Declarație de confidențialitate

Această Declarație de confidențialitate vă informează, conform Art. 13 și 14 DSGVO, ce date cu caracter personal prelucrăm pe EuroPrisma, în ce scopuri, pe ce temei juridic și ce drepturi vă revin.

1. Operatorul

Responsabil pentru prelucrarea datelor pe această platformă în sensul DSGVO este:

Latuke UG (haftungsbeschränkt) i. Gr. Roonstraße 23a 76137 Karlsruhe Germania

E-mail: info@latuke.com

Administrator: Lorenz Meierhofer

Nu desemnăm un responsabil cu protecția datelor; o obligație legală în acest sens nu există pentru noi în prezent (Art. 37 DSGVO coroborat cu § 38 BDSG).

2. Hosting și fișiere-jurnal ale serverului

Platforma noastră este operată la următorul împuternicit din spațiul UE:

Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Germania. Serverele se află în Uniunea Europeană. Declarația de confidențialitate a furnizorului de hosting: https://www.hetzner.com/de/legal/privacy-policy/

Cu furnizorul de hosting există un contract de prelucrare a datelor în calitate de împuternicit conform Art. 28 DSGVO.

La fiecare accesare a platformei, serverul web al furnizorului de hosting înregistrează în fișiere-jurnal date de conexiune necesare tehnic. Printre acestea se numără de regulă:

• adresa IP a dispozitivului care solicită
• data și ora accesului
• URL-ul accesat și codul de stare HTTP
• identificatorul browserului (user-agent)
• referrer-ul (în măsura în care este transmis)

Temei juridic: Art. 6 alin. 1 lit. f DSGVO. Interesul legitim este operarea sigură și stabilă a platformei, precum și prevenirea și elucidarea atacurilor tehnice.

Durata de stocare: Aceste fișiere-jurnal ale serverului sunt șterse automat după cel târziu 14 zile. O reunire a acestor jurnale cu datele de cont nu are loc.

3. Cookie-uri și tehnologii similare

Folosim un număr mic de cookie-uri necesare tehnic și de mecanisme de stocare în browser. O consimțire printr-un banner nu este necesară în acest scop (§ 25 alin. 2 nr. 2 TTDSG); vă informăm totuși despre această stocare.

Cookie-uri de marketing, de urmărire sau de analiză ale unor terți nu folosim.

4. La accesarea platformei (prelucrare pasivă a datelor)

Când vizitați EuroPrisma fără să vă autentificați, să votați sau să comentați, prelucrăm numai datele-jurnal ale serverului menționate la Pct. 2 și mecanismele tehnice de stocare menționate la Pct. 3.

În special, în acest caz nu sunt colectate nicio amprentă a dispozitivului, niciun profil bazat pe comportament și niciun identificator permanent de urmărire.

5. Înregistrare și cont

Pe EuroPrisma puteți crea un cont pentru a vota, a comenta și a vă atribui activitatea. Autentificarea se face exclusiv prin Google Single Sign-On (vezi Pct. 5.1). O înregistrare clasică cu e-mail și parolă nu oferim; în mod corespunzător, nu stocăm nicio parolă.

Date prelucrate la crearea contului:

• ID-ul de cont Google (google_id) și adresa de e-mail depusă la Google (transmisă de Google, cf. Pct. 5.1)
• Confirmarea vârstei minime (16 ani, casetă de bifare activă; vezi Pct. 11)

Indicații opționale:

• Numele afișat (Username)
• Atribuirea țării (țara pe care o reprezentați pe platformă)
• Limba de afișare

Temei juridic: Art. 6 alin. 1 lit. b DSGVO (executarea contractului de utilizare).

Durata de stocare: pe durata contului de utilizare existent. După ștergerea contului dumneavoastră: vezi Pct. 13.

