Politica de confidențialitate

1. Operator și date de contact

Operatorul datelor cu caracter personal (responsabilul de prelucrare) este SC SECOVAL CONSULTING SRL, cu sediul în Calea Crangasi nr. 20, București, Sector 6, CUI RO32124635, înregistrată la Registrul Comerțului sub nr. J60/10067/2013.

Contact general: alex@bikeverse.ro
Contact protecția datelor: privacy@bikeverse.ro

Pentru orice întrebări sau cereri legate de prelucrarea datelor tale personale, te poți adresa la adresa de email dedicată protecției datelor indicată mai sus.

2. Ce date colectăm

În funcție de modul în care utilizezi Platforma, putem colecta și prelucra următoarele categorii de date:

a) Date de identificare

Nume, prenume, username, adresă de email, număr de telefon (opțional), adresă fizică (opțional), fotografie de profil, biografie (bio).

b) Date de autentificare

Parola (stocată exclusiv în formă criptată / hash), identificatorul furnizorului OAuth (Google, Facebook) dacă alegi autentificarea socială, token-uri de sesiune (JWT).

c) Date privind vârsta și consimțământul parental

Confirmarea vârstei (peste 14 ani, peste 16 ani), adresa de email a părintelui/tutorelui (pentru utilizatori sub 16 ani), statusul consimțământului parental.

d) Date despre biciclete

Brand, model, an fabricație, serie cadru (opțional), tip bicicletă, dimensiune roți, material cadru, culoare, porecla bicicletei, componente (furci, amortizoare, frâne, transmisie etc.), ore de funcționare, operațiuni de mentenanță, fotografii ale bicicletelor (inclusiv date de decupare/crop).

e) Conținut generat de utilizator

Fotografii (profil, biciclete, evenimente), recenzii și evaluări (1-5 stele + text), mesaje în cadrul evenimentelor, articole, aprecieri, voturi (Bike of the Month), raportări de conținut.

f) Date de activitate și utilizare

Sesiuni de utilizare (momentul începerii și încheierii, durata), ultima activitate în aplicație (last seen), jurnal de acțiuni (înregistrare, autentificare, adăugare bicicletă, participare eveniment etc.), cod QR generat pentru check-in la evenimente.

g) Date de localizare

Adrese introduse manual (text), coordonate geografice (latitudine/longitudine) asociate evenimentelor, serviciilor sau locațiilor introduse de utilizator. Nu utilizăm tracking GPS continuu — localizarea este folosită doar punctual, pe baza datelor introduse de utilizator sau selectate pe hartă.

h) Date de gamificare

Puncte AURA, rang, istoric de acumulare/scădere puncte, voturi, aprecieri acordate și primite, participări la competiții.

i) Date sociale

Lista de utilizatori urmăriți (follow), aprecieri de profil, coduri de recomandare (referral), relațiile de recomandare.

j) Date tehnice

Adresa IP (colectată indirect prin servicii de analytics și la acțiunile administrative), tipul browserului, sistemul de operare, rezoluția ecranului (colectate prin cookies de analytics cu consimțământul tău).

l) Date pentru statistici interne de utilizare

Pentru înțelegerea modului în care este utilizată Platforma, înregistrăm accesări la anumite secțiuni (directoare de service-uri, cluburi, evenimente, închirieri). Pentru vizitatori neautentificați folosim un identificator de sesiune (cookie) care nu conține date personale. Înregistrăm tipul de pagină accesată, dacă accesul este făcut de un utilizator autentificat sau nu, și data/ora. Pentru utilizatori autentificați, aceste date pot fi asociate cu contul. Datele sunt folosite în formă agregată (rapoarte zilnice, săptămânale, lunare) pentru îmbunătățirea serviciilor și nu sunt partajate cu terți.

k) Date de plată (Magazin online activ; CONECTOR activ; Marketplace utilizatori — viitor)

