Politica de Confidențialitate

Prezenta Politică de Confidențialitate descrie modul în care EXPODRIVE SRL (denumită în continuare „Operatorul”, „noi”), care operează platforma TalentAI sub brandul comercial AI Mindloop, colectează, utilizează, stochează și protejează datele personale ale utilizatorilor platformei de recrutare disponibile la adresa https://recrut-production.up.railway.app.

Politica este elaborată în conformitate cu Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal („GDPR”) și cu legislația națională aplicabilă.

1. Operatorul de date și date de contact

Operator: EXPODRIVE SRL (brand comercial AI Mindloop / TalentAI)
Contact general: office@mindloop.ro
Telefon: +40 726 327 192

Pentru exercitarea drepturilor prevăzute de GDPR sau pentru orice întrebări legate de prelucrarea datelor personale, ne puteți contacta la adresa de e-mail de mai sus, cu mențiunea „Solicitare GDPR — TalentAI”.

Operatorul nu a desemnat în mod obligatoriu un Responsabil cu Protecția Datelor (DPO) conform art. 37 GDPR; solicitările privind datele personale sunt gestionate direct de echipa indicată la adresa de contact.

2. Categorii de persoane vizate

• Candidați — persoane care își creează cont, își încarcă CV-ul și participă la procesul de recrutare;
• Recruiteri / utilizatori interni — membri ai echipei de recrutare autorizați să acceseze platforma;
• Alte persoane — candidați adăugați manual de recruiteri, fără cont propriu (date introduse în numele lor).

3. Categorii de date personale prelucrate

În funcție de modul de utilizare a platformei, putem prelucra următoarele categorii de date:

• Date de identificare și contact: nume complet, adresă de e-mail, număr de telefon, locație;
• Date profesionale: titlu/headline, senioritate, ani de experiență, competențe (skills), sursa candidaturii;
• Documente: fișiere CV (PDF, DOC etc.) și text extras din CV pentru căutare internă;
• Date privind procesul de recrutare: status recrutare, istoric status, note interne ale recruiterilor;
• Scoruri și analize de potrivire: scoruri de matching generate algoritmic (0–100), competențe comune identificate, motive de potrivire/nealiniere;
• Date de cont: parolă (stocată exclusiv sub formă criptată/hash), rol utilizator, dată creare cont;
• Consimțăminte GDPR: tip consimțământ (termeni, confidențialitate), versiune document acceptată, dată/oră, adresă IP, user-agent;
• Date tehnice și jurnalizare (audit): adresă IP, acțiuni în platformă (autentificare, export date, solicitări ștergere), timestamp.

Nu colectăm în mod intenționat categorii speciale de date (art. 9 GDPR), cum ar fi date privind sănătatea sau originea etnică. Vă rugăm să nu includeți astfel de informații în CV sau note, dacă nu sunt strict necesare și legal justificate.

4. Scopuri și temeiuri legale ale prelucrării

Prelucrăm datele personale numai în scopuri determinate, legitime și transparente, pe baza următoarelor temeiuri legale (art. 6 GDPR):

• Executarea unui contract / demersuri precontractuale (art. 6 alin. (1) lit. b)) — gestionarea candidaturii, comunicarea în cadrul procesului de recrutare, furnizarea funcționalităților contului de candidat;
• Consimțământ (art. 6 alin. (1) lit. a)) — acceptarea Termenilor și Condițiilor și a prezentei Politici la înregistrarea contului de candidat; retragerea consimțământului nu afectează legalitatea prelucrărilor efectuate anterior;
• Interes legitim (art. 6 alin. (1) lit. f)) — administrarea platformei, securitatea sistemelor, prevenirea abuzurilor, jurnalizarea acțiunilor (audit log), evaluarea algoritmică a potrivirii candidat–profil de căutare (cu intervenție umană în decizia finală), păstrarea evidenței consimțămintelor;
• Obligație legală (art. 6 alin. (1) lit. c)) — acolo unde legea impune păstrarea anumitor înregistrări.

5. Destinatari și împuterniciți (procesatori)

Datele personale pot fi accesate de:

• Echipa internă de recrutare — în limitele rolurilor și permisiunilor din platformă;
• Railway Corp. — furnizor de hosting și bază de date PostgreSQL (infrastructură cloud);
• OpenAI, LLC (opțional) — dacă este configurată cheia API OPENAI_API_KEY, anumite funcții de analiză pot trimite fragmente de text către servicii AI externe; în configurația standard MVP, scorurile de potrivire sunt calculate local, prin reguli algoritmice, fără transmitere automată a datelor personale către OpenAI.

Nu vindem și nu închiriem datele personale către terți. Accesul este acordat numai furnizorilor necesari funcționării serviciului, sub contracte care impun obligații de confidențialitate și securitate conform art. 28 GDPR.

