Politica de confidențialitate

Ultima actualizare: 15 aprilie 2026

1. Introducere

La bănuț.md tratăm datele tale personale cu respect și responsabilitate. Credem că un marketplace modern nu trebuie să aleagă între utilitate și intimitate — așadar, colectăm doar datele de care avem nevoie, le folosim doar pentru scopurile declarate și le protejăm cu cele mai bune practici din industrie.

Această Politică de confidențialitate explică, în limbaj clar, ce date colectăm despre tine când folosești platforma noastră, de ce avem nevoie de ele, cu cine le împărtășim și ce drepturi ai în legătură cu ele. Documentul este redactat în conformitate cu Legea Nr. 133/2011 privind protecția datelor cu caracter personal din Republica Moldova și cu Regulamentul UE 2016/679 (GDPR), aplicabil utilizatorilor din Uniunea Europeană.

Te încurajăm să citești întregul document. Dacă ai întrebări după ce îl parcurgi, ne poți scrie oricând la privacy@banut.md.

2. Operatorul de date

Operatorul de date cu caracter personal pentru platforma bănuț.md este:

• Denumire: bănuț.md
• Sediu: Chișinău, Republica Moldova
• Contact privacy / DPO: privacy@banut.md
• Contact general: contact@banut.md

Autoritatea de supraveghere competentă în Republica Moldova este Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP). Ai dreptul să depui o plângere direct la această autoritate dacă apreciezi că drepturile tale privind protecția datelor au fost încălcate:

• Website: https://datepersonale.md
• Adresă: str. Serghei Lazo 48, MD-2004, Chișinău, Republica Moldova

Dacă te afli într-un stat membru al Uniunii Europene, poți contacta și autoritatea de protecție a datelor din țara ta de reședință.

3. Categorii de date colectate

Colectăm doar datele strict necesare pentru a face platforma să funcționeze corect și sigur. Mai jos găsești lista completă, grupată pe categorii.

3.1. Date de identificare și cont

• Email — folosit pentru autentificare, notificări și recuperare cont
• Parolă — niciodată stocată în clar; păstrăm doar un hash criptografic (bcrypt)
• Nume și username — numele afișat public pe anunțuri și profil
• Avatar (opțional) — imaginea de profil pe care alegi să o încarci
• Oraș și localizare — orașul din Moldova selectat pentru anunțuri
• Limba preferată (locale) — pentru afișarea interfeței în română, rusă sau engleză

3.2. Date de contact și verificare

• Număr de telefon — verificat prin bot-ul nostru oficial de Telegram înainte de publicarea primului anunț
• telegram_id — identificatorul numeric unic asociat contului tău de Telegram, folosit pentru autentificarea verificării
• telegram_username (dacă există) — numele public de Telegram, util pentru recuperarea contului

Numărul de telefon nu este afișat public pe profilul tău sau pe anunțurile tale. Este dezvăluit doar la cerere explicită și este protejat împotriva scraping-ului automat.

3.3. Date despre activitate

• Anunțuri publicate: titluri, descrieri, categorii, prețuri, fotografii, locația aleasă, starea produsului
• Vizualizări: numărul de ori în care anunțurile tale au fost afișate
• Favorite: anunțurile pe care le-ai salvat
• Mesaje: conversațiile trimise prin sistemul intern de mesagerie (nu le citim în mod curent; sunt protejate prin politici de acces restricționat)

3.4. Date tehnice și anti-fraudă

• Adresa IP — colectată la autentificare și la publicarea anunțurilor, pentru prevenirea abuzurilor
• User agent — tipul de browser și sistem de operare utilizat
• Dispozitiv — categoria de dispozitiv (desktop, mobil, tabletă)
• Fingerprint de browser — semnătură tehnică agregată, folosită exclusiv pentru detectarea conturilor multiple create abuziv și pentru anti-fraudă

3.5. Date de plată

Atunci când achiziționezi o promovare sau un abonament Pro, nu stocăm date de card bancar. Plățile sunt procesate integral de LemonSqueezy, care acționează ca Merchant of Record. Noi păstrăm doar metadatele tranzacției: data, suma, moneda, tipul produsului cumpărat, ID-ul tranzacției și statusul ei.

3.6. Cookies esențiale

• sb-access-token — token de sesiune Supabase, folosit pentru menținerea autentificării
• sb-refresh-token — token pentru reînnoirea sesiunii fără re-logare

Aceste cookies sunt strict necesare funcționării platformei. Nu folosim cookies de marketing sau de tracking comportamental fără acordul tău explicit. Detalii complete în Politica de cookies.

