Politica de Confidențialitate - Cadru
Versiune: 1.0
Data intrării în vigoare: 16 mai 2026
Versiunea în limba engleză: PRIVACY.en.md (versiunea română prevalează din punct de vedere juridic)
1. Cine suntem
Operator de date cu caracter personal:
- Denumire: COXSWAIN S.R.L.
- Sediu social: ŞOS VERGULUI, NR.35, CAMERA 1, BL.K4, SC.A, ET.6, AP.28, SECTOR 2, BUCUREŞTI
- Cod unic de înregistrare (CUI): RO51383300
- Număr de înregistrare la Oficiul Național al Registrului Comerțului: J2025015076002
- Țară: România
- Email general: [email protected]
- Email pentru protecția datelor: [email protected]
COXSWAIN S.R.L. acționează ca operator pentru datele utilizatorilor care își creează un cont (denumiți „Organizatori") și ca persoană împuternicită (procesator) pentru datele participanților la evenimentele organizate prin Serviciu (denumiți „Invitați"), unde Organizatorul evenimentului este operator. Detalii despre acest aranjament se regăsesc în Secțiunea 9.
Responsabil cu protecția datelor (DPO). COXSWAIN S.R.L. nu este obligată legal să desemneze un Responsabil cu Protecția Datelor în temeiul Art. 37 GDPR (nu efectuează monitorizare la scară largă pe cont propriu, iar prelucrarea de date din categorii speciale nu constituie activitate principală). Cu toate acestea, am desemnat un punct unic de contact pentru protecția datelor, accesibil la [email protected].
2. Ce este Cadru
Cadru este o aplicație web tip „aparat foto digital de unică folosință" pentru evenimente. Invitații scanează un cod QR, se alătură unui Eveniment, fac fotografii prin browser-ul telefonului, iar fotografiile sunt „dezvăluite" ulterior de Organizator. Stocarea fotografiilor se face în Uniunea Europeană prin Cloudflare R2 (cu blocare jurisdicțională UE) sau, pentru deployment-uri de tip „self-hosted", pe infrastructura aleasă de Organizator.
3. Categorii de date personale prelucrate
3.1. Organizatori (clienții care își creează un cont)
| Categorie | Exemple | Sursa |
|---|---|---|
| Date de identificare și contact | Nume, adresă de email | Furnizate de Organizator |
| Date de autentificare | Tokenuri de tip „magic link" (HMAC, valabile 15 minute) | Generate de noi |
| Date de eveniment | Nume eveniment, dată, locație (text liber), număr estimat de Invitați, plan ales | Furnizate de Organizator |
| Date tehnice | Adresă IP, agent de utilizator (browser), tip dispozitiv, fus orar | Colectate automat |
| Date de utilizare | Înregistrări de login, acțiuni în aplicație, identificator sesiune | Colectate automat |
| Date de facturare | Nume, adresă, CUI/CIF, istoric facturi, tokenul de plată Stripe și ultimele 4 cifre ale cardului | Furnizate de Organizator; procesate prin Stripe |
3.2. Invitați (participanții la evenimente)
| Categorie | Exemple | Sursa |
|---|---|---|
| Identitate opțională | Prenume sau poreclă (dacă Invitatul alege să-l furnizeze) | Furnizat de Invitat |
| Conținut foto | Imaginile realizate prin aplicație | Realizate de Invitat |
| Metadate foto | Marcă temporală; orientarea EXIF se păstrează pentru rotirea corectă, alte câmpuri EXIF (inclusiv GPS) sunt eliminate la încărcare | Generate de browser / procesate de noi |
| Date tehnice | Adresă IP, agent de utilizator, tip dispozitiv | Colectate automat |
| Identificator de sesiune | Cookie / token efemer pentru sesiunea Evenimentului | Generat de noi |
Nu colectăm intenționat date din categorii speciale (Art. 9 GDPR - date privind sănătatea, opinii politice, religie, orientare sexuală, date biometrice etc.). Fotografiile pot conține totuși imagini ale persoanelor, care reprezintă date personale obișnuite. Vă rugăm să nu încărcați conținut care relevă astfel de categorii fără un temei legal adecvat.
