Politica de confidențialitate

Introducere
BONROY HUNGARY Kft. (1124 Budapesta, Str. Stromfeld Aurél 29-33, clădirea C, etaj 2, ap. 1.a, cod fiscal: 32669781-2-43, nr. registru/cod de înregistrare: 01-09-436484) (denumit în continuare „Operatorul de date” sau „Furnizorul”) se supune următoarei politici:

În conformitate cu Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulamentul general privind protecția datelor - GDPR), prezentăm următoarele informații.

Această politică de confidențialitate reglementează prelucrarea datelor pentru următoarele site-uri/aplicații mobile: https://www.ebuy.hu/ro/

Politica de confidențialitate este disponibilă la următorul link:Orice modificare a politicii va intra în vigoare prin publicarea acesteia la adresa de mai sus. https://www.ebuy.hu/ro/spg/693572/Politica-de-confidentialitate 

Operatorul de date și datele de contact
Nume: BONROY HUNGARY Kft.
Sediu: 1124 Budapesta, Str. Stromfeld Aurél 29-33, clădirea C, etaj 2, ap. 1.a
E-mail: info@ebuy.hu
Telefon: +36305665513

Definiții

• „date cu caracter personal”: orice informație referitoare la o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică este considerată identificabilă dacă poate fi identificată, direct sau indirect, în special printr-un identificator, cum ar fi numele, numărul, datele de localizare, identificatorul online sau prin unul sau mai mulți factori specifici identității fizice, fiziologice, genetice, psihice, economice, culturale sau sociale ale acesteia.

• „prelucrare de date”: orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal, în mod automatizat sau nu, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, interogarea, consultarea, utilizarea, divulgarea prin transmitere, distribuire sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

• „operator de date”: persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care stabilește scopurile și mijloacele prelucrării datelor cu caracter personal, singur sau împreună cu alții.

• „operator de date desemnat”: persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care prelucrează date cu caracter personal în numele operatorului.

• „destinatar”: persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism căruia îi sunt divulgate datele cu caracter personal, indiferent dacă este terț sau nu. Autoritățile publice care pot accesa datele personale în cadrul unei anchete individuale, în conformitate cu legislația UE sau națională, nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice trebuie să fie conformă cu scopul prelucrării și legislația aplicabilă.

• „consimțământul persoanei vizate”: orice manifestare liberă, specifică, informată și neechivocă a voinței persoanei vizate prin care aceasta acceptă, printr-o declarație sau o acțiune clară, prelucrarea datelor sale cu caracter personal.

• „incident de securitate a datelor”: o încălcare a securității care duce la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate în alt mod.

• „profilare”: orice formă de prelucrare automată a datelor cu caracter personal care constă în evaluarea anumitor aspecte personale ale unei persoane fizice, în special pentru a analiza sau prezice aspecte legate de performanța profesională, situația economică, sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locația sau deplasarea sa.

Principiile prelucrării datelor cu caracter personal

Datele cu caracter personal trebuie:

• prelucrate legal, echitabil și transparent pentru persoana vizată („legalitate, corectitudine și transparență”);

• colectate pentru scopuri determinate, explicite și legitime și să nu fie prelucrate ulterior într-un mod incompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, cercetare științifică și istorică sau statistică nu este considerată incompatibilă („limitarea scopului”);

• adecvate, relevante și limitate la ceea ce este necesar pentru scopurile pentru care sunt prelucrate („minimizarea datelor”);

• corecte și, dacă este necesar, actualizate; toate măsurile rezonabile trebuie luate pentru a șterge sau corecta prompt datele inexacte („acuratețea”);

• stocate într-o formă care să permită identificarea persoanelor vizate doar atât timp cât este necesar pentru scopul prelucrării; stocarea pentru o perioadă mai lungă este permisă doar în scopuri de arhivare în interes public, cercetare științifică și istorică sau statistică, respectând măsurile tehnice și organizatorice adecvate pentru protecția drepturilor persoanelor vizate („limitarea stocării”);

• prelucrate într-un mod care să asigure securitatea corespunzătoare a datelor, inclusiv protecția împotriva prelucrării neautorizate sau ilegale, pierderii accidentale, distrugerii sau deteriorării („integritate și confidențialitate”).

Operatorul de date este responsabil pentru respectarea acestor principii și trebuie să fie capabil să demonstreze conformitatea („responsabilitate și justificare”).

Operatorul declară că prelucrarea datelor se realizează în conformitate cu principiile enunțate mai sus.

