Declarație de confidențialitate

Data intrării în vigoare: 15 iunie 2026 · Ultima actualizare: 15 iunie 2026

Această Declarație de confidențialitate explică modul în care OSYNK AI S.R.L. („Osynk”, „noi”, „nouă”) colectează, utilizează, partajează și protejează datele cu caracter personal atunci când vizitați site-ul nostru, utilizați produsele noastre sau interacționați în alt mod cu noi. Data „Ultima actualizare” afișată mai sus reflectă cea mai recentă revizuire a acestei declarații.

Serviciul nostru este comercializat exclusiv între întreprinderi (business-to-business). Acționăm în calitate de operator de date pentru datele cu caracter personal ale vizitatorilor site-ului nostru și ale administratorilor și utilizatorilor conturilor de clienți, precum și pentru datele de care avem nevoie pentru a opera, securiza și factura Serviciul. Acționăm în calitate de persoană împuternicită de operator, conform instrucțiunilor documentate ale fiecărui client în temeiul unui acord de prelucrare a datelor potrivit articolului 28, pentru datele cu caracter personal pe care un client le încarcă pe platformă sau pe care le colectăm în numele clientului despre proprii utilizatori, angajați și contacte ai acestuia.

1. Cine suntem

Osynk operează o platformă de afaceri multi-tenant pentru echipele de venituri și operațiuni, incluzând asistentul AI Anya, precum și produsele Sales Intelligence și ERP & Supply Chain. Entitatea juridică este OSYNK AI S.R.L., o societate organizată în temeiul legislației din România. Datele complete de înregistrare ale companiei noastre (numărul de înregistrare la registrul comerțului, CUI, sediul social) sunt publicate în subsolul acestui site. Dacă aveți întrebări privind această declarație sau doriți să exercitați un drept prevăzut de legislația aplicabilă privind protecția datelor, contactați-ne la contact@osynk.ai.

2. Rolurile noastre: relații de operator, persoană împuternicită și operator asociat

Majoritatea datelor cu caracter personal aflate în spațiul de lucru al unui client sunt date pe care le controlează clientul. Pentru aceste date suntem persoană împuternicită: le prelucrăm exclusiv conform instrucțiunilor documentate ale clientului, în temeiul unui acord de prelucrare a datelor potrivit articolului 28. Clientul este operatorul și stabilește scopurile și mijloacele prelucrării.

Atunci când un client integrează pixelul de urmărire al Meta sau integrarea noastră Conversions API pe propriul site sau în propriile formulare, clientul este, pentru acea colectare și transmitere, operator asociat împreună cu Meta. Rolul Osynk în acest aranjament este de a acționa ca persoană împuternicită a clientului, operând pixelul și instrumentele de conversie conform instrucțiunilor documentate ale clientului, în temeiul acordului nostru de prelucrare a datelor potrivit articolului 28. Osynk nu stabilește scopurile acelei colectări și nu decide implementarea unui pixel; clientul o face. Meta nu este un subîmputernicit al Osynk pentru aceste date.

Suntem operator pentru datele cu caracter personal de care avem nevoie pentru a ne desfășura propria activitate: datele vizitatorilor site-ului, administrarea conturilor, jurnalizarea de securitate și de audit, precum și propriile relații cu clienții.

3. Datele cu caracter personal pe care le prelucrăm

3.1 Date de cont & identitate

Când vă creați un cont sau sunteți invitat într-unul, colectăm prenumele, numele, adresa de e-mail, parola criptată (hash), rolul, preferința de limbă și tenanții din care faceți parte. De asemenea, clienții pot stoca câmpuri de profil despre proprii angajați în cadrul platformei.

3.2 Conținut încărcat de client (CRM și date de afaceri)

Clienții încarcă conținut de afaceri în platformă: înregistrări CRM, contacte, lead-uri, oportunități, intrări de calendar și de programări, fișiere din baza de cunoștințe și alte documente. O parte din acest conținut conține date cu caracter personal despre proprii utilizatori, angajați și contacte ai clientului. Prelucrăm acest conținut strict conform instrucțiunilor clientului, în calitate de persoană împuternicită.

3.3 Date de conversație Anya

Atunci când un vizitator sau un utilizator interacționează cu asistentul AI Anya, prelucrăm conversația: mesajele schimbate și starea conversațională necesară pentru a menține continuitatea în cadrul unei sesiuni. Atunci când Anya este integrată pe site-ul unui client, aceste date de conversație aparțin spațiului de lucru al clientului și sunt prelucrate conform instrucțiunilor clientului.

