Politica de confidențialitate

1. Cine suntem

Operatorul de date este Cytech Development SRL, societate comercială înregistrată în România, având calitatea de operator pentru serviciul WeInvites accesibil la weinvites.eu.

• Sediul social: sat Husasău de Tinca, comuna Tinca, județul Bihor, nr. 146
• CUI: 34860344 (neplătitor de TVA)
• Reg. Com.: J05/1257/2015
• Email contact: contact@weinvites.eu
• Email GDPR: gdpr@weinvites.eu

WeInvites nu are obligația legală de a desemna un Responsabil cu Protecția Datelor (DPO) în temeiul Art. 37 RGPD, pentru că volumul și natura prelucrării nu ating pragul. Punctul de contact pentru orice solicitare GDPR rămâne gdpr@weinvites.eu.

2. Ce date colectăm și de ce

Colectăm strictul necesar pentru ca serviciul să funcționeze. Nu vindem date și nu facem profilare publicitară.

2.1 Date de la mire/mireasă (clientul plătitor)

• Adresa de email și numele complet — autentificare prin Clerk. Bază legală: art. 6(1)(b) GDPR (executarea contractului).
• Date despre plată — sumă, metodă, status. Nu stocăm numere de card; acestea rămân la Stripe. Bază legală: art. 6(1)(b) și art. 6(1)(c) GDPR (obligație legală — facturare ANAF/e-Factura).
• Subdomeniul ales (slug) — pentru a livra site-ul. Bază legală: art. 6(1)(b).
• Conținutul personalizat al site-ului — text, date, ore, IBAN/Revolut/PayPal, lista de invitați, întrebări frecvente. Bază legală: art. 6(1)(b).

2.2 Date de la invitați (oaspeții care răspund la RSVP)

• Numele afișat și opțional email/telefon — introduse de mire/mireasă în lista de invitați. Bază legală: art. 6(1)(f) GDPR (interes legitim al organizatorului în coordonarea evenimentului), cu informare clară pe pagina RSVP.
• Răspuns RSVP, meniu, restricții alimentare, mesaj, însoțitor— completate de invitat. Bază legală: art. 6(1)(a) GDPR (consimțământ implicit prin trimiterea formularului) și art. 9(2)(a) pentru date privind sănătatea (alergii alimentare).
• Hash IP truncat (32 caractere) — pentru detectarea abuzurilor și rate-limiting. Nu stocăm IP-ul brut. Bază legală: art. 6(1)(f) GDPR (interes legitim — securitate).

2.3 Cookies

Folosim cookies esențiale (sesiunea Clerk, plata Stripe, preferința de consimțământ) și, doar dacă alegi tu, cookies de analiză anonimă (Plausible). Detalii și control: cere modificarea preferințelor sau șterge cookies din browser. Banner-ul reapare automat la o schimbare de versiune.

3. Cu cine partajăm datele

• Clerk (auth) — Statele Unite, sub Data Privacy Framework. Stochează email + hash parolă/sesiune.
• Stripe (plăți) — Statele Unite, sub Data Privacy Framework. Procesează cardul; nu trecem prin serverele noastre.
• Neon (bază de date) — Frankfurt, Germania (UE). Stochează tot conținutul site-ului tău.
• Cloudflare R2 (curând — pentru fotografiile invitaților) — date geo-replicate în UE.
• Vercel (hosting) — frontend; logs limitate la 30 de zile.
• Oblio + ANAF e-Factura — pentru factura fiscală (obligație legală RO).
• Resend (curând — pentru email-urile tranzacționale) — Statele Unite, sub Data Privacy Framework.

Transferurile către SUA se bazează pe EU–US Data Privacy Framework (Decizia de adecvare a Comisiei Europene, iulie 2023), aplicabilă la momentul publicării. Vom actualiza această secțiune dacă cadrul legal se modifică.

4. Cât timp păstrăm datele

• Site-ul evenimentului și tot conținutul asociat — texte, fotografii încărcate (de host și de invitați), lista de invitați, răspunsuri RSVP, mesaje din guestbook, melodii propuse, aranjarea meselor: șterse automat și definitiv la 6 luni după data evenimentului (sau la 12 luni de la publicare, dacă nu a fost setată nicio dată). Host-ul primește o notificare prin email cu cel puțin 30 de zile înainte, ca să poată exporta răspunsurile RSVP și descărca fotografiile. Ștergerea poate fi cerută și mai devreme, oricând, prin formularul de cerere. Ciornele nepublicate, fără nicio dată setată, se șterg la 18 luni de la creare.
• Cont host (email, nume): până la cererea de ștergere SAU 5 ani de la ultima activitate, oricare dintre acestea apare prima.
• Date de plată și facturi: 10 ani — obligație legală (Codul fiscal).
• Audit log de consimțământ cookies (consent_log): 3 ani de la colectare — necesar pentru a demonstra conformitatea.
• Hash IP în log-uri de rate-limit: 30 de zile.

Ștergerea automată la 6 luni este și o măsură de minimizare a datelor (art. 5(1)(e) GDPR): un site de nuntă nu are de ce să păstreze datele invitaților la nesfârșit.

5. Drepturile tale

Conform GDPR, ai dreptul la:

• Acces la datele tale (Art. 15)
• Rectificare (Art. 16)
• Ștergere („dreptul de a fi uitat", Art. 17)
• Restricționare (Art. 18)
• Portabilitate (Art. 20)
• Opoziție (Art. 21)
• Retragerea consimțământului (Art. 7) — fără efect retroactiv

Pentru a-ți exercita orice drept, completează formularul de cerere sau scrie-ne la gdpr@weinvites.eu. Răspundem în termen de 30 de zile (extensibil cu 60 de zile pentru cereri complexe, conform Art. 12(3)).

6. Plângeri

Dacă crezi că datele tale sunt prelucrate ilegal, ai dreptul să depui o plângere la ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (B-dul. G-ral. Gheorghe Magheru nr. 28-30, București, dataprotection.ro).

7. Modificări

Vom anunța modificări semnificative ale acestei politici prin email (host-i activi) și prin re-afișarea banner-ului de cookies pentru toți vizitatorii. Versiunea curentă: v0.1 — 10.06.2026 (DRAFT).

Document generat automat. Versiunea finală va fi semnată digital și arhivată conform legii.