Politica de Confidențialitate Evnyo

Bun venit pe platforma Evnyo, o soluție SaaS pay-per-event destinată IMM-urilor europene pentru gestionarea evenimentelor lor. Protecția datelor dumneavoastră personale este prioritatea noastră absolută. Această politică de confidențialitate explică în mod transparent cum Evnyo procesează datele dumneavoastră, în conformitate deplină cu Regulamentul (UE) 2016/679 (GDPR) și legile naționale aplicabile. Redactată conform celor mai înalte standarde juridice, această politică reflectă angajamentul nostru în materie de confidențialitate și securitate. Detaliez scopurile prelucrării datelor, bazele noastre legale, operatorii pe care îi utilizăm, măsurile de securitate implementate, drepturile dumneavoastră și modul de exercitare a acestora.

Evnyo se angajează să respecte principiile de legalitate, corectitudine, transparență, minimizarea datelor și limitarea scopului prevăzute de GDPR. Asigurăm, de asemenea, responsabilitatea (accountability) prin documentarea riguroasă a conformității noastre. Prin utilizarea platformei noastre, păstrați controlul asupra datelor dumneavoastră: le folosim doar pentru scopurile explicite descrise mai jos și nu le comercializăm niciodată.

Operatorul datelor colectate prin platforma Evnyo este MACK, societate cu răspundere limitată franceză cu capital social de 246.389,00 €, sediul social APPARTEMENT 6 2 ALL SAINT MICHEL 59890 QUESNOY SUR DEULE, înregistrată la Registrul Comerțului și Societăților din Lille Métropole sub numărul 852 895 747, SIRET 85289574700032 (în continuare "Evnyo" sau "noi"). În calitate de operator de date, determinăm scopurile și mijloacele prelucrărilor relative la gestionarea site-ului și conturilor clienților. În plus, când prelucrăm date ale participanților în numele clienților noștri (organizatori de evenimente), acționăm în calitate de împuternicit conform articolului 28 din GDPR (vezi secțiunea "Împuternicirea Prelucrării" de mai jos).

Desemnarea unui Referent pentru Protecția Datelor: Ca IMM, Evnyo nu are obligația legală de a desemna un RPD în sensul articolului 37 din GDPR și al legislațiilor naționale echivalente, deoarece activitatea noastră principală nu constă într-o prelucrare la scară largă care necesită monitorizarea regulată și sistematică a persoanelor vizate, nici în prelucrarea la scară largă a categoriilor speciale de date. Această evaluare a fost efectuată în conformitate cu orientările Comitetului European pentru Protecția Datelor (EDPB) și ale autorităților naționale. Cu toate acestea, pentru transparență și îmbunătățirea continuă a practicilor noastre, am ales să desemnăm un referent pentru protecția datelor. Acest referent nu are statutul de RPD în sensul articolului 37 din GDPR.

Autoritățile de supraveghere competente: În funcție de locul dumneavoastră de reședință, autoritatea de supraveghere competentă este:

• Franța: Commission Nationale de l'Informatique et des Libertés (CNIL)
• Regatul Unit: Information Commissioner's Office (ICO)
• Germania: Autoritățile de protecție a datelor ale Länder și Bundesbeauftragte für den Datenschutz
• Spania: Agencia Española de Protección de Datos (AEPD)
• Italia: Garante per la protezione dei dati personali
• Portugalia: Comissão Nacional de Proteção de Dados (CNPD)
• Polonia: Urząd Ochrony Danych Osobowych (UODO)
• România: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
• Țările de Jos: Autoriteit Persoonsgegevens (AP)
• Belgia: Autorité de protection des données (APD/GBA)
• Austria: Datenschutzbehörde (DSB)

Pentru orice întrebări relative la această politică sau pentru a vă exercita drepturile (detaliate mai jos), ne puteți contacta pe referentul nostru pentru protecția datelor:

• Dominique PRASIVORAVONG – Referentul pentru Protecția Datelor Evnyo
• Contact: privacy@evnyo.com (sau prin poștă la adresa sediului nostru, în atenția referentului pentru protecția datelor)

Colectăm și prelucrăm date personale doar pentru scopuri determinate, explicite și legitime. Mai jos găsiți lista detaliată a scopurilor noastre de prelucrare, precum și baza legală corespunzătoare pentru fiecare dintre ele, în conformitate cu articolul 6 din GDPR:

• Trimiterea invitațiilor și reamintirilor pentru evenimente: Evnyo permite organizatorilor să trimită invitații prin email (prin Postmark) și SMS (prin Twilio) participanților, să urmărească persoanele care nu au răspuns sau să le trimită reamintiri înainte de eveniment. Această prelucrare este necesară pentru executarea contractului care ne leagă de clienții noștri organizatori (articolul 6 alineatul (1) litera (b) din GDPR) – acționăm conform instrucțiunilor clienților noștri pentru a contacta oaspeții în cadrul organizării evenimentului. Organizatorul, ca responsabil pentru invitații, se asigură că dispune de o bază legală adecvată (de exemplu, interesul său legitim de a-și invita contactele profesionale).

• Urmărirea participării și gestionarea check-in-ului: Platforma noastră prelucrează răspunsurile oaspeților (participare confirmată, refuz etc.), urmărește înregistrările și gestionează accesul la eveniment. Aceste date permit organizatorului să urmărească în timp real prezența și să gestioneze prezența participanților în ziua evenimentului. Prelucrarea se efectuează în cadrul serviciului furnizat (gestionarea evenimentului), pe bază contractuală (articolul 6 alineatul (1) litera (b)).

• Importul contactelor: Evnyo oferă o funcționalitate de import contacte pentru a ajuta clienții noștri să își integreze cu ușurință listele de oaspeți (de exemplu, dintr-o agendă). Această operațiune, activată la cererea utilizatorului, implică prelucrarea datelor de contact (ex. nume, email-uri, numere) ale contactelor dumneavoastră pentru a le adăuga ca oaspeți. Utilizarea datelor brute sau derivate ale utilizatorilor primite de la API-urile Workspace va respecta Politica Google privind datele utilizatorilor, inclusiv cerințele de utilizare limitată. Baza legală este executarea contractului și interesul legitim al organizatorului de a simplifica adăugarea participanților (articolul 6 alineatul (1) litera (b) sau (f) în funcție de cazuri). Clientul se angajează să importe doar contacte pe care este autorizat să le utilizeze și să fi informat aceste persoane dacă este necesar.

• Corectarea datelor și generarea imaginilor prin AI: Pentru a îmbunătăți experiența utilizatorului, oferim funcționalități asistate de inteligența artificială. Concret, Evnyo poate trimite către OpenAI extracte de date furnizate de client (de exemplu, un fișier CSV prost structurat sau o listă de participanți copiată și lipită) pentru a corecta formatul sau a genera automat o imagine (vizual de eveniment) la cerere. Aceste prelucrări au ca scop facilitarea pregătirii evenimentului (date uniformizate, vizuale atractive). Baza legală se bazează pe executarea contractului – aceste funcționalități fiind activate doar la cererea dumneavoastră pentru a vă servi. Notă: Datele transmise către OpenAI sunt limitate la strict necesarul (principiul minimizării) și supuse prelucrării automatizate. În conformitate cu termenii de utilizare OpenAI, datele trimise prin API-ul lor nu sunt utilizate pentru antrenarea modelelor lor (în afara opt-in-ului explicit din partea noastră, ceea ce nu facem) și sunt eliminate automat din sistemele lor într-un termen maxim de 30 de zile după prelucrare. Important: Datele de contact Google Workspace sunt utilizate exclusiv pentru invitațiile la evenimente. Niciun model de IA sau învățare automată nu utilizează date din API-urile Google Workspace. Funcționalitățile noastre de IA operează complet independent de sursele de date Google.

• Statistici anonimizate: Evnyo poate elabora statistici globale și anonimizate din datele evenimentelor (ex. rata medie de răspuns, numărul total de participanți etc.) pentru a oferi organizatorilor indicatori despre succesul evenimentelor lor și pentru a îmbunătăți serviciile noastre. Niciun dat personal nu apare în aceste statistici (rezultatele sunt agregate în mod ireversibil). Producerea unor astfel de statistici neavând impact asupra vieții private (date neidentificatoare), poate fi efectuată pe baza interesului nostru legitim de a evalua și îmbunătăți serviciile noastre (articolul 6 alineatul (1) litera (f) din GDPR).

