Politica de Confidențialitate Welney

NOTĂ DE INFORMARE PRIVIND PRELUCRARREA DATELOR CU CARACTER PERSONAL

Versiunea 1.0 | În vigoare de la: 21 Mai 2026 Operator: MASTERBROK S.R.L.

Ultima actualizare: Mai 2026

1. Cine suntem și cum ne poți contacta

MASTERBROK S.R.L. („noi", „Aplicația", „Welney”), persoană juridică organizată sub forma unei societăți cu răspundere limitată, cu sediul în Str. Scărlătescu nr. 17-19, PARTER, București, Sector 1, înregistrată la Registrul Comerțului sub nr. J2024014137402 și având CUI 30900810 este operatorul datelor tale cu caracter personal în sensul Regulamentului (UE) 2016/679 (GDPR).

Ne poți contacta oricând la:

  • Email: comunicare@profit-point.eu
  • Responsabil cu protecția datelor (DPO): dpo@profit-point.eu
  • Autoritate de supraveghere: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) — anspdcp.eu | anspdcp@dataprotection.ro

2. Ce date colectăm, în ce scop și prin cine

Înainte de a descrie în detaliu fiecare categorie de date prelucrate, considerăm important să înțelegi logica de ansamblu a aplicației, pentru a putea lua o decizie informată cu privire la consimțământul tău.

Welney este o aplicație de monitorizare și clasificare a cheltuielilor personale. Pentru a-ți furniza această funcționalitate, aplicația are nevoie să acceseze datele tranzacțiilor tale bancare, să identifice comercianții aferenți acestora și să clasifice cheltuielile în categorii relevante pentru tine. Aceste trei operațiuni sunt inseparabile tehnic și funcțional, întrucât niciuna dintre ele nu poate produce un rezultat util în absența celorlalte:

  • fără accesul la datele bancare, nu există tranzacții de analizat
  • fără identificarea comercianților, clasificarea automată nu este posibilă
  • fără clasificare, aplicația nu îți poate furniza niciun raport sau analiză

Din acest motiv, cele trei prelucrări descrise la secțiunile 2.2, 2.3 și 2.4 fac obiectul unui singur consimțământ. Nu îți cerem consimțăminte separate pentru fiecare, deoarece ar fi artificial — nu poți accepta una și refuza alta și totuși să beneficiezi de serviciu. Refuzul sau retragerea acestui consimțământ înseamnă că aplicația nu îți mai poate furniza funcționalitatea de bază.

Toate celelalte prelucrări descrise în această secțiune precum autentificarea prin Google sau Apple, analytics-ul de produs, notificările și comunicările prin email, sunt complet opționale și independente. Poți refuza sau retrage oricând oricare dintre ele fără nicio consecință asupra funcționalității de bază a aplicației.

2.1 Date furnizate de tine la înregistrare

Când îți creezi un cont în Aplicație, colectăm numele, prenumele și adresa de email, precum și datele de identificare ale contului bancare pe care alegi să îl conectezi (IBAN, denumirea băncii și tipul contului). Aceste date sunt necesare pentru crearea și gestionarea contului tău din Aplicație. Temeiul juridic este executarea contractului (art. 6(1)(b) GDPR). Le păstrăm pe durata contului activ și le ștergem definitiv la 30 de zile după ștergerea contului.

2.2 Date bancare prin Salt Edge (Open Banking / PSD2)

Dacă alegi să conectezi un cont bancar, accesăm datele acestuia prin intermediul Salt Edge Ltd., un furnizor autorizat de servicii de informare cu privire la conturi (AISP), în conformitate cu Directiva PSD2 și Legea nr. 209/2019.

În mod concret, preluăm: IBAN-ul și instituția bancară, istoricul tranzacțiilor din intervalul la care banca ta permite accesul, acesta fiind maxim de 90 de zile, și tranzacțiile noi zilnic, descrierea și suma și moneda fiecărei tranzacții, descrierea comerciantului, codul categoriei tranzacției furnizat de Salt Edge acolo unde este disponibil, precum și soldul contului. Nu accesăm niciodată parola de internet banking, PIN-ul sau datele cardului. Autorizarea se face direct cu banca ta, prin protocolul OAuth2.

Aceste date sunt prelucrate exclusiv în scopul afișării și clasificării cheltuielilor tale în categorii relevante (nevoi și dorințe), generării de statistici personale și afișării extrasului de cont procesat în cadrul Aplicației.

