GDPR – Protectia datelor personale

 

Suntem constienti de importanta confidentialitatii datelor cu caracter personal. In continuare iti vom explica de ce si cum folosim datele tale cu caracter personal.

Colectam urmatoarele date cu caracter personal:

-nume si  prenume

-adresa de livrare

-telefon

-adresa de mail

-IP

O parte a acestor date poate fi transmisa firmelor de curierat cu care colaboram, altfel nu ar fi posibil ca produsele sa ajunga la dvs.

Colectam aceste date pentru a putea inregistra comanda si pentru a livra produsele dorite de dvs.

Adresa IP nu este folosita pentru a te identifica personal.  Adresa IP este folosita pentru inregistrarea modului de accesare si utilizare a site-ului isassy.ro, prin fisierele de tip cookie.

Datele se colecteaza atunci cand:

-creati cont de client

-plasati comenzi

-va abonati la newsletter

-adaugati comentarii

Perioada de retentie maxima a cestor date este de 5 ani de la ultima vizita pe isassy.ro. In cazul in care ai cumparat un produs de la noi, perioada de retentie in cazul facturilor este de 10 ani – obligatie legala.

Drepturile persoanelor ale caror date sunt prelucrate:

-dreptul la informare

-dreptul la acces

-dreptul la modificare si stergere

-dreptul la restrictionare

-dreptul la portabilitate

-dreptul de a depune plangere la Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal

-dreptul de a nu fi obiectul unei decizii de prelucrare automata

 

Definitii

 

In sensul prezentului regulament:

 

1.“date cu caracter personal” inseamna orice informatii privind o persoana fizica identificata sau identificabila (“persoana vizata”); o persoana fizica identificabila este o persoana care poate fi identificata, direct sau indirect, in special prin referire la un element de identificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;

2.“prelucrare” inseamna orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fara utilizarea de mijloace automatizate, cum ar fi colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea;

3.“restrictionarea prelucrarii” inseamna marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora;

4.“creare de profiluri” inseamna orice forma de prelucrare automata a datelor cu caracter personal care consta in utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoana fizica, in special pentru a analiza sau prevedea aspecte privind performanta la locul de munca, situatia economica, sanatatea, preferintele personale, interesele, fiabilitatea, comportamentul, locul in care se afla persoana fizica respectiva sau deplasarile acesteia;

5.“pseudonimizare” inseamna prelucrarea datelor cu caracter personal intr-un asemenea mod incat acestea sa nu mai poata fi atribuite unei anume persoane vizate fara a se utiliza informatii suplimentare, cu conditia ca aceste informatii suplimentare sa fie stocate separat si sa faca obiectul unor masuri de natura tehnica si organizatorica care sa asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;

6.“sistem de evidenta a datelor” inseamna orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate dupa criterii functionale sau geografice;

7.“operator” inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care, singur sau impreuna cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal; atunci cand scopurile si mijloacele prelucrarii sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevazute in dreptul Uniunii sau in dreptul intern;

8.“persoana imputernicita de operator” inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care prelucreaza datele cu caracter personal in numele operatorului;

9.“destinatar” inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism careia (caruia) ii sunt divulgate datele cu caracter personal, indiferent daca este sau nu o parte terta. Cu toate acestea, autoritatile publice carora li se pot comunica date cu caracter personal in cadrul unei anumite anchete in conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de catre autoritatile publice respective respecta normele aplicabile in materie de protectie a datelor, in conformitate cu scopurile prelucrarii;

10.“parte terta” inseamna o persoana fizica sau juridica, autoritate publica, agentie sau organism altul decat persoana vizata, operatorul, persoana imputernicita de operator si persoanele care, sub directa autoritate a operatorului sau a persoanei imputernicite de operator, sunt autorizate sa prelucreze date cu caracter personal;

11.“consimtamant” al persoanei vizate inseamna orice manifestare de vointa libera, specifica, informata si lipsita de ambiguitate a persoanei vizate prin care aceasta accepta, printr-o declaratie sau printr-o actiune fara echivoc, ca datele cu caracter personal care o privesc sa fie prelucrate;

12.“incalcarea securitatii datelor cu caracter personal” inseamna o incalcare a securitatii care duce, in mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizata a datelor cu caracter personal transmise, stocate sau prelucrate intr-un alt mod, sau la accesul neautorizat la acestea;

