Autentificare Înregistrează salon / PFA
ACASĂ / CONFIDENȚIALITATE

Politică de confidențialitate

ACTUALIZAT · 2026-01-01

Despre această politică

Această Politică de confidențialitate explică modul în care Salon aproape de tine („noi") colectează, folosește și protejează datele personale când folosești platforma — inclusiv când te înregistrezi ca salon sau PFA, răsfoiești anunțuri, ne contactezi sau plătești pentru o funcționalitate opțională.

Se aplică împreună cu Termenii și condițiile. Prin utilizarea platformei ești de acord cu practicile descrise aici. Documentul este conform Regulamentului General privind Protecția Datelor (GDPR — Regulamentul UE 2016/679) și Legii 190/2018 privind protecția datelor în România.

Cine este operatorul de date

Pentru GDPR și Legea 190/2018, operatorul de date pentru datele personale prelucrate prin platformă este Salon aproape de tine. Ne poți contacta despre orice aspect prin formularul de contact sau la info@salonaproape.ro.

Ce date colectăm

Colectăm doar ce avem nevoie pentru a opera platforma. Categoriile de mai jos acoperă tot ce procesăm de rutină.

Date cont furnizor (salon / PFA) — denumire (sau nume complet PFA), CUI / CIF unde se aplică, nr. Reg. Comerțului, adresă email cont, parolă hash-uită și orice date de contact (telefon, WhatsApp, email) pe care alegi să le publici pe profilul tău public sau anunțuri.

Conținut anunțuri — titluri, descrieri, prețuri (în lei), județ + oraș, fotografii încărcate, informații categorie.

Documente verificare — pentru tierul opțional ✓ Verificat, colectăm copie CUI / CIF + Reg. Comerțului, eventual autorizație sanitară de funcționare. Documentele sunt revizuite de echipa noastră și stocate doar cât timp verificarea rămâne activă.

Date plată — pentru funcționalitățile plătite (Abonament Verificat, promovări), plățile sunt procesate de Stripe. Nu vedem și nu stocăm numere complete de card; reținem doar ID-ul de client Stripe, ID-ul tranzacției și ultimele 4 cifre + brandul cardului, pentru afișare în panoul tău de control.

Comunicări — mesajele trimise prin formularul de contact, răspunsuri la emailuri de suport și orice documente atașate.

Date tehnice — adresă IP (folosită pentru limitare rate și prevenire abuz; hash-uită înainte de stocare pentru analiză), tip browser, tip dispozitiv, URL referrer, pagini vizitate și timestamp-uri. Unele dintre acestea sunt colectate via cookie-uri (vezi secțiunea 5).

Profiluri create din surse publice (OpenStreetMap)

O parte dintre profilurile de saloane din director sunt create automat din date publice OpenStreetMap (OSM, licență ODbL), pentru a oferi o acoperire utilă a pieței chiar înainte ca proprietarul să își creeze cont. Aceste profiluri sunt marcate vizibil ca „nerevendicate".

Ce preluăm din OSM: denumirea afacerii, localitatea (oraș / județ), coordonatele, categoria și, dacă există, site-ul web. NU preluăm numere de telefon sau adrese de email, chiar dacă acestea există în OSM. Se preiau doar saloane (sedii comerciale), nu PFA.

Temeiul legal este interesul legitim (Art. 6(1)(f) GDPR): construirea unui director cât mai complet și util. Am pus în balanță acest interes cu drepturile persoanelor vizate și am limitat prelucrarea la date de afacere, deja publice, fără date de contact personale. Acolo unde o denumire de afacere poate identifica o persoană fizică (ex. un PFA care își folosește numele), persoana se poate opune sau poate cere ștergerea oricând.

Opoziție & ștergere (Art. 21 / Art. 17): pe fiecare profil nerevendicat există opțiunea „Cere ștergerea". Poți de asemenea scrie la info@salonaproape.ro pentru a te opune prelucrării sau a cere eliminarea profilului — dăm curs cererii fără întârzieri nejustificate. Dacă ești proprietarul afacerii, îl poți și revendica pentru a-l completa și controla.

Cum folosim datele & baza legală

Conform GDPR, fiecare activitate de prelucrare are o bază legală. Ale noastre sunt:

  • Executarea unui contract — rularea contului tău, afișarea anunțurilor tale, procesarea plății pentru abonament sau promovare, trimiterea emailurilor tranzacționale (verificare, resetare parolă, confirmări plată).
  • Interese legitime — menținerea platformei sigure (limitare rate, detectare abuz), prevenirea fraudei, producerea de analize agregate pentru îmbunătățirea site-ului și afișarea funcționalităților relevante în panoul tău.
  • Consimțământ — orice email de marketing la care te-ai abonat explicit. Poți retrage consimțământul oricând din preferințele contului.
  • Obligație legală — păstrarea înregistrărilor de plată și fiscale pe perioada cerută de legea română (Codul Fiscal, Legea contabilității), răspuns la cereri legale ale autorităților.

