Politica de confidențialitate
Ultima actualizare: 7 iulie 2026
1. Operatorul de date
Shop-RON Commerce SRL, cu sediul în Cluj-Napoca, Str. Nouă nr. 15, este operatorul datelor cu caracter personal colectate prin platforma shopron.ro. Pentru orice întrebare legată de date sau pentru a-ți exercita drepturile prevăzute de GDPR, ne contactezi la [email protected].
1.1 Datele din anunțuri — responsabilitate comună
Pentru datele cu caracter personal care apar în conținutul anunțurilor (de exemplu numele sau numărul de telefon afișat într-un anunț), ShopRON și utilizatorul care publică anunțul acționează ca operatori asociați (art. 26 GDPR), conform jurisprudenței CJUE (cauza C-492/23). Concret: utilizatorul decide ce date include în anunț, iar ShopRON stabilește modul de afișare și de difuzare pe platformă. Din acest motiv:
- fiecare anunț este verificat automat înainte de publicare (text și fotografii) pentru conținut interzis și date sensibile; anunțurile semnalate sunt analizate de un om;
- numerele de telefon nu sunt afișate direct în pagină — se dezvăluie doar la cerere, cu limite de frecvență împotriva colectării automate;
- dacă un anunț folosește datele, pozele sau identitatea ta fără acord, folosește butonul de raportare („Îmi folosește pozele/identitatea") — contactul anunțului este suspendat imediat, iar echipa analizează cazul cu prioritate; poți scrie și la [email protected];
- păstrăm evidențe ale verificărilor automate (24 de luni) și ale publicărilor (IP și browser, 12 luni) pentru a putea identifica autorii abuzurilor.
2. Ce date colectăm
- Date de cont: email, număr de telefon (opțional pentru cont, obligatoriu pentru postare), nume afișat, preferință de temă/limbă.
- Conținut publicat: anunțuri (titlu, descriere, preț, locație, atribute, fotografii), conversații cu alți utilizatori.
- Date tehnice: adresa IP (pentru limitare rată + prevenire abuz), user-agent (hash), istoric vizualizări la propriile anunțuri.
- Date financiare: tranzacții de portofel, facturile emise pentru plățile către ShopRON și, când plata cu cardul este activă, identificatorul extern de la procesatorul de plăți (Stripe sau NETOPIA) — nu stocăm datele complete ale cardului.
- Comenzi prin platformă: dacă comanzi produse de la un magazin verificat, stocăm comanda (produse, cantități, prețuri) și adresa de livrare + numărul de telefon pe care le introduci la finalizare; acestea sunt transmise vânzătorului și, după caz, curierului, strict pentru livrare.
- Activitate în platformă: favorite, căutări salvate, recenzii lăsate vânzătorilor și — pentru recomandări — un profil de interese derivat din anunțurile vizitate (stocat ca vector numeric, folosit doar dacă accepți cookie-urile de personalizare; vezi secțiunea 6).
- Date de moderare: rapoartele pe care le trimiți (motiv, descriere și până la 4 capturi de ecran încărcate ca dovadă) și, dacă ești raportat, conținutul semnalat. Reținem și adresa IP a celui care raportează, ca să prevenim abuzul sistemului de raportare.
- Notificări push: dacă activezi notificările pe un dispozitiv, stocăm identificatorul de abonament push (un URL către serviciul de push al browserului — Apple sau Google) și cheile de criptare aferente. Le poți revoca oricând dezactivând notificările.
- Cookies: vezi secțiunea 6.
3. De ce le folosim (temei legal)
- Executarea contractului (Art. 6(1)(b) GDPR): furnizarea platformei, postarea de anunțuri, mesageria cumpărător-vânzător, plățile, promovările.
- Obligație legală (Art. 6(1)(c)): obligații fiscale, raportare ANAF, raportare tranzacții suspecte.
- Interes legitim (Art. 6(1)(f)): prevenire fraudă, moderare, statistici agregate, securitate site.
- Consimțământ (Art. 6(1)(a)): cookies opționale de analiză (PostHog) — vezi secțiunea 6 — și notificările push, pe care le activezi explicit din clopoțelul de notificări și le poți retrage oricând.
4. Cui transmitem datele
Folosim procesatori terți care prelucrează date strict pentru a ne furniza serviciile. Toți sunt obligați contractual să respecte GDPR.
- Cloudflare, Inc. (SUA, cu Adequacy Decision UE-US DPF) — CDN, DNS, protecție DDoS. Vede IP-ul și request-urile către shopron.ro.
- Email — emailurile (confirmări, notificări, ocazional promoționale) sunt trimise de pe serverul nostru propriu de email, găzduit în UE — nu printr-un furnizor terț de email marketing. Te poți dezabona oricând de la emailurile promoționale prin linkul din fiecare astfel de email; notificările esențiale legate de cont continuă.
