Politică privind trimiterea de email-uri
Vreau Gazduire S.R.L.
Versiune 1.0 — Data intrării în vigoare: 11 iulie 2026
Versiune: 1.0
Data intrării în vigoare: 11 iulie 2026
Responsabil: Departamentul de Securitate și Conformitate
Aprobat de: Administrația Vreau Gazduire S.R.L.
1. Scop și domeniu de aplicare
Această politică stabilește regulile și procedurile privind trimiterea de email-uri de către Vreau Gazduire S.R.L. (denumită în continuare „Compania” sau „Noi”), în conformitate cu:
- •Regulamentul (UE) 2016/679 privind protecția datelor (GDPR)
- •Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 în România
- •Directiva (UE) 2022/2555 privind securitatea cibernetică (NIS2) și legislația națională de transpunere
- •Legea nr. 506/2004 privind prelucrarea datelor și protecția vieții private în comunicațiile electronice (anti-SPAM)
- •Legea nr. 365/2022 privind securitatea rețelelor și sistemelor informatice (transpune NIS2)
Domeniul de aplicare:
- •Toți angajații, contractanții și partenerii Companiei care trimit email-uri în numele acesteia.
- •Toate sistemele și infrastructura de hosting gestionate de Companie.
- •Toate comunicările electronice inițiate către clienți, prospecți, parteneri sau terțe părți.
INTERZIS: Orice formă de activitate de tip SPAM (mesaje nesolicitate, publicitate neautorizată sau comunicări masive fără consimțământ) este strict interzisă.
NOTĂ IMPORTANTĂ: Vreau Gazduire S.R.L. acționează ca furnizor de infrastructură de hosting și nu are dreptul de a aplica amenzi legale (acestea sunt de competența exclusivă a ANSPDCP, DNSC etc.). În cazul în care clienții sau partenerii încalcă prevederile acestei politici, Compania va aplica măsuri administrative interne (suspendarea contului/serverului, rezilierea contractului) și va raporta situația către autoritățile competente dacă faptele atrag răspunderea legală.
2. Definiții
| Termen | Definiție |
|---|---|
| Email comercial | Orice mesaj electronic cu caracter promoțional, de marketing sau de vânzare. |
| Consimțământ explicit | Acordul liber, specific, informat și neechivoc al persoanei vizate, exprimat printr-o acțiune afirmativă clară. |
| Date cu caracter personal | Orice informație care identifică sau poate identifica o persoană fizică (ex: nume, email, IP, date de contact). |
| Incident de securitate | Orice eveniment care afectează confidențialitatea, integritatea sau disponibilitatea datelor ori a sistemelor informatice. |
| SPAM | Trimiterea de mesaje electronice comerciale nesolicitate, în masă sau individual, fără consimțământul prealabil al destinatarului. |
3. Baza legală și principii
3.1. Baza legală pentru prelucrarea datelor
- •Consimțământul (Art. 6(1)(a) GDPR): Pentru email-uri de marketing și newslettere.
- •Executarea unui contract (Art. 6(1)(b) GDPR): Pentru comunicări tehnice legate de serviciile de hosting active, facturare sau suport.
- •Obligație legală (Art. 6(1)(c) GDPR): Pentru rapoarte obligatorii (ex: notificarea incidentelor de securitate cibernetică sub incidența NIS2).
- •Interes legitim (Art. 6(1)(f) GDPR): Doar dacă este echilibrat cu drepturile persoanei vizate și strict pentru securizarea rețelelor sau prevenirea fraudelor.
3.2. Principii GDPR aplicate
- •Legalitate, echitate și transparență: Toate email-urile vor respecta prevederile legale, iar destinatarii vor fi informați clar cu privire la scopul prelucrării datelor.
- •Minimizarea datelor: Se vor colecta și prelucra doar datele strict necesare trimiterii mesajelor.
- •Limitarea la scop: Datele vor fi folosite exclusiv pentru scopul declarat și acceptat de utilizator.
- •Exactitate: Listele de corespondență vor fi actualizate periodic pentru a evita erorile.
- •Limitarea păstrării: Datele vor fi stocate doar pe perioada necesară îndeplinirii scopurilor.
- •Integritate și confidențialitate: Datele vor fi protejate prin măsuri de securitate împotriva accesului neautorizat sau pierderii accidentale.
3.3. Cerințe specifice NIS2
- •Implementarea de măsuri tehnice și organizatorice de ultimă generație pentru securizarea sistemelor de email (autentificare multifactor, criptare etc.).
- •Raportarea incidentelor semnificative de securitate către DNSC: o alertă timpurie în 24 de ore și o notificare completă în 72 de ore.
- •Evaluarea periodică a riscurilor cibernetice de pe lanțul de aprovizionare și aplicarea de măsuri de atenuare (filtrare avansată anti-SPAM/phishing, monitorizare trafic).
