Prelucrarea datelor personale

Notificare de confidențialitate privind protectia datelor cu carecter personal


Cine suntem

SC Apollini Company SRL, având sediul social în Calea Aradului km. 3, Timisoara, România, având CIF RO 16186555, este o societate înregistrată și care activează în temeiul legilor din România și care se ocupă cu imbutelierea si comercializarea apei minerale naturale Perenna Premier.

Ce ne trebuie

Politica noastră privind protecția datelor cu caracter personal guvernează utilizarea și stocarea datelor dvs. Puteți consulta pe site-ul nostru de internet, pagina Protectia datelor cu caracter personal.

Apollini Company este un controlor al datelor cu caracter personal pe care dumneavoastră (persoana vizată) ni le furnizați. Noi colectăm de la dvs. următoarele tipuri de date cu caracter personal: nume și prenume, e-mail, număr de telefon, adresă.

De ce ne trebuie

Avem nevoie de datele dvs. cu caracter personal pentru a vă furniza următoarele servicii:

Nume și prenume – avem nevoie de această informație pentru a comunica cu dvs. într-o manieră personal;

E-mail – avem nevoie de această informație pentru a vă transmite date relevante privitoare la comanda dvs;

Numărul de telefon – vom folosi numărul dvs. de telefon pentru a va contacta soferii nostril in vederea livrari produselor comandate;

Adresa – o folosim pentru livrarea produselor comandate.

Ce facem cu ele

Datele dvs. cu caracter personal sunt prelucrate în biroul SC Apollini Company SRL.

Cât timp le stocăm

Vom stoca datele dvs. cu caracter personal pentru întreaga durată a colaborarii noastre, sau până când ne notificați că nu mai doriți să colaborati cu noi. După această perioadă, datele dvs. cu caracter personal vor fi ireversibil distruse.

Care sunt drepturile dvs.?

Dacă veți considera că oricare din datele cu caracter personal pe care le deținem sunt incorecte sau incomplete, aveți dreptul de a solicita să vedeți aceste informații, să le rectificați, să cereți ștergerea lor, să solicitați restricționarea prelucrării lor sau să obiectați față de activitatea de prelucrare, precum și să beneficiați de portabilitatea datelor. Vă rugăm să ne contactați la gdpr@perenna.ro.

Dacă doriți să înaintați o plângere privind modalitatea în care am gestionat datele dvs. cu caracter personal, vă rugăm să contactați Responsabilul pentru protecția datelor la gdpr@perenna.ro. Responsabilul nostru pentru protecția datelor va analiza plângerea dvs. și va lucra cu dvs. pentru a soluționa problema.

În cazul în care veți continua să considerați că datele dvs. nu au fost gestionate corespunzător, în temeiul legii, puteți contacta Autoritatea din România pentru protecția datelor cu caracter personal la www.dataprotection.ro și să depuneți o plângere.

 

POLITICA DE CONFIDENTIALITATE PRIVIND PROTECTIA DATELOR CU CARACTER PERSONAL

 

  1. 1.     Scopul, Domeniul de aplicare și Utilizatorii

SC Apollini Company SRL, denumită în continuare „Societatea”, are ca scop respectarea legilor și reglementărilor aplicabile legate de protecția datelor cu caracter personal în țările în care Societatea operează. Această politică stabilește principiile de bază prin care Societatea prelucrează datele cu caracter personal ale consumatorilor, clienților, furnizorilor, partenerilor de afaceri, angajaților și altor persoane și indică responsabilitățile departamentelor și angajaților săi în timpul prelucrării datelor cu caracter personal.

Prezenta Politică se aplică Societății și filialelor sale deținute în întregime și controlate integral sau parțial în Spațiul Economic European (EEA) sau prelucrării datelor cu caracter personal ale persoanelor vizate în cadrul EAA.

Utilizatorii prezentului document sunt toți angajați, permanenți sau temporari, dar și toți contractanți care lucrează în numele Societății.

