Politica de confidențialitate
POLITICA DE CONFIDENȚIALITATE a site-ului www.splendorshop.ro
Ultima actualizare: 15 mai 2026
1. Preambul. Identificarea operatorului și obiectul prezentei Politici
Site-ul www.splendorshop.ro — denumit, în continuare, „Site-ul" sau „Splendorshop" — este deținut, administrat și operat de către SC CRICLEVIT SRL, persoană juridică română, cu sediul social în Oradea, Strada Leonardo da Vinci nr. 5, bl. PB 15, et. 2, ap. 11, județul Bihor, cod poștal 410540, înmatriculată la Oficiul Registrului Comerțului de pe lângă Tribunalul Bihor sub nr. J05/691/2017, având cod unic de înregistrare 37329577, e‑mail de contact: contact@splendorshop.ro, telefon: +40 755 680 451 (denumită, în continuare, „Operatorul", „Splendorshop" sau „noi", „al nostru" și formele gramaticale derivate).
În scopul prezentei Politici, Operatorul acționează în calitate de operator de date cu caracter personal, în sensul art. 4 pct. 7 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE — denumit, în continuare, „GDPR" sau „Regulamentul general privind protecția datelor".
Prin persoană vizată — denumită, în prezenta Politică, „dumneavoastră", „Utilizator" sau, după caz, „Client" — se înțelege orice persoană fizică ale cărei date cu caracter personal sunt prelucrate de către Operator prin intermediul Site-ului, indiferent dacă această persoană doar vizitează Site-ul, își creează un cont, plasează o comandă, transmite o cerere de informații, se abonează la newsletter, publică o recenzie ori interacționează în orice altă modalitate cu serviciile puse la dispoziție de către Splendorshop.
Prezenta Politică de confidențialitate — denumită, în continuare, „Politica" — descrie, într-o manieră transparentă, clară și ușor accesibilă, modul în care Operatorul colectează, prelucrează, stochează, transmite și protejează datele cu caracter personal ale persoanelor vizate, indicând totodată drepturile recunoscute acestora din urmă prin legislația aplicabilă și mijloacele concrete prin care aceste drepturi pot fi exercitate. Politica nu are caracter exhaustiv în raport cu orice prelucrare punctuală a datelor și se completează, în mod firesc, cu informări specifice furnizate la momentul colectării (de exemplu, în cuprinsul formularului de comandă, al formularului de creare a contului ori al formularului de abonare la newsletter), precum și cu Politica de Cookie-uri și cu Termenii și Condițiile, documente care, citite împreună, alcătuiesc cadrul juridic complet al raporturilor dintre Operator și Utilizator.
2. Cadrul normativ aplicabil
Prelucrările de date cu caracter personal efectuate prin intermediul Site-ului sunt guvernate, cu titlu principal, de următoarele acte normative europene și interne:
- Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 (GDPR);
- Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679, cu modificările ulterioare;
- Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, cu modificările și completările ulterioare — incidentă în special asupra modulelor cookie și a tehnologiilor de stocare a informațiilor în echipamentul terminal al Utilizatorului;
- Legea nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal;
- Legea nr. 365/2002 privind comerțul electronic, republicată;
- Ordonanța de urgență a Guvernului nr. 34/2014 privind drepturile consumatorilor în cadrul contractelor încheiate cu profesioniștii;
- Legea contabilității nr. 82/1991, republicată, și Legea nr. 207/2015 privind Codul de procedură fiscală — pentru obligațiile de păstrare a documentelor justificative și de evidență fiscală;
- Codul civil și Codul de procedură civilă — în privința chestiunilor neacoperite în mod expres de legislația specială.
În măsura în care, ulterior datei de mai sus, intervin modificări legislative, reglementări secundare emise de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal — denumită, în continuare, „ANSPDCP" — ori orientări (guidelines) adoptate la nivelul Comitetului European pentru Protecția Datelor (EDPB), prezenta Politică se interpretează în lumina acestora, fără ca prin aceasta să fie necesară o renotificare individuală a Utilizatorului.
3. Definiții și termeni-cheie
Pentru o lecturare facilă a Politicii, termenii utilizați cu literă majusculă au înțelesul ce le este atribuit în cele ce urmează ori, după caz, înțelesul reglementat de art. 4 din GDPR:
- Date cu caracter personal — orice informație privind o persoană fizică identificată sau identificabilă, fie direct (nume, prenume, CNP, fotografie), fie indirect (adresă IP, identificator de cont, identificator de echipament terminal);
- Prelucrare — orice operațiune efectuată asupra datelor cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi: colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea, modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea, alinierea, combinarea, restricționarea, ștergerea sau distrugerea;
- Operator — entitatea care stabilește scopurile și mijloacele prelucrării; în prezenta Politică, SC CRICLEVIT SRL;
- Persoană împuternicită de operator — persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele Operatorului (de pildă, platforma Shopify, procesatorul de plăți, curierul, furnizorul de servicii de e-mail marketing);
- Destinatar — persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia/căruia îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu parte terță;
- Consimțământ — manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate, prin care aceasta acceptă, printr-o declarație ori printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;
- Încălcare a securității datelor — orice incident care conduce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal;
- SEE — Spațiul Economic European, alcătuit din statele membre ale Uniunii Europene la care se adaugă Norvegia, Islanda și Liechtenstein.
