Politica de Confidențialitate

MONTI MIND S.R.L.  ·  Versiune actualizată 2026

I. Prevederi generale

1.1. MONTI MIND S.R.L., cu sediul social în Timișoara, Str. Învățătorului, Nr. 3, Bl. 53, Sc. A, Ap. 3, jud. Timiș, număr de ordine în Registrul Comerțului: J35/3760/2023, CUI: 48883097 (denumită în continuare „Operatorul"), este operator de date cu caracter personal în sensul Regulamentului (UE) 2016/679 (GDPR).

1.2. Datele cu caracter personal sunt colectate și prelucrate exclusiv în conformitate cu GDPR, legislația română conexă și ghidurile Comitetului European pentru Protecția Datelor (EDPB).

1.3. Prezenta Politică informează utilizatorul cu privire la: ce date colectează Operatorul, în ce scop, pe ce temei juridic, cât timp le păstrează, cu cine le împărtășește și cum își poate exercita drepturile garantate de GDPR.

1.4. Website-ul Operatorului este accesibil la www.montimind.com.

II. Definiții

2.1. În sensul prezentei Politici, următorii termeni au înțelesul definit mai jos:

• Date cu caracter personal: orice informații privind o persoană fizică identificată sau identificabilă, inclusiv: nume, prenume, adresă, adresă de e-mail, număr de telefon, adresă IP, date de geolocalizare, identificatori online.
• Operator: MONTI MIND S.R.L., entitatea care determină scopurile și mijloacele prelucrării datelor cu caracter personal.
• Persoana vizată: utilizatorul ale cărui date cu caracter personal sunt prelucrate de Operator (client, abonat, vizitator al Site-ului).
• Prelucrare: orice operațiune efectuată asupra datelor cu caracter personal — colectare, stocare, utilizare, transmitere, ștergere etc.
• Consimțământ: manifestare de voință liberă, specifică, informată și neechivocă, exprimată printr-o acțiune afirmativă clară. Consimțământul poate fi retras în orice moment, fără consecințe negative.
• Împuternicit: persoana fizică sau juridică care prelucrează date în numele Operatorului, pe baza unui contract care impune garanții GDPR.
• GDPR: Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016.
• ANSPDCP: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, autoritatea de supraveghere competentă în România.

III. Date colectate și prelucrate

3.1. Date colectate direct de la utilizator

Operatorul colectează următoarele categorii de date furnizate direct de utilizator:

• Date de identificare: nume, prenume, adresă de e-mail, număr de telefon, adresă de livrare/facturare
• Date tranzacționale: informații despre comenzi, produse achiziționate sau închiriate, returnări, valoarea tranzacției, ID comandă, data și statusul tranzacției
• Date de cont: credențiale de autentificare (parolă stocată exclusiv în formă criptată), preferințe de cont
• Date pentru webinarii și evenimente: nume, prenume, email, data nașterii copilului, orașul de reședință, sursa prin care utilizatorul a aflat de eveniment
• Date de comunicare: mesajele transmise prin formularul de contact sau prin email

3.2. Date colectate automat

La vizitarea Site-ului, Operatorul sau furnizorii săi de servicii pot colecta automat:

• Adresa IP (anonimizată acolo unde este posibil)
• Tipul și versiunea browser-ului, sistemul de operare
• Paginile vizitate, durata sesiunii, sursa traficului
• Date de localizare aproximativă (la nivel de oraș, pe baza IP)
• Date colectate prin cookie-uri și tehnologii similare — reglementate separat prin Politica privind modulele Cookie

3.3. Date pe care Operatorul NU le colectează

• Date de card bancar sau cont bancar — plățile sunt procesate exclusiv prin procesatori de plăți certificați PCI-DSS
• Date din categorii speciale (date de sănătate, date biometrice, date privind originea rasială sau etnică)
• Date ale minorilor sub 16 ani — Site-ul nu este adresat direct minorilor; părinții/tutorii sunt persoanele vizate

IV. Scopurile și temeiul juridic al prelucrării

4.1. Operatorul prelucrează datele cu caracter personal numai pe baza unui temei juridic valid, conform art. 6 GDPR.

4.2. Gestionarea comenzilor și a relației contractuale

Scop: procesarea comenzilor de cumpărare și închiriere de jucării Montessori, gestionarea plăților, livrării, retururilor și reclamațiilor.

