Politica de Confidențialitate

Pe scurt: Pentru website-ul nostru, marketing și conturile admin, NexiBook este operatorul de date. Pentru clienții finali ai studioului dvs. de Pilates sau fitness (numit „Tenant”), dvs. sunteți operatorul, iar NexiBook acționează ca persoană împuternicită conform Acordului de Prelucrare a Datelor (DPA). Această politică explică, pe înțelesul tuturor, ce date personale colectăm, de ce, cum le protejăm, cu cine le partajăm, cât le păstrăm și ce drepturi aveți conform Regulamentului General privind Protecția Datelor (UE) 2016/679 („GDPR”).

A) Website, Marketing & Conturi Admin

1. Operatorul de Date & Informații de Contact

Operatorul de date pentru website-ul nexibookapp.com, activitățile de marketing și conturile admin este:

NexiBook / ntelligence insights s.r.l.
Înregistrată în România
Email: privacy@nexibookapp.com
Website: nexibookapp.com

Dacă aveți întrebări despre această Politică de Confidențialitate sau despre modul în care sunt prelucrate datele dvs. personale, vă rugăm să ne contactați la adresa de email de mai sus. Ne propunem să răspundem la toate solicitările legate de confidențialitate în maximum 5 zile lucrătoare.

Ca întreprindere mică, nu avem obligația legală de a numi un Responsabil cu Protecția Datelor (DPO) conform Articolului 37 din GDPR. Cu toate acestea, tratăm fiecare solicitare privind confidențialitatea cu cea mai mare prioritate, iar echipa noastră dedicată gestionează toate aspectele legate de protecția datelor.

Autoritatea de supraveghere pentru protecția datelor din România este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP):
Website: www.dataprotection.ro
Adresă: B-dul G-ral. Gheorghe Magheru nr. 28-30, Sector 1, 010336, București, România
Telefon: +40.318.059.211

2. Tipurile de Date Personale pe Care le Colectăm

Când vizitați website-ul nostru, vă înregistrați pentru un trial, vă abonați la serviciul nostru sau ne contactați, putem colecta următoarele categorii de date personale:

• Date de Identitate și Contact: Nume complet, adresă de email, număr de telefon, denumirea afacerii/studioului, funcția sau rolul. Aceste date sunt colectate când completați formularele de înregistrare, solicitați un demo sau contactați echipa noastră de suport.
• Date de Cont: Nume de utilizator, parolă criptată, planul de abonament, adresa de facturare, codul fiscal/CUI (pentru clienții business din UE). Aceste date sunt create când înregistrați un Tenant (studio) pe NexiBook.
• Date de Programare și Rezervare: Programul cursurilor, istoricul rezervărilor, evidența prezenței, detalii despre abonamente și pachete, preferințe pentru sesiuni. Aceste date sunt generate prin utilizarea platformei NexiBook.
• Date Financiare și de Plată: Detalii despre metoda de plată (procesate și stocate exclusiv de Stripe — noi nu vedem și nu stocăm niciodată numerele complete ale cardurilor), istoricul tranzacțiilor, evidența facturilor, istoricul rambursărilor.
• Date Tehnice și de Utilizare: Adresa IP, tipul și versiunea browser-ului, sistemul de operare, identificatori de dispozitiv, rezoluția ecranului, paginile vizitate, sursa de trimitere (parametri UTM), timpul petrecut pe pagini, tipare de clic, loguri de erori.
• Date de Comunicare: Înregistrări ale emailurilor, tichetelor de suport, mesajelor din chat și orice feedback sau reclamații pe care ni le trimiteți.
• Preferințe de Marketing: Dacă ați optat pentru sau ați refuzat comunicările de marketing, limba preferată (română sau engleză), domeniile de interes.
• Date Video și de Sesiune: Dacă utilizați funcționalitățile integrate Zoom sau Mux, metadate precum durata sesiunii, numărul de participanți, starea înregistrării (conținutul video propriu-zis este gestionat de furnizorul terț respectiv).