3.4 Solicitări AI (prompts), răspunsuri și fișiere încărcate

Atunci când sunt utilizate funcții de AI, solicitările (prompts) trimise și răspunsurile generate sunt prelucrate de furnizorul modelului de AI descris în secțiunea 5 de mai jos. Solicitările și fișierele transmise pentru prelucrare AI (de exemplu, documente încărcate pentru extragere sau analiză) pot conține date cu caracter personal. Modul în care aceste date sunt gestionate de furnizorul modelului este prezentat în secțiunea 5.

3.5 Date din conectorul de e-mail

Atunci când un client activează un conector de e-mail sau de productivitate (Microsoft 365 sau Google), accesăm domeniile de căsuță poștală, calendar sau fișiere pe care clientul le autorizează în mod explicit, atât timp cât conexiunea rămâne activă, pentru a furniza funcționalitatea solicitată. Stocăm token-urile de integrare criptate în repaus. Un conector poate fi deconectat în orice moment din setările contului, după care nu mai accesăm contul conectat.

3.6 Date Meta de potrivire a evenimentelor

Pe site-urile clienților care activează un Meta Pixel, datele utilizate pentru a potrivi evenimentele de conversie cu conturile Meta pot include identificatori criptați (hash) (precum o adresă de e-mail sau un număr de telefon criptat), un identificator extern, adresa IP, agentul de utilizator (user agent), cookie-urile de browser Meta _fbc și _fbp, precum și date despre eveniment. Aceste date sunt prelucrate în scopurile de atribuire a conversiilor ale clientului, astfel cum se descrie în secțiunea 2 și în secțiunea 9 de mai jos.

3.7 Date de utilizare, tehnice și de audit

Înregistrăm informații generate de interacțiunile cu Serviciul: adresa IP, tipul de browser, identificatorii dispozitivului și ai sistemului de operare, paginile vizitate, funcțiile utilizate, marcajele temporale ale cererilor, urmele de eroare și telemetria de performanță. De asemenea, păstrăm jurnale de audit ale acțiunilor administrative și ale modificărilor de date. Utilizăm aceste date pentru a opera, securiza și îmbunătăți Serviciul și pentru a investiga abuzurile.

3.8 Cookie-uri și tehnologii similare

Utilizăm cookie-uri și stocare în browser, astfel cum se rezumă în secțiunea 9 de mai jos.

4. De ce prelucrăm datele cu caracter personal

Prelucrăm datele cu caracter personal în următoarele scopuri și pe următoarele temeiuri juridice (articolul 6 GDPR):

• Furnizarea și securizarea Serviciului. Executarea contractului (art. 6(1)(b)) și interesul nostru legitim de a opera o platformă securizată (art. 6(1)(f)).
• Prelucrarea datelor clientului conform instrucțiunilor acestuia. Executarea acordului nostru de prelucrare a datelor cu acel client (art. 28); clientul este operatorul și stabilește temeiul juridic pentru prelucrarea subiacentă.
• Administrarea conturilor și comunicările cu clienții. Executarea contractului și interesul nostru legitim de a menține relațiile cu clienții.
• Conformitatea juridică și contabilă. Respectarea unei obligații legale (art. 6(1)(c)), inclusiv păstrarea evidențelor contabile și fiscale impuse de legislația din România.
• Îmbunătățirea produsului. Interesul nostru legitim de a înțelege utilizarea la un nivel agregat și anonimizat.
• Marketing către contacte de afaceri. Consimțământul dumneavoastră acolo unde este necesar (art. 6(1)(a)) sau interesul nostru legitim de a ne promova produsele către contacte de afaceri. Vă puteți retrage în orice moment.
• Conformitate juridică, soluționarea litigiilor, prevenirea fraudei și a abuzului. Interes legitim și obligație legală.

5. Inteligența artificială

Interacționați cu un sistem de inteligență artificială. Asistentul Anya este un sistem de inteligență artificială. Atunci când începeți o conversație cu Anya, comunicați cu un asistent AI automatizat, nu cu o persoană. Datele de conversație sunt utilizate pentru a genera răspunsuri, a menține continuitatea sesiunii dumneavoastră și a furniza funcțiile de asistent pe care le-a configurat clientul.

Funcțiile de AI sunt alimentate de un furnizor de model terț care prelucrează solicitările (prompts), contextul conversației, fișierele transmise și completările (completions) pentru a genera răspunsuri. Furnizorul prelucrează aceste date în temeiul unor clauze contractuale de confidențialitate și de protecție a datelor și nu utilizează datele clienților pentru a-și antrena modelele fundamentale. Rezultatele AI pot fi revizuite de o persoană înainte de a se acționa în baza lor. Nu luăm decizii automatizate care produc efecte juridice sau efecte similare semnificative asupra persoanelor fără revizuire umană. De exemplu, scorarea de lead-uri prin AI nu elimină și nu respinge niciodată automat o persoană; o persoană revizuiește înainte de orice acțiune cu consecințe.

