Politica de Confidențialitate

1.1. Pentru utilizarea Platformei, Echipa Glamingo acționează ca operator pentru datele conturilor, jurnalizare și analitică.

1.2. Pentru datele de programare, Glamingo și Profesionistul acționează ca operatori independenți ai propriilor seturi de date. Glamingo stabilește în mod independent mijloacele și scopurile prelucrării datelor de pe Platformă (structura datelor, notificări, stocare, securitate). Profesionistul este operator independent pentru datele pe care le primește și le folosește în relația directă cu Clientul.

Contact pentru protecția datelor:
Email: [email protected]

Operator: Munteanu Flavius-Ioan, Timișoara, România. La lansarea oficială vom publica datele societății comerciale (denumire, CUI, sediu social).

2.1. Date furnizate de dvs.: nume, email, parolă (gestionată securizat de Supabase Auth), detalii afacere (pentru Profesioniști, inclusiv telefon de contact), servicii, prețuri, orar, fotografii, recenzii.

2.2. Date tehnice/folosire: IP, agent browser, limbă, pagini vizitate, căutări, interacțiuni (prin PostHog), loguri de securitate și aplicație (prin Axiom), erori și sesiuni de debugging (prin Sentry, cu reluare anonimizată a sesiunilor în caz de eroare). Logurile server includ identificator de cerere (requestId) pentru suport tehnic.

2.3. De la terți (opțional): Google Login - nume, email, avatar.

Când vă autentificați cu Google, Politica de Confidențialitate și Termenii și Condițiile Google se aplică și datelor prelucrate de Google.

• Executarea contractului: creare cont, programări, notificări, facturare abonamente.
• Interes legitim: securitate, prevenirea abuzurilor, îmbunătățirea serviciilor (analize agregate și minim invazive).
• Consimțământ: cookie-urile/identificatorii de analiză (unde este necesar), marketing (la înscriere explicită).
• Obligații legale: facturare și contabilitate pentru Profesioniști.

Administrarea conturilor; intermediere programări; trimitere emailuri (confirmări, reminder-e); afișarea profilelor Profesioniștilor; recenzii; asigurarea securității; analize de utilizare pentru îmbunătățiri; respectarea obligațiilor legale.

5.1. Procesatori:

• Supabase – autentificare și bază de date (date în UE/SEE sau cu SCC).
• PostHog – analitică (instanță EU Cloud).
• Sentry – monitorizare erori și performanță, cu posibilitate de reluare sesiuni pentru debugging (date în UE sau cu SCC).
• Axiom – agregare loguri server pentru debugging și monitorizare (date în UE).
• Railway – hosting aplicație și baze de date (Frankfurt, UE).
• Resend – trimitere email.
• Stripe – procesare plăți pentru abonamentele Profesioniștilor (certificat PCI DSS Level 1, date în UE sau cu SCC).
• Cloudflare R2 – stocare cloud pentru imaginile încărcate de utilizatori (regiune UE).
• AWS SNS – trimitere SMS tranzacțional pentru verificarea numărului de telefon (regiune UE).
• AWS S3 – stocarea criptată a copiilor de siguranță ale bazei de date (Frankfurt, UE).

Temei juridic per procesator (Art. 6 GDPR):

• Supabase (autentificare/bază de date): Executarea contractului (Art. 6(1)(b)).
• PostHog (analitică): Consimțământ (Art. 6(1)(a)).
• Sentry (monitorizare erori): Interes legitim (Art. 6(1)(f)).
• Stripe (plăți): Executarea contractului (Art. 6(1)(b)).
• Axiom (loguri): Interes legitim (Art. 6(1)(f)).
• Resend (email): Executarea contractului (Art. 6(1)(b)).
• Railway (hosting): Executarea contractului (Art. 6(1)(b)).
• Cloudflare R2 (stocare cloud): Executarea contractului (Art. 6(1)(b)).
• AWS SNS (SMS): Executarea contractului (Art. 6(1)(b)) - verificarea telefonului este necesară pentru publicarea salonului.
• AWS S3 (Frankfurt, UE): Stocarea criptată a copiilor de siguranță ale bazei de date - Interes legitim (Art. 6(1)(f) GDPR).

