Politica de confidențialitate

1. Cine suntem

Operatorul de date cu caracter personal colectate prin intermediul MINOMO este AVi Kairos Srl, societate de drept român cu sediul social la Strada Lungă 188, Corp C2, Ap. 2, Brașov 500051, România (CUI 52477194 · J08/68/2025 · EUID ROONRC.J2025068492002).

Pentru orice solicitare legată de protecția datelor cu caracter personal — exercitarea drepturilor RGPD, semnalarea unui incident, întrebări privind politica — punctul de contact dedicat este [email protected] sau formularul de la minomo.io/ro/legal/data-request/.

AVi Kairos Srl nu se încadrează în cazurile de numire obligatorie a unui Responsabil cu Protecția Datelor în temeiul art. 37 din Regulamentul (UE) 2016/679 („RGPD"). Cu toate acestea, am desemnat un referent intern pentru confidențialitate, accesibil prin adresa de mai sus. Dacă activitatea noastră va evolua până la atingerea pragurilor prevăzute de art. 37 din RGPD, vom proceda la numirea formală și vom actualiza prezenta politică.

2. Ce face MINOMO (pe scurt)

MINOMO este o infrastructură digitală de proximitate care conectează cetățeni, comercianți, primării și curatori ai teritoriului (City Agent) printr-un canal direct, fără intermediari algoritmici și fără publicitate. Produsul cuprinde:

• o aplicație pentru consumatori (PWA la app.minomo.io, aplicație nativă iOS/Android în curs de lansare) prin care poți urmări comercianți, evenimente și locuri din orașul tău;
• Bio Pages publice pentru comercianți, indexabile și lizibile de motoarele de căutare și asistenții AI;
• notificări push cifrate end-to-end de la comercianți către urmăritorii lor și, în modul broadcasting, întregului oraș;
• MINA, un asistent conversațional bazat pe inteligență artificială pentru descoperire locală și planificarea itinerariilor;
• carduri de fidelitate digitale (portofel digital multi-comerciant) cu puncte, recompense și coduri de răscumpărare;
• evenimente cu RSVP și mementouri push automate;
• MINOMO Atlas, un director editorial al vieții locale europene, accesibil publicului;
• MINOMO Identity Shield (la id.minomo.io): un serviciu de identitate federată privacy-first care maschează adresa ta de email reală față de parteneri și propagă ștergerea datelor cu un singur clic;
• instrumente pentru primării și pentru City Agent, adică consultanții teritoriali care curatoriază editorial prezența MINOMO într-un anumit oraș.

Prezenta politică acoperă prelucrarea datelor cu caracter personal de către AVi Kairos Srl pentru toate serviciile enumerate mai sus, accesibile prin domeniile minomo.io, app.minomo.io, cdn.minomo.io, admin.minomo.io, id.minomo.io și aplicațiile native distribuite prin App Store și Google Play.

3. Cui se aplică prezenta politică

Regulile descrise mai jos se aplică tuturor persoanelor care intră în contact cu MINOMO. În special:

• Cetățeni consumatori: persoane fizice majore care se înregistrează pentru a urmări comercianți, evenimente și locuri din orașul lor;
• Urmăritori: utilizatori care au ales să urmărească unul sau mai mulți comercianți, City Agent sau pagini MINOMO;
• Comercianți: întreprinderi, profesioniști sau titulari de activitate comercială care au o pagină pe MINOMO. Pentru comercianți colectăm date de identificare cerute de art. 30 din Regulamentul (UE) 2022/2065 privind serviciile digitale („DSA"), astfel cum este descris la punctul 4;
• City Agent, Subagent și Country Manager: consultanți teritoriali care curatoriază editorial rețeaua MINOMO într-o anumită zonă;
• Reprezentanți ai primăriilor și ai autorităților publice care utilizează MINOMO pentru comunicarea civică;
• Vizitatori ai site-ului de prezentare minomo.io, ai paginilor publice ale comercianților (/m/{slug}), ale City Agent (/a/{slug}), ale evenimentelor și ale MINOMO Atlas.

Prezenta politică nu acoperă prelucrarea datelor cu caracter personal efectuată în mod autonom de terți (de exemplu: comerciantul care decide să contacteze un urmăritor în afara MINOMO, primăria care utilizează o platformă externă proprie). În acele cazuri se aplică politica de confidențialitate a terțului respectiv.

