EMOBILTY CHARGING S.R.L.
POLITICA DE CONFIDENȚIALITATE
1. DEFINIȚII PRINCIPALE
1.1. „Persoană responsabilă” înseamnă angajatul Operatorului de date care, datorită naturii muncii sale, este îndreptățit să îndeplinească funcțiile specifice legate de prelucrare.
1.2. "GDPR" înseamnă Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (Text cu relevanță pentru SEE)
1.3. „Angajat” înseamnă o persoană care a încheiat un contract de muncă sau un contract similar cu Operatorul.
1.4. „Date/Date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
1.5. "DPA" înseamnă un acord de prelucrare a datelor care trebuie semnat cu fiecare operator de date în conformitate cu condițiile stabilite în secțiunea 3 de mai jos;
1.6. "Destinatar" înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță.
1.7. "Persoana vizată" înseamnă un client sau angajat al Operatorului sau al oricărei alte persoane ale cărei date cu caracter personal sunt prelucrate de către Operator.
1.8. "Prelucrare" înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
1.9. "Persoană împuternicită" înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului;
1.10. "Operator" înseamnă societatea EMOBILITY CHARGING S.R.L., cu sediul în București Sectorul 1, Calea FLOREASCA, Nr. 175, PARTEA B, BIROUL 1, Etaj 5, înregistrată la Registrul Comerțului sub nr. J40/3474/2019, ROONRC.J40/3474/2019, CUI 36602260, email: office@eldrive.ro.
1.11. "Client" înseamnă o persoană care utilizează sau a folosit serviciile furnizate de Operator.
1.12. "Politică" înseamnă această Politică de Confidențialitate.
1.13. "Proprietarul aplicației mobile" înseamnă Ampeco LTD, înregistrată în Registrul Comerțului sub nr. UIC 205394857, cu sediul în Bulgaria, Bd. Dragan Tsankov, Nr. 36, intrarea A, etaj 5, Sofia 1113 (“Ampeco”).
1.14. "Deținătorul Site-ului" înseamnă Operatorul.
1.15. În sensul acestei Politici, ceilalți termeni vor avea semnificația stabilită pentru astfel de termeni în GDPR și în legislația națională incidentă (denumită în continuare „Legea”).
2. DISPOZIȚII GENERALE
2.1. Operatorul colectează anumite date cu caracter personal în scopul administrării, desfășurării propriilor activități și exercitării obligațiilor legale.
2.2. Această politică conține principiile și procedurile de bază pentru colectarea, prelucrarea și stocarea datelor cu caracter personal ale utilizatorilor site-ului web https://www.eldrive.eu/ro/, administrat de Operator (denumit în continuare „site-ul”) și Aplicației mobile ELDRIVE (denumită în continuare „aplicația mobilă”). Înainte de a începe să utilizați Website-ul și/sau aplicația mobilă, trebuie să citiți cu atenție și să vă familiarizați cu această politică. Prin utilizarea serviciilor oferite de Operator, confirmați că sunteți de acord să respectați această Politică.
2.3. Persoana vizată nu are dreptul de a utiliza site-ul web și/sau aplicația mobilă dacă nu a citit și nu a acceptat Politica. În cazurile în care Persoana vizată nu este de acord cu Politica sau cu partea relevantă a acesteia, acesta nu va utiliza site-ul web și/sau aplicația mobilă. În caz contrar, se consideră că Clientul a citit și a acceptat necondiționat Politica și a fost de acord în mod explicit cu aceasta la înregistrare.
2.4. Operatorul trebuie să respecte confidențialitatea datelor cu caracter personal. Această politică explică practica acceptabilă privind confidențialitatea aplicabilă în compania noastră. Acesta explică modul în care colectăm și utilizăm datele dumneavoastră cu caracter personal și drepturile pe care le puteți exercita.
2.5. Utilizarea serviciilor terților, cum ar fi serviciile rețelei de socializare Facebook, poate fi supusă termenilor și condițiilor generale ale terților. De exemplu, toți utilizatorii și vizitatorii Facebook sunt supuși Politicii de confidențialitate Facebook. Prin urmare, în scopul utilizării serviciilor terților, se recomandă să vă familiarizați cu termenii și condițiile aplicabile ale acestora.
