tipărire (RIP, separare culori, zona bleed, etc.);
d) Execuția tipăririi: Trimiterea fișierelor către echipamentele de tipărire pentru execuția comenzii;
e) Control calitate: Verificarea produselor finite pentru a se asigura că corespund fișierelor originale și specificațiilor comenzii;
f) Arhivare temporară: Păstrarea fișierelor pe durata execuției comenzii și, dacă clientul solicită expres, pentru comenzi viitoare.
Art. 53. Limitări și interdicții
Societatea NU utilizează conținutul materialelor transmise de clienți pentru:
a) Scopuri de marketing (analiză comportament consumatori, profilare, publicitate personalizată);
b) Dezvoltare algoritmi sau antrenare modele de inteligență artificială (machine learning, AI);
c) Creare baze de date cu conținut al clienților pentru uz propriu sau comercializare către terți;
d) Publicare, distribuire sau divulgare către terți (cu excepția subcontractorilor strict necesari pentru execuția comenzii, conform art. 15 și art. 54);
e) Utilizare creativă proprie (inspirație pentru designuri, portofolii, exemple) – fără consimțământul explicit al clientului;
f) Orice alt scop care nu este legat direct de executarea serviciului de tipărire solicitat.
Art. 54. Transmiterea fișierelor către subcontractori
(1) În anumite situații, Societatea poate externaliza execuția unor comenzi sau a unor părți din comenzi către subcontractori (parteneri tipografii, servicii specializate de finisare, etc.).
(2) În aceste cazuri:
a) Subcontractorii primesc doar fișierele și datele strict necesare pentru execuția părții de comandă externalizată;
b) Toți subcontractorii sunt obligați contractual prin clauze GDPR (Anexa 6) să:
• Prelucreze datele (inclusiv conținutul fișierelor) exclusiv conform instrucțiunilor Societății;

• Nu divulge conținutul către terți;
• Nu utilizeze conținutul în alte scopuri;
• Șteargă fișierele după finalizarea lucrării;
• Implementeze măsuri de securitate adecvate;
c) Societatea verifică periodic conformitatea subcontractorilor cu aceste obligații.
Art. 55. Responsabilitatea clientului privind legalitatea conținutului
(1) Clientul este singurul responsabil pentru:
a) Legalitatea conținutului materialelor transmise pentru tipărire (respectarea drepturilor de autor, a drepturilor conexe, a drepturilor de proprietate intelectuală);
b) Respectarea GDPR în ceea ce privește datele cu caracter personal ale terților cuprinse în materiale:
• Obținerea consimțământului persoanelor vizate (dacă este necesar);
• Informarea persoanelor vizate cu privire la prelucrare;
• Respectarea drepturilor persoanelor vizate;
c) Respectarea legislației în general (nedivulgare secrete de stat, date clasificate, informații confidențiale ale terților, conținut ilegal, etc.).
(2) Societatea nu verifică și nu poartă răspundere pentru:
a) Legalitatea conținutului materialelor transmise de clienți;
b) Existența sau lipsa consimțământului persoanelor ale căror date personale sunt cuprinse în materiale;
c) Încălcarea drepturilor de autor, a drepturilor conexe sau a altor drepturi de proprietate intelectuală prin conținutul materialelor;
d) Prejudiciile cauzate terților prin conținutul materialelor.
(3) Prin transmiterea materialelor către Societate pentru tipărire, clientul declară și garantează că:
a) Deține toate drepturile necesare asupra conținutului materialelor sau a obținut toate autorizațiile necesare de la titularii de drepturi;

