Politica de confidențialitate

Versiunea 2.1 din Mai 2026

1. Cine suntem – Operatorii de date

Datele dumneavoastră cu caracter personal sunt prelucrate de următorii operatori de date:

Operator principal
Denumire: Peppermint Holding GmbH
Sediu social: Kurfürstendamm 194, 10707 Berlin, Germania
Telefon: +49 30 59 00 64-400
E-mail general: info@peppermint.biz

 

Operator pentru activitățile din România
Denumire: Ertex International SRL
Adresă: Str. Zizinului 109D, Brașov și Str. Vulcanului 30, Codlea
Telefon: +40 268 306-228
E-mail contact: e.brasov@ertex.de

 

Responsabil cu Protecția Datelor (DPO)
Entitate: Teutsch Services SRL
E-mail: dpo@ertex.de


Infrastructură hosting
Furnizor: Digitale Dinge GmbH, Johann-Gottlieb-Fichte-Str. 7, 16540 Hohen Neuendorf, Germania (UE)

 

Serverele pe care este găzduit site-ul se află în Germania, în cadrul Uniunii Europene. Nu se efectuează transferări de date în afara Spațiului Economic European (SEE) pentru operațiunile de bază.

Relația dintre Peppermint Holding GmbH şi Ertex International SRL

Ertex International SRL este o filială a Peppermint Holding GmbH. În ceea ce privește acest website, Peppermint Holding GmbH stabilește scopurile și mijloacele prelucrării datelor colectate prin intermediul acestuia, în calitate de operator principal.

Pentru solicitările transmise prin intermediul acestui site web, datele sunt prelucrate de Peppermint Holding GmbH și de Ertex International SRL în calitate de operatori asociați conform Art. 26 GDPR. Vă puteți exercita drepturile față de oricare dintre cei doi operatori.

Prelucrăm datele dumneavoastră în conformitate cu Regulamentul (UE) 2016/679 (GDPR), Legea nr. 190/2018, Legea nr. 506/2004 şi ghidurile și recomandările Comitetului European pentru Protecția Datelor (EDPB) și ale Autorității Naționale pentru Supravegherea Datelor cu Caracter Personal (ANSPDCP).

2. Ce date personale prelucrăm şi în ce scopuri

Prelucrăm exclusiv datele strict necesare pentru scopurile descrise mai jos, conform principiului minimizării datelor prevăzut la Art. 5 alin. (1) lit. c) GDPR.

Nume şi prenume
Scopul prelucrării: executarea contractului, răspuns la solicitări, gestionarea candidaților. Temeiul legal: Art. 6 alin. (1) lit. b) GDPR. Perioada de rețenție: durata relației contractuale plus 5 ani; pentru date de candidatură: 6 luni de la finalizarea procedurii, sau 2 ani în baza de candidați cu consimțământul dumneavoastră.

Adresă de e-mail
Scopul prelucrării: comunicare comercială, suport clienți, newsletter (numai cu consimțământul dumneavoastră). Temeiul legal: Art. 6 alin. (1) lit. b), f) sau a) GDPR, în funcție de scop. Perioada de rețenție: durata relației plus 3 ani; pentru newsletter: până la dezabonare.

Număr de telefon
Scopul prelucrării: suport clienți, comunicări operaționale. Temeiul legal: Art. 6 alin. (1) lit. b) şi f) GDPR. Perioada de rețenție: durata relației plus 3 ani.

Adresă IP şi cookie-uri tehnice
Scopul prelucrării: funcționarea tehnică a site-ului, securitate, prevenirea fraudei. Temeiul legal: Art. 6 alin. (1) lit. f) GDPR (interes legitim). Perioada de rețenție: maximum 12 luni.

Cookie-uri analitice (Google Analytics)
Scopul prelucrării: statistici de utilizare anonimizate pentru îmbunătățirea experienței utilizatorilor. Temeiul legal: Art. 6 alin. (1) lit. a) GDPR (consimțământul dumneavoastră). Perioada de rețenție: maximum 24 de luni conform setărilor cookie. Datele sunt transferate în SUA pe baza Clauzelor Contractuale Standard (SCC) şi a certificării DPF.

