Cum tratăm datele tale.

Cine e responsabil

oar.digital e un prototip independent, nu o platformă oficială OAR.

Pe perioada pilotului, datele sunt administrate de filiala OAR Transilvania, ca partener-pilot — adică ei stabilesc oficial cine vede ce și cât timp se păstrează fiecare informație (în limbajul legal RGPD: „operator de date”).

Eu, Marius Tărău (m.tarau@beletage.ro), am construit platforma și răspund de partea tehnică pe perioada pilotului. Dacă varianta asta e adoptată oficial de OAR, locul ăsta poate fi preluat de oricine este desemnat ulterior.

Responsabilul cu protecția datelor (în RGPD: DPO — „Data Protection Officer”, persoana care răspunde legal pentru modul în care sunt folosite datele tale și la care te poți plânge dacă ceva nu e în regulă) va fi numit de filială înainte de orice utilizare cu date reale.

Pentru orice întrebare despre datele tale, scrie la dpo@oar.digital.

Ce date colectăm

• Numărul TNA + nume complet + filiala — preluate automat din SIOAR la primul login. Sunt date publice deja.
• Email-ul — pe care îl introduci tu la signup, ca să primești magic-link-uri de autentificare. Nu îl partajăm cu nimeni.
• Sesiuni — un cookie de sesiune (HttpOnly, Secure) cu durată maxim 30 zile. Conține un identificator opac, nu date personale.
• Voturi (când vor fi active) — cifrate end-to-end. Nici noi, nici un atacator care preia serverul nu poate vedea conținutul. Vezi cum funcționează votul.
• Audit log — fiecare acțiune publică (susținere idee, înscriere grup) e înregistrată cu un hash criptografic, fără date suplimentare.

De ce le colectăm

Ca să-ți confirmăm calitatea de membru OAR (TNA + nume), să-ți trimitem link-uri de login (email), să-ți arătăm istoric-ul tău de participare (sesiune + audit) și să asigurăm vot verificabil (voturile cifrate). Niciuna din date nu e folosită pentru profilare comercială sau marketing fără consimțământ explicit.

Bază legală

• Interes legitim al filialei (RGPD art. 6.1.f) pentru datele de membru și auditul guvernanței.
• Consimțământ (RGPD art. 6.1.a) pentru email-ul de login și orice newsletter (opțional, niciodată implicit).
• Obligație legală (RGPD art. 6.1.c) pentru păstrarea unor date specifice cerute de Legea 184/2001 privind organizarea OAR.

Cât timp păstrăm

• Cont activ: cât rămâi membru OAR.
• Cont retras: anonimizat în 30 de zile. Registrul de audit păstrează doar amprentele acțiunilor, nu și datele personale.
• Voturi: plicul sigilat (textul cifrat) rămâne pe lista publică, cheia de decriptare e distrusă după publicarea rezultatului.
• Email-uri tranzacționale (login): 30 de zile pe Brevo (FR), apoi șterse.

Cu cine partajăm

Cu nimeni, în afară de:

• Brevo (Franța, intra-UE) — pentru livrarea email-urilor de login. Nu vede conținutul cont-ului tău, doar adresa și subiectul.
• SIOAR — interogăm sistemul oficial OAR cu numărul TNA la signup ca să confirmăm calitatea de membru.

Niciun transfer extra-UE. Datele rămân pe servere autohtone administrate de echipa de pilot.

Drepturile tale (RGPD art. 15-22)

• Acces — poți vedea oricând ce avem la /panou/profil.
• Rectificare — TNA și numele se corectează prin SIOAR (sursa de adevăr); celelalte poți schimba din profil.
• Ștergere — scrie la dpo@oar.digital; contul devine anonim în 30 de zile.
• Restricționare și opoziție — același canal.
• Portabilitate — îți exportăm într-un fișier JSON tot ce avem despre tine.
• Plângere la ANSPDCP — dataprotection.ro dacă consideri că am încălcat ceva.

Cookies

Folosim un singur cookie funcțional (cookie-ul de sesiune Better-Auth). Nu folosim Google Analytics, Meta Pixel, advertising sau orice tracker terț. Niciun consent banner nu e necesar pentru cookie-uri funcționale.

Securitate

TLS pe tot site-ul, sesiuni HttpOnly Secure, parolele nu există (folosim magic-links + opțional 2FA). Voturile sunt cifrate end-to-end (Belenios v2). Vezi flux complet.

Modificări

Orice modificare la această politică e anunțată în avans cu 30 de zile, prin email + banner pe site. Versiunea curentă: 2026-05-04.