Politică de confidențialitate
Ultima actualizare: 27 aprilie 2026 · Versiunea 3.1
1. Cine suntem — Operatorul de date
InvitatieAI este o platformă SaaS de creare și gestionare a invitațiilor digitale, operată de:
Denumire: Larissa Natalia Dumitrascu PFA
CUI: 54360963
Sediu social: Str. Ciocarliei, nr. 7D, Tamași, Corbeanca, jud. Ilfov, România
Email: invitatieai@gmail.com
Suntem operator de date cu caracter personal în sensul Regulamentului (UE) 2016/679 (GDPR). Această politică descrie exhaustiv ce date colectăm, de ce, pe ce bază juridică, cât timp le stocăm și cum le protejăm.
2. Ce date cu caracter personal colectăm
2.1 Date de cont (furnizate direct de utilizator)
- Nume și prenume
- Adresă de email
- Parolă (stocată criptat cu bcrypt, 12 runde — nu avem acces la parola în clar)
- Date opționale pentru plan Agenție: denumire agenție, logo, website, culoare brand
- Preferințe: limbă interfață (română/engleză), consimțăminte GDPR, newsletter, marketing
2.2 Date eveniment și invitați
- Titlul, tipul, data, ora și locația evenimentului (inclusiv coordonate GPS opționale)
- Mesajul invitației, codul vestimentar, informații meniu, link locație
- Imagini de copertă și galerie foto încărcate de utilizator
- Muzică de fundal (fișier audio sau URL din biblioteca platformei)
- Lista invitaților: nume, email, telefon (introduse de organizator)
- Confirmări RSVP: răspuns (participă/nu participă), număr de însoțitori, preferință meniu, mesaj personal
Important (organizator): Dacă introduci date ale invitaților tăi (email, telefon), ești responsabil pentru obținerea consimțământului lor conform GDPR. InvitatieAI acționează ca persoană împuternicită(Art. 28 GDPR) pentru aceste date, procesându-le exclusiv conform instrucțiunilor tale.
2.3 Date generate cu ajutorul AI
- Descrierea (prompt-ul) pe care o introduci pentru generarea invitației AI
- Tipul de eveniment selectat
- Textul generat (titlu, mesaj, sugestii dată/oră/locație) — stocat în contul tău
- Imaginile Pexels selectate (URL și ID Pexels)
Detalii complete despre prelucrarea AI în Politica AI.
2.4 Date de plată
- Procesate exclusiv prin Stripe — nu stocăm și nu vedem datele cardului tău
- Stocăm: ID-ul de client Stripe, ID-ul abonamentului/sesiunii, planul achiziționat, data și statusul tranzacției
- Facturi emise conform obligațiilor fiscale române (Codul Fiscal)
2.5 Date de utilizare și analiză (cu consimțământ)
Colectate doar dacă îți dai consimțământul în bannerul de cookie-uri:
- Google Analytics 4: paginile accesate, durata sesiunii, sursa de trafic, tipul de dispozitiv/browser, locație geografică aproximativă (nivel țară/județ). Datele sunt pseudonimizate (IP-uri anonimizate).
- Google Ads (conversii): acțiunile care urmează unui clic pe un anunț publicitar InvitatieAI (ex: înregistrare, finalizare plată), utilizate pentru măsurarea eficienței campaniilor publicitare.
- Remarketing Google: datele despre vizitele tale pe platformă, utilizate pentru a-ți afișa anunțuri InvitatieAI pe alte site-uri și aplicații din rețeaua Google (Display Network, YouTube etc.).
Poți retrage consimțământul oricând din bannerul de cookies sau din Politica de cookies.
