Politica de Privacidade
Ultima atualizacao: 2026.04.08.
1. Responsavel pelo tratamento
O responsavel pelo tratamento e a Magenta Team Korlátolt Felelősségű Társaság (sede: Petőfi Sándor utca 12/1., 2085 Pilisvörösvár, Hungria; numero de registo comercial: 13-09-226488; numero de identificacao fiscal: 26142366-2-13; representada por: Adrian Olajos, Diretor-Geral; e-mail: legal@bellora.net). O Responsavel pelo tratamento nao designou um Encarregado de Protecao de Dados (DPO), uma vez que as suas atividades nao se enquadram nos casos de designacao obrigatoria nos termos do GDPR 37. Para questoes de protecao de dados, o Responsavel pelo tratamento pode ser contactado em legal@bellora.net.
2. Ambito dos dados tratados
Durante a utilizacao do Servico, tratamos os seguintes dados:
- Dados pessoais: nome, endereco de e-mail, numero de telefone, foto de perfil
- Dados do salao: nome do salao, endereco, horario de funcionamento, fotografias, descricao
- Dados de reservas: marcacoes, servicos, funcionarios, dados de cancelamento
- Dados de pagamento: identificadores de transacoes Stripe, valores dos pagamentos, moeda (nao armazenamos dados de cartoes de credito)
- Dados de comunicacao: notificacoes por e-mail e SMS, notificacoes push, preferencias de notificacao
- Dados tecnicos: endereco IP, tipo de navegador, informacoes do dispositivo, identificadores de cookies
- Dados dos formularios de admissao: respostas a questionarios configurados pelo salao (que podem incluir dados de saude)
3. Finalidade e base juridica do tratamento dos dados
Para cada finalidade de tratamento aplicam-se as seguintes bases juridicas:
- Gestao de conta e autenticacao: execucao do contrato (GDPR Art. 6(1)(b)) -- nome, e-mail, hash da palavra-passe, foto de perfil
- Gestao de reservas de marcacoes: execucao do contrato (GDPR Art. 6(1)(b)) -- dados da reserva, servico, horario, funcionario
- Processamento de pagamentos (Stripe): execucao do contrato (GDPR Art. 6(1)(b)) -- ID da transacao, valor, moeda
- Envio de notificacoes (e-mail, SMS, push): interesse legitimo (GDPR Art. 6(1)(f)) para notificacoes transacionais; consentimento (GDPR Art. 6(1)(a)) para notificacoes de marketing
- Faturacao e contabilidade: obrigacao legal (GDPR Art. 6(1)(c)) -- dados de faturacao, transacoes
- Rastreamento de erros e seguranca do sistema (Sentry): interesse legitimo (GDPR Art. 6(1)(f)) -- dados tecnicos, endereco IP, relatorios de erros
- Cookies (analiticos): consentimento (GDPR Art. 6(1)(a)) -- identificadores de cookies, estatisticas de utilizacao
- Dados dos formularios de admissao: consentimento (GDPR Art. 6(1)(a)); para dados de saude, consentimento explicito (GDPR Art. 9(2)(a))
4. Prazos de conservacao dos dados
Para cada tipo de dados aplicam-se os seguintes prazos de conservacao:
- Dados da conta (perfil, definicoes): conservados ate a eliminacao da conta, depois eliminados permanentemente no prazo de 30 dias apos o pedido de eliminacao
- Dados de reservas: 2 anos a partir da data da reserva (para fins fiscais e contabilisticos), depois anonimizados
- Transacoes de pagamento: 8 anos (em conformidade com a Lei da Contabilidade hungara (Lei C de 2000))
- Registos de transacoes SMS: 1 ano
- Registos de auditoria: 90 dias
- Dados de erros do Sentry: 90 dias
- Consentimento de cookies: 1 ano
- Alteracoes nas preferencias de notificacao (registo de auditoria do consentimento): 3 anos
5. Subcontratantes
Para o funcionamento do Servico utilizamos os seguintes subcontratantes:
- Stripe (Stripe, Inc., San Francisco, USA) -- processamento de pagamentos, gestao de dados de transacoes
- Twilio (Twilio Inc., San Francisco, USA) -- entrega de notificacoes SMS, tratamento de numeros de telefone
- Resend (Resend, Inc., San Francisco, USA) -- entrega de notificacoes por e-mail, tratamento de enderecos de e-mail
- Hetzner (Hetzner Online GmbH, Gunzenhausen, Alemanha) -- infraestrutura de servidores, armazenamento de todos os dados da plataforma (Helsinki, EU)
- Cloudflare (Cloudflare, Inc., San Francisco, USA) -- gestao de DNS, CDN, tratamento de enderecos IP
- Sentry (Functional Software, Inc., San Francisco, USA) -- rastreamento de erros, tratamento de dados tecnicos
- Szamlazz.hu (KBOSS.hu Kft., Budapest, Hungria) -- faturacao, tratamento de dados de faturacao
6. Transferencias internacionais de dados
Alguns dos nossos subcontratantes (Stripe, Twilio, Resend, Sentry, Cloudflare) tratam dados nos Estados Unidos. Estes fornecedores estao certificados ao abrigo do EU-US Data Privacy Framework (DPF), que garante uma protecao adequada dos dados pessoais com base na decisao de adequacao da Comissao Europeia. Quando o EU-US DPF nao e aplicavel, as Standard Contractual Clauses (SCCs) servem como base juridica para a transferencia. A Hetzner e a Szamlazz.hu tratam os dados exclusivamente dentro da Uniao Europeia.
7. Direitos dos titulares dos dados
Nos termos do GDPR, tem os seguintes direitos: direito de acesso (pode solicitar uma copia dos seus dados); direito de retificacao (correcao de dados inexatos); direito ao apagamento (pode solicitar a eliminacao dos seus dados); direito a limitacao do tratamento; direito a portabilidade dos dados (pode solicitar os seus dados num formato legivel por maquina); direito de oposicao (contra o tratamento baseado em interesse legitimo). Para o tratamento baseado em consentimento, o consentimento pode ser retirado a qualquer momento sem afetar a licitude do tratamento anterior a retirada. Para exercer os seus direitos, contacte-nos em legal@bellora.net. O Servico nao utiliza tomada de decisao automatizada nem definicao de perfis.
8. Seguranca dos dados
Garantimos a seguranca dos dados atraves de medidas tecnicas e organizativas. Os dados sao transmitidos atraves de canais encriptados e armazenados em servidores seguros. O processamento de pagamentos e efetuado pela Stripe, um prestador de servicos de pagamento certificado PCI DSS Level 1 -- o mais alto padrao de seguranca na industria de pagamentos. A Bellora nao armazena, processa nem transmite dados de cartoes de credito. Os dados dos cartoes sao geridos diretamente pelos sistemas encriptados da Stripe.
9. Autoridade de controlo
Se considerar que o tratamento dos seus dados pessoais viola as disposicoes do GDPR, tem o direito de apresentar uma reclamacao junto da autoridade de controlo. Na Hungria, a autoridade de controlo competente e: Nemzeti Adatvedelmi es Informacioszabadsag Hatosag (NAIH), endereco: 1055 Budapest, Falk Miksa utca 9-11., e-mail: ugyfelszolgalat@naih.hu, telefone: +36 1 391 1400, site: www.naih.hu.