Operatorul de date cu caracter personal este BLACKBONE SRL, persoană juridică română cu sediul social în Chiajna, jud. Ilfov, înregistrată la Oficiul Național al Registrului Comerțului sub nr. J2026036807008, CUI 54833093.

Adresă de contact pentru chestiuni de protecție a datelor:
Email: contact@blackbone.ro
Email proiect: hello@kosronbank.eu
Telefon: +40 750 454 331

Responsabil cu Protecția Datelor (DPO): Având în vedere natura, dimensiunea și scopul prelucrării (date cu volum redus, fără date sensibile, fără profilare la scară mare), Operatorul nu are obligația legală de a numi un DPO în sensul art. 37 GDPR. Cu toate acestea, toate solicitările privind datele personale sunt tratate direct de conducerea Operatorului.

În cadrul aplicațiilor Kosron Bank și Kosron Wallet și al site-ului kosronbank.eu prelucrăm:

• Date de identificare cont: adresa de email, nume afișat ales de Utilizator (poate fi pseudonim);
• Date de autentificare: parolă stocată exclusiv sub formă de hash (PBKDF2-SHA256, 200 000 iterații, salt unic per utilizator) — niciodată în clar;
• Date legate de utilizare: walleturi create, conturi bancare simulate, tranzacții educaționale KOSR, schedule-uri de amortizare, depozite;
• Date de tranzacționare IAP: identificatorul tranzacției Apple (apple_transaction_id), tipul pachetului cumpărat, suma KOSR creditată — strict pentru prevenirea fraudei și a duplicării bonusurilor;
• Date tehnice minimale: adresa IP la momentul autentificării, tipul de dispozitiv (iPhone/iPad), versiunea aplicației — pentru securitate și diagnostic;
• Conținut comunicări: mesajele pe care ni le trimiteți prin email, exclusiv pentru a vă răspunde.

NU prelucrăm: CNP, serie/număr de carte de identitate, numere de telefon, adrese fizice, date de card bancar real, date despre starea de sănătate, opinii politice, convingeri religioase, orientare sexuală, date biometrice ce ies de pe device (Face ID rămâne strict local, în Secure Enclave Apple).

Prelucrăm datele dvs. pentru următoarele scopuri:

Nu prelucrăm datele dvs. pe baza consimțământului decât în situații excepționale, specifice (ex.: înscrierea voluntară la o listă de newsletter pe viitor), caz în care consimțământul poate fi retras oricând fără a afecta legalitatea prelucrării anterioare.

Pentru a putea funcționa, aplicațiile noastre se bazează pe câțiva procesatori externi calificați, toți având garanții GDPR adecvate (Articolul 28):

• Apple Distribution International Ltd. (Irlanda) — distribuție App Store, procesare plăți IAP, infrastructură Face ID local pe device. Apple este operator independent pentru datele colectate prin App Store și operator asociat pentru identificatorul de tranzacție. Politica: apple.com/legal/privacy.
• Vercel Inc. (cu reprezentanță în UE) — hosting site și API edge, în regiunile UE (Frankfurt principal). Politica: vercel.com/legal/privacy-policy.
• Neon, Inc. — bază de date PostgreSQL găzduită în UE (Frankfurt). Politica: neon.tech/privacy-policy.
• Resend, Inc. — trimitere de email-uri tranzacționale (confirmări cont, reset parolă), procesare strict pentru livrare. Politica: resend.com/legal/privacy-policy.

Nu vindem date personale. Nu transmitem date către brokeri de date, agenții de publicitate sau părți terțe care nu sunt necesare pentru funcționarea serviciului. Putem furniza date autorităților publice (ANAF, ANSPDCP, Parchet, instanțe) la cererea expresă și legală a acestora.

