Prezenta Politică de Confidențialitate explică modul în care site-ul datapark.ro (denumit în continuare “DataPark”), operat de S.C. XTEK Invest S.R.L. cu sediul în Str. Mihail Kogălniceanu nr. 1, Clădirea C2, Lot 1, Birou nr. 1, Etaj 1, Sat Miroslava, Comuna Miroslava, județul Iași, înregistrată la Registrul Comerțului sub nr. J2007001534220, CUI RO21789595, prelucrează datele dumneavoastră cu caracter personal. DataPark tratează cu responsabilitate confidențialitatea informațiilor și aplică strict legislația aplicabilă, inclusiv Regulamentul (UE) 2016/679 (GDPR). Această politică se adresează utilizatorilor site-ului și clienților care utilizează serviciile DataPark (de ex. servicii VPS, găzduire web, colocare servere, backup, consultanță IT). Prin utilizarea site-ului și a serviciilor DataPark, vă exprimați acordul cu prezenta Politică de Confidențialitate, parte integrantă a Termenilor și Condițiilor DataPark.
Notă privind rolul DataPark ca operator vs. persoană împuternicită: Atunci când colectăm și prelucrăm datele dumneavoastră personale pentru propriile noastre scopuri (de ex. administrarea contului de client, facturare, suport), DataPark acționează în calitate de operator de date. În anumite situații, DataPark poate acționa și ca persoană împuternicită de operator (ex. ca furnizor de servicii de hosting), prelucrând datele cu caracter personal găzduite de clienții săi exclusiv conform instrucțiunilor acestora și în scopurile stabilite de aceștia. Astfel de date rămân proprietatea clientului și sunt stocate în siguranță pe servere din România sau UE, fără a fi utilizate de DataPark în scopuri propriinshost.ro. Personalul nostru tehnic autorizat asigură securitatea acestor date (inclusiv sisteme de backup securizate în spațiul UE), iar niciun terț neautorizat nu are acces la ele
- Date de contact și identificare: Nume și prenume, adresa de e-mail, număr de telefon, adresă poștală (domiciliu/reședință sau sediu profesional), precum și, dacă este cazul, date de identificare legală cum ar fi CNP (pentru persoane fizice) sau date de identificare ale companiei (denumire legală, CUI/CIF, nr. Registrul Comerțului). În anumite situații, putem solicita și copii ale unor documente de identitate ori alte informații necesare pentru verificarea identității, de exemplu în vederea încheierii contractului sau conform unor obligații legale (cum ar fi regulile de înregistrare a domeniilor web).
- Date de cont și informații pentru autentificare: Username (nume de utilizator) și parolă (stocată în formă criptată), ID-ul de client alocat în sistemul nostru, precum și istoricul autentificărilor și al acțiunilor în contul de client (de exemplu, data ultimei autentificări reușite și activități legate de administrarea contului)
- Date necesare furnizării serviciilor și facturării: Detalii pentru facturare și plată, cum ar fi adresa de facturare, metoda de plată preferată, detalii tranzacționale (sumă, dată plată, etc.). Dacă plătiți online, este posibil să colectăm și să stocăm parțial informații despre cardul bancar (de ex. ultimele 4 cifre ale cardului) sau contul IBAN, însă nu stocăm date sensibile complete ale cardului – aceste date sunt procesate în siguranță de către procesatorul nostru de plăți autorizat. Pentru plățile prin transfer bancar, vom prelucra contul bancar IBAN și detaliile plătitorului.
- Date tehnice și de utilizare a serviciilor: Adresa IP de pe care accesați site-ul sau platformele noastre (portalul de client), identificatori de dispozitiv și caracteristici ale dispozitivului (ex: tipul și versiunea browser-ului, sistemul de operare, fus orar, rezoluție ecran), data și ora accesului, paginile vizitate și acțiunile efectuate pe site sau în portal (log-uri de activitate). De asemenea, monitorizăm jurnalele serverelor (server logs) pentru a asigura securitatea și buna funcționare a serviciilor – aceste log-uri pot include adrese IP, timestamp-uri, comenzi executate și erori.
- Date colectate prin Cookie-uri și tehnologii similare: Atunci când vizitați datapark.ro, putem plasa cookie-uri sau tehnologii similare care colectează informații precum: adresa IP, identificatori cookie, preferințe de limbă, pagini vizualizate, durată sesiune, istoricul navigării pe site etc. Aceste date ne ajută să vă recunoaștem browser-ul, să reținem preferințele și să analizăm utilizarea site-ului.
- Comunicații și informații furnizate voluntar: Conținutul mesajelor trimise de dumneavoastră către DataPark prin formularele de contact de pe site, prin email, telefon sau sistemul de tichete de suport. Acestea pot include și alte date personale pe care alegeți să ni le furnizați în solicitările de suport (de exemplu, informații tehnice despre serverele sau site-urile găzduite, dacă sunt relevante pentru rezolvarea problemei). Vom păstra evidența corespondenței și a rezolvării solicitărilor de suport pentru a îmbunătăți serviciile și a documenta îndeplinirea obligațiilor noastre contractuale.
Date sensibile: În cursul relației cu noi, nu vă vom solicita și nu intenționăm să colectăm date cu caracter special/sensibil (precum date despre originea rasială sau etnică, opinii politice, convingeri religioase, starea de sănătate, apartenența la sindicate sau date genetice/biometrice) și nici date privind condamnări penale, întrucât acestea nu sunt necesare pentru prestarea serviciilor noastre. Vă rugăm să nu ne transmiteți astfel de date. Dacă, totuși, în mod excepțional prelucrăm date sensibile (de exemplu, dacă dumneavoastră ni le furnizați voluntar într-o cerere), o vom face numai cu respectarea prevederilor legale aplicabile.
