INFORMARE CU PRIVIRE LA PRELUCRAREA DATELOR CU CARACTER PERSONAL

Această notă de informare prezintă modul în care Ceetrus prelucrează datele personale obţinute direct de la dvs. sau de la terţi, precum şi informaţii cu privire la drepturile persoanelor vizate, în conformitate cu Regulamentul general privind protecția datelor, (UE) 2016/679 („Regulamentul”). În cazul în care vor interveni modificări cu privire la informaţiile de mai jos, vă vom comunica cu promptitudine modificările respective. De asemenea, prezenta informare se completează, dacă este cazul, cu termenii şi condiţiile contractuale aplicabile.

Anumiți termeni specifici legislației cu privire la prelucrarea datelor personale sunt definiţi în Secțiunea 8 din prezenta notă de informare.
În scopul prezentei informări, prin „Ceetrus” sau „noi", „nostru", „noastră" se va înțelege Ceetrus Romania S.R.L., o societate înmatriculată și organizată în conformitate cu legile din România, cu sediul social în București, str. Brașov nr. 25, Clădirea de Birouri, etaj 5, sector 6, înregistrată la Registrul Comerţului din Bucureşti sub nr. J40/14883/2007, cod unic de înregistrare (CUI) 22217990.

Ceetrus este operatorul datelor personale obținute direct de la dvs. sau de la terți.
În prezenta notă de informare, „dumneavoastră” sau alţi termeni similari înseamnă categoriile de persoane fizice ale căror date personale sunt prelucrate de Ceetrus conform prezentei informări („persoane vizate”).

1. Care sunt datele personale pe care le procesăm şi persoanele vizate? Cum obținem datele personale?

Colectăm date personale în scopul desfășurării şi dezvoltării activităţii noastre în condiţii corespunzătoare, inclusiv pentru a ne asigura că relațiile contractuale cu partenerii noştri se desfășoară fără probleme și că suntem în măsură să respectăm reciproc obligațiile faţă de partenerii noştri, dar și îndatoririle față de autoritățile publice centrale sau locale relevante.

Principalele categorii de persoane fizice care au calitatea de persoane vizate în sensul prezentei note de informare sunt:

1. persoane fizice / persoane fizice autorizate aflate într-o relație contractuală cu Ceetrus sau persoane fizice care au legătură cu persoanele juridice aflate într-o relație contractuală cu Ceetrus - de exemplu: chiriași, antreprenori, proiectanți, furnizori de produse şi/sau servicii diverse, consultanți (inclusiv consultanți fiscali şi legali), vânzători, cumpărători, administratori de proprietăți imobiliare, experți, precum şi orice alţi parteneri contractuali;
2. persoane aflate într-o relație de asociere, afiliere sau care fac parte din același grup cu Ceetrus - persoane fizice care au o astfel de relație direct sau persoane fizice care au legătură cu persoanele juridice care au o astfel de relație cu Ceetrus;
3. persoane fizice sau, după caz, persoane fizice care au legătură cu persoane juridice, care au calitatea de proprietari actuali şi anteriori, ai unor proprietăţi (în mod special imobile) pe care Ceetrus este interesat să le achiziţioneze sau să obţină alte drepturi în legătură cu acestea; persoane fizice sau, după caz, persoane fizice care au legătură cu persoane juridice care au calitatea de cumpărători sau potenţiali cumpărători ai unor proprietăţi (în mod special imobile) de la Ceetrus sau care dobândesc sau sunt interesați să dobândească alte drepturi în legătură cu acestea;
4. persoane fizice implicate direct sau persoane fizice care au legătură cu entități implicate în litigii sau în alte proceduri care vizează şi pe Ceetrus;
5. persoane fizice terţe sau persoane fizice care au legătură cu persoane juridice terţe cum ar fi subantreprenori, subproiectanţi şi orice alţi subcontractanţi, părţi adverse, entităţi care au legătură cu proiectele Ceetrus;
6. contacte de afaceri ale Ceetrus (persoane fizice direct sau persoane fizice care au legătură cu contactele de afaceri - persoanele juridice), inclusiv foşti parteneri contractuali, potențiali parteneri contractuali (inclusiv persoane fizice sau juridice cu care se are în vedere încheierea unor contracte), persoane fizice întâlnite în cadrul unor evenimente organizate de Ceetrus sau de terţi.

Referirea la „persoane fizice care au legătură cu persoane juridice” poate viza, de exemplu următoarele categorii de persoane fizice: persoane de contact, salariaţi, colaboratori, asociați, administratori, directori, cenzori, sau alţi funcţionari ai acestor persoane juridice.

