1 1. Introducere
În operațiunile de procesare a datelor cu caracter personal pe site-ul https://cars4rent.ro/ se utilizează date cu carater personal cum ar fi:
• Date despre clienți;
• Date privind utilizatorii site-ului;
• Date privind abonații la informările lunare/săptămânale;
Procesul de prelucrare a acestor tipuri de date este supus legislației privind prelucrarea datelor cu caracter personal: REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor – GDPR), prin care se reglementează în mod explicit activitățile de procesare a datelor cu caracter personal, calitățile entităților juridice ce procesează date cu caracter personal, rolurile și responsabilitățile acestora.
2 Protecția datelor cu caracter personal
2.1 Regulamentul general privind protecția datelor cu caracter personal
Regulamentul general privind protecția datelor cu caracter personal (GDPR) este unul dintre cele mai importate acte legislative care afectează în mod direct activitatea de procesare a datelor cu caracter personal ale companiei.
2.2 Definiți
“Legislația PDP” înseamnă orice lege, ordonanță, hotărâre, regulament sau legislație secundară emisă de Autoritatea de Supraveghere, privind prelucrarea, confidențialitatea și utilizarea Datelor Personale, aplicabilă serviciilor prestate în baza Contractului, incluzând:
(a) Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulație a acestor date (“Legea 677/2001”); Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice (“Legea 506/2004”) si orice alt acte normative din România care implementează aceste legi, Directiva 95/46/CE (“Directiva Data Protection”) și Directiva 2002/58/CE (“Directiva e-Privacy”); și/sau
(b) începând cu data de 25 mai 2018, Regulamentul nr.679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (“GDPR”), de la data la care acesta va fi aplicabil; și orice alte acte normative naționale date în aplicarea GDPR;
(c) orice interpretare judiciară sau administrativă a oricăreia dintre cele de mai sus, orice îndrumări, ghiduri, coduri de practică, coduri de conduită sau mecanisme de certificare aprobate sau emise de orice Autoritate de Supraveghere relevantă, pe toata perioada în care sunt în vigoare și aplicabile, și oricăror acte care le modifică, completează sau înlocuiesc în decursul timpului.
”Operator date personale” înseamnă Compania și/sau orice client/beneficiar al serviciilor Companiei care determină (individual sau împreună în comun cu alții) scopurile pentru care și modul în care sunt sau vor fi procesate orice date cu caracter personal;
”Incidente de Securitate” înseamnă orice încălcare a securității care duce la distrugerea, pierderea, alterarea, dezvăluirea neautorizată, accidentală sau ilegală a oricăror date cu caracter personal sau accesul accidental sau ilegal la orice date cu caracter personal;
“Date cu Caracter Personal” înseamnă orice informații transmise Prestatorului prin intermediul testelor încărcate pe platformele Prestatorului individualizate la art.1 de mai sus, legate de o persoană fizică identificată sau identificabilă (“subiectul datelor cu caracter personal“) fiind una care poate fi identificată, direct sau indirect, în special prin referință la un număr de identificare sau la unul sau mai mulți factori specifici pentru identitatea sa fizică, fiziologică, mentală, economică, culturală sau socială, sau altfel după cum este definit în Legislația PDP;
“Procesare” înseamnă accesarea, colectarea, obținerea, înregistrarea, deținerea, dezvăluirea, utilizarea, alterarea, anularea, ștergerea sau distrugerea Datelor cu Caracter Personal, sau efectuarea oricărei (oricăror) operațiuni asupra Datelor cu Caracter Personal sau altfel, după cum este definit prin Legislația PDP aplicabilă;
”Persoana împuternicită”/”Procesatorul de Date” este reprezentată de Prestator, care asigură prestarea Serviciilor în favoarea Beneficiarului;
”Autorităţi de Reglementare” reprezintă „autoritatea de supraveghere” și înseamnă, conform GDPR, o autoritate publică independentă instituită de un stat membru. În România Autoritatea de Reglementare este reprezentată de ANSPDCP.
2.3 Principiile prelucrării datelor cu caracter personal
Principii legate de prelucrarea datelor cu caracter personal, impun ca datele cu caracter personal să fie:
• prelucrate în mod legal, echitabil și transparent față de persoana vizată („legalitate, echitate și transparență”);
• colectate în scopuri determinate, explicite și legitime și să nu fie prelucrate ulterior într-un mod incompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice nu sunt considerate incompatibilă cu scopurile inițiale, în conformitate cu articolul 89 alineatul (1) din GDPR („limitări legate de scop”);
• adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate („reducerea la minimum a datelor”);
• exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere („exactitate”);
• păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1) din GDPR , sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate prevăzute în regulamentul GDPR în vederea garantării drepturilor și libertăților persoanei vizate („limitări legate de stocare”);
• prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate și confidențialitate”).
