Prezenta Politică de Confidențialitate reglementează modul în care S.C. CORVIS EDGE S.R.L., în calitate de Operator, colectează, utilizează, stochează și protejează datele cu caracter personal (DCP) ale clienților și vizitatorilor website-ului sensibo.ro, demonstrând conformitatea cu Regulamentul General privind Protecția Datelor (RGPD) și legislația națională complementară.

CAPITOLUL I: DISPOZIȚII GENERALE ȘI CADRUL LEGISLATIV APLICABIL

1.1. Identitatea și datele de contact ale operatorului

S.C. CORVIS EDGE S.R.L. acționează ca operator de date cu caracter personal în conformitate cu articolul 4 alineatul (7) din Regulamentul (UE) 2016/679. Operatorul stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal, asumându-și responsabilitatea implementării unor măsuri tehnice și organizatorice adecvate pentru asigurarea securității datelor.

Date de identificare și contact:

• Denumire completă: S.C. CORVIS EDGE S.R.L.
• Adresă sediu social: Str. Alpinești, Nr. 15, Sector 4, București
• Cod Unic de Înregistrare (CUI): RO52908300
• Număr de înregistrare la Registrul Comerțului: J2025087863005
• Email dedicat pentru protecția datelor (GDPR): gdpr@sensibo.ro
• Telefon de contact: 0745 667 850

Aceste informații sunt furnizate în mod transparent persoanelor vizate, îndeplinind obligațiile de informare prevăzute la articolul 13 alineatul (1) literele (a) și (b) din RGPD.

1.2. Cadrul legislativ de referință (standardul dual de conformitate)

Prelucrarea DCP realizată de S.C. CORVIS EDGE S.R.L. respectă un standard dual de conformitate, care cuprinde reglementările Uniunii Europene și legislația națională română.

A. Nivelul European:

Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016, cunoscut sub denumirea de Regulamentul General privind Protecția Datelor (RGPD sau GDPR). Acest act normativ stabilește principiile fundamentale și drepturile persoanelor vizate pe întreg teritoriul Spațiului Economic European.

B. Nivelul Național (România):

1. Legea nr. 190 din 18 iulie 2018: Această lege stabilește măsurile necesare punerii în aplicare la nivel național a prevederilor RGPD, în special în ceea ce privește aspecte precum sancțiunile (Art. 83 alin. 7) și definițiile specifice pentru autoritățile publice.
2. Legea nr. 506/2004: Aceasta reglementează prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice. Această lege este esențială pentru stabilirea regulilor privind marketingul direct prin email/SMS și utilizarea cookie-urilor non-esențiale, completând prevederile RGPD.
3. Legea 227/2015 privind Codul Fiscal și Legea Contabilității: Aceste acte normative guvernează perioadele de retenție obligatorii pentru documentele financiar-fiscale, constituind un temei de prelucrare bazat pe obligație legală.

1.3. Definiții cheie și terminologie legală

Pentru o înțelegere clară a prezentei Politici, se definesc următorii termeni conform RGPD și legislației naționale:

• Operator: S.C. CORVIS EDGE S.R.L., persoana juridică care stabilește scopul și mijloacele de prelucrare a datelor cu caracter personal.
• Persoană Vizată: Orice persoană fizică identificată sau identificabilă (client, vizitator, prospect) ale cărei date sunt prelucrate de Operator.
• Prelucrare: Orice operațiune sau set de operațiuni efectuate asupra DCP (ex: colectare, înregistrare, organizare, stocare, utilizare, ștergere).
• Persoană Împuternicită: Persoana fizică sau juridică (ex: curierul, procesatorul de plăți) care prelucrează date în numele Operatorului, în baza unui Acord de Prelucrare a Datelor (DPA).
• DPO (Data Protection Officer): Responsabilul cu Protecția Datelor, care asistă Operatorul în monitorizarea conformității.