Prelucrarea AI se realizează prin Amazon Bedrock, cu inferența modelelor păstrată în limitele geografice ale UE. Solicitările sunt prelucrate în infrastructura AWS, fără a ajunge la furnizorii de modele subiacenți, care nu primesc solicitările clienților. Furnizorul de AI este Amazon Web Services (Amazon Bedrock), prelucrarea având loc în limitele geografice ale UE în temeiul Addendumului AWS GDPR de prelucrare a datelor, care încorporează Clauzele contractuale standard ale UE.

6. Cum partajăm datele cu caracter personal

Nu vindem date cu caracter personal. Partajăm datele cu caracter personal doar astfel cum se descrie mai jos:

• În cadrul tenantului dumneavoastră. Datele cu caracter personal aflate în interiorul unui tenant al unui client sunt accesibile utilizatorilor și administratorilor acelui tenant, în conformitate cu rolurile și permisiunile configurate de proprietarul tenantului.
• Subîmputerniciți. Folosim furnizori selectați cu atenție pentru a găzdui, securiza și opera Serviciul. Aceștia prelucrează datele cu caracter personal în numele nostru, în temeiul unor contracte scrise conform articolului 28 care impun protecții echivalente.
• Divulgări legale. Putem divulga date cu caracter personal atunci când acest lucru este impus de lege, de o hotărâre judecătorească obligatorie sau de o altă cerere legală, ori pentru a proteja drepturile, proprietatea sau siguranța Osynk, a clienților noștri sau a altora.
• Tranzacții corporative. Dacă suntem implicați într-o fuziune, achiziție, finanțare, reorganizare sau vânzare de active, datele cu caracter personal pot fi transferate sub rezerva protecțiilor standard de confidențialitate și a acestei declarații (sau a uneia echivalente din punct de vedere material).

7. Transferuri internaționale

Datele aplicației noastre, baza de date, stocarea de fișiere și copiile de rezervă sunt găzduite în Uniunea Europeană. Unii subîmputerniciți (de exemplu, anumite integrări de AI, de livrare a e-mailurilor și Meta) pot prelucra date cu caracter personal în afara Spațiului Economic European.

Atunci când transferăm date cu caracter personal în afara Spațiului Economic European, ne bazăm pe Clauzele contractuale standard ale Comisiei Europene (Decizia 2021/914) ca mecanism operativ de transfer, incluse în acordul de prelucrare a datelor al fiecărui destinatar, și ne bazăm suplimentar pe Cadrul UE-SUA privind confidențialitatea datelor (Data Privacy Framework) acolo unde destinatarul este certificat în temeiul acestuia. Nu ne bazăm exclusiv pe Data Privacy Framework. Efectuăm evaluări ale impactului transferurilor și aplicăm măsuri suplimentare acolo unde este necesar.

Pentru transferurile din Regatul Unit, ne bazăm pe extensia pentru Regatul Unit a Data Privacy Framework (puntea de date UK-SUA) și pe Acordul internațional de transfer de date din Regatul Unit sau pe addendumul acestuia, după caz. Pentru transferurile din Elveția, ne bazăm pe Cadrul elvețiano-american privind confidențialitatea datelor (Swiss-US Data Privacy Framework). Pentru fluxurile care implică Canada, se aplică decizia de adecvare a Comisiei Europene pentru organizațiile comerciale canadiene supuse PIPEDA. O copie a mecanismului de transfer relevant este disponibilă la cerere, la contact@osynk.ai.

8. Cum înregistrăm consimțământul pentru evenimente de urmărire și de conversie

Atunci când un client colectează consimțământ printr-un formular Osynk (de exemplu, o casetă de bifare pentru consimțământul de marketing), bifarea blocului de consimțământ creează o înregistrare de consimțământ în registrul nostru de consimțăminte. Fiecare înregistrare constă într-o acordare plus evenimente de evidență de tip „doar-adăugare” (append-only) care surprind la ce s-a consimțit, când a avut loc, sursa (de exemplu, un formular public), precum și adresa IP și agentul de utilizator ale browserului care a transmis. Acest registru este suprafața de evidență pe care ne bazăm noi și clienții noștri pentru a demonstra consimțământul (articolul 7(1) GDPR).