Nu vindem și nu închiriem date personale către terți și nu folosim datele tale pentru luare automată de decizii sau profilare care să producă efecte juridice.

Cookie-uri

Folosim un set restrâns de cookie-uri. Cele strict necesare nu pot fi dezactivate; cele de analiză se încarcă doar după consimțământul tău explicit din banner-ul afișat la prima vizită.

Cookie-uri esențiale (setate mereu) — cookie de sesiune pentru autentificare (sap.sid), token CSRF pentru securitatea formularelor și un cookie mic (sap_cookie_consent_v1) care reține alegerea ta din banner.

Cookie-uri de analiză (opt-in, opționale) — dacă accepți categoria „Analiză" din banner, încărcăm Google Analytics 4 prin Google Tag Manager, setând cookie-urile _ga și _ga_* cu IP anonimizat. Consent Mode v2 garantează că tag-urile nu se firează până la consimțământ explicit.

Cookie-uri de marketing — momentan NU folosim pixeli de remarketing sau publicitate. Categoria rămâne în banner pentru transparență viitoare.

Pentru lista completă a cookie-urilor (nume, durată, scop), inclusiv cele setate de terți (Stripe, Cloudflare), vezi Politica de cookie-uri.

Sub-procesatori

Următorii terți prelucrează date personale în numele nostru pentru a livra serviciul. Fiecare este obligat printr-un acord de prelucrare a datelor (DPA) și procesează doar ce este necesar pentru funcția specifică.

  • Hostinger (UE — Lituania) — găzduire web, găzduire bază de date MySQL, livrare email tranzacțional (SMTP). Toate datele primare sunt găzduite pe servere din UE. DPA Hostinger.
  • Stripe (Irlanda / global) — procesare plăți pentru abonamente Verificate și promovări. Stripe este operator separat pentru informațiile de plată pe care le furnizezi direct prin checkout-ul lor. Transfer extra-UE acoperit de Clauze Contractuale Standard. DPA Stripe.
  • Cloudflare (irlandez/UE — Turnstile anti-bot CAPTCHA pe formularele de înregistrare și login) — procesează IP-ul și un fingerprint comportamental al sesiunii pentru a distinge utilizatorii umani de bot-uri. Fără cookie-uri persistente, fără tracking publicitar. Activ doar dacă CAPTCHA e configurat în env. DPA Cloudflare.
  • Google Analytics 4 + Google Tag Manager (Irlanda — UE) — analytics anonimizat al traficului, declanșat DOAR după consimțământul tău explicit din banner-ul de cookie-uri. GA4 colectează IP anonimizat (ultimul octet=0) + ID device anonim. Vezi Politica de cookie-uri pentru detalii. DPA Google Ireland.
  • Web Push Services (Firebase Cloud Messaging / Apple Push Notification / Mozilla Push) — DOAR dacă activezi notificările push în browser. Endpoint-urile push (URL-uri opace gestionate de Google/Apple/Mozilla) primesc payload-ul criptat al notificărilor (titlu + body) — NU au acces la datele tale de cont sau de profil. Allowlist host-uri în routes/api.js previne abuzul.

Notă: NU folosim Sentry, Plausible, Hotjar, Microsoft Clarity sau orice alt serviciu extern de analitică / monitoring în request path-ul aplicației. Detectarea anomaliilor și error-tracking-ul sunt 100% in-house, stocate pe baza de date proprie.

Transferuri internaționale

Datele sunt găzduite în UE. Pentru sub-procesatorii cu prezență globală (ex. Stripe), transferurile internaționale sunt acoperite de Clauzele Contractuale Standard ale Comisiei Europene sau certificări echivalente.

Retenția datelor

Reținem datele atât cât este necesar pentru scopul prelucrării. Lista completă pe categorie, conform GDPR Art. 5(1)(e) (limitarea stocării):