 

  1. 2.     Definiții

Terminologia și expresiile utilizate în prezentul document sunt preluate din Articolul 4 al Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, denumit în continuare și „RGPD” sau „Regulamentul general privind protecția datelor ”:

Date cu caracter personal: Orice informație referitoare la o persoană fizică identificată sau identificabilă („Persoana vizată”), care poate fi identificată, direct sau indirect, în special prin trimitere la un identificator, cum ar fi un nume, un număr de identificare, date despre localizare, un identificator online sau un identificator sau mai mulți factori specifici identității fizice, fiziologice, genetice, mentale, economice, culturale sau sociale a acelei persoane fizice.

Date cu caracter personal sensibile: Datele cu caracter personal care, prin natura lor, sunt deosebit de sensibile în raport cu drepturile și libertățile fundamentale, merită o protecție specifică, deoarece contextul procesării acestora ar putea crea riscuri semnificative pentru drepturile și libertățile fundamentale. Aceste date cu caracter personal includ date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, credințele religioase sau filosofice sau calitatea de membru al sindicatelor, datele genetice, datele biometrice, în scopul identificării unice a unei persoane fizice, datele privind sănătatea sau datele referitoare la viața sexuală ori orientarea sexuală a unei persoane fizice.

Controlor de date: Persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu alții, determină scopurile și mijloacele de prelucrare a datelor cu caracter personal.

Operator de date: O persoană fizică sau juridică, o autoritate publică, o agenție sau orice alt organism care prelucrează date cu caracter personal în numele unui Controlor de date.

Prelucrare: O operațiune sau un set de operațiuni care se efectuează pe date cu caracter personal sau pe seturi de date cu caracter personal, cu sau fără mijloace automate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, recuperarea, consultarea, utilizarea, dezvăluirea prin transmitere, difuzare sau punere la dispoziție în alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea datelor.

Anonimizarea: Datele cu caracter personal care nu pot fi identificate în mod ireversibil, astfel încât persoana să nu poată fi identificată prin folosirea timpului, costului și tehnologiei rezonabile, fie de către controlor, fie de către orice altcineva pentru a identifica persoana respectivă. Principiile de procesare a datelor cu caracter personal nu se aplică datelor anonime deoarece acestea nu mai sunt date cu caracter personal.

Pseudonimie: Prelucrarea datelor cu caracter personal în așa fel încât datele personale să nu mai poată fi atribuite unui anumit subiect de date fără utilizarea unor informații suplimentare, cu condiția ca aceste informații suplimentare să fie păstrate separat și să facă obiectul unor măsuri tehnice și organizatorice care să asigure că datele cu caracter personal nu sunt atribuite unei persoane fizice identificate sau identificabile. Pseudonimia reduce, dar nu elimină complet, capacitatea de a conecta date cu caracter personal de o persoane vizate. Deoarece datele pseudonime sunt în continuare date cu caracter personal, prelucrarea datelor pseudonime ar trebui să respecte principiile de prelucrare a datelor cu caracter personal.

Prelucrarea transfrontalieră a datelor cu caracter personal: Prelucrarea datelor cu caracter personal care are loc în contextul activităților sediilor din mai multe state membre, ale unui controlor sau operator din Uniunea Europeană, în care controlorul sau operatorul este stabilit în mai multe state membre; sau prelucrarea datelor cu caracter personal care are loc în contextul activităților unui singur sediu, a unui controlor sau operator din Uniune, dar care afectează în mod substanțial sau este susceptibil de a afecta în mod substanțial persoanele vizate în mai multe state membre;

Autoritatea de supraveghere: O autoritate publică, independentă, înființată de un stat membru în temeiul Articolului 51 al RGPD UE;

Autoritatea de supraveghere principală: Autoritatea de supraveghere ce are responsabilitatea principală de a gestiona activitatea transfrontalieră de prelucrare a datelor, de exemplu atunci când o persoană vizată înaintează o plângere cu privire la prelucrarea datelor sale cu caracter personal; este responsabilă, printre altele, de primirea notificărilor privind încălcarea datelor, de a fi notificată cu privire la activitatea riscantă de prelucrare și va avea autoritatea deplină în ceea ce privește obligațiile care îi revin pentru a asigura respectarea dispozițiilor RGPD UE;