4. Categoriile de date cu caracter personal pe care le prelucrăm
În funcție de modul concret în care interacționați cu Site-ul, Operatorul prelucrează una sau mai multe dintre categoriile de date enumerate în cele ce urmează — enumerare care, deși ambițios construită spre a fi cât mai cuprinzătoare, are caracter ilustrativ, iar nu limitativ:
a) Date de identificare și de contact: numele și prenumele, denumirea persoanei juridice (acolo unde Clientul este un profesionist), adresa de e-mail, numărul de telefon, adresa de livrare, adresa de facturare, ocazional codul numeric personal — solicitat doar atunci când factura se emite către o persoană fizică ce solicită expres includerea sa, sau atunci când o reglementare fiscală impune acest lucru.
b) Date de cont: numele de utilizator, parola — stocată exclusiv în formă criptată, niciodată în clar —, întrebările și răspunsurile de securitate, istoricul autentificărilor, preferințele de comunicare, lista de favorite și coșul salvat.
c) Date privind comenzile și tranzacțiile: produsele comandate, prețul, modalitatea de plată aleasă, statusul comenzii, adresa de livrare, istoricul comenzilor, retururile, schimburile, reclamațiile, recenziile postate, punctele de fidelitate, cupoanele utilizate.
d) Date de plată: datele cardului bancar (numărul cardului, data expirării, codul de securitate CVV) nu sunt stocate niciodată de către Operator pe serverele proprii; aceste informații sunt colectate, prelucrate și stocate exclusiv de către procesatorul de plăți, în calitate de operator independent, conform standardului PCI-DSS. Operatorul primește, în schimb, doar o confirmare de plată reușită ori eșuată, însoțită de un identificator de tranzacție.
e) Date de utilizare și date tehnice: adresa IP, tipul și versiunea browserului, sistemul de operare, identificatorul de dispozitiv, paginile vizitate, durata vizitelor, sursa traficului (URL-ul de referință), comportamentul de navigare, locația aproximativă determinată pe baza adresei IP, marca temporală a accesului. Aceste date sunt colectate, în principal, prin intermediul modulelor cookie și al tehnologiilor similare, conform regimului detaliat în Politica de Cookie-uri.
f) Date de comunicare: conținutul mesajelor pe care ni le transmiteți prin formularul de contact, prin e-mail, prin chat live, prin rețelele de socializare ori prin telefon — în acest din urmă caz, fără înregistrarea convorbirii, cu excepția situațiilor în care înregistrarea ar fi anunțată expres și ar exista consimțământul dumneavoastră prealabil.
g) Date privind preferințele de marketing: consimțământul exprimat pentru newsletter, segmentele de produse care vă interesează, istoricul deschiderii e-mailurilor, click-urile efectuate în campaniile noastre — date prelucrate exclusiv în limitele consimțământului acordat și până la retragerea acestuia.
h) Date provenite de la terți: atunci când vă creați un cont prin autentificare federalizată (de exemplu, prin Google sau Facebook), primim, în limitele consimțământului acordat platformei respective, anumite informații de profil — în general, numele, adresa de e-mail și fotografia de profil; atunci când postați o recenzie prin intermediul unei platforme integrate de tipul Trusted Shops, primim conținutul recenziei și identificatorul dumneavoastră pe platforma respectivă.
Operatorul nu prelucrează, în mod intenționat, categorii speciale de date cu caracter personal în sensul art. 9 GDPR — adică date privind originea rasială sau etnică, opiniile politice, convingerile religioase ori filozofice, apartenența sindicală, datele genetice, datele biometrice, datele privind sănătatea, viața sexuală sau orientarea sexuală. În măsura în care, prin natura comunicării spontane, ne-ați transmite asemenea informații (de exemplu, în cuprinsul unei reclamații motivate de o reacție alergică la un produs), prelucrarea se va limita strict la soluționarea sesizării respective și se va încheia odată cu aceasta.
5. Sursele din care obținem datele
Datele cu caracter personal ajung în posesia Operatorului prin trei canale distincte: direct de la dumneavoastră, atunci când completați un formular, plasați o comandă, vă creați un cont, ne contactați ori interacționați altfel cu Site-ul; în mod automat, prin tehnologii de tip cookie și prin instrumente de analiză web, conform regulilor detaliate în Politica de Cookie-uri; de la terți, în special de la procesatorii de plăți (privind statusul tranzacției), de la furnizorii de servicii de livrare (privind starea coletului), de la platformele de autentificare federalizată, de la furnizorii de servicii de marketing, precum și de la autorități publice, atunci când acestea ne solicită, în limitele competențelor lor legale, informații pentru îndeplinirea atribuțiilor lor.
