Politică de confidențialitate
Ultima actualizare: 2026-07-07 · Versiunea 1.6
1. Operatorul de date
Operatorul datelor cu caracter personal este Adrian Popa, care operează serviciile apnoda în România. Pentru orice solicitare legată de protecția datelor, inclusiv pentru exercitarea drepturilor dumneavoastră, ne puteți contacta la adresa de e-mail privacy@apnoda.com.
Nu am desemnat un Responsabil cu Protecția Datelor (DPO), întrucât nu sunt îndeplinite criteriile prevăzute de art. 37 alin. (1) din RGPD; prelucrăm exclusiv date provenite din registre publice, fără a efectua o monitorizare sistematică pe scară largă.
2. Ce date prelucrăm
Serviciile apnoda colectează (prin extragere automatizată / „scraping”) și redistribuie date din registrele publice din Europa Centrală și de Est. La data prezentei versiuni, sursele active sunt:
| Sursă | Date prelucrate | Persoane vizate |
|---|---|---|
| SEAP / e-licitație.ro (achiziții publice România) | Date privind persoanele juridice (CUI, denumire entitate, cod CPV, valoare contract, termene și date calendaristice). Pentru câștigătorii care sunt persoane fizice autorizate (PFA / II / IF), se publică denumirea oficială din registru a titularului (numele persoanei fizice), informație preluată din registrul public al achizițiilor (Legea nr. 98/2016). Datele de contact (telefon, fax, e-mail, persoană de contact), CNP-ul și adresa completă (stradă, cod poștal) sunt eliminate definitiv în momentul preluării, înainte de stocare. | Persoanele juridice (autorități contractante și societăți comerciale câștigătoare) și persoanele fizice titulare de PFA / II / IF câștigătoare, identificate prin denumirea publică de registru (date minimizate: fără CNP, fără date de contact, fără adresă). |
| Screening sancțiuni (liste oficiale UE FSF / OFAC / ONU / UK / SECO) | Nume și aliasuri ale entităților și persoanelor sancționate, preluate exact din listele oficiale publice (program, listă, număr de referință, dată). Acestea sunt utilizate exclusiv pentru a verifica denumirea legală a unei firme (identificată intern pe baza CUI-ului) prin raportare la aceste liste. Interogarea serviciului se face exclusiv pe bază de CUI, fără posibilitatea de căutare după nume. | Persoane fizice și juridice înscrise pe listele oficiale de sancțiuni internaționale. Corelarea în versiunea v1 se realizează la nivel de entitate juridică. Pentru această sursă menținem o Evaluare a Impactului asupra Protecției Datelor (DPIA) dedicată. |
| ANAF (date fiscale firme, VIES / TVA / inactivi / restanțe) | Date privind persoanele juridice, interogate după CUI: denumire, statut TVA, starea de inactivitate fiscală și prezența pe listele publice ale obligațiilor fiscale restante (cuantumul sumelor). Pentru entitățile asimilate persoanelor fizice (PFA / II / IF), denumirea înregistrată (numele public al titularului) este afișată ca informație provenită dintr-un registru public; CNP-ul este redactat, iar adresa poate fi restrânsă doar la nivel de județ/localitate. Interogare exclusiv pe bază de CUI. | Persoane fizice (titulari de PFA / II / IF, prin denumirea publică înregistrată) și persoane juridice, conform datelor din registrele publice ANAF. |
| portal.just.ro (metadate dosare instanțe) | Metadate ale dosarelor aflate pe rolul instanțelor din România: numele și calitatea părților, număr dosar, obiect/categorie (inclusiv materie penală, date privind condamnări / infracțiuni conform art. 10), stadiu procesual, instanță, termene. Interfața publică afișată pseudonimizează numele persoanelor fizice (folosind identificatori unici per dosar); persoanele juridice, structurile de tip PFA și instituțiile publice sunt afișate ca atare. Numele complete sunt păstrate doar în arhiva internă cu acces controlat și nu sunt niciodată accesibile publicului. Căutare după: CUI / număr dosar / dată, fără căutare după nume. | Persoane fizice (părți în dosare) și persoane juridice. Pentru această sursă menținem o Evaluare a Impactului asupra Protecției Datelor (DPIA) dedicată. |
Pe măsură ce vom lansa surse suplimentare (ONRC, BPI, Monitorul Oficial, ANCPI etc.), fiecare va fi inclusă aici cu detaliile specifice, împreună cu o Evaluare a Impactului (DPIA) proprie în cazul în care sursa respectivă conține date cu caracter personal.
