POLITICA GDPR PENTRU VÂNZĂTORI (PRELUCRAREA DATELOR ÎN MARKETPLACE)
Versiune: 1.0
Data intrării în vigoare: [12/05/2025]
Ultima actualizare: [12/05/2025]
1. Scop și aplicabilitate
1.1. Prezenta Politică descrie regulile privind prelucrarea datelor cu caracter personal în cadrul Platformei Deriox, în special în relația dintre Deriox (Operatorul Platformei), Vânzători și Cumpărători, având ca obiect protecția datelor personale și respectarea Regulamentului (UE) 2016/679 („GDPR”) și a legislației conexe.
1.2. Politica se aplică tuturor Vânzătorilor (PF și SRL) care primesc acces la datele Cumpărătorilor în vederea executării comenzilor, livrării, gestionării reclamațiilor, garanțiilor și obligațiilor legale.
1.3. Prezenta Politică completează Politica generală de confidențialitate a Platformei și Acordul Vânzătorului. În caz de neconcordanțe, se aplică interpretarea care asigură cel mai ridicat nivel de protecție a datelor, în limitele legii.
2. Termeni esențiali (în sensul GDPR)
2.1. Date cu caracter personal – orice informație privind o persoană fizică identificată sau identificabilă (ex.: nume, telefon, adresă, e-mail, ID comenzi).
2.2. Persoană vizată – Cumpărătorul (sau destinatarul livrării) ale cărui date sunt prelucrate.
2.3. Operator – entitatea care stabilește scopurile și mijloacele prelucrării.
2.4. Împuternicit – entitatea care prelucrează date în numele Operatorului, pe baza instrucțiunilor acestuia.
2.5. Încălcare a securității datelor – incident care duce la distrugere, pierdere, modificare, divulgare neautorizată sau acces neautorizat la date.
3. Roluri GDPR în marketplace (Deriox vs. Vânzător)
3.1. Deriox prelucrează date personale în scopul operării Platformei (conturi, comenzi, securitate, suport, prevenirea fraudei, conformitate), conform politicii sale generale de confidențialitate.
3.2. Vânzătorul primește datele personale strict necesare executării comenzii și este responsabil pentru modul în care le utilizează în cadrul activității sale (de exemplu pentru livrare, emiterea documentelor, gestionarea garanțiilor).
3.3. În funcție de situație, Vânzătorul poate acționa:
-
ca operator independent pentru prelucrările efectuate în nume propriu (ex.: evidențe contabile, garanții, relația contractuală cu clientul); și/sau
-
ca destinatar al datelor furnizate prin Platformă, cu obligația de a le utiliza strict pentru scopurile permise.
3.4. Vânzătorul recunoaște că Deriox nu controlează și nu răspunde pentru prelucrările suplimentare neautorizate efectuate de Vânzător, iar Vânzătorul își asumă integral răspunderea pentru acestea.
4. Categorii de date personale transmise către Vânzător
4.1. În funcție de tipul comenzii și de necesități, Vânzătorul poate primi următoarele date:
-
nume și prenume;
-
număr de telefon;
-
adresă de livrare;
-
e-mail (după caz);
-
detalii despre comandă (produse, cantități, prețuri, ID comandă);
-
informații necesare pentru retur/reclamații (dacă apar).
4.2. Vânzătorul NU trebuie să solicite date excesive (ex.: CNP, copii acte, date bancare ale clientului), cu excepția cazului în care există un temei legal clar și o nevoie obiectivă (situație rară și justificată), iar solicitarea este făcută în mod conform.
5. Scopuri permise ale prelucrării de către Vânzător
5.1. Vânzătorul poate utiliza datele personale primite prin Platformă exclusiv pentru:
a) confirmarea și executarea comenzii;
b) livrarea produselor fizice (curier, AWB);
c) livrarea/remedierea produselor digitale (re-livrare în caz de neconformitate tehnică);
d) comunicare operațională cu clientul privind comanda (status, clarificări necesare);
e) gestionarea retururilor/reclamațiilor și a garanțiilor (unde se aplică);
f) îndeplinirea obligațiilor legale aplicabile (contabilitate, fiscalitate, evidențe de garanții).
5.2. Orice utilizare în afara scopurilor de mai sus este interzisă, cu excepția situațiilor în care Vânzătorul obține un temei legal valid și poate demonstra conformitatea.