6. Scopurile prelucrării și temeiurile juridice
Niciun model coerent de protecție a datelor nu se poate construi în absența unei corelări exprese între ce prelucrăm, de ce prelucrăm și pe ce temei juridic prelucrăm — iar tocmai pentru a vă oferi această imagine de ansamblu, prezentăm mai jos, într-o structură unitară, toate scopurile prelucrării avute în vedere de către Operator, însoțite de temeiul juridic corespunzător din GDPR.
6.1. Executarea contractului de vânzare-cumpărare — încheiat la distanță prin intermediul Site-ului — și a oricăror servicii accesorii (livrare, retur, schimb, garanție, asistență postvânzare):
- temeiul juridic: art. 6 alin. (1) lit. b) GDPR — executarea unui contract la care persoana vizată este parte ori demersuri precontractuale efectuate la cererea acesteia;
- durata prelucrării: pe toată perioada de executare a contractului și pe perioada termenelor de garanție și de prescripție extinctivă aplicabile (3 ani de la data ultimei interacțiuni, prelungită corespunzător în caz de litigiu);
- natura furnizării datelor: obligatorie pentru încheierea și executarea contractului; refuzul furnizării unor date precum numele, adresa de livrare ori adresa de e-mail face imposibilă finalizarea comenzii.
6.2. Îndeplinirea obligațiilor legale ce incumbă Operatorului în calitate de comerciant, în special obligațiile contabile, fiscale, de raportare și de păstrare a documentelor justificative, precum și obligațiile de informare a consumatorilor:
- temeiul juridic: art. 6 alin. (1) lit. c) GDPR;
- durata prelucrării: termenele imperative impuse de lege — cinci ani pentru documentele contabile, potrivit art. 25 din Legea nr. 82/1991, astfel cum a fost modificată prin Legea nr. 36/2023; cinci ani pentru obligațiile fiscale, potrivit Codului de procedură fiscală; termene mai lungi acolo unde legea o impune expres.
6.3. Crearea, administrarea și securizarea contului de utilizator — inclusiv pentru autentificare, recuperarea parolei, gestiunea preferințelor și menținerea istoricului tranzacțional:
- temeiul juridic: art. 6 alin. (1) lit. b) GDPR (executarea contractului de cont) și, complementar, art. 6 alin. (1) lit. f) GDPR (interesul legitim al Operatorului de a asigura buna funcționare a serviciilor și securitatea utilizatorilor).
6.4. Comunicări de marketing direct prin e-mail, SMS ori notificări push — newsletter, oferte promoționale, lansări de produse, campanii personalizate:
- temeiul juridic: art. 6 alin. (1) lit. a) GDPR — consimțământul prealabil, expres și liber acordat al persoanei vizate, conform art. 12 din Legea nr. 506/2004 și art. 5 lit. f) din OUG nr. 34/2014; ca excepție recunoscută de art. 12 alin. (2) din Legea nr. 506/2004, Operatorul poate transmite oferte privind produse sau servicii similare celor deja achiziționate de către Client, cu condiția ca acestuia să i se ofere, în mod gratuit, ușor și la fiecare comunicare, posibilitatea de a se opune;
- durata prelucrării: până la retragerea consimțământului ori până la opoziție, retragere care poate fi realizată oricând, prin accesarea linkului de dezabonare inserat în fiecare comunicare ori prin transmiterea unei solicitări la contact@splendorshop.ro.
6.5. Marketing comportamental, profilare în scopuri publicitare și retargeting — prin intermediul cookie-urilor de marketing și al pixelilor de monitorizare (Meta Pixel, Google Ads, TikTok Pixel etc.):
- temeiul juridic: art. 6 alin. (1) lit. a) GDPR și art. 4 alin. (5) din Legea nr. 506/2004 — consimțământul prealabil al Utilizatorului, exprimat prin intermediul bannerului de cookie-uri la momentul primei vizite și revocabil oricând prin modificarea preferințelor.
6.6. Analiză și îmbunătățire a Site-ului — măsurarea traficului, identificarea problemelor tehnice, optimizarea conținutului, testarea funcționalităților noi:
- temeiul juridic: art. 6 alin. (1) lit. f) GDPR — interesul legitim al Operatorului de a-și optimiza serviciile pe baza unor date cu caracter agregat, în condițiile efectuării prealabile a unei evaluări de proporționalitate (test de echilibrare) care a concluzionat că această prelucrare nu aduce atingere drepturilor și libertăților fundamentale ale persoanelor vizate, întrucât datele sunt, în cea mai mare parte, pseudonimizate ori agregate, iar Utilizatorului i se oferă dreptul de a se opune oricând prin mecanismele descrise în secțiunea 11.
