Politica de confidențialitate - CubVânător

Politica de confidențialitate

Ultima actualizare: 2026-04-19

Această politică de confidențialitate descrie modul în care CubVânător („noi") colectează, utilizează, stochează și partajează datele cu caracter personal atunci când folosiți site-ul nostru web și serviciile conexe („Serviciul"). Ea este redactată în conformitate cu Regulamentul (UE) 2016/679 (Regulamentul general privind protecția datelor, „GDPR") și cu Legea maghiară CXII din 2011 privind dreptul la autodeterminare informațională și libertatea de informare („Infotv.").

Prin utilizarea Serviciului, confirmați că ați citit această politică. Activitățile de prelucrare care se bazează pe consimțământul dumneavoastră au loc numai după ce ați acordat acest consimțământ.

1. Operatorul de date

Operatorul responsabil de prelucrarea datelor dumneavoastră cu caracter personal este:

  • Denumire: Geiger Tamás e.v. (întreprinzător individual)
  • Adresă: Váci út 83/A 2/208, 1044 Budapesta, Ungaria
  • Cod fiscal: HU60384649
  • E-mail: [email protected]

Nu am desemnat un responsabil cu protecția datelor, întrucât nu avem această obligație în temeiul art. 37 din GDPR. Pentru orice chestiune legată de protecția datelor, ne puteți contacta la adresa de mai sus.

Autoritatea de supraveghere competentă pentru operator este Autoritatea Națională Maghiară pentru Protecția Datelor și Libertatea Informației (Nemzeti Adatvédelmi és Információszabadság Hatóság, „NAIH"). Datele sale de contact sunt prezentate în secțiunea 11.

2. Scopul și temeiurile juridice ale prelucrării

Datele cu caracter personal reprezintă orice informații referitoare la o persoană fizică identificată sau identificabilă. Tabelul de mai jos prezintă fiecare activitate de prelucrare pe care o efectuăm, categoriile de date implicate, scopul, temeiul juridic în temeiul art. 6 alin. (1) din GDPR și perioada de păstrare.

2.1 Înregistrarea și administrarea contului

  • Date: adresă de e-mail, nume, parolă criptată (hashed), piața de înregistrare, fus orar, preferințe de notificare, marcajele temporale ale acceptării termenilor și a politicii de confidențialitate, câmpuri opționale de personalizare a profilului (interese de cumpărare, motivația de cumpărare, anul nașterii — a se vedea secțiunea 2.14). Dacă vă autentificați prin Google sau Facebook, stocăm suplimentar ID-ul de utilizator returnat de furnizorul respectiv.
  • Scop: crearea și menținerea contului dumneavoastră de utilizator, autentificarea dumneavoastră, aplicarea Termenilor și Condițiilor și înregistrarea faptului că ați acceptat această politică.
  • Temei juridic: executarea unui contract între dumneavoastră și noi — art. 6 alin. (1) lit. (b) din GDPR.
  • Păstrare: pe toată durata existenței contului dumneavoastră. La solicitarea ștergerii, contul este păstrat pentru o perioadă de grație de 14 zile (a se vedea secțiunea 2.9), după care este șters.

2.2 Autentificare prin Google / Facebook

  • Date: ID-ul dumneavoastră de utilizator Google sau Facebook, adresa de e-mail, numele și (dacă este disponibil) dacă e-mailul este verificat.
  • Scop: să vă permită autentificarea folosind un furnizor extern de identitate în locul unei parole.
  • Temei juridic: executarea unui contract — art. 6 alin. (1) lit. (b) din GDPR. Când apăsați butonul de autentificare, inițiați fluxul de autentificare, necesar pentru furnizarea Serviciului.
  • Destinatari: Google Ireland Limited și Meta Platforms Ireland Limited acționează ca operatori independenți pentru propriile servicii de autentificare. A se vedea secțiunea 3.
  • Păstrare: ID-ul de utilizator de la furnizor este stocat atât timp cât păstrați contul asociat cu acel furnizor și este șters împreună cu contul dumneavoastră.

2.3 Lista de dorințe, alerte de preț și preferințe

  • Date: referințele produselor pe care le adăugați în lista de dorințe, prețurile țintă, notele personale privind articolele din lista de dorințe (opționale, până la 500 de caractere), preferințele de alertă (notificare la orice scădere de preț, notificare la reapariția în stoc), piața pe care o răsfoiați când ați adăugat fiecare articol.
  • Scop: furnizarea funcționalităților de listă de dorințe și de alerte de preț pe care le-ați solicitat.
  • Temei juridic: executarea unui contract — art. 6 alin. (1) lit. (b) din GDPR.
  • Păstrare: atât timp cât intrările rămân în lista dumneavoastră de dorințe și până la ștergerea contului (intrările se șterg împreună cu contul).