3. Temeiul legal
Temeiul principal: art. 6 alin. (1) lit. (e) din RGPD (îndeplinirea unei sarcini care servește unui interes public): Legea nr. 98/2016 privind achizițiile publice obligă autoritățile contractante să publice anunțurile pe SEAP/SICAP. apnoda preia și reflectă înregistrările deja publice pentru a asigura accesibilitatea programatică a acestora.
Temeiul secundar: art. 6 alin. (1) lit. (f) din RGPD (interes legitim): pentru funcțiile analitice (căutare semantică, indicatori de nereguli, clasamente). Analiza interesului legitim (testul de echilibrare) este documentată în DPIA-ul nostru; subiecții analizați sunt în principal persoane juridice (autorități și societăți comerciale), dar includ și persoane fizice în cazul titularilor de PFA / II / IF, exclusiv prin denumirea publică din registru.
Pentru screening-ul de sancțiuni, temeiul principal este art. 6 alin. (1) lit. (f) din RGPD (interes legitim, pentru a permite clienților serviciului să prevină încălcarea regimurilor de sancțiuni), susținut de art. 6 alin. (1) lit. (e) din RGPD. Oglindim liste publice oficiale; această activitate NU constituie o prelucrare a datelor privind condamnări penale (art. 10), întrucât o măsură restrictivă de sancțiuni nu este o condamnare penală.
Pentru ANAF, temeiul juridic este bazat pe art. 6 alin. (1) lit. (e) și (f) din RGPD, datele provenind din registrele publice ANAF (registrul persoanelor impozabile înregistrate în scopuri de TVA; lista obligațiilor fiscale restante publicată în temeiul art. 162 din Codul de procedură fiscală). Pentru titularii PFA, denumirea publică înregistrată este afișată ca informație din registrul public (CNP-ul fiind redactat, iar adresa putând fi restrânsă).
Pentru portal.just.ro, temeiul principal este art. 6 alin. (1) lit. (e) din RGPD (interes public, legat de transparența actului de justiție și accesul public la portalul ECRIS), coroborat cu art. 6 alin. (1) lit. (f) din RGPD pentru agregarea litigiilor în funcție de CUI. Pseudonimizarea numelor persoanelor fizice în datele furnizate reprezintă principala măsură de protecție; datele referitoare la condamnări penale și infracțiuni (art. 10) nu sunt expuse ca atare.
4. Destinatari și împuterniciți
Datele sunt puse la dispoziția clienților prin intermediul platformei Apify Store (prin instrumente MCP și exporturi de seturi de date). Ne bazăm pe următorii împuterniciți (art. 28 din RGPD):
| Persoană împuternicită | Rol / Activitate | Locație / Jurisdicție |
|---|---|---|
| Apify | Executarea codului (actori) și distribuția prin Apify Store | SUA |
| Cloudflare | Stocare în Cloudflare R2, rutare e-mail și găzduirea acestui site web | SUA (stocare localizată în UE pentru R2) |
| Hetzner | Putere de calcul (orchestrare) și stocare baze de date | Germania / UE |
5. Transferuri internaționale
Transferurile de date către Apify (SUA) și Cloudflare (SUA) sunt acoperite și fundamentate pe Clauzele Contractuale Standard (SCC) incluse în acordurile de prelucrare a datelor (DPA) semnate cu fiecare furnizor. Serviciile Hetzner sunt localizate în întregime în interiorul UE, nefiind necesare clauze contractuale standard.
