Politică de Confidențialitate
Cum colectăm, folosim și protejăm datele tale personale
Versiune 2.0 · în vigoare din 26.05.2026 · conform GDPR (Regulamentul UE 2016/679)1. Operatorul de date
Operatorul datelor cu caracter personal colectate prin platforma UpEventi este:
- [NUME COMPANIE OPERATOR S.R.L.]
- Sediul social: [Adresa completă]
- Înregistrată la Registrul Comerțului: J__/____/____
- CUI: RO________
- Email: dpo@upeventi.com
2. Ce date colectăm
2.1. Date pe care ni le oferi direct
| Categorie | Exemple | Când |
|---|---|---|
| Identitate | nume, prenume, fotografie profil | la creare cont |
| Contact | email, telefon, adresă | la creare cont / la actualizare profil |
| Cont | parolă (hash bcrypt, nu textul în clar) | la creare cont |
| Furnizor — date fiscale | CUI/CIF, IBAN, denumire firmă, județ, oraș | la onboarding furnizor |
| Furnizor — conținut comercial | descrieri servicii, fotografii, prețuri, pachete | la actualizare profil |
| Comunicare | mesaje trimise/primite prin Platformă, atașamente | la utilizarea funcției de chat |
| Eveniment | date despre evenimentul tău (dată, locație, buget, număr invitați) | la creare cerere/proiect |
| Plată | date factură; procesarea cardului se face de procesatorul autorizat, NU stocăm date card | la plata abonamentului |
2.2. Date colectate automat
- Adresa IP (păstrată anonimizată după 30 zile)
- Tipul browserului și sistemul de operare
- Pagini vizitate, durată, surse de trafic — pentru analize anonimizate
- Cookies — vezi Politica Cookies
2.3. Date primite de la terți
Dacă te înregistrezi prin Google sau alt furnizor de autentificare (când va fi disponibil), primim numele, emailul și fotografia de profil din contul respectiv, conform politicii lui de partajare.
3. De ce le colectăm (temei legal)
| Scop | Temei legal (GDPR art. 6) |
|---|---|
| Crearea și gestionarea contului tău | Executarea contractului (art. 6.1.b) |
| Conectarea ta cu Furnizori / Clienți, facilitarea comunicării | Executarea contractului (art. 6.1.b) |
| Procesarea plăților, emitere facturi | Executarea contractului + obligație legală fiscală (art. 6.1.b + 6.1.c) |
| Comunicări tranzacționale (resetare parolă, OTP, notificări cont) | Executarea contractului (art. 6.1.b) |
| Comunicări de marketing (newsletter) | Consimțământ (art. 6.1.a), retragibil oricând |
| Securitate, prevenire fraudă, log-uri | Interes legitim (art. 6.1.f) |
| Analize și îmbunătățirea Platformei (date agregate, anonimizate) | Interes legitim (art. 6.1.f) |
| Conformare cu solicitări autorități (instanțe, ANAF, ANSPDCP, etc.) | Obligație legală (art. 6.1.c) |
4. Cui le transmitem
UpEventi NU vinde datele tale personale. Le partajăm strict cu:
- Furnizori cu care interacționezi — pentru a-ți răspunde și presta serviciul (doar datele necesare: nume, email, telefon, detalii eveniment)
- Clienți cu care interacționezi (în cazul Furnizorilor) — analog
- Furnizori de servicii IT (procesatori):
- Hetzner Online GmbH (Germania) — găzduire server, contract conform GDPR
- [Procesator plăți — Stripe / Mobilpay etc.] — la implementarea plăților
- [Furnizor SMTP — Brevo / Mailgun / SendGrid etc.] — trimitere emailuri tranzacționale
- Google Analytics (anonimizat) sau alternativă privacy-friendly — analize trafic
- Autorități publice — doar la solicitare legală scrisă, cu temei (ex: instanțe, parchet, ANAF, ANSPDCP)
- Consilieri juridici, contabili, auditori — în limita necesară
Toți partenerii noștri semnează clauze contractuale de protecție a datelor (Data Processing Agreement — DPA) conform art. 28 GDPR.