Temeiul juridic este consimțământul tău explicit (art. 6(1)(a) GDPR). Poți revoca acest consimțământ oricând scriindu-ne un e-mail la dpo@profit-point.eu — contul tau va fi șters, accesul aplicatiei Welney la tranzactiile din contul tău bancar va fi revocat imediat și token-urile stocate vor fi șterse. Informațiile privind tranzacțiile vor fi șterse odata cu contul tău.

2.3 Identificarea comerciantului din datele tranzacțiilor prin inteligență artificială (Amazon Bedrock)

Pentru tranzacțiile la care banca nu furnizează numele comerciantului, descrierea tranzacției (inclusiv denumirea comerciantului) este transmisă către serviciul Amazon Bedrock, operat de Amazon Web Services pe servere situate în Uniunea Europeană (Frankfurt / Paris), în scopul identificarii automate a numelui comerciantului.

Această prelucrare este necesară pentru ca aplicația să poată atribui corect o categorie tranzacțiilor tale și să genereze rapoarte precise

Trebuie să știi că:

  • datele sunt procesate în timp real și nu sunt stocate de Amazon
  • Amazon nu utilizează datele tale pentru antrenarea propriilor modele de inteligență artificială
  • unele tranzacții pot dezvălui indirect informații sensibile (de exemplu, tranzacții la farmacii, clinici sau cabinete medicale) — aceste informații sunt utilizate exclusiv pentru clasificarea ta personală și nu sunt comunicate altor părți
  • entitatea contractantă este Amazon Web Services Inc. (SUA), iar transferul este acoperit prin Clauze Contractuale Standard (SCC)

Temeiul juridic este consimțământul tău explicit, (art. 6(1)(a) GDPR).

2.4 Clasificarea și analiza cheltuielilor (profilare)

Pe baza tranzacțiilor tale, aplicația generează automat categorii de cheltuieli (nevoi esențiale, cheltuieli recurente, dorințe / discreționare), rapoarte lunare de tendințe și evoluție a cheltuielilor, indicatorul de autonomie financiară (numărul de zile acoperite de lichidități, raportat la media cheltuielor), precum și alte analize personalizate disponibile în aplicație.. Această prelucrare reprezintă profilare în sensul art. 4 pct. 4 GDPR.

Trebuie să știi că:

  • profilarea este realizată exclusiv în beneficiul tău, pentru conștientizare financiară
  • nu produce niciun efect juridic și nu este comunicată băncilor, angajatorilor sau altor terți
  • poți corecta manual clasificarea oricărei tranzacții

Temeiul juridic este consimțământul tău explicit (art. 6(1)(a) + art. 22(2)(c) GDPR). Ai dreptul de a te opune acestei prelucrări oricând, conform art. 21 GDPR. Datele derivate sunt păstrate 24 de luni.

Retragerea consimțământului este posibilă oricând, în două moduri:

  • Deconectând contul bancar direct din Aplicație: accesul la tranzacțiile tale va fi revocat imediat, token-urile de acces stocate vor fi șterse, iar sincronizarea viitoare va înceta.
  • Ștergând contul direct din Aplicație sau solicitând ștergerea acestuia ori retragerea consimțământului printr-un e-mail trimis la adresa dpo@profit-point.eu.

2.5 Autentificare cu Google (opțional)

Dacă alegi autentificarea cu contul Google, Google LLC (SUA) acționează ca operator independent și prelucrează datele tale de autentificare conform propriei politici de confidențialitate (policies.google.com/privacy). Noi primim de la Google exclusiv adresa de email și un ID unic — nu primim parola, contactele, calendarele sau orice alte date din contul tău Google. Transferul se realizează în SUA, acoperit prin Clauze Contractuale Standard și EU-US Data Privacy Framework.

Temeiul juridic este consimțământul tău oferit catre Google, pentru a furniza o cheie de acces catre Aplicație (art. 6(1)(a) GDPR). Alternativa fără transfer de date către Google este să accesezi aplicația prin autentificarea cu email + cod OTP.

2.6 Autentificare cu Apple (opțional)

Dacă alegi autentificarea cu contul Apple, Apple Inc. (SUA) acționează ca operator independent și prelucrează datele tale conform propriei politici de confidențialitate (apple.com/legal/privacy). Noi primim exclusiv adresa de email (sau alias-ul generat de Apple, dacă alegi să îți ascunzi emailul real) și un ID unic. Transferul se realizează în SUA, acoperit prin Clauze Contractuale Standard.

Temeiul juridic este consimțământul tău oferit catre Apple, pentru a furniza o cheie de acces catre Aplicație (art. 6(1)(a) GDPR). Alternativa fără transfer de date către Apple: este să accesezi aplicația prin autentificarea cu email + cod OTP.

