Politica de Confidențialitate
Ultima actualizare: 29 aprilie 2026
1. Operator de date
Platforma PRP® este operată de CBC România. Orice întrebare referitoare la prelucrarea datelor personale poate fi adresată la support@cbc.ro.
2. Ce date colectăm
Platforma PRP® colectează numai datele necesare pentru operarea Procesului de Reconstrucție Personală:
- Date de identitate: nume, adresă de email, număr de telefon (opțional, completat la onboarding), rol în cadrul programului (Participant, Mentor, Supervisor etc.).
- Date de companie: denumire companie, funcție, industrie, dimensiune (colectate în chestionarul de intrare pentru Participanți).
- Date generate în program: răspunsuri la chestionare de anamneză, proiecte încărcate, planuri strategice anuale (PSA), check-in-uri săptămânale, comentarii către mentor.
- Date tehnice: adresă IP, user-agent, momentul accesării, acțiuni auditabile (login, modificări de stare).
- Date de autentificare Google OAuth (când alegi autentificarea cu Google): identificator Google, adresă email, nume afișat, fotografie de profil. Preluăm doar scope-ul
openid profile email— nu accesăm Gmail, Drive sau Calendar.
3. Temei legal și scopuri
- Executarea contractului (art. 6(1)(b) GDPR): operarea parcursului personal pentru fiecare Participant și a interacțiunii cu Mentorul alocat.
- Obligație legală (art. 6(1)(c) GDPR): păstrarea jurnalelor de audit pentru conformitate ISO 27001 și cerințe fiscale.
- Interes legitim (art. 6(1)(f) GDPR): securitate (detecție tentative de fraudă, blocare conturi compromise), îmbunătățirea experienței prin analize agregate anonimizate.
- Consimțământ (art. 6(1)(a) GDPR): pentru funcționalități opționale (ex: notificări prin email/SMS în afara celor tranzacționale, utilizarea modulelor AI de coaching).
4. Cât timp păstrăm datele
- Date de cont activ: atât timp cât contul rămâne activ.
- Date generate în program (chestionare, proiecte, PSA): 5 ani de la finalizarea programului, pentru continuitate metodologică și suport alumni.
- Jurnal de audit: 1.825 de zile (~5 ani), conform standardului ISO 27001.
- Date OAuth: se șterg la cererea ta de ștergere cont; token-urile refresh se invalidează imediat.
5. Cu cine împărtășim datele
Datele tale NU se vând. Unele procesări implică transfer către SUA sau alte țări non-UE — pentru fiecare folosim Standard Contractual Clauses (SCC) ale Comisiei Europene sau, după caz, mecanismul EU-US Data Privacy Framework, și încheiem Data Processing Agreement (DPA) dedicat. La 29 aprilie 2026, semnarea DPA-urilor dedicate este finalizată pentru Hostinger și Google; pentru Resend, OpenRouter, Voyage AI, Anthropic, Sentry și Cloudflare semnarea DPA-urilor dedicate este în curs (status per procesator în coloana „Bază legală transfer"). Lista completă de subprocesori:
| Procesator | Scop | Locație | Bază legală transfer |
|---|---|---|---|
| Hostinger International Ltd. | Găzduire VPS aplicație, bază date PostgreSQL, MinIO, Redis, Coolify panel, Gitea | Frankfurt, Germania (UE) | DPA + UE — fără transfer extern |
| Hostinger SMTP | Livrare email tranzacțional principal (OTP, notificări, broadcast) | UE | DPA + UE |
| Resend (Resend, Inc.) | Fallback email tranzacțional (folosit doar dacă Hostinger SMTP nu e disponibil sau pentru volume mari) | SUA (Delaware) | SCC art. 46 GDPR; DPA dedicat în curs de semnare |
| OpenRouter (OpenRouter, Inc.) | Furnizor model AI pentru funcția AI Coach. Conversațiile (mesaj user + răspuns AI + minim context din profil) sunt transmise pentru procesare la modelul ales (ex: Anthropic Claude). Nu folosim datele tale pentru antrenarea modelelor (zero-retention activ via header dedicat și opt-out la nivel cont). Ștergem conversațiile din DB la cererea de ștergere cont. | SUA | SCC; opt-out training models; DPA dedicat în curs de semnare |