Pentru Magazinul online BIKEVERSE, procesarea plăților cu cardul se face prin Stripe; sunt acceptate de asemenea plata prin transfer bancar pe baza facturii proforme și plata ramburs la curier. Pentru conturile CONECTOR (business), procesarea plăților este activă tot prin Stripe, inclusiv Stripe Financial Connections pentru legarea contului bancar, debitarea abonamentelor acolo unde este suportată și payouts prin Stripe Connect. Pentru marketplace-ul user-to-user din Platformă și plățile pentru evenimente cu taxă, procesarea va fi similară când aceste funcții vor fi disponibile. Nu stocăm date de card bancar, nici credențiale de autentificare la bancă pe serverele noastre. Păstrăm referințe necesare pentru facturare și suport (de exemplu token de cont bancar sau referință Stripe, ID tranzacție, sumă, dată, status).

n) Date privind Comenzile din Magazinul online

Pentru fiecare Comandă plasată în Magazin, prelucrăm: numărul Comenzii, lista produselor și cantitățile, prețurile, modalitatea de plată și status-ul plății, modalitatea și costul de livrare, adresa de livrare (nume, adresă, oraș, județ, cod poștal, telefon), adresa de facturare și datele fiscale (nume/denumire, CNP/CUI, registru comerțului dacă e cazul), eventuale instrucțiuni speciale pentru curier, observații. Aceste date sunt necesare pentru încheierea și executarea Contractului de vânzare și pentru îndeplinirea obligațiilor fiscale.

o) Date privind livrarea

Pentru livrarea Bunurilor, transmitem furnizorului de curierat (de exemplu Colete.online/eCOLET și partenerii săi) datele necesare pentru transport: nume destinatar, adresă completă, telefon, eventual email, dimensiunea coletului, valoarea ramburs (dacă e cazul) și instrucțiuni de livrare. Primim înapoi de la curier: codul de expediere (AWB), status-ul coletului și, după caz, dovada de livrare. Pentru livrările la locker/punct de ridicare, identificatorul punctului ales și codul de ridicare sunt asociate Comenzii tale.

p) Date de facturare și fiscale

Pentru fiecare Comandă emitem factură fiscală conform legislației (Codul fiscal, Legea contabilității 82/1991, OUG 120/2021 privind RO e-Factura). Datele de pe factură includ: denumire / nume cumpărător, adresă, CNP/CUI, denumire produse, cantități, prețuri, TVA, total, modalitate de plată. Facturile sunt arhivate electronic și, pentru B2B și cazurile impuse de lege, sunt transmise și prin sistemul național RO e-Factura.

m) Date bancare prin Stripe Financial Connections (CONECTOR)

Dacă ești reprezentant al unui business și legi un cont bancar în fluxul Stripe Financial Connections: primim prin Stripe identificatori tokenizați ai contului și cod de rutare / IBAN (nu stocăm IBAN complet în clar pe infrastructura noastră atunci când procesarea se face prin token furnizat de Stripe). Putem primi numele și adresa titularului contului (account ownership) pentru verificare la onboarding și prevenirea fraudei. Cu autorizarea ta expresă în fluxul Stripe, pot fi accesibile soldul curent și soldul în așteptare (balances), folosite punctual (de exemplu înainte de o debitare). Cu aceeași autorizare expresă pot fi accesibile tranzacții bancare (sumă, dată, descriere sau merchant). Nu colectăm și nu stocăm credențialele tale de login la bancă; autentificarea la instituția de credit are loc direct între tine și banca ta prin Stripe.

3. Scopurile prelucrării

Prelucrăm datele tale pentru următoarele scopuri:

