Politică de confidențialitate

1. Introducere

Această Politică de Confidențialitate explică modul în care NorthStar AI S.R.L. ("NorthStar," "noi," "ne") colectează, utilizează, divulgă și protejează datele cu caracter personal atunci când utilizați platforma noastră software-as-a-service de la ns-ai.io și serviciile aferente (denumită colectiv "Platforma").

Vă respectăm confidențialitatea și ne angajăm să vă protejăm datele cu caracter personal în conformitate cu Regulamentul (UE) 2016/679 ("Regulamentul General privind Protecția Datelor" sau "GDPR"), Legea nr. 190/2018 care pune în aplicare GDPR în România, Cadrul UE-SUA pentru Confidențialitatea Datelor (DPF) acolo unde este aplicabil, Regulamentul (UE) 2024/1689 ("Regulamentul UE privind Inteligența Artificială" sau "EU AI Act") și alte legi aplicabile privind protecția datelor.

Identitatea Operatorului:

NorthStar AI S.R.L. Sat Ghionea, Comuna Ulmi, Jud. Giurgiu, cf 747 N Înregistrată la Registrul Comerțului sub RO54842326 Email: privacy@ns-ai.io Website: https://ns-ai.io​

Contact pentru protecția datelor:

Pentru orice întrebări legate de confidențialitate, cereri sau plângeri, vă rugăm să ne contactați la privacy@ns-ai.io. Nu am desemnat un Responsabil cu Protecția Datelor (DPO) deoarece nu îndeplinim în prezent criteriile prevăzute la articolul 37 GDPR. Vom reevalua această analiză anual.

2. Sfera de aplicare și definiții

Această Politică de Confidențialitate se aplică datelor cu caracter personal pe care le prelucrăm despre:

• Titularii de cont: persoane fizice care se înregistrează și creează conturi pe Platformă (de regulă angajați ai clienților noștri de business, administratori desemnați sau utilizatori finali)
• Reprezentanții organizațiilor client: personal autorizat al clienților business care interacționează cu noi în calitate profesională
• Candidați: persoane fizice ale căror CV-uri și materiale de candidatură sunt trimise pe Platformă de către clienții noștri pentru utilizare cu angajatul digital Asistent Recrutare
• Vizitatori: persoane fizice care vizitează website-ul nostru fără să creeze un cont

În cuprinsul acestei Politici, termeni precum "date cu caracter personal," "prelucrare," "operator," "persoană împuternicită," "persoană vizată," și "categorii speciale de date" au înțelesul prevăzut la articolul 4 GDPR.

3. Datele cu caracter personal pe care le colectăm

Colectăm date cu caracter personal în următoarele categorii:

3.1 Date de cont și profil

Atunci când vă creați un cont, colectăm: nume complet, adresă de email, titulatură profesională, numele organizației, preferințe lingvistice, imagine de profil (opțional) și preferințele contului.

3.2 Date de autentificare

La autentificare, prelucrăm: credențiale de login, token-uri de autentificare multi-factor (dacă sunt activate), token-uri OAuth (când vă autentificați prin Microsoft Azure AD sau Google), identificatori de sesiune și marcaje temporale de autentificare.

3.3 Date de conținut al Clientului

Prelucrăm conținutul pe care îl încărcați sau generați în cadrul Platformei: documente și fișiere încărcate în Baza de Cunoștințe, prompt-uri și conversații cu angajații digitali, output-uri generate (analize, rapoarte, recomandări), conținut și atașamente legate de sarcini și metadate asociate.

3.4 Date despre candidați (Asistent Recrutare)

Atunci când clienții utilizează angajatul digital Asistent Recrutare pentru fluxuri de recrutare, prelucrăm date despre candidați în numele clientului, inclusiv: numele candidatului și informații de contact, conținutul CV-ului (istoric profesional, educație, competențe), materiale de candidatură, output-uri de evaluare a candidaților (generate de sistemul AI doar ca recomandări) și informații legate de interviuri. Consultați Secțiunea 13 (Funcționalități AI și luare automată a deciziilor) pentru informații detaliate despre modul în care Asistentul Recrutare prelucrează aceste date.