- Stripe Payments Europe Ltd (Irlanda) și Netopia Financial Services (România) — procesare plăți card, doar atunci când plata cu cardul este activă pe platformă. Primesc datele necesare tranzacției; nu stocăm noi datele complete ale cardului.
- Fan Courier Express SRL (România) — livrarea coletelor pentru comenzile cu expediere prin curier: primește numele, adresa și telefonul de livrare, doar când vânzătorul generează un AWB prin platformă.
- Apple Inc. (SUA) și Google LLC (SUA, sub DPF) — livrarea notificărilor push către dispozitivul tău (Apple Push Notification service / Firebase Cloud Messaging). Primesc un mesaj criptat, nu conținutul contului tău.
- Anthropic PBC și OpenAI, L.L.C. (SUA) — procesare AI a conținutului public al anunțurilor (sugestii de descriere/categorie și verificare automată de moderare). Le transmitem textul și, după caz, fotografiile anunțului; nu primesc datele tale de cont și nu îți folosesc conținutul pentru a-și antrena modelele.
- Twilio Inc. (SUA, sub DPF) — SMS de confirmare (OTP), doar dacă verificarea prin SMS este activă pe platformă.
- Netcup GmbH (Germania) — găzduirea serverelor ShopRON.
- PostHog Inc. (SUA, sub DPF) — analiză comportament site, doar dacă acorzi consimțământul pentru analitică.
Nu vindem și nu transmitem datele tale către rețele de publicitate sau brokeri de date.
5. Cât timp păstrăm datele
- Cont activ — pe toată durata utilizării contului.
- Cont șters (Art. 17 GDPR) — anonimizăm datele în maxim 30 zile. Tranzacțiile financiare sunt păstrate 10 ani conform Codului Fiscal.
- Anunțuri inactive/orfane — șterse automat la 7 zile de la expirare.
- Comenzi prin platformă și facturi — păstrate 10 ani conform legislației fiscal-contabile (adresa de livrare rămâne atașată comenzii pe această durată).
- Abonamente de notificări push — până le revoci sau până când serviciul de push le invalidează (atunci le ștergem automat).
- Rapoarte și dovezile atașate — păstrate cât e necesar pentru investigarea cazului și pentru evidența deciziilor de moderare.
- Loguri tehnice + IP — 90 zile.
6. Cookies și tehnologii similare
Folosim trei categorii de cookies:
- Necesare — sesiune (JWT), preferințe (temă, limbă), bypass-ul pentru staff. Sunt esențiale pentru funcționarea site-ului și nu pot fi dezactivate.
- Analiză trafic — PostHog. Măsoară pagini vizitate, durată sesiune, butoane apăsate. Folosit doar dacă acorzi consimțământ explicit prin bannerul de cookies.
- Personalizare — recomandări „Pentru tine” și anunțuri văzute recent, pe baza anunțurilor pe care le vizitezi. Profilul de interese este un vector numeric stocat pe serverele noastre, nu este partajat cu terți și se construiește doar dacă accepți această categorie din bannerul de cookies.
Îți poți modifica oricând preferințele dând click pe „Modifică preferințele cookies” din footer.
7. Drepturile tale (GDPR)
- Acces (Art. 15) — vezi ce date avem despre tine, direct din contul tău, secțiunea Date personale.
- Rectificare (Art. 16) — modifici emailul, telefonul, numele afișat din Setări.
- Ștergere (Art. 17) — ștergi contul din Date personale. Anunțurile devin invizibile imediat; datele se anonimizează în 30 zile.
- Portabilitate (Art. 20) — descarci toate datele tale într-un arhiv ZIP (JSON), din aceeași pagină.
- Opoziție (Art. 21) — la prelucrarea bazată pe interes legitim (ex. statistici). Scrie-ne la [email protected].
- Plângere — la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), dataprotection.ro.
8. Securitate
Conexiunile sunt criptate TLS 1.3. Parolele sunt hash-uite cu argon2. Tokenii JWT au durate scurte (15 min access, 7 zile refresh). Logurile sunt audited; accesul administrativ este limitat și log-at.
9. Notificare în caz de breșă
În cazul puțin probabil al unei breșe de securitate care îți afectează datele, te vom notifica în maximum 72 ore de la descoperire, conform Art. 33-34 GDPR. Notificarea include natura datelor afectate, măsuri recomandate și contact pentru întrebări.
10. Modificări
Putem actualiza această politică (ex. când adăugăm noi procesatori). Te notificăm prin email pentru schimbări semnificative; pentru modificări minore, data ultimei actualizări de mai sus se schimbă.