Politică de Confidențialitate
Nota de informare
privind prelucrarea datelor cu caracter personal în cadrul festivalului VIBE
A VIBE EVENTS MANAGEMENT SRL, în continuare ”VIBE” prelucrează date cu caracter personal în cadrul organizării și desfășurării festivalului, astfel cum este prevăzut în prezenta Nota de informare.
Scopul acestei informări este de a stabili principiile de protecție și de prelucrare a datelor cu caracter personal în contextul organizării și desfășurării festivalului, obținute direct de la persoana vizată, astfel încât persoana vizată să poată fi informată în mod corespunzător cu privire la: datele prelucrate de VIBE sau de persoana împuternicită, scopurile, temeiul juridic și durata prelucrării, numele și adresa oricărei persoane împuternicite de către operator implicate în prelucrare și activitățile acesteia în legătură cu prelucrarea, precum și, în cazul unui transfer de date cu caracter personal ale persoanei vizate, temeiul juridic și destinatarul transferului.
Legislație utilizată și luată în considerare la elaborarea dispozițiilor prezentului ghid:
GDPR:
- Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (denumit în continuare ''GDPR'';).
- Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)
Definiții
Definițiile din prezenta informare corespund definițiilor interpretative prevăzute la articolul 4 din GDPR.
În cazul în care definițiile din actualul GDPR diferă de definițiile din prezenta informare,prevalează definițiile stabilite în legislație.
I. Operatorul de date, persoana împuternicită de către operator și datele de contactale acestora
Operator de date
| numele: | VIBE EVENTS MANAGEMENT SRL |
| sediu: | Florești, str Gârbăului, nr. 200 C, jud. Cluj |
| adresa de corespondență: | Cluj-Napoca, str. Meteor, nr. 74, jud. Cluj |
| Email: | [email protected] |
| Cod unic de înregistrare | 36889061 |
| Număr de ordine în Registrul Comerțului | J12/10/2017 |
| Reprezentant legal | Rés Konrád Gergely |
Persoane împuternicite de operator:
Datele cu caracter personal vor fi transferate pentru prelucrare
| vânzare de bilete și servicii suplimentare conexe (intrare la festival) |
NETPOSITIVE EVENTS SRL Sediu: Cluj-Napoca, str. Mamaia, nr. 12, ap. 11, jud. Cluj Cod unic de înregistrare: RO47032416 Număr de ordine în Registrul Comerțului: J12/6445/2022 |
| gestionarea sistemului de plată fără numerar | FESTIPAY ZRT. sediu: 1135 Budapest, str. Reitter Ferenc, nr. 46-48. Ungaria Cod unic de înregistrare: HU25405983 Număr de ordine în Registrul Comerțului.: Cg.01-10-048644; |
| servicii de publicitate și de promovare | PUBLICITY NEXT SRL Cluj-Napoca, str. Meteor, nr. 74, jud. Cluj Cod unic de înregistrare:342689714 Număr de ordine în Registrul Comerțului: J12/855/2015 |
II. Persoanele vizate, datele prelucrate, scopul prelucrării datelor, temeiul juridic, metoda, sursa datelor, durata de stocare a datelor
Persoanele vizate: participanți la festival, eventual reprezentantului legal și/sau însoțitor
| Domeniul de aplicare al datelor prelucrate | Scopul prelucrării datelor | Temeiul juridic al prelucrării: |
Durata de prelucrare |
| Nume, prenume, adresa de email, număr de telefon și domiciliu Datele contului bancar |
Achiziționarea biletelor | Articolul 6 alineatul (1) litera (a) din GDPR (consimțământ) | până la retragerea consimțământului, dar nu mai târziu de 2 luni de la terminarea festivalului |
| Nume, prenume, data nașterii, sex, cetățenie, țară, fotografia după act de identitate, în cazul în care participantul este minor: nume prenume al reprezentantului legal și al însoțitorului, CNP, seria și numărului actului de identitatea al reprezentantului legal și al însoțitorului, numărul de telefon al reprezentantului legal și al însoțitorului, adresa de e-mail a reprezentantului legal, codul biletului însoțitor Datele contului bancar |
Asigurarea accesului și securitate în perimetrul festivalului, respectiv prestarea serviciilor la care participantul este îndreptățit în baza biletului |
Articolul 6 alineatul (1) litera (b) din GDPR - executarea contractului |
până la retragerea consimțământului, dar nu mai târziu de 2 luni de la terminarea festivalului |
| Înregistrarea foto și video | scopuri jurnalistice, de informare, comerciale, de marketing și de promovare VIBE | GArticolul 6 alineatul (1) litera (f) din GDPR- interes legitim | până la retragerea consimțământului, dar nu mai târziu de 3 ani |
| Nume, prenume, adresa de email, număr de telefon | scop comercial de promovare a produselor și serviciilor VIBE și scop statistic |
