Versiunea 2.0 – actualizat la 6 mai 2026
1) Cine suntem
Platforma UN:EVENT (unevent.ro) este administrată de:
SC PIXEL FACTORY SRL
CUI: 47452355 / Reg. Com.: J35/154/2023
Sediul social: Str. Bega, nr. 47, Ghiroda, Timiș
E-mail: contact@unevent.ro
Formular de contact: pagina /contact
SC PIXEL FACTORY SRL este operator de date în sensul Regulamentului (UE) 2016/679 („GDPR") pentru prelucrările realizate prin Platformă.
2) Ce acoperă acest document
Această Politică explică ce date colectăm, de ce, cum le folosim, când le divulgăm, cât le păstrăm, ce drepturi aveți și cum le exercitați.
Politica se aplică tuturor utilizatorilor Platformei (vizitatori, conturi, Listeri/Organizatori/Prestatori/Gazde și Clienți finali). Pentru modulele cookie, consultați /politica-cookie/. Folosirea Platformei implică și acceptarea Termenilor și Condițiilor.
3) Ce date colectăm
3.1. Date furnizate direct de dvs.
- •Date cont: nume, prenume, e-mail, telefon, parolă (hash-uită), avatar/foto.
- •Profil Lister/Organizator/Prestator: denumire comercială, CUI/VAT, nr. registru comerț, sediu, site, descrieri, portofoliu, tarife, disponibilitate, adrese de locații.
- •Conținut listări: texte, fotografii/video, hărți/adrese, date de contact pentru listare, reguli interne, capacitate, facilități.
- •Comunicare: mesaje trimise prin mesageria internă sau formulare.
- •Marketing: preferințe de comunicare, opțiuni newsletter.
- •Plăți pentru servicii ale Platformei (promovare/abonamente/comisioane): nume, e-mail, adresă de facturare, date fiscale; nu stocăm datele cardului (sunt procesate de procesatori terți).
3.2. Date colectate automat
- •Date tehnice/log-uri: IP, tip dispozitiv/browser, sistem de operare, setări limbă, pagini vizitate, timpi de răspuns, identificatori online, evenimente tehnice (erori, crash).
- •Geolocalizare aproximativă: derivată din IP (pentru relevanță în rezultate, ex.: oraș).
- •Cookies și tehnologii similare: vezi /politica-cookie/.
3.3. Verificarea identității și a legitimității (KYC „light")
În situații justificate de securitatea Platformei, prevenirea fraudei, validarea calității de reprezentant al unei companii sau pentru gestionarea cererilor privind drepturile GDPR, putem solicita date/documente justificative, precum:
- •Carte de identitate (strict pentru verificare identitate a persoanei fizice/reprezentantului; vom solicita acoperirea/redactarea datelor sensibile (ex.: CNP/număr CI/serie) atunci când nu sunt strict necesare).
- •Dovezi privind administrarea unei companii: extras ONRC/registru, împuternicire, act de numire, documente fiscale de bază (fără elemente sensibile inutile).
- •Putem utiliza alternativ verificări prin interogarea registrelor publice (ex.: ONRC), prin declarații pe proprie răspundere sau verificări video/poză live, pentru a minimiza copia documentelor.
Principiul minimizării: solicităm și păstrăm doar ceea ce este strict necesar scopului (de regulă, nu păstrăm copii ale actelor; dacă păstrarea este necesară, o facem pe durate scurte și limitate, cu acces restricționat).
3.4. Date colectate prin Aplicația Mobilă
Aplicația mobilă UN:EVENT (ro.unevent.provider) colectează date suplimentare față de platforma web:
- •
Token notificări push (Expo Push Token): identificator unic generat de serviciul Expo Push Notifications pentru dispozitivul furnizorului. Utilizat exclusiv pentru trimiterea notificărilor despre rezervări. Stocat până la delogare, dezinstalare sau revocare explicită. Temei juridic: consimțământ (art. 6(1)(a) GDPR) — acordat prin dialogul de permisiuni iOS/Android la prima lansare a aplicației.
- •
Identificator dispozitiv (deviceId): derivat din informațiile dispozitivului (model, build ID intern OS), utilizat exclusiv pentru deduplicarea tokenurilor push (prevenirea notificărilor duble pe același dispozitiv). Nu este utilizat pentru profilare sau advertising. Temei juridic: interes legitim (art. 6(1)(f) GDPR).
- •
Token JWT sesiune: stocat în Expo SecureStore — stocare criptată nativă (iOS Keychain / Android Keystore). Nu este accesibil altor aplicații. Expiră după 24h sau la delogare explicită. Temei juridic: necesitate contractuală (art. 6(1)(b) GDPR).