4. Scopurile prelucrării și temeiurile juridice (Art. 6 GDPR)
| Scop | Categorie de persoane vizate | Temei juridic |
|---|---|---|
| Crearea și administrarea Contului de Organizator | Organizatori | Art. 6(1)(b) GDPR - executarea unui contract |
| Autentificare prin magic link | Organizatori | Art. 6(1)(b) - executarea contractului |
| Furnizarea Serviciului de Eveniment (creare cod QR, primire fotografii, dezvăluire) | Organizatori și Invitați | Art. 6(1)(b) pentru Organizatori; Art. 6(1)(f) - interesul legitim al Organizatorului în documentarea Evenimentului - pentru Invitați |
| Stocarea și afișarea fotografiilor către Organizator | Invitați | Art. 6(1)(f) - interesul legitim al Organizatorului; consimțământul Invitatului acolo unde se aplică (vezi 4.1) |
| Securitate, prevenirea fraudei și a abuzurilor, integritatea Serviciului | Toți | Art. 6(1)(f) - interesul legitim al Cadru |
| Comunicări de serviciu (email tranzacțional esențial: magic link, confirmare creare eveniment, notificări de încetare) | Organizatori | Art. 6(1)(b) - executarea contractului |
| Procesare plăți prin Stripe | Organizatori plătitori | Art. 6(1)(b) - executarea contractului |
| Emitere facturi și înregistrare contabilă | Organizatori plătitori | Art. 6(1)(c) - obligație legală (Legea contabilității nr. 82/1991, Codul Fiscal) |
| Comunicări de marketing din partea Cadru | Organizatori | Art. 6(1)(a) - consimțământ (opt-in separat, revocabil oricând prin link „dezabonare") |
| Răspunsuri la cereri ale autorităților și instanțelor | Toți | Art. 6(1)(c) - obligație legală |
| Apărarea în instanță și constatarea, exercitarea ori apărarea unui drept | Toți | Art. 6(1)(f) - interes legitim |
4.1. Notă specială privind temeiul juridic pentru fotografiile Invitaților
Realizarea de fotografii la evenimente sociale este, de regulă, în interesul legitim al Organizatorului (memorabilia Evenimentului), evaluat prin testul în trei pași (necesitate - proporționalitate - echilibrarea cu drepturile persoanelor vizate). Cu toate acestea, Organizatorul are obligația contractuală față de Cadru (vezi Termenii și Condițiile, secțiunea 5) de a informa Invitații despre prelucrare și de a obține consimțământul acestora acolo unde legea o impune - de ex. dacă fotografiile vor fi publicate ulterior pe rețele sociale, dacă există minori sub 16 ani prezenți, sau dacă există un dezechilibru contextual.
La intrarea într-un Eveniment, Cadru afișează Invitatului o notă de informare clară, concisă și ușor accesibilă (vezi CONSENT_TEXT.md). Invitatul poate refuza să participe sau poate solicita oricând ștergerea fotografiilor sale.
5. Perioade de păstrare
| Categorie | Perioadă de păstrare | Temei |
|---|---|---|
| Fotografiile și metadatele Evenimentului | 7 zile de la data Evenimentului (sau, în lipsă, de la data creării), apoi șterse automat prin task-ul programat cadru:purge-old |
Minimizare (Art. 5(1)(c) și (e) GDPR) |
| Datele Contului Organizatorului activ | Pe durata Contului | Executarea contractului |
| Cont inactiv (fără login) | Șters / anonimizat după 24 de luni de la ultima activitate; notificare prealabilă la 23 luni | Minimizare |
| Date de facturare și documente fiscale | 10 ani | Legea contabilității nr. 82/1991, Codul Fiscal (Legea nr. 227/2015) |
| Loguri de securitate, de aplicație și de acces | Maxim 12 luni | Interesul legitim al Cadru în investigarea incidentelor |
| Loguri de expediere email (inclusiv magic link) | 6 luni; tokenul magic link expiră în 15 minute | Diagnostic livrare email |
| Înregistrările consimțământului (de cookies sau marketing) | Pe durata Serviciului + 3 ani după retragere | Probarea consimțământului (Art. 7(1) GDPR) |
| Cookies analitice (dacă vor fi implementate cu consimțământ) | Maxim 13 luni (linii directoare CNIL/EDPB) | Consimțământ |
| Date legate de incidente sau cereri ale autorităților | Pe durata necesară soluționării + 3 ani | Apărarea unui drept în instanță |
Persoana vizată poate solicita oricând ștergerea anticipată (vezi Secțiunea 8), sub rezerva obligațiilor noastre legale (de ex. păstrarea documentelor fiscale).
