Privacy Policy

Last updated: 15 April 2026 • Enso Industries S.R.L., Romania

1. Who Controls Your Data

The data controller for robotboy.app is:

Enso Industries S.R.L.
Str. Albatros, Bl. F1, Sc. B, Et. 1, Ap. 25
Municipiul Mangalia, jud. Constanța, 905500, România
CUI: 47348363 • Reg. com.: J13/4455/2022
Email: [email protected]

We are subject to EU and Romanian data protection law, including the General Data Protection Regulation (Regulation (EU) 2016/679, "GDPR") and Legea 190/2018. The supervisory authority for Romania is ANSPDCP (dataprotection.ro).

2. Data We Collect

We collect only what is necessary to provide the Service:

Account data: name, email address, bcrypt-hashed password (if using email/password login), profile fields from OAuth providers (Google, LinkedIn, Facebook) when you sign in via those
Business data: business name, website URL, industry, content tone preferences, language
Input content: prompts and any material you submit when requesting AI generation
Generated content: AI-produced posts, images, videos, and blog articles — associated with your account
Payment data: handled entirely by Stripe; we store only the Stripe customer ID, session ID, and credit transaction records — never card numbers
Usage data: credit balance, generation history, purchased tier, timestamps
Technical data: IP address (rate limiting, fraud detection, audit log), user-agent, session and error logs with PII redacted
OAuth provider tokens: encrypted at rest using AES-256-GCM; used only to perform actions you have explicitly authorised
Communications: emails you send to [email protected] and replies to transactional emails

We do not collect advertising data, behavioural profiles, or sensitive personal data as defined by GDPR Article 9.

3. How We Use Your Data and Legal Basis

Every processing operation is based on a legal ground under GDPR Article 6:

Purpose	Legal basis (GDPR Art. 6)
Create and manage your account	Art. 6(1)(b) — contract performance
Generate AI content using your inputs	Art. 6(1)(b) — contract performance
Process payments and issue receipts via Stripe	Art. 6(1)(b) — contract performance
Send transactional emails (welcome, receipts, password reset, alerts)	Art. 6(1)(b) — contract performance
Retain accounting and transaction records	Art. 6(1)(c) — legal obligation (Legea 82/1991)
Detect and prevent fraud, abuse, and security incidents	Art. 6(1)(f) — legitimate interest
Rate limiting and bot protection (Cloudflare Turnstile)	Art. 6(1)(f) — legitimate interest
Improve and debug the Service (anonymised, aggregated data only)	Art. 6(1)(f) — legitimate interest
Respond to support requests	Art. 6(1)(b) and/or Art. 6(1)(f)
Send marketing emails (if you opt in)	Art. 6(1)(a) — consent (withdrawable at any time)

We do not sell, rent, or share your personal data with third parties for marketing purposes. We do not use your identifiable content to train AI models.

4. Sub-processors and Data Sharing

All sub-processors are engaged under GDPR-compliant data processing agreements. Transfers to processors outside the European Economic Area rely on the European Commission's Standard Contractual Clauses (SCCs) under GDPR Chapter V.

Recipient	Purpose	Location
Stripe, Inc.	Payment processing, customer portal (Stripe Tax not currently used — Seller is a Romanian non-VAT-payer)	US / EU (SCCs + DPA)
MongoDB Atlas (MongoDB, Inc.)	Primary database hosting	EU region
Google Cloud — Vertex AI	AI text, image, and video generation (Gemini 2.5, Nano Banana / Nano Banana Pro, Veo 3.1)	EU region
Microsoft Azure	Blob Storage (video artifacts), Azure Front Door (CDN), Content Safety (text moderation), Video Indexer (transcripts), Azure OpenAI (text/image fallback)	EU region (SCCs + DPA)
OpenAI, L.L.C.	Fallback AI provider (text generation only when primary providers are unavailable)	US (SCCs + DPA)
Resend, Inc.	Transactional email delivery (welcome, password reset, receipts)	US (SCCs + DPA)
Cloudflare, Inc.	CDN, DDoS protection, Turnstile bot verification	Global edge (SCCs + DPA)
Sentry (Functional Software, Inc.)	Error monitoring with PII redaction	US / EU (SCCs + DPA)
DigitalOcean, LLC	Server hosting (application runtime)	EU region (AMS3)

5. Cookies and Local Storage

We use a minimal set of cookies. See our Cookie Policy for the full inventory.

