Politica de Confidențialitate
Ultima actualizare: Aprilie 2025 · Versiunea 1.0
Prezenta politică de confidențialitate descrie modul în care S.C. VSalon Digital S.R.L. („VSalon”, „noi”, „nostru”) colectează, utilizează, stochează și protejează datele dumneavoastră personale atunci când folosiți platforma VSalon (site web, aplicație mobilă și serviciile aferente). Politica respectă dispozițiile Regulamentului (UE) 2016/679 (GDPR) și ale Legii nr. 190/2018 privind măsuri de punere în aplicare a GDPR în România.
1. Identitatea operatorului de date
Operatorul de date cu caracter personal este:
- Denumire: S.C. VSalon Digital S.R.L.
- CUI: RO00000000 (de completat înainte de lansare)
- Sediu social: Strada Exemplu nr. 1, Sector 1, București, 010000 (de completat înainte de lansare)
- Email: contact@vsalon.online
2. Responsabilul cu Protecția Datelor (DPO)
Am desemnat un Responsabil cu Protecția Datelor pe care îl puteți contacta pentru orice întrebare legată de prelucrarea datelor personale:
- Email DPO: dpo@vsalon.online
3. Categorii de date personale
În funcție de interacțiunea dumneavoastră cu platforma, prelucrăm următoarele categorii de date:
3.1 Date de identificare
Nume, prenume, adresă de email, număr de telefon — furnizate la crearea contului sau la efectuarea unei programări.
3.2 Date de autentificare
Parolă stocată exclusiv sub formă de hash criptografic, token-uri de sesiune, identificatori unici de autentificare (magic link, OTP).
3.3 Date de localizare
Orașul selectat în platformă; opțional, coordonatele GPS (doar cu acordul dumneavoastră explicit) pentru funcționalitatea „saloane din apropiere”.
3.4 Date de navigare
Adresă IP, tip browser (user-agent), cookie-uri tehnice și analitice — colectate automat la accesarea platformei.
3.5 Date tranzacționale
Detalii despre programări (dată, oră, serviciu, salon, stilist), plăți procesate prin Stripe (nu stocăm datele cardului), facturi fiscale emise.
3.6 Date de preferință
Saloane adăugate la favorite, servicii preferate, preferințe privind stiliștii, setări de notificare.
3.7 Date generate automat
Scor de încredere (trust score) calculat pe baza istoricului de programări, segment de client, predicții generate de inteligență artificială pentru recomandări personalizate, puncte de loialitate.
3.8 Date biometrice
NU colectăm și nu prelucrăm date biometrice (amprentă digitală, scanare facială, date vocale etc.). Autentificarea biometrică de pe dispozitiv (Face ID, Touch ID) rămâne exclusiv pe dispozitivul dumneavoastră.
4. Scopurile și temeiul legal al prelucrării
Prelucrăm datele dumneavoastră personale în baza următoarelor temeiuri legale prevăzute de Art. 6 GDPR:
4.1 Executarea contractului — Art. 6(1)(b)
- Crearea și gestionarea contului de utilizator
- Procesarea programărilor la saloane
- Efectuarea și confirmarea plăților prin Stripe
- Comunicarea tranzacțională (confirmări, memento-uri, anulări)
4.2 Consimțământ — Art. 6(1)(a)
- Trimiterea de comunicări de marketing și oferte personalizate
- Notificări push pe dispozitivul mobil
- Utilizarea cookie-urilor analitice și de performanță
- Accesarea coordonatelor GPS
Consimțământul poate fi retras în orice moment (vezi secțiunea 8 și 9), fără a afecta legalitatea prelucrării anterioare retragerii.
4.3 Interes legitim — Art. 6(1)(f)
- Asigurarea securității platformei și prevenirea fraudelor
- Detectarea și blocarea comportamentului abuziv (trust score)
- Îmbunătățirea produsului pe baza datelor agregate de utilizare
- Monitorizarea performanței și stabilității tehnice
4.4 Obligație legală — Art. 6(1)(c)
- Emiterea și păstrarea facturilor fiscale conform legislației românești
- Raportări către autoritățile fiscale (ANAF)
- Răspunsul la solicitări legale din partea autorităților competente
5. Destinatarii datelor
Datele dumneavoastră personale pot fi transmise următorilor destinatari, exclusiv în măsura necesară îndeplinirii scopurilor descrise la secțiunea 4:
| Destinatar | Scop | Locație |
|---|---|---|
| Saloane partenere | Gestionarea programărilor și prestarea serviciilor | România / UE |
| Stripe Inc. | Procesarea plăților electronice | SUA |
| Supabase Inc. | Bază de date și autentificare (regiune UE) | UE (Frankfurt) |
| Resend Inc. | Trimiterea email-urilor tranzacționale | SUA |
| Twilio Inc. | Trimiterea SMS-urilor (OTP, notificări) | SUA |
| OpenAI LLC | Asistent AI pentru recomandări și suport | SUA |
| Expo (React Native) | Trimiterea notificărilor push | SUA |
Fiecare destinatar prelucrează datele exclusiv conform instrucțiunilor noastre și în baza unui acord de prelucrare a datelor (DPA) încheiat în conformitate cu Art. 28 GDPR.
