1. Operator și persoană împuternicită
Operator de date: Organizația bisericească ce a creat un cont pe platforma Safan este operatorul datelor cu caracter personal ale membrilor, personalului și altor persoane vizate. Fiecare biserică stabilește scopurile și mijloacele de prelucrare a datelor personale ale membrilor săi.
Persoană împuternicită: Safan, operat de [YOUR FULL NAME], micro-întreprinzător înregistrat în Franța (SIRET: [SIRET NUMBER]), prelucrează datele personale în numele fiecărei organizații bisericești pe baza unui Acord de Prelucrare a Datelor (art. 28 GDPR).
Contact: Pentru întrebări legate de confidențialitate: contact@safan.app
2. Categorii de date cu caracter personal
2.1 Date personale standard (art. 6)
- Identitate: prenume, nume, data nașterii, sex, naționalitate
- Contact: adresă de e-mail, număr de telefon, adresă poștală
- Cont: nume de utilizator, parolă criptată (hash), rol, preferință de limbă
- Financiare: sume, date și categorii de tranzacții asociate membrilor
- Tehnice: adresă IP, user-agent, marcaje temporale ale autentificărilor, jurnal de audit
2.2 Date de categorie specială (art. 9)
Safan prelucrează date care dezvăluie convingeri religioase, încadrate ca date de categorie specială conform articolului 9(1) GDPR. Acestea includ:
- Data botezului, biserica botezului, pastorul oficiant
- Statutul de membru al bisericii și datele aferente
- Apartenența la slujiri și grupuri
- Statutul botezului cu Duhul Sfânt
3. Temeiul legal al prelucrării
| Prelucrare | Temei art. 6 | Temei art. 9 |
|---|---|---|
| Administrarea membrilor | 6(1)(f) interesul legitim al bisericii | 9(2)(d) — organizație religioasă non-profit care prelucrează datele propriilor membri |
| Evidențe contabile | 6(1)(c) obligație legală (legislație contabilă) | N/A |
| Școala Duminicală | 6(1)(f) interesul legitim al bisericii | 9(2)(d) + art. 8 consimțământ parental pentru minori |
| Jurnalizare de audit | 6(1)(f) securitate și responsabilizare | N/A |
| Notificări prin e-mail | 6(1)(b) executarea contractului | N/A |
| Autentificare | 6(1)(b) executarea contractului | N/A |
Articolul 9(2)(d) — explicat: Fiecare biserică ce folosește Safan este un organism non-profit cu scop religios. Prelucrarea datelor privind convingerile religioase vizează exclusiv membrii sau foștii membri, iar niciun fel de date nu sunt divulgate în afara organizației bisericești fără consimțământul explicit al persoanei vizate. Fiecare biserică confirmă această eligibilitate în Acordul de Prelucrare a Datelor semnat la înregistrare.
4. Perioade de păstrare
| Categoria de date | Păstrare |
|---|---|
| Fișe de membru active | Durata calității de membru al bisericii |
| Fișe de membru șterse logic (soft-delete) | 2 ani, apoi ștergere definitivă |
| Tranzacții financiare | 10 ani (legislația contabilă FR/RO) |
| Jurnale de audit | 180 de zile |
| Fișe Școala Duminicală | Durata înscrierii + 3 ani |
| Token-uri de autentificare | 24 de ore după expirare |
| Fișiere de import | 30 de zile |
| Backup-uri baza de date | 7 zile |
5. Drepturile dumneavoastră
În baza GDPR, aveți următoarele drepturi privind datele dumneavoastră personale:
- Dreptul de acces (art. 15): Să solicitați o copie a tuturor datelor personale deținute despre dumneavoastră. Puteți exporta datele contului direct din setările contului.
- Dreptul la rectificare (art. 16): Să solicitați corectarea datelor personale inexacte. Contactați administratorul bisericii sau actualizați-vă profilul direct.
- Dreptul la ștergere (art. 17): Să solicitați ștergerea datelor personale. Vă puteți șterge contul din setări. Administratorii bisericii pot șterge sau anonimiza fișele de membru.
- Dreptul la restricționare (art. 18): Să solicitați restricționarea prelucrării datelor în anumite situații.
- Dreptul la portabilitatea datelor (art. 20): Să primiți datele personale într-un format structurat, frecvent utilizat și citibil automat (JSON).