Evenimentele de conversie pentru transmiterile de formulare sunt trimise către Meta numai atunci când există o înregistrare de consimțământ pozitiv; în absența acelei înregistrări, evenimentul nu este trimis. În cazuri limitate, un operator autorizat al contului clientului poate înregistra o decizie de consimțământ în numele clientului (de exemplu, atunci când consimțământul a fost colectat în afara Osynk). O astfel de înregistrare trebuie să anexeze dovada originală a consimțământului (un export al formularului, o referință la un document semnat sau o captură de ecran), identificatorul persoanei vizate, data la care a fost acordat consimțământul original, identitatea operatorului și motivul declarat. Înregistrările care nu îndeplinesc acest standard probatoriu minim sunt semnalate, iar Osynk își rezervă dreptul de a suspenda trimiterea de evenimente prin Conversions API pentru orice înregistrare de consimțământ care nu îl îndeplinește. Clientul, în calitate de operator, poartă sarcina de a demonstra consimțământul valabil în temeiul articolului 7(1) GDPR pentru orice consimțământ importat prin acest mecanism.

Pentru datele care ajung la Osynk prin alte canale configurate de client (precum rezervările de programări sau webhook-urile de intrare din propriile sisteme ale clientului), clientul este responsabil de a fi colectat un consimțământ valabil înainte ca datele să ajungă la Osynk.

9. Cookie-uri și tehnologii similare

Utilizăm un număr restrâns de cookie-uri strict necesare pentru a vă menține autentificat, a reține contextul tenantului dumneavoastră și a vă proteja împotriva atacurilor de tip cross-site request forgery. Nu rulăm urmărire publicitară pe osynk.ai în sine.

Atunci când un client activează un Osynk Meta Pixel dedicat, per client, pe un site sau un formular pe care îl operează acel client, încărcătorul Osynk poate scrie cookie-urile Meta _fbc și _fbp, poate încărca fbevents.js al Meta și poate trimite un eveniment de conversie atât din browser, cât și de pe serverele noastre (Conversions API), utilizând un event_id comun, astfel încât Meta să deduplice copia din browser și copia de pe server ale evenimentului. Datele de potrivire trimise către Meta utilizează identificatori criptați (hash). Încărcătorul nu declanșează automat un PageView și nimic legat de Meta nu se încarcă până când pagina gazdă nu semnalează consimțământul.

10. Cât timp păstrăm datele cu caracter personal

Păstrăm datele cu caracter personal doar atât timp cât este necesar pentru scopurile pentru care au fost colectate. Termenele noastre implicite de păstrare sunt:

• Înregistrări CRM și conținut al clientului. Până când clientul le șterge sau contul este închis. Înregistrările șterse sunt mai întâi șterse „soft”, apoi eliminate definitiv; fișierele plasate în coșul de gunoi al CRM sunt eliminate definitiv după 30 de zile.
• Jurnale de audit și istoric al modificărilor. 24 de luni în mod implicit.
• Jurnale de e-mailuri expediate. 365 de zile în mod implicit. Corpul mesajelor nu este niciodată stocat; păstrăm doar hash-uri de integritate și metadate.
• Sesiuni de autentificare. Aproximativ 120 de minute de inactivitate.
• Evenimente de lead-uri și webhook-uri de intrare. 6 luni, apoi sunt eliminate.
• Date Meta de potrivire a evenimentelor. Identificatorii bruți sunt redactați după 7 zile în mod implicit; rândurile de evenimente persistă fără identificatorii bruți.
• Încărcări temporare din formulare publice. 24 de ore dacă formularul este abandonat.
• Copii de rezervă. 30 de zile pe bază rotativă.

Ștergerea datelor în aplicație le marchează ca șterse imediat și le ascunde; eliminările definitive urmează conform programelor de mai sus. Copiile din copiile de rezervă criptate persistă până la finalizarea rotației copiilor de rezervă (până la 30 de zile), după care datele șterse devin nerecuperabile.

Atunci când legislația contabilă și fiscală din România ne impune să păstrăm evidențe (precum documentele justificative contabile), păstrăm aceste evidențe pe perioada prevăzută de legea relevantă. Separat, atunci când trebuie să păstrăm evidențe pentru constatarea, exercitarea sau apărarea unui drept în instanță în temeiul articolului 17(3)(e) GDPR, limităm acea păstrare la evidențele rezonabil necesare pentru proceduri identificate sau rezonabil anticipate și evaluăm fiecare categorie în mod individual, în loc să păstrăm date pe o bază generalizată. Poziția detaliată privind ștergerea contului și păstrarea legală este prezentată pe pagina noastră Ștergerea datelor.

