SPARK CAR SHARING S.R.L.

 

POLITICA DE CONFIDENȚIALITATE

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

București

noiembrie 2023

 

 

 

 

 

 

 

 

 

 

Cuprins

1. DEFINIȚII 2

2. PREVEDERI GENERALE. 3

3. PRELUCRAREA DATELOR PERSONALE ÎN SCOPUL FURNIZĂRII UNUI SERVICIU DE CAR SHARING CU VEHICULE ELECTRICE. 4

4. PRELUCRAREA DATELOR BIOMETRICE ÎN SCOPUL IDENTIFICARII UNICE ȘI PRECISE. 7

5. PRELUCRAREA DATELOR PERSONALE ÎN SCOPURI DE MARKETING DIRECT. 8

6.          DATA PROCESSING BY USING GOOGLE ANALYTICS FOR ADVERTISING PURPOSES. 9

7.              DATELE COLECTATE PRIN INTERMEDIUL APLICAȚIEI MOBILE. 9

8. MONITORIZAREA MOBILITĂȚII 10

9. LUAREA AUTOMATIZATĂ A DECIZIILOR. 10

10. PARTAJAREA DATELOR. 10

11. TRANSFER DE DATE ÎN AFARA UE. 11

12. PERIOADE DE STOCARE A DATELOR. 11

13. DREPTURILE PERSOANELOR VIZATE. 12

14. RESPONSABIL CU PROTECȚIA DATELOR. 14

15. PROCEDURA PENTRU GESTIONAREA ÎNCĂLCĂRILOR DE SECURITATE A DATELOR PERSONALE ȘI A TRATĂRII ACESTE ÎNCĂLCĂRI 14

16. MĂSURI TEHNICE ȘI ORGANIZAȚIONALE PENTRU SECURITATEA DATELOR PERSONALE. 14

17. DATE DE CONTACT. 16

18. PREVEDERI FINALE. 16

 

1. DEFINIȚII

1.1. “GDPR” înseamnă Regulamentul (UE) 2016/679 Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE ( Regulamentul general privind protecția datelor);

1.2. ”Legislația aplicabilă” înseamnă toate și oricare dintre dispozițiile legale, aplicabile în România la un moment dat, prin care este reglementată Procesarea Datelor Personale;

1.3. "Date/Date Personale" înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă (Titularul datelor); o persoană identificabilă este o persoană care poate fi identificată direct sau indirect, în special prin referire la un identificator cum ar fi numele, numărul de identificare, datele de localizare, identificatorul online sau unul sau mai mulți factori specifici fizicului, fiziologici, genetici, mentali, economici, identitatea culturală sau socială a acelei persoane fizice.

1.4. "DPA" înseamnă un acord de prelucrare a datelor care urmează să fie încheiat cu fiecare Procesator în conformitate cu termenii prevăzuți în secțiunea 3 de mai jos.

1.5. "Destinatar" înseamnă persoanele fizice sau juridice, organismele publice, agențiile sau alte structuri cărora le sunt dezvăluite datele cu caracter personal, indiferent dacă sunt sau nu terțe persoane.

1.6. "Persoana vizată" înseamnă un Utilizator sau un angajat al Clientului, precum și orice altă persoană ale cărei Date cu Caracter Personal sunt prelucrate de către Operator.

1.7. "Procesare" înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra unui set de date prin mijloace automate sau alte mijloace, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, preluarea, consultarea, utilizarea, dezvăluirea prin transmitere, distribuție sau alt mod în care datele sunt puse la dispoziție, aranjate sau combinate, restricționate, șterse sau distruse.

1.8. "Procesator" înseamnă persoane fizice sau juridice, organisme publice, agenții sau alte structuri care prelucrează Date Personale în numele Operatorului.

1.9. "Operator" înseamnă SPARK CAR SHARING S.R.L., o societate cu răspundere limitată înregistrată în conformitate cu legislația română, cu sediul social în București, Sector 1, Calea Floreasca nr. 175, etaj 5, partea B, www.espark.ro, email: office@espark.ro, nr. de înregistrare la Registrul Comerțului: J40/17015/2018, CUI: RO40219027.

1.10. "Utilizator" înseamnă, în sensul prezentei Politici, persoana căreia îi sunt furnizate Serviciile de către Operator, conform Contractului de servicii, singur sau împreună cu Contractul de utilizare a Vehiculului (dacă și când acesta din urmă este încheiat).

1.11. "Monitorizarea Mobilității" înseamnă colectarea și prelucrarea de date despre persoanele care utilizează vehiculele aparținând Operatorului, indiferent dacă datele sunt sau nu înregistrate într-un fișier.

1.12. "Politica" înseamnă Politica de confidențialitate, care include informații despre toate Datele pe care Operatorul le colectează, procesează, stochează sau transferă, direct sau indirect;

1.13. ”Aplicația Mobilă” înseamnă aplicația informatică SPARK CAR SHARING, care este destinată pentru a fi instalată și utilizată cu ajutorul unui dispozitiv mobil care rulează un anumit sistem de operare (adică Android sau IOS) și care poate fi descărcată gratuit din App Store sau Google Play;

1.14. “Proprietarul Aplicației Mobile" înseamnă UAB SPARK TECHNOLOGIES, o societate cu răspundere limitată organizată și care operează conform legilor din Lituania, cod persoană juridică 304953141, Vilnius, Lituania;

1.15. ”Website” înseamnă espark.ro;

1.16. ”Procesator de plăți” - Adyen N.V., persoană juridică înregistrată la Camera de Comerț Olandeză sub numărul 34259528, cu sediul social în Olanda, Simon Carmiggeltstraat 6-50, 1011 DJ, Amsterdam, www.adyen.com;

1.17. ”Prestator de servicii de verificare a identității”JUMIO Corporation, persoană juridică înmatriculată în SUA, cu sediul social în 395 Page Mill Road, Ap. 150, Palo Alto, CA 94306, www.jumio.com;

1.18. ”Politica de cookies” înseamnă documentul care conține o listă a tuturor cookie-urilor utilizate pe un Website, împreună cu informații detaliate despre fiecare dintre acestea; ajută utilizatorii înțeleagă modul în care sunt utilizate datele lor, cât timp vor rămâne cookie-urile pe dispozitivul lor și multe altele.

1.19. În sensul acestei Politici, termenii rămași nedefiniți au înțelesul prevăzut în Contractul de Servicii, GDPR și Legislația aplicabilă.

2. PREVEDERI GENERALE

2.1. Operatorul prelucrează anumite Date  în scopul desfășurării activității sale, al exercitării drepturilor și intereselor sale legale și al respectării obligațiilor sale legale și contractuale.

2.2. Această Politică conține principiile și procedurile de bază pentru prelucrarea Datelor Persoanelor Vizate prin Website și Aplicația Mobilă SPARK. Înainte de a începe să utilizeze Website-ul și/sau Aplicația Mobilă, Persoanele Vizate trebuie să citească cu atenție și să se familiarizeze cu această politică. Prin utilizarea Website-ului și/sau Aplicației Mobile, Persoanele Vizate confirmă că au citit, au înțeles și sunt de acord să respecte această Politică.