6. Transferuri internaționale de date
Unii dintre procesatorii noștri au sediul în Statele Unite ale Americii. Pentru aceste transferuri, ne asigurăm că există garanții adecvate conform Art. 46 GDPR:
- Clauze contractuale standard (SCC) — în conformitate cu Art. 46(2)(c) GDPR, aprobate prin Decizia de punere în aplicare (UE) 2021/914 a Comisiei Europene.
- EU-US Data Privacy Framework (DPF) — pentru procesatorii certificați în cadrul DPF, conform Deciziei de adecvare a Comisiei Europene din 10 iulie 2023.
Puteți solicita o copie a clauzelor contractuale standard contactându-ne la dpo@vsalon.online.
7. Durata stocării datelor
Datele dumneavoastră personale sunt păstrate doar atât timp cât este necesar pentru îndeplinirea scopurilor pentru care au fost colectate:
| Categorie de date | Perioadă de stocare |
|---|---|
| Cont activ | Pe toată durata relației contractuale |
| După ștergerea contului | 30 de zile perioadă de grație (posibilitate de recuperare) + 90 de zile în backup-uri criptate |
| Date financiare (facturi, tranzacții) | 10 ani de la data emiterii (obligație fiscală conform Codului Fiscal al României) |
| Loguri de securitate | 1 an de la data înregistrării |
| Date anonimizate / agregate | Nelimitat (nu mai constituie date cu caracter personal) |
8. Drepturile dumneavoastră conform GDPR
În conformitate cu Art. 15–22 GDPR, beneficiați de următoarele drepturi:
8.1 Dreptul de acces (Art. 15)
Aveți dreptul de a obține confirmarea că prelucrăm date cu caracter personal care vă privesc, precum și accesul la aceste date și informații suplimentare despre prelucrare.
8.2 Dreptul la rectificare (Art. 16)
Aveți dreptul de a obține rectificarea datelor inexacte sau completarea celor incomplete, direct din aplicație sau prin contactarea noastră.
8.3 Dreptul la ștergere — „dreptul de a fi uitat” (Art. 17)
Puteți solicita ștergerea datelor dumneavoastră personale atunci când acestea nu mai sunt necesare scopurilor pentru care au fost colectate, când vă retrageți consimțământul sau când prelucrarea este ilegală. Anumite date pot fi reținute conform obligațiilor legale (ex.: facturi fiscale — 10 ani).
8.4 Dreptul la restricționarea prelucrării (Art. 18)
Puteți solicita restricționarea prelucrării datelor în anumite condiții, de exemplu atunci când contestați exactitatea datelor sau când prelucrarea este ilegală, dar preferați restricționarea în locul ștergerii.
8.5 Dreptul la portabilitatea datelor (Art. 20)
Aveți dreptul de a primi datele personale pe care ni le-ați furnizat într-un format structurat, utilizat în mod curent și care poate fi citit automat. VSalon oferă export în format JSON și CSV, disponibil direct din setările contului.
8.6 Dreptul la opoziție (Art. 21)
Aveți dreptul de a vă opune prelucrării datelor personale bazate pe interesul legitim (Art. 6(1)(f)), inclusiv profilării. Ne vom conforma solicitării, cu excepția cazului în care demonstrăm motive legitime imperioase.
8.7 Dreptul privind deciziile automatizate (Art. 22)
VSalon utilizează procese automatizate pentru calculul scorului de încredere (trust score) și segmentarea clienților prin inteligență artificială. Aceste procese nu produc efecte juridice și nu vă afectează în mod semnificativ similar. Cu toate acestea, aveți dreptul:
- Să solicitați intervenția umană în procesul decizional
- Să vă exprimați punctul de vedere
- Să contestați decizia automatizată
8.8 Dreptul de retragere a consimțământului (Art. 7(3))
Atunci când prelucrarea se bazează pe consimțământ, aveți dreptul de a-l retrage în orice moment, fără a afecta legalitatea prelucrării efectuate anterior retragerii. Retragerea se poate face din setările contului sau prin contactarea noastră.
8.9 Dreptul de a depune o plângere la ANSPDCP
Dacă considerați că prelucrarea datelor dumneavoastră încalcă GDPR, aveți dreptul de a depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) — vezi secțiunea 14.