2.7 Cod OTP prin email (pentru autentificare)

Dacă folosești autentificarea cu email, îți trimitem un cod de verificare unic (OTP) la adresa ta de email, prin intermediul furnizorului nostru de email tranzacțional (Web2SMS). Acesta primește exclusiv adresa ta de email și codul OTP, nu stochează aceste date și le prelucrează sub 1 minut. Temeiul juridic este executarea contractului (art. 6(1)(b) GDPR).

2.8 Date de utilizare a Aplicației — Mixpanel (opțional)

Pentru a înțelege modul în care utilizatorii folosesc aplicația Welney și pentru a îmbunătăți continuu funcționalitățile și experiența oferită, colectăm date despre interacțiunea cu aplicația prin intermediul serviciului Mixpanel Inc. (San Francisco, SUA).

Datele colectate includ: ecranele vizitate, funcțiile accesate, durata sesiunilor, tipul dispozitivului, sistemul de operare și versiunea aplicației. Aceste date sunt asociate unui ID aleatoriu pseudonimizat, un identificator generat aleatoriu, fără nicio legătură cu numele, emailul sau orice alt identificator direct al tău. Datele financiare, tranzacții, sume, comercianți, clasificări, nu sunt niciodată transmise către Mixpanel.

. Datele sunt prelucrate și stocate pe servere din Uniunea Europeană prin opțiunea EU Data Residency.Temeiul juridic: interesul legitim al operatorului (art. 6(1)(f) GDPR).Ai dreptul de a te opune acestei prelucrări oricând, fără nicio consecință asupra funcționalității aplicației, scriindu-ne la dpo@profit-point.eu. La exercitarea dreptului de opoziție, SDK-ul Mixpanel va fi dezactivat și nu vor mai fi colectate date noi.

2.9 Date tehnice colectate automat

Colectăm adresa IP (stocată în format hash, nu în clar), tipul dispozitivului, versiunea sistemului de operare și timestamp-urile acțiunilor de autentificare. Aceste date sunt necesare pentru securitatea aplicației și detectarea accesului neautorizat. Temeiul juridic este interesul nostru legitim (art. 6(1)(f) GDPR). Le păstrăm 90 de zile.

3. Cu cine partajăm datele tale

Nu vindem și nu închiriem datele tale personale. Le partajăm exclusiv cu partenerii de mai jos, în baza unor Acorduri de Prelucrare a Datelor (DPA) conform art. 28 GDPR sau a Clauzelor Contractuale Standard (SCC):

Salt Edge Ltd. — furnizor AISP autorizat PSD2, care accesează datele contului bancar cu autorizarea ta. Rol: persoană împuternicită. Informații: saltedge.com/pages/privacy_policy

Hetzner Online GmbH (Germania) — furnizor de infrastructură cloud pe care rulează bazele de date și serverele aplicației. Rol: persoană împuternicită. Locație: Germania (UE) — fără transfer extraeuropean.

Amazon Web Services — serviciul Bedrock pentru clasificarea comercianților din tranzacții, pe servere din UE (Frankfurt / Paris). Rol: Persoană împuternicită. Informații: aws.amazon.com/compliance/gdpr-center

Google LLC (SUA) — autentificare cu cont Google (opțional). Rol: operator independent parțial + persoană împuternicită. Informații: policies.google.com/privacy

Apple Inc. (SUA) — autentificare cu cont Apple (opțional). Rol: operator independent parțial + persoană împuternicită. Informații: apple.com/legal/privacy

Mixpanel Inc. (SUA) — analytics de produs (opțional, numai cu consimțământul tău). Rol: persoană împuternicită. Informații: mixpanel.com/legal/privacy-policy

Furnizor email tranzacțional (Web2SMS) — livrarea codurilor OTP prin email. Rol: persoană împuterncită.

ANSPDCP sau instanțe judecătorești — numai la solicitare legală formală, în limitele prevăzute de lege.

Toate transferurile de date către parteneri din SUA sunt acoperite prin Clauze Contractuale Standard (SCC), conform Deciziei de Executare 2021/914 a Comisiei Europene.

Datele tale cu caracter personal sunt prelucrate în scopurile indicate la punctul 2 Prin urmare, alte persoane fizice sau juridice (cu excepția celor menționate mai sus și a situațiilor excepționale indicate mai jos) nu vor avea acces la datele tale cu caracter personal.

