Pliantul PENNY, acum pe WhatsApp. Abonează-te gratuit, aici!
Pliantul PENNY, acum pe WhatsApp. Abonează-te gratuit, aici!
Pliantul PENNY, acum pe WhatsApp. Abonează-te gratuit, aici!
Economisim bani, nu dragoste.
Magazine

Politica de confidențialitate a magazinelor PENNY


Protecția și securitatea datelor sunt foarte importante pentru noi . Prin urmare, dorim să vă informăm cu privire la datele cu caracter personal, adică orice informații referitoare la o persoană fizică identificată sau identificabilă, care sunt prelucrate de noi atunci când vizitează magazinele noastre și în ce scopuri sunt utilizate aceste date.
Având în vedere că modificările legislative sau modificările aduse proceselor interne pot face necesară o adaptare a prezentei politici de confidențialitate, vă rugăm să citiți cu regularitate Politica de confidențialitate. De asemenea, o puteți prelua, salva și tipări oricând.


1. Operatorul de date și domeniul de aplicare 


Operatorul în sensul Regulamentului general privind protecția datelor al UE (denumit în continuare: GDPR) și al altor legi naționale privind protecția datelor din statele membre ale UE, precum și al altor reglementări privind protecția datelor este:

REWE ROMANIA S.R.L. (denumită “PENNY” sau “REWE”)
Adresă: Str. Bușteni nr. 7, Com. Ștefăneștii de Jos, Sat Ștefăneștii de Jos, jud. Ilfov
Tel.: 0800110111
E-mail: contact@penny.ro
Site web: www.penny.ro 


2. Responsabilul cu protecția datelor


Responsabilul extern cu protecția datelor al operatorului de date este:

Dr. Karsten Kinast, LL.M., avocat
KINAST Rechtsanwaltsgesellschaft mbH
Nordstrasse 17a
D-50733 Köln
Telefon : +49 (0)221 - 222 183 - 0
E-mail: protectiadatelor@penny.ro
Adresă internă de corespondență: Str. Bușteni nr.7, Com. Ștefăneștii de Jos, Sat Ștefăneștii de Jos, jud. Ilfov


3. Termeni și definiții


Date cu caracter personal reprezintă orice informație referitoare la o persoană fizică identificată sau identificabilă ("persoana vizată"); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un identificator precum un nume, un număr de identificare, date de localizare, un identificator online sau la unul sau mai multe elemente specifice identității fizice, fiziologice, genetice, psihice, economice, culturale sau sociale a persoanei fizice respective.

Prelucrarea înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, prin mijloace automatizate sau nu, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

Profilarea înseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau a prevedea aspecte privind performanța la locul de muncă, situația economică, sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, localizarea sau deplasările persoanei fizice respective.

Operator înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu alții, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; în cazul în care scopurile și mijloacele unei astfel de prelucrări sunt stabilite prin dreptul Uniunii sau al statelor membre, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute de dreptul Uniunii sau al statelor membre.

Destinatar înseamnă o persoană fizică sau juridică, o autoritate publică, o agenție sau un alt organism căruia îi sunt comunicate datele cu caracter personal, fie că este vorba de o parte terță sau nu. Cu toate acestea, autoritățile publice care pot primi date cu caracter personal în cadrul unei anumite anchete, în conformitate cu dreptul Uniunii sau al statelor membre, nu sunt considerate destinatari; prelucrarea datelor respective de către autoritățile publice respective se face în conformitate cu normele aplicabile privind protecția datelor, în funcție de scopul prelucrării.

Consimțământul persoanei vizate înseamnă orice manifestare liberă, specifică, informată și lipsită de ambiguitate a dorințelor persoanei vizate prin care aceasta, printr-o declarație sau printr-o acțiune afirmativă clară, își exprimă acordul pentru prelucrarea datelor cu caracter personal care o privesc.

Datele programului de fidelitate PENNY se referă la toate datele cu caracter personal asociate cu utilizarea unui card de fidelitate pentru clienți, care includ, de obicei, dar fără a se limita la seria de card, starea contului clientului, data și tipul înregistrării, numărul și tipul cardului, consimțămintele date și preferințele selectate în timpul înregistrării, modificările consimțămintelor și preferințelor, punctele (suplimentare) colectate, punctele folosite, beneficiile folosite și restul datelor de bază, de contact și de localizare.


