B.O.B Privacy Policy

B.O.B is operated by Thriveways, a company registered in Romania and operating within the European Union. For the purposes of the EU General Data Protection Regulation (Regulation (EU) 2016/679, the “GDPR”), Thriveways acts as the data controller for the data described below.

You can contact us about this policy or about your personal data at contact@thriveways.io.

We collect and process the following categories of data:

Bakery business information

• Business name
• Contact email address
• Phone number used for the WhatsApp bot

End-customer data (bakery customers)

• WhatsApp phone number
• Order details: product name, quantity, day of order, total amount

Usage data

• Message logs exchanged with the bot
• Session state during the ordering flow

Under Article 6 of the GDPR, we rely on the following lawful bases:

• Performance of a contract (Art. 6(1)(b)) — to provide the B.O.B service to bakeries and to process orders placed by their customers through the bot.
• Legitimate interests (Art. 6(1)(f)) — to operate, secure, and improve the service, detect abuse, debug issues, and maintain message logs and session state. We balance these interests against your rights and freedoms.
• Legal obligation (Art. 6(1)(c)) — to comply with Romanian and EU bookkeeping, tax, and consumer-protection law where applicable.
• Consent (Art. 6(1)(a)) — where required, for example when a bakery customer first initiates a WhatsApp conversation with the bot, thereby choosing to share their WhatsApp phone number with the bakery and with us.

For bakery customers, the bakery is typically the data controller for their own customer relationships, and Thriveways acts as the processor on their behalf for the ordering data they collect through B.O.B.

We do not sell personal data. We share data only with the service providers that make B.O.B work:

• Meta Platforms, Inc. (WhatsApp Business API) — provides the messaging infrastructure used to send and receive bot messages.
• Neon — hosts our PostgreSQL database, where order and account data is stored.
• Fly.io — hosts the B.O.B application that runs the ordering logic.

Each provider acts as a processor or sub-processor and handles personal data under appropriate contractual safeguards.

Some of our service providers (in particular Meta and Fly.io) are based outside the European Economic Area or may process data in third countries. Where this happens, we rely on appropriate safeguards under Chapter V of the GDPR, such as the European Commission's Standard Contractual Clauses and any applicable adequacy decisions.

We keep personal data only for as long as we need it for the purposes described above. Our default retention periods are:

• Bakery account information: for the duration of the service agreement, plus up to 10 years after termination to comply with Romanian accounting and tax obligations.
• End-customer order records: up to 5 years from the date of the order, in line with statutory limitation periods for consumer transactions.
• Message logs: up to 12 months, for security, debugging, and abuse prevention.
• Session state: up to 30 days after the ordering flow ends, then deleted.

We may keep data longer where required by law or to establish, exercise, or defend legal claims.

Under the GDPR, you have the following rights regarding your personal data:

• Access — obtain confirmation of whether we process your data and a copy of it.
• Rectification — ask us to correct inaccurate or incomplete data.
• Erasure (“right to be forgotten”) — ask us to delete your data where one of the grounds in Art. 17 GDPR applies.
• Restriction — ask us to limit how we use your data in certain cases.
• Portability — receive your data in a structured, commonly used, machine-readable format, and have it transmitted to another controller where technically feasible.
• Objection — object to processing based on our legitimate interests.
• Withdraw consent — where processing is based on consent, withdraw it at any time, without affecting the lawfulness of processing before withdrawal.

To exercise any of these rights, email contact@thriveways.io. You also have the right to lodge a complaint with the Romanian supervisory authority, the National Supervisory Authority for Personal Data Processing (ANSPDCP, dataprotection.ro), or with the supervisory authority in your EU country of residence.

B.O.B does not currently use cookies or similar tracking technologies. If this changes, we will update this policy and, where required, ask for your consent before any non-essential cookies are set.

We use technical and organisational measures appropriate to the risk, including access controls, encryption in transit, and managed hosting providers with their own security programmes. No system is perfectly secure, but we work to detect, contain, and respond to incidents promptly.

We may update this policy from time to time. When we do, we will change the “Last updated” date at the top of this page. Material changes will be communicated to bakery customers through the usual contact channels.

For any privacy question or request, contact us at contact@thriveways.io.

B.O.B este operat de Thriveways, o companie înregistrată în România și care își desfășoară activitatea în Uniunea Europeană. În sensul Regulamentului general privind protecția datelor (Regulamentul (UE) 2016/679, „GDPR”), Thriveways acționează ca operator de date pentru datele descrise mai jos.

Ne puteți contacta cu privire la această politică sau la datele dvs. personale la adresa contact@thriveways.io.

