Cine Suntem (Operator de Date)
PlyrHQ este o platformă SaaS pentru managementul cluburilor sportive, accesibilă la plyrhq.com. PlyrHQ este o companie înregistrată în România, stat membru UE, și acționează în calitate de Operator de Date în conformitate cu Regulamentul (UE) 2016/679 (GDPR).
Ca operator cu sediul în UE, GDPR reprezintă cadrul nostru principal aplicabil. Respectăm, de asemenea, legislația aplicabilă privind protecția datelor în toate jurisdicțiile în care serviciile noastre sunt utilizate, inclusiv UK GDPR, CCPA/CPRA (California), LGPD (Brazilia), PIPEDA (Canada) și Australian Privacy Act 1988.
- Entitate: PlyrHQ
- Înregistrată în: România (stat membru UE)
- Contact confidențialitate: privacy@plyrhq.com
- Contact general: hello@plyrhq.com
- Website: https://plyrhq.com
Datele pe Care le Colectăm
Colectăm următoarele categorii de date personale, în funcție de modul în care utilizați PlyrHQ:
| Categorie | Exemple | Sursă |
|---|---|---|
| Date cont | Nume, email, fotografie profil | Înregistrare / Google OAuth / Apple Sign-In |
| Date organizație | Nume club, tip sport, liste membri, grupe | Create de administratori |
| Date membri & sportivi | Nume, email/telefon, prezență, istoric plăți | Adăugate de administratorii clubului |
| Date minori | Nume, prezență, date de performanță (minori sub 16/13 ani) | Adăugate de admini cu acordul părinților |
| Date plăți | Detalii factură, status abonament (datele cardului sunt gestionate de Stripe) | Fluxul de abonare |
| Date tehnice | Adresă IP, tip browser, informații dispozitiv, loguri sesiune, rapoarte erori | Colectate automat |
| Date analitics | Vizualizări pagini, utilizare funcționalități, durata sesiunii | PostHog (anonimizat) |
| Comunicări | Mesaje, anunțuri, conținut notificări push | Create de utilizatori |
Parolele sunt stocate exclusiv ca hash-uri bcrypt — nu avem acces niciodată la parole în text clar.
Temeiuri Juridice pentru Prelucrare (Art. 6 GDPR)
Prelucrăm datele dvs. personale pe baza unuia sau mai multor temeiuri juridice prevăzute la Art. 6 GDPR:
| Activitate de prelucrare | Temei juridic | Detalii |
|---|---|---|
| Operarea platformei | Art. 6(1)(b) — Contract | Necesar pentru furnizarea serviciului la care v-ați abonat |
| Autentificare | Art. 6(1)(b) — Contract | Gestionarea contului și securitatea sesiunii |
| Facturare abonament | Art. 6(1)(b) — Contract | Procesarea plăților pentru planurile PRO/LEGENDARY |
| Analitics | Art. 6(1)(f) — Interes legitim | Îmbunătățirea produsului; vă puteți dezabona oricând |
| Emailuri marketing | Art. 6(1)(a) — Consimțământ | Trimise doar cu acord explicit |
| Monitorizare securitate | Art. 6(1)(f) — Interes legitim | Prevenirea fraudei și integritatea sistemului |
| Conformitate legală | Art. 6(1)(c) — Obligație legală | Evidențe fiscale și contabile (retenție 10 ani) |
| Date minori | Art. 6(1)(a) + Art. 8 — Consimțământ | Necesită consimțământul părintelui/tutorelui |
Cum Utilizăm Datele Dvs.
Utilizăm datele personale exclusiv în următoarele scopuri:
- Operarea serviciului: Operăm și îmbunătățim platforma PlyrHQ
- Autentificare: Autentificăm utilizatorii și gestionăm conturile
- Emailuri tranzacționale: Trimitem emailuri de confirmare, resetare parolă și chitanțe de plată
- Noutăți produs: Trimitem anunțuri despre funcționalități noi (cu consimțământ)
- Plăți: Procesăm plăți de abonament prin Stripe
- Analitics: Generăm statistici de produs pentru îmbunătățirea platformei
- Securitate: Detectăm și prevenim frauda și abuzul
- Conformitate legală: Respectăm obligațiile legale aplicabile
Nu vindem datele dvs.
Nu vindem datele dvs. personale către terți. Nu utilizăm datele dvs. în scopuri publicitare și nu construim profiluri publicitare ale utilizatorilor noștri.
Procesatori de Date și Terți
Colaborăm cu următorii sub-procesatori pentru a furniza serviciul. Am semnat Acorduri de Prelucrare a Datelor (DPA) cu fiecare dintre aceștia:
| Serviciu | Scop | Locație | Garanții |
|---|---|---|---|
| Supabase | Autentificare, bază de date, stocare fișiere | UE (Frankfurt) | Conform GDPR, DPA semnat |
| Vercel | Hosting web, CDN edge | Global (regiune UE principală) | Conform GDPR, SCC pentru transferuri SUA |
| PostHog | Analitics produs | UE (EU Cloud) | Conform GDPR, anonimizare IP activată |
| Google OAuth | Autentificare opțională | SUA/Global | Conform GDPR, SCC |
| Stripe | Procesare plăți | SUA | SCC (2021), certificat PCI-DSS Nivel 1 |
| Sentry | Monitorizare erori | UE | Conform GDPR, DPA semnat |
| Resend | Email tranzacțional | UE | Conform GDPR, DPA semnat |
O listă completă și actualizată a sub-procesatorilor este disponibilă la cerere la privacy@plyrhq.com.