3.5 Date de comunicare

Atunci când comunicați cu noi, prelucrăm: corespondență prin email, cereri de suport și conținutul tichetelor, sesizări de feedback și conținutul mesajelor sau chat-ului în cadrul funcționalităților de comunicare ale Platformei.

3.6 Date de utilizare și tehnice

Atunci când utilizați Platforma, colectăm automat: adresa IP (hashed în stocarea pe termen lung), tipul și versiunea browser-ului, sistemul de operare și caracteristici ale dispozitivului, preferința de limbă, URL-ul de referință, paginile și funcționalitățile accesate, marcaje temporale ale acțiunilor, jurnale de erori și diagnostice.

3.7 Date de plată și facturare

Pentru abonamentele plătite: numele și adresa de email a persoanei de contact pentru facturare, adresa de facturare, codul fiscal al organizației (CUI), evidențele facturilor, nivelul de abonament și istoricul plăților. Nu stocăm datele instrumentului de plată (numerele cardurilor de credit etc.) — acestea sunt procesate direct de procesatorul nostru de plăți, Stripe, în mediul lor cu certificare PCI-DSS.

3.8 Date privind cookie-urile și tracking

Date limitate bazate pe cookie-uri, detaliate în Politica noastră de Cookie-uri. Nu folosim cookie-uri publicitare, tracking comportamental sau profilare cross-site.

4. Sursele datelor cu caracter personal

Colectăm date cu caracter personal din următoarele surse:

Direct de la dumneavoastră: atunci când vă înregistrați, configurați profilul, comunicați cu noi, încărcați conținut sau interacționați cu Platforma.

De la organizația dumneavoastră: când sunteți invitat într-un cont de către administratorul dvs., informațiile de bază ale profilului pot fi furnizate de organizația dvs. în numele dvs.

De la furnizorii OAuth de autentificare: când vă autentificați prin Microsoft Azure AD sau Google, primim informații de identitate (nume, email, identificator de tenant al organizației) de la acești furnizori în conformitate cu termenii lor.

De la clienții și candidații organizației dvs.: atunci când organizația dvs. utilizează Platforma pentru a prelucra informații despre proprii clienți, candidați sau alte terțe părți, prelucrăm astfel de date în numele organizației dvs.

Din registre publice și surse de date terțe (a se vedea Secțiunea 7.2 mai jos): atunci când este necesară verificarea companiei în timpul onboarding-ului, putem obține informații despre companii din registre publice.

5. Temeiul legal al prelucrării

Prelucrăm date cu caracter personal pe baza următoarelor temeiuri legale conform articolului 6 GDPR:

• Crearea și menținerea contului dvs., furnizarea Platformei, procesarea tranzacțiilor — Articolul 6(1)(b) — executarea contractului
• Facturare, emitere facturi, procesare plăți — Articolul 6(1)(b) — executarea contractului + Articolul 6(1)(c) — obligație legală (legislația fiscală română)
• Autentificare și securitate (login, MFA, detecție fraudă) — Articolul 6(1)(b) — contract + Articolul 6(1)(f) — interes legitim în securitatea platformei
• Îmbunătățirea serviciului pe baza datelor agregate de utilizare, neidentificabile — Articolul 6(1)(f) — interes legitim
• Comunicări despre actualizări ale serviciului, notificări de securitate, facturare — Articolul 6(1)(b) — executarea contractului
• Comunicări de marketing și emailuri promoționale — Articolul 6(1)(a) — consimțământ (opt-in necesar; puteți retrage oricând)
• Conformitatea cu obligațiile legale (fiscal, contabil, AML, ordine judecătorești) — Articolul 6(1)(c) — obligație legală
• Constatarea, exercitarea sau apărarea unui drept în instanță — Articolul 6(1)(f) — interes legitim
• Agregarea datelor operaționale de business pentru analitice și îmbunătățirea produsului (excluzând categoriile speciale de date) — Articolul 6(1)(f) — interes legitim; opt-out disponibil

Pentru categoriile speciale de date conform articolului 9 GDPR (întâlnite de regulă în fluxurile Asistentului Recrutare), temeiul legal este determinat de clientul nostru (Operatorul), conform Secțiunii 11 de mai jos. Agregarea categoriilor speciale de date pentru analitice necesită opt-in explicit din partea administratorului clientului.

