POLITICA DE CONFIDENȚIALITATE

privind prelucrarea datelor cu caracter personal

conform Regulamentului (UE) 2016/679 (GDPR)

Art. 7, Art. 11-22 și Art. 32 GDPR

1. INTRODUCERE ȘI SCOPUL POLITICII

Prezenta Politică de Confidențialitate descrie modul în care operatorul Adriana Ceausescu (denumită în continuare „Operatorul”) prelucrează datele dumneavoastră cu caracter personal, în conformitate cu Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (GDPR).

Această politică acoperă obligațiile prevăzute de Art. 7 (condițiile consimțământului), Art. 11-22 (drepturile persoanelor vizate) și Art. 32 (securitatea prelucrării) din GDPR.

Operatorul se angajează să respecte principiile protecției datelor încă din faza de proiectare (privacy by design) și implicit (privacy by default), conform Art. 25 GDPR.

2. IDENTITATEA OPERATORULUI (Art. 13 alin. 1 lit. a)

3. CATEGORII DE DATE CU CARACTER PERSONAL PRELUCRATE

Operatorul poate prelucra următoarele categorii de date cu caracter personal, în funcție de serviciile utilizate:

3.1. Date de identificare

• Nume și prenume
• Adresă de e-mail
• Număr de telefon (dacă este furnizat voluntar)

3.2. Date de navigare

• Adresă IP
• Tipul browserului și al dispozitivului
• Cookie-uri și tehnologii similare de urmărire
• Pagini vizitate și durata vizitei

3.3. Date furnizate voluntar

• Mesaje transmise prin formularul de contact
• Comentarii pe blog
• Date furnizate la înscrierea la newsletter

4. SCOPURILE ȘI TEMEIURILE JURIDICE ALE PRELUCRĂRII (Art. 13 alin. 1 lit. c-d)

5. CONDIȚIILE CONSIMȚĂMÂNTULUI (Art. 7 GDPR)

În cazul în care prelucrarea se bazează pe consimțământ, acesta trebuie să îndeplinească următoarele condiții:

• Să fie liber exprimat, specific, informat și lipsit de ambiguitate
• Operatorul trebuie să poată demonstra că persoana vizată și-a dat consimțământul (Art. 7 alin. 1)
• Solicitarea consimțământului trebuie prezentată într-o formă care o diferențiază clar de alte aspecte (Art. 7 alin. 2)
• Persoana vizată are dreptul de a-și retrage consimțământul în orice moment, iar retragerea trebuie să fie la fel de ușoară ca acordarea acestuia (Art. 7 alin. 3)
• Consimțământul nu poate fi considerat liber exprimat dacă executarea unui contract este condiționată de acesta, fără ca prelucrarea să fie necesară (Art. 7 alin. 4)

Retragerea consimțământului nu afectează legalitatea prelucrării efectuate anterior retragerii.

6. PRELUCRAREA CARE NU NECESITĂ IDENTIFICAREA (Art. 11 GDPR)

În cazul în care scopurile pentru care Operatorul prelucrează date cu caracter personal nu necesită sau nu mai necesită identificarea unei persoane vizate, Operatorul nu este obligat să păstreze, să obțină sau să prelucreze informații suplimentare pentru identificarea persoanei vizate, exclusiv în scopul respectării GDPR (Art. 11 alin. 1).

În astfel de situații, drepturile prevăzute la Art. 15-20 nu se aplică, cu excepția cazului în care persoana vizată furnizează informații suplimentare care permit identificarea (Art. 11 alin. 2).

7. TRANSPARENȚA INFORMAȚIILOR (Art. 12 GDPR)

Operatorul ia toate măsurile adecvate pentru a furniza persoanei vizate toate informațiile menționate la Art. 13 și 14, precum și orice comunicare în temeiul Art. 15-22 și Art. 34, într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu.

Informațiile sunt furnizate în scris sau prin alte mijloace, inclusiv în format electronic, atunci când este cazul. La cererea persoanei vizate, informațiile pot fi furnizate verbal, cu condiția ca identitatea persoanei vizate să fie dovedită prin alte mijloace.

Operatorul furnizează informații privind acțiunile întreprinse în urma unei cereri formulate în temeiul Art. 15-22, fără întârzieri nejustificate și în orice caz în termen de cel mult o lună de la primirea cererii. Acest termen poate fi prelungit cu două luni suplimentare, dacă este necesar, ținând seama de complexitatea și numărul cererilor.