Date ale minorilor: Serviciile DataPark nu sunt destinate persoanelor sub 18 ani, respectiv nu prelucrăm cu bună știință date ale minorilor sub această vârstă. Dacă aflăm că am colectat accidental astfel de date, le vom șterge în mod diligent.
Colectăm datele personale direct de la dumneavoastră în majoritatea cazurilor. Modalitățile principale de colectare sunt:
- Prin formulare online și înregistrare cont: La crearea unui cont de client pe datapark.ro sau la plasarea unei comenzi de servicii, vi se va solicita să completați un formular cu datele de contact și informațiile necesare pentru încheierea contractului (ex. nume, e-mail, telefon, adresa, date facturare etc.). De asemenea, dacă solicitați o ofertă sau ne contactați prin formularele de pe site, veți furniza datele de contact pentru a vă putea răspunde.
- Prin comunicare directă: Ne puteți furniza date și atunci când ne contactați prin alte mijloace – de exemplu prin email, telefon, sistemul de ticketing sau chat-ul de suport (dacă este disponibil). Orice informații ne transmiteți voluntar în aceste comunicări vor fi prelucrate în vederea gestionării solicitării dumneavoastră.
- Automat, prin utilizarea site-ului și a serviciilor: Sistemele noastre IT și infrastructura de găzduire colectează automat anumite date tehnice atunci când interacționați cu platformele noastre. Acestea includ logarea accesărilor (log-urile serverelor și ale aplicațiilor), adresele IP și alți identificatori unici ai dispozitivului, cookie-urile setate în browser etc., așa cum am detaliat la secțiunea precedentă. Colectarea acestor date tehnice se realizează automat, în momentul accesării, prin tehnologiile server/web implicite și prin cookie-uri sau scripturi de analytics implementate (în condițiile consimțământului, acolo unde acesta este necesar).
- Din surse terțe, în măsura necesară: În mod obișnuit, colectăm date direct de la persoana vizată. În anumite situații particulare, putem primi sau verifica date despre dumneavoastră și din surse publice ori de la terți. De exemplu, pentru clienții persoane juridice, putem verifica informații despre firmă în registre publice (ex: datele din Registrul Comerțului sau Ministerul Finanțelor) pentru facturare corectă. De asemenea, la înregistrarea domeniilor web internaționale putem primi date de la registrarii autorizați sau autoritatea de registru (de exemplu, confirmarea înregistrării și date WHOIS asociate domeniului). Orice colectare din surse terțe va fi limitată la ceea ce este necesar și va fi realizată cu respectarea legislației.
Prelucrăm datele cu caracter personal strict pentru scopuri legitime, clar determinate. Mai jos regăsiți principalele scopuri pentru care colectăm și folosim datele dvs., împreună cu exemple concrete în fiecare caz:
- Furnizarea serviciilor și executarea contractului: Folosim datele de contact și identificare pentru a crea și administra contul de client, pentru a vă furniza serviciile de găzduire, VPS, colocare, backup și consultanță solicitate și pentru a gestiona relația contractuală cu dumneavoastră. De exemplu, vom utiliza adresa de email și numărul de telefon pentru a vă transmite informațiile necesare accesării serviciilor (cum ar fi datele de autentificare în portalul de client sau pe servere) și pentru comunicări legate de derularea contractului. Prelucrarea acestor date are ca temei necesitatea executării contractului încheiat cu dumneavoastră (art. 6 alin. 1 lit. b GDPR).
- Facturare și management financiar: Prelucrăm datele necesare emiterii facturilor (nume, adresă, CUI etc.) și evidenței contabile, precum și detalii despre plăți, pentru a încasa contravaloarea serviciilor furnizate. Vom folosi adresa de email pentru a vă transmite facturile fiscale în format electronic. Aceste prelucrări sunt necesare pentru executarea contractului (prestarea serviciilor contra cost) și pentru îndeplinirea obligațiilor noastre legale financiar-contabile (art. 6 alin. 1 lit. c GDPR) – de exemplu, legislația fiscală ne obligă să emitem și să păstrăm facturi și alte documente contabile.
- Asigurarea asistenței tehnice și relația cu clienții: Folosim datele de contact (precum număr de telefon, email) și informațiile din cont pentru a vă oferi suport tehnic și customer service ori de câte ori ne solicitați acest lucru. De asemenea, analizăm informațiile din tichetele de suport și log-urile sistemelor pentru a diagnostica probleme tehnice și a le rezolva prompt. Aceste activități fac parte din executarea contractului (vă furnizăm servicii conform acordului, ceea ce include asistența) și, totodată, se bazează pe interesul nostru legitim de a menține calitatea serviciilor și satisfacția clienților (art. 6 alin. 1 lit. f GDPR).
- Comunicări operaționale legate de servicii: DataPark vă poate trimite comunicări esențiale despre servicii – de exemplu notificări privind expirarea unui domeniu sau serviciu, informații despre mentenanțe programate, modificări de securitate, actualizări ale Termenilor și Condițiilor sau ale politicilor, etc. Aceste comunicări nu au caracter promoțional, ci sunt necesare pentru buna derulare a serviciilor și îndeplinirea obligațiilor noastre (temei: executarea contractului sau obligație legală, după caz). Nu vă puteți dezabona de la mesajele strict necesare (cum ar fi notificările de facturare, alerte de securitate), deoarece furnizarea serviciilor ar fi afectată; însă le vom limita la informațiile relevante.
