Politică de Confidențialitate
Cum colectăm, folosim și protejăm datele tale personale
Versiune 2.1 · în vigoare din 05.07.2026 · conform GDPR (Regulamentul UE 2016/679) Actualizat: analize aplicație (PostHog), notificări push (Expo), plăți Stripe, rol Event Manager, SAL/ANPCAceastă politică acoperă atât site-ul upeventi.ro, cât și aplicația mobilă UpEventi (iOS). În aplicație: sesiunea este menținută prin token-uri (JWT) salvate criptat pe dispozitivul tău; dacă activezi notificările push, stocăm token-ul de push al dispozitivului (îl ștergem la logout sau la dezactivarea notificărilor); evenimentele de utilizare sunt măsurate conform secțiunii 4 (PostHog, găzduire UE).
- Operatorul de date
- Ce date colectăm
- De ce le colectăm (temei legal)
- Cui le transmitem · 4A. Date despre alte persoane
- Cât timp le păstrăm
- Transferuri în afara UE
- Drepturile tale GDPR
- Securitatea datelor
- Cookies și tehnologii similare
- Date despre minori
- Decizii automate și profilare
- Modificări ale politicii
- Contact protecția datelor
1. Operatorul de date
Operatorul datelor cu caracter personal colectate prin platforma UpEventi este:
- HIGHLIFE ESTATE SRL
- Sediul social: Str. Sfinților 7, Et. 1, Cam. 1, Sectorul 2, București, 021063
- Înregistrată la Registrul Comerțului: J2022013837406
- CUI: 46502439 (EUID: ROONRC.J2022013837406)
- Email: [email protected]
2. Ce date colectăm
2.1. Date pe care ni le oferi direct
| Categorie | Exemple | Când |
|---|---|---|
| Identitate | nume, prenume, fotografie profil | la creare cont |
| Contact | email, telefon, adresă | la creare cont / la actualizare profil |
| Cont | parolă (hash bcrypt, nu textul în clar) | la creare cont |
| Furnizor — date fiscale | CUI/CIF, IBAN, denumire firmă, județ, oraș | la onboarding furnizor |
| Furnizor — conținut comercial | descrieri servicii, fotografii, prețuri, pachete | la actualizare profil |
| Comunicare | mesaje trimise/primite prin Platformă, atașamente | la utilizarea funcției de chat |
| Eveniment | date despre evenimentul tău (dată, locație, buget, număr invitați) | la creare cerere/proiect |
| Plată | date factură; procesarea cardului se face de procesatorul autorizat, NU stocăm date card | la plata abonamentului |
| Recenzii | nota și textul recenziei, afișate public cu numele tău de profil | la publicarea unei recenzii |
| Invitați & RSVP | nume invitat, telefon, meniu ales, preferințe alimentare, transport, mesaj | când un invitat completează linkul de invitație |
| CRM / agendă clienți | datele clienților tăi: nume, email, telefon, companie, note, documente emise | când le introduci tu în Platformă (vezi secțiunea 4A) |
| Notificări push | token-ul de push al dispozitivului tău | când activezi notificările în aplicație |
| Suport | mesajele trimise echipei de suport | când ne scrii |
2.2. Date colectate automat
- Adresa IP (păstrată anonimizată după 30 zile)
- Tipul browserului și sistemul de operare
- Pagini vizitate, durată, surse de trafic; în aplicația mobilă — evenimente de utilizare măsurate prin PostHog (vezi secțiunea 4)
- Cookies — vezi Politica Cookies
2.3. Date primite de la terți
Dacă te autentifici prin Google sau Apple (în aplicația mobilă), primim de la aceștia: identificatorul contului, numele și adresa de email (la Apple poate fi o adresă de tip „relay” care îți ascunde emailul real — o respectăm ca atare). Nu primim parola ta Google/Apple și nu postăm nimic în numele tău.
