Legal Pages

Privacy & Cookie Policy Page

FULL STACK MARKETER

WEB PRODUCTION

AI INTEGRATION

EMAIL MARKETING

COPYWRITING

WEB DESIGN

SOCIAL MEDIA

AD CAMPAIGNS

DIGITAL ASSETS

CUSTOM GPTS

CONTENT CREATION

TECHNICAL WRITING

DESIGN FOR SMM

ADS STRATEGY

BRAND MANAGEMENT

PRODUCT CREATION

BUSINESS SUPPORT

AUDIENCE TARGETING

VIDEO POSTEDITING

EBOOKS AND FLYERS

TECHNICAL WEB

CREATIVE STRATEGY

COMMUNITY MNGT

CONTENT SCREENING

ANALYTICS

REPORTING

COMMUNICATION

SEO

SALES FUNNELS

SUPPORT WITH SOP

1. Controller Identity & Contact

|

1. Identitatea operatorului și date de contact

1. Controller Identity & Contact

|

1. Identitatea operatorului și date de contact

This Privacy & Cookie Policy is issued by SHOCKWEB VISION S.R.L., a Limited Liability Firm established under Romanian law and acting as the data controller for all personal data processed through the following websites and related mobile/desktop applications:

  • webshockat.com
  • mindwithai.com
  • aiunitedhub.com

Legal detail

Information

Registered office

Romania, Bucharest, District 1, Şoseaua NICOLAE TITULESCU, Nr. 48, chamber 02, 2nd floor, Romania

Trade-Register no.

J2024050289006 / (EUID) ROONRC.J2024050289006

Fiscal / VAT ID

RO51059908

Phone

+40 756 819 182 (Mon–Fri 09:00-17:00 EET)

General enquiries

office@webshockat.com

Data-protection contact / DPO

dpo@webshockat.com

For CCPA/CPRA purposes, SHOCKWEB VISION S.R.L. is the “business” that determines the purposes and means of processing personal information, reachable at the contacts above.

Această Politică de Confidențialitate & Cookie-uri este emisă de SHOCKWEB VISION S.R.L., societate cu răspundere limitată înregistrată conform legislației române, în calitate de operator al datelor cu caracter personal prelucrate prin următoarele site-uri și aplicațiile lor mobile/desktop asociate:

  • webshockat.com
  • mindwithai.com
  • aiunitedhub.com

Detaliu juridic

Informație

Sediu social

Bucureşti, Sectorul 1, Şoseaua NICOLAE TITULESCU, Nr. 48, camera 02, Etaj 2, România

Nr. Registrul Comerțului

J2024050289006 / (EUID) ROONRC.J2024050289006

Cod fiscal / TVA

RO51059908

Telefon

+40 756 819 182 (L–V 09:00-17:00 EET)

Întrebări generale

office@webshockat.com

Responsabil protecția datelor (DPO)

dpo@webshockat.com

În sensul CCPA/CPRA (California), SHOCKWEB VISION S.R.L. este “business-ul” care stabilește scopurile și mijloacele prelucrării datelor personale și poate fi contactat la detaliile de mai sus.

2. Data We Collect

|

2. Datele pe care le colectăm

2. Data We Collect

|

2. Datele pe care le colectăm

(GDPR Art. 13 §1(c), Law 190/2018, CCPA/CPRA, UK UK-GDPR)

We group the personal data we collect into the following categories. Unless stated otherwise, all fields are mandatory to deliver the requested Service; optional fields are marked “optional.”

  1. Identity data – first and last name, display name, company name, username/handle.
  2. Contact data – billing and delivery address, e-mail address, telephone number, preferred language.
  3. Optional voice recordings – supplied by customers for text-to-speech projects,  as a special category only when provided by the user with consent.
  4. Account credentials – hashed password, OAuth token, multi-factor-authentication secret (optional).
  5. Payment & billing data – last four digits of payment card, card type, expiry month/year, Stripe/PayPal token; we never store full PAN or CVV (see PCI-DSS note in the Security Statement).
  6. Transactional data – purchase history, invoices, refund requests, subscription tier, course-completion status, quiz scores.
  7. User-generated content – forum posts, comments, uploaded files, webinar Q&A questions, feedback forms.
  8. Technical data – IP address, device/OS/browser string, time-zone setting, crash logs, screen resolution, referral URL.
  9. Usage data – page views, click paths, video watch-time, search queries, prompt inputs/outputs when you use our AI tools.
  10. Marketing preferences – newsletter opt-in/out, cookies consent string (TCF), ad-tracking opt-out token.
  11. Support records – help-desk tickets, call recordings, chat transcripts.
  12. Special-category datanot collected by default. If you voluntarily disclose health, political, or biometric data in the Community, you do so at your own discretion and such data will be processed only to the minimum extent needed to host the post.

We do not knowingly collect data from children under 16 (see “Age & Eligibility” in the Terms).

(GDPR Art. 13 §1(c), Law 190/2018, CCPA/CPRA, UK UK-GDPR)

Colectăm datele cu caracter personal în următoarele categorii. Cu excepția mențiunilor contrare, câmpurile sunt obligatorii pentru furnizarea Serviciului; câmpurile opționale sunt marcate „opțional”.

  1. Date de identitate – nume și prenume, nume afișat, denumire companie, nume de utilizator.
  2. Date de contact – adresă de facturare/livrare, e-mail, număr de telefon, limbă preferată.
  1. Înregistrări vocale opționale – furnizate de clienți pentru proiecte de tip text-în-vorbire, tratate ca o categorie specială de date doar atunci când sunt oferite de utilizator cu consimțământ expres.
  1. Date de autentificare – parolă hash-uită, token OAuth, secret MFA (opțional).
  2. Date de plată & facturare – ultimele patru cifre ale cardului, tip card, lună/an expirare, token Stripe/PayPal; nu stocăm niciodată PAN complet sau CVV (vezi nota PCI-DSS din Declarația de Securitate).
  3. Date tranzacționale – istoricul achizițiilor, facturi, cereri de rambursare, tip abonament, progres curs, scoruri la teste.
  4. Conținut generat de utilizator – postări pe forum, comentarii, fișiere încărcate, întrebări la webinar, formulare de feedback.
  5. Date tehnice – adresa IP, device/OS/browser, fus orar, logarea erorilor, rezoluție ecran, URL de referință.
  6. Date de utilizare – vizualizări de pagină, trasee de clic, timp de vizionare video, căutări interne, prompt-uri și răspunsuri AI.
  7. Preferințe marketing – abonare/dezabonare newsletter, string consimțământ cookie (TCF), token de opt-out publicitate.
  8. Înregistrări de suport – tichete help-desk, înregistrări de apel, transcrieri chat.
  9. Date specialenu sunt colectate în mod obișnuit. Dacă dezvăluiți voluntar date sensibile (sănătate, opinii politice, biometrie) în Comunitate, o faceți pe propria răspundere; vom procesa astfel de date doar în măsura minim necesară găzduirii conținutului.

Nu colectăm în cunoștință de cauză date de la copii sub 16 ani (vezi „Vârstă și Eligibilitate” în Termeni).

3. Purposes & Legal Bases

|

3. Scopuri și Temeiuri legale

3. Purposes & Legal Bases

|

3. Scopuri și Temeiuri legale

Below is a summary of why we process each category of personal data and the lawful basis relied on under GDPR Art. 6 (and equivalent provisions in UK GDPR, LGPD-Brazil, CCPA/CPRA, etc.). Where multiple bases apply, the primary one is listed first.

#

Purpose

Core data items

GDPR legal basis

1

Account creation & service delivery (courses, AI tools, community access)

Identity, Contact, Credentials, Usage

Contract performance – Art 6 (1)(b)

2

Payment processing & fraud prevention

Payment & billing, Technical, Usage

Contract – Art 6 (1)(b); Legitimate interest – Art 6 (1)(f); Legal obligation (tax/FATF) – Art 6 (1)(c)

3

Providing downloadable or streaming Digital Products

Transactional, Technical

Contract – Art 6 (1)(b)

4

Customer support & ticketing

Support records, Identity, Contact

Legitimate interest to resolve issues efficiently – Art 6 (1)(f)

5

Marketing e-mails & newsletters

Identity, Contact, Marketing prefs

Consent – Art 6 (1)(a) (opt-in checkbox)

6

Product updates to existing customers (“soft opt-in”)

Identity, Contact, Transactional

Legitimate interest – Art 6 (1)(f) (Recital 47)

7

Behavioural advertising & analytics cookies

Technical, Usage, Marketing prefs

Consent – Art 6 (1)(a) via CMP banner

8

Platform security & community moderation

Technical, User-generated content

Legitimate interest to maintain a safe service – Art 6 (1)(f)

9

Legal & regulatory compliance (VAT invoices, consumer-law logs, SAR responses)

Transactional, Identity, Contact

Legal obligation – Art 6 (1)(c)

10

Create AI-assisted marketing content

Configuring or prompting third-party tools, customizing

Legitimate interest (art. 6 (1)(f)) or contract (art. 6 (1)(b)); data are processed in third-party AI tools under SCCs/DPF.

11

Service improvement & AI model training (de-identified prompt logs)

Usage, Technical

Legitimate interest – Art 6 (1)(f); opt-out available in dashboard

12

Business transfers & audits

All categories as minimally required

Legitimate interest in corporate re-organisation – Art 6 (1)(f)

Where we rely on legitimate interest, we have conducted a balancing test and determined that our interests are not overridden by your fundamental rights and freedoms. You may object at any time (Art. 21 GDPR).

