Politica de confidențialitate

Prezenta Politică de Confidențialitate descrie modul în care prelucrăm datele dumneavoastră cu caracter personal atunci când vizitați website-ul www.atelier-caracter.ro, ne contactați telefonic sau pe WhatsApp, beneficiați de serviciile noastre în salon sau interacționați cu noi pe rețelele sociale.

Operator de date cu caracter personal:

Denumire: HED TIME S.R.L.

Sediu social: Str. Paris, Nr. 55, Cluj-Napoca, jud. Cluj

Număr de înregistrare la Registrul Comerțului: J2012000944129

CUI: 30042849

E-mail: atelier.caracter@gmail.com

Telefon: +40 740 611 671

Website: www.atelier-caracter.ro

Persoană de contact pentru protecția datelor: Pentru orice întrebare, solicitare sau plângere referitoare la prelucrarea datelor personale, ne puteți contacta la adresa de e-mail atelier.caracter@gmail.com, cu mențiunea „Protecția datelor” în subiectul mesajului.

Prelucrăm datele dumneavoastră personale în conformitate cu:

• Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (denumit în continuare GDPR);
• Legea nr. 190/2018 privind măsuri de punere în aplicare a GDPR;
• Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice;
• alte acte normative aplicabile, inclusiv legislația fiscală, comercială și sanitară relevantă pentru activitatea de hairstyling și îngrijirea aspectului personal.

• nume și prenume;
• număr de telefon;
• adresă de e-mail;
• data nașterii (opțional, pentru promoții de zile de naștere și program de fidelitate);
• sex / gen (opțional, pentru personalizarea recomandărilor de servicii);
• date de pe documente fiscale (bonuri, facturi), atunci când este cazul;
• nume utilizator pe rețele sociale, atunci când ne contactați prin Facebook Messenger, Instagram DM sau WhatsApp.

• istoricul programărilor (date, ore, servicii alese, stilist preferat);
• istoricul serviciilor efectuate în salon;
• rețete și formule tehnice (de ex. nuanțe de vopsea, timpi de pauză, decolorări, tratamente aplicate) păstrate ca fișă tehnică a clientului pentru continuitatea serviciului;
• preferințe exprimate (lungime, stil, produse preferate, observații ale stilistului);
• note privind alergii, sensibilități sau intoleranțe la produse — vezi secțiunea 3.5 privind datele sensibile.

• fotografii înainte/după servicii, pentru documentație tehnică internă (cu consimțământ explicit);
• fotografii folosite în portofoliul stilistului și în comunicarea publică a Salonului pe rețele sociale, website sau materiale de marketing (cu consimțământ explicit);
• imagini provenite din înregistrările camere comune ale salonului (informarea privind sistemul de supraveghere video este afișată vizibil la intrarea în salon).

Datele cardului bancar nu sunt stocate de noi. Plata cu cardul, atunci când este disponibilă, este procesată prin terminale POS și procesatori autorizați, care acționează ca operatori independenți pentru operațiunile de plată.

• sumele achitate și serviciile la care se referă;
• modalitatea de plată (numerar, card, transfer bancar);
• date pentru emiterea facturii fiscale, atunci când este solicitată (denumire persoană fizică/juridică, CNP / CUI, adresă);
• avansuri și confirmări de transfer.

Pentru protecția sănătății dumneavoastră și pentru alegerea corectă a produselor și procedurilor, putem prelucra date privind:

• alergii la coloranți capilari, decolorante sau alte substanțe cosmetice;
• sensibilități ale pielii sau scalpului;
• afecțiuni dermatologice relevante pentru servicii;
• starea de graviditate / alăptare, atunci când dumneavoastră alegeți să ne informați, pentru a evita anumite produse;
• medicamente sau tratamente în curs care pot afecta rezultatul serviciilor (ex. tratamente cu retinoizi).

Aceste date se prelucrează exclusiv pe baza consimțământului dumneavoastră explicit, exprimat în scris în formularul de Acord GDPR, și sunt păstrate strict pentru scopul protecției sănătății și al adaptării serviciilor.