Authentication storage. Your short-lived access token (15 minutes) is stored only in the browser's JavaScript memory and is never written to localStorage. Your refresh token is stored in an httpOnly, Secure, SameSite=Lax cookie named rb_refresh (7 days) and is never readable by client-side JavaScript. This design protects against XSS token theft.

6. Your GDPR Rights

As a data subject in the EU/EEA, you have the following rights under GDPR:

Right of access (Art. 15) — obtain a copy of the personal data we hold about you
Right to rectification (Art. 16) — correct inaccurate data
Right to erasure (Art. 17) — request deletion of your account and associated personal data
Right to restriction of processing (Art. 18) — ask us to limit processing while a dispute is resolved
Right to data portability (Art. 20) — receive your data in a structured, machine-readable format
Right to object (Art. 21) — object to processing based on legitimate interests
Right to withdraw consent — where processing is based on consent, you may withdraw it at any time; withdrawal does not affect prior lawful processing
Right to lodge a complaint — with ANSPDCP (dataprotection.ro) or any other EU supervisory authority

Self-service. You can exercise the rights of access and erasure directly from your dashboard under Account & privacy:

Export my data — downloads a structured JSON file of your account, generation history, and credit transactions (GDPR Art. 15 + Art. 20). Endpoint: GET /api/user/export.
Delete my account — permanently deletes your account and associated personal data within 30 days. Payment transaction records are retained for 7 years under Romanian accounting law (see Section 7). Endpoint: POST /api/user/delete.

For any other right (rectification, restriction, objection, withdrawal of consent, or to lodge a complaint), email [email protected]. We will respond within 30 calendar days as required by GDPR Article 12(3).

7. Data Retention

Account and content data — retained while your account is active
On account deletion — personal data is deleted or anonymised within 30 days
Payment transaction records — retained for 7 years as required by Romanian accounting law (Legea 82/1991, Art. 25)
Server logs (pino, PM2) — rolling 7-day retention, then automatically purged
Error reports (Sentry) — 90 days, with PII redacted at capture time
Admin audit log — 90 days (AdminAction TTL)
OAuth state tokens — 10 minutes, one-time-use
Marketing consent records — duration of consent + 3 years after withdrawal

8. Data Security

We implement technical and organisational measures appropriate to the risk, including:

TLS encryption in transit (HTTPS enforced via Helmet security headers)
bcrypt password hashing (cost factor 12)
Short-lived JWT access tokens (15 minutes) held in JS memory only
Refresh token rotation with family-based theft detection (30-second grace period)
AES-256-GCM encryption at rest for OAuth provider tokens
MongoDB Atlas encryption at rest
httpOnly, Secure, SameSite=Lax cookies
Nonce-based Content Security Policy (no unsafe-inline scripts)
Subresource Integrity (SRI) pinning on pinned-version CDN scripts
NoSQL injection prevention middleware
Rate limiting on all API endpoints with stricter limits on auth and generation
Cloudflare Turnstile bot verification on registration and login
Azure Content Safety moderation on pre-publish text
PII redaction in logs and error reporting

No method of transmission over the internet is 100% secure. In the event of a personal data breach likely to result in a risk to your rights and freedoms, we will notify ANSPDCP within 72 hours of becoming aware and affected users without undue delay, as required by GDPR Articles 33 and 34.

9. International Data Transfers

Some of our sub-processors are located outside the European Economic Area (primarily the United States). Where this is the case, we rely on the European Commission's Standard Contractual Clauses (2021/914) as the transfer mechanism under GDPR Chapter V, together with the processor's Data Processing Agreement and, where applicable, supplementary safeguards. MongoDB Atlas, Google Vertex AI, and DigitalOcean process your data exclusively within the EU region.

10. Children's Privacy

The Service is not directed at children under 18. We do not knowingly collect data from minors. If you believe a child has created an account, contact us at [email protected] and we will delete it.

