Politica de confidențialitate
Versiune: 1.0 · Data intrării în vigoare: 16 mai 2026
Această politică descrie cum Cadru colectează și prelucrează datele cu caracter personal, conform GDPR (Regulamentul UE 2016/679) și legislației române (Legea 190/2018, Legea 506/2004).
Operator: COXSWAIN S.R.L., persoană juridică România, cu sediul social în ŞOS VERGULUI, NR.35, CAMERA 1, BL.K4, SC.A, ET.6, AP.28, SECTOR 2, BUCUREŞTI, înregistrată la Registrul Comerțului sub nr. J2025015076002, cod unic de înregistrare (CUI) RO51383300. Punct unic de contact pentru protecția datelor: [email protected].
1. Ce face Cadru
Cadru este un „aparat foto digital de unică folosință" pentru evenimente. Invitații scanează un cod QR, fac fotografii prin browser, iar Organizatorul le „dezvăluie" ulterior într-o galerie de eveniment. Stocăm fotografiile în Uniunea Europeană.
2. Categorii de date prelucrate
2.1. Organizatori (cei care creează un cont)
| Categorie | Exemple |
|---|---|
| Identificare și contact | nume, adresă de email |
| Autentificare | tokenuri „magic link" (HMAC, valabile 15 minute) |
| Eveniment | nume eveniment, dată, locație (text liber), număr estimat de Invitați |
| Tehnice | adresă IP (păstrată ca hash), agent de utilizator, dispozitiv |
| Utilizare | înregistrări de login, identificator de sesiune |
| Facturare | nume, adresă, CUI (dacă este cazul), identificator de plată Stripe, ultimele 4 cifre ale cardului |
| Preferințe | bifa de marketing + marca temporală a alegerii |
2.2. Invitați (participanții la evenimente)
| Categorie | Exemple |
|---|---|
| Identitate opțională | prenume sau poreclă, dacă Invitatul o furnizează |
| Conținut foto | imaginile realizate prin aplicație |
| Metadate foto | marcă temporală; orientarea EXIF se păstrează pentru rotire, restul câmpurilor EXIF (inclusiv GPS) sunt eliminate la încărcare |
| Tehnice | adresă IP (hash), agent de utilizator, dispozitiv |
| Sesiune | cookie / token efemer pentru sesiunea Evenimentului |
| Dovadă consimțământ | marca temporală + versiunea notei de informare afișate la intrare |
2.3. Vizitatori care trimit formulare publice (Contact, DPO)
| Categorie | Exemple | Formular |
|---|---|---|
| Contact | nume, email, conținut mesaj | /contact, /dpo |
| Tehnice | adresă IP (hash), agent de utilizator | /contact, /dpo |
| Dovadă acceptare notă | marca temporală + versiunea Politicii confirmate | /contact, /dpo |
| Opțiune marketing (doar /contact) | bifa „vreau noutăți" | /contact |
Nu colectăm intenționat date din categorii speciale (Art. 9 GDPR). Fotografiile pot conține imagini ale persoanelor - date personale obișnuite. Nu încărca conținut care relevă categorii speciale fără temei legal adecvat.
3. Scopurile prelucrării și temeiurile juridice
| Scop | Persoane vizate | Temei (Art. 6 GDPR) |
|---|---|---|
| Crearea și administrarea contului de Organizator | Organizatori | 6(1)(b) - executarea contractului |
| Conectare prin magic link | Organizatori | 6(1)(b) |
| Furnizarea Serviciului de Eveniment (cod QR, primire fotografii, dezvăluire) | Organizatori și Invitați | 6(1)(b) pentru Organizatori; 6(1)(f) - interesul legitim al Organizatorului - pentru Invitați |
| Stocarea și afișarea fotografiilor | Invitați | 6(1)(f) - interesul legitim al Organizatorului de a stoca și afișa fotografiile Evenimentului - + consimțământul Invitatului acolo unde se aplică (vezi 3.1) |
| Securitate, prevenirea abuzurilor | Toți | 6(1)(f) - interesul legitim de a preveni frauda și abuzul și de a asigura securitatea Serviciului |
| Email tranzacțional esențial (magic link, confirmări) | Organizatori | 6(1)(b) |
| Mesaje trimise prin /contact | Vizitatori | 6(1)(b) - măsuri precontractuale |
| Cereri trimise prin /dpo | Vizitatori | 6(1)(c) - obligație legală (Art. 12 GDPR) |
| Procesare plăți prin Stripe | Organizatori plătitori | 6(1)(b) |
| Emitere facturi și contabilitate | Organizatori plătitori | 6(1)(c) - Legea 82/1991, Codul Fiscal |
| Comunicări de marketing despre Cadru (vezi 3.2) | Organizatori | 6(1)(a) - consimțământ (opt-in separat, revocabil oricând) |
| Răspuns la cereri ale autorităților | Toți | 6(1)(c) |
| Apărarea unui drept în instanță | Toți | 6(1)(f) - interesul legitim de a constata/exercita/apăra un drept în instanță |
Pentru fiecare prelucrare întemeiată pe interesul legitim (Art. 6(1)(f)), am efectuat un test de echilibrare între interesele noastre și drepturile tale; rezultatul este disponibil la cerere la [email protected].