• opțiuni de comunicare exprimate (canale acceptate: SMS, e-mail, WhatsApp, telefon);
• istoric al mesajelor de marketing trimise și deschise (acolo unde se aplică);
• preferințe cu privire la promoții, evenimente sau produse;
• date privind participarea la programul de fidelitate (puncte acumulate, recompense).

• date introduse în formularul de programare online (nume, prenume, telefon, e-mail);
• date tehnice colectate automat: adresă IP, tipul și versiunea browserului, sistemul de operare, dispozitivul utilizat;
• găzduirea website-ului este realizată pe platforma RedHost.ro.

Datele sunt colectate în cea mai mare parte direct de la dumneavoastră, atunci când:

• completați formularul de Acord GDPR la prima vizită în salon;
• completați formularul de programare online;
• ne contactați telefonic, pe WhatsApp sau pe rețele sociale (Facebook, Instagram);
• efectuați o plată în salon;
• interacționați cu noi în timpul prestării serviciilor.

Putem prelucra și date care provin din surse terțe în condiții limitate, de exemplu:

• date de la procesatorii de plată (privind confirmarea plății);
• date publice de pe rețelele sociale, atunci când ne contactați public sau prin mesaj direct;
• date primite de la persoana care vă face cadou un voucher (numele și numărul dumneavoastră, transmise pentru contactarea în vederea programării).

Datele cu caracter personal sunt prelucrate exclusiv în scopurile descrise mai jos și numai în baza unui temei juridic valabil. Pentru fiecare scop, indicăm temeiul juridic aplicabil.

Scop: primirea și confirmarea programărilor, planificarea agendei, prestarea serviciilor de hairstyling, coafat, culoare, tratamente capilare și orice alte servicii de îngrijire personală oferite de salon, comunicarea cu dumneavoastră cu privire la programare (modificări, amânări, anulări), ținerea fișei tehnice a clientului pentru continuitatea serviciului.

Temei juridic: art. 6 alin. (1) lit. b) GDPR — prelucrarea este necesară pentru executarea contractului încheiat cu dumneavoastră (rezervarea și prestarea serviciului) sau pentru efectuarea de demersuri la cererea persoanei vizate înainte de încheierea contractului.

Scop: alegerea produselor și procedurilor compatibile cu eventuale alergii, sensibilități sau alte particularități medicale relevante pe care ne le comunicați voluntar.

Temei juridic: art. 9 alin. (2) lit. a) GDPR — consimțământul exprimat distinct în formularul de Acord GDPR.

Refuzul de a comunica aceste informații nu împiedică prestarea serviciilor, dar implică asumarea de către dumneavoastră a riscului unor reacții adverse care nu pot fi anticipate de stilistul nostru.

Scop: emiterea bonurilor fiscale și a facturilor, ținerea evidențelor contabile, raportare către autoritățile fiscale, păstrarea documentelor financiare conform legii.

Temei juridic: art. 6 alin. (1) lit. c) GDPR — obligație legală (Codul fiscal, Legea contabilității nr. 82/1991, OUG nr. 28/1999 privind casele de marcat).

Scop: transmiterea de mesaje promoționale (oferte, evenimente, lansări de servicii), urări de ziua de naștere, newsletter și alte comunicări de marketing prin SMS, e-mail și/sau WhatsApp.

Temei juridic: art. 6 alin. (1) lit. a) GDPR — consimțământ liber exprimat. Consimțământul poate fi retras în orice moment, fară ca aceasta să afecteze legalitatea prelucrării anterioare retragerii.

Scop: înregistrarea participanților, calcularea punctelor sau a recompenselor, comunicarea statusului și a beneficiilor în cadrul programului.

Temei juridic: art. 6 alin. (1) lit. a) GDPR — consimțământ; sau art. 6 alin. (1) lit. b) GDPR atunci când participarea la program face parte din acordul de servicii.