6.7. Soluționarea cererilor, reclamațiilor și sesizărilor transmise prin formularul de contact, prin e-mail, prin chat ori prin telefon — inclusiv reclamațiile întemeiate pe OUG nr. 34/2014, sesizările privind defectele produselor, întrebările privind status-ul comenzilor:
- temeiul juridic: art. 6 alin. (1) lit. b) GDPR pentru reclamațiile care derivă din contract și, complementar, art. 6 alin. (1) lit. f) GDPR — interesul legitim al Operatorului de a oferi un serviciu de relații cu clienții eficient și transparent.
6.8. Prevenirea fraudei și asigurarea securității Site-ului — inclusiv detectarea comenzilor suspecte, identificarea tentativelor de acces neautorizat la conturi, blocarea atacurilor cibernetice, păstrarea jurnalelor de acces:
- temeiul juridic: art. 6 alin. (1) lit. f) GDPR — interesul legitim al Operatorului și al celorlalți utilizatori de a beneficia de un mediu online securizat, și, după caz, art. 6 alin. (1) lit. c) GDPR atunci când prelucrarea este impusă de obligații legale specifice (de pildă, prevenirea spălării banilor în cazul tranzacțiilor de valoare mare).
6.9. Constatarea, exercitarea și apărarea unui drept în justiție — inclusiv în cadrul procedurilor administrative desfășurate în fața ANPC, ANSPDCP sau a oricăror altor autorități, precum și al procedurilor judiciare și extrajudiciare:
- temeiul juridic: art. 6 alin. (1) lit. f) GDPR — interesul legitim al Operatorului de a-și apăra drepturile, prelucrare care, prin natura ei, prevalează asupra dreptului la ștergere reglementat de art. 17 GDPR, în limitele art. 17 alin. (3) lit. e) din același Regulament.
6.10. Gestiunea recenziilor și a conținutului generat de Utilizatori — moderarea conținutului, afișarea publică a recenziilor (cu numele afișat astfel cum a fost ales de Utilizator, fără adresa de e-mail), gestionarea răspunsurilor la recenzii:
- temeiul juridic: art. 6 alin. (1) lit. a) GDPR pentru publicarea recenziei și art. 6 alin. (1) lit. f) GDPR pentru moderare și răspuns.
7. Destinatarii și categoriile de destinatari ai datelor
Operatorul nu vinde, nu închiriază și nu comercializează datele cu caracter personal ale Utilizatorilor către terți, această practică fiind, de altfel, atât străină filozofiei comerciale a Splendorshop, cât și incompatibilă cu cadrul juridic european aplicabil. Datele pe care le prelucrăm sunt totuși, în mod necesar, transmise unor categorii determinate de destinatari, fără a căror intervenție Operatorul nu ar putea executa contractul ori îndeplini obligațiile legale care îi incumbă. Aceste categorii sunt:
- Furnizorii de servicii tehnologice esențiale — în primul rând Shopify Inc. și Shopify International Limited, în calitate de furnizor al platformei pe care rulează Site-ul; furnizorii de servicii de găzduire, de stocare în cloud, de backup și de monitorizare a infrastructurii;
- Procesatorii de plăți — instituții de plată autorizate, supravegheate de autoritățile naționale și europene competente, care primesc datele de plată direct de la Utilizator, prin canale criptate, fără ca Operatorul să aibă acces la datele cardului;
- Furnizorii de servicii de curierat și logistică — care primesc datele strict necesare livrării (nume, adresă, telefon, e-mail, conținutul coletului în măsura în care natura acestuia influențează regimul de transport);
- Furnizorii de servicii de e-mail marketing și de comunicare automatizată — care primesc adresa de e-mail și, după caz, datele de profilare consimțite, exclusiv în scopul executării campaniilor;
- Furnizorii de servicii de analiză web și de publicitate online — în condițiile detaliate în Politica de Cookie-uri și exclusiv pe baza consimțământului dumneavoastră prealabil;
- Furnizorii de servicii contabile, fiscale, juridice și de audit — care primesc datele strict necesare pentru îndeplinirea misiunii care le-a fost încredințată;
- Autoritățile publice — instanțele judecătorești, organele de cercetare penală, organele fiscale, ANPC, ANSPDCP, ANAF și alte autorități competente, în limitele și condițiile prevăzute de lege, fie ca urmare a unei solicitări exprese a acestora, fie din proprie inițiativă, atunci când legea ne obligă să raportăm anumite operațiuni sau evenimente;
- Eventualii dobânditori ai activității comerciale — în ipoteza unei tranzacții comerciale (fuziune, divizare, achiziție de active, cesiune de fond de comerț), datele cu caracter personal ale Utilizatorilor pot fi transferate, în mod transparent și cu respectarea garanțiilor cuvenite, către entitatea succesoare, care va deveni, începând cu data preluării, noul operator de date și care va fi ținută, prin efectul legii, de aceleași obligații față de persoanele vizate.