Ce NU colectăm prin aplicația mobilă: camera, microfonul, galeria foto, contactele, calendarul, locația GPS, identificatori publicitari (IDFA/AAID). Nu utilizăm datele din aplicație pentru profilare publicitară.
4) Scopuri și temeiuri legale
Prelucrăm datele dvs. în următoarele scopuri și în temeiul:
- •Creare și administrare cont; furnizare funcționalități (listări, profil, mesagerie, recenzii, moderare): art. 6(1)(b) – executarea contractului; art. 6(1)(f) – interes legitim (asigurarea funcționării și securității).
- •Publicare listări și promovare (servicii, locații, evenimente); management abonamente/comisioane: art. 6(1)(b) și 6(1)(f).
- •Comunicare (răspuns solicitări, suport, notificări operaționale, alerte de moderare/fraudă): art. 6(1)(b) și 6(1)(f).
- •
Marketing (newsletter, oferte, invitații la evenimente, remarketing prin cookie-uri):
- ◦prin e-mail/SMS/push: art. 6(1)(a) – consimțământ;
- ◦pentru clienți existenți – unde legislația permite comunicări similare: art. 6(1)(f) – interes legitim; vă puteți opune/dezabona oricând.
- •Analiză și îmbunătățire produs (statistici agregate, UX, măsurare campanii): art. 6(1)(f).
- •Securitate, prevenirea abuzurilor și fraudei, verificări identitate/reprezentare: art. 6(1)(f); dacă un cadru legal impune reținerea unor copii/date: art. 6(1)(c) – obligație legală.
- •Îndeplinirea obligațiilor legale (contabilitate, fiscalitate, răspuns autorități): art. 6(1)(c).
- •Gestionarea cererilor GDPR: art. 6(1)(c) și 6(1)(f).
Nu luăm decizii exclusiv automate care produc efecte juridice similare pentru dvs. Putem realiza profilare limitată (de ex. personalizare rezultate/promovări) – vă puteți opune profilării pentru marketing.
5) Cui divulgăm datele — operatori împuterniciți (sub-procesori)
Utilizăm următorii furnizori de servicii (operatori împuterniciți conform art. 28 GDPR). Fiecare prelucrează datele strict conform instrucțiunilor noastre și cu garanții adecvate:
| Serviciu | Țară/Regiune | Scop | Date transmise |
|---|
| Rezervat | România / UE | Procesare rezervări și plăți | Date listare, identificatori client/furnizor |
| Stripe | SUA (EU data residency) | Procesare plăți, Stripe Connect payouturi furnizori | Onboarding furnizor (gestionat direct de Stripe) |
| Resend | SUA | Trimitere e-mailuri tranzacționale | Adresă e-mail, conținut e-mail |
| Cloudflare R2 | UE / Global (CDN) | Stocare fișiere media și documente | Media listări, avatare (publice); documente verificare (private) |
| Railway | SUA | Hosting backend API și worker | Date procesate de API (tranzitorii) |
| Neon (Serverless Postgres) | SUA (AWS us-east-1) | Bază de date PostgreSQL | Toate datele stocate persistent |
| Vercel | SUA / Global (Edge) | Hosting frontend Next.js | Date request HTTP (IP, headers) |
| PostHog | SUA / EU Cloud | Analiză produs (events, sesiuni, feature flags) | Comportament utilizator (după consimțământ analytics) |
| Google Analytics 4 | SUA | Analiză trafic web (cu consimțământ) | Date utilizare anonimizate, evenimente, sesiuni |
| Meta Platforms | SUA | Tracking conversii publicitate (cu consimțământ) | Date interacțiune (Pixel) |
| Google Maps Platform | SUA | Geocodare adrese listări | Adrese introduse de furnizori |
| Sentry | SUA | Monitorizare erori aplicație | Stack traces, context sesiune (fără date personale identificabile) |
| Expo Push Notifications | SUA | Livrare notificări push mobile | Token push, conținut notificare |
Toți procesatorii din SUA operează în baza Standard Contractual Clauses (SCC) sau a mecanismelor de transfer adecvate conform art. 46 GDPR (DPA Railway, DPA Neon, DPA Vercel etc.). Fiecare sub-procesor este contractual obligat să ne notifice în termen de 72 de ore de la descoperirea unui incident de securitate, conform art. 33(2) GDPR. Stripe și Rezervat acționează ca operatori independenți — răspunderea pentru incidentele la nivelul sistemelor lor le aparține în totalitate. De asemenea, divulgăm datele către autorități publice sau instanțe atunci când legea ne obligă, și consultanților externi (juridic, contabilitate) pentru operarea afacerii.