5.1 Autentificarea prin Google (Single Sign-On)

Înregistrarea și autentificarea pe EuroPrisma se fac exclusiv printr-un cont Google. Cu această ocazie ne sunt transmise de Google următoarele date, în măsura în care consimțiți în dialogul Google:

• ID-ul dumneavoastră de cont Google (google_id)
• adresa dumneavoastră de e-mail depusă la Google
• Opțional: numele afișat și poza de profil

Furnizorul este Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlanda. Google prelucrează, în plus, date proprii în cadrul procesului de autentificare (de ex. pentru prevenirea fraudei din partea Google). În această măsură, Google este operator propriu; vă rugăm să țineți cont de declarația de confidențialitate a Google: https://policies.google.com/privacy

Temei juridic: Art. 6 alin. 1 lit. a DSGVO (consimțământul pe care îl acordați prin confirmarea în dialogul Google), precum și Art. 6 alin. 1 lit. b DSGVO (executarea contractului).

Transfer către o țară terță: Prelucrarea poate avea loc și în SUA. Vezi Pct. 12.

Nu am încheiat cu Google un contract de prelucrare în calitate de împuternicit; Google acționează, în cadrul SSO, ca operator propriu și pune la dispoziție o declarație de confidențialitate proprie, care este legată în dialogul de autentificare Google.

6. Adresa IP, user-agent și amprenta dispozitivului la acțiunile de scriere

Această secțiune este centrală pentru conceptul nostru de protecție a datelor. Vă rugăm să o citiți cu atenție.

6.1 Ce date

Când efectuați pe EuroPrisma o acțiune de scriere, adică votați sau comentați, prelucrăm, suplimentar față de datele de conținut propriu-zise:

• adresa dumneavoastră IP
• șirul dumneavoastră user-agent (identificatorul browserului și dispozitivului, așa cum este transmis de browser)
• un hash al amprentei dispozitivului: un hash criptografic (SHA-256) din mai multe caracteristici tehnice ale browserului/dispozitivului dumneavoastră (concret: identificatorul browserului/OS din user-agent, limba preferată, dimensiunea ecranului și adâncimea de culoare, fusul orar, numărul de nuclee de procesor, identificatorul platformei). Stocăm pe server exclusiv hash-ul, nu caracteristicile individuale. O enumerare a proprietăților concrete ale browserului care sunt citite poate fi consultată în codul-sursă la frontend/src/lib/fingerprint.ts.

6.2 La simpla accesare a platformei nu prelucrăm nicio amprentă

Aceste trei date sunt colectate numai la acțiunile de scriere (vot, comentariu), nu la simpla afișare a conținuturilor și nu la simpla autentificare.

6.3 Scop

Prelucrarea servește exclusiv detectării și combaterii manipulării coordonate, voturilor multiple automate și a abuzurilor comparabile. EuroPrisma prezintă vizualizat raporturile de majoritate per țară; fără caracteristici tehnice de protecție, relevanța acestor date și, prin urmare, scopul platformei ar fi periclitate.

În plus, la fiecare acțiune de scriere verificăm un token de acțiune efemer (X-EP-Action-Token, durată de viață 30 de minute, legat de adresa IP de la momentul emiterii). Acest token este transportat exclusiv în antetele HTTP, nu este stocat pe server și servește la îngreunarea scripturilor automate și a încercărilor de replay dintr-un mediu de rețea străin.

6.4 Temei juridic (DSGVO și TTDSG)

Art. 6 alin. 1 lit. f DSGVO. Interesul nostru legitim este integritatea distribuției de opinie pe care o prezentăm și protecția platformei împotriva falsificării automate sau coordonate.

Prelucrarea are loc în concordanță cu principiile limitării legate de scop și ale minimizării datelor (Art. 5 alin. 1 lit. b, c DSGVO):

• colectarea are loc numai la acțiuni active de scriere, nu pasiv
• nu ia naștere niciun profil de comportament sau publicitar
• amprenta este folosită numai ca hash și nu în combinație cu urmărirea unor terți
• datele sunt șterse cu limitare legată de scop și cu un termen scurt
• nu are loc nicio blocare automată; vezi Pct. 7

În măsura în care, pentru formarea amprentei dispozitivului, sunt citite proprietăți tehnice ale echipamentului dumneavoastră terminal, în aceasta poate consta un acces la informații din echipamentul dumneavoastră terminal în sensul § 25 TTDSG. Acest acces este admisibil fără consimțământ conform § 25 alin. 2 nr. 2 TTDSG, deoarece este strict necesar pentru ca să vă putem furniza, protejat împotriva manipulării, serviciul dorit în mod expres, votarea și comentarea. Fără această caracteristică de protecție, voturile multiple automate și campaniile coordonate nu s-ar putea detecta în mod eficient, ceea ce ar periclita relevanța rezultatelor afișate și, prin urmare, esența serviciului. Amprenta este formată exclusiv la aceste acțiuni de scriere și nu la simpla accesare sau la simpla citire a conținuturilor (vezi Pct. 6.2).