4. Categorii de date pe care le colectăm

Colectăm doar datele strict necesare pentru funcționarea serviciilor pe care ai ales să le utilizezi. Categoriile diferă în funcție de rolul tău.

4.1 Toți utilizatorii înregistrați (consumatori, comercianți, City Agent)

• Date de cont: adresă de email, hash-ul parolei (niciodată parola în clar), limba preferată, fusul orar.
• Identificatori tehnici: ID dispozitiv, token de autentificare, identificatori ai sesiunilor active (necesari pentru a permite accesul de pe mai multe dispozitive și pentru deconectarea de la distanță).
• Jurnale de acces: adresă IP, user-agent, marcaj temporal al autentificării, tentative de acces eșuate (în scopuri de securitate și anti-fraudă).
• Comunicări de serviciu: emailuri tranzacționale (verificare cont, parolă uitată, chitanțe, OTP).

4.2 Utilizatori consumatori (cetățeni, urmăritori)

• Cont și contact: adresa ta de email. Este singurul dat de contact pe care ți-l cerem și este folosită pentru autentificare, recuperarea profilului și regăsirea lui când te conectezi de pe alt dispozitiv. Nu îți cerem numărul de telefon.
• Profil: nume afișat, limbă, orașul de referință declarat la înregistrare (acesta este „ancora ta civică" la nivel de server, distinct de geolocalizarea GPS în timp real).
• Avatar: imaginea de profil (dacă este încărcată).
• Geolocalizare:
  • Ancora de oraș: orașul pe care l-ai declarat ca al tău este stocat la nivel de server și utilizat pentru personalizarea paginii de start, a notificărilor și a conținutului editorial. Este o dată statică, nu punctuală.
  • Locație precisă (GPS): utilizată doar când activezi funcțiile bazate pe locație — de exemplu „Lângă mine" în Explorează, tururile ghidate și ghidurile de proximitate ale MINA. Aceste funcții necesită o poziție precisă pentru a-ți arăta ce ai cu adevărat în jur, a te ghida pe trasee și a activa conținutul unui loc când te afli în apropierea lui. O citim doar în timp ce folosești activ aceste funcții (nu în fundal) și o prelucrăm atât timp cât este necesar funcției; poți refuza sau revoca permisiunea oricând din setările dispozitivului.
• Graful de urmăriri: lista comercianților, City Agent și paginilor pe care ai ales să le urmărești.
• Abonamente push: tokenul dispozitivului tău pentru livrarea notificărilor (FCM pe Android, APNs pe iOS, Web Push pe PWA) și preferințele tale de opt-in/opt-out pe categorie.
• Istoricul interacțiunilor: deschideri ale notificărilor push (urmărire tehnică opt-in, niciodată de conținut — vezi punctul 7), clicuri pe oferte, RSVP la evenimente, activări de carduri de fidelitate.
• Carduri de fidelitate: pentru fiecare program de fidelizare activat, soldul de puncte și istoricul tranzacțiilor (creditare, răscumpărare) la acel comerciant.
• Conversații cu MINA: prompturile pe care le trimiți asistentului AI și răspunsurile primite, stocate astfel cum este explicat la punctul 8.
• Alias Identity Shield: dacă accesezi un serviciu terț prin IdP-ul nostru (vezi punctul 9), stocăm maparea dintre identitatea ta MINOMO și aliasul generat pentru acel partener.

4.3 Comercianți (Bio Page, funcții suplimentare, plăți)

Pentru comercianți colectăm, pe lângă datele de cont, informațiile cerute de art. 30 din Regulamentul DSA pentru a asigura trasabilitatea comercianților față de consumatori:

• Denumirea legală a întreprinderii sau a persoanei fizice autorizate;
• Adresa sediului social și a locației comerciale;
• Codul fiscal / codul de înregistrare în scopuri de TVA (CUI în România, P.IVA în Italia), validat în timp real prin servicii publice de registru (ANAF pentru România, VIES pentru verificarea intracomunitară);
• Contact de asistență (email și telefon);
• Auto-certificarea conformității produselor sau serviciilor oferite cu normele UE aplicabile.

O parte din aceste date — denumirea legală, adresa locației, contactul public — este expusă public pe Bio Page-ul comerciantului (/m/{slug}), astfel cum prevede DSA. Datele strict fiscale (codul fiscal complet, datele de facturare) nu sunt publice și rămân accesibile doar AVi Kairos Srl și comerciantului însuși.

