Politica de confidențialitate

Versiune v1.0 · Ultima actualizare: 10 mai 2026

1. Identitatea operatorului

Cine prelucrează datele tale.

Operator de date cu caracter personal: Software with Love SRL, persoană juridică română, CUI RO42480176, cu sediul social în România (adresa completă disponibilă la cerere până la actualizarea următoare a acestei politici).

Contact pentru chestiuni de confidențialitate: privacy@pierdutiinlume.ro.

Nu am desemnat un Responsabil cu Protecția Datelor (DPO) deoarece activitățile noastre de prelucrare nu îndeplinesc pragurile prevăzute la art. 37 GDPR (nu prelucrăm date sensibile la scară largă, nu suntem autoritate publică). Cererile privind drepturile tale sunt tratate direct de operator.

2. Datele pe care le colectăm

Categoriile de date personale prelucrate.

Date de identificare: adresa de email și, opțional, numele afișat. Email-ul provine din procesul de autentificare (Google OAuth sau Magic Link).
Date de profil de călătorie (toate opționale, completate contextual la prima generare relevantă): vehiculul tău (marcă, model, tip, dimensiuni), drona (model, greutate, clasa EU), preferințele alimentare, componența grupului de călători (adulți, copii pe categorii de vârstă, animale), regiunea de origine („home base", ex. „București") și preferințele tale (rating minim cazare, preferință pentru agriturism etc.).
Date despre minori (copii): exclusiv categoria de vârstă (sugar, mic, copil, adolescent), niciodată vârsta exactă sau numele. Introducerea acestor date necesită confirmarea explicită a faptului că ești părinte sau tutore. Nu permitem înregistrarea utilizatorilor sub 16 ani (vârsta de consimțământ digital în România conform Legii 190/2018, art. 6).
Datele tripurilor: destinația, datele călătoriei, contextul road trip-ului, evenimentele fixe, rezervările existente — toate furnizate de tine pentru fiecare trip generat.
Datele generate de AI: itinerariul rezultat, modificările tale ulterioare, recenziile post-trip.
Date de facturare: identificator client Stripe și starea abonamentului. Datele cardului bancar sunt prelucrate exclusiv de Stripe — nu le vedem și nu le stocăm.
Date operaționale: adresa IP (pentru limitarea ratei de cereri și prevenirea abuzului) și agentul de browser (logat doar în cazul erorilor).
Telemetrie produs: evenimente de utilizare anonimizate (fără cookies, vezi pct. 7).

3. Scopurile și temeiul juridic al prelucrării

De ce prelucrăm fiecare categorie.

Scop	Temei (art. 6 GDPR)	Date implicate
Generarea itinerariului contractat	Executarea contractului — art. 6(1)(b)	Profil + date trip
Crearea contului și autentificarea	Executarea contractului — art. 6(1)(b)	Email, identificatori OAuth
Procesarea plății și facturarea	Obligație legală — art. 6(1)(c) (TVA, contabilitate)	Date facturare, stripe_customer_id
Limitare rată cereri și prevenire abuz	Interes legitim — art. 6(1)(f)	IP, agent browser
Telemetrie produs anonimă (PostHog cookieless)	Interes legitim — art. 6(1)(f)	Evenimente UI fără identificator persistent
Email-uri tranzacționale (confirmare, drip de călătorie)	Executarea contractului — art. 6(1)(b)	Email + datele tripului
Newsletter „Sezon Deschis"	Consimțământ — art. 6(1)(a) (opt-out în orice moment)	Email
Procedura DSA notice-and-action	Obligație legală — art. 6(1)(c) (Regulamentul UE 2022/2065)	Datele din formularul de sesizare

4. Sub-procesatori (cu cine partajăm date)

Furnizorii care procesează date în numele nostru, sub contracte GDPR (DPA-uri).

Folosim furnizori specializați pentru fiecare componentă tehnică a serviciului. Toți sunt obligați contractual (DPA-uri art. 28 GDPR) să prelucreze datele exclusiv conform instrucțiunilor noastre.

Furnizor	Funcție	Jurisdicție	Retenție
Supabase	Bază de date + Auth + Storage (regiunea UE)	SUA / planul de date UE	Pe durata contractului + 30 zile
Vercel	Găzduire aplicație (Frankfurt)	SUA / edge UE	Loguri 30 zile
Stripe	Plăți, abonamente, facturi	SUA + Irlanda (UE)	7 ani (obligație contabilă RO)
Resend	Email tranzacțional (primar)	SUA	Loguri email 30 zile
AWS SES	Email tranzacțional (failover)	Luxemburg (UE)	Loguri email 30 zile
Mapbox	Hărți + geocodare (proxat server-side)	SUA	Tile-uri 30 zile; geocodare ≤24h
MapTiler	Hărți (failover)	Elveția (decizie de adecvare)	Identic Mapbox
Upstash	Limitare rată + cozi (regiunea UE)	SUA / plan UE	24h rate buckets, 7 zile cozi
Cloudflare	Captcha (Turnstile) + DNS	SUA / edge UE	Token captcha ≤5 min
PostHog	Analize produs (cookieless)	SUA / plan UE	Evenimente brute 90 zile
Sentry	Tracking erori	SUA, opțiune rezidență UE	90 zile
Better Stack	Uptime + status page	Estonia (UE)	30 zile
Langfuse	Observabilitate LLM (regiune UE)	Germania (UE)	1 an
Google (Gemini API)	Generare AI (provider primar)	SUA / Vertex AI cu opțiune UE	Zero-retention (acord business)
OpenAI	Generare AI (provider alternativ)	SUA	Zero-retention API (≤30 zile altfel)
Anthropic	Generare AI (failover, planificat)	SUA	30 zile (trust-and-safety)
Booking, Agoda, Trip.com, Airbnb	Redirecționări afiliate (fără PII transmis la click)	NL / SG / CN / SUA	N/A (controler-controler)

Atunci când adăugăm un nou sub-procesator, actualizăm această listă și creștem numărul versiunii politicii. Te încurajăm să verifici periodic dacă lista s-a modificat.

