Politica de Confidențialitate

Operatorul de date cu caracter personal în sensul Regulamentului (UE) 2016/679 (GDPR) este:

Platforma Dimera (accesibilă la dimera.ro) este gestionată de Operator și prelucrează date cu caracter personal ale utilizatorilor și invitaților, conform prezentei politici.

Colectăm date din trei surse distincte:

2.1 Proprietarii de cont (utilizatori înregistrați)

• Nume complet — furnizat la înregistrare;
• Adresă de email — identificator de cont și canal de comunicare;
• Parolă — stocată exclusiv în formă criptată (hash bcrypt) prin Supabase Auth; nu avem acces la parola în clar;
• Date de eveniment — numele cuplului/organizatorului, data, tipul și locația evenimentului;
• Date de facturare — procesate și stocate de Stripe; nu stocăm date de card.

2.2 Invitați (fără cont propriu)

• Nume opțional — introdus voluntar înainte de upload pentru atribuirea fotografiilor;
• Fotografii și videoclipuri — încărcate voluntar prin QR / link;
• Mesaje guestbook — text, audio sau video lăsate voluntar;
• Date RSVP — nume, email (opțional), telefon (opțional), preferințe meniu, necesitate transport — furnizate voluntar prin formularul de RSVP;
• Adresă IP — utilizată exclusiv pentru limitarea abuzurilor (rate limiting); nu este stocată persistent.

2.3 Date tehnice

• Jurnale de server — timestamp, adresă IP, tip request, cod de răspuns — stocate standard de Vercel (platforma de hosting) timp de maxim 30 de zile;
• Identificator de browser (fingerprint local) — stocat exclusiv în localStorage-ul browserului tău, nu în baza noastră de date; utilizat pentru a preveni trimiterea multiplă a aceluiași conținut;
• Date sesiune — cookie de sesiune Supabase Auth (httpOnly, Secure), necesar pentru autentificarea în dashboard.

Prelucrăm datele tale cu caracter personal exclusiv în scopurile enumerate mai jos, pe baza unuia dintre temeiurile juridice prevăzute la art. 6 GDPR:

Nu prelucrăm datele tale în scopuri de marketing direct sau publicitate fără consimțământul tău explicit. Nu vindem, nu cedăm și nu schimbăm datele tale cu terți în scopuri comerciale proprii ale acelor terți.

• Date de cont (email, nume, profil): Pe durata existenței contului + 30 de zile după ștergere (perioadă de grație pentru recuperare accidentală).
• Date eveniment (fotografii, videoclipuri, mesaje, RSVP): Pe durata planului ales — 90 de zile pentru Esențial, 12 luni pentru Premium — sau până la ștergerea manuală de către Utilizator.
• Date de facturare: 10 ani (obligație legală conform Legii contabilității nr. 82/1991 și Codului fiscal).
• Jurnale de server: Maxim 30 de zile (stocate de Vercel).
• Date RSVP: Pe durata planului activ sau până la ștergerea de către Utilizator.
• Date sesiune (cookie auth): Până la delogare sau expirarea sesiunii (maxim 7 zile).

La expirarea perioadelor de mai sus, datele sunt șterse definitiv sau anonimizate ireversibil.

Datele tale pot fi transmise următorilor subcontractori de date, cu care am încheiat acorduri de prelucrare a datelor conform art. 28 GDPR:

Nu transferăm date cu caracter personal către alte țări terțe în afara celor de mai sus. Nu permitem niciunui terț să folosească datele tale în propriile scopuri comerciale.

Conform GDPR (art. 15–22), ai următoarele drepturi cu privire la datele tale cu caracter personal:

• Dreptul de acces (art. 15) — poți solicita o copie a datelor pe care le prelucrăm despre tine și informații despre modalitățile de prelucrare.
• Dreptul la rectificare (art. 16) — poți solicita corectarea datelor inexacte sau completarea datelor incomplete.
• Dreptul la ștergere — „dreptul de a fi uitat” (art. 17) — poți solicita ștergerea datelor tale atunci când nu mai sunt necesare scopului pentru care au fost colectate, când îți retragi consimțământul sau când te opui prelucrării. Ștergerea poate fi refuzată dacă prelucrarea este necesară pentru conformitate legală.
• Dreptul la restricționarea prelucrării (art. 18) — poți solicita suspendarea temporară a prelucrării în anumite situații (de ex., dacă contestezi exactitatea datelor).
• Dreptul la portabilitatea datelor (art. 20) — poți solicita datele tale în format structurat, utilizat în mod curent, lizibil automat (JSON/CSV). Aplicabil pentru datele furnizate cu consimțământul tău sau pe baza unui contract.
• Dreptul la opoziție (art. 21) — poți te opune prelucrării bazate pe interesul legitim al Operatorului. Vom respecta opoziția cu excepția cazului în care demonstrăm motive legitime imperioase.
• Drepturi privind decizia automată (art. 22) — ai dreptul de a nu fi supus unei decizii luate exclusiv automat care produce efecte juridice sau efecte semnificative similare. Moderarea automată Cloudinary AI este un instrument de asistență — decizia finală aparține Utilizatorului.
• Dreptul de retragere a consimțământului (art. 7(3)) — acolo unde prelucrarea se bazează pe consimțământul tău, îl poți retrage oricând, fără ca aceasta să afecteze legalitatea prelucrării anterioare.

