GoLoko — Politica de Confidențialitate și GDPR

1. Cine suntem

S.C. Fiddmark Tech S.R.L. (denumită în continuare „Prestatorul"), cu sediul în Budureasa, Jud. Bihor, Str. Principală, Nr. 77, CUI 43886386, J20/2100/0325278, este dezvoltatorul și operatorul platformei GoLoko.

E-mail: fiddweb@gmail.com | Telefon: 0771 360 134

2. Roluri GDPR

Conform Regulamentului General privind Protecția Datelor (UE) 2016/679 (GDPR), în ecosistemul GoLoko există trei roluri distincte:

Rol GDPR	Cine	Responsabilitate
Operator de date (Data Controller)	Clientul (restaurantul, barul, cafeneaua)	Decide ce date se colectează de la Clienții Finali, în ce scop, și pe ce bază legală. Răspunde direct față de persoanele vizate.
Persoană împuternicită (Data Processor)	S.C. Fiddmark Tech S.R.L. (GoLoko)	Procesează datele exclusiv în numele și conform instrucțiunilor Operatorului (Clientului). Nu utilizează datele în scopuri proprii.
Persoana vizată (Data Subject)	Clientul Final (persoana care comandă)	Are drepturile prevăzute de GDPR: acces, rectificare, ștergere, portabilitate, opoziție.

2.1 Stocarea datelor

Abonamentele GoLoko (Gratuit și Pro): Datele sunt stocate pe serverele Prestatorului, în Uniunea Europeană. Prestatorul are acces tehnic la toate datele din contul Clientului pentru furnizarea serviciului, suport tehnic și mentenanță. Prestatorul NU utilizează aceste date în scopuri proprii și nu le vinde, închiriază sau partajează cu terți (cu excepțiile descrise la secțiunea 6).

3. Ce date colectăm și de ce

3.1 Date ale Clientului (restaurantul)

Colectate la înregistrare și pe durata utilizării:

Dată	Scop	Bază legală
Nume responsabil, telefon, e-mail	Comunicare, facturare, suport	Executarea contractului
Denumire societate, CIF, adresă, IBAN	Facturare, generare proforme	Obligație legală + executarea contractului
Denumire restaurant, logo, slug	Personalizarea platformei	Executarea contractului
Parola (stocată criptat, nu în clar)	Autentificare	Executarea contractului

3.2 Date ale Clienților Finali (cei care comandă)

Categoriile de date colectate depind de modul în care Clientul Final interacționează cu Platforma.

3.2.1 Consultare meniu și comandă la masă (QR-la-masă)

Pe ambele abonamente (Gratuit și Pro), Clienții Finali plasează comenzi direct de pe telefonul lor după scanarea codului QR de la masă. Categoriile de date colectate sunt minime:

Dată	Scop	Bază legală
Numărul mesei (preluat din codul QR)	Identificarea comenzii și rutarea la personal	Executarea contractului (comanda)
Conținutul comenzii și observațiile	Procesarea comenzii	Executarea contractului
Istoricul comenzilor (asociat cu sesiunea/masa)	Evidență, statistici, „Adaugă la comandă" (Pro)	Interes legitim al Clientului

Pentru comenzile la masă, Platforma nu solicită nume, telefon, e-mail sau alte date de contact ale Clientului Final.

3.2.2 Comenzi cu livrare la domiciliu/birou și rezervări mese (doar Pro)

Pe abonamentul Pro, Clienții Finali pot plasa comenzi cu livrare sau cereri de rezervare mese, ceea ce necesită colectarea de date de contact:

Dată	Scop	Bază legală
Nume, telefon, e-mail	Procesarea comenzii/rezervării, contact	Executarea contractului
Adresă livrare	Livrarea comenzii (doar la delivery)	Executarea contractului
Data și ora rezervării, număr persoane	Confirmarea cererii de rezervare	Executarea contractului (rezervare)
Istoricul comenzilor	Evidență, statistici, suport	Interes legitim al Clientului

Nu colectăm date financiare (carduri bancare), date biometrice, date de sănătate, sau categorii speciale de date personale.

3.3 Reclame afișate către Clienții Finali pe abonamentul Gratuit

Pe abonamentul Gratuit, Platforma afișează ocazional reclame discrete intercalate în lista de produse din meniul public (QR-la-masă). Aceste reclame:

Nu sunt personalizate pe baza unor date despre Clientul Final sau Client. Toți vizitatorii unui meniu pe Gratuit văd aceleași reclame, indiferent de istoricul lor de navigare
Sunt furnizate de Prestator direct de pe serverele proprii, fără apel la rețele de advertising terțe
Nu setează cookie-uri de tracking sau pixeli de retargeting pe browserul Clientului Final
Pot fi măsurate doar în mod agregat (număr total de afișări, număr total de click-uri), fără identificarea individuală a vizitatorilor

Pe abonamentul Pro nu se afișează nicio reclamă către Clienții Finali.

3.4 Marketplace HoReCa (în panoul de administrare al Clientului)

Platforma include un marketplace HoReCa accesibil din panoul de administrare al Clientului, disponibil pe toate abonamentele. Marketplace-ul prezintă produse pe care Clientul (restaurantul) le poate cumpăra de la magazine partenere, prin link-uri de afiliere.

Marketplace-ul vizează exclusiv Clientul (restaurantul), nu Clienții Finali. Clienții Finali nu interacționează cu marketplace-ul — nu îl văd pe paginile publice ale meniului și nu sunt expuși tracking-ului asociat.

