PROCEDURI PRIVIND DESFASURAREA ACTIVITATILOR DE PRELUCRARE A DATELOR CU CARACTER PERSONAL

Consideratii introductive privind procedura de prelucrare a datelor cu caracter personal prin prisma Regulamentului nr. 679/2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracer personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE- denumit in continuare GDPR hereinafter referred to as GDPR

CAR-BOY KIDLAND SRL knows the importance of the processing of personal data and is committed to protecting their confidentiality and security by observing the GDPR.

CAR-BOY KIDLAND SRL cunoaste importanta prelucrarii datelor cu caracter personal si se angajeaza sa protejeze confidentialitatea si securitatea acestora prin respectarea GDPR. CAR-BOY KIDLAND SRL manages, in safe conditions and only for the

specified purposes, the personal data that they process in the context development of the object of activity.

The present procedure applies to the processing of personal data carried out in whole or in part by automated means, as well as to the processing carried out by means other than the automated ones of the personal data that are part of a data record system or which are destined to be part of from a data record system.

For the purposes of this procedure, the following terms are defined:

“Personal data” means any information regarding an identified or identifiable natural person (“data subject”); an identifiable natural person is a person who can be identified, directly or indirectly, in particular by reference to an identification element, such as a name, identification number, location data, an online identifier, or to one or more many specific elements, their own physical, physiological, genetic, psychological, economic, cultural or social identity;
“Processing” means any operation or set of operations performed on personal data or on personal data sets, with or without the use of automated means, such as collecting, recording, organizing, structuring, storing, adapting or modifying, extraction, consultation, use, disclosure by transmission, dissemination or making available in any other way, alignment or combination, restriction, deletion or destruction;
“data record system” means any structured set of personal data accessible according to specific criteria, whether they are centralized, decentralized or distributed according to functional or geographical criteria;
“Operator” means the natural or legal person, the public authority, the agency or other body which, alone or together with others, establishes the purposes and means of processing personal data; when the purposes and means of processing are established by Union law or national law, the operator or the specific criteria for its designation may be provided for in Union law or in domestic law;
“Operator empowered person” means the natural or legal person, public authority, agency or other body that processes personal data on behalf of the operator;
“Recipient” means the natural or legal person, public authority, agency or other body to whom (to whom) personal data are disclosed, whether or not it is a third party. However, public authorities to whom personal data may be communicated in a particular investigation in accordance with Union law or national law are not considered as recipients; the processing of these data by the respective public authorities respects the applicable data protection rules, in accordance with the purposes of the processing;
“Third party” means a natural or legal person, public authority, agency or body other than the data subject, the operator, the person empowered by the operator and the persons who, under the direct authority of the operator or the person empowered by the operator, are authorized to process data with personal character;
“Consent” of the data subject means any manifestation of the free, specific, informed and unambiguous will of the data subject by which he accepts, by a statement or an unequivocal action, that the personal data concerning him are to be processed;
“Breach of the security of personal data” means a breach of security that results in the accidental or unlawful destruction, loss, modification, or unauthorized disclosure of personal data transmitted, stored or otherwise processed, or unauthorized access to them;

10. “supervisory authority concerned” means a supervisory authority which is concerned with the process of processing personal data because:

(a) the operator or the person empowered by the operator is established in the territory of the Member State of the respective supervisory authority;

(b) the data subjects who reside in the Member State in which the respective supervisory authority is located are significantly affected or are likely to be significantly affected by processing; or

(c) a complaint has been filed with the respective supervisory authority;

PART I – PROCEDURES CONCERNING THE PROCESSING OF THE PERSONAL DATA OF THE OPERATOR’S EMPLOYEES

I.1. Aspects regarding the record of the personal data of the employees

1 . Introduction

CAR-BOY KIDLAND SRL is a company specialized in trading activities with the main object of activity 4649 from CAEN. In labor relations personal data can be processed if necessary to initiate, perform and terminate an individual employment contract. When initiating a working relationship, the personal data of the applicants can be processed.

The present Procedures are intended to ensure the performance of the activity of processing of personal data by the operator CAR-BOY KIDLAND SRL in accordance with Regulation no. 679/2016 regarding the protection of natural persons with regard to the processing of personal data and on the free movement of these data and repealing Directive 95/46 / EC (hereinafter GDPR)

The present Procedures have the role to organize the activity of processing the personal data carried out by the operator in compliance with the processing principles established by the GDPR in article 5.

2 . The type of personal data that is the object of the processing

2.1 . The operator of personal data CAR-BOY KIDLAND SRL performs the processing of personal data only on the territory of Romania and no data transfers are made to other states.

In the execution of the Individual Labor Contracts the operator collects the following documents of the employees stipulated in the labor legislation the incident: Copy Identity Card, Copy Documents justifying the studies of the employee, Certificate from the family doctor confirming that the employee is capable of work, bank documents of the employee .

If the employee shows that he or she is in the care of other persons, he / she will also present copies of the identity documents of the respective persons.

In order to conclude an Individual Employment Contract, personal data of the potential employees are collected through the CVs made available to the operator.

During the course of working relations the employee will also present a Medical Leave Certificate to the extent that such a situation is incident.

The personal data thus collected and subsequently processed in order to conclude and execute an Individual Employment Contract are: Name, first name, address, Personal numeric code, place and date of birth, series and number of Identity Card, telephone number, status data. health, data on the family situation, the bank account of the employee in order to transfer the salary.

Of the personal data processed some belong to special categories of personal data within the meaning of art.9 of the GDPR such as biometric data for the unique identification of the person and which are collected by means of the Copy by the Identity Card or by the Act justifying the studies and which are required for the conclusion of the employment contract. Also from the special categories are the data regarding the health status collected through the doctor’s certificates and the Certificates of medical leave.

The processing of the data mentioned in art.9 of the GDPR is authorized by the internal legislation providing adequate guarantees for the respect of the fundamental rights and interests of the employees.

3 . Purpose and basis of processing

The personal data of the employees are processed in order to conclude and execute an Individual Employment Contract to which the data subject is a party or to make requests at the request of the data subject before the conclusion of an Individual Employment Contract.

From this perspective the basis of the processing of the personal data of the employees represents:

the necessity of executing the individual employment contract (art.6 paragraph 1 letter b of the GDPR),
the necessity of fulfilling a legal obligation incumbent on the operator (art.6 paragraph 1 letter c of the GDPR)

Regarding the personal data collected in view of possible employers but which has not taken place the basis of processing through storage is represented by the consent of the data subject (art.6 paragraph 1 letter a of the GDPR).

The personal data of the operator’s employees are processed only for the defined purposes and any subsequent modification of the purpose is possible only to a limited extent and requires a solid foundation.

4 . Need for processing

In accordance with the purposes and grounds for processing the personal data of the employees of the operator, the need for such processing is based on the one hand the conclusion of the individual employment contract, the development of the employment report and their termination in accordance with the incident legislation as well as to be able to respond to requests. to the competent authorities in the case of controls or investigations and as regards the personal data collected in view of possible employers, they are processed in the process of selecting the future employees of the operator.

In the case of persons who are not selected through the recruitment process to occupy a position within the operator, the personal data processed during this process are subsequently stored only on the basis of an express consent from the person concerned and in order to participate in the future to other recruitment processes carried out by the operator. The persons who have given their consent for a possible future participation in an operator recruitment process can be contacted for this purpose only on the basis of the personal information they have provided to the operator. Any restrictions requested by the data subjects will be strictly observed.

5 . Categories of persons concerned in the activity of processing personal data

It collects personal data belonging to the employees of the operator by entering into an individual contract of work with the operator and the personal data of the persons participating in a recruitment process organized by the operator.

6. Persons processing personal data

The two responsible persons within the operator’s company will collect, record, store, modify, consult, use, restrict, delete or destroy personal data.

The personal data collected on the occasion of the conclusion of the individual employment contracts will be transmitted to the person empowered to the extent necessary to fulfill his specific duties.

7. The categories of recipients to whom the personal data processed are disclosed

The personal data processed under the conditions presented shall be disclosed only to the persons empowered to fulfill the legal obligations, to other authorities and public institutions in order to fulfill some incidental legal obligations as well as to the public authorities upon their express request.

8. Transfer of personal data collected to third countries or international organizations

The personal data processed under the conditions presented are not subject to transfer to third countries or international organizations.

9. Deadlines for storing / storing personal data processed

In the conditions in which according to the Order no.2634 / 2015 of the Ministry of Public Finance regarding the accounting financial documents the term of keeping the state of wages is 50 years, during this period the personal data of the employees processed for the purpose of concluding and running the reports will be kept. for work.

The archiving of these documents is done both on paper and in electronic format. To the extent that personal data are stored on paper as a result of archiving the documents that contain them, personal data stored on computer media will be erased as soon as there is no legitimate reason or interest for storage.

The retention of personal data in the context of recruitment shall be kept by the responsible person within the rule operator until the end of the recruitment process if the participating persons are not employed, unless another storage period has been specified in a justified manner. However, with the express consent of the data subject his personal data may be stored in the operator’s database for the following recruitment processes for a reasonable duration and expressly agreed by the person concerned and which will not exceed 3 years.

The responsible person within the operator will periodically check the stored personal data and ensure the deletion of those for which the storage period has expired or for which the purpose of the processing no longer exists.

Prior to the expiration of the processing time, personal data may be deleted at the request of the data subject insofar as such request is compatible with the purpose of the processing and with the incidental legal norms.

10. Technical and organizational security measures

Personal data are collected on paper as well as on computer media.

The personal data stored on paper is stored for the duration provided by law in a storage place specially arranged with restricted access only in favor of the person designated for this purpose.

The personal data is also collected on computer support by the designated person, who has a user and password of his own access; passwords change every 3 months. Passwords are strings of security-appropriate characters in length and composition. When entering passwords, they are not displayed clearly on the monitor. Access to the record system is automatically denied after 3 incorrect entries of the password or username.

Any person who receives a username and password is obliged to keep their confidentiality and to answer in this regard in front of the operator.

The authorized personnel will keep the confidentiality of the personal data that are processed during the operator’s activity.

The personal data are transmitted to the authorized person who performs the processing operations established by agreement with the operator.

The personal data stored on the server is encrypted. The printing of personal data will be performed only by users authorized for this operation by the operator.

In the event of a physical or technical incident, the operator will take all necessary measures to restore the data availability and access to them in a timely manner.

In order to maintain the security of the processing of personal data (especially against computer viruses), the operator will take measures that will include, among other things, the prohibition of the use by authorized persons of software programs that come from external or dubious sources and the implementation of automatic devirus and security systems. of information systems.

Every 6 months the operator will take measures to test the technical and organizational effectiveness of the storage system to verify the effectiveness of the security measures.

The authorized persons are trained to implement the procedure for the protection of personal data and the free movement of these data, to the minimum security requirements of the processing of personal data as well as to the risks involved in the processing of personal data.

Authorized personnel performing personal data processing operations are required to close the work session when they leave the workplace.

Also, the operator will continuously improve its security policies and internal procedures, so as to provide sufficient guarantees against GDPR violations and national legislation regarding the protection of personal data.

I.2. Concrete procedures for the processing of personal data

1 . Collection and registration procedure

Personal data is collected on the occasion of recruitment and after the conclusion of the individual employment contract.

The processing activities by collection consist in: receiving and evaluating the CVs, initiating the employment procedures, drawing up the individual employment contract, setting up and analyzing the personnel file.

The data thus collected are recorded in the records of the operator by the persons authorized for this purpose. The collection procedure is performed by the authorized persons within the operator.

2 . Processing procedures after collection and registration

Subsequent to the collection of personal data as a result of their employment, they are used to fulfill the legal obligations imposed by labor or fiscal legislation.

In this sense, the authorized person transmits the personal data of the employees to Revisal (based on a username and password) and to ANAF.

Also in fulfilling some legal obligations personal data of employees can be transmitted to the Health Insurance House.