Transferuri Internaționale de Date
Ca societate cu sediul în UE, datele dvs. sunt stocate și prelucrate în principal în Uniunea Europeană. Atunci când au loc transferuri către țări terțe (ex. Stripe în SUA, Google OAuth), aplicăm una sau mai multe dintre următoarele garanții în conformitate cu Capitolul V GDPR:
- Clauze Contractuale Standard (SCC) — clauze aprobate de Comisia UE prin Decizia (UE) 2021/914 (versiunea din 2021)
- Decizii de adecvare — atunci când țara destinatară beneficiază de o decizie de adecvare a Comisiei Europene
- Alte garanții adecvate — precum reguli corporative obligatorii sau coduri de conduită aprobate, acolo unde este aplicabil
Notă pentru utilizatorii din Regatul Unit
Pentru utilizatorii din Regatul Unit, transferurile internaționale de date sunt reglementate de UK GDPR și, acolo unde este aplicabil, de Acordurile Internaționale de Transfer de Date (IDTA) emise de Information Commissioner's Office (ICO) din Regatul Unit.
Puteți solicita o copie a mecanismelor de transfer aplicabile prin email la privacy@plyrhq.com.
Perioadele de Retenție a Datelor
Păstrăm datele personale doar atât timp cât este necesar pentru scopurile pentru care au fost colectate sau conform cerințelor legale aplicabile:
| Categorie date | Perioadă retenție | Motiv |
|---|---|---|
| Date cont activ | Durata abonamentului + 30 de zile | Furnizarea serviciului |
| Date cont șters | Șterse în termen de 30 de zile de la cerere | Dreptul GDPR la ștergere |
| Evidențe facturare / factură | 10 ani | Obligație legală contabilă |
| Loguri securitate / audit | 90 de zile | Monitorizare securitate |
| Date analitics (PostHog) | 12 luni | Îmbunătățirea produsului |
| Comunicări suport | 2 ani | Soluționarea litigiilor |
| Date backup | Până la 90 de zile după ștergere | Recuperare în caz de dezastru |
La expirarea perioadelor de retenție, datele sunt șterse în siguranță sau anonimizate ireversibil. O cerere de ștergere din partea utilizatorului declanșează imediat procesul de ștergere, cu excepția datelor supuse unei obligații legale de retenție.
Drepturile Dvs.
A. Drepturi UE/SEE (GDPR)
În temeiul GDPR, aveți următoarele drepturi:
- Acces (Art. 15) — obțineți o copie a datelor dvs. personale
- Rectificare (Art. 16) — corectați datele inexacte
- Ștergere (Art. 17) — “dreptul de a fi uitat”
- Restricționare (Art. 18) — limitați prelucrarea în anumite circumstanțe
- Portabilitate date (Art. 20) — primiți datele dvs. într-un format prelucrabil automat (JSON/CSV)
- Opoziție (Art. 21) — vă opuneți prelucrării bazate pe interese legitime
- Decizii automatizate (Art. 22) — să nu fiți supus unor decizii luate exclusiv automat cu efecte juridice
- Retragere consimțământ (Art. 7(3)) — fără a afecta prelucrarea anterioară
- Depunere plângere — la autoritatea de supraveghere națională
Autorități de Supraveghere UE
Autoritate principală (România): ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal — www.dataprotection.ro. Puteți contacta și autoritatea de supraveghere din statul UE în care aveți reședința.
B. Drepturi Regatul Unit (UK GDPR)
Utilizatorii din Regatul Unit au drepturi echivalente în temeiul UK GDPR și Data Protection Act 2018. Autoritate de supraveghere: Information Commissioner's Office (ICO) — ico.org.uk
C. Drepturi California (CCPA/CPRA)
Rezidenții din California au dreptul la:
- Cunoaștere — ce informații personale sunt colectate, utilizate, partajate sau vândute
- Ștergere — informațiile personale (cu excepții)
- Corectare — informațiilor personale inexacte
- Refuz — “vânzării” sau “partajării” informațiilor personale
- Limitare utilizare — a informațiilor personale sensibile
- Non-discriminare — pentru exercitarea drepturilor CCPA
Nu vindem sau partajăm date
Nu vindem sau partajăm informații personale astfel cum sunt definite de CCPA/CPRA. Pentru exercitarea drepturilor CCPA, trimiteți email la privacy@plyrhq.com cu “CCPA Request” în subiect.