Depunem toate eforturile și luăm toate măsurile necesare pentru a ne asigura că terții nu au acces la datele tale, cu excepția situațiilor excepționale. Astfel, există situații în care accesul la date este impus de dispoziții legale, de desfășurarea activității noastre sau de buna funcționare/mentenanță a Aplicației

Prin urmare, în anumite circumstanțe, putem divulga datele tale cu caracter personal către:

  • persoane care, în baza unui contract, asigură mentenanța Aplicației;
  • consilieri externi (de exemplu, auditori);
  • autorități sau instituții publice.

4. Cât timp păstrăm datele

Categorie de date Durată
Date cont (email, nume) Durata contului activ + 30 de zile după ștergere
Tranzacții bancare și clasificări 24 de luni de la data fiecărei tranzacții
Token PSD2 (acces cont bancar) Până la revocare
Date transmise la Amazon Bedrock Nu se stochează — prelucrare în timp real
Analytics Mixpanel 12 luni
Loguri tehnice (IP hash, timestamps) 90 de zile
Dovezi de consimțământ (timestamps) 5 ani — obligație legală conform art. 5(2) GDPR
Cod OTP email Sub 1 minut — șters după livrare

5. Cum îți protejăm datele

Aplicăm măsuri tehnice și organizatorice conform art. 32 GDPR:

  • Criptare în tranzit pentru toate comunicațiile
  • IP pseudonimizat: adresele IP sunt stocate în format hash, niciodată în clar
  • ID anonim pentru analytics: către Mixpanel se transmite un ID aleatoriu, niciodată emailul sau numele tău
  • Amazon Bedrock: model invocation logging dezactivat — AWS nu stochează datele transmise pentru clasificare
  • Acces intern pe principiul „need to know": angajații au acces la date personale numai în măsura necesară atribuțiilor lor

În cazul unei breșe de securitate cu risc pentru drepturile tale, notificăm ANSPDCP în 72 de ore și te informăm direct dacă riscul este ridicat (art. 33-34 GDPR).

6. Drepturile tale

Ai următoarele drepturi conform GDPR, pe care le poți exercita oricând:

Dreptul de acces (art. 15) — poți solicita o copie a tuturor datelor personale pe care le deținem despre tine. Disponibil din Privacy Center sau la dpo@profit-point.eu

Dreptul la rectificare și actualizarea datelor (art. 16) — poți corecta oricând date inexacte sau incomplete, direct din profilul aplicației.

Dreptul la ștergere (art. 17) — poți solicita ștergerea datelor tale atunci când nu mai sunt necesare sau ți-ai retras consimțământul. Disponibil din Privacy Center prin butonul „Șterge contul" sau prin e-mail la adresa dpo@profit-point.euProcesăm solicitarea în 72 de ore.

Dreptul la restricționare (art. 18) — poți solicita limitarea temporară a prelucrării, de exemplu dacă contești acuratețea datelor. Cerere la dpo@profit-point.eu

Dreptul la portabilitate (art. 20) — poți solicita descărcarea datelor tale prin transmiterea unui e-mail către dpo@profit-point.eu

Dreptul de opoziție și dreptul la profilare și decizii bazate exclusiv pe prelucrarea automată (art. 21) — poți dezactiva clasificarea automată a cheltuielilor oricând din Setări, fără a pierde accesul la istoricul tranzacțiilor.

Retragerea consimțământului — poți retrage oricând orice consimțământ opțional (acces bancar PSD2, clasificare AI, analytics, notificări) din Privacy Center, fără nicio consecință asupra funcționalității de bază a aplicației. Retragerea nu afectează legalitatea prelucrărilor efectuate anterior.

Dreptul de a depune o plângere — dacă consideri că drepturile tale nu au fost respectate, poți contacta ANSPDCP la anspdcp.eu sau anspdcp@dataprotection.ro.

Răspundem la toate solicitările în termen de 30 de zile calendaristice. În cazuri complexe, termenul poate fi prelungit la 90 de zile, cu notificarea ta prealabilă. Exercitarea drepturilor este gratuită.

7. Profilare și clasificare automată — ce trebuie să știi

Aplicația clasifică automat cheltuielile tale în categorii. Această prelucrare:

  • este realizată exclusiv în beneficiul tău, pentru a-ți oferi o perspectivă mai clară asupra comportamentului financiar
  • nu produce niciun efect juridic asupra ta și nu este comunicată băncilor, angajatorilor sau altor terți
  • poate fi dezactivată oricând din Setări, fără a afecta accesul la istoricul tranzacțiilor
  • poate fi corectată manual pentru orice tranzacție în parte

Unele tranzacții pot dezvălui indirect informații sensibile — de exemplu, tranzacții la farmacii, clinici sau cabinete medicale pot sugera informații despre starea de sănătate. Aceste date sunt utilizate exclusiv pentru clasificarea ta personală și nu sunt transmise niciodată către Mixpanel sau folosite în alt scop.