2.6. Operatorul trebuie să se asigure că respectă următoarele principii de bază privind protecția datelor:
2.6.1. Datele cu caracter personal sunt prelucrate în mod legal, echitabil și într-o manieră transparentă cu privire la Persoana vizată (legalitate, echitate și transparență);
2.6.2. Datele cu caracter personal sunt colectate în scopuri specifice, explicite și legale și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri; prelucrarea ulterioară a datelor cu caracter personal în scopuri de arhivare în interes public, cercetare științifică sau istorică sau în scopuri statistice nu va fi considerată incompatibilă cu scopurile inițiale (limitarea scopului);
2.6.3. Datele cu caracter personal trebuie să fie adecvate, relevante și limitate la acele date care sunt necesare pentru scopurile pentru care sunt prelucrate (minimizarea datelor);
2.6.4. Datele personale trebuie să fie exacte și, dacă este necesar, actualizate; trebuie luate toate măsurile rezonabile pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere (exactitate);
2.6.5. Datele cu caracter personal păstrate într-o formă care permite identificarea persoanelor vizate nu vor fi stocate mai mult decât este necesar pentru scopurile pentru care sunt prelucrate datele; Datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care vor fi prelucrate exclusiv în scopul arhivării în interes public, cercetării științifice sau istorice sau în scopuri statistice, în conformitate cu articolul 89 alineatul (1) din GDPR, cu condiția punerii în aplicare a măsurilor tehnice și organizatorice adecvate prevăzute de GDPR pentru protejarea drepturilor și libertăților Persoanei vizate (restricționarea stocării);
2.6.6. Datele cu caracter personal vor fi prelucrate într-un mod care să asigure o securitate adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, distrugerii sau deteriorării accidentale, folosind măsuri tehnice sau organizatorice adecvate (integritate și confidențialitate)..
2.6.7. Operatorul este responsabil și ar trebui să poată demonstra conformitatea cu principiile enunțate mai sus (responsabilitate).
2.7. Datele sunt prelucrate prin prezentarea unei notificări de confidențialitate adecvate către Persoanele vizate. Utilizatorii aplicației mobile trebuie să fie de acord în mod explicit cu notificarea și politica de protecție a datelor a Operatorului înainte de a se înregistra și instala aplicația.
2.8. Datele vor fi păstrate pe perioadele specificate pentru fiecare tip de date cu caracter personal prevăzute în această politică. Stocarea va fi efectuată în conformitate cu procedurile stabilite în secțiunea A din prezentul document.
2.9. Drepturile Persoanei Împuternicite cu privire la datele cu caracter personal vor fi revocate în cazul încetării contractului încheiat cu Operatorul.
2.10. Datele vor fi transmise Destinatarilor, în conformitate cu prezenta Politică sau în cazul în care reglementările legale prevăd dreptul și/sau obligația de a face acest lucru pe motive relevante.
2.11. Operatorul va avea dreptul de a furniza datele cu caracter personal organelor de anchetă, de urmărire penală sau instanțelor, în scopuri administrative, civile, penale ca probe sau în alte cazuri prevăzute de lege.
3. PRELUCRAREA DATELOR PERSONALE PENTRU FURNIZAREA UNUI SERVICIU DE ÎNCĂRCARE VEHICULE ELECTRICE
3.1. Operatorul oferă Clienților săi serviciul de încărcare a vehiculelor electrice în rețeaua sa, ocazie cu care sunt prelucrate următoarele grupuri de Date personale ale Clienților (personal de către operatorul de date, sau Deținătorul aplicației mobile sau prin subcontractanții acestora, care sunt mandatați să respecte GDPR reglementare în operațiunile lor):
3.1.1. Date personale precum:
- Nume, Prenume
3.1.2. Date de contact cum ar fi:
- Adresa de reședință/domiciliu
- Adresa locului de muncă / Locul de muncă (în cazul în care înregistrarea a fost creată în numele utilizatorului de angajator)
- Adresa de livrare a unui serviciu / unui produs
- Numărul de telefon mobil sau alt număr de telefon
- Adresa de Email / Numărul de fax
3.1.3. Detalii de tranzacționare cum ar fi:
- Istoricul achizițiilor sau istoricul utilizării serviciilor
- ID Client
- Informații referitoare la serviciile tranzacționate și istoricul de plăți
- Numărul de cont bancar
- Cardul de credit / debit
- Detalii privind comunicarea dintre furnizorul de servicii și Client
3.1.4. Date de securitate precum:
- Nume de utilizator și parolă
- Informații privind monitorizarea facilităților și a sistemului
- Informații despre breșele de securitate
3.1.5. Date IT precum:
- adresa IP, datele sistemului de operare, locația etc. date neidentificatoare pentru dispozitivul mobil, care se obțin în timpul instalării aplicației mobile
- Detalii despre datele echipamentelor legate de serviciile furnizate, inclusiv identificatori tehnici, locație, date de comunicare și metadate
- Evenimente tehnice legate de serviciile furnizate, inclusiv jurnalele de sistem și aplicații
Notă: În scopul prestării serviciului, clientul trebuie să furnizeze informații despre cardul său de plată prin înregistrarea directă pe site-ul administratorilor de tranzacții de plată.