Procesăm diferite categorii de date personale, care pot varia inclusiv în funcție de scopurile prelucrării. Având în vedere diversitatea potențialelor categorii de date personale pe care le putem prelucra în funcție de particularitățile fiecărui proiect, contract sau situație, nu putem furniza o listă exhaustivă a tuturor categoriilor de date personale pe care le putem procesa.

În funcție de circumstanțele relevante, de legile și cerințele autorităților locale aplicabile, putem colecta unele sau toate informațiile enumerate mai jos:

• nume și prenume;
• detalii de contact, inclusiv: adresă e-mail, adresă de contact, număr/numere de telefon, număr de fax;
• detaliile actului de identitate (inclusiv carte de identitate, pașaport);
• legătura cu partenerul / terțul persoană juridică, funcția / denumirea postului, aria de competență, rolul funcției, jurisdicția, limba, vechimea în societate;
• cod numeric personal;
• cetățenia;
• detalii cu privire la conturile bancare ale partenerilor contractuali persoane fizice, precum şi datele personale aferente necesare pentru a efectua şi pentru a primi plăți, dacă este cazul.

Aceste informații pot fi obținute de la persoanele menționate la punctele (i)-(vi) de mai sus, precum şi din surse publice, în funcție de circumstanțele relevante.

În cazul în care datele personale sunt obținute de la o altă persoană decât persoana vizată, persoana de la care sunt obținute datele personale confirmă că a obținut consimțământul persoanei vizate cu privire la colectarea, procesarea şi transferul datelor personale către Ceetrus în condițiile menționate în prezenta notă de informare. În cazul obținem, de la o entitate cu care avem o relație contractuală, date personale cu privire la persoane fizice care au legătură cu aceasta sau cu părți adverse, sau date personale ale oricăror terți, obținem aceste date pe baza faptul că, la rândul său, entitatea respectivă şi-a îndeplinit propriile obligații, în calitate de operator, cu privire la colectarea, procesarea şi transferul oricăror astfel de date către noi, în condițiile menționate în prezenta notă de informare. În acest sens, solicităm entităților cu care avem relații contractuale, precum şi terților (alții decât persoanele vizate) de la care obținem date personale, să comunice persoanelor vizate prezenta notă de informare.

2. Cum folosim datele personale?

Principala rațiune pentru care procesăm datele personale este aceea de a asigura buna desfășurare a relațiilor contractuale și profesionale, precum şi pentru a asigura buna desfășurare şi dezvoltarea activității noastre, derularea proiectelor şi obiectivelor de afaceri ale Ceetrus.

Mai concret, folosim datele personale pentru următoarele scopuri:

1. În legătură cu partenerii contractuali ai Ceetrus sau cu potențialii parteneri contractuali

• contactarea persoanelor vizate cu privire la executarea contractului;
• în scopul demersurilor, formalităților și acțiunilor necesare în vederea încheierii unui contract (inclusiv negocierea documentelor contractuale, redactarea acestora, stabilirea întâlnirilor fizice sau online, a discuțiilor telefonice cu persoanele relevante, analiza unor documente aferente unei tranzacții);
• executarea contractului (prestarea efectivă a serviciilor contractuale, îndeplinirea obligațiilor și exercitarea drepturilor rezultând din contract);
• administrarea contractului și monitorizarea executării acestuia;
• efectuarea de plăți și încasarea de sume de bani aferente contractului;
• administrarea relației cu partenerii contractuali, inclusiv în scopul comunicării de noutăți și evenimente organizate de sau la care participă Ceetrus sau de informații legate de proiectele Ceetrus care credem că ar putea fi de interes pentru partenerii noștri contractuali;
• îndeplinirea obligațiilor legale în legătura cu contractul (inclusiv dar fără limitare la înregistrarea unor contracte la autoritățile fiscale);

2. În legătură cu persoane aflate într-o relație de asociere, afiliere sau care fac parte din același grup cu Ceetrus

• desfășurarea activității entităților în care Ceetrus este asociat / acționar, conform actelor constitutive și a dispozițiilor legale aplicabile;
• administrarea relației cu asociații, afiliații sau alte societăți din grupul Ceetrus, inclusiv în scopul comunicării de noutăți și evenimente organizate de sau la care participă Ceetrus sau de informații legate de proiectele noastre;

