Politica de confidențialitate

Operatorul de date cu caracter personal este:

• Denumire: Lumeva S.R.L.
• Email contact protecția datelor: contact@lumeva.ro

Colectăm următoarele categorii de date cu caracter personal:

2.1. Date furnizate direct de dumneavoastră:

• Date de identificare și cont: nume, adresă de email, număr de telefon (opțional), localitate, județ, limba preferată.
• Date de autentificare: parolă (stocată criptat), date Google OAuth (furnizor, identificator unic Google — în cazul înregistrării cu Google).
• Date de profil designer: nume afișat, biografie, fotografie de profil, video de introducere, ani de experiență, clasificare profesională, studii (instituție, anul absolvirii), servicii oferite, limbi vorbite, stiluri de design, zone de interes, URL-uri rețele sociale (website, Instagram, Facebook, LinkedIn), tarife, disponibilitate.
• Date de profil studio: denumire studio, dimensiune echipă, specializări.
• Date proiect (client): tipul proprietății, suprafață, buget, localitate, stil preferat, descriere proiect, planuri și fotografii încărcate, imagini de inspirație.
• Date comunicare: mesaje transmise prin platformă, atașamente (fișiere, imagini).
• Date recenzii: evaluări (calitate, comunicare, valoare), text recenzie, imagini atașate.
• Date cereri de garanție: descrierea disputei, documente justificative.

2.2. Date colectate automat:

• Date de utilizare: acțiuni pe platformă (vizualizări pagini, autentificări, cereri create, oferte trimise, mesaje trimise, recenzii publicate).
• Date tehnice: adresă IP (pentru limitarea ratei și securitate), agent utilizator browser, tip dispozitiv.
• Cookie-uri de sesiune: un cookie de sesiune tehnic (_lumeva_session) esențial pentru funcționarea platformei.

2.3. Date de la terți:

• Google OAuth: la înregistrarea cu Google, primim numele și adresa de email asociate contului Google.
• Stripe: primim confirmări de plăți, starea contului Connect și cerințe de verificare (nu stocăm datele cardurilor).
• Surse publice (profile neclamate): pentru crearea profilelor neclamate, putem colecta informații disponibile public (nume, descriere profesională, fotografii de portofoliu) de pe website-uri personale, rețele sociale profesionale și directoare de design.

Prelucrăm datele dumneavoastră personale pentru următoarele scopuri, pe baza temeiurilor juridice indicate:

Când ne bazăm pe interesul legitim, am efectuat o analiză de proporționalitate pentru a ne asigura că drepturile dumneavoastră nu sunt afectate în mod disproporționat. Puteți solicita detalii despre aceste analize contactându-ne la contact@lumeva.ro.

Datele dumneavoastră pot fi partajate cu următoarele categorii de destinatari:

• Alți utilizatori ai platformei: profilurile designerilor sunt vizibile public; mesajele sunt vizibile pentru participanții la conversație; recenziile sunt vizibile public după publicare.
• Stripe, Inc. (procesator de plăți) — pentru procesarea plăților, gestionarea conturilor Connect și conformitatea KYC/AML. Politica de confidențialitate Stripe.
• Amazon Web Services (AWS) — stocarea fișierelor (fotografii, documente, videoclipuri) pe servere S3, regiunea UE (eu-central-1, Frankfurt). Politica de confidențialitate AWS.
• Resend — serviciu de trimitere a emailurilor tranzacționale. Politica de confidențialitate Resend.
• Google — exclusiv pentru autentificarea OAuth (dacă utilizați înregistrarea cu Google). Politica de confidențialitate Google.
• CDN (Content Delivery Network) — pentru livrarea rapidă a imaginilor și conținutului static.
• Autorități publice — în cazul în care avem o obligație legală sau în baza unui ordin judecătoresc.

Cu toți procesatorii de date menționați mai sus am încheiat acorduri de prelucrare a datelor (DPA) conform art. 28 din GDPR sau aceștia oferă garanții adecvate de protecție a datelor.

Nu vindem datele dumneavoastră personale terților.

