Declarație de confidențialitate

Politica de confidențialitate

Această politică reglementează principiile și regulile conform cărora datele cu caracter personal ale persoanelor fizice sunt prelucrate atunci când utilizează magazinul online Artoaza, în conformitate cu cerințele Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 („Regulamentul general privind protecția datelor” sau RGPD), precum și legislația națională aplicabilă. Scopul acestui document este de a furniza informații ușor de înțeles și exacte despre:

1. categoriile de date cu caracter personal colectate în momentul utilizării magazinului online;

2. temeiurile legale pentru prelucrarea acestora;

3. scopurile pentru care se efectuează prelucrarea;

4. termenele de stocare a datelor,

5. condițiile în care informațiile pot fi divulgate terților;

6. drepturile de care dispun persoanele ale căror date sunt prelucrate și modul de exercitare a acestora.

Operatorul datelor cu caracter personal este comerciantul care operează prin intermediul magazinului online Artoaza. Dacă este nevoie de informații suplimentare cu privire la prelucrarea datelor cu caracter personal sau dacă există o dorință de exercitare a drepturilor prevăzute de legislație, utilizatorii îl pot contacta pe operator prin canalele de contact afișate în magazinul online.

 

Secțiunea I - Informații privind operator

Art. 1 (1) Datele cu caracter personal care sunt partajate atunci când utilizați un magazin online sunt stocate, prelucrate și partajate de:

Denumirea: Artoaza OOD

CUI: 205945285;

Sediul social: or. Plovdiv, P.O. Box 4003. 2 Lebed Str.

Adresa de corespondență: or. Plovdiv, P.O. Box 4003. 2 Lebed Str.

Telefon: +40372786133

Adresă de e-mail: [email protected] /[email protected]

 

(2) Autoritatea de reglementare în domeniul protecției datelor la care vă puteți adresa în cazul în care drepturile dumneavoastră în temeiul prezentei politici sunt încălcate este: 

Denumirea: Comisia pentru protecția datelor cu caracter personal (CPDP):

Adresa: or. Sofia 1592, bd.  Prof. Tsvetan Lazarov, nr. 2

E-mail: [email protected] 

Pagina de web: www.cpdp.bg

Telefon: 02/ 91-53-555

 

Secțiunea II - Termeni utilizați frecvent

Art. 2. În contextul acestei Politici de confidențialitate, termenii enumerați mai jos trebuie interpretați după cum urmează: 

1. „Date cu caracter personal” înseamnă orice informații referitoare la o persoană fizică identificată sau la o persoană fizică care poate fi identificată direct sau indirect, în special printr-un identificator, cum ar fi numele, numărul de identificare, datele de localizare, identificatorul online sau prin una sau mai multe caracteristici specifice identității fizice, fiziologice, genetice, psihice, economice, culturale sau sociale a persoanei fizice respective.

2. „Prelucrarea datelor cu caracter personal” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau a unui set de date cu caracter personal prin mijloace automatizate sau prin alte mijloace, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, recuperarea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

3. „Operator de date cu caracter personal” înseamnă o persoană fizică sau juridică, o autoritate publică, o agenție sau un alt organism care, singur sau împreună cu alții, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal.

4. „Persoana împuternicită” înseamnă o persoană fizică sau juridică, o autoritate publică, o agenție sau un alt organism care prelucrează date cu caracter personal în numele operatorului.

5. „Persoana vizată” înseamnă o persoană fizică identificată sau identificabilă la care se referă datele cu caracter personal.

6. „Consimțământ” al persoanei vizate înseamnă orice indicație dată în mod liber, specifică, informată și lipsită de ambiguitate a voinței persoanei vizate, prin intermediul unei declarații sau al unei acțiuni afirmative clare, care își exprimă consimțământul pentru prelucrarea datelor cu caracter personal care o privesc.

7. „Încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care are ca rezultat distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul accidental sau ilegal la datele cu caracter personal care sunt transmise, stocate sau prelucrate în alt mod.

8. „Interes legitim” înseamnă un interes al operatorului sau al unei terțe părți care este suficient de întemeiat pentru a justifica prelucrarea datelor cu caracter personal, cu condiția ca acest interes să nu aducă atingere intereselor sau drepturilor și libertăților fundamentale ale persoanei vizate.

9. „Creare de profiluri” înseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană, în special pentru a analiza sau a prevedea aspecte legate de îndeplinirea îndatoririlor profesionale, situația economică, sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locația sau deplasările persoanei respective.

10. „Module cookie” înseamnă fișiere text mici care sunt stocate pe dispozitivul dvs. (computer, tabletă, smartphone etc.) atunci când vizitați site-ul nostru web. Cookie-urile ne ajută să asigurăm buna funcționare a site-ului web, să vă îmbunătățim experiența de utilizator și să vă oferim conținut și reclame personalizate.