1.4. Principii fundamentale ale prelucrării datelor (Art. 5 RGPD)

S.C. CORVIS EDGE S.R.L. se angajează să respecte următoarele principii, care guvernează toate operațiunile de prelucrare a DCP:

1. Legalitate, Echitate și Transparență: Prelucrarea DCP se realizează pe baza unui temei juridic valid și cu informarea clară a persoanelor vizate (așa cum se realizează prin prezentul document).
2. Limitarea Scopului: Datele sunt colectate numai în scopuri determinate, explicite și legitime (ex: vânzarea de produse) și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri.
3. Minimizarea Datelor: Se colectează și se prelucrează doar DCP adecvate, relevante și strict necesare în raport cu scopurile declarate (evitarea colectării excesive, cum ar fi CNP-ul, decât dacă există o obligație legală explicită).
4. Acuratețea Datelor: Operatorul ia măsuri rezonabile pentru a se asigura că datele sunt exacte și, dacă este necesar, actualizate.
5. Limitarea Stocării: DCP sunt păstrate doar pe perioada necesară îndeplinirii scopurilor, după care sunt șterse sau anonimizate.
6. Integritate și Confidențialitate: Prelucrarea se realizează într-un mod care asigură securitatea adecvată a datelor, incluzând protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, distrugerii sau deteriorării accidentale.

2.1. Categoriile de date prelucrate de sensibo.ro

În funcție de interacțiunea persoanei vizate cu site-ul sensibo.ro, Operatorul prelucrează următoarele categorii de date:

• Date de Identificare și Contact: Nume, prenume, adresă de livrare, adresă de facturare, număr de telefon, adresă de email. Acestea sunt necesare pentru finalizarea tranzacției.
• Date de Tranzacție și Istoric: Produsele achiziționate, istoricul comenzilor, preferințe de cumpărare și retururi.
• Date Financiare (Indirecte): Informații legate de plăți, sume transferate sau rambursate. Operatorul nu stochează datele sensibile ale cardului bancar; acestea sunt prelucrate direct de procesatorul de plăți (o persoană împuternicită specializată).
• Date Comportamentale și Tehnice: Adresa IP, jurnalele (log-urile) de acces, tipul de browser, sistemul de operare, informații colectate prin cookie-uri (vezi Cap. IV).
• Date Cont Client: Nume de utilizator și parola (stocată criptat).

Operatorul menționează că, în general, nu prelucrează categorii speciale de DCP (ex: date medicale, dizabilități), deoarece acestea nu sunt relevante pentru scopurile de e-commerce.

2.2. Temeiurile juridice detaliate pentru prelucrare (Art. 6 (1) RGPD)

Conform principiului legalității, fiecare operațiune de prelucrare trebuie să aibă un temei juridic valid. O singură acțiune a persoanei vizate (ex: plasarea unei comenzi) poate genera operațiuni distincte care se bazează pe temeiuri legale multiple. De exemplu, prelucrarea datelor pentru livrare se bazează pe executarea contractului, dar stocarea datelor de facturare ulterioare livrării se bazează pe obligația legală.

Inventarul operațiunilor de prelucrare și temeiurile juridice:

• 1. Procesarea și livrarea comenzilor: Categorii de date prelucrate: Nume, Adresă, Email, Telefon, Detalii Plată. Temeiul juridic (Art. 6(1) RGPD): Litera (b): Executarea contractului. Justificare: Esențială pentru onorarea obligațiilor contractuale asumate prin Termenii și Condițiile website-ului.
• 2. Gestiunea contului de client: Categorii de date prelucrate: Email, Parolă (criptată), Istoric Comenzi. Temeiul juridic: Litera (b): Executarea contractului (la cererea clientului). Justificare: Necesare pentru a oferi clientului servicii de stocare a preferințelor și acces rapid la istoricul tranzacțiilor.
• 3. Emiterea documentelor fiscale și contabile: Categorii de date prelucrate: Date de Facturare, Valoare Tranzacție. Temeiul juridic: Litera (c): Obligație legală. Justificare: Conformitatea cu Legea 227/2015 (Codul Fiscal Român) și alte prevederi contabile.
• 4. Securitatea rețelei și prevenirea fraudelor: Categorii de date prelucrate: Adrese IP, Log-uri de acces, Comportament suspect. Temeiul juridic: Litera (f): Interes legitim. Justificare: Protejarea infrastructurii Operatorului și a tranzacțiilor împotriva atacurilor cibernetice, conform Articolului 32 RGPD.
• 5. Marketing direct (Newsletter prospecți): Categorii de date prelucrate: Adresă Email. Temeiul juridic: Litera (a): Consimțământ. Justificare: Consimțământ obținut conform cerințelor RGPD și Legii 506/2004.
• 6. Gestiunea plângerilor și soluționarea litigiilor: Categorii de date prelucrate: Date de contact, Istoric corespondență. Temeiul juridic: Litera (f): Interes legitim. Justificare: Apărarea drepturilor Operatorului în fața instanțelor de judecată sau a Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).

