.privacy

Privacy Policy

Last updated: 27 May 2026

This Privacy Policy explains how 90 Seconds (the "service", "app", "we", "us") collects, uses, and protects your personal data when you use our wellness application. We are committed to handling your data transparently and in compliance with the EU General Data Protection Regulation (GDPR) and applicable Romanian law.

1. Who we are (Data Controller)

The service 90 Seconds is operated by:

Maria-Alexandra Iordan, individual data controller, based in Romania.
Contact for privacy matters: hello@90secondsapp.com

As an individual operator established in the European Union, we are subject to GDPR and supervised by the Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP).

2. What data we collect

2.1 Account data (only if you create an account)

Email address — for authentication and account recovery
Password — stored only as a secure cryptographic hash (we never see your plaintext password)
Name and profile picture — only if you sign in with Google, provided by Google with your consent
Account creation date and last sign-in — for security and account management

2.2 Service data (your moments)

Selected emotions from a predefined list (e.g., anxious, overwhelmed, tense)
Custom emotion descriptions if you type your own
Reflection notes you choose to save after a session
Session metadata: timestamp, language used, breathing path selected

2.3 Guest data (no account)

If you use 90 Seconds without an account, your moments are stored only in your browser's local storage and are never transmitted to our servers. You may store up to 3 moments locally. If you later create an account, you will be asked whether to migrate your local data to your new account.

2.4 Technical data

Session cookies — essential for keeping you signed in (cannot be disabled if you want an account)
Aggregate analytics via Vercel Analytics — pageviews, referrers, device type. No cookies, no personal identifiers, no cross-site tracking. Data is anonymized at collection.

We do not collect: location data, contacts, photos, biometric data, browsing history outside our app, or device identifiers for advertising purposes.

3. Legal basis for processing (GDPR Art. 6)

Contract performance (Art. 6(1)(b)) — for account data and service data necessary to provide you the app
Consent (Art. 6(1)(a)) — for Google Sign-In data and any optional features you actively enable
Legitimate interest (Art. 6(1)(f)) — for aggregate, anonymized analytics to maintain and improve the service. You may object at any time (see Section 6).

4. How we use your data

Your data is used solely to:

Provide the core functionality of the app (saving and retrieving your moments)
Authenticate you across devices
Send essential service emails (e.g., password reset, account deletion confirmation) — we do not send marketing emails
Maintain service security (e.g., detect abusive use)

We do not: sell your data, share it with advertisers, use it to train AI models, or use it for behavioral profiling.

5. Third-party processors (sub-processors)

To provide the service, we use the following processors. Each has its own privacy policy and signed Data Processing Agreement (DPA) with us where required:

Processor	Purpose	Location
Supabase Inc.	Database, authentication, storage of account and moment data	EU (Frankfurt, Germany)
Vercel Inc.	Web hosting and content delivery	USA (with EU edge nodes; DPF certified)
Vercel Analytics	Anonymous, cookieless usage analytics	USA (DPF certified)
Google LLC	Google Sign-In authentication (only if you choose this option)	USA (DPF certified)

Transfers outside the EU: Vercel and Google are based in the USA. These transfers are governed by the EU-U.S. Data Privacy Framework (DPF) and Standard Contractual Clauses (SCCs), which provide an adequate level of data protection under GDPR.

6. Your rights under GDPR

You have the following rights regarding your personal data. To exercise any of them, contact us at hello@90secondsapp.com. We will respond within 30 days.

Right of access — request a copy of all data we hold about you
Right to rectification — correct inaccurate or incomplete data
Right to erasure ("right to be forgotten") — request complete deletion of your account and all associated data. You can do this directly from the Account section in the app, or by contacting us
Right to restriction of processing — request that we limit how we use your data
Right to data portability — receive your data in a structured, machine-readable format (JSON)
Right to object — object to processing based on legitimate interest (e.g., analytics)
Right to withdraw consent — where processing is based on consent, withdraw it at any time
Right to lodge a complaint — file a complaint with the Romanian Data Protection Authority (ANSPDCP) at www.dataprotection.ro, or with the supervisory authority in your country of residence

7. Data retention

We retain your account and service data for as long as your account exists. When you delete your account, all associated data is permanently removed from our active databases within 30 days. Backup copies may persist for up to 30 additional days before being purged, after which no copy remains.