• Procesarea plăților și facturarea: Evnyo folosește Stripe pentru a procesa plățile clienților noștri organizatori pentru utilizarea platformei noastre pay-per-event, precum și pentru gestionarea facturării recurente și abonamentelor. Această funcție include procesarea securizată a datelor bancare, validarea plăților, gestionarea programelor de facturare și urmărirea tranzacțiilor. Baza legală pentru acest tratament este executarea contractului care ne leagă de clienții noștri (Articolul 6(1)(b) GDPR) – aceste date de plată sunt esențiale pentru a furniza serviciul nostru cu plată și pentru a respecta obligațiile noastre contractuale de facturare.

• Gestionarea cookie-urilor și consimțămintelor: Pe site-ul nostru web, utilizăm cookie-uri și trackeri în conformitate cu cerințele Directivei ePrivacy (2002/58/CE) și transpunerile sale naționale, în special reglementările stricte germane și franceze privind cookie-urile. Cookie-urile neesențiale (de exemplu, pentru măsurători de audiență sau funcționalități de personalizare) sunt plasate doar după obținerea consimțământului dumneavoastră prealabil, liber, specific, informat și neechivoc prin bannerul nostru de consimțământ gestionat de CookieYes. Acest consimțământ este înregistrat și documentat conform celor mai stricte standarde. Baza legală pentru utilizarea cookie-urilor neesențiale este consimțământul dumneavoastră explicit (articolul 6 alineatul (1) litera (a) din GDPR). În ceea ce privește cookie-urile strict necesare pentru funcționarea serviciului (ex. pentru a rămâne conectat la contul dumneavoastră), acestea se bazează pe interesul nostru legitim sau necesitatea tehnică legată de executarea serviciului solicitat (articolul 6 alineatul (1) litera (b) sau (f)). Puteți gestiona preferințele dumneavoastră pentru cookie-uri oricând prin instrumentul de consimțământ (CMP) și să vă retrageți consimțământul la fel de ușor cum l-ați acordat. (Vezi secțiunea "Cookie-uri" de mai jos.)

• Documentarea consimțămintelor și obligațiilor legale: Pentru a demonstra conformitatea noastră regulamentară în toate țările unde operăm, păstrăm dovada oricărui consimțământ pe care l-ați putea acorda (de exemplu, consimțământul dumneavoastră pentru cookie-uri prin CookieYes sau pentru primirea comunicărilor, dacă este aplicabil). În virtutea GDPR și legilor naționale echivalente, operatorul de date trebuie să poată furniza oricând dovada că persoana a consimțit în condiții valide. Documentăm prin urmare condițiile de colectare a consimțământurilor și menținem un registru de consimțământuri conform recomandărilor autorităților europene de protecție a datelor. Această prelucrare este necesară pentru respectarea unei obligații legale care ne revine (articolul 6 alineatul (1) litera (c) din GDPR, art. 7 alineatul (1) din GDPR – capacitatea de a demonstra consimțământul). De exemplu, jurnalul consimțământurilor colectate prin CookieYes (incluzând istoricul alegerilor fiecărui utilizator, un identificator, data/ora și adresa IP anonimizată) este păstrat în siguranță pentru a constitui o dovadă în cazul controlului sau contestației.

În toate circumstanțele, Evnyo prelucrează datele dumneavoastră personale doar pentru scopurile menționate mai sus și nu va proceda niciodată la prelucrări ulterioare incompatibile cu aceste scopuri fără să vă informeze și, după caz, să obțină din nou consimțământul dumneavoastră. În plus, nicio luare de decizie automatizată sau creare de profiluri în sensul articolului 22 din GDPR nu este implementată prin serviciile noastre.

În cadrul scopurilor de mai sus, Evnyo poate colecta diferite categorii de date personale:

• Date de identificare și contact: nume, prenume, adresa de email, numărul de telefon al participanților invitați la un eveniment (furnizate de organizator sau de participantul însuși la înregistrare). Pentru utilizatorii clienți (organizatori), colectăm nume, prenume, date de contact profesionale, funcția/titlul, precum și informații privind compania (denumirea societății, adresa, CUI dacă este aplicabil) la crearea contului și facturare.

• Date relative la eveniment: informații legate de invitația și participarea persoanelor – ex. statusul invitației (trimisă/deschisă), răspunsul (da/nu/în așteptare), numărul de însoțitori, preferințele exprimate (ex. alegerea intervalului orar sau regimul alimentar, dacă organizatorul o solicită), prezența efectivă la check-in. Aceste date permit urmărirea logistică a evenimentului.

• Date importate: dacă organizatorul utilizează funcția de import contacte, Evnyo va prelucra datele din agenda sa de terți (ex. contacte Gmail, Outlook) pe care le-a selectat – de obicei nume, email, companie, telefon ale contactelor de invitat. Important: acest import se realizează doar la inițiativa utilizatorului și cu autorizarea sa explicită pentru accesarea acestor contacte prin serviciul terților (care poate solicita autorizarea OAuth corespunzătoare). Evnyo nu utilizează aceste date dincolo de constituirea listei de oaspeți.

• Conținuturi furnizate: orice conținut liber pe care l-ați putea introduce pe platformă, de exemplu, mesajul personalizat al invitației, logo-ul sau vizualul evenimentului (care poate conține o imagine, potențial fața unei persoane dacă o încărcați etc.) sau fișierele pe care le atașați (ex. programul evenimentului în PDF). Aceste conținuturi sunt utilizate doar în cadrul evenimentului (distribuirea invitației, punerea la dispoziția participanților etc.). Când Evnyo recurge la OpenAI pentru a genera o imagine sau a reformata un text furnizat, prompt-ul și/sau datele trimise către AI pot include anumite elemente din aceste conținuturi furnizate (ex. text brut conținând nume). Cu toate acestea, ne asigurăm că nu trimitem informații superflue sau extrem de sensibile către aceste servicii externe.

• Date tehnice și de navigare: în timpul utilizării platformei sau consultării site-ului, putem colecta anumite date tehnice: adresa IP (anonimizată pentru măsurători de audiență), informații despre dispozitiv și browser, preferințele de limbă, loguri de conexiune (date/ore) și cookie-uri (vezi secțiunea dedicată). Aceste date sunt utilizate în principal pentru securitate, furnizarea serviciului (ex. menținerea sesiunii deschise) și statistici agregate. Pot servi, de asemenea, la detectarea și prevenirea utilizărilor abuzive ale platformei.

Toate datele colectate sunt obținute direct de la dumneavoastră (utilizator organizator sau oaspete) sau provin din utilizarea serviciilor (ex. statusul participării). În cazurile rare când datele ne sunt transmise de o terță parte autorizată (ex. un coleg vă înregistrează la un eveniment prin Evnyo), organizatorul se angajează să fi obținut autorizațiile necesare. Cerem clienților noștri organizatori să se asigure că informează corect participanții despre utilizarea platformei Evnyo pentru gestionarea invitațiilor, conform articolului 14 din GDPR, dacă este aplicabil.

Datele dumneavoastră personale sunt accesibile personalului autorizat Evnyo în măsura strict necesară (principiul accesului limitat – de exemplu, echipa noastră de suport poate accesa informații din contul dumneavoastră pentru a vă asista). În afara acestor accese interne protejate prin angajamente de confidențialitate, Evnyo nu comunică datele dumneavoastră către terți, cu excepția furnizorilor săi tehnici autorizați corespunzător, enumerați mai jos. Acești furnizori acționează în numele nostru și pentru contul nostru ca împuterniciți, conform instrucțiunilor noastre și cu respectarea acestei politici.

