GlowMD · Legal

Politica de Confidențialitate

Ultima actualizare: 22 aprilie 2026

1. Introducere

Această Politică de Confidențialitate explică modul în care Aesthetic Studio Creator S.R.L. ("GlowMD", "noi") colectează, folosește, stochează, partajează și protejează informațiile despre tine atunci când folosești website-ul, aplicația mobilă și serviciile GlowMD (în continuare "Serviciul"). Se aplică utilizatorilor din Spațiul Economic European, Regatul Unit, Elveția, Statele Unite (inclusiv California, sub CCPA) și oriunde altundeva oferim Serviciul.

Dacă ai sub 18 ani, nu ai voie să folosești GlowMD. Nu furniza nicio informație personală.

2. Operatorul de date

Operatorul responsabil de informațiile tale este:

Aesthetic Studio Creator S.R.L. B-dul Decebal, Nr. 12, Camera 1, Bl. S7, Sc. 1, Et. 5, Ap. 15, Sector 3, București, România Cod de identificare fiscală (CUI): RO45931173 Registrul Comerțului: J40/6657/2022

Contact pentru probleme de confidențialitate: privacy@glowmd.io

Pentru utilizatorii din UE/SEE/UK, acest e-mail este și punctul de contact desemnat pentru întrebări privind protecția datelor.

3. Informațiile pe care le colectăm

3.1 Informații de cont

  • Adresă de e-mail, hash-ul parolei (niciodată parola în clar), provider de autentificare (dacă te conectezi cu Google), data creării contului și a ultimei conectări.

3.2 Informații de profil

  • Numele afișat și URL-ul opțional de avatar pe care le alegi.

3.3 Răspunsurile la chestionarul despre piele

  • Răspunsurile pe care le declari la cele 15 întrebări despre piele (tip, preocupări, stil de viață, rutină, obiective).

3.4 Fotografii faciale ("date biometrice")

  • Fotografiile frontale, de profil stâng, profil drept și eventual gât pe care le încarci.
  • Rezultatele analizei (zone de interes, severitate, vârstă cutanată estimată).
  • Vezi Consimțământul pentru Date Biometrice pentru reguli specifice acestei categorii.

3.5 Informații de plată

  • Procesate direct de Stripe. Primim un ID de client, statusul abonamentului, nivelul planului și evenimente de facturare — dar nu numărul complet al cardului, CVV sau credențiale bancare.

3.6 Date tehnice

  • Adresă IP, tip de dispozitiv, sistem de operare, browser, geolocalizare aproximativă (la nivel de oraș), timestamp-uri de sesiune, URL de referință, log-uri de erori pentru diagnostic.

3.7 De la terți

  • Google (când te autentifici cu Google OAuth): profil de bază (e-mail, nume afișat, URL poză profil).
  • Stripe (când te abonezi): evenimente de facturare și status abonament.

4. Temeiul legal al procesării (GDPR Art. 6 și Art. 9)

| Scop | Temei legal | |---|---| | Furnizarea Serviciului (cont, rutină, dashboard) | Art. 6(1)(b) — executarea unui contract | | Procesarea fotografiilor faciale pentru analiză | Art. 9(2)(a) — consimțământ explicit | | Procesarea plăților | Art. 6(1)(b) — executarea unui contract | | Păstrarea evidențelor contabile și fiscale | Art. 6(1)(c) — obligație legală | | Securitate, prevenirea fraudei, răspuns la incidente | Art. 6(1)(f) — interes legitim | | Îmbunătățirea produsului (date agregate și anonimizate) | Art. 6(1)(f) — interes legitim | | Comunicări de marketing (opțional) | Art. 6(1)(a) — consimțământ |

Îți poți retrage consimțământul oricând; retragerea nu afectează legalitatea procesării anterioare.

5. Cum folosim informațiile

Folosim informațiile colectate pentru:

  • Crearea și administrarea contului tău;
  • Generarea de analize personalizate, rutine și ghiduri de proceduri;
  • Funcționalități precum tracker-ul de streak, fotografii de progres, dashboard;
  • Procesarea plăților de abonament și trimiterea bonurilor;
  • Răspuns la solicitările tale de suport;
  • Detectarea, prevenirea și răspunsul la fraudă, abuz și incidente de securitate;
  • Respectarea obligațiilor legale (contabilitate, fiscalitate, raportare de reglementare);
  • Îmbunătățirea Serviciului (analize de produs pe date agregate și anonimizate).

Nu te profilăm pentru reclame și nu vindem informații personale.

6. Cu cine partajăm datele

Partajăm datele personale doar cu procesatori obligați contractual să le protejeze. Nu vindem și nu închiriem datele tale.

| Procesator | Scop | Locație | Garanție | |---|---|---|---| | Supabase (Supabase Inc. / Supabase OÜ) | Bază de date, autentificare, stocare fișiere | UE (regiunea Frankfurt) | DPA + SCC unde se aplică | | Stripe (Stripe Payments Europe Ltd.) | Facturare abonamente | Irlanda / SUA | DPA + SCC (UE→SUA), PCI DSS | | Vercel (Vercel Inc.) | Găzduire web și distribuție edge | Edge global / infrastructură SUA | DPA + SCC | | Resend (Resend Inc.) | Trimitere de e-mail tranzacțional | UE/SUA | DPA + SCC | | Google (Google Ireland Ltd. / LLC) | Exclusiv autentificare OAuth | UE + SUA | DPA + SCC |

O listă actualizată a sub-procesatorilor este disponibilă la cerere la privacy@glowmd.io.