4. Scopuri și temei legal (GDPR Art. 6)

Prelucrăm datele tale personale doar pentru scopuri bine definite și doar atunci când avem un temei legal valid. Mai jos găsești lista completă.

4.1. Furnizarea serviciului

Scop: autentificarea contului, publicarea anunțurilor, mesageria, favoritele, afișarea profilului.
Temei legal: executarea contractului (Art. 6(1)(b) GDPR) — prelucrarea este necesară pentru a-ți furniza serviciul pe care l-ai solicitat prin crearea contului.

4.2. Verificarea identității și anti-fraudă

Scop: verificarea numărului de telefon prin Telegram, detectarea conturilor multiple, blocarea boților și a tentativelor de fraudă.
Temei legal: interes legitim (Art. 6(1)(f) GDPR) — avem un interes legitim în menținerea unei comunități sigure și curate, care prevalează asupra riscului minim pentru drepturile tale.

4.3. Moderare automată cu AI

Scop: verificarea automată a conținutului anunțurilor (titluri, descrieri, fotografii) cu modelul Claude Haiku 4.5 (Anthropic), pentru a identifica conținut ilegal, periculos sau înșelător.
Temei legal: interes legitim (Art. 6(1)(f) GDPR) — siguranța comunității și respectarea legilor aplicabile.

Drept important: dacă un anunț al tău este respins automat, ai dreptul la review uman — vezi secțiunea 8.7 de mai jos.

4.4. Procesarea plăților

Scop: încasarea plăților pentru promovări și abonamente Pro, emiterea de facturi, gestionarea refuzurilor și rambursărilor.
Temei legal: executarea contractului (Art. 6(1)(b) GDPR) și obligație legală (Art. 6(1)(c) GDPR) pentru raportarea fiscală.

4.5. Comunicări tranzacționale

Scop: notificări importante despre contul tău — confirmare cont, reset parolă, anunțuri moderate, răspunsuri la mesaje, alerte de securitate.
Temei legal: interes legitim (Art. 6(1)(f) GDPR) — ai nevoie de aceste informații pentru a folosi platforma.

4.6. Marketing și newsletter

Scop: comunicări promoționale opționale (noutăți, oferte, sfaturi).
Temei legal: consimțământ explicit (Art. 6(1)(a) GDPR) — ți se cere acordul prin opt-in și îl poți retrage oricând printr-un click în emailul primit sau din setările contului.

4.7. Conformitate legală

Scop: îndeplinirea obligațiilor fiscale, contabile, răspunsul la solicitări oficiale ale autorităților.
Temei legal: obligație legală (Art. 6(1)(c) GDPR).

5. Subprocesori și partajarea datelor

Nu vindem datele tale. Niciodată. Pentru a face platforma să funcționeze, folosim însă o serie de furnizori de servicii (subprocesori), fiecare dintre ei având acces limitat la datele strict necesare scopului lor.

5.1. Subprocesorii noștri

• Supabase Inc. (Frankfurt, Germania — EU) — baza de date PostgreSQL, autentificare, storage fotografii. Toate datele tale sunt stocate în regiunea EU.
• Vercel Inc. (SUA, cu edge network în EU) — hosting web, CDN pentru conținut static
• Anthropic PBC (SUA) — moderarea automată cu AI (Claude Haiku 4.5) a anunțurilor publicate
• LemonSqueezy (SUA, Merchant of Record) — procesarea plăților pentru promovări și abonamente Pro
• Telegram FZ-LLC (Dubai, Emiratele Arabe Unite) — verificarea numărului de telefon prin bot oficial
• Cloudflare, Inc. (SUA, cu edge network în EU) — DNS, CDN, protecție anti-DDoS, WAF

5.2. Cu cine NU împărtășim datele

• Agenții de publicitate sau brokeri de date — niciodată
• Rețele sociale pentru profiling — niciodată
• Terți pentru vânzare de liste de email — niciodată

5.3. Autorități publice

Dezvăluim date către autorități (poliție, procuratură, instanțe) doar la cerere legală formală, conform legislației Republicii Moldova, și doar în limitele strict necesare răspunsului la cerere.

