CAPITOLUL I. DISPOZIȚII GENERALE

1.1. Prezentul Regulament stabilește normele juridice, tehnice și organizatorice aplicate de către CARBASE SRL (în continuare – „Operatorul") în scopul asigurării protecției drepturilor și libertăților fundamentale ale persoanelor fizice, în special a dreptului la protecția datelor cu caracter personal, în conformitate cu Regulamentul General privind Protecția Datelor (UE) 2016/679 (GDPR) și Legea Republicii Moldova Nr. 133/2011 privind protecția datelor cu caracter personal.

1.2. Prezentul document se aplică tuturor datelor colectate prin intermediul magazinului online de piese de schimb, accesorii și servicii pentru automobilele Tesla (în continuare – „Site-ul").

1.3. Datele de contact ale Operatorului: CARBASE SRL, Republica Moldova, e-mail: carbasemd@gmail.com.

CAPITOLUL II. CATEGORIILE DE DATE, SCOPURILE ȘI MECANISMUL DE CONSIMȚĂMÂNT

2.1. Operatorul colectează și prelucrează exclusiv volumul minim de date, strict necesar pentru procesarea, confirmarea tehnică și livrarea fizică a comenzilor.

2.2. Categorii de date cu caracter personal prelucrate:

• 2.2.1. Numele și prenumele – pentru identificarea subiectului datelor ca parte contractantă și a destinatarului livrării;
• 2.2.2. Numărul de telefon mobil – pentru confirmarea comenzilor, oferirea de consultanță tehnică specializată și coordonarea logisticii;
• 2.2.3. Adresa de livrare – pentru executarea obligației de transport și transmitere fizică a bunurilor cumpărate.

2.3. Temeiul juridic principal al prelucrării: Articolul 6 alineatul (1) litera b) din GDPR și Articolul 5 alineatul (2) litera a) din Legea Nr. 133/2011 – prelucrarea este necesară pentru executarea unui contract la distanță sau pentru a da curs solicitărilor de pe formularul de feedback.

2.4. Prelucrarea în scopuri de Marketing (Notificări SMS): Operatorul poate prelucra numărul de telefon mobil pentru a transmite notificări text (SMS) privind reduceri, acțiuni promoționale, vânzări sau servicii noi exclusiv în cazul în care utilizatorul bifează voluntar caseta opțională distinctă din formular: „Doresc să primesc SMS-uri despre reduceri, promoții și vânzări". Lipsa bifării acestei casete nu afectează procesarea comenzii de bază.

2.5. Mecanismul de exprimare a consimțământului: Trimiterea oricărui formular de comandă sau feedback de pe Site este condiționată de bifarea activă de către utilizator a casetei obligatorii: „Accept politica de confidențialitate și protecție a datelor". Prin această acțiune afirmativă clară, utilizatorul își exprimă acordul explicit ca datele sale să fie colectate, stocate în sistemul Supabase și prelucrate în conformitate cu termenii prezentului Regulament.

CAPITOLUL III. DATE TEHNICE: EXCLUDEREA COOKIE-URILOR ȘI UTILIZAREA STOCĂRII LOCALE (LOCALSTORAGE / SESSIONSTORAGE)

3.1. Site-ul Operatorului NU utilizează module cookie pentru urmărirea utilizatorilor, analiză publicitară sau colectarea datelor comportamentale.

3.2. Pentru asigurarea funcționalității tehnice stricte a magazinului online, Site-ul utilizează exclusiv datele tehnice ale browserului, stocate local:

• 3.2.1. localStorage (cheia: cb_lang) – utilizat exclusiv pentru memorarea limbii de interfață selectate de către utilizator;
• 3.2.2. sessionStorage – utilizat pentru stocarea temporară a stării sesiunii în scopul redării unice a animației paginii principale în cadrul unei singure sesiuni de navigare.

3.3. Datele menționate la pct. 3.2 sunt stocate izolat pe dispozitivul utilizatorului, nu sunt transmise automat către serverele Operatorului și pot fi șterse în orice moment de către utilizator prin curățarea cache-ului sau a istoricului browserului.

3.4. Pentru afișarea fonturilor textuale, Site-ul încarcă resurse de pe serverele externe Google Fonts. În acest proces, Google poate înregistra adresa IP a utilizatorului, prelucrarea având loc în conformitate cu politica de confidențialitate proprie a furnizorului Google.