• Furnizarea Serviciilor: crearea și gestionarea contului, înregistrarea bicicletelor, participarea la evenimente, utilizarea directoarelor, funcționalitățile sociale
• Gamificare: calcularea și afișarea punctelor AURA, rangurilor, clasamentelor și privilegiilor
• Comunicări tranzacționale: verificarea emailului, resetarea parolei, remindere pentru evenimente, notificări despre activitatea contului
• Comunicări și newsletter: pentru conturile BIKEVERSE, poți primi comunicări despre conținut editorial (articole, știri, evenimente) în funcție de setările din Cont → Comunicări, pe care le poți modifica oricând. Pentru abonarea fără cont (doar email), folosim confirmare pe email (dublu opt-in). Dezabonarea este posibilă din același ecran sau din linkul din mesajele primite.
• Statistici și analytics: înțelegerea modului de utilizare a Platformei, rapoarte agregate pentru echipa internă, îmbunătățirea serviciilor
• Publicitate: afișarea reclamelor pe site prin Google AdSense, măsurarea performanței reclamelor și, dacă ai acceptat categoria „Reclame”, personalizarea conținutului publicitar
• Moderare conținut: verificarea automată și manuală a conținutului publicat pentru respectarea regulilor comunității și a legislației
• Securitate: prevenirea fraudei, a accesului neautorizat, detectarea abuzurilor, audit log
• Magazin online BIKEVERSE: încheierea și executarea Contractului de vânzare la distanță – gestionarea Coșului și a Comenzilor, procesarea plăților (card, transfer bancar, ramburs), emiterea facturii fiscale (inclusiv prin RO e-Factura), comunicarea status-ului comenzii, livrarea prin curier sau locker, gestionarea returnărilor și a rambursărilor (OUG 34/2014), aplicarea garanției legale de conformitate (OG 140/2021), gestionarea reclamațiilor și a litigiilor cu consumatorii
• Marketplace user-to-user (viitor): intermedierea tehnică a tranzacțiilor între utilizatori/parteneri și cumpărători, facturare, gestionarea disputelor
• Conturi business (CONECTOR): verificarea identității titularului contului bancar la onboarding, debitare directă pentru abonamente CONECTOR (acolo unde este suportată), plăți și payouts către conturile business prin Stripe Connect, prevenirea fraudei
• Obligații legale: răspunsuri la solicitări ale autorităților, păstrarea documentelor fiscale

4. Temeiuri legale (GDPR Art. 6)

Prelucrarea datelor se bazează pe următoarele temeiuri:

• Executarea contractului (Art. 6 alin. 1 lit. b): crearea contului, furnizarea Serviciilor, gestionarea evenimentelor, gamificare, gestionarea Comenzilor din Magazinul online (plată, facturare, livrare, retur și rambursare), plată abonament CONECTOR și emiterea de payouts pentru conturile business — necesare pentru îndeplinirea obligațiilor contractuale (Termenii de utilizare și Contractul de vânzare la distanță)
• Consimțământ (Art. 6 alin. 1 lit. a): partajarea datelor cu parteneri (unde este cazul), cookies de analytics, cookies de publicitate (Google AdSense), autorizarea expresă în fluxul Stripe Financial Connections pentru accesul la sold și/sau la tranzacții bancare (acolo unde este activat) — consimțământ revocabil oricând din banner-ul de cookie-uri sau din pagina Politica de cookies
• Interes legitim (Art. 6 alin. 1 lit. f): comunicări despre conținut și serviciu pentru utilizatorii înregistrați (cu gestionare în Cont), abonare newsletter fără cont prin dublu opt-in, analytics intern pentru îmbunătățirea Platformei, securitate și prevenirea fraudei, verificarea titularului contului bancar pentru prevenirea fraudei la onboarding business, moderare conținut, rapoarte agregate
• Obligație legală (Art. 6 alin. 1 lit. c): emiterea, arhivarea și transmiterea facturilor fiscale (inclusiv prin RO e-Factura), păstrarea documentelor contabile și fiscale pe durata impusă de lege (uzual 5 sau 10 ani), răspunsuri la solicitări ale autorităților competente, obligații privind protecția consumatorilor

5. Prelucrarea datelor minorilor

Conform Art. 8 GDPR și legislației române, pentru utilizatorii sub 16 ani, consimțământul părintelui sau tutorelui legal este obligatoriu. Procesul nostru de verificare implică: (1) utilizatorul indică vârsta la înregistrare, (2) dacă are sub 16 ani, introduce adresa de email a părintelui/tutorelui, (3) trimitem un email de aprobare cu un token unic și link de confirmare, (4) contul se activează numai după aprobarea din partea părintelui/tutorelui.

Dacă descoperim că un minor sub 16 ani utilizează Platforma fără consimțământ parental valid, vom lua măsuri pentru dezactivarea contului și ștergerea datelor asociate.