3. De ce le colectăm (temei legal)
| Scop | Temei legal (GDPR art. 6) |
|---|---|
| Crearea și gestionarea contului tău | Executarea contractului (art. 6.1.b) |
| Conectarea ta cu Furnizori / Clienți, facilitarea comunicării | Executarea contractului (art. 6.1.b) |
| Procesarea plăților, emitere facturi | Executarea contractului + obligație legală fiscală (art. 6.1.b + 6.1.c) |
| Comunicări tranzacționale (resetare parolă, OTP, notificări cont) | Executarea contractului (art. 6.1.b) |
| Comunicări de marketing (newsletter) | Consimțământ (art. 6.1.a), retragibil oricând |
| Securitate, prevenire fraudă, log-uri | Interes legitim (art. 6.1.f) |
| Analize și îmbunătățirea Platformei (date agregate, anonimizate) | Interes legitim (art. 6.1.f) |
| Conformare cu solicitări autorități (instanțe, ANAF, ANSPDCP, etc.) | Obligație legală (art. 6.1.c) |
4. Cui le transmitem
UpEventi NU vinde datele tale personale. Le partajăm strict cu:
- Furnizori cu care interacționezi — pentru a-ți răspunde și presta serviciul (doar datele necesare: nume, email, telefon, detalii eveniment)
- Clienți cu care interacționezi (în cazul Furnizorilor) — analog
- Furnizori de servicii IT (procesatori):
- Hetzner Online GmbH (Germania) — găzduire server, contract conform GDPR
- Stripe (Stripe Payments Europe, Ltd.): procesarea plăților online atunci când achiți un abonament. Datele cardului sunt gestionate exclusiv de Stripe, nu de noi.
- Furnizorul nostru de găzduire și email: pentru trimiterea emailurilor tranzacționale (confirmări de cont, notificări, resetare parolă) prin serverul de email asociat platformei.
- PostHog (PostHog Inc., găzduire pe servere în UE — regiunea EU Cloud): analiza utilizării aplicației mobile (ecrane vizitate, acțiuni în aplicație), asociată unui identificator de utilizator pseudonim. Nu colectăm prin PostHog date de card sau conținutul mesajelor. Pe site-ul web nu folosim în prezent instrumente de analiză terțe.
- Expo (Expo, Inc., SUA) — livrarea notificărilor push în aplicația mobilă. Expo primește token-ul de push al dispozitivului tău și conținutul notificării. Transferul este protejat prin Clauze Contractuale Standard (SCC).
- Cloudflare, Inc. — rețea de distribuție (CDN), securitate și protecție anti-atac pentru site. Cloudflare procesează adrese IP și date tehnice de trafic; transferurile sunt acoperite de certificarea Data Privacy Framework UE–SUA.
- Autorități publice — doar la solicitare legală scrisă, cu temei (ex: instanțe, parchet, ANAF, ANSPDCP)
- Consilieri juridici, contabili, auditori — în limita necesară
Toți partenerii noștri semnează clauze contractuale de protecție a datelor (Data Processing Agreement — DPA) conform art. 28 GDPR.
4A. Date introduse de utilizatori despre alte persoane (rol de persoană împuternicită)
Anumite funcționalități (CRM-ul de furnizor, agenda de clienți a Event Managerilor, lista de invitați și RSVP, documentele generate — oferte, contracte, facturi) îți permit să stochezi date personale ale altor persoane (clienții sau invitații tăi): nume, email, telefon, detalii eveniment, preferințe de meniu.
Pentru aceste date, tu ești operatorul, iar UpEventi acționează ca persoană împuternicită (art. 28 GDPR): le stocăm și le procesăm doar la instrucțiunile tale (inclusiv trimiterea, în numele tău, a unor mesaje legate de eveniment — de exemplu cererea de recenzie către un client cu care ai finalizat o lucrare), nu le folosim în scopuri proprii și le ștergem când le ștergi tu sau când îți ștergi contul. Tu garantezi că ai un temei legal pentru a introduce aceste date în Platformă. Acest capitol ține loc de acord de prelucrare (DPA) între tine și UpEventi.