2.3. Echilibrul interesului legitim și dreptul la opoziție

Atunci când S.C. CORVIS EDGE S.R.L. se bazează pe temeiul juridic al interesului legitim (Articolul 6 alineatul (1) litera (f)), de exemplu pentru securitatea rețelei, auditul intern sau analiza anonimizată a performanței site-ului, Operatorul se asigură că acest interes nu prevalează asupra drepturilor și libertăților fundamentale ale persoanelor vizate. Această obligație de echilibru (cunoscută sub numele de LIA - Legitimate Interest Assessment) este fundamentală.

În orice caz, dacă prelucrarea se bazează pe interesul legitim, persoana vizată are dreptul de a se opune prelucrării datelor sale. Operatorul se angajează să respecte imediat acest drept, cu excepția cazurilor în care demonstrează existența unor motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate.

Comunicările de marketing sunt supuse unui regim legal complex care combină cerințele RGPD privind temeiul legal și cerințele Legii 506/2004 (transpunerea Directivei ePrivacy) privind comunicațiile electronice nesolicitate.

3.1. Standardul de consimțământ pentru prospecți

Pentru trimiterea de newslettere sau oferte promoționale către persoanele care nu au stabilit o relație contractuală (prospecți), prelucrarea se bazează exclusiv pe consimțământul explicit (Art. 6(1)(a) RGPD). Consimțământul trebuie să fie liber, specific, informat și neechivoc. În fiecare comunicare de marketing trimisă pe email, persoanei vizate i se oferă o modalitate simplă și gratuită de a-și retrage acest consimțământ (link de dezabonare).

3.2. Marketingul către clienții existenți ('Soft Opt-in')

S.C. CORVIS EDGE S.R.L. poate trimite comunicări de marketing (prin email sau SMS) clienților care au achiziționat anterior produse, bazându-se pe interesul legitim al Operatorului, conform Recitalului 47 din RGPD, care recunoaște că prelucrarea DCP în scopul marketingului direct poate fi considerată a fi realizată pentru un interes legitim.

Cu toate acestea, utilizarea interesului legitim pentru marketingul electronic (cunoscută sub numele de 'soft opt-in') este condiționată de respectarea strictă a următoarelor criterii, impuse de reglementările europene de confidențialitate în comunicațiile electronice:

1. Datele de contact (email/telefon) au fost obținute în contextul unei vânzări anterioare de produse sau servicii.
2. Comunicările vizează exclusiv bunuri sau servicii similare cu cele achiziționate anterior (de exemplu, oferirea de accesorii sau servicii de mentenanță pentru un produs vândut).
3. Clientului i s-a oferit în mod clar și vizibil posibilitatea de a refuza (opt-out) utilizarea datelor sale pentru marketing, atât la momentul colectării inițiale, cât și în fiecare comunicare de marketing ulterioară.

3.3. Dreptul absolut de opoziție (Art. 21 RGPD)

Indiferent de temeiul juridic utilizat (consimțământ sau interes legitim), persoana vizată are un drept absolut de a se opune în orice moment prelucrării datelor cu caracter personal care o privesc în scopul marketingului direct, conform articolului 21 alineatul (2) și (3) din RGPD.

În momentul în care persoana vizată își exercită acest drept de opoziție, Operatorul este obligat să înceteze imediat prelucrarea datelor în scopul respectiv. Dreptul de opoziție exercitat în scop de marketing direct nu poate fi niciodată ignorat de interesul legitim al Operatorului.