Aggregate anonymous analytics data does not contain personal identifiers and is retained indefinitely.

8. Data security

We implement reasonable technical and organizational measures to protect your data:

All data is transmitted over HTTPS/TLS encryption
Passwords are stored using industry-standard hashing (bcrypt/argon2 via Supabase Auth)
Database access is protected by Row-Level Security (RLS) — each user can only access their own data, enforced at the database level
Authentication tokens expire and are rotated automatically

However, no system is 100% secure. We cannot guarantee absolute security and you use the service at your own risk in this respect.

9. Cookies and tracking

We use only strictly necessary cookies for the functioning of the app:

Session cookies (set by Supabase Auth) — keep you signed in. Required for the app to work.
Local storage — stores your language preference and guest-mode moments (only on your device).

We do not use: tracking cookies, advertising cookies, behavioral analytics cookies, third-party tracking pixels, or social media tracking. We do not respond to Do Not Track signals because we do not track.

If you sign in with Google, Google may set its own cookies according to Google's Privacy Policy. We do not control these.

10. Children's privacy

90 Seconds is not directed at children under 16. We do not knowingly collect personal data from anyone under 16. If you believe a minor has provided us data, please contact us and we will delete it.

11. Changes to this Privacy Policy

We may update this Privacy Policy from time to time to reflect changes in our service, legal requirements, or processors. When we do:

The "Last updated" date at the top will change
For material changes, we will notify you via email (if you have an account) and via an in-app notice before the change takes effect
Continued use of the app after changes means you accept the updated Policy

12. Contact

For any question, request, or complaint regarding your privacy or this Policy:

Email: hello@90secondsapp.com
Data Controller: Maria-Alexandra Iordan, Romania

You also have the right to contact the Romanian Data Protection Authority directly:

ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal
Website: www.dataprotection.ro

13. Wellness disclaimer

90 Seconds is a personal wellness tool, not a medical service. It does not provide medical advice, diagnosis, or treatment. If you are experiencing a mental health crisis, please contact a licensed mental health professional or emergency services immediately.

.confidențialitate

Politică de confidențialitate

Ultima actualizare: 27 mai 2026

Această Politică de Confidențialitate explică modul în care 90 Seconds („serviciul", „aplicația", „noi") colectează, utilizează și protejează datele tale personale atunci când folosești aplicația noastră de wellness. Ne angajăm să gestionăm datele tale în mod transparent și în conformitate cu Regulamentul General privind Protecția Datelor (RGPD/GDPR) și legislația română aplicabilă.

1. Cine suntem (Operatorul de date)

Serviciul 90 Seconds este operat de:

Maria-Alexandra Iordan, operator de date cu caracter personal, persoană fizică, cu domiciliul în România.
Contact pentru chestiuni de confidențialitate: hello@90secondsapp.com

Ca operator stabilit în Uniunea Europeană, suntem supuși RGPD și supravegheați de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).

2. Ce date colectăm

2.1 Date de cont (doar dacă îți creezi cont)

Adresa de email — pentru autentificare și recuperarea contului
Parola — stocată doar ca hash criptografic securizat (nu vedem niciodată parola ta în clar)
Numele și poza de profil — doar dacă te autentifici cu Google, furnizate de Google cu acordul tău
Data creării contului și a ultimei autentificări — pentru securitate și gestionarea contului

2.2 Date de serviciu (momentele tale)

Emoțiile selectate dintr-o listă predefinită (de ex. anxios, copleșit, tensionat)
Descrieri personalizate de emoții dacă alegi să scrii propria emoție
Note de reflecție pe care alegi să le salvezi după o sesiune
Metadate sesiune: data și ora, limba folosită, calea de respirație aleasă

2.3 Date în modul guest (fără cont)

Dacă folosești 90 Seconds fără cont, momentele tale sunt stocate doar în memoria locală a browserului tău și nu sunt transmise niciodată către serverele noastre. Poți stoca local până la 3 momente. Dacă ulterior îți creezi un cont, te vom întreba dacă vrei să migrezi datele locale în noul cont.

