Juridic · Actualizat 2026-05-22

Politica de confidențialitate

GirlVertical procesează minimul de date necesar pentru a-și îndeplini serviciul de căutare în date publice cu consimțământ atestat. Această politică explică ce date prelucrăm, cu ce temei juridic, cât timp le păstrăm și cum îți exerciți drepturile prevăzute de GDPR.

1. Identificarea operatorului și contact

Operatorul datelor cu caracter personal procesate prin serviciul GirlVertical (denumit în continuare „Operator", „noi") este:

  • Denumire legală: GirlVertical Tech S.R.L.
  • Cod Unic de Înregistrare (CUI): 50234567
  • Număr Registrul Comerțului: J40/1234/2026
  • Sediu social: Str. Buzești 50-52, Et. 5, Sector 1, București, România
  • Capital social: 200 RON
  • E-mail juridic / GDPR: legal@girlvertical.ro
  • Suport general: support@girlvertical.ro
  • Cereri ștergere date (GDPR Art. 17 / Art. 21): legal@girlvertical.ro

Nu avem desemnat un responsabil cu protecția datelor (DPO). Articolul 37 alin. (1) lit. c) GDPR cere DPO doar atunci când activitatea principală a Operatorului constă în prelucrarea pe scară largă a datelor sensibile, prag pe care la volumul actual nu îl depășim (per Ghidul WP243). Re-evaluăm la scalare. Pentru orice întrebare GDPR, scrie la legal@girlvertical.ro.

2. Domeniul de aplicare

Această politică se aplică tuturor datelor cu caracter personal prelucrate prin intermediul site-ului girlvertical.ro și prin serviciul de căutare facială GirlVertical. Trei categorii de persoane vizate intră în scopul ei:

  • Utilizator — persoana care plasează o Comandă și furnizează fotografii pentru căutare.
  • Subiect — persoana a cărei față se caută în surse publice. Subiectul nu are relație contractuală cu noi; prelucrarea datelor sale se face cu un alt temei juridic (vezi §7).
  • Vizitator — orice persoană care accesează site-ul fără a plasa o Comandă.

Politica se completează cu Termenii și condițiile și cu Politica datelor biometrice.

3. Definiții

În cuprinsul prezentei politici:

  • Date personale — orice informații privind o persoană fizică identificată sau identificabilă, conform definiției din art. 4 pct. 1 GDPR.
  • Date biometrice — date personale rezultate dintr-o prelucrare tehnică specifică, referitoare la caracteristicile fizice (în cazul nostru: trăsăturile faciale) ale unei persoane fizice, care permit identificarea unică (art. 4 pct. 14 GDPR).
  • Embedding facial — reprezentare numerică (vector) a trăsăturilor faciale derivate dintr-o fotografie. Se calculează de către furnizorul de căutare facială și este utilizat strict pentru comparația cu profiluri publice.
  • Date publice — date accesibile public pe internet la momentul căutării, fără cont, fără autentificare și fără acord prealabil de confidențialitate.
  • Raport — rezultatul compilat al căutării: lista profilurilor publice posibil corespondente și metadatele aferente, livrat Utilizatorului prin link unic și e-mail.

4. Categorii de date prelucrate — Utilizator

Pentru un Utilizator care plasează o Comandă, prelucrăm:

  • Adresa de e-mail furnizată la finalizarea Comenzii, folosită exclusiv pentru livrarea Raportului și comunicările tranzacționale aferente.
  • Fotografiile încărcate ca subiect al căutării, împreună cu metadatele tehnice ale fișierelor (dimensiune, tip MIME, hash de conținut). Acestea includ date biometrice — vezi §8.
  • Date de plată procesate prin Stripe Payments Europe, Ltd. Nu stocăm numărul complet al cardului; reținem doar referințele tranzacționale Stripe (id sesiune, id intenție plată), brandul și ultimele 4 cifre ale cardului pentru bonul fiscal.
  • Adresa IP și user-agent la momentul atestării consimțământului și al plasării Comenzii. Servesc ca probă a consimțământului (art. 7 GDPR) și ca semnal anti-abuz.
  • Metadate de comandă — ștampile temporale (creare, plată, expirare link raport), statusuri, eventuale opțiuni alese în formular.
  • Jurnal de audit — acțiunile pe care le execută Utilizatorul în legătură cu Comanda (vizualizare raport, retrimitere e-mail).

Nu colectăm: nume legal, CNP, adresă poștală, număr de telefon, date de cont bancar, date de geolocație precisă.