- Marketing și comunicări comerciale: Cu consimțământul dumneavoastră prealabil explicit sau în baza interesului nostru legitim (în condițiile permise de lege pentru clienții existenți), putem folosi datele de contact (ex: adresa de email) pentru a vă transmite noutăți despre serviciile noastre, oferte promoționale, newslettere, studii de piață sau invitații la evenimente. Ne vom asigura că v-ați dat acordul în mod valabil pentru astfel de comunicări, exceptând situațiile în care vă contactăm despre servicii similare celor deja contractate de dumneavoastră – caz în care temeiul este interesul nostru legitim de a ne dezvolta afacerea și de a vă informa despre produse utile, conform art. 6 alin. 1 lit. f GDPR. În orice moment vă puteți retrage consimțământul sau opune acestor comunicări de marketing, folosind link-ul de dezabonare din emailurile primite sau contactându-ne prin mijloacele menționate în secțiunea de Contact. Vom onora prompt orice astfel de opțiune și nu veți mai primi comunicări comerciale.
- Îmbunătățirea serviciilor și analiză internă: Putem prelucra anumite date despre modul în care folosiți serviciile (de ex. feedback furnizat, tipul de servicii achiziționate, frecvența accesării platformei, date agregate/anonimizate privind trafic sau performanța serverelor) pentru a înțelege nevoile clienților și a îmbunătăți oferta noastră. Acest scop se întemeiază pe interesul nostru legitim de a inova și optimiza serviciile (art. 6 alin. 1 lit. f GDPR). În măsura posibilului, vom folosi pentru aceste analize date anonimizate sau agregate, care nu mai permit identificarea persoanelor vizate. Dacă totuși folosim date personale, ne vom asigura că prelucrarea are loc cu respectarea drepturilor și libertăților dumneavoastră (de exemplu, vom pseudonimiza datele și vom utiliza rezultate statistice în locul datelor brute individuale).
- Securitate IT, prevenirea fraudei și asigurarea utilizării adecvate a serviciilor: Depunem eforturi permanente pentru protejarea infrastructurii și a datelor clienților noștri. În acest scop, prelucrăm date precum adrese IP, log-uri de securitate și alte informații tehnice pentru a detecta și preveni accesul neautorizat, atacurile cibernetice (ex. tentative de brute force sau exploatarea vulnerabilităților) ori alte activități malițioase. De exemplu, dacă o anumită adresă IP efectuează încercări eșuate repetate de autentificare sau este listată în baze de date de spam, sistemele noastre pot bloca automat acel IP. De asemenea, putem folosi datele de identificare pentru a preveni fraudele în procesul de comandă (de ex. verificăm dacă comenzile plasate folosind date false sau IP-uri anonime reprezintă tentative de fraudă și le putem refuza). Aceste prelucrări sunt justificate de interesul nostru legitim de a asigura securitatea rețelelor și serviciilor, integritatea sistemelor și de a proteja DataPark și clienții săi de riscuri (art. 6 alin. 1 lit. f GDPR), precum și, în anumite cazuri, de necesitatea respectării unor obligații legale în domeniul securității datelor.
- Respectarea obligațiilor legale: În anumite situații, prelucrarea datelor este impusă de lege. Putem prelucra și divulga date personale pentru a ne conforma obligațiilor legale, de exemplu: raportări financiar-contabile către autorități fiscale, arhivarea documentelor contabile pentru perioadele prevăzute de lege, răspunsul la solicitări legale ale autorităților (cum ar fi citații, ordine judecătorești sau cereri ale organelor de cercetare). De asemenea, legislația privind protecția datelor ne poate impune păstrarea anumitor evidențe (cum ar fi evidența consimțămintelor acordate sau a cererilor persoanelor vizate) și furnizarea de informații autorității de supraveghere, atunci când este necesar. Temeiul juridic pentru aceste prelucrări este îndeplinirea unei obligații legale a operatorului (art. 6 alin. 1 lit. c GDPR).
În toate situațiile în care intenționăm să folosim datele dvs. personale în alte scopuri decât cele menționate inițial, vă vom informa în prealabil și, dacă legea o impune, vom obține consimțământul dvs. explicit. Nu vom prelucra datele într-un mod incompatibil cu scopurile pentru care au fost colectate inițial (principiul limitării la scop)
Conform legislației privind protecția datelor, orice prelucrare de date cu caracter personal trebuie să se bazeze pe un temei legal valid din cele prevăzute de art. 6 alin. (1) GDPR În funcție de context, DataPark se întemeiază pe următoarele temeiuri juridice pentru prelucrările efectuate:
- Executarea unui contract sau demersuri premergătoare contractului – art. 6 alin. (1) lit. b) GDPR: atunci când prelucrarea este necesară pentru a vă oferi serviciile solicitate și pentru a ne îndeplini obligațiile contractuale față de dumneavoastră. Majoritatea datelor pe care ni le furnizați la înregistrare și pe parcursul utilizării serviciilor sunt prelucrate pe acest temei (de exemplu, datele pentru crearea contului, furnizarea efectivă a serviciilor, asistența tehnică, facturare). Fără aceste date, nu am putea încheia sau executa contractul cu dvs., așadar furnizarea lor este o condiție necesară pentru utilizarea serviciilor DataPark.