3.2. Datele specificate la paragrafele 3.1.1 - 3.1.5 sunt furnizate direct de la Client, dar o parte din datele stocate în sistem pot fi obținute și de la angajatorul Clientului, dacă acesta din urmă folosește serviciile Operatorului în calitate de Client sau angajat al companiei respective.
3.3. În scopul înregistrării Clienților și încheierii, administrării și executării contractului cu aceștia, respectării cerințelor legale de contabilitate, protecției și controlului bunurilor deținute de societate, Operatorul prelucrează suplimentar următoarelor Date:
3.3.1. ora începerii și sfârșitului sesiunii de încărcare a vehiculului electric;
3.3.2. Taxa perceputa;
3.3.3. Date privind obligațiile de plată (nivelul răspunderii, valoarea răspunderii, data apariției obligației, termenul limită, data plății).
3.4. Datele foștilor Clienți sunt furnizate numai organelor de drept conform procedurii stabilite în lege.
3.5. Temeiurile legale pentru prelucrarea datelor cu caracter personal sunt articolul 6 alineatul (1) litera (b) și articolul 6 alineatul (1) litera (c) din GDPR.
3.6. Cu acordul Persoanei Vizate, datele privind locația dispozitivului mobil pot fi obținute și în timpul utilizării aplicației mobile, pentru a anunța Clientul cu privire la stațiile de încărcare disponibile în imediata apropiere în timpul utilizării aplicației. Persoana vizată își rezervă dreptul de a retrage în orice moment consimțământul dat prin modificarea setărilor dispozitivului său mobil.
3.7. Pe baza interesului legitim constând în protecția și administrarea bunurilor deținute de Operator și în dezvoltarea afacerii (art. 6, alin. 1, lit. f) GDPR), datele pot fi prelucrate și în scopul:
- constatarea, exercitarea și protecția drepturilor legale;
- analiza statistică și cercetarea de marketing a serviciilor folosite de Clienții noștri după anonimizarea și eliminarea Datelor personale de identificare ale Clienților.
3.8 Operatorul nu prelucrează date genetice, date biometrice, date privind sănătatea sau condamnările ori date referitoare la confesiunea religioasă, convingerile filozofice, apartenența la sindicate, originea rasială sau etnică, opiniile politice, viața sexuală sau orientarea sexuală.
3.9. Pentru a asigura o decontare optimă și de înaltă calitate a plății pentru serviciile prestate, Proprietarul aplicației mobile trebuie să încheie un contract cu furnizorii de servicii de plată care intermediază executarea operațiunilor de plată.
3.10. Pentru a asigura funcționarea sistemului de încărcare a vehiculelor electrice la un nivel de calitate adecvat, Proprietarul aplicației mobile trebuie să încheie un contract cu o Persoană împuternicită, care va administra platforma de încărcare a vehiculelor electrice, va efectua programarea și suportul sistemului.
3.11. Operatorul confirmă că, pentru a asigura protecția Datelor, toate măsurile tehnice și organizatorice pentru protecția Datelor au fost puse în aplicare în mod corespunzător.
3.12. Proprietarul aplicației mobile contactează servicii de închiriere și instalare de servere de la Amazon Web Services Limited, ce va avea calitate de Persoana împuternicită.
3.13. Operatorul încheie acorduri de prelucrare a Datelor cu Proprietarul aplicației mobile în legătură cu prelucrarea Datelor cu caracter personal în numele Operatorului. Persoanele împuternicite prelucrează datele cu caracter personal numai în numele Operatorului, în scopurile prevăzute în aceste acorduri de protecție a datelor. În special, fiecare Persoană împuternicită ar trebui:
- să prelucreze Datele cu caracter personal numai în conformitate cu instrucțiunile documentate ale Operatorului, inclusiv în ceea ce privește transferul de Date cu caracter personal către o țară terță sau organizație internațională, cu excepția cazului în care este necesar să se abată de la astfel de instrucțiuni pentru a respecta cerințele legale de care este ținută Persoana împuternicită. Într-un astfel de caz, Persoana împuternicită va informa, fără întârzieri nejustificate, Operatorul cu privire la cerințele în cauză înainte de prelucrarea Datelor cu caracter personal;
- să se asigure că persoanele autorizate să prelucreze Date cu caracter personal, s-au angajat să respecte confidențialitatea și reglementările aplicabile privind protecția datelor în cadrul UE sau sunt ținute să respecte o obligație legală corespunzătoare de confidențialitate;