| Voyage AI, Inc. | Embeddings și reranking pentru baza de cunoștințe (RAG). Procesează corpus-ul PRP indexat (NU mesaje individuale ale Participanților). | SUA | SCC; DPA dedicat în curs de semnare |
| Anthropic PBC | Model Claude — folosit ca opțiune pentru anumite funcții AI Coach când e selectat ca model principal. | SUA | SCC + EU-US Data Privacy Framework; DPA dedicat în curs de semnare |
| Sentry (Functional Software, Inc.) | Monitorizare erori tehnice (stack traces fără PII, request body redactat automat) | SUA / regiune EU disponibilă | SCC; PII filter activ; DPA dedicat în curs de semnare |
| Cloudflare, Inc. | Anti-bot (Turnstile) la pagina de login — verifică că cererea vine de la un browser real, nu de la un script automatizat. Procesează adresă IP, user-agent și challenge token. | SUA / rețea globală | SCC + EU-US Data Privacy Framework; DPA dedicat în curs de semnare |
| Google LLC | Autentificare OAuth (când alegi să te loghezi cu Google) | SUA | SCC + Adequacy Decision EU-US Data Privacy Framework |
| n8n.cloud / n8n self-hosted | Orchestrare notificări (WhatsApp echipa internă pentru incidente platformă, NU mesaje către utilizatori) | UE (Berlin) / VPS Hostinger | DPA + UE |
| Umami (self-hosted) | Statistici anonime de navigare (numar vizite, pagini, durata sesiuni). NU foloseste cookies. NU partajeaza date cu terti. Doar dacă alegi opțiunea „Analytics" în consimțământul cookies. | VPS Hostinger (UE) | UE — fără export |
Notă AI Coach: conversațiile tale cu AI Coach sunt considerate date sensibile sub Art. 9 GDPR (când conțin reflexii psihice). Sunt criptate la rest în baza de date, accesibile doar de rolurile autorizate (tu + mentorul tău alocat + supervisor pentru moderare incidente), și se șterg automat la cererea ta de ștergere cont. Modelul AI nu reține istoric între sesiuni decât prin context explicit furnizat de noi.
Lista subprocesorilor este actualizată la/privacy cu data ultimei revizii. Te anunțăm prin email dacă adăugăm un subprocesor nou — ai dreptul să te opui (caz în care vei pierde funcția afectată).
6. Securitatea datelor
- Transport criptat TLS 1.3 pentru orice comunicare cu Platforma.
- Parole NU sunt stocate — folosim autentificare passwordless (OTP email sau OAuth federat).
- Secretele TOTP (2FA) sunt criptate la rest.
- Jurnal complet de audit pentru orice acțiune pe datele tale.
- 2FA obligatoriu pentru rolurile cu acces extins (Supervisor, Admin, Mentor, Content Manager, Sales Manager), conform art. 32 GDPR.
7. Drepturile tale
Ca persoană vizată, ai următoarele drepturi:
- Acces la datele prelucrate (art. 15 GDPR).
- Rectificare (art. 16 GDPR).
- Ștergere (art. 17 GDPR) — disponibilă self-service în
/setari/gdpr. - Restricționare (art. 18 GDPR).
- Portabilitate — export în format JSON structurat.
- Opoziție (art. 21 GDPR).
- Depunere plângere la ANSPDCP (dataprotection.ro).
Termen de răspuns: 30 de zile de la înregistrarea cererii. Cererile se trimit la support@cbc.ro sau self-service din panoul de setări.
8. Cookies
Platforma folosește cookies strict necesare pentru sesiune și securitate. Detalii complete în Politica de Cookies.
9. Modificări ale acestei politici
Orice modificare substanțială a prelucrării va fi anunțată prin email și notificare in-app. Versiunile anterioare sunt păstrate în jurnalul de audit.
10. Contact
Întrebări, solicitări GDPR sau sesizări: support@cbc.ro.