Mai jos este un rezumat al motivelor pentru care prelucrăm fiecare categorie de date cu caracter personal și temeiul legal utilizat în conformitate cu Art. 6 din GDPR (și prevederile echivalente din UK GDPR, LGPD-Brazilia, CCPA/CPRA etc.). Atunci când se aplică mai multe temeiuri legale, este menționat primul cel principal.

#

Scop

Date principale

Temei juridic (GDPR art. 6)

1

Crearea contului și furnizarea serviciilor (cursuri, instrumente AI, comunitate)

Identitate, Contact, Credențiale, Utilizare

Executarea contractului – art. 6 (1)(b)

2

Procesare plăți și prevenire fraudă

Plată & facturare, Tehnice, Utilizare

Contract – art. 6 (1)(b); Interes legitim – art. 6 (1)(f); Obligație legală (taxe/AML) – art. 6 (1)(c)

3

Livrarea Produselor Digitale descărcabile/stream

Tranzacționale, Tehnice

Contract – art. 6 (1)(b)

4

Suport clienți și ticketing

Înregistrări suport, Identitate, Contact

Interes legitim pentru rezolvarea eficientă a cererilor – art. 6 (1)(f)

5

Newslettere și e-mailuri promoționale

Identitate, Contact, Preferințe marketing

Consimțământ – art. 6 (1)(a) (opt-in)

6

Actualizări produse către clienți existenți (“soft opt-in”)

Identitate, Contact, Tranzacționale

Interes legitim – art. 6 (1)(f) (Considerent 47)

7

Publicitate comportamentală și cookies de analiză

Tehnice, Utilizare, Preferințe marketing

Consimțământ – art. 6 (1)(a) prin banner CMP

8

Securitatea platformei și moderare comunitate

Tehnice, Conținut utilizator

Interes legitim de a menține un serviciu sigur – art. 6 (1)(f)

9

Conformitate legală (facturi TVA, arhivă consumator, cereri RGPD)

Tranzacționale, Identitate, Contact

Obligație legală – art. 6 (1)(c)

10

Creare de conținut de marketing asistat de IA

Configurarea sau utilizarea prin prompturi a unor instrumente terțe, personalizare

Interes legitim (art. 6 alin. (1) lit. f) sau contract (art. 6 alin. (1) lit. b)); datele sunt prelucrate în instrumente AI ale unor terți, în baza Clauzelor Contractuale Standard (SCC) și/sau a Cadrului de Confidențialitate a Datelor (DPF).

11

Îmbunătățirea serviciului și antrenarea modelelor de IA (logări anonimizate)

Utilizare, Tehnice

Interes legitim – art. 6 (1)(f); opțiune de opt-out în cont

12

Transfer de afacere și audituri

Toate categoriile, minim necesar

Interes legitim privind reorganizarea corporativă – art. 6 (1)(f)

Pentru temeiul interes legitim am efectuat un test de echilibrare și am concluzionat că interesele noastre nu sunt deasupra drepturilor și libertăților dumneavoastră fundamentale. Puteți formula opoziție oricând (art. 21 GDPR).

4. Cookies & Similar Tracking Technologies

|

4. Cookie-uri și tehnologii de tracking similare

4. Cookies & Similar Tracking Technologies

|

4. Cookie-uri și tehnologii de tracking similare

4.1 What are cookies? Cookies are small text files placed on your device when you visit a website. They allow the site to recognise your browser, remember preferences, and measure traffic. We also use HTML5 local storage, SDK identifiers (for mobile apps), and pixel tags, together referred to as “cookies” in this section.

4.2 Who sets them?

  • First-party cookies – set by .webshockat.com, .mindwithai.com, .aiunitedhub.com.
  • Third-party cookies – set by trusted partners such as Google, Meta, Stripe, and Hotjar. A full list is available in the Consent-Management Platform (CMP) banner that appears on your first visit.

4.3 Cookie categories, typical lifetimes, and purposes

Category

Examples

Typical lifetime

Purpose / legal basis

Strictly necessary

Session ID, CSRF token, cookie-consent string

Session / 1 year

Enable core site functions; set under Art 5(3) ePrivacy Directive exemption.

Functionality

Language preference, saved progress

1 week – 1 year

Remember choices to improve user experience, consent.

Analytics

_ga (Google Analytics 4), _hjSession (Hotjar)

1 day – 2 years

Measure traffic and performance, consent.

Advertising / retargeting

_fbp (Meta), IDE (Google Ads)

1 day – 13 months

Deliver personalised ads, consent via IAB TCF.

Exact lifetimes and vendors may change; the live CMP list prevails.

4.4 Consent mechanism. The first time you visit, a CMP banner (IAB TCF v2.2-compatible) asks you to “Accept all,” “Reject all,” or “Customise.” Strictly-necessary cookies load regardless; all others load only after opt-in. Your choices are stored for 12 months, after which we request consent again.

4.5 Changing your preferences.

  • Click “Cookie Settings” in the site footer at any time.
  • Set your browser to block or delete cookies (see AllAboutCookies.org). Blocking may impact site functionality.
  • We honor the Global Privacy Control (GPC) signal where technically feasible.

4.6 Third-country transfers. Some third-party cookies (e.g., Google, Meta) may transfer data to the U.S. under the EU–U.S. Data-Privacy Framework or Standard Contractual Clauses. Details appear in each vendor’s CMP entry.

4.7 Do Not Track. Our Sites currently do not respond to the outdated DNT HTTP header; use the CMP or browser settings instead.

4.8 Email tracking pixels. Marketing e-mails may include a single-pixel GIF to record open rates; you can disable this by blocking remote images in your e-mail client.

4.9 Mobile SDK identifiers. In our mobile apps we use Apple IDFA / Google AdID equivalents. You can reset or limit ad-tracking in your device’s privacy settings.

4.10 Legal references. This notice fulfils Art 5(3) of the ePrivacy Directive, Romanian Law 506/2004, UK PECR 2003, and Art 13 GDPR transparency duties.

4 A. Advertising & Retargeting Choices

You can control interest-based advertising that relies on third-party cookies or mobile identifiers in several ways:

  1. CMP toggle. In our Consent-Management Platform banner, disable the category “Advertising / Retargeting.” This will block pixels such as _fbp (Meta) and IDE (Google Ads).
  2. IAB Transparency & Consent Framework (TCF). We participate in IAB TCF v2.2. Vendors marked “AdTech” will load only if you grant Purpose 4 (select basic ads) or Purpose 5 (personalised ads).
  3. Global Privacy Control (GPC). If your browser sends a GPC signal, we treat it as an opt-out from behavioural advertising and override any prior “consent” setting.
  4. AdChoices / YourAdChoices. Opt-out of cross-site ads from many networks at https://optout.aboutads.info (desktop) or https://youradchoices.com/appchoices (mobile).
  5. Device settings. On iOS or Android you can reset or limit ad-ID tracking in Settings → Privacy → Advertising.

Opting out stops personalized ads but will not eliminate generic advertising or necessary cookies.

4.1 Ce sunt cookie-urile? Cookie-urile sunt fișiere text mici stocate pe dispozitivul dvs. la vizitarea unui site. Ele permit recunoașterea browser-ului, rețin preferințe și măsoară traficul. Folosim și stocare HTML5, identificatori SDK (pentru aplicații mobile) și pixeli, denumite generic „cookie-uri” în această secțiune.

4.2 Cine le setează?

  • Cookie-uri first-party – plasate de domeniile .webshockat.com, .mindwithai.com, .aiunitedhub.com.
  • Cookie-uri third-party – plasate de parteneri de încredere (Google, Meta, Stripe, Hotjar). Lista completă apare în bannerul CMP la prima vizită.

4.3 Categorii, durată tipică și scop

Categorie

Exemple

Durată tipică

Scop / temei juridic

Strict necesare

ID sesiune, token CSRF, string consimțământ

Sesiune / 1 an

Funcții de bază; scutite de art. 5(3) Dir. ePrivacy.

Funcționalitate

Preferință limbă, progres curs

1 săpt. – 1 an

Îmbunătățirea experienței, consimțământ.

Analiză

_ga (GA 4), _hjSession

1 zi – 2 ani

Statistici trafic, consimțământ.

Publicitate

_fbp, IDE

1 zi – 13 luni

Reclame personalizate, consimțământ prin IAB TCF.

Duratele exacte și furnizorii pot varia; lista live din CMP prevalează.

4.4 Mecanism de consimțământ. La prima vizită apare un banner CMP (compatibil IAB TCF v2.2) care vă permite „Accept toate”, „Respinge toate” sau „Personalizează”. Cookie-urile strict necesare se încarcă oricum; celelalte doar după opt-in. Opțiunile se păstrează 12 luni.

4.5 Schimbarea preferințelor.

  • Faceți clic pe „Setări cookie” în subsolul site-ului.
  • Configurați browser-ul să blocheze/șteargă cookie-uri (vezi AllAboutCookies.org). Blocarea poate afecta funcționalitatea.
  • Respectăm semnalul GPC unde este tehnic posibil.

4.6 Transferuri în țări terțe. Unele cookie-uri terțe (de ex. Google, Meta) pot transfera date în SUA sub Data-Privacy Framework sau Clauze Contractuale Standard; detalii în CMP.