- asistă Operatorul, la cererea sa explicită scrisă, pentru a asigura îndeplinirea obligațiilor sale legale, cum ar fi cele legate de securitatea Datelor Operatorului, evaluarea impactului asupra protecției Datelor și consultarea prealabilă astfel cum sunt prevăzute în GDPR; și, în special, să implementeze măsuri tehnice și organizatorice adecvate pentru a proteja Datele cu caracter personal, care intră în domeniul de aplicare al Acordurilor de prelucrare a datelor, de distrugerea accidentală sau ilegală, pierderea, modificarea, dezvăluirea neautorizată sau accesul la Datele cu caracter personal. Pentru evitarea oricărui dubiu, Persoana împuternicită este de acord, în mod expres, că va fi obligat să își îndeplinească toate obligațiile în calitate de Persoană împuternicită, cu respectarea deplină a GDPR, pe cheltuiala sa;
- să asiste Operatorul prin aplicarea măsurilor tehnice și organizatorice adecvate pentru îndeplinirea obligațiilor de către Operator în calitate de operator de date, și anume: de a îndeplini condițiile necesare pentru exercitarea drepturilor Persoanelor vizate conform GDPR. Persoana împuternicită trebuie să notifice imediat Operatorul cu privire la orice solicitare făcută de o Persoană vizată și să nu răspundă solicitării relevante înainte de a primi instrucțiunile operatorului;
- furnizează Operatorului toate informațiile necesare pentru a demonstra îndeplinirea obligațiilor Persoanei împuternicite stabilite în acordurile de prelucrare a datelor și în GDPR și pentru a autoriza și a asista la audituri, inclusiv verificări efectuate de către Operator sau alt auditor autorizat de către Operator;
- să mențină înregistrări exacte ale tuturor activităților de prelucrare în temeiul acordului de prelucrare a datelor în conformitate cu cerințele stabilite în GDPR și să furnizeze Operatorului înregistrările relevante în termen de zece (10) zile lucrătoare de la primirea solicitării Operatorului;
- să se asigure că nicio Dată cu caracter personal nu este transferată, eliberată, atribuită, dezvăluită sau furnizată în alt mod unei terțe părți fără acordul prealabil, expres, în scris al Operatorului.
- să se asigure că obligațiile de protecție a Datelor, similare cu cele stabilite în acest document, sunt impuse, în baza unui contract, altor persoane împuternicite care sunt subcontractați de către Persoana împuternicită. Persoana împuternicită este responsabilă față de Operator pentru îndeplinirea acestor obligații de către celelalte persoane împuternicite;
- să informeze imediat Operatorul dacă o instrucțiune a acestuia din urmă încalcă GDPR sau dacă Datele cu caracter personal sunt sau vor fi prelucrate cu încălcarea GDPR sau a acordului de prelucrare și informează imediat Operatorul cu privire la plângeri sau audituri referitoare la prelucrarea datelor efectuate de către autoritățile de supraveghere și protecție a datelor;
- să informeze Operatorul fără întârzieri nejustificate (dar în termen de cel mult 48 de ore), după ce a aflat despre o încălcare a datelor, contând în o încălcare a securității care duce la distrugere accidentală sau ilegală, pierderea, modificarea, dezvăluirea neautorizată sau accesul la Datele cu caracter personal care sunt transmise, stocate sau prelucrate în alt mod. Notificarea trebuie să descrie natura încălcării, numărul de subiecți afectați, consecințele probabile ale încălcării, măsura luată sau propusă și alte detalii legate de încălcare enumerate la articolul 33 alineatul (3) din GDPR; și la încetarea acordului de prelucrare sau la cererea scrisă a Operatorului, trebuie să distrugă sau să returneze toate Datele cu caracter personal, cu excepția cazului în care se prevede altfel în GDPR sau în legislația națională din UE a Persoanei împuternicite.
3.14. Pentru a asigura calitatea serviciilor oferite, pentru a răspunde prompt întrebărilor Clienților, angajații Operatorului, care acționează ca specialiști în serviciul clienți, sunt responsabili de apelurile Clienților și oferă consultații telefonice 24/7. Conversațiile cu clienții sunt înregistrate și sunt păstrate timp de 180 (o sută optzeci) de zile.
4. PRELUCRAREA DATELOR ÎN SCOP DE MARKETING DIRECT
4.1. Operatorul efectuează marketing direct în relație cu Clienții.
4.2. Pentru a primi propuneri/oferte în legătură cu serviciile furnizate de Operator, Clientul trebuie să își dea consimțământul pentru prelucrarea Datelor în scopuri de marketing direct în momentul înregistrării sau să se conecteze la profilul său personal și să selecteze funcția de primire a unui newsletter.