2.4 Token-uri pentru notificări push

  • Date: token-urile de dispozitiv Firebase Cloud Messaging (FCM) înregistrate de browserul dumneavoastră sau, în viitor, de aplicația noastră mobilă; platforma, agentul de utilizator (user agent) și starea de activitate a fiecărui token.
  • Scop: livrarea notificărilor push în browser și pe mobil la care v-ați abonat (de exemplu, alertele de scădere a prețului).
  • Temei juridic: consimțământul dumneavoastră — art. 6 alin. (1) lit. (a) din GDPR. Vă exprimați consimțământul în doi pași: acceptând solicitarea browserului sau a sistemului de operare și activând notificările push în setările contului. Vă puteți retrage consimțământul în orice moment, dezactivând notificările din Serviciu sau revocând permisiunea din browser / sistemul de operare.
  • Păstrare: token-urile active sunt păstrate cât timp aveți notificările push activate. Token-urile care devin inactive (de exemplu, atunci când browserul revocă abonamentul) sunt șterse la 30 de zile de la ultima activitate înregistrată. Toate token-urile sunt șterse la ștergerea contului.

2.5 E-mailuri tranzacționale

  • Date: adresa dumneavoastră de e-mail, numele și conținutul mesajului (de exemplu, un link către o scădere de preț, un link de verificare a e-mailului sau un link de resetare a parolei).
  • Scop: trimiterea e-mailurilor strict necesare pentru operarea Serviciului — verificarea e-mailului, resetarea parolei, confirmarea schimbării e-mailului, confirmarea ștergerii contului și notificările de alertă de preț la care v-ați abonat.
  • Temei juridic: executarea unui contract — art. 6 alin. (1) lit. (b) din GDPR.
  • Destinatar: Sendinblue SAS (operând sub denumirea Brevo) — a se vedea secțiunea 3.
  • Păstrare: pe durata existenței contului dumneavoastră. Metadatele de livrare (deschideri, respingeri) păstrate la Brevo sunt reținute conform politicii de păstrare a Brevo.

2.6 E-mailuri de marketing și segmentarea audienței

  • Date: vă stocăm ca persoană de contact la Brevo cu următoarele câmpuri de identitate — adresa de e-mail, numele, piața, locala, fusul orar, data înregistrării, indicatorul de verificare a e-mailului, furnizorul de autentificare (parolă / Google / Facebook) — și cu următoarele atribute de segmentare derivate din activitatea dumneavoastră pe Serviciu: stările de consimțământ (marketing, notificări prin e-mail, notificări push), răspunsurile opționale de profil (interese, motivație, anul nașterii — a se vedea secțiunea 2.14), semnale de activare (dacă aveți articole în lista de dorințe, numărul de articole, data primei adăugări în lista de dorințe, data ultimei activități pe Serviciu), slug-urile primelor cinci teme LEGO prezente în lista dumneavoastră de dorințe, până la douăzeci de numere de set din lista dumneavoastră de dorințe, slug-urile primelor cinci teme corespunzătoare produselor către care ați dat click spre magazinele partenere în ultimele 30 de zile, slug-urile primelor cinci teme corespunzătoare produselor pe care le-ați vizualizat în ultimele 30 de zile și numărul total de click-uri către magazinele partenere efectuate în ultimele 30 de zile. Nu trimitem niciodată la Brevo text liber introdus de utilizator (note din lista de dorințe, nume de categorii), acreditări sau identificatori specifici furnizorilor (ID-uri Google / Facebook).
  • Scop: să vă trimitem mesaje personalizate despre seturile LEGO®, oferte de preț și noutăți ale Serviciului pe care le considerăm relevante pentru dumneavoastră; și să calculăm segmente de audiență per piață (de exemplu, utilizatori care și-au exprimat consimțământul și a căror listă de dorințe sau teme răsfoite recent se suprapun cu o anumită temă LEGO), pentru a putea rula campanii de marketing sponsorizate de parteneri direct din Brevo, fără a expune nicio dată a utilizatorilor către parteneri.
  • Temei juridic: consimțământul dumneavoastră — art. 6 alin. (1) lit. (a) din GDPR. Vă adăugăm pe o listă de marketing și vă trimitem e-mailuri de marketing numai dacă v-ați exprimat consimțământul în mod explicit, fie prin bifarea opțiunii dedicate la înregistrare, fie prin activarea opțiunii „Oferte personalizate și recomandări" din setările contului. Vă puteți retrage consimțământul în orice moment prin linkul de „dezabonare" din fiecare e-mail de marketing sau din setările contului; în acel moment vă eliminăm imediat din toate listele de piață la Brevo, iar atributele de segmentare nu mai sunt actualizate. Retragerea nu afectează legalitatea prelucrării efectuate înaintea retragerii.
  • Destinatar: Sendinblue SAS (Brevo) — a se vedea secțiunea 3.
  • Păstrare: atributele de contact sunt păstrate la Brevo până la retragerea consimțământului sau până la ștergerea contului. Datele evenimentelor (declanșatoare de flux, cum ar fi user_registered, wishlist_add, price_drop_notified) sunt păstrate la Brevo conform perioadei implicite de 90 de zile a Brevo. Dacă vă ștergeți contul (secțiunea 2.9), contactul dumneavoastră Brevo este eliminat la sfârșitul perioadei de grație de 14 zile; istoricul evenimentelor Brevo expiră separat, conform termenelor de mai sus. Dacă retrageți consimțământul în timp ce contul încă există, adresa dumneavoastră de e-mail este adăugată pe o listă internă de suprimare exclusiv pentru a ne asigura că nu vă mai contactăm.