CAPITOLUL IV. LOCUL ȘI MODALITATEA DE STOCARE A DATELOR (SISTEMUL SUPABASE)

4.1. Datele introduse de utilizator în formularele de comandă/solicitare nu se salvează și nu se stochează în mod permanent în baza de date locală a platformei web a Site-ului.

4.2. Toate solicitările și datele de comandă transmise prin Site sunt redirecționate securizat (prin protocol criptat SSL/HTTPS) și stocate în baza de date securizată Supabase, pe servere amplasate fizic în Uniunea Europeană (UE).

4.3. Accesul la datele clienților stocate în Supabase este restricționat cu strictețe și este permis exclusiv administratorilor autorizați ai CARBASE SRL pentru exercitarea atribuțiilor operaționale (facturare, logistică).

4.4. Furnizorul de infrastructură cloud Supabase prelucrează datele în conformitate deplină cu cerințele GDPR și a semnat cu Operatorul un Acord juridic obligatoriu privind Prelucrarea Datelor (Data Processing Agreement - DPA).

4.5. Datele sunt păstrate doar pe perioada necesară finalizării livrării și îndeplinirii obligațiilor contabile și fiscale imperative conform legislației Republicii Moldova, după care sunt distruse și șterse ireversibil din sistemele active.

CAPITOLUL V. MĂSURI TEHNICE ȘI ORGANIZATORICE DE SECURITATE

5.1. În conformitate cu Cerințele aprobate prin Hotărârea Guvernului RM Nr. 1123/2010, Operatorul a implementat următoarele măsuri de protecție:

• 5.1.1. Controlul accesului: Accesul la date este permis exclusiv angajaților autorizați, pe bază de conturi de utilizator unice și parole complexe în sistemul Supabase.
• 5.1.2. Obligația de confidențialitate: Toți angajații autorizați au semnat acorduri de confidențialitate (NDA) cu caracter obligatoriu, valabile pe o perioadă nedeterminată.
• 5.1.3. Securitatea fizică: Documentele pe suport de hârtie (facturi fiscale, acte de livrare) sunt păstrate în spații cu acces restricționat, închise și protejate.

CAPITOLUL VI. TRANSMITEREA DATELOR CĂTRE TERȚI

6.1. Operatorul garantează că datele cu caracter personal ale utilizatorilor nu sunt vândute, închiriate, transmise sau expuse direct sau indirect către terțe părți în scopuri comerciale sau publicitare.

6.2. Singurii destinatari externi ai datelor sunt companiile partenere de servicii de curierat și logistică, strict în baza unor contracte de împuternicire (conform Art. 30 din Legea 133/2011 și Art. 28 GDPR), exclusiv pentru transportarea și înmânarea fizică a coletului.

CAPITOLUL VII. DREPTURILE FUNDAMENTALE ALE SUBIECTULUI DATELOR

7.1. În conformitate cu cadrul legal aplicabil, utilizatorul beneficiază de următoarele drepturi, exercitabile prin solicitare scrisă la e-mailul carbasemd@gmail.com:

• 7.1.1. Dreptul de acces la datele prelucrate;
• 7.1.2. Dreptul de intervenție (rectificarea sau actualizarea datelor inexacte);
• 7.1.3. Dreptul de ștergere a datelor („dreptul de a fi uitat") imediat după onorarea comenzii;
• 7.1.4. Dreptul de opoziție față de prelucrare din motive legitime;
• 7.1.5. Dreptul de a depune o plângere în fața Centrului Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) al Republicii Moldova sau de a se adresa instanțelor de judecată.

ГЛАВА I. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящий Регламент устанавливает юридические, технические и организационные нормы, применяемые компанией CARBASE SRL (далее – «Оператор») в целях обеспечения защиты фундаментальных прав и свобод физических лиц, в частности права на защиту персональных данных, в соответствии с Общим регламентом по защите данных ЕС 2016/679 (GDPR) и Законом Республики Молдова № 133/2011 о защите персональных данных.

1.2. Действие настоящего документа распространяется на все данные, собираемые через интернет-магазин запасных частей, аксессуаров и услуг по ремонту автомобилей Tesla (далее – «Сайт»).