6. Destinatari și persoane împuternicite
Datele dvs. sunt accesate de personalul autorizat al Cadru, pe baza principiului „need-to-know", sub obligație de confidențialitate. Le partajăm cu următoarele persoane împuternicite (sub-operatori), care acționează exclusiv pe baza instrucțiunilor noastre documentate:
| Furnizor | Rol | Locația prelucrării | Mecanism de transfer (dacă este cazul) |
|---|---|---|---|
| Cloudflare, Inc. (serviciul Cloudflare R2 - object storage) | Stocare fotografii și backup | UE (jurisdiction lock: EU) | Clauzele Contractuale Standard (CCS) - Decizia (UE) 2021/914, pentru orice transfer transatlantic incidental |
| Stripe Payments Europe, Limited (Irlanda) | Procesare plăți și emitere de informații pentru facturare | UE; transferuri către SUA reglementate de Stripe Inc. cu CCS + supliment | CCS + Data Privacy Framework |
Furnizorul de hosting (publicat pe https://cadru.app/legal/subprocessors) |
Găzduire aplicație și bază de date | UE | n/a (operare exclusiv în UE) |
Furnizorul de email tranzacțional (publicat pe https://cadru.app/legal/subprocessors) |
Trimiterea magic link-urilor și a email-urilor de serviciu | UE; CCS dacă subprocesatorul folosește subcontractanți non-UE | CCS unde se aplică |
Lista actualizată a sub-procesatorilor este publicată la https://cadru.app/legal/subprocessors. Modificările materiale ale listei (adăugarea unui sub-procesator nou cu acces la date personale) vor fi anunțate cu cel puțin 30 de zile în avans Organizatorilor, care au dreptul de a obiecta motivat - vezi DPA-ul.
În plus, putem dezvălui date către:
- Autorități publice (ANSPDCP, instanțe, poliție, Parchet, autorități fiscale) atunci când suntem obligați legal printr-un act normativ ori dispoziție executorie;
- Consultanți profesioniști (avocați, contabili, auditori) sub obligație de confidențialitate, în măsura strict necesară;
- Un eventual succesor (în caz de fuziune, achiziție, divizare sau transfer de activitate), cu informare prealabilă; succesorul preia obligațiile noastre privind protecția datelor.
7. Transferuri internaționale (Art. 44-49 GDPR)
Prelucrăm datele dvs. în Uniunea Europeană. În cazul în care, în mod excepțional, un sub-procesator transferă date în afara Spațiului Economic European (de ex. componente operaționale ale unui furnizor de email cu suport tehnic în SUA), folosim ca mecanism de transfer Clauzele Contractuale Standard aprobate de Comisia Europeană prin Decizia de Implementare (UE) 2021/914, completate cu măsuri tehnice și organizatorice suplimentare (criptare end-to-end acolo unde este posibil, pseudonimizare, controale de acces strict). Pentru Stripe, transferurile către Stripe Inc. (SUA) sunt acoperite prin CCS coroborate cu certificarea Data Privacy Framework UE-SUA, în vigoare.
O copie a clauzelor și a evaluării transferurilor este disponibilă la cerere la [email protected].
8. Drepturile dvs. (Art. 15-22 GDPR)
În calitate de persoană vizată, aveți următoarele drepturi:
- Dreptul de acces (Art. 15) - să confirmați dacă prelucrăm date despre dvs. și să primiți o copie.
- Dreptul la rectificare (Art. 16) - să corectați date inexacte sau incomplete.
- Dreptul la ștergere / „dreptul de a fi uitat" (Art. 17), sub rezerva excepțiilor legale (de ex. obligațiile fiscale de păstrare).
- Dreptul la restricționarea prelucrării (Art. 18).
- Dreptul la portabilitatea datelor (Art. 20) - să primiți datele dvs. într-un format structurat, utilizat în mod curent, lizibil automat (JSON / ZIP).
- Dreptul de opoziție (Art. 21) - vă puteți opune prelucrării bazate pe interes legitim. Pentru marketing direct, opoziția este absolută și se aplică imediat.
- Dreptul de a nu fi supus unei decizii bazate exclusiv pe prelucrare automată, inclusiv profilare (Art. 22). Cadru nu efectuează astfel de decizii.
- Dreptul de a vă retrage consimțământul oricând (Art. 7(3)), fără a afecta legalitatea prelucrării anterioare.
- Dreptul de a depune o plângere la o autoritate de supraveghere (vezi mai jos).
- Dreptul la o cale de atac judiciară împotriva unui operator sau a unei persoane împuternicite (Art. 79) și dreptul la despăgubiri (Art. 82).
Cum exercitați aceste drepturi. Transmiteți un email la [email protected] sau la [email protected]. Pentru a vă putea identifica, putem solicita informații suplimentare minime (Art. 12(6)). Răspundem în termen de maxim 30 de zile calendaristice de la primirea cererii (Art. 12(3) GDPR), termen care poate fi prelungit cu încă două luni în cazuri complexe, cu informarea dvs. și motivare. Serviciul este gratuit; pentru cereri vădit nefondate sau excesive (în special repetitive) putem percepe o taxă rezonabilă bazată pe costurile administrative ori putem refuza cererea (Art. 12(5)).