5.2. Între utilizatori: Doar proprietarul afacerii (Profesionistul) vede numele și emailul Clientului pentru gestionarea programărilor (identificare client și comunicare legată de programare). Membrii echipei (lucrători) nu au acces la emailul Clientului în aplicație. Clienții văd datele publice ale Profesionistului (inclusiv telefonul afacerii).

5.3. Autorități: La solicitare legală (ex. ANAF/instanțe).

5.4. Transferuri în afara UE/SEE: doar cu garanții adecvate (SCC/Derogări) și informare.

• Conturi: până la ștergerea contului sau la cerere GDPR.
• Programări/istoric: păstrate 3 ani după finalizare pentru soluționarea disputelor, apoi anonimizate. Ștergerea anticipată este disponibilă la cerere GDPR.
• Facturi Profesioniști: 10 ani (obligație fiscală - va fi aplicabil după lansarea oficială).
• Loguri securitate/IP: păstrate conform politicii de retenție a furnizorului (Axiom) și/sau cât este necesar pentru securitate și prevenirea fraudelor.
• Evenimente analitice: colectate doar cu consimțământ; retenție conform politicii PostHog.

Toate datele cu caracter personal sunt stocate în Uniunea Europeană (UE) / Spațiul Economic European (SEE), în conformitate cu cerințele GDPR.

TLS peste tot; autentificare gestionată de Supabase Auth (furnizor de identitate specializat); criptare la nivel de infrastructură (stocare și backup-uri criptate); acces limitat; audit trail; backup și plan de disaster-recovery. Nicio metodă nu e 100% sigură; folosim măsuri rezonabile comercial.

În cazul unei încălcări a securității datelor cu caracter personal, vom notifica Autoritatea (ANSPDCP) în termen de 72 de ore conform Art. 33 GDPR și, dacă riscul pentru drepturile dvs. este ridicat, vă vom informa direct conform Art. 34 GDPR.

Aveți următoarele drepturi conform GDPR:

• Acces: să solicitați o copie a datelor pe care le deținem despre dumneavoastră.
• Rectificare: să corectați date inexacte.
• Ștergere („dreptul de a fi uitat”): să cereți ștergerea datelor (cu excepții legale).
• Restricționare: să solicitați suspendarea temporară a prelucrării.
• Portabilitate: să exportați datele într-un format structurat.
• Opoziție: să vă opuneți prelucrării bazate pe interese legitime (inclusiv profilare minimă pentru analitică).
• Retragerea consimțământului: pentru cookie-uri de analiză, puteți retrage consimțământul oricând.

Cum vă exercitați drepturile:

Prin email la: [email protected]

Vom răspunde la solicitarea dumneavoastră în maximum 30 de zile.

Dreptul de a depune o plângere: Dacă considerați că v-am încălcat drepturile, puteți depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP):

Website: www.dataprotection.ro
Email: [email protected]

Puteți solicita ștergerea completă a contului și a datelor dvs. personale în următoarele moduri:

• Din aplicație: Accesați pagina de Profil sau Setări și selectați opțiunea „Șterge contul”
• Prin email: Trimiteți o solicitare la [email protected] cu subiectul „Ștergere cont”

La primirea solicitării, vom șterge sau anonimiza datele dvs. în termen de 30 de zile, cu excepția datelor pe care suntem obligați legal să le păstrăm (de ex., facturi pentru obligații fiscale).

Recenziile pe care le-ați scris vor fi păstrate în formă anonimizată (numele și datele dvs. personale sunt eliminate, dar textul recenziei și ratingul rămân vizibile). Acest lucru ajută la menținerea integrității și utilității sistemului de recenzii pentru ceilalți utilizatori.

Dacă v-ați autentificat folosind Google, ștergerea contului Glamingo nu afectează contul dvs. Google, ci doar datele stocate în platforma noastră.

Serviciul este pentru persoane 16+; dacă primim date ale minorilor fără consimțământul părintelui/tutorelui, le ștergem prompt.

Putem actualiza această Politică periodic. Modificările vor fi publicate pe această pagină cu data actualizării. Modificările semnificative vor fi comunicate prin email sau notificare în Platformă.

Pentru orice întrebări legate de această Politică de Confidențialitate sau pentru a vă exercita drepturile GDPR, ne puteți contacta la:

Email: [email protected]

Operator: Munteanu Flavius-Ioan, Timișoara, România. La lansare vom publica datele DPO/Responsabil confidențialitate (dacă este desemnat).