6. Perioada de stocare
Pentru SEAP: arhiva pe termen lung (Cloudflare R2) este păstrată timp de 7 ani, în conformitate cu obligațiile legale de păstrare a documentației de achiziții publice prevăzute de Legea nr. 98/2016. Memoria cache operațională (baza de date activă) este reținută pentru maximum 100 de zile. Orice sursă viitoare va avea o perioadă de stocare specifică și documentată corespunzător.
Pentru listele de sancțiuni: stocăm exclusiv instantaneul (snapshot-ul) curent, care este înlocuit integral la fiecare actualizare zilnică, fără a păstra un istoric al modificărilor. Dacă o entitate este eliminată din lista oficială la sursă, aceasta va dispărea automat din sistemul nostru la următoarea actualizare.
Pentru ANAF: datele de arhivă (Cloudflare R2) sunt păstrate 5 ani, iar memoria cache operațională (baza de date) cel mult 100 de zile.
Pentru portal.just.ro: datele istorice de arhivă (Cloudflare R2) sunt păstrate timp de 3 ani (fereastra istorică a evidențelor judiciare); memoria cache operațională (baza de date) este reținută pentru maximum 100 de zile (perioadă în care conține numele complete utilizate exclusiv pentru procesarea internă, fără a fi vreodată transmise sau afișate clienților).
7. Drepturile dumneavoastră
Beneficiați de toate drepturile prevăzute de RGPD: dreptul de acces (art. 15), dreptul la rectificare (art. 16), dreptul la ștergerea datelor („dreptul de a fi uitat”) (art. 17), dreptul la restricționarea prelucrării (art. 18), dreptul la portabilitatea datelor (art. 20) și dreptul la opoziție (art. 21). Pentru a vă exercita aceste drepturi, ne puteți scrie la adresa privacy@apnoda.com. Vom răspunde solicitării dumneavoastră în termen de maximum 30 de zile (art. 12 alin. (3) din RGPD).
Vă rugăm să aveți în vedere că, în cazul datelor provenite din registre publice, exercitarea anumitor drepturi poate fi limitată; spre exemplu, ștergerea datelor (art. 17) nu se aplică atunci când prelucrarea este necesară pentru îndeplinirea unei obligații legale (art. 17 alin. (3) lit. (b)), iar rectificarea datelor oficiale trebuie realizată direct la sursă (de către autoritatea contractantă în SEAP).
Pentru listele de sancțiuni: solicitarea de ștergere (art. 17) în cazul unei persoane care este încă înscrisă pe listă va fi respinsă în temeiul art. 17 alin. (3); singura soluție este radierea/delistarea de către autoritatea emitentă (UE / OFAC / ONU / UK / SECO), după care înregistrarea va dispărea din sistemul nostru la următoarea actualizare zilnică. Aceste solicitări sunt evaluate manual la privacy@apnoda.com.
Pentru ANAF: fiind date preluate din registre publice (privind persoane juridice și titulari PFA), rectificarea se efectuează la sursă (ANAF), iar dreptul la ștergere (art. 17) are o aplicabilitate limitată legal.
Pentru portal.just.ro: dreptul la ștergere (art. 17) este aplicabil din punct de vedere material; o solicitare legitimă va duce la eliminarea înregistrării respective din arhivă (cu păstrarea unei mărci de ștergere/tombstone), cererea fiind soluționată manual la privacy@apnoda.com.
8. Dreptul de a depune o plângere
De asemenea, aveți dreptul de a depune o plângere în fața Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), accesând site-ul oficial www.dataprotection.ro.
← Înapoi la pagina principalăPrivacy Notice
Last updated: 2026-07-07 · Version 1.6
1. Data controller
The controller of personal data is Adrian Popa, who operates the apnoda services in Romania. For any data-protection request, including to exercise your rights, you can contact us by email at privacy@apnoda.com.