6. Destinatari și procesatori de date

Datele tale personale pot fi accesate sau procesate de următorii destinatari:

• Amazon Web Services (AWS) — stocare fișiere (fotografii) și backup-uri ale bazei de date. Serverele pot fi situate în UE sau SUA, cu protecție prin Standard Contractual Clauses (SCC).
• Google (Google OAuth) — autentificare socială. Primim doar numele, adresa de email și identificatorul de cont Google, conform scopului selectat.
• Meta/Facebook (Facebook OAuth) — autentificare socială. Primim doar numele, adresa de email și identificatorul de cont Facebook.
• Google Analytics 4 — serviciu de analytics web (Google Ireland Limited / Google LLC), utilizat pentru statistici de trafic și comportament pe site. Se încarcă doar cu consimțământul tău pentru categoria „Analiză” (via cookie banner). Poate colecta date tehnice și de utilizare conform politicii Google.
• Google AdSense — rețea de publicitate (Google Ireland Limited / Google LLC), utilizată pentru afișarea reclamelor pe site. Scriptul poate fi prezent în pagină pentru verificarea site-ului, însă cookie-urile de publicitate și personalizarea se activează doar dacă accepți categoria „Reclame”. Google poate procesa identificatori de dispozitiv, adrese IP și date de interacțiune cu reclamele conform Politicii de confidențialitate Google și modului în care Google folosește datele din publicitate. Poți gestiona preferințele din Setările anunțurilor Google sau din panoul nostru de cookie-uri.
• OpenAI — utilizat opțional pentru moderarea automată a textelor. Textele transmise sunt procesate conform politicii OpenAI, cu sediul în SUA, protejat prin SCC.
• Cloudflare — serviciu CAPTCHA (Turnstile) folosit pentru securizarea formularelor. Procesează date tehnice minime.
• Furnizor SMTP (email) — serviciul prin care trimitem email-uri (verificare, resetare parolă, notificări). Procesează adresa ta de email și conținutul mesajului.
• Stripe (Stripe Payments Europe Ltd, Irlanda — și Stripe, Inc., SUA) — procesare plăți pentru CONECTOR; furnizare Financial Connections pentru legarea contului bancar (token, titular, sold, tranzacții — în limita permisiunilor pe care le autorizezi în flux); Stripe Connect pentru payouts către conturile business. Datele bancare brute (IBAN complet în clar, credențiale de login) nu sunt stocate pe serverele noastre.
• OpenStreetMap / Nominatim — geocoding (transformarea adreselor în coordonate și invers). Nu transmitem date personale identificabile — doar adrese sau coordonate.
• Furnizori de curierat și puncte de ridicare (de exemplu Colete.online / eCOLET și firmele de curierat partenere din rețeaua sa – FAN Courier, Sameday, DPD, Cargus, GLS etc.) — pentru livrarea Comenzilor din Magazin. Transmitem datele necesare expediției: nume destinatar, adresă completă, telefon, email (opțional), dimensiunile coletului, valoarea ramburs (dacă e cazul), instrucțiuni speciale. Primim înapoi codul AWB și status-ul livrării. Pentru livrările la locker, identificatorul punctului ales și codul de ridicare.

Nu vindem datele tale personale către terți. Partajarea cu terți în scop de marketing se face exclusiv cu consimțământul tău explicit (opțiunea „oferte de la parteneri” la înregistrare), pe care îl poți retrage oricând.

7. Transfer internațional de date

Unii dintre procesatorii noștri pot fi situați în afara Spațiului Economic European (SEE), în special în Statele Unite ale Americii (AWS, OpenAI, Google, Meta, Stripe, Inc.). În aceste cazuri, transferul este protejat prin:

• Standard Contractual Clauses (SCC) aprobate de Comisia Europeană
• Decizii de adecvare ale Comisiei Europene, acolo unde sunt aplicabile
• Măsuri suplimentare de securitate tehnice și organizatorice

Poți solicita detalii despre transferurile internaționale de date contactându-ne la privacy@bikeverse.ro.