1.3. Контактные данные Оператора: CARBASE SRL, Республика Молдова, e-mail: carbasemd@gmail.com.

ГЛАВА II. КАТЕГОРИИ ДАННЫХ, ЦЕЛИ И МЕХАНИЗМ СОГЛАСИЯ

2.1. Оператор собирает и обрабатывает исключительно минимальный объем данных, строго необходимый для оформления, технического подтверждения и физической доставки заказов.

2.2. Категории обрабатываемых персональных данных:

• 2.2.1. Имя и фамилия – для идентификации субъекта данных как стороны договора и получателя отправления;
• 2.2.2. Номер мобильного телефона – для телефонного подтверждения заказа, предоставления профильной технической консультации и координации логистики;
• 2.2.3. Адрес доставки – для исполнения обязательств по транспортировке и физическому вручению приобретенного товара.

2.3. Правовое основание обработки: Статья 6 часть (1) литера b) GDPR и Статья 5 часть (2) литера a) Закона РМ № 133/2011 – обработка необходима для исполнения договора купли-продажи на расстоянии или обработки формы обратной связи.

2.4. Обработка в маркетинговых целях (SMS-уведомления): Оператор может обрабатывать номер мобильного телефона для отправки текстовых сообщений (SMS) о скидках, акциях, распродажах или новых услугах исключительно в том случае, если пользователь добровольно отметит отдельную опциональную галочку в форме заказа или обратной связи: «Я хочу получать SMS о скидках, акциях и распродажах». Отсутствие отметки в данном поле никак не влияет на обработку основного заказа.

2.5. Механизм выражения согласия: Отправка любой формы заказа или обратной связи на Сайте технически возможна только после проставления пользователем обязательной галочки: «Принимаю политику конфиденциальности и защиты данных». Посредством этого действия пользователь выражает своё явное, осознанное и информированное согласие на сбор, хранение в облачной системе Supabase и обработку его данных в строгом соответствии с условиями настоящего Регламента.

ГЛАВА III. ТЕХНИЧЕСКИЕ ДАННЫЕ: ОТКАЗ ОТ COOKIE И ИСПОЛЬЗОВАНИЕ ЛОКАЛЬНОГО ХРАНИЛИЩА (LOCALSTORAGE / SESSIONSTORAGE)

3.1. Сайт Оператора НЕ использует файлы cookie для отслеживания пользователей, рекламной аналитики или сбора поведенческих данных.

3.2. Для обеспечения строго необходимой технической работы интернет-магазина Сайт задействует исключительно технические данные браузера, хранящиеся локально:

• 3.2.1. localStorage (ключ: cb_lang) – используется исключительно для запоминания выбранного вами языка интерфейса;
• 3.2.2. sessionStorage – используется для временного хранения состояния сессии с целью однократного воспроизведения анимации главной страницы в рамках одной сессии навигации.

3.3. Данные, указанные в п. 3.2, хранятся локально на физическом устройстве самого пользователя, не передаются автоматически на серверы Оператора и могут быть удалены пользователем в любой момент путем очистки кэша или истории браузера.

3.4. Для отображения текстовых шрифтов Сайт загружает ресурсы с внешних серверов Google Fonts. При этом компания Google может фиксировать IP-адрес пользователя, что происходит в соответствии с собственной политикой конфиденциальности поставщика Google.

ГЛАВА IV. МЕСТО И ПОРЯДОК ХРАНЕНИЯ ДАННЫХ (СИСТЕМА SUPABASE)

4.1. Персональные данные и заявки, вносимые пользователем в форму заказа, не сохраняются на постоянной основе и не архивируются в локальной базе данных самой веб-платформы Сайта.

4.2. Все поступающие заявки и данные заказов безопасно передаются (по зашифрованному протоколу SSL/HTTPS) и хранятся в облачной базе данных Supabase на серверах, физически расположенных в Европейском Союзе (ЕС).

4.3. Доступ к данным клиентов, хранящимся в Supabase, строго ограничен и предоставляется исключительно авторизованным администраторам CARBASE SRL для выполнения операционных задач (выписка документов, логистика).

4.4. Облачный провайдер Supabase обрабатывает данные в полном соответствии с требованиями GDPR и подписал с Оператором соответствующее Соглашение об обработке данных (Data Processing Agreement - DPA).