2.3. În cazurile în care Persoanele Vizate nu sunt de acord cu Politica, în tot, sau cu orice parte relevantă a acesteia, se recomandă insistent să nu folosească Website-ul și/sau Aplicația Mobilă.

2.4. Operatorul apreciază și respectă confidențialitatea Datelor Personale. Această Politică explică modalitățile de colectare și utilizare a Datelor și drepturile Persoanelor Vizate.

2.5. Utilizarea serviciilor de la terți, cum ar fi Facebook, Google, Procesatorul de Plăți, Prestatorul de servicii de verificare a identității etc., poate fi supusă termenilor și condițiilor terților. De exemplu, toți utilizatorii și vizitatorii Facebook sunt supuși Politicii acesteia de confidențialitate a datelor. Prin urmare, în scopul utilizării serviciilor terților, se recomandă ca Persoanele vizate să se familiarizeze și cu termenii respectivi.

2.6. Operatorul se asigură că, în legătură cu și pe durata Procesării, în mod direct sau indirect, respectă următoarele principii de bază privind protecția datelor:

2.6.1. Datele sunt prelucrate în mod legal, cu bună-credință și într-o manieră transparentă cu privire la Persoanele vizate (legalitate, bună-credință și transparență);

2.6.2. Datele sunt colectate în scopuri specifice, explicite și legitime și nu sunt prelucrate într-un mod incompatibil cu aceste scopuri; prelucrarea ulterioară a Datelor Personale în scopuri de arhivare în interes public, cercetare științifică sau istorică sau scopuri statistice nu este considerată incompatibilă cu scopurile inițiale (limitarea scopului);

2.6.3. Datele trebuie să fie relevante, relevante și limitate la ceea ce este necesar în raport cu scopurile pentru care sunt prelucrate (minimizarea datelor);

2.6.4. Datele trebuie să fie exacte și, dacă este necesar, actualizate; trebuie luate toate măsurile rezonabile pentru a se asigura că Datele care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate imediat (exactitate);

2.6.5. Datele stocate într-o formă care permite identificarea Persoanelor vizate nu sunt stocate mai mult decât este necesar pentru scopurile pentru care sunt prelucrate datele cu caracter personal; Datele Personale pot fi stocate pe perioade mai lungi în măsura în care vor fi prelucrate exclusiv în scopul arhivării în interes public, cercetări științifice sau istorice sau în scopuri statistice, în conformitate cu articolul 89, alineatul 1 din GDPR, cu condiția ca măsurile tehnice și organizatorice adecvate să fie necesare de GDPR pentru a proteja drepturile și libertățile Persoanelor vizate (restricționarea stocării);

2.6.6. Datele sunt prelucrate într-un mod care asigură o protecție adecvată a datelor cu caracter personal, inclusiv protecție împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, distrugerii sau deteriorării accidentale, folosind măsuri tehnice sau organizatorice adecvate (integritate și confidențialitate);

2.6.7. Operatorul este responsabil și trebuie să poată dovedi conformitatea cu principiile enunțate mai sus (responsabilitate).

2.7. Utilizatorii Aplicației Mobile trebuie să citească și să fie de acord în mod expres cu Politica de confidențialitate și, respectiv, Politica de cookies înainte de a se înregistra pentru a utiliza Aplicația Mobilă și/sau Website-ul.

2.8. Datele sunt stocate pentru perioadele indicate pentru fiecare tip de Date Personale prevăzute în această Politică. Stocarea se realizează în conformitate cu procedurile prevăzute în această politică.

2.9. Drepturile Procesatorului de a accesa Datele vor fi revocate în cazul rezilierii DPA-ului încheiat cu Operatorul sau la expirarea termenului acordului.

2.10. Datele sunt transferate altor Destinatari atunci când dispozițiile legale prevăd dreptul și/sau obligația de a face acest lucru.

2.11. Operatorul va avea dreptul de a furniza Date cu caracter personal Statului și/sau autorităților locale în scopuri administrative, civile, penale, ca probe, sau în alte cazuri stabilite de lege.

3. PRELUCRAREA DATELOR PERSONALE ÎN SCOPUL FURNIZĂRII UNUI SERVICIU DE CAR SHARING CU VEHICULE ELECTRICE

3.1. Operatorul pune la dispoziție Clienților săi serviciul de utilizare a autovehiculelor electrice, pentru furnizarea cărora sunt prelucrate următoarele grupuri de Date:

3.1.1. Prenume;

3.1.2. Nume;

3.1.3. CNP;

3.1.4. Data nașterii;

3.1.5. Adresa de domiciliu sau de reședință (adresa);

3.1.6. Adresa de E-mail;

3.1.7. Numărul de telefon;

3.1.8. Numărul permisului de conducere, data și locul eliberării/autoritatea emitentă, valabilitate;

3.1.9. Anumite date despre cardurile bancare utilizate de Utilizator, primite de la compania care furnizează serviciul de procesare a plăților, respectiv tipul cardului și o parte din numărul cardului; în nicio circumstanță și în niciun caz, Operatorul nu reține, stochează sau arhivează întregul număr al cardului și/sau numărul CVV și nu are acces la astfel de informații înainte și după momentul depunerii cererii de înregistrare a Contului de utilizator.

3.2. Datele specificate la paragrafele 3.1.1 - 3.1.9 sunt primite de obicei direct de la Utilizator; cu toate acestea, o parte din datele înregistrate în sistem ar putea fi primite și de la angajatorul Utilizatorului sau similar, dacă acesta din urmă a contractat serviciile Operatorului.

3.3. În scopul înregistrării și raportării Clienților, încheierii, administrării și semnării unui contract, respectarea obligațiilor legale (de exemplu, mașinile să fie furnizate numai persoanelor competente din punct de vedere juridic, respectarea cerințelor de raportare contabilă, raportarea încălcărilor, asigurarea exactității datelor), protecția și controlul asupra activelor deținute de companie, Operatorul prelucrează suplimentar următoarele Date:

3.3.1. Categorii de vehicule pe care Persoanele vizate au dreptul să le conducă, data la care a fost acordat acest drept și data la care expiră;

3.3.2. Locația vehiculului, distanța parcursă, data, ora, viteza vehiculului și durata de utilizare a vehiculului;

3.3.3. timpul de deblocare și blocare a vehiculului;

3.3.4. modificarea nivelului de încărcare a bateriei vehiculului în timp ce Utilizatorul folosește vehiculul;

3.3.5. Taxa percepută;

3.3.6. Date obligații / Plăți datorate;

3.3.7. Date despre tranzacții, cum ar fi istoricul serviciilor utilizate, date privind obligațiile (nivelul obligației, valoarea obligației, data apariției obligației, termenul limită, data plății) ratingul de credit, punctele eGo acumulate, punctele programelor de recomandare, recompense;

3.3.8. Corespondență privind reclamații, solicitări, opinii, evaluarea serviciilor sau a altor utilizatori etc.;

3.3.9. Date de management IT, cum ar fi adresa IP, sistemul de operare, datele de comunicare și alte metadate de la utilizarea Aplicației Mobile, locația dispozitivului mobil în timpul utilizării;

3.3.10. Date legate de acțiuni legale sau dosare de asigurare: date privind daunele aduse vehiculelor electrice, incidente de securitate/accidente de circulație sau alte încălcări în cazul în care acestea au avut loc în timpul utilizării vehiculelor electrice (data, locul, ora accidentului/încălcării rutiere, volumul de daune, culpe etc.), datorii neachitate, penalități acumulate etc.

