Politica de Confidențialitate

Ultima actualizare: 26 aprilie 2026 · Versiunea: pre-beta v1 · Pentru orice cerere GDPR: gdpr@mentorsai.ro

Pe scurt — ce contează cel mai mult:

NU folosim datele copilului pentru reclame, marketing sau training de modele AI
Sub 16 ani: consimțământul părintelui este obligatoriu
Aveți acces complet la dashboard copil — verificați periodic ce a învățat
Aveți drept de ștergere imediată — fără justificare, fără cost
Pentru orice cerere GDPR: gdpr@mentorsai.ro, răspuns în maxim 30 zile

1. Cine este operatorul de date

Mentors AI (date entitate juridică completă vor fi adăugate la finalizarea înregistrării SRL)

Contact pentru date personale: gdpr@mentorsai.ro
Autoritate de supraveghere: ANSPDCP — dataprotection.ro

2. Ce date colectăm

Despre părinte (titular cont):

Email, parolă (hash), IP la signup, timestamp creare cont
Date facturare (când plată activă) — fără date card; cardul rămâne la Stripe

Despre copil (sub-profil creat de părinte):

Nume sau pseudonim ales de părinte, vârstă/clasă, mentor preferat, materie principală
Conținut conversație cu mentorul AI (mesaje text)
Imagini upload pentru teme — trimise la Gemini pentru analiză, NU stocate după prelucrare; doar răspunsul rămâne în conversație
Progres pedagogic (lecții parcurse, niveluri stăpânire, exerciții, rezumate sesiuni)
Telemetrie tehnică (tokens, durată, tool-uri folosite, erori)
IP, user-agent, timestamp pentru securitate și rate limiting

NU colectăm: locație GPS, înregistrări audio/video în timp real, contacte, date din rețele sociale, note școlare reale, categorii speciale GDPR Art. 9 (excepție: filtrele de detecție distress când vor fi active — secțiunea 4).

3. Pentru ce folosim datele

Scop	Bază legală GDPR
Funcționarea serviciului	Art. 6(1)(b) — executare contract
Prelucrare date copil sub 16 ani	Art. 6(1)(a) + Art. 8 — consimțământ părinte
Facturare și obligații fiscale	Art. 6(1)(c) — obligație legală
Securitate, anti-fraudă	Art. 6(1)(f) — interes legitim
Îmbunătățire produs (telemetrie agregată)	Art. 6(1)(f) — interes legitim, drept opoziție
Comunicare serviciu către părinte	Art. 6(1)(b) — executare contract
Marketing / newsletter	Art. 6(1)(a) — consimțământ separat, opt-in
Detecție distress copil (când activ)	Art. 9(2)(c) — interese vitale

4. Cu cine partajăm datele

Procesatori (terți care prelucrează în numele nostru):

Terț	Rol	Locație
Google (Gemini API)	Generarea răspunsurilor mentorului	UE / SUA cu mecanism transfer
Supabase	Auth + bază de date	UE
Hetzner	Hosting infrastructură	Germania (UE)
Stripe (când plată activă)	Procesare plăți	UE / SUA cu mecanism transfer

Cu cine NU partajăm:

❌ Reclame, ad networks, data brokers — niciodată
❌ Antrenament modele AI — datele copilului NU sunt folosite pentru training
❌ Sponsor umbrelă (când va exista) — primește doar statistici agregate anonime
❌ Vânzare de date — niciodată

Comunicare obligatorie autorităților: putem fi obligați prin lege să furnizăm date către autorități judiciare RO/UE (cu mandat), ANSPDCP (în investigații), DGASPC (în caz de raportare distress copil cu risc imediat — Legea 272/2004 RO).

5. Cât timp păstrăm datele

Cont activ + date copii: pe durata contractului
Cont inactiv >12 luni: notificare email + ștergere automată după 30 zile suplimentare
Date facturare: 5 ani (Cod Fiscal RO, Legea 82/1991)
Telemetrie individuală: 12 luni rolling, apoi anonimizare
Logs securitate (IP, eșecuri auth): 6 luni
Backup-uri: rotație 30 zile (orice ștergere se propagă în max 30 zile)
Probă consimțământ minori: durata cont + 3 ani (probă pentru ANSPDCP)

6. Drepturile dumneavoastră

Aveți toate drepturile prevăzute de GDPR:

Acces (Art. 15) — vedeți ce date avem
Rectificare (Art. 16) — corectați date incorecte
Ștergere (Art. 17) — "dreptul de a fi uitat"
Restricționare (Art. 18) — pauzăm prelucrarea
Portabilitate (Art. 20) — primiți datele în format machine-readable (JSON)
Opoziție (Art. 21) — vă opuneți prelucrărilor pe interes legitim
Retragere consimțământ (Art. 7(3)) — oricând, instant
Plângere ANSPDCP (Art. 77) — direct, fără să treceți prin noi

Cum exercitați:

Email: gdpr@mentorsai.ro
Termen răspuns: maxim 30 zile, gratuit
Self-service în dashboard cont (pentru funcționalități deja implementate)

Pentru date copil sub 16 ani: drepturile sunt exercitate de părinte. La 16 ani, copilul poate decide singur — vă vom anunța cu 30 zile înainte.

7. Securitate

Aplicăm:

Criptare TLS pe toate comunicațiile (HTTPS)
Hash sigur pentru parole
Row-Level Security pe baza de date
Service-role keys exclusiv server-side
Backup-uri zilnice cu rotație 30 zile
Logs structurate pentru audit acces

În caz de breach: notificare ANSPDCP în 72h conform Art. 33 GDPR + comunicare utilizatori afectați conform Art. 34 (când risc ridicat).

8. Transferuri internaționale

Hetzner și Supabase stochează datele în UE.

Google (Gemini API) poate procesa în SUA — transfer în baza EU-U.S. Data Privacy Framework (acordul actual UE-SUA) și/sau Standard Contractual Clauses (SCC).

Stripe — entitate UE primară (Stripe Payments Europe Ltd, Irlanda).

9. Decizii automatizate

Mentors AI nu folosește decizii automatizate cu efect juridic semnificativ asupra dumneavoastră sau copilului dumneavoastră (Art. 22 GDPR).

Adaptarea conținutului mentorului la nivelul copilului = personalizare pedagogică, NU decizie cu efect juridic.

Filtrele de detecție distress (când vor fi active) = decizii automatizate cu efect potențial semnificativ. Aveți dreptul la intervenție umană, contestare și ștergere flag dacă filtrul a greșit (false positive).

10. Cookies

Vezi Politica de Cookies.

Pe scurt: folosim doar cookies strict necesare (sesiune, auth, securitate). Nu folosim analytics, marketing sau tracking.

11. Modificări ale acestei politici

Pentru schimbări substanțiale: preaviz minim 30 zile prin email.

Pentru schimbări care afectează prelucrarea datelor copilului → re-consimțământ părinte explicit obligatoriu, NU acceptare tacită.

12. Contact

Date personale: gdpr@mentorsai.ro
Suport general: contact@mentorsai.ro
Plângere directă autoritate: dataprotection.ro