3. În legătură cu litigii sau ale proceduri administrative

• în vederea exercitării unor drepturi sau a formulării unor apărări în instanță sau în fața altor autorități publice;
• în vederea administrării dosarelor de instanță, procedurilor administrative etc.;
• în vederea plății taxelor și cheltuielilor aferente litigiilor sau procedurilor administrative;

4. În legătură cu contactele de afaceri ale Ceetrus

• în scopul comunicării cu contacte de afaceri cu privire la noutăți și evenimente organizate de sau la care participă Ceetrus, la informații legate de proiectele noastre care credem că v-ar putea interesa;

5. În legătură cu toate categoriile de persoane vizate

• în general, desfășurarea în bune condiții a activității Ceetrus, derularea proiectelor şi obiectivelor de afaceri ale Ceetrus, cu respectarea contractelor la care suntem parte și a legislației aplicabile;
• stocarea detaliilor de contact (și a actualizării acestora, atunci când este necesar) în baza noastră de date, pentru a fi utilizate în scopurile menționate mai sus.

3. Temeiuri juridice pentru procesarea datelor personale

Temeiul juridic pe baza căruia prelucrăm datele personale va fi unul dintre următoarele, în funcție de circumstanțele fiecărui caz în parte:

1. prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
2. prelucrarea este necesară în vederea îndeplinirii obligațiilor noastre legale (inclusiv dar fără limitare la înregistrarea unor contracte la autoritățile fiscale);
3. prelucrarea este necesară în scopul intereselor noastre legitime, precum şi în scopul intereselor legitime ale partenerilor noștri, inclusiv dar fără limitare la:

• îndeplinirea obligațiilor noastre contractuale şi legale, respectiv exercitarea drepturilor noastre contractuale şi legale (atunci când nu este aplicabil temeiul juridic de la punctul (i) de mai sus);
• urmărirea modalității în care sunt îndeplinite obligațiilor contractuale şi legale față de noi (atunci când nu este aplicabil temeiul juridic de la punctul (i) de mai sus);
• pentru gestionarea relației cu partenerii noștri contractuali;
• pentru scopurile noastre administrative interne;
• pentru a împiedica utilizarea neautorizată a informațiilor și echipamentelor noastre;
• în vederea realizării investigațiilor privind presupuse abateri;
• pentru stabilirea, exercitarea sau susținerea unor revendicări/solicitări legale.

4. prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță; şi
5. persoana vizată şi-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice.

Persoana vizată are dreptul să își retragă în orice moment consimțământul. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia.

Temeiul juridic pe baza căruia prelucrăm categorii speciale de date cu caracter personal va depinde de circumstanțele fiecărui caz în parte, şi poate fi realizată pe baza faptului că prelucrarea este: (i) necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță, (ii) bazată pe consimțământul explicit al persoanei vizate, (iii) se referă la date cu caracter personal care sunt făcute publice în mod manifest de către persoana vizată.

4. Dezvăluim datele personale - către cine și cum?

În funcție de activitatea la care ne raportăm, comunicăm datele personale, doar în scopurile menționate mai sus, către următoarele categorii de destinatari:

• oricare societate din grupul Ceetrus / Ceetrus - Auchan (compania noastră mamă, filialele acesteia, companii aflate sub control comun şi alţi afiliaţi), după cum va fi necesar;
• antreprenorii şi proiectanţii noştri, subcontractorii, furnizorii noștri de servicii (inclusiv dar fără limitare la furnizori de servicii IT şi de stocare tip cloud), experții cu care colaborăm (inclusiv dar fără limitare la experţi topografi / cadastrişti, experţi tehnici etc.) şi orice alţi parteneri contractuali, precum şi consultanților acestora, după cum va fi necesar;
• consultanți financiari şi fiscali, societăți de audit, contabili, consultanți legali şi alți consultanți externi;
• autorităţi publice, instanţe judecătoreşti, tribunale arbitrale, executori judecătoreşti, notari publici;
• în cazul în care o societate din grupul Ceetrus / Ceetrus - Auchan va fi achiziționată sau va fuziona cu o altă societate sau grup de societăți, sau în cazul unui transfer de activitate / fond de comerț / portofoliu, vom putea furniza datele personale reprezentanților societăților implicate în procesul de fuziune, noilor proprietari, cumpărătorilor, precum şi consultanților acestora în legătură cu aceste operațiuni.