Secțiunea III - Temeiul pentru colectarea, prelucrarea și stocarea datelor dumneavoastră cu caracter personal

 

Art. 3. (1) Prelucrarea datelor cu caracter personal de către operator se efectuează în legătură cu utilizarea magazinului online și cu încheierea sau executarea contractelor de vânzare la distanță. Datele sunt colectate, stocate și utilizate în baza prevederilor aplicabile ale art. 6, alin. 1 din Regulamentul (UE) 2016/679 (RGPD), sub rezerva a cel puțin uneia dintre următoarele condiții:

1. Consimțământul persoanei vizate – atunci când prelucrarea este efectuată pe baza consimțământului liber exprimat, specific, informat și neechivoc dat de utilizator în scopuri specifice indicate în mod clar în cadrul magazinului online.

2. Executarea unui contract – atunci când prelucrarea este necesară în legătură cu acțiuni pentru încheierea, executarea sau rezilierea unui contract de achiziție la distanță, inclusiv acțiuni legate de procesarea comenzilor, livrarea de produse și furnizarea de servicii.

3. Respectarea cerințelor de reglementare – atunci când prelucrarea este necesară pentru îndeplinirea obligațiilor care decurg din legislația aplicabilă, inclusiv obligațiile legate de ținerea evidenței, emiterea documentelor de importanță fiscală, stocarea informațiilor pentru control de către autoritățile statului etc.

4. Protecția intereselor legitime – în cazul în care prelucrarea este necesară, având în vedere interesele legitime ale operatorului sau ale unei terțe părți, în măsura în care aceste interese nu sunt înlăturate de drepturile și libertățile fundamentale ale utilizatorului. Astfel de interese pot include, de exemplu, prevenirea abuzurilor, exercitarea revendicărilor legale, optimizarea serviciului sau interacțiunea cu furnizorii (inclusiv operatorii de curierat, furnizorii de suport IT etc.).

Art. 4 Atunci când se bazează pe interesele legitime ca bază legală pentru prelucrarea datelor dvs. cu caracter personal, Operatorul analizează cu atenție dacă aceste interese sunt legitime, clar formulate și nu vă afectează interesele, drepturile și libertățile fundamentale. Pentru fiecare prelucrare bazată pe interes legitim, se efectuează o evaluare a intereselor care ține cont de natura datelor, așteptările rezonabile pe care le aveți dumneavoastră, impactul posibil asupra dumneavoastră și garanțiile suplimentare aplicate.

 

Secțiunea IV - Scopurile și principiile de colectare, prelucrare și stocare a datelor dumneavoastră cu caracter personal

 

Art. 5. (1) Prelucrarea datelor cu caracter personal de către operator se efectuează cu respectarea principiilor stabilite, conform art. 5 din Regulamentul (UE) 2016/679. Datele sunt colectate și utilizate numai dacă există un temei juridic relevant și în scopuri clar definite legate de funcționarea magazinului online și de oferirea produselor Comerciantului – inclusiv, dar fără a se limita la: Tapete 3D, autocolante decorative autoadezive, panouri PVC și alte soluții de interior.

(2) Prelucrarea datelor se efectuează în următoarele scopuri:

1. Gestionarea contului de utilizator – crearea, întreținerea și administrarea conturilor utilizatorilor înregistrați, inclusiv restabilirea accesului și efectuarea de modificări la cererea persoanei vizate.

2. Corespondența privind solicitările utilizatorilor – procesarea mesajelor și întrebărilor trimise prin intermediul formularelor de contact din magazinul online sau prin canalele de comunicare afișate.

3. Executarea contractelor încheiate – prelucrarea informațiilor necesare pentru recepția, confirmarea, finalizarea, transmiterea și deservirea comenzilor, precum și pentru implementarea comunicărilor ulterioare privind executarea contractului.

4. Trimiterea de mesaje de informare – sub rezerva consimțământului prealabil, Operatorul poate utiliza adresa de e-mail furnizată pentru a trimite notificări despre produse noi, oferte speciale, coduri promoționale sau alte informații relevante despre produsele oferite.

5. Analizarea și optimizarea funcționalităților – colectarea de informații agregate în scopul analizei interne, îmbunătățirea navigării și adaptarea conținutului la nevoile utilizatorilor.

6. Respectarea obligațiilor de reglementare – colectarea și stocarea informațiilor necesare pentru evidența contabilă și raportarea fiscală în conformitate cu cerințele legislației în vigoare.

Art. 6. (1) În desfășurarea activităților legate de colectarea, prelucrarea și stocarea datelor cu caracter personal, Operatorul va aplica următoarele principii fundamentale care asigură legalitatea și buna-credință a prelucrării:

1. Principiul legalității, bunei credințe și transparenței – prelucrarea se efectuează în conformitate cu cerințele legale, într-un mod care respectă drepturile și interesele legitime ale persoanelor vizate și în furnizarea de informații clare, ușor de înțeles și accesibile cu privire la scopurile, motivele și domeniul de aplicare al prelucrării;

2. Principiul limitării scopului – datele cu caracter personal sunt colectate numai în scopuri specifice, clar definite și legitime și nu fac obiectul unei prelucrări ulterioare incompatibile cu aceste scopuri;

3. Principiul minimizării datelor – sunt prelucrate numai datele care sunt esențiale pentru atingerea obiectivelor relevante, evitându-se colectarea de informații inutile sau irelevante;

