Politica de
Confidențialitate

Versiunea 1.0 · Intrată în vigoare: 1 aprilie 2026

Operator de date cu caracter personal
Denumire Stiopei Inc SRL
CUI RO15088788
Reg. Comerțului J35/2070/2002
Sediu Str. Arany Janos, nr. 3, Loc. Dumbrăvița, Jud. Timiş, România

Operatorul nu a desemnat un Responsabil cu Protecția Datelor (DPO), neavând această obligație conform Art. 37 GDPR. Adresa de email de mai sus este punctul de contact desemnat pentru toate solicitările GDPR.

Nu vindem, nu partajăm și nu folosim datele tale în scopuri publicitare. Niciodată. Prezentul document este nota de informare conform Art. 13 GDPR.

1 Categoriile de date prelucrate

Prelucrăm exclusiv datele pe care le furnizezi direct sau care rezultă din utilizarea Platformei:

Categorie de date Detalii Obligatorie
Adresă de email Identificare cont, autentificare magic-link, notificări Da
Username Identificator public unic, generat automat din display name Da
Display name Numele afișat pe profil și pe rețetele publicate Da
Conținut publicat Rețete, fotografii, colecții, pași de preparare, ingrediente Opțional
Jurnal culinar Intrări gătit, planificări, rating-uri, notițe personale Opțional
Date profil extinse Locație, website/blog, biografie — afișate public dacă sunt completate Opțional
Interacțiuni sociale Like-uri, salvări, urmăritori, urmăriți — stocate pentru funcționarea platformei Opțional
Date de sesiune Adresă IP, user agent, device name, timestamp — per sesiune activă Tehnic
Consimțăminte GDPR Timestamp acceptare termeni, IP la înregistrare, versiune document acceptată Legal
Avatar (fotografie) Imagine de profil opțională — procesată cu Imagick, stocată pe server propriu Opțional

Notă privind fotografiile: Imaginile încărcate sunt procesate automat (redimensionate, stripped de metadate EXIF inclusiv date de locație) înainte de stocare. Nu stocăm metadate EXIF originale.

2 Scopurile și temeiul juridic al prelucrării

Conform Art. 13 alin. 1 lit. c) GDPR, indicăm pentru fiecare scop temeiul juridic aplicabil:

Furnizarea Serviciului Art. 6(1)(b) GDPR — Contract

Crearea și gestionarea contului, autentificare magic-link, afișarea profilului, stocarea și servirea conținutului publicat. Prelucrare necesară pentru executarea contractului la care persoana vizată este parte.

Notificări prin email Art. 6(1)(a) GDPR — Consimțământ

Emailuri privind activitatea pe platformă (like-uri, urmăritori noi, comentarii). Consimțământul este acordat opțional la înregistrare și poate fi retras oricând din Setări → GDPR sau prin dezabonare.

Securitate și prevenirea fraudei Art. 6(1)(f) GDPR — Interes legitim

Detectarea accesului neautorizat, gestionarea sesiunilor active, rate limiting, prevenirea abuzurilor. Interesul legitim al Operatorului și al utilizatorilor în securitatea platformei prevalează față de interesele persoanei vizate, prelucrarea fiind minimă și necesară.

Îndeplinirea obligațiilor legale Art. 6(1)(c) GDPR — Obligație legală

Stocarea consimțămintelor GDPR, a timestamp-urilor și a IP-ului la înregistrare, necesare pentru demonstrarea conformității conform Art. 5 alin. 2 GDPR (principiul responsabilității) și Art. 7 alin. 1 GDPR.

3 Durata de stocare a datelor

Conform Art. 13 alin. 2 lit. a) GDPR (principiul limitării stocării — Art. 5 alin. 1 lit. e):

  • Datele contului activ — pe durata existenței contului.
  • Sesiunile inactive — expirate automat după 90 de zile de inactivitate.
  • Magic-link-urile — șterse automat după 30 de minute (expirare) sau imediat după utilizare.
  • Rate limits — șterse automat după 1 oră.
  • Datele după ștergerea contului — șterse definitiv în termen de 30 de zile calendaristice de la solicitare. Excepție: înregistrările de audit GDPR (consimțăminte) — păstrate 5 ani conform obligației legale de documentare (Art. 5 alin. 2 GDPR).
  • Conținut public (rețete) — șters imediat la ștergerea contului sau la cerere individuală.
  • Backup-uri — suprascrise în termen de maximum 30 de zile de la ștergerea datelor primare.