3.4. Cu excepția cazului în care se prevede altfel în Contractul de servicii și Contractul de utilizare a Vehiculului, Operatorul nu va transmite Destinatarilor datele sus-menționate ale Clienților, cu excepția cazului în care acestea sunt solicitate de autoritățile îndreptățite sau sunt furnizate autorităților menționate, conform legilor relevante.

3.5. Temeiurile legale pentru prelucrarea Datelor Personale în scopurile specificate la punctul 3.1. și 3.3 de mai sus, sunt în principal articolul 6, alineatul 1, litera „b” și articolul 6, alineatul 1, litera „c” din GDPR, precum și articolul 6 alineatul 1, literele „a” și „f”; după caz.

3.6. Pe baza interesului legitim al Operatorului în dezvoltarea afacerii (articolul 6, alineatul 1, litera „f” din GDPR), datele agregate anonimizate despre serviciile utilizate de Clienți pot fi utilizate și în scopuri de analiză statistică și cercetare de marketing după eliminarea completă a datelor personale de identificare a clienților.

3.7. Cu acordul Persoanelor vizate, datele despre locația dispozitivului lor mobil pot fi, de asemenea, obținute în timpul utilizării aplicației mobile în scopul înștiințării despre vehiculele electrice disponibile în imediata apropiere și raportării serviciilor în timpul utilizării Aplicației Mobile. Persoanele vizate au dreptul de a-și retrage în orice moment consimțământul astfel dat prin modificarea setărilor dispozitivului lor mobil.

3.8. Pentru a verifica valabilitatea permisului de conducere, Operatorul trebuie să furnizeze anumite Date cu caracter personal (cum ar fi numărul permisului de conducere și numărul de identificare personală) Procesatorilor responsabili cu verificarea Datelor cu caracter personal înregistrate de Clienți și pentru asistența tehnică și administrativă pentru Clienți.

3.9. Atunci când furnizează servicii și asigură executarea acestora, Proprietarul Aplicației Mobile furnizează și primește de la RUPTELA UAB (o companie înregistrată în conformitate cu legile lituaniene, având sediul social la adresa 6 Perkūnkiemio Str, LT-12130 Vilnius, Lituania, LT100003432316, www.ruptela.com, info@ruptela.com) și către LEMATICS UAB (o companie înregistrată în conformitate cu legile lituaniene, având sediul social la adresa 25 Lvovo Str, LT-09320, Vilnius, Lituania, LT100010749217, www.lematics.com, info@lematics.com), în calitate de Procesatori, informații care permit stabilirea locației vehiculului, a perioadei și locului unde este parcat/staționat vehiculul, a vitezei vehiculelor, a distanței parcurse, a datei, orei și a duratei de utilizare a vehiculelor, a perioadei în care vehiculul este deblocat/blocat, modificarea nivelului de încărcare a bateriei vehiculelor, la începutul/finalul Perioadei de Utilizare a Vehiculului și în timp ce Utilizatorii folosesc vehiculele, informații privind starea ușilor Vehiculelor (închise/deschise).

3.10. Pentru a asigura o decontare comodă, sigură și de calitate superioară a plăților pentru serviciile furnizate, Proprietarul Aplicației Mobile a încheiat un subcontract cu Procesatorul de plăți Adyen N.V. (o societate înregistrată la Camera de Comerț Olandeză sub numărul 34259528 și având sediul la adresa Simon Carmiggeltstraat 6-50, 1011 DJ în Amsterdam, Olanda, www.adyen.com), ce procesează operațiunile de plată.

3.11. Proprietarul Aplicației Mobile a contractat și  Amazon Web Services în calitate de Procesator pentru a efectua serviciile de închiriere și instalare de servere.

3.12. Operatorul a încheiat un acord cu Proprietarul Aplicației Mobile care definește responsabilitățile în ceea ce privește protecția Datelor cu Caracter Personal. Potrivit acestui acord, SPARK CAR SHARING S.R.L. este responsabilă pentru furnizarea informațiilor cerute de lege și pentru procesarea solicitărilor Persoanelor vizate, prevăzute în GDPR, în România.

3.13. Operatorul confirmă că, pentru a asigura protecția datelor, au fost implementate toate măsurile tehnice și organizatorice de protecție a datelor disponibile și justificate în mod rezonabil.

3.14. Operatorul și/sau Proprietarul Aplicației Mobile, în numele Operatorului, încheie acorduri cu Procesatorii, care procesează Datele cu Caracter Personal numai în numele Operatorului, în scopurile stabilite în DPA. În special, fiecare procesator:

- procesează Datele cu caracter personal numai în conformitate cu instrucțiunile documentate ale Operatorului, inclusiv în legătură cu transferul de Date cu caracter personal către o țară terță sau organizație internațională, cu excepția cazului în care este necesar să se abată de la astfel de instrucțiuni pentru a respecta cerințele GDPR și/sau alte obligații legale la care este supus Procesatorul. Într-un astfel de caz, Procesatorul trebuie, fără întârzieri nerezonabile, să informeze Operatorul cu privire la cerința relevantă înainte de prelucrarea Datelor cu Caracter Personal;

- să se asigure că persoanele autorizate să prelucreze Datele cu Caracter Personal și-au asumat obligația de confidențialitate și respectarea reglementărilor aplicabile privind protecția datelor în cadrul UE sau sunt obligate printr-o obligație legală corespunzătoare de confidențialitate;

- să sprijine Operatorul la cererea sa expresă scrisă, în vederea asigurării îndeplinirii obligațiilor sale legale, cum ar fi cele legate de securitatea datelor cu Operatorul, evaluarea impactului asupra protecției datelor și consultarea prealabilă prevăzută în GDPR și, în special, să implementeze măsuri tehnice și organizatorice adecvate pentru a proteja Datele cu caracter personal acoperite de DPA împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii neautorizate sau accesului la Datele cu caracter personal. Procesatorul va fi obligat să își îndeplinească toate obligațiile în calitate de Procesator de date cu caracter personal, în deplină conformitate cu legile relevante, pe cheltuiala proprie;

- să sprijine Operatorul prin implementarea măsurilor tehnice și organizatorice adecvate pentru îndeplinirea obligațiilor Operatorului în această calitate, și anume: să răspundă solicitărilor de exercitare a drepturilor Persoanelor vizate conform GDPR. Procesatorul trebuie să notifice imediat Operatorul cu privire la orice solicitare făcută de orice Persoană vizată și să nu răspundă solicitării relevante înainte de a primi instrucțiunile Operatorului;

