Politica de Confidențialitate — Baby Genius SaaS

Versiune: 1.0
Data ultimei actualizări: 04 iunie 2026
Aplicabil: grădinițelor care creează cont în Baby Genius și a datelor lor administrative.

Pe scurt: documentul de față descrie cum tratează Baby Genius datele unei grădinițe-client. Pentru cum tratează datele copiilor / părinților / angajaților introduse de grădiniță în platformă, vezi Politica de Confidențialitate operațională.

1. Operator și împuternicit

Pentru datele despre înregistrarea grădiniței (denumire, CUI, adresă, persoană de contact, telefon, email), Operator este Baby Genius (CUI 51874501, Constanța).

Pentru datele introduse de grădiniță în platformă (copii, părinți, angajați, contracte, fișe medicale, ...) Operator este Grădinița-client, iar Baby Genius acționează ca Persoană împuternicită (Data Processor) în sensul art. 28 GDPR.

2. Ce date colectăm la înregistrare

Categorie	Exemplu	Scop	Bază legală
Identificare entitate	denumire, CUI/CIF, nr. registrul comerțului, adresă sediu	Crearea contului, facturare	contract / interes legitim
Contact instituțional	email, telefon	Comunicare operațională	contract
Persoană de contact	nume, prenume, funcție, telefon	Autorizare cont administrativ	contract
Date tehnice cont	IP, timp creare, agent browser/aplicație	Securitate, audit	interes legitim

3. Cui transmitem datele

Supabase (PaaS, găzduire DB) — datele sunt stocate în UE (Frankfurt).
Firebase / Google Cloud — pentru push notifications și autentificare (Frankfurt).
Resend — pentru trimiterea de email-uri tranzacționale (cu domeniu propriu babygenius.ro).
Cloudflare — CDN și protecție pentru componenta web.

Niciun terț nu primește datele în scopuri proprii de marketing.

4. Cât păstrăm datele

Cerere de înregistrare neaprobată: 90 de zile, apoi ștergere.
Cont activ: pe durata contractului + 12 luni pentru facturare/arhivare contabilă.
Cont închis: 30 de zile (perioadă de restaurare) + arhivă criptată pentru obligații legale (ANAF: 10 ani pentru facturi).

5. Drepturile Grădiniței-client

În calitate de Operator pentru datele administrative, Grădinița are dreptul de acces, rectificare, ștergere, restricție, portabilitate și opoziție. Solicitările se trimit la contact@babygenius.ro și sunt soluționate în maxim 30 de zile.

6. Subcontractanți (Sub-processors)

Conform art. 28(2) GDPR, Baby Genius poate angaja sub-procesatori pentru funcționarea platformei. Lista este publică și se actualizează la nevoie:

Supabase Inc. (Delaware) cu infrastructură UE
Google LLC (Firebase) — UE
Resend Inc. — UE/SUA cu SCC
Cloudflare Inc. — global cu SCC

Schimbarea sub-procesatorilor este notificată Grădiniței cu minim 30 de zile înainte; Grădinița se poate opune motivat.

7. Măsuri de securitate

TLS 1.2+ în transport.
RLS Postgres per kindergarten_id — datele unei grădinițe sunt izolate logic de altele.
Acces administrativ Baby Genius limitat la 2 persoane, cu MFA.
Backup zilnic, retenție 7 zile.
Audit trail pentru acțiuni administrative.

8. Notificare breșe de date

În cazul unei breșe care afectează grădinița-client, notificăm fără întârziere nejustificată (max 72 de ore de la descoperire) Operatorul (Grădinița) cu detalii suficiente pentru ca aceasta să-și îndeplinească obligația de notificare către ANSPDCP.

9. Transferuri internaționale

Toate datele Grădiniței sunt stocate primar în UE. Pentru sub-procesatori cu sediul în SUA (Resend, Cloudflare), se aplică Clauzele Contractuale Standard (SCC) ale Comisiei Europene.

10. Contact DPO

Email: contact@babygenius.ro
Subject: „DPO — Cerere GDPR"
Termen răspuns: 30 zile calendaristice.

11. Modificări ale politicii

Orice schimbare semnificativă a politicii este comunicată cu cel puțin 30 de zile înainte de intrare în vigoare, prin email și notificare în aplicație.

Aceste prevederi se citesc împreună cu Termenii de utilizare SaaS.