Prelucrarea datelor cu caracter personal în legătură cu funcționarea magazinului online / utilizarea serviciului

1. Datele colectate, scopul prelucrării și temeiul juridic

2. Persoanele vizate

Toți utilizatorii care s-au înregistrat sau au efectuat achiziții pe site-ul web al magazinului online.
Numele de utilizator și adresa de e-mail nu trebuie neapărat să conțină date personale.

3. Durata prelucrării și termenul de ștergere a datelor

Prelucrarea datelor are loc până la momentul în care intervine una dintre condițiile prevăzute la art. 17 alin. (1) din GDPR sau până la solicitarea de ștergere a persoanei vizate.
Operatorul va informa persoana vizată în format electronic, conform art. 19 din GDPR, despre ștergerea oricăror date personale furnizate.

Dacă solicitarea de ștergere include și adresa de e-mail, operatorul o va elimina după transmiterea notificării.
Excepție fac documentele contabile, care trebuie păstrate timp de 8 ani, conform art. 169 alin. (2) din Legea contabilității C/2000.

Datele contractuale pot fi șterse la expirarea termenului de prescripție civilă, la cererea persoanei vizate.

Documentele contabile (inclusiv registrele contabile principale și analitice) trebuie păstrate cel puțin 8 ani, într-un format lizibil, accesibil pe baza referințelor din înregistrările contabile.

4. Persoane autorizate să aibă acces la date / destinatarii datelor

Datele personale pot fi prelucrate de către operatorul de date și angajații săi autorizați, cu respectarea principiilor menționate mai sus.

5. Drepturile persoanei vizate în legătură cu prelucrarea datelor

Persoana vizată are dreptul să solicite operatorului:

• accesul la datele sale personale;

• rectificarea sau ștergerea acestora;

• restricționarea prelucrării;

• portabilitatea datelor;
  și are dreptul de a-și retrage consimțământul în orice moment.

6. Modalități de exercitare a drepturilor

Persoana vizată poate solicita accesul, ștergerea, modificarea, restricționarea prelucrării sau portabilitatea datelor sale prin următoarele modalități:

• Prin poștă: 1124 Budapesta, Str. Stromfeld Aurél nr. 29-33, corp C, et. 2, ap. 1.a

• Prin e-mail: info@ebuy.hu

• Telefonic: +36 30 566 5513

7. Temeiul juridic al prelucrării datelor

1. Articolul 6 alineatul (1) litera b) din Regulamentul general privind protecția datelor (GDPR).

2. Articolul 13/A alineatul (3) din Legea CVIII din 2001 privind anumite aspecte ale serviciilor de comerț electronic și ale serviciilor societății informaționale (denumită în continuare: Legea Elker):

Furnizorul de servicii poate prelucra datele cu caracter personal care sunt absolut indispensabile din punct de vedere tehnic pentru furnizarea serviciului.
Furnizorul de servicii, în condiții similare, trebuie să selecteze și să opereze mijloacele utilizate pentru furnizarea serviciilor societății informaționale astfel încât prelucrarea datelor cu caracter personal să aibă loc doar dacă este strict necesară pentru furnizarea serviciului și îndeplinirea altor scopuri prevăzute de lege, și chiar și în acest caz doar în măsura și pentru perioada necesară.

3. În cazul emiterii facturilor conforme cu legislația contabilă, temeiul juridic este articolul 6 alineatul (1) litera c) din GDPR.

4. În cazul exercitării creanțelor rezultate din contracte, termenul de prescripție este de 5 ani, conform articolului 6:22 din Codul civil (Legea V din 2013):

§ 6:22 [Prescripția]

(1) Dacă legea nu prevede altfel, creanțele se prescriu în termen de cinci ani.
(2) Prescripția începe la momentul în care creanța devine exigibilă.
(3) Acordul privind modificarea termenului de prescripție trebuie încheiat în scris.
(4) Acordul care exclude prescripția este nul.

8. Informare privind prelucrarea datelor

• Prelucrarea datelor este necesară pentru executarea contractului și furnizarea unei oferte.

• Sunteți obligat să furnizați datele personale pentru a putea procesa comanda dumneavoastră.

• În lipsa furnizării datelor, nu putem procesa comanda.

Gestionarea cookie-urilor (fișiere de tip „cookie”)

1. Pentru utilizarea așa-numitelor „cookie-uri pentru sesiuni protejate prin parolă”, „cookie-uri necesare pentru coșul de cumpărături”, „cookie-uri de securitate”, „cookie-uri strict necesare”, „cookie-uri funcționale” și „cookie-uri pentru statistici web”, nu este necesar consimțământul prealabil al persoanei vizate.

