Politica de
Confiden
țialitate.

Foodar SRL, cu sediul în Craiova, județul Dolj, România.

CUI: [de completat]. Reg. Com.: [de completat].

Email general: contact@foodar.ro

Responsabil cu protecția datelor (DPO): gdpr@foodar.ro

Date de cont: nume, prenume, email, parolă (stocată hash bcrypt), passkey-uri (cheie publică), preferință de limbă, avatar.

Date de facturare: denumire firmă, CUI, adresă, ID-uri Stripe (clientID, subscriptionID); detaliile cardului NU sunt stocate la noi — sunt deținute exclusiv de Stripe.

Date de utilizare: adresă IP, user-agent, log-uri tehnice ale acțiunilor (creare/editare produs, login, încărcare model 3D), ștampilă de timp.

Conținut introdus de Client: poze produse, descrieri, prețuri, modele 3D, denumiri restaurant și locații.

Cookie-uri și tehnologii similare: vezi Politica de Cookies.

Furnizarea Serviciului (cont, autentificare, panou administrare) — temei: executare contract (art. 6(1)(b)).

Procesare plăți și emitere facturi — temei: executare contract și obligație legală (art. 6(1)(b) și (c)).

Suport clienți — temei: executare contract.

Securitate, prevenire fraudă, log-uri tehnice — temei: interes legitim (art. 6(1)(f)).

Comunicări de marketing (newsletter, oferte) — temei: consimțământ (art. 6(1)(a)), revocabil oricând.

Conformitate fiscală și obligații legale — temei: obligație legală (art. 6(1)(c)).

Stripe Payments Europe Ltd. — procesare plăți (UE/SUA, SCC + DPF).

Meshy AI Inc. — generare modele 3D din fotografii (SUA, SCC). Doar imaginile produselor pe care le încarci pentru AR sunt transmise.

Laravel Cloud (AWS) — găzduire aplicație (UE).

Furnizori de email tranzacțional (ex. Resend/Postmark) — pentru emailuri de cont și verificare.

Autorități publice — la cerere legală formală (DNA, ANAF, instanțe), strict în limitele legii.

Lista actualizată a subprocesorilor este disponibilă la cerere: gdpr@foodar.ro.

Anumiți subprocesori (Stripe, Meshy AI) operează parțial în SUA. Transferurile sunt realizate pe baza Clauzelor Contractuale Standard (SCC) ale Comisiei Europene și, unde aplicabil, pe baza EU-US Data Privacy Framework.

Implementăm măsuri suplimentare: criptare în tranzit (TLS 1.2+), criptare la repaus, minimizarea datelor transmise.

Date de cont activ: pe durata abonamentului + 30 de zile după dezactivare (perioadă de recuperare).

Facturi și documente fiscale: 10 ani, conform Codului Fiscal.

Log-uri de securitate: 12 luni.

Comunicări de marketing: până la retragerea consimțământului.

Date anonimizate (statistici agregate): nelimitat, fără posibilitate de re-identificare.

Acces — copie a datelor pe care le deținem despre tine.

Rectificare — corectarea datelor inexacte sau incomplete.

Ștergere („dreptul de a fi uitat") — în condițiile art. 17.

Restricționare — limitarea prelucrării în anumite situații.

Portabilitate — primirea datelor într-un format structurat, citibil automat.

Opoziție — la prelucrarea bazată pe interes legitim sau marketing direct.

Retragerea consimțământului — în orice moment, fără afectarea legalității prelucrării anterioare.

Reclamație la Autoritatea de Supraveghere: ANSPDCP — dataprotection.ro, București.

Trimite cererea la gdpr@foodar.ro, indicând clar dreptul invocat și un mijloc de identificare.

Răspundem în maximum 30 de zile calendaristice (prelungibil cu 60 de zile pentru cereri complexe, cu informarea ta).

Exercitarea drepturilor este gratuită. Pentru cereri vădit neîntemeiate sau excesive (repetate), putem percepe o taxă rezonabilă sau refuza cererea.

Criptare în tranzit (HTTPS/TLS 1.2+) și la repaus pentru date sensibile.

Hashing modern al parolelor (bcrypt) și suport passkey (WebAuthn).

Acces restricționat pe principiul minimului necesar, autentificare cu MFA pentru personalul cu acces la producție.

Monitorizare, log-uri auditate, backup-uri zilnice criptate.

Plan de răspuns la incidente. În cazul unui breach de date personale, notificăm ANSPDCP în 72 de ore și persoanele vizate când există risc ridicat.

Nu luăm decizii care produc efecte juridice asupra ta bazate exclusiv pe prelucrare automată (inclusiv profiling), în sensul art. 22 GDPR.

Folosim însă procese automate pentru detectarea fraudei la plată, generarea modelelor 3D și sortarea conținutului — fără efecte juridice.

Platforma nu se adresează persoanelor sub 16 ani. Nu colectăm conștient date de la minori. Dacă afli că un minor ne-a furnizat date, contactează-ne pentru ștergere.

Putem actualiza această Politică. Modificările materiale se notifică prin email și/sau printr-un banner în aplicație, cu cel puțin 30 de zile înainte de aplicare.