D. Drepturi Brazilia (LGPD)
Utilizatorii din Brazilia au drepturi în temeiul Lei Geral de Proteção de Dados (LGPD), inclusiv dreptul de acces, rectificare, anonimizare, portabilitate, ștergere și de a primi informații despre partajarea datelor. Contact: privacy@plyrhq.com
E. Drepturi Canada (PIPEDA)
Utilizatorii din Canada au drepturi în temeiul PIPEDA (Personal Information Protection and Electronic Documents Act), inclusiv dreptul de acces la informațiile personale și solicitarea corectărilor. Contact: privacy@plyrhq.com
F. Drepturi Australia (Privacy Act 1988)
Utilizatorii din Australia au drepturi în temeiul Australian Privacy Act 1988 și Australian Privacy Principles (APPs), inclusiv drepturi de acces și rectificare. Contact: privacy@plyrhq.com
Cum vă exercitați drepturile
Contactați privacy@plyrhq.com — răspundem în termen de 30 de zile calendaristice. Pentru notificările privind încălcările de securitate GDPR, notificăm autoritatea de supraveghere în termen de 72 de ore (Art. 33 GDPR) și utilizatorii afectați fără întârzieri nejustificate atunci când există un risc ridicat pentru drepturile acestora.
Datele Minorilor
PlyrHQ este o platformă profesională pentru managementul cluburilor sportive și nu este adresată minorilor. Cu toate acestea, înțelegem că activitățile sportive implică frecvent minori, iar administratorii de club vor gestiona date despre sportivi cu vârsta sub 18 ani.
- UE/SEE (Art. 8 GDPR): Prelucrarea datelor copiilor (sub 16 ani) pentru servicii online necesită consimțământul părintelui sau tutorelui. Administratorii de club sunt responsabili pentru obținerea și documentarea acestui consimțământ înainte de adăugarea minorilor pe platformă.
- SUA (COPPA): Nu colectăm în cunoștință de cauză informații personale de la copii sub 13 ani fără consimțământul verificabil al părintelui. Administratorii de club din SUA trebuie să obțină acordul părinților pentru sportivii sub 13 ani.
- Regatul Unit: UK GDPR aplică un standard similar (sub 13 ani în anumite contexte conform Age Appropriate Design Code).
- Brazilia (LGPD): Prelucrarea datelor copiilor necesită consimțământul specific al părintelui sau tutorelui.
PlyrHQ nu contactează direct minorii. Toate comunicările se fac prin administratorii de club.
Raportați date ale copiilor colectate neautorizat
Dacă credeți că datele unui copil au fost colectate fără consimțământul corespunzător, contactați privacy@plyrhq.com imediat. Vom șterge datele fără întârzieri nejustificate.
Securitate
Implementăm măsuri tehnice și organizatorice adecvate pentru a proteja datele dvs. personale împotriva accesului neautorizat, pierderii accidentale, alterării sau divulgării:
- TLS 1.3 criptare pentru toate datele în tranzit
- AES-256 criptare pentru datele în repaus (Supabase / AWS)
- Row-Level Security (RLS) pe toate tabelele bazei de date PostgreSQL — fiecare organizație poate accesa doar datele proprii
- Autentificare multi-factor disponibilă pentru toate conturile
- Audituri de securitate regulate și teste de penetrare
- Loguri de audit pentru toate acțiunile administrative și sensibile
- Plan de răspuns la incidente cu notificare în 72 de ore a autorității de supraveghere (Art. 33 GDPR)
Parolele sunt stocate exclusiv ca hash-uri bcrypt. Nu stocăm sau transmitem niciodată parole în text clar.
Modificări ale Politicii
Putem actualiza periodic această Politică de Confidențialitate pentru a reflecta modificările practicilor noastre de prelucrare a datelor, cerințelor legale sau funcționalităților serviciului.
- Modificări semnificative (noi scopuri de prelucrare, noi categorii de date, noi procesatori din afara SEE) vor fi comunicate prin email cu cel puțin 30 de zile preaviz înainte de intrarea în vigoare.
- Modificări minore (clarificări, actualizări contact, reformulări) vor fi publicate pe această pagină cu o dată “Ultima actualizare” revizuită.
- Continuarea utilizării serviciului după data de intrare în vigoare a modificărilor semnificative constituie acceptarea politicii actualizate.
Versiunea curentă este disponibilă întotdeauna la plyrhq.com/ro/confidentialitate. Versiunile anterioare sunt disponibile la cerere.
Contact și Responsabil cu Protecția Datelor
Pentru orice întrebări legate de această Politică de Confidențialitate, pentru exercitarea drepturilor dvs. sau pentru a transmite o solicitare privind datele:
- Solicitări confidențialitate: privacy@plyrhq.com
- Întrebări generale: hello@plyrhq.com
- Timp de răspuns: În termen de 30 de zile calendaristice
Nu avem în prezent un Responsabil cu Protecția Datelor (DPO) formal desemnat, dar toate problemele legate de confidențialitate sunt gestionate de echipa noastră de confidențialitate. Clienții enterprise pot solicita un Acord de Prelucrare a Datelor (DPA) la privacy@plyrhq.com.
Autoritate de Supraveghere — UE
Dacă nu sunteți mulțumit de răspunsul nostru, aveți dreptul de a depune o plângere la ANSPDCP (România): www.dataprotection.ro, Domnești, Ilfov, 077090, România. Utilizatorii din Regatul Unit pot contacta ICO.