- Respectarea unei obligații legale – art. 6 alin. (1) lit. c) GDPR: prelucrăm anumite date deoarece legea ne obligă sau ne autorizează în mod expres să facem acest lucru. Exemple: păstrarea datelor de facturare și a documentelor financiare pentru minim 5 ani, conform legislației contabile și fiscale aplicabile; furnizarea de informații către autoritățile de aplicare a legii sau către instanțe, atunci când primim solicitări legale în acest sens; îndeplinirea obligațiilor de raportare către autoritățile statului sau respectarea unor cerințe de securitate cibernetică impuse de lege. În aceste cazuri, temeiul legal este obligația noastră legală, iar refuzul furnizării datelor (atunci când datele sunt colectate direct de la dumneavoastră) poate împiedica furnizarea serviciului sau respectarea unei cerințe legale.
- Interesul legitim al operatorului – art. 6 alin. (1) lit. f) GDPR: ne bazăm pe interesul nostru legitim pentru acele prelucrări care sunt așteptate și necesare în derularea activității, cu condiția să nu vă încalce drepturile și libertățile. Am evaluat că putem prelucra pe acest temei, de exemplu: date pentru securitatea și integritatea sistemelor (prevenirea fraudelor, atacurilor cibernetice și utilizării abuzive a serviciilor), date pentru îmbunătățirea experienței utilizatorilor și dezvoltarea serviciilor (analize interne, feedback), precum și date de contact pentru comunicări de marketing către clienții existenți privind servicii similare celor deja contractate (în limitele permise de lege). În toate aceste situații, ne asigurăm că prelucrarea este proporțională și că am implementat garanții adecvate pentru protejarea datelor (de ex. posibilitatea de a vă opune la marketing oricând). Vă puteți opune oricând prelucrărilor întemeiate pe interesul nostru legitim, din motive legate de situația dumneavoastră particulară, urmând instrucțiunile din secțiunea Drepturile Persoanelor Vizate de mai jos. Dacă interesul nostru prevalează sau dacă prelucrarea este necesară pentru constatarea sau apărarea unui drept în instanță, vom putea în continuare să prelucrăm datele, altfel vom înceta respectiva prelucrare.
- Consimțământul explicit al persoanei vizate – art. 6 alin. (1) lit. a) GDPR: în situațiile în care prelucrarea nu se încadrează într-unul din temeiurile de mai sus, vă vom solicita consimțământul. De exemplu, pentru trimiterea de newslettere sau comunicări de marketing către persoane care nu sunt deja clienți DataPark, ori pentru utilizarea anumitor cookie-uri non-esențiale, temeiul va fi consimțământul dumneavoastră informat. Vă puteți retrage oricând consimțământul acordat, iar retragerea va produce efecte pentru viitor – vom înceta prelucrarea în cauză imediat ce este posibil. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate înainte de momentul retragerii. Atunci când vă cerem consimțământul, vă vom furniza toate informațiile necesare (scop, tip de date, dreptul de retragere etc.), astfel încât decizia dumneavoastră să fie una liberă și informată.
În rezumat, temeiurile pe care ne bazăm sunt cele prevăzute de art. 6 alin. (1) GDPR: consimțământul persoanei vizate, executarea contractului, îndeplinirea obligațiilor legale ale operatorului sau interesul nostru legitim (justificat și echilibrat cu drepturile persoanei vizate). Pentru orice nelămurire privind temeiul aplicabil unei anumite prelucrări, ne puteți contacta folosind datele de la finalul politicii.
Respectăm confidențialitatea datelor și, prin urmare, vom dezvălui informațiile personale colectate doar către destinatarii necesari îndeplinirii scopurilor menționate sau în condițiile impuse de lege. Categoriile de destinatari către care pot fi divulgate datele sunt următoarele:
- Angajații și colaboratorii autorizați ai DataPark: Personalul nostru intern (suport clienți, administratori de sistem, echipa financiar-contabilă, echipa juridică etc.) va avea acces la datele personale numai în măsura necesară pentru îndeplinirea atribuțiilor de serviciu și doar după ce a asumat obligații de confidențialitate. De exemplu, echipa de suport poate accesa datele contului dvs. pentru a vă putea ajuta la resetarea unei parole sau rezolvarea unei probleme tehnice, iar departamentul de facturare vă prelucrează datele pentru emiterea facturilor. Accesul intern este strict controlat pe baza principiului „need-to-know” (doar persoanele care au nevoie de un anumit set de date îl pot accesa).
- Împuterniciți (persoane împuternicite) și furnizori de servicii ai DataPark: În derularea activității, apelăm la terțe părți de încredere pentru furnizarea unor servicii auxiliare (ex. servicii de infrastructură și data center, servicii de email/SMS gateway, servicii de plată online, furnizori de servicii IT, consultanți etc.). Aceste terțe părți pot prelucra date personale exclusiv în numele și pe seama DataPark, conform instrucțiunilor noastre și în limitele contractuale stabilite (contracte de prelucrare a datelor conform art. 28 GDPR). Ne asigurăm că toți împuterniciții respectă cerințele GDPR privind securitatea și confidențialitatea datelor. Exemple de astfel de destinatari:
- Procesator de plăți online: dacă achitați cu cardul, datele de plată sunt direcționate către procesatorul nostru de plăți securizat (ex. MobilPay / Netopia sau alt furnizor) care acționează ca împuternicit, fără ca DataPark să stocheze detaliile complete ale cardului.
- Furnizor infrastructură hardware/software: în cazul în care anumite servicii sunt furnizate cu ajutorul unui partener (de exemplu, colocarea serverelor într-un centru de date partener, servicii cloud sau licențe software), este posibil să fie necesară transmiterea unor date de identificare către acel partener (de regulă nume client și eventual contact tehnic) pentru activarea serviciului.
