Politica de confidențialitate

Versiunea 1.0 — 6 mai 2026

RomânăEnglish

Pe scurt

Operator de date: reclamepenet, marcă operată de PFA Victor Grosu (înregistrare în curs). Reședința fiscală: România. Jurisdicție aplicabilă: Uniunea Europeană. Pentru orice solicitare privind datele tale personale, scrie-ne la privacy@reclamepenet.ro.

Această politică este o notificare stratificată. Pe această pagină găsești categoriile generale de date prelucrate, scopul lor, temeiul legal și categoriile funcționale de furnizori cu care lucrăm. Pentru lista exactă a sub-procesorilor, cu denumirile lor, jurisdicția fiecăruia și DPA-ul aplicabil, vezi pagina dedicată lista sub-procesorilor. Această abordare urmează liniile directoare 03/2019 ale Comitetului European pentru Protecția Datelor (EDPB) privind transparența și proporționalitatea în notificările făcute conform articolului 13 din Regulamentul (UE) 2016/679 (GDPR).

Public țintă: reclamepenet este un instrument profesional de generare a creativelor publicitare; serviciul este adresat exclusiv adulților (18+) și utilizatorilor autorizați să acționeze în numele unei activități economice (PFA, SRL, freelancer, agenție). Nu colectăm intenționat date despre minori.

Ce date colectăm

Grupăm datele pe care le procesăm în cinci categorii funcționale. Pentru fiecare categorie indicăm ce conține și de ce o avem; pentru cine o procesează tehnic, vezi lista sub-procesorilor.

a) Cont și autentificare

Atunci când îți creezi un cont reclamepenet, stocăm adresa ta de email ca identificator principal. Autentificarea se face prin magic-link (un link de unică folosință trimis pe email) sau prin OAuth (Google sau Facebook), caz în care primim de la furnizorul OAuth doar adresa de email și un identificator opac al contului tău — nu primim parola și nu primim listele tale de prieteni, fotografiile sau alte date de profil. Asociem contul tău cu un workspace_id intern, astfel încât toate proiectele și creditele tale să fie izolate strict în propriul tău spațiu (arhitectură multi-tenant cu izolare la nivel de rând în baza de date). La emiterea fiecărui magic-link, înregistrăm adresa IP de la care a fost solicitat, exclusiv pentru a împiedica abuzul prin furt de link (IP-binding); această valoare expiră odată cu linkul.

b) Utilizare produs

Pe măsură ce folosești platforma, stocăm metadatele proiectelor tale: URL-ul produsului pe care îl analizezi (atunci când alegi fluxul de ingestie automată), datele introduse manual despre produs sau afacere atunci când optezi pentru fluxul manual sau pentru fluxul „afacere locală”, configurația fiecărei variante de reclamă (limbă, voce preselectată, tonalitate, fundal, lungime), starea ei în mașina de stări draft → rendering → preview → accepted și alte evenimente operaționale relevante (de exemplu, cererile de re-generare). Stocăm de asemenea fișierele MP3 și MP4 generate la cerere, pe durata indicată în secțiunea Reținere și ștergere.

Acțiunile administrative semnificative — acceptarea unei variante, consimțământul de descărcare AI, modificarea contului, ștergerea unui proiect, validarea unei plăți — sunt înscrise într-un jurnal de audit intern (audit_log) cu marcaj temporal, autor și hash-ul evenimentului. Acest jurnal nu conține conținutul mesajelor tale, ci doar fapte despre ce s-a întâmplat și când.

c) Plăți

Plățile pentru pachetele de credite sunt gestionate integral de Paddle, în calitate de Merchant of Record (vânzător de înregistrare). Aceasta înseamnă că Paddle este partea contractuală directă pentru tranzacția de plată, emite factura, încasează TVA-ul aplicabil în jurisdicția ta și gestionează conformitatea fiscală intra-comunitară. Datele instrumentului tău de plată (numărul cardului, codul de validare, contul bancar) sunt colectate și stocate direct de Paddle — reclamepenet nu le primește, nu le vede și nu le poate accesa.

