Acasă Politica GDPR

Politica GDPR

Siguranța datelor cu caracter personal

Ultima actualizare: 25.05.2026

Această Politică GDPR privind siguranța datelor cu caracter personal detaliază măsurile tehnice și organizatorice implementate de Momentum Fitness SRL pentru protejarea datelor clienților, în conformitate cu Regulamentul (UE) 2016/679 (GDPR) și legislația națională aplicabilă. Această politică completează Politica de Confidențialitate și se adresează atât clienților, cât și personalului sălii fitness.

1. Informații despre operatorul de date

Momentum Fitness SRL
CUI: 52565679
Nr. Reg. Com.: J2025072613002
Sediu social: Iași, Str. Dimineții 31A
Email: contact@momentultau.ro
Telefon: 0040 750 434 582
Atestat de Întreprindere Socială: Seria IS/A NR.0284 din 20.10.2025

2. Scopul acestei politici

Această politică are scopul de a documenta modul în care Momentum Fitness SRL:

  • aplică principiile GDPR în activitatea zilnică;
  • implementează măsuri tehnice de securitate pentru protejarea datelor;
  • instruiește personalul privind protecția datelor;
  • răspunde la incidente de securitate și solicitări ale persoanelor vizate;
  • asigură transparența față de clienți privind prelucrarea datelor lor.

3. Domeniul de aplicare

Această politică se aplică tuturor datelor cu caracter personal prelucrate de Momentum Fitness SRL, inclusiv:

  • datele clienților (membre, participante la activitățile fitness);
  • datele personalului angajat și colaboratorilor (instructori, personal administrativ);
  • datele colectate prin website-ul momentultau.ro;
  • datele colectate prin sistemul de rezervări online;
  • datele colectate prin sistemele de plată online și POS;
  • datele colectate prin sistemul de supraveghere video (CCTV).

4. Principiile GDPR aplicate de Momentum Fitness SRL

Prelucrăm toate datele cu caracter personal respectând cele șapte principii fundamentale ale GDPR:

1. Legalitate, echitate și transparență

Prelucrăm datele numai în baza unui temei juridic valid și informăm persoanele vizate despre prelucrare.

2. Limitarea scopului

Datele sunt colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior în mod incompatibil cu aceste scopuri.

3. Minimizarea datelor

Colectăm numai datele strict necesare pentru scopul urmărit. Nu solicităm informații excesive sau irelevante.

4. Exactitatea datelor

Menținem datele exacte și actualizate. Clienții pot corecta datele inexacte din contul propriu sau la cerere.

5. Limitarea stocării

Stocăm datele numai pe perioada necesară scopului prelucrării, conform perioadelor de retenție definite în Politica de Confidențialitate.

6. Integritate și confidențialitate

Implementăm măsuri tehnice și organizatorice adecvate pentru protejarea datelor împotriva accesului neautorizat, pierderii sau distrugerii.

7. Responsabilitate (Accountability)

Demonstrăm respectarea principiilor GDPR prin documentație, politici interne și măsuri verificabile de conformitate.

5. Măsuri tehnice de securitate

Momentum Fitness SRL implementează următoarele măsuri tehnice pentru protejarea datelor:

  • Acces administrativ securizat — accesul la panoul de administrare al website-ului și bazei de date este protejat prin autentificare cu parolă puternică și acces restricționat;
  • Găzduire securizată — website-ul și baza de date sunt găzduite la Namebox.ro pe infrastructură cPanel cu certificat SSL/TLS activ (conexiuni HTTPS);
  • Plăți securizate — procesarea plăților online se realizează exclusiv prin NETOPIA Payments, care menține certificare PCI-DSS. Datele cardului bancar nu sunt stocate pe serverele Momentum Fitness SRL;
  • Comunicări securizate — emailurile și SMS-urile sunt trimise prin platforma Brevo, cu protocoale de securitate DKIM, SPF și DMARC active;
  • Criptarea parolelor — parolele utilizatorilor sunt stocate exclusiv în formă criptată (hashed) cu algoritmul bcrypt, nu în text clar;
  • Protecție CSRF — toate formularele POST includ protecție împotriva atacurilor Cross-Site Request Forgery;
  • Backup periodic — datele sunt salvate periodic conform politicilor de backup ale furnizorului de hosting.