2.7 Înregistrarea clickurilor de ieșire

  • Date: pentru fiecare click pe un buton „vizitează magazinul", înregistrăm: ID-ul produsului, ID-ul magazinului, ID-ul pieței, ID-ul utilizatorului care a generat trimiterea (dacă este autentificat), un hash HMAC-SHA256 al adresei IP (generat cu o cheie), șirul user-agent, antetul Accept-Language, ID-ul de client GA4 și ID-ul de sesiune asociate vizitei dumneavoastră (dacă există) și un marcaj temporal.
  • Scop: să evaluăm care oferte sunt cele mai utile, să oferim rapoarte agregate privind performanța magazinelor și a produselor, să detectăm traficul fraudulos sau automatizat și să reconciliem traficul de ieșire cu partenerii noștri comercianți.
  • Temei juridic: interesul nostru legitim de a opera și a îmbunătăți Serviciul și de a preveni abuzurile — art. 6 alin. (1) lit. (f) din GDPR. Datele stocate nu permit identificarea directă (adresele IP nu sunt niciodată stocate în clar, ci doar sub formă de hash generat cu o cheie).
  • Păstrare: statisticile agregate ale magazinelor sunt păstrate pe o durată nedeterminată, întrucât nu vă identifică. Câmpurile relevante din punctul de vedere al GDPR atașate fiecărei înregistrări de click — hash-ul IP-ului, user-agentul, antetul Accept-Language, ID-ul de client GA4, ID-ul de sesiune GA4 și (dacă există) legătura cu contul dumneavoastră de utilizator — sunt eliminate după 12 luni, astfel încât rămân doar statistici neidentificabile. Dacă vă ștergeți contul înainte de acest termen, legătura contului de utilizator din înregistrările de click este eliminată imediat.

2.8 Cookie-uri de sesiune și autentificare

  • Date: un identificator de sesiune stocat în cookie-ul brickhunter-session și — cât timp sesiunea este activă — utilizatorul cu care sunteți autentificat, piața activă, un hash HMAC-SHA256 (cu cheie) al adresei IP (nu IP-ul în sine) și user-agentul dumneavoastră.
  • Scop: menținerea autentificării, protecția împotriva deturnării sesiunii și afișarea pieței corecte.
  • Temei juridic: executarea unui contract — art. 6 alin. (1) lit. (b) din GDPR. Cookie-urile de sesiune sunt strict necesare pentru Serviciu și nu necesită un banner de consimțământ.
  • Păstrare: cookie-ul de sesiune expiră la 120 de minute de la ultima activitate sau mai devreme dacă vă deconectați. Înregistrările de sesiune sunt eliminate automat ulterior.

2.9 Ștergerea contului

  • Date: e-mailul contului dumneavoastră, data programată pentru ștergere.
  • Scop: să vă permită exercitarea dreptului la ștergere. Când solicitați ștergerea, contul este marcat cu o dată programată de ștergere la 14 zile în viitor și se trimite un e-mail de verificare. La sfârșitul acestei perioade, contul este procesat.
  • Temei juridic: îndeplinirea unei obligații legale în temeiul art. 17 din GDPR — art. 6 alin. (1) lit. (c) din GDPR. Perioada de grație de 14 zile este o măsură bazată pe interesul legitim (art. 6 alin. (1) lit. (f)), pentru a vă permite să anulați o solicitare de ștergere accidentală sau neautorizată.
  • Ce se șterge: înregistrarea dumneavoastră de utilizator, articolele din lista de dorințe, intrările din jurnalul de alerte, token-urile de dispozitiv și toate token-urile API. În tabelul clicks, identificatorii personali (hash-ul IP-ului, user-agentul, antetul Accept-Language, ID-urile GA și legătura cu ID-ul dumneavoastră de utilizator) sunt setați la null — evenimentele de click rămân ca statistici anonime ale magazinelor.
  • Păstrare: înregistrarea contului este ștearsă la data programată. A se vedea secțiunea 2.7 privind datele de click anonimizate.