2.6 Date tehnice (colectate automat pentru securitate)
- Adresă IP (pentru securitate și prevenirea fraudei — nu utilizată în scopuri publicitare)
- Tip browser, sistem de operare
- Loguri de server: pagini accesate, timestamp-uri, erori tehnice
- Cookie-uri strict necesare (sesiune, autentificare, protecție CSRF)
- Date autentificare biometrică WebAuthn (cheie publică, contor utilizare — stocate local în dispozitivul tău și în contul tău)
2.7 Date de consimțământ
- Data și ora acceptării Termenilor și condițiilor
- Data și ora acceptării Politicii de confidențialitate
- Preferințele granulare de cookies (analytics / publicitate) cu timestamp
- Preferința de newsletter și marketing cu timestamp
- Versiunea documentelor acceptate (pentru audit GDPR)
3. Scopul și temeiul juridic al prelucrării
| Scop prelucrare | Temei GDPR |
|---|---|
| Crearea și gestionarea contului de utilizator | Art. 6(1)(b) — executarea contractului |
| Furnizarea serviciului: creare invitații, publicare, RSVP, QR, PDF, muzică | Art. 6(1)(b) — executarea contractului |
| Generare invitații cu AI (prompt → text + imagini Pexels) | Art. 6(1)(b) — executarea contractului |
| Procesarea plăților și facturarea (Stripe) | Art. 6(1)(c) — obligație legală; Art. 6(1)(b) — contract |
| Emailuri tranzacționale (verificare cont, reset parolă, confirmare plată, notificări RSVP) | Art. 6(1)(b) — executarea contractului |
| Securitate, detectarea fraudei, protecție CSRF, loguri tehnice | Art. 6(1)(f) — interes legitim (securitate platformă) |
| Analiză trafic și comportament utilizatori (Google Analytics 4) | Art. 6(1)(a) — consimțământ explicit |
| Publicitate Google Ads — măsurare conversii și optimizare campanii | Art. 6(1)(a) — consimțământ explicit |
| Remarketing — afișare anunțuri InvitatieAI vizitatorilor platformei pe alte site-uri Google | Art. 6(1)(a) — consimțământ explicit |
| Newsletter cu noutăți și actualizări ale platformei | Art. 6(1)(a) — consimțământ explicit |
| Comunicări comerciale personalizate (oferte, promoții) | Art. 6(1)(a) — consimțământ explicit |
| Exportul datelor tale (drept portabilitate GDPR Art. 20) | Art. 6(1)(c) — obligație legală |
| Păstrarea evidenței consimțămintelor GDPR (audit) | Art. 6(1)(c) — obligație legală (GDPR Art. 7(1)) |
Notă privind interesul legitim: Când ne bazăm pe interesul legitim (Art. 6(1)(f)), am efectuat testul de echilibru și am stabilit că interesele noastre nu prevalează în mod nejustificat asupra drepturilor și libertăților tale. Poți solicita mai multe informații sau te poți opune prelucrării.
4. Perioadele de retenție a datelor
| Categorie de date | Perioadă retenție | Motiv |
|---|---|---|
| Date de cont (profil, email, preferințe) | Pe durata contului + 30 de zile după ștergere | Executarea contractului |
| Date eveniment și invitați (inclusiv RSVP) | 12 luni de la data evenimentului | Minimizarea datelor (principiu GDPR Art. 5) |
| Date financiare (facturi, tranzacții Stripe) | 10 ani de la emitere | Obligație legală fiscală (Codul Fiscal, art. 25) |
| Loguri tehnice de server (IP, acces, erori) | Maxim 90 de zile | Securitate, detectarea incidentelor |
| Date AI (prompt-uri, text generat, imagini selectate) | Pe durata invitației în cont (ștergi tu sau la ștergerea contului) | Furnizarea serviciului |
| Consimțăminte GDPR (inclusiv preferințe cookies) | Pe durata contului + 5 ani după ștergere | Dovada consimțământului (obligație legală GDPR Art. 7(1)) |
| Date Google Analytics (cookie _ga) | 2 ani (controlat de Google) | Analiză trafic (dacă ai consimțit) |
| Date Google Ads / Remarketing | 90 de zile (controlat de Google) | Publicitate / remarketing (dacă ai consimțit) |
| Date newsletter | Până la retragerea consimțământului | Consimțământ |
5. Cu cine partajăm datele — Procesatori autorizați
Nu vindem niciodată datele tale. Le partajăm strict cu furnizorii necesari funcționării platformei, cu care avem contracte de prelucrare a datelor (DPA) conform GDPR Art. 28:
| Furnizor | Scop | Locație | Garanții transfer |
|---|---|---|---|
| Stripe | Procesare plăți și facturare | SUA / UE | SCC, PCI DSS Level 1 |
| Resend | Email-uri tranzacționale (verificare cont, RSVP, parole) | SUA | SCC, DPA disponibil |
| Vercel | Găzduire aplicație, CDN, randare server | SUA / UE | SCC, DPA disponibil |
| Supabase (PostgreSQL) | Baza de date principală (producție) | UE (AWS eu-central-1) | DPA, date în UE |
| OpenAI | Generare text invitație AI (GPT-4o-mini) și query-uri imagini (GPT-3.5-turbo) | SUA | SCC, DPA business (nu antrenează pe datele tale) |
| Pexels (Canva) | Bibliotecă fotografii stoc pentru invitații AI | SUA / UE | Pexels License, SCC |
| Google LLC (Analytics) | Analiză trafic și comportament utilizatori (Google Analytics 4) | SUA / UE | SCC, DPF, Google Ads Data Processing Terms |
| Google LLC (Ads) | Publicitate Google Ads, măsurare conversii, remarketing | SUA / UE | SCC, DPF, Google Ads Data Processing Terms |
| Google Maps Platform | Autocomplete și afișare locație eveniment (opțional) | SUA / UE | SCC, DPF |
SCC = Clauze Contractuale Standard adoptate de Comisia Europeană (Decizia 2021/914) pentru transferuri în afara UE/SEE. DPF = Data Privacy Framework (acordul UE–SUA în vigoare din iulie 2023).