Temei juridic: Executarea contractului — art. 6(1)(b) GDPR.

Durată de retenție: Pe durata relației contractuale și ulterior conform obligațiilor legale aplicabile (5 ani pentru documente contabile).

4.3. Crearea și gestionarea contului de utilizator

Scop: înregistrarea și autentificarea pe Site, personalizarea experienței de cumpărături, accesul la istoricul comenzilor.

Temei juridic: Executarea contractului — art. 6(1)(b) GDPR.

Durată de retenție: Pe durata existenței contului. La ștergerea contului, datele sunt eliminate, cu excepția celor necesare prin lege.

4.4. Comunicări de marketing și newsletter

Scop: transmiterea de newslettere cu conținut educațional Montessori, informații despre produse noi, oferte și evenimente.

Temei juridic: Consimțământul utilizatorului — art. 6(1)(a) GDPR. Consimțământul este obținut explicit și poate fi retras în orice moment prin linkul de dezabonare.

Durată de retenție: Până la retragerea consimțământului.

4.5. Înscrieri la webinarii și evenimente

Scop: gestionarea înscrierii, transmiterea informațiilor despre eveniment, comunicări ulterioare legate de eveniment.

Temei juridic: Executarea contractului — art. 6(1)(b) GDPR sau consimțământul — art. 6(1)(a) GDPR.

Durată de retenție: 6 luni de la data evenimentului.

4.6. Obligații legale

Scop: respectarea obligațiilor contabile, fiscale și de raportare prevăzute de legislația română.

Temei juridic: Obligație legală — art. 6(1)(c) GDPR.

Durată de retenție: Conform termenelor prevăzute de lege (în general 5-10 ani pentru documente fiscale).

4.7. Securitatea Site-ului și prevenirea fraudei

Scop: detectarea și prevenirea accesului neautorizat, a atacurilor informatice și a fraudelor.

Temei juridic: Interes legitim — art. 6(1)(f) GDPR.

Durată de retenție: 90 de zile pentru loguri de securitate, după care sunt șterse automat.

4.8. Analiza și îmbunătățirea Site-ului

Scop: înțelegerea comportamentului utilizatorilor pe Site pentru îmbunătățirea experienței de navigare și a ofertei de produse.

Temei juridic: Consimțământul utilizatorului — art. 6(1)(a) GDPR, acordat prin acceptarea cookie-urilor analitice.

V. Drepturile persoanei vizate

5.1. În conformitate cu GDPR, utilizatorul beneficiază de următoarele drepturi:

• Dreptul la informare și acces (art. 15 GDPR): utilizatorul poate solicita confirmarea prelucrării datelor sale și o copie a datelor prelucrate.
• Dreptul la rectificare (art. 16 GDPR): utilizatorul poate solicita corectarea datelor inexacte sau completarea datelor incomplete.
• Dreptul la ștergere / „dreptul de a fi uitat" (art. 17 GDPR): utilizatorul poate solicita ștergerea datelor când acestea nu mai sunt necesare scopului inițial sau consimțământul a fost retras.
• Dreptul la restricționarea prelucrării (art. 18 GDPR): utilizatorul poate solicita suspendarea temporară a prelucrării în cazuri specifice.
• Dreptul la portabilitatea datelor (art. 20 GDPR): utilizatorul poate solicita datele sale într-un format structurat, uzual, citibil automat.
• Dreptul la opoziție (art. 21 GDPR): utilizatorul se poate opune prelucrării bazate pe interesul legitim al Operatorului, inclusiv în scopuri de marketing direct.
• Dreptul de a retrage consimțământul: în orice moment, fără a afecta legalitatea prelucrării anterioare retragerii.
• Dreptul de a depune plângere la ANSPDCP: la adresa www.dataprotection.ro.

5.2. Operatorul răspunde în termen de maximum 30 de zile calendaristice de la primirea solicitării, conform art. 12 GDPR.

5.3. Solicitările sunt gratuite. În cazul solicitărilor manifeste nejustificate sau excesive, Operatorul poate percepe o taxă rezonabilă sau poate refuza solicitarea, motivând decizia.

VI. Retenția datelor

6.1. Operatorul păstrează datele cu caracter personal numai atât timp cât este necesar pentru scopul pentru care au fost colectate, respectând principiul minimizării stocării (art. 5(1)(e) GDPR).