Acolo unde ne bazăm pe interesul legitim, am efectuat o Evaluare a Interesului Legitim (LIA) pentru a ne asigura că interesele noastre nu prevalează asupra drepturilor și libertăților dvs. Documentația LIA este disponibilă la cerere scrisă la privacy@ns-ai.io.

6. Modul în care utilizăm datele dvs.

Utilizăm datele cu caracter personal în următoarele scopuri:

• Furnizarea serviciului: asigurarea funcționalității platformei, generarea de output-uri AI la cererea clienților, procesarea sarcinilor inițiate de utilizatori
• Gestionarea contului: crearea și menținerea conturilor, furnizarea suportului pentru clienți, procesarea cererilor utilizatorilor
• Securitate și integritate: prevenirea fraudelor și a abuzurilor, detectarea și răspunsul la incidente de securitate, aplicarea Termenilor și Condițiilor și a Politicii de Utilizare Acceptabilă
• Îmbunătățirea serviciului: analizarea modelelor agregate de utilizare pentru îmbunătățirea funcționalităților (sub rezerva opt-out conform Secțiunii 5)
• Conformitate: respectarea obligațiilor noastre legale conform legilor aplicabile, inclusiv GDPR, EU AI Act, legislația fiscală română și cerințele autorității fiscale
• Comunicări: trimiterea notificărilor tranzacționale (alerte de securitate, facturare, actualizări de cont) și — doar cu consimțământul dvs. — comunicări de marketing
• Protecție legală: constatarea, exercitarea sau apărarea unor drepturi în instanță; cooperarea cu autoritățile de reglementare și de aplicare a legii atunci când este obligatoriu

7. Partajarea datelor cu caracter personal

7.1 Persoane împuternicite (sub-procesori)

Implicăm furnizori terți de servicii ("sub-procesori") care prelucrează date cu caracter personal în numele nostru conform articolului 28 GDPR. Sub-procesorii sunt obligați prin contracte care includ garanțiile cerute de GDPR. Lista actuală a sub-procesorilor este:

Lista actuală și autoritativă a sub-procesorilor este publicată și la https://ns-ai.io/subprocessors și este actualizată când sub-procesorii sunt adăugați, eliminați sau modificați. Vom notifica clienții cu privire la schimbările materiale cu cel puțin 30 de zile în avans, conform Acordului nostru de Prelucrare a Datelor.

7.2 Surse externe de date

Pe lângă sub-procesori, obținem anumite informații de la surse de date terțe. Aceste părți terțe nu prelucrează date cu caracter personal în numele nostru — în schimb, obținem informații de la ele ca surse independente:

• Termene.ro (RO) — Verificare companii din România (date ONRC) — Date despre societate; nume administratori și asociați
• VIES (Comisia Europeană) — Validare cod TVA UE — Numele firmei, statut înregistrare TVA
• BNR (Banca Națională a României) — Cursuri valutare — Niciuna (fără date personale)
• OpenRouter Inc. — Metadate pricing modele AI — Niciuna (fără date utilizator)
• Google (YouTube Transcript API) — Ingestare conținut Baza de Cunoștințe când un utilizator trimite URL YouTube — Niciuna (conținut public)

Pentru Termene.ro, acționăm ca Operator pentru datele personale primite. Ne bazăm pe articolul 14(5)(b) GDPR (efort disproporționat) cu privire la notificarea directă a administratorilor de companii referențiați în date. Dacă sunteți administrator sau asociat ale cărui date apar în înregistrările noastre prin Termene.ro și doriți să vă exercitați drepturile, vă rugăm să contactați privacy@ns-ai.io.

