Politică de Confidențialitate

Operatorul datelor tale cu caracter personal este: RZB Data Solutions SRL CUI: [număr CUI] Sediu: România Email DPO: contact@mygrace.ro Telefon: 0744 363 693 Procesăm datele în conformitate cu Regulamentul GDPR (UE) 2016/679.

2.1 Date furnizate de tine la înregistrare: • Adresă de email (obligatoriu) • Nume și prenume (opțional) • Parolă (stocată criptat, nu avem acces la ea) 2.2 Date generate prin utilizarea aplicației: • Mesaje trimise AI-ului Grace (pentru furnizarea serviciului) • Cereri de rugăciune (cele publice sunt vizibile comunității) • Progres în programele de recovery (privat, vizibil doar ție) • Activitate în aplicație: check-in-uri, XP, streak-uri • Date quiz și activități completate 2.3 Date tehnice colectate automat: • Adresă IP (pentru securitate și rate limiting) • Tip browser și sistem de operare • Pagini vizitate în aplicație • Ora și data accesărilor 2.4 Date de plată: • Plățile sunt procesate exclusiv de Stripe • Nu stocăm niciodată datele cardului tău • Stocăm doar ID-ul clientului Stripe și statusul abonamentului

3.1 Furnizarea serviciului (bază legală: executarea contractului): • Crearea și gestionarea contului tău • Funcționarea AI-ului Grace și personalizarea răspunsurilor • Progresul în programe și salvarea datelor tale 3.2 Securitate (bază legală: interes legitim): • Prevenirea fraudei și a accesului neautorizat • Rate limiting pentru protejarea serviciului 3.3 Comunicări (bază legală: consimțământ): • Email-uri tranzacționale (confirmare cont, factură) • Notificări despre abonament • Nu trimitem spam sau marketing nesolicicat 3.4 Îmbunătățirea serviciului (bază legală: interes legitim): • Analiză anonimizată a utilizării pentru a îmbunătăți funcționalitățile

4.1 Intern: Echipa RZB Data Solutions SRL cu acces limitat la ce e necesar. 4.2 Procesatori terți (cu contracte de procesare): • Supabase (baza de date) — servere în UE • Anthropic (AI Claude) — mesajele sunt procesate pentru generarea răspunsurilor • Stripe (plăți) — conform politicii Stripe GDPR • Vercel (hosting) — servere în UE/SUA cu clauze standard 4.3 Nu vindem, nu închiriem și nu partajăm datele cu terți în scop de marketing. 4.4 Autorități: Putem divulga date la cererea autorităților competente dacă suntem obligați legal.

• Date de cont activ: pe durata existenței contului • Mesaje AI: 12 luni de la creare, apoi șterse automat • Date de plată: conform obligațiilor legale contabile (5 ani) • Date tehnice (logs): 90 de zile • Date de cont după ștergere: 30 de zile (perioadă de grație), apoi ștergere definitivă

Conform GDPR, ai următoarele drepturi: ✓ Dreptul de acces: poți solicita o copie a datelor tale ✓ Dreptul la rectificare: poți corecta date incorecte ✓ Dreptul la ștergere ("dreptul de a fi uitat"): poți solicita ștergerea contului și a datelor ✓ Dreptul la portabilitate: poți primi datele în format JSON ✓ Dreptul de opoziție: poți obiecta la anumite tipuri de procesare ✓ Dreptul de a retrage consimțământul oricând Pentru exercitarea acestor drepturi, contactează-ne la contact@mygrace.ro. Vom răspunde în termen de 30 de zile. Dacă consideri că drepturile tale nu sunt respectate, poți depune o plângere la ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal).

Folosim cookie-uri strict necesare pentru: • Menținerea sesiunii de autentificare • Preferințe de bază ale aplicației Nu folosim cookie-uri de tracking sau publicitate. Poți gestiona cookie-urile din setările browser-ului, dar dezactivarea lor poate afecta funcționarea aplicației.

Implementăm măsuri tehnice și organizatorice adecvate: • Conexiuni criptate HTTPS/TLS • Parole stocate cu hashing bcrypt • Acces restricționat la baza de date • Monitorizare pentru activități suspecte • Backup-uri regulate În caz de incident de securitate care afectează datele tale, te vom notifica în termen de 72 de ore.

Unii procesatori (Anthropic, Vercel) pot procesa date în SUA. Aceste transferuri sunt protejate prin: • Clauze Contractuale Standard (SCC) aprobate de Comisia Europeană • Evaluări de impact (DPIA) efectuate pentru fiecare procesator Ai dreptul de a solicita informații despre garanțiile implementate.

Vom actualiza această politică periodic. La modificări semnificative: • Vei fi notificat prin email • Data actualizării va fi afișată în antet • Versiunile anterioare sunt disponibile la cerere Continuarea utilizării după notificare constituie acceptul modificărilor. Data intrării în vigoare: Iunie 2025