At the request of the data subjects the authorized persons of the operator will be able to issue them certificates that attest the seniority in the work as well as certificates that will be used in relation with the credit institutions.

Other activities of processing the personal data of the employees can be: the introduction of personal data in an internal processing system of the operator, the processing of medical leave, the taking of periodic medical analyzes, the issuing of payment states, the drawing up of punctures, the carrying out of periodic evaluations, the centralization of the results. disciplinary research, processing of holidays, introduction of the file in the archive.

All the procedures subsequent to the collection are performed by the authorized person and by the authorized persons from the operator.

The personal data of the employees are also transmitted to the empowered person who provides legal assistance services in order to perform various legal procedures regarding the employees.

The personal data of the employees are also transmitted to the excusing bodies or the judicial executors, the obligation in this sense being imposed on the operator by the incident legislation

3 . Procedures for deletion / destruction of personal data

After the period of storage regulated by the incidental legal provisions expires, the personal data of the employees are deleted in the conditions that will ensure their confidentiality.

Thus, personal data stored on paper is destroyed as a result of the destruction of the document that is contained by a chopping procedure using a specific device.

Personal data stored on computer media are deleted from the storage media through programs and procedures that do not jeopardize their security.

The personal data will also be deleted at the request of the data subjects insofar as the retention of the respective data is not imposed by a legitimate interest of the operator or by a legal provision in this regard.

4 . Intervention measures / recovery of personal data in case of physical or technical incidents

In the event of a security breach, the operator will take measures to limit the damage and to repair the damage caused.

The operator will recover the personal data that has been leaked as soon as possible by using the data back-up procedure and will analyze the reasons that determined the incident in order to take the necessary security measures to prevent such breaches. security for the future.

I.3. Rights of data subjects

1 . The way in which the data subjects are informed about the rights they have regarding the personal data provided to the operator / authorized person

The employees of the operator are made known the rights relative to the personal data that are requested through employment contracts or through additional documents to the employment contracts.

In order to exercise the rights provided for in point 2, the data subject may address the operator a written, dated and signed request. Any request will be resolved within 30 days. Also, the data subject has the right to address the supervisory authority and the courts regarding the violation of his rights.

In case, the breach of the security of personal data is likely to generate a high risk for the rights and freedoms of the data subject, it will be informed without undue delay about this breach.

Employees have a legal right of access to the personal data that they own and that the operator owns. It could specifically target personal data related to possible complaints and disciplinary issues, as well as data obtained through their monitoring.

The operator will allow access to personal data at the request of an employee but has the possibility to limit this right with respect to some personal data, in the sense of not being subject to the right of access, if this would make it difficult to discover the commission of an offense or another facts of a similar nature.

When allowing an employee access to the personal file, the operator will consider that the personal data of the other employees will not be affected in any way.

2 . Rights of data subjects

The rights that are made known to the data subjects consist of:

2.1. The right of access of the data subject (art.15 of the GDPR) .

The data subject has the right to obtain from the operator a confirmation that they process or not personal data concerning him and, if so, access to the respective data and the following information:

(a) the purposes of processing;

(b) the categories of personal data concerned;

(c) the recipients or categories of recipients to whom the personal data have been or are to be disclosed;

(d) the period for which it is expected that personal data will be stored or, if this is not possible, the criteria used to establish this period;

(e) the right to request the operator to rectify or delete the personal data or to restrict the processing of personal data relating to the data subject or the right to oppose the processing;

(f) the right to lodge a complaint with a supervisory authority.

At the request of the data subject the operator provides a copy of the personal data that are the object of the processing. For any other copies requested by the data subject, the operator may charge a reasonable fee, based on administrative costs. In case the data subject submits the application in electronic format and unless the data subject requests another format, the information is provided in an electronic format currently used.

2.2. The right of rectification regarding the personal data of the data subject (art. 16 of the GDPR)

The data subject has the right to obtain from the operator, without undue delay, the rectification of inaccurate personal data concerning him. Considering the purposes for which the data were processed, the data subject has the right to obtain the completion of personal data that are incomplete, including by providing a supplementary statement.

2.3. The right to delete the personal data of the data subject (art. 17 of the GDPR)

The data subject has the right to obtain from the operator the deletion of the personal data concerning him, without unjustified delays, and the operator has the obligation to delete the personal data without unjustified delays in case one of the following reasons applies:

(a) personal data are no longer required for the purposes for which they were collected or processed;

(b) the data subject withdraws his consent on the basis of which the processing takes place,

and there is no other legal basis for processing;

(c) the data subject opposes the processing and there are no legitimate reasons to prevail regarding the processing;

(d) personal data have been processed illegally;

(e) personal data must be deleted in order to comply with a legal obligation incumbent upon the operator under Union or domestic law under the incidence of which the operator is.

In case the operator has released the personal data or has transmitted it to other operators and is obliged, in accordance with paragraph (1), to delete them, the operator, taking into account the available technology and the cost of implementation, takes reasonable measures , including technical measures, to inform the operators that process the personal data that the data subject requested the removal by these operators of any links to the respective data or of any copies or reproductions of these personal data.

Also, the operator is obliged to communicate to each person to whom personal data have been disclosed any rectification or deletion of data, or restriction of processing, unless this proves impossible or involves disproportionate efforts. The operator informs the data subject about the respective recipients if he so requests.

The rights of the data subject mentioned in the previous paragraphs do not exist to the extent that the processing is necessary:

(a) for the exercise of the right to free expression and information;

(b) for compliance with a legal obligation which provides for processing under Union or national law applicable to the operator or for the performance of a task performed in the public interest or in the exercise of an official authority with which the operator is invested;

(c) for reasons of public interest in the field of public health

(d) for finding, exercising or defending a right in court.

2.4. The right to restrict the processing of personal data of the data subject (art. 18 GDPR)

The data subject has the right to obtain from the operator the restriction of the processing if:

(a) the data subject contests the accuracy of the data, for a period that allows the operator to verify the accuracy of the data;

(b) the processing is illegal and the data subject opposes the deletion of the personal data, requesting instead the restriction of their use;

c) the operator no longer needs the personal data for the purpose of processing, but the data subject requests them for finding, exercising or defending a right in court;

(d) the data subject objected to the processing for the time interval in which it is verified that the legitimate rights of the operator prevail over those of the data subject.

If the processing has been restricted under the preceding paragraph, such personal data may, except for storage, be processed only with the consent of the data subject or for the finding, exercise or defense of a right in the court or for the protection of the rights of another natural or legal persons or for reasons of public interest of the Union or of a Member State.

A data subject who has obtained the processing restriction is informed by the operator before lifting the processing restriction.

2.5. The right of portability of the personal data of the data subject (art. 20 of the GDPR)

The data subject has the right to receive the personal data concerning him and provided to the operator in a structured format, currently used and which can be read automatically. Also, the data subject has the right to request the operator to transmit this data to another operator without obstacles.

2.6. Right of opposition of the data subject (art. 21 GDPR)

At any time, the data subject has the right to oppose, for reasons related to the particular situation in which the processing of personal data is. In this case, the operator no longer processes the personal data, unless the operator demonstrates that he has legitimate and compelling reasons that justify the processing and that prevails over the interests, rights and freedoms of the data subject or that the purpose is to find, exercise or defend a right in court.

2.7. The right of the data subject not to be subject to an individual automated process, including the creation of profiles (art.22 of the GDPR)

The data subject has the right not to be the subject of a decision based solely on the automatic processing, including the creation of profiles, which produces legal effects that concern the data subject or affect him in a similar way to a significant extent.

The preceding paragraph does not apply in the situation where the decision based exclusively on the automatic processing is necessary for the conclusion or execution of a contract between the data subject and the operator, if the decision is authorized by Union law or the internal law that applies to the operator and which provides appropriate measures for the protection the rights of the data subject or is based on the explicit consent of the data subject.

I.4 Violation of the security of personal data

In the event of a breach of personal data security, the operator shall notify the National Supervisory Authority for Personal Data Processing (ANSPDCP), without undue delay and if possible within 72 hours from the date to which he became aware, unless the rights and freedoms of natural persons are endangered.

If the notification does not take place within 72 hours, this is accompanied by a reasoned explanation from the operator. The person empowered by the operator notifies the operator without undue delay after being informed of a breach of the security of personal data.

The notification addressed to ANSPDCP will contain:

(a) Description of the character of the breach of the security of personal data, including, where possible, the categories and the approximate number of data subjects concerned, as well as the categories and the approximate number of data records of personal data in question.

(b) The name and contact details of the data protection officer or other contact point from which more information can be obtained.

(d) The measures taken or proposed to be taken by the operator to remedy the problem of breach of the security of personal data, including, as the case may be, the measures to mitigate its possible negative effects.

When and to the extent that it is not possible to provide the information at the same time, they may be provided in several stages, without undue delay.

The operator keeps documents regarding all the cases of breach of the security of personal data, which includes a description of the factual situation in which the breach of the security of the personal data, its effects and the remedial measures taken took place.

In case the breach of the security of personal data is likely to generate a high risk for the rights and freedoms of the natural persons, the operator informs the data subject without undue delay about this violation.

However, information is not required if one of the following conditions is met:

(a) The operator has implemented appropriate technical and organizational measures, and these measures have been applied in the case of personal data affected by the breach of security of personal data, in particular measures to ensure that personal data becomes unintelligible to any person who it is not allowed to access them, such as encryption.

(b) The operator has taken further measures to ensure that the high risk for the rights and freedoms of the data subjects is no longer likely to materialize.

(c) If it would require a disproportionate effort. In this situation, a public information is made instead or a similar measure is taken by which the data subjects are informed in an equally effective way.

PART II – PROCEDURES CONCERNING THE PROCESSING OF PERSONAL DATA THROUGH THE OPERATOR’S ONLINE STORE

II.1. Aspects regarding the record of personal data

1 . Introduction

The operator of personal data CAR-BOY KIDLAND SRL carries out commercial activities through an online store.

In carrying out its activity, the operator offers for sale online safety products, warning and delimitation and various other specific safety products.

2 . The type of personal data that is the object of the processing

The operator of personal data CAR-BOY KIDLAND SRL performs the processing of personal data only on the territory of Romania and no data transfers are made to other states.

In order to carry out the operations of online sales of the products, of the creation of the account, for marketing services, for the chat service, the operator collects from the client (data persons) the following personal data: first and last name, home address (only in case which the data subject purchases a product), phone number, email address.

At the same time, the operator collects personal data through the contact form which is available on the operator’s online page and the return form produced.

The operator collects personal data regarding the card of the data subject as a comparator. Payment by card is made through Netopia, an operator that has implemented and complies with GDPR policies, thus ensuring a degree of Security and confidentiality with respect to the personal data of the data subjects.

It also collects personal data through the cookie service that processes data related to the location and traffic performed on the site of the clients, therefore the operator also collects data regarding the online activity of the data subject.

The operator CAR-BOY KIDLAND SRL does not process personal data included in the special categories (art.9 of the GDPR) and which reveals the racial or ethnic origin, political opinions, religious confession, philosophical beliefs or belonging to trade unions, genetic data, data. biometrics for the unique identification of the person, data on, sexual life or sexual orientation of a natural person.

The operator does not collect the personal numeric code from the data subjects.

3 . Purpose and basis of processing

The personal data of the data subjects are processed for the purpose of selling the operator’s products to various interested persons who access the operator’s online store.

Personal data are processed for marketing purposes and for the purpose of requesting information from authorized persons within the operator through the chat service or the contact form.

3.1. The processing of personal data by the operator is necessary for the purpose of selling the products requested by the data subjects.

the person’s consent for the processing of personal data (art. 6 paragraph 1 letter a of the GDPR) for this specified purpose

and also

the need to execute the sale contract (art.6 paragraph 1 letter b of the GDPR)

3.2. The processing of personal data carried out by the operator in order to carry out the marketing operations, the chat services, the contact form and the cookies:

In these conditions, the basis of the processing of personal data constitutes it;

the person’s consent for the processing of personal data (art. 6 paragraph 1 letter a of the GDPR) for this specified purpose

and also

the processing is necessary for the purpose of the legitimate interests pursued by the operator (art.6 paragraph 1, letter f of the GDPR).

