Politica de prelucrare a datelor cu caracter personal

Prezenta Politică de securitate a prelucrării datelor cu caracter personal a fost elaborată odată cu intrarea în vigoare începând cu data de 25 mai 2018 a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (denumit în continuare GDPR).

Această politică reglementează modul în care sunt colectate și utilizate aceste informaţii, precum și condiţiile de utilizare a informaţiei în cadrul companiei Travelmaker Company SRL, cu sediul în Bucureşti, Şos. Bucureşti-Ploieşti, nr. 14-22, Bl. XIII/2, Parter, sector 1, înregistrată  la Registrul Comerţului sub nr. J40/3295/2005, cod unic de înregistrare RO17262596, legal reprezentată prin Cristian-Daniel Penciu, în calitate de administrator (denumită  în continuare “Compania”)

1. Definiţii

Date cu caracter personal înseamnă orice informații privind o persoană fizică identificată sau identificabilă (persoana vizată); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

Prelucrare înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

Pseudonimizare înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile.

Operator înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern.

Persoană împuternicită de operator înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului.

Parte terță înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal.

Destinatar înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță. Cu toate acestea, autoritățile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice respective respectă normele aplicabile în materie de protecție a datelor, în conformitate cu scopurile prelucrării.

Consimțământ al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate.

Restricționarea prelucrării înseamnă marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora.

2. Principiile politicii de securitate

Compania procesează datele cu caracter personal cu care vine în contact cu respectarea urmatoarelor principii:

Protejarea drepturilor și libertăților fundamentale ale persoanelor vizate;

Legalitate, echitate și transparență – datele cu caracter personal sunt prelucrate cu bună credință și în conformitate cu dispozițiile legale în vigoare, într-un mod echitabil și transparent față de persoana vizată;

Scopuri determinate, explicite și legitime – Prelucrarea datelor cu caracter personal de către Compania se face în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri;

Temei legal – Compania se va asigura că orice procesare a datelor cu caracter personal va avea un temei bine determinat, precum prevederi legale, consimțământul persoanei vizate, executarea contractelor, interesul legitim al Companiei (care nu va contraveni intereselor superioare ale persoanei vizate);

Limitare prin raportare la scop – Compania procesează datele cu caracter personal numai dacă sunt adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate;

Limitare prin raportare la timp – Compania păstrează datele persoanelor vizate pe o perioadă care nu depășeste perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele;

Exactitate și acuratețe – Compania procesează date cu caracter personal într-un mod precis și ia măsuri rezonabile pentru a se asigura că datele inexacte de care ia cunoștință sunt șterse sau rectificate;

Securitate – Compania este dedicată asigurarii securității tuturor datelor cu caracter personal pe care le prelucrează și face demersuri constante pentru a atinge acest scop, inclusiv prin instruirea angajaților, colaboratorilor și partenerilor săi.

3. Categorii de persoane vizate

Compania procesează date cu caracter personal ale următoarelor categorii de persoane vizate:

  • Clienții noștri, persoane fizice;
  • Clienții noștri, persoane juridice;
  • Angajații/colaboratorii proprii;
  • Angajații/colaboratorii partenerilor comerciali;
  • După caz, alte persoane fizice care interacționează cu societatea în cursul activității acesteia.

4. Datele colectate

În funcție de specificul fiecărei relații, Compania poate procesa următoarele categorii de date cu privire la persoanele vizate:

  • Informații de contact, cum ar fi numele, denumirea angajatorului și a postului deținut în cadrul unei companii, adresa de domiciliu și/sau reședință, adresa profesională, numărul de telefon, numărul de telefon mobil, adresa de e-mail, naționalitate, date privind cartea de identitate și/sau în pașaport;
  • Informații suplimentare prelucrate în contextul unui raport contractual sau comunicate în mod voluntar de către dvs., cum ar fi: instrucțiuni acordate, plăți efectuate, informații privind orice chestiuni juridice, status familial etc
  • În contextul serviciilor prestate putem, de asemenea, colecta și prelucra date cu caracter personal ale copiilor dvs. atunci când vacanțele ori călătoriile dvs. îi privesc și pe aceștia. Desigur că dăm o importanță deosebită acestor date și le vom asigura o protecție specifică.
  • Datele rezultate din navigarea dvs. pe pagina noastră de internet colectate prin intermediul cookie-urilor și a tehnologiilor similare (adresa de IP etc). Politica de cookies este disponibilă la următoarea adresă: https://www.travelcolors.ro/politica-de-cookies/

