Politica de confidențialitate

Operatorul datelor cu caracter personal procesate prin serviciul GirlVertical (denumit în continuare „Operator", „noi") este accesibil la:

• E-mail juridic / GDPR: legal@girlvertical.ro
• Suport general: suport@girlvertical.ro
• Cereri takedown / ștergere: takedown@girlvertical.ro sau formular dedicat

Nu avem desemnat un responsabil cu protecția datelor (DPO). Articolul 37 alin. (1) lit. c) GDPR cere DPO doar atunci când activitatea principală a Operatorului constă în prelucrarea pe scară largă a datelor sensibile, prag pe care la volumul actual nu îl depășim (per Ghidul WP243). Re-evaluăm la scalare. Pentru orice întrebare GDPR, scrie la legal@girlvertical.ro.

Această politică se aplică tuturor datelor cu caracter personal prelucrate prin intermediul site-ului girlvertical.ro și prin serviciul de căutare facială GirlVertical. Trei categorii de persoane vizate intră în scopul ei:

• Utilizator — persoana care plasează o Comandă și furnizează fotografii pentru căutare.
• Subiect — persoana a cărei față se caută în surse publice. Subiectul nu are relație contractuală cu noi; prelucrarea datelor sale se face cu un alt temei juridic (vezi §7).
• Vizitator — orice persoană care accesează site-ul fără a plasa o Comandă.

Politica se completează cu Termenii și condițiile și cu Politica datelor biometrice.

În cuprinsul prezentei politici:

• Date personale — orice informații privind o persoană fizică identificată sau identificabilă, conform definiției din art. 4 pct. 1 GDPR.
• Date biometrice — date personale rezultate dintr-o prelucrare tehnică specifică, referitoare la caracteristicile fizice (în cazul nostru: trăsăturile faciale) ale unei persoane fizice, care permit identificarea unică (art. 4 pct. 14 GDPR).
• Embedding facial — reprezentare numerică (vector) a trăsăturilor faciale derivate dintr-o fotografie. Se calculează de către furnizorul de căutare facială și este utilizat strict pentru comparația cu profiluri publice.
• Date publice — date accesibile public pe internet la momentul căutării, fără cont, fără autentificare și fără acord prealabil de confidențialitate.
• Raport — rezultatul compilat al căutării: lista profilurilor publice posibil corespondente și metadatele aferente, livrat Utilizatorului prin link unic și e-mail.

Pentru un Utilizator care plasează o Comandă, prelucrăm:

• — Adresa de e-mail furnizată la finalizarea Comenzii, folosită exclusiv pentru livrarea Raportului și comunicările tranzacționale aferente.
• — Fotografiile încărcate ca subiect al căutării, împreună cu metadatele tehnice ale fișierelor (dimensiune, tip MIME, hash de conținut). Acestea includ date biometrice — vezi §8.
• — Date de plată procesate prin Stripe Payments Europe, Ltd. Nu stocăm numărul complet al cardului; reținem doar referințele tranzacționale Stripe (id sesiune, id intenție plată), brandul și ultimele 4 cifre ale cardului pentru bonul fiscal.
• — Adresa IP și user-agent la momentul atestării consimțământului și al plasării Comenzii. Servesc ca probă a consimțământului (art. 7 GDPR) și ca semnal anti-abuz.
• — Metadate de comandă — ștampile temporale (creare, plată, expirare link raport), statusuri, eventuale opțiuni alese în formular.
• — Jurnal de audit — acțiunile pe care le execută Utilizatorul în legătură cu Comanda (vizualizare raport, retrimitere e-mail).

Nu colectăm: nume legal, CNP, adresă poștală, număr de telefon, date de cont bancar, date de geolocație precisă.

Despre Subiectul căutării prelucrăm exclusiv:

• — Fotografia furnizată de Utilizator împreună cu trăsăturile faciale (embedding) derivate din ea, strict pentru execuția căutării. Aceasta este o prelucrare indirectă: Subiectul nu ne-a furnizat-o direct.
• — URL-uri publice identificate ca posibile potriviri pe surse publice (site-uri de videochat, rețele sociale, articole de presă etc.), împreună cu fragmentele publice asociate (username, miniaturi publicate de platformă).

Nu colectăm informații private despre Subiect: nu accesăm conturi private, nu cumpărăm date de la brokeri, nu folosim breșe de date, nu deducem orientare sexuală, religie sau opinii politice. Nu construim profiluri persistente: dacă Subiectul apare în două Comenzi diferite, prelucrările sunt complet separate.

Subiectul are dreptul de a solicita ștergerea datelor sale din indexul nostru prin cererea de takedown. Vezi §12 pentru lista completă a drepturilor și §11 pentru perioadele de retenție.

Pentru un Vizitator care nu plasează o Comandă, prelucrăm minimul tehnic necesar funcționării site-ului:

• — Adresa IP și user-agent al browserului, înregistrate temporar pentru protecție anti-abuz și diagnostic.
• — Cookie-uri esențiale de sesiune folosite în fluxul de intake (memorarea stadiului consimțământului între pași). Vezi §15.