6. Măsuri organizatorice de securitate

Pe lângă măsurile tehnice, implementăm și măsuri organizatorice:

  • Acces limitat la date — doar personalul autorizat are acces la datele cu caracter personal, în funcție de rolul și responsabilitățile acestuia;
  • Instruire periodică — personalul care are acces la date cu caracter personal este instruit privind obligațiile GDPR și practicile de securitate;
  • Consimțământ separat pentru marketing — consimțământul pentru comunicări comerciale este colectat separat față de consimțământul necesar pentru prestarea serviciilor;
  • Retenție CCTV limitată — înregistrările video de supraveghere sunt păstrate maximum 10 zile și șterse automat ulterior;
  • Acorduri cu furnizorii — toți furnizorii care prelucrează date în numele nostru semnează acorduri de prelucrare a datelor conform art. 28 GDPR.

7. Securitatea contului de client

Clienții care dețin un cont pe momentultau.ro sunt responsabili pentru securitatea propriului cont:

  • Utilizați o parolă puternică, unică pentru contul Momentum Fitness;
  • Nu partajați datele de autentificare cu alte persoane;
  • Nu utilizați rețele Wi-Fi publice nesecurizate pentru accesul la cont;
  • Deconectați-vă de la cont după utilizarea pe dispozitive partajate;
  • Raportați imediat orice activitate suspectă la contact@momentultau.ro.

Momentum Fitness SRL nu va solicita niciodată parola contului dvs. prin email, telefon sau SMS.

8. Securitatea plăților online

Toate plățile online efectuate pe momentultau.ro sunt procesate prin NETOPIA Payments, operator de plăți autorizat de Banca Națională a României, cu certificare PCI-DSS nivel 1.

La efectuarea unei plăți online:

  • Datele cardului bancar sunt introduse direct pe pagina securizată NETOPIA, nu pe serverele Momentum Fitness SRL;
  • Conexiunea este criptată SSL/TLS de la browser-ul clientului până la NETOPIA;
  • Momentum Fitness SRL primește doar confirmarea tranzacției și ID-ul acesteia, fără datele complete ale cardului;
  • Tranzacțiile pot fi autentificate suplimentar prin 3D Secure (verificare bancă emitentă).

9. Securitatea sistemului de rezervări

Sistemul de rezervări online este integrat cu contul de client și beneficiază de aceleași măsuri de securitate:

  • Accesul la rezervări este disponibil exclusiv prin autentificare în contul de client;
  • Datele rezervărilor sunt stocate în baza de date MySQL pe hosting-ul cPanel securizat;
  • Istoricul rezervărilor este vizibil exclusiv clientului deținător al contului și personalului autorizat al Momentum Fitness SRL;
  • Notificările de confirmare a rezervărilor se trimit la adresa de email înregistrată în cont.

10. Date colectate și prelucrate

Momentum Fitness SRL prelucrează categoriile de date detaliate în Politica de Confidențialitate. Rezumat:

  • Date cont: nume, email, telefon, parolă (criptată), istoric rezervări, status abonament;
  • Date rezervări: dată, oră, tip clasă, status rezervare;
  • Date plăți: ID tranzacție, sumă, dată — fără date complete card;
  • Date contabile: facturi, chitanțe (retenție 5 ani);
  • Date sănătate: declarație aptitudine fizică (cu consimțământ);
  • Date marketing: email, telefon (cu consimțământ separat);
  • Date comportament website: Google Analytics (cu consimțământ, anonimizat);
  • Date publicitate: Meta Pixel (cu consimțământ);
  • Înregistrări CCTV: intrare și recepție (10 zile retenție).