4.3. Operatorul prelucrează următoarele date personale ale Clienților în scopuri de marketing direct:
4.3.1. Nume;
4.3.2. Prenume;
4.3.3. Adresa de e-mail;
4.3.4. Număr de telefon;
4.3.5. Adresa.
4.4. Operatorul efectuează, de asemenea, marketing direct (trimiterea de buletine informative newsletter și oferte prin e-mail) către persoanele care și-au introdus adresa de e-mail pe site-ul Operatorului eldrive.eu/ro/ și/sau în aplicația mobilă și au solicitat să primească astfel de mesaje. În acest caz, Operatorul prelucrează adresa de e-mail a persoanei în cauză.
4.5. Persoana vizată își poate retrage consimțământul în orice moment și poate refuza să primească buletine informative accesând linkul dedicat din e-mailurile pe care le trimitem, modificând setările de notificare din contul său sau trimițând un mesaj specific prin care se solicită o astfel de modificare.
4.6. Datele prelucrate în scopuri de marketing direct nu sunt transmise de către Operator Destinatarilor.
4.7. Temeiul legal pentru prelucrarea datelor este articolul 6 alineatul (1) litera (a) din GDPR.
4.8. Atunci când prelucrează date în scopuri de marketing direct, Operatorul folosește o platformă prin care sunt trimise buletine informative către Persoanele vizate, precum și Amazon Web Services Limited în calitate de Persoană împuternicită, furnizând servicii de închiriere și instalare.
5. DISTRIBUIREA DATELOR
5.1. Operatorul va păstra confidențialitatea și nu va dezvălui Date cu caracter personal către terți, decât cu acordul Persoanelor vizate și în cazurile permise de lege. În anumite cazuri, Operatorul are obligația legală de a dezvălui datele către terți sau are o obligație legată de executarea contractului cu Persoana vizată.
5.2. Pe baza unor măsuri de protecție și control garantate, dezvăluirea este posibilă către alte companii din grupul din care face parte Operatorul sau către furnizorii de servicii pentru a asigura buna funcționare a sistemului de încărcare a vehiculelor electrice și o calitate înaltă a serviciilor, precum și în scopul respectării legislației în vigoare în momentul prestării serviciilor, inclusiv, dar fără a se limita la, îndeplinirea obligațiilor privind raportarea contabilă a Operatorului și respectarea cerințelor introduse de prevederile legislației fiscale în vigoare (de exemplu, furnizori de servere, platforma de încărcare a vehiculelor electrice, trimiterea de buletine informative, analize statistici, servicii juridice etc.). În acest caz, furnizorii de servicii utilizați de Operator sunt obligați să respecte cu strictețe obligațiile contractuale și legislația în vigoare pentru protecția datelor cu caracter personal, inclusiv prin luarea măsurilor necesare pentru a proteja confidențialitatea Datelor cu caracter personal primite.
5.3. În cazul unei necesități justificate, Operatorul poate dezvălui Date cu caracter personal și în scopul prevenirii fraudei, pentru a aplica condițiile generale de utilizare a aplicației mobile, pentru a proteja proprietatea companiei, drepturile și interesele sale legitime și pentru a proteja securitatea, drepturile și interesele altor Clienți sau terți.
6. TRANSFER DE DATE ÎN AFARA UE
6.1 Transferul de Date cu caracter personal către o țară terță sau organizație internațională din afara Uniunii Europene și a Spațiului Economic European este interzis, cu excepția cazului în care este îndeplinită una dintre următoarele condiții:
6.1.1. Compania are sediul în Statele Unite și transferul se realizează în condițiile prevăzute de EU-U.S. Data Privacy Framework (https://www.dataprivacyframework.gov/EU-US-Framework)
6.1.2. Există o decizie a Comisiei Europene privind nivelul adecvat de protecție a datelor cu caracter personal oferit de țara terță în care sunt primite datele;
6.1.3. Persoana vizată și-a dat consimțământul explicit după ce a fost informată cu privire la posibilele riscuri asociate transferului din cauza lipsei unei decizii privind nivelul adecvat de protecție și garanții adecvate;
6.1.4. Transferul este necesar pentru executarea unui contract între Persoana vizată și Operator sau pentru îndeplinirea măsurilor precontractuale luate la cererea Persoanei vizate;
6.1.5. Transferul este necesar pentru încheierea sau executarea unui contract încheiat în interesul Persoanei vizate între Companie/Grup și o altă persoană fizică sau juridică;
6.1.6. Transferul este necesar pentru constatarea, exercitarea sau apărarea unui drept;
6.1.7. Transferul se face printr-un registru public, conform GDPR.
6.2. În prezent, transferul de date în afara Uniunii Europene (UE) este necesar numai în ceea ce privește partenerii noștri de încredere pentru buletine informative și servicii de găzduire cu sediul în Statele Unite.
