Politica de prelucrare a datelor cu caracter personal

1. Angajamentul nostru față de protecția datelor

FIBER IT SRL, operatorul platformei avemauto.ro, tratează protecția datelor cu caracter personal ca pe o responsabilitate fundamentală față de utilizatorii săi. Această politică descrie măsurile concrete pe care le implementăm pentru a asigura confidențialitatea, integritatea și disponibilitatea datelor tale.

Prelucrăm datele cu caracter personal în conformitate cu:

• Regulamentul (UE) 2016/679 (GDPR)

• Legea nr. 190/2018 privind măsuri de punere în aplicare a GDPR în România

• Recomandările ANSPDCP (Autoritatea Națională de Supraveghere din România)

• Recomandările EDPB (Comitetul European pentru Protecția Datelor)

2. Principiile de prelucrare a datelor

Respectăm întotdeauna principiile GDPR:

1. Legalitate, echitate și transparență — prelucrăm datele numai în baza unui temei legal și îți comunicăm clar cum le folosim;

2. Limitarea scopului — colectăm date numai pentru scopuri bine definite și nu le folosim în alte scopuri incompatibile;

3. Minimizarea datelor — colectăm strict datele necesare, nu mai mult;

4. Exactitate — menținem datele actualizate și corecte;

5. Limitarea stocării — nu păstrăm datele mai mult decât este necesar;

6. Integritate și confidențialitate — protejăm datele împotriva accesului neautorizat, pierderii sau distrugerii;

7. Responsabilitate — putem demonstra conformitatea cu toate principiile de mai sus.

3. Măsuri tehnice și organizatorice de securitate

Măsuri tehnice:

• Criptare SSL/TLS pentru toate comunicațiile platformei;

• Stocarea parolelor în format hash securizat (bcrypt sau echivalent);

• Autentificare cu doi factori (2FA) disponibilă pentru conturile utilizatorilor;

• Controlul accesului pe bază de roluri (RBAC) — angajații au acces numai la datele necesare atribuțiilor lor;

• Monitorizarea continuă a traficului și a tentativelor de acces neautorizat;

• Backup automat și criptat al datelor;

• Aplicarea regulată de patch-uri de securitate;

• Firewall și sisteme de detectare a intruziunilor (IDS/IPS).

Măsuri organizatorice:

• Politici interne de securitate a datelor pentru angajați;

• Instruire periodică a personalului privind protecția datelor;

• Acorduri de confidențialitate cu toți angajații și colaboratorii;

• Proceduri documentate de răspuns la incidente de securitate;

• Evaluări periodice ale riscurilor privind datele cu caracter personal.

4. Incidente de securitate (breșe de date)

În cazul unui incident de securitate care afectează datele tale cu caracter personal:

• Vom notifica ANSPDCP în termen de 72 de ore de la constatare, dacă incidentul prezintă riscuri pentru drepturile și libertățile tale;

• Dacă incidentul prezintă un risc ridicat pentru tine, te vom notifica direct și fără întârziere nejustificată, prin email sau notificare în platformă;

• Vom documenta toate incidentele, inclusiv cele care nu necesită notificare externă.

5. Responsabilul cu protecția datelor (DPO)

În prezent, funcția de responsabil cu protecția datelor este asigurată intern. Poți contacta echipa noastră dedicată la: [email protected] (subiect: „GDPR")

6. Drepturile tale detaliate

6.1. Dreptul de acces (Art. 15 GDPR)

Poți solicita oricând o confirmare a faptului că datele tale sunt prelucrate și o copie a acestora.

6.2. Dreptul la rectificare (Art. 16 GDPR)

Datele inexacte pot fi corectate direct din contul tău sau prin cerere la [email protected].

6.3. Dreptul la ștergere (Art. 17 GDPR)

Poți solicita ștergerea datelor tale atunci când: nu mai sunt necesare scopului inițial, îți retragi consimțământul, te opui prelucrării, sau datele au fost prelucrate ilegal. Ștergerea nu va fi posibilă dacă prelucrarea este necesară pentru respectarea unor obligații legale (ex: date fiscale).

6.4. Dreptul la restricționarea prelucrării (Art. 18 GDPR)

Poți solicita restricționarea prelucrării în anumite circumstanțe (contestarea exactității datelor, prelucrare ilegală, opoziție în curs de soluționare).

6.5. Dreptul la portabilitate (Art. 20 GDPR)

Ai dreptul să primești datele pe care ni le-ai furnizat, într-un format structurat, utilizat frecvent și lizibil automat (ex: JSON, CSV), și să le transferi unui alt operator.

6.6. Dreptul de opoziție (Art. 21 GDPR)

Te poți opune oricând prelucrărilor bazate pe interesul legitim al Operatorului sau pentru marketing direct (inclusiv profilare). În cazul marketingului direct, vom înceta prelucrarea imediat.

6.7. Drepturi legate de deciziile automate (Art. 22 GDPR)

Nu luăm decizii semnificative exclusiv automatizate care să te afecteze. Dacă această situație se schimbă, vei fi informat în prealabil.

7. Cum exerciți drepturile

Trimite o cerere scrisă la [email protected] cu:

• Subiectul: „GDPR – [dreptul solicitat]"

• Numele și adresa de email asociată contului

• Descrierea solicitării

Termen de răspuns: 30 de zile calendaristice (poate fi extins cu încă 60 de zile în cazuri complexe, cu notificarea ta).

Gratuitate: Cererea este gratuită. Cererile repetitive sau vădit nefondate pot fi supuse unei taxe administrative.