Politica de confidențialitate
1. Obligația de informare conform Art. 13 RGPD
Această politică de confidențialitate îndeplinește obligația de informare conform Art. 13 RGPD (date colectate direct de la persoana vizată). Deoarece Treffnah nu colectează nume reale sau date de contact, obligația de informare conform Art. 14 RGPD (date din alte surse) nu se aplică deloc — nu se obțin date cu caracter personal din surse terțe.
2. Responsabilul conform Art. 4 Nr. 7 RGPD
Nan Yu Horstmarer Str. 9 44329 Dortmund Germania E-mail: datenschutz@treffnah.de
Acționând sub marca „Treffnah".
3. Principiile prelucrării noastre de date
Treffnah nu colectează date care pot fi atribuite direct unei persoane fizice. Toți identificatorii prelucrați pe serverele noastre sunt pseudonimizați (conform Art. 4 Nr. 5 RGPD) — ei trimit la o pereche de chei criptografice generată de dispozitiv, nu la o identitate reală.
Prelucrăm datele conform principiilor Art. 5 RGPD — în special minimizarea datelor și limitarea stocării. Arhitectura noastră urmărește aceasta prin:
- Date de localizare: Numai precizie Geohash-3 (aprox. 156 km × 156 km), neprotocolare
- Date cu caracter personal: Niciunele pe serverele noastre — identitate via BIP39 pe dispozitivul tău
- Date de afaceri: Comenzi, mesaje, recenzii numai local, criptate peer-to-peer (WebRTC + XChaCha20-Poly1305) conform Art. 32 alin. 1 lit. a RGPD
4. Ce date prelucrează serverul nostru?
3.1 Index de căutare anonim
Temei juridic: Art. 6 alin. 1 lit. f RGPD (interes legitim — intermedierea de servicii de meșterit)
Stocat: cheie ed25519 pseudonimă, categorii de servicii, Geohash-3, plan tarifar, disponibilitate, limbi. Ștergere automată după 24 de ore.
3.2 Relay de semnalizare (WebRTC)
Temei juridic: Art. 6 alin. 1 lit. f RGPD + privilegiul Mere-Conduit (Art. 4 DSA)
Camere de 60 de secunde pentru stabilirea conexiunii. Redirecționăm numai date criptate și nu le putem decripta tehnic.
3.3 Telemetrie anonimă
Temei juridic: Art. 6 alin. 1 lit. f RGPD (interes legitim — îmbunătățirea produsului)
Evenimente agregate (tip eveniment, Geohash-3 opțional, marcaj temporal în minute). Fără ID-uri de utilizator sau dispozitiv. Perioadă de păstrare: 14 zile.
3.4 Starea abonamentului
Temei juridic: Art. 6 alin. 1 lit. b RGPD (îndeplinirea contractului)
Sincronizat prin RevenueCat. Stocat exclusiv ca hash HMAC-SHA256 al tokenului tău pseudonim de dispozitiv. Nicio reidentificare a persoanei tale nu este posibilă.
3.5 Rapoarte de eroare
Temei juridic: Art. 6 alin. 1 lit. a RGPD (consimțământ)
Niciun raport de eroare fără consimțământul tău expres.
- Urmărirea stivei (stack trace) este stocată temporar local pe dispozitivul tău (curățată)
- La următoarea pornire, aplicația întreabă dacă dorești să trimiți raportul
- La refuz, raportul este șters imediat
- La acordul de consimțământ — trimis la server în Frankfurt — 14 zile de păstrare — apoi șters automat
5. Criptare de la capăt la capăt
Toată comunicarea de afaceri între utilizatori (comenzi, mesaje, recenzii) este criptată de la capăt la capăt (X25519 ECDH + XChaCha20-Poly1305). Cheile rămân exclusiv pe dispozitivele finale.
Aceasta corespunde cerințelor Art. 32 alin. 1 lit. a RGPD (criptarea ca măsură tehnică adecvată) și spiritului TDDDG german aflat în pregătire (dreptul la criptare).
Nu dispunem de nicio posibilitate tehnică de a decripta această comunicare — nici la solicitarea autorităților.
6. Localizarea datelor
Serverul nostru se află în Frankfurt, Germania (Vultr Holdings Corporation). Nu se efectuează niciun transfer de date în țări terțe.
7. Drepturile tale conform Art. 15–22 RGPD
Ai dreptul la:
- Acces (Art. 15)
- Rectificare (Art. 16)
- Ștergere (Art. 17)
- Restricționarea prelucrării (Art. 18)
- Portabilitatea datelor (Art. 20)
- Opoziție (Art. 21)
- Plângere la autoritatea de supraveghere (Art. 77)
Particularitate arhitecturală:
- Acces: În aplicație la „Setări → Export date"
- Ștergere: Dezinstalarea șterge imediat toate datele locale; indexul anonim expiră după 24 h
8. Cookie-uri / Urmărire
Fără cookie-uri, fără SDK-uri de urmărire. În special fără Google Analytics, fără Facebook Pixel, fără Sentry.
Aceasta corespunde § 25 TDDDG — nicio obligație de consimțământ, deoarece nu se accesează dispozitivul final dincolo de ceea ce este tehnic strict necesar.
9. Persoane împuternicite de operator conform Art. 28 RGPD
- Vultr Holdings Corporation — Găzduire server în Frankfurt; contract de prelucrare a datelor existent.
- RevenueCat, Inc. — Evenimente de facturare; numai identificator pseudonimizat cu hash HMAC.
- Pinata Cloud, Inc. — opțional (imagini de profil IPFS, numai la utilizare activă de către meșteri)
10. Autoritatea de supraveghere
Comisarul regional pentru protecția datelor și libertatea informației NRW (LDI NRW) Kavalleriestraße 2-4, 40213 Düsseldorf ldi.nrw.de
11. Contact
datenschutz@treffnah.de
12. Încălcări ale securității datelor conform Art. 33 / Art. 34 RGPD
În cazul unei încălcări a protecției datelor cu caracter personal se aplică:
- Notificarea autorității de supraveghere (Art. 33 RGPD): În termen de 72 de ore de la cunoaștere, LDI NRW va fi notificată, dacă încălcarea prezintă probabil un risc pentru drepturile și libertățile persoanelor fizice.
- Notificarea persoanelor vizate (Art. 34 RGPD): Dacă există un risc ridicat pentru drepturi și libertăți, utilizatorii afectați vor fi notificați fără întârziere — în măsura în care contactarea este tehnic posibilă. Deoarece Treffnah nu colectează nume reale sau date de contact, notificarea se face printr-un mesaj proeminent în aplicație.
- Limitarea arhitecturală a riscului: Deoarece pe serverele noastre nu se stochează date cu caracter personal (pseudonime, nu date reale), riscul unui incident grav de securitate la nivel de server este structural limitat.
Rapoarte sau indicii privind posibile încălcări ale securității datelor, vă rugăm la: datenschutz@treffnah.de
13. Modificări
Modificările sunt afișate în aplicație și pe această pagină. În cazul modificărilor esențiale care necesită un nou consimțământ, aplicația va solicita o confirmare corespunzătoare.