4.7 Do Not Track. Site-urile nu răspund la antetul DNT; folosiți CMP sau setările browser-ului.

4.8 Pixeli în e-mailuri. E-mailurile de marketing pot include un pixel pentru a înregistra ratele de deschidere; dezactivați imaginile externe în clientul e-mail pentru a-l bloca.

4.9 Identificatori SDK mobile. În aplicațiile mobile folosim IDFA / AdID; puteți reseta sau limita tracking-ul în setările dispozitivului.

4.10 Baze legale. Această notă respectă art. 5(3) Dir. ePrivacy, Legea 506/2004, UK PECR 2003 și obligațiile de transparență din art. 13 GDPR.

4 A. Opțiuni pentru publicitate și retargetare

Aveți mai multe modalități de a controla reclamele personalizate care utilizează cookie-uri terțe sau identificatori mobili:

  1. Comutator CMP. În bannerul platformei de consimțământ, debifați categoria „Advertising / Retargeting” pentru a bloca pixeli precum _fbp (Meta) și IDE (Google Ads).
  2. IAB Transparency & Consent Framework. Participăm la IAB TCF v2.2. Furnizorii marcați „AdTech” se vor încărca doar dacă acordați Scopul 4 (reclame de bază) sau Scopul 5 (reclame personalizate).
  3. Global Privacy Control (GPC). Dacă browser-ul transmite semnalul GPC, îl tratăm ca un opt-out din publicitatea comportamentală și anulăm orice consimțământ anterior.
  4. AdChoices / YourAdChoices. Puteți dezactiva reclamele cross-site de la multe rețele la https://optout.aboutads.info (desktop) sau https://youradchoices.com/appchoices (mobil).
  5. Setări dispozitiv. Pe iOS sau Android puteți reseta sau limita tracking-ul Ad-ID în Setări → Confidențialitate → Publicitate.

Dezactivarea opțiunilor de mai sus oprește reclamele personalizate, dar nu și publicitatea generică sau cookie-urile strict necesare.

5. How we use AI-assisted content tools

|

5. Cum folosim instrumentele de creare a conținutului cu IA

5. How we use AI-assisted content tools

|

5. Cum folosim instrumentele de creare a conținutului cu IA

5.1 Purpose of AI analytics. We apply machine-learning models to aggregated Technical, Usage and Transactional data to (a) measure product adoption, (b) predict churn risk, (c) recommend courses or content you might like, and (d) detect anomalous behaviour indicative of fraud or abuse.

5.2 No fully-automated decisions with legal or similarly significant effect. The outputs of these models are support tools for our staff; they do not by themselves approve or deny access to a service, set individual pricing, or create legal obligations. Human review is always required before any action that could materially affect your rights or livelihood.

5.3 Legal bases and safeguards.

  • Legitimate interest (GDPR Art. 6 (1)(f)) to improve services and prevent abuse, balancing test available on request.
  • Article 22 GDPR: you have the right not to be subject to a decision based solely on automated processing that produces legal or similarly significant effects. Because human oversight is in place, Art 22(1) does not apply; however, you still have the rights to obtain human intervention, to express your point of view, and to contest any decision.
  • Regular fairness and bias audits are conducted; models are retrained or adjusted if disparate impact is identified.

5.4 Opt-out / “Do Not Profile.”

  • Outputs are not used for automated decision-making or profiling, only creative assistance with human review.
  • EU & UK: you may object to our legitimate-interest profiling at any time via the “Privacy Settings” panel or by e-mailing dpo@webshockat.com (Art 21 GDPR).
  • California, Colorado, Virginia: you can toggle “Opt-out of Profiling” in your account privacy dashboard, or send a browser-level Global Privacy Control signal; we will honour it within 15 days.
  • Opting out removes you from personalized recommendations and behavioural advertising but does not stop purely statistical analytics that uses de-identified data.

5.1 Scopul analiticii AI. Folosim modele de învățare automată asupra datelor Tehnice, de Utilizare și Tranzacționale pentru a (a) măsura adoptarea produsului, (b) prezice riscul de reziliere a abonamentului, (c) recomanda cursuri sau conținut relevant și (d) detecta comportamente anormale ce pot indica fraudă ori abuz.

5.2 Fără decizii complet automate cu efect juridic semnificativ. Rezultatele acestor modele sunt instrumente de sprijin pentru personalul nostru; ele nu aprobă ori refuză singure accesul la servicii, nu stabilesc prețuri individuale și nu generează obligații legale. Orice acțiune cu impact material asupra drepturilor dumneavoastră este supusă reviziei umane.

5.3 Temeiuri legale și garanții.

  • Interes legitim (art. 6 (1)(f) GDPR) pentru îmbunătățirea serviciilor și prevenirea abuzurilor, testul de echilibrare este disponibil la cerere.
  • Art. 22 GDPR: aveți dreptul de a nu fi supus unei decizii bazate exclusiv pe prelucrare automată care produce efecte juridice sau similare. Deoarece intervine verificarea umană, art. 22(1) nu se aplică, dar păstrați dreptul la intervenție umană, exprimarea punctului de vedere și contestarea deciziei.
  • Efectuăm audituri periodice de echitate și bias; modelele se ajustează dacă se identifică impact discriminatoriu.

5.4 Drept de opoziție / “Nu doresc profilare”.

  • Rezultatele generate nu sunt utilizate pentru luarea automată a deciziilor sau pentru crearea de profiluri, ci exclusiv ca asistență creativă, cu revizuire umană.
  • UE și Marea Britanie: vă puteți opune profilării în temeiul interesului legitim oricând, din panoul “Setări confidențialitate” sau la dpo@webshockat.com (art. 21 GDPR).
  • California, Colorado, Virginia: puteți dezactiva opțiunea “Opt-out of Profiling” în tabloul de bord al contului sau trimite un semnal Global Privacy Control; vom acționa în maximum 15 zile.
  • Opoziția elimină personalizarea și publicitatea comportamentală, dar nu oprește analitica pur statistică bazată pe date anonimizate.

6. International Transfers & Safeguards

|

6. Transferuri internaționale și măsuri de protecție

6. International Transfers & Safeguards

|

6. Transferuri internaționale și măsuri de protecție

6.1 Primary hosting location. Our core databases and file storage are hosted in data-centers located within the European Economic Area (EEA).

6.2 When transfers occur. Limited personal data may be transferred outside the EEA/UK when we:

  • use global vendors (e.g., Stripe, AWS, Google, Meta, OpenAI, ElevenLabs, Canva AI) that operate servers in the United States or other jurisdictions, relying on SCCs or the EU–U.S. Data-Privacy Framework;
  • provide customer support from staff located in Romania, Bucharest, District 1, Şoseaua NICOLAE TITULESCU, Nr. 48, chamber 02, 2nd floor;
  • handle cross-border payment reconciliation or tax compliance.

6.3 Transfer mechanisms. For every such transfer we implement one of the following safeguards:

  • EU Standard Contractual Clauses (SCC 2021/914) with supplementary technical and organizational measures;
  • UK International Data Transfer Agreement (IDTA) or UK Addendum to the SCC, where applicable;
  • EU–U.S. Data-Privacy Framework certification for participating U.S. providers;
  • BCRs or APEC CBPR/PRP certifications held by certain processors (e.g., Adobe).

6.4 Onward transfers. Sub-processors may not further transfer your data unless they apply equivalent safeguards and notify us in advance.

6.5 Copies on request. You may obtain a redacted copy of the SCC/IDTA relevant to your data by e-mailing dpo@webshockat.com (commercial terms may be blacked out).

6.6 Derogations. In rare cases (e.g., hotel booking for an on-site workshop outside the EEA) we may rely on Art 49(1)(b) GDPR “contract performance” or explicit consent; such transfers are limited and documented.

6.1 Locația principală de găzduire. Bazele de date și fișierele sunt găzduite în centre de date din Spațiul Economic European (SEE).

6.2 Când au loc transferuri. Pot avea loc transferuri limitate de date personale în afara SEE/Marea Britanie atunci când:

  • folosim furnizori globali (ex. Stripe, AWS, Google, Meta, OpenAI, ElevenLabs, Canva AI) cu servere în Statele Unite sau alte jurisdicții, bazându-ne pe Clauzele Contractuale Standard (SCC) sau pe Cadrul de Confidențialitate a Datelor UE–SUA (EU–U.S. Data Privacy Framework);
  • oferim suport clienți prin echipe aflate în Bucureşti Sectorul 1, Şoseaua NICOLAE TITULESCU, Nr. 48, camera 02, Etaj 2;
  • procesăm plăți transfrontaliere ori raportări fiscale.

6.3 Mecanisme de transfer. Pentru fiecare transfer aplicăm una dintre garanțiile de mai jos:

  • Clauzele Contractuale Standard ale UE (SCC 2021/914), împreună cu măsuri tehnice și organizatorice suplimentare;
  • UK IDTA sau Adendumul UK la SCC, după caz;
  • EU–U.S. Data-Privacy Framework pentru furnizorii din SUA certificați;
  • Reguli corporatiste obligatorii (BCR) sau certificări APEC CBPR/PRP ale unor procesatori (ex. Adobe).

6.4 Transferuri ulterioare. Sub-procesatorii nu pot retransfera datele decât dacă aplică garanții echivalente și ne notifică în prealabil.

6.5 Copii la cerere. Puteți solicita o copie redactată a SCC/IDTA relevante, trimițând e-mail la dpo@webshockat.com (clauzele comerciale pot fi ascunse).

6.6 Derogări. În cazuri excepționale (de ex., rezervare hotel pentru un workshop în afara SEE) putem recurge la art. 49(1)(b) GDPR „executarea contractului” sau consimțământ explicit; aceste transferuri sunt limitate și documentate.

7. Data Retention Periods

|

7. Perioade de păstrare a datelor

7. Data Retention Periods

|

7. Perioade de păstrare a datelor

We keep personal data no longer than necessary for the purposes stated in Section 3, while observing statutory retention duties (GDPR Art. 5 (1)(e), Romanian Accounting Law 82/1991, EU VAT Directive, Australian Corporations Act, PIPEDA-Canada).

Data category

Typical retention rule

Rationale / legal basis

Account & identity data

While the account remains active + 3 years after last activity or final invoice

Limitation period for contractual claims (Romanian Civil Code, Art 2517)

Financial & transactional records

10 years from fiscal year-end

Mandatory bookkeeping archive (Law 82/1991, Art 25)

Course-progress logs, quiz scores

Lifetime of the course + 2 years, then anonymised

Maintain certificates and support re-enrolment

Support tickets & call recordings

2 years from ticket closure

Quality assurance & defence against claims

Web/server logs (IP, user-agent)

12 months, then aggregated

Security investigations & anti-fraud (NIS 2 good practice)

Marketing-consent records

Until consent is withdrawn + 2 years

Demonstrate lawful basis (Art 7 GDPR)

Backup copies

Encrypted rolling backups kept 30 days, then overwritten

Disaster-recovery only

Legal holds

Until matter is resolved

Needed for litigation or regulatory inquiry

Deletion & anonymisation.
At the end of each retention window, data are either (a) securely erased, or (b) irreversibly anonymised so that no individual can be re-identified.

User requests.
If you delete your account or exercise the right to erasure, we remove data subject to the exceptions above (e.g., invoices we must keep for 10 years).

Păstrăm datele cu caracter personal doar atât timp cât este necesar pentru scopurile din Secțiunea 3, respectând obligațiile legale de arhivare (art. 5 alin. 1 lit. e GDPR, Legea contabilității 82/1991, Directiva TVA, etc.).

Categorie de date

Regula uzuală de păstrare

Fundament legal / motiv

Date cont și identitate

Cât timp contul este activ + 3 ani după ultima activitate ori ultima factură

Termen general de prescripție (Cod civil art. 2517)

Evidențe financiare și tranzacții

10 ani de la sfârșitul exercițiului fiscal

Arhivă contabilă obligatorie (Legea 82/1991 art. 25)

Progres curs și scoruri teste

Durata cursului + 2 ani, apoi anonimizare

Emitere diplome și re-înscriere

Tichete suport și înregistrări apel

2 ani de la închiderea tichetului

Calitate serviciu și apărare juridică

Loguri server (IP, user-agent)

12 luni, apoi agregare

Investigații securitate / antifraudă

Dovezi consimțământ marketing

Până la retragerea consimțământului + 2 ani

Demonstrarea temeiului (art. 7 GDPR)

Copii backup

Backup-uri criptate rotative 30 zile, apoi suprascriere

Recuperare în caz de dezastru

Blocaj juridic

Până la finalizarea litigiului

Necesare pentru procese sau investigații

Ștergere și anonimizare.
La expirarea fiecărei perioade, datele sunt (a) șterse în siguranță sau (b) anonimizate ireversibil astfel încât persoana să nu mai poată fi identificată.

Solicitările utilizatorilor.
Dacă vă ștergeți contul sau invocați dreptul la ștergere, eliminăm datele, cu excepția celor pe care legea ne obligă să le păstrăm (ex.: facturile pentru 10 ani).

8. How to Exercise Your Privacy Rights

|

8. Cum vă puteți exercita drepturile

8. How to Exercise Your Privacy Rights

|

8. Cum vă puteți exercita drepturile

8.1 Available rights. Depending on your jurisdiction you may exercise the following rights:

GDPR / UK-GDPR

CCPA / CPRA

Brazil LGPD

Description (plain language)

Access (Art 15)

Right to Know

Art 18(I)

Obtain a copy of the personal data we hold about you.

Rectification (Art 16)

Right to Correct

Art 18(III)

Ask us to fix inaccurate or incomplete data.

Erasure / “Right to be forgotten” (Art 17)

Right to Delete

Art 18(VI)

Request deletion of your data, subject to statutory exceptions.

Restriction (Art 18)

Art 18(IV)

Pause processing while a dispute is resolved.

Portability (Art 20)

Art 18(V)

Receive your data in a machine-readable format or have it sent to another controller.

Objection (Art 21)

Opt-out of Sale/Sharing, Profiling

Art 18(IX)

Stop certain processing based on legitimate interest or direct marketing.

Automated decisions (Art 22)

Opt-out of Profiling

Obtain human review of significant automated decisions.

Withdraw consent (Art 7(3))

Art 5(XI)

Revoke consent at any time for future processing.

Non-discrimination

Art 13 CCPA

We will not deny services or charge different prices if you exercise your rights.

8.2 How to submit a request.

  • Online form: “Privacy Settings” link in your account dashboard
  • E-mail: dpo@webshockat.com
  • Postal: Data-Protection Officer, SHOCKWEB VISION S.R.L., Romania, Bucharest, District 1, Şoseaua NICOLAE TITULESCU, Nr. 48, chamber 02, 2nd floor

8.3 Identity verification. We may request reasonable information (e.g., login verification, order ID, photo ID for high-risk requests) to confirm your identity or authority to act on behalf of another person.

8.4 Response timeline. We aim to respond within 30 days (GDPR) or 45 days (CCPA/CPRA). Complex requests may be extended once for an additional 30 days; we will explain the reason.

8.5 Fees. Requests are free of charge unless manifestly unfounded or excessive, in which case we may charge a reasonable fee or refuse the request (Art 12 GDPR).

8.6 Appeals (U.S. states). If you reside in Colorado, Virginia, Connecticut or Utah and are dissatisfied with our response, you may appeal by replying to the decision e-mail; we will review within 45 days.

8.7 Supervisory authority. EU/EEA users may lodge a complaint with the Romanian Data-Protection Authority (ANSPDCP) or with the authority in their habitual residence. UK users may contact the ICO. We encourage contacting us first so we can resolve the issue informally.

8.1 Drepturi disponibile. În funcție de legislația aplicabilă, puteți exercita următoarele drepturi:

GDPR / UK-GDPR

CCPA / CPRA

LGPD Brazilia

Descriere

Acces (art. 15)

Drept de informare

Art. 18(I)

Obțineți o copie a datelor pe care le deținem despre dvs.

Rectificare (art. 16)

Drept de corectare

Art. 18(III)

Corectarea datelor inexacte sau incomplete.

Ștergere / „Dreptul de a fi uitat” (art. 17)

Drept de ștergere

Art. 18(VI)

Ștergerea datelor, sub rezerva excepțiilor legale.

Restricționare (art. 18)

Art. 18(IV)

Suspendarea prelucrării până la rezolvarea unei contestații.

Portabilitate (art. 20)

Art. 18(V)

Primirea datelor într-un format portabil sau transferul lor către alt operator.

Opoziție (art. 21)

Opt-out vânzare/partajare, profilare

Art. 18(IX)

Încetarea anumitor prelucrări bazate pe interes legitim sau marketing direct.

Decizii automate (art. 22)

Opt-out profilare

Intervenție umană asupra deciziilor automate semnificative.

Retragerea consimțământului (art. 7(3))

Art. 5(XI)

Revocarea consimțământului pentru viitor.

Nediscriminare

Art. 13 CCPA

Nu veți fi dezavantajat dacă vă exercitați drepturile.

8.2 Cum transmiteți o solicitare.

  • Formular online: link „Setări confidențialitate” în contul dvs.
  • E-mail: dpo@webshockat.com
  • Poștă: Responsabil Protecția Datelor, SHOCKWEB VISION S.R.L., Bucureşti Sectorul 1, Şoseaua NICOLAE TITULESCU, Nr. 48, camera 02, Etaj 2

8.3 Verificarea identității. Putem solicita informații rezonabile (ex.: verificare login, ID comandă, copie act identitate pentru solicitări sensibile) pentru a confirma identitatea sau împuternicirea de reprezentare.

8.4 Termen de răspuns. Vizăm un răspuns în 30 de zile (GDPR) sau 45 de zile (CCPA/CPRA). Pentru solicitări complexe putem prelungi o singură dată cu 30 de zile, cu informare prealabilă.

8.5 Costuri. Solicitările sunt gratuite; dacă sunt vădit nefondate sau excesive putem percepe o taxă rezonabilă ori refuza solicitarea (art. 12 GDPR).

8.6 Apel (state SUA). Rezidenții din Colorado, Virginia, Connecticut sau Utah pot apela decizia răspunzând la e-mailul primit; vom reevalua în 45 de zile.

8.7 Autoritatea de supraveghere. Utilizatorii din UE pot adresa o plângere ANSPDCP sau autorității din statul lor de reședință. Utilizatorii din UK pot contacta ICO. Vă recomandăm să ne contactați mai întâi pentru o rezolvare amiabilă.

9. Children’s Privacy & Age-Gate

|

9. Protecția copiilor și mecanismul de verificare a vârstei

9. Children’s Privacy & Age-Gate

|

9. Protecția copiilor și mecanismul de verificare a vârstei

9.1 Minimum age. Our Services are not directed to children under sixteen (16) years of age. Users must be (a) 18+ to purchase paid Services or (b) 16–17 with verifiable parental consent, in line with GDPR Art. 8 as implemented in Romania (Law 190/2018) and the UK Age-Appropriate Design Code (AADC).

9.2 Child-directed marketing carve-out. We do not design or target any advertising, e-mail campaign, or promotional content to users under thirteen (13) years of age.

9.3 Minors may purchase courses only with verifiable parental approval; platform does not knowingly market to under-18s.

9.4 Under-16 workflow.

  • During sign-up we require the birth year. If the age entered is 16 or 17, the system triggers a parental-consent flow:
    1. Parent receives an e-mail with a consent link and privacy summary.
    2. Parent verifies identity via small card transaction (USD 0.01) or government-ID match.
    3. Account remains suspended until consent is completed.
  • If age < 16 is entered, registration is blocked.

9.5 COPPA (U.S.) compliance. The Sites are not directed to children under thirteen (13). We do not knowingly collect “personal information” as defined by COPPA. If we learn we have unintentionally stored data from a child under 13, we will delete it within 48 hours.

9.6 Special protections in the AADC & California. Design settings default to “high privacy” for any user who self-declares an age between 16 and 18 or whose age cannot be robustly verified.

9.7 Parental rights. Parents or legal guardians may request access, correction, or deletion of a minor’s data by e-mailing dpo@webshockat.com. We will verify identity before fulfilling the request.

9.8 Education content exception. Course materials intended for K-12 teachers are marketed to adults only. Any classroom use must be initiated by the teacher, who acts as the data controller for student data.

9.9 Reporting. If you believe a child has provided us data without proper consent, please contact dpo@webshockat.com and we will investigate promptly.

9.1 Vârsta minimă. Serviciile noastre nu se adresează copiilor sub șaisprezece (16) ani. Utilizatorii trebuie să fie (a) 18+ pentru a achiziționa Servicii cu plată sau (b) 16–17 cu acordul verificat al părintelui, conform art. 8 GDPR și Legii 190/2018, precum și Codului britanic AADC.

9.2 Excludere privind marketingul către copii. Nu concepem și nu direcționăm publicitate, campanii e-mail sau conținut promoțional către utilizatori cu vârsta sub treisprezece (13) ani.

9.3 Minorii pot achiziționa cursuri doar cu aprobarea verificabilă a unui părinte; platforma nu promovează în mod intenționat serviciile sale către persoane sub 18 ani.

9.4 Flux pentru utilizatori 16–17 ani.

  • La crearea contului solicităm anul nașterii. Dacă utilizatorul are 16 sau 17 ani, se declanșează un flux al obținerii acordului părintelui:
    1. Părintele primește un e-mail cu link de consimțământ și un rezumat al politicii.
    2. Părintele își verifică identitatea printr-o micro-tranzacție (0,01 USD) sau potrivire act de identitate.
    3. Contul rămâne suspendat până la finalizarea procesului de obținere a acordului părintelui.
  • Dacă se introduce o vârstă < 16, înregistrarea este blocată.

9.5 Conformitate COPPA (SUA). Site-urile nu vizează copiii sub treisprezece (13) ani și nu colectăm intenționat “informații personale” definite de COPPA. Dacă aflăm că deținem astfel de date, le ștergem în 48 de ore.

9.6 Protecții suplimentare AADC & California. Setările de confidențialitate sunt “ridicate” în mod implicit pentru utilizatori cu vârsta declarată între 16 și 18 ani sau când vârsta nu poate fi verificată robust.

9.7 Drepturile părinților. Părinții/tutorii pot solicita accesul, corectarea sau ștergerea datelor minorului prin e-mail la dpo@webshockat.com; vom verifica identitatea înainte de procesare.

9.8 Excepție pentru conținut educațional. Materialele destinate profesorilor din învățământul preuniversitar sunt comercializate exclusiv adulților. Orice utilizare la clasă este inițiată de profesor, care devine operator de date pentru elevi.

9.9 Raportare. Dacă suspectați că un copil ne-a furnizat date fără consimțământ prealabil adecvat, contactați dpo@webshockat.com și vom investiga situația în mod prompt.

10. California Privacy Notice (CCPA / CPRA)

|

10. Notificare privind confidențialitatea în California (CCPA / CPRA)

10. California Privacy Notice (CCPA / CPRA)

|

10. Notificare privind confidențialitatea în California (CCPA / CPRA)

10.1 Who is covered. This subsection applies only to “consumers” who reside in the State of California and interact with our Sites or Services. Terms such as “Personal Information,” “Sale,” and “Share” have the meanings assigned in Cal. Civ. Code § 1798.140.

10.2 Personal-information categories collected (last 12 months).

CCPA Category (Cal. Civ. Code § 1798.140)

Collected?

Source

Business or Commercial Purpose

Identifiers (name, e-mail, IP)

Yes

You; cookies

Account creation, fraud prevention

Customer-records information (billing address)

Yes

You

Purchase fulfilment

Commercial information (transaction history)

Yes

You

Tax compliance, analytics

Internet/Network activity

Yes

Cookies, SDKs

Analytics, security

Geolocation (coarse, from IP)

Yes

Cookies

Regional pricing, security

Sensitive PI – precise geolocation, SSN

No

10.3 Sales / Shares / Disclosures.

  • We do not sell Personal Information for monetary consideration.
  • We share identifiers and Internet/Network activity with advertising partners (e.g., Google, Meta) for cross-context behavioural advertising. You may opt out, see § 10.6.
  • We disclose Personal Information to “service providers” and “contractors” (Stripe, AWS, help-desk vendors) solely for the purposes listed in Section 3.

10.4 Your CCPA / CPRA rights.

  • Right to Know: request the specific pieces or categories of Personal Information we have collected, used, disclosed, shared, or sold.
  • Right to Delete: ask us to delete Personal Information, subject to statutory exceptions.
  • Right to Correct: request correction of inaccurate Personal Information.
  • Right to Opt-out of Sale / Share: direct us not to “sell” or “share” Personal Information for cross-context advertising.
  • Right to Limit Use of Sensitive PI (not applicable, none collected).
  • Right to Non-discrimination: we will not deny goods, charge different prices, or provide a different level of quality if you exercise your rights.

10.5 How to exercise your rights.

  • Web form / dashboard: click “Do Not Sell or Share My Personal Information” in the footer or visit [DO_NOT_SELL_URL].
  • Global Privacy Control (GPC): we treat a valid GPC signal as an opt-out request.
  • E-mail or phone: e-mail dpo@webshockat.com or call +40 756 819 182.
    Identity-verification steps may apply. We will respond within 45 days (may be extended once by 45 days with notice).

10.6 Appeals. If we refuse your request, you may appeal by replying to the decision e-mail; we will review within 45 days.

10.1 Cine este vizat. Această subsecțiune se aplică exclusiv „consumatorilor” rezidenți în statul California care utilizează Site-urile sau Serviciile noastre. Termenii „Informații personale”, „Vânzare” și „Partajare” au sensul din Codul civil al Californiei § 1798.140.

10.2 Categorii de informații personale colectate (ultimele 12 luni).

Categorie CCPA

Colectată?

Sursă

Scop comercial / de afaceri

Identificatori (nume, e-mail, IP)

Da

Dumneavoastră; cookie-uri

Creare cont, prevenire fraudă

Date de evidență client (adresă facturare)

Da

Dumneavoastră

Finalizare achiziție

Informații comerciale (istoric tranzacții)

Da

Dumneavoastră

Conformitate fiscală, analitică

Activitate internet/rețea

Da

Cookie-uri, SDK-uri

Analitică, securitate

Geolocație aproximativă (din IP)

Da

Cookie-uri

Prețuri regionale, securitate

PI sensibilă: geolocație precisă, SSN

Nu

10.3 Vânzări / Partajări / Divulgări.

  • Nu vindem Informații personale contra bani.
  • Partajăm identificatori și activitate internet/rețea cu parteneri de publicitate (Google, Meta) pentru reclame personalizate. Puteți renunța, vezi § 10.5.
  • Divulgăm informații personale furnizorilor de servicii (Stripe, AWS, help-desk) doar în scopurile din Secțiunea 3.

10.4 Drepturile dumneavoastră CCPA / CPRA.

  • Dreptul de a cunoaște informațiile colectate, utilizate, divulgate, partajate sau vândute.
  • Dreptul de ștergere a informațiilor, cu excepțiile legale.
  • Dreptul de corectare a datelor inexacte.
  • Dreptul de opt-out din vânzare / partajare pentru publicitate în context încrucișat.
  • Dreptul de a limita utilizarea PI sensibile (nu se aplică, nu colectăm).
  • Dreptul la nediscriminare.

10.5 Cum vă exercitați drepturile.

  • Formular web / tabloul de bord: faceți clic pe „Do Not Sell or Share My Personal Information” din subsol sau accesați [DO_NOT_SELL_URL].
  • Global Privacy Control: tratăm un semnal GPC valid ca cerere de opt-out.
  • E-mail / telefon: scrieți la dpo@webshockat.com sau apelați +40 756 819 182.
    Putem solicita verificarea identității. Vom răspunde în 45 de zile (o singură prelungire de 45 de zile cu notificare).

10.6 Apel. Dacă respingem cererea, puteți face apel răspunzând la e-mailul deciziei; vom reevalua în 45 de zile.

11. Supervisory Authority & Complaint Rights

|

11. Autoritatea de supraveghere și dreptul de a formula plângere

11. Supervisory Authority & Complaint Rights

|

11. Autoritatea de supraveghere și dreptul de a formula plângere

You have the right to lodge a complaint with your local data-protection authority if you believe our processing of your personal data infringes applicable law.
Our lead supervisory authority is:

Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
B-d. G-ral Gheorghe Magheru nr. 28-30, Sector 1, 010336 Bucharest, Romania
Tel. +40 318 059 211 │ Fax +40 318 059 602 │ www.dataprotection.ro │ e-mail: anspdcp@dataprotection.ro

If you reside in another EEA country or the United Kingdom, you may also complain to the authority in your habitual place of residence. We encourage you to contact us first at dpo@webshockat.com so that we can address your concerns promptly.

Aveți dreptul de a depune o plângere la autoritatea de protecție a datelor dacă apreciați că prelucrarea datelor dvs. personale încalcă legislația aplicabilă.
Autoritatea principală pentru noi este:

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
B-dul G-ral Gheorghe Magheru nr. 28-30, Sector 1, 010336 București, România
Tel. +40 318 059 211 │ Fax +40 318 059 602 │ www.dataprotection.ro │ e-mail: anspdcp@dataprotection.ro

Dacă aveți reședința într-un alt stat SEE sau în Regatul Unit, puteți depune plângerea și la autoritatea din statul dumneavoastră de domiciliu. Vă recomandăm să ne contactați mai întâi la dpo@webshockat.com pentru a putea rezolva rapid problema pe cale amiabilă.

12. Changes to This Policy

|

12. Modificări ale acestei politici

12. Changes to This Policy

|

12. Modificări ale acestei politici

12.1 Annual review. We review this Privacy & Cookie Policy at least once every 12 months to comply with the California Privacy Rights Act (CPRA) and GDPR transparency duties. The “Last-modified” date at the top of the page reflects the most recent update.

12.2 Material changes. If we make changes that materially affect the way we collect, use, or share personal data, we will:

  • post a prominent banner on all Sites and in the account dashboard, and
  • e-mail registered users at least 30 days before the change takes effect.

12.3 Minor updates. Editorial or clarifying edits that do not alter your rights or our obligations (e.g., adding a new cookie to the CMP list) will take effect immediately and be reflected in the Last-modified date.

12.4 Your continued use. Continuing to use the Sites after the effective date of any update constitutes acceptance of the revised Policy. If you disagree with a material change, you may delete your account or contact dpo@webshockat.com to exercise your rights before the change applies.

12.5 Archive. We keep prior versions of this Policy for eight (8) years. You may request a copy by e-mailing dpo@webshockat.com.

12.1 Revizuire anuală. Revizuim Politica de Confidențialitate și Cookie-uri cel puțin o dată la 12 luni pentru a respecta CPRA și obligațiile de transparență GDPR. Data „Ultimei modificări” din partea de sus indică cea mai recentă actualizare.

12.2 Modificări semnificative. Dacă schimbările afectează în mod substanțial modul în care colectăm, utilizăm sau partajăm datele personale, vom:

  • afișa un banner vizibil pe toate Site-urile și în contul utilizatorului și
  • trimite un e-mail utilizatorilor înregistrați cu cel puțin 30 zile înainte ca modificarea să intre în vigoare.

12.3 Actualizări minore. Modificările editoriale sau clarificările care nu vă afectează drepturile și nici obligațiile noastre (de exemplu, adăugarea unui nou cookie în lista CMP) se aplică imediat și sunt reflectate în data Ultimei modificări.

12.4 Continuarea utilizării. Continuarea utilizării Site-urilor după data intrării în vigoare a oricărei actualizări constituie acceptarea Politicii revizuite. Dacă nu sunteți de acord cu o modificare semnificativă, vă puteți șterge contul sau puteți contacta dpo@webshockat.com pentru a vă exercita drepturile înainte ca modificarea să se aplice.

12.5 Arhivă. Păstrăm versiunile anterioare ale acestei Politici timp de opt (8) ani. Puteți solicita o copie prin e-mail la dpo@webshockat.com.

13. Third-Party Processors & Sub-processors

|

13. Lista procesatorilor și sub-procesatorilor terți

13. Third-Party Processors & Sub-processors

|

13. Lista procesatorilor și sub-procesatorilor terți

Under GDPR Art. 28 we must disclose the external service providers (“processors” or “sub-processors”) that may process Personal Data on our behalf. The list below is current as of the Last-modified date. We sign a Data-Processing Agreement (DPA) with every vendor and implement an appropriate transfer mechanism (see § 6). An up-to-date list is always available at https://webshockat.com/subprocessors/.

#

Vendor

Primary location

Service provided

Transfer safeguard

1

Amazon Web Services (AWS)

EU (Frankfurt, Dublin)

Cloud hosting, database, S3 object storage

Data stored in EEA; SCCs for U.S. support

2

Stripe, Inc.

USA

Payment processing, fraud detection

EU–U.S. Data-Privacy Framework; SCCs

3

PayPal (Europe) S.à r.l.

Luxembourg / USA

Alternative payment method

SCCs for U.S. transfers

4

SendGrid / Twilio

USA

Transactional e-mail delivery

EU–U.S. DPF; SCCs

5

Google LLC (Google Cloud & Analytics)

USA / EU

Analytics, tag manager, reCAPTCHA

EU–U.S. DPF; SCCs

6

Meta Platforms Ireland Ltd.

Ireland / USA

Login OAuth, ad retargeting

SCCs + Supplementary measures

7

Hotjar Ltd.

EU (Ireland)

Session replay & heat-maps

Data stored in EU; no U.S. transfer

8

Freshdesk (Freshworks Inc.)

EU / USA

Help-desk ticketing

SCCs

9

OpenAI, L.L.C.

USA

AI model inference (chatbot)

SCCs; encryption in transit

10

Cloudflare, Inc.

Global

CDN, WAF, DDoS mitigation

SCCs + intra-EU log storage

We will notify you at least 30 days in advance of onboarding a new sub-processor by e-mail and via our status page.

În conformitate cu art. 28 GDPR, dezvăluim furnizorii externi (“procesatori” ori “sub-procesatori”) care pot prelucra Date cu Caracter Personal în numele nostru. Lista de mai jos este actuală la data Ultimei modificări. Încheiem un Acord de Prelucrare a Datelor (DPA) cu fiecare furnizor și aplicăm mecanisme de transfer adecvate (vezi § 6). O listă actualizată este disponibilă permanent la https://webshockat.com/subprocessors/.

#

Furnizor

Locație principală

Serviciu

Garanție transfer

1

Amazon Web Services (AWS)

UE (Frankfurt, Dublin)

Găzduire cloud, baze de date, S3

Date în SEE; SCC pentru suport SUA

2

Stripe, Inc.

SUA

Procesare plăți, antifraudă

EU–U.S. DPF; SCC

3

PayPal (Europe) S.à r.l.

Luxemburg / SUA

Metodă alternativă de plată

SCC pentru transfer SUA

4

SendGrid / Twilio

SUA

Trimitere e-mail tranzacțional

EU–U.S. DPF; SCC

5

Google LLC

SUA / UE

Analytics, tag manager, reCAPTCHA

EU–U.S. DPF; SCC

6

Meta Platforms Ireland Ltd.

Irlanda / SUA

OAuth login, retargeting

SCC + măsuri suplimentare

7

Hotjar Ltd.

UE (Irlanda)

Replaying sesiune și heat-maps

Date stocate în UE

8

Freshdesk (Freshworks Inc.)

UE / SUA

Help-desk ticketing

SCC

9

OpenAI, L.L.C.

SUA

Inferență modele de IA (chatbot)

SCC; criptare în tranzit

10

Cloudflare, Inc.

Global

CDN, WAF, protecție DDoS

SCC + stocare loguri în UE

Vom notifica utilizatorii cu cel puțin 30 de zile înainte de a adăuga un nou sub-procesator, prin e-mail și pe pagina noastră de status.

14. Security Measures Snapshot

|

14. Sumar al măsurilor de securitate

14. Security Measures Snapshot

|

14. Sumar al măsurilor de securitate

We apply a defence-in-depth strategy aligned with NIS 2, ISO 27001, and NIST CSF principles. Below is a high-level overview; the full control set is published in our Security & Responsible-AI Statement.

Layer

Key controls

Data in transit

TLS 1.3 with forward secrecy; HSTS; DNSSEC on all domains.

Data at rest

AES-256 encryption for databases & object storage; customer secrets double-encrypted with KMS-managed keys.

Identity & access

SSO/MFA for all staff; least-privilege IAM roles; quarterly access reviews.

Application security

OWASP-top-10 code scans (SAST/DAST) on every CI pipeline; annual third-party penetration test; secure SDLC training.

Infrastructure

Hardened container images; automated patching within 72 h for critical CVEs; zero-trust network segmentation; WAF & DDoS protection via Cloudflare.

Monitoring & logging

Centralised SIEM, 30-day hot logs, anomaly detection with ML models; 24 × 7 alerting.

Back-up & DR

Encrypted nightly backups stored in a separate AWS region; quarterly restore tests; RPO ≤ 24 h, RTO ≤ 4 h.

Incident response

Documented IRP; 1-hour P1 response (see § 15 SLA); mandatory breach notification within 72 h under GDPR Art. 33.

Employee safeguards

Background checks for all employees with production access; annual security & privacy training; signed confidentiality agreements.

Aceste controale sunt revizuite trimestrial și actualizate pe măsură ce peisajul amenințărilor evoluează.

Aplicăm o strategie „defence-in-depth” în conformitate cu NIS 2, ISO 27001 și cadrul NIST CSF. Prezentăm mai jos o sinteză; setul complet de controale se regăsește în Declarația de Securitate și IA Responsabilă.

Strat

Controale cheie

Date în tranzit

TLS 1.3 cu forward secrecy; HSTS; DNSSEC pe toate domeniile.

Date în repaus

Criptare AES-256 pentru baze de date și obiect storage; secretele clienților dublu-criptate cu chei KMS.

Identitate și acces

SSO/MFA pentru tot personalul; roluri IAM cu privilegii minime; revizuiri trimestriale de acces.

Securitate aplicație

Scanări SAST/DAST pe fiecare pipeline; pentest anual extern; SDLC securizat.

Infrastructură

Imagini container hardenizate; patching automat < 72 h pentru CVE critice; segmentare rețea zero-trust; WAF & protecție DDoS Cloudflare.

Monitorizare și logare

SIEM centralizat, loguri „hot” 30 zile, detecție anomalii cu ML; alertare 24 × 7.

Backup & DR

Backup criptat zilnic într-o regiune AWS separată; teste trimestriale de restaurare; RPO ≤ 24 h, RTO ≤ 4 h.

Răspuns la incidente

Plan IR documentat; răspuns P1 în 1 oră (vezi SLA § 15); notificare breșă în max. 72 h conform art. 33 GDPR.

Măsuri angajați

Verificări background pentru acces producție; training anual securitate și privacy; acorduri de confidențialitate semnate.

Aceste controale sunt revizuite trimestrial și actualizate pe măsură ce peisajul amenințărilor evoluează.

15. Automated Marketing Communications & Opt-out

|

15. Comunicații de marketing automatizate și drept de dezabonare

15. Automated Marketing Communications & Opt-out

|

15. Comunicații de marketing automatizate și drept de dezabonare

15.1 What we send. With your prior consent we may deliver:

  • E-mail newsletters, product updates, promotional offers, webinar invitations;
  • Browser push notifications;
  • In-app messages and remarketing e-mails triggered by abandoned carts or course progress.

15.2 How we obtain consent.

  • EU / UK (PECR, GDPR): unticked checkbox or double opt-in e-mail; consent record stored with timestamp and IP.
  • Canada (CASL): express consent via double opt-in; implied consent expires 24 months after last purchase.
  • U.S. (CAN-SPAM): initial e-mails may be sent to existing customers under “existing relationship,” but all commercial messages include an opt-out link.

15.3 How to unsubscribe.

  • Click “Unsubscribe” in any marketing e-mail footer;
  • Open Account → Notifications → Marketing and toggle off;
  • E-mail dpo@webshockat.com  with subject “Opt-out.”

We honour requests within 10 Business Days (CAN-SPAM requirement). Transactional or service messages (order confirmations, security alerts) will continue.

15.4 Suppression list. Your e-mail will be placed on a hashed suppression list to ensure we do not re-market to you. The list is retained indefinitely for compliance purposes.

15.5 Push-notification control. Browser push relies on the permission prompt built into Chrome, Firefox, Edge, Safari. Revoke at any time in your browser settings or via the in-app “Disable push” toggle.

15.6 SMS marketing (if enabled). SMS are sent only to numbers that have opted in via a compliant keyword (e.g., “JOIN”) and include STOP instructions. Carrier fees may apply.

15.7 No third-party selling. We never sell your contact details to third parties for their own marketing. Any joint promotion will be clearly identified and will respect the opt-in/opt-out choices above.

15.1 Ce trimitem. Cu consimțământul dumneavoastră putem transmite:

  • Newslettere, noutăți despre produse, oferte promoționale, invitații la webinare;
  • Notificări push în browser;
  • Mesaje in-app și e-mailuri de retargetare (ex. abandon coș, progres curs).

15.2 Cum obținem consimțământul.

  • UE / UK (PECR, GDPR): căsuță nebifată din start sau dublu opt-in; consimțământul este înregistrat cu dată, oră și IP.
  • Canada (CASL): consimțământ expres prin dublu opt-in; consimțământul implicit expiră la 24 luni de la ultima achiziție.
  • SUA (CAN-SPAM): mesajele comerciale către clienți existenți respectă cerințele de dezabonare.

15.3 Cum vă dezabonați.

  • Faceți clic pe „Unsubscribe” în subsolul oricărui e-mail de marketing;
  • Mergeți la Cont → Notificări → Marketing și dezactivați;
  • Trimiteți e-mail la dpo@webshockat.com cu subiect „Dezabonare”.

Solicitările sunt implementate în maximum 10 zile lucrătoare. Mesajele tranzacționale (confirmări comandă, alerte securitate) continuă.

15.4 Listă de suprimare. Adresa dumneavoastră este păstrată într-o listă hash-uită pentru a preveni re-trimiterea de marketing; lista se păstrează pe termen nedeterminat în scop de conformitate.

15.5 Control notificări push. Notificările push se bazează pe permisiunea din browser (Chrome, Firefox, Edge, Safari). Puteți revoca oricând din setările browser-ului sau din aplicație la „Dezactivează push”.

15.6 SMS marketing (dacă este activat). SMS-urile se trimit doar numerelor care au optat printr-un cuvânt-cheie (ex.: „JOIN”) și includ instrucțiunea STOP. Pot exista costuri de operator.

15.7 Fără vânzare către terți. Nu vindem datele dvs. de contact unor terți pentru marketingul lor propriu. Orice promoție comună va fi clar identificată și va respecta opțiunile de consimțământ/dezabonare.

16. Do Not Track & Global Privacy Control Response

|

16. Răspunsul la Do Not Track & Global Privacy Control

16. Do Not Track & Global Privacy Control Response

|

16. Răspunsul la Do Not Track & Global Privacy Control

16.1 Do Not Track (DNT) header. Most modern browsers still allow users to send an HTTP “DNT: 1” signal. Because there is no industry-standard definition of how websites should interpret this header, our Sites do not respond to DNT. Instead, please use the Consent-Management Platform banner (§ 4) or your browser’s cookie settings.

16.2 Global Privacy Control (GPC). We honour the GPC signal as defined at https://globalprivacycontrol.org:

  • When a valid GPC signal is detected, we treat it as an opt-out of “sale” or “sharing” of Personal Information for cross-context behavioural advertising under the California CPRA and Colorado CPA.
  • The opt-out applies to the specific browser or extension that sends the signal; it does not affect other devices or profiles unless they also transmit GPC.
  • You will still see contextual (non-personalised) ads and first-party cookies necessary for site functionality.

16.3 Verification & status. You can confirm GPC reception by opening the Cookie Settings panel, under “Your privacy choices” we display the current GPC status (“Detected” / “Not detected”).

16.1 Antetul Do Not Track (DNT). Unele browsere permit trimiterea antetului HTTP „DNT: 1”. Întrucât nu există un standard unanim acceptat privind interpretarea sa, Site-urile noastre nu răspund la DNT. Vă rugăm să folosiți bannerul CMP (§ 4) sau setările de cookie ale browser-ului pentru a vă gestiona preferințele.

16.2 Global Privacy Control (GPC). Tratăm semnalul GPC ca pe un opt-out din „vânzarea” sau „partajarea” de informații personale pentru publicitate comportamentală, în conformitate cu legislația din California (CPRA) și Colorado (CPA):

  • Opt-out-ul se aplică doar browser-ului/dispozitivului care transmite semnalul; alte dispozitive rămân neafectate până când activează și ele GPC.
  • Veți continua să primiți reclame contextuale și cookie-uri strict necesare funcționării site-ului.

16.3 Verificare și status. Puteți verifica detectarea GPC deschizând panoul Setări cookie, în secțiunea „Opțiunile dvs. de confidențialitate” afișăm statusul GPC („Detectat” / „Nedetectat”).

17. UK & Other Regional Addenda

|

17. Anexe regionale – Regatul Unit și alte jurisdicții

17. UK & Other Regional Addenda

|

17. Anexe regionale – Regatul Unit și alte jurisdicții

This Policy is intended to be globally applicable. Where local laws impose additional or different requirements, the following addenda apply in addition to the main text:

Region / Law

Key deviations from main Policy

United Kingdom – UK GDPR / Data Protection Act 2018

• “Controller” is SHOCKWEB VISION S.R.L., contactable via dpo@webshockat.com.
• Standard Contractual Clauses are interpreted together with the UK International Data Transfer Addendum (IDTA).
• Individuals may complain to the Information Commissioner’s Office (ICO), ico.org.uk.

United States – State privacy laws
Virginia VCDPA (2023)
Colorado CPA (2023)
Texas TDPSA (2024)
Iowa ADPA (2025)

• Rights mirror CCPA (§ 10) but apply to “personal data” rather than “personal information.”
• Opt-out of “targeted advertising” and “profiling in furtherance of decisions that produce legal effects” is available in the Privacy Settings dashboard.
• Appeals process: reply to the decision e-mail within 30 days; we respond within 45 days.

Australia – Privacy Act (reform proposals 2025)

• We rely on Australian Privacy Principle 8.2 (binding contract) for overseas disclosures.
• Direct-marketing e-mails comply with the Spam Act 2003; unsubscribe implemented within 5 business days.
• APP 11.1 security measures align with § 14 snapshot.

Brazil – LGPD

• The lawful bases listed in § 3 map to LGPD art. 7 (e.g., Legitimate Interest = art. 7 IX).
• Data subjects can complain to the ANPD at anpd.gov.br.