4. Principiul limitării stocării – datele vor fi stocate pentru o perioadă care nu depășește timpul necesar pentru realizarea scopurilor prelucrării, cu excepția cazului în care există o obligație legală de stocare pentru o perioadă mai îndelungată;

5. Principiul exactității și actualității – se depun eforturi rezonabile pentru a asigura exactitatea datelor prelucrate, inclusiv posibilitatea corectării sau actualizării în timp util în cazul identificării unor inexactități;

6. Principiul integrității și confidențialității – prelucrarea se realizează într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva accesului neautorizat, pierderii, distrugerii sau dezvăluirii neautorizate, prin aplicarea de măsuri tehnice și organizatorice adecvate riscurilor asociate prelucrării;

7. Principiul responsabilității – Operatorul este responsabil și capabil să demonstreze respectarea tuturor principiilor de mai sus în orice prelucrare particulară a datelor cu caracter personal.

Secțiunea V - Tipuri de date cu caracter personal colectate, prelucrate și stocate de operator.

 

Art. 7. Operatorul prelucrează următoarele categorii de date și informații cu caracter personal în legătură cu scopurile și motivele enumerate mai jos:

1. Datele dvs. personale de identificare (nume și prenume, telefon, e-mail, adresă etc.)

Scopurile pentru care sunt colectate datele: 

i. Oferirea de feedback utilizatorului în legătură cu un răspuns la întrebările sale; 

ii. Înregistrarea unui cont pe site;

iii. Trimiterea unui buletin informativ, e-mailuri cu oferte speciale, promoții, coduri promoționale și noi funcționalități ale magazinului online, cu acordul explicit al persoanei vizate; 

iv. Executarea unui contract de vânzare-cumpărare la distanță;

 

Motive pentru prelucrarea datelor dvs. cu caracter personal:

Prin acceptarea termenilor și condițiilor generale și înregistrarea în magazinul electronic sau plasarea unei comenzi prin opțiunea „Comandă în calitate de invitat”, se creează o relație contractuală între Operator și persoana vizată în baza căreia prelucrează date cu caracter personal – Art. 6, alin. 1, lit. (B) din RGPD. Datele pentru trimiterea unui buletin informativ, precum și pentru trimiterea unui mesaj prin intermediul formularului de contact și sunt prelucrate pe baza consimțământului dvs. explicit - Art. 6, alin. 1, lit. (a) din RGPD.

2. Detalii de livrare (nume, telefon, adresă etc.)

Scopul pentru care sunt colectate datele: 

Îndeplinirea obligației Operatorului conform contractului de achiziție la distanță 

Motive pentru prelucrarea datelor dvs. cu caracter personal:

După acceptarea Termenilor și condițiilor generale și a Politicii de confidențialitate, la momentul încheierii contractului prin înregistrarea în magazinul electronic sau plasarea unei comenzi prin opțiunea „Comandă în calitate de invitat”, se creează o relație contractuală pe baza căreia prelucrăm datele dvs. cu caracter personal – Art. 6, alin. 1, lit. (b) din RGPD.

3. Date privind experiența utilizatorului (numărul de comenzi, produsele comandate, frecvența vizitelor, ultima vizită, timpul petrecut pe site, produsele vizualizate)

Scopul pentru care sunt colectate datele: 

Optimizarea conținutului și designului paginilor individuale, scopul este de a personaliza condițiile pentru vânzarea de produse la distanță, pentru a crește satisfacția clienților față de Comerciant, precum și îmbunătățirea generală a serviciilor furnizate.  Informațiile sunt anonimizate și criptate astfel încât nu pot fi corelate cu un utilizator anume sau cu datele sale personale identificabile, cu excepția cazului în care acesta este un utilizator înregistrat. 

 

Motive pentru prelucrarea datelor dvs. cu caracter personal:

După acceptarea Termenilor și condițiilor generale, a Politicii de confidențialitate sau a Politicii privind modulele cookie la momentul accesării site-ului, respectiv consimțământul ulterior în realizarea unei anumite acțiuni, inclusiv prin înregistrarea în magazinul electronic sau efectuarea unei comenzi prin opțiunea „Comandă în calitate de invitat” pe baza căreia prelucrăm datele dumneavoastră cu caracter personal – Art. 6, alin. 1, lit. (a) din RGPD.

Art. 8. În unele cazuri, operatorul poate utiliza datele dvs. cu caracter personal pentru a crea profiluri de utilizator în scopul analizării sau anticipării preferințelor, intereselor sau comportamentului dvs. Acest lucru vă ajută să vă personalizați experiența și să oferiți produse mai relevante și organizarea campaniilor promoționale.

Art. 9. Operatorul nu utilizează procesul decizional automatizat, inclusiv crearea de profiluri, care produce efecte juridice pentru dumneavoastră sau care vă afectează în mod semnificativ. Orice decizii importante care v-ar putea afecta drepturile sau interesele legitime sunt luate cu intervenție și judecată umană.

(2) Dacă în viitor se ia decizia de a introduce astfel de procese automatizate, veți fi informat în prealabil și vi se va oferi posibilitatea de a vă exprima opinia și de a contesta decizia, după caz.