11. Accesul la date în cadrul companiei

Accesul la datele cu caracter personal ale clienților este limitat strict la personalul care are nevoie de aceste informații pentru îndeplinirea atribuțiilor:

  • Administratori sistem — acces complet la datele necesare gestionării platformei;
  • Personal recepție — acces la datele de identificare și statusul rezervărilor, necesar pentru primirea clienților;
  • Instructori — acces la lista participanților la clasele proprii și statusul prezenței;
  • Personal contabilitate — acces la datele necesare facturării și evidenței fiscale.

Fiecare categorie de personal are acces exclusiv la datele necesare rolului propriu, conform principiului accesului minim necesar (least privilege).

12. Formarea și instruirea personalului

Personalul Momentum Fitness SRL care prelucrează date cu caracter personal beneficiază de:

  • Instruire privind principiile GDPR și obligațiile legale aplicabile;
  • Instruire privind procedura de răspuns la solicitările persoanelor vizate;
  • Instruire privind identificarea și raportarea incidentelor de securitate;
  • Actualizări periodice în caz de modificări legislative sau organizatorice.

13. Cookie-uri și tehnologii de urmărire

Website-ul momentultau.ro utilizează cookie-uri descrise în detaliu în Politica de Confidențialitate. Utilizatorul are controlul complet asupra cookie-urilor non-esențiale prin panoul de consimțământ:

  • Cookie-uri esențiale — active permanent, necesare funcționării site-ului;
  • Cookie-uri de statistici (Google Analytics) — active doar cu consimțământ;
  • Cookie-uri de marketing (Meta Pixel) — active doar cu consimțământ.

Preferințele privind cookie-urile pot fi modificate oricând din panoul de setări cookie disponibil pe website.

14. Supraveghere video (CCTV)

Sistemul CCTV al sălii fitness este configurat cu respectarea principiului minimizării datelor:

  • Camerele sunt amplasate exclusiv la intrare și recepție;
  • Nu există supraveghere video în zonele de antrenament, vestiar sau alte zone private;
  • Clienții sunt informați prin afișaj vizibil privind existența supravegherii video;
  • Înregistrările sunt accesibile exclusiv administratorilor autorizați și, la cerere legală, autorităților competente;
  • Înregistrările sunt șterse automat după 10 zile.

15. Comunicări de marketing

Trimitem comunicări comerciale (newslettere, oferte, noutăți) exclusiv clienților care și-au exprimat consimțământul explicit în acest sens.

Consimțământul pentru marketing este:

  • Separat de consimțământul necesar pentru prestarea serviciilor contractuale;
  • Voluntar — refuzul nu afectează accesul la serviciile sălii fitness;
  • Retractabil oricând prin linkul de dezabonare din fiecare email sau contactând Momentum Fitness SRL.

16. Furnizori autorizați și sub-procesatori

Datele sunt transmise terților exclusiv în baza unui acord contractual conform art. 28 GDPR:

  • NETOPIA Payments — procesare plăți online;
  • Brevo (Sendinblue) — servicii email și SMS;
  • Namebox.ro — găzduire web cPanel;
  • Google LLC — Google Analytics (dacă există consimțământ);
  • Meta Platforms Inc. — Meta Pixel (dacă există consimțământ);
  • Procesator POS bancar — plăți la sediu.

Toți sub-procesatorii sunt obligați contractual să prelucreze datele exclusiv conform instrucțiunilor Momentum Fitness SRL și să implementeze măsuri de securitate adecvate.

17. Transferuri internaționale de date

Unii furnizori (Google, Meta) transferă date în Statele Unite ale Americii. Aceste transferuri sunt realizate cu garanții adecvate:

  • EU-US Data Privacy Framework — cadrul de confidențialitate aprobat de Comisia Europeană pentru transferuri UE–SUA;
  • Clauze contractuale standard (SCC) — clauze standard adoptate de Comisia Europeană;
  • Decizii de adecvare — pentru țările cu nivel de protecție echivalent UE.