Pentru plăți și utilizarea portofelului preplătit colectăm de asemenea: istoricul reîncărcărilor, istoricul consumului (notificări trimise, funcții suplimentare activate), soldul rămas, identificatorul de tranzacție al furnizorului de plăți (vezi punctul 11).

4.4 City Agent, Subagent, Country Manager

Pentru consultanții teritoriali colectăm datele de cont, datele de identificare și de contact necesare pentru relația contractuală, zona teritorială atribuită, istoricul comisioanelor acumulate și al plăților efectuate, notele operative interne. City Agenții nu au acces la datele personale ale urmăritorilor din teritoriul pe care îl gestionează: văd doar agregate statistice și datele publice ale comercianților din zona lor.

4.5 Vizitatori neînregistrați

Când navighezi pe paginile publice ale MINOMO fără a fi înregistrat (site de prezentare, Atlas, Bio Page a unui comerciant, evenimente publice) colectăm exclusiv: adresă IP, user-agent, referința paginii anterioare, marcaj temporal. Aceste date rămân în jurnalele serverului timp de 12 luni și sunt utilizate exclusiv în scopuri de securitate, prevenire a abuzurilor și statistici agregate anonime.

Pe paginile publice ale MINOMO nu sunt prezente Google Analytics, Meta Pixel, LinkedIn Insight, TikTok Pixel, nici alte instrumente de urmărire de terți.

5. Scopurile prelucrării și temeiurile juridice

Prelucrăm datele tale cu caracter personal numai pentru scopuri specifice și legitime, fiecare dintre ele bazându-se pe un temei juridic prevăzut de RGPD.

Nu utilizăm datele tale pentru marketing comportamental, pentru profilare publicitară, pentru vânzare sau cesiune către terți. Dacă în viitor vom introduce prelucrări care necesită consimțământul tău, îți vom solicita o acțiune explicită și informată, iar tu vei putea retrage consimțământul oricând fără ca aceasta să afecteze utilizarea serviciului de bază.

6. Ce NU facem (manifestul MINOMO)

Cea mai importantă parte a acestei politici este cea care descrie ceea ce nu se întâmplă pe sistemele noastre. Acesta este pactul pe care se întemeiază întregul proiect:

• Nicio publicitate. Nu vindem spații publicitare, nu primim remunerații de la agenți de publicitate, nu sponsorizăm conținut de la terți.
• Niciun targeting comportamental. Nu construim profiluri publicitare bazate pe activitatea ta, pe interesele tale presupuse, pe rețeaua ta de contacte.
• Nicio vânzare sau cesiune a datelor tale personale către terți. Niciodată. Pentru niciun scop. Nu le închiriem, nu le schimbăm, nu le partajăm cu brokeri de date.
• Niciun tracker de terți pe paginile publice și în aplicație: fără Google Analytics, fără Meta Pixel, fără LinkedIn Insight Tag, fără TikTok Pixel, fără Hotjar, fără Mixpanel. Statisticile de utilizare pe care le producem rămân interne serverelor noastre și sunt agregate.
• Nicio citire a conținutului notificărilor push din partea noastră: payload-ul este cifrat end-to-end (vezi punctul 7).
• Nicio expunere a datelor tale personale comercianților care te urmăresc. Când urmărești un comerciant, acesta îți poate trimite notificări și știe câți urmăritori are în total, dar nu vede numele tău, adresa ta de email, numărul tău de telefon, locația ta precisă sau nicio altă dată personală.
• Niciun cookie de profilare de la terți: puținele cookie-uri tehnice pe care le utilizăm sunt descrise în Politica privind cookie-urile.

Aceste limitări nu sunt doar declarații de intenție: sunt alegeri de arhitectură tehnică. Majoritatea nu ar putea fi eliminate fără rescrierea completă a sistemului. Este o garanție by design.

7. Notificări push cifrate end-to-end

Notificările push pe care le primești pe MINOMO călătoresc cifrate end-to-end între dispozitivul comerciantului (sau sistemul editorial al unui City Agent) și dispozitivul tău. Aceasta înseamnă că:

• conținutul mesajului — text, titlu, imagine, link — este cifrat cu o cheie derivată din dispozitivul tău;
• serverele noastre nu pot citi payload-ul în clar: vedem doar metadatele operaționale (cine trimite, câți destinatari, în ce moment, cu ce prioritate);
• gateway-urile terților care se ocupă de transportul fizic al notificărilor (Google FCM pentru Android, Apple APNs pentru iOS, Web Push standard pentru PWA) primesc payload-ul deja cifrat și nu îl pot citi;
• doar dispozitivul tău, la momentul recepției, decriptează conținutul și ți-l afișează.