3.3. The operator assures the data subject that the personal data that belong to them and that have been collected will be processed only for the mentioned purposes and will inform the data subject about his rights.

4 . Need for processing

In accordance with the purposes and the grounds for the processing of personal data of the data subjects, the need for such processing is based on the one hand the possibility of the data subjects to purchase products included in the online store of the operator. To submit the order, the operator requires the address of the data subject to request the address of the person to send the order. An eventual refusal by the data subject would determine the impossibility of delivering the requested products.

Regarding the processing of personal data in order to create an account within the online store, the operator offers the data subject the possibility of creating an account or not, in this sense being conditioned by the possibility of purchasing products from the online environment of the operator.

Also, if the data subject expresses his agreement, the data are necessary also for the possibility of informing the data subjects about the existence of the various promotions and discounts offered by the operator.

If the data subject requests information from the operator, they could be received only if the data subject expresses his agreement in this regard.

The use of cookies is extremely useful especially on websites where real-time user data is critical. Without using them in the online store, a potential customer could not buy anything. The store would not be able to identify it and assign a shopping cart to it without them because, every time it loaded a new page, the store would look at it as a new user and create a new basket.

5 . Categories of persons concerned in the activity of processing personal data

We collect personal data belonging to the customers of the online store, who express their consent, in order to process personal data or to which the situations provided in art. 6 paragraph 1 bed b, f of the GDPR.

6. Persons processing personal data

6.1. The collection and registration of the personal data of the data subjects is done through the authorized persons within the operator.

6.2. The activities of storage, modification, extraction, consultation, use, restriction, disclosure, deletion or destruction are performed by the operator through the authorized persons based on a password, assigned to each person in compliance with the confidentiality obligations imposed by the GDPR.

6.3. The personal data of the data subjects are transmitted for the purpose of completing the sales operations to the authorized person who will deliver the product purchased by the data subject under conditions of security and confidentiality.

7. The categories of recipients to whom the personal data processed are disclosed

The personal data processed under the conditions presented shall be disclosed only at the request of the public authorities or the persons empowered to fulfill the legal obligations.

8. Transfer of personal data collected to third countries or international organizations

The personal data processed under the conditions presented are not subject to transfer to third countries or international organizations.

9. Deadlines for storing / storing personal data processed

The data subjects who have created an account have the possibility to delete it whenever they want. Therefore, the duration of the account’s existence and the personal data that comprise it depends on the request of the data subject.

Regarding the marketing services, the personal data for these services are stored until the data subject will unsubscribe from the offers received from the operator. The operator offering this possibility to the data subject within each transmitted email or SMS.

The personal data from the contact form used by the data subject are transmitted directly to the email address of the operator, therefore, they will not be stored in the computer in separate folders, the emails will be deleted annually.

Also, personal data from chat services as they are not stored on the computer, they are deleted annually.

The cookie service is deleted every 26 months.

The authorized person will periodically check the stored personal data and ensure the deletion of those for which the storage period has expired or for which the purpose of the processing no longer exists.

Prior to the expiration of the processing time, personal data may be deleted at the request of the data subject.

10. Technical and organizational security measures

The personal data are collected especially on computer media, on paper support data will be processed in order to prepare invoices.

The personal data stored on paper is stored for the duration provided by law in a special storage place arranged with restricted access only in favor of the person designated for this purpose by the operator based on the key.

The personal data are collected and kept on computer support by the operator and the person empowered by authorized persons for this purpose.

Passwords change every 3 months. Passwords are strings of security-appropriate characters in length and composition. When entering passwords, they are not displayed clearly on the monitor. Access to the record system is automatically denied after 3 incorrect entries of the password or username.

Any person who receives a username and password is obliged to keep their confidentiality and to answer in this regard in front of the operator.

Later the personal data is stored on a web server with restricted access, which is encrypted and cannot be accessed. The operator has a contract for the server that it uses, which is not in the possession of the operator.

At the same time, the Windows program used by the operator as well as the antivirus programs are licensed.

The personal data stored on the server is encrypted. The printing of personal data will be performed only by users authorized for this operation by the operator.

In the event of a physical or technical incident, the operator will take all necessary measures to restore the data availability and access to them in a timely manner.

In order to maintain the security of the processing of personal data (especially against computer viruses), the operator will take measures that will include, among other things, the prohibition of the use by the authorized persons provided of the software programs that come from external or dubious sources and the implementation of automatic systems of devirus and of security of information systems.

Once every 6 months, the operator will take measures to test the technical and organizational effectiveness of the storage system to verify the effectiveness of the security measures.

The authorized persons are trained to implement the procedure for the protection of personal data and subsequently, periodically, whenever their modifications and improvements occur.

Also as a security measure for the data collected through the online store, the operator holds a Security certificate for the domain (SSL certificate).

Also, the operator will continuously improve its security policies and internal procedures, so as to provide sufficient guarantees against GDPR violations.

II.2. Concrete procedures for the processing of personal data

1 . Collection and registration procedure

The online store will have a customer account where the personal data will be requested. These personal data are collected on the part of online stores in order to send the product. The data will remain in the account of the data subject until it is deleted (it will delete the account). The data subjects have access to the personal data that belong to them, they can delete, modify or download them.

The payment of the purchased products will be made with the card and reimbursement, therefore data related to the bank card of the data subject will be collected.

When accessing the online store, the data subject has the possibility to become aware of the provisions regarding the application of the GDPR (the name and contact details of the operator, his rights, the procedure in which he can exercise them, the term in which he will receive a response from the party to the operator, the purpose for which their personal data is collected, which happens in the case of a Security breach). The data subject will have to consider granting or not the distinct consent for: the use of cookies, making an account, promotional and marketing offers, accessing the contact form, accessing the chat services. The data subject can in this way grant his distinct consent for the processing carried out for different purposes.

The data subject is not conditioned by the creation of an account in order to place an online order, he can purchase any product from the operator’s online store without having to create an account.

The personal data of the clients are collected only by persons authorized by the operator who are trained in relation to the obligations incumbent on them based on the GDPR and which are provided in the job description of each.

The passwords of the authorized persons change automatically every 3 months.

If one of the authorized persons within the operator ceases its activity within the operator’s company, the ids and passwords to which it has had access will be changed.

If the data subject has given his agreement regarding the drawing up of the account and the receipt of the different promotional offers that will be performed in the operator’s activity, the operator will not send this promotional offer.

At the same time, the data subject, even if he / she has agreed to receive the promotional offers, has the possibility to unsubscribe on the occasion of each email or SMS received in this regard.

Cookies are used by Google analytics to see the location and traffic on the website by the data subject.

2 . Processing procedures after collection and registration

The data subject who has purchased a certain product will not have to send the operator and the CNP in order to prepare the invoice, but will send the address to which the product wants to be delivered. In order to deliver the product, the operator contacts the authorized person who has confidentiality and security obligations regarding the personal data with which he comes into contact.

After the delivery of the product the data subject can request his return by completing the return form existing on the platform of the online store, in which he will complete his personal data (name, first name, telephone, address, order number / invoice).

3 . Procedures for deletion / destruction of personal data

After the period of retention (according to the law) of the documents containing personal data expires, they are destroyed by means of a chopping device.

The data stored on computer media are deleted by deleting the account by the data subject, by deleting the emails between the operator and the data subject. At the same time, the email addresses and phone numbers of the data subjects will be deleted at their request by unsubscribing.

4 . Intervention measures / recovery of personal data in case of physical or technical incidents

In the event of a security breach, the operator will take measures to limit the damage and to repair the damage caused.

The operator will recover the personal data that has been leaked as soon as possible by using the data back-up procedure and will analyze the reasons that determined the incident to take the necessary security measures to prevent such breaches. security for the future.

The data back-up procedure is performed weekly automatically.

II.3.The rights of the data subjects

1 . The way in which the data subjects are informed about the rights they have regarding the personal data provided to the operator / authorized person

The data subjects are informed about the rights related to the processing of personal data when they access the page of the online store, by opening a window in this regard.

Employees’ rights regarding personal data are provided in CAP I point 2 of this Regulation.

I.4 Violation of the security of personal data

In the event of a breach of personal data security, the operator shall notify the National Supervisory Authority for Personal Data Processing (ANSPDCP), without undue delay, and if possible within 72 hours from the date on which it became aware, unless the rights and freedoms of natural persons are endangered.

All the provisions set out in Article I.4 of Part I of this Regulation are still applicable.

PART III – PROCEDURES CONCERNING THE PROCESSING OF PERSONAL DATA AS A FOLLOW-UP OF THE OPERATOR’S CURRENT ACTIVITY

III.1. Aspects regarding the record of personal data

1 . Introduction

In the economic relations carried out by the operator, personal data can be processed if necessary to initiate, perform and terminate a legal report to which the operator is a party. When initiating legal relationships with other companies, the operator may come into contact with different types of personal data of the representatives or employees of the respective companies.

2 . The type of personal data that is the object of the processing

In carrying out the legal reports to which it is a party, the operator may collect personal data from the following types of documents: contracts, tax invoices, receipts, notices accompanying the goods, CMR transport letters. The enumeration of the above documents is for example and may be supplemented with any other personal data entered in the documents required for the legal relations to which the operator is a party.

The personal data thus collected and subsequently processed for the purpose of concluding and executing a legal report may be: First name, first name, address, Personal numeric code, place and date of birth, serial and identity card number, telephone number and email address.

Of the personal data processed some belong to special categories of personal data within the meaning of art. 9 of the GDPR such as the biometric data for the unique identification of the person and which are collected through the Copy of the Identity Card and which are necessary in order to carry out some legal reports to which the operator is a party.

The processing of the data from the categories mentioned in art.9 of the GDPR is authorized by the internal legislation, providing adequate guarantees for respecting the fundamental rights and interests of the data subjects who participate in the interest of a commercial company when developing legal relationships with the operator.

3 . Purpose and basis of processing

The personal data of the data subjects are processed in order to conclude and execute the legal relationships concluded between the operator and another legal entity in the interest of the data subject.

From this perspective the basis of the processing of the personal data of the employees represents:

the necessity of executing some legal reports to which the operator is a party (art.6 paragraph 1 letter b of the GDPR), and
the necessity of fulfilling a legal obligation incumbent on the operator (art.6 paragraph 1 letter c of the GDPR)

The personal data of the data subjects are processed only for the defined purposes and any subsequent modification of the purpose is only possible to a limited extent and requires a solid foundation.

4 . Need for processing

In accordance with the purposes and the grounds for the processing of the personal data of the data subjects, the need for such processing is based on the one hand the conclusion, development and termination of the legal reports to which the operator is a party in accordance with the incident legislation as well as to be able to respond to the requests of the authorities. competent in the case of controls or investigations.

Any request for a restriction on the processing of personal data from the data subjects will be analyzed strictly and will be given insofar as it does not contravene the basis underlying the processing.

The personal data processed for the aforementioned purposes are adequate, relevant and limited to what is necessary in relation to these purposes, thus respecting the requirement of art.5 paragraph 1 letter c of the GDPR. In this respect, the operator, in his capacity as a contracting party, will request and process only the strictly necessary personal data of the data subjects for the development of the contractual relations in the best conditions.

In carrying out the contractual relations, it will be pursued that both the personal data collected and the disclosed ones will be strictly limited to what is necessary for the development of the respective reports.

5 . Categories of persons concerned in the activity of processing personal data

It collects personal data belonging to employees and other persons acting in the interest of a legal entity with which the operator concludes and develops a contractual relationship.

6. Persons processing personal data

The responsible persons within the operator’s company will collect, record, store, modify, consult, use, restrict, delete or destroy personal data.