Autoritatea de supraveghere în România:
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
B-dul G-ral. Gheorghe Magheru nr. 28-30, Sector 1, 010336 București
Tel: +40.318.059.211 / +40.318.059.212
Email: [email protected]
Web: https://www.dataprotection.ro/
9. Relația operator - persoană împuternicită cu Organizatorii
Când un Organizator folosește Cadru pentru a colecta fotografii de la Invitați:
- Organizatorul este operatorul datelor Invitaților (decide scopurile și mijloacele esențiale - ce Eveniment, cine este invitat, ce face cu fotografiile);
- Cadru este persoana împuternicită a Organizatorului pentru aceste date.
Această împărțire de roluri este formalizată prin Acordul de Prelucrare a Datelor (DPA) prevăzut la Art. 28 GDPR, parte integrantă a Termenilor și Condițiilor (DPA.ro.md). DPA-ul reglementează: obiectul prelucrării, durata, scopul, sub-procesatorii, măsurile de securitate, asistența reciprocă, notificarea breșelor, ștergerea sau returnarea datelor la finalul prelucrării și auditul.
10. Procese decizionale automate și profilare
Nu folosim procese decizionale automate care produc efecte juridice asupra dvs. sau care vă afectează în mod similar semnificativ (Art. 22 GDPR). Nu efectuăm profilare.
11. Măsuri tehnice și organizatorice de securitate (Art. 32 GDPR)
Implementăm măsuri adecvate riscului, ținând cont de stadiul actual al tehnologiei și de costurile implementării:
- Criptare în tranzit: TLS 1.2+ obligatoriu pentru toate conexiunile (HSTS activat);
- Criptare în repaus: AES-256 server-side pentru fotografiile stocate în Cloudflare R2;
- Pseudonimizare acolo unde este posibil (identificatori de sesiune, tokenuri opace);
- Magic link: HMAC cu secret server-side, expirare 15 minute, single-use, invalidate la primă folosire;
- Controlul accesului: principiul minimului privilegiu, autentificare multi-factor pentru accesul administrativ, separare medii dev/staging/producție;
- Politică ImageMagick hardenizată împotriva exploit-urilor de tip imagetragick;
- Limite de rată pe endpoint-urile sensibile (autentificare, încărcare foto);
- Eliminare EXIF la încărcare, cu excepția câmpului „Orientation" necesar afișării corecte;
- URL-uri semnate pentru accesul la fotografii, cu TTL scurt;
- Backup-uri periodice, criptate, testate pentru restaurare, păstrate maxim 30 de zile;
- Loguri de audit pentru accesul administrativ și pentru operațiunile sensibile, cu marcă temporală;
- Reziliență: redundanță și plan de continuitate / recuperare în caz de dezastru;
- Procedură de răspuns la incidente și notificare ANSPDCP în 72 de ore de la conștientizare (Art. 33 GDPR), însoțită de notificarea persoanelor vizate atunci când breșa prezintă un risc ridicat (Art. 34);
- Audit de dependențe automat (
composer audit), dependențe blocate pe versiuni; - Instruirea personalului privind protecția datelor și securitatea informației;
- Revizuirea anuală a măsurilor și a Politicii.
Detalii tehnice complete sunt prezentate în Anexa II a DPA.
12. Minori (Art. 8 GDPR + Legea nr. 190/2018)
Conform Legii nr. 190/2018 privind măsuri de punere în aplicare a GDPR, vârsta consimțământului digital în România este 16 ani. Serviciul Cadru nu este destinat copiilor sub 16 ani fără acordul reprezentantului legal. Organizatorii sunt obligați contractual să nu colecteze fotografii ale minorilor fără consimțământul prealabil al părintelui sau reprezentantului legal. Dacă aflăm că am prelucrat date despre un minor fără temei legal, ștergem datele fără întârziere nejustificată.
13. Modificări ale prezentei Politici
Putem actualiza această Politică periodic. Modificările materiale (de ex. noi categorii de date, noi sub-procesatori, schimbarea unui temei juridic) vă vor fi notificate prin email Organizatorilor cu cel puțin 30 de zile înainte de intrarea în vigoare. Versiunea curentă este indicată în antet. Versiunile anterioare sunt arhivate la https://cadru.app/legal/archive/.
14. Contact
| Subiect | Adresă |
|---|---|
| Probleme de confidențialitate / cereri privind drepturile | [email protected] |
| Suport general | [email protected] |
| Juridic | [email protected] |
| Incidente de securitate | [email protected] |
| Sediu social | COXSWAIN S.R.L., ŞOS VERGULUI, NR.35, CAMERA 1, BL.K4, SC.A, ET.6, AP.28, SECTOR 2, BUCUREŞTI |
Versiunea în limba română prevalează din punct de vedere juridic. Versiunea în limba engleză este pentru informare.