6.5 Durata de stocare

Adresa IP, user-agent-ul și hash-ul amprentei aferente unui vot individual sau unui comentariu sunt eliminate automat după 90 de zile, în măsura în care nu este în curs o verificare deschisă de abuz. Înscrierea comentariului sau votului în sine rămâne, însă fără aceste caracteristici de protecție.

6.6 Dreptul de opoziție

Vă puteți opune oricând prelucrării conform Art. 21 DSGVO. În acest caz, este posibil să nu vă putem oferi acțiuni de scriere ori să vi le putem oferi doar limitat, deoarece caracteristicile tehnice de protecție sunt necesare pentru combaterea abuzului. Accesările de citire pură rămân în continuare posibile.

7. Anti-manipulare și detectarea anomaliilor

Verificăm datele colectate conform Pct. 6 împotriva unor tipare care indică o manipulare coordonată (de ex. un număr neobișnuit de mare de voturi din amprente sau IP-uri identice într-un timp scurt). În caz de potrivire se generează un indiciu de anomalie intern (anomaly_flag), care conține:

• tipul și gravitatea indiciului
• eventual ID-urile de utilizator afectate, adresa IP, hash-ul amprentei
• metadate suplimentare (de ex. fereastra de timp, valoarea-prag)

Important: un astfel de indiciu nu conduce automat la o blocare sau sancțiune. Fiecare indiciu este verificat de un om. O decizie exclusiv automatizată privind blocările nu are loc (Art. 22 DSGVO).

Dacă sunteți afectat de o măsură, ne puteți contesta în mod neformal (vezi Pct. 16); dreptul dumneavoastră la intervenție umană conform Art. 22 alin. 3 DSGVO rămâne neatins.

Temei juridic: Art. 6 alin. 1 lit. f DSGVO (vezi Pct. 6.4).

Durata de stocare: Indiciile de anomalie sunt șterse sau anonimizate de îndată ce procesul este încheiat, cel târziu după 12 luni.

Riscurile acestor măsuri anti-manipulare și de amprentare le-am evaluat în cadrul unei evaluări a impactului asupra protecției datelor conform Art. 35 DSGVO.

8. Comentarii și conținuturi pe care le publicați

Când publicați un comentariu, prelucrăm:

• textul comentariului (body)
• atribuirea opțională a țării dumneavoastră
• atribuirea la contul dumneavoastră
• caracteristicile tehnice de protecție din Pct. 6

Comentariile sunt de regulă vizibile public. Vă rugăm să nu publicați acolo date cu caracter personal ale terților și niciun conținut pe care nu doriți să îl faceți public.

Moderare: Comentariile sunt moderate înainte sau după publicare. În acest scop se folosește o preverificare asistată de IA; orice decizie finală de blocare sau ștergere este luată de un om (vezi Pct. 7 și Pct. 10).

Traducere: Pentru ca comentariul dumneavoastră să rămână lizibil în alte limbi ale UE, creăm automat traduceri (vezi Pct. 10). Acestea sunt stocate împreună cu comentariul dumneavoastră.

Temei juridic: Art. 6 alin. 1 lit. b DSGVO (executarea contractului; punerea la dispoziție a funcției de dezbatere) și Art. 6 alin. 1 lit. f DSGVO (pentru moderare și traducere ca prelucrare anexă).

Durata de stocare: Comentariile rămân, în principiu, permanent, pentru a menține trasabil cursul dezbaterii. La ștergerea contului, comentariul dumneavoastră este pseudonimizat (vezi Pct. 13).

9. Voturi / Voting

Când votați poziția dumneavoastră la o axă de încadrare a unui eveniment, prelucrăm:

• ID-ul axei și poziția dumneavoastră (valoare numerică)
• atribuirea opțională a țării dumneavoastră
• atribuirea la contul dumneavoastră
• caracteristicile tehnice de protecție din Pct. 6

Per cont este posibil câte un vot pentru fiecare axă; modificările ulterioare înlocuiesc votul anterior.