The personal data collected on the occasion of the conclusion and development of contractual reports of the operator may circulate between different authorized persons of the operator to the extent necessary to fulfill the specific duties of each such person. The processing by use of the personal data thus communicated is carried out by authorized persons with clear responsibilities regarding the protection of this type of data.

7. The categories of recipients to whom the personal data processed are disclosed

The personal data processed under the conditions presented are only disclosed to the persons empowered for the fulfillment of the legal obligations, in this respect ensuring that the persons empowered are the subject of confidentiality obligations. At the same time, these personal data may also be disclosed to other public authorities and institutions in order to fulfill certain legal obligations as well as to the public authorities upon their express request.

8. Transfer of personal data collected to third countries or international organizations

The personal data processed under the conditions presented are not subject to transfer to third countries or international organizations.

9. Deadlines for storing / storing personal data processed

According to the norms in force, the archiving of the documents necessary for the development of the contractual reports of the operator is made for a variable duration depending on the nature and the legal regime of the document in which the personal data of the data subjects are inserted.

At the same time, some documents containing personal data will be kept only for the duration necessary to carry out the legal relationship between the operator and another entity, the term of storage thus being limited only to the period strictly necessary for the optimal conditions of the contractual relations of the operator.

For example, accounting records and supporting documents are kept for a period of 10 years.

The archiving of these documents is done both on paper and in electronic format.

The responsible person will periodically check the stored personal data and ensure the deletion of those for which the storage period has expired or for which the purpose of the processing no longer exists.

Prior to the expiration of the processing time, personal data may be deleted at the request of the data subject insofar as such request is compatible with the purpose and basis of the processing.

10. Technical and organizational security measures

Personal data are collected on paper as well as on computer media.

The personal data stored on paper is stored for the duration provided by law in a storage place specially arranged with restricted access only in favor of the person designated for this purpose.

The operator will apply the Security measures provided in the previous chapters.

III.2. Concrete procedures for the processing of personal data

1 . Collection and registration procedure

The personal data is collected on the occasion of the conclusion, development and termination of the contractual relations of the operator with another legal entity.

The data thus collected are recorded in the records of the operator by the persons authorized for this purpose.

2 . Processing procedures after collection and registration

After the collection of personal data, they are used to fulfill the legal obligations imposed by the legislation in force or in the legitimate interest of the operator.

The personal data collected are processed in a way that implies a minimum interaction with them, being aimed at the least possible use of them and strictly limited to what is necessary in relation to the purpose of the processing (eg the personal data of the person who has an invoice that reaches the operator will not be used, the processing being limited to their storage along with the document that contains them).

3 . Procedures for deletion / destruction of personal data

After the expiration of the period of storage regulated by the incidental legal provisions, the personal data of the data subjects are deleted in the conditions that will ensure their confidentiality.

Thus, the personal data stored on paper is destroyed as a result of the destruction of the document that contains them through a chopping procedure.

Personal data stored on computer media are deleted from the storage media through programs and procedures that do not jeopardize their security.

4 . Intervention measures / recovery of personal data in case of physical or technical incidents

In the event of a security breach, the operator will take measures to limit the damages and to repair the damage caused as provided in the previous chapters.

III.3.The rights of the data subjects

In order to exercise the rights of access, rectification, restriction, portability, opposition and not to be the object of an individual automated process, including the creation of profiles, as provided for and explained in part I art.I.3, the data subject can address the operator a written request, dated and signed. Any request will be resolved within 30 days. Also, the data subject has the right to address the supervisory authority and the courts regarding the violation of his rights.

In case, the breach of the security of personal data is likely to generate a high risk for the rights and freedoms of the data subject, it will be informed without undue delay about this breach.

III.4 Violation of the security of personal data

All the provisions set out in Article I.4 of Part I of this Regulation are still applicable.

OPERATOR

CAR-BOY KIDLAND SRL

Termeni si conditii – LB. ROMÂNĂ

PROCEDURI PRIVIND DEZVOLTAREA ACTIVITĂȚILOR DE PROCESARE A DATELOR PERSONALE

Considerații introductive privind prelucrarea datelor cu caracter personal prin prisma Regulamentului nr. 679/2016 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și abrogarea Directivei 95/46 / CE – denumită în continuare GDPR

CAR-BOY KIDLAND SRL cunoaște importanța prelucrării datelor cu caracter personal și se angajează să protejeze confidențialitatea și securitatea acestora prin respectarea GDPR.

Conform cerințelor GDPR privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal și cu privire la libera circulație a datelor acestora, CAR-BOY KIDLAND SRL gestionează, în condiții de siguranță și numai pentru

scopuri specificate, datele personale pe care le prelucrează în contextul dezvoltării obiectului de activitate.

Prezenta procedură se aplică procesării datelor cu caracter personal efectuate integral sau parțial prin mijloace automatizate, precum și procesării efectuate prin alte mijloace decât cele automatizate ale datelor cu caracter personal care fac parte dintr-un sistem de înregistrare a datelor sau care sunt destinate să facă parte dintr-un sistem de înregistrare a datelor.

În sensul acestei proceduri, sunt definiți următorii termeni:

„Date cu caracter personal” înseamnă orice informație cu privire la o persoană fizică identificată sau identificabilă („subiect de date”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date despre locație, un identificator online sau la unul sau mai multe elemente specifice, propria identitate fizică, fiziologică, genetică, psihologică, economică, culturală sau socială;
„Prelucrare” înseamnă orice operațiune sau ansamblu de operațiuni efectuate pe date cu caracter personal sau pe seturi de date cu caracter personal, cu sau fără utilizarea mijloacelor automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea divulgarea prin transmitere, difuzare sau punere la dispoziție în orice alt mod, aliniere sau combinație, restricție, ștergere sau distrugere;
„Sistem de înregistrare a datelor” înseamnă orice ansamblu structurat de date cu caracter personal accesibil după criterii specifice, indiferent dacă sunt centralizate, descentralizate sau distribuite după criterii funcționale sau geografice;
„Operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singură sau împreună cu alte persoane, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele de prelucrare sunt stabilite de dreptul Uniunii sau de dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;
„Persoană împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care prelucrează datele cu caracter personal în numele operatorului;
„Destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism căruia (către cine) sunt dezvăluite datele cu caracter personal, indiferent dacă este sau nu o terță parte. Cu toate acestea, autoritățile publice cărora le pot fi comunicate datele cu caracter personal într-o anumită investigație în conformitate cu dreptul Uniunii sau cu dreptul național nu sunt considerate destinatare; prelucrarea acestor date de către autoritățile publice respective respectă normele de protecție a datelor aplicabile, în conformitate cu scopurile prelucrării;
„Terță parte” înseamnă o persoană fizică sau juridică, o autoritate publică, o agenție sau un alt organism decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub autoritatea directă a operatorului sau a persoanei împuternicite de către operator, sunt autorizați să prelucreze date cu caracter personal;
„Consimțământ” al persoanei vizate înseamnă orice manifestare a voinței libere, specifice, informate și fără ambiguitate a persoanei vizate prin care acesta acceptă, printr-o declarație sau o acțiune fără echivoc, că datele personale care îl privesc trebuie prelucrate;
„Încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce la distrugerea, pierderea, modificarea sau dezvăluirea accidentală sau ilegală a datelor cu caracter personal transmise, stocate sau prelucrate altfel sau acces neautorizat la acestea;

10. „autoritate de supraveghere în cauză” înseamnă o autoritate de supraveghere care este preocupată de procesul de prelucrare a datelor cu caracter personal, deoarece:

(a) operatorul sau persoana împuternicită de operator este stabilită pe teritoriul statului membru al autorității de supraveghere respective;

(b) persoanele vizate care au reședința în statul membru în care se află autoritatea de supraveghere respectivă sunt afectate în mod semnificativ sau pot fi afectate în mod semnificativ de prelucrare; sau

(c) a fost depusă o plângere la autoritatea de supraveghere respectivă;

PARTEA I – PROCEDURI PRIVIND PRELUCRAREA DATELOR PERSONALE ALE ANGAJATORILOR OPERATORULUI

I.1. Aspecte privind înregistrarea datelor cu caracter personal ale angajaților

1 . Introducere

CAR-BOY KIDLAND SRL este o companie specializată în activități de tranzacționare cu obiectul principal de activitate 4649 de la CAEN. În relațiile de muncă, datele personale pot fi prelucrate, dacă este necesar, pentru a iniția, executa și înceta un contract individual de muncă. La inițierea unei relații de lucru, datele personale ale solicitanților pot fi procesate.

Prezentele proceduri sunt menite să asigure desfășurarea activității de prelucrare a datelor cu caracter personal de către operatorul CAR-BOY KIDLAND SRL în conformitate cu Regulamentul nr. 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și abrogarea Directivei 95/46 / CE (denumită în continuare GDPR)

Prezentele proceduri au rolul de a organiza activitatea de prelucrare a datelor cu caracter personal desfășurate de operator în conformitate cu principiile de prelucrare stabilite de GDPR la articolul 5.

2 . Tipul de date cu caracter personal care face obiectul procesării

2.1 . Operatorul de date cu caracter personal CAR-BOY KIDLAND SRL efectuează prelucrarea datelor cu caracter personal numai pe teritoriul României și nu se efectuează transferuri de date către alte state.

În executarea contractelor individuale de muncă, operatorul colectează următoarele documente ale salariaților prevăzuți în legislația muncii incidentul: carte de identitate de copie, documente de copiere care justifică studiile salariatului, certificat de la medicul de familie care confirmă că salariatul este capabil să munca, documente bancare ale angajatului.

Dacă salariatul arată că este în grija altor persoane, acesta va prezenta, de asemenea, copii ale documentelor de identitate ale persoanelor respective.

Pentru a încheia un contract individual de muncă, datele personale ale potențialilor angajați sunt colectate prin CV-urile puse la dispoziția operatorului.

Pe parcursul derulării relațiilor de muncă, angajatul va prezenta, de asemenea, un certificat de concediu medical în măsura în care o astfel de situație este incidentă.

Datele cu caracter personal colectate și prelucrate ulterior pentru a încheia și executa un Contract individual de muncă sunt: numele, prenumele, adresa, codul numeric personal, locul și data nașterii, seria și numărul cărții de identitate, numărul de telefon, datele de stare. sănătate, date despre situația familiei, contul bancar al salariatului în vederea transferului salariului.

Dintre datele cu caracter personal prelucrate, unele aparțin unor categorii speciale de date cu caracter personal în sensul art.9 din GDPR, cum ar fi datele biometrice pentru identificarea unică a persoanei și care sunt colectate cu ajutorul Copiei de pe cartea de identitate sau de către Act care justifică studiile și care sunt necesare pentru încheierea contractului de muncă. De asemenea, din categoriile speciale figurează datele privind starea de sănătate colectate prin certificatele de medic și certificatele de concediu medical.

Prelucrarea datelor menționate la art.9 din GDPR este autorizată de legislația internă care oferă garanții adecvate pentru respectarea drepturilor și intereselor fundamentale ale angajaților.

3 . Scopul și baza prelucrării

Datele personale ale angajaților sunt prelucrate pentru a încheia și executa un Contract individual de muncă la care persoana vizată este parte sau pentru a face solicitări la solicitarea persoanei vizate înainte de încheierea unui contract individual de muncă.

Din această perspectivă, baza prelucrării datelor cu caracter personal ale angajaților reprezintă:

necesitatea executării contractului individual de muncă (art.6 paragraful 1 litera b din GDPR),
necesitatea îndeplinirii unei obligații legale care revine operatorului (art.6 alin. 1 lit. c din GDPR)

În ceea ce privește datele cu caracter personal colectate având în vedere posibilii angajatori, dar care nu au avut la bază prelucrarea prin stocare, este reprezentat de consimțământul persoanei vizate (art.6 paragraful 1 litera a din GDPR).

