Politica de Confidențialitate

Versiunea: 2.0

1. Operatorul de date

Operatorul de date personale este Organizația Națională „Cercetașii României", cu sediul social în București, România.

Anumite structuri locale (Centre Locale) acționează, pentru datele membrilor lor, în calitate de operatori asociați. Fiecare entitate juridică desemnează un responsabil cu protecția datelor (DPO); adresa de contact a DPO-ului relevant este afișată în formularele publice ale structurii respective și poate fi solicitată la adresa de contact de mai jos.

2. Datele personale colectate

Prin intermediul platformei Volunhub, colectăm și prelucrăm următoarele categorii de date personale, în funcție de modul în care interacționezi cu organizația:

CategorieDateSursa
IdentificareNume, prenume, adresă de email (una sau mai multe)Orgo / utilizator
MembruID Orgo, card cercetaș, status cotizație, status activ, rol în structuriOrgo API
ContactNumăr de telefon, adresă poștală (stradă, localitate, județ, cod poștal, țară)Utilizator
LocalizareLocalizare aproximativă a domiciliului (coordonate), pentru repartizarea la grupul localUtilizator
Date de identitateData nașterii, CNP, serie și număr act de identitate, pașaport, permis de conducere, cetățenieOrgo / utilizator
ImagineFotografie de profilOrgo / utilizator
SemnăturăSpecimen de semnătură și înregistrări de semnare electronică (vezi secțiunea 3)Utilizator
Date financiareIBAN, card bancar (primele/ultimele cifre), obligații de plată, deconturi, restituiri, custodie de numerarUtilizator / organizație
ActivitateParticipări la evenimente, ore de voluntariat, competențe, certificări, evaluări, răspunsuri la formulareUtilizator / organizație
GuvernanțăVoturi exprimate, drepturi de vot, reprezentări în adunări (vezi secțiunea 3)Utilizator
Acces fizicJurnale de acces la spații/coduri, custodia cheilor (când structura folosește controlul accesului)Automat
Cont GoogleAdresă email Google, token-uri OAuth (calendar, foto)Google OAuth (opțional)
Tehnice / auditAdresă IP, browser (user-agent), date de autentificare, jurnale de acțiuniAutomat

3. Categorii speciale de date (Art. 9 GDPR)

În anumite contexte prelucrăm și categorii speciale de date, cu garanții suplimentare și pe temeiuri juridice distincte:

  • Date privind protecția copilului (Safe from Harm) — sesizări, incidente, măsuri luate (inclusiv prim ajutor sau referire medicală) și contactarea aparținătorilor. Aceste date au acces strict restricționat și sunt jurnalizate. Temei: obligație legală și interes public privind protecția minorilor (Art. 9(2)(b) și (g) GDPR), respectiv interesele vitale ale persoanei (Art. 9(2)(c)).
  • Specimen de semnătură — folosit pentru semnarea electronică a documentelor. Acolo unde constituie date biometrice, prelucrarea se face în scopul autentificării și al probării actelor juridice (Art. 9(2)(f) GDPR — constatarea/exercitarea unui drept) sau pe baza consimțământului explicit.
  • Voturi — voturile exprimate în adunări pot reflecta opinii. Pentru votul secret nu se afișează identitatea, însă un identificator criptografic (fingerprint), adresa IP și momentul votului sunt păstrate ca dovadă de integritate. Aceste date au acces restricționat.

Anumite formulare configurabile pot solicita date precum restricții alimentare, alergii sau contacte de urgență; acolo unde acestea constituie date despre sănătate, sunt colectate doar cu consimțământ explicit și folosite strict pentru organizarea în siguranță a activității.

