Politica de Confidentialitate
Ultima actualizare: 7 aprilie 2026
Foxa Learning Inc. ("noi", "al nostru", "Foxa") opereaza platforma educationala "10 la Examen", care include aplicatia mobila pentru elevi, portalul web pentru parinti si site-ul de marketing (colectiv, "Serviciul"). Aceasta politica de confidentialitate explica in detaliu modul in care colectam, utilizam, stocam, protejam si partajam datele personale ale utilizatorilor nostri, in conformitate cu Regulamentul General privind Protectia Datelor (GDPR — Regulamentul UE 2016/679) si legislatia romana in vigoare.
Va rugam sa cititi aceasta politica cu atentie. Prin utilizarea Serviciului, confirmati ca ati citit si inteles aceasta politica. In cazul elevilor minori, consimtamantul parental este obligatoriu inainte de crearea contului.
1. Operator de Date
Operatorul de date responsabil pentru prelucrarea datelor dumneavoastra personale este:
Foxa Learning Inc. Email: contact@10laexamen.ro
In calitate de operator de date, suntem responsabili pentru stabilirea scopurilor si mijloacelor prelucrarii datelor dumneavoastra personale. Daca aveti intrebari sau solicitari privind datele dumneavoastra, ne puteti contacta oricand la adresa de email de mai sus.
2. Categorii de Date Personale Colectate
Colectam diferite categorii de date personale in functie de tipul contului (elev sau parinte) si de modul in care utilizati Serviciul. Mai jos detailam fiecare categorie.
2.1 Date furnizate direct de parinti
Cand un parinte creeaza un cont si adauga un copil, colectam:
| Camp de date | Obligatoriu | Scop |
|---|---|---|
| Adresa de email a parintelui | Da | Autentificare, comunicare, recuperare parola |
| Parola parintelui | Da | Autentificare (stocata exclusiv in format hash bcrypt, nu in text clar) |
| Prenumele copilului | Da | Identificarea copilului in portalul parental si generarea codului de activare |
| Numele copilului | Da | Identificarea copilului in portalul parental |
2.2 Date furnizate direct de elevi
Cand un elev isi activeaza contul cu un cod de activare primit de la parinte, colectam:
| Camp de date | Obligatoriu | Scop |
|---|---|---|
| Adresa de email a elevului | Da | Autentificare, recuperare parola |
| Parola elevului | Da | Autentificare (stocata exclusiv in format hash bcrypt) |
| Prenume | Nu | Personalizarea experientei in aplicatie |
| Nume | Nu | Personalizarea experientei in aplicatie |
| Clasa (1–12) | Nu | Personalizarea continutului educativ in functie de nivelul de studiu |
Important: Prenumele, numele si clasa sunt optionale si sunt completate de catre elev dupa activarea contului, nu de catre parinte. Elevul poate alege sa nu furnizeze aceste informatii.
2.3 Date de invatare generate prin utilizarea Serviciului
Pe masura ce elevul utilizeaza aplicatia, generam automat urmatoarele date necesare functionarii algoritmului de repetitie spatiata si a sistemului de invatare adaptiva:
| Categorie | Date specifice | Scop detaliat |
|---|---|---|
| Sesiuni de invatare | Data si ora inceperii, data si ora incheierii, competenta exersata, tipul sesiunii (invatare/exercitiu) | Monitorizarea progresului, calculul timpului de studiu, functionarea algoritmului de repetitie spatiata |
| Recenzii carduri | Corectitudinea raspunsului (corect/incorect), timpul de raspuns (in milisecunde), ordinea in sesiune | Algoritmul de invatare adaptiva (sistemul Leitner) — ajusteaza frecventa de reexaminare a fiecarui card |
| Stare carduri | Nivelul cardului in sistemul de repetitie (bucket 0–5), data urmatoarei revizuiri | Programarea automata a revizuirilor pentru optimizarea memorarii pe termen lung |
| Stare competente | Nivelul de stapanire (0–100%) per competenta | Afisarea progresului catre elev si parinte |