b) A obținut toate consimțământurile necesare de la persoanele ale căror date cu caracter personal sunt cuprinse în materiale (dacă este cazul);
c) Conținutul materialelor nu încalcă nicio dispoziție legală și nu prejudiciază drepturi ale terților;
d) Își asumă întreaga răspundere pentru conținutul materialelor și exonerează Societatea de orice răspundere în acest sens.
(4) Societatea își rezervă dreptul de a refuza execuția unei comenzi dacă:
a) Constată în mod evident că materialele conțin conținut ilegal (de ex. incitare la ură, violență, pornografie infantilă, îndemn la comiterea de infracțiuni);
b) Primește o notificare legală de la o autoritate competentă sau de la un terț prejudiciat prin care i se solicită să nu execute comanda.
(5) În cazul unui litigiu între client și terți privind conținutul materialelor tipărite, clientul va apăra interesele Societății și va despăgubi Societatea pentru orice prejudiciu suferit (amenzi, daune acordate în instanță, cheltuieli de judecată, etc.).
Art. 56. Securitatea fișierelor clienților
(1) Societatea implementează măsuri tehnice și organizatorice pentru protecția fișierelor transmise de clienți:
A. Măsuri tehnice:
• Stocare pe servere/calculatoare protejate prin parolă;
• Criptare conexiuni pentru transfer fișiere (HTTPS, SFTP);
• Protecție antivirus și anti-malware;
• Backup-uri (la implementare) pentru prevenirea pierderii accidentale;
• Segregare fișiere clienți diferiți (foldere separate, acces restricționat);
B. Măsuri organizatorice:
• Acces la fișierele clienților doar pentru angajații care au nevoie strict necesară pentru execuția comenzii (designeri, operatori pretipărire, operatori mașini de tipărit);
• Interzicerea copierii, stocării sau transmiterii fișierelor pe dispozitive personale (conform art. 33);
• Angajamente de confidențialitate semnate de toți angajații (Anexa 7);

• Instruirea personalului cu privire la confidențialitatea fișierelor;
• Ștergerea fișierelor după finalizarea comenzii (cu excepțiile prevăzute).
Art. 57. Păstrarea și ștergerea fișierelor
(1) Regula generală: Fișierele transmise de clienți pentru tipărire sunt șterse după finalizarea comenzii (livrarea produselor și confirmarea acceptării de către client).
(2) Excepții:
A. Păstrare la solicitarea expresă a clientului:
• Dacă clientul solicită expres păstrarea fișierelor pentru comenzi viitoare (reimprimare, retipărire), Societatea păstrează fișierele până la solicitarea ștergerii de către client;
• Această solicitare se face în scris (email, formular) și se arhivează;
• Clientul poate solicita oricând ștergerea fișierelor păstrate.
B. Păstrare pentru arhivă personală client:
• Unii clienți solicită ca Societatea să păstreze o arhivă digitală a lucrărilor tipărite (de ex. edituri, companii cu materiale recurente);
• Păstrarea se face pe bază contractuală sau de consimțământ explicit;
• Se stabilește perioada de păstrare și condițiile de acces.
C. Păstrare temporară pentru garanție calitate:
• Pentru comenzile complexe sau de valoare mare, fișierele pot fi păstrate pentru o perioadă scurtă după livrare (de ex. 30 de zile) pentru a putea rezolva eventualele reclamații sau retipăriri în garanție;
• După expirarea acestei perioade, fișierele sunt șterse.
(3) Ștergerea fișierelor se realizează ireversibil (nu doar delete simplu, ci suprascriere sau ștergere securizată).
(4) Clientul poate solicita oricând confirmarea ștergerii fișierelor sale, prin cerere scrisă adresată Societății.
Art. 58. Drepturile clienților privind fișierele transmise
Clienții au următoarele drepturi cu privire la fișierele pe care le-au transmis Societății:

a) Dreptul de acces: Pot solicita confirmarea că Societatea deține fișierele lor și pot primi o copie a acestora;
b) Dreptul la ștergere: Pot solicita ștergerea imediată a fișierelor (cu excepția situațiilor în care există obligații legale de păstrare sau comenzi în curs de execuție);
c) Dreptul la portabilitate: Pot solicita returnarea fișierelor într-un format utilizat în mod curent (dacă Societatea a efectuat modificări asupra fișierelor originale);
d) Dreptul la informare: Pot solicita informații despre cum sunt prelucrate, stocate și protejate fișierele lor.
Aceste drepturi se exercită conform procedurii generale prevăzute la art. 26.
CAPITOLUL X - DISPOZIȚII FINALE
Art. 59. Revizuirea și actualizarea Politicii (fost art. 38)
(1) Prezenta Politică se revizuiește și se actualizează periodic, cel puțin o dată pe an, sau ori de câte ori:
a) Intervin modificări legislative în domeniul protecției datelor cu caracter personal;
b) Se modifică scopurile sau modalitățile de prelucrare a datelor;
c) Apar noi categorii de persoane vizate sau noi categorii de date prelucrate;
d) Se modifică tehnologiile sau sistemele informatice utilizate;
e) Se identifică deficiențe în aplicarea măsurilor de securitate;
f) ANSPDCP emite decizii, recomandări sau ghiduri relevante;
g) Apar incidente de securitate majore care necesită îmbunătățiri ale politicii.
(2) Revizuirea și actualizarea se realizează sub coordonarea persoanei responsabile cu protecția datelor (Vlad Milonean), cu consultarea, după caz, a consultanților juridici, a furnizorilor de servicii IT, și a reprezentanților angajaților.
(3) Orice modificare semnificativă a Politicii va fi comunicată persoanelor vizate (angajați, clienți cu conturi active pe PeHârtie.ro) prin:
• Afișare la punctul de lucru;
• Publicare pe site-ul web;