4. Activități de prelucrare a datelor în magazinul nostru


4.1 CCTV


Domeniul de aplicare și scopul prelucrării
PENNY prelucrează date cu caracter personal, prin intermediul sistemului de supraveghere cu circuit închis (CCTV) instalat în magazinele și parcările noastre.
În acest context, vor fi prelucrate următoarele date: 

- date de imagine (imaginea dumneavoastră inclusiv aspect, comportament)
- plăcuțele de înmatriculare ale vehiculelor
- locul înregistrării imaginii (spațialitate, locație)
- momentul înregistrării imaginii (data, ora, începutul/finalul înregistrării imaginii)
- rolul persoanelor vizate (de exemplu, posibili infractori, victime, martori)

Scopul acestei prelucrări este de a asigura securitatea persoanelor și a bunurilor, precum și paza și protecția proprietății, imobilelor și valorilor împotriva infracțiunilor, efracțiilor și vandalismului. Înregistrările video pot fi utilizate ca dovezi în cazul unor incidente de securitate sau suspiciuni de activități ilegale, monitorizarea realizându-se în timp real.
Important: PENNY nu utilizează datele dumneavoastră într-un proces decizional automatizat și nu realizează crearea de profiluri pe baza acestora.

Înregistrările video pot fi vizualizate de personalul abilitat, furnizorii de servicii de securitate și, în caz de suspiciune de infracțiune sau altă încălcare a legii, predate autorităților de aplicare a legii competente.


Temei juridic


Temeiul juridic al operațiunilor de prelucrare a datelor cu caracter personal colectate prin intermediul mijloacelor de supraveghere video sunt (i) respectarea unei obligații legale a PENNY, precum și (ii) interesele noastre legitime care includ, de exemplu: interesul nostru de a utiliza datele dvs. personale in litigii, investigații, anchete ale autorităților, în relația cu asigurătorii sau în alte scopuri legale sau de reglementare care implica PENNY.


Perioada de stocare


În ceea ce privește datele cu caracter personal obținute prin mijloace de supraveghere video, acestea vor fi stocate pe o durată de 30 de zile calendaristice de la data efectuării înregistrării, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate pentru a stoca datele pentru o perioadă mai lungă.


4.2 Case de marcat de tip self-service


Domeniul de aplicare și scopul prelucrării
Pentru a eficientiza procesul de cumpărare, vă punem la dispoziție casele de marcat de tip self-service (Self Check Out). Acestea vă permit să scanați produsele și să finalizați plata în mod autonom.
În cadrul acestui proces, dacă alegeți să utilizați aceste terminale, sunt prelucrate următoarele categorii de date:
• Datele tranzacției: articolele scanate, cantitatea acestora, prețul per articol, valoarea totală a bonului fiscal, precum și data și ora la care a fost efectuată tranzacția.
• Date de plată: informațiile necesare pentru procesarea plății, în funcție de metoda aleasă (de exemplu, datele cardului bancar procesate de terminalul de plată).
• Date de loialitate (opțional): informațiile asociate cardului de client și/sau voucherelor de reducere, în cazul în care alegeți să le scanați pentru a beneficia de avantajele aferente.


Temei juridic


Temeiul juridic pentru prelucrarea datelor cu caracter personal este executarea contractului dvs. cu noi în baza art. 6 alin. 1 lit. b GDPR.

Perioada de stocare

După finalizarea procesului de plată, datele dvs. vor fi stocate în conformitate cu perioadele legale de păstrare și apoi șterse. Orice prelucrare ulterioară a datelor datorată reglementărilor legale rămâne neafectată (de exemplu, reglementările privind spălarea banilor).


4.3 Verificarea bagajelor  - interdictii 


Domeniul de aplicare și scopul prelucrării
Pentru a ne proteja bunurile împotriva furtului, ne rezervăm dreptul de a solicita serviciului nostru de securitate să verifice gențile și/sau recipientele utilizate pentru căratul produselor clienților noștri dacă există suspiciuni rezonabile că au fost sustrase produse în mod nelegal. Serviciul nostru de securitate se adresează persoanei suspecte, solicită permisiunea de a verifica geanta și efectuează verificarea împreună cu clientul într-o zonă discretă/ retrasă a magazinului, sub supravegherea camerelor de supraveghere. În cazul în care clientul nu își dă acordul pentru ca serviciul nostru de securitate să efectueze controlul genții și/sau recipientelor utilizate pentru căratul produselor, se va apela la poliție, iar controlul genților  și/sau recipientelor respective va fi efectuat de poliție. În acest context, ca regulă, REWE nu va prelucra date cu caracter personal fara a fi furnizate initial de către persoana vizată. 


Temei juridic


Temeiul juridic pentru prelucrare se bazează pe art. 6 alin. 1 lit. f GDPR (în scopul intereselor legitime urmărite de operator), deoarece verificările bagajelor sunt efectuate doar în caz de suspiciune rezonabilă pentru protejarea bunurilor noastre.  Intersul legitim al PENNY este acela de a asigura protejarea bunurilor/ valorilor acesteia și evitarea sustragerii diverselor produse care se comercializează în magazinele PENNY.


Perioada de stocare


Nu documentăm și nu stocăm niciun fel de date cu caracter personal referitoare la verificările bagajelor. 


