GDPR

 POLITICA DE CONFIDENTIALITATE

 

INTRODUCERE

Contextul Regulamentului general privind protecția datelor (“GDPR”)

Regulamentul general privind protecția datelor, 679/2016, înlocuiește Directiva UE din 1995 privind protecția datelor și înlocuiește legislația fiecărui stat membru care a fost elaborată în conformitate cu Directiva 95/46 / CE privind protecția datelor. Scopul său este de a proteja “drepturile și libertățile” persoanelor fizice (adică persoanele vii) și de a se asigura că datele cu caracter personal nu sunt prelucrate fără cunoștința lor și, ori de câte ori este posibil, că sunt prelucrate cu consimțământul lor.

 

Definițiile utilizate de organizație (extrase din GDPR)

Domeniul material (articolul 2) – GDPR se aplică prelucrării datelor cu caracter personal, efectuată total sau parţial prin mijloace automatizate, precum şi prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidenţă a datelor sau care sunt destinate să facă parte dintr-un sistem de evidenţă a datelor.

Domeniul de aplicare teritorial (articolul 3) – GDPR se aplică prelucrării datelor cu caracter personal în cadrul activităţilor unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii. Prezentul regulament se aplică prelucrării datelor cu caracter personal ale unor persoane vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activităţile de prelucrare sunt legate de:

oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăţi de către persoana vizată; sau

monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii. Prezentul regulament se aplică prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplică în temeiul dreptului internaţional public.

 

Definițiile articolului 4

“Sediul principal” – sediul principal al operatorului în UE va fi locul în care operatorul adoptă principalele decizii cu privire la scopul și mijloacele activităților sale de prelucrare a datelor. Sediul principal al unei persoane imputernicite în UE va fi centrul său administrativ.

“Date cu caracter personal” înseamnă orice informaţii privind o persoană fizică identificată sau identificabilă (“persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

“Categorii speciale de date cu caracter personal” – date cu caracter personal care dezvăluie originea rasială sau etnică, opinii politice, convingeri religioase sau filosofice sau apartenența sindicală și prelucrarea datelor genetice, date biometrice în scopul identificării unice a unei persoane fizice, date privind sănătatea sau date privind viața sexuală sau orientarea sexuală a unei persoane fizice.

“Operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile şi mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;

“Persoana vizată” – orice persoană vie care face obiectul datelor cu caracter personal deținute de o organizație.

“Prelucrare” înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea.

“Creare de profiluri” înseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanţa la locul de muncă, situaţia economică, sănătatea, preferinţele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia.

“Incălcarea securităţii datelor cu caracter personal” înseamnă o încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.

 “Consimţământ” al persoanei vizate înseamnă orice manifestare de voinţă liberă, specifică, informată şi lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declaraţie sau printr-o acţiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate.

 „Parte terţă” înseamnă o persoană fizică sau juridică, autoritate publică, agenţie sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator şi persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal.

 “Sistem de evidenţă a datelor” înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcţionale sau geografice.

 

DECLARATIA DE CONFIDENTIALITATE

Conducerea Expandero, cu sediul in com. Dobroesti,  str. Progresului, nr. 28, camera 2, jud. Ilfov,  se angajează să respecte toate legile relevante ale UE și ale statelor membre cu privire la datele cu caracter personal și protecția “drepturilor și libertăților” persoanelor ale căror informații le colectează și proceseaza, în conformitate cu Regulamentul general privind protecția datelor (GDPR).

Conformitatea cu GDPR este descrisă de această politică și de alte politici relevante, cum ar fi Politica de Securitate a Informațiilor, împreună cu procesele și procedurile conexe.

GDPR va fi aplicata de toate persoanele din cadrul firmei noastre care prelucreaza date cu caracter personal, inclusiv toate persoanele din cadrul firmei noastre care proceseaza datele personale ale clienților, angajaților, furnizorilor și partenerilor, precum și orice alte date personale pe care organizația le procesează de la orice sursă.

Responsabilul pentru protecția datelor este responsabil pentru revizuirea anuală a registrului de procesare privind orice modificări ale activităților noastre (determinată de schimbările înregistrate în registrul de inventariere a datelor) și de orice cerințe suplimentare identificate prin evaluări ale impactului protecției datelor. Acest registru trebuie să fie disponibil la cererea autorității de supraveghere.