Cookie-uri publicitare (Google Ads, Meta Pixel, LinkedIn Insight Tag)
Scopul prelucrării: remarketing, măsurarea conversiilor şi publicitate personalizată. Temeiul legal: Art. 6 alin. (1) lit. a) GDPR (consimțământ explicit). Perioada de retenție: până la retragerea consimțământului. Pentru LinkedIn: datele directe sunt șterse după 7 zile, iar datele pseudonimizate după 180 de zile.

Date de videoconferință (Microsoft Teams)
Scopul prelucrării: comunicare operațională cu clienții şi partenerii. Temeiul legal: Art. 6 alin. (1) lit. b) şi f) GDPR. Perioada de rețenție: până la finalizarea scopului, cu respectarea perioadelor legale obligatorii.

Date de candidatură
Scopul prelucrării: evaluarea şi gestionarea procesului de recrutare. Temeiul legal: Art. 6 alin. (1) lit. b) GDPR pentru măsuri precontractuale şi Art. 6 alin. (1) lit. a) GDPR pentru includerea în baza de candidați. Perioada de rețenție: 6 luni de la finalizarea procedurii sau 2 ani în baza de candidați, cu consimțământul dumneavoastră.

Nu prelucrăm categorii speciale de date (date de sănătate, biometrice, rasiale, politice etc.) şi nici date ale minorilor sub 16 ani. Dacă identificăm că un utilizator are sub 16 ani, vom şterge imediat datele sale.

3. Temeiul legal al prelucrării

Fiecare operațiune de prelucrare se întemeiază pe cel puțin unul dintre temeiurile legale prevăzute de Art. 6 GDPR:

  • Executarea unui contract (lit. b) – prelucrarea este necesară pentru răspunsul la solicitări și pentru procesarea candidaturilor.
  • Interes legitim (lit. f) – securitatea tehnică a site-ului și prevenirea fraudelor. Interesul legitim a fost evaluat printr-un test de balanță (LIA).
  • Consimțământ (lit. a) – cookie-uri analitice şi de marketing, newsletter, reținerea datelor în baza de candidați. Consimțământul este liber, specific, informat şi poate fi retras oricând, fără consecințe negative.

Vă puteți opune prelucrării datelor efectuate în baza interesului legitim, pentru motive legate de situația dumneavoastră particulară, în conformitate cu Art. 21 GDPR.

4. Cookie-uri şi tehnologii similare

Site-ul nostru utilizează cookie-uri în conformitate cu Directiva ePrivacy (2002/58/CE) şi cu orientările EDPB. Cookie-urile şi serviciile de analiză sunt activate exclusiv după exprimarea consimțământului explicit prin mecanismul de gestionare a cookie-urilor (CMP), cu excepția celor strict necesare.

Cookie-uri strict necesare
Furnizori: sesiune, token CSRF. Scop: funcționarea tehnică a site-ului, fără de care site-ul nu poate opera corect. Temei legal: interes legitim, nu necesită consimțământ.

Cookie-uri de preferințe
Scop: memorarea preferințelor utilizatorului (limbă, monedă, setări de afişare). Temei legal: consimțământul dumneavoastră.

Cookie-uri analitice
Furnizor: Google Analytics, cu funcția de anonimizare a adresei IP activă. Scop: statistici de utilizare anonimizate pentru îmbunătățirea serviciilor. Temei legal: consimțământul dumneavoastră.

Cookie-uri publicitare şi de remarketing
Furnizori: Google Ads, Meta Pixel, LinkedIn Insight Tag. Scop: remarketing, măsurarea conversiilor şi publicitate personalizată. Temei legal: consimțământul dumneavoastră.

 

La prima vizită, vă este prezentat un banner de consimțământ (Consent Management Platform). Puteți gestiona sau retrage consimțământul oricând accesând linkul „Setări cookie” din subsolul site-ului. Retragerea consimțământului nu afectează legalitatea prelucrării anterioare. Puteți configura browserul să blocheze sau să şteargă automat cookie-urile, însă dezactivarea lor poate limita funcționalitatea site-ului.