Articolul 6 alineatul (1) litera (f) din GDPR- interes legitim | până la retragerea consimțământului, dar nu mai târziu de 10 ani |
| Declarație în legătură cu articolul 13 alineatul (1) litera (f) din GDPR | datele cu caracter personal nu vor fi transferate către o țară terță sau o organizație internațională |
| Destinatarii și categoriile de date cu caracter personal: | datele cu caracter personal nu sunt transferate în afara angajaților persoanei împuternicite și ai operatorului de date |
| Modul în care sunt prelucrate datele: | electronic, pe hârtie |
| Declarație în legătură cu articolul 13 alineatul (2) litera (e) din GDPR: | furnizarea de date cu caracter personal nu se bazează pe o obligație legală sau contractuală, nu este o condiție prealabilă pentru încheierea unui contract, iar persoana vizată nu este obligată să furnizeze datele cu caracter personal. Dacă nu sunt furnizate date cu caracter personal, participarea la festival nu poate fi garantată. |
| Declarație în legătură cu articolul 13 alineatul (2) litera (f) din GDPR: | procesul decizional automatizat nu este utilizat |
III. Principii de gestionare a datelor
1. Operator de date va prelucra datele cu caracter personal în conformitate cu principiile bunei-credințe, corectitudinii și transparenței, precum și în conformitate cu legile aplicabile și cu dispozițiile prezentei Note de informare.
2. Operator de date va prelucra datele cu caracter personal numai în baza scopurilor și în scopurile stabilite în prezenta notificare și nu va depăși scopurile stabilite în prezenta notificare.
3. În cazul în care operator de date intenționează să utilizeze datele cu caracter personal într- un alt scop decât cel pentru care au fost colectate inițial, va informa persoana vizată și, cu excepția cazului în care există un alt temei juridic pentru prelucrare, astfel cum este prevăzut în GDPR, va obține în prealabil consimțământul explicit al persoanei vizate și îi va oferi posibilitatea de a se opune utilizării.
4. Operator de date nu verifică datele cu caracter personal furnizate, singurul responsabil pentru corectitudinea datelor cu caracter personal furnizate este persoana care le furnizează.
5. Operator de date transferă datele cu caracter personal pe care le prelucrează către terți numai cu consimțământul expres și neechivoc al persoanei vizate, dat în deplină cunoștință de cauză cu privire la sfera datelor transferate și la destinatarul transferului de date, înțelegând că operator de date are dreptul și obligația de a transfera autorităților competente orice date cu caracter personal de care dispune și pe care le stochează în conformitate cu legea, pe care este obligată prin lege sau printr-o obligație definitivă și obligatorie a unei autorități publice să le transfere sau să le transfere. Operator de date nu este răspunzătoare pentru un astfel de transfer și pentru consecințele acestuia.
6. Operator de date asigură securitatea datelor cu caracter personal, ia măsuri tehnice și organizatorice și stabilește reguli procedurale pentru a asigura securitatea datelor colectate, stocate și prelucrate și pentru a preveni pierderea accidentală, distrugerea, accesul neautorizat, utilizarea neautorizată, modificarea neautorizată și divulgarea neautorizată.
7. Operator de date păstrează o evidență a datelor pe care le prelucrează în conformitate cu legile aplicabile, asigurându-se că datele sunt puse la dispoziția angajaților și a altor persoane care acționează în interesul operatorului de date și care au nevoie să le cunoască pentru a-și îndeplini sarcinile sau atribuțiile. Toate persoanele care acționează în interesul operatorului de date au dreptul de a avea acces numai la datele a căror prelucrare este necesară pentru îndeplinirea sarcinilor persoanei menționate.
IV. Drepturile persoanei vizate
1. Persoana vizată își poate exercita drepturile în următoarele moduri:
- prin e-mail
- prin poștă
- în persoană
2. Drepturile persoanei vizate
2.1. Dreptul la informare și la acces
Persoana vizată poate solicita în orice moment ca operator de date să o informeze cu privire la datele prelucrate de către ea sau de către o persoană împuternicită de către operator de date căreia i-a delegat prelucrarea, scopul, temeiul juridic și durata prelucrării, numele și adresa persoanei împuternicite de către aceasta și activitățile sale legate de prelucrare, circumstanțele încălcării datelor cu caracter personal, efectele acesteia și măsurile luate pentru remedierea ei, precum și temeiul juridic și destinatarul transferului de date, în cazul în care datele cu caracter personal ale persoanei vizate sunt transferate.