Art. 10. (1) Operatorul nu colectează și nu prelucrează categorii speciale de date cu caracter personal (date sensibile) în sensul art. 9 din RGPD, cum ar fi datele care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filosofice, apartenența sindicală, datele genetice, datele biometrice, datele privind starea de sănătate, viața sexuală sau orientarea sexuală.

(2) Magazinul online nu este destinat persoanelor sub 18 ani, pentru care nu se colectează cu bună știință date cu caracter personal de la aceste persoane. În cazul în care o colectare de date cu caracter personal de la o persoană cu vârsta sub 18 ani este identificată fără consimțământul parental verificabil, se vor lua măsuri pentru ștergerea imediată a acestor date.

Secțiunea VI -  Perioada de stocare a datelor dumneavoastră cu caracter personal

 

Art. 11. (1) Operatorul se obligă să stocheze datele cu caracter personal pe care le-a colectat numai pe perioada necesară realizării scopurilor prevăzute în această Politică, precum și atunci când prin lege are dreptul sau obligația de a le stoca pentru o perioadă mai îndelungată. Diferiți factori determină durata de valabilitate, cum ar fi:

1. Durata prestării serviciilor, dacă este necesar pentru stabilirea, exercitarea sau apărarea revendicărilor legale,

2. Obligația legală de a stoca date în conformitate cu legislația națională.

3. Nevoi operaționale – Operatorul evaluează cât timp sunt necesare datele pentru a furniza serviciile, pentru a îmbunătăți experiența utilizatorului și pentru a oferi asistență adecvată pentru clienți.

4. Implementare tehnică – Operatorul evaluează și aspecte tehnice precum opțiunile de anonimizare sau pseudonimizare care pot permite prelucrarea datelor pe perioade mai îndelungate într-un mod care nu permite identificarea persoanelor vizate.

(2) Termene de stocare a datelor cu caracter personal în temeiul acestei politici pentru următoarele:

1. În ceea ce privește datele referitoare la contul dvs. de utilizator - Perioada pentru care contul dvs. de utilizator este activ și nu a fost șters; 

2. În ceea ce privește datele referitoare la achiziții și tranzacții - pentru o perioadă de 5 ani de la tranzacție; 

3. În ceea ce privește datele colectate prin activități de marketing (de exemplu, abonamente la buletine informative) -  până în momentul în care persoana vizată își retrage în mod explicit consimțământul;

4. În ceea ce privește datele colectate de modulele cookie și tehnologii similare - Perioada de păstrare variază în funcție de tipul de cookie, dar nu mai mult de 2 ani; 

5. În ceea ce privește datele de comunicare cu echipa de servicii pentru clienți - Perioada nu depășește 2 ani de la ultima dvs. comunicare.

 

Art. 12. Perioadele specifice de păstrare pentru diferitele categorii de date sunt determinate pe baza unui echilibru între aceste criterii, acordându-se prioritate cerințelor legale și drepturilor fundamentale ale persoanelor vizate.

 

Art. 13. (1) La expirarea perioadei de păstrare aplicabile, Operatorul va lua măsuri pentru ștergerea sau anonimizarea datelor dvs. cu caracter personal.

(2) Ștergerea se efectuează în condiții de siguranță, utilizând metode aprobate care să asigure că datele nu pot fi recuperate sau accesate după procesul de ștergere.

(3) În cazurile în care ștergerea completă nu este posibilă din punct de vedere tehnic sau nu este de dorit din cauza intereselor legitime de afaceri, Operatorul poate anonimiza datele pentru a elimina posibilitatea ca acestea să fie asociate cu dvs.

(4) Operatorul va revizui periodic datele cu caracter personal stocate cel puțin o dată pe an pentru a identifica și șterge datele a căror perioadă de stocare a expirat, cu excepția cazului în care există un alt motiv valabil pentru continuarea stocării.

 

Secțiunea vii  - Partajarea datelor cu terți

Art. 14. (1) Operatorul nu va vinde, închiria, distribui sau pune la dispoziție în alt mod datele cu caracter personal ale utilizatorilor către terți, cu excepția cazurilor descrise în mod expres în această politică.

(2) Operatorul se asigură că fiecare destinatar al datelor cu caracter personal se angajează să prelucreze aceste date numai în scopurile pentru care au fost furnizate și în conformitate cu legislația aplicabilă privind protecția datelor cu caracter personal. Cu toate acestea, este posibil să partajăm datele dvs. cu caracter personal cu următoarele categorii de destinatari:

Prestatori de servicii:

1. Prestatori de servicii de găzduire și cloud - ***

2. Procesatori de plată - Stipe Inc 

3. Prestatori de servicii logistice și de transport - Econt Express AD, 

4. Furnizori de analiză (de exemplu, Google Analytics, Facebook Pixel etc.).

5. Firmele de contabilitate în scopul procesării datelor comenzilor și întocmirii rapoartelor către o agenția fiscală. 

6. Întreținere și dezvoltare web - Stenik Group OOD.