6.2. Perioadele de retenție aplicabile:

• Date aferente comenzilor și contractelor: 5 ani de la executarea contractului
• Date de cont: pe durata existenței contului + 30 de zile după ștergere, pentru backup
• Date pentru newsletter: până la retragerea consimțământului
• Date pentru webinarii: 6 luni de la data evenimentului
• Loguri de securitate: 90 de zile
• Date de contact (formular, email): 2 ani de la ultima interacțiune

6.3. La expirarea perioadei de retenție, datele sunt șterse sau anonimizate ireversibil.

VII. Destinatarii datelor

7.1. Datele cu caracter personal pot fi transmise către următorii destinatari, exclusiv în scopurile descrise în prezenta Politică:

• Furnizori de servicii de curierat: pentru livrarea produselor comandate (ex. FAN Courier, DPD, Sameday). Datele transmise: nume, adresă de livrare, număr de telefon, ID comandă.
• Procesatori de plăți: pentru autorizarea tranzacțiilor online. Datele de card sunt procesate direct de furnizorul de plăți, certificat PCI-DSS.
• Furnizori de platforme e-commerce și tehnice: Shopify Inc. (platforma de magazin online), furnizori de email marketing (ex. Klaviyo, Mailchimp), servicii de analiză web. Acești furnizori acționează în calitate de împuterniciți ai Operatorului.
• Autorități publice: ANAF, instanțe judecătorești sau alte autorități, exclusiv în baza unei obligații legale sau a unui ordin judiciar.

7.2. Operatorul nu vinde și nu transmite date cu caracter personal către terți neautorizați sau în scopuri incompatibile cu cele declarate.

VIII. Transferuri internaționale de date

8.1. Unii furnizori de servicii utilizați de Operator (ex. Shopify Inc. — Canada, Klaviyo — SUA, Google Analytics — SUA) pot transfera date în afara Spațiului Economic European (SEE).

8.2. Aceste transferuri se realizează pe baza unor mecanisme juridice adecvate:

• Clauze contractuale standard (SCC): aprobate de Comisia Europeană prin Decizia 2021/914.
• Decizii de adecvare: Canada și Regatul Unit beneficiază de decizii de adecvare ale Comisiei Europene.

8.3. Utilizatorul poate solicita informații despre transferurile internaționale de date la adresa de contact din Secțiunea X.

IX. Securitatea datelor

9.1. Operatorul implementează măsuri tehnice și organizatorice adecvate pentru protejarea datelor cu caracter personal, inclusiv:

• Criptarea datelor în tranzit (HTTPS/TLS) și a parolelor în repaus
• Acces restricționat al angajaților la datele personale, pe baza principiului necesității de a cunoaște
• Utilizarea exclusivă a furnizorilor de servicii care oferă garanții de securitate echivalente
• Monitorizarea sistemelor pentru detectarea incidentelor de securitate

9.2. În cazul unei încălcări a securității datelor care prezintă un risc pentru drepturile și libertățile utilizatorilor, Operatorul va notifica ANSPDCP în termen de 72 de ore de la constatare, conform art. 33 GDPR.

X. Date de contact

XI. Date prelucrate prin intermediul Site-ului și dispozitivelor

11.1. În scopul funcționării corecte a Site-ului și al asigurării securității acestuia, Operatorul colectează automat anumite date tehnice transmise de browser-ul sau dispozitivul utilizatorului: adresa IP, parametri tehnici ai dispozitivului, paginile accesate, durata vizitei.

11.2. Cookie-urile și tehnologiile similare sunt reglementate distinct prin Politica privind modulele Cookie, disponibilă pe Site.

XII. Actualizări ale Politicii de Confidențialitate

12.1. Prezenta Politică poate fi actualizată periodic, pentru a reflecta modificări legislative, tehnice sau operaționale. Versiunea actuală este întotdeauna disponibilă pe Site, cu indicarea datei ultimei revizuiri.

12.2. În cazul modificărilor semnificative care afectează drepturile utilizatorilor, Operatorul va notifica utilizatorii prin email sau prin afișarea unui mesaj vizibil pe Site, cu cel puțin 30 de zile înainte de intrarea în vigoare a noii versiuni.

12.3. Continuarea utilizării Site-ului după publicarea modificărilor nu constituie consimțământ pentru noile prelucrări care necesită temei juridic distinct.

---

Data ultimei actualizări: mai 2026  ·  MONTI MIND S.R.L.  ·  www.montimind.com