Ultima actualizare: 27 aprilie 2026
Pe scurt: Colectăm minimul necesar pentru ca platforma să funcționeze. Nu vindem date. Nu trimitem newsletter dacă nu ai cerut. Poți exporta sau șterge datele tale oricând.
1. Operator de date
Vreau Cadou (operator: [Detalii companie — de completat]) este responsabilul pentru prelucrarea datelor tale.
Contact GDPR: privacy@vreau-cadou.ro
2. Ce date colectăm
Date pe care ni le dai tu
- Email-ul — pentru autentificare (magic link) și notificări
- Numele și prenumele (opționale) — pentru personalizare
- Data nașterii (opțională) — pentru reminder-e aniversari
- Conținut creat — liste, items, fonduri, mesaje invitați
- Preferințe cadouri (opționale) — sizing, culori, interese
Date colectate automat
- Adresa IP — pentru rate limit, securitate, audit log (anonimizată după 30 zile)
- User Agent — pentru optimizare device-uri
- Cookies tehnice — sesiune autentificare, preferințe (vezi politica cookies)
Date opțional colectate (cu consimțământ)
- Analytics PostHog — comportament agregat (clicks, paginile vizitate)
- Pixeluri marketing — momentan dezactivate by default
3. De ce colectăm aceste date
| Scop | Bază legală GDPR |
|---|---|
| Furnizarea serviciului (cont, liste, rezervări) | Contract (Art. 6.1.b) |
| Securitate, anti-fraudă, audit log | Interes legitim (Art. 6.1.f) |
| Email-uri tranzacționale (signup, rezervare confirm, reset parolă) | Contract |
| Newsletter „Inspirație cadouri" | Consimțământ explicit (Art. 6.1.a) |
| Analytics și îmbunătățire produs | Consimțământ (banner cookies) |
| Conformitate legală (facturi afiliere, audit fiscal) | Obligație legală (Art. 6.1.c) |
4. Cu cine partajăm datele
Datele tale sunt partajate strict cu procesatorii necesari pentru funcționare:
- Neon (Postgres database, EU Frankfurt) — stocare date
- Vercel (hosting, EU edge) — server platformă
- Resend (transactional email, EU/US) — magic link, notificări
- Cloudflare (CDN, DDoS protection) — protecție trafic
- Sentry (error tracking, EU) — debugging
- PostHog (analytics, EU Frankfurt) — DOAR cu consimțământ cookies
Toate au DPA (Data Processing Agreement) cu noi și sunt GDPR-compliant.
5. Cât timp păstrăm datele
- Cont activ — atât timp cât e activ + 30 zile după ștergere
- Liste arhivate — 12 luni după arhivare (apoi șterse)
- Audit log — 24 luni (obligație legală)
- IP-uri în log — 30 zile, apoi anonimizate
- Date afiliere — 7 ani (obligație fiscală)
6. Drepturile tale GDPR
Ai dreptul să:
- Accesezi datele tale — descarcă un ZIP complet din /setari
- Rectifici datele incorecte — direct din profilul tău
- Ștergi datele („dreptul de a fi uitat") — un singur click în setări, soft-delete + hard-delete în 30 zile
- Restricționezi prelucrarea — dezactivezi analytics/marketing din cookie banner
- Portabilitate — datele exportate în format JSON standard
- Te opui prelucrării — pentru newsletter, cu un click pe „Dezabonare"
- Reclamație la ANSPDCP dacă consideri că datele tale sunt prelucrate ilegal
7. Securitate
- HTTPS forțat (HSTS)
- Parole hashed cu bcrypt + salt
- Magic link tokens cu expirare 24h
- Rate limiting per IP + per cont
- Secret Santa picks criptat at-rest (organizator + admin platformă NU pot decripta)
- Backup-uri DB criptate, retenție 30 zile
- 2FA disponibil pentru conturi (în curând)
8. Transferuri internaționale
Toate datele tale sunt stocate în Uniunea Europeană (Frankfurt, Germania). Resend procesează email-uri din US — protecție prin Standard Contractual Clauses (SCC).
9. Cookies
Detalii separate la Politica de cookies.
10. Copii
Platforma e destinată persoanelor de cel puțin 16 ani (sau 13+ cu acordul părintelui — conform GDPR-K). Pentru copii sub 13, părinții pot crea „child accounts" sub propriul login. Datele copiilor sunt protejate cu același nivel.
11. Modificări
Modificările materiale ale acestei politici vor fi notificate prin email cu cel puțin 14 zile înainte de intrarea în vigoare.
12. Contact
Pentru orice cerere legată de date personale:
privacy@vreau-cadou.ro