Datele personale ale angajaților operatorului sunt prelucrate numai în scopurile definite și orice modificare ulterioară a scopului este posibilă numai într-o măsură limitată și necesită o bază solidă.

4 . Necesitatea procesării

În conformitate cu scopurile și motivele pentru prelucrarea datelor cu caracter personal ale angajaților operatorului, necesitatea unei astfel de prelucrări se bazează pe de o parte încheierea contractului individual de muncă, elaborarea raportului de muncă și rezilierea acestora în conformitate cu legislația incidentă, precum și pentru a putea răspunde cererilor. către autoritățile competente în cazul controalelor sau investigațiilor și în ceea ce privește datele personale colectate în vederea posibililor angajatori, acestea sunt prelucrate în procesul de selecție a viitorilor angajați ai operatorului.

În cazul persoanelor care nu sunt selectate prin procesul de recrutare pentru a ocupa o funcție în cadrul operatorului, datele personale prelucrate pe parcursul acestui proces sunt stocate ulterior numai pe baza consimțământului expres al persoanei în cauză și pentru a participa la viitor pentru alte procese de recrutare efectuate de operator. Persoanele care și-au dat consimțământul pentru o posibilă participare viitoare la un proces de recrutare de operator pot fi contactate în acest scop numai pe baza informațiilor personale pe care le-au furnizat operatorului. Orice restricții solicitate de către persoanele vizate vor fi respectate cu strictețe.

5 . Categorii de persoane implicate în activitatea de prelucrare a datelor cu caracter personal

Colectează date personale aparținând angajaților operatorului prin încheierea unui contract individual de muncă cu operatorul și datele personale ale persoanelor care participă la un proces de recrutare organizat de operator.

6. Persoanele care prelucrează date cu caracter personal

Cele două persoane responsabile din cadrul companiei operatorului vor colecta, înregistra, stoca, modifica, consulta, utiliza, restricționa, șterge sau distruge date cu caracter personal.

Datele cu caracter personal colectate cu ocazia încheierii contractelor individuale de muncă vor fi transmise persoanei împuternicite în măsura necesară îndeplinirii atribuțiilor specifice.

7. Categoriile de destinatari cărora le sunt dezvăluite datele cu caracter personal prelucrate

Datele cu caracter personal prelucrate în condițiile prezentate vor fi dezvăluite numai persoanelor abilitate să îndeplinească obligațiile legale, altor autorități și instituții publice în vederea îndeplinirii unor obligații legale incidentale, precum și autorităților publice la cererea expresă a acestora.

8. Transferul datelor cu caracter personal colectate către țări terțe sau organizații internaționale

Datele cu caracter personal prelucrate în condițiile prezentate nu pot fi transferate către țări terțe sau organizații internaționale.

9. Termenele limită pentru stocarea / stocarea datelor cu caracter personal prelucrate

În condițiile în care, în conformitate cu Ordinul nr.2634 / 2015 al Ministerului Finanțelor Publice privind documentele financiare contabile, termenul de menținere a stării salariilor este de 50 de ani, în această perioadă datele personale ale salariaților prelucrați în acest scop de încheiere și difuzare a rapoartelor vor fi păstrate. pentru munca.

Arhivarea acestor documente se face atât pe hârtie, cât și în format electronic. În măsura în care datele cu caracter personal sunt stocate pe hârtie ca urmare a arhivării documentelor care le conțin, datele personale stocate pe suportul informatic vor fi șterse imediat ce nu există un motiv sau interes legitim pentru stocare.

Păstrarea datelor cu caracter personal în contextul recrutării este păstrată de persoana responsabilă în cadrul operatorului de regulă până la sfârșitul procesului de recrutare dacă persoanele participante nu sunt angajate, cu excepția cazului în care o altă perioadă de stocare a fost specificată într-un mod justificat. Cu toate acestea, cu acordul expres al persoanei vizate, datele sale personale pot fi stocate în baza de date a operatorului pentru următoarele procese de recrutare pentru o durată rezonabilă și convenite în mod expres de persoana în cauză și care nu vor depăși 3 ani.

Persoana responsabilă din cadrul operatorului va verifica periodic datele personale stocate și va asigura ștergerea celor pentru care a expirat perioada de stocare sau pentru care scopul prelucrării nu mai există.

Înainte de expirarea timpului de prelucrare, datele cu caracter personal pot fi șterse la solicitarea persoanei vizate, în măsura în care o astfel de solicitare este compatibilă cu scopul prelucrării și cu normele legale incidentale.

10. Măsuri de securitate tehnică și organizațională

Datele cu caracter personal sunt colectate atât pe hârtie, cât și pe suporturi de calculator.

Datele personale stocate pe hârtie sunt stocate pe durata prevăzută de lege într-un loc de depozitare special amenajat cu acces restricționat numai în favoarea persoanei desemnate în acest scop.

Datele cu caracter personal sunt colectate și pe suport informatic de către persoana desemnată, care are un utilizator și o parolă de acces propriu; parolele se schimbă la fiecare 3 luni. Parolele sunt șiruri de caractere adecvate securității în lungime și compoziție. La introducerea parolelor, acestea nu sunt afișate clar pe monitor. Accesul la sistemul de înregistrări este automat refuzat după 3 intrări incorecte ale parolei sau numele de utilizator.

Orice persoană care primește un nume de utilizator și o parolă este obligată să își păstreze confidențialitatea și să răspundă în acest sens în fața operatorului.

Personalul autorizat va păstra confidențialitatea datelor cu caracter personal care sunt prelucrate pe parcursul activității operatorului.

Datele cu caracter personal sunt transmise persoanei autorizate care efectuează operațiunile de prelucrare stabilite prin acord cu operatorul.

Datele personale stocate pe server sunt criptate. Tipărirea datelor cu caracter personal va fi efectuată numai de către utilizatorii autorizați pentru această operațiune de către operator.

În cazul unui incident fizic sau tehnic, operatorul va lua toate măsurile necesare pentru a restabili disponibilitatea datelor și accesul la acestea în timp util.

Pentru a menține securitatea procesării datelor cu caracter personal (în special împotriva virușilor informatici), operatorul va lua măsuri care vor include, printre altele, interzicerea utilizării de către persoane autorizate a programelor software care provin din surse externe sau dubioase și implementarea sistemelor automate de devirus și securitate. a sistemelor informatice.

La fiecare 6 luni, operatorul va lua măsuri pentru a testa eficacitatea tehnică și organizatorică a sistemului de stocare pentru a verifica eficacitatea măsurilor de securitate.

Persoanele autorizate sunt instruite să implementeze procedura de protecție a datelor cu caracter personal și libera circulație a acestor date, la cerințele minime de securitate ale prelucrării datelor cu caracter personal, precum și la riscurile implicate de prelucrarea datelor cu caracter personal.

Personalul autorizat care efectuează operațiuni de prelucrare a datelor cu caracter personal este obligat să închidă sesiunea de lucru atunci când părăsesc locul de muncă.

De asemenea, operatorul își va îmbunătăți continuu politicile de securitate și procedurile interne, astfel încât să ofere suficiente garanții împotriva încălcărilor GDPR și a legislației naționale privind protecția datelor cu caracter personal.

I.2. Proceduri concrete pentru prelucrarea datelor cu caracter personal

1 . Procedura de colectare și înregistrare

Datele cu caracter personal sunt colectate cu ocazia recrutării și după încheierea contractului individual de muncă.

Activitățile de prelucrare prin colectare constau în: primirea și evaluarea CV-urilor, inițierea procedurilor de angajare, întocmirea contractului individual de muncă, întocmirea și analizarea dosarului de personal.

Datele astfel colectate sunt înregistrate în evidența operatorului de către persoanele autorizate în acest scop. Procedura de colectare este efectuată de către persoanele autorizate din cadrul operatorului.

2 . Proceduri de prelucrare după colectare și înregistrare

Ulterior colectării datelor cu caracter personal ca urmare a angajării lor, acestea sunt folosite pentru a îndeplini obligațiile legale impuse de legislația muncii sau fiscale.

În acest sens, persoana autorizată transmite datele personale ale angajaților către Revisal (pe baza unui nume de utilizator și a unei parole) și către ANAF.

De asemenea, în îndeplinirea unor obligații legale datele personale ale angajaților pot fi transmise Casei de Asigurări de Sănătate.

La cererea persoanelor vizate, persoanele autorizate ale operatorului le vor putea elibera certificate care atestă vechimea în muncă, precum și certificate care vor fi utilizate în relație cu instituțiile de credit.

Alte activități de prelucrare a datelor cu caracter personal ale angajaților pot fi: introducerea datelor cu caracter personal într-un sistem intern de prelucrare a operatorului, prelucrarea concediilor medicale, efectuarea de analize medicale periodice, emiterea de state de plată, întocmirea punctiuni, efectuarea evaluarilor periodice, centralizarea rezultatelor. cercetare disciplinară, procesarea sărbătorilor, introducerea dosarului în arhivă.

Toate procedurile ulterioare colectării sunt efectuate de către persoana autorizată și de către persoanele autorizate de la operator.

Datele personale ale angajaților sunt transmise, de asemenea, persoanei împuternicite care oferă servicii de asistență juridică pentru a efectua diverse proceduri legale privind angajații.

Datele personale ale angajaților sunt transmise și organelor de scuză sau executorilor judiciari, obligația în acest sens fiind impusă operatorului de legislația incidentă

3 . Proceduri pentru ștergerea / distrugerea datelor cu caracter personal

După expirarea perioadei de depozitare reglementată de dispozițiile legale incidentale, datele personale ale angajaților sunt șterse în condițiile care le vor asigura confidențialitatea.

Astfel, datele personale stocate pe hârtie sunt distruse ca urmare a distrugerii documentului care este conținut de o procedură de tocare folosind un dispozitiv specific.

Datele personale stocate pe suporturile de calculator sunt șterse de pe suporturile de stocare prin programe și proceduri care nu pun în pericol securitatea acestora.

Datele cu caracter personal vor fi, de asemenea, șterse la solicitarea persoanelor vizate, în măsura în care păstrarea datelor respective nu este impusă de un interes legitim al operatorului sau de o dispoziție legală în acest sens.

4 . Măsuri de intervenție / recuperare a datelor cu caracter personal în caz de incidente fizice sau tehnice

În cazul unei încălcări de securitate, operatorul va lua măsuri pentru limitarea daunelor și repararea daunelor cauzate.

Operatorul va recupera datele personale care au fost scurse cât mai curând posibil prin utilizarea procedurii de rezervă a datelor și va analiza motivele care au determinat incidentul pentru a lua măsurile de securitate necesare pentru a preveni astfel de încălcări. securitate pentru viitor.

I.3. Drepturile persoanelor vizate

1 . Modul în care persoanele vizate sunt informate despre drepturile pe care le au asupra datelor cu caracter personal furnizate operatorului / persoanei autorizate

Angajaților operatorului sunt făcute cunoscute drepturile referitoare la datele cu caracter personal solicitate prin contracte de muncă sau prin documente suplimentare la contractele de muncă.

Pentru a exercita drepturile prevăzute la punctul 2, persoana vizată poate adresa operatorului o cerere scrisă, datată și semnată. Orice solicitare va fi soluționată în termen de 30 de zile. De asemenea, persoana vizată are dreptul să se adreseze autorității de supraveghere și instanțelor de judecată cu privire la încălcarea drepturilor sale.

În cazul în care încălcarea securității datelor cu caracter personal este posibil să genereze un risc ridicat pentru drepturile și libertățile persoanei vizate, aceasta va fi informată fără întârzieri nejustificate cu privire la această încălcare.

Angajații au un drept legal de acces la datele cu caracter personal pe care le dețin și pe care le deține operatorul. Ar putea viza în mod specific datele cu caracter personal legate de eventuale reclamații și probleme disciplinare, precum și date obținute prin monitorizarea lor.