11. Changes to This Policy

We may update this policy. We will notify you by email of material changes at least 14 days before they take effect. The "Last updated" date at the top of this page reflects the most recent revision. Continued use of the Service after the effective date constitutes acceptance of the updated policy.

12. Contact

For any privacy-related questions or to exercise your rights:
Email: [email protected]
Postal: Enso Industries S.R.L., Str. Albatros, Bl. F1, Sc. B, Et. 1, Ap. 25, Municipiul Mangalia, jud. Constanța, 905500, România

1. Operatorul de Date

Operatorul de date pentru robotboy.app este:

Enso Industries S.R.L.
Str. Albatros, Bl. F1, Sc. B, Et. 1, Ap. 25
Municipiul Mangalia, jud. Constanța, 905500, România
CUI: 47348363 • Nr. Reg. Com.: J13/4455/2022
Email: [email protected]

Suntem supuși legislației europene și române privind protecția datelor, inclusiv Regulamentului General privind Protecția Datelor (Regulamentul (UE) 2016/679, "GDPR") și Legii 190/2018. Autoritatea de supraveghere pentru România este ANSPDCP (dataprotection.ro).

2. Datele pe Care le Colectăm

Colectăm numai datele necesare pentru furnizarea Serviciului:

Date de cont: nume, adresă de email, parolă criptată cu bcrypt (dacă folosiți email/parolă), câmpuri de profil de la furnizorii OAuth (Google, LinkedIn, Facebook) atunci când vă autentificați prin aceștia
Date de afaceri: numele afacerii, URL-ul site-ului, industrie, preferințe de ton al conținutului, limbă
Conținut de intrare: prompturi și orice material pe care îl trimiteți la solicitarea generării AI
Conținut generat: postări, imagini, videoclipuri și articole de blog produse de AI — asociate contului dvs.
Date de plată: gestionate integral de Stripe; stocăm doar ID-ul client Stripe, ID-ul sesiunii și înregistrările tranzacțiilor cu credite — niciodată numerele cardurilor
Date de utilizare: soldul creditelor, istoricul generărilor, nivelul achiziționat, marcaje temporale
Date tehnice: adresă IP (limitarea ratei, detectarea fraudei, jurnal de audit), user-agent, jurnale de sesiune și erori cu PII redactate
Tokenuri OAuth: criptate la repaus cu AES-256-GCM; folosite exclusiv pentru a executa acțiunile pe care le autorizați explicit
Comunicări: emailuri trimise la [email protected] și răspunsuri la emailurile tranzacționale

Nu colectăm date publicitare, profiluri comportamentale sau date personale sensibile conform Articolului 9 GDPR.

3. Cum Folosim Datele Dvs. și Temeiul Legal

Fiecare operațiune de procesare se bazează pe un temei legal conform Articolului 6 GDPR:

Scop	Temei legal (Art. 6 GDPR)
Crearea și gestionarea contului	Art. 6(1)(b) — executarea contractului
Generarea conținutului AI pe baza datelor dvs. de intrare	Art. 6(1)(b) — executarea contractului
Procesarea plăților și emiterea chitanțelor prin Stripe	Art. 6(1)(b) — executarea contractului
Trimiterea emailurilor tranzacționale (bun venit, chitanțe, resetare parolă, alerte)	Art. 6(1)(b) — executarea contractului
Păstrarea înregistrărilor contabile și tranzacționale	Art. 6(1)(c) — obligație legală (Legea 82/1991)
Detectarea și prevenirea fraudei, abuzului și incidentelor de securitate	Art. 6(1)(f) — interes legitim
Limitarea ratei și protecția anti-bot (Cloudflare Turnstile)	Art. 6(1)(f) — interes legitim
Îmbunătățirea și depanarea Serviciului (exclusiv date anonimizate și agregate)	Art. 6(1)(f) — interes legitim
Răspunsul la solicitările de suport	Art. 6(1)(b) și/sau Art. 6(1)(f)
Trimiterea emailurilor de marketing (dacă optați)	Art. 6(1)(a) — consimțământ (revocabil oricând)

Nu vindem, nu închiriem și nu partajăm datele personale cu terțe părți în scopuri de marketing. Nu folosim conținutul dvs. identificabil pentru antrenarea modelelor AI.