- Furnizori de servicii de comunicare: pentru trimiterea de notificări automate putem folosi servicii de email (de ex. platforma noastră de mailing) sau SMS. Acești furnizori pot procesa adresa dvs. de email sau numărul de telefon și conținutul mesajului, strict pentru a transmite comunicarea din partea DataPark.
- Colaboratori pe partea de suport/consultanță: în situații punctuale, putem oferi acces limitat la anumite date unui consultant extern (de ex. firmă de mentenanță software, auditor IT sau jurist) – aceștia vor fi obligați la confidențialitate și vor accesa datele doar dacă este absolut necesar pentru prestarea serviciului de consultanță.
- Parteneri contractuali implicați la cererea dvs.: Dacă beneficiați de servicii care implică terțe părți, vom transmite datele dvs. respectivei părți doar în măsura în care este nevoie. De exemplu, în cazul înregistrării unui domeniu de internet pe care o realizăm la cererea dvs., vom transmite către autoritatea de înregistrare (ROTLD pentru domenii .ro sau registrarii autorizați pentru domenii internaționale) datele de contact cerute de politica de înregistrare (nume, adresă, email, telefon, eventual CNP pentru persoană fizică la domeniile .ro) – aceste date vor fi folosite pentru înregistrarea domeniului pe numele dumneavoastră și pot apărea de asemenea în baza de date WHOIS publică, conform regulilor registrului. Vom face acest lucru doar dacă solicitați înregistrarea unui domeniu și acceptați condițiile specifice (menționate în contract)
- Autorități publice și instituții de stat: În cazul în care avem o obligație legală sau o solicitare oficială, putem dezvălui anumite date către autorități. Acestea pot include: autorități fiscale (ex. ANAF, pentru raportări contabile sau controale fiscale), autorități de aplicare a legii (Poliție, Procuratură) sau instanțe judecătorești – dar numai în baza și în limita prevederilor legale. De exemplu, putem furniza log-uri de acces sau date de identificare a unui client dacă primim o solicitare legală întemeiată din partea organelor abilitate de investigare a unei infracțiuni. De asemenea, la solicitarea ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) putem oferi informații în cadrul unei investigații privitoare la protecția datelor. Orice comunicare către autorități va fi documentată și realizată cu diligența necesară, verificând temeiul legal al cererii.
În toate cazurile de mai sus, divulgarea datelor către terți se face în baza principiului ”need-to-know” și, acolo unde este cazul, încheiem acorduri de confidențialitate și de prelucrare a datelor cu acești terți, asigurându-ne că oferă un nivel adecvat de protecție. Nu vindem și nu înstrăinăm datele dumneavoastră personale în scop comercial către nicio terță parte. Transmitem date terților doar pentru a facilita prestarea serviciilor către dumneavoastră, pentru derularea activităților noastre legitime sau dacă suntem obligați legal.
În prezent, stocăm și prelucrăm datele cu caracter personal preponderent pe teritoriul României sau al altor state membre ale Spațiului Economic European (SEE). Serverele noastre sunt localizate în România, asigurând astfel că datele rămân în interiorul UE. În măsura în care, pentru anumite prelucrări, vom folosi servicii sau furnizori localizați în afara SEE (de exemplu, un serviciu cloud sau un furnizor de tehnologie dintr-o țară terță), ne vom asigura că orice transfer internațional de date respectă condițiile impuse de GDPR.
În concret, nu vom transfera datele personale către țări din afara UE/SEE decât dacă:
- Destinația figurează pe lista țărilor considerate de Comisia Europeană ca având un nivel adecvat de protecție a datelor (decizie de adecvare); sau
- Am implementat garanții adecvate, cum ar fi clauze contractuale standard aprobate de Comisia Europeană pentru transferul de date, care oferă un nivel de protecție echivalent cu cel din UE; sau
- Se aplică o excepție în condițiile art. 49 GDPR (de exemplu, transferul este necesar pentru executarea unui contract cu dumneavoastră, există consimțământ explicit, transferul este necesar pentru constatarea unui drept în justiție etc.).
În oricare situație, vă vom informa despre transferurile semnificative de date în afara UE. Toți partenerii și furnizorii noștri extra-UE vor fi atent evaluați din perspectiva securității și confidențialității datelor. De asemenea, vom păstra datele transferate peste graniță la minimul necesar și vom verifica ca orice entitate ce primește datele să ofere garanții similare celor impuse de GDPR.
În momentul de față, nu realizăm transferuri de date în afara UE către organizații internaționale sau alți destinatari, în absența uneia din garanțiile menționate. Dacă pe viitor vom apela la servicii furnizate din afara spațiului UE, vom actualiza corespunzător această politică și vom notifica utilizatorii, conform obligațiilor de transparență.
Păstrăm datele cu caracter personal doar pe durata necesară îndeplinirii scopurilor pentru care au fost colectate sau cât timp impun diversele obligații legale de arhivare. Nu vom prelucra datele pe o perioadă mai lungă decât este justificat. Perioada de stocare diferă în funcție de natura datelor și de scopul prelucrării, astfel:
- Datele de cont și de identitate ale clientului: Sunt păstrate pe toată durata relației contractuale active. Aceasta înseamnă că atâta timp cât aveți un cont la noi sau beneficiați de servicii DataPark, vom menține aceste date în evidențele noastre. După încetarea contractului (de exemplu, închiderea contului sau expirarea ultimului serviciu activ), vom mai păstra anumite date de bază pe o perioadă limitată (de regulă între 3 și 5 ani) în scopul gestionării eventualelor solicitări ulterioare, al apărării împotriva unor posibile acțiuni legale (termenul de prescripție) și al respectării obligațiilor de arhivare. La expirarea acestei perioade, vom șterge sau anonimizăm aceste date, exceptând situația în care există o altă obligație legală de a le păstra mai mult.