| Selectii | Materia si examenul selectate | Personalizarea continutului afisat in functie de cursul urmat |
2.4 Feedback optional
Elevul poate trimite voluntar rapoarte de probleme privind cardurile sau continutul de teorie. In acest caz, colectam:
| Camp de date | Scop |
|---|---|
| Tipul problemei (raspuns gresit, explicatie neclara, etc.) | Imbunatatirea continutului educativ |
| Mesaj descriptiv (optional) | Context suplimentar pentru rezolvarea problemei |
| ID-ul cardului sau competentei raportate | Identificarea continutului care necesita corectare |
2.5 Date colectate pentru dovada consimtamantului parental
Cand un parinte acorda consimtamantul pentru crearea contului copilului, colectam urmatoarele date strict pentru a demonstra ca consimtamantul a fost obtinut in mod valabil, conform cerintelor legale GDPR:
| Camp de date | Scop |
|---|---|
| Adresa IP a parintelui | Dovada ca consimtamantul a fost acordat de la un dispozitiv identificabil |
| User agent (identificatorul browserului) | Dovada circumstantelor tehnice ale consimtamantului |
| Metoda de obtinere a consimtamantului | Audit trail (de exemplu, "portal web parinte") |
| Versiunea politicii de confidentialitate | Evidenta versiunii politicii la care parintele a consimtit |
| Data si ora consimtamantului | Dovada temporala a consimtamantului |
Aceste date sunt colectate exclusiv de la parinti, nu de la elevi, si sunt stocate intr-un registru separat de consimtaminte.
Precizari privind adresa IP si user agent: Adresa IP poate dezvalui indirect locatia geografica aproximativa (la nivel de oras sau regiune) a parintelui. User agent-ul contine informatii despre browserul si sistemul de operare utilizat de parinte. Aceste date sunt colectate o singura data, in momentul acordarii consimtamantului, si nu sunt utilizate pentru urmarirea sau profilarea parintilor. Scopul lor unic este demonstrarea valabilitatii consimtamantului, conform cerintelor legale. Nu colectam aceste date de la elevi.
2.6 Date colectate automat de servicii terte
Aplicatia noastra utilizeaza un numar limitat de servicii terte, configurate pentru colectarea minima de date:
PostHog (Analitice produs)
- Ce colectam: ID-ul numeric al elevului (nu emailul sau numele), ecranele vizitate, actiunile cheie (inceperea/terminarea sesiunilor, deschiderea teoriei)
- Ce NU colectam: Proprietatile dispozitivului sunt dezactivate explicit (
customAppProperties: () => ({})). Nu colectam model de telefon, versiune de sistem de operare, operator de retea sau alti identificatori de dispozitiv. - Inregistrarea sesiunilor: Dezactivata complet (
enableSessionReplay: false). Nu inregistram ecranul elevului in timpul utilizarii. - Identificare: Utilizatorul este identificat doar prin ID-ul numeric intern al elevului, care nu contine informatii personale.
- Locatie date: Uniunea Europeana (eu.i.posthog.com)
Sentry (Monitorizare erori)
- Ce colectam: Erori tehnice ale aplicatiei si contextul in care au aparut (stack trace, versiunea aplicatiei). Erorile sunt asociate cu ID-ul numeric al elevului, nu cu emailul sau numele.
- Protectia PII: Colectarea automata a datelor personale este dezactivata explicit (
sendDefaultPii: false). Aceasta inseamna ca nu se colecteaza adrese IP, cookie-uri, headere HTTP cu user agent, sau alti identificatori personali. - Inregistrarea sesiunilor la erori: Activata doar cand apare o eroare, cu mascarea completa a textelor si imaginilor (
maskAllText: true,maskAllImages: true). Sesiunile normale nu sunt inregistrate. - Filtrare suplimentara: Un filtru
beforeSendelimina datele sensibile din contextul erorilor inainte de trimitere.