• Notificare prin email (pentru clienții cu conturi active);
• Informare directă a angajaților în cadrul ședințelor.
Art. 60. Intrarea în vigoare (fost art. 39)
(1) Prezenta Politică intră în vigoare la data de 01.01.2026 și înlocuiește orice politică anterioară în domeniul protecției datelor cu caracter personal.
(2) Politica se aplică tuturor activităților de prelucrare a datelor cu caracter personal desfășurate de Societate după această dată.
(3) Pentru prelucrările în curs la data intrării în vigoare, Societatea va lua măsurile necesare pentru aducerea lor în conformitate cu prezenta Politică într-un termen rezonabil (maximum 3 luni).
Art. 61. Afișare și accesibilitate (fost art. 40)
(1) Prezenta Politică este:
a) Afișată la sediul punctului de lucru din str. Dunării nr. 20B, Cluj-Napoca, în loc vizibil și accesibil angajaților și clienților;
b) Disponibilă pentru consultare la recepția punctului de lucru (exemplar fizic);
c) Publicată pe site-ul web al Societății, în secțiunea dedicată protecției datelor / confidențialitate;
d) Distribuită tuturor angajaților (în format fizic sau electronic) odată cu semnarea contractului de muncă sau la angajare;
e) Disponibilă la cerere pentru clienți, furnizori și alte persoane vizate.
(2) Persoanele vizate pot solicita oricând un exemplar al Politicii (în format fizic sau electronic), gratuit.
(3) Anexele la prezenta Politică (Anexele 1-11) fac parte integrantă din aceasta și sunt disponibile pentru consultare în aceleași condiții.
Art. 62. Conformitate cu alte documente
Prezenta Politică se completează și se interpretează în concordanță cu:
a) Regulamentul de Ordine Interioară al Societății (care conține prevederi privind protecția datelor, disciplina muncii, confidențialitatea);
b) Contractele individuale de muncă și Fișele de post ale angajaților;
c) Contractele de prestări servicii încheiate cu clienții;

​d) Contractele încheiate cu persoanele împuternicite de operator (furnizori de servicii care prelucrează date în numele Societății);
e) Politica de cookie-uri afișată pe site-ul web;
f) Termeni și condiții ai platformei PeHârtie.ro;
g) Alte politici și proceduri interne relevante.
Art. 63. Limba
(1) Prezenta Politică este redactată în limba română.
(2) În cazul în care Societatea are relații comerciale internaționale semnificative, se pot realiza traduceri ale Politicii în alte limbi (engleză, etc.), pentru informarea clienților străini.
(3) În caz de discrepanțe între versiunea în limba română și traduceri, versiunea în limba română prevalează.
Art. 64. Contact pentru întrebări și reclamații
Pentru orice întrebări, nelămuriri sau reclamații privind prelucrarea datelor cu caracter personal sau aplicarea prezentei Politici, persoanele vizate pot contacta:
PRINTLAB INTERNATIONAL S.R.L.
Persoană responsabilă cu protecția datelor: Vlad Milonean, Administrator
Adresă: str. Dunării nr. 20B, Cluj-Napoca, jud. Cluj
Telefon: Telefon: 0771 509 318,
Email: print@pehartie.ro
Program de lucru: Luni - Joi, 09:30 – 19:30, Vineri: 9:30-17:00, Sâmbătă – Închis, Duminica – Închis.