- Dreptul de opoziție (art. 21): Să vă opuneți prelucrării întemeiate pe interesul legitim.
Pentru a vă exercita drepturile, contactați administratorul bisericii (operatorul de date) sau scrieți-ne la contact@safan.app. Vom răspunde în 30 de zile.
6. Datele copiilor
Safan prelucrează date personale ale minorilor înscriși la Școala Duminicală. Aceste date includ identitatea copilului, înscrierea în clasă și evidența prezenței.
În conformitate cu articolul 8 GDPR și cu legislația națională aplicabilă:
- În Franța: este necesar consimțământul părintelui sau al tutorelui pentru copiii sub 15 ani.
- În România: este necesar consimțământul părintelui sau al tutorelui pentru copiii sub 16 ani.
Consimțământul parental este colectat și verificat în procesul de înscriere la Școala Duminicală. Părinții sau tutorii pot solicita oricând accesul, rectificarea sau ștergerea datelor copilului, contactând administratorul bisericii.
7. Subîmputerniciți
Folosim un număr restrâns de furnizori terți pentru operarea platformei. Toate datele primare sunt stocate în Uniunea Europeană. Lista completă a subîmputerniciților, cu rolurile, locațiile și linkurile către acordurile de prelucrare, este disponibilă pe pagina Subîmputerniciți.
8. Transferuri internaționale de date
Toate datele primare (baza de date, fișiere încărcate, backup-uri) sunt stocate pe servere aflate în Germania (Hetzner Online GmbH, Falkenstein / Nürnberg).
Atunci când un subîmputernicit are sediul în afara Spațiului Economic European (ex. Cloudflare — SUA), transferurile de date sunt protejate prin Clauze Contractuale Standard ale UE (CCS) și, dacă este cazul, prin EU-US Data Privacy Framework. Nicio dată cu caracter personal nu este transferată către vreo țară fără garanții adecvate conform Capitolului V GDPR.
9. Măsuri de securitate
Implementăm măsuri tehnice și organizatorice corespunzătoare pentru protejarea datelor personale (art. 32 GDPR), printre care:
- Criptarea în tranzit (TLS/HTTPS pe toate conexiunile)
- Parole criptate prin hashing (bcrypt)
- Token-uri de acces cu durată scurtă (60 de minute) și cookie-uri de reîmprospătare HTTP-only
- Izolarea datelor pe biserică (arhitectură multi-tenant)
- Control de acces bazat pe roluri, cu granularitate la nivel de departament
- Jurnalizare de audit completă cu epurare automată
- Backup-uri criptate zilnice, stocate în alte locații
- Limitare de rată și protecție anti-boți pe endpoint-urile de autentificare
10. Cookie-uri și urmărire
Safan utilizează doar cookie-uri strict necesare, scutite de consimțământ conform Directivei ePrivacy (art. 5(3)):
- Cookie de autentificare: token de reîmprospătare HTTP-only, Secure, SameSite=Strict pentru menținerea sesiunii.
- Preferință de interfață: starea barei laterale și preferința de temă sunt salvate în localStorage (funcționale, nu sunt transmise serverului).
Nu folosim cookie-uri de analiză, publicitate sau urmărire. Nu folosim Google Analytics, Facebook Pixel sau alte tehnologii similare. Nu este necesar un banner de cookie-uri.
11. Contact pentru protecția datelor
12. Luare automată de decizii
Safan nu efectuează luarea automată de decizii sau crearea de profiluri în sensul articolului 22 GDPR. Nu se iau decizii cu efecte juridice sau similar semnificative pe baza exclusivă a prelucrării automate.
13. Dreptul de a depune o plângere
Dacă apreciați că datele dumneavoastră personale au fost prelucrate cu încălcarea GDPR, aveți dreptul de a depune o plângere la o autoritate de supraveghere (art. 77 GDPR):
- Franța — CNIL (Commission Nationale de l'Informatique et des Libertés) — www.cnil.fr/fr/plaintes
- România — ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) — www.dataprotection.ro
14. Modificări ale acestei politici
Putem actualiza această politică pentru a reflecta schimbări ale practicilor noastre sau ale cerințelor legale. La modificări semnificative vă vom anunța prin e-mail și vom solicita un consimțământ reînnoit unde este cazul. Numărul versiunii și data intrării în vigoare din partea de sus a paginii indică ultima revizuire.