2. Datele prelucrate: identificator unic, date și ore ale vizitelor.

3. Persoanele vizate: toate persoanele care vizitează site-ul web.

4. Scopul prelucrării: identificarea utilizatorilor, urmărirea vizitatorilor și asigurarea unei funcționări personalizate a site-ului.

5. Durata prelucrării și termenul de ștergere a datelor

6. Persoane împuternicite care pot avea acces la date

Datele cu caracter personal pot fi accesate de operatorul de date.

7. Drepturile persoanei vizate în legătură cu gestionarea cookie-urilor

Persoanele vizate pot șterge cookie-urile în orice moment din meniul Instrumente/Setări al browserului, de obicei în secțiunea Confidențialitate / Protecția datelor.

8. Setări pentru gestionarea cookie-urilor în principalele browsere

Majoritatea browserelor permit utilizatorilor să specifice ce cookie-uri doresc să salveze și să șteargă anumite cookie-uri ulterior.
Dacă restricționați salvarea cookie-urilor pe anumite site-uri sau dezactivați cookie-urile terților, este posibil ca unele funcționalități ale site-ului nostru să nu mai fie disponibile integral.

Ghiduri utile pentru gestionarea cookie-urilor:

• Google Chrome
• Internet Explorer
• Firefox
• Safari

Utilizarea urmăririi conversiilor Google Ads

Operatorul de date utilizează programul de publicitate online denumit „Google Ads”, precum și serviciul de urmărire a conversiilor Google. Urmărirea conversiilor este un serviciu de analiză oferit de Google Inc. (1600 Amphitheatre Parkway, Mountain View, CA 94043, SUA; „Google”).

Când Utilizatorul accesează un site web printr-un anunț Google, un cookie necesar pentru urmărirea conversiilor este salvat pe computerul său. Aceste cookie-uri au o perioadă de valabilitate limitată și nu conțin date personale, astfel încât Utilizatorul nu poate fi identificat prin intermediul acestora.

Atunci când Utilizatorul accesează anumite pagini ale site-ului web și cookie-ul nu a expirat, atât Google, cât și operatorul de date pot vedea că Utilizatorul a făcut clic pe anunț.

Fiecare client Google Ads primește un cookie diferit, astfel încât acestea nu pot fi urmărite pe site-urile altor clienți Ads.

Informațiile colectate cu ajutorul cookie-urilor de urmărire a conversiilor sunt utilizate pentru a genera statistici de conversie pentru clienții Ads care au ales urmărirea conversiilor. Astfel, aceștia primesc informații despre numărul utilizatorilor care au făcut clic pe anunțul lor și care au fost redirecționați către o pagină marcată cu eticheta de urmărire a conversiei. Cu toate acestea, nu se transmit informații prin care Utilizatorul să poată fi identificat personal.

Dacă nu doriți să participați la urmărirea conversiilor, puteți refuza acest lucru dezactivând salvarea cookie-urilor în setările browserului. În acest caz, nu veți apărea în statisticile de conversie.

În baza Google Consent Mode v2, Google utilizează și două tipuri noi de cookie-uri: ad_user_data și ad_personalization, care se bazează pe consimțământul persoanei vizate și reglementează utilizarea și partajarea datelor.

• ad_user_data servește pentru acordarea consimțământului privind utilizarea datelor în scopuri publicitare către Google.

• ad_personalization stabilește dacă datele pot fi utilizate pentru personalizarea reclamelor (ex. remarketing).

Operatorul de date asigură colectarea și retragerea consimțămintelor corespunzătoare prin bannerul / panoul de cookie-uri. Retragerea consimțământului nu afectează legalitatea prelucrării bazate pe consimțământ înainte de retragere.

Mai multe informații și declarația de confidențialitate a Google pot fi consultate aici:
👉 https://policies.google.com/privacy

Utilizarea Google Analytics

Acest site utilizează Google Analytics, un serviciu de analiză web oferit de Google Inc. („Google”).
Google Analytics folosește așa-numitele „cookie-uri”, fișiere text salvate pe computerul dvs., care permit analiza modului în care este utilizat site-ul.