5. Scopurile și temeiurile prelucrării

Colectăm date cu caracter personal în următoarele scopuri:

  • Prestarea serviciilor către clienții care doresc să acceseze serviciile Companiei;
  • Promovarea serviciilor Companiei;
  • Executarea contractelor cu furnizorii și partenerii;
  • În procesul de recrutare și gestionare a angajaților/colaboratorilor noștri;

6. Destinatari

Compania nu transferă date cu caracter personal către destinatari din afara spațiului Uniunii Europene.

Compania nu vinde, nu oferă și nu pune la dispoziția terților în interes comercial datele cu caracter personal pe care le prelucrează. Compania poate avea anumite relații cu parteneri și colaboratori, situație în care este posibil ca anumite date să fie transferate către și de la acestia, când acest lucru este necesar în scopul prelucrării datelor, cum ar fi următoarele cazuri:

a) Furnizorii de servicii de călătorie

Datele cu caracter personal necesare furnizării serviciilor de călătorie pe care le-ați achiziționat vor fi transferate companiilor terțe, pentru ca serviciile de călătorie comandate să fie prestate.

b) Partenerii de afaceri

Este posibil să lucrăm cu parteneri de afaceri, care oferă servicii de cazare, asigurare, furnizori de plăţi sau alte servicii legate de călătorii. În momentul în care achizitionați un serviciu de la noi, anumite date cu caracter personal necesare pentru furnizarea unor astfel de servicii, cum ar fi numele și adresa dvs. de email, adresa de domiciliu, detaliile de plată și alte informații relevante, pot fi transmise partenerilor noștri de afaceri. Datele transmise partenerilor noștri de afaceri sunt limitate la datele cu caracter personal necesare pentru furnizarea serviciului, conform celor stabilite de partenerii de afaceri.

c) Autoritățile competente

Este posibil sa divulgăm date cu caracter personal instituțiilor care aplică legea, în măsura în care acest lucru este solicitat prin lege sau este strict necesar pentru prevenirea, depistarea sau urmărirea penală a infracțiunilor și a fraudelor sau dacă suntem altfel obligați, prin lege, să facem acest lucru. Este posibil să fim nevoiți să divulgăm date cu caracter personal către Autoritățile competente pentru a ne proteja și a ne apăra drepturile sau bunurile sau drepturile și bunurile partenerilor noștri de afaceri.

d) Alte situații

În anumite situații specifice, cand colectam datele dvs. cu caracter personal, este posibil să vă cerem consimțământul pentru transmiterea respectivelor date către terți. În acest caz, vă vom informa cu privire la o astfel de prelucrare și nu vom efectua transmiterea datelor înainte de a vă obţine consimțământul.

7. Durata stocării

Am implementat măsuri tehnice și organizatorice, pentru a organiza procesul și criteriile prezentate pentru ștergerea datelor dvs. cu caracter personal.

Datele dvs. cu caracter personal vor fi șterse în momentul în care nu mai sunt necesare, în mod rezonabil, scopurilor autorizate sau atunci când prin accesarea procedurii de retragere a consimțământului (acolo unde este cazul) și nu mai este necesar, din punct de vedere legal, ca noi să mai stocam în continuare aceste date. Cu toate acestea, vom reține datele dvs. cu caracter personal, acolo unde este necesar ca noi să susținem sau să vă apărăm pe dvs. sau alte persoane împotriva oricăror revendicari legale, pană la sfârșitul perioadei relevante de păstrare sau până când revendicările în cauză au fost soluționate.