6. Interdicții explicite (zero toleranță)
Vânzătorului îi este interzis:
6.1. să utilizeze datele clientului pentru marketing direct (SMS, e-mail, apeluri) fără consimțământ/temei legal distinct și dovedibil;
6.2. să vândă, să închirieze, să transfere sau să divulge datele către terți neautorizați;
6.3. să colecteze date suplimentare nejustificate (ex.: date de card, parole, copii CI);
6.4. să contacteze clientul pentru a muta tranzacția în afara Platformei;
6.5. să păstreze datele mai mult decât este necesar scopului și obligațiilor legale;
6.6. să stocheze datele în sisteme nesigure sau accesibile public (ex.: documente publice, linkuri partajate fără protecție).
7. Măsuri minime de securitate (obligatorii)
Vânzătorul este obligat să implementeze măsuri tehnice și organizatorice adecvate, cel puțin:
7.1. acces la date doar pentru persoane autorizate (principiul „need-to-know”);
7.2. parole puternice și unice, schimbate periodic;
7.3. activarea măsurilor suplimentare de securitate acolo unde sunt disponibile (ex.: 2FA pentru e-mail/conturi);
7.4. dispozitive protejate (PC/telefon), cu actualizări active și protecție anti-malware;
7.5. evitarea stocării datelor pe dispozitive personale neprotejate sau în aplicații necontrolate;
7.6. criptare sau protecție a fișierelor care conțin date (unde este rezonabil);
7.7. politici interne privind accesul la date și instruirea personalului (dacă există angajați/colaboratori).
8. Subcontractori și terți (curieri, servicii externe)
8.1. Vânzătorul poate transmite date către terți doar dacă este necesar pentru executarea comenzii (ex.: curier), cu respectarea principiului minimizării datelor.
8.2. Vânzătorul este responsabil să utilizeze terți de încredere și să se asigure, pe cât posibil, că aceștia oferă garanții adecvate de protecție a datelor.
9. Păstrarea (retenția) datelor
9.1. Vânzătorul trebuie să păstreze datele personale doar pe durata necesară pentru:
-
executarea comenzii;
-
gestionarea reclamațiilor/garanțiilor;
-
îndeplinirea obligațiilor legale (ex.: evidențe contabile).
9.2. După expirarea perioadelor necesare, Vânzătorul trebuie să șteargă sau să anonimizeze datele, cu excepția situațiilor în care legea impune păstrarea lor.
10. Drepturile persoanelor vizate și cooperarea
10.1. Persoanele vizate pot solicita drepturi GDPR (acces, rectificare, ștergere, restricționare etc.).
10.2. Dacă Vânzătorul primește o solicitare privind datele prelucrate de acesta, Vânzătorul trebuie:
-
să răspundă în termenele legale;
-
să coopereze cu Deriox dacă solicitarea vizează date prelucrate în Platformă;
-
să nu șteargă date care trebuie păstrate legal (ex.: contabilitate).
10.3. Vânzătorul nu trebuie să divulge datele altor persoane și trebuie să verifice identitatea solicitantului în mod proporțional (fără colectare excesivă).
11. Încălcări de securitate (breach) – obligația de notificare
11.1. Dacă Vânzătorul constată o încălcare a securității datelor (ex.: cont compromis, leak, acces neautorizat), acesta are obligația să:
-
ia imediat măsuri de limitare a incidentului;
-
documenteze incidentul;
-
notifice Deriox într-un termen rezonabil, furnizând informațiile disponibile (ce date, câte persoane, ce măsuri).
11.2. Deriox poate solicita măsuri suplimentare pentru protejarea Platformei și a utilizatorilor.
12. Audit, verificări și măsuri Deriox
12.1. Deriox poate solicita Vânzătorului confirmări privind respectarea acestei Politici (de exemplu: declarații, proceduri minime), mai ales în caz de suspiciuni sau reclamații.
12.2. În caz de încălcare, Deriox poate aplica sancțiuni: limitare, suspendare, închiderea contului, fără a exclude acțiuni legale.
13. Răspundere
13.1. Vânzătorul răspunde integral pentru prelucrările efectuate de acesta în calitate de operator independent și pentru orice utilizare neautorizată a datelor.
13.2. Vânzătorul se obligă să despăgubească Deriox pentru prejudicii/costuri rezultate din încălcarea obligațiilor GDPR de către Vânzător.
14. Dispoziții finale
14.1. Prezenta Politică trebuie citită împreună cu Politica generală de confidențialitate a Deriox și Acordul Vânzătorului.
14.2. Deriox poate actualiza Politica, cu publicarea versiunii actualizate și indicarea datei de intrare în vigoare.