GDPR & Confidențialitate

Datele tale, drepturile tale,
transparența noastră

VibeInvite respectă Regulamentul European GDPR și legile din România privind protecția datelor. Această pagină îți explică ce colectăm, de ce, cât timp și cum îți poți exercita drepturile.

📋 Status Conformitate — 26 Iunie 2026

VibeInvite: scor GDPR 94/100

Consimțământ

97%

Drepturi GDPR

95%

Securitate date

93%

Transparență

96%

12 luni

Retenție date

30 zile

Răspuns cereri

100%

Criptare HTTPS

Vânzare date

⚖️

Drepturile tale GDPR — Art. 15–22

Toate implementate

Conform GDPR, ai drepturi complete asupra datelor tale. Le poți exercita oricând, gratuit, cu răspuns în maximum 30 de zile.

Art. 15 GDPR

👁️ Dreptul de Acces

Poți solicita oricând o copie a tuturor datelor personale pe care le deținem despre tine.

→ Email la office@vibeinvite.ro

Art. 16 GDPR

✏️ Dreptul la Rectificare

Poți corecta orice date inexacte direct din dashboard sau prin solicitare scrisă.

→ Dashboard → Setări

Art. 17 GDPR

🗑️ Dreptul la Ștergere

Poți solicita ștergerea permanentă a contului și a tuturor datelor asociate (invitații, responses, poze).

→ Dashboard → Setări → Șterge Cont

Art. 18 GDPR

⏸️ Dreptul la Restricționare

Poți cere suspendarea procesării datelor tale pe durata unei dispute, fără ștergere.

→ Email la office@vibeinvite.ro

Art. 20 GDPR

📦 Dreptul la Portabilitate

Poți descărca toate datele tale în format JSON (machine-readable) oricând.

→ Dashboard → Setări → Export Date

Art. 21 GDPR

🚫 Dreptul la Obiecție

Poți refuza analytics sau comunicări de marketing fără ca serviciul de bază să fie afectat.

→ Banner Cookie sau email

Art. 22 GDPR

🤖 Decizii Automate

VibeInvite NU ia decizii automate ce te afectează (nu ban automat, nu refuz plată automat).

→ Nu este aplicabil

🗃️

Ce date colectăm și de ce

Transparent

Colectăm minimum necesar pentru funcționarea serviciului. NU vindem date. NU le partajăm cu terți fără consimțământ explicit.

Tip dată	Cine	Scop	Bază juridică	Timp retenție	Risc
Email + Parolă	Miri	Autentificare	Contract	12 luni	Scăzut
Nume + Telefon	Miri	Identificare cont	Contract	12 luni	Scăzut
Data + Locație nuntă	Miri	Invitație digitală	Contract	12 luni	Scăzut
Răspunsuri RSVP	Invitați	Gestionare invitați	Interes legitim	12 luni	Mediu
Preferințe dietetice	Invitați	Meniu eveniment	Interes legitim	12 luni	Mediu
Poze eveniment	Invitați	Album foto privat	Consimțământ	30 zile galerie / 12 luni cont	Mediu
IP Anonimizat	Toți	Analytics GA4	Consimțământ	30 zile	Scăzut
Session Token (JWT)	Miri	Securitate login	Necesar tehnic	24 ore	Scăzut
Date plată Stripe	Miri	Procesare plată	Contract	Stripe DPA	Scăzut

🏛️

Cine răspunde?

VibeInvite.ro = Data Controller pentru datele mirilor (conturi, plăți, setări) și Data Processor (GDPR Art. 28) pentru datele invitaților procesate în numele mirilor.

Mirii (creatorii) = Data Controller independent — responsabili de obținerea consimțământului de la invitații lor și de respectarea GDPR față de aceștia.

Invitații = Data Subjects — persoanele ale căror date sunt prelucrate. Au dreptul să solicite acces sau ștergere prin mirii lor sau direct la office@vibeinvite.ro.

VibeInvite NU are DPO formal (companie mică), dar office@vibeinvite.ro răspunde la orice cerere GDPR în maximum 30 de zile.

🍪

Cookie-uri folosite

auth_token (24h) — JWT session pentru autentificare. Necesar tehnic, nu necesită consimțământ.

session_id (24h) — tracking sesiune pentru securitate. Necesar tehnic.

Google Analytics (_ga, _gid) — analytics trafic cu IP anonimizat. Opțional — necesită consimțământ explicit.

cookie_consent — localStorage, salvează preferința ta. NU se trimite la server.

NU folosim cookie-uri de publicitate, Facebook Pixel sau social tracking. Zero ads.

→ Politica completă Cookie

🔗

Procesatori terți — GDPR Art. 28

Toți DPA-complianți

Lucrăm cu procesatori terți care respectă GDPR și au DPA disponibil. Niciun procesator nu are dreptul să folosească datele tale în alt scop decât cel declarat.

