legal · gdpr
Politica de confidențialitate
Cine suntem
Kora este un serviciu de întâlniri și de rezervare a activităților: te potrivești cu persoane din apropiere și rezervi o activitate reală, la un partener local, pentru întâlnirea ta. Această politică explică ce date cu caracter personal prelucrăm atunci când folosești aplicația mobilă Kora, portalul pentru comercianți sau acest site, temeiurile juridice pe care ne bazăm și drepturile pe care le ai asupra datelor tale. Este redactată pentru a respecta Regulamentul general al UE privind protecția datelor (GDPR).
Operatorul de date responsabil pentru datele tale cu caracter personal este KORA DIGITAL S.R.L., societatea românească care operează Kora, cu sediul social în Strada Episcopul Chesarie nr. 15, Tronson E, Etaj 4, Ap. 83, Sector 4, București, România. Este înregistrată la Registrul Comerțului din România cu nr. J2026034113006, cod unic de înregistrare (CUI) 54759299.
Datele complete ale societății — inclusiv EUID, capitalul social și statutul TVA — se află în Datele de identificare.
Pentru orice întrebare privind confidențialitatea sau pentru a-ți exercita drepturile, scrie-ne la privacy@koraexperiences.com. Dacă vom desemna un responsabil cu protecția datelor, datele sale de contact vor fi publicate aici.
Datele pe care le colectăm
Atunci când folosești Kora în calitate de utilizator de întâlniri, prelucrăm:
- Cont și autentificare. Adresa ta de e-mail și parola, care sunt gestionate de furnizorul nostru de autentificare, Supabase. Nu îți stocăm niciodată parola și nu îți vedem niciodată parola completă. Aplicația pentru utilizatori te autentifică prin e-mail și parolă (cu un cod unic trimis pe e-mail pentru a-ți confirma adresa); autentificarea cu Google sau Apple nu este încă disponibilă în aplicație.
- Profil. Prenumele tău, data nașterii (folosită pentru a confirma că ai cel puțin 18 ani și pentru a-ți afișa vârsta), genul, orientarea sexuală, genurile persoanelor pe care te interesează să le cunoști, înălțimea, fotografiile, o scurtă descriere, până la trei etichete de interese și detalii opționale despre stilul de viață (consumul de alcool, fumatul, dieta, sportul, animalele de companie, educația, stilul de comunicare, limbajul iubirii, utilizarea rețelelor sociale și obiceiurile de somn).
- Preferințe de descoperire. Distanța, intervalul de vârstă, genurile, intervalul de înălțime și interesele pe care dorești să le vezi.
- Locație. Atunci când permiti acest lucru, poziția dispozitivului tău — colectată ca o singură determinare prin permisiunea de locație „în timpul utilizării aplicației”, niciodată ca un traseu continuu. Celelalte persoane nu îți văd niciodată coordonatele; ele văd doar o distanță aproximativă față de tine. Locația este opțională: în lipsa ei, filtrul de distanță pur și simplu nu se aplică.
- Potriviri și mesaje. Aprecierile și respingerile tale, potrivirile tale, mesajele text pe care le trimiți (conversațiile sunt doar text) și propunerile de întâlnire pe care le faci sau le primești.
- Rezervări și plăți. Activitatea pe care ai rezervat-o, cu cine, suma, modul de plată (împărțit sau plătit integral de gazdă) și starea plății și a rambursării. Fiecare rezervare păstrează, de asemenea, o copie a detaliilor activității și ale locației (inclusiv adresa locației) la momentul rezervării. Datele cardului se introduc direct prin Stripe — Kora nu vede și nu stochează niciodată numărul complet al cardului tău.
- Raportări de siguranță. Dacă raportezi o altă persoană, păstrăm raportul și orice motiv pe care îl indici, pentru ca echipa noastră să poată acționa. Raportările nu sunt niciodată arătate persoanei pe care o raportezi.
- Date de activitate și de dispozitiv. Momentul ultimei tale activități, tipul și platforma dispozitivului (iOS/Android), versiunea aplicației, token-ul pentru notificări push, datele derivate din adresa IP și jurnalele de erori și diagnostic care ne ajută să menținem serviciul funcțional.
