Politica de Conformitate GDPR și Protecția Datelor

Ultima actualizare: Ianuarie 2025

1. Introducere și Angajament

Veluna este dedicată protejării datelor dumneavoastră personale și respectării drepturilor dumneavoastră la confidențialitate. Această Politică de Conformitate GDPR și Protecția Datelor descrie modul în care respectăm Regulamentul General privind Protecția Datelor (UE) 2016/679 ("GDPR"), Legea română 190/2018 privind măsurile de protecție a datelor și legile conexe privind protecția datelor.

Această politică se aplică tuturor activităților de procesare a datelor personale desfășurate de Veluna pentru utilizatorii din Spațiul Economic European (SEE), România și în întreaga lume.

2. Informații despre Operatorul de Date

2.1 Identitatea Operatorului

• Nume Companie: Veluna (numele complet entitate juridică va fi adăugat)
• Adresă Înregistrată: [Adresa Legală a Companiei - România]
• Număr Înregistrare Companie: [CUI/Număr Înregistrare]
• Email Contact: office@veluna.ro

2.2 Ofițer Protecția Datelor (DPO)

• Email: office@veluna.ro
• Subiect Email: "Atenție: Ofițer Protecția Datelor" sau "Cerere GDPR"
• Responsabilități: Monitorizarea conformității GDPR, gestionarea cererilor subiecților de date, legătură cu ANSPDCP

3. Temei Legal pentru Procesare

Procesăm datele dumneavoastră personale doar când avem un temei legal valid conform Articolului 6 din GDPR:

3.1 Consimțământ (Articolul 6(1)(a))

Procesăm date pe baza consimțământului dumneavoastră explicit pentru:

• Comunicări de marketing (știri platformă, actualizări funcționalități)
• Notificări SMS opționale pentru funcționalități premium
• Analiză neesențială (dacă este implementată în viitor)
• Abonamente newsletter

Dreptul Dumneavoastră: Puteți retrage consimțământul oricând fără a afecta procesarea legală anterioară. Retragerea se poate face prin setările contului sau contactându-ne.

3.2 Executarea Contractului (Articolul 6(1)(b))

Procesare necesară pentru a executa contractul nostru cu dumneavoastră:

• Crearea și autentificarea contului
• Instrumente și servicii de planificare evenimente
• Facilitarea rezervărilor și operațiuni marketplace
• Procesarea plăților și gestionarea abonamentului
• Generarea și livrarea facturilor
• Suport clienți și livrarea serviciilor

3.3 Interes Legitim (Articolul 6(1)(f))

Avem interese legitime în procesarea datelor pentru:

• Îmbunătățirea și optimizarea platformei
• Monitorizarea securității și prevenirea fraudei
• Urmărirea erorilor și monitorizarea performanței (prin Sentry)
• Analiză internă și business intelligence
• Apărarea revendicărilor legale

Test de Echilibrare: Am evaluat că aceste interese nu prevalează asupra drepturilor și libertăților dumneavoastră fundamentale. Aveți dreptul să obiectați la astfel de procesare.

3.4 Obligație Legală (Articolul 6(1)(c))

Suntem obligați legal să procesăm anumite date:

• Păstrarea înregistrărilor de tranzacții (7 ani - Legea 227/2015 - Codul Fiscal)
• Generarea și arhivarea facturilor (7 ani - cerințe ANAF)
• Raportarea fiscală și conformitatea
• Răspunsul la cereri legale de la autorități
• Verificări anti-spălare de bani (dacă este aplicabil)

4. Categorii de Date Personale Procesate

4.1 Date de Identitate

• Prenume, nume
• Dată de naștere
• Fotografie de profil
• Tip cont (personal, proprietar afacere, utilizator afacere)

4.2 Date de Contact

• Adresă de email (identificator principal)
• Număr de telefon
• Adresă poștală (țară, județ, oraș, stradă, cod poștal)
• Informații de contact business (pentru utilizatori business)