Selectăm împuterniciții noștri cu cea mai mare atenție, asigurându-ne că prezintă garanții suficiente în materie de protecție a datelor (expertiză, măsuri de securitate, conformitate GDPR). Important: Evnyo se asigură că toți subcontractanții săi din afara UE dispun de mecanisme de transfer validate (BCR, SCC, decizie de adecvare). DPA-urile standard utilizate respectă cerințele articolului 28 din GDPR. Aceste DPA standard definesc obiectul și durata prelucrării, natura operațiunilor efectuate, tipurile de date și persoanele vizate, precum și obligațiile de confidențialitate, securitate și asistență care le revin. Împuterniciții noștri nu vor utiliza niciodată datele dumneavoastră în alte scopuri decât cele pe care le-am specificat conform termenilor lor generali de utilizare. Iată lista completă a furnizorilor noștri și rolul lor exact:

• CookieYes – Consent Management Platform (CMP): instrument de gestionare a consimțământurilor pentru cookie-uri. CookieYes implementează bannerul de cookie-uri pe site-ul nostru și înregistrează alegerile fiecărui utilizator privind cookie-urile. Rol: asigurarea că trackerii neesențiali sunt activați doar cu consimțământ și păstrarea dovezii consimțământului sau refuzului utilizatorului. Localizare: CookieYes Limited este o companie înregistrată în Regatul Unit. Preferințele de consimțământ pot fi stocate local (printr-un cookie tehnic în browserul dumneavoastră) și/sau pe serverele CookieYes. Aceste date (identificator anonim de consimțământ, dată, tipul consimțământului) sunt pur tehnice și utilizate pentru a demonstra respectarea alegerilor dumneavoastră.

Declarație privind utilizarea datelor din API-ul Google: Utilizarea de către Evnyo a informațiilor primite de la API-urile Google respectă Politica de Date Utilizator a Serviciilor API Google, inclusiv cerințele de Utilizare Limitată. Pentru mai multe informații despre aceste cerințe puteți vizita: Google Workspace API User Data Policy și Google API Services User Data Policy .

• OpenAI – Inteligența Artificială (AI): serviciu AI avansat pe care îl utilizăm prin API pentru funcționalități specifice (ex: corectarea datelor prost formatate, generarea imaginilor la cerere). Rol: prelucrarea algoritmică a conținutului pe care îl supunem pentru a produce un rezultat (fișier corectat sau imagine generată) returnat către Evnyo. Localizare: Statele Unite (OpenAI, Inc.). Date transmise: extracte de text sau instrucțiuni pe care ni le furnizați pentru utilizarea AI (care pot conține date personale dacă le-ați inclus). Garanții: În conformitate cu termenii de utilizare a API-ului OpenAI (OpenAI API Data Processing Terms), datele pe care le transmitem nu sunt utilizate de OpenAI pentru antrenarea modelelor lor AI (în afara opt-in-ului explicit din partea noastră, ceea ce nu facem) și sunt eliminate automat din sistemele lor într-un termen maxim de 30 de zile după prelucrare. OpenAI se angajează contractual să nu utilizeze aceste date în alte scopuri decât furnizarea serviciului solicitat.

• Supabase – Baza de date și hosting fișiere: Supabase este furnizorul nostru de infrastructură aplicativă. Rol: găzduirea bazei de date PostgreSQL conținând datele Evnyo (conturi, evenimente, invitații, răspunsuri etc.) și stocarea fișierelor asociate (ex. imaginile evenimentelor dumneavoastră) într-un spațiu dedicat (bucket). Localizare: Uniunea Europeană. Utilizăm serverele europene Supabase (regiunea UE) pentru ca toate datele și fișierele să fie găzduite exclusiv în Europa. De notat că Supabase se bazează pe centre de date certificate (utilizează în special infrastructuri Cloud regionale conforme GDPR). Datele stocate în baza de date sau bucket sunt criptate în repaus (vezi secțiunea Securitate) și sunt accesibile doar aplicațiilor Evnyo și administratorilor noștri autorizați. Supabase nu accesează datele în text clar și nu le utilizează altfel decât pentru necesitățile tehnice ale stocării.

• Vercel – Hosting front-end: Vercel este platforma de hosting pentru front-end-ul aplicației noastre (site-ul web și interfața utilizator Evnyo). Rol: distribuirea aplicației web și conținutului static către utilizatorii finali, printr-o rețea globală de distribuție a conținutului (CDN) pentru performanțe optime. Localizare: în principal în Statele Unite (Vercel Inc.), cu un CDN în întreaga lume (incluzând servere în Europa) pentru a apropia conținutul de utilizator. Garanții de transfer: Vercel este certificat pentru EU-US Data Privacy Framework și oferă un Data Processing Addendum standard conform cu GDPR. Date afectate: în esență date tehnice de navigare. Când utilizați Evnyo, browserul dumneavoastră se conectează la serverele Vercel pentru a încărca interfața; Vercel poate înregistra date tehnice (ex. adresa IP, data, resursa solicitată) pentru necesități de logare și cache, dar nu prelucrează niciun dat personal aplicativ stocat (baza de date rămâne la Supabase). Logurile Vercel sunt utilizate doar pentru scopuri de depanare și sunt purjate regulat.

• Postmark – Trimiterea email-urilor tranzacționale: serviciu de email (oferit de Wildbit/ActiveCampaign) utilizat pentru routarea email-urilor generate de Evnyo. Rol: trimiterea fiabilă a email-urilor tranzacționale legate de evenimente (ex. invitații, confirmări de înscriere, reamintiri, urmăriri post-eveniment) în numele organizatorului. Localizare: în principal în Statele Unite (servere de trimitere Postmark), cu infrastructuri redundante. Garanții de transfer: Postmark oferă un Data Processing Addendum (DPA) standard conform cerințelor GDPR și garanții contractuale pentru transferurile internaționale. Date transmise: adresa de email a destinatarului, conținutul invitației sau mesajului (incluzând eventual numele oaspetelui, detaliile evenimentului etc.). Postmark acționează ca simplu vector de trimitere și stochează temporar informații de trimitere (jurnal email-uri, status livrare) pentru scopuri de urmărire și dovadă de trimitere. Aceste jurnale sunt păstrate pentru o durată limitată și apoi eliminate conform politicii lor de retenție. Postmark este obligat contractual să respecte confidențialitatea datelor transmise.

• Twilio – Trimiterea SMS-urilor tranzacționale: platformă utilizată pentru trimiterea SMS-urilor (de exemplu, invitații sau reamintiri SMS sau mesaje de verificare) către participanții care au furnizat un număr de telefon. Rol: routarea SMS-urilor către operatorii telefonici ai contactelor dumneavoastră. Localizare: Twilio Inc. este o companie americană, dar are puncte de prezență în UE. În mod implicit, cererile SMS de la Evnyo sunt ruate prin servere situate în UE. Cu toate acestea, în cazul supraîncărcării sau necesității de rutare internațională, se poate întâmpla ca mesajul să fie procesat de un server din afara UE (ex. în Statele Unite) pentru a garanta livrabilitatea – aceasta este "rezerva" internațională. Garanții de transfer: Twilio dispune de Reguli Corporative Obligatorii (BCR) aprobate de autoritățile europene de protecție a datelor și oferă un Data Processing Addendum conform cu GDPR. Date transmise: numărul de telefon al destinatarului, conținutul textual al SMS-ului (incluzând eventual numele evenimentului sau un link de confirmare). Twilio păstrează aceste date doar pentru jurnalizare și facturare (detaliile mesajelor) și le elimină conform termenelor conforme cu reglementările telecom.

• Stripe – Procesarea plăților: platformă de plăți utilizată pentru procesarea plăților de la clienții noștri organizatori de evenimente și facturarea serviciilor noastre. Rol: procesarea securizată a plăților cu cardul de credit, transferuri bancare și alte metode de plată, precum și gestionarea facturării și abonamentelor. Localizare: Stripe Europe, Ltd. (Irlanda) pentru clienții europeni, cu infrastructură distribuită în Europa și conformitate SEPA. Garanții de transfer: Stripe are certificări GDPR complete și aplică Clauze Contractuale Standard (SCC) pentru orice transfer în afara UE. Date transmise: detalii de facturare ale organizatorului (nume, adresă, email, informații de plată), sume ale tranzacțiilor, istoric de facturare. Stripe acționează ca operator de date pentru aspectele legate de plăți și ca subcontractant pentru datele pe care le transmitem în cadrul serviciului nostru. Datele de plată sunt criptate și securizate conform standardelor PCI DSS. Stripe păstrează datele de tranzacție conform propriilor politici de reținere și obligațiilor de reglementare financiară.