Evaluările agregate și care nu pot fi readuse la persoane individuale (de ex. "X % dintre participanții din țara Y au votat în această axă la dreapta centrului") sunt afișate public pe platformă.

Temei juridic: Art. 6 alin. 1 lit. b DSGVO (executarea contractului) și Art. 6 alin. 1 lit. f DSGVO (caracteristicile de protecție din Pct. 6).

10. Utilizarea inteligenței artificiale (Anthropic Claude)

EuroPrisma folosește modele de IA ale furnizorului Anthropic PBC, 548 Market St, San Francisco, CA 94104, SUA, în următoarele scopuri:

1. Identificarea temelor (Discovery): identificarea evenimentelor relevante la nivel european din surse accesibile public.
2. Crearea axelor de încadrare: propuneri de dimensiuni de evaluare per eveniment (doi poli opuși).
3. Moderarea comentariilor ca prefiltru: clasificare prealabilă automată dacă un comentariu încalcă Standardele noastre ale comunității. Decizia finală o ia un om.
4. Traducerea comentariilor dumneavoastră și a conținuturilor noastre în alte limbi ale UE acceptate (germană, engleză, franceză, spaniolă, poloneză, italiană).

La traducerea comentariilor dumneavoastră și la moderarea prin IA, conținuturile comentariului dumneavoastră sunt transmise către Anthropic. O identificare a persoanei dumneavoastră dincolo de textul comentariului nu are loc; în special nu transmitem către Anthropic date de e-mail, IP, user-agent sau amprentă.

Conținuturile generate de IA (rezumate, axe de încadrare, traduceri automate) sunt semnalate ca atare în interfață (Art. 50 KI-VO).

Rolul Anthropic: împuternicit (Art. 28 DSGVO). Prelucrarea are loc în temeiul contractului de prelucrare în calitate de împuternicit (Data Processing Addendum) al Anthropic, care include clauzele contractuale standard ale UE (cf. Pct. 12).

Transfer către o țară terță: SUA. Vezi Pct. 12.

Temei juridic: Art. 6 alin. 1 lit. b și alin. 1 lit. f DSGVO. Interesul legitim este disponibilitatea multilingvă a platformei, precum și moderarea prealabilă pentru asigurarea unui climat de dezbatere respectuos.

Riscurile legate de moderarea prin IA (în special overblocking și underblocking) sunt atenuate prin reverificarea umană și o procedură de contestație (vezi Pct. 16), în concordanță cu jurisprudența privind filtrarea algoritmică a conținuturilor.

11. Vârsta minimă

Utilizarea EuroPrisma presupune o vârstă minimă de 16 ani (Art. 8 DSGVO). La înregistrare confirmați aceasta printr-o casetă de bifare activă (nepreselectată). Nu colectăm o dată de naștere.

Dacă aflăm că un cont este ținut de o persoană sub 16 ani, ștergem acest cont.

12. Transmiterea către o țară terță (SUA)

Unii dintre furnizorii menționați își au sediul în SUA, respectiv prelucrează date acolo:

• Google (autentificare SSO; Pct. 5.1): Google LLC este certificat conform EU-US Data Privacy Framework (DPF). Transmiterea se sprijină, prin urmare, pe decizia de adecvare a Comisiei UE din 10.07.2023 (Art. 45 DSGVO).
• Anthropic (moderarea și traducerea asistate de IA a comentariilor; Pct. 10): Anthropic nu este certificat DPF. Transmiterea se sprijină pe clauzele contractuale standard ale UE conform Art. 46 alin. 2 lit. c DSGVO (modulul operator către împuternicit), care fac parte din contractul de prelucrare în calitate de împuternicit încheiat cu Anthropic. O evaluare complementară a riscurilor ("Transfer Impact Assessment") este disponibilă intern.
• Wikimedia (afișarea de imagini de eveniment licențiate liber; Pct. 14.2): Imaginile încorporate sunt preluate de browserul dumneavoastră nemijlocit de la infrastructura Wikimedia, prin care adresa IP și user-agent-ul pot ajunge la Wikimedia Foundation, Inc. (SUA). Wikimedia este, în această privință, operator propriu; nu există un contract de prelucrare în calitate de împuternicit sau de transmitere a datelor cu noi și nicio certificare DPF. Transmiterea este o consecință tehnică a preluării de către browserul dumneavoastră a unei resurse puse la dispoziție public și licențiate liber.

