Politica de Confidențialitate (+ cookies)
STATUS: DRAFT — redactat cu Claude, de validat de avocat înainte de publicare. Versiune 0.1 · iulie 2026 · Limba autoritativă: română.
1. Operatorul de date
ADDO VISION SOLUTIONS SRL, CUI 32203240 (TVA: RO32203240), Reg. Com. J2013010973404, sediu: Șos. Berceni 96, Monaco Towers, A9.06, București, România („noi"). Contact protecția datelor: privacy@adlicens.com (responsabil intern desemnat; nu avem obligația legală de a numi un DPO la scara actuală). Autoritatea de supraveghere: ANSPDCP (dataprotection.ro); vă puteți adresa și autorității din țara dumneavoastră de reședință.
2. Ce date prelucrăm, de ce și în ce temei
2.1. Cont și utilizare (Branduri și Creatori)
- Date: nume, e-mail, parolă (hash), rol, țară, limbă, telefon (opțional), log-uri de autentificare, evenimente de utilizare (event log), adresa IP.
- Scop: crearea și administrarea contului, securitate, audit al acțiunilor.
- Temei: executarea contractului (art. 6(1)(b)); interes legitim pentru securitate și audit (art. 6(1)(f)).
2.2. Date fiscale și de raportare — Creatori (DAC7)
- Date: nume complet, adresă, țara de rezidență fiscală, CNP/NIF/TIN, numărul contului de plată, veniturile realizate prin Platformă per trimestru.
- Scop: raportarea anuală obligatorie către ANAF (DAC7 / OG 16/2023, formular F7000) și conformitate fiscală.
- Temei: obligație legală (art. 6(1)(c)).
- Notă DAC7: sunteți informat prin această politică și în cont că veniturile dvs. prin Platformă se raportează anual autorității fiscale; primiți o copie a datelor raportate.
2.3. Conturi sociale conectate — Creatori
- Date: identificatorul contului social, handle, token-uri OAuth (criptate), statistici ale videoclipurilor submise (vizualizări, aprecieri, comentarii — cifre agregate per videoclip, nu date despre privitori) și, dacă activați scope-ul de analytics: retenție, demografie agregată, surse de trafic.
- Scop: verificarea proprietății asupra postărilor, contorizarea rezultatelor pentru plată, prevenirea fraudei.
- Temei: executarea contractului (verificare + plată); interes legitim (antifraudă). Scope-ul de analytics este opțional (vă exprimați acordul în fluxul OAuth al platformei sociale; îl puteți revoca oricând din contul social sau din Platformă).
2.4. Plăți
- Date: gestionate în principal de Stripe (procesator de plăți licențiat, care acționează ca operator independent pentru KYC/AML): identitate, document de identitate, cont bancar. Noi stocăm: identificatorul contului Stripe, statusul KYC, istoricul tranzacțiilor pe Platformă (sume, stări, ledger).
- Temei: executarea contractului; obligații legale (contabilitate, AML — la Stripe).
2.5. Antifraudă
- Date: serii temporale ale rezultatelor (view snapshots), scoruri și semnale (viteză, engagement, divergențe între surse), amprente ale clipurilor (pHash), istoricul deciziilor și contestațiilor.
- Scop: detectarea manipulării rezultatelor plătite.
- Temei: interes legitim (art. 6(1)(f)) — protejarea integrității plăților; test de echilibrare disponibil la cerere. Deciziile cu efect semnificativ nu sunt exclusiv automate: orice respingere/suspendare e motivată și revizuibilă de un om (art. 22).
2.6. Comunicări
- Date: e-mail, preferințe de notificare.
- Scop: notificări operaționale (obligatorii pentru funcționarea contului) și, separat, comunicări de marketing (opt-in, dezabonare la un click).
- Temei: contract (operaționale); consimțământ (marketing, art. 6(1)(a)).
2.7. Pagini publice și SEO
Profilurile publice ale Creatorilor (la alegerea lor), paginile de campanie și leaderboard-urile afișează: handle, statistici agregate, conținutul public submis. Temei: executarea contractului + setările de vizibilitate din cont.
