Skip to content

Politică de Confidențialitate

Ultima actualizare: Mai 2026 · GDPR & COPPA 2025 Final Rule · Audit C-1/C-3/H-3 aplicat

Pe această pagină

1. Cine suntem

Operatorul datelor cu caracter personal este Alberto Mihai (PFA în înființare 2026). Entitatea legală finală — PFA «Alberto Mihai» sau SRL «Deutsch-Landia» — va fi reflectată în versiunea actualizată după înregistrare oficială. Operăm platforma educațională disponibilă la deutsch-landia.ro și deutsch-landia.com. Luăm în serios confidențialitatea utilizatorilor, în special a copiilor. Contact privacy: privacy@deutsch-landia.ro.

2. Date colectate

Colectăm următoarele date:

  • Date de înregistrare: email, prenume, nume, vârstă, rol
  • Date de progres: lecții completate, exerciții rezolvate, scor XP
  • Date tehnice: adresă IP, browser, sistem de operare (loguri standard)
  • Date de plată: procesate exclusiv de Stripe — nu stocăm date card

NU colectăm: date biometrice (amprente, voiceprints, faceprints), identificatori guvernamentali (CNP, pașaport, BI), locație GPS mai precisă decât oraș, date de pe rețele sociale, profiluri publicitare. Lista exhaustivă conform COPPA 2025 § 312.2 + GDPR Art. 9.

2.1 Cu cine partajăm datele (sub-procesatori)

Pentru a furniza serviciul, partajăm date strict necesare cu următorii sub-procesatori (toți având DPA semnat conform GDPR Art. 28):

  • Railway (hosting backend + bază de date, Amsterdam UE)
  • Vercel (hosting frontend, edge UE-Frankfurt + DPF certificat US-tail)
  • Stripe (procesare plăți, Irlanda UE entitate primară + SCC pentru US-tail)
  • Resend (livrare email tranzacțional, region UE)
  • Sentry (monitorizare erori, region UE primară)
  • Cloudinary (stocare media, Israel + US — DPA + SCC + decizie de adecvare Israel)
  • PostHog EU (analiză produs, Frankfurt UE)
  • Google (autentificare OAuth opțională, DPF certificat)
  • Cloudflare (DNS authority, DPF certificat)
  • Daily.co (sesiuni video — pre-lansare; va fi activat doar cu DPA + SCC semnate)

Lista actualizată este în registrul intern docs/compliance/DPA-registry.md, accesibil la cerere ANSPDCP. NU partajăm date cu alți terți (publicitate, brokeri de date, etc.).

3. Protecția copiilor (COPPA / GDPR-K)

Platforma noastră este destinată copiilor 6-18 ani. Aplicăm cele mai stricte standarde de protecție a minorilor (COPPA 2025 Final Rule + GDPR-K + Legea 190/2018).

  • Blocăm activ înregistrarea minorilor sub 13 ani (SUA, per COPPA). Pentru UE (prag 16 ani în RO/DE, 14 ani în AT) implementăm Consimțământ Parental Verificabil (VPC) prin verificare de email a părintelui.
  • Nu afișăm reclame comportamentale copiilor — zero tracking publicitar pe conținutul educațional.
  • Nu vindem datele copiilor către terțe părți și nu le divulgăm în afara sub-procesatorilor declarați.
  • Nu colectăm date biometrice (amprente vocale incluse) sau geolocație mai precisă decât orașul.
  • Părinții pot solicita oricând accesul, rectificarea sau ștergerea datelor copilului la privacy@deutsch-landia.ro — răspundem în maxim 30 de zile.