6. Transferuri internaționale de date

O parte din datele tale pot traversa granițe, în principal între Republica Moldova, Uniunea Europeană și Statele Unite, datorită subprocesorilor noștri. Iată cum te protejăm în aceste transferuri:

• Bazele de date și storage-ul sunt găzduite în Frankfurt, Germania (Supabase), deci datele tale principale rămân în spațiul UE.
• Pentru transferurile UE → SUA (Vercel, Anthropic, LemonSqueezy, Cloudflare), aplicăm Standard Contractual Clauses (SCCs) aprobate de Comisia Europeană, plus, acolo unde este aplicabil, mecanismul EU-US Data Privacy Framework.
• Pentru Republica Moldova, se aplică principiul adecvării recunoscut pentru transferurile intra-UE și mecanismele prevăzute de Legea 133/2011.
• Telegram prelucrează doar identificatorii minimi necesari pentru verificarea telefonului, fără acces la datele tale de pe platformă.

7. Perioada de păstrare a datelor

Păstrăm datele tale doar atât cât este necesar pentru scopurile declarate. Iată cât durează fiecare categorie:

• Cont activ: cât timp contul tău este activ și folosești platforma
• Cont șters: la cerere, ștergem toate datele personale în maxim 30 de zile
• Date contabile (facturi, tranzacții plătite): 5 ani, conform Codului Fiscal al Republicii Moldova
• Logs anti-fraudă (IP, user agent, fingerprint): 1 an
• Backup-uri zilnice criptate: maxim 30 de zile, după care sunt suprascrise automat
• Comunicări de suport: 2 ani, pentru asigurarea continuității serviciului

După expirarea acestor perioade, datele sunt șterse definitiv sau anonimizate ireversibil.

8. Drepturile tale (GDPR Art. 15-22 și Legea 133/2011)

Ai un set complet de drepturi asupra datelor tale personale. Toate sunt gratuite, confidențiale și ușor de exercitat.

8.1. Dreptul de acces

Poți cere oricând o copie a tuturor datelor personale pe care le deținem despre tine. Exportul se face în format structurat (JSON) și îți este trimis în maxim 30 de zile.

8.2. Dreptul de rectificare

Dacă observi date incorecte sau incomplete despre tine, poți să le corectezi direct din setările contului sau să ne ceri să o facem noi.

8.3. Dreptul de ștergere (“dreptul de a fi uitat”)

Poți cere ștergerea contului și a tuturor datelor asociate. Procesăm cererea în maxim 30 de zile, cu excepția datelor pe care legea ne obligă să le păstrăm (ex: evidențe contabile).

8.4. Dreptul de restricționare

Poți cere să oprim temporar prelucrarea datelor tale (de exemplu, în timp ce contestăm exactitatea acestora).

8.5. Dreptul la portabilitate

Poți cere un export al datelor tale într-un format structurat, utilizat frecvent și citibil automat (JSON), pentru a le transfera către un alt furnizor.

8.6. Dreptul de opoziție

Te poți opune oricând prelucrării bazate pe interes legitim (inclusiv marketing direct). Pentru marketing, opoziția este imediată și definitivă.

8.7. Dreptul de a nu fi supus unei decizii automate

Când moderarea AI (Claude Haiku) respinge automat un anunț, ai dreptul să ceri review uman. Trimite-ne un email la privacy@banut.mdcu subiectul “Review moderare” și vom reanaliza anunțul manual în maxim 72 de ore.

8.8. Dreptul de retragere a consimțământului

Acolo unde prelucrarea se bazează pe consimțământ (ex: newsletter), îl poți retrage oricând, fără a afecta legalitatea prelucrărilor anterioare.

8.9. Dreptul de plângere la autoritatea de supraveghere

Dacă apreciezi că nu am răspuns corespunzător solicitării tale, ai dreptul să depui o plângere direct la CNPDCP (Republica Moldova) sau la autoritatea de protecție a datelor din țara ta de reședință UE.