• OVH – Gestionarea numelui de domeniu și DNS: OVHcloud este registrarul nostru și host DNS pentru domeniul evnyo.com. Rol: gestionarea tehnică a numelui de domeniu, înregistrările DNS (în special cele legate de trimiterea email-urilor, cum ar fi SPF/DKIM) și găzduirea anumitor funcții auxiliare (ex. redirecționarea site-ului către Vercel). Localizare: Franța (OVH, companie franceză). Date personale: foarte puține date în realitate – OVH prelucrează în esență date tehnice (interogări DNS de la vizitatori, care nu conțin date personale identificabile per se, cu excepția posibilă a IP-ului celui care face interogarea). Pentru transparență, menționăm OVH pentru că este un furnizor de servicii în lanțul nostru tehnic, dar nu exploatează niciun dat de utilizator final.

Fiecare furnizor de servicii menționat mai sus acționează doar conform instrucțiunilor Evnyo și niciodată pentru propriul cont. Păstrăm controlul asupra datelor dumneavoastră. Dacă în viitor am trebui să facem apel la noi furnizori de servicii sau să schimbăm unul dintre ei, am actualiza această listă și, după caz, v-am informa în prealabil dacă aceasta impactează datele dumneavoastră. Păstrați, desigur, drepturile dumneavoastră (vezi secțiunea "Drepturile Dumneavoastră") inclusiv asupra datelor prelucrate prin acești împuterniciți: Evnyo rămâne singurul dumneavoastră punct de contact.

Evnyo se asigură că toți împuterniciții săi oferă garanții contractuale solide în materie de protecție a datelor, conform articolului 28 din GDPR. Aceasta înseamnă în special că:

• Autorizăm împuterniciții noștri să prelucreze datele doar pentru scopuri specifice și documentate, în legătură cu instrucțiunile noastre. Un împuternicit nu poate în niciun caz reutiliza datele dumneavoastră pentru propriul uz (ex. marketing) sau să le transmită către terți fără autorizație.

• Fiecare împuternicit este legat de o clauză de confidențialitate strictă privind datele la care poate avea acces. Personalul furnizorilor noștri de servicii autorizat să manipuleze datele dumneavoastră este supus unei obligații legale sau contractuale de confidențialitate.

• Contractele noastre cer acestor furnizori de servicii să implementeze toate măsurile de securitate solicitate de articolul 32 din GDPR (vezi detalii în secțiunea Securitate de mai jos) și să ne asiste pentru a permite exercitarea drepturilor dumneavoastră (ex: dacă ați solicita ștergerea datelor dumneavoastră, împuternicitul trebuie să coopereze pentru a le elimina din sistemele sale).

• Niciun împuternicit ulterior (numit "sub-împuternicit") nu poate fi angajat fără autorizarea noastră scrisă prealabilă. Dacă unul dintre furnizorii noștri de servicii dorește să angajeze pe altul pentru a executa o parte din prelucrare, trebuie să ne informeze în prealabil și să contracteze cu el obligații identice. În orice caz, furnizorul de servicii inițial rămâne pe deplin responsabil față de Evnyo pentru orice greșeală a sub-împuternicitul său (principiul responsabilității în cascadă, art. 28 alineatul (4) din GDPR).

• La sfârșitul prestației, contractele noastre stipulează că împuterniciții trebuie, la alegerea Evnyo, să șteargă toate datele personale sau să ni le returneze și să distrugă orice copie existentă (în afara obligației legale contrare). De exemplu, dacă ștergeți un eveniment și solicitați ștergerea datelor participanților, ne vom asigura că aceste informații sunt eliminate și din sistemele furnizorilor noștri de servicii (Supabase, backup-uri etc.).

• În sfârșit, împuterniciții noștri trebuie să ne furnizeze toate informațiile necesare pentru a demonstra conformitatea cu cerințele GDPR și pentru a permite realizarea unor eventuale audituri. Evnyo efectuează due diligence regulare (revizuirea certificărilor, audituri terțe, rapoarte de securitate) pentru a asigura respectarea continuă a acestor obligații.

Lucrând astfel cu un ecosistem de furnizori de servicii conformi și angajați contractual, Evnyo garantează că împuternicirea anumitor operațiuni nu slăbește deloc nivelul de protecție aplicat datelor dumneavoastră.

Evnyo acordă o importanță deosebită suveranității și localizării datelor. Toate fișierele și datele dumneavoastră sunt găzduite exclusiv în Uniunea Europeană prin partenerul nostru tehnologic Supabase, a cărui infrastructură europeană garantează o localizare strictă a datelor pe teritoriul UE. Această abordare europeană ne permite să menținem un control juridic optim asupra informațiilor dumneavoastră, cu documentele pe care le importați și listele de participanți rămânând fizic pe servere europene, supuse reglementării europene. Beneficiile sunt duble: latențe reduse datorită proximității geografice cu participanții dumneavoastră europeni și un control juridic mai bun, cu datele dumneavoastră neexpuse la legislațiile extrateritoriale ale țărilor terțe. În rezumat, Evnyo prioritizează hosting-ul european conform cerințelor de suveranitate digitală, garantând securitate sporită și conformitate GDPR consolidată.

Evnyo încearcă pe cât posibil să evite transferurile de date în afara Spațiului Economic European (SEE). Regula generală este că datele sunt prelucrate și stocate în UE. Cu toate acestea, unii dintre împuterniciții noștri sau instrumentele fiind bazate în afara UE, pot apărea transferuri internaționale de date într-o manieră limitată. Detalizăm mai jos aceste cazuri și garanțiile puse în aplicare:

• Niciun transfer neencadrat: Niciun transfer de date personale nu se efectuează către o țară non-membru SEE fără protecție. Toate fluxurile noastre internaționale sunt encadrate pentru a asigura un nivel de protecție a datelor în esență echivalent cu cel din UE. În practică, aceasta înseamnă că dacă datele dumneavoastră ar trebui să părăsească solul european, Evnyo se bazează pe unul dintre mecanismele prevăzute de GDPR: de exemplu, existența unei decizii de adecvare a Comisiei Europene pentru țara destinatară sau semnarea Clauzelor Contractuale Standard (CCS) când este vorba de un transfer către un furnizor de servicii situat într-o țară fără adecvare.

• Furnizori de servicii situați în afara UE: Printre împuterniciții noștri enumerați, unii sunt stabiliți în Statele Unite (ex. OpenAI, Postmark, Twilio, Vercel) sau în Irlanda (Stripe). Ca atare, datele care le sunt transmise în cadrul misiunii lor constituie transferuri în afara UE continentale. Important: Ca IMM, Evnyo nu are greutatea contractuală pentru a negocia Clauze Contractuale Standard (CCS) personalizate cu acești giganți tehnologici. Acești furnizori de servicii ne impun condițiile lor generale standard care includ propriile mecanisme de protecție. Concret:
• Stripe: bazat în Irlanda (UE) pentru clienții europeni, dispune de certificări GDPR complete și aplică Standard Contractual Clauses (SCC) pentru orice transfer în afara UE
• Twilio: dispune de Reguli Corporative Obligatorii (BCR) aprobate de autoritățile europene și aderă la condițiile Data Processing Addendum-ului lor standard
• Postmark: oferă un Data Processing Addendum (DPA) standard conform cerințelor GDPR
• Vercel: certificat pentru EU-US Data Privacy Framework și oferă un DPA standard
• OpenAI: aplică termenii standard OpenAI API Data Processing Terms (retenție ≤ 30 zile, fără antrenament fără opt-in)

Aceste mecanisme, deși nu sunt negociate individual de Evnyo, oferă garanții legale echivalente cu CCS pentru a vă proteja datele în timpul transferurilor internaționale.