Dorim să ne asigurăm că datele personale sunt stocate și transferate într-o modalitate care să le asigure securitatea adecvată.
Din aceste motive, vom transfera datele personale în afara Spațiului Economic European (Statele Membre ale Uniunii Europene, Norvegia, Islanda și Liechtenstein) doar în situația în care transferul se realizează cu respectarea prevederilor legale privind protecția datelor personale și cu asigurarea unui nivel de protecție adecvat, astfel:

• prin transferul datelor personale într-un stat care oferă un nivel de protecție adecvat, recunoscut ca atare printr-o decizie a Comisiei Uniunii Europene;
• în cazul în care v-ați dat consimțământul liber exprimat și informat cu privire la transferul datelor personale în afara Spațiului Economic European;
• prin încheierea unui contract ce privește transferul datelor personale către un terț, contract ce incorporează clauzele standard adoptate de către Comisia Europeană privind transferul datelor personale către operatori și împuterniciți aflați în state ce asigură un nivel de protecție adecvat;
• pe baza altor mecanisme de transfer al datelor personale pe care le avem la dispoziție conform Regulamentului pentru a asigura protecția datelor cu caracter personal astfel transferate (cum ar fi, reguli corporatiste obligatorii, mecanisme de certificare sau coduri de conduită aprobate conform Regulamentului).

5. Cum asigurăm securitatea datelor personale?

Suntem preocupați de protejarea datelor personale ale persoanelor vizate. Aceasta este rațiunea pentru care am implementat măsuri adecvate care sunt destinate pentru a preveni accesul neautorizat, precum și utilizarea incorectă a datelor personale ale persoanelor vizate.

Ne-am angajat să luăm toate măsurile rezonabile și adecvate pentru a asigura securitatea datelor personale împotriva furtului și accesului neautorizate al acestora. Realizăm toate acestea prin implementarea unor măsuri tehnice și organizatorice specifice, incluzând măsuri de encriptare și data recovery/back up.

De asemenea, protejăm datele dvs. personale prin includerea unor obligaţii de confidențialitate şi de protecție a datelor cu caracter personal în contractele pe care le încheiem cu partenerii noștri contractuali.

Important!
Dacă suspectați folosirea neautorizată sau furtul datelor personale ale persoanelor vizate vă rugăm să ne informați imediat ce suspectați o astfel de activitate neautorizată. În acest sens, vă rugăm să vă adresați în primă fază dpo_romania@Ceetrus.com pentru a putea investiga situația intervenită și pentru a vă putea furniza ulterior informații actualizate cu privire la stadiul soluționării incidentului, precum și cu privire la pașii de urmat.

6. Pentru ce perioadă de timp prelucrăm datele dvs. personale?

Nu vom păstra în registrele noastre datele personale pentru o perioadă de timp ce va excede scopurilor pentru care acestea au fost colectate, excepție făcând cazurile în care prevederile legale ne impun obligația păstrării datelor personale pentru o perioadă de timp determinată mai îndelungată scopului nostru (de exemplu, pe durata termenelor prevăzute de legislația privind arhivarea, în situația în care primim o notificare și/sau adresă în acest sens din partea autorităților publice centrale sau locale sau în legătură cu un litigiu aflat pe rolul instanțelor de judecată din România).

7. Care sunt drepturile persoanelor vizate cu privire la datele personale pe care noi le procesăm?

Unul dintre principalele obiective ale Regulamentului este acela de a proteja și clarifica drepturile persoanelor fizice cu privire la protecția datelor personale. Astfel, deși procesăm datele personale, Regulamentul vă recunoaște o serie de drepturi cu privire la acestea.

Iată pe scurt care sunt drepturile persoanelor vizate, drepturi care pot fi exercitate în anumite condiții:
Dreptul de acces - aveți dreptul de a obține o confirmare din partea noastră că prelucrăm sau nu datele cu caracter personal care vă privesc și, în caz afirmativ, acces la datele respective și la informații privind modalitatea în care sunt prelucrate datele.
Dreptul la rectificare - aveți dreptul de a obține rectificarea datelor cu caracter personal inexacte care vă privesc, fără întârzieri nejustificate.
Dreptul la ștergerea datelor („dreptul de a fi uitat”) - aveți dreptul de a solicita să vă ștergem datele cu caracter personal, fără întârzieri nejustificate. Aveți dreptul să vă fie șterse datele personale și ca acestea să nu mai fie utilizate, atunci când:

• datele personale nu mai sunt necesare pentru scopurile în care au fost inițial colectate sau prelucrate;
• vă retrageți consimțământul pe baza căruia are loc prelucrarea, în cazul în care l-ați furnizat anterior şi nu există niciun alt temei juridic pentru prelucrare;
• vă opuneți prelucrării și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea;
• am procesat datele dumneavoastră personale cu încălcarea legislației privind protecția datelor;
• datele personale trebuie șterse pentru a ne conforma unei obligații legale.