Autoritățile de aplicare a legii - autoritățile de reglementare, instanțele sau alte autorități publice, în cazul în care acest lucru este prevăzut de lege;

(3) La data intrării în vigoare a acestei Politici de confidențialitate, Operatorul nu va acționa în calitate de operator comun în ceea ce privește datele cu caracter personal pe care le prelucrează.

(4) În cazul în care, în viitor, Operatorul începe să stabilească scopurile și mijloacele prelucrării împreună cu un alt operator, acesta va încheia un acord care să reglementeze în mod transparent rolurile și relațiile respective ale operatorilor asociați în ceea ce privește persoanele vizate.

Art. 15. (1) Operatorul va depune eforturi pentru a se asigura că destinatarii datelor dvs. cu caracter personal menționați mai sus respectă legile aplicabile privind protecția datelor și asigură un nivel adecvat de protecție.

(2) Atunci când terții sunt angajați în scopul prelucrării datelor cu caracter personal în numele nostru sau al furnizării accesului la datele cu caracter personal, aceștia vor semna acorduri scrise cu obligația de confidențialitate. Prin intermediul acestora, entitățile desemnate sunt obligate să pună în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura securitatea datelor.

Secțiunea VIII - Transferul internațional de date

Art. 16. (1) În anumite cazuri, operatorul poate transfera, stoca și prelucra datele dvs. cu caracter personal atunci când prestatorii de servicii respectivi au sediul în afara SEE.

(2) În această situație, Operatorul va garanta că se asigură un nivel similar de protecție prin implementarea a cel puțin uneia dintre următoarele măsuri:

1. Transferă datele dvs. cu caracter personal numai în țări pentru care Comisia Europeană a decis că oferă un nivel adecvat de protecție a datelor cu caracter personal;

2. Utilizează contracte specifice aprobate de Comisia Europeană care oferă date cu caracter personal cu aceeași protecție pe care o au în Europa (așa-numitele clauze contractuale standard);

3. Transferă date către terți numai dacă fac parte dintr-un sistem de certificare care le impune să asigure o protecție a datelor cu caracter personal similară cu cea solicitată în Europa.

(3) Datele dvs. cu caracter personal pot fi transferate în următoarele țări din afara SEE:

1. Statele Unite ale Americii (SUA) - pentru servicii de analiză (Google Analytics), platforme de marketing (Facebook) și alți furnizori de servicii cloud;

(4) În conformitate cu hotărârea Curții de Justiție a Uniunii Europene în cauza „Schrems II”, Operatorul efectuează o evaluare a impactului transferului (AIT) pentru fiecare transfer de date în afara SEE pentru a evalua cadrul juridic din țara de destinație și pentru a pune în aplicare măsuri suplimentare, dacă este necesar.

(5) Măsurile suplimentare care se aplică transferurilor internaționale includ:

1. Criptarea datelor în repaus și în timpul transferului;

2. Pseudonimizarea sau anonimizarea acolo unde este posibil;

3. Obligații contractuale stricte pentru prestatori de servicii.

Secțiunea IX – Măsuri de protecție a datelor cu caracter personal

Art. 17. (1) Operatorul va aplica un set de mecanisme tehnice și organizatorice pentru protecția datelor cu caracter personal împotriva accesului neautorizat, divulgării neintenționate, înlocuirii sau pierderii.

(2) Printre soluțiile tehnice de securitate se numără:

1. Criptarea datelor în timpul stocării și transmiterii prin protocoale aprobate (de ex. SSL/TLS);

2. Utilizarea unor firewall-uri și a sistemelor de control al intruziunilor;

3. Instalarea software-ului antivirus și antimalware;

4. Menținerea sistemelor actualizate;

5. Aplicarea autentificării cu doi factori la accesarea mediilor de procesare;

6. Protecția rețelei prin monitorizarea și limitarea traficului neautorizat;

7. Monitorizarea anomaliilor și a evenimentelor de risc în infrastructură.

(3) Abordarea organizațională acoperă:

1. Politici interne pentru managementul accesului și protecția datelor;

2. Definirea drepturilor de acces numai angajaților pentru care acest lucru este necesar în vederea îndeplinirii atribuțiilor de serviciu;

3. Revizuirea și controlul periodic al nivelurilor de acces ale utilizatorilor;

4. Evaluarea și testarea fiabilității măsurilor de protecție aplicate.

Art. 18 (1) În cazul unei încălcări a securității care poate prezenta un risc grav pentru drepturile persoanelor vizate, Operatorul va lua măsuri imediate, inclusiv informarea persoanelor afectate, fără întârzieri nejustificate și într-un termen care să nu depășească 72 de ore de la momentul luării la cunoștință.

(2) Anunțul trebuie să conțină minimum următoarele informații:

1. O scurtă descriere a evenimentului; 

Datele de contact ale responsabilului cu protecția datelor (dacă este cazul);

2. Consecințele potențiale ale încălcării;

3. Acțiuni principiale întreprinse pentru a limita daunele și a restabili securitatea.

Voi revizui din nou textul cu noile cerințe. Iată secțiunea XI revizuită:

Secțiunea X - Drepturile dvs. la confidențialitate

Art. 19. (1) În calitate de utilizator, aveți drepturi specifice cu privire la datele dvs. cu caracter personal în temeiul legislației europene și bulgare privind protecția datelor.