Prelucrarea datelor tehnice și comportamentale prin intermediul cookie-urilor este reglementată de prevederile RGPD (privind prelucrarea DCP) și de Legea 506/2004 (privind necesitatea consimțământului pentru stocarea sau accesarea informațiilor stocate pe echipamentul terminal al unui utilizator).

4.1. Clasificarea cookie-urilor și cerința de consimțământ

Cookie-urile sunt fișiere mici de text stocate pe dispozitivul utilizatorului care ajută la îmbunătățirea experienței de navigare. S.C. CORVIS EDGE S.R.L. clasifică aceste tehnologii astfel:

1. Cookie-uri Esențiale (Strict Necesare): Acestea sunt indispensabile pentru funcționarea de bază a website-ului. Ele permit, de exemplu, menținerea produselor în coșul de cumpărături pe parcursul sesiunii de navigare sau asigurarea securității tranzacțiilor. Aceste cookie-uri nu necesită consimțământul persoanei vizate, deoarece sunt necesare exclusiv pentru a transmite o comunicare printr-o rețea de comunicații electronice sau pentru a furniza un serviciu explicit solicitat de abonat/utilizator.
2. Cookie-uri Non-Esențiale: Această categorie include cookie-urile de performanță (analiză), funcționalitate (memorarea preferințelor lingvistice) și marketing/publicitate (urmărirea comportamentului pentru reclame personalizate).

4.2. Obținerea consimțământului pentru cookie-uri non-esențiale

Conform Articolului 4 din Legea 506/2004 și Directivei ePrivacy, pentru instalarea și utilizarea cookie-urilor non-esențiale, Operatorul trebuie să obțină consimțământul prealabil, explicit și informat al utilizatorului.

În acest scop, la prima vizită pe sensibo.ro, un banner de consimțământ (Consent Management Platform - CMP) va fi afișat, permițând utilizatorului să:

• Accepte toate cookie-urile.
• Refuze toate cookie-urile non-esențiale.
• Seteze preferințe granulare pentru fiecare categorie de cookie-uri.

Instalarea cookie-urilor non-esențiale (precum cele utilizate pentru analiză web sau marketing) se realizează doar după primirea consimțământului activ al utilizatorului.

5.1. Categorii de destinatari interni și externi

Datele cu caracter personal colectate de S.C. CORVIS EDGE S.R.L. pot fi divulgate către următoarele categorii de destinatari:

A. Destinatari Interni:

Accesul la DCP este limitat strict la personalul Operatorului (angajați sau colaboratori) care are nevoie să cunoască datele pentru îndeplinirea atribuțiilor de serviciu (ex: departamentul de vânzări, contabilitate, suport clienți). Accesul este guvernat de politica internă a Operatorului, bazată pe principiul "nevoii de a cunoaște".

B. Destinatari Externi (Persoane Împuternicite de Operator):

Acestea sunt entități terțe care prelucrează date în numele și sub instrucțiunile Operatorului:

• Furnizori de servicii de curierat și logistică (pentru livrarea fizică a produselor).
• Procesatori de plăți online (pentru autorizarea și efectuarea tranzacțiilor financiare).
• Furnizori de servicii IT (găzduire web, mentenanță platformă, software CRM).
• Consultantul de contabilitate și audit.
• Agențiile de marketing digital (pentru gestionarea campaniilor de publicitate și newslettere).

5.2. Obligația acordurilor de prelucrare a datelor (DPA)

Conform articolului 28 din RGPD, S.C. CORVIS EDGE S.R.L. este obligată să încheie un Acord de Prelucrare a Datelor (DPA/APD) cu fiecare persoană împuternicită externă.

Acest acord stabilește obligațiile împuternicitului, inclusiv garantarea aceluiași nivel de securitate ca cel asumat de Operator și obligația de a informa Operatorul în cazul unui incident de securitate. În absența unui DPA valabil, Operatorul își asumă o răspundere semnificativ sporită în fața legii. Răspunderea Operatorului persistă pentru prejudiciile cauzate de prelucrările neconforme, cu excepția cazului în care se demonstrează că împuternicitul a acționat contrar instrucțiunilor primite sau nu a respectat obligațiile care îi revin direct din RGPD.