5. Categorii de date prelucrate — Subiect

Operatorul este un releu de căutare, nu o sursă primară. Nu cumpărăm și nu arhivăm conturi de pe site-urile sursă; transmitem fotografia Utilizatorului către procesatori terți specializați de căutare facială (vezi §9), aceștia extrag trăsăturile faciale pe partea lor, le compară cu indexurile lor de surse publice, și ne returnează lista de profiluri publice corespondente. Indexarea, găzduirea miniaturilor și păstrarea vectorilor biometrici se face de către procesatori și de către platformele publice sursă — nu de către Operator.

Căutarea acoperă strict conținut public pe care Subiectul l-a făcut public din proprie inițiativă — profiluri pe site-uri de videochat (unde modelele activează profesional, sub un nume public ales de ele), conturi OnlyFans și similare, conturi pe rețele sociale fără setări private, forumuri publice, articole de presă, oricare alte pagini indexate fără autentificare. Acestea sunt date pe care Subiectul însuși le-a publicat și care sunt accesibile oricui pe internet. Sub Art. 9 alin. (2) lit. e) GDPR, datele biometrice „făcute publice în mod manifest" de persoana vizată pot fi prelucrate fără consimțământ individual.

Despre Subiectul căutării prelucrăm exclusiv:

  • Fotografia furnizată de Utilizator. Este criptată în stocare obișnuită doar pe durata procesării (până la 30 de zile, sau imediat la cerere). Operatorul transmite această fotografie către procesatori terți pentru extragerea trăsăturilor faciale. Operatorul nu stochează vectori biometrici (embeddings) — aceștia sunt extrași și păstrați exclusiv de către procesatorii terți, sub contractele lor GDPR Art. 28.
  • Răspunsul procesatorilor de căutare facială — URL-uri publice identificate ca posibile potriviri împreună cu fragmentele publice asociate (username, miniaturi publicate de platforma sursă). Păstrăm acest răspuns temporar pentru afișarea Raportului către Utilizator; el se șterge împreună cu Comanda (vezi §11).

Nu accesăm conținut privat: nu intrăm pe conturi private, nu cumpărăm date de la brokeri, nu folosim breșe de date, nu deducem orientare sexuală, religie sau opinii politice, nu surfacem niciodată fotografii sau informații pe care Subiectul nu le-a publicat singur. Nu construim profiluri persistente: dacă Subiectul apare în două Comenzi diferite, prelucrările sunt complet separate.

Eliminarea profilului de pe site-ul sursă nu este în controlul nostru. Dacă apari pe un site de videochat, o rețea socială sau o altă platformă publică și vrei ca acel conținut să dispară, trebuie să te adresezi direct platformei care îl găzduiește. Operatorul nu poate elimina ceea ce nu găzduiește.

6. Categorii de date prelucrate — Vizitator

Pentru un Vizitator care nu plasează o Comandă, prelucrăm minimul tehnic necesar funcționării site-ului:

  • — Adresa IP și user-agent al browserului, înregistrate temporar pentru protecție anti-abuz și diagnostic.
  • — Cookie-uri esențiale de sesiune folosite în fluxul de intake (memorarea stadiului consimțământului între pași). Vezi §15.
  • Cookie-uri de marketing (Meta Pixel, TikTok Pixel) — încărcate exclusiv dacă ai consimțit explicit prin banner-ul de cookie-uri afișat la prima vizită. Vezi §15 pentru lista exactă de cookie-uri setate, durată și modul de retragere a consimțământului.

Nu folosim Google Analytics, nu folosim Google Ads, nu folosim fingerprinting avansat al dispozitivului. Singurele cookie-uri de marketing sunt cele Meta + TikTok descrise mai sus, și se setează doar după consimțământ explicit.

7. Scopurile și temeiurile legale

Prelucrarea datelor are temeiuri juridice diferite în funcție de persoana vizată și de tipul de date:

Pentru Utilizator:

  • Art. 6 alin. (1) lit. b) GDPR (executarea unui contract) pentru livrarea Serviciului, livrarea Raportului prin e-mail, gestiunea plății și a eventualelor rambursări.
  • Art. 9 alin. (2) lit. a) GDPR (consimțământ explicit) pentru prelucrarea datelor biometrice derivate din fotografiile Utilizatorului. Consimțământul se obține expres la finalizarea Comenzii prin Declarația de consimțământ și poate fi retras oricând.
  • Art. 6 alin. (1) lit. c) GDPR (obligație legală) pentru păstrarea metadatelor de Comandă și a documentelor justificative fiscale conform Codului fiscal și Legii contabilității nr. 82/1991.
  • Art. 6 alin. (1) lit. f) GDPR (interes legitim) pentru jurnalul de audit, anti-abuz și securitatea sistemului.

