1. Operatorul de date
Operatorul de date cu caracter personal pentru platforma EventApp este:
[DE COMPLETAT ÎNAINTE DE PUBLICARE]
Sediu: [DE COMPLETAT ÎNAINTE DE PUBLICARE]
CUI: [DE COMPLETAT ÎNAINTE DE PUBLICARE] · Nr. Reg. Com.: [DE COMPLETAT ÎNAINTE DE PUBLICARE]
2. Contact pentru protecția datelor
Pentru întrebări sau cereri privind datele tale personale, scrie la [DE COMPLETAT ÎNAINTE DE PUBLICARE].
Acest proiect nu indică un DPO, deoarece desemnarea formală și datele sale de contact nu au fost confirmate. Până la publicare trebuie stabilit dacă este necesară desemnarea unui DPO și trebuie introdusă o adresă reală, monitorizată, pentru cererile privind datele personale.
3. Rolurile EventApp și organizatorilor
Calitatea EventApp de operator, operator asociat sau persoană împuternicită trebuie analizată separat pentru fiecare flux, în funcție de cine stabilește scopurile și mijloacele prelucrării.
Relația exactă dintre EventApp și organizatori pentru datele participanților la un eveniment specific (operatori independenți, operatori asociați sau EventApp ca persoană împuternicită a organizatorului) depinde de funcționalitățile efectiv activate pentru organizatorul respectiv și este o clasificare ce trebuie confirmată de avocat pentru fiecare flux de date. Nu afirmăm o singură calificare uniformă fără această confirmare.
4. Categorii de persoane vizate
- ›Utilizatori cu cont (cumpărători, vânzători pe piața de revânzare)
- ›Cumpărători fără cont (guest checkout)
- ›Organizatori și personalul lor de validare (staff de scanare)
- ›Vizitatori ai platformei, fără cont și fără achiziție
5. Categoriile reale de date
| Categorie | Date prelucrate |
|---|---|
| Cont | Email, parolă stocată sub formă de hash, nume și telefon opțional |
| Cumpărare fără cont | Email și telefon furnizate pentru comandă |
| Comenzi | Valoarea și starea comenzii, informații de plată și date tehnice necesare securității |
| Bilete | Identificatorul biletului, starea și istoricul de validare |
| Plăți | Identificatori Stripe ai plății și tranzacției; nu numărul complet al cardului |
| Facturare | Nume, companie, CUI și adresă de facturare, dacă sunt furnizate |
| Organizatori și staff | Date de identificare și contact, roluri și identificatori ai contului de plăți |
| Transfer și revânzare | Datele tranzacției și informațiile necesare plății vânzătorului |
| Suport | Conținutul corespondenței cu echipa de suport, dacă ne scrii |
| Consimțăminte | Preferințe privind comunicările de marketing și notificările |
| Date tehnice și securitate | Adresă IP, informații despre dispozitiv și evenimente de securitate |
| Date primite de la terți | Confirmări de livrare/eroare de la furnizorii de email și plăți |
6. Sursele datelor
Datele provin direct de la tine (formulare de înregistrare, comandă, facturare), sunt generate automat de platformă (loguri tehnice, statusul biletelor) sau sunt primite de la furnizorii noștri (Stripe pentru confirmarea plății, furnizorul de email pentru statusul livrării).
7. Scopuri și temeiuri juridice
| Scop | Temei juridic (GDPR Art. 6) |
|---|---|
| Crearea și administrarea contului | Art. 6(1)(b) — executarea contractului |
| Procesarea comenzii și livrarea biletului | Art. 6(1)(b) — executarea contractului |
| Validarea biletului la intrare | Art. 6(1)(b) + Art. 6(1)(f) — contract și interes legitim (prevenirea fraudei) |
| Emiterea documentului fiscal | Art. 6(1)(c) — obligație legală |
| Securitatea platformei și prevenirea abuzului | Art. 6(1)(f) — interes legitim |
| Comunicări de marketing prin email/SMS | Art. 6(1)(a) — consimțământ, revocabil oricând |
8. Interesele legitime
Ne bazăm pe interes legitim pentru: prevenirea fraudei la cumpărare și revânzare, securitatea conturilor și a infrastructurii, diagnosticarea erorilor tehnice și menținerea calității serviciului. Nu folosim interesul legitim ca temei pentru marketing direct.
9. Date obligatorii și opționale
Emailul este obligatoriu pentru livrarea biletului, indiferent dacă ai cont. Numărul de telefon și numele complet pentru facturare sunt opționale, cu excepția cazului în care soliciți o factură pe persoană juridică, situație în care datele de facturare devin necesare emiterii documentului fiscal. Nefurnizarea datelor obligatorii face imposibilă finalizarea comenzii.
10–11. Destinatari și furnizori
Datele pot fi comunicate furnizorilor necesari prestării serviciului. Lista finală trebuie completată exclusiv cu furnizorii activi în producție și cu denumirile lor juridice din contractele firmei.
