Politica de confidențialitate

DECLARAȚIE DE CONFORMITATE


cu Cerințele Regulamentului(UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice, în legătură cu prelucrarea datelor cu caracter personal și libera circulație a acestor date, și de abrogare a Directivei 95/46/CE (Regulamentul General privind Protecția Datelor)

Declarăm că SC SINBELAR SRL cu sediul în Brașov, CIBINULUI 17, CUI 37779687, J08/1617/2017 a pus în aplicare măsuri care corespund cerințelor Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice, în legătură cu prelucrarea datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul General privind Protecția Datelor), denumit în continuare “DGPR”.
Aceste măsuri includ:
– Protejarea și nedivulgarea datelor cu caracter personal cu care putem intra în contact, ca parte a proceselor comerciale sau de comunicare specific activității societății noastre;
– Asigurarea unei credibilități permanente, a integrității și disponibilității sistemelor informatice pe care le utilizăm cu scopul de a presta servicii pentru dumneavoastră, în calitate de clienți sau vizitatori ai site-ului web Outdoor-Events.ro;
– Capacitatea de a reînnoi în timp util disponibilitatea datelor cu caracter personal prelucrate, ca parte a serviciilor prestate pentru dumneavoastră și accesul la acestea, în cazul unui incident de securitate fizică sau tehnică în sistemele noastre informatice;
– În organizația noastră există o procedură stabilită de informare a societății dumneavoastră în cazul încălcării protecției datelor cu caracter personal cu care putem intra în contact, ca parte a prestării de servicii pentru dumneavoastră;
– Capacitatea, prin măsuri adecvate, de a răspunde unei cereri de exercitare a drepturilor de către un subiect de date cu caracter personal (Capitolul III din GDPR);
– O procedură stabilită de evaluare periodică a eficacității măsurilor tehnice și organizaționale de asigurare a securității datelor cu caracter personal prelucrate în societatea noastră.

 

CE DATE COLECTĂM?


1. Adrese  de email și numere de telefon
Intrăm în posesia adreselor dumneavoastră de email prin următoarele canale:
• Înscrieri la evenimente, ture, activități prin portalul Outdoor-Events.ro
• Corespondențe comerciale generate de către dumneavoastră sau de către SINBELAR SRL
Utilizăm adresele de email și numerele de telefon pentru a ține legătura cu dumneavoastră în perioada dintre înscriere / rezervare și derularea efectivă a serviciului contractat.
La înscrierea / rezervarea de locuri prin portalul Outdoor-Events.ro vi se solicită în mod expres acordul pentru utilizarea datelor dumneavoastră personale, în pagina https://www.outdoor-events.ro/plata/ .
În lipsa acordului manifestat activ prin bifarea căsuței respective, procedura de rezervare se încheie automat.
Adresele de email și numerele de telefon se stochează online în contul de client deschis la SmartBill Cloud pentru SINBELAR SRL, respectiv pe unități de stocare interne proprii SINBELAR SRL, pentru uz intern și corespondențe viitoare cu dumneavoastră.
Adresele de email NU se transmit către terțe părți decât cu acordul dumneavoastră expres, manifestat punctual.

2. Nume, prenume și adrese


Potrivit art. 319, alin. (20) al Codului fiscal, factura cuprinde in mod obligatoriu urmatoarele informatii:

– denumirea/numele si adresa beneficiarului bunurilor sau serviciilor, precum si codul de inregistrare in scopuri de TVA sau codul de identificare fiscala al beneficiarului, daca acesta este o persoana impozabila ori o persoana juridica neimpozabila;

Solicităm aceste date prin pagina https://www.outdoor-events.ro/plata/, la momentul înscrierii / rezervării de servicii.


Numele, prenumele, numărul de telefon și adresele dumneavoastră se stochează online în contul de client deschis la SmartBill Cloud pentru SINBELAR SRL, respectiv pe unități de stocare interne proprii SINBELAR SRL, pentru uz intern și corespondențe viitoare cu dumneavoastră.