Pentru Subiect:

  • Art. 6 alin. (1) lit. f) GDPR (interes legitim) pentru căutarea și agregarea de date publice. Interesul legitim al Utilizatorului de a verifica reputația publică a unei persoane cu care are relație personală este echilibrat cu dreptul Subiectului la viață privată prin (i) limitarea strictă la surse publice, (ii) retenții scurte, (iii) mecanismul de opoziție prin email care onorează cererea imediat.
  • Art. 9 alin. (2) lit. e) GDPR pentru componenta biometrică, întrucât prelucrăm date biometrice referitoare la fețe care au fost făcute publice în mod manifest de Subiectul însuși prin postarea pe profiluri publice indexate de motoarele de căutare.

Pentru Vizitator:

  • Art. 6 alin. (1) lit. f) GDPR (interes legitim) pentru jurnalele tehnice esențiale și protecția anti-abuz.

8. Date biometrice — tratament special

Articolul 9 GDPR clasifică datele biometrice ca date sensibile cu protecție sporită. Tratamentul nostru aplică exact acest principiu, prin minimizarea efectivă a biometricelor pe care le deținem:

  • Operatorul nu stochează vectori biometrici (embeddings). Fotografia furnizată de Utilizator este transmisă către procesatori terți specializați, care extrag trăsăturile faciale pe partea lor și le păstrează sub politica lor GDPR Art. 28. Operatorul primește înapoi doar lista de URL-uri publice corespondente — niciodată vectorul biometric în sine.
  • — Fotografiile originale primite de la Utilizator sunt criptate în stocare obișnuită doar pe durata procesării și șterse automat după 30 de zile (sau imediat la cerere).
  • — Ștergere imediată la cerere, fără justificare, prin e-mail la legal@girlvertical.ro.

Detaliile complete despre fluxul de date biometrice — ce stocăm noi, ce stochează procesatorii, retenția, drepturile tale — sunt în Politica datelor biometrice.

9. Destinatari și subîmputerniciți

Pentru a furniza Serviciul, divulgăm date personale către următoarele categorii de subîmputerniciți (procesatori care prelucrează date în numele nostru, conform art. 28 GDPR):

  • Procesatorul de plăți (Stripe Payments Europe, Ltd.) — procesează datele de card și emite referințele tranzacționale.
  • Furnizorii de stocare obiect (Cloudflare R2) — stochează fotografiile criptat.
  • Furnizorii de baze de date gestionate (Neon Postgres) — găzduiesc metadatele Comenzii și jurnalul de audit.
  • Furnizorul de e-mail tranzacțional (Resend) — livrează e-mailurile către Utilizator.
  • Furnizori specializați de căutare facială — execută căutarea propriu-zisă pornind de la fotografia furnizată. Lucrăm cu mai mulți furnizori specializați pentru acoperire diferită (web public, platforme de videochat) și păstrăm dreptul de a-i schimba fără notificare individuală.
  • Furnizori de analiză marketing (opțional, doar cu consimțământ) — Meta Platforms Ireland Ltd. (Meta Pixel + Conversions API) și TikTok Information Technologies UK Ltd. (TikTok Pixel + Events API). Primesc evenimente pseudonimizate (hash SHA-256 al email-ului, identificator intern, suma tranzacției) doar pentru utilizatorii care au consimțit explicit prin banner-ul de cookie-uri. Nu primesc fotografiile, rezultatele raportului, sau identitatea Subiectului căutării.

Lista completă, cu jurisdicție, măsuri de protecție și cadrul legal aplicabil, este publicată în Unde operăm. Operatorul notifică Utilizatorii cu o Comandă de tip monitorizare activă cu cel puțin 30 de zile înainte de adăugarea unui subîmputernicit nou.

10. Transferuri internaționale

Majoritatea subîmputerniciților operează în Uniunea Europeană (centre de date Frankfurt sau Irlanda). Unii furnizori — printre care furnizorul de e-mail tranzacțional, furnizorii de căutare facială și furnizorii de analiză marketing (Meta, TikTok — doar dacă ai consimțit) — procesează date în Statele Unite ale Americii sub Clauzele Contractuale Standard (SCC) aprobate de Comisia Europeană și, unde se aplică, sub Cadrul UE-SUA pentru protecția datelor (EU-US Data Privacy Framework). Meta Platforms și TikTok sunt ambele certificate sub EU-US DPF.

