Politica de confidențialitate

Autovig sub RGPD: operator, temei juridic pe scop, păstrare, destinatari, garanțiile transferului UE–SUA, drepturile dumneavoastră și calea de plângere la APD.

Prezenta politică descrie prelucrarea datelor cu caracter personal efectuată atunci când vizitați site-ul autovig.eu („Site-ul”). Este redactată în executarea articolelor 12, 13 și 14 din Regulamentul (UE) 2016/679 („RGPD”) și a legii belgiene din 30 iulie 2018 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal.

Site-ul este un serviciu de informare editorială despre vinietele autostradale și taxele de drum europene. Nu administrează conturi de utilizator, nu prelucrează plăți și nu găzduiește conținut generat de utilizatori. Datele cu caracter personal prelucrate se limitează, prin urmare, la ceea ce este necesar din punct de vedere tehnic pentru a livra un site public, pentru a măsura performanța editorială și pentru a răspunde mesajelor pe care ni le trimiteți.

1. Identitatea operatorului

Operatorul, în sensul articolului 4 punctul 7 din RGPD, este:

Trimiterile la „Autovig”, „noi” sau „nostru” din prezenta politică se referă la Autovig care acționează sub marca Autovig. Operatorul este stabilit în Uniunea Europeană; nu este necesară desemnarea unui reprezentant în sensul articolului 27 din RGPD.

2. Responsabilul cu protecția datelor

Autovig nu a desemnat un responsabil cu protecția datelor. Operațiunile de prelucrare descrise în prezenta politică nu ating pragurile articolului 37 alineatul (1) din RGPD: operatorul nu este o autoritate publică, activitățile sale principale nu constau în monitorizarea periodică și sistematică pe scară largă a persoanelor vizate și nu implică prelucrarea pe scară largă a unor categorii speciale de date în sensul articolelor 9 și 10.

Orice solicitare privind protecția datelor, inclusiv exercitarea drepturilor, este tratată de editorul responsabil la contact@autovig.eu.

3. Categoriile de date și sursele

Prelucrăm următoarele categorii de date cu caracter personal. Fiecare categorie este detaliată la secțiunea 5 după scop, temei juridic, destinatari, perioada de păstrare și transferuri.

CategorieExempleSursa
Date de conexiuneAdresă IP, marcaj temporal, metodă HTTP, URL solicitat, cod de răspuns, agent utilizator, referentGenerate automat de antetul HTTP transmis de browserul dumneavoastră
Starea consimțământuluiDecizia pe fiecare categorie de cookie-uri (necesare / măsurare audiență)Furnizată de dumneavoastră prin bandoul de consimțământ; stocată în stocarea locală a browserului
Date de măsurare a audiențeiEvenimente pseudonime de vizualizare a paginii: pagină vizitată, limbă, clasă aproximativă a dispozitivului, gazdă referentGenerate de browserul dumneavoastră numai după ce acceptați măsurarea audienței
Date de corespondențăAdresa de e-mail, conținutul mesajului și datele incluse de dumneavoastră în acestaFurnizate de dumneavoastră atunci când ne scrieți
Date din rapoarte de vulnerabilitateAdresa de e-mail, descrierea tehnică a vulnerabilității, eventual conținut criptat PGPFurnizate de dumneavoastră atunci când raportați o problemă de securitate în baza politicii noastre de dezvăluire responsabilă

Nu prelucrăm categorii speciale de date cu caracter personal în sensul articolului 9 din RGPD (origine rasială sau etnică, opinii politice, convingeri religioase, apartenență sindicală, date genetice, date biometrice, date privind sănătatea, viața sexuală sau orientarea sexuală) și nici date referitoare la condamnări penale în sensul articolului 10. Nu efectuăm prelucrări exclusiv automatizate, inclusiv crearea de profiluri, care să producă efecte juridice sau să vă afecteze în mod similar într-o măsură semnificativă (articolul 22 din RGPD).

4. Date pe care nu le colectăm

Pentru claritate, nu colectăm și nu prelucrăm credențiale de cont, date de plată, acte de identitate, adrese poștale, numere de telefon, numere de înmatriculare, date de geolocalizare dincolo de ceea ce dezvăluie intrinsec o adresă IP, identificatori publicitari, identificatori de urmărire între site-uri sau profiluri pentru publicitate comportamentală.