Această politică se aplică tuturor angajaților/ personalului și părților interesate din cadrul firmei noastre, cum ar fi furnizorii externalizați. Orice încălcare a GDPR va fi tratată conform politicii disciplinare a firmei noastre și poate fi, de asemenea, o contraventie, caz în care problema va fi raportată cât mai curând posibil autorităților competente.

Se așteaptă ca partenerii și orice terțe părți care lucrează cu sau pentru firma noastra și care au sau ar putea avea acces la date personale să fi citit, înțeles și să respecte această politică. Nicio terță parte nu poate accesa datele cu caracter personal deținute de firma noastra fără să fi încheiat în prealabil un acord de confidențialitate a datelor, care impune terței parti obligații nu mai puțin oneroase decât cele pe care le respecta firma noastra și care conferă dreptul de a verifica respectarea acordului.

 

SCOPUL PRELUCRARII

Datele personale pe care le colectam de la dumneavoastra vor fi utilizate in urmatoarele scopuri:

pentru desfasurarea relatiei contractuale dintre dumneavoastra si firma noastra, respectiv pentru preluarea, validarea, expedierea si facturarea comenzii plasate pe Site, informarea dumneavoastra asupra starii comenzii, organizarea returului de produse comandate etc.

Temei: Prelucrarea datelor dumneavoastra in acest scop are la baza contractul incheiat intre dumneavoastra si firma noastra, definit in cuprinsul Termenelor si Conditiilor. Furnizarea datelor dumneavoastra cu caracter personal este necesara pentru executareaa acestui contract. Refuzul furnizarii datelor poate avea drept consecinta imposibilitatea derularii raporturilor contractuale dintre dumneavoastra si firma noastra.

pentru indeplinirea obligatiilor legale care incumba firma noastra in contextul serviciilor prestate prin intermediul Site-ului, inclusiv a obligatiilor in materie fiscala, precum si in materie de arhivare.

Temei: Prelucrarea datelor dumneavoastra pentru acest scop este necesara in baza unor obligatii legale. Furnizarea datelor dumneavoastra in acest scop este necesara. Refuzul furnizarii datelor poate avea drept consecinta imposibilitatea firmei noastre de a respecta obligatiile legale care ii revin si deci in imposibilitatea de a va oferi serviciile prin intermediul Site-ului.

pentru activitati de marketing, respectiv pentru transmiterea, prin intermediul mijloacelor de comunicare la distanta (e-mail, sms, telefon, videochat, chat) de comunicari comerciale privind produsele si serviciile oferite de catre firma noastra, prin intermediul Site-ului.

Temei: Prelucrarea datelor dumneavoastra pentru acest scop are la baza consimtamantul dumneavoastra, daca alegeti sa-l furnizati.

Furnizarea datelor dumneavoastra in acest scop este voluntara. Refuzul furnizarii consimtamantului pentru prelucrarea datelor dumneavoastra in acest scop nu va avea urmari negative pentru dumneavoastra. Daca doriti ca datele dumneavoastra sa nu fie folosite in scop de marketing va rugam sa ne trimiti un email la adresa: contact@expandero.one

in scopul efectuarii diverselor analize, raportari privind modul de functionare a Site-ului, realizarea de profiluri de preferinte de consum, in principal, in vederea imbunatatiri experientei oferite pe Site.

Temei: Prelucrarea datelor dumneavoastra pentru acest scop are la baza interesul legitim al firmei noastre de a imbunatatii permanent experienta clientilor pe Site. Furnizarea datelor dumneavoastra in acest scop este voluntara. Refuzul furnizarii datelor pentru acest scop nu va avea urmari negative pentru dumneavoastra.

 

Prin consimtamantul dumneavoastra ne dati permisiunea sa le folosim pentru scopurile mentionate mai sus.

Va puteti retrage consimtamantul in orice moment, fie in scris, solicitand formularul de retragere a consimatmantului, fie online printr-o solicitare in acest sens la contact@expandero.one

 

CE SUNT DATELE PERSONALE?

In sensul Regulamentului General de Prelucrare a Datelor (EU GDPR), Datele Personale sunt definite ca fiind ”orice informatii privind o persoana fizica identificata sau identificabila (“persoana vizata”); o persoana fizica identificabila este o persoana care poate fi identificata, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.”