Furnizarea unei adrese de email este necesară pentru a crea un cont de Organizator și a folosi Serviciul; fără ea, Serviciul nu poate fi furnizat (Art. 13(2)(e) GDPR). Invitații furnizează date în mod voluntar.
Nu luăm decizii automate și nu realizăm profilare cu efecte juridice sau similare semnificative asupra ta (Art. 22 GDPR). Excepție: procesatorul de plăți Stripe, acționând ca operator independent, aplică verificări automate antifraudă și de risc asupra tranzacțiilor de plată, iar o plată poate fi refuzată pe baza acestor verificări. Poți contesta o astfel de decizie scriindu-ne la [email protected] (sau, pentru exercitarea drepturilor tale, la [email protected]) ori direct la Stripe.
3.1. Notă specială despre fotografiile Invitaților
Realizarea de fotografii la evenimente este, de regulă, în interesul legitim al Organizatorului. Totuși, Organizatorul are obligația - față de Cadru, prin Termeni secțiunea 5 - să informeze Invitații și să obțină consimțământul lor acolo unde legea o cere (publicare ulterioară pe rețele sociale, minori sub 16 ani, contexte cu dezechilibru de putere). La intrarea într-un Eveniment, afișăm Invitatului o notă standardizată de informare; Invitatul poate refuza să participe sau poate cere ștergerea fotografiilor sale.
Fotografiile pot înfățișa terțe persoane care nu au interacționat direct cu Cadru; datele lor provin de la Invitatul sau Organizatorul care le încarcă, acesta fiind responsabil să le informeze (Art. 14 GDPR; vezi Termeni secțiunea 5). Categoriile de date prelucrate cu privire la aceste persoane sunt: imaginea facială și contextul vizual al fotografiei, împreună cu marca temporală a încărcării. O persoană care apare într-o fotografie fără a fi folosit ea însăși Serviciul își poate exercita drepturile (inclusiv ștergerea și opoziția) contactând Organizatorul Evenimentului, în calitate de operator, sau scriindu-ne la [email protected]; vom transmite cererea Organizatorului responsabil și, atunci când este necesar, vom șterge fotografia în cauză.
3.2. Comunicări de marketing
Comunicările de marketing (noutăți despre Cadru) se trimit doar cu consimțământul tău explicit (bifă neselectată implicit), maxim 1-2 emailuri pe lună, cu dezabonare imediată oricând. Sunt complet separate de acceptarea Termenilor și de orice plată; refuzul nu afectează folosirea Serviciului. Detaliile complete - ce trimitem, frecvență, cum te dezabonezi, livrare prin Brevo, retenția consimțământului - sunt în pagina dedicată Comunicări de marketing.
4. Perioade de păstrare
| Categorie | Perioadă |
|---|---|
| Fotografiile și metadatele Evenimentului | 7 zile de la data Evenimentului, apoi șterse automat |
| Date ale contului de Organizator activ | pe durata contului |
| Cont inactiv (fără login) | anonimizat / șters automat după 12 luni de la ultima activitate |
| Facturare și documente fiscale | 10 ani (Legea 82/1991, Codul Fiscal) |
| Loguri de securitate și acces | maxim 12 luni |
| Loguri de expediere email (inclusiv magic link) | 6 luni |
| Înregistrări de consimțământ (marketing, cookies) | pe durata Serviciului + 3 ani după retragere (Art. 7(1) GDPR) |
| Mesaje /contact și /dpo | 3 ani de la soluționare |
| Date legate de incidente / cereri ale autorităților | pe durata necesară soluționării + 3 ani |
Poți cere oricând ștergerea anticipată (vezi secțiunea 7), cu excepția datelor pe care legea ne obligă să le păstrăm.
