Politica de confidențialitate

Ultima actualizare: 23 aprilie 2026 · Versiunea 2.1

1. Cine suntem

EventMap este o aplicație web pentru organizarea nunților și botezurilor pe piața din România. Este operată de DUO BUSINESS CONCEPT SRL, CUI BILLING_CUI, înregistrare Reg. Comerțului J23/5685/2023, cu sediul în Ilfov,Pantelimon,Str.Migdalilor,Nr.49a,Camera 1. Pentru întrebări despre datele tale, scrie-ne la privacy@eventmap.ro.

Operator de date conform GDPR: DUO BUSINESS CONCEPT SRL.

2. Ce date colectăm

2.1 Date despre tine (cuplu/organizator)

• Cont: email, parolă (hash bcrypt), nume opțional, telefon opțional, limbă preferată.
• Eveniment: titlu, tip (nuntă/botez), dată, oraș, locație, buget total, note.
• Activitate: timestamp-uri de logare, sarcini bifate, daruri înregistrate.

2.2 Date despre invitații tăi

• Nume, email opțional, telefon opțional, categorie (familie/prieteni/colegi), număr însoțitori, status RSVP, alergii alimentare, mesaj.
• Aceste date sunt furnizate de tine ca organizator. Tu ești responsabil legal că ai consimțământul invitaților pentru a le stoca.

2.3 Cookie-uri și telemetrie

• Cookie auth: necesar pentru sesiune (Supabase). Fără el nu funcționează login-ul.
• Cookie locale: limba aleasă (RO/EN). Expiră în 1 an.
• Cookie active_event_id: care eveniment ai activ când ai mai multe.
• Sentry: erori tehnice anonimizate (când e activat). Nu trimitem PII.

Nu folosim cookie-uri publicitare, nu vindem date, nu profilăm utilizatori.

3. De ce le colectăm (temei legal)

• Executarea contractului (Art. 6(1)(b) GDPR) — pentru a-ți oferi serviciul.
• Interes legitim (Art. 6(1)(f)) — pentru securitate (logare, anti-abuse) și îmbunătățiri produs.
• Consimțământ (Art. 6(1)(a)) — pentru cookie-uri ne-esențiale (telemetrie). Le poți refuza.

4. Unde stocăm datele

Toate datele sunt stocate la Supabase Inc. în regiunile europene (Frankfurt sau Stockholm — selectabile la creare proiect). Supabase este DPA-compliant cu Standard Contractual Clauses (SCC) ale UE.

Email-urile tranzacționale (magic links, invitații) sunt trimise prin Supabase Auth sau Resend Inc. (când e configurat).

5. Cu cine partajăm

Datele nu se vând și nu se partajează cu terți pentru marketing. Excepții:

• Supabase (procesator stocare/auth) — DPA semnat
• Resend (procesator email) — DPA semnat
• Sentry (procesator erori, opțional) — DPA semnat, fără PII
• Co-membrii evenimentului tău (parteneri, planneri pe care i-ai invitat) — văd ce le permite rolul lor
• La cererea autorităților legale române (poliție, parchet) cu mandat valid

6. Cât timp păstrăm

• Cont activ: cât timp îl folosești.
• Cont inactiv: după 24 luni fără logare, te anunțăm pe email și ștergem dacă nu reactivezi.
• Cont șters: ștergere imediată din Supabase (cascade pe evenimente, invitați, etc.). Backup-uri Supabase se rotesc în 30 zile.
• Log-uri tehnice: 90 zile (Sentry, server logs).

7. Drepturile tale (GDPR)

Ai dreptul la:

• Acces la datele tale — vezi în /settings sau cere prin email.
• Rectificare — editezi profilul / evenimentul oricând.
• Ștergere(«dreptul de a fi uitat») — buton «Șterge contul» în /settings.
• Portabilitate — descarcă un export JSON cu toate datele tale direct din /settings → Exportă datele mele. Livrare instant, format JSON standard.
• Opoziție la procesare bazată pe interes legitim — scrie-ne și oprim.
• Plângere la ANSPDCP — autoritatea română de supraveghere.

8. Datele minorilor

Aplicația nu se adresează minorilor sub 16 ani. Pentru botezuri, datele copilului sunt introduse de părinte/tutore care își asumă consimțământul în numele copilului (Art. 8 GDPR).

9. Securitate

• HTTPS pe toate conexiunile (TLS 1.3)
• Parole stocate doar ca hash bcrypt — nici echipa EventMap nu poate vedea parola ta. Dacă uiți parola, folosim flow de reset (nu „recuperare”). Consideră această garanție fundamentală: nicio cerere de recuperare în clar nu va fi onorată.
• Autentificare cu magic link (fără parolă) sau OAuth Google — preferabile parolei pentru utilizatori noi
• Row-Level Security (RLS) pe toate tabelele — datele tale sunt izolate de ale altora
• Magic link cu expirare 1 oră
• Backup zilnic automat de Supabase, retenție 7 zile (Point-in-Time Recovery)
• Audit trimestrial al permisiunilor și al codului (inclusiv revizii de securitate)
• Incidente de securitate: te anunțăm pe email în max 72h conform GDPR art. 33-34

10. Cookie-uri

Folosim cookie-uri esențiale pentru autentificare (nu necesită consimțământ conform directivei ePrivacy, sunt strict necesare) și, cu consimțământul tău, cookie-uri de analiză anonimizate prin PostHog. Îți poți retrage consimțământul oricând din banner-ul afișat la prima vizită sau din setările browser-ului.

11. Modificări

Vom anunța modificări pe email cu cel puțin 14 zile înainte. Versiunea curentă e afișată sus.