Informațiile generate de cookie-uri cu privire la utilizarea site-ului sunt, de obicei, transmise către un server Google din SUA și stocate acolo. Prin activarea anonimizării IP pe acest site, Google va scurta adresa IP a Utilizatorului în statele membre ale Uniunii Europene sau în alte state părți la Acordul privind Spațiul Economic European.

Numai în cazuri excepționale, adresa IP completă este transmisă către un server Google din SUA și scurtată acolo.
În numele operatorului acestui site, Google va folosi aceste informații pentru a evalua utilizarea site-ului de către Utilizator, pentru a întocmi rapoarte privind activitatea site-ului și pentru a furniza operatorului alte servicii legate de utilizarea site-ului și a internetului.

Adresa IP transmisă de browserul Utilizatorului în cadrul Google Analytics nu este combinată cu alte date deținute de Google.
Utilizatorul poate împiedica salvarea cookie-urilor prin setările corespunzătoare ale browserului, însă, în acest caz, este posibil ca anumite funcții ale site-ului să nu fie utilizabile integral.

Utilizatorul poate, de asemenea, împiedica colectarea și procesarea de către Google a datelor generate de cookie-uri referitoare la utilizarea site-ului (inclusiv adresa IP), descărcând și instalând pluginul de browser disponibil la următorul link:
👉 https://tools.google.com/dlpage/gaoptout?hl=ro

Newsletter și activități de marketing direct (DM) bazate pe consimțământ

1. Conform articolului 6 din Legea nr. XLVIII/2008 privind condițiile de bază ale activităților de publicitate comercială, Utilizatorul își poate da acordul prealabil și explicit ca Operatorul să îl contacteze prin mijloacele de contact furnizate la înregistrare cu oferte promoționale sau alte comunicări.

2. De asemenea, Clientul, luând în considerare dispozițiile prezentului document, își poate exprima acordul ca Operatorul să proceseze datele sale personale necesare pentru trimiterea ofertelor promoționale.

3. Operatorul nu trimite mesaje publicitare nesolicitate, iar Utilizatorul se poate dezabona oricând, gratuit și fără justificare de la primirea ofertelor. În acest caz, Operatorul va șterge toate datele personale utilizate în scop de marketing din baza sa de date și nu va mai trimite comunicări promoționale. Dezabonarea se poate face prin linkul inclus în mesajele trimise.

4. Datele colectate, scopul prelucrării și temeiul legal:

• Nume, adresă de e-mail, număr de telefon – utilizate pentru trimiterea comunicărilor comerciale și newsletterelor;

• Temei legal: articolul 6 alineatul (1) litera a) din GDPR – consimțământul persoanei vizate

Date personale – Newsletter

5. Categoria persoanelor vizate: Toți utilizatorii care se înscriu la newsletter.

6. Scopul prelucrării: Trimiterea de mesaje electronice cu conținut publicitar (e-mail, SMS, push), furnizarea de informații despre produse, promoții, funcții noi etc.

7. Durata prelucrării: Până la retragerea consimțământului (dezabonare) sau până la încetarea newsletter-ului.

8. Persoanele care pot accesa datele personale: Operatorul de date, precum și personalul autorizat din departamentele de vânzări și marketing, cu respectarea principiilor menționate.

9. Drepturile persoanelor vizate:
Persoana vizată poate solicita:

• acces la datele sale personale,

• corectarea, ștergerea sau restricționarea prelucrării acestora,

• opoziție față de prelucrarea datelor,

• portabilitatea datelor,

• retragerea consimțământului în orice moment.

10. Modalități de exercitare a drepturilor:

• prin poștă: 1124 Budapest, Str. Stromfeld Aurél 29-33, Clădirea C, Et. 2, Ap. 1.a

• prin e-mail: info@ebuy.hu

• telefon: +36305665513

11. Dezabonare: Persoana vizată se poate dezabona oricând, gratuit.

12. Alte informații:

• Prelucrarea datelor se bazează pe consimțământ.

• Datele personale trebuie furnizate pentru a primi newsletter.

• Nefurnizarea datelor împiedică trimiterea newsletter-ului.

• Consimțământul poate fi retras oricând prin dezabonare.

• Retragerea consimțământului nu afectează legalitatea prelucrării înainte de retragere.

Date personale – Gestionarea reclamațiilor

2. Categoria persoanelor vizate: Toți clienții care fac achiziții pe site și depun reclamații privind calitatea.

3. Durata prelucrării: Copiile proceselor-verbale și răspunsurilor la reclamații se păstrează timp de 3 ani, conform art. 17/A alin. (7) din Legea nr. CLV/1997.

