Politica de confidențialitate — Academia Politica AUR

1. Operatorul de date cu caracter personal

Operatorul datelor cu caracter personal este [DENUMIRE JURIDICĂ COMPLETĂ], persoană juridică română, cu sediul în [ADRESĂ COMPLETĂ], CUI [CUI], în sensul Regulamentului (UE) 2016/679 (GDPR).

Email contact general: [EMAIL CONTACT]

Email protecția datelor (GDPR): [EMAIL GDPR]

Responsabil cu protecția datelor (DPO): [NUME DPO / FUNCȚIE / EMAIL] — dacă este obligatoriu conform GDPR.

[DE COMPLETAT] Datele complete ale operatorului trebuie completate înainte de publicarea finală. Necesită validare finală avocat/DPO.

2. Categorii de persoane vizate

Prezenta politică se aplică tuturor persoanelor ale căror date sunt prelucrate prin intermediul platformei:

Părinți / tutori legali — titularii conturilor de familie
Formatori — învățători (clasele 0–4) și profesori (clasele 5–8) cu cont aprobat
Copii / elevi — ale căror profiluri sunt create și administrate de părinți/tutori sau formatori
Administratori — persoane autorizate să administreze platforma
Vizitatori ai site-ului — persoane care accesează paginile publice fără cont

3. Ce date colectăm

Date privind titularul contului adult (părinte / formator)

Nume complet
Adresă de email
Parola (stocată criptat — hash bcrypt, nu avem acces la parola în clar)
Tipul de cont (Părinte, Formator, Profesor)
Data creării contului
Preferința privind emailurile (raport săptămânal activ/inactiv)

Date privind profilurile copiilor

Prenume sau pseudonim (ales de părinte — nu colectăm date de identificare completă a copilului)
Nivel educațional: clasele 0–4 sau clasele 5–8
Clasa școlară (opțional)
Progresul lecțiilor completate și scorurile quiz-urilor
Certificatele obținute
Hash PIN de acces (opțional, criptat)

Date minime privind elevii din clase (zona /clasa)

Prenume sau inițiale sau cod intern (introduse de cadrul didactic)
Cod de identificare în clasă
Progresul lecțiilor și scorurile quiz-urilor

Date tehnice și loguri de securitate

Adrese IP (procesate temporar de furnizorii de infrastructură)
Cookies de autentificare (httpOnly, strict necessary)
Date de erori tehnice (prin Sentry, dacă este activat — fără PII)
Loguri de acces și securitate (prevenirea abuzurilor)

Date de suport și contact

Mesajele trimise prin formularul de contact (nume, email, mesaj)

4. Temeiurile juridice ale prelucrării (Art. 6 GDPR)

Executarea contractului (Art. 6(1)(b))

Furnizarea serviciului de platformă educațională: autentificare, stocare progres, certificate, funcționalități de clasă.

Consimțământ (Art. 6(1)(a))

Trimiterea raportului săptămânal pe email. Poți retrage consimțământul oricând din profilul tău sau prin link-ul de dezabonare din email.

Interes legitim (Art. 6(1)(f))

Securitatea platformei, detectarea și prevenirea abuzurilor, monitorizarea erorilor tehnice, administrarea platformei.

Obligație legală (Art. 6(1)(c))

Respectarea legislației aplicabile, inclusiv obligații fiscale, contabile sau de raportare, acolo unde este cazul.

Autorizație parentală pentru profilurile copiilor

Prelucrarea datelor copiilor se realizează în temeiul Art. 6(1)(b) și Art. 8 GDPR, cu autorizarea expresă a părintelui/tutorelui legal la crearea profilului.

[DE COMPLETAT] Temeiul exact pentru utilizarea instituțională de către școli/formatori trebuie stabilit și documentat separat. Necesită validare finală avocat/DPO.

5. Datele copiilor

Datele copiilor sunt prelucrate numai în măsura necesară furnizării funcționalităților educaționale. Platforma nu solicită date excesive despre copii și recomandă părinților și cadrelor didactice să evite introducerea de informații sensibile, date medicale, date privind situația familială sau alte informații care nu sunt necesare scopului educațional.

Scorurile quiz-urilor reprezintă rezultate tehnice ale răspunsurilor selectate și nu constituie evaluare psihologică, diagnostic educațional sau decizie automată cu efect semnificativ.