Supabase (Infrastructura)
- Rol: Baza de date, autentificare, functii serverless
- Ce stocheaza: Toate datele personale mentionate in aceasta politica
- Securitate: Criptare in tranzit (TLS/HTTPS), securitate la nivel de rand (RLS) pe toate tabelele, parole stocate in format hash bcrypt
3. Scopurile si Temeiul Legal al Prelucrarii
Prelucram datele dumneavoastra personale in baza urmatoarelor temeiuri legale, conform GDPR:
3.1 Executarea contractului
| Prelucrare | Detalii |
|---|---|
| Autentificarea utilizatorilor | Verificarea identitatii prin email si parola pentru accesul la cont |
| Functionarea algoritmului de invatare | Procesarea sesiunilor de invatare, raspunsurilor la carduri si calculul nivelurilor de stapanire — necesare pentru ca serviciul de repetitie spatiata sa functioneze |
| Afisarea progresului | Prezentarea nivelurilor de competenta, activitatii saptamanale si statisticilor catre elev si parinte |
| Generarea si validarea codurilor de activare | Procesul tehnic prin care parintele creaza un cont de elev |
3.2 Consimtamant parental
| Prelucrare | Detalii |
|---|---|
| Crearea contului de elev minor | Intreaga prelucrare a datelor elevilor minori (sub 16 ani) este conditionata de consimtamantul explicit al parintelui sau tutorelui legal, obtinut in prealabil prin portalul parental |
3.3 Interes legitim
| Prelucrare | Interesul legitim | Masuri de protectie |
|---|---|---|
| Analitice de produs (PostHog) | Intelegerea modului de utilizare a aplicatiei pentru imbunatatirea experientei educationale | Date minimizate (doar ID numeric), fara date de dispozitiv, fara inregistrare sesiuni, date stocate in UE |
| Monitorizare erori (Sentry) | Identificarea si remedierea erorilor tehnice pentru stabilitatea serviciului | PII dezactivat, texte si imagini mascate, identificare doar prin ID numeric |
| Jurnalizarea operatiunilor sensibile (audit log) | Asigurarea integritatii datelor si trasabilitatea operatiunilor pe date personale | Accesibil doar la nivel de baza de date, nu prin API |
3.4 Obligatie legala
| Prelucrare | Detalii |
|---|---|
| Stocarea dovezii consimtamantului parental | IP, user agent, metoda, versiunea politicii, data — necesare pentru a demonstra ca consimtamantul a fost obtinut in mod valabil |
4. Prelucrarea Datelor Copiilor
Serviciul nostru este destinat elevilor care se pregatesc pentru Evaluarea Nationala si care pot fi minori sub 16 ani. Luam masuri speciale pentru protectia datelor copiilor:
4.1 Consimtamantul parental este obligatoriu
- Niciun cont de elev nu poate fi creat fara consimtamant parental. Parintele sau tutorele legal trebuie sa creeze mai intai un cont in portalul parental, sa accepte in mod explicit aceasta politica de confidentialitate si sa genereze un cod de activare pentru copil.
- Consimtamantul parental acopera: stocarea datelor de invatare, analiticele (PostHog), monitorizarea erorilor (Sentry) si toate celelalte prelucrari descrise in aceasta politica.
- Consimtamantul este inregistrat cu dovezi tehnice (adresa IP, user agent, versiunea politicii, data exacta) pentru a permite verificarea ulterioara.
4.2 Minimizarea datelor
- Datele de profil ale elevului (prenume, nume, clasa) sunt optionale si completate de catre elev dupa activare, nu de catre parinte.
- Nu colectam automat date despre dispozitivul elevului (model, sistem de operare, operator).
- Nu colectam date de locatie, contacte, fotografii sau alte date sensibile.
- Nu afisam reclame si nu partajam date cu retele de publicitate sau brokeri de date.
- Aplicatia nu solicita permisiuni pentru camera, microfon, locatie, contacte sau notificari push.
4.3 Control parental
- Parintele poate vedea progresul educativ al copilului (competente, sesiuni, mastery) din portalul parental.
- Parintele poate edita datele de profil ale copilului (prenume, nume, clasa).
- Parintele poate solicita stergerea contului copilului in orice moment (vezi Sectiunea 6.1).
- Parintele poate retrage consimtamantul in orice moment, ceea ce va duce la stergerea contului copilului.
4.4 Separarea datelor
- Datele copilului sunt separate de datele parintelui in baza de date.
- In procesul de activare, datele personale ale copilului (prenume, nume) nu sunt afisate elevului. Elevul vede propriile date doar dupa autentificare in contul sau.
- Fiecare elev poate accesa doar propriile date, nu ale altor elevi (asigurat prin Row Level Security).