18. Durata retenției datelor

Stocăm datele strict pe perioadele necesare scopurilor prelucrării:

  • Date cont client și rezervări: 3 ani de la ultima activitate;
  • Documente contabile (facturi): 5 ani de la data emiterii;
  • Înregistrări CCTV: 10 zile;
  • Date marketing: până la revocare/dezabonare;
  • Date Google Analytics: 14 luni;
  • Corespondență suport: 3 ani de la ultima interacțiune.

La expirarea perioadei de retenție, datele sunt șterse sau anonimizate securizat.

19. Gestionarea incidentelor de securitate

Momentum Fitness SRL dispune de o procedură de răspuns la incidente de securitate:

  • Identificarea incidentului — detectarea oricărui acces neautorizat, pierderi sau divulgări neautorizate de date;
  • Evaluarea impactului — evaluarea naturii datelor afectate, numărului de persoane vizate și riscurilor potențiale;
  • Limitarea impactului — măsuri imediate pentru oprirea breșei și prevenirea extinderii;
  • Documentarea incidentului — înregistrarea circumstanțelor, datelor afectate și măsurilor luate;
  • Notificarea autorității — dacă incidentul prezintă risc pentru drepturile persoanelor vizate, ANSPDCP este notificată în termen de 72 de ore;
  • Notificarea persoanelor afectate — dacă incidentul prezintă risc ridicat, persoanele vizate sunt notificate fără întârziere nejustificată.

20. Notificarea ANSPDCP privind incidentele

Conform art. 33 GDPR, în cazul unui incident de securitate care prezintă risc pentru drepturile și libertățile persoanelor vizate, Momentum Fitness SRL va notifica Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) în termen de 72 de ore de la constatarea incidentului.

Notificarea va include: natura incidentului, categoriile și numărul aproximativ de persoane vizate afectate, datele de contact, consecințele probabile și măsurile luate sau propuse.

Conform art. 34 GDPR, dacă incidentul prezintă un risc ridicat pentru drepturile persoanelor vizate, acestea vor fi notificate direct, fără întârziere nejustificată.

21. Exercitarea drepturilor privind datele cu caracter personal

Persoanele vizate pot solicita exercitarea drepturilor GDPR prin:

contact@momentultau.ro

Iași, Str. Dimineții 31A (solicitare scrisă)

Solicitările sunt procesate în termen de 30 de zile, cu posibilitate de prelungire la 60 de zile pentru cazuri complexe, cu notificarea solicitantului.

Vom verifica identitatea solicitantului înainte de a răspunde, pentru a preveni divulgarea neautorizată a datelor.

22. Dreptul la portabilitatea datelor

La solicitare, furnizăm datele cu caracter personal prelucrate în baza consimțământului sau contractului într-un format structurat, uzual, care poate fi citit automat (de exemplu JSON sau CSV), permițând transferul acestora către alt operator.

23. Drepturile persoanelor vizate conform GDPR

Conform GDPR, beneficiezi de următoarele drepturi:

  • Dreptul de acces (art. 15) — solicitare copie date prelucrate;
  • Dreptul la rectificare (art. 16) — corectare date inexacte;
  • Dreptul la ștergere (art. 17) — ștergere date în condițiile legii;
  • Dreptul la restricționarea prelucrării (art. 18) — limitare prelucrare;
  • Dreptul la portabilitate (art. 20) — primire date în format portabil;
  • Dreptul de opoziție (art. 21) — opoziție la prelucrare pentru marketing direct sau interes legitim;
  • Dreptul de a retrage consimțământul (art. 7) — revocare consimțământ oricând;
  • Dreptul de a nu face obiectul unei decizii automate (art. 22) — fără decizii exclusiv automate cu efecte semnificative;
  • Dreptul de a depune plângere la ANSPDCP (art. 77) — sesizare autoritate de supraveghere.