4. Cum folosim datele

  • Furnizarea și personalizarea serviciului educațional
  • Tracking progres și generarea recomandărilor
  • Comunicări legate de cont și abonament
  • Îmbunătățirea platformei prin analiză anonimizată

5. Drepturile tale (GDPR)

Ai dreptul la:

  • Accessă primești o copie a datelor tale
  • Rectificaresă corectezi datele incorecte
  • Ștergere„dreptul de a fi uitat"
  • Portabilitatesă exporți datele în format standard
  • Opozițiela prelucrarea în anumite scopuri

Exercitează aceste drepturi la: gdpr@deutsch-landia.ro

6. Cookie-uri

Folosim 4 categorii de cookie-uri cu opt-in granular conform Lege 506/2004 + ePrivacy Art. 5(3) + ANSPDCP guidance: (1) Necesare — cookie-uri httpOnly pentru autentificare securizată (JWT acces + refresh) și preferințe esențiale (limbă UI, sesiune CSRF). NU pot fi dezactivate. (2) Funcționale — memorează alegeri locale (mod întunecat, progres onboarding, preferințe TTS). Opt-in. (3) Analiză — Vercel Speed Insights pentru măsurare performanță Core Web Vitals. Opt-in. (4) Marketing & Personalizare — PostHog EU pentru analiză comportamentală agregată (NU vindem date către terți; NU facem profiling publicitar la copii). Opt-in. Poți retrage consimțământul oricând la /privacy#cookie-preferences.

7. Securitate

Folosim HTTPS/TLS 1.3, parole hash-uite (bcrypt), cookie-uri httpOnly, rate limiting, 2FA TOTP pentru conturi administrative, criptare AES-256-GCM pentru secrete OAuth și TOTP, Content-Security-Policy în mod enforce, și alte măsuri standard. Menținem un Program scris de Securitate a Informației (ISSP) conform COPPA § 312.8 și o Politică de Retenție a Datelor, ambele disponibile pentru autoritățile de supraveghere la cerere. În caz de breșă de securitate cu risc pentru drepturile tale, te notificăm în 72 de ore (GDPR Art. 34).

8. Contact DPO

Responsabil cu Protecția Datelor: gdpr@deutsch-landia.ro
Poți depune plângeri și la ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor).

9. Pentru rezidenți din California (CCPA + CPRA + AB 1949)

Dacă ești rezident al California, ai drepturi suplimentare sub California Consumer Privacy Act (CCPA), California Privacy Rights Act (CPRA) și AB 1949 (în vigoare 2025): (a) dreptul de a ști — ce date colectăm, de unde, cu cine partajăm; (b) dreptul de ștergere — request total purge; (c) dreptul de corectare — fix date inexacte; (d) dreptul de opt-out din vânzare/partajare — REȚINE: NU vindem și NU partajăm date personale conform definiției CCPA, deci acest opt-out se aplică automat; (e) drept la limitarea folosirii datelor sensibile (DOB, country, child progress = sensibile sub AB 1949); (f) anti-discriminare — nu vom restricționa serviciul dacă exerciți drepturi. Pentru exerciți, scrie la privacy@deutsch-landia.ro — răspundem în 45 zile (CCPA standard).

10. Specificuri pentru minori (COPPA 2025 + GDPR Art. 8)

Pentru minorii sub vârsta de consimțământ digital aplicabilă în țara lor (16 ani: RO/DE/NL/IE/LU/HU/SK/PL/HR/SI; 15 ani: FR/CZ/GR; 14 ani: AT/IT/ES/BG/CY/LT; 13 ani: PT/BE/DK/SE/FI/MT/LV/EE/UK/SUA per COPPA), părintele trebuie să aprobe contul prin link de verificare email înainte de prima logare. Lista completă: vezi backend/src/utils/age.ts CONSENT_AGE_BY_COUNTRY (auditat 2026-05-08 vs. surse oficiale dataprotection.ro + EDPB + autorități naționale). Părintele poate revoca consimțământul oricând la privacy@deutsch-landia.ro și poate cere ștergerea contului copilului. Răspundem în 30 de zile (COPPA + GDPR Art. 12(3)). Nu colectăm date biometrice, identificatori guvernamentali, sau geolocație precisă de la minori (COPPA 2025 § 312.2 final rule). Nu afișăm reclame comportamentale la minori sub 13 ani (COPPA § 312.7) sau la cei sub 16 ani fără consimțământ parental verificabil (CCPA AB 1949). Suspendăm imediat conturile la primirea unei cereri parentale de revocare; soft-delete + cron de hard-delete în max 30 zile.