4.4 Emiterea de bonuri fiscale/facturi la casierie


Domeniul de aplicare și scopul prelucrării
Atunci când cumpărați bunuri în magazinele noastre, prelucrăm date cu caracter personal referitoare la achiziția dvs. Prin urmare, suntem obligați să vă emitem un bon fiscal. În acest context, vor fi prelucrate următoarele date:

- Tipul bonului fiscal/facturii,
- Atunci când utilizați cardul de plată, prelucrăm alte date:
- IBAN, numărul cardului de credit, data expirării cardului
- Atunci când utilizați un card asociat programului de loialitate PENNY, fie fizic sau digital, putem prelucra date suplimentare asociate contului dumneavoastră, precum seria de card si datele furnizate cu ocazia înregistrării în programul de loialitate.


Temei juridic


Temeiul juridic pentru prelucrarea datelor cu caracter personal este executarea contractului dvs. cu noi în baza art. 6 alin. 1 lit. b GDPR. 


Perioada de stocare


Stocăm datele cu caracter personal în conformitate cu perioada legală de păstrare de zece ani,  calculaţi de la data de 1 iulie a anului următor celui încheierii exerciţiului financiar în care au fost întocmite documentele contabile în cauză.

4.5 Retururi la casierie 


Domeniul de aplicare și scopul prelucrării
Pentru a vă oferi posibilitatea de a returna sau schimba produsele achiziționate, conform politicii noastre comerciale și a legislației în vigoare, este necesar să prelucrăm anumite date cu caracter personal. Acest proces are loc la casa de marcat și este documentat printr-un formular de retur sau o dispoziție de plată.

Scopurile prelucrării acestor date sunt: validarea și documentarea returului, gestiunea financiar-contabila, managementul stocurilor și prevenirea fraudelor.
În acest context, vor fi prelucrate următoarele date, de regulă, prin efectuarea unui retur: Nume și prenume, semnătura, date de pe bonul fiscal original, detalii despre produsul returnat.


Temei juridic


Baza legală pentru prelucrarea datelor obligatorii este executarea contractului dumneavoastră cu noi în temeiul art. 6 alin. 1 lit. b GDPR. 


Perioada de stocare


Documentele completate în cadrul procesului de retur (formulare de retur, dispoziții de plată, bonuri/facturi de stornare și copiile bonurilor fiscale atașate) sunt documente financiar-contabile justificative, și ca atare, stocăm aceste date pentru o perioadă de 10 ani, cu începere de la data încheierii exercițiului financiar în cursul căruia au fost întocmite. După expirarea acestui termen, documentele vor fi distruse în condiții de siguranță.


4.6 Reclamații depuse în magazinele PENNY


Domeniul de aplicare și scopul prelucrării
Pentru a înregistra, analiza și soluționa o reclamație, puteți adresa sesizarea dumneavoastră unui manager de magazin sau oricărui alt angajat abilitat, care va prelua și înregistra detaliile necesare.

Scopul prelucrării datelor dumneavoastră este exclusiv legat de soluționarea reclamației. Acesta include:
• Identificarea dumneavoastră ca persoană care depune plângerea.
• Investigarea aspectelor sesizate (de ex., verificarea unui produs, a unui incident în magazin, a unei tranzacții).
• Comunicarea cu dumneavoastră pe parcursul procesului de soluționare și pentru a vă oferi un răspuns oficial.
• Implementarea soluției agreate (de ex., returnarea contravalorii unui produs, înlocuirea acestuia).
• Îndeplinirea obligațiilor legale în materie de protecția consumatorilor.

Prin urmare, vom prelucra următoarele categorii de date cu caracter personal, care ne sunt furnizate de dumneavoastră:
• Numele, prenumele pentru adresarea corectă, numărul de telefon/adresa de e-mail/corespondență pentru a vă contacta, numărul cardului de loialitate PENNY (daca este furnizat) in vederea identificarii tranzactiei reclamate sau a istoricului relevant, precum si orice alte detalii privind plangerea, fiind necesare pentru a identifica si soluționa sesizarea.


Temei juridic


Temeiul juridic pentru prelucrarea datelor obligatorii este bazat pe art. 6 alin. 1 lit. b GDPR – executarea unui contract (Atunci când achiziționați produse din magazinele noastre),  art. 6 alin. 1 lit. c GDPR – Îndeplinirea unei obligații legale (există posibilitatea de a înregistra și soluționa sesizări pentru care legislația prevede o obligație în acest sens), art. 6 alin. 1 lit. f GDPR – interesul legitim al PENNY și sau al unei terțe părți (soluționarea nemulțumirilor clienților, pentru a îmbunătăți calitatea serviciilor noastre, pentru a menține o bună reputație și pentru a ne apăra drepturile în cazul unor eventuale litigii ce ar putea decurge din reclamația respectivă).