4 Cookies și stocare locală

Conform Legii nr. 506/2004 și Art. 5 alin. 3 Directiva 2002/58/CE (ePrivacy):

Tip Scop Consimțământ
Cookie de sesiune
PHPSESSID Autentificare și menținerea sesiunii. Strict necesar pentru funcționarea serviciului de bază. Nu necesită
localStorage — temă
retete_theme Preferința vizuală luminos/întunecat. Stocat local, netransmis serverului. Nu necesită
localStorage — vizualizare
retete_view Preferința afișare rețete (grilă/listă). Stocat local, netransmis serverului. Nu necesită
localStorage — PWA
pwa_install_dismissed Starea bannerului de instalare aplicație. Stocat local, netransmis serverului. Nu necesită
localStorage — cookies
cookie_consent Înregistrarea confirmării bannerului informativ cookies. Stocat local. Nu necesită

Nu utilizăm cookies de analiză, tracking comportamental, retargeting sau publicitate. Nu sunt integrate rețele de advertising terțe.

5 Destinatarii datelor și transferuri internaționale

Conform Art. 13 alin. 1 lit. e) și f) GDPR:

5.1. Date stocate pe servere proprii. Toate datele contului, conținutul publicat, sesiunile și jurnalul culinar sunt stocate exclusiv pe servere găzduite în România (furnizor: hosting cPanel/CloudLinux, datacenter România). Nu există transfer al acestor date în afara Spațiului Economic European (SEE).

5.2. Cloudflare Turnstile (SUA). Componenta anti-bot utilizată la înregistrare transmite către serverele Cloudflare Inc. (SUA): adresa IP, user agent-ul și un token de verificare anonimizat. Cloudflare Inc. este certificată conform Data Privacy Framework UE-SUA (decizie de adecvare a Comisiei Europene din 10 iulie 2023), constituind temeiul legal al transferului conform Art. 45 GDPR. Politica de confidențialitate Cloudflare →

5.3. PHPMailer / SMTP propriu. Emailurile de autentificare și notificările sunt trimise prin serverul SMTP propriu al Operatorului. Nu sunt utilizate servicii de email marketing terțe (SendGrid, Mailchimp etc.). Datele nu sunt transmise unor terți în scopuri de marketing.

5.4. Nicio vânzare sau partajare comercială. Operatorul nu vinde, nu închiriază și nu transmite datele cu caracter personal unor terți în scop comercial, publicitar sau de profilare.

6 Drepturile tale — exercitare și termene

Conform Art. 13 alin. 2 lit. b)-d) și Art. 15-22 GDPR, ai următoarele drepturi:

Dreptul de acces Art. 15

Poți solicita o copie a tuturor datelor pe care le prelucrăm despre tine.

Prin email la retete@stiopei.ro — răspuns în 30 zile
Dreptul la rectificare Art. 16

Poți corecta oricând datele de profil incorecte sau incomplete.

Setări → Profil — imediat
Dreptul la ștergere („dreptul de a fi uitat") Art. 17

Poți șterge contul și toate datele asociate permanent. Excepție: datele de audit GDPR (consimțăminte), păstrate conform obligației legale.

Setări → Cont — efectuat în 30 zile
Dreptul la restricționarea prelucrării Art. 18

Poți solicita suspendarea temporară a prelucrării datelor tale în cazurile prevăzute de Art. 18 GDPR (ex. contestarea exactității, opoziție la prelucrare).

Prin email la retete@stiopei.ro — răspuns în 30 zile
Dreptul la portabilitate Art. 20

Poți solicita exportul datelor tale furnizate direct (profil, rețete proprii) într-un format structurat, utilizat curent și lizibil automat.