5. Instrumente de analiză şi publicitate

5.1 Google Analytics

Utilizăm Google Analytics, furnizat de Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlanda. Funcția de anonimizare a adresei IP este activă. Datele sunt transferate în SUA pe baza Clauzelor Contractuale Standard (SCC), iar Google este certificat în conformitate cu Cadrul de Confidențialitate UE-SUA (DPF). Temeiul legal este consimțământul dumneavoastră conform Art. 6 alin. (1) lit. a) GDPR, revocabil oricând. Puteți dezactiva Google Analytics prin plugin-ul de browser disponibil la https://tools.google.com/dlpage/gaoptout. Am încheiat un DPA cu Google conform Art. 28 GDPR.

5.2 Google Ads şi Conversion Tracking

Utilizăm Google Ads şi Urmărirea Conversiilor Google, furnizate de Google Ireland Limited, Dublin 4, Irlanda, pentru afişarea de anunțuri şi măsurarea eficacității campaniilor. Rapoartele de conversie nu conțin date care să permită identificarea personală directă a utilizatorilor. Transferul în SUA este garantat prin SCC şi certificare DPF. Temeiul legal este consimțământul dumneavoastră conform Art. 6 alin. (1) lit. a) GDPR, revocabil oricând.

5.3 Google Ads Remarketing

Utilizăm Google Ads Remarketing pentru afişarea de anunțuri personalizate vizitatorilor site-ului în rețeaua de publicitate Google, inclusiv YouTube şi Gmail. Vă puteți opune publicitații personalizate accesând https://adssettings.google.com. Transferul în SUA este garantat prin SCC şi certificare DPF. Temeiul legal este consimțământul dumneavoastră conform Art. 6 alin. (1) lit. a) GDPR.

5.4 Meta Pixel (fostul Facebook Pixel)

Utilizăm Meta Pixel, furnizat de Meta Platforms Ireland Limited, Merrion Road Dublin 4, D04 X2K5, Irlanda. Datele colectate pe site-ul nostru şi transmise la Meta sunt prelucrate în calitate de operatori asociați conform Art. 26 GDPR, în baza unui Acord de Prelucrare Comună (Joint Controller Addendum), disponibil la https://www.facebook.com/legal/controller_addendum. Conform acestui acord, noi răspundem de informarea corectă a utilizatorilor şi de implementarea tehnică, iar Meta răspunde de securitatea produselor sale. Drepturile persoanelor vizate cu privire la datele prelucrate de Meta pot fi exercitate direct la Meta sau prin intermediul nostru.

Utilizăm funcția de Aliniere Extinsă, care permite transferul la Meta al unor date suplimentare (adrese de e-mail hash-uite, date demografice) în scopul optimizării campaniilor. Datele pot fi transferate în SUA pe baza SCC şi a certificării DPF. Temeiul legal este consimțământul dumneavoastră conform Art. 6 alin. (1) lit. a) GDPR. Vă puteți opune publicitații personalizate Meta la https://www.facebook.com/ads/preferences. Cei fără cont Meta pot gestiona preferințele la http://www.youronlinechoices.com.

5.5 LinkedIn Insight Tag

Utilizăm tag-ul Insight de la LinkedIn Ireland Unlimited Company, Wilton Plaza, Dublin 2, Irlanda. Acesta ne permite analiza audienței profesionale, remarketingul şi măsurarea conversiilor. Identificatorii direcți ai membrilor LinkedIn sunt şterşi după 7 zile, iar datele pseudonimizate după 180 de zile. Transferul în SUA este garantat prin SCC şi certificare DPF. Temeiul legal este consimțământul dumneavoastră conform Art. 6 alin. (1) lit. a) GDPR sau, în lipsa acestuia, interesul legitim conform Art. 6 alin. (1) lit. f) GDPR. Vă puteți opune la https://www.linkedin.com/psettings/guest-controls/retargeting-opt-out. Am încheiat un DPA cu LinkedIn conform Art. 28 GDPR