Ce primește reclamepenet de la Paddle se rezumă la metadate ale tranzacției: identificatorul tranzacției, suma, moneda, ora, statusul (succes/eșec/disputat), țara de facturare și ultimele patru cifre ale instrumentului de plată — toate strict necesare pentru a-ți acorda creditele cumpărate, pentru a emite facturi corespunzătoare și pentru a putea răspunde unei dispute. Paddle este menționat nominal în această politică (excepție de la regula generală conform căreia descriem furnizorii prin categorii) tocmai pentru că rolul său de Merchant of Record creează o relație contractuală directă cu tine, care trebuie să fie complet transparentă.

d) Telemetrie operațională

Pentru a opera platforma în siguranță, colectăm telemetrie tehnică exclusiv server-side: erori de execuție (stack traces, codul de eroare, calea cererii care a eșuat), evenimente de analitică a produsului (acțiuni precum „proiect creat”, „variantă acceptată”, „credit consumat”) și metrici de performanță (latențe, rate de succes ale apelurilor către sub-procesorii noștri).

Aceste evenimente sunt etichetate cu distinctId = workspace_id — un identificator opac al spațiului tău de lucru, nu cu adresa ta de email și nu cu un identificator inter-site. Nu rulăm SDK-uri de analitică în browser și nu plasăm pixeli de urmărire. Nu corelăm telemetria noastră cu profilul tău pe alte site-uri și nu o partajăm cu rețele de marketing terțe.

e) Cookies și stocare locală în browser

Folosim un set restrâns de cookie-uri strict necesare (token de sesiune, token CSRF, cookie de provocare anti-abuz). Detalii complete despre fiecare cookie, scopul lui, retenția și mecanismele de retragere a consimțământului se află în politica de cookies.

De ce le folosim — temei legal

Pentru fiecare categorie de prelucrare ne sprijinim pe unul dintre temeiurile prevăzute la articolul 6 alineatul (1) din GDPR. Temeiurile nu se cumulează arbitrar — pentru o anumită prelucrare există un singur temei principal, indicat mai jos.

  • Executarea contractului — articolul 6 alineatul (1) litera (b) GDPR: toată funcționalitatea de bază a produsului, de la crearea contului și gestionarea workspace-ului, până la generarea variantelor de reclamă, livrarea fișierelor finale și menținerea istoricului tău de proiecte. Fără aceste prelucrări, nu îți putem livra serviciul pe care ai ales să-l folosești.
  • Interes legitim — articolul 6 alineatul (1) litera (f) GDPR: securitatea infrastructurii (detecția intruziunii, rate-limiting, protecție anti-bot), prevenirea fraudei (de exemplu, detectarea cardurilor furate sau a tiparelor de chargeback abuziv), jurnalizarea de audit pentru integritatea operațională, recuperarea coșurilor abandonate (un singur email tranzacțional dacă ai început o generare și nu ai finalizat-o, cu opțiune simplă de dezabonare). Pentru fiecare dintre aceste prelucrări am realizat o evaluare a echilibrului între interesul nostru legitim și drepturile tale; poți solicita o copie a evaluării la privacy@reclamepenet.ro.
  • Consimțământ — articolul 6 alineatul (1) litera (a) GDPR: cookie-urile non-esențiale, atunci când vor exista. La data acestei politici nu există cookie-uri non-esențiale — dar dacă vom introduce vreunul (de exemplu, analitică opt-in), îți vom solicita consimțământ explicit prin banner, cu refuz simetric.
  • Obligație legală — articolul 6 alineatul (1) litera (c) GDPR: păstrarea facturilor și a documentelor financiare conexe pentru perioada minimă prevăzută de Legea contabilității nr. 82/1991 articolul 25 (10 ani) și de Codul fiscal român. Această obligație prevalează față de o eventuală cerere de ștergere completă, conform articolului 17 alineatul (3) litera (b) GDPR.