La prelucrările fără referință personală (selecția și pregătirea automată a evenimentelor) nu sunt transmise date cu caracter personal în SUA.

Aveți dreptul de a solicita o copie a garanțiilor (cerere prin e-mail la info@latuke.com).

13. Durata de stocare și ștergerea

Stocăm date cu caracter personal, în principiu, numai atât timp cât este necesar pentru scopurile menționate în această declarație sau cât prescriu termenele legale de păstrare.

Backup-urile servesc exclusiv asigurării disponibilității și integrității sistemelor și se supun acelorași concepte de ștergere ca datele de producție (de ex. rotație de 7 zile).

13.1 Ștergerea contului

Vă puteți șterge contul oricând prin setări (DELETE /users/me după confirmare în doi pași). În acest caz:

• datele dumneavoastră de cont (e-mail, Username, Google-ID) sunt șterse
• voturile și comentariile dumneavoastră nu sunt șterse, ci pseudonimizate: atribuirea la identitatea dumneavoastră este înlocuită cu un identificator stabil, atribuit aleatoriu, de forma deleted_user_<aleatoriu>
• adresa IP, user-agent-ul, hash-ul amprentei și adresa de e-mail sunt eliminate de la voturile și comentariile dumneavoastră anterioare

Păstrăm în mod conștient textul comentariului, pentru a nu falsifica ulterior cursul public al dezbaterii. Puteți elimina dumneavoastră înșivă comentarii individuale înainte de ștergerea contului.

14. Destinatarii datelor dumneavoastră

Destinatari ai datelor dumneavoastră sunt numai instanțele necesare în cadrul scopurilor descrise mai sus:

• furnizorul de hosting menționat la Pct. 2 (Hetzner Online GmbH) în calitate de împuternicit
• Anthropic PBC în calitate de împuternicit pentru funcțiile de IA menționate la Pct. 10
• Google Ireland Ltd. în cazul utilizării autentificării Google (operator propriu; Pct. 5.1)
• eventual autoritățile de urmărire penală în cadrul obligațiilor legale de informare

Nu vindem datele dumneavoastră și nu le transmitem în scopuri publicitare.

14.1 Notă: Event Registry

Pentru identificarea temelor recurgem la serviciul extern de date mediatice Event Registry (furnizor: Quintelligence d.o.o., Slovenia). Cu această ocazie nu sunt transmise date cu caracter personal ale utilizatorilor noștri. Event Registry ne furnizează exclusiv metadate agregate privind conținuturi mediatice publicate public.

14.2 Notă: Wikimedia / imagini licențiate CC

Materialele de imagine încorporate aferente evenimentelor pot proveni de la Wikimedia Commons și pot fi puse la dispoziție sub licențe libere (Creative Commons). Indicațiile privind autorul și licența sunt vizibile pentru fiecare imagine.

Aceste imagini nu sunt livrate de pe serverele noastre, ci sunt preluate de browserul dumneavoastră, la încărcarea unei pagini, nemijlocit de la infrastructura Wikimedia (upload.wikimedia.org). Cu această ocazie, din motive tehnice, adresa dumneavoastră IP și user-agent-ul dumneavoastră pot fi transmise către Wikimedia Foundation, Inc. (San Francisco, SUA). Wikimedia este, în această măsură, operator propriu; un contract de prelucrare în calitate de împuternicit sau de altă transmitere a datelor cu Wikimedia nu există. Declarația de confidențialitate Wikimedia: https://foundation.wikimedia.org/wiki/Policy:Privacy_policy

Temei juridic: Art. 6 alin. 1 lit. f DSGVO. Interesul legitim este îmbogățirea prezentării evenimentelor cu imagini potrivite tematic, licențiate liber, dintr-o sursă consacrată, fără scop lucrativ.

Transfer către o țară terță: Transmiterea are loc în SUA. Vezi Pct. 12.