Nu folosim Google Analytics, nu folosim pixeli de marketing (Meta, TikTok, Google Ads), nu folosim fingerprinting avansat al dispozitivului și nu plasăm cookie-uri de urmărire de la terți.

Prelucrarea datelor are temeiuri juridice diferite în funcție de persoana vizată și de tipul de date:

Pentru Utilizator:

• — Art. 6 alin. (1) lit. b) GDPR (executarea unui contract) pentru livrarea Serviciului, livrarea Raportului prin e-mail, gestiunea plății și a eventualelor rambursări.
• — Art. 9 alin. (2) lit. a) GDPR (consimțământ explicit) pentru prelucrarea datelor biometrice derivate din fotografiile Utilizatorului. Consimțământul se obține expres la finalizarea Comenzii prin Declarația de consimțământ și poate fi retras oricând.
• — Art. 6 alin. (1) lit. c) GDPR (obligație legală) pentru păstrarea metadatelor de Comandă și a documentelor justificative fiscale conform Codului fiscal și Legii contabilității nr. 82/1991.
• — Art. 6 alin. (1) lit. f) GDPR (interes legitim) pentru jurnalul de audit, anti-abuz și securitatea sistemului.

Pentru Subiect:

• — Art. 6 alin. (1) lit. f) GDPR (interes legitim) pentru căutarea și agregarea de date publice. Interesul legitim al Utilizatorului de a verifica reputația publică a unei persoane cu care are relație personală este echilibrat cu dreptul Subiectului la viață privată prin (i) limitarea strictă la surse publice, (ii) retenții scurte, (iii) mecanismul de takedown care onorează opoziția imediat.
• — Art. 9 alin. (2) lit. e) GDPR pentru componenta biometrică, întrucât prelucrăm date biometrice referitoare la fețe care au fost făcute publice în mod manifest de Subiectul însuși prin postarea pe profiluri publice indexate de motoarele de căutare.

Pentru Vizitator:

• — Art. 6 alin. (1) lit. f) GDPR (interes legitim) pentru jurnalele tehnice esențiale și protecția anti-abuz.

Articolul 9 GDPR clasifică datele biometrice ca date sensibile cu protecție sporită. Tratamentul nostru aplică exact acest principiu:

• — Fotografiile originale sunt criptate în stocare și șterse automat după 30 de zile.
• — Embeddings-urile biometrice trăiesc într-un „seif biometric" separat, cu chei distincte față de stocarea generală, pentru o perioadă de maxim 90 de zile.
• — Ștergere imediată la cerere, fără justificare, prin e-mail la legal@girlvertical.ro.

Detaliile complete despre cum stocăm, criptăm și ștergem datele biometrice sunt în Politica datelor biometrice.

Pentru a furniza Serviciul, divulgăm date personale către următoarele categorii de subîmputerniciți (procesatori care prelucrează date în numele nostru, conform art. 28 GDPR):

• — Procesatorul de plăți (Stripe Payments Europe, Ltd.) — procesează datele de card și emite referințele tranzacționale.
• — Furnizorii de stocare obiect (Cloudflare R2) — stochează fotografiile criptat.
• — Furnizorii de baze de date gestionate (Neon Postgres) — găzduiesc metadatele Comenzii și jurnalul de audit.
• — Furnizorul de e-mail tranzacțional (Resend) — livrează e-mailurile către Utilizator.
• — Motoarele de căutare facială (CamGirlFinder, FaceCheck.ID) — execută căutarea propriu- zisă pornind de la fotografia furnizată.

Lista completă, cu jurisdicție, măsuri de protecție și cadrul legal aplicabil, este publicată în Unde operăm. Operatorul notifică Utilizatorii cu o Comandă de tip monitorizare activă cu cel puțin 30 de zile înainte de adăugarea unui subîmputernicit nou.

Majoritatea subîmputerniciților operează în Uniunea Europeană (centre de date Frankfurt sau Irlanda). Unii furnizori procesează date în Statele Unite ale Americii (Resend, CamGirlFinder, FaceCheck.ID) sub Clauzele Contractuale Standard (SCC) aprobate de Comisia Europeană și, unde se aplică, sub Cadrul UE-SUA pentru protecția datelor (EU-US Data Privacy Framework).

Vezi Unde operăm pentru detalii pe fiecare furnizor.

Stocăm datele numai cât este necesar pentru scopul în care au fost colectate:

• — Fotografii originale: 30 de zile de la livrarea Raportului.
• — Embeddings biometrice: maxim 90 de zile (mai puțin dacă Utilizatorul cere ștergerea imediată).
• — Raport: 60 de zile de la livrare, accesibil prin link unic.
• — E-mail Utilizator și metadate Comandă: durata obligației legale de păstrare a documentelor justificative (10 ani conform Legii contabilității nr. 82/1991 și Codului fiscal).
• — Jurnal de audit: 12 luni.
• — Cereri de takedown rezolvate: 24 de luni de la rezolvare, ca probă a respectării obligațiilor de responsabilitate conform art. 5 alin. (2) GDPR.
• — Date de plată: conform politicii de retenție a Stripe; Operatorul reține doar referințele tranzacționale.