Perioada de stocare


Stocăm datele dumneavoastră colectate prin formularul de reclamație pe o perioadă necesară pentru a finaliza analiza și soluționarea plângerii.
După închiderea cazului, datele vor fi păstrate pentru o perioadă de 3 ani, conform termenului general de prescripție prevăzut de Codul Civil. Această stocare suplimentară este necesară pentru a ne putea apăra împotriva oricăror posibile acțiuni în justiție sau pretenții legale ulterioare legate de speța reclamată.
În cazuri excepționale, dacă reclamația implică aspecte de natură financiar-contabilă (de ex., o rambursare), documentele justificative vor fi stocate conform termenelor legale impuse de legislația fiscală (de ex., 5 sau 10 ani). La expirarea perioadei de stocare aplicabile, datele dumneavoastră vor fi șterse sau anonimizate în mod securizat.


4.7 Verificarea vârstei prin actul de identitate


Domeniul de aplicare și scopul prelucrării
Atunci când cumpărați bunuri în magazinele noastre care pot fi achiziționate numai după ce ați împlinit vârsta legală (și anume: băuturi alcoolice, băuturi energizante şi/sau produsele de tutun sau produse conexe reglementate de dispoziţiile legale aplicabile privind stabilirea condiţiilor pentru fabricarea, prezentarea şi vânzarea produselor de tutun şi a produselor conexe), se poate întâmpla ca actul dvs. de identitate să fie verificat. Actul de identitate va fi verificat de angajatul nostru la casierie. Prin urmare, este necesar doar să prezentați actul de identitate pentru a fi verificată vârsta, fără a exista vreo documentare sau alte procese de prelucrare (cum ar fi: copiere, fotografiere etc.) a datelor cu caracter personal în afară de această consultare a actului de identitate. În acest context, vor fi prelucrate următoarele date:

- Actul de identitate (data nașterii)


Temei juridic


Temeiul juridic pentru prelucrare se bazează pe art. 6 alin. 1 lit. c GDPR, deoarece este o cerință legală.


Perioada de stocare


Nu documentăm sau stocăm datele dvs. cu caracter personal, actul de identitate fiind doar consultat.


4.8 Obiecte pierdute și găsite


Domeniul de aplicare și scopul prelucrării
Ca un gest de bunăvoință , oferim clienților noștri un proces care să adreseze situații de pierdere și găsire a diverselor obiecte (haine, ochelari, documente, carduri bancare si/sau nebancare, etc )
Dacă un obiect este găsit în magazin și proprietarul nu poate fi identificat direct, obiectul este depozitat maxim 24 de ore sau pana la prima zi lucratoare, in biroul magazinului si ulterior este predat in cel mai scurt timp organelor de politie.
Dacă proprietarul vine la magazin în perioada specificată, explică angajaților noștri că a pierdut un obiect și poate descrie obiectul cu precizie, returnăm obiectul respectiv.
Dacă acest lucru nu se întâmplă, vom preda articolul poliției pe baza de Proces-Verbal..
În magazinele unde avem paza, se intocmeste raport de eveniment atat la identificare, cat si la predare catre proprietar si/sau Politie.
În scopul acestui proces de suport în situașii situații de obiecte pierdute și găsite, putem prelucra următoarele date cu caracter personal:

- Data pierderii
- Numele, prenumele persoanei care revendica obiectul precum si date de contact/adresa acestuia
- alte informații și/sau detalii furnizate de persoana care revendică obiectul pierdut și găsit, utile la identificarea acestuia.


Temei juridic


Temeiul juridic pentru prelucrarea datelor este interesul nostru legitim bazat pe Art. 6 alin. 1 lit. f GDPR, constând în asigurarea identificării corecte a identificării obiectelor pierdute și găsite și a posesorului acestuia, în vederea returnării corespunzătoare. 


Perioada de stocare


Nu documentăm și nu stocăm niciun fel de date cu caracter personal în acest sens. 


4.9 WLAN (rețea WiFi)


Domeniul de aplicare și scopul prelucrării
În magazinele noastre vă oferim posibilitatea de a utiliza WLAN (rețea WiFi). Utilizarea acestui serviciu este complet voluntară. În acest context, vor fi prelucrate următoarele date:

- Adresă IP
- consimțămintele date și preferințele selectate în timpul înregistrării (dacă este cazul), modificările consimțămintelor și preferințelor (dacă este cazul).


Temei juridic


Temeiul juridic pentru prelucrare este consimțământul dvs. bazat pe art. 6 alin. 1 lit. a GDPR. Vă puteți retrage consimțământul în orice moment prin deconectarea de la WLAN (rețeaua WiFi). Retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia. 