- să furnizeze Operatorului toate informațiile necesare pentru a dovedi respectarea obligațiilor Procesatorului, astfel cum sunt specificate în DPA-uri și în GDPR, și pentru a permite și a asista la audituri, inclusiv inspecții efectuate de către Operator sau alt auditor autorizat de către Operator;

- să mențină înregistrări exacte ale tuturor activităților de prelucrare în temeiul DPA în conformitate cu cerințele stabilite în GDPR și să furnizeze Operatorului înregistrările relevante în termen de zece (10) zile lucrătoare de la primirea solicitării din partea Operatorului;

- se asigură că Datele cu caracter personal nu sunt transferate, eliberate, atribuite, dezvăluite sau puse la dispoziția unei terțe părți fără acordul prealabil, expres, în scris al Operatorului;

- se asigură că obligațiile de protecție a datelor similare cu cele stabilite în acest document sunt impuse altor Procesatori de Date cu Caracter Personal care sunt angajați de către Procesator prin intermediul unui contract. Procesatorul este responsabil față de Operator pentru îndeplinirea acestor obligații de către ceilalți Procesatori;

- va informa imediat Operatorul dacă o instrucțiune a Operatorului încalcă Regulamentul privind protecția datelor sau dacă Datele cu caracter personal sunt sau vor fi prelucrate cu încălcarea Regulamentului privind protecția datelor sau a DPA și informează imediat Operatorul cu privire la plângerile sau auditurile efectuate de autoritățile de supraveghere a protecției datelor din datele legate de prelucrarea datelor cu caracter personal;

- va informa Operatorul fără întârzieri nejustificate (dar nu mai târziu de 48 de ore) după ce a luat cunoștință de orice încălcare a securității datelor cu caracter personal, ceea ce înseamnă, de exemplu, orice încălcare a securității care are ca rezultat distrugerea accidentală sau ilegală, pierderea, modificarea, dezvăluirea sau accesul neautorizat la Datele personale care sunt transmise, stocate sau prelucrate în alt mod. Notificarea trebuie să descrie natura încălcării, numărul de Titulari ai datelor afectați, consecințele probabile ale încălcării, măsura luată sau propusă, precum și alte date referitoare la încălcarea enumerată la articolul 33, alineatul 3 din GDPR; și

- la încetarea contractului de prelucrare sau la solicitarea scrisă a Operatorului, să distrugă sau să returneze toate Datele cu Caracter Personal, cu excepția cazului în care se prevede altfel în GDPR sau legislația națională obligatorie din UE la care se supune Procesatorul.

4. PRELUCRAREA DATELOR BIOMETRICE ÎN SCOPUL IDENTIFICARII UNICE ȘI PRECISE

4.1. Operatorul prelucrează, direct sau indirect, prin intermediul Procesatorilor, Datele biometrice, respectiv, fotografiile Clienților în scopul identificării unice și exacte a Clienților în timpul procedurilor de înregistrare a Conturilor Utilizatorului.

4.2. Temeiurile legale pentru prelucrarea datelor biometrice sunt stabilirea și exercitarea acțiunilor legale (articolul 9, alineatul 2, lit. f) din GDPR).

4.3. În scopul colectării, prelucrării și stocării datelor biometrice ale Clienților, Proprietarul Aplicației Mobile a încheiat un contract de prelucrare a datelor biometrice cu JUMIO Corporation (395 Page Mill Road, Ap. 150, Palo Alto, CA 94306, SUA, www.jumio.com), care este autorizat cu certificatul de protecție a datelor PCI DSS și oferă un nivel ridicat de protecție echivalent cu informațiile de protecție a băncilor.

4.4. Procesatorul este obligat să prelucreze datele numai în scopul identificării exacte a clienților și nu în alte scopuri. Deși verificarea pentru validarea datelor și confirmarea identității Clienților se face prin mijloace automate, deciziile de refuzare a înregistrării se iau numai după intervenția umană și validarea suplimentară a documentelor.

5. PRELUCRAREA DATELOR PERSONALE ÎN SCOPURI DE MARKETING DIRECT

5.1. Operatorul prelucrează Date Personale ale Utilizatorilor în scop de marketing direct,  exclusiv, când:

5.1.1 Persoana vizată şi-a dat consimțământul pentru prelucrarea Datelor pentru acest scop specific, cu respectarea art. 6 alin. 1 pct. a) și art. 7 din GDPR; cererea privind consimțământul este prezentată într-o formă care o diferențiază în mod clar de celelalte aspecte; nicio parte a respectivei declarații, care constituie o încălcare a GDPR, dacă și când este cazul, nu este obligatorie;

5.2. Persoanele vizate au dreptul de a se opune în orice moment prelucrării în scop de marketing direct a Datelor Personale care o privesc, inclusiv creării de profiluri, în măsura în care este legată de marketingul direct respectiv. În cazul în care Persoana vizată se opune prelucrării în scopul marketingului direct, Datele nu mai sunt prelucrate în acest scop.

5.3. Pentru a primi comunicări de marketing direct (adică oferte speciale, mesaje în cadrul campaniilor promoționale, reclame, cupoane și/sau alte mesaje similare) pentru Serviciile furnizate de Operator, Utilizatorii au opțiunea de a-și exprima consimțământul, în Aplicația Mobilă, pentru prelucrarea Datelor în scopuri de marketing direct, în momentul sau ulterior înregistrării Contului și/sau de a se abona pentru a primi newsletter-e (buletine informative), pe Website.

Înregistrarea Contului, încheierea și/sau executarea Contractului de prestări de Servicii, Contractului de utilizare a Vehiculului, inclusiv prestarea Serviciilor nu sunt condiționate de consimțământul cu privire la prelucrarea Datelor Personale în scop de marketing direct.

5.4. Comunicările, indiferent de modul în care sunt transmise, inclusiv buletine informative, prin care Utilizatorii și Clienții sunt informați corespunzător, din când în când, despre modificările aduse Termenilor și Condițiilor Generale, Regulilor de Utilizare a Vehiculelor, Listei de prețuri, Contractului de Utilizare a Vehiculului, și/sau Politicii de confidențialitate, precum și cele referitoare la limitările temporare de acces la Aplicația Mobilă și/sau la Website, problemele de siguranță și/sau similare nu sunt și nu vor fi considerate și/sau interpretate ca fiind comunicări de marketing direct. În acest caz, prelucrarea este necesară pentru îndeplinirea contractului dintre Părți (art. 6 alin. 1, lit. (b) din GDPR), pentru respectarea obligațiilor legale prevăzute de legislația privind protecția clienților, la care se supune Operatorul sub rezerva (art. 6 alin. 1, litera (c) din GDPR), precum și în scopurile intereselor legitime urmărite de către Operator (art. 6 alin. 1, lit. (f) din GDPR).  

5.5. Operatorul prelucrează următoarele Date Personale ale Utilizatorilor în scop de marketing direct:

5.5.1. Prenume;

5.5.2. Nume;

5.5.3. Adresa de Email;

5.5.4. Număr de telefon;

5.5.5. Adresă.

5.6. Persoanele vizate își pot retrage oricând consimțământul cu privire la prelucrarea Datelor în scopuri de marketing direct și refuza să primească comunicări de marketing direct, (i) făcând clic pe linkul „dezabonare” din mesajele de e-mail primite sau (ii) modificând setările privind notificările, din Contul propriu sau (iii) prin trimiterea unei solicitări scrise, Operatorului, în acest sens. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia.