Putem partaja date cu autoritățile publice competente (ANAF, instanțe, poliție, ANSPDCP) atunci când suntem obligați legal sau pentru apărarea drepturilor noastre în instanță.
Transfer de date în cazul reorganizării sau cesiunii platformei: În eventualitatea în care Larissa Natalia Dumitrascu P.F.A. ar fi implicată într-o fuziune, achiziție, reorganizare sau cesiune parțială ori totală a activității sau a platformei InvitatieAI către un terț, datele cu caracter personal ale utilizatorilor pot constitui parte din activele transferate, exclusiv în măsura necesară continuării furnizării serviciului. Orice astfel de transfer va fi realizat cu respectarea prevederilor GDPR, iar utilizatorii vor fi notificați în prealabil prin email și prin publicarea unei versiuni actualizate a prezentei politici, beneficiind de dreptul de a-și șterge contul înainte de transferul efectiv.
6. Drepturile tale conform GDPR
Dreptul de acces (Art. 15)
Poți solicita o copie completă a datelor pe care le deținem despre tine. Răspundem în termen de 30 de zile.
Dreptul la rectificare (Art. 16)
Poți corecta sau completa datele incorecte direct din Setările contului sau prin email.
Dreptul la ștergere / „dreptul de a fi uitat" (Art. 17)
Poți solicita ștergerea contului și a tuturor datelor asociate, disponibil direct din Setări. Datele financiare (facturi) se păstrează conform obligației legale.
Dreptul la portabilitate (Art. 20)
Poți exporta datele tale în format JSON din Setările contului, secțiunea GDPR, în orice moment.
Dreptul la opoziție (Art. 21)
Poți te opune prelucrării bazate pe interesul legitim sau retrage oricând consimțământul pentru newsletter, marketing și cookies analitice/publicitare.
Dreptul la restricționarea prelucrării (Art. 18)
Poți solicita restricționarea în circumstanțe specifice (ex: contestarea exactității datelor pe durata verificării).
Dreptul de a nu face obiectul deciziilor complet automatizate (Art. 22)
Nu luăm decizii cu efecte juridice bazate exclusiv pe prelucrare automatizată. Generarea AI este un instrument de asistență — decizia finală aparține utilizatorului.
Retragerea consimțământului
Retragerea consimțământului (ex: pentru analytics sau remarketing) nu afectează legalitatea prelucrărilor anterioare. Poți retrage oricând din Setări sau bannerul de cookies.
Exerciți aceste drepturi din Setările contului sau prin email la invitatieai@gmail.com. Răspundem în maxim 30 de zile calendaristice. Serviciul este gratuit. Poate fi perceput un tarif rezonabil doar pentru cereri manifestate vădit excesive (Art. 12(5) GDPR).
Prelungirea termenului de răspuns: Pentru cereri complexe sau când primim un număr mare de solicitări simultan, termenul de răspuns poate fi prelungit cu până la două luni suplimentare (maximum 3 luni total), conform Art. 12(3) GDPR. În acest caz, te vom notifica în termen de 30 de zile de la primirea cererii, explicând motivele prelungirii.