15. Securitatea datelor

Luăm măsuri tehnice și organizatorice pentru a vă proteja datele împotriva distrugerii neintenționate sau ilegale, pierderii, modificării, precum și divulgării sau accesului neautorizat, în special:

• transmiterea exclusiv prin conexiuni criptate TLS (HTTPS)
• autentificarea exclusiv prin Google Single Sign-On - nu stocăm parole
• accesul la datele de producție limitat la un cerc restrâns de persoane autorizate
• actualizări de securitate periodice ale software-ului folosit

16. Drepturile dumneavoastră

Conform DSGVO vă revin față de noi următoarele drepturi:

• Acces la datele stocate despre dumneavoastră (Art. 15 DSGVO)
• Rectificarea datelor incorecte (Art. 16 DSGVO)
• Ștergerea datelor dumneavoastră (Art. 17 DSGVO; vezi Pct. 13.1)
• Restricționarea prelucrării (Art. 18 DSGVO)
• Portabilitatea datelor (Art. 20 DSGVO) - puteți solicita o copie a datelor dumneavoastră, lizibilă automat
• Opoziție față de prelucrările întemeiate pe Art. 6 alin. 1 lit. f DSGVO (Art. 21 DSGVO; vezi Pct. 6.6)
• Retragerea consimțămintelor acordate, cu efect pentru viitor (Art. 7 alin. 3 DSGVO)
• Plângere la o autoritate de supraveghere (Art. 77 DSGVO; vezi Pct. 17)

Pentru valorificare este suficient un e-mail neformal la info@latuke.com. Răspundem de regulă în termen de o lună (Art. 12 alin. 3 DSGVO).

16.1 Opoziție față de decizii de moderare sau anti-manipulare

Dacă sunteți afectat de o decizie de moderare sau de o măsură întemeiată pe un indiciu de anomalie (Pct. 7), ne puteți comunica aceasta în mod neformal prin e-mail la info@latuke.com. Această ofertă de contestație o punem la dispoziție în mod voluntar; o procedură internă formală de reclamație conform Art. 20 DSA, ca microîntreprindere, nu suntem obligați să o operăm (Art. 19 DSA). Motivarea măsurilor conform Condițiilor noastre de utilizare are loc în concordanță cu Art. 17 DSA (obligația de motivare); contestația dumneavoastră este verificată de noi în fiecare caz în parte. Dreptul dumneavoastră la intervenție umană conform Art. 22 alin. 3 DSGVO și dreptul dumneavoastră de a depune plângere la o autoritate de supraveghere (Pct. 17) rămân neatinse.

17. Dreptul de a depune plângere la o autoritate de supraveghere

Fără a aduce atingere altor căi de atac, aveți dreptul de a depune plângere la o autoritate de supraveghere în materie de protecția datelor, în special în statul membru al locului dumneavoastră de reședință, al locului dumneavoastră de muncă sau al locului presupusei încălcări.

Autoritatea de supraveghere competentă pentru sediul nostru este:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI Baden-Württemberg), Lautenschlagerstraße 20, 70173 Stuttgart.

18. Decizii automatizate și profilare

O decizie exclusiv automatizată în sensul Art. 22 DSGVO - adică o decizie cu efect juridic sau cu o afectare semnificativă comparabilă față de dumneavoastră, luată fără participare umană - nu are loc pe EuroPrisma.

Preverificările asistate de IA (moderarea comentariilor, detectarea anomaliilor) au loc, însă deciziile finale privind blocarea, ștergerea sau alte măsuri sunt luate întotdeauna de un om.

19. Modificări ale acestei Declarații de confidențialitate

Putem adapta această Declarație de confidențialitate dacă se modifică cerințele legale sau prelucrarea noastră. Versiunea actuală în vigoare este accesibilă pe platformă; în cazul unor modificări esențiale, informăm utilizatorii înregistrați prin e-mail.

20. Versiuni lingvistice

Această Declarație de confidențialitate este pusă la dispoziție în mai multe limbi, pentru ca să puteți consulta informațiile într-o limbă pe care o înțelegeți. Determinantă este versiunea germană; traducerile în alte limbi servesc doar înțelegerii mai ușoare.