Politică de Confidențialitate

Prezenta Politică de Confidențialitate constituie un instrument juridic obligatoriu care reglementează modalitățile și condițiile de prelucrare a datelor cu caracter personal în conformitate cu dispozițiile Regulamentului (UE) 2016/679 (GDPR), ale Legii nr. 190/2018 privind măsuri de punere în aplicare a GDPR și ale Directivei 2002/58/CE privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor electronice.

În calitatea noastră de operator de date cu sediul în Uniunea Europeană, subscriem principiilor fundamentale stipulate în articolul 5 din GDPR: principiul legalității, echității și transparenței; principiul limitării scopului; principiul reducerii la minimum a datelor; principiul exactității; principiul limitării perioadei de stocare; principiul integrității și confidențialității; și principiul responsabilității.

În virtutea principiului minimizării datelor (art. 5 alin. (1) lit. c) din GDPR), prelucrăm următoarele categorii de date cu caracter personal, fiecare având o fundamentare juridică specifică:

• Date de identificare și contact: nume, prenume, adresă email, număr de telefon - necesare pentru executarea contractului și comunicarea esențială

• Date privind evenimentul: informații temporale, spațiale, preferențiale și logistice - necesare pentru îndeplinirea obligațiilor contractuale

• Date privind participanții: informații de identificare și preferințe alimentare (sub rezerva consimțământului explicit) - necesare pentru gestionarea evenimentului

• Date de autentificare și securitate: credențiale criptate și tokenuri de acces - necesare pentru asigurarea securității sistemului informatic

• Date tehnice și de telemetrie: identificatori unici de dispozitiv, parametri de rețea, identificatori de sesiune (în temeiul interesului legitim conform art. 6 alin. (1) lit. f) din GDPR)

• Module cookie și tehnologii similare de urmărire (în conformitate cu Directiva ePrivacy și Legea 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice)

Prelucrarea datelor cu caracter personal se efectuează în conformitate cu principiul limitării scopului (art. 5 alin. (1) lit. b) din GDPR), pentru următoarele finalități determinate, explicite și legitime:

• Furnizarea și personalizarea serviciilor contractate, incluzând dar nelimitându-se la implementarea funcționalităților solicitate

• Administrarea și securizarea contului utilizator, inclusiv autentificarea multi-factor și prevenirea accesului neautorizat

• Diseminarea comunicărilor operaționale esențiale privind serviciul

• Activități de marketing direct, sub rezerva consimțământului explicit și revocabil

• Optimizarea și ameliorarea serviciilor pe baza analizei agregate a comportamentului utilizatorilor

• Conformitatea cu obligațiile legale impuse de legislația națională și europeană aplicabilă

În conformitate cu dispozițiile art. 6 din GDPR, prelucrarea datelor cu caracter personal se întemeiază pe următoarele baze juridice:

• Executarea contractului (art. 6 alin. (1) lit. b) din GDPR) - pentru operațiunile de prelucrare indispensabile furnizării serviciilor solicitate

• Consimțământul explicit (art. 6 alin. (1) lit. a) din GDPR) - pentru activitățile de marketing și implementarea cookie-urilor non-esențiale, cu respectarea condițiilor prevăzute la art. 7 din GDPR

• Obligații legale (art. 6 alin. (1) lit. c) din GDPR) - pentru îndeplinirea obligațiilor fiscale, contabile și alte cerințe legale imperative

• Interese legitime (art. 6 alin. (1) lit. f) din GDPR) - pentru optimizarea serviciilor și implementarea măsurilor de securitate, sub rezerva evaluării comparative a intereselor

Retragerea consimțământului poate fi exercitată în orice moment, fără a afecta legalitatea prelucrării efectuate anterior retragerii.

În conformitate cu dispozițiile Capitolului III din GDPR și legislația națională complementară, beneficiați de următoarele prerogative fundamentale:

• Dreptul de acces (art. 15 din GDPR) - posibilitatea de a obține o confirmare a prelucrării și o copie a datelor prelucrate, inclusiv informații despre scopuri, categorii de date, destinatari și garanții

• Dreptul la rectificare (art. 16 din GDPR) - posibilitatea de a solicita corectarea sau completarea datelor inexacte sau incomplete

• Dreptul la ștergerea datelor ('dreptul de a fi uitat', art. 17 din GDPR):

- Circumstanțe de exercitare: datele nu mai sunt necesare scopului inițial; retragerea consimțământului când acesta constituie baza legală; exercitarea dreptului la opoziție; prelucrare ilegală

- Procedura de implementare: evaluarea cererii în termen de 30 de zile calendaristice

- Măsuri tehnice: ștergerea ireversibilă din toate sistemele operaționale și copiile de siguranță

- Limitări: păstrarea datelor necesare pentru obligații legale, interes public sau apărarea drepturilor în justiție

• Dreptul la restricționarea prelucrării (art. 18 din GDPR) - posibilitatea de a obține limitarea prelucrării în circumstanțe specifice