Cu cine partajăm — categorii de sub-procesori

În executarea contractului folosim un set restrâns de sub-procesori specializați. În spiritul notificării stratificate prevăzute de articolul 13 GDPR și de liniile directoare 03/2019 EDPB, listăm aici doar categoriile funcționale; denumirile exacte, jurisdicția fiecăruia și DPA-ul aplicabil se află pe pagina dedicată.

  • Infrastructură cloud și bază de date — găzduirea aplicației, stocarea bazei de date relaționale și stocarea fișierelor obiect (MP3, MP4, imagini încărcate). Reședință de date: Uniunea Europeană.
  • Generare AI — generarea de scripturi text, sinteza vocii și randarea videoclipurilor cu avatar. Toate apelurile sunt server-side; nu există SDK-uri de furnizor în browserul tău și politica noastră de securitate a conținutului (CSP) blochează apelurile directe din browser către domeniile acestor furnizori.
  • Procesare plăți — Paddle, Merchant of Record (singurul sub-procesor numit explicit pe această pagină, pentru că rolul de MoR creează o relație contractuală directă cu tine).
  • Analitică și monitorizare — exclusiv server-side; fără identificatori persistenți la nivel de browser, fără pixeli de urmărire, fără profilare comportamentală inter-site.
  • Email tranzacțional — trimiterea de magic-link-uri, confirmări de plată, notificări operaționale și emailul unic de recuperare a coșului abandonat.
  • Captcha și anti-abuz — provocări de tip captcha pe formularele publice (de exemplu, conectare) pentru a împiedica atacurile automate, fără identificarea persoanei.

Pentru lista completă cu denumirile fiecărui sub-procesor, jurisdicția lor și DPA-ul aplicabil, vezi lista sub-procesorilor.

Drepturile tale

Conform articolelor 15–22 din GDPR, ai următoarele drepturi privind datele tale personale prelucrate de reclamepenet. Pentru exercitarea oricăruia dintre ele, scrie la privacy@reclamepenet.ro sau folosește panoul self-serve indicat. Răspundem în maximum 30 de zile, conform articolului 12 alineatul (3) GDPR; perioada poate fi extinsă cu încă două luni pentru cereri complexe, caz în care te anunțăm.

  • Dreptul de acces (articolul 15 GDPR) — primești o copie completă a datelor tale personale prelucrate de reclamepenet, într-un format structurat. Disponibil prin panoul self-serve la /setari/confidentialitate (în curs de finalizare). Până la lansarea panoului, scrie la privacy@reclamepenet.ro.
  • Dreptul la rectificare (articolul 16 GDPR) — poți actualiza informațiile despre contul tău direct din setările contului; pentru modificări care nu sunt accesibile self-serve, scrie-ne pe email.
  • Dreptul la ștergere (articolul 17 GDPR, „dreptul de a fi uitat”) — poți solicita ștergerea contului prin DSAR self-serve sau prin email. Aplicăm o perioadă de 30 de zile de tip „soft delete” (recuperabilă), apoi ștergem fizic toate datele. Excepție: înregistrările fiscale și de plată sunt păstrate pentru perioada minimă prevăzută de lege, conform articolului 17 alineatul (3) litera (b) GDPR.
  • Dreptul la restricționarea prelucrării (articolul 18 GDPR) și dreptul la opoziție (articolul 21 GDPR) — prin email, cu termen de răspuns de 30 de zile.
  • Dreptul la portabilitate (articolul 20 GDPR) — poți descărca toate datele tale personale într-o arhivă ZIP cu format JSON structurat, prin DSAR self-serve sau prin email.
  • Dreptul la rambursare conform politicii noastre dedicate — vezi politica de rambursare pentru detaliile despre Creditele de Re-Generare și despre dreptul legal de retragere de 14 zile prevăzut de OUG 34/2014 pentru pachetele de credite neutilizate.
  • Dreptul de a depune o plângere la autoritatea de supraveghere — în România, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), https://www.dataprotection.ro/. Te încurajăm să ne contactezi prima dată pe noi — în multe cazuri putem rezolva problema fără escaladare.