6. Transferuri internaționale

Furnizorii de infrastructură (de ex. Railway, eventual OpenAI) pot procesa date în state din afara Spațiului Economic European (SEE), inclusiv Statele Unite ale Americii. În astfel de cazuri, ne bazăm pe garanții adecvate prevăzute de GDPR, cum ar fi Clauzele Contractuale Standard (SCC) adoptate de Comisia Europeană sau alte mecanisme permise de lege, pentru a asigura un nivel de protecție echivalent.

7. Perioade de stocare

• Date active de recrutare (profil candidat, CV, note, scoruri) — pe durata participării la procesul de recrutare și, dacă nu solicitați ștergerea, până la maximum 24 de luni de la ultima interacțiune relevantă, după care pot fi arhivate sau șterse;
• Cont candidat — solicitare de ștergere — la cerere, contul este dezactivat imediat; ștergerea definitivă (hard delete) a datelor din baza de date și a fișierelor CV se finalizează în maximum 30 de zile calendaristice de la solicitare, perioadă necesară pentru verificări tehnice și conformitate;
• Consimțăminte GDPR — păstrate ca dovadă a acceptării, pe durata prelucrării și ulterior conform termenelor legale de prescripție;
• Jurnale de audit — păstrate până la 12 luni, pentru securitate și investigarea incidentelor;
• Date recruiter — pe durata relației de utilizare a platformei și conform politicilor interne ale Operatorului.

8. Decizii automatizate și profilare (art. 22 GDPR)

Platforma TalentAI calculează scoruri de potrivire între profilurile candidaților și cerințele posturilor (profiluri de căutare), pe baza competențelor, locației, seniorității și conținutului CV. Aceste scoruri sunt instrumente de sprijin pentru recruiteri, nu decizii automatizate cu efect juridic sau impact similar asupra candidatului.

Decizia finală privind contactarea, interviul, propunerea către client sau respingerea candidaturii este luată de persoane umane (echipa de recrutare). Candidatul are dreptul de a solicita intervenție umană, de a-și exprima punctul de vedere și de a contesta scorul, contactându-ne la adresa indicată la secțiunea 1.

9. Măsuri de securitate

Aplicăm măsuri tehnice și organizatorice adecvate, inclusiv:

• parole stocate cu algoritm bcrypt (hash, fără stocare în clar);
• autentificare prin token JWT și limitare a ratei de cereri (rate limiting);
• headere de securitate HTTP (Helmet), conexiuni criptate HTTPS în producție;
• acces pe bază de rol (candidat / recruiter);
• jurnalizarea acțiunilor sensibile (audit log);
• fișiere CV stocate pe server securizat, accesibile numai utilizatorilor autorizați.

Niciun sistem nu este complet imun; vă informăm prompt conform legii dacă apare un incident de securitate cu impact asupra datelor personale.

10. Cookie-uri și date tehnice locale

Platforma nu utilizează cookie-uri de marketing sau de profilare. Pentru menținerea sesiunii de autentificare, aplicația stochează în localStorage al browserului un token de acces și date minime de profil (identificator, e-mail, rol). Aceste date sunt necesare funcționării serviciului; le puteți șterge dezactivând contul sau ștergând datele site-ului din browser.

Serverul poate înregistra adresa IP și user-agent la autentificare și la acceptarea consimțămintelor, în scop de securitate și dovadă legală.

11. Drepturile persoanei vizate

Conform GDPR, aveți următoarele drepturi, în măsura în care se aplică situației dumneavoastră:

• Dreptul de acces — să obțineți confirmarea prelucrării și o copie a datelor;
• Dreptul la rectificare — să corectați date inexacte sau incomplete (inclusiv din contul de candidat);
• Dreptul la ștergere („dreptul de a fi uitat”) — în condițiile art. 17 GDPR;
• Dreptul la restricționarea prelucrării — în cazurile prevăzute de lege;
• Dreptul la portabilitatea datelor — primirea datelor într-un format structurat, utilizat curent;
• Dreptul la opoziție — față de prelucrările bazate pe interes legitim;
• Dreptul de a retrage consimțământul — oricând, fără a afecta prelucrările anterioare;
• Dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrare automatizată — în condițiile art. 22 GDPR (vezi secțiunea 8).

12. Cum vă exercitați drepturile

Pentru alte solicitări (rectificare, opoziție, restricționare, întrebări) trimiteți e-mail la office@mindloop.ro cu subiect „Solicitare GDPR — TalentAI”, menționând numele complet, e-mailul de înregistrare și dreptul pe care doriți să îl exercitați. Răspundem în termen de maximum 30 de zile de la primire, conform art. 12 GDPR (termen care poate fi prelungit cu 60 de zile în cazuri complexe, cu informare prealabilă).

13. Plângere la autoritatea de supraveghere

Aveți dreptul de a depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) — www.dataprotection.ro, B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București, România.

14. Modificări ale politicii

Putem actualiza periodic prezenta politică. Versiunea curentă este indicată în antetul documentului. Modificările substanțiale vor fi comunicate prin platformă sau e-mail, iar continuarea utilizării după actualizare poate necesita reconfirmarea consimțământului, conform versiunii înregistrate în sistem (document_version).

Documente conexe: Termeni și Condiții