Toți destinatarii care prelucrează date în numele Operatorului — în calitate de persoane împuternicite — sunt selectați pe baza unor criterii riguroase privind capacitatea lor tehnică și organizatorică de a asigura un nivel adecvat de protecție și sunt obligați, prin acorduri ferme de prelucrare a datelor (data processing agreements) încheiate în temeiul art. 28 GDPR, să respecte instrucțiunile Operatorului, să asigure confidențialitatea, să nu transfere datele decât în condițiile autorizate și să returneze sau să șteargă datele la încetarea raporturilor contractuale.
8. Transferul datelor în afara Spațiului Economic European
Date fiind atât natura globală a furnizorilor cu care Operatorul colaborează — în special Shopify, Google, Meta —, cât și particularitățile actuale ale ecosistemului digital, anumite operațiuni de prelucrare presupun, inevitabil, transferul datelor cu caracter personal în afara Spațiului Economic European, în special către Statele Unite ale Americii și, ocazional, către alte jurisdicții terțe.
Asemenea transferuri se realizează, însă, exclusiv în condițiile riguroase impuse de Capitolul V al GDPR (art. 44 – 50), prin recurgere la unul sau, după caz, la mai multe dintre următoarele mecanisme:
- Decizii de adecvare adoptate de Comisia Europeană — în special Decizia de punere în aplicare (UE) 2023/1795 din 10 iulie 2023 privind nivelul adecvat de protecție a datelor cu caracter personal asigurat în temeiul Cadrului UE-SUA pentru confidențialitatea datelor (EU-U.S. Data Privacy Framework), în temeiul căreia transferurile către operatori americani certificați în acest cadru se realizează fără măsuri suplimentare;
- Clauze contractuale standard adoptate prin Decizia de punere în aplicare (UE) 2021/914 a Comisiei din 4 iunie 2021 — în cazul transferurilor către destinatari care nu beneficiază de o decizie de adecvare ori care nu sunt certificați în cadrul Data Privacy Framework;
- Reguli corporatiste obligatorii (binding corporate rules), pentru grupurile multinaționale care le-au adoptat și care le-au notificat autorității de supraveghere competente;
- Măsuri suplimentare tehnice și organizatorice — criptare end-to-end, pseudonimizare, controale stricte de acces — atunci când evaluarea de impact privind transferul a relevat că instrumentele juridice standard nu oferă, prin ele însele, un nivel de protecție esențial echivalent celui garantat în Uniune.
Dacă doriți să obțineți o copie a clauzelor contractuale standard utilizate pentru un anumit transfer ori detalii suplimentare privind măsurile suplimentare implementate, ne puteți contacta la adresa de e-mail indicată la secțiunea 14.
9. Durata de păstrare a datelor
Întrebarea esențială — cât timp ne păstrați datele? — primește, în arhitectura juridică a GDPR-ului, un răspuns care nu poate fi unic și definitiv, ci unul gradual, modulat în funcție de scopul concret al prelucrării și de obligațiile legale conexe. Principiul director este, conform art. 5 alin. (1) lit. e) din Regulament, acela al limitării la strictul necesar, ceea ce înseamnă că datele sunt păstrate doar atât timp cât rămân utile scopului pentru care au fost colectate, fiind ulterior fie șterse, fie anonimizate ireversibil. Aplicând acest principiu, Operatorul stabilește următoarele perioade orientative de retenție:
- Date privind comenzile și facturile, inclusiv documentele contabile justificative — 5 ani de la data întocmirii, potrivit art. 25 din Legea nr. 82/1991, astfel cum a fost modificată prin Legea nr. 36/2023; termenul curge de la sfârșitul exercițiului financiar în care a fost întocmit documentul;
- Date privind obligațiile fiscale — termenul de prescripție a dreptului organului fiscal de a stabili obligații fiscale, conform Codului de procedură fiscală, respectiv 5 ani, prelungit în situațiile prevăzute de lege;
- Date privind contul de Utilizator — pe durata existenței contului; în cazul conturilor inactive pe o perioadă mai mare de 36 de luni, Operatorul își rezervă dreptul de a notifica Utilizatorul și de a închide contul în lipsa unui răspuns;
- Date prelucrate pentru marketing direct pe baza consimțământului — până la retragerea consimțământului ori, în absența unei interacțiuni a destinatarului cu comunicările transmise, până la împlinirea unei perioade de 24 de luni de la ultima interacțiune;
- Date privind reclamațiile, recenziile și corespondența — pe perioada termenului general de prescripție extinctivă (3 ani) calculat de la data ultimei comunicări, prelungit corespunzător dacă s-a născut un litigiu;
- Date privind navigarea pe Site (cookie-uri și tehnologii similare) — conform duratelor specifice indicate pentru fiecare cookie în cuprinsul Politicii de Cookie-uri, durate ce variază între câteva minute (cookie-uri de sesiune) și 24 de luni (cookie-uri persistente cu finalitate analitică sau publicitară);
- Date prelucrate în vederea constatării, exercitării sau apărării unui drept în justiție — pe întreaga durată a procedurilor administrative și judiciare, prelungită, după caz, cu termenele de prescripție a executării silite și de păstrare a dosarelor.