5.7. Datele prelucrate în scopuri de marketing direct nu sunt transmise de către Operator către Destinatari.

5.8. Temeiul legal pentru prelucrarea datelor în scop de marketing direct este art. 6 alin. 1 pct. a), cu aplicarea art. 7 și 21 din GDPR.

5.9. Atunci când prelucrează Datele în scop de marketing direct, Operatorul utilizează platforma specializată AIRSHIP (www.airship.com), prin care sunt trimise buletine informative către Persoanele vizate, precum și AMAZON WEB SERVICES, în calitate de Procesatori.

 

6. PRELUCRAREA DATELOR PRIN UTILIZAREA GOOGLE ANALYTICS ÎN SCOPURI PUBLICITARE

6.1. Operatorul, în temeiul necesității de a analiza și de a înțelege mai bine comportamentul Utilizatorilor cu ocazia folosirii Serviciilor, utilizează funcțiile de publicitate Google Analytics 4 (cunoscute anterior ca Google Universal Analytics), pentru a putea afișa mesaje publicitare personalizate pentru Utilizatori în Aplicația Mobilă.

6.2. Prin utilizarea Google Analytics 4, Operatorul acordă dezvoltatorului/proprietarului acestuia dreptul de a prelucra datele descrise mai jos. Mai multe informații despre politicile Google privind confidențialitatea și colectarea datelor pot fi găsite aici:  Google Safety Center - Stay Safer Online.

6.3.       Prin utilizarea Google Analytics 4 și activarea funcției „Google Signals", Operatorul nu transferă dezvoltatorului/proprietarului acestora nicio informație care ar putea identifica o anumită persoană, fiind partajate numai următoarele date:

6.3.1.  ID-ul Aplicației Mobile utilizate de Utilizator, generat de Google (în continuare - ID-ul Aplicației Mobile);

6.3.2. Țara în care este deschisă Aplicația Mobilă, pe baza ID-ului Aplicației Mobile;

6.3.3.  Data la care Aplicația Mobilă a fost utilizată pentru prima dată, pe baza ID-ului Aplicației Mobile;

6.3.4.  Data la care a fost înregistrat Contul de Utilizator,  utilizând Aplicația Mobilă, pe baza ID-ului Aplicației Mobile;

6.3.5. Informații din care reiese dacă un card de debit/credit este înregistrat prin Aplicația Mobilă, pe baza ID-ului Aplicației Mobile;

6.3.6.  Informații din care reiese dacă un permis de conducere valabil este înregistrat prin Aplicația Mobilă,  pe baza ID-ului Aplicației Mobile;

6.3.7.  Informații despre momentul accesării Aplicației Mobile, pe baza ID-ului Aplicației Mobile;

6.3.8.  Informații despre durata utilizării Aplicației Mobile, pe baza ID-ului aplicației mobile;

6.3.9.  Informații despre plățile efectuate prin intermediul Aplicației Mobile (suma, moneda, scopul plății (tipul serviciului, perioadele în care Utilizatorul este înregistrat ca atare, suspendarea/blocarea Contului de Utilizator) pe baza ID-ului aplicației mobile.

 

7.              DATELE COLECTATE PRIN INTERMEDIUL APLICAȚIEI MOBILE

7.1. Prin intermediul Aplicației mobile sunt colectate și prelucrate informații despre locația dispozitivelor mobile ale Utilizatorilor, dar numai pentru cei care au permis accesul la astfel de informații pe dispozitivele lor mobile. Utilizatorii pot controla modul în care datele lor personale sunt prelucrate în timp ce utilizează și nu utilizează aplicația mobilă, inclusiv tipul de date sunt prelucrate, prin setarea opțiunilor relevante, în funcție de sistemele de operare instalate pe dispozitivele lor mobile.

7.2. Operatorul colectează date privind localizarea dispozitivelor mobile ale Utilizatorilor pentru a crește și îmbunătăți disponibilitatea Vehiculelor, precum și a Serviciilor furnizate, pe baza nevoilor clienților în anumite zone, pe anumite perioade de timp etc.

7.3. Datele privind locația dispozitivelor mobile nu sunt transferate Destinatarilor, cu excepția cazului în care legile obligatorii prevăd altfel.

 

8. MONITORIZAREA MOBILITĂȚII

8.1. Operatorul monitorizează mobilitatea vehiculelor furnizate Clienților pentru utilizare.

8.2. Monitorizarea mobilității are ca scop asigurarea securității activelor aparținând Operatorului, utilizarea serviciilor prestate, de către Clienți, cu bună-credință și în mod corespunzător și furnizarea serviciilor cu calitatea cuvenită, garantând securitatea Clienților și a terților.

8.3. Monitorizarea mobilității se realizează prin intermediul transmițătoarelor GPS și Detectorilor, astfel cum sunt definiți în Termeni și condiții, instalate în vehiculele aparținând Operatorului. Datele includ informații despre distanța parcursă, viteza, traseul și locația vehiculului, maniera de conducere, fumatul și fumul în interiorul vehiculelor, precum și avariile ce afectează exteriorul vehiculelor.

8.4. Datele de monitorizare a mobilității nu sunt transmise Destinatarilor, cu excepția cazului în care se prevede altfel în legile relevante și/sau în Politică, Contractul de servicii și Contractul de utilizare a vehiculului.

8.5. Temeiurile legale pentru prelucrarea datelor sunt articolul 6, alineatul 1, literele „b” și „f” din GDPR.

8.6. În vederea efectuării Monitorizării Mobilității, Operatorul a contractat LEMATICS UAB și RUPTELA UAB, mai sus identificate, și Robert Bosch GmbH, cu sediul în Robert-Bosch-Platz 1, 70839 Gerlingen, Germania.

9. LUAREA AUTOMATIZATĂ A DECIZIILOR

9.1. Pentru a oferi servicii de calitate superioară și recompense, Operatorul utilizează procesul decizional automat pentru a calcula punctele e-Go într-o manieră complet obiectivă și nediscriminatorie, pe baza distanței parcurse de Utilizator conducând Vehiculul. Prețul perceput pentru utilizarea serviciilor se calculează și în mod automat în funcție de durata și distanța pentru care este utilizată mașina electrică, precum și de locul unde este finalizată Perioada de utilizare a Vehiculului. Operatorul apreciază confidențialitatea Clienților și nu folosește Datele Personale ale Clienților pentru a realiza profiluri.

10. PARTAJAREA DATELOR

10.1. Operatorul protejează confidențialitatea Datelor cu caracter personal ale titularilor și nu dezvăluie Datele personale către terți, decât cu consimțământului titularului și în cazurile permise de lege, Politica de confidențialitate, Contractul de servicii și Contractul de utilizare a Vehiculului.