13.“date genetice” inseamna datele cu caracter personal referitoare la caracteristicile genetice, mostenite sau dobandite ale unei persoane fizice, care ofera informatii unice privind fiziologia sau sanatatea persoanei respective si care rezulta in special in urma unei analize a unei mostre de material biologic recoltate de la persoana in cauza;

14.“date biometrice” inseamna o date cu caracter personal care rezulta in urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirma identificarea unica a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice;

15.“date privind sanatatea” inseamna date cu caracter personal legate de sanatatea fizica sau mentala a unei persoane fizice, inclusiv prestarea de servicii de asistenta medicala, care dezvaluie informatii despre starea de sanatate a acesteia;

16.“sediu principal” inseamna:

(a)in cazul unui operator cu sedii in cel putin doua state membre, locul in care se afla administratia centrala a acestuia in Uniune, cu exceptia cazului in care deciziile privind scopurile si mijloacele de prelucrare a datelor cu caracter personal se iau intr-un alt sediu al operatorului din Uniune, sediu care are competenta de a dispune punerea in aplicare a acestor decizii, caz in care sediul care a luat deciziile respective este considerat a fi sediul principal;

(b)in cazul unei persoane imputernicite de operator cu sedii in cel putin doua state membre, locul in care se afla administratia centrala a acesteia in Uniune, sau, in cazul in care persoana imputernicita de operator nu are o administratie centrala in Uniune, sediul din Uniune al persoanei imputernicite de operator in care au loc activitatile principale de prelucrare, in contextul activitatilor unui sediu al persoanei imputernicite de operator, in masura in care aceasta este supusa unor obligatii specifice in temeiul prezentului regulament;

17.“reprezentant” inseamna o persoana fizica sau juridica stabilita in Uniune, desemnata in scris decatre operator sau persoana imputernicita de operator in temeiul articolului 27, care reprezinta operatorul sau persoana imputernicita in ceea ce priveste obligatiile lor respective care le revin in temeiul prezentului regulament;

18.“intreprindere” inseamna o persoana fizica sau juridica ce desfasoara o activitate economica, indiferent de forma juridica a acesteia, inclusiv parteneriate sau asociatii care desfasoara in mod regulat o activitate economica;

19.“grup de intreprinderi” inseamna o intreprindere care exercita controlul si intreprinderile controlate de aceasta;

20.“reguli corporatiste obligatorii” inseamna politicile in materie de protectie a datelor cu caracter personal care trebuie respectate de un operator sau de o persoana imputernicita de operator stabilita pe teritoriul unui stat membru, in ceea ce priveste transferurile sau seturile de transferuri de date cu caracter personal catre un operator sau o persoana imputernicita de operator in una sau mai multe tari terte in cadrul unui grup de intreprinderi sau al unui grup de intreprinderi implicate intr-o activitate economica comuna;

21.“autoritate de supraveghere” inseamna o autoritate publica independenta instituita de un stat membru;

22.“autoritate de supraveghere vizata” inseamna o autoritate de supraveghere care este vizata de procesul de prelucrare a datelor cu caracter personal deoarece:

(a)operatorul sau persoana imputernicita de operator este stabilita pe teritoriul statului membru al autoritatii de supraveghere respective;

(b)persoanele vizate care isi au resedinta in statul membru in care se afla autoritatea de supraveghere respectiva sunt afectate in mod semnificativ sau sunt susceptibile de a fi afectate in mod semnificativ de prelucrare; sau

(c)la autoritatea de supraveghere respectiva a fost depusa o plangere;

23.“prelucrare transfrontaliera” inseamna:

(a)fie prelucrarea datelor cu caracter personal care are loc in contextul activitatilor sediilor din mai multe state membre ale unui operator sau ale unei persoane imputernicite de operator pe teritoriul Uniunii, daca operatorul sau persoana imputernicita de operator are sedii in cel putin doua state membre; sau

(b)fie prelucrarea datelor cu caracter personal care are loc in contextul activitatilor unui singur sediu al unui operator sau al unei persoane imputernicite de operator pe teritoriul Uniunii, dar care afecteaza in mod semnificativ sau este susceptibila de a afecta in mod semnificativ persoane vizate din cel putin doua state membre;

24.“obiectie relevanta si motivata” inseamna o obiectie la un proiect de decizie in scopul de a stabili daca exista o incalcare a prezentului regulament sau daca masurile preconizate in ceea ce priveste operatorul sau persoana imputernicita de operator respecta prezentul regulament, care demonstreaza in mod clar importanta riscurilor pe care le prezinta proiectul de decizie in ceea ce priveste drepturile si libertatile fundamentale ale persoanelor vizate si, dupa caz, libera circulatie a datelor cu caracter personal in cadrul Uniunii;

25.«serviciile societatii informationale» inseamna un serviciu astfel cum este definit la articolul 1 alineatul (1) litera (b) din Directiva 2015/1535/CE a Parlamentului European si a Consiliului (1); (1)Directiva (UE) 2015/1535 a Parlamentului European si a Consiliului din 9 septembrie 2015 referitoare la procedura de furnizare de informatii in domeniul reglementarilor tehnice si al normelor privind serviciile societatii informationale.