(2) Operatorul se obligă să asiste la exercitarea acestor drepturi și să răspundă la întrebările dumneavoastră în timp util, de obicei în termen de 30 de zile de la primirea acestora.

(3) În cazuri mai complexe sau cu cereri multiple, perioada de răspuns poate fi prelungită cu maximum 60 de zile. În astfel de situații, Operatorul vă va anunța în timp util și vă va explica motivele întârzierii.

(4) Pentru protecția dvs., Operatorul vă poate solicita să vă verificați identitatea înainte de a vă procesa cererea. Acest lucru vă protejează datele cu caracter personal împotriva accesului neautorizat.

(5) Prelucrarea cererilor este gratuită. În cazul unor cereri vădit nerezonabile sau repetitive, Administratorul poate percepe o taxă administrativă minimă sau poate refuza să se conformeze.

Art. 20. (1) Aveți dreptul de a obține confirmarea dacă Operatorul prelucrează datele dvs. cu caracter personal și, în caz afirmativ, de a le accesa.

(2) În exercitarea acestui drept, Operatorul vă va furniza o copie a datelor dvs. cu caracter personal, împreună cu următoarele informații: scopurile și temeiul juridic pentru prelucrare, inclusiv categoriile de date prelucrate, destinatarii sau grupurile de destinatari cărora le sunt furnizate datele, în special dacă se află în alte țări sau organizații internaționale, perioada de păstrare planificată sau criteriile pentru determinarea acesteia, informații despre celelalte drepturi ale dvs., cum ar fi corectarea, ștergerea, restricționarea și obiecția, dreptul de a depune o plângere la autoritatea de supraveghere, sursa datelor, dacă nu sunt colectate direct de la dvs.

Art. 21. (1) Aveți dreptul să solicitați Operatorului să corecteze în timp util datele personale inexacte despre dvs.

(2) De asemenea, puteți solicita completarea datelor cu caracter personal incomplete, inclusiv prin furnizarea de informații suplimentare.

(3) Operatorul va notifica toți destinatarii datelor dvs. cu caracter personal cu privire la corecțiile efectuate, cu excepția cazului în care acest lucru este practic imposibil sau necesită eforturi considerabile.

Art. 22. (1) Aveți dreptul să solicitați Operatorului să șteargă datele dvs. cu caracter personal în timp util, sub rezerva următoarelor condiții: datele nu mai sunt necesare în scopurile inițiale, v-ați retras consimțământul și nu există niciun alt temei juridic pentru prelucrare, v-ați opus prelucrării și nu există motive legale imperative, datele au fost prelucrate ilegal, ștergerea este necesară pentru îndeplinirea unei obligații legale.

(2) Operatorul va notifica toți destinatarii datelor dvs. cu caracter personal cu privire la ștergerea realizată, cu excepția cazului în care acest lucru este practic imposibil sau necesită eforturi considerabile.

(3) Dreptul la ștergere nu se aplică în cazul în care prelucrarea este necesară pentru exercitarea libertății de exprimare și de informare, pentru îndeplinirea unei obligații legale, pentru îndeplinirea unor sarcini de interes public, în scopuri de arhivare în interes public sau pentru constatarea și protejarea unui drept în instanță.

Art. 23. (1) Aveți dreptul să solicitați operatorului să restricționeze prelucrarea datelor dvs. cu caracter personal atunci când: contestați exactitatea datelor pentru perioada de verificare, prelucrarea este ilegală, dar nu doriți ștergerea, Operatorul nu mai are nevoie de date, dar le solicitați în scopuri legale, v-ați opus prelucrării până la finalizarea verificării.

(2) În cazul unei prelucrări restricționate, datele sunt stocate, dar sunt prelucrate numai cu consimțământul dumneavoastră sau în scopuri legale și de protecție a drepturilor.

(3) Operatorul vă va informa înainte de ridicarea restricției și va notifica destinatarii respectivi cu privire la restricțiile impuse.

Art. 24. (1) Aveți dreptul să primiți datele dvs. cu caracter personal pe care le-ați furnizat Operatorului într-un format structurat, general acceptat și care poate fi citit automat.

(2) Puteți transfera aceste date către un alt operator fără impedimente atunci când prelucrarea se bazează pe consimțământ sau contract și se efectuează automat.

(3) Dacă este posibil din punct de vedere tehnic, aveți dreptul la transferul direct al datelor între operatori.

(4) Operatorul furnizează datele în formate precum CSV, JSON sau XML în funcție de capacitățile tehnice.

(5) Exercitarea acestui drept nu aduce atingere dreptului de ștergere și nu aduce atingere drepturilor altora.

Art. 25. (1) Aveți dreptul să vă opuneți prelucrării datelor dvs. cu caracter personal pe baza unui interes legitim în orice moment și din motive legate de situația dvs.

(2) În cazul unei obiecții, Operatorul va înceta prelucrarea, cu excepția cazului în care dovedește existența unor motive legale imperioase care prevalează asupra intereselor și drepturilor dumneavoastră.