7. Transferuri internaționale

Datele tale sunt stocate în principal în Uniunea Europeană. Când datele sunt transferate în afara SEE (de exemplu, pentru procesarea plăților sau caching edge global), ne bazăm pe Clauzele Contractuale Standard adoptate de Comisia Europeană (Decizia de punere în aplicare (UE) 2021/914) și, unde este cazul, pe măsuri tehnice suplimentare precum criptarea în tranzit și la stocare.

Poți solicita o copie a SCC-urilor la privacy@glowmd.io.

8. Retenție

Păstrăm datele personale doar cât este necesar pentru scopurile din această politică.

| Categorie | Perioadă de retenție | |---|---| | Cont (e-mail, metadate de autentificare) | Cât timp contul e activ + 3 ani după ștergere pentru apărare juridică | | Profil (nume afișat) | Identic cu contul | | Răspunsuri la chestionar | Identic cu contul | | Fotografii faciale | Șterse la 12 luni după ștergerea contului (sau la cerere, în 30 zile) | | Analize derivate | Identic cu fotografiile | | Înregistrări de consimțământ | 3 ani după retragere | | Facturi și evidențe de plăți | 10 ani (obligatoriu conform legislației fiscale române) | | Log-uri de securitate (IP, timestamp) | 12 luni | | Corespondență de suport | 3 ani |

După aceste perioade, datele sunt șterse permanent sau anonimizate dincolo de posibilitatea de re-identificare.

9. Drepturile tale GDPR

Dacă GDPR se aplică în cazul tău, ai următoarele drepturi:

  1. Dreptul de acces — să obții confirmarea dacă procesăm datele tale și o copie a acestora.
  2. Dreptul la rectificare — corectarea datelor inexacte sau incomplete.
  3. Dreptul la ștergere ("dreptul de a fi uitat") — să ne ceri ștergerea datelor, sub rezerva obligațiilor legale de retenție.
  4. Dreptul la restricționarea procesării — să ne ceri să punem pauză anumitor utilizări în timpul unei dispute.
  5. Dreptul la portabilitate — să primești datele tale într-un format structurat, citibil de mașină (JSON).
  6. Dreptul la opoziție — la procesarea bazată pe interes legitim, inclusiv marketing direct.
  7. Dreptul de retragere a consimțământului — unde procesarea se bazează pe consimțământ (de ex. date biometrice).
  8. Dreptul de a depune o plângere la o autoritate de supraveghere — în România, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), www.dataprotection.ro, B-dul G-ral Gheorghe Magheru nr. 28-30, sector 1, București.

Pentru a-ți exercita oricare dintre aceste drepturi, contactează privacy@glowmd.io. Răspundem în o lună, prelungibil cu încă două luni pentru cereri complexe (te vom informa dacă aplicăm prelungirea).

10. Drepturi de confidențialitate California (CCPA / CPRA)

Dacă ești rezident al Californiei, ai drepturi suplimentare sub California Consumer Privacy Act, modificat prin CPRA:

  • Dreptul de a ști ce categorii și ce elemente specifice de informații personale am colectat despre tine și cum sunt folosite și partajate.
  • Dreptul de a șterge informațiile personale pe care le deținem despre tine.
  • Dreptul de a corecta informațiile personale inexacte.
  • Dreptul de a refuza vânzarea sau partajarea — nu vindem și nu partajăm informații personale pentru publicitate comportamentală cross-context.
  • Dreptul de a limita utilizarea și dezvăluirea informațiilor sensibile — folosim informațiile sensibile (imagini faciale) doar în scopurile descrise în Consimțământul pentru Date Biometrice și nu le dezvăluim pentru deducerea de caracteristici.
  • Dreptul la non-discriminare — nu refuzăm serviciul, nu percepem prețuri diferite și nu oferim calitate diferită pentru că ți-ai exercitat aceste drepturi.

Pentru exercitare, trimite e-mail la privacy@glowmd.io cu subiectul "CCPA Request". Poți desemna un agent autorizat care să facă cererea în numele tău.

11. Securitate

Menținem măsuri tehnice și organizaționale proporționale cu riscul:

  • În tranzit: TLS 1.3 pentru toate conexiunile către serviciile noastre.
  • La stocare: criptare AES-256 pentru volumele de bază de date și object storage.
  • Control al accesului: Supabase Row-Level Security impune acces per-utilizator la datele personale. Accesul angajaților este pe principiul least-privilege și este log-at pentru audit.
  • Autentificare: Parolele sunt stocate ca hash-uri salted. Suportăm social sign-in via Google OAuth.
  • Notificare de breach: Dacă o breșă de date personale poate duce la un risc pentru drepturile și libertățile tale, vom notifica autoritatea de supraveghere relevantă în 72 de ore de la constatare și te vom informa și pe tine fără întârzieri nejustificate.
  • Teste de penetrare și code review sunt efectuate periodic.

Niciun sistem nu e perfect securizat; ești responsabil să păstrezi credențialele contului tău confidențiale.

12. Cookies

Pentru informații detaliate despre cookies și tehnologii similare, vezi Politica de Cookies.

13. Copii

GlowMD nu este adresat și nu este disponibil persoanelor sub 18 ani. Dacă afli că un minor ne-a furnizat informații personale, scrie la privacy@glowmd.io și le vom șterge.

14. Modificări ale acestei politici

Putem actualiza această Politică de Confidențialitate periodic. Când facem modificări materiale, te vom anunța în Serviciu sau prin e-mail cu cel puțin 30 de zile înainte să intre în vigoare. Data "Ultima actualizare" din partea de sus a documentului reflectă cea mai recentă revizie.

15. Contact

Întrebări, reclamații sau solicitări: privacy@glowmd.io

Adresă poștală: Aesthetic Studio Creator S.R.L. B-dul Decebal, Nr. 12, Camera 1, Bl. S7, Sc. 1, Et. 5, Ap. 15, Sector 3, București, România CUI: RO45931173 · J: J40/6657/2022