Politica de Confidențialitate

Operatorul de date cu caracter personal este [DENUMIRE SOCIETATE], cu sediul social în [ADRESĂ], România, CUI [CUI], denumit în continuare „Wavy” sau „noi”.

Platforma Wavy este accesibilă la adresa app.wavyapp.ro și este destinată gestionării cluburilor de înot din România.

Pentru orice întrebare legată de protecția datelor ne poți contacta la privacy@wavyapp.ro.

Colectăm date diferite în funcție de rolul tău în platformă:

Nu colectăm date speciale (origine rasială, opinii politice, date genetice, biometrice) și nu profilăm utilizatorii în scopuri comerciale.

• Executarea unui contract — prelucrăm datele necesare pentru a-ți furniza serviciile Wavy la care te-ai abonat (Art. 6 alin. 1 lit. b GDPR).
• Consimțământ — pentru comunicări de marketing sau funcționalități opționale, solicităm consimțământul tău explicit, pe care îl poți retrage oricând (Art. 6 alin. 1 lit. a GDPR).
• Obligație legală — atunci când legea română sau europeană ne impune păstrarea anumitor date (ex. date contabile, fiscale) (Art. 6 alin. 1 lit. c GDPR).
• Interes legitim — pentru securitatea platformei, prevenirea fraudei și îmbunătățirea serviciului (Art. 6 alin. 1 lit. f GDPR).

Datele minorilor (sportivi sub 16 ani) sunt prelucrate pe baza consimțământului părintelui sau tutorelui legal, conform Art. 8 GDPR.

• Date de cont activ — pe toată durata abonamentului activ.
• După ștergerea contului — datele sunt anonimizate sau șterse în termen de 30 de zile, cu excepția datelor pe care legea ne obligă să le păstrăm.
• Date de facturare — 5 ani conform legislației fiscale române.
• Jurnale de securitate (audit log) — 12 luni, pentru detectarea accesului neautorizat.
• Date de performanță sportivă — pe durata înregistrării în club, plus 30 de zile după dezactivarea contului.

Nu vindem datele tale personale. Le transmitem doar categoriilor de destinatari de mai jos, strict în limita necesarului:

• Supabase Inc. (SUA) — furnizorul de bază de date și autentificare. Date stocate în regiune EU (Frankfurt). Contract DPA semnat.
• Resend Inc. (SUA) — serviciu de trimitere e-mail (invitații, notificări). Date tranzitate, nu stocate permanent. Contract DPA semnat.
• Vercel Inc. (SUA) — infrastructură de hosting. Serverless functions rulate în EU. Contract DPA semnat.
• Autorități publice — dacă suntem obligați prin lege sau ordin judecătoresc.

Toți furnizorii noștri au acceptat clauze contractuale standard conforme GDPR.

Unii dintre furnizorii noștri (Supabase, Resend, Vercel) sunt companii americane. Transferul de date către aceștia se realizează pe baza Clauzelor Contractuale Standard (SCC) adoptate de Comisia Europeană, conform Art. 46 GDPR.

Datele stocate în Supabase sunt localizate fizic în Frankfurt, Germania (zona EU-West), ceea ce limitează transferurile transatlantice la minimum.

În calitate de persoană vizată, ai următoarele drepturi garantate de GDPR:

• Dreptul de acces — poți solicita o copie a datelor pe care le deținem despre tine.
• Dreptul la rectificare — poți corecta datele inexacte direct din contul tău sau prin cerere la noi.
• Dreptul la ștergere — poți solicita ștergerea datelor, cu excepția celor pe care avem obligație legală să le păstrăm.
• Dreptul la portabilitate — poți primi datele tale într-un format structurat, lizibil automat (JSON/CSV).
• Dreptul la restricționarea prelucrării — poți solicita suspendarea prelucrării în anumite circumstanțe prevăzute de lege.
• Dreptul la opoziție — poți refuza prelucrarea bazată pe interesul nostru legitim, inclusiv marketingul direct.
• Retragerea consimțământului — poți retrage oricând consimțământul acordat, fără a afecta legalitatea prelucrării anterioare.

Dacă consideri că drepturile tale nu au fost respectate, poți depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) — www.dataprotection.ro.

Platforma Wavy folosește cookie-uri strict necesare pentru funcționarea serviciului:

• Cookie de sesiune (auth) — menține autentificarea activă pe durata sesiunii. Expiră la închiderea browserului sau după 7 zile dacă ai ales „Ține-mă minte”.
• Cookie preferințe (temă) — reține preferința pentru modul întunecat/luminos. Stocat local (localStorage), nu pe server.

Nu folosim cookie-uri de urmărire (tracking), de publicitate sau terțe care să creeze profiluri comportamentale.

• Toate comunicațiile sunt criptate prin TLS 1.3.
• Datele din baza de date sunt criptate at-rest (AES-256) de Supabase.
• Accesul la date este controlat prin politici Row Level Security (RLS) — fiecare organizație vede strict propriile date.
• Parolele nu sunt stocate niciodată în clar — folosim hash-uri bcrypt prin Supabase Auth.
• Orice acțiune critică este jurnalizată în tabelul audit_events (imutabil).

În eventualitatea unui incident de securitate care afectează datele tale, te vom notifica în termenul legal de 72 de ore prevăzut de GDPR.

Putem actualiza această politică periodic. Orice modificare substanțială va fi comunicată prin e-mail și va fi afișată cu cel puțin 14 zile înainte de intrarea în vigoare.

Data ultimei actualizări este întotdeauna vizibilă în antetul acestei pagini. Versiunile anterioare pot fi solicitate la privacy@wavyapp.ro.

Pentru orice întrebare legată de această politică sau de datele tale personale: