Politica de confidențialitate

admis.app (denumit în continuare "noi", "Aplicația" sau "Operatorul") este responsabil pentru prelucrarea datelor tale personale.

Contact: contact@admis.app
Date de contact persoană responsabilă (DPO ad-interim): dpo@admis.app

Date pe care le furnizezi tu direct:

• Email (obligatoriu — pentru autentificare și recuperare parolă).
• Parolă (obligatorie, stocată hash-uită cu bcrypt — noi nu vedem niciodată parola în clar).
• Prenume (opțional — pentru salutul personalizat pe dashboard).
• Data examenului auto (opțional — pentru cronometrul AMR).
• Ritm de pregătire (urgent / mediu / nu știu — din onboarding).

Date generate prin utilizare:

• Răspunsuri la întrebări de test și simulări (pentru a-ți afișa rezultate și progres).
• Misiuni zilnice și streak (numărul de calupuri bifate, zile consecutive).
• Niveluri estimate (Pasager → Permis Ready, pe baza testului inițial și progresului).
• Cod buddy + parteneriat (dacă te conectezi cu un prieten).

NU colectăm: nume complet, CNP, adresă, telefon, date bancare (până la integrarea Stripe — atunci vom updata această politică), localizare GPS, contacte din telefon, fotografii.

Conform Art. 6 GDPR:

• Executarea contractului (Art. 6(1)(b)) — pentru date strict necesare furnizării serviciului (email, parolă, progresul tău).
• Interes legitim (Art. 6(1)(f)) — pentru îmbunătățirea aplicației pe baza utilizării agregate (analytics anonimizate, niciodată reidentificabile).
• Consimțământ (Art. 6(1)(a)) — pentru cookies opționale (Plausible analytics) și pentru viitoare comunicări marketing (newsletter — la momentul activării lor).

Folosim furnizori terți care pot procesa date în numele nostru. Toți au angajamente GDPR (DPA) semnate:

• Supabase Inc. (SUA, cu Standard Contractual Clauses GDPR) — bază de date și autentificare. Date stocate în regiunea UE (Frankfurt).
• Vercel Inc. (SUA, cu SCC GDPR) — hosting aplicație și CDN. Edge nodes UE.
• Plausible Insights OÜ (Estonia, UE) — analytics pageviews. Cookie-less; agregare anonimă.
• (Viitor) Stripe Payments Europe — procesare plăți. La integrare vei fi notificat și vei reconfirma consimțământul.

Nu vindem datele tale către terți. Nu le folosim pentru profiling automat care să producă efecte legale asupra ta.

• Datele contului: cât timp contul tău este activ + 30 de zile după ce-l ștergi (perioada de grație).
• Răspunsuri la simulări/teste: cât timp contul e activ. La ștergere, sunt eliminate complet (cascading delete pe user_id).
• Loguri tehnice (erori server, audit auth): 90 de zile.
• Backup-uri de bază de date: maximum 30 de zile.

Ai dreptul, în orice moment, la:

• Acces (Art. 15) — să afli ce date avem despre tine.
• Rectificare (Art. 16) — să corectezi datele inexacte (din pagina de profil sau prin email).
• Ștergere / "dreptul de a fi uitat" (Art. 17) — ștergerea contului și a tuturor datelor asociate.
• Portabilitate (Art. 20) — să primești datele tale în format JSON, mutabile către alt furnizor.
• Opoziție și restricționare (Art. 21, 18) — să te opui prelucrărilor pe interes legitim sau să le restricționezi.
• Retragerea consimțământului (Art. 7) — pentru cookies opționale și newsletter.
• Plângere la ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) — www.dataprotection.ro.

Pentru exercitarea drepturilor: trimite un email la dpo@admis.app cu cererea ta. Răspundem în maxim 30 de zile (gratuit).

• HTTPS obligatoriu (HSTS preload).
• Parolele hash-uite cu bcrypt (Supabase Auth).
• Row Level Security (RLS) activ pe toate tabelele.
• Backup-uri automate criptate, restaurabile în maximum 24 ore.
• Politici Content-Security-Policy, X-Frame-Options, Referrer-Policy aplicate global.
• Audit acces administrativ (cine vede ce, când) — log retenție 90 zile.

Aplicația este destinată persoanelor cu vârsta de cel puțin 16 ani (vârsta minimă pentru obținerea permisului auto categoria B în România este 18 ani, dar pregătirea poate începe mai devreme). Pentru utilizatorii sub 16 ani, prelucrarea datelor necesită consimțământul reprezentantului legal — îl poți contacta direct la dpo@admis.app.

Putem actualiza această politică pentru a reflecta noi funcționalități (ex: integrare Stripe) sau cerințe legale. Te vom notifica prin email cu cel puțin 14 zile înainte de aplicare. Te încurajăm să recitești periodic.