Metadatele care rămân pe serverele noastre (cine → câți, când, cu ce categorie de notificare) sunt utilizate pentru livrarea fiabilă, anti-abuz și facturarea portofelului comerciantului. Sunt stocate pentru timpul strict necesar scopurilor de mai sus (vezi punctul 13).

Dacă alegi să urmărești deschiderile notificărilor pentru o categorie specifică (de exemplu, pentru a primi mai puține notificări dintr-un anumit tip dacă nu le deschizi niciodată), urmărirea are loc numai după activarea ta explicită și poate fi dezactivată oricând din setările aplicației.

8. MINA — asistentul conversațional AI

MINA este un asistent conversațional bazat pe inteligență artificială generativă, disponibil în prezent în cadrul PWA la app.minomo.io. În temeiul art. 50 din Regulamentul (UE) 2024/1689 privind inteligența artificială („AI Act"), te informăm explicit că atunci când interacționezi cu MINA interacționezi cu un sistem de inteligență artificială, nu cu un operator uman.

Cum funcționează MINA, în practică

Când trimiți o întrebare către MINA, se întâmplă următoarele:

1. promptul tău este trimis de serverele noastre la un furnizor terț de servicii de inteligență artificială cu care avem un acord de prelucrare a datelor cu caracter personal (lista actualizată a furnizorilor noștri, cu țările aferente și garanțiile de transfer, este disponibilă la pagina /ro/legal/subprocessors/);
2. furnizorul terț prelucrează promptul, generează un răspuns și îl returnează serverelor noastre;
3. îmbogățim eventual răspunsul cu date publice din MINOMO (POI, evenimente, comercianți din orașul tău) înainte de a ți-l afișa.

Ce stocăm

• Prompturile și răspunsurile sunt stocate pe durata necesară pentru a-ți oferi experiența conversațională (istoricul recent) și pentru a îmbunătăți calitatea serviciului pe date agregate. Vezi detaliile la punctul 13.
• Putem stoca în formă anonimizată indicatori de calitate (lungime medie, rata erorilor, categorii tematice) pentru a îmbunătăți modelul și prompt engineering-ul.
• Nu utilizăm conversațiile tale pentru antrenarea modelelor de inteligență artificială ale terților. Acordurile noastre cu furnizorii AI exclud explicit utilizarea prompturilor MINOMO în scop de training.

Transparență privind limitele

MINA poate produce răspunsuri inexacte, incomplete sau neactualizate. Acestea nu constituie consultanță profesională, juridică, medicală, financiară sau de altă natură. Când depinzi de un răspuns pentru decizii importante, verifică întotdeauna cu surse oficiale.

Opt-out

Poți utiliza toate celelalte servicii MINOMO fără a interacționa vreodată cu MINA. Nu există nicio funcție „obligatorie" care să necesite utilizarea asistentului AI: este un instrument opțional, activat numai prin input-ul tău explicit.

9. MINOMO Identity Shield

Identity Shield este serviciul nostru de identitate federată privacy-first, accesibil la id.minomo.io. Este conceput pentru a-ți permite accesul la servicii ale unor parteneri terți — site-uri web, aplicații, locații comerciale — fără a-ți partaja adresa de email reală și cu posibilitatea de a încheia relația oricând, cu un singur clic, propagând ștergerea datelor tale la partener.

Cum funcționează

• Când un partener integrează Identity Shield și tu alegi să îi accesezi serviciile prin IdP-ul nostru, generăm un alias de email unic pentru acel partener (ceva de genul [email protected]) și îl comunicăm partenerului ca email „al tău" pentru acea relație.
• Emailurile pe care partenerul ți le trimite la acel alias sunt redirecționate către adresa ta de email reală de serverele noastre, în mod transparent.
• Partenerul nu vede niciodată adresa ta de email reală, iar tu știi cu certitudine care partener îți scrie, deoarece fiecare folosește un alias diferit.