5.3. Transferul internațional de date (în afara SEE)

Dacă S.C. CORVIS EDGE S.R.L. utilizează servicii (ex: cloud computing, email marketing platforme) care implică transferul de DCP în afara Spațiului Economic European (SEE), se aplică cerințele stricte prevăzute la articolele 44 și următoarele din RGPD.

Transferul va fi efectuat doar dacă sunt îndeplinite una dintre următoarele condiții:

1. Există o decizie de adecvare emisă de Comisia Europeană pentru țara terță respectivă (ex: țări care oferă un nivel de protecție considerat echivalent).
2. Operatorul a pus în aplicare Garanții Corespunzătoare, cel mai frecvent sub forma Clauzelor Contractuale Standard (SCCs) adoptate de Comisia Europeană.

În cazul unor astfel de transferuri, persoanele vizate vor fi informate, iar Operatorul va furniza o trimitere la garanțiile adecvate (SCCs) și la mijloacele de a obține o copie a acestora.

6.1. Principiul limitării stocării

Conform Articolului 5 RGPD, DCP sunt păstrate într-o formă care permite identificarea persoanelor vizate doar pe perioada necesară îndeplinirii scopurilor pentru care sunt prelucrate. S.C. CORVIS EDGE S.R.L. stabilește perioade de retenție clare, luând în considerare trei criterii principale: 1) necesitatea contractuală, 2) obligațiile legale (fiscal-contabile) și 3) interesul legitim de a se apăra împotriva revendicărilor legale.

6.2. Matricea perioadelor de retenție a datelor

Criteriile utilizate pentru a stabili perioadele de stocare sunt comunicate persoanei vizate, asigurând transparența (Art. 13 alin. 2 lit. a).

• Date Fiscale/Contabile (Facturi, Chitanțe): Scopul retenției: Obligația de arhivare legală. Perioada de retenție: 10 ani de la sfârșitul exercițiului financiar. Temei legal/justificare: Obligație Legală (Art. 6(1)(c)) conform Legii 227/2015 și legislației contabile române.
• Date Comandă (tranzacție finalizată): Scopul retenției: Garanții, Retururi, Termen de prescripție. Perioada de retenție: 3 ani de la data finalizării contractului. Temei legal/justificare: Interes Legitim (Art. 6(1)(f)) pentru apărarea drepturilor Operatorului în cazul unor dispute comerciale sau civile.
• Date Cont Client Inactiv: Scopul retenției: Posibilitatea de reactivare rapidă. Perioada de retenție: 3 ani de la ultima activitate/comandă. Temei legal/justificare: Interes Legitim. Dacă nu se înregistrează activitate în acest interval, datele sunt șterse sau anonimizate, în lipsa unei cereri de ștergere anterioare.
• Date Marketing (dovada consimțământului): Scopul retenției: Dovada conformității și apărarea legală. Perioada de retenție: 5 ani de la retragerea consimțământului. Temei legal/justificare: Interes Legitim (Art. 6(1)(f)). Este necesară păstrarea dovezii obținerii consimțământului pe durata termenului general de prescripție (5 ani) pentru a răspunde eventualelor plângeri la ANSPDCP.
• Jurnale de Securitate (Log-uri IP, Erori): Scopul retenției: Detectarea incidentelor și a accesului neautorizat. Perioada de retenție: Max. 12 luni (sau pe durata investigației). Temei legal/justificare: Interes Legitim. Termenul se stabilește proporțional cu necesitatea de a identifica și remedia incidentele de securitate.

S.C. CORVIS EDGE S.R.L. asigură exercitarea efectivă a drepturilor persoanelor vizate, definite la articolele 15-22 din RGPD.