5. Drepturile Persoanelor Vizate
In conformitate cu GDPR, aveti urmatoarele drepturi. Aceste drepturi pot fi exercitate de catre parinti in numele copiilor lor minori.
5.1 Dreptul de acces
Aveti dreptul de a obtine o confirmare ca datele dumneavoastra personale sunt prelucrate si de a primi o copie a acestora. Aceasta include:
- Datele de profil (email, prenume, nume, clasa)
- Datele de invatare (sesiuni, raspunsuri, niveluri de stapanire)
- Datele de consimtamant parental
- Evenimentele analitice asociate ID-ului dumneavoastra
Cum exercitati: Trimiteti o cerere la contact@10laexamen.ro specificand adresa de email asociata contului. Raspundem in termen de 30 de zile calendaristice.
5.2 Dreptul la rectificare
Aveti dreptul de a corecta datele personale inexacte sau incomplete:
- Elevul poate actualiza prenumele, numele, clasa si emailul direct din aplicatie (sectiunea Profil).
- Parintele poate actualiza propriul email din portalul parental (sectiunea Setari) si poate edita prenumele, numele si clasa copilului.
- Parola poate fi schimbata de orice utilizator din setarile contului sau prin fluxul de resetare.
5.3 Dreptul la stergere — "dreptul de a fi uitat"
Aveti dreptul de a solicita stergerea datelor personale. Procesul este urmatorul:
Stergerea contului de elev (initiata de parinte):
- Parintele acceseaza portalul parental si selecteaza optiunea de stergere a contului copilului.
- Parintele confirma stergerea introducand numele complet al copilului.
- La confirmare, se realizeaza urmatoarele:
- Datele personale sunt eliminate: prenumele, numele, emailul, contul de autentificare sunt sterse definitiv.
- Legatura parinte-copil este eliminata din baza de date.
- Datele de invatare sunt anonimizate: sesiunile, raspunsurile si nivelurile de stapanire raman in baza de date, dar nu mai pot fi asociate cu o persoana identificabila. Aceste date anonimizate sunt pastrate pentru imbunatatirea algoritmilor educativi.
Stergerea codului de activare neutilizat:
- Parintele poate sterge un cod de activare care nu a fost inca utilizat. Aceasta sterge si inregistrarea de consimtamant asociata.
Stergerea contului de parinte:
- Trimiteti o cerere la contact@10laexamen.ro. Vom procesa cererea in termen de 30 de zile.
5.4 Dreptul la portabilitatea datelor
Aveti dreptul de a primi datele personale intr-un format structurat, utilizat frecvent si lizibil automat (JSON sau CSV). Aceasta include datele de profil si datele de invatare.
Cum exercitati: Trimiteti o cerere la contact@10laexamen.ro. Raspundem in termen de 30 de zile calendaristice.
5.5 Dreptul la opozitie
Aveti dreptul de a va opune prelucrarii datelor bazate pe interes legitim. In contextul nostru, aceasta se aplica in principal analiticelor de produs (PostHog).
Cum exercitati: Trimiteti o cerere la contact@10laexamen.ro specificand prelucrarea la care va opuneti. Vom evalua cererea si vom inceta prelucrarea daca nu exista motive legitime imperative.
5.6 Dreptul la restrictionarea prelucrarii
Puteti solicita restrictionarea prelucrarii datelor in anumite situatii (de exemplu, cand contestati exactitatea datelor sau cand prelucrarea este ilegala dar nu doriti stergerea).
Cum exercitati: Trimiteti o cerere la contact@10laexamen.ro.
5.7 Dreptul de a retrage consimtamantul
Parintele poate retrage in orice moment consimtamantul acordat pentru prelucrarea datelor copilului. Retragerea consimtamantului va duce la stergerea contului copilului conform procedurii de la Sectiunea 5.3. Retragerea nu afecteaza legalitatea prelucrarii efectuate anterior.