9. Exercitarea drepturilor
Puteți exercita oricare dintre drepturile menționate la secțiunea 8 prin următoarele modalități:
- Email: privacy@vsalon.online
- Din aplicație: Setări → Confidențialitate → Export date / Ștergere cont
Vom răspunde solicitării dumneavoastră în termen de cel mult 30 de zile de la primirea cererii. În cazuri excepționale, termenul poate fi prelungit cu încă 60 de zile, cu notificarea dumneavoastră prealabilă. Exercitarea drepturilor este gratuită; în cazul cererilor vădit nefondate sau excesive, ne rezervăm dreptul de a percepe o taxă rezonabilă sau de a refuza solicitarea, conform Art. 12(5) GDPR.
Pentru verificarea identității, vă putem solicita informații suplimentare înainte de a procesa cererea.
10. Politica privind cookie-urile
Platforma VSalon utilizează cookie-uri pentru funcționarea corectă a serviciilor. Mai jos găsiți lista completă a cookie-urilor utilizate:
| Cookie | Furnizor | Tip | Detalii |
|---|---|---|---|
| sb-*-auth-token | Supabase | Esențial | Token de autentificare. Necesar pentru menținerea sesiunii utilizatorului. Nu poate fi dezactivat. |
| cookie_consent | VSalon | Funcțional | Stochează preferințele de consimțământ privind cookie-urile. Necesar pentru conformitatea legală. |
| locale | VSalon | Funcțional | Stochează preferința de limbă a utilizatorului pentru o experiență consistentă. |
Cookie-urile analitice sunt activate doar după obținerea consimțământului dumneavoastră explicit prin bannerul de cookie-uri. Puteți modifica preferințele în orice moment din setările platformei sau din setările browserului.
11. Securitatea datelor (Art. 32 GDPR)
Implementăm măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului, în conformitate cu Art. 32 GDPR:
- Criptare în tranzit: toate conexiunile utilizează TLS 1.3
- Criptare în repaus: datele sunt criptate la nivel de disc (encryption at rest) în baza de date
- Row Level Security (RLS): politici de securitate la nivel de rând în PostgreSQL, asigurând că fiecare utilizator accesează doar propriile date
- Autentificare multi-factor (MFA): disponibilă pentru toate conturile, recomandată pentru conturile de administrare salon
- Backup-uri automate: realizate zilnic, criptate, cu retenție conformă politicii de stocare
- Audit log: toate acțiunile sensibile sunt înregistrate și monitorizate
- Testare periodică: evaluări de securitate și teste de penetrare
12. Notificarea breșelor de securitate (Art. 33–34 GDPR)
În cazul unei încălcări a securității datelor cu caracter personal:
- Notificarea ANSPDCP: vom notifica autoritatea de supraveghere în termen de cel mult 72 de ore de la luarea la cunoștință a breșei, conform Art. 33 GDPR, cu excepția cazului în care este puțin probabil să genereze un risc pentru drepturile persoanelor vizate.
- Notificarea utilizatorilor: dacă breșa este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile dumneavoastră, vă vom informa fără întârzieri nejustificate, conform Art. 34 GDPR, prin email și/sau notificare în aplicație.
Notificarea va include natura breșei, categoriile de date afectate, consecințele probabile și măsurile luate sau propuse pentru remedierea situației.
13. Protecția minorilor
Platforma VSalon este destinată persoanelor cu vârsta de minimum 16 ani. Nu colectăm cu bună-știință date cu caracter personal de la persoane sub această vârstă, în conformitate cu Art. 8 GDPR și Art. 2 din Legea nr. 190/2018.
Dacă descoperiți că un minor sub 16 ani a creat un cont pe platforma noastră, vă rugăm să ne contactați la privacy@vsalon.online și vom proceda la ștergerea imediată a datelor.
14. Autoritatea de supraveghere
Autoritatea de supraveghere competentă pentru protecția datelor cu caracter personal în România este:
- Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
- Adresă: B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București, 010336
- Website: www.dataprotection.ro
Vă recomandăm ca, înainte de a depune o plângere la ANSPDCP, să ne contactați la privacy@vsalon.online pentru a încerca soluționarea amiabilă a oricărei probleme.
15. Modificarea politicii de confidențialitate
Ne rezervăm dreptul de a actualiza prezenta politică de confidențialitate pentru a reflecta modificările în practicile noastre de prelucrare sau în legislația aplicabilă. Orice modificare substanțială va fi comunicată cu cel puțin 30 de zile înainte de intrarea în vigoare, prin:
- Notificare prin email la adresa asociată contului dumneavoastră
- Banner vizibil în platformă (web și aplicația mobilă)
- Notificare push (dacă ați activat notificările)
Toate versiunile anterioare ale politicii sunt arhivate și disponibile la cerere. Fiecare versiune este identificată printr-un număr de versiune și data ultimei actualizări.
16. Data actualizării
Versiunea: 1.0
Ultima actualizare: Aprilie 2025
Pentru orice întrebare legată de prezenta politică de confidențialitate, ne puteți contacta la privacy@vsalon.online sau dpo@vsalon.online.