24. Autoritatea Națională de Supraveghere (ANSPDCP)

Dacă considerați că drepturile dumneavoastră GDPR au fost încălcate, puteți depune o plângere la:

  • ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal
  • Website: anspdcp.ro
  • Adresă: B-dul G-ral. Gheorghe Magheru 28-30, sector 1, București, 010336
  • Email: anspdcp@dataprotection.ro

Vă încurajăm să ne contactați înainte la contact@momentultau.ro pentru a rezolva orice problemă pe cale amiabilă.

25. Date de contact colectate

Datele de contact (email, telefon) sunt utilizate exclusiv pentru:

  • Comunicări tranzacționale legate de contul și rezervările clientului;
  • Comunicări de urgență privind modificări ale programului sau activităților rezervate;
  • Comunicări de marketing, numai cu consimțământul expres al clientului.

Datele de contact nu sunt împărtășite cu parteneri comerciali în scopuri proprii acestora.

26. Datele nu sunt vândute terților

Momentum Fitness SRL nu vinde, nu închiriază și nu transferă comercial datele clienților către terți în scop de marketing sau orice alt scop comercial al terților.

Datele sunt transmise exclusiv:

  • Furnizorilor de servicii (sub-procesatori) care prestează servicii în beneficiul Momentum Fitness SRL, în baza unui contract GDPR;
  • Autorităților publice competente, la cerere legală;
  • Instituțiilor bancare sau de plăți, în măsura necesară procesării tranzacțiilor.

27. Modificarea politicii de securitate a datelor

Această Politică GDPR poate fi actualizată periodic pentru a reflecta modificările în practicile de securitate, cerințele legale sau structura organizatorică a Momentum Fitness SRL.

Versiunea curentă este întotdeauna disponibilă pe momentultau.ro/politica-gdpr.html. Data ultimei actualizări este afișată la începutul documentului.

28. Recomandări pentru clienți privind securitatea datelor

Pentru a vă proteja datele, vă recomandăm:

  • Utilizați o parolă unică și puternică (minimum 8 caractere, combinație de litere mari/mici, cifre și simboluri) pentru contul Momentum Fitness;
  • Nu partajați datele de autentificare cu nimeni, inclusiv personalul sălii (nu le vom solicita niciodată);
  • Verificați că accesați site-ul la adresa corectă momentultau.ro (HTTPS activ);
  • Actualizați periodic parola contului;
  • Raportați imediat orice activitate suspectă la contact@momentultau.ro;
  • Deconectați-vă din cont după utilizarea pe dispozitive partajate sau publice.

29. Raportarea problemelor de securitate

Dacă identificați o vulnerabilitate de securitate sau suspectați că datele dumneavoastră au fost compromise, vă rugăm să ne contactați urgent:

contact@momentultau.ro

0040 750 434 582

Vom trata toate raportările cu prioritate și confidențialitate.

30. Relația cu celelalte politici ale website-ului

Această Politică GDPR trebuie citită împreună cu:

31. Declarație finală

Momentum Fitness SRL se angajează să protejeze datele cu caracter personal ale clienților și să respecte drepturile acestora conform GDPR. Tratăm confidențialitatea și securitatea datelor ca pe o responsabilitate continuă, nu ca pe o formalitate.

Ne angajăm să:

  • Actualizăm periodic măsurile de securitate în funcție de evoluțiile tehnologice și legislative;
  • Răspundem prompt și transparent la toate solicitările privind datele cu caracter personal;
  • Notificăm persoanele afectate și autoritățile competente în caz de incident de securitate;
  • Nu utilizăm datele clienților în scopuri incompatibile cu cele declarate.

Prin utilizarea serviciilor momentultau.ro, confirmați că ați luat la cunoștință această Politică GDPR și că înțelegeți drepturile și mecanismele de protecție disponibile.

Folosim cookie-uri pentru a-ți îmbunătăți experiența pe site. Poți alege ce tipuri de cookie-uri accepți.