10.2. Cu măsuri de protecție și control garantate, dezvăluirea este posibilă către alte companii din grupul de companii din care Operatorul face parte și/sau către furnizorii săi de servicii pentru a asigura buna funcționare a sistemului de utilizare partajată vehiculelor electrice și calitatea superioară a serviciilor (de exemplu, cu furnizorii de servere, servicii de telemetrie), validarea datelor, asistență tehnică și administrativă pentru clienți, EV Mobility Monitoring, platformă de partajare auto, analiză statistică a datelor etc.). În acest caz, furnizorii de servicii sunt obligați să respecte cu strictețe obligațiile lor contractuale și legislația aplicabilă privind protecția datelor, inclusiv luarea măsurilor necesare pentru a proteja confidențialitatea Datelor cu caracter personal ale titularilor.

10.3. De asemenea, este posibil ca datele Clienților să fie partajate cu terți dacă există o nevoie justificată, cum ar fi în cazul:

•             organismelor publice precum poliția rutieră și locală, instanțele de judecată, procurorii, Agenția Națională pentru Protecția Consumatorilor etc., în scopul îndeplinirii obligațiilor legale ale Operatorului, inclusiv să sesizeze eventualele încălcări ale legii, infracțiuni și contravenții, pentru prevenirea fraudelor și accidentelor rutiere sau pentru a îndeplini alte cerințe legale, de ex. pentru raportarea contabilă;

•             asigurători, case de avocatură, executori judecătorești, firme de recuperare a creanțelor - precum eCollect AG, cu adresa la Neuhofstrasse 21, 6340 Baar, Zug, Elveția, cu număr de înregistrare: CHE – 180.481.291, - etc., pentru a pune în aplicare Contractul de servicii și Contractul de utilizare a vehiculului și pentru a garanta proprietatea Operatorului și celelalte drepturi și interese legale ale acestuia;

•             pentru a proteja securitatea, drepturile și interesele altor clienți și/sau terți.

11. TRANSFER DE DATE ÎN AFARA UE

11.1. Transferul Datelor cu caracter personal către o țară terță sau o organizație internațională din afara Uniunii Europene și a Spațiului Economic European poate avea loc numai dacă este îndeplinită una dintre următoarele condiții:

11.1.1.

Există o decizie a Comisiei Europene privind nivelul adecvat de protecție a Datelor cu Caracter Personal pe care îl asigură țara terță în care sunt primite datele;

11.1.2. Există un consimțământ explicit al persoanei vizate, după ce a fost informată cu privire la posibilele riscuri asociate transferului din cauza absenței unei decizii privind nivelul adecvat de protecție și a garanțiilor adecvate;

11.1.3. Transmiterea este necesară pentru executarea unui contract între Persoanele vizate și Operator sau pentru îndeplinirea măsurilor precontractuale luate la cererea Persoanelor vizate;

11.1.4. Transferul este necesar pentru încheierea sau executarea unui contract încheiat în interesul Titularului datelor între Operator sau grupul din care face parte și o altă persoană fizică sau juridică;

11.1.5. Transferul este necesar pentru constatarea, exercitarea sau apărarea pretențiilor legale;

11.1.6. Transmiterea se face printr-un registru public.

11.2. În cazul în care este nevoie de verificare manuală a datelor în timpul înregistrării Utilizatorului, transferul de date se face și de către Prestatorul serviciilor de verificare a identității, care este înmatriculat în SUA. Transferul se realizează în baza clauzelor contractuale tip (articolul 46, alin.2, litera „c”) din GDPR) cu nivelul necesar de protecție a datelor, în condițiile în care JUMIO este certificată conform standardului PCI DSS și este auditată anual pentru conformitatea acestuia.

12. PERIOADE DE STOCARE A DATELOR

12.1. Operatorul aplică diferite perioade de stocare a Datelor cu Caracter Personal în funcție de categoriile de Date cu Caracter Personal prelucrate și de scopurile prelucrării.

12.2. În cazul în care procesul de înregistrare nu a fost finalizat cu succes și, astfel, Clienților nu li s-a acordat dreptul de a utiliza serviciile de utilizare partajată a autovehiculelor electrice, Datele cu caracter personal ale acestora sunt de obicei stocate pentru o perioadă de 3 ani de la acel moment, cu excepția cazului în care Operatorul justifică un interes legitim în continuarea procesării lor (de exemplu, pentru apărarea împotriva reclamațiilor etc.).

12.3. La finalizarea unei înregistrări cu succes cu dreptul de a utiliza serviciile pentru utilizarea în comun a mașinilor electrice, Operatorul aplică următoarele perioade de stocare a Datelor cu Caracter Personal:

Nr.

Categorii de date personale

Perioada de stocare

1.       

Date prelucrate în executarea obligațiilor fiscale și pentru înregistrări contabile

5 ani începând de la 1 ianuarie a anului imediat următor celui în care s-a născut obligația fiscală/de înregistrare contabilă

2.       

Date prelucrate în raporturile juridice născute din contractele de asigurări

2 ani de la data când s-a născut dreptul la acțiune în temeiul raportului juridic de asigurări

3.       

Date personale de identificare din Contul de utilizator al Utilizatorului, prelucrate în scopul furnizării serviciilor de partajare a mașinii electrice

3 ani de la data încetării Contractului de Servicii

4.      Д

Date biometrice

Datele prelucrate în scopul identificării unice și exacte a Clienților în timpul procedurilor de înregistrare a Conturilor Utilizatorului sunt șterse imediat din baza de date a Operatorului, după stabilirea identității/după înregistrarea cu succes a contului.  Datele biometrice sunt apoi stocate în servere JUMIO specializate pe o perioadă de 5 ani - cu excepția cazului în care un termen mai scurt  este prevăzut în politica de confidențialitate a acesteia -, începând de la data la care procesul de verificare a identității Utilizatorului a fost finalizat cu succes

5.       

Date utilizate în scopuri de marketing direct

2 ani de la data încetării Contractului de Servicii

6.       

Date de monitorizare a mobilității

2 ani de la data încetării Contractului de Servicii

7.       

Datele de localizare ale dispozitivelor mobile ale Utilizatorilor

1 an de la ultima conectare la Aplicația Mobilă

12.4. Pot fi stabilite excepții de la perioadele de stocare de mai sus, în măsura în care abaterile relevante nu încalcă drepturile persoanelor vizate, respectă cerințele legale și sunt documentate corespunzător.

12.5. Documentele și Datele despre Utilizatori, în privința cărora Operatorul a inițiat proceduri judiciare, sunt stocate conform instrucțiunilor departamentului juridic, pentru o perioadă de 3 ani de la soluționarea definitivă a cauzei sau de la plata integrală a datoriei, indiferent care survine prima.

12.6. După expirarea termenelor stabilite, Datele sunt anonimizate sau distruse în mod securizat prin ștergerea lor din sistemele informatice sau prin mărunțire dacă sunt pe hârtie.

12.7. Cookies sunt prelucrate conform Politicii de cookies adoptată de Proprietarul Website-ului, în numele Operatorului, pentru perioada acolo prevăzută.