4.5. Данные хранятся исключительно в течение срока, необходимого для физического выполнения доставки и соблюдения императивных требований налогового и бухгалтерского законодательства Республики Молдова, после чего безвозвратно уничтожаются из операционных систем.

ГЛАВА V. ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ МЕРЫ БЕЗОПАСНОСТИ

5.1. В соответствии с Требованиями, утверждёнными Постановлением Правительства РМ № 1123/2010, Оператором внедрены следующие меры защиты:

• 5.1.1. Разграничение доступа: Доступ к персональным данным предоставляется исключительно уполномоченным сотрудникам по уникальным учетным записям со сложными паролями в системе Supabase.
• 5.1.2. Обязательства о конфиденциальности: Все уполномоченные сотрудники подписали соглашения о конфиденциальности (NDA), действующие бессрочно.
• 5.1.3. Физическая защита: Бумажные носители (накладные, акты) хранятся в закрываемых помещениях с ограниченным доступом, полностью защищённых от проникновения третьих лиц.

ГЛАВА VI. ПЕРЕДАЧА ДАННЫХ ТРЕТЬИМ ЛИЦАМ

6.1. Оператор гарантирует, что персональные данные пользователей не продаются, не сдаются в аренду и не раскрываются третьим лицам в коммерческих или рекламных целях.

6.2. Единственными внешними получателями данных являются партнёрские службы доставки и курьерские организации, действующие строго на основании договоров поручения (в соответствии со ст. 30 Закона № 133/2011 и ст. 28 GDPR) исключительно для физического вручения посылки.

ГЛАВА VII. ФУНДАМЕНТАЛЬНЫЕ ПРАВА СУБЪЕКТА ДАННЫХ

7.1. На основании применимого законодательства пользователь обладает следующими правами, реализуемыми путём направления письменного запроса на e-mail carbasemd@gmail.com:

• 7.1.1. Право на доступ к своим обрабатываемым данным;
• 7.1.2. Право на вмешательство (исправление, уточнение или обновление неточных данных);
• 7.1.3. Право на удаление («право быть забытым») сразу после успешного завершения доставки;
• 7.1.4. Право на возражение против обработки данных по уважительным и законным причинам;
• 7.1.5. Право на защиту: Право на подачу официальной жалобы в Национальный центр по защите персональных данных Республики Молдова (CNPDCP) или судебные инстанции.

CHAPTER I. GENERAL PROVISIONS

1.1. This Regulation establishes the legal, technical, and organizational rules applied by CARBASE SRL (hereinafter – the "Data Controller") to ensure the protection of fundamental rights and freedoms of natural persons, particularly the right to personal data protection, pursuant to the General Data Protection Regulation (EU) 2016/679 (GDPR) and the Law of the Republic of Moldova No. 133/2011 on Personal Data Protection.

1.2. This document applies to all data collected via the online store for Tesla spare parts, accessories, and specialized repair services (hereinafter – the "Website").

1.3. Contact information of the Data Controller: CARBASE SRL, Republic of Moldova, email: carbasemd@gmail.com.

CHAPTER II. DATA CATEGORIES, PURPOSES AND CONSENT MECHANISM

2.1. The Data Controller collects and processes exclusively the minimum volume of data strictly required for processing, technical verification, and physical delivery of orders.

2.2. Categories of processed personal data:

• 2.2.1. First and Last Name – for proper identification of the data subject as a contracting party and recipient of the delivery;
• 2.2.2. Mobile Phone Number – for order confirmation, providing specialized technical assistance, and logistical coordination;
• 2.2.3. Delivery Address – for executing the logistical obligation of shipping and handing over the purchased goods.

2.3. Legal basis for processing: Article 6(1)(b) of the GDPR and Article 5(2)(a) of Law No. 133/2011 – processing is necessary for the performance of a distance sales contract or managing submitted feedback forms.

2.4. Processing for Marketing Purposes (SMS Notifications): The Data Controller may process the mobile phone number to transmit text notifications (SMS) regarding discounts, promotional events, sales, or new services exclusively if the user voluntarily checks the distinct optional box within the form: 'I want to receive SMS about discounts, promotions, and sales'. Leaving this box unchecked has no effect on the processing of the main order.