8. Decizii automatizate și profilare

a) Moderare automată. Platforma utilizează sisteme automate (inclusiv inteligență artificială) pentru detectarea conținutului inadecvat în texte și imagini. Acesta este un proces de decizie automatizată în sensul Art. 22 GDPR. Dacă conținutul tău este respins automat, ai dreptul de a solicita o reconsiderare manuală de către un operator uman, contactându-ne la privacy@bikeverse.ro sau utilizând opțiunea de „review manual” din aplicație.

b) Sistemul AURA. Clasificarea utilizatorilor pe baza punctelor AURA constituie o formă de profilare. Această profilare afectează privilegiile din cadrul Platformei (număr de fotografii, capacitate de a crea evenimente etc.) dar nu produce efecte juridice semnificative în afara Platformei. Algoritmul de calcul este transparent și descris în aplicație.

9. Durate de retenție

Păstrăm datele tale conform următoarelor reguli:

10. Drepturile tale

Conform GDPR (Art. 15-22), ai următoarele drepturi:

• Dreptul de acces (Art. 15): poți solicita o copie a datelor personale pe care le deținem despre tine
• Dreptul la rectificare (Art. 16): poți cere corectarea datelor inexacte sau completarea datelor incomplete — multe pot fi modificate direct din setările profilului
• Dreptul la ștergere / „dreptul de a fi uitat” (Art. 17): poți solicita ștergerea datelor tale, cu excepția cazurilor în care păstrarea este necesară pentru obligații legale sau interese legitime prevalente
• Dreptul la restricționarea prelucrării (Art. 18): poți cere limitarea prelucrării în anumite situații (de ex. dacă contești acuratețea datelor)
• Dreptul la portabilitate (Art. 20): poți solicita datele tale într-un format structurat, utilizat frecvent și lizibil automat
• Dreptul la opoziție (Art. 21): poți te opune prelucrării bazate pe interes legitim (inclusiv analytics) sau marketing direct
• Dreptul de a nu fi supus unei decizii exclusiv automatizate (Art. 22): poți solicita reconsiderarea umană a deciziilor automate care te afectează semnificativ
• Dreptul de a retrage consimțământul: în orice moment, fără a afecta legalitatea prelucrării efectuate anterior retragerii

Cum exerciți aceste drepturi: trimite un email la privacy@bikeverse.ro sau utilizează opțiunile disponibile în setările contului tău. Vom răspunde cererii tale în termen de maximum 30 de zile calendaristice. În cazuri complexe, termenul poate fi prelungit cu încă 60 de zile, cu notificarea ta.

Plângeri: dacă consideri că prelucrarea datelor tale încalcă GDPR, ai dreptul de a depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) – B-dul G-ral. Gheorghe Magheru nr. 28-30, Sector 1, București, www.dataprotection.ro.

11. Cookie-uri și tehnologii similare

Utilizăm cookie-uri și tehnologii de stocare locală (localStorage) pentru funcționarea Platformei și, cu consimțământul tău, pentru analytics. Detalii complete despre tipurile de cookie-uri utilizate, scopul lor și modul de gestionare sunt disponibile în Politica de cookies.

12. Securitate

Luăm măsuri tehnice și organizatorice adecvate pentru protecția datelor tale:

• Tehnice: comunicare criptată (HTTPS), parole stocate cu algoritm de hash (bcrypt), token-uri de sesiune cu expirare, protecție CORS, CAPTCHA pe formulare, moderare automată conținut
• Organizatorice: acces restricționat la date (principiul necesității de a cunoaște), jurnal de audit pentru acțiunile administrative, politici interne de securitate, formarea personalului

Notificarea încălcărilor: în cazul unei încălcări a securității datelor care prezintă un risc pentru drepturile și libertățile tale, te vom notifica conform Art. 33-34 GDPR (notificarea ANSPDCP în max. 72 de ore și notificarea ta fără întârzieri nejustificate, atunci când riscul este ridicat).

13. Modificări ale politicii

Această politică poate fi actualizată periodic. Modificările semnificative vor fi comunicate prin notificare în aplicație și/sau email. Data ultimei actualizări este afișată în partea de sus a acestei pagini. Continuarea utilizării Platformei după publicarea modificărilor constituie acceptarea noii politici.

14. Contact

Pentru orice întrebări sau cereri legate de confidențialitatea datelor tale:

• Email protecția datelor: privacy@bikeverse.ro
• Email general: alex@bikeverse.ro
• Adresă: SC SECOVAL CONSULTING SRL, Calea Crangasi nr. 20, București, Sector 6
• CUI: RO32124635