Securitate · Actualizat 2026-05-22

Nu stocăm date biometrice.

GDPR Art. 9 clasifică datele biometrice ca date sensibile. Soluția noastră: nu deținem niciodată un vector biometric. Pasăm fotografia furnizată direct către procesatori terți specializați, primim înapoi rezultatele căutării (URL-uri publice + nume de utilizator), și ștergem fotografia după ce raportul tău e gata.

Fluxul, pas cu pas

  1. Tu încarci o poză. O păstrăm criptat în stocare obișnuită doar cât durează procesarea — de obicei 5–15 minute. Maxim 30 de zile, după care se șterge automat.
  2. Trimitem fotografia către procesatori terți specializați de căutare facială. Ei extrag trăsăturile faciale (vectorul biometric) pe partea lor, compară cu indexurile lor de surse publice, și ne returnează lista de profiluri care corespund.
  3. Noi primim doar rezultatele. URL-uri publice, nume de utilizator, ștampile temporale. Niciodată vectorul biometric în sine — acela rămâne la procesator, sub politica lor GDPR Art. 28.
  4. Compilăm raportul, ți-l livrăm, fotografia se șterge la sfârșitul ferestrei de retenție. Singurul lucru biometric pe care l-am atins a fost fotografia originală — și aceea pleacă.

Ce stocăm

  • Originalul pozei — criptat în stocare obișnuită, șters automat după 30 de zile (sau imediat la cerere). Nu e folosit nicăieri în afara fluxului de căutare.
  • Rezultatele căutării — URL-uri publice și fragmente de profil returnate de procesatori (nume de utilizator, ștampile temporale, miniaturi atunci când platforma sursă le publică). Păstrate 60 de zile pentru accesul tău la raport.
  • Metadatele căutării — ID, plan ales, ștampile temporale. Anonimizate la expirarea retentiei.

Ce NU stocăm

  • Vectori biometrici (embeddings). Niciodată. Sunt extrași și păstrați exclusiv la procesatorii terți.
  • Imagini ale subiecților din rezultate. Referim doar URL-urile publice ale platformelor unde subiectul s-a făcut public — nu copiem conținutul lor.
  • Date biometrice pentru minori. Politica de utilizare acceptabilă interzice căutarea minorilor; orice astfel de solicitare e refuzată.
  • Profiluri persistente ale subiecților. Două căutări pentru aceeași persoană sunt tratate complet independent — nu construim un dosar cumulativ în timp.

Doar date publice, cu consimțământ implicit

Procesatorii noștri caută exclusiv în surse pe care Subiectul căutării le-a făcut publice din proprie inițiativă — profiluri pe site-uri de videochat (unde modelele lucrează deschis, sub un nume public), conturi OnlyFans, profiluri de pe rețele sociale fără setări private, forumuri publice, articole de presă. Toate aceste surse sunt accesibile oricui pe internet fără login.

Nu surfacem niciodată conținut privat — nu accesăm conturi închise, nu cumpărăm date din breșe, nu deducem informații pe care subiectul nu le-a publicat singur. Sub GDPR Art. 9 alin. (2) lit. e), prelucrarea datelor biometrice ale unei persoane care le-a făcut „manifestly made public" este permisă fără consimțământ individual.

Drepturile tale

  • Drept la ștergere — Pozele se șterg automat la 30 de zile sau imediat la cerere prin email la legal@girlvertical.ro. Vectorii biometrici nu există la noi, deci nu mai e nimic biometric de șters de partea noastră.
  • Drept la portabilitate — Export al datelor tale (email, ID comandă, rezultatele raportului) în format JSON la legal@girlvertical.ro.
  • Drept la rectificare / opoziție — Dacă apari ca subiect și informația despre tine este greșită pe un site sursă (videochat, rețele sociale, etc.), cererea de corecție / ștergere se adresează direct platformei care găzduiește conținutul. Noi doar raportăm URL-urile publice — nu le controlăm.
  • Eliminare din rapoartele noastre — Dacă apari (sau te temi că vei apărea) într-un raport GirlVertical și vrei ca profilul tău să nu mai fie returnat în rezultatele noastre, există o procedură dedicată cu identificare prin foto + act, listă internă de excludere și răspuns în 15 zile lucrătoare. Vezi /legal/takedown.

Procesatori terți

Lucrăm cu mai mulți furnizori specializați în căutare facială pe surse publice. Pentru a proteja arhitectura competitivă a serviciului, nu publicăm lista completă. Toți sunt sub contracte GDPR Art. 28 (procesatori), operează sub Clauzele Contractuale Standard (SCC) acolo unde transferul iese din SEE, și extrag / păstrează vectorii biometrici pe partea lor — nu transferă vreodată embeddings către noi.

Lista de jurisdicții (țări de operare, cadru legal aplicabil) e pe pagina /security/jurisdictions.