Vom analiza cererea în conformitate cu motivele ce justifică solicitarea şi vom reveni în termenul legal cu privire la implementarea acesteia.
Dreptul la restricționarea prelucrării înseamnă că aveți dreptul de a solicita restricționarea prelucrării, în următoarele cazuri:

• în cazul în care contestați exactitatea datelor, pentru o perioadă care ne permite să verificăm exactitatea datelor;
• atunci când prelucrarea este ilegală, dar vă opuneți ștergerii și solicitați în schimb restricționarea;
• dacă nu mai avem nevoie de datele dumneavoastră personale în scopul prelucrării, dar ni le solicitați pentru constatarea, exercitarea sau apărarea unui drept în instanță;
• în cazul în care v-ați opus prelucrării pentru îndeplinirea unei sarcini care servește unui interes public sau în scopul intereselor legitime ale Ceetrus sau ale unui terț, pentru intervalul de timp care ne permite să verificăm dacă drepturile noastre legitime prevalează.

Vom analiza cererea în raport de cazurile de restricționare prevăzute de lege și vom revenim în termenul legal cu privire la implementarea acesteia (acesta este un drept nou conform Regulamentului).
Dreptul la portabilitatea datelor se referă la dreptul de a primi datele personale într-un format structurat, utilizat în mod curent și care poate fi citit automat și la dreptul ca aceste date să fie transmise direct altui operator, în anumite condiţii (acesta este un drept nou conform Regulamentului).
Dreptul la opoziție vizează dreptul de a vă opune prelucrării datelor personale atunci când prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau când are în vedere un interes legitim al Ceetrus sau al unui terț. Atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct, aveți dreptul de a vă opune prelucrării în orice moment.


Important!
În anumite situații, s-ar putea să nu vă putem acorda accesul la toate sau o parte a datelor personale din cauza unor restricții legale. Într-un astfel de caz, vă vom comunica motivul acestui refuz.
În anumite cazuri, s-ar putea să nu vă putem identifica datele personale din cauza elementelor de identificare pe care ni le furnizați în cerere. În astfel de cazuri, dacă nu vă putem identifica drept persoană vizată, nu putem da curs cererii dvs. în conformitate cu aceasta secțiune, cu excepția cazului în care ne oferiți informații suplimentare care să ne permită să vă identificăm. Vă vom informa și pentru a ne oferi astfel de detalii suplimentare.
De asemenea, vă rugăm să aveți în vedere că, în anumite cazuri, exercitarea unora drepturi dintre drepturile de mai sus (de exemplu, dreptul la ștergerea datelor, dreptul la opoziție, dreptul la restricționarea prelucrării), ar putea împiedica sau face mai dificilă îndeplinirea de către noi a unor scopuri menționate în prezenta informare (cum ar fi executarea într-un mod cât mai prompt și eficient a obligațiilor noastre contractuale).

Cum ne puteți contacta?
Pentru exercitarea drepturilor dumneavoastră, ne puteți contacta la:
E-mail: dpo_romania@Ceetrus.com
Adresa poştală: București, str. Brașov nr. 25, Clădirea de Birouri, etajul 5, Birourile Ceetrus , sector 6.
Dreptul de a depune o plângere la autoritatea de supraveghere - În cazul în care considerați că drepturile dvs. privind datele personale au fost încălcate, puteţi, de asemenea, să contactaţi şi să depuneţi o plângere la autoritatea locală pentru protecţia datelor:

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal

B-dul G-ral. Gheorghe Magheru nr. 28-30, Sector 1, cod postal 010336, Bucuresti, Romania
anspdcp@dataprotection.ro
+40.318.059.211
+40.318.059.212

8. Definiții

(1) „date personale” sau „date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
(2) „prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
(3) „operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile şi mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile şi mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;
(4) „persoană împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului;
(5) „destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terţă. Cu toate acestea, autorităţile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autorităţile publice respective respectă normele aplicabile în materie de protecţie a datelor, în conformitate cu scopurile prelucrării;
(6) „terţ” înseamnă o persoană fizică sau juridică, autoritate publică, agenţie sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator şi persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;
(7) „categorii speciale de date cu caracter personal” înseamnă date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate şi prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viaţa sexuală sau orientarea sexuală ale unei persoane fizice.