8. Drepturile persoanelor vizate

Conform GDPR, toate persoanele fizice cărora le prelucrăm date cu caracter personal au drepturi specifice, printre care menționăm:

  1. Dreptul la informare: dreptul de a afla ce date sunt procesate, scopurile și temeiurile prelucrării, destinatarii datelor, perioada de stocare, existența drepturilor persoanelor vizate, dreptul de a se adresa autorității de supraveghere etc.;
  2. Dreptul de acces: dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care privesc și, în caz afirmativ, acces la datele respective și la informații privind prelucrarea detaliate anterior;
  3. Dreptul la rectificare: dreptul de a obține corectarea datelor inexacte sau completarea datelor lipsă;
  4. Dreptul la ștergerea datelor: dreptul de a solicita ștergerea datelor procesate, în situațiile prevăzute de lege;
  5. Dreptul de a solicita restricționarea prelucrării, în limitele prevăzute de lege.
  6. Alte drepturi care pot fi exercitate în limitele prevăzute de lege: dreptul la portabilitatea datelor, dreptul de a obiecta la prelucrarea datelor, dreptul de a se opune proceselor decizionale automate, dreptul de a se adresa autorităților competente cu solicitari privind prelucrările efectuate de Compania etc.

9. Securitatea datelor colectate

Datele cu caracter personal sunt securizate împotriva amenințărilor și ne asigurăm că acestea sunt protejate de o infrastructura IT și măsuri de securitate corespunzătoare. Mai mult decât atât, am implementat măsuri interne, care ne permit să descoperim, să notificăm și să documentăm încălcările de securitate, în cel mai scurt timp posibil, conform regulilor detaliate mai jos.

În activitatea noastră urmărim în primul rând prevenirea oricăror incidente de securitate, precum acces neautorizat la date, scurgeri de informații, ștergere accidentală a datelor și altele asemenea, întreagă structură prelucrărilor de date fiind construită în jurul principiului prevenției.

Dacă descoperim orice încălcare a datelor cu caracter personal, care prezintă un risc pentru drepturile și libertățile dvs., vom informa Autoritatea Națională de Supraveghere a Prelucrarii Datelor cu Caracter Personal. Totodată, veți fi informat cu privire la încălcarea datelor dvs. cu caracter personal, dacă acest lucru duce la un risc ridicat pentru drepturile și libertățile dvs.

10. Reguli generale

Pentru a asigura protecția adecvată a datelor cu caracter personal la care Compania are acces, am implementat măsuri organizatorice și tehnice, precum:

  1. Semnarea unor documente suplimentare cu angajații, colaboratorii și partenerii noștri pentru asigurarea confidențialității datelor cu caracter personal la care au acces cel puțin la un nivel similar cu cel impus de compania noastră.
  2. Implementarea unor măsuri de securitate fizice cu privire la documentele care conțin date cu caracter personal, cum ar fi, de exemplu, stocarea documentelor în dulapuri închise cu cheie la care are acces doar personalul autorizat, implementarea unor sisteme de acces restricționat exclusiv pentru persoanele care justifică un interes pentru accesul respectivelor date.
  3. Implementarea unor măsuri de securitate în ceea ce privește sistemele informatice, cum ar fi, de exemplu, asigurarea că toate echipamentele noastre dispun de programe de securitate corespunzătoare, asigurarea unor copii de rezervă etc.
  4. Implementarea unor programe de instruire a personalului cu privire la cerințele GDPR.

11. Reguli specifice

Compania a implementat urmatoarele reguli specifice pentru protecția datelor cu caracter personal:

Reguli de securitate tehnică

  1. Interzicerea folosirii de către utilizatorii de sisteme a unor programe software nelicențiate sau care provin din surse nesigure;
  2. Implementarea unui sistem de autentificare bazat pe user și parole securizate, unice pentru fiecare utilizator autorizat; astfel, pe de o parte se împiedică accesul terților la terminale / bazele de date și, pe de altă parte, la introducerea gresită a userului / parolei de un anumit număr de ori, sistemul se blochează automat, conform procedurilor tehnice interne;
  3. Implementarea unor măsuri de securitate adecvate ale echipamentelor IT și software-ului utilizat în activitatea noastră, după cum urmează:
  • informarea utilizatorilor în privința pericolului privind virușii informatici;
  • implementarea unor software-uri de protecție adecvate pe terminalele utilizate, precum programe antivirus și informarea salariaților asupra obligativității de scanare periodică a sistemelor pentru prevenirea oricăror programe neautorizate (e.g. malware, phishing) sau, după caz, implementarea unor sisteme automate de devirusare și de securitate a sistemelor informatice;
  • dezactivarea pe cât posibil a tastei “Print screen“, atunci când sunt afișate pe monitor date cu caracter personal, limitându-se astfel posibilitatea de scoatere la imprimantă a acestora de către alți utilizatori decât aceia autorizați în acest sens;
  • limitarea drepturilor de printare, prin implementarea unor sisteme bazate pe user / parola;
  • monitorizarea accesului la baza de date și logarea accesului și a parcursului utilizatorului;
  • schimbarea periodică a parolelor de acces la baza de date și la sistemele informatice;
  • obligația angajaților de a securiza accesul în terminalele proprii atunci când nu le utilizează și de a închide terminalele la finalul programului de muncă;
  • limitarea drepturilor de acces la bazele de date de la distanță (i.e. din afara firmei) / cu utilizarea altor dispozitive decât cele puse la dispoziție de societate;
  • interzicerea utilizării unor reţele publice (cu acces deschis) de conexiune la internet.

Reguli de securitate organizatorică

  1. Limitarea numărului de destinatari / utilizatori care au acces la datele cu caracter personal și corelarea drepturilor de acces cu necesitatea justificată de fiecare utilizator – e.g. prin împărțirea pe arii geografice a informațiilor despre persoanele vizate, prin transmiterea către imputerniciți doar a datelor necesare pentru executarea contractului etc.;
  2. Introducerea unor condiții și obligații de confidențialitate și protecție a datelor cu caracter personal suplimentare pentru angajați, colaboratori, furnizori si parteneri;
  3. Introducerea unor reguli specifice privind copierea și diseminarea documentelor pentru a preveni răspândirea și accesul unor persoane neautorizate la datele cu caracter personal;
  4. Introducerea unor reguli prin care angajații, colaboratorii și partenerii noștri au acces numai la acele date cu caracter personal necesare indeplinirii fișei postului sau, după caz, a obligațiilor asumate față de Compania;
  5. Instalarea unor sisteme de alarmă și monitorizare a accesului în spațiile unde sunt stocate documentele care conțin date cu caracter personal sau echipamentele pe care sunt stocate aceste date de către proprietarul clădirii în care ne desfasurăm activitatea;
  6. Instalarea unor sisteme de asigurare a securității fizice a documentelor care cuprind date cu caracter personal, precum dulapuri închise sub cheie, asigurarea suprevegherii video a clădirii în care ne desfășurăm activitatea (fiind marcate corespunzator zonele supravegheate video) de către proprietarul clădirii în care ne desfășurăm activitatea;
  7. Realizarea unor copii de siguranță a datelor stocate;
  8. Restricționarea accesului persoanelor neautorizate în spațiile unde sunt stocate datele cu caracter personal sau echipamentele pe care acestea sunt stocate, decât cu asigurarea unor condiții de confidențialitate corespunzătoare;
  9. Interzicerea copierii datelor cu caracter personal pe medii de stocare mobile, fără acordul prealabil al conducerii societății, cu excepția situației când aceasta este necesară pentru îndeplinirea unor obligații asumate contractual față de clienți;
  10. Asigurarea instruirii periodice a personalului cu privire la cerintele GDPR, precum și cele de securitate și riscurile privind datele cu caracter personal.

12. Dispoziții finale

Pentru mai multe detalii, informații și solicitări orice persoană interesată se poate adresa printr-un e-mail la adresa office@travelmaker.ro, prin telefon la numarul 0726 726 561 sau direct la sediul nostru de la adresa menționată mai sus. Pentru exercitarea anumitor drepturi ne rezervăm dreptul de a solicita ca cererea să fie depusă în scris, semnată de persoană vizată și ca solicitantul să prezinte dovezi suficiente de identificare cu persoana vizată (care exercită dreptul conferit de lege).

Ultima modificare: 27.09.2022.