4. Persoanele care pot accesa datele personale: Operatorul de date și personalul autorizat, cu respectarea principiilor menționate.

5. Drepturile persoanelor vizate:
Persoana vizată poate solicita:

• accesul la datele personale,

• corectarea, ștergerea sau restricționarea prelucrării,

• portabilitatea datelor,

• retragerea consimțământului în orice moment.

6. Modalități de exercitare a drepturilor:

• poștă: 1124 Budapest, Str. Stromfeld Aurél 29-33, Clădirea C, Et. 2, Ap. 1.a

• e-mail: info@ebuy.hu

• telefon: +36305665513

7. Alte informații:

• Furnizarea datelor personale este o obligație legală.

• Prelucrarea datelor este o condiție prealabilă pentru încheierea contractului.

• Datele personale trebuie furnizate pentru a putea soluționa reclamația.

• Nefurnizarea datelor împiedică procesarea reclamației.

Destinatarii cu care sunt comunicate datele personale

„Destinatar”: persoana fizică sau juridică, autoritatea publică, agenția sau orice altă entitate cu care sunt comunicate datele personale, indiferent dacă este terță parte sau nu.

1. Operatorii de date (care prelucrează date în numele operatorului)

Operatorul de date utilizează operatori de date pentru a sprijini activitățile proprii de prelucrare, precum și pentru a îndeplini obligațiile legale sau contractuale față de persoanele vizate.

Operatorul de date acordă o atenție deosebită selectării operatorilor de date care oferă garanții adecvate privind conformitatea cu cerințele GDPR și protecția drepturilor persoanelor vizate, prin aplicarea măsurilor tehnice și organizatorice corespunzătoare.

Operatorul de date și orice persoană care acționează sub autoritatea operatorului sau a operatorului de date, având acces la datele personale, prelucrează datele personale doar conform instrucțiunilor operatorului de date.

Operatorul de date răspunde legal pentru activitatea operatorilor de date. Operatorul de date răspunde doar dacă nu respectă obligațiile specifice prevăzute pentru operatori în GDPR sau acționează împotriva instrucțiunilor legale ale operatorului.

Operatorul de date nu ia decizii semnificative cu privire la prelucrarea datelor.

Operatorul poate folosi servicii de hosting și curierat ca operatori de date.

2. Exemple de operatori de date

3. Terțe părți

„Terță parte”: persoană fizică sau juridică, autoritate publică, agenție sau altă entitate care nu este identică cu persoana vizată, operatorul de date sau operatorul de date desemnat, și care nu acționează sub autoritatea directă a operatorului sau operatorului de date.

Transferul către terțe părți

Terțele părți prelucrează datele personale transmise în numele lor, conform propriilor politici de confidențialitate.

4. Rețele sociale

Date colectate: Numele înregistrat și poza de profil publică de pe rețelele sociale (Twitter, Pinterest, YouTube, Instagram, TikTok, LinkedIn etc.).

Persoanele vizate: Toți cei care sunt înregistrați pe aceste platforme și care au „apreciat” pagina operatorului sau au contactat operatorul prin intermediul rețelei sociale.

Scopul prelucrării: Distribuirea, aprecierea, promovarea conținutului web, produselor, promoțiilor sau a paginii web pe rețelele sociale.

Durata și modalitățile prelucrării: Prelucrarea are loc pe platforma socială, iar durata, modul de prelucrare și posibilitățile de ștergere/modificare a datelor sunt guvernate de regulamentele platformei respective.

Temeiul legal: Consimțământul voluntar al persoanei vizate pentru prelucrarea datelor personale pe rețelele sociale.

5. Gestionarea comună a datelor pe Facebook / Meta

Operatorul de date deține un profil pe Facebook / Meta. Prelucrarea datelor pentru scopuri statistice pe Facebook este o prelucrare comună între operator și Facebook Ireland Ltd. (4 Grand Canal Square, Grand Canal Harbour, D2 Dublin, Irlanda).

Detalii despre acordul de prelucrare comună sunt disponibile în Appendix-ul Facebook Page Insights:
https://www.facebook.com/legal/terms/page_controller_addendum

Operatorul răspunde doar mesajelor private primite de pe rețeaua socială.

6. Categorii de persoane vizate pe rețelele sociale

• Persoanele care s-au înregistrat pe platformă și au apreciat pagina operatorului;

• Persoanele care contactează operatorul prin mesaje private pe rețelele sociale.