7.1. Detalierea drepturilor

1. Dreptul la Acces (Art. 15): Persoana vizată are dreptul de a obține confirmarea că datele sale sunt prelucrate și, în caz afirmativ, accesul la acele date, precum și la informații detaliate privind scopurile, categoriile de date, destinatarii și perioada de stocare.
2. Dreptul la Rectificare (Art. 16): Dreptul de a obține, fără întârzieri nejustificate, rectificarea datelor inexacte sau completarea datelor incomplete.
3. Dreptul la Ștergere ('Dreptul de a fi uitat', Art. 17): Dreptul de a solicita ștergerea datelor, în special dacă datele nu mai sunt necesare scopurilor inițiale sau dacă prelucrarea se bazează pe consimțământ, iar acesta este retras. Acest drept poate fi restricționat de obligațiile legale de retenție (ex: facturile contabile).
4. Dreptul la Restricționarea Prelucrării (Art. 18): Se poate solicita restricționarea prelucrării în cazurile prevăzute de lege, cum ar fi contestarea exactității datelor.
5. Dreptul la Portabilitatea Datelor (Art. 20): Dreptul de a primi DCP într-un format structurat, utilizat în mod curent și lizibil automat și de a le transmite unui alt operator, dacă prelucrarea se bazează pe consimțământ sau pe un contract.
6. Dreptul la Opoziție (Art. 21): Dreptul de a se opune prelucrării bazate pe interes legitim sau în scopuri de marketing direct (vezi Cap. III).
7. Dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată: Inclusiv crearea de profiluri, dacă aceasta produce efecte juridice sau o afectează în mod similar într-o măsură semnificativă.

7.2. Procedura și termenele de răspuns

Solicitările privind exercitarea drepturilor se transmit în scris la datele de contact (email/poștă) ale Operatorului.

Operatorul se angajează să răspundă la cererile persoanelor vizate fără întârzieri nejustificate și, în orice caz, în termen de o lună de la primirea cererii. Acest termen poate fi prelungit cu încă două luni, având în vedere complexitatea și numărul solicitărilor, caz în care persoana vizată va fi informată în termen de o lună de la primirea cererii.

8.1. Obligația de securitate (Art. 32 RGPD)

S.C. CORVIS EDGE S.R.L. implementează măsuri tehnice și organizatorice adecvate (TOMS) pentru a asigura un nivel de securitate corespunzător riscului asociat prelucrării DCP. Aceste măsuri țin cont de stadiul actual al dezvoltării tehnologice, costurile implementării și natura, scopul, contextul și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice.

8.2. Protecția datelor începând cu momentul conceperii și în mod implicit (Art. 25)

Operatorul aplică principiile "Protecției datelor începând cu momentul conceperii" (Privacy by Design) și "Protecției datelor în mod implicit" (Privacy by Default).

• Privacy by Design: Măsurile de securitate sunt integrate în structura website-ului încă din faza de proiectare. Exemple includ utilizarea pe scară largă a criptării (encoding messages so only those authorised can read them) pentru datele sensibile stocate și a pseudonimizării (înlocuirea datelor direct identificabile cu identificatori artificiali) pentru jurnalele de analiză web, minimizând astfel riscul de identificare în cazul unei breșe.
• Privacy by Default: Operatorul se asigură că datele cu caracter personal sunt prelucrate cu cel mai ridicat nivel de protecție implicit. Aceasta înseamnă că sunt colectate doar datele necesare, perioada de stocare este limitată, iar accesibilitatea la profilul clientului este restricționată la setările cele mai favorabile confidențialității.

8.3. Măsuri tehnice (MT)

• Criptarea în Tranzit: Utilizarea protocoalelor Secure Sockets Layer/Transport Layer Security (SSL/TLS) pentru a cripta comunicațiile dintre utilizator și serverul sensibo.ro, protejând datele de plată și autentificare.
• Mentenanță și Protecție: Păstrarea software-ului, a sistemelor de operare și a aplicațiilor la zi, inclusiv utilizarea de soluții antivirus și anti-malware actualizate, pentru a preveni exploatarea vulnerabilităților comune.
• Controlul Accesului: Implementarea de parole puternice și schimbarea regulată a acestora.
• Sisteme de Backup: Realizarea de copii de siguranță regulate, securizate, pentru a asigura reziliența și disponibilitatea datelor în cazul unui incident.