Fiecare „autoritate de supraveghere locală” va menține în continuare, pe propriul teritoriu și va monitoriza orice prelucrare de date care afectează persoanele vizate sau care se desfășoară de controlori sau operatori UE sau din afara UE, atunci când persoanele vizate ale prelucrării se află pe teritoriul său. Sarcinile și mandatele lor includ desfășurarea de investigații și aplicarea de măsuri și amenzi administrative, precum și promovarea conștientizării publicului privind riscurile, regulile, securitatea și drepturile în ceea ce privește prelucrarea datelor cu caracter personal, precum și obținerea accesului în orice incinte ale controlorului sau operatorului, incluzând la orice echipamente sau mijloace de prelucrare datelor.

„Sediul principal al unui controlor” cu sedii în mai mult de un stat membru, locul administrației sale centrale în cadrul Uniunii, cu excepția cazului în care deciziile privind scopul și mijloacele de prelucrare ale datelor cu caracter personal sunt luate într-un alt sediu al controlorului, din Uniune, iar acest din urmă sediu are puterea de a implementa astfel de decizii, caz în care sediul care a luat astfel de decizii este considerat ca fiind sediul principal;

„Sediul principal al unui operator” cu sedii în mai mult de un stat membru, locul administrației sale centrale în cadrul Uniunii, cu excepția cazului în care deciziile privind scopul și mijloacele de prelucrare ale datelor cu caracter personal sunt luate într-un alt sediu al operatorului, din Uniune, iar acest din urmă sediu are puterea de a implementa astfel de decizii, caz în care sediul care a luat astfel de decizii este considerat ca fiind sediul principal.

Întreprinderea de grup: Orice societate de tip holding și filialele sale.

 

  1. 3.     Principiile de bază ale Prelucrării datelor cu caracter personal

Principiile privind protecția datelor cu caracter personal subliniază responsabilitățile de bază pentru organizații care gestionează date cu caracter personal. Articolul 5(2) al RGPD stipulează „controlorul va fi responsabil pentru, și va putea demonstra, conformitatea cu principiile.”

Legalitatea, corectitudinea și transparența

Datele cu caracter personal trebuie prelucrate legal, corect și într-o manieră transparentă în raport cu persoana vizată.

Limitarea scopului

Datele cu caracter personal trebuie colectate pentru scopurile specificate, explicite și legitime, și nu trebuie procesate ulterior, într-o manieră incompatibilă cu respectivele scopuri.

Minimizarea datelor

Datele cu caracter personal trebuie să fie exacte, relevante și limitate la ceea ce este necesar în raport cu scopurile pentru care sunt prelucrate. Societatea trebuie să aplice anonimizarea sau pseudonimia asupra datelor cu caracter personal, dacă este posibil, pentru a reduce riscurile asupra persoanelor vizate.

Exactitatea

Datele cu caracter personal trebuie să fie exacte, iar acolo unde cazul, sa fie actualizate; în vederea asigurării exactității datelor cu caracter personal, trebuie parcurși pași rezonabili, luând în considerare scopurile pentru care datele sunt prelucrate, șterse sau rectificate, în timp util.

Limitarea perioadei de stocare

Datele cu caracter personal nu trebuie păstrate mai mult decât este necesar pentru scopurile pentru care sunt prelucrate.

Integritate și confidențialitate

Având în vedere stadiul tehnologiei și alte măsuri de securitate disponibile, costul de implementare, probabilitatea și gravitatea riscurilor privind datele cu caracter personal, Societatea trebuie să utilizeze măsuri tehnice sau organizatorice adecvate pentru a prelucra Datele cu caracter personal într-o manieră care asigură securitatea corespunzătoare a datelor cu caracter personal, incluzând protecția împotriva distrugerii accidentale sau ilegale, pierderii, alternării, accesării neautorizate sau divulgarea.

Răspunderea

Controlorii de date trebuie să fie responsabili pentru și să poată demonstra conformitatea cu principiile sus-menționate.

Construirea protecției pentru date în activitățile comerciale

Pentru a putea demonstra conformitatea cu principiile protecției datelor, o organizație ar trebui să construiască, în cadrul activităților sale comerciale, o modalitate de a proteja datele.