4.3 Date Financiare

• Adresă de facturare
• Tokenuri de plată (NU numere complete de card)
• Luna și anul de expirare card
• Istoric tranzacții și ID-uri comenzi
• Plan abonament și status plată
• Coduri fiscale (pentru afaceri)
• Date facturi

4.4 Date de Utilizare și Tehnice

• Jurnale de activitate (acțiuni efectuate, marcaje temporale)
• Informații despre dispozitiv și browser (prin headere HTTP)
• Date sesiune și tokenuri autentificare
• Jurnale erori și metrici performanță
• Adrese IP (pentru securitate și prevenirea fraudei)

4.5 Date Eveniment și Conținut

• Detalii eveniment (nume, tip, dată, locație, buget)
• Informații invitați (nume, preferințe, RSVP, aranjare)
• Date cronologie și sarcini
• Imagini și fișiere încărcate
• Anunțuri business (descrieri locații/servicii, fotografii, prețuri)

4.6 Date Comunicări

• Corespondență email
• Mesaje SMS (dacă sunt activate)
• Notificări în aplicație
• Tichete suport clienți

5. Procesatori de Date și Transferuri Internaționale

5.1 Procesatori UE/SEE

Mailjet (Serviciu Email)

• Entitate: Pathwire France SAS
• Locație: Franța
• Acord de Procesare: DPA standard în vigoare
• Date Procesate: Adrese email, nume, conținut email
• Securitate: Certificat ISO 27001, conform GDPR

Netopia Payments

• Entitate: Netopia System
• Locație: România
• Acord de Procesare: Termeni procesor plăți
• Date Procesate: Date plată, adrese facturare, detalii tranzacție
• Securitate: PCI-DSS Nivel 1, conform GDPR

Oblio (Generare Facturi)

• Entitate: Oblio
• Locație: România
• Acord de Procesare: DPA în vigoare
• Date Procesate: Informații facturare, detalii tranzacție, facturi
• Scop: Generare facturi conforme românești

5.2 Procesatori Non-UE/SEE (SUA - Măsuri Adecvate de Protecție)

Twilio (Serviciu SMS)

• Entitate: Twilio Inc.
• Locație: Statele Unite
• Măsuri de Protecție: Clauze Contractuale Standard UE (SCC) - Modul 2, certificat EU-US Data Privacy Framework
• Date Procesate: Numere telefon, conținut mesaje SMS
• Măsuri Suplimentare: Criptare în tranzit și în repaus, păstrare limitată date

Google Cloud Storage / Google Places

• Entitate: Google LLC
• Locație: Statele Unite (centre de date UE utilizate)
• Măsuri de Protecție: Clauze Contractuale Standard UE, selecție regiune de date UE
• Date Procesate: Fișiere încărcate (stocate în regiunea UE), Google Place ID-uri
• Măsuri Suplimentare: Rezidență date în UE, criptare, controale acces

Sentry (Monitorizare Erori)

• Entitate: Functional Software, Inc.
• Locație: Statele Unite
• Măsuri de Protecție: Clauze Contractuale Standard UE
• Date Procesate: Jurnale erori, ID-uri utilizator anonimizate, date tehnice
• Măsuri Suplimentare: Minimizare date, anonimizare IP, păstrare scurtă (90 zile)

5.3 Evaluarea Impactului Transferurilor

Am efectuat Evaluări ale Impactului Transferurilor (TIA) pentru toate transferurile către țări neadecvate și am implementat măsuri suplimentare inclusiv:

• Criptarea datelor în tranzit și în repaus
• Pseudonimizare și anonimizare unde este posibil
• Angajamente contractuale de la procesatori
• Audituri regulate și monitorizare conformitate
• Selecție centre de date UE unde este disponibil

6. Drepturile Dumneavoastră GDPR

6.1 Dreptul de Acces (Articolul 15)

Aveți dreptul să obțineți:

• Confirmarea dacă procesăm datele dumneavoastră personale
• Acces la datele dumneavoastră personale
• Informații despre scopurile procesării, categorii, destinatari, perioade de păstrare
• Copie a datelor în curs de procesare

Cum să Exercitați: Contactați office@veluna.ro cu subiect "Cerere Acces GDPR". Vom răspunde în 30 zile.

