Politica de Confidențialitate
Cuprins
- Introducere și Cadrul Legal
- Operatorul de Date
- Datele Personale Colectate
- Scopurile Prelucrării
- Temeiul Legal al Prelucrării
- Cookies și Tehnologii Similare
- Servicii Terțe și Transferuri de Date
- Stocarea și Securitatea Datelor
- Durata de Păstrare a Datelor
- Drepturile Dumneavoastră (GDPR)
- Transferuri Internaționale de Date
- Prelucrarea Datelor Minorilor
- Decizii Automatizate și Profilare
- Breșe de Securitate
- Modificări ale Politicii
- Contact și Reclamații
1. Introducere și Cadrul Legal
1.1. StartSync.app („Platforma”, „Serviciul”) este o platformă SaaS de gestionare a conferințelor și evenimentelor. Protecția datelor dumneavoastră personale este o prioritate fundamentală.
1.2. Această politică se aplică tuturor utilizatorilor Platformei, indiferent de țara de rezidență, și este conformă cu:
- Regulamentul UE 2016/679 (GDPR)
- Directiva ePrivacy 2002/58/CE (pentru cookies)
- Legea nr. 190/2018 (măsuri de punere în aplicare a GDPR în România)
2. Operatorul de Date
2.1. Operatorul datelor dumneavoastră personale este entitatea care operează platforma StartSync.app, cu sediul în România.
2.2. Date de contact ale Operatorului:
- Email: contact@startsync.app
- Email privacy: contact@startsync.app
3. Datele Personale Colectate
Colectăm următoarele categorii de date personale:
3.1. Date furnizate direct de dumneavoastră
| Categorie | Date | Obligatoriu |
|---|---|---|
| Cont | Nume utilizator, adresă e-mail, parolă (hashuită), nume afișat | Da |
| Autentificare OAuth | Identificator OAuth (Google/Apple), adresă e-mail, avatar URL | Da (dacă alegeți OAuth) |
| Facturare — PF | Nume, adresă, oraș, județ/stat, cod poștal, țară, telefon | Da (la abonament plătit) |
| Facturare — PJ | Denumire societate, CUI/Cod VAT, Nr. Reg. Com., adresă sediu, țară, telefon | Da (pentru PJ) |
| Plăți | Informații procesate prin Paddle (nu stocăm datele cardului) | Da (la abonament plătit) |
| Conținut | Prezentări (PowerPoint, PDF, HTML), configurații evenimente/săli | Nu |
3.2. Date colectate automat
| Categorie | Date | Scop |
|---|---|---|
| Jurnale server | Adresă IP, tip browser, sistem de operare, data/ora accesului | Securitate, depanare |
| Cookies | Token de sesiune (JWT), preferințe | Autentificare, funcționalitate |
| Utilizare | Acțiuni în Platformă, pagini vizitate, funcționalități folosite | Îmbunătățire serviciu |
3.3. Date de la terți
- Google OAuth: Numele, adresa de e-mail și fotografia de profil (cu consimțământul dumneavoastră)
- Apple Sign-In: Identificatorul Apple și adresa de e-mail (poate fi releu privat)
- Paddle: Confirmare plăți, starea abonamentelor, ID client Paddle
- VIES (Comisia Europeană): Validare cod VAT și date asociate companiei
4. Scopurile Prelucrării
Prelucrăm datele dumneavoastră personale în următoarele scopuri:
| Scop | Descriere | Temei legal |
|---|---|---|
| Furnizare serviciu | Crearea și gestionarea contului, configurarea evenimentelor, afișarea prezentărilor, funcționalități timer și display | Executarea contractului |
| Facturare | Procesarea plăților, emiterea facturilor, gestionarea abonamentelor, verificare TVA | Executarea contractului, obligație legală |
| Securitate | Protejarea conturilor, detectarea fraudei, prevenirea accesului neautorizat | Interes legitim |
| Comunicare | Notificări despre cont și serviciu, suport tehnic, alerte de securitate | Executarea contractului, interes legitim |
| Îmbunătățire | Analiză utilizare, depanare erori, dezvoltare funcționalități noi | Interes legitim |
| Conformitate legală | Respectarea obligațiilor fiscale și contabile, răspuns la solicitări ale autorităților | Obligație legală |
5. Temeiul Legal al Prelucrării
Utilizăm următoarele temeiuri legale conform Art. 6 GDPR:
- Art. 6(1)(a) — Consimțământul: Pentru cookies non-esențiale, comunicări de marketing (dacă există), autentificare OAuth
- Art. 6(1)(b) — Executarea contractului: Pentru furnizarea Serviciului, gestionarea contului, procesarea plăților, suport
- Art. 6(1)(c) — Obligație legală: Pentru facturare și evidențe contabile, răspuns la solicitări ale autorităților, respectarea legislației fiscale
- Art. 6(1)(f) — Interes legitim: Pentru securitate, prevenția fraudei, îmbunătățirea Serviciului, analiza utilizării
5.2. În cazul prelucrării bazate pe consimțământ, aveți dreptul de a vă retrage consimțământul oricând, fără a afecta legalitatea prelucrării anterioare.