Notificări către Persoane vizate

(A se consulta secțiunea Ghidul Prelucrării Corecte.)

Opțiunea și Acordul Persoanei vizate

(A se consulta secțiunea Ghidul Prelucrării Corecte.)

Colectarea

Societatea trebuie să depună eforturi pentru a colecta cea mai mică cantitate posibilă de date cu caracter personal. Dacă datele cu caracter personal sunt colectate de la terțe părți, Responsabilul cu Protecția datelor trebuie să se asigure că datele cu caracter personal sunt colectate în mod legal.

Utilizare, reținere și eliminare

Scopurile, metodele, limitarea stocării și perioada de reținere a datelor cu caracter personal trebuie să fie în concordanță cu informațiile cuprinse în Notificarea de Confidențialitate. Societatea trebuie să mențină exactitatea, integritatea, confidențialitatea și relevanța datelor cu caracter personal în conformitate cu scopurile de prelucrare. Mecanismele de securitate corespunzătoare proiectate pentru a proteja datele cu caracter personal trebuie să fie utilizate pentru a preveni furtul, utilizarea necorespunzătoare sau abuzivă a datelor cu caracter personal, precum și încălcarea acestora. Responsabilul pentru Protecția datelor are sarcina de a asigura conformitatea cu cerințele dispuse în prezenta secțiune.

Dezvăluirea către terți

Ori de câte ori Societatea utilizează un furnizor sau un partener de afaceri terț pentru a prelucra datele cu caracter personal în numele său, Responsabilul pentru protecția datelor trebuie să se asigure că acest operator va asigura măsurile de protecție necesare pentru a asigura datele cu caracter personal, adecvate în raport cu riscurile asociate.

Societatea trebuie să solicite furnizorului sau partenerului de afaceri, în cadrul unui contract, să asigure același nivel de protecție a datelor. Furnizorul sau partenerul de afaceri trebuie să prelucreze doar acele date cu caracter personal necesare pentru a-și îndeplini obligațiile contractuale față de Societate, sau pe acelea care reies din instrucțiunile Societății și în niciun alt scop. Atunci când Societatea prelucrează datele cu caracter personal împreună cu o terță parte independentă, Societatea trebuie să specifice explicit care este terța parte și obligațiile aferente acesteia în contractul relevant sau în oricare alt document cu caracter juridic obligatoriu.

Transferul transfrontalier a datelor cu caracter personal

Înainte de a transmite datele cu caracter personal în afara Spațiului Economic European (SEA), trebuie utilizate măsuri de siguranță corespunzătoare, incluzând semnarea unui Contract privind Transferul Datelor, conform cerințelor Uniunii Europene, și, dacă este cazul, trebuie obținută o autorizare din partea Autorității pentru Protecția datelor. Entitatea care primește datele cu caracter personal trebuie să se conformeze principiile prelucrării datelor cu caracter personal.

Dreptul persoanelor vizate la acces

Atunci când acționează în calitate de controlor de date, Responsabilul pentru Protecția datelor are sarcina de a asigura persoanelor vizate un mecanism de acces rezonabil pentru a le permite accesul la datele lor cu caracter personal și trebuie să le permită să actualizeze, rectifice, șteargă sau să-și transmită datele cu caracter personal dacă este corespunzător ori obligatoriu din punct de vedere legal.

Portabilitatea datelor

Persoanele vizate au dreptul de a primi, în urma unei solicitări, o copie a datelor pe care le-au furnizat Societății, într-un format structurat, și să transmită respectivele date unui alt controlor, gratuit. Responsabilul pentru Protecția datelor are sarcina de a se asigura că respectivele cereri sunt procesate într-un interval de o lună, că nu sunt excesive și că nu afectează drepturile privind datele cu caracter personal ale altor persoane.

Dreptul de a fi uitat

În urma unei solicitări, Persoanele vizate au dreptul de a obține de la Societate ștergerea datelor lor cu caracter personal. Atunci când Societatea acționează în calitate de Controlor, Responsabilul pentru Protecția datelor trebuie să ia măsurile necesare (incluzând măsurile tehnice) pentru a informa părțile terțe care utilizează sau procesează acele date să respecte solicitarea.