Perioada de stocare


Subliniem că nu monitorizăm și nu stocăm date despre activitatea dvs. online (de exemplu, site-urile pe care le vizitați).
Datele tehnice de conectare (precum Adresa IP) sunt stocate doar pentru o perioadă scurtă de 7 zile, exclusiv din motive de securitate a rețelei și pentru a preveni abuzurile. Aceste date nu sunt folosite în niciun alt scop (de ex., marketing sau analiză) și sunt șterse automat după expirarea acestui termen.


4.10 Mijloace de plată


Domeniul de aplicare și scopul prelucrării
Atunci când plătiți cu cardul, colectăm date cu caracter personal în calitate de comerciant prin intermediul terminalului nostru de plată. Noi transmitem datele către operatorul de rețea. Operatorul de rețea și prestatorii de servicii de plată respectivi (de exemplu, achizitorii) prelucrează datele în scopul acceptării și decontării operațiunilor de plată. Acest lucru se face în special pentru procesarea plăților, pentru a preveni utilizarea abuzivă a cardurilor, pentru a limita riscul de neplată și în scopuri prevăzute de lege, cum ar fi combaterea spălării banilor și urmărirea penală. În aceste scopuri, datele dumneavoastră vor fi transmise și altor părți responsabile, cum ar fi banca emitentă a cardului dumneavoastră.

Atunci când efectuați o plată fără numerar pentru achiziția dvs. (de exemplu, utilizând un card bancar), datele dvs. de plată (IBAN sau numărul cardului de credit, data expirării cardului, numărul secvențial al cardului, tipul cardului de credit, codul PIN, datele de verificare de la instituția emitentă a cardului, data, ora, suma de plată, identificatorul terminalului, adică locația, compania și magazinul) sunt transmise furnizorilor de servicii de plată responsabili (operatori de rețea, achizitori și bănci) în scopul unic de a procesa plata. În cazul în care vă plătiți achiziția cu cu tichete valorice (de masă, cadou, de vacanță) sau carduri sociale emise de autoritățile statului român, datele aferente tranzacției vor fi schimbate cu emitentul tichetului/cardului (ex: Edenred, Sodexo/Pluxee, Up Romania sau autorități publice relevante), strict în conformitate cu termenii și condițiile de utilizare ale instrumentului respectiv, pentru a valida tranzacția.
Același lucru este valabil și în cazul în care contestați o tranzacție efectuată cu cardul dvs. care este plătită cu cardul de credit: în acest caz, chitanța de plată (cu semnătura dvs.) poate fi transmisă instituției emitente a cardului. Niciun nume sau adresă nu va fi transmisă.
Transmiterea datelor de plată este necesară pentru finalizarea procesului de plată și, prin urmare, a achiziției. Dacă nu doriți să furnizați datele dumneavoastră în acest scop, aveți opțiunea de a plăti în numerar.


Temei juridic


Temeiul juridic pentru prelucrarea datelor se bazează pe:
- Art. 6 alin. (1) lit. (b) GDPR: Executarea contractului de vânzare-cumpărare (procesarea efectivă a plății).
- Art. 6 alin. (1) lit. (c) GDPR: Îndeplinirea unei obligații legale (pentru arhivarea documentelor financiar-contabile și raportarea conform legilor fiscale și anti-spălare de bani).
-  Art. 6 alin. (1) lit. (f) GDPR: Interesul legitim (pentru prevenirea fraudei și securitatea plăților).


Perioada de stocare


După finalizarea procesului de plată, datele dvs. vor fi stocate în conformitate cu perioadele legale de păstrare și apoi șterse. Orice prelucrare ulterioară a datelor datorată reglementărilor legale rămâne neafectată (de exemplu, reglementările privind spălarea banilor).


4.11 Furnizorul


Domeniul de aplicare și scopul prelucrării
În scopul derulării relațiilor comerciale, a recepției mărfurilor și a gestionării logistice, prelucrăm datele cu caracter personal ale reprezentanților furnizorilor noștri (ex: șoferi, agenți de livrare, delegați). 

Prelucrăm aceste date în următoarele scopuri:
- Recepția mărfii și logistică: Coordonarea livrărilor la depozit/magazin și confirmarea primirii bunurilor.
- Securitate și control acces: Monitorizarea accesului vehiculelor în zona de aprovizionare, conform normelor de securitate a obiectivelor.
- Evidența financiar-contabilă: Prelucrarea documentelor justificative (facturi, avize de însoțire a mărfii).

În acest context, pot fi prelucrate următoarele date:
• Numele și prenumele delegatului/șoferului;
• Numărul de înmatriculare al autovehiculului;
• Semnătura (pe documentele de livrare/recepție);
• Date de contact (ex: număr de telefon), dacă sunt necesare pentru coordonarea la rampă;
• Datele angajatorului (compania pe care o reprezentați).