• Dreptul la portabilitatea datelor (art. 20 din GDPR) - obținerea datelor într-un format structurat, utilizat în mod curent și care poate fi citit automat

• Dreptul la opoziție (art. 21 din GDPR) - posibilitatea de a vă opune prelucrării bazate pe interesul legitim sau în scopuri de marketing direct

• Dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată (art. 22 din GDPR) - inclusiv crearea de profiluri

Modalități de exercitare a drepturilor:

• Transmiterea unei solicitări formale la adresa [email protected]

• Utilizarea instrumentelor automatizate disponibile în interfața contului de utilizator

• Termen de răspuns: maximum 30 de zile calendaristice, cu posibilitatea de prelungire în cazuri de complexitate deosebită

• Exercitarea drepturilor este gratuită, cu excepția solicitărilor vădit nefondate sau excesive

Căi de atac: aveți dreptul de a depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) - www.dataprotection.ro, sau de a vă adresa instanțelor judecătorești competente

Implementăm un ansamblu complex de măsuri tehnice și organizatorice pentru asigurarea confidențialității, integrității și disponibilității datelor:

• Criptare asimetrică end-to-end pentru datele în tranzit și criptare AES-256 pentru datele în repaus

• Sisteme granulare de control al accesului bazate pe principiul privilegiului minim

• Monitorizare proactivă a securității prin sisteme SIEM (Security Information and Event Management)

• Programe regulate de instruire și conștientizare privind protecția datelor pentru personal

• Protocoale stricte de gestionare a incidentelor de securitate

• Evaluări periodice ale vulnerabilităților și teste de penetrare

Transmiterea datelor cu caracter personal se efectuează exclusiv în următoarele circumstanțe:

• Către furnizori de servicii esențiale (procesatori de date) care au implementat garanții adecvate conform art. 28 din GDPR

• Către autorități publice competente în exercitarea atribuțiilor lor legale

• Către procesatori de plăți autorizați pentru facilitarea tranzacțiilor financiare

Subliniem că nu comercializăm și nu transferăm date cu caracter personal către terți în scopuri comerciale.

Perioada de păstrare a datelor cu caracter personal este determinată în funcție de următoarele criterii:

• Durata necesară îndeplinirii scopurilor pentru care au fost colectate

• Perioadele de păstrare impuse de legislația aplicabilă

• Termenele de prescripție aplicabile pentru potențiale litigii

La expirarea perioadei de păstrare, datele sunt supuse unui proces de anonimizare ireversibilă sau ștergere definitivă, în conformitate cu procedurile noastre interne și standardele industriei.

Utilizăm module cookie și tehnologii similare de monitorizare pentru următoarele scopuri:

• Cookie-uri strict necesare pentru funcționalitatea esențială a platformei

• Cookie-uri analitice pentru optimizarea performanței și experienței utilizatorului

• Cookie-uri de preferințe pentru personalizarea interfeței

Gestionarea preferințelor privind cookie-urile poate fi efectuată prin intermediul setărilor browserului sau al centrului nostru de preferințe privind confidențialitatea.

Pentru orice chestiuni privind prelucrarea datelor cu caracter personal sau exercitarea drepturilor conferite de GDPR, puteți contacta Responsabilul cu Protecția Datelor (DPO):

Email: [email protected]

Telefon: +40 721 217 392

Adresă corespondență: Drumul JILAVEI, Nr. 72, Bl. 2, Scara A, Ap. 4, Bucuresti, Sector 4

Termenul de răspuns pentru solicitări este de maximum 30 de zile calendaristice, cu posibilitatea de prelungire în cazuri justificate, cu condiția notificării prealabile.

Pentru transferurile de date în afara Spațiului Economic European (SEE), implementăm următoarele mecanisme de protecție în conformitate cu Capitolul V din GDPR:

• Decizii privind caracterul adecvat al nivelului de protecție emise de Comisia Europeană

• Clauze contractuale standard (SCC) adoptate de Comisia Europeană, cu evaluări suplimentare ale impactului

• Garanții suplimentare tehnice și organizatorice, inclusiv criptare și pseudonimizare

• Mecanisme de certificare și coduri de conduită aprobate conform art. 46 din GDPR

Toate transferurile internaționale sunt supuse unei evaluări prealabile riguroase pentru asigurarea unui nivel adecvat de protecție.

Ne rezervăm dreptul de a modifica prezenta politică pentru a reflecta:

• Modificări ale cadrului legislativ european și național în materia protecției datelor

• Recomandări și ghiduri emise de Autoritatea Națională de Supraveghere și Comitetul European pentru Protecția Datelor

• Îmbunătățiri ale practicilor și procedurilor interne de protecție a datelor

• Evoluții tehnologice și modificări ale serviciilor oferite

Orice modificare substanțială va fi comunicată prin notificare directă și va necesita consimțământul reînnoit, după caz.