3. Cui divulgăm datele (destinatari)
| Destinatar | Rol | Ce primește | Unde |
|---|---|---|---|
| Stripe Payments Europe | operator independent (plăți, KYC) | identitate, cont bancar, tranzacții | UE (transferuri către Stripe Inc. SUA sub SCC/DPF) |
| Supabase (baza de date) | persoană împuternicită | toate datele platformei | UE — Frankfurt |
| Hetzner Online | persoană împuternicită (hosting) | datele aplicației | UE — Germania/Finlanda |
| Cloudflare (R2, CDN) | persoană împuternicită | materiale de campanie, trafic | UE + DPF pentru entitatea SUA |
| Resend | persoană împuternicită (e-mail) | e-mail, conținut notificări | {{DE VERIFICAT regiunea + DPF}} |
| Sentry | persoană împuternicită (erori) | log-uri tehnice pseudonimizate | {{DE VERIFICAT: EU region disponibilă}} |
| Anthropic (pre-screening AI) | persoană împuternicită | conținutul submisiilor analizate | {{DE VERIFICAT: DPA + regiune}} |
| Furnizori de cross-check (ex. Apify) | persoană împuternicită | URL-uri publice ale clipurilor | {{DE VERIFICAT per furnizor}} |
| ANAF | autoritate publică | raportarea DAC7 | RO |
| Branduri | operator independent | datele Livrabilelor dvs. în campaniile lor + handle | — |
Cu fiecare persoană împuternicită avem încheiat un acord de prelucrare (art. 28). Lista actualizată a subprocesatorilor e publicată la {{URL_SUBPROCESATORI}}.
4. Transferuri în afara UE/SEE
Principiul nostru: datele stau în UE (hosting Frankfurt/Germania). Unde un furnizor are componente în SUA (Stripe Inc., Cloudflare Inc., Sentry, Anthropic), transferul se face pe baza Deciziei de adecvare UE–SUA (Data Privacy Framework) sau a Clauzelor Contractuale Standard, cu măsuri suplimentare. Detalii per furnizor la cerere.
5. Cât păstrăm datele
| Categorie | Durată | Motiv |
|---|---|---|
| Cont activ | pe durata contului | contract |
| Documente contabile și fiscale (facturi, ledger, payouts) | 10 ani | Legea contabilității |
| Date raportate DAC7 | {{DE CONFIRMAT: 5 ani de la raportare, per OG 16/2023}} | obligație legală |
| Licențe și contracte generate | 3 ani după expirarea licenței, minim termenul de prescripție | apărare în justiție |
| Event log / audit | {{PROPUNERE: 3 ani}} | interes legitim, P2B/DSA |
| Semnale antifraudă | {{PROPUNERE: 2 ani de la închiderea campaniei}} | interes legitim |
| Token-uri OAuth | până la deconectare/închiderea contului | contract |
| Cont șters | ștergere/anonimizare în 30 de zile, cu excepția categoriilor de mai sus | — |
6. Drepturile dumneavoastră
Acces, rectificare, ștergere (în limitele obligațiilor legale de păstrare), restricționare, portabilitate, opoziție (în special față de prelucrările pe interes legitim și marketing), retragerea consimțământului, plângere la ANSPDCP. Exercitare: din cont (export date, ștergere cont) sau la privacy@adlicens.com. Răspundem în cel mult o lună.
7. Cookies și tehnologii similare
7.1. Folosim: (a) cookies strict necesare (sesiune, autentificare, securitate, preferință de limbă) — fără consimțământ, temei interes legitim/necesitate tehnică; (b) analitice {{DECIZIE PRODUS: self-hosted, privacy-friendly (ex. Plausible/Umami) — recomandat, fără banner de consimțământ dacă e configurat fără date personale / cu consimțământ dacă se folosește altceva}}; (c) marketing — doar dacă vor exista, cu consimțământ prealabil.
7.2. Nu folosim cookies de urmărire ale platformelor sociale pe paginile publice. Preferăm setarea cea mai puțin invazivă by default.
8. Modificări
Versiunea curentă e publicată permanent la adlicens.com/privacy, cu istoricul versiunilor. Modificările semnificative se notifică în cont și pe e-mail.
De verificat de avocat (specific acestui document)
- Temeiurile per flux (secțiunea 2) — corecte și complete? În special 2.3 (analytics opțional: consimțământ vs. contract) și 2.5 (art. 22 — formularea „not solely automated").
- Retențiile din secțiunea 5 — termenele exacte (DAC7: durata legală de păstrare; event log; antifraudă — proporționalitate).
- Lista destinatarilor: statutul exact al Stripe (operator vs. împuternicit per flux), DPA-urile existente per furnizor, regiunile Resend/Sentry/Anthropic.
- Rolul Brandurilor ca operatori independenți asupra datelor Creatorilor din campanii — corelare cu anexa-protectia-datelor.md.
- Cookies: soluția aleasă de analytics și dacă e nevoie de banner (ePrivacy).
- Necesitatea DPIA (art. 35): antifraudă pe scară largă + monitorizare sistematică — pragul e atins? Dacă da, redactăm DPIA înainte de lansare.