La expirarea perioadei aplicabile, datele se șterg sau se anonimizează automat.

Conform Regulamentului (UE) 2016/679 (GDPR) și Legii nr. 190/2018, ai următoarele drepturi în raport cu datele tale:

• — Dreptul de acces (art. 15) — să obții confirmarea că prelucrăm date despre tine și o copie a acestora.
• — Dreptul la rectificare (art. 16) — să corectezi datele inexacte sau să le completezi.
• — Dreptul la ștergere (art. 17, „dreptul de a fi uitat") — să ne ceri să ștergem datele tale. Pentru Subiecți, calea canonică este /takedown.
• — Dreptul la restricționarea prelucrării (art. 18) — să ne ceri să suspendăm temporar anumite prelucrări.
• — Dreptul la portabilitatea datelor (art. 20) — să primești datele pe care ni le-ai furnizat într-un format structurat, citibil automat.
• — Dreptul la opoziție (art. 21) — să te opui prelucrării bazate pe interes legitim. Pentru Subiecți, opoziția se exercită tot prin formularul de takedown.
• — Dreptul de a-ți retrage consimțământul (art. 7 alin. 3) — în orice moment, fără a afecta legalitatea prelucrării anterioare retragerii.
• — Dreptul de a nu face obiectul unei decizii automate (art. 22) — vezi mai jos.

Despre decizii automate și profilare: algoritmul de potrivire facială pe care îl folosim produce un Raport informativ care servește exclusiv ca instrument de sprijin pentru decizia Utilizatorului. Nu producem decizii automate cu efect juridic sau cu impact semnificativ similar asupra Subiectului în sensul art. 22 GDPR.

Solicitările pentru exercitarea drepturilor se trimit la legal@girlvertical.ro. Răspundem în termen de maximum 30 de zile, conform art. 12 alin. (3) GDPR.

Dacă consideri că prelucrarea datelor tale încalcă GDPR ai dreptul de a depune plângere la autoritatea de supraveghere. În România:

• Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
  B-dul Magheru nr. 28-30, Sector 1, București
  www.dataprotection.ro

Dacă ești rezident al unui alt stat membru al Uniunii Europene, poți depune plângere și la autoritatea de supraveghere a statului tău de reședință sau a locului unde s-a produs presupusa încălcare.

Aplicăm măsuri tehnice și organizatorice adecvate pentru protecția datelor, conform art. 32 GDPR:

• — Criptare în repaus și în tranzit (TLS pentru transport, criptare cu chei pentru stocare).
• — Separarea cheilor pentru seiful biometric față de stocarea generală — embeddings-urile nu pot fi accesate împreună cu metadatele Comenzii fără două chei distincte.
• — Acces bazat pe rol și principiul privilegiului minim pentru personalul Operatorului.
• — Jurnalizare a accesului la datele sensibile.
• — Testare regulată a planului de continuitate și recuperare.

În cazul unei breșe de securitate cu risc pentru drepturile persoanelor vizate, notificăm ANSPDCP în termen de 72 de ore și persoanele afectate fără întârzieri nejustificate, conform art. 33-34 GDPR.

Folosim un set minim de cookie-uri și tehnologii similare:

• — Cookie-uri esențiale de sesiune setate de site pentru a păstra stadiul consimțământului și progresul prin fluxul de intake. Se șterg la închiderea sesiunii.
• — Cookie-uri Stripe (terță parte) setate de procesatorul de plăți pe paginile de checkout, esențiale pentru prevenirea fraudei și pentru procesarea plății.

Nu folosim cookie-uri sau pixeli de analytics, marketing sau publicitate (fără Google Analytics, fără Meta Pixel, fără TikTok, fără Google Ads, fără retargeting). Nu folosim fingerprinting avansat al dispozitivului. Singurele identificatoare tehnice pe care le înregistrăm separat de sesiune sunt adresa IP și user-agent-ul, pentru anti-abuz și pentru proba consimțământului (art. 7 GDPR).

Operatorul poate actualiza prezenții termeni de confidențialitate. Versiunea în vigoare este publicată permanent la girlvertical.ro/legal/privacy, cu data ultimei actualizări la începutul documentului.

Modificările materiale (privind categoriile de date, temeiurile juridice, subîmputerniciții sau perioadele de retenție) se notifică prin e-mail Utilizatorilor cu Comenzi active de tip monitorizare, cu cel puțin 14 zile înainte de intrarea în vigoare.

Pentru orice întrebare privind această politică sau pentru exercitarea drepturilor tale GDPR, contactează:

• Juridic / GDPR: legal@girlvertical.ro
• Cereri takedown: takedown@girlvertical.ro sau formular dedicat
• Suport general: suport@girlvertical.ro