7.3 Alte dezvăluiri

Putem partaja date cu caracter personal cu:

• Consultanți profesionali: auditorii, avocații, contabilii și asigurătorii noștri, atunci când este necesar pentru funcționarea afacerii
• Transferuri de afaceri: în cazul fuziunii, achiziției sau vânzării de active, cu aceleași protecții aplicabile datelor transferate
• Autorități legale și de reglementare: atunci când este obligatoriu prin lege, ordin judecătoresc, anchetă de reglementare, sau pentru apărarea drepturilor noastre legale

7.4 Nu vindem date cu caracter personal

Nu vindem, închiriem sau facem comerț cu date cu caracter personal către terți pentru scopurile lor comerciale independente. Nu utilizăm datele cu caracter personal pentru publicitate sau direcționare comportamentală.

8. Transferuri internaționale

Unii dintre sub-procesorii noștri sunt localizați în afara Spațiului Economic European (SEE), în principal în Statele Unite. Pentru aceste transferuri, ne bazăm pe:

Cadrul UE-SUA pentru Confidențialitatea Datelor (DPF): atunci când sub-procesorul este certificat conform DPF, transferurile sunt efectuate în baza deciziei de adecvare a Comisiei Europene (Decizia de Punere în Aplicare (UE) 2023/1795). Certificarea DPF poate fi verificată la https://www.dataprivacyframework.gov/list.

Clauze Contractuale Standard (SCC): atunci când certificarea DPF nu este în vigoare sau este suspendată, ne bazăm pe Clauzele Contractuale Standard adoptate de Comisia Europeană (Decizia de Punere în Aplicare (UE) 2021/914), suplimentate prin:

• Evaluări de Impact al Transferului (TIA) care evaluează mediul juridic din țara destinatară
• Măsuri tehnice și organizatorice inclusiv criptare în tranzit (TLS 1.2+) și în repaus (AES-256)
• Garanții contractuale precum clauze de non-training, limite de retenție și obligații de confidențialitate

Puteți solicita copii ale SCC relevante contactând privacy@ns-ai.io.

9. Retenția datelor

Păstrăm datele cu caracter personal doar atât timp cât este necesar pentru scopurile pentru care au fost colectate sau cât este cerut de lege:

• Date de cont — Durata abonamentului + 3 ani după închiderea contului (termenul general de prescripție conform Codului civil român art. 2517)
• Înregistrări de acceptare (acceptarea ToS, Politicii de Confidențialitate, AUP) — 3 ani după închiderea contului (pseudonimizate la cererea de ștergere — a se vedea Secțiunea 10)
• Înregistrări de consimțământ (marketing) — 3 ani după retragerea consimțământului sau închiderea contului
• Conținutul Clientului (documente încărcate, conversații) — Durata abonamentului + 90 zile pentru export, apoi ștergere permanentă (30 zile suplimentare pentru rotația backup-urilor)
• Date despre CV-uri (Asistent Recrutare) — Prelucrate în timp real în timpul sesiunilor active de screening; nu sunt stocate persistent dincolo de durata sesiunii. Stocarea pe partea Clientului a output-urilor (scoring, recomandări) este configurabilă, cu retenție implicită de 90 zile
• Jurnale de audit — 90 zile stocare activă + 5 ani stocare arhivată
• Sesizări de feedback (închise/rezolvate) — 3 ani post-rezolvare, apoi anonimizate; înregistrările anonimizate păstrate încă 5 ani pentru evidență operațională, apoi șterse
• Comunicări (tichete de suport, emailuri) — 3 ani după ultima interacțiune
• Date de plată și facturare — 10 ani (cerință a legislației fiscale române)
• Backup-uri — Retenție rolling 30 zile; datele personale șterse sunt suprascrise în ciclul normal de rotație

Când perioadele de retenție expiră, ștergem permanent sau anonimizăm datele. Backup-urile care conțin date personale șterse sunt suprascrise în ciclul normal de rotație (până la 30 zile).