4. Scopurile prelucrării

  • Gestionarea membrilor — evidența membrilor, structurilor și grupurilor
  • Activități cercetășești — organizarea evenimentelor, proiectelor, activităților și taberelor
  • Documente oficiale și semnături — generarea și semnarea electronică a contractelor, deconturilor, certificatelor (necesită CNP / date de identitate)
  • Administrare financiară — cotizații, costuri de participare, plăți, deconturi, restituiri, facturare electronică (e-Factura)
  • Formare și certificare — cursuri, competențe, certificări, inclusiv prin platforme de tip Moodle
  • Guvernanță — decizii, voturi, evidența mandatelor în adunările organizației
  • Protecția copilului (Safe from Harm) — prevenirea și gestionarea incidentelor de siguranță
  • Controlul accesului fizic — gestionarea accesului la spațiile organizației și a cheilor
  • Comunicare — notificări și corespondență cu membrii (în platformă, email, Slack)
  • Statistici — analiza utilizării platformei (Google Analytics, doar cu consimțământ)
  • Monitorizare erori — identificarea și rezolvarea problemelor tehnice (Sentry, date anonimizate)

5. Temeiul juridic

Prelucrarea datelor se bazează, în funcție de scop, pe:

  • Interesul legitim (Art. 6(1)(f) GDPR) — gestionarea activităților asociative, securitatea platformei și a spațiilor, integritatea proceselor de guvernanță
  • Executarea unui contract (Art. 6(1)(b) GDPR) — obligațiile ce decurg din calitatea de membru sau voluntar
  • Obligația legală (Art. 6(1)(c) GDPR) — obligații fiscale și contabile (inclusiv raportarea e-Factura către ANAF) și obligații legale privind protecția minorilor
  • Consimțământul (Art. 6(1)(a) GDPR) — cookie-uri analitice, integrări opționale (Google, YouTube), newsletter și comunicări către donatori/parteneri
  • Categorii speciale (Art. 9(2) GDPR) — vezi temeiurile indicate la secțiunea 3

6. Consimțământul parental (Art. 8 GDPR)

Pentru utilizatorii cu vârsta sub 16 ani, prelucrarea datelor bazată pe consimțământ necesită acordul unui părinte sau tutore legal. Acest consimțământ se obține prin intermediul platformei, printr-un link unic trimis pe adresa de email a părintelui/tutorelui.

7. Destinatari și împuterniciți

Datele personale pot fi partajate, strict în scopurile de mai sus, cu următorii destinatari și împuterniciți (procesatori) care prelucrează date în numele nostru:

  • Orgo / membri.scout.ro — platforma de management al membrilor (sincronizare bidirecțională a datelor de membru, insignelor și rolurilor)
  • ANAF / e-Factura — autoritatea fiscală, pentru raportarea facturilor electronice (date de facturare, identificatori fiscali)
  • Furnizori de email (Google Workspace / Gmail API) — livrarea notificărilor și a corespondenței prin email
  • Google — Google Calendar și Google Photos (doar cu autorizare OAuth), Google Analytics (doar cu consimțământ, date anonimizate)
  • Slack — notificări și mesaje către membrii care folosesc spațiul de lucru Slack al organizației
  • Furnizor de telefonie (Telnyx) — apeluri și SMS pentru linia de raportare Safe from Harm
  • Platforme de învățare (Moodle / LMS) — sincronizarea cursurilor și a rezultatelor de formare
  • Furnizor de asistență AI (Anthropic / Claude) — procesarea cererilor adresate asistenților automați din platformă (vezi secțiunea 9)
  • Sentry — monitorizare erori tehnice (fără date personale identificabile)
  • YouTube — conținut video încorporat (doar cu consimțământ explicit)

Datele nu sunt vândute și nu sunt partajate cu terți în scopuri comerciale proprii ale acestora.

8. Transferuri internaționale

Unii împuterniciți (de exemplu Google, Slack, Anthropic, Sentry) pot prelucra date pe servere situate în afara Spațiului Economic European. În aceste cazuri, transferurile se realizează pe baza unor garanții adecvate conform GDPR — în principal Clauzele Contractuale Standard ale Comisiei Europene și măsuri tehnice suplimentare de protecție.