Temei juridic


Baza legală pentru prelucrarea datelor cu caracter personal este:
-  Art. 6 alin. (1) lit. (f) GDPR - Interesul Legitim: Avem un interes legitim de a facilita executarea contractului încheiat cu angajatorul dumneavoastră (furnizorul) și de a asigura securitatea incintei noastre.
- Art. 6 alin. (1) lit. (c) GDPR - Obligație Legală: Avem obligația legală de a întocmi și păstra documente financiar-contabile primare (conform Legii Contabilității nr. 82/1991) și, după caz, registre de acces auto/persoane (conform Legii nr. 333/2003 privind paza obiectivelor).


Perioada de stocare


- Documente fiscale: Facturile și avizele de însoțire a mărfii care conțin datele dumneavoastră (nume, semnătură) sunt păstrate timp de 10 ani, conform legislației fiscale din România.
- Registre de acces/securitate: Datele privind accesul auto (număr înmatriculare, ora intrării/ieșirii) sunt păstrate pentru o perioadă limitată (de regulă, până la 30 de zile), necesară pentru investigarea eventualelor incidente de securitate, după care sunt șterse.


4.12 Documentația candidaților


Domeniul de aplicare și scopul prelucrării
În scopul ocupării posturilor vacante, prelucrăm datele cu caracter personal ale candidaților. Procesul de recrutare este digitalizat, iar candidatura dumneavoastră poate fi transmisă exclusiv prin următoarele canale:
- Terminalele digitale de tip Kiosk amplasate în magazinele noastre;
- Secțiunea de cariere de pe site-ul nostru web;
- Platformele externe de recrutare partenere (ex: eJobs, BestJobs, LinkedIn etc.).

Datele introduse sunt transmise automat și securizat direct în gestiunea noastră pentru evaluare de către persoanele responsabile cu procesul de recrutare.

Prelucrăm datele introduse de dumneavoastră în formularele digitale sau în CV-ul încărcat, care pot include:
- Date de identificare și contact: Nume, prenume, număr de telefon, adresa de e-mail;
- Date profesionale: Experiență, educație, calificări;
- alte informații specifice de resurse umane ce pot rezulta din CV si pot include: funcția/ profesia; informații privind educația (inclusiv diplome, studii); naționalitate/ cetățenie; date de stare civila; religie; limba materna; alte limbi vorbite; locul muncii; tipul de contract; data angajării; vechimea; angajatorul curent; istoricul locurilor de muncă.

Notă: În cazul aplicării prin platforme terțe de recrutare, prelucrarea inițială a datelor se face conform politicilor de confidențialitate ale respectivelor platforme, până în momentul transferului datelor către noi.


Temei juridic


Temeiul juridic pentru prelucrarea datelor cu caracter personal este executarea contractului încheiat cu noi sau pentru a lua măsuri la cererea persoanei vizate înainte de încheierea unui contract în temeiul art. 6 alin. 1 lit. b GDPR. De asemenea, unele informații sunt necesare pentru îndeplinierea obligațiilor legale ale PENNY, în calitate de angajator, conform art. 6 alin. 1 lit. c GDPR, sau pentru realizarea interesele sale legitime (constând, generic, în identificarea și selecția adecvată a candidaților potriviți pentru pozițiile de angajare oferite), în baza art. 6 alin. 1 lit. f GDPR.


Perioada de stocare


Stocăm datele cu caracter personal ale solicitanților timp de 6 luni de la finalizarea procesului de aplicare și datele cu caracter personal ale angajaților noștri până la sfârșitul contractului de muncă. Stocarea suplimentară poate fi necesară în cazuri individuale, dacă este impusă de lege, sau in situația în care obținem consimțământul expres al dumneavoastră pentru o perioadă suplimentară.


5. Destinatarii datelor cu caracter personal


În cadrul PENNY, numai persoanele care au nevoie de datele dumneavoastră pentru a îndeplini sarcinile care le-au fost atribuite vor avea acces la datele dumneavoastră. În plus, vom dezvălui datele dvs. cu caracter personal către terți și alți destinatari numai dacă avem un temei legal în temeiul GDPR pentru a face acest lucru. De obicei, aceasta ar putea include situații în care suntem obligați prin lege să dezvăluim informațiile (de exemplu, autorităților de protecție a datelor), în care ne îndeplinim obligațiile contractuale (de exemplu, către o companie afiliată, dacă acest lucru este necesar ca parte a relației noastre de afaceri cu dvs.), în care este necesar să ne protejăm interesele legitime (de exemplu, către avocați externi din motive de conformitate) sau în care v-ați dat consimțământul explicit în acest sens (de exemplu, către furnizori terți de module cookie).