- Datele de facturare și financiar-contabile: Facturile emise și celelalte documente justificative financiar-contabile care conțin date personale (de ex. nume, adresă, CUI) sunt arhivate conform legii contabilității aplicabile. În prezent, legea ne solicită să păstrăm registrele și documentele contabile pentru o perioadă de 5 ani, calculată de la data de 1 iulie a anului următor încheierii exercițiului financiar în care au fost întocmite documentele. (Notă: Situațiile financiare anuale se păstrează 10 ani, însă acestea conțin în general date agregate, nu neapărat date personale identificabile). Astfel, vom păstra datele de facturare cel puțin pe durata prevăzută de lege (5 ani sau atât cât este în vigoare obligația legală), indiferent dacă solicitați ștergerea unor date, întrucât această păstrare este impusă de o obligație legală.
- Datele din log-urile tehnice și de securitate: Jurnalele de acces la servere, log-urile de evenimente și alte date tehnice de acest tip se păstrează pe perioade relativ scurte, necesare monitorizării securității și funcționării sistemelor. În mod obișnuit, log-urile de acces web și FTP, de exemplu, sunt păstrate între 6 și 12 luni, dacă nu este necesară o perioadă mai lungă. Putem păstra log-uri de securitate (care consemnează incidente sau tentative de atac) pentru o perioadă extinsă (până la 3 ani), ținând cont de termenul legal de prescripție, în cazul în care ar fi nevoie să le folosim ca probe în investigarea unor breșe sau atacuri. Odată ce aceste perioade trec, log-urile fie sunt șterse automat, fie anonimizate (dacă le folosim în scop de analiză statistică pe termen lung).
- Corespondența și tichetele de suport: Comunicările cu clienții (emailuri, tichete) se arhivează în mod uzual pentru o perioadă de 2 ani de la soluționarea ultimei cereri, pentru a putea consulta istoricul discuțiilor în cazul unor solicitări viitoare și pentru a îmbunătăți serviciul de suport. Dacă legislația impune termene mai lungi (de ex. în cazul exercitării unor drepturi ale persoanei vizate, cererile și răspunsurile noastre trebuie păstrate cel puțin un an conform recomandărilor ANSPDCP), vom respecta acele termene.
- Datele prelucrate pe baza consimțământului: Dacă prelucrăm anumite date în baza consimțământului dvs. (ex: date pentru newsletter), vom păstra acele date până la retragerea consimțământului sau până când datele nu mai sunt necesare scopului pentru care v-ați dat acordul. De exemplu, dacă v-ați abonat la comunicări de marketing, vom continua prelucrarea datelor (de ex. adresa de email) până când vă dezabonați sau ne solicitați stoparea (sau până când decidem noi să încetăm trimiterea de newsletter). Rețineți însă că evidența faptului că ați consimțit inițial poate fi păstrată și ulterior, pentru a demonstra conformitatea (de regulă maxim 2 ani de la retragerea consimțământului).
- Alte situații specifice: În cazul unor litigii, investigări în curs, cereri ale autorităților sau altor circumstanțe speciale care necesită păstrarea datelor, este posibil să suspendăm ștergerea până la rezolvarea completă a situației, pentru a nu afecta procedurile în desfășurare.
După expirarea perioadelor de stocare relevante, datele vor fi fie: șterse definitiv din sistemele noastre (și, dacă este cazul, din sistemele împuterniciților), fie anonimizate ireversibil (astfel încât să nu mai poată fi asociate de noi cu o persoană identificată). Atunci când anonimizarea datelor este posibilă și utilă, putem opta pentru această variantă în locul ștergerii – de exemplu, putem transforma un set de date de client într-o formă statistică agregată pentru a ne ajuta să înțelegem tendințe de utilizare, fără a mai păstra elemente de identificare personală.
Ne străduim să revizuim periodic datele pe care le deținem, în conformitate cu politicile noastre interne de retenție, și să nu le păstrăm mai mult decât este necesar. Dacă doriți informații suplimentare despre perioadele concrete de stocare aplicate datelor dumneavoastră, ne puteți contacta și vom furniza clarificările de rigoare.
În calitate de persoană vizată (adică individ ale cărui date personale le prelucrăm), beneficiați de o serie de drepturi garantate de legislația privind protecția datelor (GDPR). DataPark respectă pe deplin aceste drepturi și a implementat proceduri interne pentru facilitarea exercitării lor. Drepturile dumneavoastră principale sunt enumerate mai jos:
- Dreptul de acces la date: Aveți dreptul de a obține din partea noastră o confirmare că prelucrăm sau nu date personale care vă privesc și, dacă da, acces la respectivele date și informații privind prelucrarea (inclusiv scopurile, categoriile de date, destinatarii, perioada de stocare etc.). La cerere, vă vom furniza și o copie a datelor personale prelucrate, în format electronic sau fizic. Pentru copii suplimentare solicitate putem percepe o taxă rezonabilă, bazată pe costurile administrative.
- Dreptul la rectificarea datelor: Dacă descoperiți că deținem date inexacte sau incomplete despre dumneavoastră, aveți dreptul să ne solicitați corectarea sau completarea acestora fără întârzieri nejustificate. Ne angajăm să actualizăm datele eronate imediat ce ni se aduce la cunoștință inexactitatea lor. Vă rugăm să ne comunicați orice modificare a datelor personale (de exemplu, schimbarea adresei de email) pentru a ne asigura că deținem mereu informații actualizate.