Exercitarea drepturilor de mai sus este gratuită, cu excepția situațiilor în care solicitările sunt vădit nefondate, repetitive sau excesive, caz în care putem refuza să acționăm sau putem percepe o taxă rezonabilă.

Utilizăm un număr minim de mecanisme de stocare locală, exclusiv necesare funcționării platformei:

• Cookie de sesiune Supabase Auth (sb-*) — cookie httpOnly, Secure, necesar pentru menținerea sesiunii autentificate în dashboard. Nu conține date personale sensibile. Expiră la delogare sau după 7 zile de inactivitate.
• Consimțământ cookie banner (adn_cookie_consent) — stocat în localStorage al browserului, reține preferința ta privind banner-ul de informare. Nu conține date personale.
• Fingerprint browser (localStorage) — identificator local generat pentru prevenirea upload-urilor duplicate; nu este transmis la serverul nostru și nu este utilizat pentru tracking sau publicitate.

Nu utilizăm: Google Analytics, Facebook Pixel, cookie-uri publicitare, cookie-uri de terți pentru tracking sau retargeting, sau orice alt instrument de urmărire a comportamentului pe alte site-uri.

Cookie-urile noastre se încadrează în categoria „strict necesare”, pentru care consimțământul nu este obligatoriu conform Legii nr. 506/2004 și Directivei ePrivacy. Banner-ul de informare este afișat din rațiuni de transparență.

Nu utilizăm profilare automată sau luare de decizii exclusiv automatizate care să producă efecte juridice sau efecte semnificative similare asupra utilizatorilor.

Platforma Cloudinary utilizează moderare AI automată pentru a detecta conținut explicit, violent sau ilegal în fotografiile și videoclipurile încărcate. Rezultatul acestei verificări este furnizat Utilizatorului ca instrument de asistență; decizia de aprobare sau respingere a conținutului aparține exclusiv Utilizatorului (proprietarul evenimentului) prin funcționalitatea de moderare manuală.

Implementăm măsuri tehnice și organizatorice corespunzătoare pentru protejarea datelor, inclusiv:

• HTTPS/TLS pentru toate comunicațiile între browser și serverele noastre;
• Row-Level Security (RLS) în baza de date — fiecare utilizator are acces doar la propriile date;
• Hashing parole — parolele sunt stocate exclusiv în formă criptată, imposibil de recuperat;
• Chei de API protejate — cheile secrete (Supabase Service Role, Cloudinary API Secret, Stripe Secret) nu sunt niciodată expuse în browser;
• Semnături criptografice pentru webhook-uri Stripe (prevenirea falsificării);
• Upload-uri Cloudinary prin URL-uri semnate — nu expunem cheia de API în client;
• Variabile de mediu securizate prin Vercel Environment Variables (criptate).

În caz de încălcare a securității datelor (data breach) care afectează drepturile și libertățile persoanelor vizate, vom notifica ANSPDCP în termen de 72 de ore de la constatare, conform art. 33 GDPR. Persoanele vizate afectate vor fi notificate fără întârzieri nejustificate, conform art. 34 GDPR.

Platforma nu este destinată utilizatorilor cu vârsta sub 18 ani. Nu colectăm cu bună știință date cu caracter personal ale minorilor sub această vârstă.

Dacă ai motive să crezi că un minor a creat un cont sau a furnizat date fără acordul părintelui/tutorelui legal, te rugăm să ne contactezi la legal@dimera.ro și vom șterge datele respective fără întârziere.

Conținut media care implică minori poate fi inclus în eveniment (ex.: fotografii de familie la o nuntă), cu condiția că Utilizatorul deține consimțământul părinților/tutorilor legali ai minorilor reprezentați.

Ne rezervăm dreptul de a actualiza prezenta Politică de Confidențialitate pentru a reflecta schimbări în practicile de prelucrare sau modificări legislative. Orice modificare semnificativă va fi comunicată prin email la adresa asociată contului tău cu cel puțin 14 zile calendaristice înainte de intrarea în vigoare.

Data ultimei actualizări este afișată în antetul prezentului document. Te încurajăm să consulți periodic această pagină. Arhivele versiunilor anterioare pot fi solicitate la legal@dimera.ro.

Ai dreptul de a formula o plângere la autoritatea de supraveghere competentă dacă consideri că prelucrarea datelor tale cu caracter personal încalcă GDPR.

Te încurajăm să ne contactezi mai întâi la legal@dimera.ro înainte de a formula o plângere la ANSPDCP — vom depune toate eforturile pentru a rezolva problema pe cale amiabilă.

Pentru orice întrebare, solicitare sau plângere legată de prelucrarea datelor tale cu caracter personal:

• Email dedicat protecția datelor: legal@dimera.ro
• Email general: contact@dimera.ro
• Adresă poștală: [SEDIU SOCIAL — Strada, Nr., Oraș, Județ, România]

Termenul de răspuns este de 30 de zile calendaristice conform GDPR art. 12(3). Solicitările urgente sau cele privind o posibilă încălcare a securității datelor vor fi tratate cu prioritate.