6. PERIOADA DE PĂSTRARE A DATELOR
7.1. Operatorul aplică diferite perioade de stocare a Datelor cu caracter personal în funcție de categoriile de Date cu caracter personal prelucrate și de scopurile prelucrării.
7.2. Operatorul aplică următoarele perioade de stocare a datelor cu caracter personal:
7.3. Pot exista excepții de la perioadele de păstrare menționate mai sus, în măsura în care abaterile în cauză nu încalcă drepturile Persoanelor vizate, respectă cerințele legale și sunt documentate în mod corespunzător.
7.4. Documentele și datele Clienților, în privința cărora Operatorul a inițiat proceduri administrative sau judiciare, sunt stocate pentru o perioadă de 5 ani de la încheierea procedurii, printr-o hotărâre judecătorească definitivă sau prin plata datoriei, și distruse ulterior conform instrucțiunilor departamentului juridic.
7.5. După expirarea termenelor stabilite, Datele sunt anonimizate sau distruse în mod securizat prin ștergerea lor din sistemele informatice și prin mărunțire, dacă există copii pe hârtie.
8. Drepturile Persoanei vizate
8.1. Persoana vizată are posibilitatea de a exercita următoarele drepturi conform procedurii stabilite în GDPR:
8.1.1. Dreptul de a fi informat: înainte de prelucrarea datelor, Operatorul este obligat să furnizeze Persoanei vizate informații sub forma unei notificări de confidențialitate conținând datele cu caracter personal pe care le colectează, motivele și scopurile pentru care le utilizează, persoanele cu care le împărtășește, intenția Operatorului de a transfera date în țări terțe din afara UE, perioada de păstrare și măsurile de securitate, consecințele nedezvăluirii datelor, existența procesului decizional automatizat, drepturile persoanei vizate, inclusiv dreptul de a depune o plângere la o autoritate de supraveghere. Înainte de a se înregistra ca utilizator și de a instala aplicația mobilă, Persoana vizată trebuie să citească și să fie de acord cu declarația de confidențialitate pentru a utiliza aplicația mobilă;
8.1.2. Dreptul de acces: acest drept permite Persoanei vizate să primească o copie a Datelor cu caracter personal pe care Operatorul le păstrează despre el, precum și informații legate de prelucrare. Accesul la istoricul serviciilor utilizate de Persoana vizată și la Datele furnizate în timpul procesului de înregistrare se poate obține prin contul de Client aferent aplicației mobile, sau depunând o cerere de acces în acest sens;
8.1.3. Dreptul de a fi uitat: acest drept permite Persoanei vizate să solicite ca Datele sale cu caracter personal să fie șterse atunci când nu există un motiv întemeiat pentru ca Operatorul să continue prelucrarea acestora, de ex. dacă scopul pentru care au fost colectate datele a fost atins sau dacă Persoana vizată și-a retras consimțământul. În cazul în care cerințele legale sunt îndeplinite, Operatorul ar trebui să șteargă Datele cu caracter personal în termen de 1 lună, cu excepția cazului în care are obligația legală de a continua prelucrarea acestora sau păstrarea Datelor este necesară pentru stabilirea, exercitarea sau protejarea drepturilor sale.
8.1.4. Dreptul de rectificare: acest drept permite Persoanei vizate să solicite corectarea oricăror date incomplete sau inexacte despre aceasta. Persoana vizată este obligată să introducă în timp util orice modificare a Datelor sale personale în contul său sau să ne notifice despre aceasta;
8.1.5. Dreptul de a restricționa prelucrarea datelor: acest drept permite Persoanei vizate să solicite Operatorului să suspende temporar prelucrarea Datelor cu caracter personal dacă, de exemplu, dorește să stabilească exactitatea datelor sau scopurile prelucrării acestora;
8.1.6. Dreptul la portabilitatea datelor: acest drept este limitat la cazurile în care datele sunt prelucrate automat și furnizate de Persoana vizată pe baza consimțământului acesteia sau în scopul executării unui contract, permițând Clientului să solicite Operatorului să îi fie furnizate Datele personale care sunt stocate într-o formă electronică sau să fie transferate unei terțe părți;
8.1.7. Dreptul la opoziție: în cazurile în care Operatorul se bazează pe interesele sale legitime ca bază pentru prelucrare, Persoana vizată se poate opune unei astfel de prelucrări din motive legate de situația sa specifică. De asemenea, are dreptul de a se opune atunci când prelucrarea este în scopuri de marketing direct sau datele sunt prelucrate în scopuri statistice;
8.1.8. Drepturi legate de luarea automată a deciziilor și crearea de profiluri: Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrare automată, inclusiv crearea de profiluri, care produce efecte juridice care Privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă;
8.1.9. Retragerea consimțământului: Persoana vizată are dreptul de a-și retrage consimțământul în orice moment dacă și-a dat consimțământul, fără a aduce atingere prelucrării efectuate până în prezent. Atunci când consimțământul este dat în scopuri de marketing direct, Persoana vizată poate refuza oricând să primească buletine informative făcând clic pe linkul „dezabonare” din e-mailurile pe care le trimitem sau modificând setările aplicației sale mobile. Dacă subiectul a oferit acces la locația sa printr-un dispozitiv mobil pentru a găsi vehicule electrice în apropiere, el poate modifica setările astfel selectate.
