Politica de confidențialitate

Scopul prelucrării

Colectăm date personale strict pentru două scopuri legitime: (1) să te ținem la curent cu progresul reconstrucției Cabanei Gențiana, prin notificări trimise voluntar pe email, și (2) să facilităm donațiile către proiect, atunci când asociația non-profit este înregistrată oficial și poate primi fonduri în deplină siguranță legală. Nu folosim datele tale pentru profilare comportamentală, nu le vindem și nu le partajăm cu terți în scop publicitar. Fiecare comunicare include un link clar de dezabonare, iar la cerere ștergem complet datele tale în maximum 30 de zile.

Datele colectate

Limităm colectarea la minimul necesar pentru fiecare scop. Mai jos găsești toate categoriile de date pe care le păstrăm despre tine, în ordinea momentului în care intră în sistem. Niciun alt tip de date nu este colectat fără consimțământ explicit suplimentar.

• Adresă email — atunci când te abonezi la lista de notificări sau trimiți o promisiune de donație. O folosim doar pentru a-ți trimite actualizări despre proiect și pentru a confirma promisiunea, niciodată pentru marketing nesolicitat.
• Nume, prenume, suma intenționată în EUR și mesaj opțional — atunci când completezi formularul de promisiune (pre-pledge). Aceste date ne ajută să estimăm sprijinul comunității și să te recontactăm când donațiile devin disponibile oficial.
• Hash criptografic SHA-256 al adresei IP — derivat dintr-o sare secretă păstrată pe server și folosit exclusiv pentru limitarea automată a abuzurilor (rate limiting). IP-ul brut nu este niciodată stocat în baza de date și nu poate fi reconstruit din hash.

Temeiul legal

Prelucrăm datele tale în baza a două temeiuri prevăzute de Regulamentul General privind Protecția Datelor (Regulamentul UE 2016/679, denumit în continuare "GDPR"). Pentru notificări și promisiuni — consimțământul tău liber exprimat (Art. 6.1.a GDPR), acordat explicit prin completarea și trimiterea formularului. Pentru hash-ul IP folosit la limitarea abuzurilor — interesul nostru legitim de a proteja serviciul împotriva atacurilor automate și de a asigura disponibilitatea pentru toți utilizatorii (Art. 6.1.f GDPR). Îți poți retrage consimțământul oricând, fără justificare, prin email sau prin linkul de dezabonare prezent în fiecare comunicare.

Perioada de stocare

Aplicăm principiul minimizării: păstrăm datele doar atât timp cât avem un motiv legitim. Adresele de email pentru notificări sunt păstrate până la dezabonare sau până la ștergerea explicită la cerere. Promisiunile (pre-pledge) sunt păstrate până la finalizarea proiectului de reconstrucție sau cel mult cinci ani de la trimitere. Hash-urile IP folosite pentru rate limiting sunt rotite și șterse automat după șase luni. La închiderea proiectului toate datele sunt șterse definitiv în 90 de zile, cu excepția documentelor financiare pe care legea ne obligă să le păstrăm timp de 10 ani.

Drepturile tale

Conform GDPR ai următoarele drepturi: de acces (să afli ce date deținem despre tine), de rectificare (să corectezi date inexacte), de ștergere — "dreptul de a fi uitat" (Art. 17 GDPR), de restricționare a prelucrării, de portabilitate (să primești datele într-un format structurat, citibil automat), de opoziție și de retragere a consimțământului în orice moment. De asemenea, ai dreptul de a depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP, www.dataprotection.ro). Trimite cererea pe email — răspundem în maximum 30 de zile calendaristice.

Furnizori (procesatori)

Folosim un număr restrâns de furnizori externi ("persoane împuternicite" în sensul Art. 28 GDPR) pentru a opera site-ul. Toți sunt selectați pentru conformitatea lor cu GDPR și sunt limitați contractual la prelucrarea datelor strict pentru scopurile descrise mai sus.

• Resend (https://resend.com) — trimite emailurile tranzacționale, cum ar fi confirmările de abonare și notificările despre proiect. Date transmise: adresa de email, numele tău și conținutul mesajului. Stocate pe servere din Uniunea Europeană.
• Stripe Payments Europe Limited (https://stripe.com) — procesează plățile cu cardul atunci când donațiile devin active. Date transmise: nume, email, suma donată. Stripe este un procesator de plăți licențiat în UE și certificat PCI DSS Level 1.
• Fly.io (https://fly.io) — găzduiește aplicația web, baza de date PostgreSQL și sistemul de logging. Toate datele rămân în regiunea Frankfurt (UE), conform principiului european de localizare a datelor.

Cookie-uri

Folosim doar cookie-uri strict necesare pentru funcționalitatea site-ului — în principal pentru sesiunea de administrator, pentru protecția împotriva atacurilor CSRF și pentru memorarea preferinței de limbă (RO/EN). Nu folosim cookie-uri de tracking, de marketing sau de profilare comportamentală. Nu integrăm rețele de publicitate sau pixeli de social media. Pentru analitică agregată folosim PostHog Cloud (regiunea UE) în mod fără cookie-uri (cookie-less), care nu setează cookie-uri, nu scrie în local storage și nu identifică utilizatorii individuali; antetul Do-Not-Track al browserului este respectat. Eventualele funcționalități opționale (cum ar fi înregistrarea sesiunii) ar fi activate doar după o notă explicită pe această pagină și un consimțământ separat.

Contact

Pentru orice cerere legată de datele tale personale — acces, rectificare, ștergere, restricționare a prelucrării, portabilitate, opoziție sau retragerea consimțământului — scrie-ne pe adresa de email afișată în secțiunea "Operatorul datelor cu caracter personal" de mai sus. Răspundem în maximum 30 de zile calendaristice de la primirea cererii, în scris sau pe alt suport durabil. Dacă răspunsul nostru nu te mulțumește, ai dreptul să te adresezi direct Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) sau să introduci o acțiune în instanță împotriva noastră, conform Articolelor 77–79 din GDPR. Asigurăm acomodări rezonabile pentru cererile primite prin canale de accesibilitate.