2.10 Comunicarea cu serviciul de asistență

  • Date: adresa dumneavoastră de e-mail și conținutul mesajelor pe care ni le trimiteți.
  • Scop: să răspundem solicitărilor de asistență, reclamațiilor sau cererilor persoanei vizate.
  • Temei juridic: executarea unui contract — art. 6 alin. (1) lit. (b) din GDPR pentru solicitările legate de Serviciu; îndeplinirea unei obligații legale — art. 6 alin. (1) lit. (c) din GDPR pentru cererile persoanei vizate la care avem obligația să răspundem în temeiul Capitolului III din GDPR.
  • Păstrare: 3 ani de la ultimul mesaj, pentru a dovedi că am răspuns în termenele legale. Cererile persoanei vizate pe care le-am soluționat sunt păstrate timp de 3 ani, pentru a demonstra conformitatea.

2.11 Logare de securitate

  • Date: jurnalele aplicației pe server care conțin metadate despre cereri (URL, cod HTTP, durată), urmele stivei (stack trace) ale erorilor și — într-un număr redus de cazuri, pentru deciziile de limitare a ratei — hash-uri HMAC-SHA256 (cu cheie) ale adreselor IP. Nu înregistrăm niciodată adrese IP în clar.
  • Scop: detectarea și investigarea incidentelor de securitate, protecția împotriva atacurilor de forță brută asupra autentificării și a abuzurilor, depanarea erorilor de serviciu.
  • Temei juridic: interesul nostru legitim de a opera un serviciu sigur — art. 6 alin. (1) lit. (f) din GDPR.
  • Păstrare: 14 zile, după care jurnalele sunt rotite automat.

2.12 Analiză web (Google Analytics 4)

  • Date (cu consimțământ pentru analiză): ID-ul de client GA4 (stocat în cookie-ul brickhunter_client_id), ID-ul de sesiune GA4, vizualizările de pagini, evenimentele (căutări, acțiuni în lista de dorințe, clickuri de ieșire etc.), locația aproximativă derivată din IP (IP-ul propriu-zis nu este stocat de GA4 în formă identificabilă — Google îl trunchiază înainte de stocare), detalii despre dispozitiv și browser. Pentru utilizatorii autentificați, trimitem în plus către GA4 un hash SHA-256 al ID-ului dumneavoastră de utilizator și un hash SHA-256 al adresei de e-mail, pentru atribuirea între dispozitive; valorile în clar nu părăsesc niciodată serverele noastre.
  • Date (fără consimțământ pentru analiză): nu se setează și nu se citește niciun cookie Google Analytics (_ga, _ga_*) și nu se transmite niciun identificator persistent de utilizator sau de dispozitiv. Google Analytics funcționează în Google Consent Mode v2 în modul avansat (a se vedea documentația Google): se trimite către Google o solicitare („ping") fără cookie-uri, care conține doar marcajul temporal, șirul user-agent, URL-ul de referință (referrer), o stare booleană a consimțământului, un indicator care arată dacă pagina curentă sau o pagină anterioară conținea informații de click publicitar în URL (cum ar fi gclid / dclid) și un număr aleatoriu generat la fiecare încărcare a paginii. Google afirmă că adresa IP primită ca parte a solicitării de rețea nu este stocată sau înregistrată. Google utilizează aceste semnale exclusiv pentru a produce rapoarte agregate modelate — nu se construiește niciun profil individual de utilizator pe baza lor.
  • Evenimente pe partea de server: când are loc un eveniment relevant pentru conversii, îl trimitem către GA4 de pe serverul nostru folosind Measurement Protocol. Evenimentul moștenește semnalele de consimțământ curente din sesiunea browserului dumneavoastră (atât analytics_storage, cât și ad_storage). Dacă nu este disponibil niciun ID de client GA4, se generează un UUID unic și evenimentul este trimis cu o stare de consimțământ explicit refuzată permanent.
  • Scop: să înțelegem modul în care este utilizat Serviciul și să îl îmbunătățim.
  • Temei juridic: consimțământul dumneavoastră — art. 6 alin. (1) lit. (a) din GDPR. Vă puteți acorda, refuza sau modifica alegerea în orice moment, prin bannerul de cookie-uri sau prin linkul „Setări cookie-uri" din subsolul site-ului.
  • Destinatar: Google Ireland Limited — a se vedea secțiunea 3.
  • Păstrare: GA4 păstrează datele la nivel de eveniment timp de 14 luni, în mod implicit. Propriile noastre cookie-uri brickhunter_client_id (până la 24 de luni) și brickhunter_session_id (30 de minute) sunt utilizate pentru corelarea cu GA4.