11. Securitate

Menținem garanții administrative, tehnice și fizice concepute pentru a proteja datele cu caracter personal, inclusiv criptarea datelor în tranzit (HTTPS / TLS), izolarea strictă a tenanților la nivelul bazei de date, controale de acces bazate pe roluri cu provizionare cu privilegii minime, criptarea în repaus a acreditărilor de integrare, jurnalizarea de audit a acțiunilor administrative și garanții contractuale cu subîmputerniciții noștri.

Niciun sistem nu este perfect securizat. Dacă bănuiți că ați fost compromis contul, vă rugăm să contactați imediat contact@osynk.ai.

12. Drepturile dumneavoastră

Sub rezerva legislației aplicabile, aveți dreptul de a accesa, rectifica, șterge, restricționa sau de a vă opune prelucrării datelor dumneavoastră cu caracter personal, precum și dreptul la portabilitatea datelor. Atunci când ne bazăm pe consimțământul dumneavoastră, îl puteți retrage în orice moment. De asemenea, aveți dreptul de a depune o plângere la o autoritate de supraveghere. În Uniunea Europeană, aceasta este autoritatea de protecție a datelor din statul dumneavoastră membru; în România, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).

Dacă sunteți utilizator al spațiului de lucru al unui client, clientul este operatorul acelor date. Vă rugăm să adresați mai întâi cererea acelui client; atunci când primim o astfel de cerere, o vom transmite clientului relevant. Pentru a exercita drepturi direct împotriva Osynk sau pentru a solicita ștergerea, consultați pagina noastră Ștergerea datelor sau scrieți la contact@osynk.ai. Răspundem în termenele impuse de legislația aplicabilă. Conform GDPR, acesta este în mod normal de o lună de la primire, pe care îl putem prelungi cu până la două luni suplimentare pentru cereri complexe sau numeroase, notificându-vă cu privire la orice astfel de prelungire și la motivele acesteia în prima lună.

13. Contact pentru confidențialitate

Contactul nostru pentru confidențialitate primește și direcționează cererile privind confidențialitatea și cele ale persoanelor vizate. Puteți contacta această persoană la contact@osynk.ai. Această persoană nu deține rolul de Responsabil cu protecția datelor în temeiul articolului 37 GDPR.

Pe baza evaluării noastre actuale, Osynk nu îndeplinește criteriile prevăzute la articolul 37(1) GDPR care ar face obligatorie desemnarea unui Responsabil cu protecția datelor. Revizuim periodic această evaluare pe măsură ce activitățile noastre de prelucrare evoluează.

14. Quebec: persoana responsabilă cu protecția informațiilor cu caracter personal

În temeiul Legii 25 din Quebec, Osynk desemnează o persoană responsabilă cu protecția informațiilor cu caracter personal. Acest rol este deținut de Administrator, care poate fi contactat la contact@osynk.ai.

15. Canada (PIPEDA)

Pentru persoanele din Canada, datele cu caracter personal sunt prelucrate în afara Canadei, în România și în alte locuri din Uniunea Europeană, de către Osynk și subîmputerniciții săi. Menținem o protecție comparabilă pentru aceste date prin garanții contractuale cu părțile care le prelucrează. Puteți solicita accesul la datele dumneavoastră cu caracter personal și puteți adresa o plângere privind modul în care le gestionăm contactului pentru confidențialitate din secțiunea 13; de asemenea, puteți depune o plângere la Comisariatul pentru confidențialitate din Canada (Office of the Privacy Commissioner of Canada), iar rezidenții din Quebec pot depune o plângere la Comisia de acces la informații (Commission d'accès à l'information).

16. Copii

Serviciul este destinat utilizării în scop de afaceri și nu se adresează copiilor cu vârsta sub 16 ani. Nu colectăm cu bună știință date cu caracter personal de la copii. Dacă bănuiți că un copil ne-a furnizat date cu caracter personal, vă rugăm să ne contactați pentru a le putea șterge.

17. Modificări ale acestei declarații

Putem actualiza această Declarație de confidențialitate din când în când. Data „Ultima actualizare” din partea de sus a paginii reflectă cea mai recentă revizuire. Dacă efectuăm modificări semnificative, vom oferi o notificare suplimentară (de exemplu, prin e-mail sau printr-un banner în aplicație) înainte ca modificările să intre în vigoare.

18. Contact

Întrebări privind confidențialitatea, cereri privind drepturile și orice altă corespondență: contact@osynk.ai. Datele complete de înregistrare ale companiei și datele juridice sunt publicate în subsolul site-ului.