We have not appointed a Data Protection Officer (DPO), as the criteria under Art. 37(1) GDPR are not met: we process only data from public registers, with no large-scale systematic monitoring.
2. What data we process
The apnoda services collect (by automated extraction / "scraping") and redistribute data from the public registers of Central and Eastern Europe. As of this version, the active sources are:
| Source | Data processed | Data subjects |
|---|---|---|
| SEAP / e-licitatie.ro (Romanian public procurement) | Data on legal entities (tax ID / CUI, entity name, CPV code, contract value, deadlines and calendar dates). Where a winner is a sole trader (PFA / II / IF), the holder's official registered name (a natural person's name) is published, information taken from the public procurement register (Law 98/2016). Contact details (phone, fax, email, contact person), the CNP (personal numeric code), and the full address (street, postal code) are permanently removed at the point of collection, before storage. | Legal entities (contracting authorities and winning companies) and natural persons who are PFA / II / IF sole-trader winners, identified by their public registered name (minimized data: no CNP, no contact details, no address). |
| Sanctions screening (official EU FSF / OFAC / UN / UK / SECO lists) | Names and aliases of sanctioned entities and persons, taken exactly from the official public lists (programme, list, reference number, date). These are used solely to check a company's legal name (identified internally from its CUI) against those lists. The service is queried by CUI only, with no option to search by name. | Natural and legal persons entered on the official international sanctions lists. Matching in v1 is performed at the legal-entity level. For this source we maintain a dedicated Data Protection Impact Assessment (DPIA). |
| ANAF (company fiscal data, VIES / VAT / inactive / arrears) | Data on legal entities, queried by CUI: name, VAT status, fiscal-inactive status, and presence on the public lists of outstanding tax arrears (the amounts owed). For entities treated as natural persons (PFA / II / IF), the registered name (the holder's public name) is shown as information from a public register; the CNP is redacted, and the address may be narrowed to county/locality only. Queried by CUI only. | Natural persons (PFA / II / IF sole traders, by their public registered name) and legal entities, according to data from the public ANAF registers. |
| portal.just.ro (court case-file metadata) | Metadata of cases on the dockets of the Romanian courts: the names and roles of the parties, case number, subject/category (including criminal matters, data on convictions / offences under Art. 10), stage, court, hearing dates. The public view shown pseudonymizes the names of natural persons (using unique per-case identifiers); legal entities, sole-trader (PFA) structures, and public institutions are shown as such. Full names are kept only in the internal access-controlled archive and are never accessible to the public. Searched by: CUI / case number / date, with no name search. | Natural persons (parties to cases) and legal entities. For this source we maintain a dedicated Data Protection Impact Assessment (DPIA). |
As we launch additional sources (ONRC, BPI, Monitorul Oficial, ANCPI, etc.), each will be included here with its specific details, together with its own Impact Assessment (DPIA) where that source contains personal data.
3. Lawful basis
Primary basis: Art. 6(1)(e) GDPR (performance of a task carried out in the public interest): Law 98/2016 on public procurement requires contracting authorities to publish notices on SEAP/SICAP. apnoda takes and reflects the already-public records to make them programmatically accessible.
Secondary basis: Art. 6(1)(f) GDPR (legitimate interests): for the analytical features (semantic search, irregularity indicators, rankings). The legitimate-interests analysis (balancing test) is documented in our DPIA; the subjects analysed are mainly legal persons (authorities and companies), but also include natural persons in the case of PFA / II / IF holders, solely through the public registered name.
For sanctions screening, the primary basis is Art. 6(1)(f) GDPR (legitimate interests, to allow the service's customers to prevent breaches of sanctions regimes), supported by Art. 6(1)(e) GDPR. We mirror official public lists; this activity does NOT constitute processing of personal data relating to criminal convictions (Art. 10), since a restrictive sanctions measure is not a criminal conviction.