Dacă ești comerciant (partener local), prelucrăm:
- Date despre afacere și de contact. Adresa de e-mail a afacerii tale și modul în care te-ai autentificat, denumirea juridică a afacerii, denumirea comercială (afișată), un număr de telefon de contact, categoria afacerii tale, precum și denumirile, adresele, programul de funcționare și descrierile locațiilor tale.
- Încasare și verificare (prin Stripe). Pentru a-ți efectua plățile, Stripe colectează datele bancare/IBAN și documentele de verificare a identității impuse de Stripe Connect. Acestea sunt gestionate în întregime de Stripe — Kora nu primește și nu stochează niciodată datele tale bancare sau documentele de identitate. Păstrăm identificatorul contului tău Stripe și starea verificării tale și transmitem către Stripe denumirea afacerii tale, datele de contact și o adresă a unei locații pentru a-ți deschide contul de încasare.
Date din categorii speciale
Întrucât Kora este un serviciu de întâlniri, o parte din datele pe care alegi să le împărtășești constituie date din categorii speciale în sensul articolului 9 din GDPR — în special orientarea ta sexuală și genurile persoanelor pe care te interesează să le cunoști. Unele detalii opționale pot, de asemenea, dezvălui date din categorii speciale: de exemplu, o dietă halal poate indica o convingere religioasă, iar fotografiile tale pot dezvălui caracteristici precum etnia. Tu decizi ce adaugi și poți omite oricare dintre aceste detalii.
Prelucrăm aceste date într-un singur scop: pentru a face să funcționeze funcțiile esențiale de întâlniri și pentru a-ți arăta persoane relevante. Temeiul nostru juridic este consimțământul tău explicit (articolul 9(2)(a)), pe care îl acorzi atunci când îți completezi profilul. Îl poți retrage oricând prin editarea sau ștergerea acelor informații ori prin ștergerea contului tău — ține cont că eliminarea lor poate face ca funcțiile de potrivire să nu mai funcționeze.
Nu vindem niciodată aceste date și nu le folosim niciodată în scopuri publicitare.
Scopuri și temeiuri juridice
Prelucrăm datele tale doar atunci când legea ne oferă un temei. Mai precis:
- Administrarea contului tău și furnizarea serviciului (profiluri, potriviri, conversații, rezervări) — executarea contractului nostru cu tine (art. 6(1)(b)); pentru datele din categorii speciale, consimțământul tău explicit (art. 9(2)(a)).
- Încasarea plăților și efectuarea rambursărilor — executarea contractului nostru (art. 6(1)(b)).
- Menținerea siguranței serviciului — gestionarea raportărilor de abuz, prevenirea fraudei și eliminarea conturilor care încalcă regulile noastre — interesul nostru legitim de a avea o comunitate sigură (art. 6(1)(f)).
- Înțelegerea și îmbunătățirea produsului — cu consimțământul tău pentru analize acolo unde consimțământul se aplică (vezi „Module cookie și analize”), în caz contrar interesul nostru legitim privind indicatori de utilizare agregați, care nu permit identificarea (art. 6(1)(f)).
- Respectarea obligațiilor legale — obligații contabile, fiscale și de prevenire a fraudei (art. 6(1)(c)).
- Comunicarea cu tine — mesaje de serviciu precum confirmările de cont, actualizările rezervărilor și notificările de securitate, care fac parte din furnizarea serviciului (contract). În prezent nu trimitem e-mailuri de marketing sau buletine informative; dacă vom face vreodată acest lucru, va fi opțional și doar cu consimțământul tău, pe care îl vei putea retrage oricând.
Acolo unde ne bazăm pe interese legitime, le-am evaluat în raport cu drepturile și libertățile tale, iar tu te poți opune oricând acelei prelucrări (vezi „Drepturile tale”).
Potrivire și prelucrare automată
Kora alege ce profiluri să îți arate folosind preferințele pe care le setezi — distanța, intervalul de vârstă, înălțimea, genurile pe care dorești să le cunoști și interesele tale — împreună cu semnale de bază privind activitatea recentă. Acest proces este automat, dar nu produce efecte juridice asupra ta sau efecte care te afectează în mod similar într-o măsură semnificativă, în sensul articolului 22 din GDPR: el decide doar al cui profil îți este arătat. Tu rămâi cel care controlează pe cine apreciezi, cu cine te potrivești, cui îi scrii și pe cine întâlnești.