2.5. Consent Mechanism: Submitting any order or feedback form via the Website is strictly conditioned upon the user actively checking the mandatory box: 'I accept the privacy and data protection policy'. Through this clear affirmative action, the user grants their explicit, informed, and conscious consent for their data to be collected, stored in the cloud Supabase infrastructure, and processed in accordance with the terms of this Regulation.

CHAPTER III. TECHNICAL DATA: NON-USE OF COOKIES AND IMPLEMENTATION OF LOCAL STORAGE (LOCALSTORAGE / SESSIONSTORAGE)

3.1. The Website of the Data Controller DOES NOT use cookies for user tracking, advertising analytics, or behavioral data collection.

3.2. To support the essential technical operations of the online store, the Website relies exclusively on non-identifying browser data stored locally:

• 3.2.1. localStorage (key: cb_lang) – used strictly for remembering the interface language selected by the user;
• 3.2.2. sessionStorage – used for temporary session state preservation to ensure the home page animation is rendered only once per individual browsing session.

3.3. Data specified in section 3.2 is saved strictly locally on the user's physical device, is not automatically transmitted to the Controller's servers, and can be cleared by the user at any time by deleting their browser cache or history.

3.4. For textual font rendering, the Website loads resources from external Google Fonts servers. In this process, Google may record the user's IP address, which occurs in strict compliance with Google's own privacy policy.

CHAPTER IV. PLACE AND METHOD OF DATA STORAGE (SUPABASE SYSTEM)

4.1. Personal data and applications entered by the user into checkout forms are not permanently stored or archived within the local database structure of the Website's web platform.

4.2. All applications and order details submitted via the Website are securely routed (via encrypted SSL/HTTPS protocol) and stored within a secured Supabase database on cloud servers physically located in the European Union (EU).

4.3. Access to customer data stored within the Supabase infrastructure is strictly restricted and permitted exclusively to authorized CARBASE SRL administrators for the execution of operational duties (billing, logistics).

4.4. The cloud infrastructure provider Supabase processes data in full compliance with GDPR mandates and has executed a legally binding Data Processing Agreement (DPA) with the Controller.

4.5. Data is retained solely for the timeline required to complete delivery operations and satisfy mandatory accounting and tax obligations under the laws of the Republic of Moldova, following which it is permanently and irreversibly purged from active operational systems.

CHAPTER V. TECHNICAL AND ORGANIZATIONAL SECURITY MEASURES

5.1. In accordance with the security criteria endorsed by Government Decision No. 1123/2010, the Data Controller enforces the following protective measures:

• 5.1.1. Access Management: Access to personal records is permitted strictly to authorized personnel, guarded by unique individual accounts and robust passwords within the Supabase system.
• 5.1.2. Confidentiality Safeguards: All authorized employees have signed binding Non-Disclosure Agreements (NDAs) regarding personal data protection, remaining effective indefinitely.
• 5.1.3. Physical Security: Hard-copy records (fiscal invoices, shipping manifests) are kept within restricted-access, locked storage facilities protected against unauthorized third-party entry.

CHAPTER VI. THIRD-PARTY DISCLOSURES

6.1. The Data Controller guarantees that users' personal records will not be sold, leased, transferred, or exposed directly or indirectly to third parties for commercial or promotional campaigns.

6.2. The sole external recipients of limited data fields are authorized partner courier and logistics providers, governed by strict data processing agreements (pursuant to Art. 30 of Law 133/2011 and Art. 28 GDPR), solely for physical transit and package handover.

CHAPTER VII. STATUTORY RIGHTS OF THE DATA SUBJECT

7.1. Under the applicable legal frameworks, the user holds the following fundamental rights, exercisable via written request addressed to carbasemd@gmail.com:

• 7.1.1. Right of Access to processed data;
• 7.1.2. Right to Intervention (rectification or updating of inaccurate records);
• 7.1.3. Right to Erasure ("Right to be Forgotten") immediately upon delivery completion;
• 7.1.4. Right to Object to data processing based on legitimate grounds;
• 7.1.5. Right to Access to Justice: The right to file a formal grievance with the National Center for Personal Data Protection of the Republic of Moldova (CNPDCP) or petition competent judicial courts.