Self-Service: Puteți de asemenea să exportați datele evenimentului (invitați, bugete, cronologii) direct prin platformă în formate PDF, Excel sau CSV.

6.2 Dreptul la Rectificare (Articolul 16)

Puteți corecta date personale incorecte sau incomplete.

Cum să Exercitați:

• Actualizați profilul, adresa și preferințele direct în setările contului
• Editați detaliile evenimentului, informațiile invitaților, anunțurile business
• Contactați-ne pentru date pe care nu le puteți actualiza singur

Termen: Actualizările intră în vigoare imediat; vom răspunde la cererile de corecție în 30 zile.

6.3 Dreptul la Ștergere / "Dreptul de a fi Uitat" (Articolul 17)

Puteți solicita ștergerea datelor dumneavoastră personale când:

• Datele nu mai sunt necesare pentru scopurile colectate
• Retrageți consimțământul (pentru procesarea bazată pe consimțământ)
• Obiectați la procesare și nu există motive legitime prevalente
• Datele au fost procesate ilegal
• Ștergerea este necesară pentru conformitatea legală

Cum să Exercitați:

• Folosiți funcția de ștergere cont (șterge permanent contul și datele)
• Contactați office@veluna.ro cu "Cerere Ștergere GDPR"

Excepții: Putem păstra date când este necesar prin lege (de ex., păstrare 7 ani pentru tranzacții/facturi) sau pentru apărarea revendicărilor legale.

Ce Se Șterge:

• Date profil (nume, email, telefon, adresă, fotografie)
• Evenimente și liste invitați (pentru utilizatori personali)
• Anunțuri business (eliminate din vizualizarea publică)
• Tokenuri autentificare și abonamente

Ce Se Păstrează:

• Înregistrări tranzacții (7 ani - legea română)
• Facturi (7 ani - cerință fiscală)
• Date rezervare anonimizate (operațiuni business)

6.4 Dreptul de a Restricționa Procesarea (Articolul 18)

Puteți solicita restricționarea procesării când:

• Contestați acuratețea datelor (restricție în timpul verificării)
• Procesarea este ilegală dar nu doriți ștergerea
• Nu mai avem nevoie de date dar dumneavoastră le aveți pentru revendicări legale
• Obiectați la procesare (în așteptarea verificării motivelor)

Cum să Exercitați: Contactați office@veluna.ro cu "Cerere Restricționare GDPR" și specificați motivele.

6.5 Dreptul la Portabilitatea Datelor (Articolul 20)

Puteți primi datele dumneavoastră personale într-un format structurat, utilizat în mod curent, citibil de mașină și să le transmiteți altui operator.

Cum să Exercitați:

• Exportați datele evenimentului direct: Liste invitați (PDF, Excel, CSV), Bugete (PDF, Excel), Cronologii (PDF)
• Solicitați export complet de date contactând office@veluna.ro

Formate Furnizate: JSON (date complete), PDF, Excel (.xlsx), CSV

Termen: Exporturi self-service: imediat; cereri manuale: în 30 zile

6.6 Dreptul de Opoziție (Articolul 21)

Puteți obiecta la procesarea bazată pe:

• Interes Legitim: Vom opri procesarea cu excepția cazului în care demonstrăm motive legitime convingătoare care prevalează asupra intereselor dumneavoastră
• Marketing Direct: Vom opri imediat comunicările de marketing la obiecție

Cum să Exercitați:

• Renunțați la email-urile de marketing în setările contului sau prin link-uri dezabonare
• Contactați-ne pentru alte obiecții: office@veluna.ro

6.7 Drepturi Legate de Luarea Automată a Deciziilor (Articolul 22)

Status Curent: Veluna NU utilizează luarea automată a deciziilor sau profilarea care produce efecte legale sau semnificative similare.