5. Scopuri, temei juridic, destinatari, păstrare și transferuri

Tabelul de mai jos prezintă, pe fiecare scop, datele utilizate, temeiul juridic în temeiul articolului 6 din RGPD, destinatarii, perioada de păstrare și eventualele transferuri în afara SEE.

ScopDate utilizateTemei juridic (art. 6 RGPD)DestinatariPăstrareTransferuri în afara SEE
Furnizarea Site-ului (afișarea paginilor, rutare lingvistică)Date de conexiune, starea consimțământuluiInteres legitim — art. 6 alin. (1) lit. (f): operarea unui site publicFurnizor de găzduire (OVH SAS, Franța)Date de conexiune: până la 12 luni în jurnalele operaționale; starea consimțământului rămâne pe dispozitivul dumneavoastră până când o ștergețiNiciun transfer — găzduire în UE
Securitate operațională (combaterea abuzurilor, detectarea intruziunilor, răspuns la incidente)Date de conexiuneInteres legitim — art. 6 alin. (1) lit. (f): asigurarea Site-ului, pus în balanță cu așteptarea dumneavoastră rezonabilă conform căreia traficul către un site public este înregistrat din motive de securitate; obligație legală — art. 6 alin. (1) lit. (c) în caz de rechiziție de către autoritățile judiciare belgiene în temeiul articolelor 39 și 88 din Codul de procedură penală belgianFurnizor de găzduire; la rechiziție legală, autorități judiciare sau de supraveghere belgieneJurnale de securitate: până la 12 luniNiciun transfer
Măsurarea audienței editoriale (vizualizări, limbi, referenți)Date de măsurare a audiențeiConsimțământ — art. 6 alin. (1) lit. (a): evenimentele sunt încărcate numai după ce le acceptați în bandou; retragerea consimțământului este la fel de simplă ca și acordarea acestuia, prin Preferințe cookie-uriGoogle Ireland Limited (Irlanda), persoană împuternicită în sensul articolului 28 din RGPD; transfer ulterior posibil către Google LLC (Statele Unite) în cadrul aceluiași grupPăstrare implicită: 14 luni la nivel de eveniment în proprietatea de măsurare; ștergere anticipată posibilă la cerere (secțiunea 7)Da — Google LLC, Statele Unite, în temeiul clauzelor contractuale standard (Decizia de punere în aplicare (UE) 2021/914) și al Cadrului UE–SUA privind protecția datelor (Decizia de punere în aplicare (UE) 2023/1795), Google LLC fiind autocertificată conform DPF
Răspunsul la mesajele dumneavoastrăDate de corespondențăInteres legitim — art. 6 alin. (1) lit. (f) pentru solicitările generale; executarea unui contract — art. 6 alin. (1) lit. (b) atunci când mesajul constituie o cerere precontractuală, odată ce un flux de achiziție este deschisFurnizorul de găzduire al căsuței poștale; niciun prestator terț pentru e-mail de marketingPână la 24 de luni după ultimul schimb din fir, cu excepția cazului în care este necesară o păstrare mai îndelungată pentru apărarea unei acțiuni în justiție (până la 10 ani în temeiul articolului 2262bis din Codul civil belgian)Niciun transfer — căsuța poștală este găzduită în UE
Primirea rapoartelor de vulnerabilitateDate din rapoarte de vulnerabilitateInteres legitim — art. 6 alin. (1) lit. (f): dezvăluire coordonată a vulnerabilităților în conformitate cu ISO/IEC 29147:2018 și cu legea belgiană din 28 noiembrie 2022 privind avertizorii și dezvăluirea coordonată a vulnerabilitățilorEchipa internă de securitate; dezvăluire coordonată cu terțul afectat, după cazPână la 5 ani pentru rapoartele închise, în concordanță cu durata recomandată de politica de dezvăluire coordonată a Centrului pentru Securitate Cibernetică Belgia (CCB)Niciun transfer
Păstrarea dovezii consimțământului (art. 7 alin. (1) RGPD)Starea consimțământuluiObligație legală — art. 6 alin. (1) lit. (c) coroborat cu art. 7 alin. (1) RGPDExclusiv stocare locală în browser; nimic nu este transmis către noiPână când ștergeți stocarea sau modificați alegereaNiciun transfer

Adăugarea unui scop nou sau a unei persoane împuternicite noi declanșează actualizarea prezentei politici înainte de începerea noii prelucrări, revizuirea datei updatedAt din antet și afișarea unei notificări în partea de sus a paginii timp de cel puțin 30 de zile.