Unele dintre serviciile pe care le utilizăm pot implica transferul datelor în afara Spațiului Economic European (SEE), în special către Statele Unite ale Americii (Stripe, Resend).

Aceste transferuri sunt efectuate pe baza următoarelor garanții:

• Cadrul UE-SUA privind confidențialitatea datelor (EU-U.S. Data Privacy Framework), acolo unde este aplicabil;
• Clauze contractuale standard (SCC) aprobate de Comisia Europeană;
• Măsuri tehnice suplimentare (criptare în tranzit și în repaus).

Fișierele (fotografii, documente) sunt stocate pe servere AWS din regiunea eu-central-1 (Frankfurt, Germania), în cadrul Spațiului Economic European.

Păstrăm datele dumneavoastră personale doar atât timp cât este necesar pentru scopurile pentru care au fost colectate:

La expirarea perioadei de păstrare, datele sunt șterse sau anonimizate ireversibil.

Conform GDPR, beneficiați de următoarele drepturi privind datele dumneavoastră personale:

• Dreptul de acces (art. 15) — puteți solicita o copie a datelor personale pe care le prelucrăm despre dumneavoastră.
• Dreptul la rectificare (art. 16) — puteți solicita corectarea datelor incorecte sau completarea datelor incomplete. Multe date pot fi actualizate direct din setările contului.
• Dreptul la ștergere („dreptul de a fi uitat", art. 17) — puteți solicita ștergerea datelor personale, sub rezerva obligațiilor legale de păstrare (ex: evidențe fiscale).
• Dreptul la restricționarea prelucrării (art. 18) — puteți solicita limitarea prelucrării datelor în anumite circumstanțe.
• Dreptul la portabilitatea datelor (art. 20) — puteți solicita primirea datelor într-un format structurat, utilizat în mod curent și care poate fi citit automat.
• Dreptul la opoziție (art. 21) — puteți să vă opuneți prelucrării bazate pe interesul legitim, inclusiv profilării în scopul potrivirii automate.
• Dreptul de a nu fi supus unei decizii automate (art. 22) — aveți dreptul de a nu fi supus unei decizii bazate exclusiv pe prelucrare automatizată, inclusiv crearea de profiluri, care produce efecte juridice sau similare.
• Dreptul de a retrage consimțământul — în orice moment, pentru prelucrările bazate pe consimțământ (ex: notificări push), fără a afecta legalitatea prelucrării anterioare retragerii.

Cum să vă exercitați drepturile: Transmiteți o solicitare la contact@lumeva.ro. Vom răspunde în termen de 30 de zile de la primirea solicitării. Acest termen poate fi prelungit cu maximum 60 de zile în cazul cererilor complexe sau numeroase, cu notificarea dumneavoastră prealabilă.

Exercitarea acestor drepturi este gratuită. Ne rezervăm dreptul de a percepe o taxă rezonabilă în cazul cererilor în mod vădit nefondate sau excesive.

Implementăm măsuri tehnice și organizatorice adecvate pentru protecția datelor dumneavoastră personale, inclusiv:

• Criptare: comunicațiile sunt protejate prin TLS/SSL (HTTPS obligatoriu). Parolele sunt stocate cu hash bcrypt.
• Control al accesului: acces restricționat pe bază de roluri pentru personalul administrativ, cu jurnalizarea tuturor acțiunilor.
• Protecție împotriva atacurilor: limitarea ratei de acces (rate limiting) pentru autentificare și acțiuni sensibile, protecție CSRF, verificare semnătură webhooks, anteturi de securitate HTTP.
• Blocarea conturilor: conturile se blochează automat după 10 tentative eșuate de autentificare.
• Verificarea fișierelor: validarea tipului de conținut al fișierelor încărcate prin verificarea semnăturii binare (magic bytes).
• Cookie-uri securizate: cookie-uri HTTPOnly, Secure (doar HTTPS în producție), Same-Site.
• Izolarea sistemelor: sistemul administrativ este complet izolat de aplicația publică.