6. Formulare de contact, newsletter şi înregistrare

6.1 Formular de contact şi solicitări

Dacă ne transmiteți solicitări prin formularul de contact, e-mail sau telefon, datele furnizate vor fi stocate exclusiv în scopul gestionării solicitării. Solicitările primite prin site sunt prelucrate inițial de Peppermint Holding GmbH şi transmise ulterior către Ertex International SRL, care decide în mod autonom cum răspunde solicitării în contextul operațiunilor sale din România. Nu transmitem aceste date către terți fără consimțământul dumneavoastră, cu excepția cazurilor obligatorii legal. Temeiul legal este Art. 6 alin. (1) lit. b) GDPR pentru solicitările legate de un contract sau Art. 6 alin. (1) lit. f) GDPR pentru gestionarea eficientă a solicitărilor.

6.2 Newsletter

Dacă vă abonați la newsletterul nostru, adresa dvs. de e-mail va fi utilizată exclusiv pentru trimiterea de comunicări comerciale proprii. Utilizăm procedura double opt-in pentru confirmarea abonamentului. Vă puteți dezabona oricând prin linkul din fiecare e-mail. După dezabonare, adresa poate fi păstrată pe o listă de excludere pentru a preveni trimiteri viitoare neautorizate, în baza interesului legitim conform Art. 6 alin. (1) lit. f) GDPR. Temeiul legal pentru trimiterea newsletterului către abonați noi este consimțământul dumneavoastră conform Art. 6 alin. (1) lit. a) GDPR, iar pentru clienții existenți poate fi interesul legitim conform Art. 6 alin. (1) lit. f) GDPR.

7. Instrumente de conferință online

7.1 Microsoft Teams

Utilizăm Microsoft Teams pentru comunicarea cu clienții şi partenerii noştri. Furnizorul este Microsoft Ireland Operations Limited, One Microsoft Place, Leopardstown, Dublin 18, Irlanda. Sunt colectate date de identificare, metadate de conferință (durată, oră de acces, număr de participanți) şi date tehnice (adresă IP, tip dispozitiv, sistem de operare). Temeiul legal este Art. 6 alin. (1) lit. b) şi f) GDPR. Microsoft este certificat DPF şi am încheiat un DPA conform Art. 28 GDPR. Politica de confidențialitate Microsoft este disponibilă la https://privacy.microsoft.com. Nu avem control asupra perioadei de stocare utilizate de Microsoft în propriile sale scopuri.

8. Gestionarea candidaților

Dacă ne trimiteți o candidatură pentru un post vacant (prin e-mail, formular online sau servicii poștale), vom prelucra datele cu caracter personal aferente: date de contact, CV, documente de candidatură şi note din interviuri. Aceste date sunt accesibile exclusiv persoanelor implicate în procesul de recrutare. Temeiul legal este art. 6 alin. (1) lit. b) GDPR pentru măsuri precontractuale şi art. 6 alin. (1) lit. a) GDPR pentru includerea în baza de candidați, cu consimțământul dumneavoastră explicit.

Perioadele de arhivare sunt următoarele:

  • Dacă nu se încheie un raport de muncă, datele sunt şterse în termen de 6 luni de la finalizarea procedurii de candidatură.
  • Dacă acceptați includerea în baza de candidați, datele sunt păstrate maximum 2 ani, după care sunt șterse irevocabil, dacă nu retrageți consimțământul mai devreme.
  • Dacă este încheiat un contract de muncă, datele sunt prelucrate în baza art. 6 alin. (1) lit. b) GDPR pe durata raportului de muncă.

Ca parte a procesului de candidatură, putem efectua căutări online (Google, LinkedIn, Xing) bazate exclusiv pe informații disponibile public. Temeiul legal este interesul legitim conform art. 6 alin. (1) lit. f) GDPR.

9. La cine pot ajunge datele dumneavoastră

Nu vindem datele dumneavoastră personale și nu le punem la dispoziția terților în scopuri comerciale proprii ale acestora. Le transmitem exclusiv în scopurile descrise mai jos.