Dacă implementăm astfel de sisteme în viitor, vom:

• Vă notifica și obține consimțământ explicit unde este necesar
• Furniza informații despre logica implicată
• Permite să contestați deciziile și să solicitați intervenție umană

7. Perioade de Păstrare Date

7.1 Date Cont și Profil

• Conturi Active: Durata relației cu Veluna
• Conturi Inactive: 5 ani de inactivitate, apoi șterse
• Conturi Șterse: Date profil șterse imediat; păstrare legală se aplică pentru înregistrări financiare

7.2 Date Financiare și Tranzacții

• Înregistrări Tranzacții: 7 ani de la data tranzacției (Legea 227/2015 - Codul Fiscal)
• Facturi: 7 ani (cerință ANAF)
• Înregistrări Contabile: 10 ani pentru entități juridice (Legea 82/1991)
• Înregistrări TVA: Conform cerințelor autorităților fiscale românești

7.3 Comunicări și Suport

• Mesaje Email: Până când scopul este îndeplinit sau ștergerea contului
• Mesaje SMS: 90 zile (politica de păstrare Twilio)
• Tichete Suport: 3 ani pentru asigurarea calității
• Istoric Notificări: Până la ștergerea contului

7.4 Jurnale Securitate și Audit

• Jurnale Activitate: 3 ani (investigații securitate, prevenire fraudă)
• Jurnale Erori: 90 zile (păstrare Sentry)
• Jurnale Acces: 1 an (monitorizare securitate)

7.5 Conținut și Date Generate de Utilizator

• Evenimente: Până când le ștergeți sau vă ștergeți contul
• Liste Invitați: Până când le ștergeți sau vă ștergeți contul
• Anunțuri Business: Până când le ștergeți sau abonamentul se încheie
• Fișiere Încărcate: Șterse cu contul sau când le eliminați
• Fișiere Export: 24 ore, apoi șterse automat

7.6 Date Rezervare

• Rezervări Active: Până la data rezervării plus 2 ani
• Rezervări Anulate: 1 an de la anulare
• După Ștergerea Contului: Anonimizate (informații contact eliminate, date păstrate pentru analiză business)

8. Măsuri de Securitate Date

8.1 Măsuri Tehnice (Articolul 32)

• Criptare în Repaus: Criptare bază de date, stocare fișiere criptate
• Criptare în Tranzit: TLS/SSL pentru toată transmisia de date (HTTPS impus)
• Securitate Parole: Hash-ing standard industrie (bcrypt/PBKDF2), cerințe minime de complexitate
• Autentificare Bazată pe Token: JWT cu rotație, listă neagră, expirare scurtă (15min acces, 7 zile refresh)
• Securitate Plăți: Tokenizare conform PCI-DSS prin Netopia, fără stocare numere complete de card
• Controale Acces: Permisiuni bazate pe rol, principiu privilegiu minim
• Securitate Rețea: Protecție firewall, detectare intruziuni, scanări regulate de securitate

8.2 Măsuri Organizaționale

• Instruire Personal: Instruire regulată privind protecția datelor și securitatea
• Restricții Acces: Date personale accesibile doar personalului autorizat cu nevoie legitimă
• Acorduri de Confidențialitate: Tot personalul obligat prin obligații de confidențialitate
• Plan de Răspuns Incidente: Proceduri documentate de detectare și răspuns la încălcări
• Audituri Regulate: Audituri interne de securitate, teste de penetrare, evaluări vulnerabilități
• Gestionare Furnizori: Diligență pentru toți procesatorii, DPA-uri în vigoare

8.3 Pseudonimizare și Anonimizare

• Date Rezervare: Anonimizate după ștergerea contului (informații contact eliminate)
• Analiză: ID-uri utilizator pseudonimizate în jurnalele de erori
• Medii de Test: Date de producție niciodată utilizate; doar date sintetice