For ANAF, the legal basis rests on Art. 6(1)(e) and (f) GDPR, the data coming from the public ANAF registers (the register of taxable persons registered for VAT; the list of outstanding tax arrears published under Art. 162 of the Fiscal Procedure Code). For PFA holders, the public registered name is shown as information from the public register (with the CNP redacted and the address potentially narrowed).
For portal.just.ro, the primary basis is Art. 6(1)(e) GDPR (public interest, related to the transparency of justice and public access to the ECRIS portal), in conjunction with Art. 6(1)(f) GDPR for aggregating litigation by CUI. Pseudonymization of the names of natural persons in the data provided is the principal safeguard; data relating to criminal convictions and offences (Art. 10) is not exposed as such.
4. Recipients and processors
The data is made available to customers through the Apify Store platform (via MCP tools and dataset exports). We rely on the following processors (Art. 28 GDPR):
| Processor | Role / Activity | Location / Jurisdiction |
|---|---|---|
| Apify | Code execution (actors) and distribution through Apify Store | US |
| Cloudflare | Storage in Cloudflare R2, email routing, and hosting of this website | US (EU-localized storage for R2) |
| Hetzner | Compute (orchestration) and database storage | Germany / EU |
5. International transfers
Transfers of data to Apify (US) and Cloudflare (US) are covered and grounded on the Standard Contractual Clauses (SCCs) included in the data processing agreements (DPAs) signed with each provider. Hetzner's services are located entirely within the EU, so no standard contractual clauses are required.
6. Retention period
For SEAP: the long-term archive (Cloudflare R2) is retained for 7 years, in line with the legal obligation to retain public-procurement documentation under Law 98/2016. The operational cache (the active database) is retained for at most 100 days. Any future source will have its own specific, duly documented period.
For the sanctions lists: we store only the current snapshot, which is replaced in full at each daily refresh, with no change history retained. If an entity is removed from the official list at the source, it disappears automatically from our system at the next refresh.
For ANAF: the archive data (Cloudflare R2) is retained 5 years, and the operational cache (database) at most 100 days.
For portal.just.ro: the historical archive data (Cloudflare R2) is retained for 3 years (the court-record window); the operational cache (database) is retained for at most 100 days (during which it holds the full names used solely for internal processing, never transmitted to or displayed to customers).
7. Your rights
You have all the rights provided by the GDPR: the right of access (Art. 15), the right to rectification (Art. 16), the right to erasure ("the right to be forgotten") (Art. 17), the right to restriction of processing (Art. 18), the right to data portability (Art. 20), and the right to object (Art. 21). To exercise these rights, you can write to us at privacy@apnoda.com. We will respond to your request within at most 30 days (Art. 12(3) GDPR).
Please note that, for data from public registers, the exercise of certain rights may be limited; for example, erasure (Art. 17) does not apply where processing is necessary for compliance with a legal obligation (Art. 17(3)(b)), and rectification of official data must be carried out directly at the source (by the contracting authority on SEAP).
For the sanctions lists: a request for erasure (Art. 17) for a person still on the list will be refused under Art. 17(3); the only remedy is removal/delisting by the issuing authority (EU / OFAC / UN / UK / SECO), after which the entry disappears from our system at the next daily refresh. Such requests are assessed manually at privacy@apnoda.com.
For ANAF: as data taken from public registers (concerning legal entities and PFA holders), rectification is carried out at the source (ANAF), and the right to erasure (Art. 17) has limited legal applicability.
For portal.just.ro: the right to erasure (Art. 17) is materially applicable; a legitimate request will lead to the removal of the relevant record from the archive (keeping a deletion marker/tombstone), the request being handled manually at privacy@apnoda.com.
8. Right to lodge a complaint
You also have the right to lodge a complaint with the National Supervisory Authority for Personal Data Processing (ANSPDCP), by visiting the official website www.dataprotection.ro.
← Back to home