8.1.10 Dreptul la contestație: În cazul în care Persoana vizată consideră că unul dintre drepturile sale a fost încălcat, are dreptul de a depune o plângere la organul de supraveghere - Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal - https://www.dataprotection.ro/
8.2. Solicitările pot fi depuse de Persoana vizată sau de o persoană autorizată de aceasta, iar Operatorul va lua măsuri pentru a verifica identitatea Persoanei vizate în vederea protejării Datelor. Operatorul este obligat să prelucreze cererile Persoanelor vizate, specificate la punctele 8.1.2 - 8.1.9 din prezenta politică, în termenele determinate în GDPR.
8.3. Termenele de mai sus specificate în GDPR sunt următoarele:
8.4. Operatorul are dreptul de a refuza Persoanei vizate exercitarea drepturilor sale prin prezentarea motivelor justificate sau are dreptul de a impune o taxă rezonabilă în condițiile prevăzute la articolul 12 alineatul (5) litera (b) GDPR..
9. RESPONSABIL PROTECȚIA DATELOR
9.1. Potrivit GDPR, în cazurile în care activitățile principale ale Operatorului constau în operațiuni de prelucrare care necesită monitorizarea regulată și sistematică, la scară largă, a Persoanelor vizate sau în cazul în care activitățile principale ale Operatorului sau ale Persoanei împuternicite constau în prelucrarea pe scară largă a unor categorii de Date cu caracter personal, prezența unui responsabil cu protecția datelor este obligatorie.
9.3. Având în vedere criteriile de mai sus și activitățile desfășurate de Operator, Operatorul nu este obligat să numească un Responsabil cu Protecția Datelor.
10. PROCEDURA PENTRU GESTIONAREA ÎNCĂLCĂRILOR DE DATE ȘI REMEDIILE UNOR ASTFEL DE ÎNCĂLCĂRI
10.1. În cazul în care angajații Operatorului, care au dreptul de a accesa Datele, sesizează sau sunt informați despre încălcări ale Datelor (omisiuni sau acțiuni ale diferitelor persoane, care pot conduce sau au condus la un risc pentru securitatea datelor), aceștia sunt obligați să notifice persoana responsabilă și managerul lor.
10.2. Luând în considerare factorii de risc pentru încălcarea securității datelor, gradul de impact al încălcării, prejudiciul și consecințele, urmând procedurile interne relevante, Operatorul va decide asupra măsurilor necesare pentru eliminarea încălcării datelor și a consecințelor acesteia și va notifica persoanele în cauză.
11. MĂSURI TEHNICE ȘI ORGANIZATORICE PENTRU A ASIGURA SECURITATEA DATELOR PERSONALE
11.1. Măsurile organizatorice și tehnice de securitate a datelor implementate de Operator trebuie să asigure un nivel de securitate adecvat naturii datelor prelucrate de către acesta și riscului care decurge din prelucrarea Datelor, inclusiv, dar fără a se limita la, măsurile prevăzute în prezenta secțiune.
11.2. Măsurile de securitate a Datelor cu caracter personal includ următoarele:
11.2.1. Administrativ (stabilirea unei proceduri de securitate a documentelor și a datelor informatice și a arhivelor acestora și organizarea muncii în diverse domenii de activitate, pregătirea obligatorie privind protecția datelor cu caracter personal a personalului angajat în prezent și la plecarea de la locul de muncă/concediere, declarații de confidențialitate și interzicerea divulgării datelor cu caracter personal, procedură de acordare a accesului la sistemele informatice etc.);
11.2.2. Protecție tehnică și software (administrarea serverelor, sistemelor informatice și bazelor de date, întreținerea locului de muncă, protecția sistemelor de operare, monitorizarea (controlul) accesului utilizatorilor, protecția împotriva virușilor informatici etc.);
11.2.3. Administrarea sistemelor informatice si a bazelor de date, întreținerea locului de munca, protecția sistemelor de operare, protecția împotriva virușilor informatici etc.;
11.2.4. Protecții pentru comunicații și rețele de calculatoare (măsuri tehnice și software de criptare și transmitere a datelor de uz general, aplicații, date personale, filtrarea pachetelor de date nedorite etc.).