3. Fotografii și filmări din timpul prestării serviciilor societății.

Fotografiile și filmările se stochează pe o perioadă de minim 30 de zile și maximul legal de 3 ani.

La înscriere vi se solicită în mod expres acordul pentru utilizarea materialelor media în scopuri de marketing sau pentru a fi transmise celorlalți participanți la activitatea la care sunteți coparticipant.

În situația în care nu avem acordul dumneavoastră expres fotografiile/filmările în care poate fi identificată persoana dumneavoastră cu dumneavoastră vor fi blurate.

CUM FOLOSIM DATELE DUMNEAVOASTRĂ PERSONALE?


Datele dumneavoastră cu caracter personal sunt folosite strict:
– în sensul și scopul facilitării comunicării cu dumneavoastră și a livrării serviciilor achiziționate
– a completării de documente fiscale legal obligatorii
– a elaborării de statistici interne de evoluție a vânzărilor, comportamentului de cumpărare, tendințelor și intereselor
– a geolocalizării clienților noștri

CE TERȚE PĂRȚI AU ACCES LA DATELE DUMNEAVOASTRĂ?


Pentru operaționalizarea activității sale, SINBELAR SRL utilizează servicii externalizate care au acces la datele dumneavoastră, după cum urmează:


– pentru servicii de facturare online – https://www.smartbill.ro/
– pentru servicii de contabilitate – http://www.esconsulting.ro/
– pentru încasarea de plăți online – https://plationline.eu/


Fiecare partener SINBELAR SRL se supune acelorași rigori de confidențialitate trasate de către GDPR.
În cazul în care solicitați ștergerea datelor dumneavoastră din arhivele noastre vă rugăm să adresați aceeași cerere și partenerilor noștri, folosind link-urile de contact de mai sus.

CUM MODIFIC DATELE MELE DIN ARHIVA SINBELAR SRL?


Poți oricând să-ți retragi consimțământul privind prelucrarea datelor personale, contactându-ne la office@outdoor-events.ro.
Monitorizăm constant cererile de ștergere sau modificare de date personale prin modulul GDPR înglobat în codul sursă al website-ului Outdoor-Events.ro.
Persoana însărcinată cu auditul de concordanță cu GDPR face evaluări periodice utilizând modulul dedicat.
Regulamentul UE privind protecția generală a datelor (GDPR) prevede și că prelucrarea datelor se face fie pe baza consimțământului dumneavoastră, fie în cazul în care prelucrarea este necesară pentru executarea unui contract la care sunteți parte sau pentru a lua măsuri la solicitarea dumneavoastră înainte de a încheia un contract, cf. GDPR art. 6 (1) (a) – (b).

Declarație emisă la data de 25 mai 2018.

SINBELAR SRL
Sînziana Ioan Ioana

Anexa 1 –prelucrarea datelor personale de către SmartBill.ro conform GDPR Contract prelucrare date personale Operator (SINBELAR SRL)–Împuternicit (SmartBill.ro)

Varianta 1.0 valabilă din 25 mai 2018

Prezenta anexă prevede regulile specifice în ceea ce privește prelucrarea datelor cu caracter personal trimise de către SINBELAR SRL (Beneficiar), în calitate de Operator, de către S.C. Intelligent IT S.R.L, în calitate de împuternicit în conformitate cu Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (denumit în continuare ”GDPR”), ca și orice legislație națională subsecventă cu privire la domeniul protecției datelor cu caracter personal.

Art. 1 Termeni În cuprinsul acestei anexe termenii folosiți vor fi interpretați în conformitate cu GDPR, iar acolo unde este cazul, termenii folosiți vor avea definițiile stipulate de art. 4 din GDPR.

Art. 2 Obiectul prelucrării Obiectul prelucrării datelor personale îl reprezintă prelucrarea de către Împuternicit a datelor personale trimise de către Operator în scopul furnizării serviciilor stipulate în contractul principal de servicii SmartBill.ro.

Art. 3 Date colectate Datele personale puse la dispoziție de către Operator prelucrate în temeiul acestui contract sunt:

3.1 Pentru serviciul SmartBill.ro – datele personale sunt cele care apar pe documente, cum ar fi: Nume, prenume emitent document și date de identificare ale acestuia, email, telefon iar în cazul în care se emite documentul către un client persoană fizică: nume, prenume, adresă completă, și în funcție de dorința Operatorului –cont bancar, CNP. De asemenea Operatorul poate adăuga și alte date personale suplimentare în mod direct în facturile emise, pe care Împuternicitul nu are cum să le prevadă.

3.2 Pentru serviciul SmartBill.ro – configurare transmitere email-uri către clienți, datele sunt –email utilizator și parola prin care se transmit email-urile, ca și adresele de email către care se trimit facturile.

3.3 Pentru serviciul Typing DNA – date despre comportamentul de tastare la momentul autentificării: intervalele de timp petrecute de utilizator pe fiecare tastă și între fiecare două taste, precum și mișcările dispozitivului în timpul apăsării fiecărei taste.

Art.4 Categorii de persoane vizate Categoriile de persoane vizate sunt:

• angajați ai Operatorului ◦ Doar cei care emit facturi (Art. 3.1) ◦ Doar cei care trimit facturi (Art. 3.2)

• clienți ai Operatorului (doar pentru datele specifice menționate expres la Art. 3)

Art. 5 Instrucțiuni specific În temeiul acestui contract Operatorul da următoarele instrucțiuni specifice Împuternicitului:

5.1. Sa colecteze și să prelucreze date cu caracter personal primite de la Operator în mod direct în scopul prevăzut la art.7. Aceste date sunt cele specificate în articolul 3.

5.2. Să trimită mesaje prin email în numele Operatorului, pentru serviciul de transmitere documente prin email (dacă acest serviciu este folosit de către Operator);

5.3. Să colecteze și să prelucreze informații dacă documentele trimise si găzduite pe platforma Smart Bill au fost deschise si/sau vizualizate de către Clienții Operatorului.

Art. 6 Durata prelucrării Durata prelucrării datelor cu caracter personal este identică cu durata funcționării contractului principal de furnizare servicii.

Art. 7 Natura și scopul prelucrării Natura și scopul prelucrării sunt cele stabilite de către Operator în temeiul contractului principal și anume furnizarea serviciilor Smart Bill, în funcție de pachetul de servicii achiziționat. Pentru clienții care utilizează autentificarea prin recunoașterea profilului de tastare, prelucrarea datelor are ca scop protejarea împotriva substituirii de persoană și a potențialelor riscuri ce pot decurge din acest fapt.

Art. 8 Sub-împuterniciți În cazul în care prelucrarea datelor Operatorului sau anumite părți ale prelucrării se efectuează de către Împuternicit prin intermediul altor persoane, numite sub-împuterniciți, acesta trebuie să respecte următoarele principii:

8.1. În temeiul acestui articol Operatorul înțelege să autorizeze Împuternicitul să prelucreze datele sale prin următorii sub-împuterniciți pentru următoarele activități: – Amazon Web Services, Inc-locație Irlanda si Germania -pentru găzduire Firma Amazon Web Services, Inceste certificata în programul UE-SUA Privacy Shield; – S.C. Typing DNA S.R.L. – utilizează Amazon Web Services pentru găzduire – pentru securizarea autentificării în produsele Smart Bill.

8.2. Pentru sub-împuterniciți viitori, Împuternicitul primește o autorizare generală de a subcontracta cu orice alt furnizor din U.E., EEA sau țară cu nivel adecvat de protecție recunoscut prin decizie a Comisiei Europene, care este necesar pentru anumite părți ale procesării datelor conform prezentului contract care oferă un nivel de securitate adecvat, cel puțin la nivelul prezentului contract. Aceasta autorizare include obligația de informare a Operatorului, printr-un mesaj prin contul de pe site-ul Împuternicitului sau prin email. Operatorul are posibilitatea de a formula obiecții în termen de 2 zile lucrătoare.