Operatorul va permite accesul la datele cu caracter personal la solicitarea unui angajat, dar are posibilitatea de a limita acest drept cu privire la unele date cu caracter personal, în sensul de a nu fi supus dreptului de acces, dacă acest lucru ar îngreuna descoperirea săvârșirea unei infracțiuni sau a altor fapte de natură similară.

Atunci când permite accesului unui angajat la fișierul personal, operatorul va considera că datele personale ale celorlalți angajați nu vor fi afectate în niciun fel.

2 . Drepturile persoanelor vizate

Drepturile care sunt făcute cunoscute persoanelor vizate constau în:

2.1. Dreptul de acces al persoanei vizate (art.15 din GDPR) .

Persoana vizată are dreptul să obțină de la operator o confirmare că prelucrează sau nu datele cu caracter personal care îl privesc și, în caz afirmativ, acces la datele respective și la următoarele informații:

(a) scopurile prelucrării;

(b) categoriile de date cu caracter personal în cauză;

(c) destinatarii sau categoriile de destinatari cărora le-au fost sau urmează să fie dezvăluite datele personale;

(d) perioada pentru care este de așteptat ca datele cu caracter personal să fie stocate sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;

(e) dreptul de a solicita operatorului să rectifice sau să șteargă datele cu caracter personal sau să restricționeze procesarea datelor cu caracter personal referitoare la persoana vizată sau dreptul de a se opune prelucrării;

(f) dreptul de a depune o plângere la o autoritate de supraveghere.

La solicitarea persoanei vizate, operatorul furnizează o copie a datelor cu caracter personal care fac obiectul procesării. Pentru orice alte copii solicitate de persoana vizată, operatorul poate percepe o taxă rezonabilă, pe baza costurilor administrative. În cazul în care persoana vizată depune cererea în format electronic și cu excepția cazului în care persoana vizată solicită un alt format, informațiile sunt furnizate într-un format electronic utilizat în prezent.

2.2. Dreptul de rectificare cu privire la datele cu caracter personal ale persoanei vizate (art. 16 din GDPR)

Persoana vizată are dreptul să obțină de la operator, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care îl privesc. Având în vedere scopurile pentru care au fost prelucrate datele, persoana vizată are dreptul să obțină completarea datelor cu caracter personal incomplete, inclusiv prin furnizarea unei declarații suplimentare.

2.3. Dreptul la ștergerea datelor cu caracter personal ale persoanei vizate (art. 17 din GDPR)

Persoana vizată are dreptul să obțină de la operator ștergerea datelor cu caracter personal care îl privesc, fără întârzieri nejustificate, iar operatorul are obligația de a șterge datele cu caracter personal fără întârzieri nejustificate în cazul în care se aplică unul dintre următoarele motive:

(a) datele personale nu mai sunt necesare pentru scopurile pentru care au fost colectate sau prelucrate;

(b) persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea,

și nu există nicio altă bază legală pentru prelucrare;

(c) persoana vizată se opune prelucrării și nu există motive legitime să prevaleze cu privire la prelucrare;

(d) datele cu caracter personal au fost prelucrate ilegal;

(e) datele cu caracter personal trebuie șterse pentru a respecta o obligație legală care îi revine operatorului în temeiul dreptului Uniunii sau al dreptului intern, sub incidența căreia este operatorul.

În cazul în care operatorul a lansat datele personale sau le-a transmis altor operatori și este obligat, în conformitate cu alineatul (1), să le șteargă, operatorul, ținând cont de tehnologia disponibilă și de costul implementării, ia măsuri rezonabile , inclusiv măsuri tehnice, pentru a informa operatorii care prelucrează datele cu caracter personal că persoana vizată a solicitat eliminarea de către acești operatori a oricărei legături la datele respective sau a oricăror copii sau reproduceri ale acestor date cu caracter personal.

De asemenea, operatorul este obligat să comunice fiecărei persoane cărora li s-au dezvăluit datele personale orice rectificare sau ștergere a datelor sau restricții de prelucrare, cu excepția cazului în care acest lucru se dovedește imposibil sau implică eforturi disproporționate. Operatorul informează persoana vizată despre destinatarii respectivi, dacă solicită acest lucru.

Drepturile persoanei vizate menționate la alineatele anterioare nu există în măsura în care prelucrarea este necesară:

(a) pentru exercitarea dreptului la liberă exprimare și informație;

(b) pentru respectarea unei obligații legale care prevede prelucrarea în conformitate cu legislația Uniunii sau a legislației naționale aplicabilă operatorului sau pentru îndeplinirea unei sarcini îndeplinite în interesul public sau în exercitarea unei autorități oficiale în care este investit operatorul;

(c) din motive de interes public în domeniul sănătății publice

(d) pentru găsirea, exercitarea sau apărarea unui drept în instanță.

2.4. Dreptul de a restricționa procesarea datelor cu caracter personal ale persoanei vizate (art. 18 GDPR)

Persoana vizată are dreptul să obțină de la operator restricția procesării dacă:

(a) persoana vizată contestă exactitatea datelor, pentru o perioadă care permite operatorului să verifice exactitatea datelor;

(b) prelucrarea este ilegală și persoana vizată se opune ștergerii datelor cu caracter personal, solicitând în schimb restricționarea utilizării acestora;

c) operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată le solicită găsirea, exercitarea sau apărarea unui drept în instanță;

(d) persoana vizată s-a opus prelucrării pentru intervalul de timp în care se verifică că drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate.

Dacă prelucrarea a fost restricționată în conformitate cu paragraful precedent, aceste date cu caracter personal pot fi, cu excepția stocării, numai cu acordul persoanei vizate sau pentru găsirea, exercitarea sau apărarea unui drept în instanță sau pentru protecția drepturile altei persoane fizice sau juridice sau din motive de interes public al Uniunii sau ale unui stat membru.

Un subiect care a obținut restricția de prelucrare este informat de către operator înainte de ridicarea restricției de prelucrare.

2.5. Dreptul de portabilitate a datelor cu caracter personal al persoanei vizate (art. 20 din GDPR)

Persoana vizată are dreptul de a primi datele personale care îl privesc și furnizate operatorului într-un format structurat, utilizat în prezent și care poate fi citit automat. De asemenea, persoana vizată are dreptul să solicite operatorului să transmită aceste date unui alt operator fără obstacole.

2.6. Dreptul de opoziție al persoanei vizate (art. 21 GDPR)

În orice moment, persoana vizată are dreptul să se opună, din motive legate de situația particulară în care se află prelucrarea datelor cu caracter personal. În acest caz, operatorul nu mai prelucrează datele cu caracter personal, cu excepția cazului în care operatorul demonstrează că are motive legitime și convingătoare care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este de a găsi, exercită sau apără un drept în instanță.

2.7. Dreptul persoanei vizate de a nu fi supus unui proces automat automat, inclusiv crearea de profiluri (art.22 din GDPR)

Persoana vizată are dreptul să nu facă obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care îl privesc pe persoana vizată sau îl afectează într-o măsură similară.

Alineatul precedent nu se aplică în situația în care decizia bazată exclusiv pe prelucrarea automată este necesară pentru încheierea sau executarea unui contract între persoana vizată și operator, dacă decizia este autorizată de dreptul Uniunii sau de dreptul intern care se aplică operatorului și care oferă măsuri adecvate pentru protecția drepturilor persoanei vizate sau se bazează pe consimțământul explicit al persoanei vizate.

I.4 Încălcarea securității datelor cu caracter personal

În cazul unei încălcări a securității datelor cu caracter personal, operatorul va notifica Autorității Naționale de Supraveghere pentru Prelucrarea Datelor cu Caracter Personal (ANSPDCP), fără întârzieri nejustificate și, dacă este posibil, în termen de 72 de ore de la data la care a luat cunoștință, cu excepția cazului în care drepturile și libertățile a persoanelor fizice sunt puse în pericol.

Dacă notificarea nu are loc în termen de 72 de ore, aceasta este însoțită de o explicație motivată din partea operatorului. Persoana împuternicită de operator notifică operatorului fără întârzieri nejustificate după ce a fost informată cu privire la încălcarea securității datelor cu caracter personal.

Notificarea adresată ANSPDCP va conține:

(a) Descrierea caracterului încălcării securității datelor cu caracter personal, inclusiv, dacă este posibil, categoriile și numărul aproximativ de persoane vizate în cauză, precum și categoriile și numărul aproximativ de înregistrări ale datelor cu caracter personal în cauză. .

(b) Numele și datele de contact ale responsabilului cu protecția datelor sau a altui punct de contact din care pot fi obținute mai multe informații.

(d) Măsurile luate sau propuse de către operator pentru a remedia problema încălcării securității datelor cu caracter personal, inclusiv, după caz, măsurile de atenuare a posibilelor efecte negative ale acestuia.

Când și în măsura în care nu este posibilă furnizarea informațiilor în același timp, acestea pot fi furnizate în mai multe etape, fără întârzieri nejustificate.

Operatorul păstrează documente cu privire la toate cazurile de încălcare a securității datelor cu caracter personal, care include o descriere a situației de fapt în care a avut loc încălcarea securității datelor cu caracter personal, efectele acesteia și măsurile de remediere luate.

În cazul în care încălcarea securității datelor cu caracter personal poate genera un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul informează persoana vizată fără întârzieri nejustificate cu privire la această încălcare.

Cu toate acestea, informațiile nu sunt necesare dacă este îndeplinită una dintre următoarele condiții:

(a) Operatorul a pus în aplicare măsuri tehnice și organizatorice adecvate, iar aceste măsuri au fost aplicate în cazul datelor cu caracter personal afectate de încălcarea securității datelor cu caracter personal, în special măsuri pentru a se asigura că datele cu caracter personal devin neinteligibile pentru orice persoană care nu este permis să le acceseze, cum ar fi criptarea.

(b) Operatorul a luat măsuri suplimentare pentru a se asigura că riscul ridicat pentru drepturile și libertățile persoanelor vizate nu mai este probabil să se concretizeze.

(c) Dacă ar necesita un efort disproporționat. În această situație, se face o informație publică în schimb sau se ia o măsură similară prin care persoanele vizate sunt informate într-un mod la fel de eficient.

PARTEA II – PROCEDURI PRIVIND PROCESAREA DATELOR PERSONALE PRIN MAGAZINUL ONLINE AL OPERATORULUI

II.1. Aspecte privind înregistrarea datelor cu caracter personal

1 . Introducere

Operatorul de date cu caracter personal CAR-BOY KIDLAND SRL desfășoară activități comerciale printr-un magazin online.

În desfășurarea activității sale, operatorul oferă spre vânzare produse de siguranță online, avertizare și delimitare și diverse alte produse de siguranță specifice.

2 . Tipul de date cu caracter personal care face obiectul procesării

Operatorul de date cu caracter personal CAR-BOY KIDLAND SRL efectuează prelucrarea datelor cu caracter personal numai pe teritoriul României și nu se efectuează transferuri de date către alte state.

Pentru a efectua operațiunile de vânzare online a produselor, de creare a contului, pentru servicii de marketing, pentru serviciul de chat, operatorul colectează de la client (persoane persoane cu date) următoarele date personale: prenumele și prenumele, adresa de domiciliu (numai în cazul în care persoana vizată cumpără un produs), numărul de telefon, adresa de e-mail.

În același timp, operatorul colectează date personale prin formularul de contact disponibil pe pagina online a operatorului și formularul de retur produs.

Operatorul colectează date personale cu privire la cardul persoanei vizate în calitate de comparator. Plata cu cardul se face prin Netopia, un operator care a implementat și respectă politicile GDPR, asigurând astfel un grad de securitate și confidențialitate cu privire la datele personale ale persoanelor vizate.

De asemenea, colectează date cu caracter personal prin intermediul serviciului cookie care prelucrează date legate de locația și traficul efectuat pe site-ul clienților, de aceea operatorul colectează și date cu privire la activitatea online a persoanei vizate.