Vezi Unde operăm pentru detalii pe fiecare furnizor.

11. Perioade de retenție

Stocăm datele numai cât este necesar pentru scopul în care au fost colectate:

  • Fotografii originale: 30 de zile de la livrarea Raportului. Criptate în stocare obișnuită; transmise către procesatori terți pentru extragerea trăsăturilor faciale și apoi șterse.
  • Vectori biometrici (embeddings): Operatorul nu îi stochează. Sunt extrași și păstrați exclusiv de procesatorii terți, sub politica lor de retenție (vezi contractele GDPR Art. 28).
  • Raport: 60 de zile de la livrare, accesibil prin link unic.
  • E-mail Utilizator și metadate Comandă: durata obligației legale de păstrare a documentelor justificative (10 ani conform Legii contabilității nr. 82/1991 și Codului fiscal).
  • Jurnal de audit: 12 luni.
  • Date de plată: conform politicii de retenție a Stripe; Operatorul reține doar referințele tranzacționale.

La expirarea perioadei aplicabile, datele se șterg sau se anonimizează automat.

12. Drepturile persoanei vizate

Conform Regulamentului (UE) 2016/679 (GDPR) și Legii nr. 190/2018, ai următoarele drepturi în raport cu datele tale:

  • Dreptul de acces (art. 15) — să obții confirmarea că prelucrăm date despre tine și o copie a acestora.
  • Dreptul la rectificare (art. 16) — să corectezi datele inexacte sau să le completezi.
  • Dreptul la ștergere (art. 17, „dreptul de a fi uitat") — să ne ceri să ștergem datele pe care le deținem despre tine (fotografia Utilizatorului, e-mailul, metadatele Comenzii). Pentru Subiecți, reține că Operatorul nu este sursa conținutului indexat — fotografiile și profilurile de pe site-urile sursă (videochat, rețele sociale, platforme publice) sunt găzduite și controlate de acele platforme. Pentru eliminarea profilului de pe site-ul original, contactează direct platforma respectivă. Pentru ștergerea referințelor cache de partea Operatorului + înregistrarea cererii într-un registru intern de eliminare (eliminăm manual profilul din rapoartele viitoare înainte de livrare) și punctele de contact ale platformelor terțe, vezi procedura de eliminare.
  • Dreptul la restricționarea prelucrării (art. 18) — să ne ceri să suspendăm temporar anumite prelucrări.
  • Dreptul la portabilitatea datelor (art. 20) — să primești datele pe care ni le-ai furnizat într-un format structurat, citibil automat.
  • Dreptul la opoziție (art. 21) — să te opui prelucrării bazate pe interes legitim pentru datele pe care Operatorul le procesează direct. Operatorul nu controlează indexul furnizorilor de căutare facială — pentru excluderea din indexul lor, cererea trebuie adresată direct platformei publice care ți-a indexat profilul.
  • Dreptul de a-ți retrage consimțământul (art. 7 alin. 3) — în orice moment, fără a afecta legalitatea prelucrării anterioare retragerii.
  • Dreptul de a nu face obiectul unei decizii automate (art. 22) — vezi mai jos.

Despre decizii automate și profilare: algoritmul de potrivire facială pe care îl folosim produce un Raport informativ care servește exclusiv ca instrument de sprijin pentru decizia Utilizatorului. Nu producem decizii automate cu efect juridic sau cu impact semnificativ similar asupra Subiectului în sensul art. 22 GDPR.

Solicitările pentru exercitarea drepturilor se trimit la legal@girlvertical.ro. Răspundem în termen de maximum 30 de zile, conform art. 12 alin. (3) GDPR.

Cum sunt procesate cererile: toate cererile (acces, ștergere, portabilitate, opoziție) sunt procesate manual de echipa juridică în termen de maximum 30 de zile. Nu există un portal automat de self-service — fiecare cerere este verificată individual pentru a confirma identitatea solicitantului și pentru a preveni eliminări malițioase. Pentru ștergere accelerată (sub 7 zile), marchează e-mailul cu „URGENT — GDPR Art. 17" în subiect.

13. Plângere la autoritatea de supraveghere

Dacă consideri că prelucrarea datelor tale încalcă GDPR ai dreptul de a depune plângere la autoritatea de supraveghere. În România:

  • Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
    B-dul Magheru nr. 28-30, Sector 1, București
    www.dataprotection.ro

Dacă ești rezident al unui alt stat membru al Uniunii Europene, poți depune plângere și la autoritatea de supraveghere a statului tău de reședință sau a locului unde s-a produs presupusa încălcare.

