Politica de confidențialitate

Operatorul datelor cu caracter personal este Guildo SRL, persoană juridică română, cu sediul în România, înregistrată la Registrul Comerțului. În scopul prezentei politici, Guildo acționează ca operator pentru datele utilizatorilor (titulari de cont) și ca persoană împuternicită pentru datele membrilor adăugați de organizatorii de asociații.

Pentru orice solicitare privind datele tale, ne poți contacta:

• Email: privacy@guildo.org
• Email DPO: dpo@guildo.org
• Subiect: „Cerere GDPR" pentru tratare prioritară.

Colectăm doar datele necesare pentru a-ți oferi Serviciul. Datele sunt împărțite în categorii:

• Date de cont: nume, adresă de email, parolă (stocată hash-uit cu bcrypt), avatar opțional, data creării contului.
• Date despre asociații: denumire, descriere, categorie, slug, identificator de partajare, culoare brand, număr de membri plătitori, identificator proprietar.
• Date despre membri adăugați: nume, email, telefon, rol, status plătitor. Aceste date sunt introduse de proprietarul asociației, care răspunde de obținerea consimțământului prealabil al persoanelor vizate.
• Date tehnice: adresă IP, tip browser, sistem de operare, identificatori cookie de sesiune, timestamp-uri de acces, log-uri de erori.
• Date de plată (procesate de terți): datele cardului tău nu trec prin serverele noastre; sunt procesate direct de Stripe Inc. Stocăm doar identificatori de referință (subscription ID, customer ID, ultimele 4 cifre).

Prelucrăm datele tale în baza unuia sau mai multor temeiuri:

• Executarea contractului (Art. 6(1)(b) GDPR): pentru a-ți oferi accesul la cont și la funcționalitățile platformei.
• Obligație legală (Art. 6(1)(c) GDPR): facturare, contabilitate, raportare către autorități fiscale.
• Interes legitim (Art. 6(1)(f) GDPR): securitate, prevenirea fraudei, îmbunătățirea Serviciului.
• Consimțământ (Art. 6(1)(a) GDPR): pentru comunicări de marketing, retras oricând cu efect pentru viitor.

• Crearea și administrarea contului tău și a asociațiilor.
• Listarea publică a asociațiilor în directorul Guildo (numai după ce asociația atinge minim 4 membri plătitori).
• Procesarea plăților și emiterea facturilor.
• Notificări tranzacționale (cont, securitate, plăți).
• Suport tehnic și răspuns la solicitările tale.
• Detectarea și prevenirea utilizării abuzive, fraudei sau accesului neautorizat.
• Conformitate legală și protecția drepturilor noastre.

Nu vindem datele tale. Nu folosim datele membrilor pentru profilare automatizată cu efecte legale.

Lucrăm cu un număr limitat de furnizori, fiecare obligat prin contract să respecte standarde stricte de securitate și GDPR:

• Neon (Postgres hosting, UE/SUA) — stocare bază de date.
• Stripe (Irlanda/SUA) — procesare plăți; Stripe este un operator independent pentru datele de plată.
• Vercel (UE/SUA) — hosting infrastructură.
• UploadThing — stocare fișiere încărcate, cu acces restricționat.
• Furnizori de email tranzacțional (transmitere notificări).

Putem dezvălui date autorităților competente atunci când suntem obligați prin lege, hotărâre judecătorească sau pentru protejarea drepturilor și siguranței utilizatorilor.

Atunci când datele sunt transferate în afara Spațiului Economic European, ne asigurăm că există garanții corespunzătoare: clauze contractuale standard aprobate de Comisia Europeană, decizii de adecvare sau certificări recunoscute.

• Date de cont: pe durata contului + 90 de zile după închidere (perioada de grație pentru recuperare).
• Date contabile și fiscale: 10 ani, conform Legii contabilității nr. 82/1991.
• Log-uri de securitate: maxim 12 luni.
• Backup-uri criptate: rotire automată la 35 de zile.

În calitate de persoană vizată, ai următoarele drepturi:

• Dreptul de acces la datele tale.
• Dreptul la rectificare.
• Dreptul la ștergere („dreptul de a fi uitat").
• Dreptul la restricționarea prelucrării.
• Dreptul la portabilitatea datelor (export JSON/CSV).
• Dreptul la opoziție față de prelucrare bazată pe interes legitim.
• Dreptul de a nu fi supus unei decizii automatizate cu efecte semnificative.
• Dreptul de a depune plângere la ANSPDCP (www.dataprotection.ro).

Vom răspunde solicitărilor tale în maxim 30 de zile. Pentru a-ți exercita drepturile, scrie-ne la privacy@guildo.org.

Implementăm măsuri tehnice și organizatorice adecvate, inclusiv:

• Criptare TLS 1.3 pentru toate transmiterile de date.
• Hashing bcrypt pentru parole (minimum 10 runde).
• Token-uri de sesiune semnate JWT, stocate httpOnly.
• Acces granular pe bază de roluri și principiul privilegiului minim.
• Backup-uri criptate, monitorizare 24/7.
• Formare periodică a echipei privind securitatea datelor.

În cazul unei breșe de securitate, vom notifica ANSPDCP în maxim 72 de ore și pe utilizatorii afectați fără întârzieri nejustificate, în conformitate cu Art. 33–34 GDPR.

Folosim doar cookies strict necesare pentru funcționarea Serviciului (sesiune autentificată, preferințe UI). Nu folosim cookies de publicitate sau de tracking comportamental cross-site. Browserul tău poate fi setat să refuze cookies, dar Serviciul nu va funcționa corect fără cookies de sesiune.

Serviciul nu este destinat persoanelor sub 16 ani. Nu colectăm intenționat date de la minori. Dacă afli că un minor sub 16 ani ne-a furnizat date, contactează-ne și vom șterge informațiile.

Putem actualiza această politică ocazional. Modificările materiale vor fi anunțate prin email și/sau printr-o notificare evidentă în aplicație cu cel puțin 14 zile înainte de intrarea în vigoare. Continuarea utilizării Serviciului după acest termen reprezintă acceptul tău pentru noua versiune.