La expirarea acestor termene, datele sunt fie șterse definitiv, fie anonimizate astfel încât să nu mai permită identificarea persoanei vizate — operațiune după care datele anonime pot fi păstrate, conform considerentului (26) din GDPR, fără limită temporală, întrucât nu mai intră în domeniul de aplicare al Regulamentului.
10. Măsurile de securitate
Conștient că eficacitatea oricărei politici de protecție a datelor se măsoară, în ultimă instanță, prin reziliența infrastructurii care le adăpostește, Operatorul implementează un ansamblu coerent de măsuri tehnice și organizatorice adecvate, în sensul art. 32 GDPR, calibrate în funcție de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscul cu probabilitate și gravitate diferite la adresa drepturilor și libertăților persoanelor fizice.
Aceste măsuri includ, fără ca enumerarea să fie exhaustivă: criptarea în tranzit a comunicațiilor prin protocolul TLS 1.3, stocarea criptată a parolelor utilizând funcții moderne de hashing (bcrypt sau echivalent), găzduirea Site-ului pe o infrastructură certificată ISO 27001, segregarea logică a mediilor de producție, dezvoltare și testare, controlul granular al accesului în baza principiului celui mai mic privilegiu, autentificarea cu doi factori pentru conturile administrative, monitorizarea continuă a evenimentelor de securitate, copii de siguranță regulate ale bazelor de date — păstrate, ele însele, în mod criptat —, audituri interne periodice și actualizarea promptă a tuturor componentelor software pe măsură ce devin disponibile patch-urile de securitate.
În pofida acestor măsuri, niciun sistem informatic nu poate fi declarat invulnerabil în mod absolut; tocmai de aceea, Operatorul își rezervă dreptul de a actualiza, periodic, măsurile de securitate, pentru a ține pasul cu evoluția tehnologică și cu noile categorii de amenințări identificate. Iar în ipoteza în care, în pofida tuturor acestor precauții, ar surveni o încălcare a securității datelor susceptibilă să prezinte un risc pentru drepturile și libertățile persoanelor vizate, Operatorul va notifica ANSPDCP în termen de cel mult 72 de ore de la luarea la cunoștință, conform art. 33 GDPR, și va informa direct persoanele vizate, în mod transparent și fără întârzieri nejustificate, ori de câte ori încălcarea ar putea genera un risc ridicat la adresa drepturilor lor, conform art. 34 GDPR.
11. Drepturile dumneavoastră în calitate de persoană vizată
Cadrul european al protecției datelor nu se mărginește la a impune operatorilor obligații; el conferă, simultan, persoanelor vizate o serie de drepturi consistente, ferme, ușor exercitabile, drepturi pe care Operatorul se angajează să le respecte fără reticențe și fără bariere artificiale. Concret, în temeiul Capitolului III din GDPR (art. 12 – 23), beneficiați de următoarele drepturi:
a) Dreptul de acces (art. 15 GDPR) — dreptul de a obține din partea Operatorului confirmarea că prelucrează sau nu date cu caracter personal care vă privesc și, în caz afirmativ, dreptul de a obține informații complete despre prelucrare, precum și o copie a datelor.
b) Dreptul la rectificare (art. 16 GDPR) — dreptul de a obține, fără întârzieri nejustificate, rectificarea datelor inexacte și completarea datelor incomplete.
c) Dreptul la ștergere sau „dreptul de a fi uitat" (art. 17 GDPR) — dreptul de a obține ștergerea datelor în situațiile expres prevăzute de Regulament, în special atunci când datele nu mai sunt necesare în raport cu scopul pentru care au fost colectate, atunci când vă retrageți consimțământul (și nu există un alt temei juridic), atunci când vă opuneți prelucrării sau atunci când datele au fost prelucrate ilegal. Dreptul la ștergere nu este, însă, un drept absolut: el cedează în fața obligațiilor legale ale Operatorului (de pildă, păstrarea documentelor contabile), în fața necesității constatării, exercitării sau apărării unui drept în justiție și în alte situații prevăzute de art. 17 alin. (3) GDPR.
d) Dreptul la restricționarea prelucrării (art. 18 GDPR) — dreptul de a obține restricționarea prelucrării atunci când contestați exactitatea datelor, atunci când prelucrarea este ilegală însă vă opuneți ștergerii, atunci când Operatorul nu mai are nevoie de date dar acestea vă sunt necesare pentru un litigiu ori atunci când v-ați opus prelucrării și se verifică dacă interesele legitime ale Operatorului prevalează.
e) Dreptul la portabilitatea datelor (art. 20 GDPR) — dreptul de a primi datele într-un format structurat, utilizat în mod curent și care poate fi citit automat și dreptul de a le transmite altui operator, atunci când prelucrarea se bazează pe consimțământ sau pe un contract și se efectuează prin mijloace automate.