8. INFORMAȚII FURNIZATE LA COLECTAREA DATELOR (Art. 13-14 GDPR)

8.1. Colectarea directă de la persoana vizată (Art. 13)

În momentul obținerii datelor cu caracter personal, Operatorul furnizează persoanei vizate următoarele informații: identitatea și datele de contact ale Operatorului, scopurile prelucrării și temeiul juridic, destinatarii sau categoriile de destinatari, perioada de stocare, drepturile persoanei vizate, dreptul de a depune o plângere la autoritatea de supraveghere (ANSPDCP) și orice alte informații relevante.

8.2. Date neobținute direct de la persoana vizată (Art. 14)

În cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată, Operatorul furnizează informațiile prevăzute de Art. 14 în termen rezonabil de la obținerea datelor, dar cel târziu în termen de o lună, sau la momentul primei comunicări către persoana vizată, inclusiv categoriile de date prelucrate și sursa din care provin.

9. DREPTURILE PERSOANEI VIZATE (Art. 15-22 GDPR)

Persoana vizată beneficiază de următoarele drepturi în legătură cu prelucrarea datelor sale cu caracter personal:

9.1. Dreptul de acces (Art. 15)

Persoana vizată are dreptul de a obține din partea Operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, acces la datele respective și la următoarele informații: scopurile prelucrării, categoriile de date vizate, destinatarii cărora le-au fost sau le vor fi comunicate datele, perioada de stocare preconizată, existența drepturilor de rectificare, ștergere, restricționare sau opoziție, dreptul de a depune o plângere la ANSPDCP, informații privind sursa datelor și existența unui proces decizional automatizat.

9.2. Dreptul la rectificare (Art. 16)

Persoana vizată are dreptul de a obține de la Operator, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Ținându-se seama de scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a obține completarea datelor cu caracter personal care sunt incomplete.

9.3. Dreptul la ștergere („dreptul de a fi uitat”) (Art. 17)

Persoana vizată are dreptul de a obține din partea Operatorului ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, în următoarele situații:

• Datele nu mai sunt necesare în raport cu scopurile pentru care au fost colectate
• Persoana vizată își retrage consimțământul și nu există un alt temei juridic
• Persoana vizată se opune prelucrării și nu există motive legitime prevalente
• Datele au fost prelucrate ilegal
• Datele trebuie șterse pentru respectarea unei obligații legale
• Datele au fost colectate în legătură cu oferirea de servicii ale societății informaționale unui copil (Art. 8 alin. 1)

9.4. Dreptul la restricționarea prelucrării (Art. 18)

Persoana vizată are dreptul de a obține restricționarea prelucrării în următoarele cazuri: contesta exactitatea datelor (pe o perioadă care permite verificarea), prelucrarea este ilegală dar persoana se opune ștergerii, Operatorul nu mai are nevoie de date dar persoana vizată le solicită pentru constatarea/exercitarea/apărarea unui drept în instanță, sau persoana vizată s-a opus prelucrării pe durata verificării.

9.5. Obligația de notificare (Art. 19)

Operatorul comunică fiecărui destinatar căruia i-au fost divulgate date cu caracter personal orice rectificare, ștergere sau restricționare a prelucrării, cu excepția cazului în care acest lucru se dovedește imposibil sau presupune eforturi disproporționate. Operatorul informează persoana vizată cu privire la destinatarii respectivi, dacă aceasta solicită acest lucru.

9.6. Dreptul la portabilitatea datelor (Art. 20)

Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat Operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat, precum și dreptul de a transmite aceste date altui operator, fără obstacole din partea Operatorului, atunci când prelucrarea se bazează pe consimțământ sau pe un contract și este efectuată prin mijloace automatizate.

9.7. Dreptul la opoziție (Art. 21)

Persoana vizată are dreptul de a se opune, în orice moment, din motive legate de situația particulară în care se află, prelucrării datelor în temeiul Art. 6 alin. 1 lit. e) sau f), inclusiv creării de profiluri pe baza respectivelor dispoziții. Operatorul nu mai prelucrează datele, cu excepția cazului în care demonstrează motive legitime și imperioase care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate.

În cazul prelucrării datelor în scopuri de marketing direct, persoana vizată are dreptul de a se opune în orice moment, iar datele nu vor mai fi prelucrate în acest scop.

9.8. Procesul decizional individual automatizat, inclusiv crearea de profiluri (Art. 22)

Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automatizată, inclusiv crearea de profiluri, care produce efecte juridice care o privesc sau o afectează în mod similar într-o măsură semnificativă.

Această prevedere nu se aplică în cazul în care decizia este necesară pentru încheierea sau executarea unui contract, este autorizată de dreptul UE sau de dreptul intern, sau se bazează pe consimțământul explicit al persoanei vizate. În aceste cazuri, Operatorul ia măsuri adecvate pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate, inclusiv dreptul de a obține intervenție umană, de a-și exprima punctul de vedere și de a contesta decizia.