2.13 Publicitate (Google Ads, Meta Ads)

  • Date (cu consimțământ pentru marketing): evenimente de conversie, vizualizări de pagini și interacțiunile pe care le faceți în Serviciu, transmise către Google Ads și către Meta (Facebook) Pixel pentru măsurare și remarketing. În funcție de comportamentul platformei, acestea pot include adresa dumneavoastră IP, identificatori de tip cookie și o versiune hash a e-mailului (pentru Enhanced Conversions de la Google și Advanced Matching de la Meta).
  • Date (fără consimțământ pentru marketing):
    • Google Ads continuă să ruleze în Google Consent Mode v2, modul avansat. Nu se setează și nu se citește niciun cookie Google Ads (_gcl_*), iar orice identificatori gclid / dclid sunt eliminați din solicitările de rețea trimise. Se trimit în continuare ping-uri fără cookie-uri către Google, cu aceleași semnale minime descrise în secțiunea 2.12, folosite exclusiv pentru modelarea agregată a conversiilor (pentru a estima, la nivel agregat, conversiile care altfel ar fi fost măsurate cu consimțământ). Niciun utilizator individual nu este urmărit, profilat sau retargetat.
    • Meta Pixel nu implementează un mecanism echivalent de consent mode. Când refuzați categoria de marketing, Meta Pixel nu este încărcat și nu se declanșează deloc — în acest caz, Serviciul nu transmite nicio solicitare către Meta.
  • Scop: să măsurăm eficacitatea campaniilor noastre publicitare și, atunci când v-ați exprimat consimțământul pentru marketing, să vă afișăm reclame relevante pe platforme terțe.
  • Temei juridic: consimțământul dumneavoastră — art. 6 alin. (1) lit. (a) din GDPR. Declanșarea etichetelor este controlată prin Google Tag Manager în funcție de alegerile dumneavoastră din bannerul de cookie-uri. Vă puteți retrage consimțământul în orice moment prin linkul „Setări cookie-uri".
  • Destinatari: Google Ireland Limited și Meta Platforms Ireland Limited — a se vedea secțiunea 3.
  • Păstrare: guvernată de politicile de păstrare ale platformei terțe. Nu stocăm identificatori publicitari pe propriile noastre servere.
  • Informații actualizate despre terți: Google menține o listă actualizată a cookie-urilor utilizate de produsele sale publicitare la business.safety.google/adscookies. Meta publică lista curentă a cookie-urilor pe care le setează la facebook.com/privacy/policies/cookies. Aceste pagini au prioritate față de numele cookie-urilor enumerate în secțiunea 6, în cazul în care diferă.

2.14 Personalizarea profilului

  • Date: răspunsurile dumneavoastră la trei întrebări opționale din fluxul de integrare — pentru cine cumpărați de obicei (pentru dumneavoastră, pentru copii, pentru familia extinsă, pentru prieteni/cunoștințe), ce contează cel mai mult atunci când cumpărați (cel mai mic preț, cel mai bun raport calitate-preț) și anul nașterii. Toate cele trei întrebări sunt opționale și pot fi omise individual; niciun răspuns nu este obligatoriu pentru utilizarea Serviciului. Colectăm doar anul nașterii, niciodată data exactă, și îl folosim exclusiv pentru a încadra utilizatorii în intervale largi de vârstă. De asemenea, stocăm un marcaj temporal intern pentru fiecare întrebare, care indică momentul în care ați interacționat ultima dată cu aceasta.
  • Scop: personalizarea experienței pe site și — odată ce ați acordat un consimțământ explicit pentru marketing (secțiunea 2.6) — informarea campaniilor de cupoane ale magazinelor partenere prin intermediul Brevo.
  • Temei juridic: interesul nostru legitim pentru personalizarea experienței pe site — art. 6 alin. (1) lit. (f) din GDPR — pentru utilizarea pe site; consimțământul dumneavoastră potrivit art. 6 alin. (1) lit. (a) din GDPR pentru utilizarea în scopuri de marketing prin Brevo, activă numai dacă v-ați înscris la e-mailurile de marketing.
  • Păstrare: pe toată durata existenței contului dumneavoastră. Aceste câmpuri sunt șterse împreună cu contul la sfârșitul perioadei de grație pentru ștergere (secțiunea 2.9). Puteți șterge sau modifica oricare dintre cele trei răspunsuri oricând, din setările contului.