26.“organizatie internationala” inseamna o organizatie si organismele sale subordonate reglementate de dreptul international public sau orice alt organism care este instituit printr-un acord incheiat intre doua sau mai multe tari sau in temeiul unui astfel de acord.

 

Principii

 

Principii legate de prelucrarea datelor cu caracter personal

(1)Datele cu caracter personal sunt:

a)prelucrate in mod legal, echitabil si transparent fata de persoana vizata (“legalitate, echitate si transparenta”);

b)colectate in scopuri determinate, explicite si legitime si nu sunt prelucrate ulterior intr-un mod incompatibil cu aceste scopuri; prelucrarea ulterioara in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice nu este considerata incompatibila cu scopurile initiale, in conformitate cu articolul 89 alineatul (1) (“limitari legate de scop”);

c)adecvate, relevante si limitate la ceea ce este necesar in raport cu scopurile in care sunt prelucrate (“reducerea la minimum a datelor”);

d)exacte si, in cazul in care este necesar, sa fie actualizate; trebuie sa se ia toate masurile necesare pentru a se asigura ca datele cu caracter personal care sunt inexacte, avand in vedere scopurile pentru care sunt prelucrate, sunt sterse sau rectificate fara intarziere (“exactitate”);

e)pastrate intr-o forma care permite identificarea persoanelor vizate pe o perioada care nu depaseste perioada necesara indeplinirii scopurilor in care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi in masura in care acestea vor fi prelucrate exclusiv in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice, in conformitate cu articolul 89 alineatul (1), sub rezerva punerii in aplicare a masurilor de ordin tehnic si organizatoric adecvate prevazute in prezentul regulament in vederea garantarii drepturilor si libertatilor persoanei vizate (“limitari legate de stocare”);

f)prelucrate intr-un mod care asigura securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare (“integritate si confidentialitate”).

(2)Operatorul este responsabil de respectarea alineatului (1) si poate demonstra aceasta respectare (“responsabilitate”).

 

Securitatea datelor cu caracter personal

 

 Securitatea prelucrarii

(1)Avand in vedere stadiul actual al dezvoltarii, costurile implementarii si natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si riscul cu diferite grade de probabilitate si gravitate pentru drepturile si libertatile persoanelor fizice, operatorul si persoana imputernicita de acesta implementeaza masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator acestui risc, incluzand printre altele, dupa caz:

a)pseudonimizarea si criptarea datelor cu caracter personal;

b)capacitatea de a asigura confidentialitatea, integritatea, disponibilitatea si rezistenta continue ale sistemelor si serviciilor de prelucrare;

c)capacitatea de a restabili disponibilitatea datelor cu caracter personal si accesul la acestea in timp util in cazul in care are loc un incident de natura fizica sau tehnica;

d)un proces pentru testarea, evaluarea si aprecierea periodice ale eficacitatii masurilor tehnice si organizatorice pentru a garanta securitatea prelucrarii.

(2)La evaluarea nivelului adecvat de securitate, se tine seama in special de riscurile prezentate de prelucrare, generate in special, in mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate intr-un alt mod.

(3)Aderarea la un cod de conduita aprobat, mentionat la articolul 40, sau la un mecanism de certificare aprobat, mentionat la articolul 42, poate fi utilizata ca element prin care sa se demonstreze indeplinirea cerintelor prevazute la alineatul (1) din prezentul articol.

(4)Operatorul si persoana imputernicita de acesta iau masuri pentru a asigura faptul ca orice persoana fizica care actioneaza sub autoritatea operatorului sau a persoanei imputernicite de operator si care are acces la date cu caracter personal nu le prelucreaza decat la cererea operatorului, cu exceptia cazului in care aceasta obligatie ii revine in temeiul dreptului Uniunii sau al dreptului intern.