De asemenea, am angajat anumiți furnizori de servicii care prelucrează datele dvs. în numele nostru și care, prin urmare, sunt utilizați ca așa-numiți procesatori/ persoane împuternicite (de exemplu, furnizorul magazinului nostru și agențiile care ne sprijină în gestionarea conținutului de pe magazinul nostru). Acești procesatori/ persoane împuternicite sunt obligați prin contract să prelucreze datele dumneavoastră cu caracter personal exclusiv pe baza acordului nostru contractual și în conformitate cu instrucțiunile noastre specificate. În calitate de procesatori/ persoane împuternicite, furnizorii noștri de servicii sunt, de asemenea, destinatari ai datelor dumneavoastră cu caracter personal.
Acești furnizori de servicii prelucrează datele cu caracter personal exclusiv în numele PENNY și sunt obligați să respecte legislația aplicabilă privind protecția datelor. Toți procesatorii/ persoanele împuternicite au fost selectați cu atenție și au acces la datele dvs. cu caracter personal numai în măsura și pentru perioada necesare pentru furnizarea serviciului sau pentru care ați autorizat prelucrarea și utilizarea datelor dvs. cu caracter personal.

Categoriile de destinatari sunt următoarele:
- Furnizori de servicii IT (de exemplu, găzduire server, software etc.)
- Furnizori de servicii de resurse umane
- Furnizori de servicii pentru verificarea creditelor
- Furnizori de servicii de tipărire, livrare și logistică
- Furnizori de servicii de plată și bănci pentru procesarea plăților
- Furnizori de servicii de marketing (de exemplu, comunicare de marketing, analiză de date, sondaje, concursuri, social media etc.)
- Furnizori de servicii pentru îngrijirea și asistența clienților
- Agenții de colectare, cabinete de avocatură, consilieri fiscali și consultanți
- Autorități și instanțe

De asemenea, societatea poate dezvălui date cu caracter personal în cursul tranzacțiilor comerciale, de exemplu în cazul unei inspecții financiare sau juridice, în cazul unui transfer de părți ale societății către un cumpărător sau în cazul unei reorganizări a societății.


6. Transmiterea datelor în afara Spațiului Economic European


Nu vom transfera datele dvs. cu caracter personal către țări terțe din afara Spațiului Economic European (SEE) decât dacă a fost furnizat un temei juridic. Putem transfera datele dumneavoastră cu caracter personal în afara SEE dacă s-a obținut consimțământul dumneavoastră explicit sau dacă este necesar și se asigură un nivel adecvat de protecție în conformitate cu GDPR. Acest lucru se poate face, de exemplu, pe baza unei decizii de adecvare a Comisiei UE în conformitate cu art. 45 GDPR sau dacă sunt încheiate clauze contractuale standard ale Uniunii Europene în conformitate cu art. 46 GDPR. Vom depune toate eforturile pentru a ne asigura că transferurile de date în acest mod sunt conforme cu GDPR și vom lua măsuri adecvate pentru a asigura securitatea datelor dvs. personale. Pentru mai multe informații despre astfel de măsuri, vă rugăm să ne contactați direct la adresa de e-mail de mai sus.


7. Timpul de stocare


Vom stoca datele dvs. cu caracter personal doar atât timp cât este necesar pentru scopurile pentru care am colectat datele dvs. cu caracter personal, astfel cum am menționat în această Politică de confidențialitate.
Suplimentar, menționăm că, din motive fiscale, stocăm contractele și alte documente și corespondența aferentă relației noastre contractuale pentru o perioadă de 5 ani, în principiu, sau de 5 ani dacă acestea sunt documente fiscale în sensul Legii privind taxa pe valoarea adăugată, sau pentru o perioadă diferită dacă o altă reglementare legală prevede o astfel de perioadă de stocare diferită. În cazuri individuale, de exemplu în cazul unor proceduri administrative, judiciare sau de altă natură în curs, această perioadă de stocare poate fi mai lungă decât perioada specificată în propoziția anterioară.


8. Drepturile dumneavoastră în calitate de persoană vizată


Aveți următoarele drepturi în temeiul GDPR în calitate de persoană vizată de o prelucrare a datelor cu caracter personal. Puteți exercita aceste drepturi utilizând centrul nostru de Penny Self Service center la adresa https://protectiadatelor.penny.ro/ sau prin e-mail la adresa: protectiadatelor@penny.ro.


8.1 Dreptul de acces al persoanei vizate


În conformitate cu art. 15 din GDPR, aveți dreptul de a solicita confirmarea faptului că datele cu caracter personal care vă privesc sunt prelucrate sau nu. Puteți solicita informații cu privire la următoarele (inclusiv, dar fără a se limita la):
- Scopul prelucrării
- Categoria de date cu caracter personal în cauză
- Destinatarii sau categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal (în special în cazul destinatarilor din țări terțe sau organizații internaționale)
- Perioada planificată de stocare a datelor cu caracter personal sau, dacă acest lucru nu este posibil, criteriile de determinare a acestei perioade
- Existența dreptului de a rectifica sau șterge datele cu caracter personal care vă privesc, de a restricționa prelucrarea acestora, de a vă opune unei astfel de prelucrări, dreptul de a depune o plângere la autoritatea de supraveghere, orice informații privind originea datelor cu caracter personal dacă acestea nu au fost colectate de la dumneavoastră, în calitate de persoană vizată, existența unui proces decizional automatizat (inclusiv crearea de profiluri) și informații privind metoda de prelucrare utilizată.