6) Transferuri în afara SEE
Mai mulți furnizori listați la secțiunea 5 (Railway, Neon, Vercel, Resend, Stripe, Google, Meta, Sentry, Expo, PostHog) sunt stabiliți în SUA. Transferul datelor se realizează cu garanții legale adecvate:
- •Clauze Contractuale Standard (SCC) — mecanismul principal utilizat cu furnizorii fără decizie de adecvare proprie;
- •EU–US Data Privacy Framework — pentru furnizorii certificați (Google, Meta, Stripe);
- •Data Processing Agreements (DPA) — încheiate cu fiecare furnizor în parte.
Detalii privind mecanismele de transfer sau copii ale SCC la cerere: contact@unevent.ro.
7) Cât timp păstrăm datele
Aplicăm principii de limitare a stocării și minimizare:
- •Date cont & profil: pe durata existenței contului + 3 ani (prescripție) pentru apărarea drepturilor.
- •Documente de verificare identitate/reprezentare: pe cât posibil fără stocare; dacă e necesară păstrarea, max. 12 luni (sau cât impune legea), cu acces restricționat.
- •Date rezervări: 5 ani de la finalizare, conform obligațiilor legale fiscale aplicabile în România.
- •Date tranzacționale/fiscale: conform legislației — de regulă 10 ani.
- •Token push Expo + deviceId (mobil): până la delogare, dezinstalarea aplicației sau revocare explicită.
- •Token JWT sesiune (mobil): max. 24h sau la delogare explicită.
- •Date analytics (GA4, PostHog): 14 luni (setare GA4/PostHog), conform politicilor proprii.
- •Log-uri webhook Rezervat: 90 de zile.
- •Mesaje interne: de regulă 24 luni, excepțional mai mult pentru investigații/obligații legale.
- •Log-uri tehnice: între 3–12 luni, în funcție de scop.
- •Marketing: până la revocarea consimțământului/dezabonare sau după perioade de inactivitate rezonabile.
La expirarea termenelor, datele sunt șterse ori anonimizate.
8) Securitate
Aplicăm măsuri tehnice și organizatorice adecvate: control acces, criptare în tranzit, segregare medii, back-up, audit și jurnalizare, politici interne, training personal. În aplicația mobilă, tokenurile de sesiune sunt stocate exclusiv în Expo SecureStore (iOS Keychain / Android Keystore).
Nicio platformă online nu poate garanta securitate absolută.
Notificare în caz de breșă de date
În cazul unui incident de securitate care implică date cu caracter personal, procedura de notificare este:
- •Incident la un sub-procesor al nostru (Railway, Neon, Vercel, Resend etc.): sub-procesorul este contractual obligat să ne notifice în termen de 72 de ore de la descoperire (art. 33(2) GDPR). Noi notificăm la rândul nostru ANSPDCP în termen de 72h de la momentul la care devenim conștienți de incident, și informăm persoanele vizate fără întârziere nejustificată dacă există risc ridicat pentru drepturile acestora.
- •Incident la un operator independent (Stripe, Rezervat): Stripe și Rezervat prelucrează date în calitate de operatori independenți, sub propria responsabilitate GDPR. Un incident la nivelul sistemelor lor reprezintă incidentul lor GDPR și îi obligă pe ei să notifice autoritățile și utilizatorii afectați. SC PIXEL FACTORY SRL nu răspunde pentru breșele produse exclusiv în sistemele acestor operatori independenți.
Notificările se trimit la ANSPDCP (www.dataprotection.ro). Persoanele vizate pot fi notificate prin e-mail la adresa înregistrată în cont.
9) Copii și minori
Platforma se adresează persoanelor de minimum 18 ani. Nu colectăm conștient date despre minori. Dacă ați identificat o utilizare necorespunzătoare, scrieți-ne la contact@unevent.ro.
10) Drepturile dvs. GDPR
Aveți următoarele drepturi (în condițiile legii):
- •Acces la datele dvs.;
- •Rectificare a datelor inexacte;
- •
Ștergere („dreptul de a fi uitat") — când se aplică. Puteți solicita ștergerea prin:
- — aplicația mobilă: Profil → Setări → Șterge cont;
- — platforma web: Cont → Setări → Șterge cont;
- — e-mail: contact@unevent.ro (subiect: „Solicitare ștergere cont").
- •Restricționare a prelucrării;
- •Portabilitate (pentru datele prelucrate automat, în temeiul consimțământului/contractului);
- •Opoziție la prelucrări bazate pe interes legitim (inclusiv la profilarea pentru marketing);
- •Retragerea consimțământului (nu afectează legalitatea prelucrărilor anterioare retragerii);
- •A nu fi supus(ă) unei decizii exclusiv automate cu efecte juridice similare.
