Politica de confidențialitate

1. Introducere și identitatea Operatorului

Prezenta Politică de confidențialitate descrie modul în care TANYA POVENSKAYA BEAUTY ACADEMY S.R.L. (denumită în continuare „Operatorul”, „Academia” sau „noi”) colectează, utilizează, stochează și protejează datele cu caracter personal ale persoanelor care vizitează site-ul https://tanyapovenskayaacademy.ro (denumit în continuare „Site-ul”), achiziționează cursuri online sau fizice, produse cosmetice, membership-uri ori interacționează în alt mod cu serviciile noastre.

Datele de identificare ale Operatorului:

• Denumire: TANYA POVENSKAYA BEAUTY ACADEMY S.R.L.
• Sediul social: Strada Cameliei nr. 28, Sector 1, București, România
• Cod unic de înregistrare (CUI): 35839740
• Număr de ordine în Registrul Comerțului: J2016004242409
• Email de contact pentru protecția datelor: tanya.ivan@yahoo.com
• Site web: https://tanyapovenskayaacademy.ro

Operatorul respectă prevederile Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (denumit în continuare „RGPD” sau „GDPR”) și ale Legii nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679.

Operatorul nu a desemnat un Responsabil cu Protecția Datelor (DPO), întrucât activitatea desfășurată nu se încadrează în ipotezele prevăzute de art. 37 alin. (1) din RGPD – nu realizăm monitorizare sistematică la scară largă și nu prelucrăm în mod obișnuit categorii speciale de date. Pentru orice întrebare legată de prelucrarea datelor cu caracter personal, vă puteți adresa Operatorului la adresa de email indicată mai sus.

2. Definiții

În sensul prezentei Politici, termenii de mai jos au următoarele semnificații, astfel cum sunt definiți la art. 4 din RGPD:

• Date cu caracter personal – orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare (nume, număr de identificare, date de localizare, identificator online) sau la unul sau mai multe elemente specifice identității sale.
• Prelucrare – orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal, cu sau fără utilizarea de mijloace automatizate (colectare, înregistrare, organizare, stocare, consultare, utilizare, divulgare, ștergere).
• Operator – persoana juridică ce stabilește scopurile și mijloacele prelucrării datelor cu caracter personal; în acest context, TANYA POVENSKAYA BEAUTY ACADEMY S.R.L.
• Persoană împuternicită de operator – persoana fizică sau juridică ce prelucrează date în numele Operatorului (de exemplu, procesatorii de plăți, furnizorul de hosting, contabilul extern).
• Persoană vizată – persoana fizică ale cărei date sunt prelucrate (client, vizitator, cursant, destinatar newsletter).
• Consimțământ – orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate, prin care persoana vizată acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele sale cu caracter personal să fie prelucrate.
• Încălcarea securității datelor – o încălcare care conduce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal.

3. Categoriile de date cu caracter personal prelucrate

În funcție de interacțiunea dumneavoastră cu Site-ul, Operatorul poate prelucra următoarele categorii de date:

3.1 Date de identificare și de cont

• Nume și prenume;
• Adresă de email;
• Nume de utilizator (username);
• Parolă (stocată în formă criptată – hash salt).

3.2 Date de contact și livrare

• Număr de telefon;
• Adresă de livrare (stradă, număr, oraș, județ, cod poștal, țară);
• Adresă de facturare (dacă diferă de adresa de livrare).

3.3 Date de plată

• Operatorul nu stochează numărul cărții bancare, data expirării sau codul CVV. Aceste date sunt prelucrate exclusiv și direct de procesatorii autorizați Stripe Payments Europe Ltd. și NETOPIA Payments S.R.L., pe infrastructuri certificate PCI DSS;
• Operatorul primește doar identificatorul tranzacției, suma, statusul plății și, după caz, ultimele patru cifre ale cardului, pentru evidențe contabile și reconciliere.

3.4 Date de facturare fiscală

• Pentru persoane fizice: nume, prenume, adresă, iar CNP-ul doar dacă clientul solicită expres emiterea facturii cu CNP (situație permisă, dar nu obligatorie, de legislația fiscală);
• Pentru persoane juridice: denumire firmă, CUI, număr Registrul Comerțului, adresă sediu social.

3.5 Date privind utilizarea serviciilor

• Cursurile la care sunteți înscris/ă;
• Progresul în cadrul cursurilor online (lecții parcurse, teste, procent de finalizare);
• Certificatele de finalizare emise;
• Rezultatele evaluărilor și testelor;
• Istoricul comenzilor și al membership-urilor active.

3.6 Date tehnice

• Adresă IP;
• Tip și versiune browser (user-agent);
• Sistem de operare;
• Paginile vizitate pe Site, data și ora accesului;
• Identificatori de cookies (a se vedea Politica de cookies).

3.7 Date furnizate prin formulare

• Formular de contact (Contact Form 7 / Flamingo): nume, email, mesaj;
• Formular de preînregistrare pentru lista VIP / notificări cursuri: nume, email, eventual telefon.

3.8 Opinii și recenzii

• Recenzii și note acordate cursurilor prin sistemul integrat LearnDash Course Reviews;
• Numele afișat și, opțional, fotografia de profil asociată contului.

4. Scopurile și temeiurile juridice ale prelucrării

Operatorul prelucrează datele cu caracter personal numai în măsura în care există un temei juridic valabil, în conformitate cu art. 6 alin. (1) din RGPD. Mai jos sunt prezentate scopurile și temeiurile corespunzătoare fiecărei categorii de prelucrare.

4.1 Executarea contractului (art. 6 alin. (1) lit. b) din RGPD)

• Crearea și administrarea contului de utilizator;
• Procesarea comenzilor și încheierea contractului de vânzare la distanță;
• Acordarea accesului la cursurile online prin platforma LearnDash;
• Organizarea și desfășurarea cursurilor fizice (workshop-uri în București);
• Livrarea produselor cosmetice și a uneltelor beauty;
• Gestionarea membership-urilor și a reînnoirilor automate;
• Comunicări tranzacționale (confirmare comandă, instrucțiuni de acces, notificări de livrare, facturi).

4.2 Îndeplinirea unei obligații legale (art. 6 alin. (1) lit. c) din RGPD)

• Emiterea facturilor și transmiterea acestora prin sistemul e-Factura către ANAF (Codul Fiscal, Legea contabilității nr. 82/1991, OUG nr. 120/2021);
• Păstrarea documentelor contabile timp de 10 ani (art. 25 din Legea nr. 82/1991);
• Raportări fiscale periodice;
• Comunicarea de date autorităților competente atunci când există o obligație legală (ANAF, ANPC, instanțe judecătorești, organe de cercetare penală).

4.3 Interesul legitim al Operatorului (art. 6 alin. (1) lit. f) din RGPD)

• Prevenirea fraudei și asigurarea securității tranzacțiilor;
• Securitatea infrastructurii IT (log-uri tehnice, detectarea tentativelor de acces neautorizat);
• Constatarea, exercitarea sau apărarea unui drept în instanță;
• Analize interne statistice pe date agregate și anonimizate, pentru îmbunătățirea serviciilor;
• Comunicări către clienții existenți cu privire la produse și servicii similare cu cele achiziționate, cu posibilitatea de dezabonare gratuită în orice moment (art. 12 din Legea nr. 506/2004).

4.4 Consimțământul persoanei vizate (art. 6 alin. (1) lit. a) din RGPD)

• Abonarea la newsletter-ul de marketing (oferte, lansări, conținut promoțional);
• Instalarea cookie-urilor ne-esențiale (funcționale, statistice, de marketing) – a se vedea Politica de cookies;
• Înscrierea pe lista de preînregistrare VIP pentru cursuri viitoare;
• Publicarea recenziilor și a testimonialelor împreună cu numele afișat.

Consimțământul poate fi retras în orice moment, fără a afecta legalitatea prelucrării efectuate anterior retragerii, în conformitate cu art. 7 alin. (3) din RGPD.

5. Perioada de stocare a datelor

Datele cu caracter personal sunt păstrate numai pentru perioada necesară atingerii scopurilor pentru care au fost colectate sau pentru îndeplinirea obligațiilor legale, astfel:

• Date de facturare și documente contabile: 10 ani, conform art. 25 din Legea contabilității nr. 82/1991 și Codului fiscal;
• Datele contului de utilizator: pe toată durata existenței contului, plus o perioadă de 3 ani după închiderea acestuia, pentru soluționarea eventualelor solicitări, reclamații sau litigii;
• Datele privind cursurile accesate și certificatele emise: minimum 3 ani de la data emiterii certificatului, pentru validarea ulterioară a calificării;
• Datele colectate prin formularul de preînregistrare: până la retragerea consimțământului sau maximum 24 de luni de la colectare, oricare intervine mai întâi;
• Datele din formularul de contact: 12 luni de la ultima comunicare, cu excepția cazurilor în care conținutul conduce la inițierea unei relații contractuale;
• Log-uri de securitate și adrese IP tehnice: maximum 6 luni;
• Recenzii publicate: pe perioada menținerii cursului pe platformă, plus 12 luni după o eventuală solicitare de ștergere, pentru păstrarea unei evidențe a istoricului.

La expirarea perioadelor menționate, datele sunt șterse sau anonimizate în mod ireversibil.

6. Destinatarii datelor cu caracter personal

Operatorul nu vinde și nu închiriază date cu caracter personal. Datele pot fi comunicate, în temeiul unor contracte de împuternicire încheiate conform art. 28 din RGPD, următoarelor categorii de destinatari:

6.1 Procesatori de plăți

• Stripe Payments Europe Ltd., cu sediul în Dublin, Irlanda – pentru procesarea plăților efectuate cu card bancar;
• NETOPIA Payments S.R.L., cu sediul în București, România – pentru procesarea plăților cu card și prin BT Pay.

6.2 Servicii de facturare

• Intelligent IT S.R.L. (SmartBill) – pentru emiterea facturilor electronice și transmiterea acestora în sistemul e-Factura ANAF.

6.3 Infrastructură și comunicare

• Furnizor de hosting situat pe teritoriul Uniunii Europene, selectat pe baza unor standarde stricte de securitate;
• Furnizor de servicii SMTP pentru email tranzacțional, gestionat de Operator.

6.4 Servicii profesionale externe

• Firmă de contabilitate / expert contabil autorizat, pe baza contractului de împuternicire;
• Avocați, consultanți fiscali, auditori – atunci când este necesar pentru apărarea unui drept sau respectarea unei obligații legale.

6.5 Autorități publice

• ANAF, ANPC, ANSPDCP, instanțe judecătorești, organe de urmărire penală – exclusiv în temeiul unei obligații legale sau al unei cereri întemeiate.

Operatorul nu transmite date cu caracter personal către brokeri de date, rețele publicitare, rețele sociale pentru retargeting sau alți terți în scopuri comerciale proprii ale acestora.

7. Transferul datelor în afara Spațiului Economic European

Ca regulă, datele cu caracter personal sunt prelucrate pe teritoriul Uniunii Europene / Spațiului Economic European. În situații limitate, anumiți sub-procesatori ai furnizorilor noștri (de exemplu, Stripe pentru prevenția fraudei globale) pot implica transferuri către state terțe, inclusiv Statele Unite ale Americii.

În astfel de cazuri, transferurile sunt protejate prin garanțiile prevăzute la art. 46 din RGPD, în special prin:

• Clauzele contractuale standard adoptate prin Decizia de punere în aplicare (UE) 2021/914 a Comisiei Europene;
• Decizii de adecvare emise de Comisia Europeană, acolo unde sunt aplicabile (de exemplu, EU–US Data Privacy Framework, pentru entitățile certificate);
• Măsuri tehnice și organizatorice suplimentare (criptare, pseudonimizare).

La cerere, Operatorul poate furniza o copie a garanțiilor aplicabile.

8. Drepturile persoanei vizate

În calitate de persoană vizată, beneficiați de următoarele drepturi, conform RGPD:

• Dreptul de acces (art. 15 din RGPD) – de a obține confirmarea dacă prelucrăm date care vă privesc și, în caz afirmativ, acces la acestea și la informațiile relevante privind prelucrarea;
• Dreptul la rectificare (art. 16 din RGPD) – de a solicita corectarea datelor inexacte sau completarea celor incomplete;
• Dreptul la ștergere sau „dreptul de a fi uitat” (art. 17 din RGPD) – în situațiile prevăzute de lege, sub rezerva obligațiilor legale de păstrare a datelor;
• Dreptul la restricționarea prelucrării (art. 18 din RGPD) – de a solicita limitarea prelucrării în anumite situații (ex. contestarea exactității datelor);
• Dreptul la portabilitatea datelor (art. 20 din RGPD) – de a primi datele furnizate într-un format structurat, utilizat frecvent și care poate fi citit automat, respectiv de a solicita transmiterea acestora către un alt operator, atunci când este fezabil din punct de vedere tehnic;
• Dreptul la opoziție (art. 21 din RGPD) – de a vă opune prelucrării întemeiate pe interes legitim, precum și prelucrării în scop de marketing direct (în acest din urmă caz, oricând, necondiționat);
• Dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice sau afectează semnificativ persoana (art. 22 din RGPD) – Operatorul nu ia astfel de decizii în activitatea curentă;
• Dreptul de a retrage consimțământul (art. 7 alin. (3) din RGPD) – în orice moment, fără a afecta legalitatea prelucrării efectuate anterior retragerii;
• Dreptul de a depune plângere la autoritatea de supraveghere (art. 77 din RGPD) – Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP):
  • Adresă: B-dul G-ral. Gheorghe Magheru nr. 28–30, Sector 1, 010336 București
  • Email: anspdcp@dataprotection.ro
  • Telefon: +40 318 059 211
  • Site: www.dataprotection.ro
• Dreptul la o cale de atac judiciară (art. 78–79 din RGPD) – împotriva unei decizii a autorității de supraveghere sau a unei încălcări săvârșite de Operator.

Exercitarea drepturilor: cererile pot fi adresate în scris, la adresa sediului social, sau prin email la tanya.ivan@yahoo.com. Pentru identificarea corectă a persoanei care formulează cererea, Operatorul poate solicita informații suplimentare. Răspunsul va fi furnizat, în principiu, fără întârzieri nejustificate și în orice caz în termen de cel mult o lună de la primirea cererii, termen ce poate fi prelungit cu două luni atunci când este necesar, ținând seama de complexitatea și numărul cererilor (art. 12 alin. (3) din RGPD).

9. Securitatea datelor

Operatorul a implementat măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului, în conformitate cu art. 32 din RGPD, printre care:

• Transmiterea datelor prin conexiuni criptate TLS/SSL;
• Stocarea parolelor exclusiv în formă criptată (hash cu sare, algoritmi moderni);
• Controlul accesului pe bază de roluri și principiul „cel mai mic privilegiu”;
• Realizarea periodică de copii de siguranță (back-up);
• Actualizarea la zi a componentelor software (WordPress, plugin-uri, sistem de operare server);
• Instruirea personalului cu privire la obligațiile de confidențialitate și protecția datelor;
• Semnarea de contracte de împuternicire cu toți procesatorii, conform art. 28 din RGPD.

În cazul unei încălcări a securității datelor cu caracter personal care este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice, Operatorul va notifica ANSPDCP în termen de 72 de ore (art. 33 din RGPD) și, atunci când este cazul, va informa persoanele vizate (art. 34 din RGPD).

10. Cookie-uri

Site-ul utilizează cookie-uri și tehnologii similare pentru a funcționa corect și, pe baza consimțământului dumneavoastră, pentru scopuri suplimentare. Detaliile complete privind tipurile de cookie-uri, duratele de stocare și modul de gestionare a preferințelor sunt prezentate în Politica de cookies.

11. Minori

Serviciile Academiei se adresează persoanelor cu vârsta de cel puțin 16 ani. Operatorul nu colectează în mod intenționat date cu caracter personal aparținând persoanelor sub 16 ani, în conformitate cu art. 8 din RGPD (vârsta la care un copil poate consimți direct la prelucrarea datelor sale în contextul serviciilor societății informaționale). Dacă un părinte sau tutore constată că un minor sub această vârstă ne-a furnizat date personale fără consimțământul reprezentantului legal, ne poate contacta la tanya.ivan@yahoo.com și vom proceda la ștergerea acestor date în cel mai scurt timp.

12. Actualizări ale prezentei Politici

Operatorul își rezervă dreptul de a modifica prezenta Politică de confidențialitate pentru a reflecta modificări ale legislației, ale practicilor de prelucrare sau ale funcționalităților Site-ului. Versiunea actualizată va fi publicată pe Site, cu menționarea datei intrării în vigoare. În cazul unor modificări substanțiale, Operatorul va informa persoanele vizate prin email și/sau printr-un banner vizibil pe Site, cu un preaviz rezonabil.

13. Contact

Pentru orice întrebare, solicitare sau reclamație privind prelucrarea datelor cu caracter personal, ne puteți contacta:

• Email: tanya.ivan@yahoo.com
• Adresa poștală: Strada Cameliei nr. 28, Sector 1, București, România
• Formular online: pagina de contact a Site-ului.

Versiunea 1.0 · în vigoare de la 23 aprilie 2026