6. Cookies și Tehnologii Similare
6.1. Ce sunt cookies?
Cookies sunt fișiere text mici stocate pe dispozitivul dumneavoastră când vizitați Platforma.
6.2. Cookies utilizate
| Cookie | Tip | Scop | Durată |
|---|---|---|---|
| token | Esențial | Autentificare și sesiune utilizator (JWT) | 7 zile |
| oauth_state | Esențial | Securitate în fluxul de autentificare OAuth | Sesiune |
6.3. Cookies terțe
Serviciile terțe pot seta propriile cookies:
- Paddle: Cookies pentru procesarea securizată a plăților și prevenția fraudei
- Google (OAuth): Cookies pentru autentificare, dacă alegeți „Continuă cu Google”
- Apple (OAuth): Cookies pentru autentificare, dacă alegeți „Continuă cu Apple”
6.4. Gestionarea cookies
Puteți gestiona sau șterge cookies din setările browserului. Rețineți că dezactivarea cookies esențiale poate afecta funcționalitatea Platformei (ex: nu veți putea rămâne autentificat).
7. Servicii Terțe și Transferuri de Date
Partajăm date cu următorii furnizori de servicii terți, strict în limita necesară:
| Furnizor | Scop | Date partajate | Locație |
|---|---|---|---|
| Paddle.com Market Ltd. | Procesare plăți, abonamente | Email, date facturare, ID client Paddle | SUA (Clauze Contractuale Standard) |
| Google LLC | Autentificare OAuth | Token OAuth, email, nume, avatar | SUA (Clauze Contractuale Standard) |
| Apple Inc. | Autentificare OAuth | Token OAuth, email | SUA (Clauze Contractuale Standard) |
| VIES / Comisia Europeană | Verificare cod VAT | Cod VAT, țară | UE |
| Railway Corp. | Găzduire Platformă (servere aplicație) | Toate datele procesate pe servere | UE / SUA (Clauze Contractuale Standard) |
| Cloudflare, Inc. (R2 Storage) | Stocare primară fișiere și backup bază de date | Fișiere prezentări, baza de date criptată | UE (auto) – Clauze Contractuale Standard |
| Backblaze, Inc. (B2 Storage) | Backup secundar fișiere | Copii de siguranță ale bazei de date | UE (Amsterdam) – Clauze Contractuale Standard |
7.2. Nu vindem, închiriem sau partajăm datele dumneavoastră personale cu terți în scopuri de marketing.
7.3. Putem divulga date personale atunci când acest lucru este cerut de lege, hotărâre judecătorească sau autoritate competentă.
8. Stocarea și Securitatea Datelor
8.1. Datele sunt stocate pe servere securizate. Implementăm următoarele măsuri:
- Criptare în tranzit: Toate conexiunile sunt protejate prin TLS/HTTPS
- Parole hashuite: Parolele sunt stocate folosind algoritmi de hashing securizați (bcrypt) și nu pot fi recuperate în formă brută
- Tokeni JWT: Sesiunile sunt gestionate prin JSON Web Tokens cu expirare automată
- Cookie httpOnly: Token-ul de autentificare este stocat într-un cookie httpOnly, inaccesibil JavaScript-ului client-side
- Protecție CSRF: Măsuri de protecție împotriva atacurilor cross-site
- Rate limiting: Protecție împotriva atacurilor de forță brută asupra autentificării
- Backup periodic: Copii de siguranță regulate ale bazei de date
- Acces limitat: Accesul la date este restricționat pe baza principiului „nevoii de a ști”
8.2. Niciun sistem nu este 100% sigur. În ciuda eforturilor noastre, nu putem garanta securitatea absolută a datelor transmise prin internet.
8.3. Confidențialitatea Prezentărilor și Fișierelor Încărcate
8.3.1. Prezentările și fișierele încărcate de Utilizator pe Platformă sunt stocate în infrastructura cloud a Operatorului, utilizând serviciile Cloudflare R2 (stocare primară) și Backblaze B2 (backup secundar). Baza de date este stocată și salvată automat în ambele locații. Aceste fișiere pot conține date personale (numele și afilierea vorbitorilor, date medicale, date de cercetare etc.).
8.3.2. Conținutul fișierelor este tratat ca informație confidențială în sensul Art. 28 GDPR și al Directivei UE 2016/943 privind secretele comerciale.
8.3.3. Dreptul de încărcare, gestionare și ștergere a prezentărilor aparține exclusiv Beneficiarului (titularul contului). Operatorul nu intervine asupra acestor fișiere decât în condițiile prevăzute în Termeni și Condiții, secțiunea 10.
8.3.4. Spațiul de stocare alocat per utilizator este limitat conform planului de abonament (Free: 300 MB, Pro: 20 GB, Enterprise: 100 GB). Detalii complete în Termeni și Condiții, secțiunea 10b.