2.15 Istoric agregat de navigare (la nivel de temă)

  • Date: cât timp sunteți autentificat și ați activat opțiunea „Oferte personalizate și recomandări" (a se vedea secțiunea 2.6), înregistrăm pentru fiecare pagină de produs LEGO vizitată o înregistrare la nivel de temă — mai exact: ID-ul dumneavoastră de utilizator, ID-ul temei LEGO a produsului vizualizat, piața pe care l-ați vizualizat și un marcaj temporal. Nu înregistrăm produsul individual, prețul afișat, magazinul către care ați dat click (click-urile de ieșire reprezintă o activitate de prelucrare separată — secțiunea 2.7) și nici vreo informație despre aspectul paginii sau comportamentul dumneavoastră de derulare/interacțiune. Traficul automat (boți) este sărit.
  • Scop: să determinăm, la nivel de temă, ce părți ale catalogului LEGO vă interesează în prezent, astfel încât rezumatele săptămânale privind ciclul de viață al produselor (seturi nou anunțate, seturi nou disponibile pentru precomandă sau cumpărare, seturi care intră în statutul „Se retrage curând") și celelalte mesaje de marketing descrise în secțiunea 2.6 să poată fi filtrate sau prioritizate în funcție de temele cu care chiar interacționați.
  • Temei juridic: consimțământul dumneavoastră — art. 6 alin. (1) lit. (a) din GDPR. Nu se înregistrează nicio vizualizare de temă decât dacă sunteți autentificat ȘI ați optat explicit pentru marketing. Dezactivarea marketingului oprește imediat orice nouă înregistrare; înregistrările existente expiră conform termenelor de mai jos. Vizitatorii anonimi și utilizatorii autentificați care nu și-au exprimat consimțământul nu au niciodată înregistrări de vizualizare a temei.
  • Păstrare: 90 de zile. Înregistrările mai vechi de 90 de zile sunt șterse automat printr-o sarcină zilnică programată. Fereastra de 90 de zile se potrivește cu fereastra de recență de 30 de zile utilizată în atributele dumneavoastră de segmentare Brevo (a se vedea secțiunea 2.6), cu o rezervă pentru reprocesare operațională. La ștergerea contului, toate înregistrările dumneavoastră de vizualizare a temei sunt eliminate împreună cu contul.

3. Destinatarii datelor (subîmputerniciți)

Partajăm datele cu caracter personal numai cu persoanele împuternicite și cu serviciile independente enumerate mai jos, fiecare oferind un nivel adecvat de protecție a datelor. Datele nu sunt vândute niciodată unor terțe părți.

3.1 Infrastructura de găzduire

  • Laravel Holdings Inc. — 60 Broad Street, 24th Floor, #1559, New York, NY 10004, SUA. Furnizează platforma de administrare a serverelor („Laravel Forge") prin care operăm Serviciul. Rol: persoană împuternicită. Termeni: laravel.com/legal/forge-terms. Trust Center: trust.laravel.com.
  • DigitalOcean, LLC — 105 Edgeview Drive, Suite 425, Broomfield, CO 80021, SUA. Operează serverul virtual subiacent pe care rulează Serviciul. Serverul este amplasat în centrul de date din Frankfurt (Germania). Rol: persoană împuternicită. DPA: digitalocean.com/legal/data-processing-agreement. Politica de confidențialitate: digitalocean.com/legal/privacy-policy.

3.2 Livrare de e-mailuri

  • Sendinblue SAS (Brevo) — 17 rue Salneuve, 75017 Paris, Franța. Livrează e-mailuri tranzacționale și — dacă v-ați exprimat consimțământul pentru marketing — stochează înregistrarea dumneavoastră de contact cu atributele de segmentare enumerate în secțiunea 2.6, gestionează apartenența dumneavoastră la listele noastre de contacte per piață, primește evenimentele declanșatoare de flux pe partea de server (precum înregistrare, verificare e-mail, adăugare în lista de dorințe, notificare de scădere a prețului și cei trei declanșatori ai rezumatelor săptămânale privind ciclul de viață al produselor: seturi nou anunțate, seturi nou disponibile pentru precomandă sau cumpărare, seturi care intră în statutul „Se retrage curând") și trimite mesajele de marketing rezultate. Rol: persoană împuternicită. Datele sunt prelucrate în Uniunea Europeană. Politica de confidențialitate: brevo.com/legal/privacypolicy. DPO: [email protected].

3.3 Furnizori de identitate

  • Google Ireland Limited — Gordon House, Barrow Street, Dublin 4, Irlanda. Oferă „Autentificare cu Google". Rol: operator independent pentru fluxul de autentificare, persoană împuternicită pentru informațiile care ne sunt returnate. Politica de confidențialitate: policies.google.com/privacy.
  • Meta Platforms Ireland Limited — Merrion Road, Dublin 4, D04 X2K5, Irlanda. Oferă „Autentificare cu Facebook". Rol: operator independent pentru fluxul de autentificare, persoană împuternicită pentru informațiile care ne sunt returnate. Politica de confidențialitate: facebook.com/privacy/policy.

3.4 Analiză și publicitate

  • Google Ireland Limited — ca mai sus. Furnizează Google Analytics 4, Google Tag Manager și Google Ads. Rol: persoană împuternicită pentru Google Analytics; operator asociat / independent pentru Google Ads, în funcție de produs. Documentația Consent Mode v2: support.google.com/analytics/answer/9976101. Informații actualizate despre cookie-urile utilizate de produsele publicitare Google: business.safety.google/adscookies.
  • Meta Platforms Ireland Limited — ca mai sus. Furnizează Meta (Facebook) Pixel și Meta Ads. Rol: operator asociat cu noi (conform hotărârii CJUE în cauza C-40/17, Fashion ID) pentru Pixel. Informațiile privind operatorii asociați sunt puse la dispoziție prin Termenii instrumentelor de business Meta. Informații actualizate despre cookie-urile utilizate de Meta: facebook.com/privacy/policies/cookies.