Stripe
Procesarea plăților
Date transmise: Datele necesare autorizării și administrării tranzacției
Furnizor de facturare — de confirmat
Emiterea documentelor fiscale, dacă integrarea este activă
Date transmise: Date de facturare și valoarea comenzii
Furnizor de email — de confirmat
Trimiterea emailurilor tranzacționale
Date transmise: Adresă email, nume și conținutul comunicării
Furnizor de stocare — de confirmat
Stocarea fișierelor și a exporturilor de date
Date transmise: Fișiere și exporturi generate la cerere
Furnizor de monitorizare — de confirmat
Diagnosticarea erorilor și monitorizarea performanței, dacă este activ
Date transmise: Date tehnice asociate erorilor, supuse filtrelor configurate
Furnizor de găzduire — de confirmat
Găzduirea și funcționarea serviciului
Date transmise: Datele necesare furnizării serviciului de găzduire
Denumirile juridice complete și sediile acestor furnizori, necesare într-un document final, trebuie completate din contractele/conturile reale ale firmei cu fiecare furnizor.
12. Transferuri în afara SEE
Unii furnizori pot implica transferuri în afara Spațiului Economic European. Furnizorii, țările, temeiul transferului și garanțiile aplicabile trebuie completate din contractele și documentația furnizorilor activi înainte de publicare. mecanismele reale de transfer pentru fiecare furnizor.
13. Retenția datelor
| Categorie | Perioadă |
|---|---|
| Cerere de ștergere a contului (perioadă de grație) | 30 de zile de la cerere, perioadă în care poți reveni |
| Documente financiar-contabile | Perioada impusă de legislația contabilă română — confirmă cu contabilul firmei valoarea exactă |
| Date tehnice și de securitate | [DE COMPLETAT ÎNAINTE DE PUBLICARE — perioada trebuie stabilită și implementată] |
| Consimțăminte de marketing | Până la retragerea consimțământului |
După expirarea perioadei de grație de 30 de zile pentru o cerere de ștergere, datele de identificare ale contului sunt anonimizate, iar datele financiare necesare obligațiilor legale sunt păstrate separat, fără a mai fi asociate identității tale curente.
14. Drepturile tale
Ai următoarele drepturi, detaliate pe larg la /gdpr:
Acces
Solicită o copie a datelor tale
Rectificare
Corectează datele inexacte
Ștergere
Solicită ștergerea datelor
Restricționare
Limitează prelucrarea datelor tale
Portabilitate
Primești datele într-un format structurat
Opoziție
Te opui prelucrării bazate pe interes legitim
15. Retragerea consimțământului
Poți retrage oricând consimțământul dat pentru marketing prin email/SMS, din setările contului sau scriind la [DE COMPLETAT ÎNAINTE DE PUBLICARE]. Retragerea nu afectează legalitatea prelucrărilor efectuate înainte de retragere.
16. Opoziție la marketing
Te poți opune oricând prelucrării datelor tale în scop de marketing direct. La primirea unei astfel de opoziții, oprim trimiterea de comunicări de marketing către tine.
17. Întrebări și soluționarea solicitărilor
Pentru orice întrebare, neclaritate sau solicitare privind datele personale, te rugăm să folosești contactul indicat în secțiunea 2. Vom analiza situația și vom încerca să oferim o explicație sau o soluție directă, în termenele prevăzute de lege.
Fără a afecta posibilitatea soluționării directe, persoanele vizate beneficiază și de dreptul legal de a se adresa autorității de supraveghere competente. În România, aceasta este ANSPDCP, disponibilă la dataprotection.ro.
18. Decizii automate
Sistemul de validare a biletelor poate marca automat o scanare ca suspectă (de exemplu, un bilet deja folosit), dar nu este descrisă în prezent în platformă o decizie automatizată cu efecte juridice semnificative, luată fără intervenție umană. Dacă o astfel de prelucrare va fi introdusă, această secțiune va fi actualizată cu descrierea ei concretă.
19. Datele minorilor
Platforma nu verifică tehnic vârsta utilizatorilor la înregistrare. Condițiile privind utilizarea platformei de către minori sunt descrise în Termeni și Condiții, secțiunea „Reguli pentru minori” — aceasta este o condiție contractuală, nu un control tehnic existent.
20. Măsuri de securitate
- Parolele sunt protejate prin măsuri criptografice și nu sunt păstrate în text clar.
- Datele sensibile sunt protejate prin măsuri tehnice și controale de acces adecvate.
- Conexiunile către platformă sunt protejate prin criptare.
- EventApp nu primește și nu stochează numărul complet al cardului.
- Accesul la sistemele care prelucrează date este limitat la persoanele și serviciile autorizate.
Aceste măsuri reduc riscul de acces neautorizat, dar nicio platformă nu poate garanta o securitate absolută. Nu afirmăm că datele sunt invulnerabile sau „imposibil de compromis”.
21. Încălcări de securitate
În cazul unei încălcări a securității datelor cu caracter personal care prezintă un risc pentru drepturile și libertățile tale, vom notifica ANSPDCP în termenele prevăzute de GDPR (Art. 33) și, dacă riscul este ridicat, te vom informa direct (Art. 34).
22. Modificarea politicii
Putem actualiza această politică pentru a reflecta schimbări legale sau operaționale. Modificările semnificative vor fi comunicate prin email sau printr-o notificare vizibilă pe platformă.
23. Data și versiunea documentului
Versiune: proiect v0.1 — nepublicat · Data intrării în vigoare: [DE COMPLETAT ÎNAINTE DE PUBLICARE — data publicării reale].
proiect v0.1 — nepublicat — proiect juridic tehnic pregătit pentru revizuirea avocatului, nu un document aprobat sau final.