În acest context, persoana vizată are dreptul de a solicita o copie a datelor prelucrate. În cazul unei cereri transmise în format electronic, operatorul de date va îndeplini cererea în principal în format electronic (în format pdf), cu excepția cazului în care cererea persoanei vizate nu conține o solicitare explicită în sens contrar.
Prin prezenta, operator de date atrage atenția persoanei vizate asupra faptului că, în cazul în care dreptul de acces, astfel cum este descris mai sus, afectează în mod negativ drepturile și libertățile altora, în special secretele comerciale sau proprietatea intelectuală a altora, operatorul de date are dreptul de a refuza să dea curs cererii în măsura în care acest lucru este necesar și proporțional.
2.2. Dreptul la rectificare, modificare
Persoana vizată are dreptul de a solicita rectificarea, modificarea sau integrarea datelor cu caracter personal prelucrate.
2.3. Dreptul la portabilitatea datelor
Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc, furnizate către operator de date într-un format structurat, utilizat în mod obișnuit și care poate fi citit automat, precum și dreptul de a transmite aceste date către un alt operator, fără ca operator de date să o împiedice.
Persoana vizată are, de asemenea, dreptul de a solicita, în cazul în care acest lucru este fezabil din punct de vedere tehnic, transferul direct de date cu caracter personal între operatori.
2.4. Dreptul la ștergere ("dreptul de a fi uitat")
Persoana vizată are dreptul de a solicita ștergerea unora sau a tuturor datelor sale cu caracter personal.
În acest caz, operatorul de date va șterge datele cu caracter personal fără întârzieri nejustificate în cazul în care:
- datele cu caracter personal nu mai sunt necesare pentru scopurile pentru care au fost colectate sau prelucrate în alt mod;
- prelucrarea care s-a bazat pe consimțământul persoanei vizate, dar persoana vizată și-a retras acest consimțământ și nu există niciun alt temei juridic pentru prelucrare;
- prelucrarea care s-a bazat pe interesele legitime ale operatorului de date sau ale unei terțe părți, dar persoana vizată s-a opus prelucrării și nu există niciun motiv legitim superior pentru prelucrare, cu excepția unei obiecții la prelucrarea în scopuri de marketing direct;
- datele cu caracter personal au fost prelucrate în mod ilegal de către operator de date;
- ștergerea datelor cu caracter personal este necesară pentru a respecta o obligație legală.
În orice caz, operatorul de date va informa persoana vizată cu privire la orice refuz de ștergere a datelor (de exemplu, în cazul în care prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unor pretenții legale), precizând motivele refuzului. Ștergerea datelor cu caracter personal se efectuează astfel încât, după ce cererea de ștergere a fost îndeplinită, datele anterioare (șterse) să nu mai poată fi restabilite.
Pe lângă exercitarea dreptului la ștergere, operatorul de date va șterge datele cu caracter personal în cazul în care prelucrarea este ilegală, scopul prelucrării a încetat sau perioada legală de stocare a datelor a expirat, sau în cazul în care este ordonată de o instanță sau de o autoritate publică.
2.5. Dreptul la restricționarea prelucrării
Persoana vizată poate solicita restricționarea prelucrării datelor sale cu caracter personal în cazul în care:
- persoana vizată contestă exactitatea datelor cu caracter personal - în acest caz, restricția se aplică pentru perioada de timp care permite operatorul de date să verifice exactitatea datelor cu caracter personal;
- prelucrarea este ilegală, dar persoana vizată se opune ștergerii datelor și solicită, în schimb, restricționarea utilizării acestora;
- Operatorul de date nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată are nevoie de acestea pentru constatarea, exercitarea sau apărarea unor drepturi legale; sau
- persoana vizată s-a opus prelucrării - caz în care restricția se aplică pentru perioada până când se stabilește dacă motivele legitime ale operatorului de date prevalează asupra motivelor legitime ale persoanei vizate.
În cazul unei limitări a prelucrării, operatorul de date nu prelucrează datele cu caracter personal vizate de restricție, cu excepția stocării, sau le prelucrează numai în măsura în care persoana vizată și-a dat consimțământul sau, în absența unui astfel de consimțământ, în măsura în care datele sunt necesare pentru constatarea, exercitarea sau apărarea unui drept în justiție sau pentru protecția drepturilor unei alte persoane fizice sau juridice sau a unui interes public important al Uniunii sau al unui stat membru al Uniunii Europene. Operatorul de date informează în prealabil persoana vizată cu privire la ridicarea restricției.