9. Securitatea datelor

Ne luăm foarte în serios protecția datelor tale. Aplicăm un set comprehensiv de măsuri tehnice și organizatorice:

9.1. Măsuri tehnice

• HTTPS/TLS 1.3 obligatoriu pe toate conexiunile — nu permitem trafic necriptat
• Parole hash-uite cu bcrypt (cost factor 12) — nu stocăm niciodată parole în clar
• Row Level Security (RLS) pe toate tabelele Postgres — fiecare utilizator poate accesa doar datele proprii
• Rate limiting pe toate API-urile publice — pentru prevenirea scraping-ului, atacurilor brute-force și abuzurilor
• Chei API izolate: service role keys nu sunt niciodată expuse în client; cheile anon au permisiuni strict limitate
• Backup-uri zilnice criptate cu retenție de 30 de zile
• WAF și anti-DDoS prin Cloudflare, cu reguli personalizate pentru detectarea pattern-urilor malițioase

9.2. Măsuri organizatorice

• Acces restricționatla datele sensibile — doar personalul autorizat are acces, pe principiul “need to know”
• Audit logs pentru toate accesările administrative ale bazei de date
• Instruire regulată a echipei pe teme de securitate și GDPR
• Program de bug bounty (planificat pentru 2026) — pentru a încuraja raportarea responsabilă a vulnerabilităților

Cu toate acestea, nicio platformă online nu poate garanta securitate absolută. În caz de breach, ne angajăm să notificăm CNPDCP în maxim 72 de ore și utilizatorii afectați fără întârzieri nejustificate, conform Art. 33-34 GDPR.

10. Datele minorilor

Platforma bănuț.md este destinată exclusiv persoanelor cu vârsta de peste 18 ani. Nu colectăm intenționat date personale de la minori. Dacă ești părintele sau tutorele unui minor și crezi că acesta a creat un cont fără acordul tău, te rugăm să ne contactezi la privacy@banut.md și vom șterge imediat contul și toate datele asociate.

11. Cookies și tehnologii similare

Folosim exclusiv cookies esențiale, strict necesare funcționării platformei — în principal pentru menținerea sesiunii de autentificare (tokens Supabase). Nu folosim cookies publicitare, de tracking comportamental sau de analytics invaziv.

Pentru lista completă și detalii tehnice, vezi Politica de cookies.

12. Modificări ale politicii

Această Politică de confidențialitate poate fi actualizată periodic, pe măsură ce platforma evoluează sau legislația se schimbă. Pentru modificări semnificative, te vom notifica prin email cu cel puțin 14 zile înainte de intrarea lor în vigoare, pentru a-ți da timp să le citești și, dacă dorești, să-ți exerciți drepturile.

Modificările minore (corecturi gramaticale, clarificări) pot fi făcute fără notificare, dar vor fi întotdeauna reflectate în data “Ultima actualizare” de la începutul documentului.

13. Cum îți exerciți drepturile — pas cu pas

Exercitarea drepturilor tale GDPR este simplă și gratuită. Iată procesul complet:

1. Trimite un email la privacy@banut.md de pe adresa asociată contului tău (pentru verificarea identității)
2. Specifică ce drept vrei să exerciți— de exemplu, “Cer acces la datele mele”, “Cer ștergerea contului”, “Cer review uman pentru anunțul X”
3. Oferă detalii relevante (dacă e cazul): ID-ul anunțului, data acțiunii, motivul cererii
4. Primești confirmare în maxim 48 de ore că am primit cererea
5. Răspuns complet în maxim 30 de zile, conform Art. 12 GDPR. Dacă cererea este complexă, putem prelungi termenul cu maxim 60 de zile, cu notificare prealabilă.
6. Serviciul este gratuit. Pentru cereri repetitive sau vădit nefondate, putem percepe o taxă rezonabilă sau putem refuza, motivând decizia.
7. Nu ești mulțumit de răspuns? Poți depune plângere la CNPDCP (Republica Moldova) sau la autoritatea de protecție a datelor din țara ta de reședință UE.

14. Contact DPO / Privacy

Pentru orice întrebare legată de protecția datelor, exercitarea drepturilor sau clarificări asupra acestei politici, ne poți contacta la:

• Email privacy: privacy@banut.md
• Email general: contact@banut.md
• Pagina de contact: /contact

Răspundem în general în 24-48 de ore lucrătoare. Pentru cereri formale legate de drepturile tale GDPR, termenul legal este de maxim 30 de zile.

15. Versiuni anterioare

Această este versiunea 1.0 a Politicii de confidențialitate, în vigoare de la 15 aprilie 2026. Nu există versiuni publice anterioare. Orice versiune viitoare o va înlocui integral pe cea curentă, iar utilizatorii vor fi notificați conform secțiunii 12.

Dacă ai nevoie de o versiune arhivată a acestui document (pentru conformitate internă sau litigii), ne poți scrie la privacy@banut.md și ți-o vom furniza.