• Regatul Unit: Furnizorul de servicii CookieYes fiind bazat în Regatul Unit, trebuie notat că Regatul Unit beneficiază de o decizie de adecvare a Comisiei Europene din 28 iunie 2021, permițând transferurile de date în aceleași condiții ca către SEE (conform articolului 45 din GDPR). Cu toate acestea, Regatul Unit aplică acum UK GDPR și Data Protection Act 2018, care pot prezenta divergențe față de GDPR-ul european. Evnyo monitorizează evoluția acestei decizii de adecvare și a reglementărilor britanice și va lua măsurile necesare dacă situația s-ar schimba (ex: încheierea unui UK Addendum la CCS etc.).

• Cazul special Twilio (SMS): Cum s-a menționat, Twilio dispune de mecanisme legal aprobate. Twilio a implementat în special Reguli Corporative Obligatorii (BCR) interne validate de autoritățile europene, care constituie principalul lor instrument de transfer. În plus, Twilio aderă la CCS pentru țările terțe necoperite de BCR-urile lor. Astfel, utilizarea Twilio pentru trimiterea SMS-urilor (chiar dacă acestea sunt rutate în afara UE) rămâne conformă cu cerințele europene.

• Evaluarea riscurilor de transfer: Înainte de a utiliza orice furnizor de servicii situat în afara UE, Evnyo evaluează riscurile legate de transferul datelor personale, luând în considerare:
• Natura și sensibilitatea datelor transferate (minimizarea la strict necesarul)
• Scopul și durata prelucrării
• Garanțiile contractuale oferite de furnizorul de servicii (DPA, BCR, certificarea Data Privacy Framework)
• Legislația țării de destinație și riscurile de acces guvernamental
• Măsuri de securitate tehnice suplimentare (criptare, pseudonimizare)

Această evaluare ne permite să ne asigurăm că fiecare transfer beneficiază de un nivel adecvat de protecție, chiar și fără negocierea CCS personalizate.

În rezumat, niciun transfer al datelor dumneavoastră în afara SEE nu are loc fără un cadru strict. Evnyo rămâne atent la evoluțiile jurisprudențiale (hotărârea "Schrems II" etc.) și recomandările autorităților pentru a își ajusta, dacă este necesar, mecanismele de transferuri internaționale. Obiectivul nostru este ca datele dumneavoastră să beneficieze, oriunde s-ar afla, de un nivel de confidențialitate și securitate conform standardelor europene.

Evnyo păstrează datele dumneavoastră personale doar pentru perioade limitate, proporționale cu scopurile pentru care au fost colectate și în conformitate cu cerințele legale. Iată politicile noastre principale de retenție:

• Date legate de evenimente și participanți: Datele personale ale oaspeților/participanților (nume, contacte, status etc.) sunt păstrate pe durata de viață a evenimentului și gestionarea sa activă, apoi eliminate sau anonimizate 90 de zile după sfârșitul evenimentului sau încetarea contractului, oricare dintre acestea se întâmplă primul. În practică, de îndată ce un eveniment a trecut și este închis de organizator, începe un contor de retenție. După 90 de zile, ștergem din baza noastră toate detaliile identificatoare relative la acest eveniment (lista participanților cu informațiile lor). Această perioadă de 3 luni după eveniment permite organizatorului să acceseze încă rapoartele și statisticile, să efectueze urmăriri post-eveniment (mulțumiri, rapoarte anonimizate) și să gestioneze eventualele reclamații (ex. cerere de certificat de participare) înainte de ștergere. După acest termen, organizatorul nu mai are acces la datele nominative ale participanților pe Evnyo, acestea fiind fie eliminate definitiv, fie păstrate sub formă agregată/anonimizată pentru statisticile globale. (Exemplu: o rată de participare de 80% poate fi păstrată fără nicio mențiune despre cine a participat sau nu.)

• Date cont client (organizator): Informațiile relative la contul dumneavoastră Evnyo (profilul utilizatorului, informațiile companiei client, istoricul facturării) sunt păstrate cât timp utilizați serviciile noastre și sunteți un client activ. Dacă decideți să vă închideți contul sau în cazul rezilierii contractului, vom șterge sau anonimiza datele profilului dumneavoastră și evenimentele trecute cel târziu 30 de zile după sfârșitul contractului, cu excepția celor pe care trebuie să le păstrăm mai mult timp pentru a respecta obligațiile noastre legale sau pentru a stabili dovada unui drept. De exemplu, datele de facturare (facturile emise, informațiile de plată) vor fi păstrate conform obligațiilor contabile și fiscale pentru durata legală (în România, 10 ani pentru documentele contabile). Apoi vor fi eliminate. În mod similar, schimburile contractuale care pot avea valoare juridică pot fi arhivate pentru timpul prescripțiilor legale aplicabile.

• Loguri tehnice și date de navigare: Jurnalele de activitate ale sistemului (conexiuni, acțiuni efectuate) sunt păstrate pentru securitate și trasabilitate pentru o durată de 12 luni rulante, cu excepția cerințelor legale diferite. Logurile mai sensibile (ex. loguri de acces administrator) pot fi păstrate până la 2 ani. Adresele IP colectate pentru scopuri de securitate sau jurnalizare sunt în general păstrate 3 luni (cu excepția IP-urilor asociate cu logurile de administrație, păstrate 2 ani). Datele de navigare colectate pentru scopuri statistice (prin cookie-uri analitice) sunt agregate și anonimizate imediat, dar datele brute asociate cu cookie-urile (ex. identificatorul cookie-ului) pot fi păstrate maxim 13 luni conform recomandărilor autorităților europene de protecție a datelor, în special cerințele stricte ale CNIL francez și autorităților germane.

• Consimțăminte: Înregistrările de consimțământ (ex. loguri CMP de la CookieYes, dovada opt-in) vor fi păstrate timpul necesar pentru a putea demonstra conformitatea în toate țările unde operăm. Astfel, logurile de consimțământ pentru cookie-uri sunt arhivate pentru 6 luni până la 13 luni (în funcție de faptul că utilizatorul își menține alegerile sau le reînnoiește), în linie cu reglementările naționale cele mai stricte privind cookie-urile. Dovezile de consimțământ pentru primirea comunicărilor (dacă Evnyo oferă un newsletter sau altceva) ar fi păstrate până la încetarea trimiterii + 3 ani (durata de prescripție). În general, nu ștergem o dovadă de consimțământ cât timp prelucrarea în cauză este în curs și nu este contestată. În cazul retragerii consimțământului, putem păstra informația că v-ați opus (lista de opoziție) cât timp este necesar pentru a nu vă solicita în mod necorespunzător.

• Backup-uri: Sistemul nostru efectuează backup-uri regulate criptate ale bazei de date pentru a asigura continuitatea serviciului. Aceste backup-uri pot conține date personale și sunt în general păstrate pentru 30 de zile rulante înainte de a fi suprascrise de backup-uri noi. Astfel, chiar și după ștergerea datelor din baza principală, poate rămâne o copie într-un backup până la expirarea acestuia. După 30 de zile, backup-urile conținând aceste date obsolete sunt distruse automat. Backup-urile sunt accesibile doar pentru scopuri de restaurare de către administratorii noștri și fac obiectul acelorași măsuri de securitate și confidențialitate.

La sfârșitul duratelor de mai sus, datele sunt fie șterse în siguranță, fie făcute anonime în mod ireversibil. Când datele sunt anonimizate, ies din domeniul GDPR (nicio persoană nu mai este identificabilă) și pot fi păstrate mai mult timp fără limită particulară, de exemplu, pentru a alimenta statisticile noastre globale sau analizele interne.

Excepții particulare: Se poate întâmpla să trebuiască să păstrăm anumite date mai mult timp în caz de litigiu sau anchetă (ex. înghețarea datelor la cererea unei autorități sau păstrarea până la rezolvarea unui litigiu). În acest caz, vom bloca accesul la datele în cauză și le vom păstra timpul necesar pentru acțiunea judiciară sau administrativă. Datele dumneavoastră pot fi, de asemenea, păstrate mai mult timp dacă legea o cere (ex. în cadrul unei obligații legale de păstrare sau arhivare publică).