Categorii de date prelucrate prin marketplace:

Click-uri pe linkurile de produse — înregistrate cu user-agent, adresă IP, timestamp și ID-ul produsului accesat, pentru atribuirea corectă a comisioanelor de afiliere și pentru rapoartele interne ale Prestatorului
ID-ul Clientului (restaurantului) care a accesat linkul — pentru rapoarte interne și pentru calculul eventualelor bonusuri/reduceri activate

Partajare cu terți la click: când Clientul accesează un link de marketplace, este redirecționat către un magazin partener (ex: Profitshare, eMag, Booking sau alte rețele de afiliere). Magazinul partener poate seta cookie-uri pe browserul Clientului pentru atribuirea comisionului. Acest comportament este standard pentru advertising-ul de afiliere și nu influențează prețurile produselor cumpărate.

4. Drepturile persoanelor vizate

Conform GDPR, Clienții Finali au următoarele drepturi:

Dreptul de acces — să afle ce date sunt stocate despre ei
Dreptul la rectificare — să solicite corectarea datelor inexacte
Dreptul la ștergere („dreptul de a fi uitat") — să solicite ștergerea datelor
Dreptul la portabilitate — să primească datele într-un format structurat (JSON)
Dreptul la restricționare — să solicite limitarea prelucrării
Dreptul de opoziție — să se opună prelucrării în anumite condiții

4.1 Cum se exercită aceste drepturi

Procedura: Clientul Final trimite solicitarea către restaurantul (Clientul/Operatorul) de la care a comandat. Restaurantul ne transmite nouă solicitarea. Noi executăm cererea (export date, ștergere/anonimizare) în termen de maximum 30 de zile de la primirea solicitării.

Motivul acestei proceduri: Prestatorul este Persoană Împuternicită, nu Operator. Clientul Final are relația directă cu restaurantul, nu cu GoLoko. Un Client Final poate comanda de la mai multe restaurante — doar restaurantul specific poate identifica și gestiona datele relevante.

La ștergere, comenzile existente sunt anonimizate (datele personale sunt eliminate, dar înregistrarea comenzii rămâne — fără nume, telefon sau adresă — pentru evidențe contabile).

5. Securitatea datelor

Prestatorul implementează măsuri tehnice și organizatorice adecvate pentru protecția datelor:

Comunicare exclusiv prin HTTPS (TLS/SSL)
Parole stocate criptat (nu în clar)
Protecție împotriva atacurilor de tip CSRF
Limitarea numărului de încercări de autentificare
Izolare completă a datelor între companii
Backup-uri periodice
Acces administrativ restricționat

6. Partajarea datelor cu terți

Nu vindem, nu închiriem și nu partajăm datele personale cu terți, cu excepția:

Furnizorului de găzduire — datele sunt stocate pe servere în Uniunea Europeană
Procesatorilor de plăți (dacă sunt integrați de Client) — datele de plată sunt procesate direct de procesatorul respectiv, nu tranzitează prin GoLoko
Rețelelor de afiliere (ex: Profitshare, eMag, Booking) — exclusiv pentru funcționalitatea de marketplace HoReCa, doar la momentul în care Clientul accesează un link de marketplace, și exclusiv pentru atribuirea comisionului de afiliere (vezi secțiunea 3.4)
Obligațiilor legale — dacă sunt solicitate de autorități competente, conform legii

7. Durata de păstrare a datelor

Tip date	Durata
Date cont Client (restaurant)	Pe durata abonamentului + 30 zile după reziliere (pentru export). Excepție: date necesare obligațiilor legale (facturi) — conform legislației fiscale.
Date Clienți Finali	Pe durata colaborării cu restaurantul. La cerere de ștergere — imediat (cu anonimizare comenzi).
Conturi cu downgrade la Gratuit (neplată abonament Pro)	Datele rămân indefinit cât timp contul are activitate. După 12 luni de inactivitate completă, Clientul este notificat cu 30 de zile înainte de ștergerea definitivă a datelor.
Conturi suspendate (încălcări ale Termenilor)	Datele se păstrează 90 de zile de la suspendare pentru eventuale contestații. După acest interval, pot fi șterse cu notificare prealabilă.

8. Transferuri internaționale

Datele sunt stocate și procesate pe servere situate în București, România (Uniunea Europeană), în datacenter-ul Electromagnetica, operat de CHML Web Services prin intermediul furnizorului Gazduire.net. Nu efectuăm transferuri de date cu caracter personal în afara Spațiului Economic European. În cazul în care un astfel de transfer ar fi necesar în viitor (de exemplu, prin utilizarea unor servicii terțe), acesta se va realiza exclusiv în baza unor garanții adecvate, conform Art. 46 GDPR.

9. Încălcări ale securității datelor (Data Breach)

În cazul unei încălcări a securității datelor, Prestatorul:

Va notifica Clientul (Operatorul) în termen de maximum 48 de ore de la constatare
Va furniza toate informațiile necesare conform Art. 33 GDPR
Va lua măsuri imediate de remediere și prevenire

10. Autoritatea de supraveghere

Dacă consideri că prelucrarea datelor tale personale încalcă prevederile GDPR, ai dreptul de a depune o plângere la:

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București
www.dataprotection.ro

11. Date de contact pentru chestiuni legate de confidențialitate

S.C. Fiddmark Tech S.R.L.
E-mail: fiddweb@gmail.com
Telefon / WhatsApp: 0771 360 134