Operatorul CAR-BOY KIDLAND SRL nu prelucrează datele personale incluse în categoriile speciale (art.9 din GDPR) și care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă, credințele filozofice sau apartenența la sindicate, date genetice , date. biometrie pentru identificarea unică a persoanei, date despre, viața sexuală sau orientarea sexuală a unei persoane fizice.

Operatorul nu colectează codul numeric personal de la persoanele vizate.

3 . Scopul și baza prelucrării

Datele cu caracter personal ale persoanelor vizate sunt prelucrate în scopul vânzării produselor operatorului către diverse persoane interesate care accesează magazinul online al operatorului.

Datele cu caracter personal sunt prelucrate în scop de marketing și în scopul solicitării informațiilor de la persoane autorizate din cadrul operatorului prin intermediul serviciului de chat sau al formularului de contact.

3.1. Prelucrarea datelor cu caracter personal de către operator este necesară în scopul vânzării produselor solicitate de către persoanele vizate.

consimțământul persoanei pentru prelucrarea datelor cu caracter personal (art. 6 paragraful 1 litera a din GDPR) în acest scop specificat

Si deasemenea

necesitatea executării contractului de vânzare (art.6 paragraful 1 litera b din GDPR)

3.2. Prelucrarea datelor cu caracter personal efectuată de operator pentru a efectua operațiunile de marketing, serviciile de chat, formularul de contact și cookie-urile:

În aceste condiții, baza prelucrării datelor cu caracter personal o constituie;

consimțământul persoanei pentru prelucrarea datelor cu caracter personal (art. 6 paragraful 1 litera a din GDPR) în acest scop specificat

Si deasemenea

prelucrarea este necesară în scopul intereselor legitime urmărite de operator (art.6 alin. 1, lit. f din GDPR).

3.3. Operatorul asigură persoanei vizate că datele personale care le aparțin și care au fost colectate vor fi procesate numai în scopurile menționate și va informa persoana vizată despre drepturile sale.

4 . Necesitatea procesării

În conformitate cu scopurile și motivele pentru prelucrarea datelor cu caracter personal ale persoanelor vizate, necesitatea unei astfel de prelucrări se bazează pe de o parte pe posibilitatea persoanelor vizate de a achiziționa produse incluse în magazinul online al operatorului. Pentru a trimite comanda, operatorul solicită adresa persoanei vizate să solicite adresa persoanei care să trimită comanda. Un eventual refuz al persoanei vizate ar determina imposibilitatea livrării produselor solicitate.

În ceea ce privește prelucrarea datelor cu caracter personal pentru a crea un cont în magazinul online, operatorul oferă persoanei vizate posibilitatea de a crea sau nu un cont, în acest sens fiind condiționat de posibilitatea de a achiziționa produse din mediul online al operatorului. .

De asemenea, dacă persoana vizată își exprimă acordul, datele sunt necesare și pentru posibilitatea informării persoanelor vizate despre existența diferitelor promoții și reduceri oferite de operator.

Dacă persoana vizată solicită informații de la operator, acestea ar putea fi primite numai dacă persoana vizată își exprimă acordul în acest sens.

Utilizarea cookie-urilor este extrem de utilă în special pe site-urile web în care datele utilizatorului în timp real sunt critice. Fără să le folosească în magazinul online, un potențial client nu ar putea cumpăra nimic. Magazinul nu ar putea să-l identifice și să-i atribuie un coș de cumpărături fără ele, deoarece, de fiecare dată când încărca o pagină nouă, magazinul ar privi-o ca pe un utilizator nou și ar crea un coș nou.

5 . Categorii de persoane implicate în activitatea de prelucrare a datelor cu caracter personal

Colectăm date cu caracter personal aparținând clienților magazinului online, care își exprimă consimțământul, în scopul prelucrării datelor cu caracter personal sau la care se află situațiile prevăzute la art. 6 paragraful 1 pat b, f din GDPR.

6. Persoanele care prelucrează date cu caracter personal

6.1. Colectarea și înregistrarea datelor cu caracter personal ale persoanelor vizate se face prin intermediul persoanelor autorizate din cadrul operatorului.

6.2. Activitățile de stocare, modificare, extracție, consultare, utilizare, restricție, dezvăluire, ștergere sau distrugere sunt efectuate de operator prin intermediul persoanelor autorizate pe baza unei parole, atribuite fiecărei persoane cu respectarea obligațiilor de confidențialitate impuse de GDPR.

6.3. Datele cu caracter personal ale persoanelor vizate sunt transmise în scopul finalizării operațiunilor de vânzare către persoana autorizată care va livra produsul achiziționat de către persoana vizată în condiții de securitate și confidențialitate.

7. Categoriile de destinatari cărora le sunt dezvăluite datele cu caracter personal prelucrate

Datele cu caracter personal prelucrate în condițiile prezentate vor fi dezvăluite numai la cererea autorităților publice sau a persoanelor abilitate să îndeplinească obligațiile legale.

8. Transferul datelor cu caracter personal colectate către țări terțe sau organizații internaționale

Datele cu caracter personal prelucrate în condițiile prezentate nu pot fi transferate către țări terțe sau organizații internaționale.

9. Termenele limită pentru stocarea / stocarea datelor cu caracter personal prelucrate

Persoanele care au creat un cont au posibilitatea să îl șteargă ori de câte ori doresc. Prin urmare, durata existenței contului și a datelor personale care îl cuprind depind de solicitarea persoanei vizate.

În ceea ce privește serviciile de marketing, datele personale pentru aceste servicii sunt stocate până când persoana vizată se va dezabona de la ofertele primite de la operator. Operatorul care oferă această posibilitate subiectului de date din fiecare e-mail sau SMS transmis.

Datele cu caracter personal din formularul de contact utilizat de persoana vizată sunt transmise direct la adresa de e-mail a operatorului, prin urmare, nu vor fi stocate în computer în dosare separate, e-mailurile vor fi șterse anual.

De asemenea, datele personale din serviciile de chat, întrucât nu sunt stocate pe computer, sunt șterse anual.

Serviciul cookie este șters la fiecare 26 de luni.

Persoana autorizată va verifica periodic datele cu caracter personal stocate și va asigura ștergerea celor pentru care a expirat perioada de stocare sau pentru care scopul prelucrării nu mai există.

Înainte de expirarea timpului de prelucrare, datele personale pot fi șterse la solicitarea persoanei vizate.

10. Măsuri de securitate tehnică și organizațională

Datele cu caracter personal sunt colectate în special pe suporturi de calculator, datele de suport pe hârtie vor fi procesate pentru a pregăti facturile.

Datele cu caracter personal stocate pe hârtie sunt stocate pe durata prevăzută de lege într-un loc de depozitare special amenajat cu acces restricționat numai în favoarea persoanei desemnate în acest scop de către operator pe baza cheii.

Datele cu caracter personal sunt colectate și păstrate pe suport informatic de către operator și persoana împuternicită de persoane autorizate în acest scop.

Parolele se schimbă la fiecare 3 luni. Parolele sunt șiruri de caractere adecvate securității în lungime și compoziție. La introducerea parolelor, acestea nu sunt afișate clar pe monitor. Accesul la sistemul de înregistrări este automat refuzat după 3 intrări incorecte ale parolei sau numele de utilizator.

Orice persoană care primește un nume de utilizator și o parolă este obligată să își păstreze confidențialitatea și să răspundă în acest sens în fața operatorului.

Ulterior, datele personale sunt stocate pe un server web cu acces restricționat, care este criptat și nu poate fi accesat. Operatorul are un contract pentru serverul pe care îl folosește, care nu este în posesia operatorului.

În același timp, programul Windows utilizat de operator, precum și programele antivirus sunt autorizate.

Datele personale stocate pe server sunt criptate. Tipărirea datelor cu caracter personal va fi efectuată numai de către utilizatorii autorizați pentru această operațiune de către operator.

În cazul unui incident fizic sau tehnic, operatorul va lua toate măsurile necesare pentru a restabili disponibilitatea datelor și accesul la acestea în timp util.

Pentru a menține securitatea procesării datelor cu caracter personal (în special împotriva virușilor informatici), operatorul va lua măsuri care vor include, printre altele, interzicerea utilizării de către persoanele autorizate furnizate de programele software care provin din programe externe sau surse dubioase și implementarea sistemelor automate de devirus și de securitate a sistemelor informaționale.

O dată la 6 luni, operatorul va lua măsuri pentru a testa eficacitatea tehnică și organizatorică a sistemului de stocare pentru a verifica eficacitatea măsurilor de securitate.

Persoanele autorizate sunt instruite să implementeze procedura de protecție a datelor cu caracter personal și, ulterior, periodic, ori de câte ori apar modificări și îmbunătățiri.

De asemenea, ca măsură de securitate pentru datele colectate prin magazinul online, operatorul deține un certificat de securitate pentru domeniu (certificat SSL).

De asemenea, operatorul își va îmbunătăți continuu politicile de securitate și procedurile interne, astfel încât să ofere suficiente garanții împotriva încălcărilor GDPR.

II.2. Proceduri concrete pentru prelucrarea datelor cu caracter personal

1 . Procedura de colectare și înregistrare

Magazinul online va avea un cont de client unde vor fi solicitate datele personale. Aceste date cu caracter personal sunt colectate din partea magazinelor online pentru a trimite produsul. Datele vor rămâne în contul persoanei vizate până când vor fi șterse (vor șterge contul). Persoanele vizate au acces la datele personale care le aparțin, le pot șterge, modifica sau descărca.

Plata produselor achiziționate se va face cu cardul și rambursarea, prin urmare, vor fi colectate date referitoare la cardul bancar al persoanei vizate.

Atunci când accesează magazinul online, persoana vizată are posibilitatea de a lua cunoștință de dispozițiile referitoare la aplicarea GDPR (numele și datele de contact ale operatorului, drepturile acestuia, procedura în care acesta le poate exercita, termenul în care el va primi un răspuns din partea părții către operator, scopul pentru care sunt colectate datele lor personale, ceea ce se întâmplă în cazul unei încălcări de securitate). Persoana vizată va trebui să ia în considerare acordarea sau nu a consimțământului distinct pentru: utilizarea cookie-urilor, realizarea unui cont, oferte promoționale și de marketing, accesarea formularului de contact, accesarea serviciilor de chat. În acest fel, persoana vizată poate acorda acordul său distinct pentru prelucrarea efectuată în scopuri diferite.

Persoana vizată nu este condiționată de crearea unui cont pentru a plasa o comandă online, el poate achiziționa orice produs din magazinul online al operatorului fără a fi necesar să creeze un cont.

Datele cu caracter personal ale clienților sunt colectate numai de persoane autorizate de operator care sunt instruiți în legătură cu obligațiile care îi revin în baza GDPR și care sunt furnizate în fișa postului fiecăruia.

Parolele persoanelor autorizate se schimbă automat la fiecare 3 luni.

Dacă una dintre persoanele autorizate din cadrul operatorului își încetează activitatea în cadrul companiei operatorului, ID-urile și parolele la care a avut acces vor fi schimbate.

Dacă persoana vizată și-a dat acordul cu privire la întocmirea contului și primirea diferitelor oferte promoționale care vor fi efectuate în activitatea operatorului, operatorul nu va trimite această ofertă promoțională.

În același timp, persoana vizată, chiar dacă a acceptat să primească ofertele promoționale, are posibilitatea de a vă dezabona cu ocazia fiecărui e-mail sau SMS primit în această privință.

Cookie-urile sunt utilizate de către Google analytics pentru a vedea locația și traficul de pe site-ul web de către persoana vizată.

2 . Proceduri de prelucrare după colectare și înregistrare

Persoana vizată care a achiziționat un anumit produs nu va trebui să trimită operatorului și CNP-ului pentru a pregăti factura, ci va trimite adresa către care dorește să fie livrat produsul. Pentru a livra produsul, operatorul contactează persoana autorizată care are obligații de confidențialitate și securitate cu privire la datele cu care intră în contact.