5. Transferuri internaționale (Cap. V GDPR)

Cum protejăm datele transferate în afara Spațiului Economic European.

Mulți dintre furnizorii noștri sunt societăți americane. Pentru fiecare astfel de transfer, ne bazăm pe o combinație de:

Cadrul UE-SUA pentru protecția datelor (EU-US Data Privacy Framework — Decizia de adecvare (UE) 2023/1795), unde furnizorul este certificat și activ pe lista oficială.
Clauze Contractuale Standard (SCC) Modulul 2 (operator → persoană împuternicită), conform Deciziei (UE) 2021/914 — semnate în cadrul DPA-urilor cu fiecare furnizor.
Măsuri suplimentare conform jurisprudenței Schrems II: criptare în tranzit și în repaus, pseudonimizare acolo unde se aplică.

Verificăm trimestrial statutul DPF al furnizorilor; dacă un furnizor iese de pe listă, ne bazăm exclusiv pe SCC plus o evaluare a impactului transferului (TIA).

6. Drepturile tale

Prevăzute de art. 15–22 GDPR.

Dreptul de acces (art. 15) — confirmarea că prelucrăm date despre tine + o copie a acestora.
Dreptul la rectificare (art. 16) — corectarea datelor inexacte sau incomplete.
Dreptul la ștergere (art. 17) — ștergerea datelor („dreptul de a fi uitat"), cu excepția datelor pe care avem obligația legală să le păstrăm (ex. facturi 7 ani).
Dreptul la restricționarea prelucrării (art. 18) — la cerere, în cazuri specifice (ex. dispută privind acuratețea).
Dreptul la portabilitate (art. 20) — primești datele tale într-un format structurat, citibil de mașină (JSON).
Dreptul la opoziție (art. 21) — pentru prelucrările bazate pe interes legitim (ex. analize produs).
Dreptul de a nu fi supus unei decizii automate (art. 22) — nu se aplică: AI-ul generează conținut, nu produce decizii cu efecte juridice asupra ta.
Dreptul de a-ți retrage consimțământul (art. 7(3)) — pentru prelucrări bazate pe consimțământ (ex. newsletter), oricând, fără efecte retroactive.

7. Cum exerciți drepturile

Self-service în primul rând, email pentru cazurile speciale.

Acces și portabilitate (art. 15, 20): /dashboard/account/export — generezi un export JSON cu toate datele tale.
Ștergere (art. 17): /dashboard/account/delete — ștergerea contului. Datele cu caracter personal sunt eliminate în maximum 30 de zile; datele de facturare sunt păstrate pentru obligațiile contabile (7 ani).
Rectificare (art. 16): direct din pagina ta de profil. Schimbarea adresei de email necesită confirmare pe ambele adrese (vechea și noua).
Alte drepturi: trimite un email la privacy@pierdutiinlume.ro. Răspundem în maximum 30 de zile, prelungibili cu 60 de zile în cazuri complexe (cu notificare prealabilă).

8. Cookies și stocare locală

Folosim minimul tehnic necesar.

Folosim doar cookies strict necesare (autentificare Supabase, integrare plată Stripe). Acestea sunt exceptate de la cerința de consimțământ conform Directivei ePrivacy + Legii 506/2004, art. 4 alin. (5).

Pentru analize de produs folosim PostHog în mod cookieless — nu setăm cookies de tracking, nu folosim localStorage pentru identificare persistentă, evenimentele sunt colectate anonim per sesiune.

Detalii complete: /legal/cookie-notice.

9. Reclamații la autoritatea de supraveghere

ANSPDCP — autoritatea română.

Dacă apreciezi că prelucrarea datelor tale încalcă GDPR sau legislația română, ai dreptul să depui o reclamație la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP):

Site: dataprotection.ro
Adresă: B-dul G-ral. Gheorghe Magheru nr. 28-30, sector 1, cod 010336, București
Email: anspdcp@dataprotection.ro

Te încurajăm să ne contactezi întâi la privacy@pierdutiinlume.ro — putem rezolva mai rapid problema.

10. Modificări ale acestei politici

Cum aflăm că s-a schimbat ceva.

Această politică are versiunea v1.0. Atunci când o modificăm, creștem numărul versiunii și actualizăm data de mai sus. Modificările materiale (categorii noi de date, scopuri noi, sub-procesatori noi) sunt comunicate prin email cu cel puțin 14 zile înainte de a intra în vigoare.

Versiunile anterioare ale politicii sunt disponibile la cerere la privacy@pierdutiinlume.ro.