5.8 Dreptul de a depune o plangere
Aveti dreptul de a depune o plangere la autoritatea de supraveghere daca considerati ca drepturile dumneavoastra au fost incalcate:
ANSPDCP — Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal Website: www.dataprotection.ro
6. Retentia si Stergerea Datelor
6.1 Perioade de retentie
| Categorie de date | Perioada de retentie | Justificare |
|---|---|---|
| Cont activ (elev sau parinte) | Pe toata durata utilizarii serviciului | Executarea contractului |
| Date de invatare (cont activ) | Pe toata durata contului | Necesare functionarii algoritmului de repetitie spatiata |
| Dovada consimtamantului parental | 5 ani de la acordarea consimtamantului sau pana la stergerea contului copilului (oricare intervine mai tarziu) | Obligatie legala — demonstrarea consimtamantului |
| Date anonimizate dupa stergere | Pe termen nedeterminat | Date care nu mai pot fi asociate cu o persoana; utilizate pentru imbunatatirea algoritmilor |
| Jurnalul de audit (audit log) | 3 ani de la inregistrare | Asigurarea trasabilitatii si securitatii |
| Coduri de activare expirate | Sterse automat la expirare | Nu mai au utilitate dupa expirare |
6.2 Inactivitate prelungita
Daca un cont de elev nu inregistreaza nicio sesiune de invatare timp de 3 ani, vom:
- Trimite o notificare la adresa de email a parintelui cu 30 de zile inainte.
- Daca nu se primeste niciun raspuns, contul va fi sters si datele anonimizate conform procedurii de la Sectiunea 5.3.
6.3 Ce inseamna "anonimizare"
Cand spunem ca datele sunt "anonimizate", aceasta inseamna ca:
- Prenumele, numele, emailul si ID-ul de utilizator sunt eliminate din inregistrarea elevului.
- Contul de autentificare este sters complet.
- Legatura parinte-copil este eliminata.
- Datele de invatare (sesiuni, raspunsuri, niveluri de stapanire) raman in baza de date, dar nu mai pot fi legate de o persoana identificabila. Aceste date sunt echivalentul statistic al "un elev anonim a raspuns corect la cardurile X, Y, Z".
7. Masuri de Securitate
Implementam masuri tehnice si organizatorice adecvate pentru protejarea datelor dumneavoastra:
7.1 Masuri tehnice
- Criptare in tranzit: Toate comunicatiile intre aplicatie, portalul parental si serverele noastre folosesc HTTPS/TLS.
- Criptare la repaus: Datele stocate in baza de date sunt criptate la nivel de disc de catre furnizorul de infrastructura.
- Hashing parole: Parolele sunt stocate exclusiv in format hash bcrypt, nu in text clar. Noi nu avem acces la parolele utilizatorilor.
- Securitate la nivel de rand (RLS): Fiecare utilizator (elev sau parinte) poate accesa doar propriile date in baza de date. Aceasta este implementata la nivel de baza de date, nu doar la nivel de aplicatie.
- Token-uri de sesiune: Sesiunile de autentificare sunt gestionate prin token-uri securizate de Supabase Auth. Nu stocam date sensibile in cookies personalizate sau in stocarea locala a dispozitivului.
- Jurnalizarea operatiunilor sensibile: Toate operatiunile de creare, modificare si stergere pe date personale sunt inregistrate intr-un jurnal de audit accesibil doar la nivel de baza de date.
7.2 Masuri organizatorice
- Principiul privilegiului minim: Accesul la datele din baza de date este restrictionat la nivelul strict necesar.
- Fara stocarea datelor sensibile pe dispozitiv: Aplicatia nu stocheaza date personale in AsyncStorage, SecureStore sau alte mecanisme de stocare locala. Datele sunt incarcate de pe server la fiecare sesiune.
- Revizuirea dependentelor: Dependentele software sunt actualizate periodic pentru remedierea vulnerabilitatilor cunoscute.
7.3 Permisiuni solicitate de aplicatie
Aplicatia mobila pentru elevi nu solicita urmatoarele permisiuni:
- Acces la camera sau microfon
- Acces la locatie (GPS)
- Acces la contacte sau calendar
- Notificari push
- Acces la fisiere sau fotografii
8. Partajarea Datelor cu Terti
8.1 Principii generale
- Nu vindem date personale.
- Nu partajam date personale cu retele de publicitate, brokeri de date sau terti in scopuri de marketing.
- Nu afisam reclame in aplicatie.
