Politica de Confidențialitate

1.1. Pentru utilizarea Platformei, MFX TECH SRL acționează ca operator pentru datele conturilor, jurnalizare și analitică.

1.2. Pentru datele de programare, Glamingo și Profesionistul acționează ca operatori independenți ai propriilor seturi de date. Glamingo stabilește în mod independent mijloacele și scopurile prelucrării datelor de pe Platformă (structura datelor, notificări, stocare, securitate). Profesionistul este operator independent pentru datele pe care le primește și le folosește în relația directă cu Clientul.

Contact pentru protecția datelor:
Email: [email protected]

Operator: MFX TECH SRL, CUI 54598613, Nr. Reg. Com. J2026028836001, EUID ROONRC.J2026028836001, sediu social în Str. Alexandru Astalas 43, Et. D, Ap. SAD 2, Cod 305500, Lugoj, Timiș, România.

2.1. Date furnizate de dvs.: nume, email, parolă (gestionată securizat de Supabase Auth), detalii afacere (pentru Profesioniști, inclusiv telefon de contact), servicii, prețuri, orar, fotografii, recenzii.

2.2. Date tehnice/folosire: IP, agent browser, limbă, pagini vizitate, căutări, interacțiuni (prin PostHog), loguri de securitate și aplicație (prin Axiom), erori și sesiuni de debugging (prin Sentry, cu reluare anonimizată a sesiunilor în caz de eroare). Logurile server includ identificator de cerere (requestId) pentru suport tehnic.

2.3. De la terți (opțional): Google Login - nume, email, avatar.

Când vă autentificați cu Google, Politica de Confidențialitate și Termenii și Condițiile Google se aplică și datelor prelucrate de Google.

• Executarea contractului: creare cont, programări, notificări, facturare abonamente.
• Interes legitim: securitate, prevenirea abuzurilor, îmbunătățirea serviciilor (analize agregate și minim invazive).
• Consimțământ: cookie-urile/identificatorii de analiză (unde este necesar), marketing (la înscriere explicită).
• Obligații legale: facturare și contabilitate pentru Profesioniști.

Administrarea conturilor; intermediere programări; trimitere emailuri (confirmări, reminder-e); afișarea profilelor Profesioniștilor; recenzii; asigurarea securității; analize de utilizare pentru îmbunătățiri; respectarea obligațiilor legale.

5.1. Procesatori:

• Supabase – autentificare și bază de date (date în UE/SEE sau cu SCC).
• PostHog – analitică (instanță EU Cloud).
• Sentry – monitorizare erori și performanță, cu posibilitate de reluare sesiuni pentru debugging (date în UE sau cu SCC).
• Axiom – agregare loguri server pentru debugging și monitorizare (date în UE).
• Railway – hosting aplicație și baze de date (Frankfurt, UE).
• Resend – trimitere email prin Resend. Amazon SES este configurat ca furnizor inactiv și nu este folosit pentru trimitere email în producție decât dacă este activat explicit.
• Stripe – procesare plăți pentru abonamentele Profesioniștilor (certificat PCI DSS Level 1, date în UE sau cu SCC).
• Cloudflare R2 – stocare cloud pentru imaginile încărcate de utilizatori (regiune UE).
• Twilio Verify – trimitere SMS tranzacțional pentru verificarea numărului de telefon (regiune UE).
• AWS S3 – stocarea criptată a copiilor de siguranță ale bazei de date (Frankfurt, UE).
• Google LLC – autentificare opțională prin Google Login.
• Firebase Cloud Messaging – notificări push Android planificate prin Firebase Cloud Messaging; inactive până când notificările native prelucrează date reale ale utilizatorilor.
• Apple Push Notification service – notificări push iOS planificate prin Apple Push Notification service; inactive până când notificările native prelucrează date reale ale utilizatorilor.

Temei juridic per procesator (Art. 6 GDPR):

• Supabase (autentificare/bază de date): Executarea contractului (Art. 6(1)(b)).
• PostHog (analitică): Consimțământ (Art. 6(1)(a)).
• Sentry (monitorizare erori): Interes legitim (Art. 6(1)(f)).
• Stripe (plăți): Executarea contractului (Art. 6(1)(b)).
• Axiom (loguri): Interes legitim (Art. 6(1)(f)).
• Resend (email): Executarea contractului (Art. 6(1)(b)).
• Railway (hosting): Executarea contractului (Art. 6(1)(b)).
• Cloudflare R2 (stocare cloud): Executarea contractului (Art. 6(1)(b)).
• Twilio Verify (SMS): Executarea contractului (Art. 6(1)(b)) - verificarea telefonului este necesară pentru programări protejate și publicarea salonului.
• AWS S3 (Frankfurt, UE): Stocarea criptată a copiilor de siguranță ale bazei de date - Interes legitim (Art. 6(1)(f) GDPR).
• Google LLC (Google Login): Consimțământ / acțiune explicită de autentificare (Art. 6(1)(a)) și executarea contractului după conectare (Art. 6(1)(b)).
• Firebase Cloud Messaging / Google (notificări push Android): Executarea contractului (Art. 6(1)(b)) pentru notificări tranzacționale și consimțământul dispozitivului pentru push.
• Apple Push Notification service (notificări push iOS): Executarea contractului (Art. 6(1)(b)) pentru notificări tranzacționale și consimțământul dispozitivului pentru push.