Ertex International SRL, România
Calitate juridică: operator asociat conform Art. 26 GDPR. Scop: prelucrarea solicitărilor primite prin site şi a contactelor operaționale în contextul activității din România. Ertex International SRL decide în mod autonom cum gestionează aceste date ulterior receptării lor. Datele rămân în cadrul UE.

Furnizorul de hosting
Digitale Dinge GmbH, Germania (UE). Scop: găzduire site web şi stocare date. Servere localizate în UE, fără transfer extraeuropean. DPA încheiat conform Art. 28 GDPR.

Google LLC
Servicii: Google Analytics, Google Ads, Conversion Tracking, Remarketing. Scop: analiză trafic, publicitate şi măsurare conversii. Transfer în SUA garantat prin SCC şi certificare DPF. DPA încheiat conform Art. 28 GDPR.

Meta Platforms Ireland Limited
Serviciu: Meta Pixel. Calitate juridică: operator asociat conform Art. 26 GDPR (JCA disponibil la https://www.facebook.com/legal/controller_addendum). Scop: măsurare conversii şi remarketing. Transfer în SUA garantat prin SCC şi certificare DPF.

LinkedIn Ireland Unlimited Company
Serviciu: LinkedIn Insight Tag. Scop: analiză audiență şi remarketing. Transfer în SUA garantat prin SCC şi certificare DPF. DPA încheiat conform Art. 28 GDPR.

Microsoft Ireland Operations Limited
Serviciu: Microsoft Teams. Scop: videoconferințe şi comunicare operațională. Certificare DPF activă. DPA încheiat conform Art. 28 GDPR.

Furnizori de servicii e-mail şi newsletter
Scop: trimiterea notificărilor şi a newsletterelor. Garanții: SCC sau server în UE. DPA încheiat conform Art. 28 GDPR.

Autorități publice
ANAF, ANSPDCP, instanțe judecătorești. Scop: îndeplinirea obligațiilor legale la solicitarea autorităților. Temeiul legal: Art. 6 alin. (1) lit. c) GDPR.

10. Cât timp stocăm datele

Aplicăm principiul limitării stocării prevăzut la Art. 5 alin. (1) lit. e) GDPR. Datele se șterg sau se anonimizează la expirarea termenelor indicate în Secțiunea 2, cu excepția următoarelor situații:

  • Obligație legală de păstrare mai îndelungată conform legislației aplicabile.
  • Interes legitim documentat pentru o perioadă mai lungă, de exemplu prevenirea litigiilor în cadrul termenului general de prescripție de 3 ani.
  • Litigiu în curs sau iminent care necesită păstrarea dovezilor.
  • O restricționare a prelucrării solicitată conform Art. 18 GDPR, care suspendă temporar ștergerea datelor până la soluționarea situației care a generat restricția

La expirarea termenului aplicabil, datele sunt șterse definitiv sau anonimizate ireversibil prin proceduri documentate.

11. Drepturile dumneavoastră

În calitate de persoană vizată, beneficiați de toate drepturile prevăzute de Capitolele III şi IV din GDPR:

Dreptul de acces (Art. 15 GDPR)
Obțineți o copie a datelor prelucrate şi informații despre modul de prelucrare, inclusiv despre transferările în țări terțe. Termen de răspuns: 30 de zile, extensibil la 90 de zile pentru cereri complexe.

Dreptul la rectificare (Art. 16 GDPR)
Corectarea datelor inexacte sau completarea celor incomplete. Termen: 30 de zile.

Dreptul la ştergere (Art. 17 GDPR)
Ştergerea datelor când nu mai sunt necesare scopului sau când vă retrageți consimțământul, în măsura în care nu există obligații legale de păstrare. Termen: 30 de zile.

Dreptul la restricționarea prelucrării (Art. 18 GDPR)
Suspendarea temporară a prelucrării în situații specifice: contestație a exactității datelor, prelucrare ilegală, necesitatea păstrării pentru apărarea drepturilor legale sau obiecție în curs de soluționare. Termen: 30 de zile.