8. Notificări

Dacă îți exprimi consimțământul, îți trimitem notificări push pe dispozitivul tău și/sau notificări în aplicație ori prin e-mail, în funcție de preferințele pe care le configurezi în secțiunea Confidențialitate și Notificări.

Notificările sunt personalizate pe baza datelor tale financiare (tranzacții, categorii, tendințe de cheltuieli) și se împart în următoarele categorii, fiecare activabilă sau dezactivabilă independent:

Actualizări cont — notificări despre tranzacțiile tale recente și activitatea contului bancar conectat. Aceste notificări se bazează pe datele de tranzacții preluate prin Salt Edge și sunt utile pentru a ține evidența activității financiare în timp real.

Notificări tranzacții necategorisite — memento-uri pentru a recategorisi manual tranzacțiile cărora nu li s-a putut atribui automat o categorie, pentru a menține acuratețea rapoartelor tale. Aceste notificări se bazează pe rezultatele procesului de clasificare automată.

Notificări despre intervale și analize — actualizări privind evoluția în timp a cheltuielilor tale (de exemplu, comparații lunare, tendințe, praguri atinse). Se bazează pe datele derivate generate prin clasificarea și profilarea cheltuielilor tale.

Actualizări articole educaționale — notificări despre conținut nou disponibil în secțiunea de educație financiară a aplicației. Aceste notificări nu se bazează pe datele tale financiare personale, ci pe preferințele de notificare selectate.

Oferte și promoții — informații despre funcționalități noi, oferte speciale sau promoții ale aplicației. Aceste notificări nu implică prelucrarea datelor tale financiare.

Datele prelucrate în scopul trimiterii notificărilor sunt: token-ul de notificare push al dispozitivului tău (generat de iOS/Android și stocat pe serverele noastre), preferințele de notificare selectate și, pentru notificările personalizate (actualizări cont, tranzacții necategorisite, intervale și analize), datele financiare relevante din contul tău.

Temeiul juridic pentru toate categoriile de notificări de mai sus este consimțământul tău explicit (art. 6(1)(a) GDPR). Poți activa sau dezactiva independent fiecare categorie oricând din Setări > Confidențialitate și Notificări, fără nicio consecință asupra celorlalte funcționalități ale aplicației. Retragerea consimțământului are efect imediat, iar drept urmare, nu vei mai primi notificări din categoria dezactivată.

9. Cookie-uri și tehnologii similare

Politica noastră completă de cookies descrie în detaliu ce cookie-uri utilizăm, pentru ce scop și cum le poți gestiona. Pe scurt:

  • Cookie-uri esențiale active implicit, nu necesită consimțământ, nu pot fi dezactivate
  • Cookie-uri de autentificare Google sau Apple: active numai dacă alegi această metodă de autentificare și numai cu consimțământul tău
  • Cookie-uri de analytics (Mixpanel): active numai cu consimțământul tău explicit; pot fi dezactivate oricând

Poți gestiona preferințele de cookies oricând din Privacy Center.

9. Modificări ale acestei politici

Când modificăm această politică în mod semnificativ — de exemplu, adăugăm un partener nou sau o nouă categorie de prelucrare — te notificăm prin email și printr-un banner vizibil în aplicație cu minimum 30 de zile înainte de intrarea în vigoare a modificărilor. Pentru modificări minore (corecturi, clarificări), actualizăm documentul fără notificare prealabilă.

Versiunile anterioare ale politicii sunt disponibile oricând la cerere, la dpo@profit-point.eu

Explorează Network

Propulsat de
Necessary cookies enable essential site features like secure log-ins and consent preference adjustments. They do not store personal data.
Niciunul
Functional cookies support features like content sharing on social media, collecting feedback, and enabling third-party tools.
Niciunul
Cookie-urile analitice urmăresc interacțiunile vizitatorilor și oferă informații generale despre valorile metrice, cum ar fi numărul de vizitatori, rata de respingere și sursele de trafic.
Niciunul
Cookie-urile publicitare oferă reclame personalizate pe baza vizitelor tale anterioare și analizează eficiența campaniilor publicitare.
Niciunul
Propulsat de