Canada – PIPEDA & Québec Law 25

• Cross-border transfers rely on contractual safeguards and encryption.
• Individuals have the right to data portability starting 22 Sept 2024 (Québec).

Switzerland – nFADP (2023)

• “Sensitive data” definition follows nFADP art. 5 (e.g., biometric data).
• Swiss users may lodge complaints with the FDPIC.

These regional clauses override any conflicting provision in the main body only for residents of the respective jurisdiction.

Această Politică are aplicabilitate globală. Unde legile locale impun cerințe suplimentare sau diferite, se aplică pe lângă textul principal următoarele anexe:

Regiune / Lege

Abateri principale față de Politică

Regatul Unit – UK GDPR / Data Protection Act 2018

• „Operator” este SHOCKWEB VISION S.R.L., e-mail dpo@webshockat.com.
• Clauzele Contractuale Standard se interpretează împreună cu UK IDTA.
• Reclamații la Information Commissioner’s Office (ICO), ico.org.uk.

State SUA
Virginia VCDPA (2023)
Colorado CPA (2023)
Texas TDPSA (2024)
Iowa ADPA (2025)

• Drepturi similare CCPA (§ 10), dar aplicate „datelor personale”.
• Opt-out din „targeted advertising” și profilare cu efecte juridice în Setări confidențialitate.
• Procedură de apel: răspundeți la e-mail în 30 zile; răspundem în 45 zile.

Australia – Privacy Act (reformă 2025)

• Ne bazăm pe APP 8.2 (contract obligatoriu) pentru transferuri externe.
• E-mailurile de marketing respectă Spam Act 2003; dezabonare în 5 zile lucrătoare.
• Măsurile APP 11.1 corespund secțiunii 14.

Brazilia – LGPD

• Temeiurile din § 3 corespund art. 7 LGPD.
• Reclamații la ANPD, anpd.gov.br.

Canada – PIPEDA și Legea 25 Québec

• Transferurile transfrontaliere se bazează pe clauze contractuale și criptare.
• Dreptul la portabilitate (Québec) disponibil de la 22 sept 2024.

Elveția – nFADP (2023)

• „Date sensibile” conform art. 5 nFADP.
• Reclamații la FDPIC.

Aceste clauze regionale prevalează asupra prevederilor contradictorii din textul principal doar pentru rezidenții jurisdicției respective.

18. Data-Protection Officer & EU / U.K. Representative

|

18. Responsabil cu protecția datelor și Reprezentant UE / Regatul Unit

18. Data-Protection Officer & EU / U.K. Representative

|

18. Responsabil cu protecția datelor și Reprezentant UE / Regatul Unit

18.1 Designated Data-Protection Officer (DPO).
In accordance with GDPR Art. 37(1)(b)–(c) we have appointed a DPO to oversee privacy compliance and serve as your primary contact for data-protection matters:

  • Name: Lia Diaconu
  • E-mail: dpo@webshockat.com
  • Postal: Data-Protection Officer, SHOCKWEB VISION S.R.L., Romania, Bucharest, District 1, Şoseaua NICOLAE TITULESCU, Nr. 48, chamber 02, 2nd floor, Romania
  • Phone (optional): +40 756 819 182

18.2 EU Representative.
Because SHOCKWEB VISION S.R.L. is established in Romania (an EU Member State), no separate EU representative is required under GDPR Art. 27.

18.3 U.K. Representative (UK GDPR Art. 27).
For data subjects in the United Kingdom we have appointed:

  • Representative: Lia Diaconu
  • Address: Romania, Bucharest, District 1, Şoseaua NICOLAE TITULESCU, Nr. 48, chamber 02, 2nd floor
  • E-mail: dpo@webshockat.com (please add “UK GDPR query” in the subject line)

The U.K. representative is authorised to act on our behalf regarding U.K. data-protection obligations and to receive communications from the Information Commissioner’s Office (ICO).

18.4 Swiss & Other Regional Contacts.
If required by local law (e.g., nFADP), we will designate additional representatives and publish their details at https://webshockat.com/subprocessors/.

18.1 Responsabil cu protecția datelor (DPO).
Conform art. 37 alin. (1) lit. b)–c) GDPR am numit un DPO care supraveghează respectarea confidențialității și reprezintă punctul principal de contact pentru probleme legate de protecția datelor:

  • Nume: Lia Diaconu
  • E-mail: dpo@webshockat.com
  • Adresă poștală: Responsabil Protecția Datelor, SHOCKWEB VISION S.R.L., România, Bucureşti Sectorul 1, Şoseaua NICOLAE TITULESCU, Nr. 48, camera 02, Etaj 2, România
  • Telefon (opțional): +40 756 819 182

18.2 Reprezentant UE.
Deoarece SHOCKWEB VISION S.R.L.  are sediul în România (stat membru UE), nu este necesar un reprezentant separat conform art. 27 GDPR.

18.3 Reprezentant în Regatul Unit (art. 27 UK GDPR).
Pentru persoanele vizate din Regatul Unit am desemnat:

  • Reprezentant: Lia Diaconu
  • Adresă: România, Bucureşti Sectorul 1, Şoseaua NICOLAE TITULESCU, Nr. 48, camera 02, Etaj 2
  • E-mail: dpo@webshockat.com (vă rugăm să menționați „UK GDPR” în subiect)

Reprezentantul din U.K. este autorizat să acționeze în numele nostru privind obligațiile de protecție a datelor și să primească comunicări de la ICO.

18.4 Contacte suplimentare (Elveția etc.).
Dacă legislația locală (ex. nFADP) impune, vom desemna reprezentanți suplimentari și vom publica detaliile lor la https://webshockat.com/subprocessors/.

19. Legitimate-Interest Balancing Tests (LIBT)

|

19. Testele de echilibrare pentru interes legitim (LIBT)

19. Legitimate-Interest Balancing Tests (LIBT)

|

19. Testele de echilibrare pentru interes legitim (LIBT)

Under GDPR Recital 47 we rely on legitimate interest for certain processing activities listed in § 3 (e.g., security monitoring, service-improvement analytics, customer-relationship e-mails). For each activity we have completed a documented Legitimate-Interest Balancing Test (LIBT) that weighs:

  1. Purpose test – clearly defined business objective;
  2. Necessity test – whether the same purpose can be achieved with less intrusive means;
  3. Balancing test – potential impact on fundamental rights and the safeguards applied (pseudonymisation, opt-out, data-minimisation);

The compiled assessments are available as a single PDF:

Download: https://webshockat.com/legitimate-interest-balancing-tests/
(Version 1 – updated annually)

You may request a signed copy or ask follow-up questions by contacting dpo@webshockat.com.

În temeiul Considerentului 47 GDPR folosim interesul legitim pentru anumite prelucrări enumerate la § 3 (de ex. monitorizare securitate, analitică de îmbunătățire a serviciului, e-mailuri de relație cu clienții). Pentru fiecare activitate am realizat un Test de echilibrare a interesului legitim (LIBT), care analizează:

  1. Testul scopului – obiectiv de afaceri clar definit;
  2. Testul necesității – dacă scopul poate fi atins prin mijloace mai puțin intruzive;
  3. Testul de echilibrare – impactul potențial asupra drepturilor fundamentale și garanțiile aplicate (pseudonimizare, posibilitate de opt-out, minimizarea datelor);

Evaluările sunt disponibile într-un singur fișier PDF:

Descărcare: https://webshockat.com/legitimate-interest-balancing-tests/
(Versiunea 1 – actualizare anuală)

Puteți solicita o copie semnată sau clarificări suplimentare la dpo@webshockat.com.

20. Historical Revision Log

|

20. Jurnal de revizii istorice

20. Historical Revision Log

|

20. Jurnal de revizii istorice

We maintain a public changelog so that you can track how this Privacy & Cookie Policy evolves over time. Major changes (those that alter your rights or our obligations) are highlighted in bold.

Version

Date (YYYY-MM-DD)

Summary of changes

V3.5

2025-08-01

Introduced cookie CMP banner; updated sub-processor list.

v3.0

2025-07-25

Full rewrite to align with EU NIS 2, CPRA “Share” definitions, and Australian Privacy-Act reforms; added Sections 17–20.

v2.5

2025-07-18

Added Global Privacy Control (§ 16) and AI Profiling disclosure (§ 5).

   

v1.0

2025-02-01

Initial release at product launch.

Older versions (v0.x beta) are archived. You may request any historical copy by e-mailing dpo@webshockat.com.

Păstrăm un jurnal public al modificărilor pentru ca utilizatorii să urmărească evoluția acestei Politici de Confidențialitate și Cookie-uri. Schimbările majore (care afectează drepturile dumneavoastră sau obligațiile noastre) sunt marcate cu bold.

Versiune

Dată (AAAA-LL-ZZ)

Rezumat modificări

V3.5

2025-08-01

Implementat banner CMP pentru cookie-uri; actualizat lista sub-procesatori.

v3.0

2025-07-25

Rescriere completă pentru aliniere la NIS 2, definițiile „Share” din CPRA și reformele din Australia; adăugate Secțiunile 17–20.

v2.0

2025-07-18

Adăugat Global Privacy Control (§ 16) și declarație privind profilarea IA (§ 5).

   

v1.0

2025-02-01

Lansare inițială la debutul produsului.

Versiunile mai vechi (v0.x beta) sunt arhivate. Puteți solicita orice copie istorică prin e-mail la dpo@webshockat.com.

Subprocessors
Legitimate Interest Balancing Tests (LIBT)