8.3. De asemenea Smart Bill poate trimite datele prelucrate de Operator către alți împuterniciți ai Operatorului (cum ar fi de exemplu procesatorii de plăți) doar daca există un contract între Operator și acești alți împuterniciți, ca și cererea Operatorului către Smart Bill de a trimite datele către acest împuternicit.

Art. 9. Drepturile și obligațiile Operatorului

• Dreptul să primească informații de la Împuternicit sau sa verifice prin auditor mandatat dacă Împuternicitul are și pune în aplicare măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute de GDPR; verificarea va avea loc în baza unei notificări scrise prealabile, transmisă cu cel puțin 14 zile lucrătoare înainte de efectuarea verificării;

• Dreptul să primească asistență din partea Împuternicitului, în special pentru îndeplinirea obligației sale de a răspunde cererilor persoanelor vizate cu privire la exercitarea drepturilor lor prevăzute de GDPR;

• Dreptul de a face obiecțiuni cu privire la alți sub-împuterniciți conform art. 8.2;

• Să respecte obligațiile sale conform GDPR în calitate de Operator cu privire la datele cu caracter personal colectate sau prelucrate de Împuternicit, pe seama sa;

• Obligația de a face informarea persoanelor vizate conform GDPR, inclusiv în ceea ce privește informarea cu privire la prelucrarea datelor de către Împuternicit în temeiul acestui contract;

• Obligația să răspundă exclusiv de stabilirea temeiului legal pentru prelucrarea datelor cu caracter personal ce face obiectul prezentului contract;

• Obligația de a implementa măsuri tehnice și organizatorice adecvate conform GDPR, inclusiv securizarea transferului datelor de la persoanele vizate către Împuternicit;

• Operatorul înțelege că din momentul ștergerii datelor după încheierea prestării serviciilor de către Împuternicit conform obligațiilor GDPR și a art. 10 a acestui contract, datele nu mai pot fi recuperate și este întreaga responsabilitate a Operatorului să se asigure că și-a făcut o copie completă a acestora.

• În toate situațiile în care Operatorul este cel care trebuie să execute o obligație, cum este, spre exemplu, informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal, Împuternicitul nu poate fi ținut de inacțiunile Operatorului din sfera acelei obligații.

Art. 10 Drepturile și obligațiile Împuternicitului:

• Obligația să informeze Operatorul în termen de maxim 10 zile, în cazul în care, în opinia Împuternicitului, o instrucțiune încalcă GDPR și/sau altă dispoziție legală privind prelucrarea datelor cu caracter personal;

• Obligația să asigure securitatea datelor cu caracter personal prelucrate în numele Operatorului în conformitate cu art. 32 din GDPR și cu art. 11 din prezenta Anexă;

• Obligația de a informa Operatorul fără întârzieri nejustificate de o încălcare a securității datelor personale ale Operatorului pe parcursul prelucrării realizate de către Împuternicit;

• Obligația de a asista Operatorul cu toate informațiile necesare în vederea notificării, dacă este cazul, către Autoritatea competentă pentru încălcarea securității datelor, dar fără a se substitui Operatorului în obligația sa de notificare;

• Obligația de a acorda asistență Operatorului să asigure respectarea obligațiilor prevăzute la articolele 32-36 din GDPR;

• Obligația de a asista Operatorul pentru soluționarea cererilor persoanelor vizate sau de a transmite Operatorului orice cerere primită de la persoanele vizate, în legătură cu datele personale care au fost colectate și prelucrate de Împuternicit, în termen de maxim 5 zile calendaristice de la primirea acesteia. Această asistența nu se aplică în situația în care Operatorul are deja în instrumentele tehnice furnizate de către Împuternicit posibilitatea de a soluționa direct cererea persoanei vizate (de ex. Dreptul la acces – unde Operatorul are deja toate informațiile cu privire la ce date colectează);

• Obligația să nu transmită date cu caracter personal și/sau informații confidențiale, ce pot fi date cu caracter personal, despre care a luat cunoștință în timpul executării contractului;

• Obligația să asigure instruirea personalului autorizat să prelucreze datele cu caracter personal, cu privire la confidențialitatea acestor date;

• Obligația să includă obligații de confidențialitate către angajați și sub-împuterniciți;

• Dreptul să dezvăluie anumite date cu caracter personal în virtutea unei obligații legale sau a unei alte condiții prevăzute de legislație la solicitarea unei autorității, instituții publice sau instanțe judecătorești.