9. Proceduri Încălcare Date (Articolul 33-34)

9.1 Detectare și Evaluare

• Monitorizare securitate 24/7 prin Sentry și jurnale sistem
• Detectare automată anomalii
• Instruire personal pentru recunoașterea și raportarea potențialelor încălcări
• Investigație imediată la detectare

9.2 Notificare către Autoritatea de Supraveghere

În cazul unei încălcări susceptibile să rezulte în risc pentru subiecții de date:

• Termen: În 72 de ore de la luarea la cunoștință
• Autoritate: ANSPDCP (Autoritatea Națională de Supraveghere Română)
• Informații Furnizate: Natura încălcării, categorii și număr aproximativ de persoane afectate, consecințe probabile, măsuri luate

9.3 Notificare către Subiecții de Date

Când o încălcare este susceptibilă să rezulte în RISC RIDICAT pentru drepturi și libertăți:

• Termen: Fără întârziere nejustificată
• Metodă: Notificare directă prin email
• Conținut: Natura încălcării, contact DPO, consecințe probabile, măsuri de atenuare, acțiuni recomandate

9.4 Documentare

Toate încălcările sunt documentate cu:

• Faptele încălcării, efectele și acțiunile reparatorii luate
• Menținute pentru inspecția de către ANSPDCP

10. Proceduri Exercitare Drepturi

10.1 Cum să Trimiteți Cereri

Pentru a exercita orice drepturi GDPR:

• Email: office@veluna.ro
• Subiect: "Cerere Drepturi GDPR - [Tipul Cererii]"
• Includeți: Numele complet, adresa email utilizată pentru cont, dreptul(drepturile) specific(e) pe care doriți să le exercitați

10.2 Verificarea Identității

Pentru a vă proteja datele, putem solicita verificarea identității înainte de îndeplinirea cererilor:

• Email de confirmare către adresa de email înregistrată
• Informații suplimentare pentru verificarea identității dacă este necesar
• NU vom solicita parole sau informații de plată

10.3 Termen de Răspuns

• Standard: În 1 lună (30 zile) de la primire
• Cereri Complexe: Până la 2 luni suplimentare cu notificare și explicație
• Probleme Urgente de Securitate: Răspuns prioritizat în 48-72 ore

10.4 Fără Taxă

Exercitarea drepturilor GDPR este GRATUITĂ. Putem percepe o taxă rezonabilă doar dacă cererile sunt:

• Manifest nefondate sau excesive
• Cereri repetitive pentru copii dincolo de prima

11. Protecția Datelor prin Design și Implicit

Implementăm principii de protecție a datelor de la început:

11.1 Confidențialitate prin Design

• Colectare minimă de date (doar ce este necesar)
• Setările implicite de confidențialitate favorizează confidențialitatea utilizatorului
• Măsuri de securitate integrate în dezvoltare
• Evaluări regulate de impact asupra confidențialității pentru funcționalități noi

11.2 Minimizarea Datelor

• Colectăm doar datele necesare pentru scopurile declarate
• Câmpurile opționale sunt clar marcate
• Ștergere automată a datelor temporare expirate (exporturi după 24h)

11.3 Limitarea Scopului

• Datele utilizate doar pentru scopurile dezvăluite
• Fără redestinare fără temei legal nou sau consimțământ
• Comunicare clară despre motivul pentru care avem nevoie de fiecare element de date

12. Categorii Speciale de Date

12.1 Date Sensibile pe Care le Procesăm

Putem procesa categorii speciale de date personale conform Articolului 9 GDPR:

• Date Sănătate: Preferințe masă și restricții dietetice (pot dezvălui condiții de sănătate) - procesate cu consimțământ explicit pentru scopuri de planificare evenimente
• Date Copii: Informațiile invitaților pot include minori sub 16 ani - procesate cu reprezentarea autorității/consimțământului parental de la organizatorul evenimentului

12.2 Măsuri de Protecție pentru Categorii Speciale

• Măsuri îmbunătățite de securitate
• Acces restricționat doar la personalul esențial
• Prioritate ștergere când evenimentul se încheie sau contul este șters
• Nu partajate cu terți cu excepția furnizorilor de servicii obligați prin DPA