Colectăm și prelucrăm următoarele categorii de date:

Informații despre brutărie

• Denumirea afacerii
• Adresa de e-mail de contact
• Numărul de telefon folosit pentru botul WhatsApp

Date despre clienții finali (clienții brutăriei)

• Numărul de telefon WhatsApp
• Detalii despre comandă: numele produsului, cantitatea, ziua comenzii și valoarea totală

Date de utilizare

• Jurnale ale mesajelor schimbate cu botul
• Starea sesiunii pe parcursul fluxului de comandă

Conform articolului 6 din GDPR, ne întemeiem prelucrarea pe următoarele temeiuri:

• Executarea unui contract (art. 6 alin. (1) lit. b) — pentru a furniza serviciul B.O.B brutăriilor și pentru a procesa comenzile plasate de clienții acestora prin bot.
• Interes legitim (art. 6 alin. (1) lit. f) — pentru a opera, securiza și îmbunătăți serviciul, a detecta abuzurile, a depana probleme și a menține jurnale de mesaje și starea sesiunilor. Punem în balanță aceste interese cu drepturile și libertățile dvs.
• Obligație legală (art. 6 alin. (1) lit. c) — pentru a respecta legislația română și europeană în materie contabilă, fiscală și de protecție a consumatorului, acolo unde se aplică.
• Consimțământ (art. 6 alin. (1) lit. a) — acolo unde este necesar, de exemplu când un client al brutăriei inițiază o conversație WhatsApp cu botul, alegandu-și astfel să își partajeze numărul de telefon WhatsApp cu brutăria și cu noi.

În relația cu clienții finali, brutăria este în general operatorul de date pentru propria relație cu clienții, iar Thriveways acționează ca persoană împuternicită în numele brutăriei pentru datele de comandă colectate prin B.O.B.

Nu vândem date cu caracter personal. Partajăm date doar cu furnizorii de servicii care fac posibilă funcționarea B.O.B:

• Meta Platforms, Inc. (WhatsApp Business API) — furnizează infrastructura de mesagerie utilizată pentru a trimite și primi mesajele botului.
• Neon — găzduiește baza noastră de date PostgreSQL, în care sunt stocate datele de comandă și de cont.
• Fly.io — găzduiește aplicația B.O.B care rulează logica de comandă.

Fiecare furnizor acționează ca persoană împuternicită sau sub-împuternicită și prelucrează datele în baza unor garanții contractuale corespunzătoare.

Unii dintre furnizorii noștri (în special Meta și Fly.io) sunt situați în afara Spațiului Economic European sau pot prelucra date în țări terțe. Acolo unde se întâmplă acest lucru, ne bazăm pe garanțiile corespunzătoare prevăzute la Capitolul V din GDPR, cum ar fi Clauzele contractuale standard ale Comisiei Europene și deciziile de adecvare aplicabile.

Păstrăm datele cu caracter personal doar atât timp cât este necesar pentru scopurile descrise mai sus. Perioadele implicite de păstrare sunt:

• Informații despre contul brutăriei: pe durata contractului de servicii, plus până la 10 ani după încetare, pentru respectarea obligațiilor contabile și fiscale din România.
• Comenzile clienților finali: până la 5 ani de la data comenzii, în acord cu termenele legale de prescripție pentru tranzacțiile cu consumatorii.
• Jurnale de mesaje: până la 12 luni, pentru securitate, depanare și prevenirea abuzurilor.
• Starea sesiunii: până la 30 de zile după încheierea fluxului de comandă, apoi este ștearsă.

Putem păstra datele mai mult timp atunci când legea ne impune acest lucru sau pentru a constata, exercita sau apăra un drept în instanță.

Conform GDPR, aveți următoarele drepturi cu privire la datele dvs. personale:

• Acces — să obțineți confirmarea că prelucrăm datele dvs. și o copie a acestora.
• Rectificare — să ne solicitați corectarea datelor inexacte sau incomplete.
• Ștergere („dreptul de a fi uitat”) — să cereți ștergerea datelor dvs. atunci când se aplică unul dintre motivele de la art. 17 din GDPR.
• Restricționare — să cereți limitarea modului în care folosim datele dvs., în anumite situații.
• Portabilitate — să primiți datele dvs. într-un format structurat, utilizat în mod curent și care poate fi citit automat și, dacă este fezabil tehnic, să le transmiteți altui operator.
• Opoziție — să vă opuneți prelucrării bazate pe interesul nostru legitim.
• Retragerea consimțământului — acolo unde prelucrarea se bazează pe consimțământ, îl puteți retrage oricând, fără a afecta legalitatea prelucrării efectuate în baza consimțământului înainte de retragere.

Pentru a vă exercita oricare dintre aceste drepturi, scrieți-ne la contact@thriveways.io. De asemenea, aveți dreptul de a depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP, dataprotection.ro) sau la autoritatea de supraveghere din statul membru UE în care vă aflați.

B.O.B nu utilizează în prezent cookie-uri sau tehnologii de urmărire similare. Dacă acest lucru se va schimba, vom actualiza această politică și, acolo unde este necesar, vă vom solicita consimțământul înainte de a seta cookie-uri ne-esențiale.

Aplicăm măsuri tehnice și organizatorice adecvate riscului, inclusiv controale de acces, criptare în tranzit și furnizori de găzduire gestionată care au propriile programe de securitate. Niciun sistem nu este perfect sigur, dar ne străduim să detectăm, să limităm și să răspundem prompt incidentelor.

Putem actualiza această politică din când în când. Când o facem, vom modifica data „Ultima actualizare” din partea de sus a paginii. Modificările importante vor fi comunicate brutăriilor partenere prin canalele uzuale de contact.

Pentru orice întrebare sau solicitare privind confidențialitatea, ne puteți contacta la contact@thriveways.io.