Ghidul prelucrării corecte

Datele cu caracter personal trebuie prelucrate doar cu autorizarea explicită a Responsabilului pentru Protecția datelor.

Societatea trebuie să decidă dacă să efectueze Evaluarea impactului asupra protecției datelor pentru fiecare activitate de prelucrare a datelor cu caracter personal.

Notificarea persoanelor vizate

La momentul colectării, sau înainte de colectarea datelor cu caracter personal pentru oricare tip de activități de prelucrare, incluzând, dar fără limitare la vânzarea de produse, servicii sau activități de marketing, Responsabilul pentru Protecția datelor are sarcina de a informa corespunzător persoanele vizate de următoarele aspecte: tipul datelor cu caracter personal colectate, perioada de stocare, potențialele transferuri internaționale de date, dacă datele vor fi împărțite cu terțe părți și măsurile de securitate ale Societății pentru a proteja datele cu caracter personal. Aceste informații sunt transmise prin Notificarea de confidențialitate.

În cazul împărțirii datelor cu caracter personal cu o parte terță, Responsabilul pentru Protecția datelor trebuie să se asigure că persoanele vizate au fost notificate prin intermediul unei Notificări de Confidențialitate.

În cazul transferării datelor cu caracter personal într-un stat terț, Notificarea de Confidențialitate trebuie să reflecte acest lucru, specificând clar unde și către ce entitate se transferă datele cu caracter personal.

În cazul colectării de date cu caracter personal sensibile, Responsabilul pentru Protecția datelor trebuie să se asigure că Notificarea de Confidențialitate menționează scopurile pentru care se colectează datele cu caracter personal sensibile.

Obținerea acordurilor

Ori de câte ori prelucrarea datelor cu caracter personal se bazează pe consimțământul persoanei vizate sau pe alt fundament legal, Responsabilul pentru Protecția datelor are sarcina de a menține o evidență a respectivelor acorduri. Responsabilul pentru Protecția datelor are sarcina de a le asigura persoanelor vizate opțiunea de a-și conferi acordul și trebuie să le informeze și să se asigure că acordul lor (indiferent dacă acordul este utilizat drept temei legal pentru prelucrare) poate fi retras oricând.

Atunci când se primesc solicitări pentru a corecta, amenda sau distruge datele cu caracter personal, Responsabilul pentru Protecția datelor trebuie să se asigure că respectivele solicitări sunt gestionate într-un interval de timp rezonabil. Responsabilul pentru Protecția datelor trebuie să înregistreze cererile și să păstreze evidența acestora într-un registru.

Datele cu caracter personal trebuie să fie prelucrate doar în scopul pentru care au fost colectate inițial. În situația în care Societatea vrea să prelucreze datele cu caracter personal colectate într-un alt scop, Societatea trebuie să obțină acordul scris, clar și concis al persoanelor vizate. Oricare astfel de solicitare trebuie să includă scopul inițial pentru care au fost colectate datele respective, iar Responsabilul pentru Protecția datelor are sarcina de a asigura conformitatea cu regulile stipulate în prezentul paragraf.

Acum și pe viitor, Responsabilul pentru Protecția datelor trebuie să se asigure că metodele de colectare sunt conforme cu legislația relevantă, bunele practici și standardele industriei.

Plugin-uri și add-ons

Rețele de socializare – autentificare

Colectăm datele profilului public numai prin consimțământul acordat înainte de a iniția autentificarea prin rețele de socializare, din rețeaua de socializare utilizată pentru conexiunea pe website-ul nostru. Aceste date cuprind numele, prenumele, adresa de e-mail, link-ul la profilul de social media, identificatorul unic, avatarul profilului.

Organizare și responsabilități

Responsabilitatea pentru asigurarea unei prelucrări adecvate a datelor cu caracter personal revine oricărei persoane care lucrează pentru sau cu Societatea și care are acces la datele cu caracter personal prelucrate de Societate.