• Dreptul de a recruta sub-împuterniciți conform art. 8 sau în situația în care a primit aprobare din partea Operatorului;

• Dreptul la acoperirea costurilor generate de asigurarea asistenței Operatorului, de către Operator, în situațiile prevăzute de GDPR conform art. 9, dacă acestea depășesc costul lunar al serviciilor prestate de către Împuternicit.

• Dreptul de a folosi informații statistice anonimizate ca urmare a activităților prestate ca urmare a acestui contract sau a întregii sale activități.

• Obligația de a șterge toate datele colectate ca urmare a acestui contract în calitate de Împuternicit în termen de maxim 6 luni de la încetarea contractului dintre cele două părți.

• Împuternicitul nu poate stabili scopuri sau mijloace de prelucrare a datelor cu caracter personal, acestea fiind stabilite exclusiv de către Operator.

Art. 11 Securitatea prelucrării

11.1 Împuternicitul trebuie să îndeplinească măsuri tehnice și organizatorice adecvate pentru a asigura măsurile adecvate de securitate raportate la risc, conforme cu bunele practici în industrie. În stabilirea nivelului adecvat de securitate, Împuternicitul trebuie să ia în considerare stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, ca și riscurile care apar ca urmare a prelucrării, în special cu privire la cele care pot duce care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.

11.2 În acest context Împuternicitul a stabilit aplicarea internă a următoarele măsuri organizatorice și tehnice de securitate pentru securitatea datelor personale, luând în considerare tipul de activitate prestată: • implementare standarde de securitate ISO27001/ISO27017/ISO27018 • audit periodic de securitate realizat de experți in securitate cibernetica • acces limitat la baza de date pentru un număr foarte restrâns de angajați ai Împuternicitului • monitorizarea permanenta a accesului la baza de date • criptarea conexiunii folosite de Operator pentru accesarea serviciului folosind SSL • parolele clienților stocate criptat • copii de siguranță regulate

11.3 În mod voluntar, Împuternicitul poate trimite rezumatele concluziilor auditorilor de securitate (după ștergerea informațiilor comerciale sau confidențiale) realizate periodic către Operatori pentru a demonstra activitățile sale continue pe acest subiect.

Art. 12 Limitarea răspunderii Operatorul este de acord să exonereze Împuternicitul de orice răspundere pentru pagubele ce ar putea decurge din:

• nerespectarea contractului din cauza unor evenimente ce excedă oricărei răspunderi a Împuternicitului;

• respectarea instrucțiunilor Operatorului sau nerespectarea instrucțiunilor Operatorului justificată în prealabil printr-o notificare referitoare la nelegalitatea ei;

• lipsa sau vicierea acordului persoanelor vizate sau a utilizării unui temei legal greșit de către Operator;

• nerespectarea contractului din cauza unor acțiuni ale Operatorului.

Art. 13 Delimitarea răspunderii Operatorul și Împuternicitul își delimitează responsabilitățile cu privire la asigurarea protecției datelor cu caracter personal (de exemplu asigurarea confidențialității sau a securității prelucrării), în funcție de accesul și controlul efectiv exercitat asupra datelor, atât din punct de vedere contractual, cât și tehnic.

Art. 14 Intrare în vigoare și modificări. Această anexă intră în vigoare pe 25 mai 2018 și este valabilă până la modificarea ei de către SmartBill.ro și informarea clienților în acest sens. Utilizarea contului după informarea clienților înseamnă acordul acestor cu privire la acest document.