2.4 Date tehnice

Cookies de sesiune — esențiale pentru a te menține autentificat (nu pot fi dezactivate dacă vrei să folosești un cont)
Statistici agregate prin Vercel Analytics — vizualizări de pagină, surse de trafic, tip dispozitiv. Fără cookies, fără identificatori personali, fără tracking între site-uri. Datele sunt anonimizate la colectare.

Nu colectăm: date de locație, contacte, fotografii, date biometrice, istoricul de navigare în afara aplicației noastre, sau identificatori de dispozitiv pentru reclame.

3. Temeiul legal al prelucrării (Art. 6 RGPD)

Executarea contractului (Art. 6(1)(b)) — pentru datele de cont și de serviciu necesare furnizării aplicației
Consimțământul (Art. 6(1)(a)) — pentru datele de la Google Sign-In și orice funcție opțională pe care o activezi explicit
Interes legitim (Art. 6(1)(f)) — pentru statistici agregate și anonime, în scopul menținerii și îmbunătățirii serviciului. Te poți opune oricând (vezi Secțiunea 6).

4. Cum folosim datele tale

Datele tale sunt folosite exclusiv pentru:

A furniza funcționalitatea de bază a aplicației (salvarea și accesarea momentelor)
A te autentifica pe mai multe dispozitive
A trimite emailuri esențiale legate de serviciu (de ex. resetare parolă, confirmare ștergere cont) — nu trimitem emailuri de marketing
A menține securitatea serviciului (de ex. detectarea utilizărilor abuzive)

NU: vindem datele tale, nu le partajăm cu agenți de publicitate, nu le folosim pentru antrenarea modelelor de AI, nu le folosim pentru profilare comportamentală.

5. Procesatori terți (sub-procesatori)

Pentru a furniza serviciul, folosim următorii procesatori. Fiecare are propria politică de confidențialitate și un Contract de Prelucrare a Datelor (DPA) semnat cu noi, acolo unde este necesar:

Procesator	Scop	Locație
Supabase Inc.	Bază de date, autentificare, stocarea datelor de cont și a momentelor	UE (Frankfurt, Germania)
Vercel Inc.	Găzduire web și livrare de conținut	SUA (cu noduri edge în UE; certificat DPF)
Vercel Analytics	Statistici de utilizare anonime, fără cookies	SUA (certificat DPF)
Google LLC	Autentificare prin Google Sign-In (doar dacă alegi această opțiune)	SUA (certificat DPF)

Transferuri în afara UE: Vercel și Google sunt situate în SUA. Aceste transferuri sunt guvernate de Cadrul UE-SUA pentru Confidențialitatea Datelor (DPF) și Clauze Contractuale Standard (SCC), care asigură un nivel adecvat de protecție conform RGPD.

6. Drepturile tale conform RGPD

Ai următoarele drepturi cu privire la datele tale personale. Pentru a exercita oricare dintre ele, contactează-ne la hello@90secondsapp.com. Vom răspunde în maximum 30 de zile.