Ștergere propagată (art. 17 RGPD as a service)

Dacă decizi să închei relația cu un partener, o poți face dintr-o singură pagină din contul tău Identity Shield. Când faci acest lucru:

1. dezactivăm imediat redirecționarea emailurilor de la alias către căsuța ta reală;
2. trimitem partenerului, în calitate de reprezentant împuternicit de tine, o cerere formală de ștergere în temeiul art. 17 RGPD;
3. monitorizăm confirmarea: partenerul are 30 de zile să confirme ștergerea efectivă sau să motiveze eventuala păstrare (de ex. obligații fiscale);
4. afișăm rezultatul în tabloul tău de bord Identity Shield și contribuim la Privacy Score-ul public al partenerului, care reflectă cât de prompt și corect onorează solicitările de ștergere.

Roluri juridice

În raport cu datele pe care le gestionează, AVi Kairos Srl acționează ca:

• Operator al mapării dintre identitatea ta MINOMO și aliasurile generate: datele aferente acestei mapări sunt prelucrate sub responsabilitatea noastră directă și în conformitate cu prezenta politică.
• Intermediar împuternicit de persoana vizată (tu) pentru a transmite partenerilor solicitările de exercitare a drepturilor RGPD, în special art. 17.

Partenerul, la rândul său, rămâne operator autonom al datelor cu caracter personal pe care le colectează prin propriul serviciu (chiar dacă cheia de contact este un alias MINOMO). Detaliile privind fiecare partener în parte — ce date solicită, în ce scopuri, pentru cât timp le stochează — sunt declarate în politica de confidențialitate a partenerului, care îți este prezentată la primul acces prin Identity Shield.

10. City Agent, Subagent, Country Manager, Primării

City Agenții (și Subagentul lor) sunt consultanți teritoriali care curatoriază rețeaua MINOMO într-un anumit oraș sau zonă, în schimbul unor comisioane teritoriale și cu acces la instrumente dedicate. Raportul lor contractual B2B, acolo unde pentru țara lor există un Country Manager, se stabilește cu Country Manager-ul — care, la rândul său, este legat contractual de AVi Kairos Srl; în lipsa unui Country Manager, raportul este direct cu AVi Kairos Srl. Din principiu:

• City Agenții și Subagentul lor nu văd datele personale individuale ale urmăritorilor și ale cetățenilor din teritoriul pe care îl gestionează — văd doar metrici agregate și datele publice ale comercianților;
• City Agenții nu acționează ca agenți legali ai AVi Kairos Srl față de comercianți: facilitează onboarding-ul, dar relația contractuală pentru utilizarea MINOMO se stabilește direct între comerciant și AVi Kairos Srl, prin Termenii de serviciu pe care comerciantul îi acceptă în mod autonom.

Country Manager-ul, atunci când există, coordonează la nivel național City Agenții care activează într-o anumită țară și se ocupă de rețeaua comercială a acesteia. Pentru a îndeplini acest rol accesează, prin platforma MINOMO și fără niciun acces direct la baza de date, datele de identificare ale comercianților, ale City Agenților și ale Subagenților din rețeaua sa națională (de exemplu: denumirea societății, persoana de contact, datele de contact, datele fiscale, starea licenței). Și Country Manager-ul nu accesează datele individuale ale consumatorilor/urmăritorilor: dintre acestea vede exclusiv date agregate și statistice (numărul de urmăritori, consumul de servicii, evoluția teritoriului).

În privința acestor date ale rețelei, AVi Kairos Srl și Country Manager-ul acționează în calitate de operatori asociați în sensul art. 26 RGPD, limitat la scopurile de gestionare, coordonare și dezvoltare a rețelei comerciale naționale. Rolurile respective sunt stabilite într-un acord între operatorii asociați: pe scurt, AVi Kairos Srl furnizează platforma, definește măsurile de securitate și păstrează baza de date, în timp ce Country Manager-ul prelucrează datele pentru gestionarea operațională a rețelei din țara sa. Indiferent de această repartizare, îți poți exercita drepturile adresându-te oricăruia dintre operatorii asociați; punctul nostru de contact rămâne [email protected] (vezi punctul 14).

Reprezentanții primăriilor și ai autorităților publice care utilizează MINOMO pentru comunicarea civică accesează o vizualizare dedicată cu date administrative (evenimente publice, anunțuri, POI instituționale). Prelucrăm datele lor exclusiv în scopul relației instituționale.