Reevaluăm regulat politicile noastre de retenție pentru a evita stocarea datelor personale mai mult timp decât este necesar. Dacă considerați că una dintre datele dumneavoastră este păstrată în mod nejustificat, nu ezitați să vă exercitați dreptul la ștergere (vezi mai jos "Drepturile Dumneavoastră"), vom analiza cererea dumneavoastră cu atenție în respectarea GDPR.

Evnyo implementează măsuri de securitate tehnice și organizaționale riguroase pentru a vă proteja datele împotriva riscurilor de pierdere, modificare, divulgare sau acces neautorizat, conform articolului 32 din GDPR. Abordarea noastră de securitate se bazează pe cele mai bune practici din industrie și o evaluare continuă a riscurilor. Printre măsurile implementate:

• Criptarea schimburilor (TLS): Toate comunicațiile între browserul/dispozitivul dumneavoastră și platforma Evnyo sunt protejate prin criptare TLS 1.3 (https) end-to-end. Aceasta garantează că datele pe care le transmiteți sau le consultați pe Evnyo nu pot fi interceptate sau citite de o terță parte în timpul tranzitului. Puteți verifica prezența lacătului de securitate în browserul dumneavoastră în timpul utilizării serviciului.

• Criptarea datelor în repaus: Datele personale stocate în baza noastră de date, precum și fișierele importate în bucket-ul Supabase sunt criptate în repaus utilizând algoritmi de ultimă generație (AES-256, de exemplu). Criptarea în repaus înseamnă că, chiar și în cazul accesului fizic sau furtului suporturilor de stocare, datele rămân inacesibile fără cheile de decriptare corespunzătoare. Aceste chei de criptare sunt păstrate secrete și protejate pe module sigure.

• Controlul accesului și autentificarea întărită: Intern, accesul la datele personale este strict rezervat persoanelor care au nevoie de el pentru funcțiile lor (principiul need-to-know). Utilizăm o gestionare fină a acceselor pe roluri (RBAC – Role-Based Access Control) pentru a segmenta permisiunile în echipa noastră. De exemplu, un tehnician de suport poate vedea anumite date din contul dumneavoastră pentru a vă asista, dar nu va avea acces la datele financiare sau la listele de oaspeți ale altor clienți. În plus, toate conturile noastre de administrator și sensibile sunt protejate prin autentificare multi-factor (MFA) obligatorie, reducând riscul de intruziune prin furtul parolei. Autentificarea utilizatorilor clienți suportă, de asemenea, standarde de securitate (parole hash cu salt, cerințe de complexitate, posibilitatea 2FA dacă doriți etc.).

• Teste, audituri și întreținerea securității: Efectuăm regulat teste de penetrare și analize de vulnerabilități pe platforma noastră pentru a identifica eventualele defecte. Orice componentă sau dependență software este actualizată prompt când este disponibil un patch de securitate. Urmăm recomandările OWASP Top 10 pentru a preveni vulnerabilitățile aplicative comune (injecții, XSS, CSRF etc.). În plus, împuterniciții noștri critici (ex. Supabase, Vercel) sunt certificați sau auditați (certificări ISO 27001, SOC 2 Type II etc.), asigurând un nivel înalt de securitate a infrastructurii.

• Integritate și reziliență: Sistemele noastre integrează mecanisme care garantează confidențialitatea, integritatea, disponibilitatea și reziliența datelor dumneavoastră. De exemplu, duplicăm datele pe mai multe servere redundante pentru a preveni pierderea în caz de defecțiune (cu backup-uri regulate, cum s-a menționat). Accesul la datele de producție este jurnalizat și monitorizat permanent. Orice anomalie (tentativă de acces nejustificată, vârf de trafic suspect etc.) declanșează alerte de securitate în timp real. Avem, de asemenea, proceduri de restaurare de urgență testate regulat pentru a restabili rapid serviciul și accesul la date în cazul unui incident major (plan de continuitate a activității/plan de recuperare după dezastru).

• Securitatea dezvoltărilor: Echipele noastre integrează securitatea din concepția noilor funcționalități (privacy by design & by default, art. 25 GDPR). Mediile de testare sunt izolate de datele reale (utilizăm seturi de date fictive pentru dezvoltare pentru a nu expune date adevărate). Orice modificare de cod face obiectul revizuirilor (code review) și testelor unitare/funcționale, inclusiv asupra aspectelor de securitate.

• Confidențialitatea personalului și formarea: Fiecare colaborator Evnyo care are acces la date personale este supus contractual unei obligații de confidențialitate. În plus, sensibilizăm regulat tot personalul asupra bunelor practici de protecție a datelor (formări GDPR, securitate IT, proceduri de urmat în caz de incident etc.).

• Măsuri fizice și de mediu: Deși Evnyo este o soluție cloud, ne asigurăm că hosturile noastre dispun de măsuri de protecție fizică robuste (centre de date monitorizate 24/7, control de acces fizic biometric sau prin card, redundanță electrică, detectare incendii etc.).

În cazul unei încălcări a datelor personale în ciuda tuturor acestor precauții (ex. intruziune dovedită, pierdere sau divulgare neautorizată de date), ne angajăm să urmăm procedura legală: notificarea către ANSPDCP în 72 de ore dacă este cerută (articolul 33 din GDPR) și comunicarea către persoanele vizate când încălcarea este susceptibilă să genereze un risc ridicat pentru ele (articolul 34 din GDPR). Dispunem de un registru intern al incidentelor de securitate și un plan de răspuns la incidente pentru a gestiona eficient acest tip de situație. Obiectivul nostru este să fim proactivi și transparenți: dacă sunteți afectați de un incident grav, veți fi informați în cel mai scurt timp, cu toate informațiile despre natura incidentului și măsurile luate.

Conform GDPR, dispuneți de un set de drepturi relative la datele dumneavoastră personale. Evnyo se angajează să garanteze respectarea efectivă a acestor drepturi și să vă ofere modalități simple de a le exercita. Iată un rezumat al drepturilor dumneavoastră fundamentale:

• Dreptul de a fi informat: aveți dreptul de a fi informat în mod clar despre prelucrările datelor dumneavoastră (acesta este tocmai obiectul acestei politici de confidențialitate). Ne străduim să vă furnizăm toate informațiile cerute de articolele 13 și 14 din GDPR (identitatea operatorului, scopurile, bazele legale, destinatarii, perioadele de păstrare etc.).

• Dreptul de acces: ne puteți cere confirmarea că deținem date personale care vă privesc și, dacă este cazul, să obțineți o copie, precum și informații despre modalitățile prelucrării (scopurile, categoriile de date, destinatarii etc.). Concret, aceasta vă permite să știți ce date avem despre dumneavoastră. Vom furniza aceste informații într-o formă comprehensibilă și prin mijlocul de comunicare la alegerea dumneavoastră (electronic sau pe hârtie). Notă: pentru oaspeții evenimentelor, în măsura în care Evnyo acționează ca împuternicit al organizatorului, este adesea mai pertinent să solicitați mai întâi organizatorului (operatorul de date) accesul la datele dumneavoastră de înscriere. Cu toate acestea, ne puteți contacta și direct; vom coordona apoi cu clientul nostru pentru a vă oferi un răspuns complet.

• Dreptul de rectificare: dacă constatați că datele care vă privesc sunt inexacte sau incomplete, puteți solicita corectarea sau actualizarea lor. De exemplu, dacă numele dumneavoastră este scris greșit sau dacă vă schimbați adresa de email, vom proceda la modificare în cei mai buni termeni. În practică, utilizatorii organizatori pot rectifica ei înșiși anumite informații din contul lor prin setările profilului. Pentru participanți, o cerere poate fi adresată organizatorului sau nouă, și vom rectifica conform instrucțiunilor organizatorului.