 

Consimtamantul va este solicitat pentru ca firma noastra sa proceseze date personale, insa acesta trebuie să fie dat in mod explicit.

 

DE CE EXPANDERO ARE NEVOIE SA COLECTEZE SI SA STOCHEZE INFORMATIILE FURNIZATE SI CAT TIMP LE PASTRAM?

Firma noastra este obligat sa proceseze si sa stocheze date personale pentru a va putea asigura servicii in conditii de legalitate si inalta calitate. Pe parcursul prestarii serviciilor, cu acordul dumneavoastra vom transfera catre terti datele dvs. in scopul indeplinirii obligatiilor legale (ANAF, ANC, AJOFM).

 

Datele dumneavoastra vor fi pastrate atat timp cat impune legislatia in vigoare. In cazul in care nu se face o mentiune expresa in acest sens, in conditii de securitate (conform Politicii de confidentialitate a datelor) si pe o perioada de stocare conform Procedurii interne de retentie a datelor, dar nu mai mult de 10 ani.

 

CINE ARE ACCES LA DATELE FURNIZATE?

Accesul asupra datelor il au doar angajatii firmei noastre. Nu oferim nimanui accesul asupra datelor personale fara un acord din partea dumneavoastra.

 

UNDE SUNT STOCATE DATELE FURNIZATE DE DUMNEAVOASTRA?

Datele personale furnizate sunt stocate pe teritorul SEE, conform cerintelor Regulamentului General de Prelucrare a datelor (EU GDPR). Modalitatea de securizarea a datelor perosnale o puteti consulta in Politica de confidentialitate.

 

SECURITATEA DATELOR DUMNEAVOASTRA

Toți angajații sunt responsabili pentru a se asigura că toate datele personale pe care firma noastra le deține și pentru care este responsabil, sunt păstrate în siguranță și nu sunt divulgate în niciun fel unei terțe părți decât dacă acea terță parte a fost autorizată în mod specific de catre firma noastra să primească aceste informații și a încheiat un acord de confidențialitate.

Toate datele personale sunt accesibile numai celor care au nevoie să le folosească. Toate datele cu caracter personal sunt procesate in siguranta și sunt păstrate:

pastrate pe computere, protejate prin parolă în conformitate cu cerințele organizatiei din Politica de control al accesului și / sau

stocate pe suporturi (detașabile) care sunt criptate

Toți angajații au incheiat un acord de utilizare înainte de a li se permite accesul la informațiile organizaționale de orice fel. Imediat ce înregistrările in format fizic nu mai sunt necesare pentru clienții de zi cu zi, acestea trebuie să fie distruse in siguranta, în conformitate cu o anumita procedura

Datele personale pot fi șterse sau eliminate în conformitate cu procedura de păstrare a înregistrărilor si conform legislatiei in vigoare. Înregistrările in format fizic care au ajuns la scadenta, sunt  mărunțite și aruncate ca “deșeuri” confidențiale.

 

DREPTURILE PERSOANELOR

Persoanele vizate au următoarele drepturi în ceea ce privește prelucrarea datelor și inregistrarile acestor date:

Să solicite acces cu privire la informațiile deținute și referitoare la cei carora le-au fost dezvăluite.

Sa se opuna prelucrarii care ar putea provoca daune sau prejudicii.

Sa se opuna prelucrarii în scopul marketingul direct.

Să fie informați cu privire la procesul decizional individual automatizat, inclusiv crearea de profiluri.

Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.

Să solicite despăgubiri în cazul în care suferă daune prin orice încălcare a GDPR.

Să ia măsuri pentru rectificarea, blocarea, ștergerea, inclusiv dreptul de a fi uitat sau distrugerea datelor inexacte.

Să solicite autorității de supraveghere să evalueze dacă o prevedere a GDPR a fost încălcată.

Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc şi pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent şi care poate fi citit automat şi are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal.

Persoana vizată are dreptul de a se opune crearii de profile fara existenta unui consimtamant

 Consimțământul

 Firma noastra înțelege “consimtamantul” ca fiind al persoanei vizate orice manifestare de voinţă liberă, specifică, informată şi lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declaraţie sau printr-o acţiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate. Persoana vizată își poate retrage consimțământul în orice moment.