5. Cât timp le păstrăm
| Tip de date | Perioadă păstrare |
|---|---|
| Date cont activ | cât timp contul este activ |
| Date cont după ștergere | 30 zile (apoi anonimizare/ștergere) |
| Mesaje pe Platformă | 3 ani de la ultima activitate |
| Date facturare (obligație fiscală) | 10 ani (conform Codului Fiscal) |
| Log-uri de securitate | 12 luni |
| IP-uri trafic | 30 zile (apoi anonimizate) |
| Cookies marketing | conform Politicii Cookies |
| Email-uri suport | 2 ani |
6. Transferuri în afara UE
Datele tale sunt stocate exclusiv pe servere în UE (Germania — Hetzner, sau alt furnizor EU). Excepții:
- Dacă utilizezi un serviciu Google integrat (ex: Google Analytics) — Google poate procesa date în SUA, dar conform Data Privacy Framework UE-SUA aprobat în iulie 2023
- Orice transfer extra-UE este protejat prin Clauze Contractuale Standard (SCC) aprobate de Comisia Europeană
7. Drepturile tale GDPR
Indiferent unde te afli în UE, ai următoarele drepturi:
- Dreptul de acces (art. 15) — să afli ce date avem despre tine
- Dreptul de rectificare (art. 16) — să corectezi datele inexacte
- Dreptul la ștergere („dreptul de a fi uitat", art. 17) — să-ți ștergem datele, în limita obligațiilor legale
- Dreptul la restricționare (art. 18) — să suspendăm temporar procesarea
- Dreptul la portabilitate (art. 20) — să primești datele într-un format structurat (JSON/CSV) și/sau să le transmitem altui operator
- Dreptul de opoziție (art. 21) — la procesarea bazată pe interes legitim sau marketing
- Dreptul de a-ți retrage consimțământul oricând, fără efect retroactiv
- Dreptul de a nu fi supus deciziilor automate cu efect juridic semnificativ (art. 22)
Pentru a-ți exercita drepturile, trimite-ne un email la dpo@upeventi.com. Vom răspunde în maxim 30 zile (extensibil cu 60 zile la cazuri complexe, cu notificare).
Răspuns gratuit
Răspunsul este gratuit pentru prima solicitare. La solicitări repetate, vădit nefundate sau excesive, putem percepe o taxă rezonabilă sau refuza, conform GDPR.
Plângeri la autoritate
Dacă consideri că-ți încălcăm drepturile, ai dreptul să te adresezi Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP): dataprotection.ro.
8. Securitatea datelor
Implementăm măsuri tehnice și organizatorice rezonabile, raportat la nivelul de risc:
- Conexiuni HTTPS (TLS 1.3) pe toate paginile
- Parolele sunt hash-uite cu bcrypt cost 13, niciodată stocate în clar
- Acces la baza de date limitat strict — doar personalul autorizat, cu logare
- Backup zilnic criptat, păstrat 30 zile
- Server-firewall (CSF/iptables), filtrare brute-force, IP rate limit
- Monitorizare 24/7 a serverului
- Politici interne de access control și actualizări periodice
Notificare în caz de breșă
Dacă apare o breșă de securitate care îți poate afecta datele, vom notifica ANSPDCP în maxim 72 ore și, dacă riscul e ridicat, te vom notifica și pe tine direct prin email.
9. Cookies și tehnologii similare
Folosim cookies pentru funcționarea Platformei, analize și (cu consimțământul tău) marketing. Detalii complete în Politica Cookies. Poți gestiona consimțământul oricând din bannerul de cookies.
10. Date despre minori
Platforma nu este destinată persoanelor sub 16 ani. Dacă suntem notificați că un cont a fost creat de un minor sub 16 ani fără acordul parental, îl vom șterge prompt. Părinții/tutorii pot contacta dpo@upeventi.com pentru solicitări.
11. Decizii automate și profilare
Nu luăm decizii automate cu efect juridic semnificativ asupra ta. Putem afișa Furnizori într-o ordine bazată pe relevanță (text căutare, rating, distanță geografică), dar acest „rank" nu produce efecte legale. La cerere, îți putem explica parametrii folosiți.
12. Modificări ale politicii
Putem actualiza această Politică periodic. Modificările substanțiale vor fi anunțate cu minimum 30 zile înainte, prin email și banner. Versiunile anterioare rămân arhivate la arhivă.
13. Contact
Responsabil cu Protecția Datelor (DPO)
Email: dpo@upeventi.com
Scrisoare: [NUME COMPANIE], în atenția DPO, [Adresa sediului]
Autoritatea de Supraveghere
ANSPDCP — B-dul G-ral Gheorghe Magheru nr. 28-30, Sector 1, București
© UpEventi. Vezi și Termeni și Condiții · Politica Cookie · Termeni Furnizori