• Dreptul la ștergere (\"dreptul de a fi uitat\"): puteți obține suprimarea datelor dumneavoastră personale din fișierele noastre, în special dacă nu mai sunt necesare în raport cu scopurile pentru care au fost colectate sau dacă vă retrageți consimțământul (când prelucrarea se baza pe consimțământ). Acest drept nu este absolut: este posibil să fim nevoiți să păstrăm anumite date dacă o obligație legală ne obligă la aceasta sau dacă sunt încă necesare pentru a constata/exercita/apăra un drept în justiție. Concret, pentru un oaspete care nu mai dorește să apară în lista participanților, organizatorul sau noi înșine putem suprima datele sale (ceea ce va fi realizat cu excepția unui impediment legitim). Dacă Evnyo intervine ca împuternicit, vom informa organizatorul despre cererea dumneavoastră de ștergere și, cu excepția unei instrucțiuni contrare legitime din partea sa, vom proceda la ștergerea efectivă a datelor dumneavoastră din sistemele noastre și vom confirma operațiunea.

• Dreptul la limitarea prelucrării: în anumite situații, puteți solicita limitarea (înghețarea temporară) a prelucrării datelor dumneavoastră. De exemplu, dacă contestați exactitatea unei date sau legalitatea unei prelucrări, timpul cât verificăm sau găsim o înțelegere, puteți solicita ca datele să nu mai fie utilizate (dar pur și simplu păstrate). Când limitarea este acordată, nu mai prelucrăm datele cu excepția păstrării lor sau din motive legale imperative. Vă vom informa în prealabil dacă limitarea trebuie ridicată.

• Dreptul de opoziție: aveți dreptul să vă opuneți, din motive relative la situația dumneavoastră particulară, oricărei prelucrări a datelor dumneavoastră bazate pe interesul legitim al Evnyo (articolul 6 alineatul (1) litera (f)). Dacă exercitați acest drept, vom înceta prelucrarea contestată, cu excepția cazului în care există motive legitime și imperative pentru a continua (de exemplu, necesitatea de a păstra anumite date pentru apărarea drepturilor în justiție) sau dacă prelucrarea este cerută de lege. De asemenea, vă puteți opune oricând prelucrării datelor dumneavoastră în scopuri de prospectare (ex: dacă Evnyo ar trimite newsletter-uri sau comunicări de marketing – ceea ce facem doar cu consimțământ). În acest din urmă caz, opoziția este absolută: vom înceta fără condiție trimiterea solicitărilor. În ceea ce privește cookie-urile, dreptul dumneavoastră de opoziție se traduce prin posibilitatea de a refuza orice cookie neesențial prin CMP (ceea ce este o formă de opoziție la o prelucrare de creare de profiluri publicitare, de exemplu).

• Dreptul la portabilitatea datelor: aveți dreptul de a primi datele dumneavoastră personale pe care ni le-ați furnizat, într-un format structurat, de uz comun și citit de mașini, și de a le transmite unui alt operator de date dacă doriți. Acest drept se aplică doar datelor pe care le-ați furnizat activ (ex: informațiile profilului dumneavoastră, listele de oaspeți importate) sau generate prin activitatea dumneavoastră, și doar pentru prelucrările automatizate bazate pe consimțământul dumneavoastră sau un contract. În practică, organizatorii pot exporta ei înșiși multe date prin interfața noastră (ex. exportarea listei de participanți la un eveniment în CSV). Dacă doriți ca Evnyo să faciliteze transferul către un alt serviciu, vom face tot posibilul (ex: furnizarea unui fișier conținând evenimentele și contactele dumneavoastră invitate). Pentru participanți, portabilitatea poate fi exercitată la organizator (care este responsabil pentru prelucrarea datelor lor de invitație) sau la Evnyo, care va retransmite cererea.

• Dreptul de a nu fi supus unei decizii automatizate: Evnyo nu ia nicio decizie având efecte juridice sau semnificative asupra dumneavoastră într-o manieră automatizată (fără intervenție umană). Acest drept, prevăzut în articolul 22 din GDPR, vizează cazuri precum crearea automată de profiluri care duce la o refuzare de serviciu etc., ceea ce nu are loc aici. În orice caz, ați avea dreptul să solicitați intervenția umană, să vă exprimați punctul de vedere și să contestați decizia.

Pe lângă aceste drepturi, vă reamintim că dacă prelucrarea datelor dumneavoastră se bazează pe consimțământul dumneavoastră, puteți retrage acest consimțământ oricând (la fel de ușor cum l-ați acordat). Retragerea consimțământului pune capăt prelucrării în cauză pentru viitor, fără efect retroactiv (aceasta nu afectează legalitatea prelucrării trecute). De exemplu, vă puteți dezabona de la un newsletter sau refuza cookie-urile opționale, vom respecta această alegere imediat.

Exercitarea drepturilor dumneavoastră: Aceste drepturi pot fi exercitate gratuit (cu excepția abuzului repetat) prin contactarea noastră la coordonatele indicate în secțiunea Operatorul de date. Pentru a vă facilita demersurile, puteți trimite un email la privacy@evnyo.com precizând obiectul cererii dumneavoastră și justificându-vă identitatea (pentru a preveni exercitarea frauduloasă a drepturilor dumneavoastră de către o terță parte, am putea să vă cerem o dovadă sau o verificare). De asemenea, puteți trimite o scrisoare poștală la adresa noastră legală (menționată pe site-ul nostru) în atenția referentului pentru protecția datelor. Vom confirma primirea cererii dumneavoastră și o vom rezolva în cel mai scurt timp.

Termenul de răspuns: Ne angajăm să vă răspundem în termen de 1 lună de la primirea cererii. Dacă cererea dumneavoastră este complexă sau primim multe astfel de cereri, acest termen poate fi prelungit cu încă 2 luni, dar veți fi informat despre necesitatea prelungirii în prima lună. În cazul refuzului excepțional de a face dreptate cererii dumneavoastră (de exemplu, dacă este în mod evident neîntemeiată sau excesivă, art. 12 alineatul (5) din GDPR), vă vom expune motivele și veți avea posibilitatea să contestați această decizie.

Evnyo va căuta întotdeauna să faciliteze exercitarea drepturilor dumneavoastră. Nicio cerere rezonabilă nu va fi ignorată. Dacă considerați că nu v-am satisfăcut în exercitarea drepturilor dumneavoastră sau, mai general, că nu respectăm obligațiile noastre în materie de protecția datelor, aveți dreptul să depuneți o plângere la autoritatea de supraveghere competentă din țara dumneavoastră de reședință:

• Franța: Commission Nationale de l'Informatique et des Libertés (CNIL) - Site web: cnil.fr, secțiunea "Plângeri". Adresa: 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
• Regatul Unit: Information Commissioner's Office (ICO) - Site web: ico.org.uk
• Germania: În funcție de Landul dumneavoastră de reședință, contactați autoritatea competentă prin bfdi.bund.de
• Spania: Agencia Española de Protección de Datos (AEPD) - Site web: aepd.es
• Italia: Garante per la protezione dei dati personali - Site web: garanteprivacy.it
• Portugalia: Comissão Nacional de Proteção de Dados (CNPD) - Site web: cnpd.pt
• Polonia: Urząd Ochrony Danych Osobowych (UODO) - Site web: uodo.gov.pl
• România: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) - Site web: dataprotection.ro
• Țările de Jos: Autoriteit Persoonsgegevens (AP) - Site web: autoriteitpersoonsgegevens.nl
• Belgia: Autorité de protection des données (APD/GBA) - Site web: dataprotectionauthority.be
• Austria: Datenschutzbehörde (DSB) - Site web: dsb.gv.at

Dacă locuiți într-o altă țară UE/SEE, puteți contacta autoritatea de protecție a datelor din țara dumneavoastră, care va transmite, după caz, către autoritatea principală (CNIL franceză pentru Evnyo) sau va trata în cooperare cu aceasta conform mecanismului de ghișeu unic din GDPR.

Vă invităm totuși să ne contactați în prima instanță: suntem deschiși la dialog și vom face tot posibilul să rezolvăm direct orice problemă pe care ne-o aduceți la cunoștință.

(Observație: Pentru participanții invitați prin Evnyo, reţineți că organizatorul evenimentului este în general \"operatorul de date\" principal pentru datele dumneavoastră de invitație. Evnyo acționează atunci ca împuternicit. Astfel, vă puteți adresa cererile fie direct organizatorului (care ni le va transmite dacă este necesar), fie către Evnyo prin referentul nostru pentru protecția datelor – vom coopera strâns cu organizatorul pentru a vă răspunde.)