11.2.5. Autentificarea în doi factori (2FA), care acționează ca o măsură suplimentară de securitate, este concepută pentru a se asigura că singura persoană care își poate accesa contul este Clientul, chiar dacă alții cunosc parola Clientului.
11.3. Măsurile de mai sus pentru protecția datelor cu caracter personal prevăd: 1) dotarea mijloacelor de stocare pentru copii ale sistemelor de operare și bazelor de date, controlul mijloacelor de stocare aferente echipamentului de copiere; 2) tehnologie pentru lucrul continuu cu date (prelucrare); 3) strategia de restabilire a funcționării sistemelor în cazuri de urgență (managementul incertitudinii); 4) sistem de identificare unică a utilizatorului și parolă; 5) separarea fizică (logică) a mediului de testare a aplicației de modul proceselor operaționale; 6) utilizarea înregistrată a datelor și confidențialitatea datelor.
11.4. Operatorul trebuie să stabilească o procedură de recuperare a Datelor cu caracter personal în cazul pierderii accidentale a datelor. Operatorul face copii de rezervă ale datelor disponibile în sistem. Datele sunt preluate conform unei proceduri interne folosind software-ul Amazon Web Services din bibliotecile de rezervă. În toate cazurile, arhivele de date vor fi stocate fără a aduce atingere perioadei de păstrare a datelor specificate în Politică.
11.5. Operatorul aplică și alte măsuri pentru a asigura securitatea datelor cu caracter personal:
11.5.1. Tehnologia VPN este utilizată pentru conectarea de la distanță la rețeaua internă a Operatorului și pentru identificarea utilizatorului folosind un certificat digital;
11.5.2. Accesul la Datele cu caracter personal prin măsuri organizatorice și tehnice de securitate a datelor, care înregistrează și controlează încercările de înregistrare și dobândire a drepturilor, sunt supuse controlului corespunzător;
11.5.3. Următoarele înregistrări sunt păstrate la accesarea bazei de date de către persoanele cărora li s-a acordat dreptul de a prelucra Datele cu caracter personal: identificatorul la autentificare, data, ora, durata, rezultatul logării (reușit, nereușit). Evidențele de mai sus se păstrează cel puțin 1 (un) an;
11.5.4. Este necesar să se asigure securitatea spațiului în care sunt stocate Datele cu caracter personal (accesul în spațiul respectiv se efectuează numai de către persoane autorizate etc.);
11.5.5. Solicitările de căutare a datelor cu caracter personal furnizate trebuie îndreptate către identificarea persoanei;
11.5.6. Trebuie depuse eforturi pentru a asigura utilizarea protocoalelor de securitate și/sau a parolelor atunci când sunt furnizate Date personale prin rețele de date externe;
11.5.7. Este necesar să se asigure controlul asupra securității Datelor cu caracter personal pe suporturile de date externe și pe e-mail și ștergerea acestora după utilizarea Datelor cu caracter personal prin transferul lor în baze de date;
11.5.8 Se înregistrează acțiunile urgente de recuperare a Datelor cu caracter personal (când și cine a efectuat acțiunile de recuperare a datelor cu mijloace automate și neautomate);
11.5.9. Este necesar să se asigure că testarea sistemelor informatice nu se realizează cu Date cu caracter personal, cu excepția cazurilor în care sunt utilizate măsuri organizatorice și tehnice pentru protejarea Datelor cu caracter personal, asigurând securitatea reală a acestor date;
11.5.10 Datele cu caracter personal de pe laptopuri, dacă acestea din urmă nu sunt utilizate în rețeaua de date a Operatorului, ar trebui protejate prin măsuri adecvate în funcție de riscul prelucrării.
11.6. Operatorul aplică măsuri tehnice și organizatorice adecvate pentru a asigura prelucrarea standardizată a Datelor cu caracter personal, care este necesară pentru scopul specific al prelucrării Datelor. Obligația de mai sus se aplică volumului respectiv de Date cu caracter personal colectat, domeniului de aplicare a prelucrării acestora, perioadei de stocare a Datelor cu caracter personal și accesibilității datelor cu caracter personal.
12. DETALII DE CONTACT
12.1. Ne puteți contacta dacă aveți întrebări legate de această politică și/sau de protecția datelor în general folosind următoarele date de contact:
E-mail: office@eldrive.ro.
Tel. 0373 760 296
13. DISPOZIȚII FINALE
13.1. Politica este revizuită anual la inițiativa Operatorului și/sau în cazul unor modificări ale prevederilor care reglementează prelucrarea datelor cu caracter personal.
13.2. Politica și modificările aduse acesteia intră în vigoare la data adoptării lor.