2. Scopul prelucrării datelor

Scopul prelucrării pe pagina de Facebook este distribuirea și promovarea activităților și serviciilor operatorului. Datele furnizate de persoana vizată prin mesaje private pot fi utilizate de Operator pentru a răspunde mesajului; în rest, Operatorul nu colectează date prin intermediul rețelelor sociale și nu extrage date de acolo.

3. Baza legală a prelucrării datelor

Prelucrarea se bazează pe articolul 6(1)(a) din GDPR, respectiv consimțământul persoanei vizate pentru prelucrarea datelor personale pe pagina de Facebook.

4. Categoria de date prelucrate

• Numele înregistrat al persoanei vizate;

• Fotografia de profil publică a utilizatorului;

• Alte date publice furnizate și distribuite de persoana vizată pe pagina de Facebook.

5. Sursa datelor personale prelucrate

Datele sunt furnizate direct de persoana vizată.

6. Retragerea consimțământului

Persoana vizată își poate retrage consimțământul în orice moment prin ștergerea postărilor sau comentariilor. Prelucrarea are loc prin intermediul platformelor sociale, operate de terțe părți. În cazul retragerii consimțământului, Operatorul va șterge conversația purtată cu persoana vizată. Retragerea consimțământului nu afectează legalitatea prelucrării realizate înainte de retragere.

Accesul, ștergerea, modificarea, restricționarea prelucrării sau portabilitatea datelor pot fi inițiate prin:

• Poștă la: 1124 Budapest, Str. Stromfeld Aurél 29-33, Clădirea C, et. 2, ap. 1.a;

• E-mail: info@ebuy.hu;

• Telefon: +36 30 566 5513.

7. Durata prelucrării

• Până la retragerea consimțământului persoanei vizate;

• În cazul corespondenței, până la 2 ani.

8. Transmiterea datelor personale și destinatarii

Conceptul de „destinatar” conform articolului 4(9) GDPR. Operatorul transmite datele personale ale persoanei vizate autorităților publice doar în cazuri excepționale și în temei legal, de exemplu: instanță, procuratură, organe de anchetă, autoritate pentru contravenții, Autoritatea Națională pentru Protecția Datelor și Libertatea Informației.

9. Posibile consecințe ale nefurnizării datelor

În lipsa furnizării datelor, persoana vizată nu poate obține informații despre activitățile și serviciile Operatorului prin intermediul paginii de Facebook și nu poate trimite mesaje Operatorului prin Messenger.

10. Decizii automatizate (inclusiv profilare)

Prelucrarea nu implică luarea de decizii automatizate sau profilare.

11. Acordul de prelucrare comună cu Facebook Ireland Ltd.

Funcția Page Insights afișează date agregate pentru a vizualiza modul în care persoanele vizate utilizează pagina de Facebook. Facebook Ireland Limited și Operatorul sunt co-operatori pentru datele de analiză.

• Acordul specifică responsabilitățile Facebook și ale Operatorului privind prelucrarea datelor;

• Facebook Ireland poartă responsabilitatea principală conform GDPR pentru datele de analiză și respectă toate obligațiile aplicabile;

• Facebook oferă fiecărei persoane vizate acces la un rezumat al apendicelui Page Insights;

• Operatorul asigură legalitatea prelucrării datelor, identifică administratorul paginii și respectă toate obligațiile legale aplicabile;

• Facebook Ireland este responsabil pentru datele personale în cadrul funcției Page Insights, cu excepția celor care intră în domeniul apendicelui Page Insights;

• Apendicele Page Insights nu oferă Operatorului dreptul de a solicita datele personale ale utilizatorilor Facebook gestionate de Facebook Ireland;

• Operatorul nu poate răspunde în numele Facebook Ireland la solicitările privind datele.

Relația cu clienții și alte prelucrări

În cazul întrebărilor sau problemelor legate de serviciile Operatorului, persoana vizată poate contacta Operatorul prin metodele furnizate pe site (telefon, e-mail, rețele sociale etc.).

Datele primite (e-mail, mesaj, telefon, Meta etc.) vor fi șterse împreună cu numele, e-mailul și alte date personale voluntar furnizate, la maximum 2 ani de la comunicare.

Prelucrări de date nespecificate în acest document vor fi comunicate la momentul colectării.

În cazuri excepționale, la solicitarea autorităților sau pe baza unei dispoziții legale, Operatorul este obligat să furnizeze date sau documente necesare, doar în măsura strict necesară scopului cererii.