Compania depune toate eforturile să alinieze la aceste principii toate activitățile de prelucrare de date cu caracter personal existente cât și toate noile procesări pe care aceasta intenționează să le efectueze.
2.4 Drepturile persoanelor
Persona fizică care accesează acest site sub incidența GDPR are următoarele drepturi:
1. Dreptul de a fi informat
2. Dreptul de a avea acces la datele cu caracter personal
3. Dreptul de a actualiza datele cu caracter personal
4. Dreptul de a cere ștergerea datelor cu caracter personal
5. Dreptul de a cere restricționarea prelucrării datelor cu caracter personal
6. Dreptul de a-și porta datele cu caracter personal
7. Dreptul de a se opune prelucrării datelor cu caracter personal
8. Drepturi cu privire la procesarea automată a datelor cu caracter personal
Toate drepturile de mai sus sunt susținute de proceduri distincte elaborate la nivelul companiei noastre conform cerințelor stricte ale GDPR și conform termenelor limită definite în acesta.
2.5 Legalitatea prelucrării
Compania procesează datele dvs. cu caracter personal pe acest site doar în următoarele condiții:
• Dacă persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
• Atunci când prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
• Atunci când prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;
• Atunci când prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
• Atunci când prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
• Atunci când prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.
2.6 Persoanele împuternicite ale operatorului
Compania se va asigura în orice moment că toate operațiunile ce vizează procesări de date cu caracter personal să fie reglementate prin contracte scrise încheiate între operator și persoanele împuternicite sau între operatorii asociați, după caz. Toate aceste contracte vor respecta cerințele și clauzele expres impuse de GDPR.
2.7 Responsabilul cu protecția datelor personale
În măsura în care Compania va avea desemnat un responsabil cu protecția datelor personale, în cazurile prevăzute în mod expres de GDPR, vă confirmăm că acesta va avea responsabilitățile și rolurile stabilite prin Regulament, iar identificarea sa se va face în mod explicit pe pagina dedicată a site-ului nostru.
În cazul Companiei noastre, contactati responsabilul cu protecția datelor cu caracter personal.
Pentru a contacta responsabilul nostru cu protecția datelor cu caracter personal și a obține orice informații legate de prelucrarea datelor dvs. cu caracter personal vă rugăm trimiteți un email la adresa mai sus menționată.
2.8 Incidente de securitate
În caz de incident de securitate a Datelor cu Caracter Personal:
a. vă va informa cu privire la apariția oricărui incident de securitate în care sunt implicate datele dvs. cu caracter personal;
b. va investiga asupra încălcării securității Datelor;
c. va lua măsuri rezonabile pentru a diminua efectele și a micșora orice daună care rezultă din Incidentul de Securitate, precum și măsuri rezonabile pentru a împiedica reapariția unei asemenea încălcări a securității datelor;
d. va dezvolta și executa un plan de reacție pentru a contracara Incidentul de Securitate;
e. va informa autorităților relevante de reglementare în termen de 24 de ore de la apariția incidentului de securitate.
2.9 Cerințe de conformitate GDPR
Următoarele acțiuni sunt utilizate de Companie pentru a se alinia la principiile GDPR. Toate acțiunile de mai jos sunt revizuite în mod frecvent pentru a respecta toate cerințele GDPR:
• Compania se va asigura în mod frecvent că există în orice moment un temei legal justificat pentru prelucrarea datelor cu caracter personal
• Un responsabil cu prelucrarea datelor cu caracter personal este numit în cazul în care există această cerință
• Toți angajații operatorului respectă principiile de prelucrare a datelor cu caracter personal
• Toți angajații operatorului au fost instruiți cu privire la procesarea datelor cu caracter personal;
• Se obține consimțământul explicit al consumatorului privind procesarea datelor cu caracter personal;
• Se auditează în mod frecvent toate politicile de conformitate pentru a respecta cerințele GDPR;
• Următoarele elemente sunt documentate temeinic în procesul de prelucrare a datelor cu caracter personal:
- Numele organizației în calitate de operator de date cu caracter personal;
- Scopul pentru care sunt realizate prelucrările;
- Categoriile de date cu caracter personal care sunt prelucrate;
- Termene de stocare / arhivare a datelor cu caracter personal;
- Politici de securitate cu privire la utilizarea datelor cu caracter personal.