9. Procesare automată și asistenți AI

Platforma pune la dispoziție asistenți automați și agenți de inteligență artificială care pot acționa în numele unui utilizator, în limitele rolului și permisiunilor acestuia. Datele transmise acestor asistenți sunt prelucrate pentru a executa cererea utilizatorului. Nu luăm decizii bazate exclusiv pe prelucrare automată care să producă efecte juridice sau să te afecteze semnificativ fără intervenție umană.

10. Durata de stocare

  • Date de profil — pe durata calității de membru activ + 5 ani după dezactivare
  • Documente financiare și semnături — pe perioada impusă de legislația fiscală și contabilă (de regulă 10 ani)
  • Sesizări Safe from Harm — pe perioada necesară gestionării cazului și conform obligațiilor legale de protecție a minorilor
  • Înscrieri prin formularul public — cel mult 24 de luni fără activitate; dosarele respinse se șterg după 3 luni, cele retrase după 30 de zile
  • Jurnale de audit și acces — pe perioada necesară securității și investigării incidentelor
  • Istoric consimțăminte — pe durata existenței contului + 5 ani
  • Date anonimizate — se păstrează indefinit pentru statistici agregate

11. Drepturile tale

Conform GDPR, ai următoarele drepturi:

  • Dreptul de acces — poți solicita o copie a datelor tale personale
  • Dreptul la rectificare — poți solicita corectarea datelor inexacte
  • Dreptul la ștergere — poți solicita ștergerea datelor (anonimizarea contului), în limitele obligațiilor legale de păstrare
  • Dreptul la portabilitate — poți descărca datele tale într-un format structurat (JSON)
  • Dreptul la opoziție — poți obiecta la prelucrarea bazată pe interes legitim
  • Dreptul la restricționarea prelucrării — în condițiile prevăzute de lege
  • Dreptul de a retrage consimțământul — în orice moment, fără a afecta legalitatea prelucrării anterioare

Aceste drepturi pot fi exercitate din pagina de profil a platformei (export de date, ștergere cont, preferințe cookie) sau contactându-ne la adresa de mai jos.

12. Cookie-uri

Platforma utilizează următoarele tipuri de cookie-uri:

  • Esențiale — necesare funcționării platformei (sesiune, CSRF, preferințe cookie). Nu necesită consimțământ.
  • Analitice — Google Analytics, pentru statistici de utilizare. Necesită consimțământ explicit.
  • YouTube — pentru conținut video încorporat. Necesită consimțământ explicit. Fără consimțământ, se utilizează youtube-nocookie.com.
  • Sentry — monitorizare erori. Cookie esențial, nu colectează date personale identificabile.

Poți modifica preferințele de cookie-uri în orice moment din footer-ul platformei (linkul „Preferințe cookie").

13. Securitatea datelor

Implementăm măsuri tehnice și organizatorice adecvate pentru protejarea datelor personale, inclusiv criptarea comunicării (HTTPS), criptarea token-urilor sensibile, controlul accesului bazat pe roluri, jurnalizarea accesului la datele sensibile și monitorizarea securității.

14. Contact

Pentru exercitarea drepturilor sau întrebări privind prelucrarea datelor personale:

  • Email: volunhub@scout.ro
  • Responsabilul cu protecția datelor (DPO) al structurii relevante — adresa este afișată în formularele publice ale structurii sau poate fi solicitată la adresa de mai sus
  • Organizația Națională „Cercetașii României", București, România

15. Autoritatea de supraveghere

Dacă consideri că drepturile tale au fost încălcate, poți depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP):

  • Website: www.dataprotection.ro
  • Adresă: B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, cod poștal 010336, București, România

16. Modificări ale politicii

Ne rezervăm dreptul de a modifica această politică. La fiecare modificare semnificativă, utilizatorii vor fi notificați și invitați să accepte noua versiune la următoarea autentificare.

{# Mod offline (epic #1806): pe orice pagină anonimă (inclusiv după deconectare) ștergem catalogul offline din IndexedDB — un dispozitiv fără utilizator autentificat nu trebuie să păstreze date din inventar. #}