Dreptul de acces — să soliciți o copie a tuturor datelor pe care le deținem despre tine
Dreptul la rectificare — să corectezi datele inexacte sau incomplete
Dreptul la ștergere („dreptul de a fi uitat") — să soliciți ștergerea completă a contului și a tuturor datelor asociate. Poți face asta direct din secțiunea Cont a aplicației, sau prin contactarea noastră
Dreptul la restricționarea prelucrării — să soliciți limitarea modului în care folosim datele tale
Dreptul la portabilitatea datelor — să primești datele tale într-un format structurat și care poate fi citit de mașină (JSON)
Dreptul la opoziție — să te opui prelucrării bazate pe interes legitim (de ex. statisticile)
Dreptul de a retrage consimțământul — acolo unde prelucrarea se bazează pe consimțământ, poți să-l retragi oricând
Dreptul de a depune o plângere — la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) la www.dataprotection.ro, sau la autoritatea de supraveghere din țara ta de reședință

7. Perioada de păstrare a datelor

Păstrăm datele de cont și de serviciu atât timp cât contul tău există. Când îți ștergi contul, toate datele asociate sunt eliminate permanent din bazele noastre active în termen de 30 de zile. Copiile de backup pot persista încă 30 de zile suplimentare înainte de a fi purjate, după care nu mai rămâne nicio copie.

Datele agregate anonime de statistici nu conțin identificatori personali și sunt păstrate pe termen nedeterminat.

8. Securitatea datelor

Implementăm măsuri tehnice și organizatorice rezonabile pentru a-ți proteja datele:

Toate datele sunt transmise prin criptare HTTPS/TLS
Parolele sunt stocate folosind hash-uri standard în industrie (bcrypt/argon2 prin Supabase Auth)
Accesul la baza de date este protejat de Row-Level Security (RLS) — fiecare utilizator poate accesa doar propriile date, regulă impusă la nivel de bază de date
Token-urile de autentificare expiră și sunt rotite automat

Cu toate acestea, niciun sistem nu este 100% sigur. Nu putem garanta securitatea absolută și folosești serviciul pe propria răspundere în această privință.

9. Cookies și urmărire

Folosim doar cookies strict necesare pentru funcționarea aplicației:

Cookies de sesiune (setate de Supabase Auth) — te mențin autentificat. Necesare pentru ca aplicația să funcționeze.
Local storage — stochează preferința ta de limbă și momentele în modul guest (doar pe dispozitivul tău).

NU folosim: cookies de urmărire, cookies de publicitate, cookies de analiză comportamentală, pixeli de tracking terți, sau tracking de social media. Nu răspundem la semnalele Do Not Track pentru că nu urmărim.

Dacă te autentifici cu Google, Google poate seta propriile cookies conform Politicii de Confidențialitate Google. Noi nu controlăm aceste cookies.

10. Confidențialitatea minorilor

90 Seconds nu se adresează copiilor sub 16 ani. Nu colectăm cu bună știință date personale de la persoane sub 16 ani. Dacă crezi că un minor ne-a furnizat date, te rugăm să ne contactezi și le vom șterge.

11. Modificări ale acestei Politici

Putem actualiza această Politică de Confidențialitate din când în când pentru a reflecta modificări ale serviciului, cerințe legale, sau procesatori. Când facem asta:

Data „Ultima actualizare" de la începutul documentului se va schimba
Pentru modificări materiale, te vom notifica prin email (dacă ai cont) și printr-o notificare în aplicație înainte ca modificarea să intre în vigoare
Continuarea utilizării aplicației după modificări înseamnă că accepți Politica actualizată

12. Contact

Pentru orice întrebare, solicitare sau plângere referitoare la confidențialitatea ta sau la această Politică:

Email: hello@90secondsapp.com
Operator de date: Maria-Alexandra Iordan, România

Ai de asemenea dreptul de a contacta direct Autoritatea Națională de Supraveghere:

ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal
Website: www.dataprotection.ro

13. Notă wellness

90 Seconds este un instrument personal de wellness, nu un serviciu medical. Nu oferă sfaturi medicale, diagnostic sau tratament. Dacă te confrunți cu o criză de sănătate mintală, te rugăm să contactezi imediat un specialist autorizat sau serviciile de urgență.