f) Dreptul la opoziție (art. 21 GDPR) — dreptul de a vă opune, în orice moment, din motive legate de situația dumneavoastră particulară, prelucrării întemeiate pe interesul legitim al Operatorului ori pe îndeplinirea unei sarcini de interes public; în cazul prelucrării în scopuri de marketing direct, dreptul de opoziție este absolut și necondiționat, putând fi exercitat oricând, fără justificare.
g) Dreptul de a nu face obiectul unei decizii individuale automatizate (art. 22 GDPR), inclusiv al profilării — în măsura în care decizia produce efecte juridice ori vă afectează în mod semnificativ; precizăm, în acest sens, că Operatorul nu adoptă decizii cu efecte juridice exclusiv pe baza prelucrării automate, iar eventualele operațiuni de profilare în scopuri de marketing sunt întotdeauna fundamentate pe consimțământul dumneavoastră prealabil.
h) Dreptul de retragere a consimțământului (art. 7 alin. (3) GDPR) — atunci când prelucrarea se bazează pe consimțământ, dreptul de a-l retrage oricând, cu efecte numai pentru viitor, retragerea nefiind, prin urmare, de natură a afecta legalitatea prelucrărilor efectuate anterior retragerii.
i) Dreptul de a depune o plângere la o autoritate de supraveghere — în România, ANSPDCP, cu sediul în București, B-dul. G-ral. Gheorghe Magheru nr. 28-30, sector 1, cod poștal 010336, telefon +40.318.059.211, fax +40.318.059.602, e-mail anspdcp@dataprotection.ro, site web www.dataprotection.ro — fără ca această cale să afecteze dreptul dumneavoastră de a vă adresa direct instanței judecătorești competente, conform art. 79 GDPR.
j) Dreptul la o cale de atac judiciară împotriva oricărei decizii a Operatorului care vă afectează — drept exercitabil în condițiile Codului de procedură civilă.
12. Modalitatea concretă de exercitare a drepturilor
Pentru a vă exercita oricare dintre drepturile enumerate mai sus, ne puteți contacta:
- prin e-mail, la adresa contact@splendorshop.ro;
- prin poștă, la sediul indicat la secțiunea 1;
- prin formularul de contact disponibil pe Site.
Pentru ca solicitarea dumneavoastră să poată fi soluționată cu celeritate, vă rugăm să indicați, în mod clar: (i) dreptul pe care doriți să îl exercitați, (ii) datele care vă identifică în evidențele noastre (adresa de e-mail asociată contului, numărul comenzii, după caz), (iii) eventuale precizări care ne pot ajuta să localizăm rapid prelucrarea vizată.
Operatorul va răspunde solicitării dumneavoastră în termen de cel mult o lună de la primire, termen care poate fi prelungit cu încă două luni atunci când este necesar, ținând seama de complexitatea și de numărul cererilor — situație în care Operatorul vă va informa, în primele 30 de zile, despre prelungire și despre motivele acesteia.
Exercitarea drepturilor dumneavoastră este, ca regulă, gratuită; doar în situațiile excepționale prevăzute de art. 12 alin. (5) GDPR — solicitări vădit nefondate sau excesive, în special prin caracterul lor repetitiv — Operatorul poate refuza solicitarea ori poate percepe o taxă rezonabilă care să acopere costurile administrative, după ce va fi prezentat, în prealabil, motivele acestei decizii.
Anterior soluționării cererii, Operatorul își rezervă dreptul de a vă solicita informații suplimentare necesare pentru a vă verifica identitatea, măsură de securitate elementară prin care se evită ca datele dumneavoastră să fie comunicate ori modificate ca urmare a unei cereri provenind de la o persoană neautorizată — măsură care, departe de a constitui o piedică, reprezintă, în mod paradoxal, una dintre formele cele mai concrete de protecție a confidențialității dumneavoastră.
13. Cookie-uri și tehnologii similare
Site-ul utilizează cookie-uri, pixeli de monitorizare, web beacons și alte tehnologii similare pentru a-și asigura funcționarea, pentru a memora preferințele dumneavoastră, pentru a măsura traficul și — exclusiv pe baza consimțământului dumneavoastră — pentru a vă afișa publicitate relevantă pe Site și pe site-urile partenerilor noștri. Regimul juridic complet al acestor tehnologii — categoriile, durata, furnizorii, mecanismele de revocare a consimțământului — este detaliat în Politica de Cookie-uri, document care completează prezenta Politică și care poate fi consultat la următoarea adresă: [link către Politica de Cookie-uri].
14. Conținut generat de Utilizatori
Atunci când alegeți să publicați recenzii, comentarii ori orice alt conținut în spațiile publice ale Site-ului, vă rugăm să rețineți că informațiile pe care le includeți în acest conținut devin, prin natura lor, public accesibile — atât pentru ceilalți Utilizatori ai Site-ului, cât și pentru motoarele de căutare care indexează pagini publice. Operatorul vă recomandă insistent să nu includeți, în asemenea conținut, date cu caracter personal care v-ar putea expune (numere de telefon, adrese, date de identificare ale unor terți etc.), iar dacă constatați, ulterior publicării, că ați făcut-o, ne puteți solicita oricând ștergerea conținutului, conform secțiunii 12.