5.2. Între utilizatori: Doar proprietarul afacerii (Profesionistul) vede numele și emailul Clientului pentru gestionarea programărilor (identificare client și comunicare legată de programare). Membrii echipei (lucrători) nu au acces la emailul Clientului în aplicație. Clienții văd datele publice ale Profesionistului (inclusiv telefonul afacerii).

5.3. Autorități: La solicitare legală (ex. ANAF/instanțe).

5.4. Transferuri în afara UE/SEE: doar cu garanții adecvate (SCC/Derogări) și informare.

5.5. Modificări ale procesatorilor: Dacă adăugăm un procesator nou care schimbă substanțial modul de prelucrare, vom actualiza această Politică înainte de utilizarea lui pentru date reale ale utilizatorilor și vom informa utilizatorii prin Platformă/email când legea sau riscul o cere.

• Conturi: până la ștergerea contului sau la cerere GDPR.
• Programări/istoric: păstrate 3 ani după finalizare pentru soluționarea disputelor, apoi anonimizate. Ștergerea anticipată este disponibilă la cerere GDPR.
• Facturi Profesioniști: 10 ani (obligație fiscală - va fi aplicabil după lansarea oficială).
• Loguri securitate/IP: păstrate conform politicii de retenție a furnizorului (Axiom) și/sau cât este necesar pentru securitate și prevenirea fraudelor.
• Evenimente analitice: colectate doar cu consimțământ; retenție conform politicii PostHog.

Toate datele cu caracter personal sunt stocate în Uniunea Europeană (UE) / Spațiul Economic European (SEE), în conformitate cu cerințele GDPR.

TLS peste tot; autentificare gestionată de Supabase Auth (furnizor de identitate specializat); criptare la nivel de infrastructură (stocare și backup-uri criptate); acces limitat; audit trail; backup și plan de disaster-recovery. Nicio metodă nu e 100% sigură; folosim măsuri rezonabile comercial.

În cazul unei încălcări a securității datelor cu caracter personal, vom notifica Autoritatea (ANSPDCP) în termen de 72 de ore conform Art. 33 GDPR și, dacă riscul pentru drepturile dvs. este ridicat, vă vom informa direct conform Art. 34 GDPR.

Aveți următoarele drepturi conform GDPR:

• Acces: să solicitați o copie a datelor pe care le deținem despre dumneavoastră.
• Rectificare: să corectați date inexacte.
• Ștergere („dreptul de a fi uitat”): să cereți ștergerea datelor (cu excepții legale).
• Restricționare: să solicitați suspendarea temporară a prelucrării.
• Portabilitate: să exportați datele într-un format structurat.
• Opoziție: să vă opuneți prelucrării bazate pe interese legitime (inclusiv profilare minimă pentru analitică).
• Retragerea consimțământului: pentru cookie-uri de analiză, puteți retrage consimțământul oricând.

Cum vă exercitați drepturile:

Prin email la: [email protected]

Vom răspunde la solicitarea dumneavoastră în maximum 30 de zile.

Dreptul de a depune o plângere: Dacă considerați că v-am încălcat drepturile, puteți depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP):

Website: www.dataprotection.ro
Email: [email protected]

Glamingo nu ia decizii bazate exclusiv pe prelucrare automată care să producă efecte juridice asupra dvs. sau să vă afecteze semnificativ într-un mod similar.

Nu folosim datele utilizatorilor pentru antrenarea modelelor AI. Dacă vom introduce funcții AI care schimbă scopurile sau modul de prelucrare, vom actualiza această Politică înainte de lansarea lor.

Analitica de utilizare și profilarea minimă pentru îmbunătățirea Platformei se fac doar în limitele descrise în această Politică și, unde este necesar, numai cu consimțământul dvs.

Puteți solicita ștergerea completă a contului și a datelor dvs. personale în următoarele moduri:

• Din aplicație: Accesați pagina de Profil sau Setări și selectați opțiunea „Șterge contul”
• Prin email: Trimiteți o solicitare la [email protected] cu subiectul „Ștergere cont”

La primirea solicitării, vom șterge sau anonimiza datele dvs. în termen de 30 de zile, cu excepția datelor pe care suntem obligați legal să le păstrăm (de ex., facturi pentru obligații fiscale).

Recenziile pe care le-ați scris vor fi păstrate în formă anonimizată (numele și datele dvs. personale sunt eliminate, dar textul recenziei și ratingul rămân vizibile). Acest lucru ajută la menținerea integrității și utilității sistemului de recenzii pentru ceilalți utilizatori.

Dacă v-ați autentificat folosind Google, ștergerea contului Glamingo nu afectează contul dvs. Google, ci doar datele stocate în platforma noastră.

Serviciul este pentru persoane 16+; dacă primim date ale minorilor fără consimțământul părintelui/tutorelui, le ștergem prompt.

Putem actualiza această Politică periodic. Modificările vor fi publicate pe această pagină cu data actualizării. Modificările semnificative vor fi comunicate prin email sau notificare în Platformă.

Pentru orice întrebări legate de această Politică de Confidențialitate sau pentru a vă exercita drepturile GDPR, ne puteți contacta la:

Email: [email protected]

Operator: MFX TECH SRL, CUI 54598613, Nr. Reg. Com. J2026028836001, EUID ROONRC.J2026028836001, sediu social în Str. Alexandru Astalas 43, Et. D, Ap. SAD 2, Cod 305500, Lugoj, Timiș, România. Nu am desemnat un DPO separat; solicitările de confidențialitate pot fi trimise la [email protected].