Notă privind interesul legitim

Pentru fiecare scop enumerat mai sus care se întemeiază pe interesul legitim (art. 6 alin. (1) lit. (f)), am efectuat testul în trei etape impus de Liniile directoare 01/2024 ale CEPD și de considerentul 47 din RGPD:

interesul urmărit este legitim (operarea, asigurarea și răspunsul la solicitări pentru un serviciu editorial licit);
prelucrarea este necesară pentru acest interes (niciun mijloc mai puțin intruziv nu obține același rezultat — de exemplu, jurnalele de conexiune sunt indispensabile pentru răspunsul la incidente);
prelucrarea nu prevalează asupra drepturilor și libertăților fundamentale ale persoanei vizate, având în vedere caracterul limitat al datelor, perioadele scurte de păstrare, absența creării de profiluri și contextul public în care datele sunt transmise.

Vă puteți opune în orice moment prelucrării întemeiate pe interes legitim în temeiul articolului 21 din RGPD; procedura este descrisă la secțiunea 7.

6. Cookie-uri și tehnologii similare

Inventarul complet al cookie-urilor și tehnologiilor similare plasate sau citite pe Site, inclusiv denumirea, scopul, durata și terții implicați, se regăsește în Politica de cookie-uri. Puteți acorda, refuza sau retrage consimțământul pentru elementele de urmărire care nu sunt strict necesare în orice moment, prin Preferințe cookie-uri.

Consimțământul se obține în conformitate cu articolul 5 alineatul (3) din Directiva 2002/58/CE, astfel cum a fost modificată (Directiva ePrivacy), și cu transpunerea belgiană din articolul 129 din legea din 13 iunie 2005 privind comunicațiile electronice. Elementele de urmărire strict necesare sunt plasate fără consimțământ în temeiul aceleiași dispoziții.

7. Drepturile dumneavoastră

În temeiul articolelor 15-22 și 77 din RGPD aveți următoarele drepturi:

acces la datele care vă privesc (art. 15);
rectificare a datelor inexacte sau incomplete (art. 16);
ștergere („dreptul de a fi uitat”) în cazurile enumerate la articolul 17;
restricționarea prelucrării în cazurile enumerate la articolul 18;
portabilitate: primirea datelor într-un format structurat, utilizat în mod curent și care poate fi citit automat, sau transmiterea lor către un alt operator, în cazurile enumerate la articolul 20;
opoziție la prelucrarea întemeiată pe interes legitim (art. 21);
retragerea consimțământului în orice moment, fără a aduce atingere legalității prelucrării efectuate înainte de retragere (art. 7 alin. (3));
de a nu face obiectul unei decizii bazate exclusiv pe prelucrare automatizată, care să producă efecte juridice sau să vă afecteze în mod similar (art. 22); nu adoptăm astfel de decizii.

Cum vă exercitați drepturile

Scrieți la contact@autovig.eu. Indicați dreptul pe care doriți să îl exercitați și datele vizate. Putem solicita informațiile strict necesare confirmării identității dumneavoastră înainte de a da curs cererii, în conformitate cu articolul 12 alineatul (6) din RGPD. Răspundem în termen de o lună de la primirea cererii. Acest termen poate fi prelungit cu încă două luni atunci când este necesar, ținând cont de complexitatea și numărul cererilor; veți fi informat despre orice astfel de prelungire în prima lună.

Exercitarea drepturilor de acces, rectificare, ștergere, restricționare și portabilitate este gratuită, cu excepția cazului în care cererile sunt vădit nefondate sau excesive (art. 12 alin. (5) RGPD).