13. Autoritate de Supraveghere și Plângeri

13.1 Autoritatea de Supraveghere Română

Autoritatea noastră principală de supraveghere:

• Nume: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
• Website: www.dataprotection.ro
• Email: anspdcp@dataprotection.ro
• Telefon: +40 21 252 5599
• Adresă: B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București, 010322, România

13.2 Cum să Depuneți o Plângere

Pasul 1 - Contactați-ne Mai Întâi (Recomandat):

• Email: office@veluna.ro
• Subiect: "Plângere GDPR"
• Vom investiga și răspunde în 30 zile

Pasul 2 - Depuneți la ANSPDCP:

• Trimiteți plângerea prin site-ul ANSPDCP sau poștă
• Includeți: Detaliile dumneavoastră de contact, descrierea plângerii, dovezi, rezultatul dorit
• ANSPDCP va investiga și ne poate contacta

Dreptul Dumneavoastră: Puteți depune o plângere la ANSPDCP sau orice autoritate de supraveghere UE oricând, chiar înainte de a ne contacta.

14. Utilizatori Internaționali

14.1 Rezidenți SEE/UE

Se aplică protecție completă GDPR. Toate drepturile din această politică vă sunt disponibile.

14.2 Utilizatori Non-SEE

Deși GDPR se aplică în principal rezidenților SEE, extindem protecțiile la nivel GDPR către toți utilizatorii din întreaga lume ca pe o bună practică.

15. Protecția Datelor Copiilor

15.1 Cerințe de Vârstă

• Platforma nu este destinată copiilor sub 16 ani
• Crearea contului necesită vârsta de 16 ani sau mai mult
• Listele de invitați pot include date ale copiilor (nume, grupe de vârstă, preferințe masă)

15.2 Reprezentarea Consimțământului Parental

Când organizatorii de evenimente adaugă copii sub 16 ani ca invitați, ei declară că:

• Au autoritate părintească sau au obținut consimțământ parental
• Procesarea este necesară pentru scopuri de planificare evenimente
• Datele copiilor sunt minime (prenume, nume, grupă vârstă, preferință masă)

15.3 Protecție Îmbunătățită

• Fără colectare directă de la copii
• Date șterse imediat când evenimentul este șters
• Nu utilizate pentru scopuri secundare
• Nu partajate dincolo de furnizorii necesari de servicii

16. Actualizări ale acestei Politici

Putem actualiza această politică GDPR pentru a reflecta:

• Modificări în activitățile de procesare date
• Cerințe legale noi
• Îndrumări de la autoritățile de supraveghere
• Dezvoltări ale bunelor practici

Notificare Modificări Materiale:

• Email către toți utilizatorii
• Notificare în aplicație
• Perioadă de preaviz de 30 zile înainte ca modificările să intre în vigoare (unde este posibil)

17. Contact și Informații Suplimentare

17.1 Ofițer Protecția Datelor

• Email: office@veluna.ro
• Subiect: "Atenție: DPO" sau "Întrebare GDPR"
• Timp de Răspuns: 5 zile lucrătoare pentru întrebări, 30 zile pentru cereri de drepturi

17.2 Contact General

• Suport: support@veluna.ro
• Birou: office@veluna.ro
• Adresă: [Adresa Legală a Companiei - Va fi adăugată]
• Program: Luni-Vineri, 9:00-18:00 (ora României / EET)

17.3 Referințe de Reglementare

• GDPR: Regulamentul (UE) 2016/679
• Implementare Română: Legea 190/2018
• ePrivacy: Directiva 2002/58/CE (modificată)
• Protecția Consumatorului: Legea 296/2004, OUG 34/2014

Această politică demonstrează angajamentul Veluna față de conformitatea GDPR și protejarea drepturilor dumneavoastră fundamentale la confidențialitate și protecția datelor.

Versiunea documentului: 2.0