13. DREPTURILE PERSOANELOR VIZATE

13.1. Persoanele vizate au dreptul de a-și exercita următoarele drepturi conform procedurii stabilite în GDPR și în legile suplimentare relevante:

13.1.1. Dreptul la informare: înainte de prelucrarea Datelor, Operatorul este obligat să furnizeze Persoanelor vizate informații sub forma unei notificări de confidențialitate despre datele cu caracter personal pe care le colectează, în ce temei și în ce scopuri le utilizează, cu cine le împărtășește, intenția Operatorului de a transfera Datele către țări terțe din afara UE, dacă există, perioada de stocare și măsurile de securitate, consecințele nefurnizării Datelor, prezența procesului decizional automat, drepturile persoanelor vizate, inclusiv dreptul acestora de a depune o plângere la o autoritate de supraveghere. Înainte de a se înregistra ca utilizator și de a instala aplicația mobilă, Persoana vizată este obligat să citească și să fie de acord cu Politica de confidențialitate pentru a putea utiliza Aplicația mobilă;

13.1.2. Dreptul de acces: acest drept permite persoanelor vizate să obțină copii ale Datelor pe care Operatorul le stochează despre acestea, precum și informații legate de prelucrare. Istoricul serviciilor utilizate de Persoanele vizate și Datele furnizate în timpul înregistrării pot fi accesate prin intermediul Contului de utilizator din aplicația mobilă, putând fi depusă și o cerere specială de acces;

13.1.3. Dreptul la ștergere: acest drept permite Titularilor de date să solicite ștergerea Datelor atunci când nu există niciun motiv valabil pentru ca Operatorul să continue prelucrarea acestora, de ex. dacă scopul pentru care au fost colectate datele a fost atins sau dacă Persoanele vizate și-au retras consimțământul. În cazul în care cerințele legale sunt îndeplinite, Operatorul ar trebui să șteargă datele cu caracter personal în termen de 1 lună, cu excepția cazului în care există alt termen prevăzut de legile imperative sau există o obligație legală de a continua prelucrarea acestora sau păstrarea datelor este necesară pentru stabilirea, exercitarea sau apărarea pretențiilor legale;

13.1.4. Dreptul la rectificarea datelor personale: acest drept permite titularilor de date să solicite corectarea oricăror Date incomplete sau inexacte ale acestora. Persoanele vizate sunt obligați să noteze cu promptitudine orice modificare a datelor lor personale în Contul lor de utilizator și/sau să notifice Operatorul despre aceasta;

13.1.5. Dreptul la restricționarea prelucrării datelor: acest drept permite persoanelor vizate să solicite Operatorului să suspende temporar prelucrarea datelor cu caracter personal dacă, de exemplu, doresc să stabilească exactitatea datelor sau motivele prelucrării acestora.

13.1.6. Dreptul la portabilitatea datelor: acest drept este limitat la cazurile în care datele sunt prelucrate într-o manieră automată și sunt furnizate de către Persoanele vizate pe baza consimțământului acestora sau în scopul semnării unui contract, dând posibilitatea de a cere Operatorului să furnizeze informațiile personale. Date stocate în formă electronică către Persoanele vizate sau către o terță parte;

13.1.7. Dreptul la obiectare: în cazurile în care Operatorul se bazează pe interesele sale legitime ca bază pentru prelucrare, Persoanele vizate se pot opune acestei prelucrări din motive legate de situația lor particulară. De asemenea, aceștia au dreptul de a se opune atunci când prelucrarea este în scopuri de marketing direct sau Datele sunt prelucrate în scopuri statistice;

13.1.8. Drepturi legate de luarea automată a deciziilor, inclusiv crearea de profiluri: Persoanele vizate au dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrare automată, inclusiv pe profilare, care dă naștere la consecințe juridice pentru persoanele vizate sau le afectează în mod similar în mod semnificativ;

13.1.9. Retragerea consimțământului: Persoanele vizate au dreptul de a-și retrage consimțământul în orice moment în cazul în care l-au dat fără a afecta prelucrarea până la acel moment. În cazul în care a fost dat consimțământul în scopuri de marketing direct, Persoanele vizate pot renunța la primirea buletinelor informative în orice moment făcând clic pe linkul „dezabonare” din mesajele de e-mail trimise de Operator sau prin modificarea setărilor aplicației lor mobile. În cazul în care Persoanele vizate au oferit acces la locația lor prin intermediul dispozitivului mobil pentru a găsi vehicule electrice în apropiere, pot modifica setările astfel selectate;

13.1.10. Înregistrarea unei plângeri: În cazul în care Persoanele vizate consideră că vreunul dintre drepturile lor a fost încălcat, au dreptul de a depune plângeri la Operator și/sau la Autoritatea pentru Protecția Datelor cu Caracter Personal - www.dataprotection.ro.

13.2. Solicitările pot fi depuse de către Persoanele vizate sau orice persoană autorizată de către acestea, Operatorul luând măsuri pentru confirmarea identității acestora, în scopul protecției datelor. Operatorul este obligat să proceseze astfel de cereri în următorii termeni, cu excepția cazului în care se prevede altfel de legile relevante:

 

Solicitare de la Persoana vizată

Perioada

Dreptul la informare

Când datele sunt colectate (dacă datele sunt furnizate de Persoana vizată) sau în termen de o lună (dacă datele nu sunt furnizate de Persoana vizată)

Dreptul de acces

O lună

Dreptul de actualizare

O lună

Dreptul de ștergere

Fără întârziere nejustificată

Dreptul la restricționarea prelucrării datelor

Fără întârziere nejustificată

Dreptul la portabilitatea datelor

O lună

Dreptul de a obiecta

Fără întârziere nejustificată

13.4. Operatorul are dreptul de a refuza în mod rezonabil Titularului datelor exercitarea drepturilor sale sau de a impune o taxă rezonabilă în condițiile prevăzute la articolul 12, alineatul 5 din GDPR.

 

14. RESPONSABIL CU PROTECȚIA DATELOR

14.1. Drepturile și obligațiile Responsabilului cu protecția datelor sunt descrise în detaliu în GDPR, fișele postului, dacă postul este ocupat de un angajat al Operatorului sau în contractul de servicii, dacă funcția de Responsabil cu protecția datelor este deținută de un furnizor de servicii extern.

14.2. În general, îndatoririle RPD includ acela de a fi responsabil pentru implementarea corectă a Politicii de confidențialitate a Operatorului în conformitate cu standardele și cerințele legislației aplicabile, participarea la creșterea gradului de conștientizare și formarea angajaților care prelucrează Datele cu Caracter Personal, efectuarea auditurilor, rapoartelor cu riscurile ce implică prelucrarea datelor, reacționează la încălcările securității datelor, asistă Autoritatea pentru Protecția Datelor cu Caracter Personal și Persoanelor vizate în exercitarea drepturilor acestora, ține un registru al activităților de prelucrare etc. sarcini atribuite de Operator, în măsura în care acestea nu intră în conflict cu atribuțiile sale de DPO.