- Dreptul la ștergerea datelor („dreptul de a fi uitat”): Aveți dreptul de a ne solicita ștergerea datelor personale care vă privesc, în anumite situații. Ne puteți cere să vă ștergem datele, de exemplu, dacă: (a) datele nu mai sunt necesare pentru scopurile pentru care au fost colectate; (b) v-ați retras consimțământul și nu mai există alt temei legal pentru prelucrare; (c) vă opuneți prelucrării (în condițiile dreptului de opoziție) și nu există motive legitime care să prevaleze; (d) datele au fost prelucrate ilegal; (e) există o obligație legală de ștergere; (f) datele au fost colectate în contextul oferirii de servicii ale societății informaționale către un minor. Vom da curs cererilor de ștergere în măsura impusă de GDPR – există și excepții când putem refuza ștergerea (de ex. dacă prelucrarea este încă necesară pentru respectarea unei obligații legale sau pentru constatarea, exercitarea sau apărarea unui drept în instanță). Vă vom comunica dacă este cazul unor astfel de excepții.
- Dreptul la restricționarea prelucrării: Acest drept vă permite, în anumite cazuri, să ne solicitați suspendarea temporară a prelucrării datelor – de exemplu, dacă contestați exactitatea datelor (pentru perioada necesară verificării) sau dacă v-ați opus prelucrării (pentru intervalul în care verificăm dacă interesele noastre legitime prevalează). De asemenea, îl puteți solicita în cazul unei prelucrări ilegale, dacă nu doriți ștergerea datelor, sau dacă mai avem nevoie de date pentru constatarea unui drept, deși voi ne cereți ștergerea. În perioada de restricționare, datele vor fi doar stocate și nu prelucrate activ (cu excepția stocării și a prelucrării pentru stabilirea exercitării unui drept legal sau pentru protecția drepturilor altei persoane). Vă vom informa când restricția este ridicată.
- Dreptul la opoziție: Aveți dreptul de a vă opune, din motive legate de situația dvs. particulară, prelucrărilor întemeiate pe interesul nostru legitim (art. 6(1)(f)), inclusiv creării de profiluri pe baza acelor prelucrări. Ne puteți solicita să nu vă mai prelucrăm datele în scopurile respective (exceptând cazul în care putem demonstra că avem motive legitime și imperioase care prevalează sau că prelucrarea este necesară pentru apărarea unui drept în instanță). Important: Aveți drept absolut de opoziție în ceea ce privește prelucrarea datelor în scop de marketing direct. Cu alte cuvinte, dacă ne solicitați să încetăm utilizarea datelor dvs. pentru trimiterea de newslettere și oferte, vom da curs cererii necondiționat. Vă puteți opune oricând, contactându-ne conform detaliilor de la final sau, în cazul emailurilor promoționale, folosind opțiunea „dezabonare”.
- Dreptul la portabilitatea datelor: Aveți dreptul să primiți de la noi, într-un format structurat, utilizat curent și care poate fi citit automat (ex. format electronic CSV/JSON), datele personale pe care ni le-ați furnizat și pe care le prelucrăm prin mijloace automate în temeiul consimțământului sau al contractului. În plus, puteți solicita, dacă este fezabil din punct de vedere tehnic, să transmitem noi direct datele către un alt operator indicat de dvs. (de exemplu, dacă doriți migrarea către un alt furnizor de servicii). Dreptul la portabilitate vizează doar datele furnizate de dvs. activ (de ex. informațiile completate la crearea contului sau datele generate de acțiunile dvs. efective în utilizarea serviciului). Nu intră în această categorie datele derivate sau inferențele create de noi. Vom onora cererile de portare într-un timp rezonabil, fără a aduce atingeri drepturilor altora (dacă o portare ar implica divulgarea datelor altor persoane, vom trebui să anonimizăm sau să excludem acele date).
- Dreptul de a vă retrage consimțământul: În situațiile în care prelucrarea se bazează pe consimțământul dumneavoastră, aveți dreptul să vă retrageți consimțământul oricând. Retragerea consimțământului va produce efecte numai pentru viitor – prelucrarea efectuată anterior rămâne legală. Este la fel de ușor să vă retrageți consimțământul pe cât a fost să îl oferiți: ne puteți trimite oricând o solicitare în acest sens, iar în cazul comunicărilor de marketing vă puteți dezabona direct folosind mecanismele automate puse la dispoziție.
Cum vă puteți exercita concret drepturile? Ne puteți adresa oricând o cerere privind oricare dintre drepturile de mai sus, iar noi vom răspunde fără întârzieri nejustificate, în cel mult o lună de zile de la primirea cererii (termenul poate fi prelungit cu încă două luni în caz de solicitări complexe sau foarte numeroase, dar vă vom informa dacă e nevoie de extindere). Exercitarea drepturilor este gratuită. Vom putea solicita informații suplimentare pentru a vă confirma identitatea (de exemplu, pentru a ne asigura că nu divulgăm datele dvs. altcuiva). În cazul în care cererile sunt vădit nefondate sau excesive (de exemplu, repetitive), GDPR ne permite să refuzăm solicitarea sau să percepem o taxă administrativă rezonabilă; însă vom recurge la această opțiune numai în situații excepționale.
Vă puteți exercita drepturile printr-o cerere scrisă transmisă către noi, fie pe email, fie prin poștă, sau prin intermediul formularului de contact de pe site. Vă rugăm să specificați clar ce drept doriți să exercitați și asupra căror date, pentru a facilita identificarea în sistemele noastre. Vom confirma primirea cererii și vă vom comunica măsurile luate.