5. Destinatari și sub-procesatori
Datele tale sunt accesate de personalul autorizat al Cadru, pe baza principiului „need-to-know" și sub obligație de confidențialitate. Le partajăm cu următoarele persoane împuternicite, care acționează exclusiv pe baza instrucțiunilor noastre documentate:
| Furnizor | Rol | Locație |
|---|---|---|
| Cloudflare, Inc. (Cloudflare R2) | stocare fotografii, CDN, protecție DDoS | UE (jurisdiction lock) |
| Stripe Payments Europe, Ltd. (Irlanda) | procesare plăți (a se vedea nota de mai jos) | UE; transferuri către Stripe Inc. (SUA) acoperite prin CCS + EU-US Data Privacy Framework |
| Brevo SAS (Franța) | livrare magic link și emailuri de serviciu | UE (Franța) |
| Google Ireland Limited (Google Tag Manager / Analytics) | analiză de utilizare a site-ului, numai cu consimțământ | UE; transferuri către Google LLC (SUA) sub CCS + EU-US Data Privacy Framework |
Notă privind Stripe: pentru executarea plăților, Stripe acționează ca persoană împuternicită, pe baza instrucțiunilor noastre documentate. Pentru prevenirea fraudei și gestionarea riscului de plată, Stripe acționează ca operator independent, stabilindu-și propriile scopuri și mijloace și prelucrând datele tranzacției conform propriei politici de confidențialitate (stripe.com/privacy).
Lista oficială și actualizată este la /legal/subprocessors. Modificările materiale (sub-procesator nou cu acces la date personale) se anunță Organizatorilor cu cel puțin 30 de zile în avans.
Putem dezvălui date și către:
- autorități publice (ANSPDCP, instanțe, poliție, ANAF) când suntem obligați legal;
- consultanți profesioniști (avocați, contabili) sub obligație de confidențialitate;
- un succesor legal (fuziune, achiziție), cu informare prealabilă.
6. Transferuri internaționale
Procesăm datele tale în Uniunea Europeană. Când un sub-procesator transferă date în afara SEE, folosim Clauzele Contractuale Standard (Decizia (UE) 2021/914) + măsuri tehnice suplimentare (criptare, pseudonimizare, controale de acces). Pentru Stripe, transferurile către Stripe Inc. (SUA) sunt acoperite prin CCS + EU-US Data Privacy Framework.
7. Drepturile tale
Conform Art. 15-22 GDPR ai dreptul:
- de acces la datele tale;
- la rectificarea datelor inexacte;
- la ștergere („dreptul de a fi uitat");
- la restricționarea prelucrării;
- la portabilitatea datelor (în format structurat, lizibil automat);
- de opoziție la prelucrarea bazată pe interes legitim;
- de a-ți retrage consimțământul oricând, fără efect retroactiv;
- de a depune plângere la ANSPDCP (www.dataprotection.ro, str. Olari nr. 32, sector 2, București).
Cum exerciți aceste drepturi. Trimite un email la [email protected] sau folosește formularul /dpo. Răspundem în maxim 30 de zile (Art. 12(3) GDPR), termen prelungibil cu 2 luni pentru cazuri complexe, cu motivare. Serviciul este gratuit; pentru cereri vădit nefondate ori excesive putem percepe o taxă rezonabilă sau refuza cererea (Art. 12(5)).
8. Securitatea datelor
Aplicăm măsuri tehnice și organizatorice adecvate riscului:
- HTTPS obligatoriu (HSTS), TLS 1.2+ pentru toate conexiunile;
- criptare în repaus pentru fotografii (AES-256 la nivelul Cloudflare R2) și pentru câmpurile sensibile din baza de date (email, conținut mesaj);
- autentificare fără parolă prin magic link cu validitate de 15 minute, single-use;
- limite de rată pe endpoint-urile sensibile (autentificare, încărcare foto, formulare de contact);
- strip EXIF la încărcare (rămâne doar orientarea, pentru rotire corectă);
- acces intern pe principiul „need-to-know", cu jurnalizare;
- audit automat de securitate al librăriilor terțe, dependențe blocate pe versiuni;
- răspuns la incidente: notificare ANSPDCP în 72 de ore (Art. 33), notificare persoane vizate când există risc ridicat (Art. 34).
9. Cookies
Folosim cookies strict necesare pentru sesiune și autentificare, și opțional cookies analitice (Google Tag Manager) doar cu consimțământul tău, exprimat prin bannerul afișat la prima vizită. Detalii: Politica de cookies.
10. Modificări ale Politicii
Putem actualiza această Politică periodic. Modificările materiale (categorii noi de date, sub-procesatori noi, schimbarea unui temei juridic) se notifică Organizatorilor prin email cu cel puțin 30 de zile în avans. Versiunile anterioare sunt disponibile la cerere la [email protected].
11. Contact
| Subiect | Cum |
|---|---|
| Cereri privind drepturile tale (acces, ștergere etc.) | [email protected] sau /dpo |
| Întrebări despre această Politică | [email protected] |
| Incidente de securitate | [email protected] |
| Suport general | [email protected] |
Versiunea în limba română prevalează din punct de vedere juridic. O traducere în engleză este disponibilă la cerere, cu caracter informativ.