8.4. Măsuri organizatorice (MO)

• Instruirea Personalului: Sesiuni periodice de conștientizare și formare profesională privind obligațiile GDPR pentru personalul care prelucrează date.
• Politici de Acces: Implementarea unor politici interne clare de control al accesului, prin care DCP sunt accesate doar de persoanele autorizate și doar în măsura necesară îndeplinirii sarcinilor specifice.
• Evaluarea Riscurilor (DPIA): Efectuarea de Evaluări de Impact asupra Protecției Datelor pentru operațiunile cu risc ridicat (ex: introducerea de noi tehnologii de profilare), asigurând o evaluare continuă a măsurilor de securitate.

9.1. Evaluarea necesității desemnării DPO (Art. 37 RGPD)

Desemnarea unui Responsabil cu Protecția Datelor (DPO) este obligatorie în situațiile prevăzute la articolul 37 din RGPD, incluzând cazurile în care activitățile principale ale operatorului constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare regulată și sistematică a persoanelor vizate pe scară largă.

Deși S.C. CORVIS EDGE S.R.L. este o entitate privată care nu prelucrează date sensibile ca activitate principală, activitățile specifice de e-commerce -- cum ar fi gestionarea unui număr mare de clienți, prelucrarea voluminoasă a datelor tranzacționale și comportamentale, utilizarea datelor pentru profilare (chiar dacă este limitată) și marketing direct -- pot fi interpretate ca îndeplinind criteriul de "monitorizare regulată și sistematică pe scară largă".

9.2. Poziția S.C. CORVIS EDGE S.R.L. privind DPO

Pentru a demonstra un nivel maxim de profesionalism și conformitate cu cerințele RGPD, S.C. CORVIS EDGE S.R.L. a desemnat / va desemna un Responsabil cu Protecția Datelor (DPO).

Date de Contact DPO:

• Nume/Denumire DPO: (Se completează Numele/Denumirea persoanei sau entității desemnate)
• Adresă Email DPO dedicată: (Se completează adresa de email)
• Adresă Poștală: (Adresa unde pot fi trimise solicitări fizice)

DPO-ul este un expert în legislația și practicile de protecție a datelor și acționează ca punct de contact între Operator, persoanele vizate și ANSPDCP.

S.C. CORVIS EDGE S.R.L. tratează cu maximă seriozitate incidentele de securitate care ar putea duce la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la DCP transmise, stocate sau prelucrate.

Obligația de notificare către ANSPDCP:

În cazul în care are loc o încălcare a securității DCP, Operatorul va notifica acest lucru Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) fără întârziere nejustificată și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este puțin probabil să genereze un risc pentru drepturile și libertățile persoanelor fizice.

Notificarea persoanelor vizate:

În cazul în care încălcarea DCP este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, Operatorul va comunica această încălcare persoanei vizate fără întârziere nejustificată.

11.1. Dreptul la plângere

Persoana vizată are dreptul de a depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) dacă consideră că prelucrarea DCP realizată de Operator încalcă prevederile RGPD.

S.C. CORVIS EDGE S.R.L. cooperează cu ANSPDCP, organismul de supraveghere responsabil cu aplicarea și monitorizarea RGPD pe teritoriul României. Procedura de primire și soluționare a plângerilor este stabilită prin Decizia nr. 133/2018 a ANSPDCP.

11.2. Informații de contact ANSPDCP

Pentru exercitarea dreptului de a depune o plângere, pot fi utilizate următoarele date de contact ale Autorității Naționale:

• Denumire: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
• Adresă: B-dul G-ral. Gheorghe Magheru nr. 28-30, Sector 1, cod poștal 010336, București, România
• Telefon: 0318.059.211
• Adresă Email: anspdcp@dataprotection.ro

Operatorul este conștient de faptul că ANSPDCP aplică regimul sancționator prevăzut de RGPD, inclusiv amenzi semnificative, pentru încălcările prevederilor regulamentului.

Prezenta Politică de Confidențialitate poate fi revizuită și actualizată periodic, în special în cazul modificărilor legislative sau al schimbărilor în structura și operațiunile website-ului sensibo.ro (ex: introducerea de noi servicii sau tehnologii de prelucrare).

Orice modificare majoră va fi publicată pe site-ul web și va intra în vigoare la data publicării sau la o dată specificată ulterior, asigurând informarea prealabilă a persoanelor vizate.