Dreptul la portabilitate (Art. 20 GDPR)
Primirea datelor prelucrate în baza unui contract sau a consimțământului într-un format structurat, uzual şi citibil automat (de exemplu CSV sau JSON). Termen: 30 de zile.

Dreptul la opoziție (Art. 21 GDPR)
Vă puteți opune prelucrării bazate pe interesul nostru legitim, invocând motive legate de situația dumneavoastră particulară. Opoziția la prelucrarea în scopuri de publicitate directă (inclusiv profilarea asociată) produce efect imediat şi nu necesită nicio justificare. Termen: imediat pentru marketing direct, 30 de zile pentru alte scopuri.

Dreptul de retragere a consimțământului (Art. 7 alin. (3) GDPR)
Retragerea oricărui consimțământ acordat anterior, fără a afecta legalitatea prelucrării efectuate până la momentul retragerii. Efect: imediat.

Dreptul de a nu face obiectul deciziilor automate (Art. 22 GDPR)
Nu luăm decizii cu efecte juridice bazate exclusiv pe prelucrare automată. Acest drept nu este aplicabil în prezent.

Cum exercitați aceste drepturi: trimiteți o cerere scrisă la dpo@ertex.de sau prin poştă la adresa operatorului principal din Secțiunea 1. Veți primi răspuns în 30 de zile (extensibil la 90 de zile pentru cereri complexe, cu notificarea prealabilă).

Dacă apreciați că drepturile dumneavoastră nu au fost respectate, aveți dreptul de a depune o plângere la ANSPDCP – Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București, telefon +40 318 059 211, www.dataprotection.ro.

12. Securitatea datelor

Implementăm măsuri tehnice şi organizaționale de ultimă generație în conformitate cu Art. 32 GDPR.

Măsuri tehnic

  • Criptare în tranzit prin protocol TLS 1.2/1.3 (HTTPS) pe întregul site.
  • Criptare la stocare: date sensibile stocate în format criptat AES-256.
  • Autentificare în doi paşi (2FA) pentru accesul administrativ.
  • Actualizări de securitate aplicate sistematic conform politicii de gestionare a vulnerabilităților.
  • Sisteme de detectare a intruziunilor (IDS) şi jurnalizarea evenimentelor de securitate.

Copii de siguranță criptate, stocate separat şi testate periodic.

Măsuri organizaționale

  • Sistem de management al securității informației (ISMS) conform politicilor interne de securitate.
  • Instruire periodică a angajaților privind protecția datelor şi securitatea cibernetică.
  • Acorduri de confidențialitate (NDA) pentru tot personalul cu acces la date personale.
  • Proceduri documentate de răspuns la incidente de securitate.
  • Evaluări de impact (DPIA) pentru activitățile de prelucrare cu risc ridicat.

Notificarea încălcărilor de securitate
În cazul unui incident de securitate, vom notifica ANSPDCP în termen de 72 de ore şi vă vom informa direct, fără întârziere nejustificată, dacă există un risc ridicat pentru drepturile şi libertățile dumneavoastră, conform Art. 33-34 GDPR.

13. Protecția datelor minorilor

Site-ul nostru nu se adresează persoanelor sub 16 ani şi nu colectăm date de la minori. Dacă un minor ne-a furnizat date fără consimțământul părintelui sau al tutorelui legal, rugăm părintele ori tutorele să ne contacteze pentru ștergerea imediată a acestor date.

14. Cadrul legal aplicabil

  • Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului (GDPR).
  • Legea nr. 190/2018 privind măsurile de punere în aplicare a GDPR în România.
  • Legea nr. 506/2004 privind prelucrarea datelor personale în sectorul comunicațiilor electronice.
  • Orientările EDPB: Ghidul 05/2020 privind consimțământul, Ghidul 01/2022 privind drepturile persoanei vizate, Ghidul 04/2019 privind Privacy by Design, Ghidul 01/2020 privind transferările în țări terțe.
  • Deciziile şi recomandările ANSPDCP, disponibile la www.dataprotection.ro.