(3) În cazul prelucrării pentru marketing direct, aveți dreptul necondiționat de a vă opune în orice moment, inclusiv în ceea ce privește crearea de profiluri asociate.

(4) În cazul unei obiecții împotriva marketingului direct, prelucrarea încetează imediat. Operatorul oferă o modalitate ușoară de a obiecta în fiecare mesaj de marketing.

(5) Operatorul vă va informa cu privire la dreptul de a vă opune în mod clar și separat de alte informații cel târziu la prima comunicare.

Art. 26. (1) Aveți dreptul de a nu face obiectul unei decizii bazate în întregime pe prelucrarea automată, inclusiv crearea de profiluri, care are consecințe juridice sau semnificative pentru dvs.

(2) Acest lucru nu se aplică în cazul în care decizia este necesară pentru un contract între dvs. și Operator, este permisă de lege cu garanții adecvate sau se bazează pe consimțământul dvs. explicit.

(3) În aceste cazuri, Operatorul va asigura măsuri de protecție adecvate, inclusiv dreptul la intervenție umană, exprimarea unei poziții și contestarea deciziei.

(4) În prezent, Operatorul nu efectuează un proces decizional automatizat cu consecințe semnificative pentru dumneavoastră.

Art. 27. (1) Pentru a vă exercita drepturile de mai sus, puteți contacta Operatorul în următoarele moduri: e-mail [email protected] ca metodă cea mai rapidă și mai convenabilă, o scrisoare la adresa de la art. 1 cu indicarea clară a dreptului dorit și a informațiilor de identificare, formularul de contact de pe site cu indicarea temei „Protecția datelor cu caracter personal”.

(2) Operatorul poate solicita informații suplimentare pentru a vă verifica identitatea ca măsură de protecție.

(3) Operatorul va răspunde solicitării dvs. în timp util, cel târziu în termen de 30 de zile de la primire. Dacă este necesar, termenul poate fi prelungit cu încă 60 de zile în funcție de complexitatea și numărul solicitărilor.

Art. 28. (1) Pe lângă alte mijloace administrative sau judiciare, aveți dreptul de a depune o plângere la o autoritate de supraveghere, în special în țara de reședință, locul de muncă sau locul presupusei încălcări, în cazul în care considerați că prelucrarea încalcă normele de protecție a datelor.

(2) În Bulgaria, autoritatea de supraveghere este Comisia pentru Protecția Datelor cu Caracter Personal (CPDP), adresa: Sofia 1592, bd. Prof. Tsvetan Lazarov, nr. 2, e-mail: [email protected], web site: www.cpdp.bg.

(3) Operatorul vă încurajează să îl contactați mai întâi direct pe el pentru a rezolva problema înainte de a apela la CPDP.

(4) Aveți dreptul la o cale de atac judiciară eficientă împotriva unei decizii obligatorii a unei autorități de supraveghere. Indiferent de căile de atac administrative, inclusiv o plângere adresată unei autorități de supraveghere, aveți dreptul la o cale de atac judiciară eficientă în cazul încălcării drepturilor dumneavoastră privind protecția datelor.

Secțiunea XII – Utilizarea modulelor cookie și a tehnologiilor de urmărire

Art. 29. Magazinul online utilizează cookie-uri și mijloace tehnice conexe prin care se colectează anumite date pentru a facilita navigarea, pentru a adapta conținutul prezentat la preferințele utilizatorilor, precum și pentru a efectua analize statistice și funcționale privind utilizarea site-ului web. Modulele cookie sunt stocate pe dispozitivul terminal al vizitatorului atunci când accesează site-ul și ajută la recunoașterea acestuia la vizitele ulterioare.

Art. 30. (1) La încărcarea inițială a site-ului, vizitatorii primesc o notificare despre utilizarea cookie-urilor și își pot da consimțământul pe categorii, în funcție de preferințele lor.

(2) Vizitatorii își pot modifica sau retrage în orice moment consimțământul printr-o interfață special concepută – „Gestionarea modulelor cookie”, care este accesibilă prin acest link: https://artoaza.ro/customer/account/create/# 

(3) În plus, utilizatorul are posibilitatea de a controla utilizarea cookie-urilor și prin configurarea browserului său web și poate activa blocarea sau ștergerea cookie-urilor existente.

Art. 31. (1) Informații detaliate despre modulele cookie specifice, funcționalitatea acestora, perioadele de stocare și părțile relevante care accesează datele colectate sunt furnizate într-o Politică privind modulele cookie publicată la următoarea adresă: https://artoaza.ro/cookies 

(2) Politica menționată este actualizată și include o descriere atât a cookie-urilor utilizate intern, cât și a celor integrate prin intermediul furnizorilor externi de servicii.

Secțiunea XI - Dispoziții tranzitorii și finale

Art. 32. (1) Această Politică de confidențialitate va fi gestionată, interpretată și aplicată în conformitate cu legislația bulgară în vigoare și cu legislația Uniunii Europene, în special cu Regulamentul (UE) 2016/679 (Regulamentul general privind protecția datelor - RGPD), precum și cu orice modificări ulterioare și reglementări conexe.