6. Formatori și funcționalitatea de clasă

În cazul utilizării funcției de clasă, cadrul didactic trebuie să introducă numai date minime necesare scopului educațional. Se recomandă utilizarea prenumelui, inițialelor, pseudonimului sau unui cod intern pentru identificarea elevilor, evitând introducerea de date excesive.

[DE COMPLETAT] — Pentru utilizarea instituțională de către o unitate de învățământ, relația juridică privind prelucrarea datelor trebuie stabilită separat, printr-un acord de prelucrare a datelor sau alt document adecvat. Trebuie stabilit dacă platforma acționează ca operator independent, persoană împuternicită sau operator asociat în raport cu unitatea de învățământ. Necesită validare finală avocat/DPO.

7. Utilizarea inteligenței artificiale

Platforma poate utiliza servicii AI (modelul Llama 3 prin furnizorul Groq) pentru asistarea generării de conținut educațional: structuri de cursuri, quiz-uri, materiale auxiliare.

Datele personale ale copiilor, părinților, cadrelor didactice sau elevilor nu sunt transmise către sistemele AI pentru generarea de conținut. AI este utilizat pe conținut curricular (documente Word/PDF), nu pe profilurile utilizatorilor.

Conținutul asistat de AI este verificat de un educator uman înainte de publicare și este marcat vizibil prin indicatorul „Conținut asistat de AI și revizuit uman".

8. Interdicții privind utilizarea AI în raport cu copiii

Platforma nu utilizează AI pentru:

profilarea copiilor;
evaluarea automată individuală a copiilor;
decizii automate cu efect juridic sau similar semnificativ (conform Art. 22 GDPR);
recunoaștere emoțională;
scoring social;
manipulare comportamentală;
exploatarea vulnerabilităților legate de vârstă.

9. Furnizori tehnici și subprocesori

Nu vindem, nu închiriem și nu divulgăm date personale către terți în scop comercial. Utilizăm următorii furnizori de servicii tehnice (subprocesori):

Furnizor	Scop	Rol	Localizare	Garanții / DPA
Supabase	Baza de date și autentificare	Persoană împuternicită	SUA / EU (AWS) — [DE VERIFICAT regiune exactă]	SCCs — [DE COMPLETAT status DPA]
Vercel	Hosting și CDN	Persoană împuternicită	SUA / Global	SCCs, DPA disponibil — [DE COMPLETAT status DPA]
Resend	Trimitere email-uri	Persoană împuternicită	SUA	SCCs — [DE COMPLETAT status DPA]
Groq	Procesare AI conținut curricular (admin)	Persoană împuternicită	SUA	SCCs — date procesate exclusiv de admin, fără PII utilizatori — [DE COMPLETAT status DPA]
Sentry	Monitorizare erori tehnice	Persoană împuternicită	SUA	SCCs — date tehnice anonimizate, fără PII — [DE COMPLETAT status DPA]
Google Drive	Stocare conținut educațional (lecții)	Persoană împuternicită	Global	SCCs, conținut public educațional — [DE COMPLETAT status DPA]

Lista furnizorilor și garanțiile de transfer trebuie verificate și actualizate înainte de lansarea oficială. Necesită validare finală avocat/DPO.

10. Transferuri internaționale de date

Unii furnizori tehnici prelucrează date în afara Spațiului Economic European (SEE). În aceste cazuri, Operatorul se asigură că transferul se realizează cu garanții adecvate, care pot include:

clauze contractuale standard (Standard Contractual Clauses — SCCs) adoptate de Comisia Europeană;
acorduri de prelucrare a datelor (DPA) cu furnizorii;
evaluări ale impactului transferului (Transfer Impact Assessment — TIA);
măsuri suplimentare tehnice și organizaționale, după caz.

11. Cât timp păstrăm datele (Retenție)

Date cont adultPe durata existenței contului + 30 zile după ștergere (backup)

Date profil cursantPe durata existenței contului de părinte

Progres lecții și certificatePe durata existenței profilului copilului

Date elevi clasăPe durata existenței clasei + 30 zile după arhivare

Loguri tehnice Sentry90 zile

Date după ștergerea contuluiȘtergere permanentă în 30 zile

Date de contact / suport12 luni sau până la soluționarea solicitării

12. Securitatea datelor (Art. 32 GDPR)

Operatorul aplică măsuri tehnice și organizaționale adecvate riscului, incluzând:

Autentificare cu flux PKCE (Proof Key for Code Exchange) — standard de securitate modern
Autentificare în doi pași (2FA TOTP) obligatorie pentru conturile administrative
Criptarea tuturor comunicațiilor prin HTTPS (TLS 1.2+)
Parolele stocate exclusiv ca hash-uri criptografice (bcrypt)
PIN-ul copilului stocat ca hash criptografic
Controlul accesului prin Row Level Security (RLS) în baza de date
Datele copiilor accesibile exclusiv de părintele/tutorele contului
Jurnalizare, backup și restaurare
Monitorizare de erori tehnice (Sentry) și revizuirea periodică a drepturilor de acces

13. Incidente de securitate

În cazul unei încălcări a securității datelor cu caracter personal, Operatorul va evalua fără întârziere natura incidentului, datele afectate, categoriile de persoane vizate, riscurile probabile și măsurile de remediere necesare.

Dacă incidentul este susceptibil să genereze un risc pentru drepturile și libertățile persoanelor vizate, Operatorul va notifica autoritatea competentă (ANSPDCP) în cel mult 72 de ore de la constatare, conform Art. 33 GDPR.

Dacă incidentul este susceptibil să genereze un risc ridicat pentru persoanele vizate, Operatorul va informa direct persoanele afectate, fără întârzieri nejustificate, conform Art. 34 GDPR.

14. Drepturile tale (GDPR Cap. III)

Acces (Art. 15)

Poți solicita o copie a datelor deținute despre tine.

→ Email la [EMAIL GDPR]

Rectificare (Art. 16)

Poți corecta datele incorecte din profilul tău.

→ Din setările contului sau email

Ștergere (Art. 17)

Poți șterge contul și toate datele asociate.

→ Profil → Zona periculoasă

Portabilitate (Art. 20)

Poți descărca datele tale în format JSON.

→ Profil → Descarcă datele mele

Obiecție (Art. 21)

Te poți dezabona de la emailuri de raport.

→ Profil → Notificări sau link din email

Restricție (Art. 18)

Poți solicita suspendarea temporară a prelucrării.

→ Email la [EMAIL GDPR]

Retragerea consimțământului

Poți retrage oricând consimțământul pentru emailuri, fără a afecta prelucrările anterioare.

→ Profil → Notificări

Cererile sunt soluționate, de regulă, în termen de cel mult o lună de la primire, conform GDPR. Termenul poate fi prelungit cu două luni în cazuri complexe, cu notificarea prealabilă a solicitantului.

Ai dreptul să depui o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) — www.dataprotection.ro

15. Cookie-uri

Cookie-uri strict necesare

Platforma folosește cookie-uri httpOnly pentru autentificare (sesiune Supabase). Acestea sunt strict necesare pentru funcționarea serviciului și nu necesită consimțământ. Nu conțin date personale în clar.

Cookie-uri de monitorizare erori (Sentry)

Dacă Sentry este activat, poate stoca informații tehnice de sesiune pentru urmărirea erorilor. Nu colectează date de identificare personală. Activare condiționată de prezența variabilei de configurare.

Platforma nu utilizează cookie-uri de tracking, publicitate sau analiză comportamentală.

16. Evaluarea de impact (DPIA)

Având în vedere că platforma prelucrează date ale copiilor și date educaționale, Operatorul va realiza un screening DPIA (Data Protection Impact Assessment) și, dacă este necesar, o evaluare completă de impact asupra protecției datelor, înainte de lansarea publică sau extinderea funcționalităților care implică noi categorii de date sau riscuri sporite.

Necesită validare finală avocat/DPO.

17. Alfabetizare AI (AI Literacy) pentru operatorii platformei

Persoanele care utilizează instrumente AI în administrarea platformei trebuie să fie instruite cu privire la:

limitele sistemelor AI și riscurile de eroare sau bias;
protecția datelor cu caracter personal în contextul utilizării AI;
verificarea factuală a conținutului generat de AI;
protecția minorilor și restricțiile privind utilizarea AI pentru copii;
utilizarea responsabilă și transparentă a conținutului generat de AI.

18. Modificarea politicii

Orice modificare esențială a prezentei politici va fi comunicată utilizatorilor prin email cu minimum 15 zile înainte de intrarea în vigoare. Data ultimei actualizări este afișată la începutul acestei pagini.

19. Contact GDPR

Pentru orice întrebări legate de prelucrarea datelor cu caracter personal sau pentru exercitarea drepturilor tale GDPR, ne poți contacta la:

[DENUMIRE JURIDICĂ COMPLETĂ]

[ADRESĂ COMPLETĂ]

Email contact: [EMAIL CONTACT]

Email GDPR: [EMAIL GDPR]