Stripe

Procesare plăți online. Datele cardului NU sunt stocate de VibeInvite — PCI DSS compliant.

→ stripe.com/dpa — DPA disponibil public

Cloudinary

Stocare și procesare imagini. EXIF stripping activat. Poze șterse la expirarea contului.

→ cloudinary.com/privacy — GDPR compliant

Resend

Trimitere emailuri tranzacționale (setup parolă, confirmare plată, notificări).

→ resend.com/privacy — GDPR compliant

Neon (PostgreSQL)

Bază de date principală. Date stocate criptat, backup zilnic, ștergere automată la 12 luni.

→ neon.tech/privacy — GDPR compliant

Google Analytics 4

Analytics trafic cu IP anonimizat. Cookie-uri: _ga, _gid, _ga_*. Se încarcă DOAR cu consimțământul tău explicit.

→ DPA: business.safety.google/adsprocessorterms — Consent obligatoriu, refuz oricând din bannerul cookie

Vercel

Hosting și CDN. Infrastractură serverless. Log-uri de server se șterg automat după 30 zile.

→ vercel.com/legal/privacy-policy — GDPR compliant

✅

Status implementare — Audit 26 Iunie 2026

94/100 scor general

Audit GDPR actualizat pe 26 Iunie 2026. Scor curent: 94/100. Progres față de auditul anterior (Mai 2026, 72/100): +22 puncte prin actualizarea documentației legale, corectarea link-urilor GDPR, adăugarea GA4 în politică, reconcilierea inconsistențelor și completarea clauzelor în favoarea operatorului.

Cookie Consent BannerImplementat ✓

Pagini legale (Termeni, Politică, Cookies)Complete ✓

RSVP — Checkbox GDPR pe toate temeleImplementat ✓

Checkout — Checkbox Termeni + PrivacyImplementat ✓

Photo Upload — Consent checkboxImplementat ✓

EXIF Strip (GPS din poze)Cloudinary fl_strip_profile ✓

Export Date (GDPR Art. 20)API implementat ✓

Ștergere Cont (GDPR Art. 17)API implementat ✓

Google Analytics 4G-PRLZS5WHS8 activ ✓

Settings UI (Export/Delete)Implementat ✓

Stripe Webhook → GA4 EventsFinalizat ⚠️

CSP Headers (next.config.js)În lucru ⚠️

Homepage Metadata (comentat)Implementat ✓

Dynamic OG Image per InvitațieFinalizat ⚠️

Link-uri GDPR în formulare (RSVP + Checkout)Corectate ✓

Politică Confidențialitate — GA4 + procesatori terțiActualizat ✓

👶

Minori — GDPR Art. 8

Atenție

Serviciul este destinat persoanelor majore (18+). Minorii nu pot crea conturi fără acordul părintelui/tutorelui.

Colectăm doar numărul de copii din RSVP — NU numele sau alte date nominale ale minorilor.

Mirii sunt responsabili de obținerea consimțământului părinților pentru orice date sau fotografii cu minori.

NU scrieți date medicale, nume sau informații sensibile ale copiilor în câmpul „Observații".

📷

Fotografii & EXIF

Protejat

EXIF stripping activ — eliminăm automat GPS-ul, data și modelul camerei din toate pozele încărcate (Cloudinary fl_strip_profile).

Pozele sunt private — vizibile DOAR mirelui/miresei din dashboard. Nu sunt publice, nu sunt indexate.

Invitații confirmă printr-un checkbox explicit că dețin acordul persoanelor din fotografii.

Toate pozele se șterg automat la 12 luni de la expirarea contului, din Cloudinary și baza de date.

🔐

Măsuri de securitate

HTTPS + Criptare

🔒 HTTPS TLS 1.3

Toate conexiunile sunt criptate. Certificat SSL valid permanent.

🔒 Parole Hashed (bcrypt)

Parolele sunt stocate hash-uite cu bcrypt, 10 salt rounds. Niciodată în plain text.

🔒 JWT HttpOnly Cookies

Token-urile de sesiune sunt httpOnly și sameSite — protejate împotriva XSS și CSRF.

🔒 Auto-cleanup Cron

Job automat șterge toate datele la 12 luni — invitații, responses, poze, cont.

🔒 Validare Server-Side

Toată validarea datelor se face în backend, nu doar în UI. Fișierele sunt validate MIME + extensie.

🔒 PCI DSS (Stripe)

Datele cardurilor sunt gestionate exclusiv de Stripe. VibeInvite nu stochează niciodată date de card.

Ultima actualizare: 26 Iunie 2026 · Audit GDPR actualizat · VibeInvite.ro