După livrarea produsului, persoana vizată poate solicita returnarea acestuia completând formularul de retur existent pe platforma magazinului online, în care va completa datele sale personale (nume, prenume, telefon, adresă, număr de comandă / factură) .

3 . Proceduri pentru ștergerea / distrugerea datelor cu caracter personal

După expirarea perioadei de păstrare (conform legii) a documentelor care conțin date cu caracter personal, acestea sunt distruse cu ajutorul unui dispozitiv de tocat.

Datele stocate pe suportul informatic sunt șterse prin ștergerea contului de către persoana vizată, prin ștergerea e-mailurilor dintre operator și persoana vizată. În același timp, adresele de e-mail și numerele de telefon ale persoanelor vizate vor fi șterse la solicitarea lor prin dezabonare.

4 . Măsuri de intervenție / recuperare a datelor cu caracter personal în caz de incidente fizice sau tehnice

În cazul unei încălcări de securitate, operatorul va lua măsuri pentru limitarea daunelor și repararea daunelor cauzate.

Operatorul va recupera datele personale care au fost scurse cât mai curând posibil prin utilizarea procedurii de rezervă a datelor și va analiza motivele care au determinat incidentul să ia măsurile de securitate necesare pentru a preveni astfel de încălcări. securitate pentru viitor.

Procedura de rezervă a datelor se efectuează automat săptămânal.

II.3.Drepturile persoanelor vizate

1 . Modul în care persoanele vizate sunt informate despre drepturile pe care le au asupra datelor cu caracter personal furnizate operatorului / persoanei autorizate

Persoanele vizate sunt informate despre drepturile legate de prelucrarea datelor cu caracter personal atunci când accesează pagina magazinului online, prin deschiderea unei ferestre în acest sens.

Drepturile angajaților cu privire la datele cu caracter personal sunt prevăzute la punctul 2 din CAP I din prezentul regulament.

I.4 Încălcarea securității datelor cu caracter personal

În cazul încălcării securității datelor cu caracter personal, operatorul va notifica Autorității Naționale de Supraveghere pentru Prelucrarea Datelor cu Caracter Personal (ANSPDCP), fără întârzieri nejustificate și, dacă este posibil, în termen de 72 de ore de la data la care a luat cunoștință, cu excepția cazului în care drepturile și libertățile persoanelor fizice sunt puse în pericol.

Toate dispozițiile prevăzute la articolul I.4 din partea I a prezentului regulament sunt încă aplicabile.

PARTEA III – PROCEDURI PRIVIND PRELUCRAREA DATELOR PERSONALE PENTRU O URMARE A ACTIVITĂȚII ACTUALE A OPERATORULUI

III.1. Aspecte privind înregistrarea datelor cu caracter personal

1 . Introducere

În relațiile economice desfășurate de operator, datele cu caracter personal pot fi prelucrate, dacă este necesar, pentru a iniția, realiza și încheia un raport legal la care operatorul este parte. La inițierea relațiilor juridice cu alte companii, operatorul poate intra în contact cu diferite tipuri de date cu caracter personal ale reprezentanților sau angajaților companiilor respective.

2 . Tipul de date cu caracter personal care face obiectul procesării

În realizarea rapoartelor legale la care este parte, operatorul poate colecta date personale din următoarele tipuri de documente: contracte, facturi fiscale, chitanțe, avize care însoțesc mărfurile, scrisori de transport CMR. Enumerarea documentelor de mai sus este de exemplu și poate fi completată cu orice alte date cu caracter personal înscrise în documentele necesare pentru relațiile juridice la care operatorul este parte.

Datele cu caracter personal colectate și prelucrate ulterior în scopul încheierii și executării unui raport legal pot fi: prenumele, prenumele, adresa, codul numeric personal, locul și data nașterii, numărul de serie și numărul cărții de identitate, numărul de telefon și adresa de e-mail. .

Prelucrarea datelor din categoriile menționate la art.9 din GDPR este autorizată de legislația internă, oferind garanții adecvate pentru respectarea drepturilor și intereselor fundamentale ale persoanelor vizate care participă în interesul unei societăți comerciale la dezvoltarea relațiilor juridice. cu operatorul.

3 . Scopul și baza prelucrării

Datele cu caracter personal ale persoanelor vizate sunt prelucrate pentru a încheia și executa relațiile juridice încheiate între operator și o altă persoană juridică în interesul persoanei vizate.

Din această perspectivă, baza prelucrării datelor cu caracter personal ale angajaților reprezintă:

necesitatea executării unor rapoarte juridice la care operatorul este parte (art.6 paragraful 1 litera b din GDPR) și
necesitatea îndeplinirii unei obligații legale care revine operatorului (art.6 alin. 1 lit. c din GDPR)

Datele cu caracter personal ale persoanelor vizate sunt prelucrate numai în scopuri definite și orice modificare ulterioară a scopului este posibilă doar într-o măsură limitată și necesită o bază solidă.

4 . Necesitatea procesării

În conformitate cu scopurile și motivele prelucrării datelor cu caracter personal ale persoanelor vizate, necesitatea unei astfel de prelucrări se bazează pe de o parte încheierea, elaborarea și încetarea rapoartelor juridice la care operatorul este parte în conformitate cu legislația incidentă, precum și pentru a putea răspunde solicitărilor autorităților. competent în cazul controalelor sau investigațiilor.

Orice solicitare de restricționare a procesării datelor cu caracter personal de la persoanele vizate va fi analizată strict și va fi dată în măsura în care nu contravine bazei care stă la baza prelucrării.

Datele cu caracter personal prelucrate în scopurile menționate anterior sunt adecvate, relevante și limitate la ceea ce este necesar în legătură cu aceste scopuri, respectând astfel cerința art.5 alineatul 1 litera c din GDPR. În acest sens, operatorul, în calitatea sa de contractant, va solicita și prelucra numai datele personale strict necesare ale persoanelor vizate pentru dezvoltarea relațiilor contractuale în cele mai bune condiții.

În derularea relațiilor contractuale, se va urmări ca atât datele personale colectate, cât și cele dezvăluite să fie strict limitate la ceea ce este necesar pentru elaborarea rapoartelor respective.

5 . Categorii de persoane implicate în activitatea de prelucrare a datelor cu caracter personal

Colectează date personale aparținând angajaților și altor persoane care acționează în interesul unei persoane juridice cu care operatorul încheie și dezvoltă o relație contractuală.

6. Persoanele care prelucrează date cu caracter personal

Persoanele responsabile din cadrul companiei operatorului vor colecta, înregistra, stoca, modifica, consulta, utiliza, restricționa, șterge sau distruge date cu caracter personal.

Datele cu caracter personal colectate cu ocazia încheierii și elaborării rapoartelor contractuale ale operatorului pot circula între diferite persoane autorizate ale operatorului, în măsura necesară pentru îndeplinirea îndatoririlor specifice fiecărei astfel de persoane. Prelucrarea prin utilizarea datelor cu caracter personal comunicate este realizată de persoane autorizate cu responsabilități clare în ceea ce privește protecția acestui tip de date.

7. Categoriile de destinatari cărora le sunt dezvăluite datele cu caracter personal prelucrate

Datele cu caracter personal prelucrate în condițiile prezentate sunt dezvăluite numai persoanelor abilitate pentru îndeplinirea obligațiilor legale, în acest sens, asigurându-se că persoanele împuternicite fac obiectul obligațiilor de confidențialitate. În același timp, aceste date cu caracter personal pot fi dezvăluite și altor autorități și instituții publice, pentru a îndeplini anumite obligații legale, precum și autorităților publice, la solicitarea expresă a acestora.

8. Transferul datelor cu caracter personal colectate către țări terțe sau organizații internaționale

Datele cu caracter personal prelucrate în condițiile prezentate nu pot fi transferate către țări terțe sau organizații internaționale.

9. Termenele limită pentru stocarea / stocarea datelor cu caracter personal prelucrate

Conform normelor în vigoare, arhivarea documentelor necesare elaborării rapoartelor contractuale ale operatorului se face pe o durată variabilă, în funcție de natura și regimul juridic al documentului în care se află datele personale ale persoanelor vizate. inserat.

În același timp, unele documente care conțin date cu caracter personal vor fi păstrate numai pe durata necesară pentru realizarea raportului juridic dintre operator și o altă entitate, termenul de stocare fiind limitat doar la perioada strict necesară pentru condițiile optime ale relațiile contractuale ale operatorului.

De exemplu, înregistrările contabile și documentele justificative sunt păstrate pe o perioadă de 10 ani.

Arhivarea acestor documente se face atât pe hârtie, cât și în format electronic.

Persoana responsabilă va verifica periodic datele cu caracter personal stocate și va asigura ștergerea celor pentru care a expirat perioada de stocare sau pentru care scopul prelucrării nu mai există.

10. Măsuri de securitate tehnică și organizațională

Datele cu caracter personal sunt colectate atât pe hârtie, cât și pe suporturi de calculator.

Operatorul va aplica măsurile de securitate prevăzute în capitolele anterioare.

III.2. Proceduri concrete pentru prelucrarea datelor cu caracter personal

1 . Procedura de colectare și înregistrare

Datele cu caracter personal sunt colectate cu ocazia încheierii, dezvoltării și încetării relațiilor contractuale ale operatorului cu o altă persoană juridică.

Datele astfel colectate sunt înregistrate în evidența operatorului de către persoanele autorizate în acest scop.

2 . Proceduri de prelucrare după colectare și înregistrare

După colectarea datelor cu caracter personal, acestea sunt utilizate pentru îndeplinirea obligațiilor legale impuse de legislația în vigoare sau în interesul legitim al operatorului.

Datele cu caracter personal colectate sunt prelucrate într-un mod care implică o interacțiune minimă cu acestea, fiind orientate spre cea mai mică utilizare posibilă și strict limitate la ceea ce este necesar în raport cu scopul prelucrării (de exemplu, datele personale ale persoanei care are o factură care ajunge la operator nu va fi utilizată, prelucrarea fiind limitată la stocarea acestora împreună cu documentul care le conține).

3 . Proceduri pentru ștergerea / distrugerea datelor cu caracter personal

După expirarea perioadei de stocare reglementată de dispozițiile legale incidentale, datele personale ale persoanelor vizate sunt șterse în condițiile care le vor asigura confidențialitatea.

Astfel, datele personale stocate pe hârtie sunt distruse ca urmare a distrugerii documentului care le conține printr-o procedură de tocare.

Datele personale stocate pe suporturile de calculator sunt șterse de pe suporturile de stocare prin programe și proceduri care nu pun în pericol securitatea acestora.

4 . Măsuri de intervenție / recuperare a datelor cu caracter personal în caz de incidente fizice sau tehnice

În cazul unei încălcări de securitate, operatorul va lua măsuri pentru limitarea daunelor și repararea daunelor cauzate în conformitate cu capitolele anterioare.

III.3.Drepturile persoanelor vizate

Pentru a-și exercita drepturile de acces, rectificare, restricție, portabilitate, opoziție și a nu face obiectul unui proces automat automat, inclusiv crearea de profiluri, așa cum este prevăzut și explicat în partea I a art.I.3, datele subiectul poate adresa operatorului o cerere scrisă, datată și semnată. Orice solicitare va fi soluționată în termen de 30 de zile. De asemenea, persoana vizată are dreptul să se adreseze autorității de supraveghere și instanțelor de judecată cu privire la încălcarea drepturilor sale.

III.4 Încălcarea securității datelor cu caracter personal

Toate dispozițiile prevăzute la articolul I.4 din partea I a prezentului regulament sunt încă aplicabile.

OPERATOR

CAR-BOY KIDLAND SRL

Terms and conditions

Termeni si conditii – LB. ROMÂNĂ

Sediul central

Linkuri utile

GDPR and Legislation

Ⓒ Car Boy Safety 2020 - Toate drepturile rezervate

Powered by Trend Tech Media