Toate datele dvs. sunt stocate primar în Uniunea Europeană (Frankfurt, Germania). În situațiile în care unii procesatori (Apple, Vercel) pot utiliza infrastructură globală pentru rezistență, transferurile către țări terțe sunt asigurate prin:

• Clauze Contractuale Standard (CCS) emise prin Decizia (UE) 2021/914;
• Cadrul UE–SUA pentru confidențialitate (EU–US Data Privacy Framework) — pentru companiile americane certificate;
• Măsuri tehnice suplimentare: criptare la repaus, criptare în tranzit (TLS 1.3).

• Cont activ: pe toată durata existenței contului în Aplicații;
• După ștergere cont: ștergere imediată a datelor de profil; datele IAP necesare pentru evidență contabilă se păstrează 10 ani (art. 25 Legea contabilității nr. 82/1991);
• Loguri tehnice: 90 de zile;
• Comunicări email (suport): 24 luni de la rezolvarea ultimei solicitări;
• Date fiscale: 10 ani conform legislației române.

Ca persoană vizată, beneficiați de următoarele drepturi:

• Dreptul de acces (art. 15) — să cereți o copie a datelor dvs.;
• Dreptul de rectificare (art. 16) — corectarea datelor inexacte;
• Dreptul la ștergere („dreptul de a fi uitat") (art. 17) — ștergerea contului din aplicație șterge imediat majoritatea datelor;
• Dreptul la restricționarea prelucrării (art. 18);
• Dreptul la portabilitatea datelor (art. 20) — primirea datelor într-un format structurat (JSON);
• Dreptul de opoziție (art. 21);
• Dreptul de a nu fi supus unei decizii automate (art. 22) — noi nu luăm decizii automate care produc efecte juridice asupra dvs.;
• Dreptul de a retrage consimțământul oricând, dacă acesta a fost temeiul prelucrării (art. 7);
• Dreptul de a depune plângere la ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, B-dul Gen. Gheorghe Magheru nr. 28–30, sector 1, București, anspdcp@dataprotection.ro, dataprotection.ro.

Vă puteți exercita drepturile prin email la hello@kosronbank.eu. Răspundem în maximum 30 de zile calendaristice; perioada poate fi prelungită cu încă 60 de zile pentru solicitări complexe (art. 12 (3) GDPR), cu informarea dumneavoastră.

Implementăm măsuri tehnice și organizatorice adecvate pentru protejarea datelor dvs., inclusiv:

• criptare în tranzit (HTTPS / TLS 1.3) pentru toate comunicările;
• criptare la repaus pentru baza de date Postgres;
• hash de parole PBKDF2-SHA256 cu 200 000 iterații;
• frază mnemonică wallet stocată exclusiv local pe device (Keychain iOS);
• autentificare 2FA TOTP pentru wallet;
• acces administrativ doar prin cookie de sesiune semnată (NextAuth);
• backup-uri periodice cu acces restrâns;
• monitorizare anomalii și logging structurat.

În caz de breșă de securitate care prezintă risc pentru drepturile și libertățile persoanelor vizate, vom notifica ANSPDCP în 72 de ore (art. 33 GDPR) și vom comunica persoanele vizate fără întârziere nejustificată (art. 34 GDPR).

Aplicațiile sunt clasificate 4+ în App Store și pot fi folosite cu acordul și sub supravegherea reprezentantului legal. Pentru utilizatorii cu vârsta sub 16 ani, consimțământul valid pentru prelucrarea datelor personale este cel exprimat de titularul răspunderii părintești, conform art. 8 GDPR.

Nu realizăm marketing direct către copii. Nu construim profiluri comportamentale. Nu integrăm rețele de publicitate care urmăresc minorii.

Ne rezervăm dreptul de a actualiza prezenta Politică de Confidențialitate. Orice modificare semnificativă va fi adusă la cunoștința Utilizatorilor cu cel puțin 30 zile înainte de intrarea în vigoare, prin notificare in-app și pe site.

Pentru detalii suplimentare consultați și Politica de Cookies și Termenii și Condițiile.

Versiunea curentă: 1.0 — 16 iunie 2026.