8.2 Dreptul de rectificare


În conformitate cu art. 16 GDPR, puteți solicita corectarea datelor cu caracter personal incorecte sau completarea datelor cu caracter personal incomplete fără întârziere, de asemenea prin intermediul unei declarații suplimentare.


8.3 Dreptul la ștergere


În conformitate cu Art. 17 GDPR, puteți solicita ștergerea datelor cu caracter personal pe care ni le-ați furnizat, cu condiția ca prelucrarea să nu fie necesară pentru scopurile specificate la art. 17 alin. 3 GDPR sau pentru un alt scop legal. De obicei, datele cu caracter personal sunt șterse imediat, cel târziu în termen de o lună de la data la care persoana în cauză și-a exercitat acest drept. În cazul în care ștergerea este contrară obligațiilor legale, contractuale, fiscale sau comerciale de a păstra datele cu caracter personal sau altor motive legal stabilite, datele dvs. cu caracter personal pot fi restricționate în loc să fie șterse. De asemenea, puteți solicita ștergerea sau restricționarea datelor dvs. cu caracter personal contactându-ne la adresa protectiadatelor@penny.ro. 


8.4 Dreptul la restricționarea prelucrării


Puteți solicita restricționarea prelucrării datelor dvs. cu caracter personal în conformitate cu art. 18 din GDPR dacă contestați exactitatea datelor, prelucrarea datelor este ilegală sau operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată are nevoie de acestea pentru revendicarea, exercitarea sau apărarea unor drepturi în justiție. Dvs. aveți, de asemenea, o pretenție în temeiul art. 18 GDPR dacă v-ați opus prelucrării în calitate de persoană vizată în conformitate cu art. 21 alin. 1 GDPR.


8.5 Dreptul la portabilitatea datelor


În conformitate cu Art. 20 GDPR, aveți dreptul de a primi datele cu caracter personal care vă privesc și pe care ni le-ați furnizat într-un format structurat, comun și lizibil automat sau de a le transfera către un alt operator. 


8.6 Dreptul de a vă retrage consimțământul


În conformitate cu Art. 7 (3) GDPR, vă puteți retrage consimțământul pentru prelucrarea datelor cu caracter personal în orice moment. Aceasta înseamnă că în viitor nu va mai fi permisă prelucrarea datelor cu caracter personal pe baza acestui consimțământ. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia.


8.7 Dreptul de a depune o plângere


Aveți dreptul de a depune o plângere la o autoritate de supraveghere în conformitate cu art. 77 GDPR. Vă puteți adresa autorității de supraveghere de la reședința dumneavoastră obișnuită, de la locul dumneavoastră de muncă sau autorității de supraveghere de la locul în care a avut loc presupusa încălcare.

Autoritatea din România poate fi contactată la următoarele coordonate:
Autoritatea Națională pentru Supravegherea Prelucrării Datelor cu Caracter Personal
B-dul G-ral. Gheorghe Magheru 28-30 Sector 1, cod postal 010336 Bucuresti, Romania
anspdcp@dataprotection.ro


9. Dreptul la opoziție


În conformitate cu Art. 21 GDPR, dumneavoastră, în calitate de persoană vizată, aveți dreptul de a vă opune în orice moment, din motive legate de situația dumneavoastră particulară, prelucrării datelor cu caracter personal care vă privesc și care este efectuată în temeiul art. 6 alin. 1 lit. e sau f. Operatorul nu va mai prelucra datele cu caracter personal, cu excepția cazului în care poate demonstra motive legitime imperioase pentru prelucrare, care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate, sau pentru constatarea, exercitarea sau apărarea unui drept în justiție.
Un drept general de opoziție există în special în cazul publicității directe, care este pusă în aplicare direct, fără a se specifica o situație particulară.


10. Securitatea datelor și măsurile de securitate


Considerăm că tratarea confidențială a datelor dvs. cu caracter personal și protecția vieții dvs. private sunt datoria noastră. Prin urmare, luăm măsuri tehnice și organizaționale adecvate, măsuri de securitate în conformitate cu cerințele GDPR, pentru a evita distrugerea, manipularea, divulgarea neautorizată sau utilizarea abuzivă a datelor stocate de noi.
În ciuda eforturilor noastre de a vă proteja datele, dorim să subliniem faptul că, din cauza structurii internetului, securitatea absolută nu poate fi garantată. În special, nu avem nicio influență asupra prelucrării datelor în afara zonei noastre de responsabilitate.