14.3. Pentru probleme legate de DPO puteți utiliza următoarea adresă de e-mail: gdpr@espark.ro.

15. PROCEDURA PENTRU GESTIONAREA ÎNCĂLCĂRILOR DE SECURITATE A DATELOR PERSONALE ȘI A TRATĂRII ACESTE ÎNCĂLCĂRI

15.1. În cazul în care angajații Operatorului care au dreptul de a accesa notificarea de date sau sunt notificați cu privire la încălcări ale securității datelor (inacțiune sau acțiuni ale unor persoane care pot duce la sau au condus la un risc pentru securitatea datelor), aceștia sunt ținuți să notifice imediat Responsabilul cu protecția datelor și supervizorul imediat.

15.2. Luând în considerare factorii de risc pentru încălcarea securității datelor, gradul de impact al încălcării, daunele și consecințele, urmând procedurile interne relevante, Operatorul ia decizii cu privire la măsurile necesare pentru remedierea încălcării securității datelor și a consecințelor acesteia și pentru a anunța Autoritatea Publică pentru Protecția Datelor și persoanele afectate, dacă există un risc ridicat pentru drepturile și libertățile acestora.

16. MĂSURI TEHNICE ȘI ORGANIZAȚIONALE PENTRU SECURITATEA DATELOR PERSONALE

16.1. Măsurile organizatorice și tehnice de securitate a datelor implementate de către Operator asigură un nivel de securitate care corespunde naturii datelor prelucrate de către Operatorul de date și riscului de prelucrare a datelor, inclusiv, dar fără a se limita la, măsurile specificate în această secțiune.

16.2. Măsurile de securitate a datelor cu caracter personal includ următoarele:

16.2.1. Măsuri administrative precum implementarea procedurilor adecvate pentru securitatea documentelor și datelor informatice și a arhivelor acestora și organizarea muncii în diverse sfere de activitate, pregătirea obligatorie a personalului de protecție a datelor cu caracter personal angajat în prezent și la plecarea de la locul de muncă/concediere, atribuții privind confidențialitatea și interzicerea dezvăluirii datelor cu caracter personal, procedurile de furnizare a accesului la date etc.;

16.2.2. Măsuri de protecție tehnică și software precum administrarea serverelor, sistemelor informatice și bazelor de date, suport la locul de muncă, protecția sistemelor de operare, monitorizarea (controlul) accesului utilizatorilor, protecția împotriva virușilor informatici etc.;

16.2.3. Administrarea sistemelor informatice si a bazelor de date, suport la locul de muncă, protecția sistemelor de operare, protecția împotriva virușilor informatici etc.;

16.2.4. Protecții pentru comunicații și rețele de calculatoare (măsuri tehnice și software de codificare și transmitere a datelor de uz general, aplicații, Date personale, filtrarea pachetelor de date nedorite etc.).

16.3. Măsurile mai sus menționate pentru protecția Datelor cu Caracter Personal asigură: 1) echipamente de stocare pentru copii ale sistemelor de operare și baze de date, controlul stocării echipamentelor de copiere; 2) tehnologie pentru lucrul continuu cu date (prelucrare); 3) strategia de restabilire a funcționării sistemelor în cazuri de urgență (managementul incertitudinilor); 4) sistem unic de identificare a utilizatorului și parole; 5) separarea fizică (logică) a mediului de testare a aplicației de procesele din modul operațional; 6) utilizarea datelor înregistrate și confidențialitatea datelor.

16.4. Operatorul a stabilit o procedură de recuperare a Datelor cu Caracter Personal în cazul pierderii accidentale a Datelor. Operatorul face copii de rezervă ale datelor disponibile în sistem. Datele sunt preluate conform procedurii interne folosind software-ul Amazon Web Services din bibliotecile echipamentelor de rezervă. În toate cazurile, arhivele de date sunt stocate fără a aduce atingere perioadei de stocare a datelor specificată în Politică.

16.5. Operatorul aplică alte măsuri care garantează securitatea Datelor cu Caracter Personal:

16.5.1. Tehnologia VPN este utilizată pentru a se conecta de la distanță la rețeaua internă a Controllerului, iar un certificat digital este utilizat pentru a identifica utilizatorul;

16.5.2. Accesul la Datele cu Caracter Personal prin măsuri de securitate organizaționale și tehnice care înregistrează și controlează eforturile de înregistrare și dobândire a drepturilor sunt supuse controlului corespunzător;

16.5.3. La intrarea în baza de date se păstrează următoarele înregistrări de către persoanele cărora li se acordă dreptul de a prelucra Datele cu Caracter Personal: identificatorul de conectare, data, ora, durata, rezultatul introducerii (reușit, nereușit). Evidențele de mai sus se păstrează cel puțin 1 (un) an;

16.5.4. Securitatea sediului în care sunt stocate Datele cu Caracter Personal (accesul la sediul relevant doar de către persoane autorizate, încuiere etc.) este asigurată;

16.5.5. Se depun eforturi pentru a asigura utilizarea protocoalelor de securitate și/sau a parolelor la furnizarea de date cu caracter personal prin rețele externe de transmisie a datelor;

16.5.6. Operatorul depune toate eforturile pentru a asigura controlul asupra securității Datelor cu caracter personal pe suporturile de date externe și e-mail-ul și ștergerea acestora după utilizarea Datelor cu caracter personal prin transferul lor în baze de date;

16.5.7 Sunt înregistrate acțiuni urgente de recuperare a Datelor cu Caracter Personal (când și cine a efectuat acțiuni de recuperare a Datelor cu Caracter Personal prin mijloace automate și neautomate);

16.5.8. Operatorul depune toate eforturile pentru a se asigura că testarea sistemelor informatice nu este efectuată cu Date Personale reale, cu excepția cazurilor în care sunt utilizate măsuri organizatorice și tehnice de protecție a Datelor cu Caracter Personal, garantând securitatea reală a Datelor Personale;

16.5.9. Datele cu caracter personal din calculatoarele portabile, în cazul în care acestea din urmă nu sunt utilizate în rețeaua de transmitere a datelor Operatorului, sunt protejate prin măsuri adecvate riscului prelucrării.

16.6. Operatorul implementează măsuri tehnice și organizatorice adecvate pentru a asigura o prelucrare standardizată a Datelor cu caracter personal care este necesară pentru scopul specific al prelucrării datelor. Obligația de mai sus se aplică cantității corespunzătoare de Date cu caracter personal colectate, domeniului de aplicare a prelucrării acestora, perioadei de stocare a datelor cu caracter personal și accesibilității datelor cu caracter personal.

17. DATE DE CONTACT  

17.1. Operatorul poate fi contactat pentru întrebări legate de această Politică și/sau de protecția datelor în general, folosind următoarele date de contact:

Email: gdpr@espark.ro

Număr de telefon: 0759888602                                    

18. PREVEDERI FINALE

18.1. Politica va fi revizuită  anual de Operator și ori de câte ori va fi necesar, inclusiv în cazul modificării Legislației aplicabile ale actelor juridice care reglementează prelucrarea Datelor cu Caracter Personal.

18.2 Politica și modificările aduse acesteia intră în vigoare de la data publicării lor pe Website.