Nu luăm decizii automate care produc efecte juridice sau efecte care te afectează în mod similar într-o măsură semnificativă și nu te profilăm în scopuri publicitare. Vârsta afișată pe profilul tău este un număr calculat din data nașterii tale — data exactă a nașterii tale nu este niciodată arătată altor utilizatori.
Cine primește datele tale
Folosim un număr restrâns de furnizori de încredere pentru a opera Kora. Aceștia prelucrează datele tale doar conform instrucțiunilor noastre, în baza unui acord de prelucrare a datelor. Lista actuală, cu rolul fiecărui furnizor și regiunea de găzduire, este menținută în lista de subîmputerniciți. Pe scurt:
- Supabase — baza noastră de date, autentificarea (inclusiv e-mailul și parola ta), stocarea fișierelor pentru fotografiile tale (păstrate în stocare privată și furnizate prin linkuri cu durată scurtă de valabilitate) și livrarea conversațiilor în timp real. Găzduit în UE (Irlanda).
- Stripe — plăți, rambursări și înrolarea pentru încasări a comercianților, precum și verificarea identității (Stripe Connect).
- Resend — e-mailuri tranzacționale și de cont (precum mesajele de bun venit, de rezervare și notificările de cont).
- Expo — livrarea notificărilor push pe mobil. Conținutul push poate include o potrivire sau prenumele expeditorului și o scurtă previzualizare a mesajului.
- Mapbox — convertirea adresei locației unui comerciant în coordonate de hartă.
- Amplitude — analize de produs, folosite doar acolo unde ți-ai dat consimțământul, cu datele prelucrate în zona sa de servere din UE.
- Sentry — monitorizarea erorilor și a căderilor aplicației, configurată pentru a reduce la minimum datele cu caracter personal.
- Vercel (site și portaluri) și Google Cloud (API-ul nostru, găzduit în UE — Belgia) — furnizorii noștri de găzduire.
Atunci când apeși pe „indicații rutiere” către o locație rezervată, dispozitivul tău deschide propria ta aplicație de hărți (Apple sau Google Maps) cu locația respectivă — aceea este aplicația ta de hărți, nu un transfer realizat de Kora.
Transferuri internaționale
Ne propunem să păstrăm datele tale în UE/SEE: baza noastră de date, stocarea fișierelor și API-ul sunt găzduite în UE, iar furnizorul nostru de analize este configurat pentru zona sa de servere din UE. Unii furnizori au sediul sau prelucrează date în Statele Unite — în special Stripe, Vercel, Sentry și Expo. Acolo unde datele părăsesc SEE, transferul este acoperit de clauzele contractuale standard ale Comisiei Europene, de Cadrul UE–SUA privind confidențialitatea datelor sau de o altă garanție legală, iar informațiile relevante sunt puse la dispoziție la cerere.
Cât timp păstrăm datele tale
Păstrăm datele tale cu caracter personal atât timp cât contul tău este activ. Îți poți șterge contul oricând:
- Utilizatorii de întâlniri pot șterge contul direct din aplicație, imediat. Atunci când faci acest lucru, îți anonimizăm profilul pe loc: numele, descrierea, locația, fotografiile tale și mesajele pe care le-ai trimis sunt eliminate din vizibilitate, iar adresa ta de e-mail este înlocuită cu un hash unidirecțional, astfel încât contul să nu mai poată fi asociat cu tine.
- Comercianții solicită ștergerea din portal; analizăm cererea (astfel încât orice rezervare și încasare în curs să fie soluționate), apoi anonimizăm contul și închidem contul de încasare Stripe.
Unele date sunt, prin natura lor sau prin lege, păstrate dincolo de ștergere: o rezervare păstrează prenumele și referința fotografiei fiecărui participant ca parte a evidenței sale, iar noi păstrăm evidențele privind rezervările, plățile și rambursările pentru a respecta obligațiile contabile și fiscale din România (în general până la zece ani). Păstrăm, de asemenea, evidențe limitate de siguranță (de exemplu, referitoare la eliminarea unui cont sau la o raportare de abuz) atât timp cât este necesar pentru a menține în siguranță ceilalți utilizatori, precum și un jurnal intern al acțiunilor administrative. Fișierele reziduale și evidența de autentificare subiacentă sunt apoi șterse în mod programat.