10. MODALITATEA DE EXERCITARE A DREPTURILOR

Pentru exercitarea oricăruia dintre drepturile menționate mai sus, persoana vizată poate transmite o cerere la:

• E-mail: gdpr@adriana.ro

Operatorul va răspunde cererilor în termen de maximum 30 de zile calendaristice de la primirea cererii. Termenul poate fi prelungit cu 60 de zile suplimentare, în cazul unor cereri complexe sau numeroase, cu notificarea prealabilă a persoanei vizate.

Exercitarea drepturilor este gratuită. În cazul unor cereri vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, Operatorul poate percepe o taxă rezonabilă sau poate refuza cererea, conform Art. 12 alin. 5 GDPR.

11. SECURITATEA PRELUCRĂRII (Art. 32 GDPR)

Operatorul implementează măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului, luând în considerare stadiul actual al dezvoltării, costurile implementării, natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice.

11.1. Măsuri tehnice

• Pseudonimizarea și criptarea datelor cu caracter personal, acolo unde este posibil (Art. 32 alin. 1 lit. a)
• Asigurarea confidențialității, integrității, disponibilității și rezilienței permanente a sistemelor și serviciilor de prelucrare (Art. 32 alin. 1 lit. b)
• Capacitatea de a restabili disponibilitatea datelor și accesul la acestea în timp util în cazul unui incident fizic sau tehnic (Art. 32 alin. 1 lit. c)
• Utilizarea certificatelor SSL/TLS pentru criptarea comunicațiilor
• Controlul accesului bazat pe principiul necesității de a cunoaște (need-to-know)
• Sisteme de backup și recuperare în caz de dezastru
• Jurnalizarea și monitorizarea accesului la date (logging & monitoring)

11.2. Măsuri organizatorice

• Instruirea periodică privind protecția datelor și securitatea informației
• Politici interne de securitate a informației aliniate la ISO/IEC 27001:2022
• Proceduri de gestionare a incidentelor de securitate
• Evaluarea periodică a eficacității măsurilor tehnice și organizatorice (Art. 32 alin. 1 lit. d)
• Clauze de confidențialitate în contractele cu împuterniciții

12. DESTINATARI AI DATELOR

Datele cu caracter personal pot fi comunicate următoarelor categorii de destinatari, în funcție de necesitate:

• Furnizori de servicii de găzduire web (hosting)
• Furnizori de servicii de e-mail marketing (cu acordul dumneavoastră)
• Furnizori de servicii de analiză (ex. Google Analytics, cu anonimizarea IP)
• Autorități publice, în cazurile prevăzute de lege

Fiecare furnizor terț este selectat pe baza garanțiilor adecvate de protecție a datelor și are obligația contractuală de a prelucra datele exclusiv conform instrucțiunilor Operatorului.

13. TRANSFERURI INTERNAȚIONALE DE DATE

În principiu, datele cu caracter personal sunt prelucrate în Spațiul Economic European (SEE). În cazul în care un transfer către o țară terță este necesar, Operatorul se asigură că există garanții adecvate, precum:

• Decizie de adecvare a Comisiei Europene (Art. 45 GDPR)
• Clauze contractuale standard aprobate de Comisia Europeană (Art. 46 alin. 2 lit. c)
• Reguli corporatiste obligatorii (Art. 47 GDPR)

14. PERIOADA DE STOCARE A DATELOR

Datele cu caracter personal sunt stocate pe durata strict necesară îndeplinirii scopurilor pentru care au fost colectate:

La expirarea perioadei de stocare, datele sunt șterse sau anonimizate ireversibil.

15. DREPTUL DE A DEPUNE PLÂNGERE

Fără a aduce atingere oricărei alte căi de atac administrative sau judiciare, persoana vizată are dreptul de a depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP):

• Adresă: B-dul G-ral. Gheorghe Magheru nr. 28-30, Sector 1, București
• Website: www.dataprotection.ro
• E-mail: anspdcp@dataprotection.ro

16. MODIFICĂRI ALE POLITICII

Operatorul își rezervă dreptul de a actualiza prezenta Politică de Confidențialitate ori de câte ori este necesar, pentru a reflecta modificările în practicile de prelucrare sau în legislația aplicabilă. Versiunea actualizată va fi publicată pe website-ul Operatorului, cu indicarea datei ultimei actualizări.

17. DATE DE CONTACT

Pentru orice întrebări, solicitări sau reclamații referitoare la prelucrarea datelor cu caracter personal, vă rugăm să ne contactați la:

Prezenta politică a fost actualizată la data de 03.04.2026.