Politica de confidentialitate
Acest document descrie cum platforma ClubManager colecteaza, foloseste, stocheaza si protejeaza datele cu caracter personal ale utilizatorilor, in conformitate cu Regulamentul UE 2016/679 (GDPR) si cu Legea nr. 190/2018 privind masurile de aplicare a GDPR in Romania.
1. Cine suntem (operatorul de date)
Platforma ClubManager este oferita ca instrument de management pentru cluburile sportive afiliate. Pentru datele introduse de un club, operatorul de date este clubul respectiv (persoana juridica — asociatie sportiva, club de drept privat sau structura recunoscuta de Legea educatiei fizice si sportului nr. 69/2000). Furnizorul platformei (ClubManager) actioneaza ca persoana imputernicita in sensul art. 28 GDPR, pe baza unui contract de prelucrare incheiat cu fiecare club.
Pentru datele tehnice (cont, autentificare, sesiuni, jurnale de audit, notificari push), operatorul este furnizorul ClubManager. Detaliile de contact sunt in sectiunea 16.
2. Ce date colectam
Colectam strict datele necesare functionarii platformei si indeplinirii obligatiilor legale ale clubului.
| Categorie | Date concrete |
|---|---|
| Identificare | Nume, prenume, data nasterii, sex, nationalitate, CNP (sau echivalent strain), seria/numarul actului de identitate. |
| Contact | Adresa de e-mail, numar de telefon, adresa postala (strada, oras, judet, tara, cod postal). |
| Cont si autentificare | Nume utilizator, parola (stocata exclusiv ca hash bcrypt), token-uri de sesiune, jurnale de logare (IP, user-agent, data). |
| Date sportive | Categoria de varsta, echipa, antrenor, statut (activ/inactiv/transferat), istoric prezente, statistici de joc, performante. |
| Date medicale sportive | Aviz medico-sportiv valabil (data emiterii, data expirarii, document scanat), eventuale restrictii medicale comunicate de parinte/tutore. Nu colectam dosar medical complet. |
| Documente justificative | Cerere de inscriere, acord parental, copie CI/certificat de nastere — pastrate criptat in stocare cu acces restrans. |
| Date financiare | Cotizatii achitate/restante, metoda de plata (fara numar de card complet), facturi emise. Nu stocam datele complete ale cardului bancar. |
| Date privind parinti/tutori | Nume, prenume, CNP, contact, relatie cu sportivul minor (mama, tata, tutore legal), acord GDPR digital semnat. |
| Comunicari | Continutul mesajelor de chat, anunturilor, notificarilor push si email-urilor trimise prin platforma. |
| Tehnice | Adresa IP, user-agent, token de notificari push (Firebase Cloud Messaging), preferinte de tema (dark/light). |
Nu colectam: date biometrice (amprenta, recunoastere faciala), opinii politice, religioase, orientare sexuala, date despre condamnari penale, date despre apartenenta sindicala.
3. Scopurile prelucrarii si temeiul juridic
Fiecare prelucrare are un scop precis si un temei juridic dintre cele prevazute la art. 6 alin. (1) GDPR.
| Scop | Date folosite | Temei juridic |
|---|---|---|
| Crearea si administrarea contului de sportiv/personal/parinte | Identificare, contact, cont | Art. 6(1)(b) GDPR — executarea contractului de afiliere la club |
| Eliberarea legitimatiei sportive si afiliere la federatii | Identificare, CNP, data nasterii, fotografie | Art. 6(1)(c) GDPR — obligatie legala (Legea 69/2000, regulamentele federatiilor sportive nationale) |
| Evidenta cotizatiilor si emiterea facturilor | Identificare, financiare | Art. 6(1)(c) GDPR — obligatii fiscale si contabile (Legea contabilitatii nr. 82/1991, Codul fiscal — Legea 227/2015) |
| Verificarea avizului medical sportiv | Date medicale sportive | Art. 6(1)(c) si art. 9(2)(b) GDPR — obligatii in materie sportiva si de protectie a sanatatii minorilor |
| Comunicare cu parintele/tutorele privind activitatea minorului | Contact parinte, mesaje, notificari push | Art. 6(1)(b) si (f) GDPR — executarea contractului si interes legitim al clubului si al parintelui |
| Trimiterea de anunturi si notificari privind activitatea clubului | Contact, token push | Art. 6(1)(a) GDPR — consimtamant (poate fi retras oricand) |
| Securitate, audit, prevenirea fraudei | IP, jurnale, user-agent | Art. 6(1)(f) GDPR — interes legitim (securitatea sistemului) |
| Stiri si imbunatatire produs (date anonimizate) | Statistici de utilizare fara identificatori | Art. 6(1)(a) GDPR — consimtamant, optional |
4. Codul Numeric Personal — temei special
CNP-ul este un numar de identificare nationala si beneficiaza de protectie suplimentara, fiind reglementat de art. 4 alin. (1) lit. (a) din Legea nr. 190/2018.
Colectam CNP-ul exclusiv pentru:
- Intocmirea dosarului de legitimare sportiva (obligatie legala);
- Emiterea documentelor contabile (facturi, chitante);
- Identificarea univoca a sportivului si parintelui in raport cu autoritatile sportive.
CNP-ul este stocat criptat la nivel de coloana (AES-256-GCM) si nu este afisat in interfetele uzuale. Decriptarea se face doar punctual, la cerere autorizata, cu jurnalizare a accesului. Pentru sportivii straini, in locul CNP-ului folosim numarul actului de identitate emis de tara de origine.
5. Minori sub 16 ani — consimtamant parental
Conform art. 8 GDPR si art. 2 alin. (3) din Legea 190/2018, prelucrarea datelor minorilor sub 16 ani in cadrul serviciilor societatii informationale necesita consimtamantul parintelui sau al tutorelui legal.
Implementarea in ClubManager:
- Inregistrarea unui sportiv minor genereaza automat o legatura cu un cont de parinte/tutore;
- Parintele semneaza digital un acord GDPR care confirma calitatea de reprezentant legal;
- Textul integral al acordului este pastrat criptat impreuna cu adresa IP, user-agent si data semnarii;
- Parintele poate descarca, verifica si revoca oricand acordul, din contul propriu;
- Pentru sportivii intre 14 si 18 ani, in plus de acordul parintelui, in functie de operatiune se cere si acordul minorului (Codul Civil — Legea 287/2009, art. 41-43, privind capacitatea de exercitiu restransa).
6. Cum colectam datele
- Direct de la dumneavoastra — la inscriere, la actualizarea profilului, la incarcarea documentelor.
- De la parinte/tutore legal — pentru datele minorului.
- De la personalul clubului — antrenori care introduc prezente, statistici, observatii.
- Automat de la dispozitiv — IP, user-agent, token de notificari push.
- De la federatii sportive — numar de legitimatie, statut de transfer (cand este cazul).
7. Cat timp pastram datele
Termenele de retentie sunt aliniate cu cerintele legale aplicabile fiecarui tip de date:
| Categorie | Termen | Motiv |
|---|---|---|
| Documente contabile (facturi, chitante) | 10 ani | Legea contabilitatii 82/1991, art. 25 |
| Dosar sportiv si legitimatie | Pe durata afilierii + 5 ani | Regulamente federatii, eventuale litigii |
| Cont si parola | Pe durata utilizarii contului | Anonimizare/stergere la cerere |
| Jurnale de audit si securitate | 12 luni | Investigatii incidente, art. 6(1)(f) GDPR |
| Acorduri GDPR semnate digital | 3 ani de la revocare | Dovada conformitate (art. 7(1) GDPR) |
| Mesaje de chat si anunturi | 24 luni | Stergere automata, retentie operationala |
Dupa expirarea termenului, datele sunt sterse sau anonimizate ireversibil (de exemplu, statisticile sportive pastrate pentru istoricul clubului sunt detasate de identitatea persoanei).
8. Cui dezvaluim datele
- Personalul clubului — antrenori, administratori, presedinte, in baza rolurilor si a drepturilor de acces din platforma.
- Federatii si autoritati sportive — pentru legitimare, transferuri, competitii oficiale (obligatie legala).
- Autoritati publice — la solicitarea legala (ANAF, instante, organe de cercetare penala, ANSPDCP).
- Imputerniciti tehnici — furnizor de hosting, furnizor de notificari push (Google Firebase), serviciul de e-mail tranzactional, procesator de plati. Toti sunt obligati prin contract sa respecte GDPR.
- Auditori si contabili — cu obligatie de confidentialitate.
Nu vindem si nu inchiriem datele dumneavoastra catre terti pentru scopuri de marketing.
9. Transferuri internationale
Notificarile push folosesc serviciul Google Firebase Cloud Messaging, care poate transfera token-uri tehnice catre servere Google in Statele Unite. Transferul se face in baza deciziei de adecvare a Comisiei Europene din 10 iulie 2023 privind EU-US Data Privacy Framework, si in baza Clauzelor Contractuale Standard (SCC) 2021/914.
In rest, datele sunt stocate pe servere situate in Romania / Uniunea Europeana.
10. Cookie-uri si tehnologii similare
Folosim un set minim de cookie-uri si tehnologii similare, exclusiv pentru functionalitate:
- Cookie de sesiune (PHPSESSID) — strict necesar pentru autentificare;
- Token JWT sau cookie httpOnly — pastrare sesiune intre vizite, cu expirare;
- localStorage — preferinte vizuale (tema dark/light), ultima vizita;
- Service Worker — PWA (cache pentru functionare offline, notificari push).
Nu folosim cookie-uri de marketing, retargeting sau profilare comportamentala. Nu integram pixeli de la retele sociale.
11. Securitatea datelor
Masurile tehnice si organizatorice aplicate (art. 32 GDPR):
- Conexiune HTTPS obligatorie (TLS 1.2+), HSTS activat;
- Parole stocate ca hash bcrypt cu sare unica;
- CNP si documente de identitate criptate la nivel de coloana (AES-256-GCM);
- Documente uploadate stocate intr-un folder protejat de directive de server (fara listare, fara acces direct);
- Roluri si drepturi granulare — fiecare utilizator vede strict ce-i revine;
- Jurnal de audit pentru actiuni sensibile (descarcare acord, modificare profil, schimbare rol);
- Sesiuni cu rotire periodica si invalidare la schimbarea parolei;
- Backup-uri criptate, pastrate separat de sistemul principal;
- Headere de securitate:
X-Content-Type-Options,X-Frame-Options,Referrer-Policy,Permissions-Policy.
12. Drepturile dumneavoastra
Conform GDPR, aveti urmatoarele drepturi:
- Acces (art. 15) — sa obtineti confirmarea ca prelucram date despre dumneavoastra si o copie a acestora;
- Rectificare (art. 16) — corectarea datelor inexacte;
- Stergere / „dreptul de a fi uitat” (art. 17) — in conditiile prevazute de regulament;
- Restrictionarea prelucrarii (art. 18);
- Portabilitatea datelor (art. 20) — primirea datelor intr-un format structurat, utilizat in mod curent (JSON, CSV);
- Opozitie (art. 21) — fata de prelucrari intemeiate pe interes legitim;
- Decizii automate si profilare (art. 22) — ClubManager nu ia decizii automate cu efecte juridice asupra utilizatorilor;
- Retragerea consimtamantului (art. 7) — fara a afecta legalitatea prelucrarii efectuate anterior retragerii;
- Plangere la autoritatea de supraveghere (vezi sectiunea 14).
13. Cum exercitati drepturile
Aveti urmatoarele cai:
- Direct din platforma — sectiunea „Profil → Confidentialitate” permite vizualizarea, descarcarea acordurilor, retragerea consimtamantului si solicitarea exportului de date.
- Catre club — pentru datele al caror operator este clubul, contactati direct presedintele sau responsabilul desemnat.
- Catre furnizorul platformei — pentru datele tehnice, scrieti la adresa din sectiunea 16.
Raspundem in maximum 30 de zile de la solicitare, conform art. 12(3) GDPR. Termenul poate fi prelungit cu inca doua luni in cazul cererilor complexe, cu informarea solicitantului.
14. Reclamatii catre autoritatea de supraveghere
Daca apreciati ca drepturile dumneavoastra au fost incalcate, va puteti adresa Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP):
- Web: www.dataprotection.ro
- Adresa: B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, Bucuresti
- E-mail: anspdcp@dataprotection.ro
- Telefon: +40.318.059.211
Aveti, de asemenea, dreptul la o cale de atac judiciara eficienta impotriva unei decizii a autoritatii (art. 78 GDPR) sau impotriva operatorului (art. 79 GDPR).
15. Modificari ale politicii
Putem actualiza aceasta politica pentru a reflecta modificari legislative, functionalitati noi sau bune practici. Versiunea curenta si data ultimei actualizari sunt afisate la inceputul documentului.
In cazul unor modificari semnificative (de exemplu, scopuri noi de prelucrare), va vom notifica prin platforma si/sau prin e-mail, iar acolo unde este cazul, va vom cere un consimtamant reinnoit.
16. Contact si responsabil cu protectia datelor
Pentru orice intrebare legata de aceasta politica sau de prelucrarea datelor, ne puteti contacta la:
- E-mail: office@clubmanager.ro
- Adresa: prin formularul de contact din platforma sau direct prin clubul al carui membru sunteti
Pentru cluburile care, conform art. 37 GDPR, sunt obligate sa desemneze un responsabil cu protectia datelor (DPO), datele de contact ale acestuia sunt publicate in sectiunea „Despre club”.