8. Dreptul de a depune o plângere

Dacă apreciați că prelucrarea datelor încalcă RGPD, aveți dreptul de a depune o plângere la o autoritate de supraveghere. Autoritatea competentă pentru operator este:

Autorité de protection des données / Gegevensbeschermingsautoriteit (APD / GBA)
Rue de la Presse 35 / Drukpersstraat 35, 1000 Bruxelles / 1000 Brussel, Belgia
Telefon: +32 (0)2 274 48 00

În temeiul articolului 77 alineatul (1) din RGPD, puteți sesiza, de asemenea, autoritatea de supraveghere din statul membru UE sau SEE în care aveți reședința obișnuită, locul de muncă sau locul presupusei încălcări. Lista autorităților naționale este publicată de Comitetul european pentru protecția datelor: https://www.edpb.europa.eu/about-edpb/about-edpb/members_en.

9. Transferuri internaționale — detaliile garanțiilor

Singurul transfer către o țară terță identificat la secțiunea 5 privește Google Analytics 4. Atunci când evenimentele de măsurare a audienței sunt retransferate de la Google Ireland Limited (Irlanda) la Google LLC (Statele Unite), transferul se întemeiază pe două garanții cumulative:

Clauzele contractuale standard — modulul 2 (operator către persoană împuternicită) din Decizia de punere în aplicare (UE) 2021/914 a Comisiei din 4 iunie 2021, încheiate între operator și Google Ireland Limited și extinse la Google LLC ca subpersoană împuternicită, în sensul articolului 28 alineatul (2) din RGPD.
Cadrul UE–SUA privind protecția datelor — Decizia de punere în aplicare (UE) 2023/1795 a Comisiei din 10 iulie 2023, în temeiul căreia Google LLC este autocertificată. Starea actuală poate fi verificată la https://www.dataprivacyframework.gov.

O copie a garanțiilor poate fi obținută la contact@autovig.eu. Nu se efectuează alte transferuri în afara SEE.

10. Securitatea prelucrării

Implementăm măsuri tehnice și organizatorice conforme cu articolul 32 din RGPD, ținând cont de stadiul tehnicii, de costurile implementării, de natura și amploarea prelucrării și de riscurile pentru persoanele vizate. Acestea includ: TLS în tranzit pentru întregul trafic public, accesul la sistemele operaționale conform principiului celui mai mic privilegiu, separarea mediilor de build, staging și producție, revizuirea jurnalelor pentru detectarea anomaliilor și o procedură documentată de notificare a APD/GBA în termen de 72 de ore și a persoanelor vizate fără întârziere nejustificată, atunci când încălcarea poate genera un risc pentru drepturile și libertățile acestora (articolele 33 și 34 din RGPD).

Salutăm raportările de vulnerabilități presupuse în baza politicii noastre de dezvăluire responsabilă. Măsurile tehnice specifice nu sunt descrise aici, întrucât divulgarea lor ar putea diminua protecția pe care o oferă.

11. Minori

Site-ul nu se adresează minorilor și nu prelucrăm cu bună știință date cu caracter personal ale minorilor sub pragul consimțământului digital. În Belgia, articolul 7 alineatul (1) din legea din 30 iulie 2018 stabilește acest prag la 13 ani pentru serviciile societății informaționale oferite direct unui minor pe baza consimțământului. Dacă constatați că un minor sub acest prag ne-a transmis date, scrieți la contact@autovig.eu; datele vor fi șterse fără întârziere nejustificată.

12. Modificările prezentei politici

Prezenta politică poate fi actualizată pe măsură ce Site-ul evoluează. Data updatedAt din antet reflectă ultima revizuire. Modificările substanțiale — o persoană împuternicită nouă, un scop nou sau un mecanism de transfer nou — sunt semnalate în partea de sus a paginii timp de cel puțin 30 de zile înainte de intrarea lor în vigoare. Versiunile anterioare pot fi obținute la cerere, la contact@autovig.eu.

13. Data intrării în vigoare

Prezenta politică intră în vigoare la data updatedAt indicată în antet. Înlocuiește orice versiune anterioară.

Surse

Următoarele instrumente sunt citate sau puse în aplicare mai sus. Fiecare link este permalink-ul consolidat.