4. Sub-procesatori și Partajarea Datelor

Toți sub-procesatorii sunt angajați pe baza unor acorduri de procesare a datelor conforme cu GDPR. Transferurile către procesatori din afara Spațiului Economic European se bazează pe Clauzele Contractuale Standard ale Comisiei Europene (SCC) conform Capitolului V GDPR.

Destinatar	Scop	Locație
Stripe, Inc.	Procesarea plăților, portal clienți (Stripe Tax nu este utilizat în prezent — Vânzătorul este neplătitor de TVA în România)	SUA / UE (SCC + DPA)
MongoDB Atlas (MongoDB, Inc.)	Găzduire bază de date principală	Regiune UE
Google Cloud — Vertex AI	Generare AI text, imagine, video (Gemini 2.5, Nano Banana / Nano Banana Pro, Veo 3.1)	Regiune UE
Microsoft Azure	Blob Storage (artefacte video), Azure Front Door (CDN), Content Safety (moderare text), Video Indexer (transcrieri), Azure OpenAI (fallback text/imagine)	Regiune UE (SCC + DPA)
OpenAI, L.L.C.	Furnizor AI de rezervă (generare text când furnizorii principali sunt indisponibili)	SUA (SCC + DPA)
Resend, Inc.	Livrare emailuri tranzacționale (bun venit, resetare parolă, chitanțe)	SUA (SCC + DPA)
Cloudflare, Inc.	CDN, protecție DDoS, verificare bot Turnstile	Edge global (SCC + DPA)
Sentry (Functional Software, Inc.)	Monitorizarea erorilor cu redactare PII	SUA / UE (SCC + DPA)
DigitalOcean, LLC	Găzduire server (runtime aplicație)	Regiune UE (AMS3)

5. Cookie-uri și Stocare Locală

Folosim un set minim de cookie-uri. Consultați Politica de Cookie-uri pentru inventarul complet.

Stocarea autentificării. Tokenul de acces de scurtă durată (15 minute) este stocat exclusiv în memoria JavaScript a browserului și nu este niciodată scris în localStorage. Tokenul de reîmprospătare este stocat într-un cookie httpOnly, Secure, SameSite=Lax numit rb_refresh (7 zile) și nu poate fi citit de JavaScript din partea clientului. Acest design protejează împotriva furtului de tokeni prin XSS.

6. Drepturile Dvs. GDPR

Ca persoană vizată în UE/SEE, aveți următoarele drepturi conform GDPR:

Dreptul de acces (Art. 15) — obțineți o copie a datelor personale pe care le deținem despre dvs.
Dreptul la rectificare (Art. 16) — corectați datele inexacte
Dreptul la ștergere (Art. 17) — solicitați ștergerea contului și a datelor personale asociate
Dreptul la restricționarea procesării (Art. 18) — cereți-ne să limităm procesarea în timpul soluționării unui litigiu
Dreptul la portabilitatea datelor (Art. 20) — primiți datele dvs. într-un format structurat și citibil de mașină
Dreptul de a obiecta (Art. 21) — obiectați la procesarea bazată pe interese legitime
Dreptul de a retrage consimțământul — unde procesarea se bazează pe consimțământ, îl puteți retrage oricând; retragerea nu afectează procesarea anterioară legală
Dreptul de a depune o plângere — la ANSPDCP (dataprotection.ro) sau la orice altă autoritate de supraveghere din UE

Self-service. Vă puteți exercita drepturile de acces și ștergere direct din panoul dvs. de bord la secțiunea Cont și confidențialitate:

Exportă datele mele — descarcă un fișier JSON structurat cu contul, istoricul generărilor și tranzacțiile de credite (GDPR Art. 15 + Art. 20). Endpoint: GET /api/user/export.
Șterge contul meu — șterge definitiv contul și datele personale asociate în termen de 30 de zile. Înregistrările tranzacțiilor de plată sunt reținute timp de 7 ani conform legii române de contabilitate (vezi Secțiunea 7). Endpoint: POST /api/user/delete.