Reținere și ștergere

Aplicăm o politică de minimizare a reținerii: fiecare categorie de date are un TTL (timp de viață) clar, după care este ștearsă automat. Termenele de mai jos sunt cele aplicate la data acestei politici; modificările vor fi reflectate în versiuni ulterioare.

  • Date de cont: pe toată durata în care contul este activ, plus 30 de zile de „soft delete” după închidere — apoi ștergere fizică.
  • MP4 generat — preview: 7 zile de la randare. Dacă nu accepți varianta în acest interval, fișierul este șters automat.
  • MP4 generat — versiune curată / acceptată: 90 de zile de la acceptare; descarcă-ți videoclipul și fă un backup local dacă vrei să îl păstrezi mai mult.
  • Outputs interne pre-curățare: 48 de ore, exclusiv intern; folosite pentru depanare tehnică și nu sunt accesibile prin interfața utilizatorului.
  • Imagini încărcate de utilizator (BYOA / „bring your own asset”): 30 de zile de la încărcare.
  • Sinteză voce (MP3): 7 zile.
  • Jurnale de audit: 6 ani — termen aliniat cu obligațiile contabile ale Codului fiscal român.
  • Înregistrări de plată și facturi: 10 ani, conform articolului 25 din Legea contabilității nr. 82/1991.

Transferuri internaționale de date

Prioritizăm reședința în Uniunea Europeană pentru toate categoriile de date pe care le controlăm — baza de date principală, stocarea fișierelor utilizator și majoritatea instrumentelor noastre de monitorizare sunt găzduite în UE. Anumiți sub-procesori specializați (în special pentru generarea AI și procesarea plăților) sunt stabiliți în Statele Unite. Pentru aceste transferuri ne sprijinim pe clauzele contractuale standard (SCC) adoptate prin Decizia de punere în aplicare 2021/914 a Comisiei Europene din 4 iunie 2021, completate, după caz, de evaluări ale impactului transferurilor (Transfer Impact Assessments) realizate conform metodologiei Recomandării 01/2020 EDPB ulterioare hotărârii Schrems II.

O copie redactată a clauzelor și a TIA-urilor noastre poate fi solicitată la privacy@reclamepenet.ro. Pentru jurisdicția fiecărui sub-procesor în parte, vezi lista sub-procesorilor.

Securitate

Aplicăm măsuri tehnice și organizatorice proporționale cu riscurile, conform articolului 32 GDPR. În concret: toate apelurile către furnizori terți se fac exclusiv server-side — politica de securitate a conținutului (CSP) blochează apelurile directe din browser către domeniile sub-procesorilor; transportul datelor pe internet se face criptat (HTTPS / TLS 1.2 sau superior); baza de date și obiectele utilizator sunt stocate în UE; cheile de acces ale serviciilor sunt rotite la cel mult 90 de zile; pipeline-ul de integrare continuă (CI) rulează scanare automată de secrete și de dependențe vulnerabile înainte de fiecare deploy.

Modificări ale politicii

Aceasta este versiunea 1.0, în vigoare de la 6 mai 2026. Vom actualiza această politică ori de câte ori introducem o nouă categorie de prelucrare, schimbăm un sub-procesor cu impact direct asupra ta sau modificăm o perioadă de retenție. Modificările minore (clarificări de limbaj, corecturi tipografice) sunt notate cu o nouă dată „ultima actualizare”, fără notificare separată. Modificările materiale — orice schimbare a scopului prelucrării sau a categoriilor de date — declanșează un email de notificare cu cel puțin 30 de zile înainte de intrarea în vigoare, iar tranzacțiile existente la acel moment continuă să fie guvernate de versiunea aplicabilă la încheierea lor.

Contact

  • Pentru cererile DSAR (acces, ștergere, portabilitate) și pentru orice întrebări privind datele tale: privacy@reclamepenet.ro.
  • Adresă poștală oficială: în curs de publicare (PFA Victor Grosu, în curs de înregistrare în România). Va fi adăugată aici și în footerul site-ului imediat ce înregistrarea fiscală este finalizată.
  • Autoritatea de supraveghere: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), https://www.dataprotection.ro/.