Prin email la retete@stiopei.ro — răspuns în 30 zile
Dreptul de opoziție Art. 21

Poți te opune prelucrării bazate pe interesul legitim al Operatorului (ex. securitate, prevenire fraudă). Opoziția va fi analizată; prelucrarea va înceta dacă nu există motive legitime imperioase.

Prin email la retete@stiopei.ro — răspuns în 30 zile
Retragerea consimțământului Art. 7 alin. 3

Consimțământul pentru notificări email poate fi retras oricând, fără a afecta legalitatea prelucrării anterioare retragerii.

Setări → GDPR sau dezabonare — imediat
Dreptul de a depune plângere la ANSPDCP Art. 77

Dacă consideri că drepturile tale au fost încălcate, poți sesiza autoritatea de supraveghere:

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal
B-dul G-ral Gheorghe Magheru nr. 28-30, Sector 1, 010336 București
anspdcp@dataprotection.ro  ·  www.dataprotection.ro

Termenul de răspuns standard este de 30 de zile calendaristice de la primirea solicitării. În cazuri complexe, termenul poate fi prelungit cu încă 60 de zile, cu notificarea prealabilă a persoanei vizate (Art. 12 alin. 3 GDPR).

7 Securitatea datelor

Conform Art. 32 GDPR, Operatorul aplică măsuri tehnice și organizatorice adecvate pentru protecția datelor cu caracter personal:

  • Autentificare fără parolă — magic-link de unică folosință, valabil 30 de minute, elimină riscurile asociate parolelor slabe sau reutilizate.
  • Transport criptat — toate comunicațiile se realizează exclusiv prin HTTPS (TLS 1.2+).
  • Sesiuni revocabile — utilizatorul poate vizualiza și revoca orice sesiune activă din Setări → Dispozitive.
  • Rate limiting — limitarea tentativelor de autentificare pentru prevenirea atacurilor brute-force.
  • Verificare anti-bot — Cloudflare Turnstile la înregistrare, prevenind crearea automată de conturi.
  • Procesare imagini — fotografiile sunt procesate cu Imagick, care elimină automat metadatele EXIF (inclusiv date de locație GPS) înainte de stocare.
  • Backup regulat — copii de siguranță periodice, suprascrise în termen de 30 zile după ștergerea datelor primare.

În cazul unui incident de securitate care afectează datele cu caracter personal și prezintă un risc ridicat pentru drepturile și libertățile persoanelor vizate, Operatorul va notifica ANSPDCP în termen de 72 de ore (Art. 33 GDPR) și persoanele vizate afectate fără întârzieri nejustificate (Art. 34 GDPR).

8 Profilare și decizii automate

Conform Art. 13 alin. 2 lit. f) GDPR: Operatorul nu realizează profilarea persoanelor vizate și nu adoptă decizii automate cu efecte juridice sau efecte semnificative similare asupra Utilizatorilor, în sensul Art. 22 GDPR. Conținutul afișat pe platformă (trending, recent) se bazează exclusiv pe criterii obiective (număr de aprecieri, dată publicare), fără profilare individuală.

9 Actualizarea prezentei politici

Operatorul poate actualiza prezenta Politică de Confidențialitate pentru a reflecta modificări ale practicilor de prelucrare sau cerințelor legale. Modificările substanțiale vor fi notificate prin email cu minimum 30 de zile înainte de intrarea în vigoare. Modificările care afectează temeiul juridic sau scopul prelucrării vor necesita consimțământul explicit al Utilizatorului conform Art. 7 GDPR.

Versiunea curentă este întotdeauna disponibilă la https://retete.stiopei.ro/confidentialitate.

Contact pentru exercitarea drepturilor GDPR
Operator Stiopei Inc SRL
Email GDPR desemnat retete@stiopei.ro

Răspundem la toate solicitările GDPR în termen de maximum 30 de zile calendaristice. Solicitările vor fi tratate confidențial.

Versiunea 1.0 Intrată în vigoare: 1 aprilie 2026 Termeni și Condiții Contact