(2) În cazul unui conflict între prevederile acestei Politici și regulile imperative ale legislației aplicabile, prevederile legale vor prevala. Operatorul se obligă să actualizeze Politica imediat după detectarea unei astfel de neconformități.

(3) În cazul în care o instanță competentă sau o autoritate de reglementare declară orice clauză a acestei politici nulă, inaplicabilă sau ilegală, acest lucru nu va afecta valabilitatea și aplicabilitatea celorlalte dispoziții. Clauza afectată va fi înlocuită cu o dispoziție valabilă care corespunde cel mai bine intenției inițiale și efectului juridic.

(4) Titlurile și subtitlurile din această politică servesc exclusiv în scopuri organizaționale și pentru a facilita navigarea. Acestea nu fac parte din conținutul normativ și nu trebuie utilizate în interpretarea juridică a prevederilor.

Art. 33. (1) Operatorul își rezervă dreptul de a revizui, actualiza și modifica periodic această Politică de confidențialitate. Astfel de modificări pot fi necesare din cauza evoluțiilor tehnologice, a schimbărilor în practicile de afaceri, a evoluției cadrului juridic sau a recomandărilor supraveghetorilor.

(2) Toate modificările intră în vigoare din momentul publicării lor oficiale pe site-ul Operatorului, cu excepția cazului în care o dată ulterioară de intrare în vigoare este indicată în mod explicit. Pentru modificările semnificative care afectează drepturile fundamentale ale persoanelor vizate, Operatorul va oferi o perioadă de tranziție de cel puțin 30 zile.

(3) În cazul unor modificări semnificative ale Politicii, Operatorul se obligă să notifice persoanele vizate afectate prin unul sau mai multe dintre următoarele canale: notificare vizibilă pe pagina principală a site-ului pentru o perioadă de cel puțin 30 de zile, un e-mail la adresa de e-mail a utilizatorilor înregistrați (dacă este cazul), notificări push în aplicațiile mobile sau o notificare la următoarea conectare la contul de utilizator.

(4) Continuarea utilizării serviciilor după data intrării în vigoare a Politicii actualizate va fi considerată o acceptare explicită a modificărilor. Persoanele vizate care nu acceptă noile condiții vor înceta utilizarea serviciilor și își pot exercita dreptul la ștergerea datelor cu caracter personal în conformitate cu secțiunea XI din această politică.

(5) Operatorul va păstra o arhivă publică a tuturor versiunilor Politicii de confidențialitate, inclusiv datele de expirare. Versiunea curentă este disponibilă permanent la https://artoaza.ro/privacypolicy, data ultimei actualizări fiind indicată clar în partea de jos.

Art. 34. (1) Operatorul va lua măsurile necesare pentru protecția datelor cu caracter personal, dar nu va fi răspunzător pentru consecințele care decurg din furnizarea de date false, incomplete sau neactualizate de către persoanele vizate.

(2) Persoanele vizate au obligația de a furniza date cu caracter personal corecte și actualizate, precum și de a informa Operatorul cu privire la orice modificări ale informațiilor furnizate într-un termen rezonabil. Nerespectarea acestei obligații poate duce la incapacitatea de a presta servicii sau la exercitarea necorespunzătoare a drepturilor.

(3) Operatorul nu își asumă nicio responsabilitate pentru practicile de confidențialitate sau de securitate a datelor ale terților, inclusiv atunci când datele cu caracter personal sunt partajate cu consimțământul acestora sau în alt temei juridic. Persoanele vizate sunt încurajate să se familiarizeze cu politicile de confidențialitate ale terților relevanți.

(4) Operatorul aplică măsuri tehnice și organizatorice de protecție adecvate, dar nu poate garanta securitatea absolută la transmiterea datelor prin Internet. Persoanele vizate acceptă acest risc rezidual atunci când utilizează serviciile.

Art. 35. (1) Această Politică de confidențialitate a fost aprobată și adoptată printr-o decizie a administratorul Artoasa OOD și intră în vigoare începând cu data de 01.07.2025, înlocuind toate versiunile anterioare.

(2) Următoarele documente fac parte integrantă din cadrul general de protecție a datelor al Operatorului: Politica privind modulele cookie este disponibilă la https://artoaza.ro/cookies.

(3) Această politică a fost întocmită și este furnizată în limba bulgară ca versiune oficială și obligatorie din punct de vedere juridic. Atunci când se oferă traduceri în alte limbi pentru a veni în întâmpinarea utilizatorilor străini, în caz de discrepanțe sau ambiguități, versiunea în limba bulgară întotdeauna va prevala.

(4) Pentru toate aspectele care nu sunt soluționate în mod explicit în această politică, se aplică dispozițiile relevante ale RGPD, ale Legii privind protecția datelor cu caracter personal, precum și jurisprudența și orientările relevante ale Comitetului European pentru Protecția Datelor și ale Comisiei pentru Protecția Datelor cu Caracter Personal.

(5) În cazul unor întrebări referitoare la interpretarea sau aplicarea acestei Politici, persoanele vizate pot contacta Operatorul la adresa: [email protected] /[email protected].