10. Drepturile dvs. conform GDPR

Conform GDPR, aveți următoarele drepturi în legătură cu datele dvs. cu caracter personal:

Dreptul de acces (Art. 15): să solicitați o copie a datelor cu caracter personal pe care le deținem despre dvs. și informații despre modul în care le prelucrăm.

Dreptul de rectificare (Art. 16): să solicitați corectarea datelor cu caracter personal inexacte sau incomplete.

Dreptul de ștergere / "dreptul de a fi uitat" (Art. 17): să solicitați ștergerea datelor cu caracter personal când se aplică condițiile articolului 17. Consultați Secțiunea 10.1 de mai jos pentru detalii despre gestionarea ștergerii pentru categorii specifice de date.

Dreptul la restricționarea prelucrării (Art. 18): să solicitați limitarea modului în care prelucrăm datele dvs. în anumite circumstanțe.

Dreptul la portabilitatea datelor (Art. 20): să primiți datele dvs. cu caracter personal într-un format structurat, utilizat curent și care poate fi citit automat, și să le transmiteți unui alt operator.

Dreptul de opoziție (Art. 21): să vă opuneți prelucrării bazate pe interes legitim. Pentru comunicările de marketing, aveți un drept absolut de opoziție.

Dreptul de retragere a consimțământului (Art. 7(3)): să retrageți consimțământul în orice moment, fără a afecta legalitatea prelucrării bazate pe consimțământ înainte de retragere.

Dreptul de a nu fi supus unei decizii bazate exclusiv pe prelucrare automată (Art. 22): a se vedea Secțiunea 13 de mai jos pentru modul în care se aplică acest drept la funcționalitățile AI.

Dreptul de a depune o plângere: la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) — a se vedea Secțiunea 17.

Pentru a exercita oricare dintre aceste drepturi, contactați-ne la privacy@ns-ai.io. Vă vom răspunde în termen de o lună de la primirea cererii, conform articolului 12(3) GDPR. Această perioadă poate fi extinsă cu încă două luni pentru cereri complexe, caz în care vă vom informa despre prelungire și motive.

Este posibil să fie nevoie să vă verificăm identitatea înainte de a procesa cererea. Pentru titularii de cont, confirmarea prin adresa de email înregistrată este în general suficientă. Pentru alte persoane vizate, putem cere informații suplimentare de verificare.

Aceste drepturi sunt exercitate gratuit. Putem percepe o taxă rezonabilă sau refuza să acționăm asupra cererilor în mod vădit nefondate sau excesive.

10.1 Gestionarea ștergerii pentru categorii specifice de date

Atunci când exercitați dreptul de ștergere (articolul 17 GDPR), gestionarea diferă în funcție de categoria de date:

Date de cont: identificatorii personali (nume, email) sunt șterși sau anonimizați. Acolo unde retenția este cerută de lege (de ex., evidențele fiscale conform legislației române), se păstrează doar minimul necesar de date pentru perioada cerută legal.

Sesizări de feedback transmise de dvs.: identificatorii personali (numele, emailul, referința utilizatorului) sunt eliminați permanent. Conținutul substanțial al sesizării este anonimizat prin înlocuire cu text placeholder. Atașamentele încărcate de dvs. sunt șterse permanent din stocarea noastră. Metadatele organizaționale (data trimiterii, categoria, statutul de rezolvare) sunt păstrate pentru evidență operațională în baza interesului legitim (Articolul 6(1)(f) GDPR) și a derogării Articolului 17(3)(b) GDPR. Răspunsurile staff-ului și notele interne constituie expresii separate ale personalului NorthStar și nu fac obiectul dreptului dvs. de ștergere.

Înregistrări de acceptare (istoricul acceptărilor Termenilor, Politicii de Confidențialitate, AUP): identificatorii personali sunt pseudonimizați; metadatele non-identificatoare (versiune document, data acceptării, metoda) sunt păstrate conform Articolului 17(3)(e) GDPR (constatarea, exercitarea sau apărarea unui drept în instanță) pe întreaga perioadă de retenție, permițându-ne să demonstrăm temeiul legal pentru prelucrarea noastră.