Consultări civice anonime (Civic Polling)

Unele primării folosesc MINOMO pentru a organiza consultări civice: ți se prezintă o temă și poți exprima o preferință cu o singură atingere (de exemplu Pentru · Împotrivă · Mă abțin) într-o fereastră de timp. Consultarea este neobligatorie și este concepută din start pentru a fi anonimă. Iată exact cum prelucrăm datele.

• Separăm „cine a participat" de „ce s-a votat". Înregistrăm într-o listă de participare doar faptul că acel cont al tău a votat la o anumită consultare — exclusiv pentru a împiedica voturile duble și pentru a sincroniza starea între dispozitivele tale — iar această listă nu conține alegerea ta. Alegerea este numărată separat ca simplu contor agregat, fără nicio referire la contul tău; momentul votului este rotunjit și ofuscat pentru a împiedica corelarea temporală.
• La închidere ștergem legătura. Când consultarea se închide, lista de participare este ștearsă definitiv și rămâne doar cifra agregată. Din acel moment preferința ta nu mai poate fi asociată ție nici măcar de către noi.
• Rezultate ascunse până la închidere. Rezultatele nu sunt vizibile în timpul votului, pentru a nu influența alegerile și pentru a întări anonimatul.
• Notificare civică fără urmărire. Notificarea prin care ești invitat să participi nu leagă dispozitivul sau identitatea ta de vot: nu aplicăm pixeli de urmărire și nici hărți dispozitiv-utilizator consultărilor civice.
• Registru verificabil public. La închidere publicăm un certificat semnat criptografic al rezultatelor exclusiv agregate (cu marcaj temporal și stocare pe o rețea descentralizată), astfel încât oricine să poată verifica că numărătoarea nu a fost alterată. Certificatul nu conține niciodată buletine de vot individuale.
• Tu deții controlul. Primești invitații de a participa doar dacă preferința aferentă („Comunicări de la primăria mea") este activă în setările contului tău; o poți dezactiva oricând. Eligibilitatea este ancorată în orașul pe care l-ai indicat în profil.

Pentru aceste consultări primăria promotoare este operatorul conținutului și al scopului întrebării (MINOMO transmite, nu redactează), în timp ce AVi Kairos Srl pune la dispoziție instrumentul și garantează anonimatul tehnic descris mai sus. Metodologia completă, cu garanțiile de anonimat și instrucțiunile de verificare independentă, este descrisă la pagina admin.minomo.io/civic/methodology.

11. Destinatari și furnizori (subîmputerniciți)

Pentru funcționarea MINOMO apelăm la un număr restrâns de furnizori specializați. Fiecare dintre ei este obligat printr-un acord scris să prelucreze datele tale exclusiv pentru scopurile pe care le-am stabilit și cu măsuri de securitate adecvate.

Furnizorii se încadrează în următoarele categorii generale:

• Infrastructură: servere aplicative și baze de date, hosting de imagini și fișiere încărcate, rețea de distribuție a conținutului (CDN), servicii de securitate perimetrală.
• Comunicații: transport al emailurilor tranzacționale (furnizor SMTP), gateway-uri pentru notificări push native (Android și iOS).
• Inteligență artificială: furnizorul terț care alimentează MINA.
• Plăți: Merchant of Record-ul care procesează reîncărcările portofelului și tranzacțiile asociate.
• Autentificare socială: furnizorii OAuth (Google, Apple) activați dacă alegi să te autentifici printr-unul dintre aceste servicii.
• Build-ul aplicațiilor native: platforma de integrare continuă care compilează aplicațiile iOS și Android.

Lista completă, actualizată și versionată a furnizorilor noștri — cu categoria de prelucrare, țara de stabilire, garanțiile de transfer aplicabile și data ultimei actualizări — este disponibilă la pagina dedicată: minomo.io/ro/legal/subprocessors/. Acea pagină face parte integrantă din prezenta politică.

Când adăugăm, eliminăm sau înlocuim un furnizor, actualizăm pagina și evidențiem modificarea în changelog-ul aferent. Dacă modificarea este substanțială (schimbă țara de prelucrare sau natura furnizorului), te informăm în mod proactiv.

Pe lângă furnizori, putem comunica datele tale autorităților competente (forțe de ordine, autorități judiciare, autorități de supraveghere a protecției datelor, autorități de supraveghere în temeiul DSA) în limitele și modalitățile prevăzute de lege.

