Acest text este provizoriu — va fi înlocuit cu politica finală avizată de un DPO certificat. Nu reprezintă notificare GDPR în sens juridic.

Politica de confidențialitate

Data ultimei actualizări: draft 2026-04. Versiune provizorie.

1. Operatorul datelor

Operator: Beletage SRL, Cluj-Napoca, CUI RO12345678. Responsabil cu protecția datelor (DPO): hello@pug.digital. Platforma pug.digital este operată în conformitate cu Regulamentul UE 2016/679 (GDPR) și cu Legea 190/2018 privind punerea în aplicare a GDPR în România.

2. Categoriile de date colectate

Colectăm următoarele categorii de date cu caracter personal: nume și prenume, adresă de email, număr de telefon (opțional), număr OAR (pentru arhitecți), adresă IP și user-agent la autentificare, conținutul ideilor, voturilor, sesizărilor și comentariilor postate, coordonatele reperelor zonă salvate de utilizator, precum și metadata asociată abonamentelor Civic Diff (ID propunere, data abonării).

3. Scopurile prelucrării și temeiul legal

Prelucrăm datele pentru: (a) autentificare și gestionare cont — temei contractual, art. 6(1)(b) GDPR; (b) trimitere de notificări privind abonamentele active — temei consimțământ, art. 6(1)(a) GDPR, revocabil în orice moment din Abonamente; (c) respectarea obligațiilor legale — art. 6(1)(c) GDPR, în special Legea 544/2001, OUG 57/2019 privind Monitorul Oficial Local, OG 80/2013 privind taxele locale; (d) interes legitim pentru securitatea platformei și prevenirea fraudei — art. 6(1)(f) GDPR.

4. Perioada de păstrare

Datele de cont activ sunt păstrate pe toată durata contului plus 3 ani de la închidere, pentru respectarea obligațiilor fiscale și contractuale. Jurnalele de audit (log-uri de acces administrativ) sunt păstrate 24 de luni. Token-urile de resetare parolă și verificare email expiră în 24 h. După ștergerea contului, datele personale sunt anonimizate sau șterse, cu excepția celor impuse expres de lege.

5. Destinatarii datelor

Datele nu se vând și nu se transferă către terți în afara Spațiului Economic European. Subprocesatori folosiți: Brevo (trimitere email-uri tranzacționale, găzduire UE), furnizor SaaS de infrastructură (găzduire servere pe teritoriul UE). Fiecare subprocesator a semnat un DPA (Data Processing Agreement) conform art. 28 GDPR. La cerere, punem la dispoziție lista completă actualizată.

6. Drepturile utilizatorului

Ai următoarele drepturi conform GDPR: (a) dreptul de acces la date — art. 15; (b) dreptul la rectificare — art. 16; (c) dreptul la ștergere („dreptul de a fi uitat”) — art. 17; (d) dreptul la restricționarea prelucrării — art. 18; (e) dreptul la portabilitate — art. 20; (f) dreptul la opoziție — art. 21; (g) dreptul de a retrage consimțământul — art. 7(3); (h) dreptul de a depune plângere la ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, București) sau autoritatea de supraveghere din statul membru UE de reședință.

7. Cookies și tehnologii similare

Folosim cookie-uri strict necesare pentru autentificare (sesiune NextAuth) și cookie-uri tehnice pentru preferințe UI (temă, limbă). Nu folosim cookie-uri de publicitate sau tracking cross-site. Nu integrăm Google Analytics, Facebook Pixel sau alte instrumente similare de profiling.

8. Securitatea datelor

Parolele sunt stocate cu hash bcrypt. Traficul web este criptat end-to-end cu TLS 1.3. Accesul administrativ este jurnalizat complet. Backup-urile sunt criptate și găzduite separat. Efectuăm audituri de securitate periodice. În caz de breach, notificăm ANSPDCP în 72 h conform art. 33 GDPR și utilizatorii afectați fără întârziere.

9. Minori

Platforma nu este destinată copiilor sub 16 ani. Nu colectăm cu bună știință date de la minori. Dacă afli că un minor ne-a furnizat date personale fără acordul părintelui, te rugăm să ne contactezi pentru ștergere imediată.

10. Contact

Pentru exercitarea drepturilor GDPR sau orice întrebare privind prelucrarea datelor, scrie la hello@pug.digital. Răspundem în maxim 30 de zile calendaristice.