„Ștergerea” unui cont este, prin urmare, o anonimizare: un identificator hash și evidențele de mai sus rămân, însă contul nu mai poate fi identificat cu tine.
Securitate
Îți protejăm datele printr-un set stratificat de măsuri de control:
- Criptare în tranzit (HTTPS/TLS) pentru tot traficul către site-ul, aplicația și API-ul nostru.
- Controale de acces la nivel de bază de date (securitate la nivel de rând), astfel încât fiecare persoană să poată ajunge doar la propriile date, și cereri semnate verificate la fiecare apel către API.
- Sesiuni de autentificare delimitate separat pentru aplicația de întâlniri, portalul pentru comercianți și zona de administrare, astfel încât o sesiune dintr-una să nu poată fi folosită în alta. Pe mobil, sesiunea ta este păstrată în depozitul securizat de chei al dispozitivului.
- Parolele și acreditările gestionate de Supabase — nu stocăm niciodată parolele în text simplu — iar parolele, token-urile și alte secrete similare sunt eliminate din jurnalele noastre de erori și diagnostic.
- Limitarea ratei de cereri și protecții împotriva abuzurilor la autentificare și la alte acțiuni sensibile, precum și un flux de resetare a parolei conceput astfel încât să nu dezvăluie dacă o adresă de e-mail are sau nu un cont.
Niciun serviciu nu poate fi perfect securizat, însă depunem eforturi pentru a-ți proteja datele și vom notifica autoritatea de supraveghere competentă în termen de 72 de ore atunci când este necesar (art. 33) și te vom informa fără întârzieri nejustificate atunci când o încălcare este susceptibilă să genereze un risc ridicat pentru tine (art. 34).
Drepturile tale
În temeiul GDPR, ai dreptul:
- să accesezi datele cu caracter personal pe care le deținem despre tine și să obții o copie;
- să rectifici datele care sunt greșite sau depășite;
- să îți ștergi datele („dreptul de a fi uitat”);
- să îți primești datele într-un format portabil sau să le transmiți către un alt serviciu;
- să restricționezi sau să te opui anumitor prelucrări, inclusiv prelucrărilor bazate pe interesele noastre legitime; și
- să retragi orice consimțământ pe care l-ai acordat, fără a afecta prelucrarea anterioară.
Cea mai mare parte a acestor lucruri le poți face singur în aplicație — îți editezi profilul sau îți ștergi contul din Setări. În caz contrar, scrie-ne la privacy@koraexperiences.com sau folosește formularul de la /contact la rubrica „Legal / Confidențialitate”. Răspundem în termen de o lună. Ștergerea contului de comerciant este analizată de echipa noastră înainte de a fi efectuată, pentru ca rezervările și încasările în curs să fie soluționate.
Limită de vârstă (18+)
Kora este destinat exclusiv adulților. Trebuie să ai cel puțin 18 ani pentru a-ți crea un cont: îți cerem data nașterii și blocăm conturile în cazul cărora aceasta indică faptul că ai sub 18 ani. Nu efectuăm verificarea identității sau a vârstei dincolo de acest lucru, așa că nu putem garanta vârsta declarată a fiecărui utilizator — întâlnește-te cu prudență. Nu colectăm în cunoștință de cauză date de la nicio persoană sub 18 ani. Dacă bănuiești că un minor s-a înregistrat, contactează-ne la privacy@koraexperiences.com și vom elimina contul.
Modificări ale acestei politici
Actualizăm această politică atunci când practicile noastre privind datele se schimbă — nu doar la intervale fixe. Dacă o modificare este semnificativă, te vom anunța în aplicație sau prin e-mail înainte ca aceasta să intre în vigoare. Data „ultima actualizare” din partea de sus reflectă întotdeauna versiunea curentă, iar versiunile anterioare sunt arhivate.
Reclamații
Dacă apreciezi că am gestionat greșit datele tale, te rugăm să ne contactezi mai întâi pe noi, pentru a putea îndrepta situația. Ai, de asemenea, dreptul de a depune o plângere la o autoritate pentru protecția datelor. Întrucât Kora operează din România, autoritatea noastră principală este autoritatea română ANSPDCP. Dacă locuiești în altă parte a UE, poți contacta și autoritatea de supraveghere din propria ta țară de reședință.