12. Transferuri de date în afara Spațiului Economic European

O parte dintre furnizorii noștri are sediul în Statele Unite ale Americii sau în alte țări din afara Spațiului Economic European (SEE). Transferurile de date cu caracter personal către aceste țări sunt supuse unor garanții juridice specifice:

• Statele Unite: acolo unde furnizorul aderă la EU-U.S. Data Privacy Framework aprobat prin decizia de adecvare a Comisiei Europene din 10 iulie 2023, transferul este acoperit de respectiva decizie. În plus, și independent de DPF, aplicăm Clauzele contractuale standard aprobate de Comisia Europeană prin Decizia 2021/914/UE, completate de o evaluare a impactului transferurilor (EIT) și de măsuri suplimentare tehnice și organizatorice.
• Regatul Unit: transferul este acoperit de decizia de adecvare a Comisiei Europene din 28 iunie 2021.
• Alte țări extra-SEE: aplicăm Clauzele contractuale standard 2021/914/UE și, acolo unde este relevant, acorduri specifice cu furnizorul.

Monitorizăm în mod constant evoluția jurisprudenței Uniunii Europene privind transferurile internaționale (în special deciziile Curții de Justiție cunoscute sub denumirea „Schrems") și ne adaptăm mecanismele de garanție atunci când este necesar.

Poți solicita o copie a Clauzelor contractuale standard și a evaluării impactului transferurilor pe care le aplicăm unui anumit furnizor scriind la [email protected].

13. Perioade de stocare

Stocăm datele tale cu caracter personal pentru timpul strict necesar scopurilor pentru care au fost colectate și în conformitate cu obligațiile legale aplicabile. Principalele perioade sunt:

La expirarea fiecărei perioade, datele sunt șterse sau anonimizate în mod ireversibil. Când îți exerciți dreptul la ștergere (vezi punctul 14), procedăm în termenele legale, cu excepția perioadelor minime impuse de obligații normative (în special cei 10 ani ai registrelor fiscale).

14. Drepturile tale

RGPD îți recunoaște o serie de drepturi pe care le poți exercita oricând, gratuit, fără a fi obligat să motivezi cererea. Acestea sunt:

• Dreptul de acces (art. 15 RGPD): obținerea confirmării prelucrării și a unei copii a datelor tale.
• Dreptul la rectificare (art. 16): corectarea datelor inexacte sau incomplete.
• Dreptul la ștergere (art. 17, „dreptul de a fi uitat"): obținerea ștergerii datelor tale, în limitele prevăzute de lege.
• Dreptul la restricționarea prelucrării (art. 18): solicitarea blocării temporare a prelucrării în cazuri specifice.
• Dreptul la portabilitatea datelor (art. 20): primirea datelor tale într-un format structurat, utilizat în mod curent și lizibil automat, și transmiterea lor unui alt operator.
• Dreptul la opoziție (art. 21): opunerea prelucrării bazate pe interesul legitim, cu excepția cazului în care există motive legitime imperative pentru a continua.
• Dreptul la retragerea consimțământului: acolo unde prelucrarea se bazează pe consimțământ, îl poți retrage oricând fără ca aceasta să afecteze legalitatea prelucrării deja efectuate.
• Dreptul de a nu face obiectul deciziilor automate cu efecte juridice sau semnificative (art. 22): MINOMO nu adoptă față de tine decizii integral automate. MINA produce răspunsuri, dar tu ești cel care decide cum să le folosești; nu ți se refuză un serviciu pe baza unei evaluări algoritmice.

Cum le exerciți

Poți exercita fiecare dintre aceste drepturi în două moduri:

• completând formularul de la minomo.io/ro/legal/data-request/;
• scriind la [email protected].

Ștergerea contului. Dacă vrei să ștergi întregul cont și datele asociate, o poți face direct din aplicație (Cont → Șterge contul) sau printr-o cerere pe web. Procedura completă — ce se șterge, ce suntem obligați să păstrăm și pentru cât timp — este descrisă pas cu pas pe pagina dedicată: minomo.io/ro/legal/delete-account/.

Vom răspunde în termen de 30 de zile de la primirea cererii, cu excepția cazurilor de complexitate deosebită care pot necesita o prelungire de până la 60 de zile suplimentare (despre care te vom informa motivat). Înainte de a procesa cererea, îți verificăm identitatea pentru a evita divulgările către persoane neautorizate: verificarea se face de regulă prin confirmarea cererii de la adresa de email asociată contului tău.