Operatorul își rezervă dreptul de a modera, de a refuza publicarea ori de a elimina conținutul care încalcă Termenii și Condițiile, legea aplicabilă ori bunele moravuri, fără ca prin aceasta să își asume, însă, vreo obligație generală de monitorizare în sensul art. 14 din Legea nr. 365/2002.
15. Site-uri terțe
Site-ul conține, ocazional, linkuri către pagini, platforme sau aplicații operate de terți (rețele de socializare, parteneri comerciali, furnizori de conținut). Activarea acestor linkuri vă conduce în afara universului Splendorshop și vă plasează, din punct de vedere juridic, sub regimul politicilor de confidențialitate ale operatorilor respectivi — politici asupra cărora Operatorul nu deține control. Splendorshop nu își asumă, în consecință, vreo răspundere pentru modul în care acești terți colectează ori prelucrează datele dumneavoastră, vă recomandă să le consultați politicile înainte de a interacționa cu ele și înțelege să se delimiteze, în limitele permise de lege, de orice consecințe ce ar putea decurge dintr-o asemenea interacțiune.
16. Date privind minorii
Serviciile oferite prin intermediul Site-ului nu sunt destinate persoanelor cu vârsta sub 16 ani și, în consecință, Operatorul nu colectează, în mod intenționat, date cu caracter personal de la minori. În măsura în care un minor sub 16 ani își creează totuși un cont ori plasează o comandă, Operatorul își rezervă dreptul de a închide contul și de a anula comanda, la solicitarea părintelui sau a tutorelui legal — solicitare care poate fi transmisă la adresa contact@splendorshop.ro.
Pentru minorii cu vârsta cuprinsă între 16 și 18 ani, plasarea unei comenzi presupune, în considerarea regulilor generale de capacitate civilă reglementate de Codul civil, încuviințarea părintelui ori a reprezentantului legal pentru actele juridice care depășesc cadrul actelor de administrare curentă.
17. Decizii automate și profilare
Operatorul nu utilizează, în relația cu Utilizatorii săi, decizii bazate exclusiv pe prelucrare automatizată, inclusiv crearea de profiluri, care să producă efecte juridice ori să vă afecteze în mod similar într-o măsură semnificativă, în sensul art. 22 GDPR. Profilarea utilizată în scopuri de personalizare a ofertelor și de marketing direct se realizează exclusiv pe baza consimțământului dumneavoastră prealabil, este intermediată întotdeauna de o intervenție umană la nivelul deciziilor care ar putea afecta sfera juridică a Utilizatorului și poate fi oprită oricând, prin retragerea consimțământului.
18. Modificări ale prezentei Politici
Având în vedere caracterul dinamic al cadrului normativ al protecției datelor — caracter rezultat atât din evoluția legislației europene și interne, cât și din ghidurile emise de EDPB și de ANSPDCP —, Operatorul își rezervă dreptul de a revizui, periodic, prezenta Politică, pentru a o menține în concordanță cu obligațiile sale legale și cu bunele practici ale sectorului.
Orice modificare substanțială va fi adusă la cunoștința Utilizatorilor înregistrați prin e-mail, cu cel puțin 15 zile înainte de intrarea ei în vigoare; modificările minore — corecții de redactare, actualizări ale datelor de contact — vor fi reflectate prin simpla publicare a versiunii revizuite pe Site, cu actualizarea corespunzătoare a datei „Ultimei actualizări" indicate în antet. În toate situațiile, versiunea aflată în vigoare la momentul plasării unei comenzi guvernează prelucrările de date aferente acelei comenzi, fără ca eventualele modificări ulterioare să poată retroactiva în mod nefavorabil persoanei vizate.
19. Date de contact
Pentru orice întrebare, nelămurire sau solicitare în legătură cu prelucrarea datelor dumneavoastră cu caracter personal — fie că este vorba despre exercitarea unui drept, despre o sesizare, despre o cerere de informații suplimentare ori despre o simplă clarificare —, ne puteți contacta la:
- Operator: SC CRICLEVIT SRL
- Sediul social: Strada Leonardo da Vinci nr. 5, bl. PB 15, et. 2, ap. 11, Oradea, județul Bihor, cod poștal 410540, România
- CUI: 37329577
- Nr. ORC: J05/691/2017
- E-mail: contact@splendorshop.ro
- Telefon: +40 755 680 451
- Web: www.splendorshop.ro
În scopul legilor aplicabile privind protecția datelor și dacă nu se specifică în mod expres altfel în prezenta Politică ori în informări specifice furnizate la momentul colectării, SC CRICLEVIT SRL este operatorul de date al informațiilor dumneavoastră cu caracter personal.