4. Transferuri internaționale de date

Datele cu caracter personal pe care le prelucrăm sunt stocate în principal pe servere situate în Uniunea Europeană (Frankfurt, Germania). Unii dintre destinatarii enumerați în secțiunea 3 sunt stabiliți în țări din afara Spațiului Economic European (în special, Statele Unite) sau transferă date către acestea.

Pentru orice astfel de transfer, ne bazăm pe una sau mai multe dintre următoarele garanții prevăzute în Capitolul V din GDPR:

  • Clauzele contractuale standard ale Comisiei Europene (Decizia (UE) 2021/914), încorporate în acordul de prelucrare a datelor al fiecărui furnizor.
  • Decizia de adecvare a Cadrului UE–SUA privind confidențialitatea datelor din 10 iulie 2023, în cazul în care destinatarul este autocertificat conform acelui cadru.

Puteți solicita o copie a garanțiilor aplicabile contactându-ne prin e-mail.

5. Drepturile dumneavoastră conform GDPR

Aveți următoarele drepturi în ceea ce privește datele dumneavoastră cu caracter personal:

  • Dreptul de acces (art. 15) — de a obține confirmarea dacă prelucrăm date cu caracter personal despre dumneavoastră și, dacă da, o copie a acestor date.
  • Dreptul la rectificare (art. 16) — de a corecta sau completa datele cu caracter personal inexacte.
  • Dreptul la ștergere / „dreptul de a fi uitat" (art. 17) — de a obține ștergerea datelor cu caracter personal, sub rezerva limitelor prevăzute la art. 17 alin. (3). Puteți declanșa oricând ștergerea din setările contului dumneavoastră.
  • Dreptul la restricționarea prelucrării (art. 18) — de a solicita limitarea prelucrării în anumite situații.
  • Dreptul la portabilitatea datelor (art. 20) — de a primi datele dumneavoastră cu caracter personal într-un format structurat, utilizat în mod curent și care poate fi citit automat, și de a le transmite altui operator.
  • Dreptul la opoziție (art. 21) — de a vă opune prelucrării bazate pe interesul nostru legitim (secțiunile 2.7, perioada de grație de la 2.9 și 2.11).
  • Dreptul de a vă retrage consimțământul (art. 7 alin. (3)) — în cazul prelucrării bazate pe consimțământ (secțiunile 2.4, 2.6, 2.12, 2.13), vă puteți retrage consimțământul în orice moment. Retragerea nu afectează legalitatea prelucrării efectuate anterior retragerii.
  • Dreptul de a nu face obiectul unei decizii individuale automatizate (art. 22) — nu luăm decizii cu privire la dumneavoastră bazate exclusiv pe prelucrarea automată care produc efecte juridice sau efecte similare semnificative.
  • Dreptul de a depune o plângere la o autoritate de supraveghere (art. 77) — a se vedea secțiunea 11.

Cum vă exercitați drepturile

Trimiteți-ne un e-mail la [email protected] de pe adresa de e-mail asociată contului sau folosiți acțiunea corespunzătoare din setările contului. Vom răspunde în termen de 30 de zile de la primirea unei cereri clare. Dacă cererea este complexă, putem prelungi acest termen cu încă două luni și vă vom informa despre prelungire în primele 30 de zile. Exercitarea drepturilor este gratuită; putem percepe o taxă rezonabilă sau putem refuza cererea doar dacă aceasta este vădit nefondată sau excesivă (art. 12 alin. (5) din GDPR).

Pentru a vă proteja, vă putem solicita să vă verificați identitatea înainte de a răspunde — de regulă, prin confirmarea faptului că puteți acționa asupra contului.

6. Cookie-uri

Serviciul utilizează cookie-uri și tehnologii similare. Cookie-urile sunt grupate în trei categorii — strict necesare, de analiză și de marketing — iar fiecare categorie este supusă alegerilor dumneavoastră din bannerul de cookie-uri. Activitățile de prelucrare din spatele cookie-urilor de analiză și de marketing — inclusiv scopurile, temeiurile juridice și perioadele de păstrare — sunt descrise la punctele 2.12 și 2.13 de mai sus.

Pentru lista completă a cookie-urilor pe care le setăm și le citim, duratele acestora și modul în care vă puteți modifica oricând alegerile, consultați Politica privind cookie-urile separată.

7. Procedura în caz de încălcare a securității datelor

Dacă are loc o încălcare a securității datelor cu caracter personal care prezintă probabilitate de risc pentru drepturile și libertățile dumneavoastră, vom notifica autoritatea de supraveghere competentă (NAIH) fără întârzieri nejustificate și, când este posibil, în termen de 72 de ore de la data la care am luat cunoștință de încălcare, în conformitate cu art. 33 din GDPR. Dacă încălcarea prezintă probabilitate de risc ridicat pentru drepturile și libertățile dumneavoastră, vă vom informa și pe dumneavoastră direct, fără întârzieri nejustificate, în conformitate cu art. 34 din GDPR. Păstrăm un registru intern al tuturor încălcărilor, indiferent de obligația de notificare.