5. Cât timp le păstrăm
| Tip de date | Perioadă păstrare |
|---|---|
| Date cont activ | cât timp contul este activ |
| Date cont după ștergere | anonimizare imediată; conversațiile asociate sunt șterse la ștergerea contului; copiile din backup dispar în maximum 30 de zile |
| Mesaje pe Platformă (furnizor–client) | 12 luni de la ultima activitate, apoi ștergere automată |
| Date facturare (obligație fiscală) | 10 ani (conform Codului Fiscal) |
| Log-uri de autentificare și securitate | 30 zile |
| IP-uri trafic | 30 zile (apoi anonimizate) |
| Cookies marketing | conform Politicii Cookies |
| Mesaje suport (client–administrator) | 12 luni de la ultima activitate, apoi ștergere automată |
| Date CRM, invitați (RSVP), documente generate | până le ștergi tu sau la ștergerea contului |
| Token-uri push (notificări) | până la logout sau dezactivarea notificărilor |
6. Transferuri în afara UE
Datele tale sunt stocate exclusiv pe servere în UE (Germania — Hetzner, sau alt furnizor EU). Excepții:
- Notificările push sunt livrate prin Expo (SUA), iar traficul web trece prin Cloudflare (SUA) — transferuri protejate prin Clauze Contractuale Standard (SCC), respectiv certificarea Data Privacy Framework UE–SUA
- Orice transfer extra-UE este protejat prin Clauze Contractuale Standard (SCC) aprobate de Comisia Europeană
7. Drepturile tale GDPR
Indiferent unde te afli în UE, ai următoarele drepturi:
- Dreptul de acces (art. 15) — să afli ce date avem despre tine
- Dreptul de rectificare (art. 16) — să corectezi datele inexacte
- Dreptul la ștergere („dreptul de a fi uitat", art. 17) — să-ți ștergem datele, în limita obligațiilor legale
- Dreptul la restricționare (art. 18) — să suspendăm temporar procesarea
- Dreptul la portabilitate (art. 20) — să primești datele într-un format structurat (JSON/CSV) și/sau să le transmitem altui operator
- Dreptul de opoziție (art. 21) — la procesarea bazată pe interes legitim sau marketing
- Dreptul de a-ți retrage consimțământul oricând, fără efect retroactiv
- Dreptul de a nu fi supus deciziilor automate cu efect juridic semnificativ (art. 22)
Pentru a-ți exercita drepturile, trimite-ne un email la [email protected]. Vom răspunde în maxim 30 zile (extensibil cu 60 zile la cazuri complexe, cu notificare).
Răspuns gratuit
Răspunsul este gratuit pentru prima solicitare. La solicitări repetate, vădit nefundate sau excesive, putem percepe o taxă rezonabilă sau refuza, conform GDPR.
Plângeri la autoritate
Dacă consideri că-ți încălcăm drepturile, ai dreptul să te adresezi Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP): dataprotection.ro.
8. Securitatea datelor
Implementăm măsuri tehnice și organizatorice rezonabile, raportat la nivelul de risc:
- Conexiuni HTTPS (TLS 1.3) pe toate paginile
- Parolele sunt hash-uite cu bcrypt cost 13, niciodată stocate în clar
- Acces la baza de date limitat strict — doar personalul autorizat, cu logare
- Backup zilnic al bazei de date, păstrat maximum 30 de zile, stocat pe infrastructură în UE, cu acces restricționat
- Server-firewall (CSF/iptables), filtrare brute-force, IP rate limit
- Monitorizare 24/7 a serverului
- Politici interne de access control și actualizări periodice
Notificare în caz de breșă
Dacă apare o breșă de securitate care îți poate afecta datele, vom notifica ANSPDCP în maxim 72 ore și, dacă riscul e ridicat, te vom notifica și pe tine direct prin email.
9. Cookies și tehnologii similare
Folosim cookies pentru funcționarea Platformei, analize și (cu consimțământul tău) marketing. Detalii complete în Politica Cookies. Poți gestiona consimțământul oricând din bannerul de cookies.
10. Date despre minori
Platforma nu este destinată persoanelor sub 16 ani. Dacă suntem notificați că un cont a fost creat de un minor sub 16 ani fără acordul parental, îl vom șterge prompt. Părinții/tutorii pot contacta [email protected] pentru solicitări.
11. Decizii automate și profilare
Nu luăm decizii automate cu efect juridic semnificativ asupra ta. Putem afișa Furnizori într-o ordine bazată pe relevanță (text căutare, rating, distanță geografică), dar acest „rank" nu produce efecte legale. La cerere, îți putem explica parametrii folosiți.
12. Modificări ale politicii
Putem actualiza această Politică periodic. Modificările substanțiale vor fi anunțate cu minimum 30 zile înainte, prin email și banner. Versiunile anterioare pot fi solicitate oricând la [email protected].
13. Contact
Contact pentru protecția datelor
Email: [email protected]
Scrisoare: HIGHLIFE ESTATE SRL, în atenția responsabilului pentru protecția datelor, Str. Sfinților 7, Et. 1, Cam. 1, Sectorul 2, București, 021063
Autoritatea de Supraveghere
ANSPDCP — B-dul G-ral Gheorghe Magheru nr. 28-30, Sector 1, București
dataprotection.ro · email: [email protected]
© UpEventi. Vezi și Termeni și Condiții · Politica Cookie · Termeni Furnizori