- •Asigurarea de planuri de continuitate a activității și management al crizelor în caz de atac cibernetic masiv asupra serverelor de mail.
4. Reguli privind trimiterea de email-uri
4.1. Consimțământul pentru email-uri de marketing
- •Obligatoriu: Orice email comercial sau de marketing necesită consimțământul explicit și prealabil al destinatarului (conform Art. 12 din Legea 506/2004).
- •Metode: Casete de selectare nebifate (opt-in activ) și confirmare prin sistemul double opt-in.
- •Interzis: Casete prebifate (opt-out ascuns), acorduri ascunse în Termeni și Condiții sau condiționarea unui serviciu de abonarea la newsletter.
- •Dovada consimțământului: Compania păstrează jurnale securizate (IP, dată, oră și textul de informare afișat la colectarea acordului).
4.2. Conținutul email-urilor
Toate email-urile comerciale vor include în mod obligatoriu în footer:
- ✓Identitatea clară a Companiei: Denumirea completă, CUI, sediul social și date de contact directe.
- ✓Link de dezabonare (opt-out): Vizibil și funcțional printr-un singur click (fără logare în cont).
- ✓Politica de confidențialitate: Link direct către documentul extins de pe site.
- ✓Mențiuni privind drepturile: Informarea succintă a utilizatorului cu privire la drepturile sale GDPR.
4.3. Frecvența și volumele de email-uri
- •Limite comerciale: Volum echilibrat (maximum 1 email de marketing/săptămână per destinatar), cu excepția campaniilor speciale anunțate.
- •Email-uri operaționale: Notificările tehnice (expirare server, facturi, alerte de securitate) nu sunt limitate, fiind necesare executării contractului.
4.4. Listele de contact
- •Sursă sigură: Se utilizează exclusiv liste proprii formate din utilizatori cu acord valid sau clienți activi.
- •Igienizarea listelor: Listele sunt curățate lunar pentru eliminarea adreselor inexistente (hard bounce) și a dezabonărilor.
- •Achiziția de liste: Este STRICT INTERZISĂ cumpărarea, închirierea sau utilizarea listelor de email de la terți.
5. Măsuri tehnice și organizatorice (NIS2 & GDPR)
5.1. Securitatea infrastructurii de email
| Măsură | Detalii tehnice | Cadru legal |
|---|---|---|
| Criptare în tranzit și repaus | Conexiuni securizate (TLS 1.2, TLS 1.3). Datele stocate pe servere sunt criptate. | Art. 32 GDPR / Art. 21 NIS2 |
| Autentificare DNS | Implementarea obligatorie a politicilor SPF, DKIM și DMARC împotriva spoofing-ului și phishing-ului. | Art. 21 NIS2 |
| Controlul accesului | Acces pe principiul least privilege, securizat prin MFA. | Art. 32 GDPR |
| Filtrare proactivă | Scanarea în timp real pentru detecția de malware, ransomware și phishing înainte de livrare. | Art. 21 NIS2 |
| Backup-uri izolate | Copii de siguranță periodice, stocate criptat în locații separate (regula 3-2-1). | Art. 32 GDPR |
5.2. Protecția împotriva abuzurilor (Anti-SPAM)
- •Rate limiting: Limitarea numărului maxim de email-uri la 300 de email-uri/oră per cont/per IP pentru a preveni transformarea serverelor în relee de spam.
- •Monitorizare RBL: Verificarea automată a reputației IP-urilor în blacklist-urile internaționale (Spamhaus, Barracuda etc.) și remedierea imediată.
5.3. Audit și jurnalizare
- •Păstrarea jurnalelor: Jurnalele de trafic (fără conținutul mesajelor) sunt păstrate 6 luni pentru investigarea incidentelor.
- •Evaluări: Audituri de securitate interne și teste de penetrare anuale asupra infrastructurii de mail.
6. Drepturile persoanelor vizate
| Drept | Descriere | Termen |
|---|---|---|
| Informare | Transparență privind modul de colectare și folosire a adresei de email. | La colectarea datelor |
| Acces | Confirmarea și o copie a datelor deținute. | Maximum 30 zile |
| Rectificare | Corectarea sau actualizarea adresei de email sau a numelui. | Maximum 30 zile |
| Ștergere | Ștergerea definitivă a adresei (dacă nu există obligație legală de păstrare). | Maximum 30 zile |
| Restricționare | Suspendarea temporară a trimiterii pe perioada verificării datelor. | Maximum 30 zile |
| Portabilitate | Primirea datelor într-un format structurat, citibil automat. | Maximum 30 zile |
| Opoziție | Opoziția față de prelucrarea în scop de marketing direct. | Imediat (marketing) / 30 zile |
Procedura de transmitere: Solicitările oficiale sunt înregistrate automat într-un sistem intern securizat de ticketing, asigurând trasabilitatea și respectarea termenelor legale. Compania transmite o confirmare de primire și soluționează cererea în termenul legal de maximum 30 de zile.