8. Securitatea datelor

Luăm măsuri tehnice și organizatorice adecvate pentru a proteja datele dumneavoastră cu caracter personal împotriva accesului neautorizat, pierderii, modificării sau divulgării, în conformitate cu art. 32 din GDPR. Printre acestea se numără:

  • HTTPS cu HTTP Strict Transport Security (HSTS) pe toate domeniile.
  • Parolele sunt stocate ca hash-uri bcrypt — parolele în clar nu sunt niciodată stocate sau înregistrate.
  • Adresele IP sunt stocate numai sub formă de hash-uri HMAC-SHA256 generate cu cheie; cheia de hash este rotită independent de baza de date.
  • Token-urile API și token-urile de instalare sunt stocate numai sub formă de hash-uri HMAC-SHA256.
  • Cookie-urile de sesiune sunt marcate cu Secure, HttpOnly și SameSite=Lax.
  • Protecție CSRF pe partea de server pentru toate cererile web care modifică starea și limitarea ratei API pentru fiecare client, instalare și utilizator autentificat.
  • Protecție împotriva atacurilor de forță brută la endpointul de autentificare (limite pe e-mail / pe instalare / pe oră).
  • Actualizări regulate de securitate pentru sistemul de operare al serverului și pentru dependențele aplicației.
  • Accesul la mediul de producție este restricționat la operator; toate persoanele împuternicite terțe enumerate în secțiunea 3 au semnat un acord de prelucrare a datelor sau au acceptat termeni contractuali echivalenți.
  • Jurnalele aplicației sunt rotite și șterse după 14 zile.

9. Copii

Serviciul nu se adresează copiilor. Dacă aveți sub 16 ani, nu trebuie să folosiți Serviciul și nu vă puteți crea un cont fără consimțământul părintelui sau al tutorelui legal, astfel cum prevăd art. 8 din GDPR și § 6 alin. (3) din Infotv. din Ungaria. Dacă aflăm că am colectat date cu caracter personal de la un copil fără autorizare corespunzătoare, le vom șterge fără întârziere.

10. Procesul decizional automatizat și crearea de profiluri

Nu efectuăm procese decizionale automatizate care să producă efecte juridice sau efecte similare semnificative asupra dumneavoastră în sensul art. 22 din GDPR. Folosim crearea de profiluri agregate, non-individuale, pentru a afișa publicitate modelată (Google Ads, Meta Ads) și pentru a prioritiza produsele în liste; această profilare nu produce niciodată o decizie cu efect juridic și este întotdeauna condiționată de consimțământul dumneavoastră (a se vedea secțiunea 2.13).

11. Căi de atac

Dacă considerați că prelucrarea datelor dumneavoastră cu caracter personal încalcă GDPR sau legislația maghiară privind protecția datelor, aveți dreptul să:

  1. Ne contactați mai întâi pe noi la [email protected] — vom investiga și vom răspunde în termen de 30 de zile.
  2. Depuneți o plângere la autoritatea de supraveghere:
    • Autoritatea Națională Maghiară pentru Protecția Datelor și Libertatea Informației (NAIH)
    • Adresă: 1055 Budapesta, Falk Miksa utca 9–11, Ungaria
    • Adresă poștală: 1363 Budapesta, Căsuța poștală 9
    • Telefon: +36 (1) 391-1400
    • E-mail: [email protected]
    • Website: naih.hu
    • Puteți depune plângerea și la autoritatea de supraveghere a statului membru al UE în care aveți reședința obișnuită, unde lucrați sau unde a avut loc presupusa încălcare.
  3. Formulați o acțiune în justiție în fața instanței competente de la reședința dumneavoastră obișnuită sau a reședinței obișnuite a operatorului (instanțele maghiare, pentru cererile împotriva noastră), în temeiul art. 78–79 din GDPR.

12. Modificări aduse acestei politici

Putem actualiza periodic această politică de confidențialitate pentru a reflecta modificări ale Serviciului, ale legislației aplicabile sau ale persoanelor împuternicite. Când facem modificări importante, vom actualiza data „Ultima actualizare" din partea de sus a paginii și, în cazul în care modificarea afectează o activitate de prelucrare bazată pe consimțământul dumneavoastră, vă vom solicita un consimțământ reînnoit. Vă recomandăm să consultați periodic această pagină.

13. Contact

Pentru orice întrebare privind această politică de confidențialitate sau datele dumneavoastră cu caracter personal, vă rugăm să ne contactați:

  • E-mail: [email protected]
  • Adresă poștală: Geiger Tamás e.v., Váci út 83/A 2/208, 1044 Budapesta, Ungaria