Site-ul și platforma Evnyo utilizează cookie-uri și tehnologii similare pentru diverse scopuri, în conformitate cu cerințele Directivei ePrivacy (2002/58/CE) și transpunerile sale naționale, în special:

• Franța: Articolele 82 și următoarele din Loi Informatique et Libertés modificată
• Germania: Telemediengesetz (TMG) și cerințele stricte BGH
• Spania: Ley de Servicios de la Sociedad de la Información (LSSI)
• Italia: Codice Privacy și orientările Garante
• Regatul Unit: Privacy and Electronic Communications Regulations (PECR)
• Țările de Jos: Telecommunicatiewet și orientările stricte ale Autoriteit Persoonsgegevens
• Belgia: Loi du 13 juin 2005 relative aux communications électroniques
• Austria: Telekommunikationsgesetz (TKG) și standardele stricte DSB
• România: Legea comunicațiilor electronice și orientările ANSPDCP
• Alte țări: Reglementări naționale echivalente

Consimțământ întărit: În timpul primei dumneavoastră vizite, un banner de consimțământ (furnizat de CookieYes) vă permite să acceptați sau să refuzați cookie-urile neesențiale în mod granular pe categorii. În conformitate cu standardele europene cele mai stricte, obținem consimțământul dumneavoastră prealabil, liber, specific, informat și neechivoc pentru fiecare scop. Puteți modifica alegerile dumneavoastră oricând făcând clic pe linkul "Cookie-uri" sau pictograma dedicată disponibilă pe site și să vă retrageți consimțământul la fel de ușor cum l-ați acordat.

Cookie-urile pe care le utilizăm se clasifică în special în următoarele categorii:

• Cookie-uri strict necesare: indispensabile pentru funcționarea site-ului sau pentru furnizarea serviciului pe care îl solicitați. De exemplu, cookie-urile de sesiune pentru a vă menține conectat sau cele care servesc la memorarea alegerilor de consimțământ. Aceste cookie-uri nu necesită consimțământ prealabil conform excepției din articolul 5 alineatul (3) din Directiva ePrivacy. Nu le puteți dezactiva fără a afecta serviciul, dar nu prelucrează date personale altele decât cele pur tehnice.

• Cookie-uri de performanță și statistici: aceste cookie-uri (Google Analytics sau echivalent, configurate cu respectarea reglementării cu anonimizarea IP și durata limitată de păstrare) ne ajută să înțelegem cum este utilizat site-ul, care pagini sunt cele mai vizitate etc. Am configurat aceste instrumente pentru a vă anonimiza IP-ul și a evita orice urmărire individuală. Sunt plasate doar cu consimțământul dumneavoastră explicit. Datele colectate sunt agregate pentru a îmbunătăți serviciile noastre și ergonomia site-ului.

• Cookie-uri de funcționalitate: îmbunătățesc experiența dumneavoastră (ex: memorarea preferințelor de afișare, limba etc.). Sunt opționale și supuse consimțământului prealabil.

• Cookie-uri de comunicare: dacă Evnyo integrează în viitor module de chat live, videoconferințe sau alte servicii terțe (ex. pentru webinarii), aceste servicii ar putea plasa propriile cookie-uri. Vor fi, de asemenea, supuse consimțământului și clar identificate în CMP.

Durata de păstrare: Fiecare cookie are o durată de viață predefinită și proporțională cu scopul său (ex. sesiune, 1 lună, maximum 13 luni pentru cookie-urile analitice). Veți găsi detaliul fiecărui cookie, scopul, emitentul și durata sa în Politica noastră Cookie-uri accesibilă prin CMP.

Trasabilitatea consimțământurilor: Evnyo menține un registru detaliat al consimțământurilor pentru cookie-uri prin CookieYes, ceea ce ne permite să păstrăm dovada acordului sau refuzului dumneavoastră pentru fiecare categorie de cookie-uri de pe site-ul nostru. Această trasabilitate garantează că respectăm preferințele dumneavoastră în mod continuu și permite demonstrarea conformității noastre în cazul unui control.

Nicio monetizare a datelor: Nu procedăm la nicio vânzare de date de navigare către agenții de publicitate sau alte părți terțe. Dacă ar fi utilizate cookie-uri terțe (ex. YouTube încorporat, Google Maps), acestea ar fi, de asemenea, supuse consimțământului dumneavoastră prealabil și clar identificate.

Pentru mai multe informații despre utilizarea noastră a cookie-urilor și despre cum să le configurați, consultați pagina noastră dedicată "Politica de Gestionare a Cookie-urilor" sau contactați-ne.

Evnyo permite participanților la eveniment să încarce fotografii în albumele de evenimente atunci când această funcție este activată de organizator. La încărcarea fotografiilor într-un eveniment, utilizatorii trebuie să ofere consimțământul explicit și să recunoască următoarele responsabilități:

Consimțământul și responsabilitățile utilizatorului: Înainte de a încărca orice fotografie, utilizatorii trebuie să confirme:

• Că au dreptul de a partaja conținutul încărcat
• Că toate persoanele identificabile din fotografii și-au dat consimțământul pentru a fi fotografiate și pentru ca fotografiile să fie partajate în contextul evenimentului
• Că organizatorul evenimentului poate folosi aceste fotografii în cadrul evenimentului
• Că acceptă responsabilitatea deplină pentru conținutul pe care îl încarcă

Alocarea responsabilității: Pentru a asigura o responsabilitate clară:

• Persoana care încarcă este singura responsabilă pentru conținutul pe care îl încarcă, inclusiv obținerea permisiunilor necesare de la persoanele care apar în fotografii
• Organizatorul evenimentului este responsabil pentru moderarea conținutului dacă a activat moderarea și pentru utilizarea pe care o face fotografiilor încărcate
• Evnyo acționează ca intermediar tehnic și nu este responsabil pentru conținutul încărcat de utilizatori, dar va coopera cu cererile legitime de eliminare

Drepturile de imagine și confidențialitate: Utilizatorii care încarcă fotografii trebuie să respecte:

• Drepturile de imagine ale tuturor persoanelor care apar în fotografii
• Legile privind confidențialitatea aplicabile în jurisdicția lor
• Contextul specific al evenimentului și orice restricții comunicate de organizator

Eliminarea conținutului: Dacă apăreți într-o fotografie și doriți să fie eliminată, puteți:

• Contacta direct organizatorul evenimentului
• Folosi funcția de raportare disponibilă la fiecare fotografie
• Contacta responsabilul nostru cu protecția datelor la privacy@evnyo.com

Vom procesa cererile de eliminare în conformitate cu legile aplicabile și putem solicita dovada identității pentru a asigura legitimitatea cererii.

Măsuri tehnice: Pentru transparență, înregistrăm:

• Confirmarea consimțământului (marcaj temporal și IP anonimizat)
• Metadatele de încărcare pentru responsabilitate
• Toate fotografiile sunt procesate pentru a elimina datele de localizare GPS pentru confidențialitate

Această politică de confidențialitate poate evolua, în special pentru a reflecta schimbările din practicile noastre sau pentru a se conforma eventualelor modificări legale/de reglementare. În cazul unei modificări substanțiale (ex. noi scopuri, noi destinatari etc.), vă vom informa în prealabil, printr-o notificare pe site sau un email și, dacă este cerut de lege, vă vom solicita consimțământul când modificarea o impune. Versiunea actualizată a politicii va fi întotdeauna accesibilă pe site-ul nostru în secțiunea "Confidențialitate". Vă invităm să o consultați periodic.

Data de intrare în vigoare: Această politică este în vigoare începând cu 01/06/2025.

Alegând Evnyo, încredințați datele dumneavoastră unei platforme care pune confidențialitatea și securitatea în centrul preocupărilor sale. Sperăm că acest document v-a oferit toată transparența așteptată despre practicile noastre. Dacă aveți întrebări suplimentare cu privire la datele dumneavoastră sau la conformitatea noastră, nu ezitați să ne contactați – echipa noastră și referentul nostru pentru protecția datelor sunt aici pentru a vă oferi răspunsuri specializate și personalizate.

Mulțumim pentru încrederea dumneavoastră și evenimente de succes cu Evnyo!