Înregistrări de consimțământ (marketing): pseudonimizate; metadatele evenimentului de consimțământ (marcaj temporal, sursa, scopul) sunt păstrate ca dovadă a istoricului consimțământului conform cerinței de demonstrare a Articolului 7(1) GDPR.

Output-uri Asistent Recrutare: înregistrările de scoring și ranking generate pentru candidați pot fi șterse de organizația client prin controalele administrative. Dacă sunteți candidat și doriți să vă exercitați drepturile cu privire la output-urile de screening despre dvs., vă rugăm să contactați organizația client care a inițiat screening-ul (acționând ca Operator); NorthStar va asista acel client în îndeplinirea cererii dvs.

Backup-uri: backup-urile care conțin date personale șterse sunt suprascrise în ciclul normal de rotație (până la 30 zile). Nu purgăm proactiv backup-urile înainte ca ciclul de rotație să se finalizeze.

11. Categorii speciale de date (Articolul 9 GDPR)

Anumite funcționalități ale platformei, în special Asistentul Recrutare, pot implica prelucrarea categoriilor speciale de date cu caracter personal definite la articolul 9 GDPR (precum date care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase, datele de sănătate sau alte caracteristici sensibile care pot apărea incidental în CV-uri sau materiale de candidatură).

Responsabilitatea Clientului (Operator): atunci când clienții noștri trimit date despre candidați, ei acționează ca Operatori conform GDPR. Temeiul legal pentru prelucrarea categoriilor speciale de date este stabilit de client, de regulă:

• Articolul 9(2)(b): prelucrare necesară pentru îndeplinirea obligațiilor și exercitarea drepturilor specifice în domeniul ocupării forței de muncă, securității sociale și protecției sociale
• Articolul 9(2)(a): consimțământul explicit al persoanei vizate

Clienții trebuie să se asigure că au un temei legal valabil conform Articolului 9 înainte de a trimite astfel de date prin Platformă.

Rolul NorthStar (Persoana împuternicită): prelucrăm categoriile speciale de date în numele Clientului (Operatorul). Acordul nostru de Prelucrare a Datelor definește obligațiile noastre.

Agregare: agregarea categoriilor speciale de date pentru îmbunătățirea produsului sau analitice necesită opt-in explicit din partea administratorului clientului. Implicit, categoriile speciale de date nu sunt incluse în niciun set de date agregate.

Drepturile candidaților: candidații ale căror CV-uri sunt prelucrate de Asistentul Recrutare au drepturi conform Articolelor 15-22 GDPR. Pentru a-și exercita aceste drepturi, candidații trebuie să contacteze mai întâi organizația client care a inițiat screening-ul (acționând ca Operator). NorthStar va asista acel client în îndeplinirea unor astfel de cereri.

12. Confidențialitatea minorilor

Platforma este destinată utilizării de către afaceri și profesioniști. Nu este adresată copiilor sub vârsta de 16 ani și nu colectăm cu bună știință date personale de la persoane sub 16 ani.

Specific pentru Asistentul Recrutare: clienții trebuie să nu trimită CV-uri ale candidaților sub 18 ani la Platformă. Asistentul Recrutare nu este conceput pentru a prelucra date ale minorilor, iar astfel de trimiteri încalcă această Politică de Confidențialitate și Politica noastră de Utilizare Acceptabilă.

Dacă aflăm că am colectat date personale de la un minor prin încălcarea acestei Politici, vom lua prompt măsuri pentru a șterge astfel de date. Părinții sau tutorii care consideră că copilul lor ne-a furnizat date cu caracter personal pot să ne contacteze la privacy@ns-ai.io.

13. Funcționalități AI și luarea automată a deciziilor

Platforma NorthStar oferă angajați digitali alimentați de AI care execută o varietate de fluxuri de business. Prelucrarea AI este efectuată folosind modele de limbaj mari (LLM) de la terți: Anthropic (Claude) și OpenAI (familia GPT).