  • Date cont (users) & profil furnizor (salons, pfa) — cât timp contul este activ. La cererea de ștergere conform Art. 17 GDPR, contul intră într-o fereastră de grație de 7 zile (pentru a permite anularea cererii), după care datele de cont și de profil sunt șterse definitiv din baza de date. Singurele date care supraviețuiesc sunt cele de plată / fiscale cerute de lege (vezi mai jos — retenția datelor Stripe, 10 ani), păstrate ca minim contabil, nu ca profil de utilizator.
  • Anunțuri (listings) — cât timp sunt active. La ștergere, un tombstone (slug + titlu + dată) e păstrat 90 de zile pentru prevenirea slug-collision la re-publicare; după 90 de zile e șters complet.
  • Log-uri de autentificare (auth_audit_log)730 de zile (2 ani), cu IP-ul șters automat (NULL-ificat) după 180 de zile. Necesare pentru investigații de securitate, fraud, și răspuns la incident.
  • Log-uri operaționale (error_log)30 de zile. Conțin stack trace-uri scrubbed de PII (token-uri, email-uri, parametri URL redactate automat) per Wave-25.
  • Vizualizări pagini (page_views) & metrici analiză internă90 de zile. Doar valori agregate (cont, hash IP, categorie pagină). IP-ul e hash-uit cu salt zilnic rotativ, fără valoare reversibilă.
  • IP-uri în users.registration_ip / last_login_ip — NULL-ificate automat după 180 de zile de la înregistrare / ultimul login.
  • Documente verificare (CUI, identitate juridică) — păstrate cât timp verificarea e în curs sau aprobată. La aprobare/respingere și după 7 zile (max 14 zile fallback dacă email-ul de notificare eșuează), documentele sunt șterse fizic de pe disc.
  • Mesaje în-app (conversations, messages) — cât timp ambele părți au conturi active. La ștergerea unui cont, mesajele rămân vizibile celeilalte părți cu marcă „[cont șters]" timp de 90 de zile, apoi sunt șterse fizic.
  • Date tranzacționale Stripe — ID client Stripe + ID tranzacție + sume + dată + ultimele 4 cifre card: 10 ani conform Codului Fiscal român (Art. 25) și Legii contabilității 82/1991. Datele complete de card nu trec prin serverul nostru — sunt în custodia Stripe.
  • Backup-uri DB — rotire 30 de zile, criptate, șterse automat după expirare.
  • Cookie-uri — vezi Politica de cookie-uri pentru durata fiecăruia.

După expirarea retenției, datele sunt șterse fizic sau anonimizate ireversibil (overwriting cu NULL pentru câmpuri PII din tabele păstrate pentru integritate referențială).

Drepturile tale conform GDPR

Regulamentul UE 2016/679 îți acordă următoarele drepturi, pe care le poți exercita oricând:

  • Dreptul de informare (Art. 13 GDPR) — chiar acest document îl îndeplinește.
  • Dreptul de acces (Art. 15 GDPR) — poți solicita o copie a datelor personale pe care le deținem despre tine. Implementat self-service prin Dashboard → Cont → Exportă datele (export ZIP cu JSON-uri + fișiere atașate).
  • Dreptul de rectificare (Art. 16 GDPR) — poți edita majoritatea datelor singur din Dashboard. Pentru câmpuri pe care nu le poți edita (ex. CUI), trimite un email cu noile valori + dovadă.
  • Dreptul de ștergere („dreptul de a fi uitat") (Art. 17 GDPR) — poți solicita ștergerea contului prin Dashboard → Cont → Șterge cont. După o fereastră de grație de 7 zile, datele de cont și de profil sunt șterse definitiv; rămân doar datele de plată / fiscale cerute de lege (vezi secțiunea 8).
  • Dreptul la restricționare (Art. 18 GDPR) — poți cere limitarea prelucrării în anumite circumstanțe (ex. cât timp contestam exactitatea datelor).
  • Dreptul la portabilitatea datelor (Art. 20 GDPR) — datele tale sunt exportate în format JSON structurat, transferabil către altă platformă.
  • Dreptul de opoziție (Art. 21 GDPR) — te poți opune prelucrării bazate pe interese legitime sau marketing direct.
  • Dreptul de a NU face obiectul unei decizii automatizate (Art. 22 GDPR) — nu folosim profilare automată sau decizii automate care să producă efecte juridice asupra ta.
  • Dreptul de retragere a consimțământului (Art. 7(3) GDPR) — pentru orice prelucrare bazată pe consimțământ (ex. emailuri marketing, cookie-uri analytics), poți retrage consimțământul oricând fără să afectezi liceitatea prelucrării anterioare.
  • Dreptul de a depune plângere (Art. 77 GDPR) — la ANSPDCP (autoritatea română de supraveghere), vezi secțiunea 13.

Pentru exercitarea drepturilor care nu sunt disponibile self-service, scrie la info@salonaproape.ro. Răspundem în maxim 30 de zile conform Art. 12(3) GDPR; pentru cereri complexe putem extinde termenul cu maxim 60 de zile, cu notificare prealabilă.

Securitate

Folosim măsuri tehnice și organizatorice rezonabile: HTTPS obligatoriu, parole hash-uite cu bcrypt, protecție CSRF, limitare rate pentru autentificare, backup-uri criptate. Nicio platformă nu este 100% sigură, dar facem tot ce putem pentru a-ți proteja datele.

Copii

Platforma nu este destinată minorilor sub 16 ani. Nu colectăm cu intenție date de la copii sub această vârstă. Dacă afli că un minor ne-a furnizat date personale, contactează-ne și le vom șterge.

Modificări

Putem actualiza această politică periodic. Modificările materiale vor fi notificate prin email sau printr-un anunț prominent pe site, cu cel puțin 30 de zile înainte de intrarea în vigoare.

Contact & reclamații

Pentru întrebări despre confidențialitate sau pentru exercitarea drepturilor GDPR, contactează-ne la info@salonaproape.ro sau prin formularul de contact.

Dacă nu ești mulțumit de răspunsul nostru, ai dreptul să depui plângere la ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal): dataprotection.ro.