Drepturile persoanelor vizate

1. Dreptul de acces

Persoana vizată are dreptul de a primi confirmarea de la operator dacă prelucrarea datelor personale care o privesc este în curs și, în caz afirmativ, de a avea acces la aceste date și la informațiile enumerate în regulament.

2. Dreptul la rectificare

Persoana vizată are dreptul ca, la cerere, operatorul să corecteze fără întârziere nejustificată datele personale inexacte care o privesc. Ținând cont de scopul prelucrării, persoana vizată are dreptul să solicite completarea datelor personale incomplete, inclusiv printr-o declarație suplimentară.

3. Dreptul la ștergere

Persoana vizată are dreptul ca, la cerere, operatorul să șteargă fără întârziere nejustificată datele personale care o privesc, iar operatorul este obligat să le șteargă în condițiile stabilite.

4. Dreptul de a fi uitat

Dacă operatorul a făcut publice datele personale și este obligat să le șteargă, acesta va lua măsurile rezonabile – inclusiv tehnice – pentru a informa alți operatori care prelucrează datele despre cererea de ștergere a linkurilor către aceste date sau a copiilor/dublurilor acestora.

5. Dreptul de a restricționa prelucrarea

Persoana vizată poate solicita operatorului să restricționeze prelucrarea datelor personale dacă se îndeplinește una dintre condițiile:

• Se contestă exactitatea datelor, iar restricția se aplică până la verificarea exactității;

• Prelucrarea este ilegală, iar persoana vizată se opune ștergerii și solicită restricționarea utilizării datelor;

• Operatorul nu mai are nevoie de date pentru scopul prelucrării, dar persoana vizată le solicită pentru exercitarea, apărarea sau formularea unor revendicări legale;

• Persoana vizată s-a opus prelucrării bazate pe interese legitime, iar restricția se aplică până la determinarea priorității motivelor operatorului față de cele ale persoanei vizate.

6. Dreptul la portabilitatea datelor

Persoana vizată are dreptul de a primi datele personale furnizate unui operator într-un format structurat, utilizat pe scară largă și lizibil automat, și de a le transmite unui alt operator fără impediment din partea primului operator.

7. Dreptul de a se opune

Persoana vizată se poate opune în orice moment prelucrării datelor personale bazate pe interese legitime sau autoritate publică, inclusiv profilării pe această bază.

8. Dreptul de a se opune prelucrării în scop de marketing direct

Persoana vizată se poate opune în orice moment prelucrării datelor personale în scop de marketing direct, inclusiv profilării asociate, caz în care datele nu mai pot fi utilizate pentru acest scop.

9. Dreptul de a nu fi supus unei decizii automate

Persoana vizată are dreptul să nu fie supusă unei decizii bazate exclusiv pe prelucrare automată, inclusiv profilare, care are efect juridic sau impact semnificativ asupra sa, cu excepțiile:

• Necesitatea încheierii sau executării unui contract între persoană și operator;

• Permisiunea legală aplicabilă care include măsuri adecvate de protecție a drepturilor și libertăților persoanei;

• Consimțământul explicit al persoanei vizate.

Termenele de răspuns

Operatorul informează persoana vizată fără întârziere nejustificată, dar în termen de 1 lună de la primirea cererii. Termenul poate fi prelungit cu 2 luni, cu notificarea motivului întârzierii în termen de 1 lună de la cerere.

Dacă nu se ia nicio măsură, operatorul informează persoana vizată în termen de o lună despre motivele neîndeplinirii cererii și despre dreptul de a depune plângere la autoritatea de supraveghere sau de a exercita căile legale.

Securitatea prelucrării datelor

Operatorul și procesatorii implementează măsuri tehnice și organizatorice corespunzătoare pentru a asigura securitatea datelor, ținând cont de:

• Stadiul tehnologic și costurile implementării;

• Natura, aria, circumstanțele și scopurile prelucrării;

• Riscurile pentru drepturile și libertățile persoanelor.

Aceste măsuri includ:

• Pseudonimizarea și criptarea datelor personale;

• Menținerea confidențialității, integrității, disponibilității și rezilienței sistemelor și serviciilor;

• Restaurarea rapidă a accesului și disponibilității datelor după un incident fizic sau tehnic;

• Testarea și evaluarea periodică a eficienței măsurilor de securitate.