7. Gestionarea incidentelor de securitate
7.1. Fluxul de raportare a incidentelor
- Identificare: Depistarea unei breșe (scurgere de e-mailuri, atac cibernetic, acces neautorizat).
- Evaluare: Stabilirea severității și a impactului asupra drepturilor persoanelor vizate (GDPR) și infrastructurii (NIS2).
- Notificare autorități: NIS2 — alertă către DNSC în 24 de ore, raport complet în 72 de ore; GDPR — notificare ANSPDCP în maximum 72 de ore (Art. 33 GDPR).
- Notificare persoane vizate: În caz de risc ridicat, clienții sunt notificați direct fără întârzieri nejustificate (Art. 34 GDPR).
7.2. Matrice de impact (exemple orientative)
| Tip incident | Acțiune imediată | Notificare autorități | Notificare persoane |
|---|---|---|---|
| Scurgere masivă de adrese și parole criptate | Izolarea serverului, resetarea forțată a parolelor | DA (DNSC 24h / ANSPDCP 72h) | DA |
| Atac DDoS/Phishing blocat la nivel de gateway | Actualizarea regulilor de firewall, blocare IP-uri | DA (DNSC 24h, dacă a perturbat sistemul) | NU (dacă datele nu au fost compromise) |
| Trimitere accidentală a datelor unui client către alt client | Solicitarea ștergerii mesajului, măsuri corective | NU (caz izolat, risc mic) | DA (clientul afectat) |
8. Obligațiile angajaților, partenerilor și clienților
8.1. Angajații Companiei
- •Folosesc adresele de email de serviciu exclusiv în scopuri profesionale.
- •Participă anual la instruiri privind igiena cibernetică (phishing awareness) și conformitatea GDPR.
- •Raportează orice e-mail suspect sau potențială breșă departamentului de securitate.
8.2. Partenerii comerciali
- •Orice terț care prelucrează date semnează un Acord de Prelucrare a Datelor (DPA) și clauze de confidențialitate.
- •Mențin standarde tehnice de securitate echivalente și pot fi supuși unor audituri de conformitate.
8.3. Clienții (utilizatorii infrastructurii de găzduire)
- •Este strict interzisă utilizarea serverelor pentru campanii de SPAM, phishing sau stocarea de baze de date obținute ilegal.
- •Prima abatere (minoră): Avertisment în scris și remediere în maximum 24 de ore.
- •A doua abatere: Suspendarea temporară a serviciului de mail / serverului pentru 7 zile.
- •Abateri grave: Rezilierea imediată a contractului fără preaviz, blocarea accesului și raportarea către DNSC sau organele penale.
9. Măsuri administrative interne pentru nerespectarea politicii
REITERARE IMPORTANTĂ: Vreau Gazduire S.R.L. aplică exclusiv măsuri contractuale și administrative interne. Aplicarea amenzilor contravenționale cade în sarcina exclusivă a autorităților statului român (ANSPDCP pentru GDPR și DNSC pentru securitatea cibernetică).
| Tipul de abatere internă | Sancțiune aplicată |
|---|---|
| Utilizarea serviciilor pentru SPAM documentat | Suspendarea imediată a contului/IP-ului + rezilierea contractului în caz de rea credință. |
| Găzduirea de scripturi de phishing/malware pentru atacuri prin email | Suspendarea imediată a serverului VPS/Shared fără preaviz + raportare la DNSC. |
| Nerespectarea normelor de securitate de către angajați | Declanșarea procedurilor disciplinare interne conform Codului Muncii. |
10. Revizuiri și actualizări
Prezenta politică se revizuiește anual sau ori de câte ori modificările legislative naționale ori europene o impun. Versiunea actualizată va fi permanent disponibilă pe site-ul nostru.
11. Contact
Pentru orice solicitări, sesizări privind mesaje de tip SPAM plecate din rețeaua noastră sau exercitarea drepturilor GDPR, ne puteți contacta prin canalele oficiale de conformitate și securitate publicate pe site.
S.C. Vreau Gazduire S.R.L.
Cod Fiscal: 29112452 — Nr. Reg. Comerțului: J40/11131/2011
Sediu: Drumul Taberei, Sectorul 6, București, România
Anexa 1: Model recomandat de consimțământ (marketing direct)
Anexa 2: Procedură standard de dezabonare
- Link direct (recomandat): Fiecare e-mail de marketing conține un link unic „Dezabonare” / „Unsubscribe”, complet automatizat, cu efect imediat.
- Cerere prin email: Utilizatorii pot solicita dezabonarea trimițând un mesaj cu textul „Dezabonare” către adresa oficială de dezabonare.
- Timp tehnic de procesare: Pentru cererile manuale, adresa este eliminată din sistem în maximum 48 de ore.
Document controlat — Ediție publică · © 2026 Vreau Gazduire S.R.L. Toate drepturile rezervate.