9. Durata de Păstrare a Datelor
| Categorie date | Durată păstrare | Motiv |
|---|---|---|
| Date cont | Pe durata contului + 30 zile după ștergere | Furnizare serviciu, perioadă de grație |
| Date facturare | 10 ani de la emiterea facturii | Obligații legale contabile și fiscale |
| Prezentări/Fișiere | Pe durata contului + 30 zile după ștergere eveniment | Furnizare serviciu |
| Jurnale server (loguri) | 90 de zile | Securitate, depanare |
| Date trial expirat | 30 de zile după expirare | Perioada de grație pentru reactivare |
| Date audit | 3 ani | Securitate, conformitate |
9.2. La expirarea perioadei de păstrare, datele sunt șterse sau anonimizate ireversibil.
10. Drepturile Dumneavoastră (GDPR)
Conform GDPR, aveți următoarele drepturi:
| Drept | Descriere | Temei GDPR |
|---|---|---|
| Acces | Dreptul de a obține confirmarea prelucrării și o copie a datelor dumneavoastră | Art. 15 |
| Rectificare | Dreptul de a corecta datele inexacte sau incomplete | Art. 16 |
| Ștergere („Dreptul de a fi uitat”) | Dreptul de a solicita ștergerea datelor dumneavoastră | Art. 17 |
| Restricționare | Dreptul de a solicita limitarea prelucrării în anumite condiții | Art. 18 |
| Portabilitate | Dreptul de a primi datele într-un format structurat, utilizat curent | Art. 20 |
| Opoziție | Dreptul de a vă opune prelucrării bazate pe interes legitim | Art. 21 |
| Retragere consimțământ | Dreptul de a retrage consimțământul oricând | Art. 7(3) |
| Plângere | Dreptul de a depune o plângere la autoritatea de supraveghere | Art. 77 |
10.2. Pentru a vă exercita drepturile, trimiteți o cerere la contact@startsync.app. Vom răspunde în termen de maximum 30 de zile (extensibil cu 60 de zile pentru cereri complexe, cu notificare).
10.3. Anumite drepturi pot fi limitate în cazuri specifice (ex: obligații legale de păstrare a datelor de facturare).
10.4. Autoritatea de supraveghere: În România, autoritatea competentă este ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) — www.dataprotection.ro
11. Transferuri Internaționale de Date
11.1. Anumite servicii terțe (Paddle, Google, Apple) pot transfera date în afara Spațiului Economic European (SEE), în principal în SUA.
11.2. Aceste transferuri sunt protejate prin:
- Clauze Contractuale Standard (SCC) aprobate de Comisia Europeană
- EU-US Data Privacy Framework (pentru furnizorii certificați)
- Măsuri suplimentare de securitate conform recomandărilor EDPB
11.3. Puteți solicita detalii despre garanțiile aplicate contactându-ne la contact@startsync.app.
12. Prelucrarea Datelor Minorilor
12.1. Serviciul nu este destinat persoanelor sub 16 ani.
12.2. Nu colectăm cu bună știință date personale de la minori sub 16 ani fără consimțământul părintelui/tutorelui legal.
12.3. Dacă descoperiți că un minor sub 16 ani a furnizat date personale fără consimțământ parental, vă rugăm să ne contactați imediat pentru ștergerea acestora.
13. Decizii Automatizate și Profilare
13.1. Nu luăm decizii bazate exclusiv pe prelucrare automatizată care să producă efecte juridice sau efecte semnificative similare asupra dumneavoastră.
13.2. Verificarea automată a codului VAT prin VIES este o verificare tehnică de validare și nu constituie profilare sau decizie automatizată în sensul Art. 22 GDPR.
14. Breșe de Securitate
14.1. În cazul unei breșe de securitate care afectează datele dumneavoastră personale:
- Vom notifica ANSPDCP în termen de 72 de ore de la constatare (conform Art. 33 GDPR)
- Vă vom notifica direct, fără întârziere nejustificată, dacă breșa prezintă un risc ridicat pentru drepturile și libertățile dumneavoastră (conform Art. 34 GDPR)
- Vom lua imediat măsuri de remediere și limitare a impactului
15. Modificări ale Politicii
15.1. Ne rezervăm dreptul de a actualiza această Politică de Confidențialitate.
15.2. Modificările vor fi comunicate prin:
- Publicarea versiunii actualizate pe această pagină (cu data ultimei actualizări în antet)
- Email la adresa asociată contului, pentru modificări substanțiale
- Notificare în Platformă
15.3. Modificările substanțiale vor fi notificate cu minim 30 de zile înainte de intrarea în vigoare.
15.4. Continuarea utilizării Serviciului după intrarea în vigoare a modificărilor constituie acceptarea noii Politici.
16. Contact și Reclamații
Pentru orice întrebare sau cerere privind protecția datelor personale:
- Email (protecția datelor): contact@startsync.app
- Email (suport general): contact@startsync.app
Ne angajăm să răspundem la orice cerere privind datele personale în termen de maximum 30 de zile calendaristice.
Dacă nu sunteți mulțumit de răspunsul nostru, aveți dreptul de a depune o plângere la:
- ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal
- Adresă: B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București, 010336, România
- Website: www.dataprotection.ro