 Firma noastra înțelege că prin “consimtamant” persoana vizată a fost pe deplin informată cu privire la prelucrarea datelor personale și a solicitat acordul în timp ce se află într-o stare de spirit adecvată pentru a face acest lucru și fără a se exercita presiuni asupra ei. Consimțământul obținut sub presiune sau pe baza unor informații înșelătoare nu va constitui o bază valabilă pentru procesare.

 Trebuie să existe o comunicare activă între părți pentru a demonstra consimțământul activ. Consimțământul nu poate fi dedus din lipsa de răspuns la o comunicare. Operatorul trebuie să poată demonstra obtinerea consimțământului pentru operațiunea de procesare.

 Pentru datele sensibile, trebuie obținut un acord scris explicit a persoanelor vizate, cu excepția cazului în care există o bază legala de procesare alternativă.

 În majoritatea cazurilor, consimțământul de prelucrare a datelor personale și sensibile este obținut în mod obișnuit de Expandero utilizând declaratiile de consimțământ standard.

 În cazul în care firma noastra oferă servicii on-line copiilor, trebuie obținut consimtamantul parintelui sau al reprezentantului legal al copilului. Această cerință se aplică copiilor cu vârsta sub 16 ani.

Divulgarea datelor

 Firma noastra trebuie să se asigure că datele cu caracter personal nu sunt divulgate terților neautorizați, care includ membri ai familiei, prieteni, organisme guvernamentale și, în anumite circumstanțe, Poliția. Toți angajații trebuie să fie atenți atunci când sunt rugați să dezvăluie datele personale deținute de o altă persoană unei terțe părți [și vor fi obligați să participe la o formare specifică care să le permită să gestioneze eficient astfel de riscuri]. Este important să se țină seama de faptul conform caruia divulgarea informațiilor este sau nu relevantă pentru desfășurarea activității.

 Toate solicitările de furnizare a datelor pentru unul dintre aceste motive trebuie să fie susținute de o documentație adecvată, iar toate aceste dezvăluiri trebuie să fie autorizate în mod specific de către Responsabilul pentru Protecția Datelor.

Pastrarea și eliminarea datelor

Firma noastra nu va păstra datele cu caracter personal într-o formă care să permită identificarea persoanelor vizate pentru o perioadă mai lungă decât este necesar, în raport cu scopul (scopurile) pentru care datele au fost colectate inițial.

 Firma noastra poate stoca date pentru perioade mai lungi în cazul în care datele cu caracter personal vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri științifice sau istorice de cercetare sau în scopuri statistice, sub rezerva punerii în aplicare a măsurilor tehnice și organizatorice adecvate pentru protejarea drepturilor și libertăților persoanei vizate.

 Perioada de păstrare pentru fiecare categorie de date cu caracter personal va fi stabilită în Procedura de păstrare a înregistrărilor împreună cu criteriile utilizate pentru stabilirea acestei perioade, inclusiv obligațiile legale ale firmei noastre care trebuie să păstreze datele.

 Procedurile de păstrare a datelor și procedurile de stergere a datelor ale firmei noastre se vor aplica în toate cazurile.

 Datele cu caracter personal trebuie să fie eliminate în siguranță, în conformitate cu al șaselea principiu al GDPR – prelucrate într-un mod adecvat pentru a menține securitatea, protejând astfel “drepturile și libertățile” persoanelor vizate. Orice eliminare a datelor se va face în conformitate cu procedura de stergere.

Transferuri de date

 Toate transferurile de date din Spațiul Economic European (SEE) către țările din Spațiul Economic Neeuropean (menționate în GDPR ca “țări terțe”) sunt ilegale, cu excepția cazului în care există un “nivel adecvat de protecție a drepturilor fundamentale ale persoanele vizate “.

Transferul de date cu caracter personal în afara SEE este interzis, cu excepția cazului în care se aplică una sau mai multe garanții sau excepții specificate:

O decizie de adecvare

Transferul de date cu caracter personal către o ţară terţă sau o organizaţie internaţională se poate realiza atunci când Comisia a decis că ţara terţă, un teritoriu ori unul sau mai multe sectoare specificate din acea ţară terţă sau organizaţia internaţională în cauză asigură un nivel de protecţie adecvat. Transferurile realizate în aceste condiţii nu necesită autorizări speciale. Țările care sunt membre ale Spațiului Economic European (SEE), dar nu și ale UE sunt acceptate ca îndeplinind condițiile unei decizii de adecvare.