Zonele cheie pentru responsabilitățile ce țin de prelucrarea datelor cu caracter personal se află în următoarele roluri organizatorice:

Responsabilul pentru Protecția Datelor (DPO) este însărcinat cu gestionarea programului de protecție a datelor cu caracter personal și dezvoltarea și promovarea politicilor de protecție end-to-end (de la un capăt la altul) a datelor cu caracter personal;

Asigurarea tuturor sistemelor, serviciilor și echipamentelor utilizate pentru stocarea datelor care întrunesc standardele acceptabile de securitate.

Efectuarea de verificări și scanări regulate pentru a asigura securitatea componentelor hardware și operarea corespunzătoare a programelor software.

Aprobarea oricăror afirmații atașate formelor de comunicare de tipul email sau scrisoare.

Adresarea oricăror întrebări privind protecția datelor cu caracter personal primite de la jurnaliști sau surse media, cum ar fi ziarele.

Acolo unde este cazul, să lucreze cu Responsabilul pentru Protecția datelor pentru a se asigura că inițiativele de marketing sunt conforme principiilor pentru protecția datelor.

Creșterea conștientizării tuturor angajaților despre protecția datelor cu caracter personal ale utilizatorului.

Organizarea de cursuri de formare în „expertiza și conștientizarea protecției datelor cu caracter personal” pentru angajații care lucrează cu datele cu caracter personal.

Protejarea end-to-end a datelor cu caracter personal ale angajaților. Trebuie să asigure că datele cu caracter personal ale angajaților sunt prelucrate pe baza necesității și a scopurilor comerciale legitime ale angajatorului.

Personalul departamentului comercial este responsabil cu transmiterea responsabilităților privind protecția datelor cu caracter personal către furnizori și creșterea gradului de conștientizare al furnizorilor privind necesitatea de protejare a datelor cu caracter personal, precum și privind transmiterea cerințelor ce țin de datele cu caracter personal oricărei terțe pe care furnizorul o utilizează. Departamentul de achiziții trebuie să se asigure că Societatea își rezervă dreptul de a audita furnizori.

Orientări pentru Ănființarea Autorității de Supraveghere Principale

Sediul principal și Autoritatea de Supraveghere Principală

Sediul principal al Societății se află în București, România. Prin urmare, indiferent dacă activează în calitate de Controlor sau de Operator, aceasta va avea Autoritatea privind prelucrarea datelor cu caracter personal din România drept Autoritate de Supraveghere Principală, mai exact Autoritatea Națională de  supraveghere a prelucrării datelor cu caracter personal.

Informațiile de contact sunt:

Autoritatea Națională de  Supraveghere a Prelucrării Datelor cu Caracter Personal

B-dul G-ral. Gheorghe Magheru nr. 28-30
Sector 1, cod poștal 010336
București, România

anspdcp@dataprotection.ro

Numere de telefon:

+40.318.059.211

+40.318.059.212

Număr de fax:

+40.318.059.602

Răspunsul la incidentele de încălcare a datelor cu caracter personal

Atunci când Societatea află despre o încălcare a datelor cu caracter personal suspectată sau reală, Responsabilul pentru Protecția datelor trebuie să efectueze o investigație internă și să ia măsurile corective adecvate, la timp. În cazul în care există riscuri în ceea ce privește drepturile și libertățile persoanelor vizate, Societatea trebuie să notifice fără întârziere autoritățile competente pentru protecția datelor și, dacă este posibil, în termen de 72 de ore.

Audit și răspundere

Responsabilul pentru Protecția datelor are în sarcină auditarea modului în care departamentele comerciale implementează prezenta Politică.

Orice angajat care încalcă prezenta Politică va face obiectul unor măsuri disciplinare, iar salariatul poate fi, de asemenea, supus unor răspunderi civile sau penale, dacă comportamentul său încalcă legile sau regulamentele.

Conflicte juridice

Prezenta Politică are scopul de a se conforma cu legile și reglementările locului de înființare și ale țărilor în care operează Societatea. În cazul în care există orice conflict între Politică și legile și reglementările aplicabile, acestea din urmă prevalează.