Pentru orice alt drept (rectificare, restricționare, obiecție, retragerea consimțământului sau depunerea unei plângeri), trimiteți un email la [email protected]. Vom răspunde în termen de 30 de zile calendaristice, conform Articolului 12(3) GDPR.

7. Retenția Datelor

Date de cont și conținut — reținute cât timp contul este activ
La ștergerea contului — datele personale sunt șterse sau anonimizate în termen de 30 de zile
Înregistrări ale tranzacțiilor de plată — reținute 7 ani conform legii române de contabilitate (Legea 82/1991, Art. 25)
Jurnale de server (pino, PM2) — retenție rulantă de 7 zile, apoi șterse automat
Rapoarte de eroare (Sentry) — 90 de zile, cu PII redactate la captură
Jurnal de audit admin — 90 de zile (TTL AdminAction)
Tokenuri de stare OAuth — 10 minute, o singură utilizare
Înregistrări de consimțământ marketing — durata consimțământului + 3 ani după retragere

8. Securitatea Datelor

Implementăm măsuri tehnice și organizatorice adecvate riscului, inclusiv:

Criptare TLS în tranzit (HTTPS aplicată prin anteturi de securitate Helmet)
Criptare bcrypt a parolelor (factor de cost 12)
Tokenuri JWT de acces de scurtă durată (15 minute) ținute exclusiv în memoria JS
Rotația tokenului de reîmprospătare cu detectare de furt bazată pe familie (perioadă de grație 30 secunde)
Criptare AES-256-GCM la repaus pentru tokenurile OAuth ale furnizorilor
Criptare la repaus MongoDB Atlas
Cookie-uri httpOnly, Secure, SameSite=Lax
Content Security Policy bazată pe nonce (fără scripturi unsafe-inline)
Subresource Integrity (SRI) pe scripturile CDN cu versiune fixată
Middleware de prevenire a injecției NoSQL
Limitarea ratei pe toate endpoint-urile API, cu limite stricte pe autentificare și generare
Verificare bot Cloudflare Turnstile pe înregistrare și autentificare
Moderare Azure Content Safety pe textul pre-publicare
Redactarea PII în jurnale și raportarea erorilor

Nicio metodă de transmitere pe internet nu este 100% sigură. În cazul unei încălcări a datelor personale care poate genera un risc pentru drepturile și libertățile dvs., vom notifica ANSPDCP în termen de 72 de ore de la luarea la cunoștință și utilizatorii afectați fără întârziere nejustificată, conform Articolelor 33 și 34 GDPR.

9. Transferuri Internaționale de Date

Unii dintre sub-procesatorii noștri sunt situați în afara Spațiului Economic European (în principal Statele Unite). În aceste cazuri, ne bazăm pe Clauzele Contractuale Standard ale Comisiei Europene (2021/914) ca mecanism de transfer conform Capitolului V GDPR, împreună cu Acordul de Procesare a Datelor al procesatorului și, unde este cazul, garanții suplimentare. MongoDB Atlas, Google Vertex AI și DigitalOcean procesează datele dvs. exclusiv în regiunea UE.

10. Confidențialitatea Minorilor

Serviciul nu este destinat copiilor sub 18 ani. Nu colectăm cu bună știință date de la minori. Dacă considerați că un copil a creat un cont, contactați-ne la [email protected] și îl vom șterge.

11. Modificări ale Acestei Politici

Putem actualiza această politică. Vă vom notifica prin email despre modificările semnificative cu cel puțin 14 zile înainte de intrarea în vigoare. Data „Ultima actualizare" din partea de sus a paginii reflectă cea mai recentă revizuire. Utilizarea continuă a Serviciului după data efectivă constituie acceptarea politicii actualizate.

12. Contact

Pentru orice întrebare legată de confidențialitate sau pentru a vă exercita drepturile:
Email: [email protected]
Poștal: Enso Industries S.R.L., Str. Albatros, Bl. F1, Sc. B, Et. 1, Ap. 25, Municipiul Mangalia, jud. Constanța, 905500, România