Pentru exercitare: trimiteți o cerere la contact@unevent.ro.
Pentru protejarea datelor, vă putem cere verificarea identității (cu minimizare: preferăm metode alternative, iar dacă solicităm documente, vă rugăm să redactați elementele ne-necesare). Vom răspunde în max. 30 de zile (prelungibil în cazuri complexe).
Plângeri
Aveți dreptul să depuneți o plângere la ANSPDCP (www.dataprotection.ro). Vă încurajăm să ne contactați mai întâi pentru a încerca o soluționare amiabilă.
11) Conținut public, recenzii, mesagerie și moderare
- •Listările și profilurile publice (texte, fotografii, video, adrese aproximative, prețuri, disponibilitate) pot fi vizibile public și indexate de motoare de căutare.
- •Recenziile pot rămâne publice; Platforma poate modera conținutul ilegal/abuziv.
- •Mesajele interne sunt private între părți, dar pot fi accesate de echipa noastră strict pentru motive de securitate, prevenirea fraudei, soluționarea disputelor sau obligații legale.
11.1 Conținut media (foto/video) și responsabilitatea utilizatorului
Listările și profilurile publice pot include fotografii și materiale video care pot conține date cu caracter personal (ex.: imaginea unei persoane, voce, numere de înmatriculare, adrese/elemente identificabile, etc.). Prin încărcarea/publicarea acestor materiale, utilizatorul confirmă că are drepturile și consimțămintele necesare pentru publicare și că materialele nu încalcă drepturile terților (drepturi de autor, drept la imagine, confidențialitate).
De asemenea, în măsura permisă de Termenii și Condițiile Platformei, putem utiliza materialele publice din listări (texte/foto/video) pentru funcționarea, afișarea și promovarea Platformei și a listărilor (ex.: pagini UN:EVENT, social media, newslettere, campanii de marketing). Pentru detalii privind drepturile și licențele asociate Conținutului, vă rugăm să consultați secțiunea "Conținut generat de utilizatori" din Termenii și Condițiile Platformei.
12) Marketing și comunicări comerciale
- •Vă putem transmite newslettere și mesaje comerciale doar cu consimțământ sau, după caz, în baza interesului legitim pentru clienți existenți, în limitele legii.
- •Vă puteți dezabona oricând (link în e-mail) sau prin cerere la contact@unevent.ro.
- •Pentru remarketing/ads folosim cookie-uri/ID-uri online numai cu consimțământ (detalii în /politica-cookie/).
13) Verificări identitate & documente (clarificări importante)
- •Solicitarea unei poze live sau a unei copii a unui act de identitate ori dovada reprezentării legale se face numai când este necesar (ex.: suspiciuni de fraudă, dispute serioase, sume importante, listări sensibile, cereri GDPR).
- •Preferăm metode alternative (verificări ONRC, declarații, apel video, documente redactate).
- •Dacă stocăm temporar copii/documente, o facem pe termen minim, într-un spațiu cu acces restricționat, și le ștergem imediat ce scopul încetează.
- •Nu folosim aceste documente în scopuri de marketing.
- •Accesul este limitat la personalul strict necesar și, dacă e cazul, la împuterniciți cu obligații de confidențialitate.
14) Linkuri și autentificare prin terți
Platforma poate conține linkuri către site-uri terțe și/sau autentificare prin terți (ex.: Google). Prelucrările efectuate de acești terți se supun propriilor politici; vă rugăm să le citiți.
15) Modificări ale Politicii
Putem actualiza această Politică pentru a reflecta schimbări legislative sau operaționale. Versiunea curentă și data actualizării sunt afișate în header. Continuarea folosirii Platformei după publicare înseamnă acceptarea modificărilor.
16) Contact & responsabilități
Întrebări privind protecția datelor sau exercitarea drepturilor:
(În prezent nu avem obligativitatea numirii unui DPO; la schimbare, vom actualiza Politica.)
Rezumat pe scurt (nu înlocuiește textul de mai sus)
- •Colectăm date pentru: cont, listări, mesagerie, plăți, securitate, suport, marketing (cu consimțământ).
- •Putem solicita ID sau dovezi de reprezentare doar dacă e necesar, preferând alternative, cu minimizare și termene scurte de păstrare.
- •Nu vindem datele; colaborăm cu furnizori (IT, plăți, e-mail, analytics) sub garanții GDPR.
- •Aveți drepturi extinse (acces, rectificare, ștergere, opoziție, portabilitate, retragere consimțământ).
- •Ne puteți scrie oricând la contact@unevent.ro.