O listă a țărilor care îndeplinesc în prezent cerințele de adecvare ale Comisiei este publicată în Jurnalul Oficial al Uniunii Europene. http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm

Privacy Shield

Dacă firma noastra dorește să transfere date personale din UE unei organizații din Statele Unite, ar trebui să verifice dacă organizația este înscrisă în cadrul Privacy Shield la Departamentul de Comerț din S.U.A. Obligația aplicabilă societăților inscrise in Privacy Shield este inclusă în Principiile privind confidentialitatea datelor. Departamentul de Comerț din S.U.A este responsabil pentru gestionarea și administrarea Privacy Shield și pentru asigurarea faptului că organizatiile își respectă angajamentele. Pentru a se putea certifica, companiile trebuie să aibă o politică de confidențialitate în conformitate cu principiile de confidențialitate, de ex. utilizare, stocare și transfer de date personale în conformitate cu un set puternic de reguli și garanții de protecție a datelor. Protecția datelor cu caracter personal se aplică indiferent dacă datele cu caracter personal au legătură cu un rezident al UE sau nu. Organizațiile trebuie să-și reînnoiască “statutul de membru” in cadrul Privacy Shield în fiecare an. Dacă nu, ele nu mai pot primi și utiliza datele cu caracter personal din UE.

 

Evaluarea adecvării de către operatorul de date

La evaluarea adecvării, operatorul care transfera date din UK ar trebui să țină seama de următorii factori:

natura informațiilor transferate;

țara sau teritoriul de origine și destinația finală a informațiilor;

modul în care informațiile vor fi utilizate și pentru cât timp;

legile și practicile țării cesionarului, inclusiv practicile în materie de protecţie a datelor cu caracter personal relevante și obligațiile internaționale; și

măsurile de securitate care trebuie luate în ceea ce privește datele din locația externa (valabil doar pentru UK)

Reguli corporatiste obligatorii

Firma noastra poate adopta reguli corporatiste obligatorii aprobate pentru transferul de date în afara UE. Acest lucru necesită prezentarea către autoritatea de supraveghere competentă spre aprobare a regulilor pe care încearcă să se bazeze.

Clauze de contract standard

Firma noastra poate adopta clauze contractuale standard aprobate pentru transferul de date în afara SEE. Dacă firma noastra adoptă clauzele contract standard aprobate de autoritatea de supraveghere competentă, atunci există o recunoaștere automată a gradului de adecvare.

 

Excepţii

În lipsa unei decizii de adecvare, a calitatii de membru a Privacy Shield, a regulilor corporatiste obligatorii și / sau a clauzelor de contract standard, transferul datelor cu caracter personal într-o țară terță sau într-o organizație internațională are loc numai în următoarele condiții:

persoana vizată și-a dat acordul în mod explicit cu privire la transferul propus, după ce a fost informat cu privire la riscurile posibile ale unor astfel de transferuri pentru persoana vizată, din cauza lipsei unei decizii de adecvare și a garanțiilor adecvate;

transferul este necesar pentru executarea unui contract între persoana vizată și operator sau implementarea măsurilor precontractuale luate la cererea persoanei vizate;

transferul este necesar pentru încheierea sau executarea unui contract încheiat în interesul persoanei vizate între operator și o altă persoană fizică sau juridică;

transferul este necesar din motive importante de interes public;

transferul este necesar pentru stabilirea, exercitarea sau apărarea revendicărilor legale; și / sau

transferul este necesar pentru a proteja interesele vitale ale persoanei vizate sau ale altor persoane, în cazul în care persoana vizată nu este capabilă din punct de vedere fizic sau legal să-și dea consimțământul.

 

Firma noastra asigură persoanele vizate ca isi pot exercita aceste drepturi:

Persoanele vizate pot face cereri gratuite de acces la date personale, furnizandu-le aceste informatii in termen de 30 de zile de la data inregistrarii cererii, la adresa de email contact@expandero.one

Persoanele vizate au dreptul sa depuna o plangere către firma noastra în legătură cu prelucrarea datelor lor personale, solicitarile din partea persoanelor vizate si modul în care au fost soluționate plângerile se vor face în conformitate cu procedura privind reclamațiile.