Nicio măsură de securitate nu este perfectă. În eventualitatea puțin probabilă a unei încălcări a securității datelor, vom notifica Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) în termen de 72 de ore și persoanele vizate fără întârziere nejustificată, conform art. 33 și 34 din GDPR.

Platforma utilizează un număr minim de cookie-uri, necesare funcționării:

Nu utilizăm cookie-uri de marketing, publicitare sau de urmărire (tracking) terță parte. Nu utilizăm Google Analytics sau alte platforme de analiză externă.

Cookie-urile strict necesare nu necesită consimțământ conform art. 5 alin. 3 din Directiva ePrivacy (transpusă prin Legea nr. 506/2004 modificată). Acestea sunt esențiale pentru funcționarea platformei și nu pot fi dezactivate.

10.1. Potrivirea automată (Matching). Platforma utilizează un algoritm de potrivire pentru a sugera Designeri relevanți pentru cererile de design ale Clienților. Algoritmul ia în considerare: locație (40%), stil de design (30%), disponibilitate (15%), verificare (5%), clasificare (5%) și evaluare (5%).

Aceste sugestii sunt orientative și nu produc efecte juridice sau similare. Clientul decide liber pe baza propriei evaluări. Potrivirea automată poate fi ignorată — Clientul poate contacta orice Designer disponibil pe Platformă.

10.2. Clasificare și poziționare în căutare. Profilurile designerilor sunt clasificate și ordonate în rezultatele de căutare pe baza unor criterii obiective (disponibilitate, evaluări, completitudinea profilului, abonament). Aceste criterii sunt aplicate uniform tuturor designerilor.

10.3. Nu luăm decizii cu efecte juridice semnificative bazate exclusiv pe prelucrare automatizată. Deciziile privind conturile (aprobare, suspendare, cereri de garanție) sunt luate de persoane din echipa Lumeva.

Platforma nu este destinată persoanelor cu vârsta sub 18 ani. Nu colectăm cu bună-știință date personale de la minori. Dacă descoperiți că un minor a furnizat date personale pe Platformă, vă rugăm să ne contactați imediat la contact@lumeva.ro, iar noi vom șterge acele date fără întârziere.

12.1. Lumeva poate crea profile de designeri pe baza informațiilor disponibile public pe internet (website-uri profesionale, rețele sociale, directoare de design). Temeiul juridic este interesul legitim (art. 6(1)(f) GDPR) al Lumeva de a oferi o imagine completă a pieței de design interior din România.

12.2. Analiză de proporționalitate:

• Datele colectate sunt limitate la informații deja publice (nume, descriere profesională, fotografii de portofoliu publice);
• Profilurile neclamate au funcționalități limitate și sunt marcate ca neclamate;
• Designerii sunt informați prin email și pot revendica sau elimina profilul în orice moment;
• Se respectă opțiunea de dezabonare (unsubscribe) din emailurile de invitație.

12.3. Drepturile dumneavoastră privind profilul neclamat:

• Revendicare: preluați controlul complet prin linkul unic de revendicare;
• Eliminare: solicitați ștergerea profilului prin email la contact@lumeva.ro sau prin linkul de dezabonare din email;
• Rectificare: solicitați corectarea informațiilor incorecte.

12.4. Conform art. 14 din GDPR, designerii ale căror date sunt prelucrate indirect sunt informați prin email în termen rezonabil de la crearea profilului.

Ne rezervăm dreptul de a actualiza prezenta Politică de confidențialitate. Modificările vor fi publicate pe această pagină cu actualizarea datei de la începutul documentului.

Pentru modificări substanțiale, vom transmite o notificare prin email sau prin Platformă cu cel puțin 30 de zile înainte de intrarea în vigoare.

Vă recomandăm să consultați periodic această pagină pentru a fi la curent cu practicile noastre de prelucrare a datelor.

Pentru orice întrebări privind prelucrarea datelor personale sau pentru exercitarea drepturilor dumneavoastră, ne puteți contacta la:

• Email: contact@lumeva.ro

Dacă considerați că prelucrarea datelor dumneavoastră personale încalcă GDPR, aveți dreptul de a depune o plângere la autoritatea de supraveghere: