Politica de confidențialitate

Ultima actualizare: 12 mai 2026

1. Cine suntem

TABO (denumită în continuare „aplicația" sau „serviciul") este o platformă digitală care permite rezervarea de șezlonguri pe plajele partenere și plasarea de comenzi din locația unde stai. Aplicația este operată de SMART BEACH & POOL SRL, persoană juridică română, CUI 35486559, Nr. Reg. Com. J2016000156139, cu sediul în Bdul. Ferdinand 94, Bl. F19B, Sc. B, Et. P, Cam. 7, Cod 900709, Constanța.

Pentru orice solicitare legată de datele tale personale, ne poți contacta la privacy@tabo.app.

2. Ce date colectăm

Date pe care le furnizezi direct

• Numărul de telefon — folosit pentru autentificare prin cod OTP.
• Nume și prenume — pentru identificarea pe rezervări și pe facturi.
• Adresă de email (opțional) — pentru trimiterea facturilor electronice.
• Adresa de facturare (opțional) — pentru facturile fiscale.
• Date de plată (numărul cardului) — sunt prelucrate direct de procesatorul Stripe; noi nu stocăm și nu vedem niciodată numărul complet al cardului, ci doar ultimele 4 cifre + brand-ul (Visa/Mastercard) pentru a-ți permite să identifici cardul.

Date generate prin utilizarea aplicației

• Localizare GPS — colectată DOAR în momentul plasării unei comenzi pentru servire la șezlong, ca să confirme că ești fizic pe plajă (zonă de geofence). Nu se păstrează istoricul deplasărilor tale.
• Identificator dispozitiv pentru notificări (FCM token) — folosit pentru a-ți trimite notificări push despre statusul rezervării și al comenzilor.
• Date de activitate — ce plaje vizualizezi, ce rezervări faci, ce comenzi plasezi, anulări și refunduri.
• Date tehnice — adresa IP, tipul dispozitivului, sistemul de operare, versiunea aplicației, identificatori anonimi de crash.

Cookie-uri și tehnologii similare

Aplicația mobilă nu folosește cookie-uri. Site-ul web tabo.app poate folosi cookie-uri tehnice strict necesare pentru funcționarea de bază a paginii — nu folosim cookie-uri de tracking publicitar.

3. Cum folosim datele

• Operarea serviciului — autentificare, rezervări, comenzi, plăți, livrarea efectivă a serviciilor pe plajă.
• Comunicări tranzacționale — confirmări de rezervare, notificări despre statusul comenzilor, facturi, alerte legate de plata cardului.
• Suport clienți — răspuns la întrebări sau reclamații.
• Prevenirea fraudei — verificarea că rezervările și comenzile sunt legitime, blocarea conturilor abuzive.
• Obligații legale — emiterea de facturi fiscale conform legislației române (CUI, ANAF, e-Factura), păstrarea înregistrărilor contabile.
• Îmbunătățirea serviciului — analize agregate și anonime despre utilizare; nu folosim datele tale pentru profilare automată în scop publicitar.

Nu vindem datele tale către terți pentru marketing.

4. Temei legal pentru prelucrare

• Executarea contractului (Art. 6(1)(b) GDPR) — pentru rezervări, comenzi, plăți, livrare.
• Obligație legală (Art. 6(1)(c) GDPR) — pentru facturare, contabilitate, raportări fiscale.
• Interes legitim (Art. 6(1)(f) GDPR) — pentru prevenirea fraudei și securitatea conturilor.
• Consimțământ (Art. 6(1)(a) GDPR) — pentru notificările push și folosirea localizării (poți retrage consimțământul oricând din setările aplicației sau ale sistemului de operare).

5. Cu cine partajăm datele

Partajăm date personale doar cu următoarele categorii de destinatari, strict pentru scopurile menționate:

• Operatorii plajelor partenere — văd numele și numărul de telefon al rezervării, codul șezlongului, suma plătită. Pentru comenzi, văd produsele comandate și șezlongul unde să livreze. NU primesc datele tale de card. Dacă ți-ai exprimat consimțământul, operatorul plajei la care ai rezervat îți poate trimite comunicări de marketing (evenimente, oferte) referitoare exclusiv la acea plajă, în calitate de operator de date independent — vezi secțiunea următoare. Operatorul nu are dreptul să-ți vândă sau transfere datele către terți.
• Stripe — procesator de plăți. Stripe stochează datele cardului în mod sigur (PCI DSS Level 1) și ne returnează doar un token și ultimele 4 cifre. stripe.com/privacy
• Bird (MessageBird) — pentru trimiterea codurilor OTP prin SMS. bird.com/privacy
• Google (Firebase Cloud Messaging) — pentru trimiterea notificărilor push. policies.google.com/privacy
• Hetzner — furnizor de servere (UE). Datele sunt găzduite în centrele de date Hetzner din Germania. hetzner.com/privacy
• Autorități publice — DOAR la cerere oficială legală (ANAF, instanțe de judecată, organe de cercetare penală).

5.1. Marketing din partea plajelor partenere

Operatorul unei plaje la care ai făcut o rezervare sau o comandă îți poate trimite comunicări de marketing (mesaje despre evenimente, oferte, promoții) numai dacă ți-ai exprimat consimțământul în acest sens. Aceste comunicări:

• pot privi exclusiv plaja respectivă — operatorul nu poate promova alte afaceri sau locații;
• sunt transmise de operatorul plajei în calitate de operator de date independent, care răspunde de respectarea legii pentru aceste mesaje;
• includ întotdeauna o modalitate de dezabonare; îți poți retrage consimțământul oricând din Setări → Comunicări sau direct din mesaj;
• nu condiționează în niciun fel utilizarea serviciului — poți rezerva și comanda normal chiar dacă refuzi comunicările de marketing.

Operatorii plajelor sunt obligați contractual să nu vândă, închirieze sau transfere datele tale către terți.

6. Unde stocăm datele

Toate datele sunt stocate pe servere situate în Uniunea Europeană (Germania, prin Hetzner Online GmbH). Anumiți subprocesatori (Stripe, Google FCM) pot transfera date în afara UE pe baza clauzelor contractuale standard aprobate de Comisia Europeană.

7. Cât timp păstrăm datele

• Datele contului — atât cât contul rămâne activ, plus 30 de zile după ștergere pentru a permite recuperarea.
• Rezervări și comenzi — 10 ani (obligație de păstrare a documentelor contabile conform Codului Fiscal român).
• Facturi — 10 ani.
• Loguri tehnice — maximum 90 de zile.
• Token-uri FCM — atât cât instalarea aplicației rămâne activă pe dispozitiv.

8. Drepturile tale (GDPR)

Conform Regulamentului General privind Protecția Datelor (UE) 2016/679, ai următoarele drepturi:

• Dreptul de acces — să afli ce date avem despre tine.
• Dreptul la rectificare — să corectezi datele incorecte.
• Dreptul la ștergere („dreptul de a fi uitat") — în limitele permise de lege.
• Dreptul la restricționarea prelucrării.
• Dreptul la portabilitatea datelor — să primești datele tale într-un format structurat.
• Dreptul de opoziție — la prelucrările bazate pe interes legitim.
• Dreptul de a retrage consimțământul — pentru prelucrările bazate pe consimțământ (localizare, notificări).
• Dreptul de a depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (dataprotection.ro).

Pentru exercitarea acestor drepturi, scrie-ne la privacy@tabo.app. Răspundem în maximum 30 de zile.

Pentru ștergerea contului poți folosi direct opțiunea „Șterge contul" din aplicație → Setări → Șterge contul.

9. Securitatea datelor

Implementăm măsuri tehnice și organizatorice pentru protejarea datelor tale:

• Conexiuni HTTPS (TLS 1.2+) între aplicație și server.
• Parole criptate cu algoritmi moderni (bcrypt).
• Datele cardului sunt prelucrate exclusiv de Stripe (PCI DSS Level 1).
• Acces restricționat la baza de date pe bază de roluri și log de audit.
• Backup-uri zilnice criptate.
• Autentificare cu cod OTP pentru fiecare sesiune nouă.

10. Date despre minori

Serviciul TABO se adresează exclusiv persoanelor majore (peste 18 ani). Nu colectăm în mod conștient date despre minori. Dacă observăm că un cont aparține unui minor, îl ștergem imediat.

11. Modificări la această politică

Putem actualiza această politică periodic. Versiunea curentă este marcată cu data ultimei actualizări sus pe pagină. Modificările substanțiale îți vor fi comunicate în aplicație sau prin email.

12. Contact