13.1 Transparență generală AI

Atunci când interacționați cu un angajat digital, interacționați cu un sistem AI. Platforma face acest lucru clar prin dezvăluiri vizibile conforme cu Articolul 50 din EU AI Act.

Output-urile generate de AI au caracter consultativ și pot conține inexactități. Recomandăm ca deciziile semnificative bazate pe output-uri AI să fie revizuite de personal calificat.

13.2 Asistentul Recrutare — Sistem AI cu risc ridicat conform Anexa III pct. 4(a)

Asistentul Recrutare este un sistem AI cu risc ridicat conform Anexei III punctul 4(a) din EU AI Act, fiind destinat utilizării în recrutarea sau selecția persoanelor fizice, inclusiv analiza CV-urilor și scoring-ul candidaților.

Roluri conform EU AI Act:

• NorthStar AI S.R.L. acționează ca Furnizor al Asistentului Recrutare conform Articolului 16 al EU AI Act. Suntem responsabili pentru documentația tehnică, managementul riscurilor, monitorizarea post-piață și evaluarea conformității.
• Organizațiile client care utilizează Asistentul Recrutare acționează ca Utilizatori (Deployers) conform Articolului 26. Utilizatorii sunt responsabili pentru supravegherea umană, transparența față de candidați, ținerea evidenței și asigurarea utilizării ne-discriminatorii.

Articolul 22 GDPR — Fără decizii bazate exclusiv pe prelucrare automată:

Asistentul Recrutare produce doar recomandări. Nu ia decizii autonome cu efecte juridice sau efecte similar de semnificative asupra candidaților. Specific:

• Output-urile de scoring sunt preliminare; deciziile finale privind selecția în shortlist, intervievarea, angajarea sau respingerea candidaților sunt luate de revizuitori umani calificați la organizația client
• Clienții sunt obligați contractual să asigure o revizuire umană semnificativă înainte de orice decizie care afectează candidații
• Candidații au dreptul să conteste deciziile asistate de AI și să solicite revizuire umană contactând organizația client

Transparență față de candidați: organizațiile client care utilizează Asistentul Recrutare sunt obligate prin Politica noastră de Utilizare Acceptabilă să informeze candidații că CV-urile lor vor fi prelucrate de un sistem AI, în conformitate cu Articolele 13 GDPR și Articolul 50 EU AI Act.

Utilizări interzise: Asistentul Recrutare nu trebuie utilizat pentru a discrimina împotriva candidaților pe baza caracteristicilor protejate (rasă, etnie, gen, vârstă, dizabilitate, religie, orientare sexuală sau alte caracteristici protejate prin legea aplicabilă). Clienții nu trebuie să trimită CV-uri ale candidaților sub 18 ani.

13.3 Fără antrenare pe datele Clientului

Nu utilizăm Conținutul Clientului pentru antrenarea modelelor AI. Utilizarea noastră a API-urilor Anthropic și OpenAI este guvernată de Termenii Comerciali respectivi și Anexele de Prelucrare a Datelor, care interzic contractual utilizarea Conținutului Clientului pentru antrenarea modelelor AI. Perioadele implicite de retenție API sunt 7 zile pentru Anthropic și 30 zile pentru OpenAI (pentru monitorizarea abuzurilor), după care datele sunt șterse din sistemele furnizorilor.

14. Cookie-uri

Utilizăm cookie-uri și tehnologii similare așa cum este detaliat în Politica noastră de Cookie-uri. Pe scurt:

• Cookie-uri strict necesare (autentificare, gestionarea sesiunii, routing multi-tenant, protecție CSRF) — setate fără consimțământ, fiind esențiale pentru funcționarea Platformei
• Cookie-uri funcționale (preferință de limbă, preferințe UI) — setate doar cu consimțământul dvs.
• Analitice — utilizăm analitice privacy-friendly care nu necesită cookie-uri sau identificatori persistenți
• Fără cookie-uri publicitare, de direcționare comportamentală sau de tracking cross-site

Puteți gestiona preferințele de cookie-uri în orice moment prin link-ul Setări Cookie-uri din footer-ul website-ului.