Depozitarea datelor

• Datele pe suport de hârtie se depozitează în spații securizate și uscate, cu acces controlat;

• Datele electronice sunt protejate prin sisteme centralizate de gestionare a drepturilor și backup regulat;

• Ștergerea datelor trebuie să fie ireversibilă la expirarea termenului legal sau atunci când este necesară;

• Distrugerea suporturilor de hârtie se face cu distrugătoare de documente sau prin servicii specializate;

• Distrugerea suporturilor electronice respectă procedurile de ștergere sigură.

Măsuri specifice de securitate ale operatorului

Protecție fizică:

• Documentele sunt păstrate în spații securizate și închise;

• Digitalizarea documentelor se supune acelorași reguli de securitate;

• Angajații lasă datele în siguranță când părăsesc camera de lucru;

• Accesul la date este permis numai personalului autorizat;

• Clădirile sunt echipate cu sisteme de protecție la incendiu și securitate.

Protecție IT:

• Calculatoarele și dispozitivele mobile aparțin operatorului;

• Sistemele cu date personale sunt protejate împotriva virusurilor;

• Se efectuează backup și arhivare periodică;

• Accesul la serverul central este permis doar personalului autorizat;

• Datele de pe calculatoare sunt accesibile doar cu utilizator și parolă.

Informarea persoanei vizate cu privire la un incident de securitate a datelor

Dacă incidentul de securitate a datelor prezintă probabil un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul va informa fără întârziere nejustificată persoana vizată.

Informarea trebuie să fie clară și ușor de înțeles și să includă:

• Natura incidentului de securitate a datelor;

• Numele și datele de contact ale responsabilului cu protecția datelor sau ale altui punct de contact relevant;

• Consecințele probabile ale incidentului;

• Măsurile luate sau planificate de operator pentru remedierea incidentului, inclusiv măsurile pentru atenuarea efectelor negative posibile.

Persoana vizată nu trebuie să fie informată dacă:

• Operatorul a implementat măsuri tehnice și organizatorice adecvate care au făcut datele ininteligibile pentru persoane neautorizate (de exemplu criptarea);

• Operatorul a luat măsuri suplimentare care asigură că riscul ridicat pentru drepturile persoanelor nu mai este probabil;

• Informarea ar necesita efort disproporționat. În acest caz, persoanele vizate trebuie informate prin publicarea publică a informațiilor sau prin măsuri echivalente.

Dacă operatorul nu a informat persoana vizată, autoritatea de supraveghere poate dispune informarea acesteia după evaluarea riscului incidentului.

Raportarea incidentului autorității

Operatorul raportează incidentul autorității competente conform art. 55 GDPR, fără întârzieri nejustificate și, dacă este posibil, în termen de 72 de ore de la momentul în care a luat cunoștință de incident, exceptând cazurile în care incidentul nu prezintă probabil risc pentru drepturile și libertățile persoanelor fizice.

Dacă raportarea depășește termenul de 72 de ore, trebuie să se precizeze motivele întârzierii.

Revizuirea prelucrării datelor obligatorii

Dacă durata sau necesitatea prelucrării obligatorii nu este stabilită de lege, reglementare locală sau act juridic al Uniunii Europene, operatorul revizuiește cel puțin o dată la trei ani, de la începutul prelucrării, dacă prelucrarea datelor personale realizată de operator sau de procesatori este necesară pentru atingerea scopului prelucrării.

Rezultatele și circumstanțele revizuirii se documentează și se păstrează timp de 10 ani, fiind disponibile la solicitarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).

Posibilitatea de a depune plângere

Împotriva eventualelor încălcări ale legislației de protecție a datelor, persoana vizată poate depune plângere la:

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal
1055 Budapesta, Str. Falk Miksa 9-11
C.P. 1363 Budapesta, Pf. 9
Telefon: +36 1 391 1400
Fax: +36 1 391 1410
E-mail: ugyfelszolgalat@naih.hu

Concluzie

Această informare a fost întocmită ținând cont de următoarele acte normative:

• Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal (GDPR);

• Legea CXII/2011 privind dreptul la informație și autodeterminarea informațională (Infotv.);

• Legea CVIII/2001 privind serviciile societății informaționale și comerțul electronic;

• Legea XLVII/2008 privind practicile comerciale neloiale împotriva consumatorilor;

• Legea XLVIII/2008 privind condițiile și limitele activităților de publicitate economică;

• Legea XC/2005 privind libertatea informațiilor electronice;

• Legea C/2003 privind comunicațiile electronice;

• Recomandări EASA/IAB privind publicitatea comportamentală online (16/2011);

• Recomandările ANSPDCP privind informarea prealabilă conform cerințelor de protecție a datelor.