Imposibilitatea identificării: În situația în care nu putem identifica cu certitudine persoana vizată pe baza informațiilor furnizate în cerere (de ex., adresă de email diferită față de cea din cont sau lipsa datelor de identificare), nu putem da curs solicitării fără informații suplimentare de verificare. Te vom contacta pentru a solicita clarificări. Dacă identificarea rămâne imposibilă, ne rezervăm dreptul de a refuza procesarea cererii, conform Art. 12(2) GDPR, fără ca acest lucru să constituie o încălcare a drepturilor tale.
7. Transferuri internaționale de date
Unii procesatori (Stripe, Resend, Vercel, OpenAI, Google, Pexels) sunt localizați sau prelucrează date în SUA. Transferurile se realizează cu garanții adecvate conform Art. 46 GDPR:
- Clauze Contractuale Standard (SCC) adoptate de Comisia Europeană prin Decizia 2021/914
- Data Privacy Framework UE–SUA (DPF) — în vigoare din 10 iulie 2023, pentru furnizorii certificați
Datele stocate în baza de date principală (Supabase) sunt găzduite în Uniunea Europeană (Frankfurt, AWS eu-central-1).
8. Măsuri de securitate (Art. 32 GDPR)
Implementăm măsuri tehnice și organizatorice adecvate nivelului de risc:
- Comunicații criptate HTTPS (TLS 1.2+) pentru toate datele în tranzit
- Parole hash-uite cu bcrypt (factorul de cost 12) — parola în clar nu este vizibilă nimănui
- Autentificare biometrică opțională (WebAuthn/Passkeys) prin FIDO2
- Tokens de sesiune HTTP-only, rotite la autentificare, protecție CSRF
- Acces restricționat la baza de date pe principiul necesității (least privilege)
- Validarea și igienizarea tuturor intrărilor utilizatorului (Zod schemas)
- Separarea mediului de dezvoltare față de producție
- Monitorizare continuă a erorilor și incidentelor de securitate
În caz de incident de securitate care afectează datele tale, te notificăm în maxim 72 de orede la constatare, conform Art. 33–34 GDPR.
9. Cookie-uri și tracking
Folosim cookie-uri strict necesare (fără consimțământ) și, cu consimțământul tău explicit, cookie-uri de analiză (Google Analytics) și publicitate (Google Ads, remarketing).
Detalii complete, inclusiv lista exactă a cookie-urilor și cum le poți gestiona, în Politica de cookies.
10. Minori
Serviciul InvitatieAI este destinat exclusiv persoanelor cu vârsta de minimum 18 ani, conform Termenilor și condițiilor. Cu toate acestea, vârsta minimă pentru acordarea consimțământului privind prelucrarea datelor cu caracter personal în serviciile societății informaționale este de 16 ani, conform Art. 8 din Regulamentul (UE) 2016/679 (GDPR). Persoanele cu vârsta cuprinsă între 16 și 18 ani pot consimți în mod valabil la prelucrarea datelor, însă utilizarea platformei în sine rămâne condiționată de vârsta minimă contractuală de 18 ani.
Prin accesarea platformei InvitatieAI, declari că ai împlinit vârsta de 18 ani sau că, în caz contrar, accesezi cu acordul explicit al părintelui ori al tutorelui legal, care își asumă responsabilitatea pentru utilizarea serviciului.
Nu colectăm cu bună știință date despre persoane cu vârsta sub 16 ani. Dacă descoperim că am primit date de la astfel de persoane, le vom șterge imediat. Dacă ești părinte sau tutore și crezi că un minor a creat un cont, contactează-ne la invitatieai@gmail.com și vom rezolva situația fără întârziere.
11. Autoritatea de supraveghere
Dacă consideri că prelucrăm datele tale incorect sau că nu am răspuns corespunzător la cererea ta, ai dreptul de a depune o plângere la:
ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal
B-dul G-ral. Gheorghe Magheru 28–30, Sector 1, 010336 București
Dacă ești rezident al unui alt stat UE, poți contacta și autoritatea de supraveghere din statul tău de reședință.
12. Modificări ale politicii
Ne rezervăm dreptul de a actualiza această politică pentru a reflecta modificări legislative, tehnologice sau ale serviciului. Versiunea curentă este întotdeauna disponibilă la invitatieai.com/privacy cu data ultimei actualizări și numărul versiunii.
La modificări semnificative (ex: adăugarea de noi scopuri de prelucrare sau noi categorii de date), te vom notifica prin email cu cel puțin 15 zile înainte de intrarea în vigoare.