15. Securitate

Implementăm măsuri tehnice și organizatorice adecvate riscului prelucrării, inclusiv:

• Criptare: TLS 1.2+ pentru datele în tranzit; AES-256 pentru datele în repaus
• Controale de acces: controlul accesului bazat pe roluri (RBAC), izolare multi-tenant prin securitate la nivel de rând (RLS), autentificare multi-factor pentru administratori
• Autentificare: autentificare securizată prin Supabase Auth, cu MFA opțional și integrare OAuth cu Microsoft Azure AD și Google
• Monitorizare: monitorizare continuă a erorilor și performanței; jurnale de audit pentru acțiunile sensibile
• Securitate rețea: securitate infrastructură prin Vercel și Supabase, ambii furnizori cu certificări de securitate stabilite
• Managementul furnizorilor: acorduri cu sub-procesori care includ obligații contractuale de securitate; revizuire periodică a posturii de securitate a sub-procesorilor
• Răspuns la incidente: proceduri documentate pentru detectarea, răspunsul și raportarea încălcărilor de date personale conform Articolelor 33 și 34 GDPR

În ciuda eforturilor noastre, nicio măsură de securitate nu este complet impermeabilă. În cazul unei încălcări a securității datelor personale care vă afectează drepturile și libertățile, vă vom notifica pe dvs. și autoritatea de supraveghere competentă în conformitate cu legea aplicabilă.

16. Modificări ale acestei Politici de Confidențialitate

Putem actualiza această Politică de Confidențialitate din timp în timp. Modificările vor intra în vigoare la publicarea versiunii actualizate la ns-ai.io/privacy.

Modificări materiale — inclusiv modificări ale categoriilor de date pe care le colectăm, scopurilor pentru care prelucrăm datele, listei sub-procesorilor, aranjamentelor de transfer internațional sau drepturilor dvs. — vor fi notificate titularilor de cont activi cu cel puțin 30 zile în avans prin email și notificare in-aplicație. Acolo unde este necesar, vom solicita confirmarea reînnoită.

Modificări minore — inclusiv corecții tipografice, clarificări fără modificare de înțeles și actualizări ale informațiilor de contact — pot fi făcute fără notificare prealabilă, dar vor fi reflectate în istoricul versiunilor din partea de sus a acestei Politici.

Puteți vedea istoricul versiunilor și versiunile anterioare ale acestei Politici contactând privacy@ns-ai.io.

17. Contact și plângeri

17.1 Contactați-ne

Pentru orice întrebări legate de această Politică de Confidențialitate sau pentru a vă exercita drepturile, contactați-ne la:

NorthStar AI S.R.L. Email: privacy@ns-ai.io Întrebări generale: contact@ns-ai.io Adresă poștală: Sat Ghionea, Comuna Ulmi, Jud. Giurgiu, cf 747 N

17.2 Depunerea unei plângeri

Dacă considerați că prelucrarea datelor dvs. cu caracter personal nu respectă legislația aplicabilă de protecție a datelor, aveți dreptul să depuneți o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal:

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) B-dul G-ral. Gheorghe Magheru nr. 28-30, Sector 1, București, 010336, România Email: anspdcp@dataprotection.ro Telefon: +40.318.059.211 / +40.318.059.212 Website: https://www.dataprotection.ro

Aveți, de asemenea, dreptul să depuneți o plângere la autoritatea de supraveghere din statul de reședință obișnuită, locul de muncă sau locul presupusei încălcări.

De asemenea, puteți solicita o cale de atac judiciară conform Articolului 79 GDPR.

Această Politică de Confidențialitate este publicată în limba engleză ca versiune autoritativă. O traducere în limba română este disponibilă la ns-ai.io/privacy?lang=ro. În cazul oricărei discrepanțe între versiunile lingvistice, versiunea engleză prevalează pentru interpretarea juridică, cu excepția cazurilor în care legea română impune altfel.