Reclamație la autoritatea de supraveghere

Dacă consideri că prelucrarea datelor tale cu caracter personal încalcă RGPD, poți depune o plângere la autoritatea de supraveghere competentă. Autoritățile cu care interacționăm cel mai frecvent sunt:

• ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (România): B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, 010336 București · dataprotection.ro
• Garante per la protezione dei dati personali (Autoritatea italiană pentru protecția datelor): Piazza Venezia 11, 00187 Roma · garanteprivacy.it
• autoritatea de supraveghere din țara ta de reședință obișnuită, dacă este alta decât cele menționate anterior. Lista autorităților SEE este disponibilă pe edpb.europa.eu.

15. Minori

MINOMO este destinat persoanelor care au împlinit 18 ani. Aceasta este o alegere de politică a Operatorului: ne permite să acționăm cu un cadru uniform față de consumatorii minori din diferite țări UE și să menținem relația contractuală (inclusiv portofelul preplătit) în cadrul deplinei capacități de exercițiu a persoanei vizate.

Dacă aflăm că există un cont aparținând unui minor, îl suspendăm și procedăm la ștergerea datelor colectate, cu excepția cazului în care un părinte sau tutore intervine formal pentru regularizarea situației. Dacă ești un părinte sau tutore și consideri că un minor aflat în responsabilitatea ta a creat un cont MINOMO, scrie la [email protected].

16. Securitate și gestionarea incidentelor

Am adoptat măsuri tehnice și organizatorice adecvate pentru a proteja datele tale împotriva accesului neautorizat, pierderii, alterării sau divulgării. Printre acestea:

• criptare în tranzit (HTTPS/TLS 1.2 sau superior pe toate endpoint-urile publice);
• criptare în repaus pentru bazele de date și stocarea fișierelor (chei gestionate de furnizorul de hosting);
• criptare end-to-end pentru conținuturile notificărilor push;
• autentificare în doi factori disponibilă pentru conturile cu expunere ridicată (admin, City Agent, comercianți);
• acces la date limitat la personalul autorizat pe baza principiului minimului necesar, cu înregistrarea activității administrative;
• monitorizare de securitate, detectare automată a anomaliilor, proceduri de răspuns la incidente.

Nicio măsură de securitate nu este absolută. Dacă, în pofida măsurilor noastre, se produce o încălcare a securității datelor cu caracter personal care implică un risc pentru drepturile și libertățile tale, procedăm astfel:

1. notificăm autoritatea de supraveghere competentă în termen de 72 de ore de la cunoașterea evenimentului, în temeiul art. 33 RGPD;
2. îți comunicăm incidentul direct, în limbaj clar, atunci când încălcarea implică un risc ridicat (art. 34 RGPD).

17. Modificări ale prezentei politici

Putem actualiza prezenta politică în timp, de exemplu ca urmare a unor noi funcționalități, furnizori noi, evoluții normative sau hotărâri judecătorești relevante. Când facem acest lucru:

• actualizăm versiunea și data menționată în fruntea documentului;
• dacă modificarea este substanțială — adică afectează drepturile tale, scopurile, furnizorii sau țările de prelucrare — te informăm proactiv cu cel puțin 30 de zile înainte, prin email și printr-un aviz în aplicație;
• păstrăm versiunile anterioare ale politicii în changelog-ul de mai jos, astfel încât să poți compara ce s-a schimbat.

Istoricul modificărilor

18. Contact

Pentru orice întrebare, solicitare sau sesizare legată de protecția datelor tale cu caracter personal:

• Email confidențialitate: [email protected]
• Formular cereri RGPD: minomo.io/ro/legal/data-request/
• Poștă ordinară: AVi Kairos Srl — Strada Lungă 188, Corp C2, Ap. 2, Brașov 500051, România
• Contact general: [email protected]
• Punct de contact DSA (pentru solicitări privind moderarea conținutului și obligațiile furnizorilor de servicii digitale): [email protected]

Tratăm întrebările tale cu respect și cu toată seriozitatea cuvenită. Dacă răspunsul nostru nu te satisface, nu uita că poți apela la Autoritatea de supraveghere din țara ta (vezi punctul 14).