3. Scopurile și Temeiurile Legale ale Prelucrării

Prelucrăm datele dvs. personale doar atunci când avem un temei legal valid conform GDPR. Mai jos este o prezentare detaliată a fiecărui scop și a temeiului legal corespunzător:

• Furnizarea serviciului și executarea contractului (art. 6(1)(b) GDPR): Prelucrarea necesară pentru crearea și gestionarea contului dvs., furnizarea platformei de rezervări, procesarea plăților, trimiterea confirmărilor și a memento-urilor de rezervare și furnizarea suportului pentru clienți.
• Răspunsul la solicitări și cereri de demo (art. 6(1)(b) demersuri pre-contractuale sau art. 6(1)(f) interes legitim): Când solicitați un demo, completați un formular de contact sau ne contactați în alt mod, prelucrăm datele dvs. pentru a răspunde și a evalua dacă serviciul nostru se potrivește nevoilor dvs.
• Comunicări de marketing (art. 6(1)(a) GDPR — consimțământ): Trimitem newslettere, actualizări de produs, oferte promoționale și resurse educaționale doar cu consimțământul dvs. explicit. Puteți retrage consimțământul oricând făcând clic pe „Dezabonare” în orice email sau scriind la privacy@nexibookapp.com.
• Analiză și îmbunătățirea serviciului (art. 6(1)(f) GDPR — interes legitim): Analizăm tiparele de utilizare și statisticile agregate pentru a îmbunătăți UX-ul, a remedia erorile și a dezvolta funcționalități noi. Echilibrăm întotdeauna interesul nostru cu drepturile dvs. la confidențialitate.
• Securitate, prevenirea fraudei și detectarea abuzurilor (art. 6(1)(f) GDPR — interes legitim): Monitorizăm logurile de acces, detectăm activitățile neobișnuite și aplicăm limitări de rată pentru a proteja platforma și datele dvs.
• Obligații legale (art. 6(1)(c) GDPR): Păstrăm anumite evidențe financiare și tranzacționale conform legislației fiscale din România, reglementărilor de combatere a spălării banilor și altor legi aplicabile.
• Stabilirea, exercitarea sau apărarea drepturilor legale (art. 6(1)(f) GDPR — interes legitim): Putem păstra datele necesare pentru stabilirea, exercitarea sau apărarea împotriva unor pretenții legale.

4. Cookie-uri și Tehnologii de Urmărire

Website-ul nostru utilizează cookie-uri și tehnologii similare. Le clasificăm astfel:

• Cookie-uri Strict Necesare: Necesare pentru funcționarea website-ului (ex.: preferința de limbă nbk_lang, token-uri de sesiune, protecție CSRF). Acestea nu pot fi dezactivate și nu necesită consimțământ.
• Cookie-uri de Analiză: Ne ajută să înțelegem cum utilizează vizitatorii website-ul (ex.: Google Analytics). Aceste cookie-uri sunt plasate doar după ce acordați consimțământul explicit prin bannerul de cookie. Colectează date de utilizare anonimizate sau pseudonimizate, precum paginile vizitate, durata sesiunii și sursele de trimitere.
• Cookie-uri de Marketing: Utilizate pentru a afișa reclame relevante și a măsura eficiența campaniilor (ex.: Meta Pixel). Acestea sunt, de asemenea, plasate doar după consimțământul dvs. explicit.

Puteți modifica sau retrage preferințele privind cookie-urile oricând folosind bannerul de consimțământ pentru cookie-uri, pe care îl puteți redeschide din subsolul oricărei pagini. Majoritatea browserelor web vă permit, de asemenea, controlul cookie-urilor prin setările lor. Vă rugăm să rețineți că dezactivarea anumitor cookie-uri poate afecta funcționalitatea website-ului.

5. Destinatari Terți și Transferuri Internaționale

Partajăm datele personale doar cu furnizori de servicii terți de încredere (persoane împuternicite) care au nevoie de ele pentru a ne ajuta să furnizăm serviciile. Nu vindem datele dvs. personale nimănui. Principalii noștri împuterniciți includ:

• Stripe, Inc. (SUA) — Procesarea plăților. Stripe este certificat PCI DSS Nivel 1 și gestionează toate datele de card în mod direct. NexiBook nu stochează niciodată numerele complete ale cardurilor. Baza transferului: certificare EU-US Data Privacy Framework (DPF).
• Zoom Video Communications, Inc. (SUA) — Sesiuni video live opționale și conferințe pentru studiourile care activează această funcționalitate. Baza transferului: Clauze Contractuale Standard (SCC) și garanții suplimentare.
• Mux, Inc. (SUA) — Găzduire video, transcodare și streaming pentru conținutul de cursuri înregistrate. Baza transferului: SCC cu garanții suplimentare.
• MailerLite (Lituania, UE) — Marketing prin email și emailuri tranzacționale (confirmări, memento-uri). Datele rămân în UE/SEE.
• Google LLC (SUA) — Google Analytics pentru analiza utilizării website-ului (doar cu consimțământul dvs.). Baza transferului: certificare DPF. Folosim anonimizarea IP acolo unde este disponibilă.
• Meta Platforms, Inc. (SUA) — Meta Pixel pentru măsurarea publicității (doar cu consimțământul dvs.). Baza transferului: certificare DPF și SCC.
• ipapi / abstractapi — Determinarea locației geografice (doar la nivel de țară) pentru stabilirea regulilor fiscale aplicabile și afișarea limbii corecte. Se partajează doar adrese IP; niciun identificator personal.
• Furnizori de Hosting și CDN (cu sediul în UE) — Infrastructura serverelor și livrarea conținutului. Datele sunt stocate în cadrul UE.

Când datele personale sunt transferate în afara Spațiului Economic European (SEE), asigurăm protecția adecvată prin unul sau mai multe dintre următoarele mecanisme: (a) destinatarul se află într-o țară cu decizie de adecvare UE; (b) destinatarul deține o certificare validă EU-US Data Privacy Framework; (c) încheiem Clauze Contractuale Standard (SCC) aprobate de Comisia Europeană, suplimentate de o Evaluare a Impactului Transferului, acolo unde este cazul. De asemenea, putem divulga date atunci când legea, o hotărâre judecătorească sau o obligație de reglementare o impune.

6. Perioadele de Păstrare a Datelor

Păstrăm datele personale doar atât timp cât este necesar pentru îndeplinirea scopurilor pentru care au fost colectate sau conform cerințelor legale. Perioadele specifice de păstrare sunt:

• Conturi active: Datele sunt păstrate pe durata abonamentului plus 30 de zile după închiderea contului pentru a permite reactivarea sau solicitările de export al datelor.
• Date de lead-uri și prospecți: Până la 24 de luni de la ultima interacțiune. Dacă nu interacționați cu noi în această perioadă, datele dvs. sunt șterse automat.
• Evidențe de suport și comunicare: Până la 36 de luni de la ultima comunicare, pentru a asigura continuitatea serviciului și a rezolva eventuale dispute.
• Evidențe financiare și de facturare: 10 ani de la data tranzacției, conform legislației fiscale din România (Legea Contabilității nr. 82/1991, Codul Fiscal).
• Loguri tehnice: Aproximativ 90 de zile, cu excepția cazului în care păstrarea extinsă este necesară pentru investigații de securitate sau scopuri de conformitate.
• Evidențe ale consimțământului de marketing: Păstrate pe durata consimțământului plus 3 ani de la retragere, ca dovadă a prelucrării legale.
• Date din backup-uri: Datele reziduale din backup-urile criptate sunt purjate automat în termen de 30 de zile de la ștergerea din sistemele de producție.

7. Drepturile Dvs. conform GDPR

Conform Regulamentului General privind Protecția Datelor, aveți următoarele drepturi cu privire la datele dvs. personale. Pentru a exercita oricare dintre aceste drepturi, vă rugăm să ne contactați la privacy@nexibookapp.com. Vom răspunde în termen de 30 de zile (cu posibilitatea de prelungire cu încă 60 de zile pentru solicitările complexe, cu notificare prealabilă).

• Dreptul de Acces (art. 15): Puteți solicita o copie a tuturor datelor personale pe care le deținem despre dvs., împreună cu informații despre modul în care sunt prelucrate.
• Dreptul la Rectificare (art. 16): Puteți cere corectarea datelor inexacte sau completarea datelor incomplete.
• Dreptul la Ștergere („Dreptul de a Fi Uitat”) (art. 17): Puteți solicita ștergerea datelor personale când acestea nu mai sunt necesare scopului inițial, când vă retrageți consimțământul sau când vă opuneți prelucrării și nu există motive legitime prevalente. Consultați pagina noastră de Ștergere Date pentru procedura completă.
• Dreptul la Restricționarea Prelucrării (art. 18): Puteți cere restricționarea temporară a prelucrării datelor dvs. în timp ce verificăm acuratețea lor, evaluăm o opoziție sau în cazurile în care ștergerea nu este posibilă, dar doriți limitarea prelucrării.
• Dreptul la Portabilitatea Datelor (art. 20): Puteți primi datele personale pe care ni le-ați furnizat într-un format structurat, utilizat în mod curent, care poate fi citit automat (ex.: CSV sau JSON) și le puteți transmite unui alt operator.
• Dreptul la Opoziție (art. 21): Puteți să vă opuneți prelucrării bazate pe interes legitim sau marketing direct oricând. Vom înceta prelucrarea, cu excepția cazului în care demonstrăm motive legitime imperioase care prevalează asupra intereselor dvs.
• Dreptul de a Retrage Consimțământul (art. 7(3)): Acolo unde prelucrarea se bazează pe consimțământ, îl puteți retrage oricând, fără a afecta legalitatea prelucrării efectuate înainte de retragere.
• Dreptul de a Nu Fi Supus Deciziilor Automatizate (art. 22): Nu luăm decizii bazate exclusiv pe prelucrare automatizată care produc efecte juridice sau similare semnificative asupra dvs.
• Dreptul de a Depune o Plângere: Dacă considerați că drepturile dvs. de protecție a datelor au fost încălcate, aveți dreptul de a depune o plângere la autoritatea de supraveghere din România (ANSPDCP) la www.dataprotection.ro, sau la autoritatea de supraveghere din statul membru UE în care aveți reședința obișnuită sau locul de muncă.

B) Tenanți (Deținători de Studiouri) și Clienții lor Finali

1. Rolurile de Prelucrare a Datelor și DPA

Când utilizați NexiBook pentru a vă gestiona studioul de Pilates sau fitness, clienții dvs. (clienții finali) furnizează date personale precum numele, adresele de email, numerele de telefon și istoricul rezervărilor. În acest context:

Dvs. (Tenantul) sunteți operatorul de date — determinați scopurile și mijloacele de prelucrare a datelor clienților dvs.

NexiBook este persoana împuternicită — prelucrăm datele în numele dvs., strict conform instrucțiunilor dvs. și în conformitate cu Acordul nostru de Prelucrare a Datelor (DPA).

DPA-ul nostru, care face parte din Termenii de Utilizare, acoperă: domeniul și durata prelucrării, tipurile de date personale și categoriile de persoane vizate, obligații de confidențialitate, măsuri de securitate tehnice și organizatorice, gestionarea sub-procesatorilor, proceduri de notificare a încălcărilor de date, asistență pentru cererile persoanelor vizate, returnarea/ștergerea datelor la încetare și drepturile de audit.

2. Sub-procesatori

NexiBook utilizează următorii sub-procesatori de bază atunci când prelucrează datele clienților finali ai Tenanților. Menținem o listă actualizată și vom notifica Tenanții înainte de adăugarea unor noi sub-procesatori, oferind o perioadă rezonabilă de opoziție:

• Stripe — Procesarea plăților (date de card, evidențe ale tranzacțiilor)
• Zoom — Sesiuni video live (opțional; metadate ale sesiunii, informații despre participanți)
• Mux — Găzduire și streaming video (conținut de cursuri înregistrate)
• MailerLite — Livrarea emailurilor (confirmări de rezervare, memento-uri, marketing dacă este activat de Tenant)
• Google Analytics — Analitice website (dacă sunt activate de Tenant; date pseudonimizate)
• Meta — Publicitate (dacă este activată de Tenant; urmărirea conversiilor)
• Hosting / CDN — Infrastructură (servere cu sediul în UE)
• ipapi — Geolocalizare la nivel de țară (doar adresa IP)

3. Responsabilitățile și Configurarea Tenantului

Ca operator de date pentru clienții dvs. finali, sunteți responsabil pentru:

• Colectarea doar a datelor personale necesare pentru serviciul dvs. (minimizarea datelor).
• Obținerea consimțământului valid de la clienții dvs. pentru comunicările de marketing, înregistrările video și cookie-urile neesențiale, acolo unde legea o impune.
• Publicarea propriei politici de confidențialitate și a termenilor de serviciu pentru clienții dvs. finali, explicând clar cum le sunt prelucrate datele.
• Configurarea perioadelor adecvate de păstrare a datelor în setările platformei NexiBook.
• Răspunderea la cererile de acces la date (DSAR) din partea clienților dvs. și utilizarea instrumentelor integrate din NexiBook sau contactarea noastră pentru asistență.
• Securizarea contului admin cu parole puternice și, acolo unde este disponibilă, autentificare cu doi factori.
• Asigurarea că orice personal care accesează panoul admin NexiBook înțelege obligațiile privind protecția datelor.

4. Măsuri de Securitate a Datelor

Implementăm măsuri de securitate tehnice și organizatorice proporționale cu riscul, inclusiv, dar fără a se limita la:

• Criptare în tranzit: Toate datele transmise între browserul dvs. și serverele noastre sunt protejate folosind TLS 1.2 sau superior (HTTPS).
• Criptare în repaus: Datele sensibile stocate în bazele noastre de date sunt criptate folosind algoritmi standard din industrie.
• Controale de acces: Accesul strict bazat pe roluri asigură că doar personalul autorizat poate accesa datele personale, urmând principiul privilegiului minim.
• Backup-uri regulate: Backup-uri automate criptate cu proceduri de recuperare testate.
• Monitorizare și logare: Monitorizare continuă a securității, detectarea intruziunilor și logarea accesului.
• Răspuns la incidente: Proceduri documentate de răspuns la incidente. În cazul unei încălcări a datelor personale, vom notifica autoritatea de supraveghere relevantă în termen de 72 de ore (conform art. 33 GDPR) și persoanele afectate fără întârziere nejustificată când încălcarea este susceptibilă de a genera un risc ridicat pentru drepturile și libertățile lor (conform art. 34 GDPR).
• Gestionarea vulnerabilităților: Actualizări regulate de securitate, audituri ale dependențelor și revizuiri periodice de securitate.
• Conștientizarea angajaților: Toți membrii echipei cu acces la date personale primesc instruire privind protecția datelor.

Pentru mai multe detalii despre practicile noastre de securitate, vă rugăm să vizitați pagina noastră de Securitatea Datelor. Dvs., ca Tenant, sunteți de asemenea responsabil pentru protejarea credențialelor admin și a dispozitivelor folosite pentru accesarea platformei.

5. Cererile Persoanelor Vizate pentru Datele Tenanților

Dacă un client final contactează NexiBook direct cu o cerere de acces la date, corectare, portabilitate sau ștergere, îl vom redirecționa către Tenantul relevant (studioul lor) ca operator de date. Vom asista Tenanții în îndeplinirea acestor cereri prin măsuri tehnice, inclusiv instrumente de export al datelor și fluxuri de lucru pentru ștergere integrate în platformă. Dacă un studio nu mai este operațional și clientul final nu poate contacta operatorul, vom procesa cererea direct și vom documenta acțiunile noastre.

C) Dispoziții Generale

1. Confidențialitatea Copiilor

NexiBook este conceput pentru utilizarea de către întreprinderi și profesioniști adulți. Nu colectăm cu știință date personale de la copii sub 16 ani. Dacă un Tenant oferă servicii minorilor (ex.: cursuri de fitness pentru tineri), Tenantul, ca operator de date, este responsabil pentru obținerea consimțământului verificabil al părintelui sau tutorelui, în conformitate cu legislația aplicabilă (inclusiv art. 8 GDPR și Legea 190/2018 din România). Dacă aflăm că am colectat din neatenție date personale de la un copil sub 16 ani fără consimțământul corespunzător, vom lua măsuri pentru a șterge acele date prompt. Dacă credeți că datele unui copil au fost colectate fără consimțământul adecvat, vă rugăm să ne contactați la privacy@nexibookapp.com.

2. Modificări ale Acestei Politici de Confidențialitate

Putem actualiza această Politică de Confidențialitate din când în când pentru a reflecta schimbări în practicile noastre, tehnologie, cerințe legale sau operațiuni de afaceri. Când efectuăm modificări:

Modificări minore (ex.: corecturi tipografice, formatare, adăugarea de clarificări fără a schimba substanța) vor fi publicate pe această pagină cu o dată actualizată „Ultima actualizare”.

Modificări semnificative (ex.: noi categorii de date colectate, noi procesatori terți, modificări ale drepturilor dvs.) vor fi anunțate printr-o notificare vizibilă pe website și, acolo unde este cazul, prin email către utilizatorii și Tenanții înregistrați. Vom furniza un preaviz de cel puțin 30 de zile înainte ca modificările semnificative să intre în vigoare.

Vă încurajăm să revizuiți periodic această pagină. Utilizarea continuă a NexiBook după intrarea în vigoare a modificărilor constituie acceptarea politicii revizuite.

3. Cum Solicitați Ștergerea Datelor

Puteți solicita ștergerea datelor personale în oricare dintre următoarele moduri:

1. Email: Trimiteți o solicitare la privacy@nexibookapp.com de pe adresa de email asociată contului dvs. NexiBook. Includeți ID-ul Tenantului sau numele studioului și specificați dacă doriți ștergerea completă a contului sau ștergerea unor date specifice.

2. Din aplicație: Utilizați opțiunea „Ștergere Cont” din setările contului dvs. (acolo unde este disponibilă).

Vom confirma primirea cererii dvs. în termen de 3 zile lucrătoare și vom finaliza ștergerea (inclusiv datele din backup-uri, media încărcată și fișierele generate) în termen de 30 de zile, cu excepția cazului în care păstrarea este impusă de lege (ex.: evidențe fiscale). Pentru procedura completă și detalii despre ce se șterge, consultați pagina noastră de Ștergere Date.

4. Legea Aplicabilă

Această Politică de Confidențialitate este guvernată de legislația română, GDPR (Regulamentul (UE) 2016/679) și Legea 190/2018 care implementează GDPR-ul în România. Orice dispute legate de protecția datelor vor fi supuse instanțelor competente din Timișoara, România, cu excepția cazului în care legislația obligatorie de protecție a consumatorului prevede altfel.

5. Contactați-ne

Dacă aveți întrebări, preocupări sau solicitări privind această Politică de Confidențialitate sau practicile noastre de protecție a datelor, vă rugăm să ne contactați:

NexiBook / ntelligence insights s.r.l.
Email: privacy@nexibookapp.com
Website: nexibookapp.com

Pentru solicitări generale (non-confidențialitate): contact@nexibookapp.com

Tratăm cu seriozitate fiecare solicitare privind confidențialitatea și ne propunem să rezolvăm preocupările prompt și echitabil.