14. Securitatea datelor

Aplicăm măsuri tehnice și organizatorice adecvate pentru protecția datelor, conform art. 32 GDPR:

  • — Criptare în repaus și în tranzit (TLS pentru transport, criptare cu chei pentru stocare).
  • — Minimizarea biometricelor: vectorii biometrici (embeddings) nu sunt stocați de Operator. Extragerea și păstrarea lor se face exclusiv la procesatorii terți specializați, sub contractele GDPR Art. 28. Operatorul nu poate fi compromis într-un mod care expune embeddings-uri biometrice — pur și simplu nu le deține.
  • — Acces bazat pe rol și principiul privilegiului minim pentru personalul Operatorului.
  • — Jurnalizare a accesului la datele sensibile.
  • — Testare regulată a planului de continuitate și recuperare.

În cazul unei breșe de securitate cu risc pentru drepturile persoanelor vizate, notificăm ANSPDCP în termen de 72 de ore și persoanele afectate fără întârzieri nejustificate, conform art. 33-34 GDPR.

15. Cookies și tehnologii similare

Folosim trei categorii de cookie-uri și tehnologii similare, distincte ca scop și ca temei legal:

a) Cookie-uri esențiale (întotdeauna active)

  • Cookie-uri de sesiune setate de site pentru a păstra stadiul consimțământului și progresul prin fluxul de intake. Se șterg la închiderea sesiunii. Nu necesită consimțământ — sunt strict necesare funcționării serviciului (art. 5(3) ePrivacy + ANSPDCP).
  • gv_consent — cookie persistent (365 zile) care reține alegerea ta din banner-ul de cookie-uri (Accept / Refuz). Setat de noi, nu de un terț.
  • Cookie-uri Stripe (terță parte) setate de procesatorul de plăți pe paginile de checkout, esențiale pentru prevenirea fraudei și pentru procesarea plății.

b) Cookie-uri de marketing (doar cu consimțământ explicit)

Se setează exclusiv după click pe „Accept" în banner-ul de cookie-uri afișat la prima vizită. Refuzul, închiderea banner-ului sau lipsa unei alegeri active înseamnă că NU se setează niciun cookie de marketing.

  • _fbp, _fbc — Meta Pixel. Setate de Meta Platforms Ireland Ltd. pe domeniul nostru pentru atribuirea conversiilor către campanii publicitare Meta. Durată: 90 zile (_fbp) / variabilă pentru _fbc.
  • _ttp — TikTok Pixel. Setate de TikTok Information Technologies UK Ltd. pe domeniul nostru pentru atribuirea conversiilor către campanii publicitare TikTok. Durată: 13 luni.

c) Retragerea consimțământului

Poți retrage consimțământul oricând prin:

  • — Ștergerea cookie-ului gv_consent din browser — banner-ul reapare la următoarea vizită și poți alege „Refuz".
  • — Ștergerea cookie-urilor de marketing (_fbp, _fbc, _ttp) direct din setările browser-ului.
  • — Email la legal@girlvertical.ro pentru o cerere formală de încetare a prelucrării în scop de marketing (art. 21 GDPR).

Datele transmise către Meta + TikTok la momentul fiecărui eveniment (vizualizare pagină de sumar, plată finalizată) sunt pseudonimizate prin hash SHA-256 al email-ului tău și al identificatorului intern al comenzii. Suma tranzacției (29.99 / 49.99 / 69.99 RON) este transmisă în clar pentru atribuirea corectă a valorii conversiei. Nu transmitem fotografiile încărcate, rezultatele raportului, sau identitatea Subiectului căutării.

Nu folosim Google Analytics, Google Ads, sau alte tehnologii de fingerprinting avansat al dispozitivului.

16. Modificarea politicii și contact

Operatorul poate actualiza prezenții termeni de confidențialitate. Versiunea în vigoare este publicată permanent la girlvertical.ro/legal/privacy, cu data ultimei actualizări la începutul documentului.

Modificările materiale (privind categoriile de date, temeiurile juridice, subîmputerniciții sau perioadele de retenție) se notifică prin e-mail Utilizatorilor cu Comenzi active de tip monitorizare, cu cel puțin 14 zile înainte de intrarea în vigoare.

Pentru orice întrebare privind această politică sau pentru exercitarea drepturilor tale GDPR, contactează:

GirlVertical Tech S.R.L. · CUI 50234567 · J40/1234/2026 · Sediu: Str. Buzești 50-52, Et. 5, Sector 1, București, România

Contact GDPR: legal@girlvertical.ro · Suport: support@girlvertical.ro