De asemenea, aveți dreptul de a depune o plângere în fața autorității de supraveghere competente, dacă considerați că v-au fost încălcate drepturile privind protecția datelor. În România, autoritatea de supraveghere este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) – website: www.dataprotection.ro. Ne puteți contacta și pe noi înainte, iar noi vom încerca să rezolvăm pe cale amiabilă orice problemă, însă vă stă la dispoziție oricând și opțiunea de a vă adresa direct autorității.
Dreptul de a vă adresa justiției: Independendent de plângerea adresată ANSPDCP, aveți dreptul de a vă adresa instanțelor de judecată pentru a obține repararea oricărui prejudiciu suferit ca urmare a prelucrării ilegale a datelor dvs. Acest drept poate fi exercitat în paralel cu sau separat de demersul la autoritatea de supraveghere.
DataPark ia foarte în serios securitatea datelor dumneavoastră. Am implementat măsuri tehnice și organizatorice adecvate pentru a asigura confidențialitatea, integritatea și disponibilitatea datelor cu caracter personal, în conformitate cu art. 32 GDPR. Protejăm datele împotriva accesului neautorizat, alterării, divulgării sau distrugerii și revizuim periodic practicile de securitate pentru a integra noi tehnologii și proceduri pe măsură ce apar.
Printre măsurile concrete de securitate implementate se numără: controlul strict al accesului la date (accesul personalului este limitat pe baza de credențiale individuale și numai la acele date necesare îndeplinirii sarcinilor de serviciu), criptarea datelor sensibile atât în tranzit cât și stocate (de exemplu, folosim protocoale HTTPS/TLS pentru transferul datelor pe internet, iar parolele sunt stocate într-o formă criptografică ireversibilă), monitorizarea infrastructurii și sisteme de detecție a intruziunilor pentru a identifica activități suspecte, firewall-uri și soluții anti-malware actualizate, precum și proceduri regulate de backup al datelor în locații sigure. Societatea ia măsuri tehnice și organizatorice adecvate pentru a asigura securitatea datelor cu caracter personal, cum ar fi controale de acces, încriptarea datelor, transferul cu respectarea strictă a cerințelor de confidențialitate etc. Aceste politici de securitate sunt integrate în modul nostru de operare zilnic.
Personalul nostru este instruit periodic cu privire la importanța protecției datelor și are obligații contractuale de confidențialitate. Orice incident de securitate (breșă de securitate) care afectează datele personale va fi gestionat conform unei proceduri interne de răspuns la incidente: vom lua măsuri imediate de limitare a impactului, vom remedia vulnerabilitatea și, dacă incidentul prezintă riscuri pentru drepturile dumneavoastră, vă vom informa și vom notifica autoritatea de supraveghere în termenele prevăzute de GDPR.
Rețineți că, deși depunem toate eforturile rezonabile pentru a proteja datele, niciun sistem informatic nu este infailibil. Transmiterea datelor prin internet poate implica totuși anumite riscuri inerente pe care nu le putem elimina 100%. DataPark însă se angajează să actualizeze constant măsurile de securitate pentru a face față amenințărilor emergente și vă asigurăm că orice breșă de securitate va fi tratată cu maximă seriozitate și transparență.
Operatorul datelor prelucrate conform acestei politici este S.C. XTEK Invest S.R.L. (DataPark), având datele de contact: sediul în Str. Mihail Kogălniceanu 1, Clădirea C2, Lot 1, Birou 1, Etaj 1, Sat Miroslava, Com. Miroslava, jud. Iași, cod poștal 707305
Dacă aveți întrebări, nelămuriri sau solicitări legate de protecția datelor sau doriți să vă exercitați oricare dintre drepturile menționate, ne puteți contacta în următoarele moduri:
- Prin email: la adresa contact |@| datapark.ro
- Prin formularul de contact: disponibil pe site-ul nostru la secțiunea Contact (https://datapark.ro/contact).
- Prin poștă: la adresa poștală a sediului social menționată mai sus. Vă rugăm să precizați pe plic atenționarea “În atenția Responsabilului cu Protecția Datelor”.
Responsabil cu Protecția Datelor (DPO): La momentul actual, având în vedere dimensiunea și natura activităților noastre, DataPark nu are obligația legală de a desemna un DPO oficial. Cu toate acestea, am desemnat intern persoane responsabile de conformitatea GDPR. Vă puteți adresa oricând echipei noastre de protecție a datelor folosind contactele de mai sus. Dacă în viitor vom numi un DPO, vom actualiza această secțiune cu datele sale de contact.
Vom depune toate eforturile pentru a vă răspunde solicitărilor sau întrebărilor cât mai prompt și pentru a rezolva orice problemă pe cale amiabilă. Confidențialitatea datelor dumneavoastră este importantă pentru noi, iar transparența este un principiu cheie – nu ezitați să ne contactați pentru orice aspect legat de această Politică sau de modul în care DataPark vă prelucrează datele.
Prezenta Politică de Confidențialitate poate fi actualizată periodic, pentru a reflecta schimbări ale practicilor noastre sau modificări legislative. Orice modificare substanțială va fi publicată pe această pagină și, acolo unde schimbările sunt semnificative, vă vom anunța prin e-mail sau printr-o notificare în contul de client, înainte ca acestea să intre în vigoare. Vă recomandăm să verificați ocazional această politică pentru a fi la curent cu cele mai recente versiuni.
Această Politică de Confidențialitate completază și face parte integrantă din documentația legală a site-ului DataPark, alături de Termenii și Condițiile generale de utilizare.