2.6. Dreptul de a protesta
În cazul în care temeiul juridic al prelucrării este interesul legitim al operatorului de date sau al unei terțe părți (cu excepția prelucrării obligatorii), persoana vizată are dreptul de a se opune prelucrării. Operatorul de date nu este obligată să dea curs obiecției dacă poate dovedi că
- prelucrarea este justificată de motive legitime și imperioase care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate; sau
- prelucrarea se referă la constatarea, exercitarea sau apărarea unor pretenții legale de către operator de date
Operatorul de date va examina legitimitatea obiecției persoanei vizate și, în cazul în care obiecția este justificată, va înceta prelucrarea.
În cazul în care datele cu caracter personal sunt prelucrate în scopuri de marketing direct, persoana vizată are dreptul de a se opune în orice moment prelucrării datelor cu caracter personal care o privesc în astfel de scopuri.
2.7. Cale de atac
A se vedea punctul VII.
2.8. Dreptul de a retrage consimțământul
Persoana vizată are dreptul de a-și retrage consimțământul pentru prelucrare în orice moment, cu condiția ca retragerea consimțământului să nu afecteze legalitatea prelucrării bazate pe consimțământul anterior retragerii acestuia.
3. Operatorul de date examinează fără întârziere cererea depusă în conformitate cu cele descrise mai sus, decide dacă acceptă sau refuză cererea, ia măsurile necesare și informează persoana vizată. În cazul în care cererea este respinsă, informarea include temeiul juridic al refuzului, motivele refuzului și căile de atac disponibile pentru persoana vizată.
4. Operatorul de date va informa toți destinatarii cărora sau cu care au fost divulgate datele cu caracter personal cu privire la rectificarea, ștergerea sau restricționarea prelucrării, cu excepția cazului în care acest lucru se dovedește imposibil sau implică un efort disproporționat.
V. Incident privind protecția datelor
1. Operatorul de date va notifica imediat incidentul privind protecția datelor către Autoritatea Națională pentru Protecția Datelor, cu excepția cazului în care incidentul privind protecția datelor este puțin probabil să reprezinte un risc pentru drepturile și libertățile persoanelor vizate. Operatorul de date păstrează o evidență a incidentelor de protecție a datelor, împreună cu acțiunile întreprinse în legătură cu incidentul. În cazul în care incidentul este grav (și anume, este probabil să conducă la un risc ridicat pentru drepturile și libertățile persoanei vizate), operatorul de date informează persoana vizată cu privire la încălcarea datelor cu caracter personal fără întârzieri nejustificate.
VI. Modificarea notei de informare
1. Operatorul de date își rezervă dreptul de a modifica această politică în orice moment prin decizie unilaterală, informând persoana vizată prin intermediul datelor de contact furnizate.
2. În cazul în care persoana vizată nu este de acord cu modificarea, aceasta poate solicita ștergerea datelor sale cu caracter personal, astfel cum se prevede la punctul IV.
VII. Căi de atac legale
1. VIBE, în calitate de operator de date, poate fi contactat referitor la gestionarea datelor cu caracter personal prin intermediul datelor de contact indicate la punctul I.
2. În cazul unei încălcări a datelor cu caracter personal privind prelucrarea datelor cu caracter personal, persoana vizată are dreptul de a depune o plângere la autoritatea competentă de supraveghere a protecției datelor din statul membru în care își are reședința obișnuită, locul de muncă sau locul presupusei încălcări.
Plângerea trebuie să fie transmise la adresa: în România, la Autoritatea Națională pentru
Protecția Datelor, București, bdul G-ral Gheorghe Magheru, nr. 28-30, sector 1, 010336,
telefon: +40-318-059-211, e-mail: [email protected]
3. Persoana vizată poate întreprinde acțiuni în justiție în următoarele cazuri:
- în caz de încălcare,
- împotriva unei decizii obligatorii din punct de vedere juridic a autorității de supraveghere care îl privește,
- în cazul în care autoritatea de supraveghere nu soluționează plângerea sau nu informează persoana în cauză în termen de trei luni cu privire la evoluția procedurii sau la rezultatul plângerii.
Tribunalul este competentă să judece cauza.
Competența teritorială alternativă are și tribunalul de la domiciliul persoanei.