- Partajam date doar cu furnizorii de servicii (procesatorii de date) strict necesari functionarii Serviciului.
8.2 Procesatori de date
Urmatorii furnizori prelucreaza date personale in numele nostru:
| Furnizor | Scop | Date prelucrate | Locatie date | Acord de prelucrare (DPA) |
|---|---|---|---|---|
| Supabase Inc. | Baza de date, autentificare, functii serverless | Toate datele personale descrise in aceasta politica | Conform configurarii proiectului | Da |
| PostHog Inc. | Analitice de produs | ID numeric elev, evenimente de navigare si utilizare (fara date de dispozitiv, fara email, fara nume) | UE (eu.i.posthog.com) | Da |
| Sentry (Functional Software Inc.) | Monitorizare erori | Erori tehnice, stack traces, ID numeric elev (fara email, fara nume, fara IP) | UE | Da |
8.3 Alte situatii de partajare
Putem divulga date personale in urmatoarele situatii exceptionale:
- Obligatie legala: Cand suntem obligati prin lege, hotarare judecatoreasca sau cerere a unei autoritati competente.
- Protectia drepturilor: Cand este necesar pentru protejarea drepturilor, proprietatii sau securitatii Foxa, a utilizatorilor sau a publicului.
9. Transferuri Internationale de Date
9.1 Locatia datelor
- PostHog: Datele analitice sunt stocate exclusiv in Uniunea Europeana (eu.i.posthog.com).
- Sentry: Datele de erori sunt stocate in Uniunea Europeana.
- Supabase: Locatia datelor depinde de configurarea proiectului.
9.2 Garantii pentru transferuri in afara UE
In cazul in care datele sunt transferate in afara Spatiului Economic European (SEE), ne asiguram ca transferurile sunt protejate prin:
- Clauze Contractuale Standard (SCC) aprobate de Comisia Europeana, sau
- Decizii de adecvare ale Comisiei Europene pentru tara destinatara, sau
- Alte mecanisme aprobate de GDPR (de exemplu, regulile corporatiste obligatorii).
10. Cookie-uri si Tehnologii Similare
10.1 Aplicatia mobila pentru elevi
Aplicatia mobila nu utilizeaza cookie-uri. Sesiunea de autentificare este gestionata prin token-uri securizate de Supabase SDK, stocate in memoria aplicatiei si gestionate automat la autentificare/deconectare.
10.2 Portalul web pentru parinti
Portalul parental utilizeaza exclusiv cookie-uri functionale necesare autentificarii:
| Cookie | Scop | Durata | Tip |
|---|---|---|---|
| Cookie-uri de sesiune Supabase | Mentinerea sesiunii de autentificare | Durata sesiunii | Strict necesar |
Nu utilizam cookie-uri de marketing, cookie-uri de urmarire sau cookie-uri terte. Nu utilizam pixeli de urmarire, fingerprinting sau alte tehnologii de identificare.
10.3 Site-ul de marketing
Site-ul de marketing (10laexamen.ro) nu utilizeaza cookie-uri si nu colecteaza date personale.
11. Modificari ale Politicii
11.1 Cum notificam schimbarile
Vom notifica utilizatorii despre modificari ale acestei politici prin:
- Actualizarea datei de "Ultima actualizare" din antetul acestei pagini.
- Actualizarea numarului de versiune al politicii.
- In cazul modificarilor semnificative (de exemplu, noi categorii de date colectate, noi procesatori de date, schimbari ale drepturilor), vom solicita reconsimtamantul parintilor la urmatoarea autentificare in portalul parental.
11.2 Versiuni anterioare
Versiunea politicii acceptata de fiecare parinte este inregistrata in momentul acordarii consimtamantului. Pastram un istoric al versiunilor pentru referinta.
12. Contact
Pentru orice intrebari, cereri de exercitare a drepturilor sau reclamatii privind prelucrarea datelor dumneavoastra personale:
Foxa Learning Inc. Email: contact@10laexamen.ro Timp de raspuns: Maximum 30 de zile calendaristice pentru cererile de exercitare a drepturilor.
Daca nu sunteti multumit de raspunsul nostru, aveti dreptul de a depune o plangere la:
ANSPDCP — Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal Website: www.dataprotection.ro
Versiune: 1.0.0