Scop: publicarea de fotografii înainte/după în portofoliul stilistului, pe pagina de Facebook și Instagram a Salonului, pe website, în materiale promoționale.

Temei juridic: art. 6 alin. (1) lit. a) GDPR — consimțământ explicit. Puteți solicita oricând retragerea unei fotografii anume sau a tuturor fotografiilor.

Scop: primirea, înregistrarea și soluționarea reclamațiilor, colectarea de feedback privind calitatea serviciilor, derularea de sondaje de satisfacție.

Temei juridic: art. 6 alin. (1) lit. f) GDPR — interes legitim al Salonului în îmbunătățirea calității serviciilor și protecția reputației; respectiv art. 6 alin. (1) lit. c) GDPR pentru obligația legală de a răspunde la reclamații.

Scop: evidența istoricului contractual și de plată pentru cazul în care apare un litigiu cu privire la prestarea serviciilor.

Temei juridic: art. 6 alin. (1) lit. f) GDPR — interes legitim al Salonului.

Scop: monitorizarea video a spațiilor comune ale salonului, pentru protecția clienților, a personalului și a bunurilor.

Temei juridic: art. 6 alin. (1) lit. f) GDPR — interes legitim, cu respectarea principiilor minimizării datelor și informarea vizibilă a persoanelor înainte de intrarea în zona supravegheată.

Datele de identificare și contact (nume, prenume, telefon, e-mail, sex) sunt necesare pentru efectuarea programării și pentru a vă putea contacta în legătură cu rezervarea, modificarea sau confirmarea serviciului.

Data nașterii și alte date de profil sunt opționale.

Datele privind alergiile și sănătatea sunt opționale, dar comunicarea lor este în interesul sănătății dumneavoastră. Refuzul implică asumarea riscului de reacții adverse care nu pot fi anticipate.

Consimțămintele de marketing, fotografii și fidelitate sunt strict opționale și pot fi retrase în orice moment.

Datele dumneavoastră nu sunt vândute, închiriate sau comercializate. Le pot primi exclusiv următoarele categorii de destinatari, în limita strictă a scopului și a temeiului juridic aplicabil:

Stiliștii, asistenții și personalul de la recepție au acces la datele clientelei în limita necesară îndeplinirii sarcinilor: gestionare programări, prestare servicii, evidența plăților. Personalul este instruit privind protecția datelor și a semnat acorduri de confidențialitate.

• Furnizor software de programări și CRM — pentru gestionarea agendei, evidenței clientelei, automatizarea mesajelor de confirmare;
• Furnizor de găzduire web — pentru funcționarea website-ului și a formularelor de contact / programare;
• Furnizor de servicii de e-mail și SMS marketing — pentru transmiterea newsletter-ului și a campaniilor;
• WhatsApp Business — pentru comunicarea pe canalul WhatsApp;
• Cabinet de contabilitate — pentru ținerea evidenței contabile și raportările fiscale;
• Procesatori de plată (bancă acceptatoare, terminal POS) — pentru încasarea plăților cu cardul și transferurilor;
• Furnizor de servicii de curățenie și mentenanță — acces limitat, fara prelucrare directă a datelor;
• Consultanți juridici, de protecția datelor sau audit — în temei contractual, sub clauză de confidențialitate.

Persoanele împuternicite prelucrează datele numai în baza unui contract încheiat cu Salonul, conform art. 28 GDPR, în limita strictă a instrucțiunilor noastre și sub clauze adecvate de confidențialitate și securitate.

Transmitem date către autoritățile publice atunci când legea ne obligă: ANAF, ANSPDCP, ANPC, Inspectoratul de Muncă, instanțele de judecată, organele de poliție sau parchet, în limita strictă a obligației legale.

Atunci când publicăm fotografii cu acordul dumneavoastră pe paginile noastre de Facebook și Instagram, datele (imaginea și, eventual, menționarea numelui de utilizator) ajung pe platforma Meta, care operează în calitate de operator independent, conform politicilor proprii. Vă recomandăm să consultați politica lor de confidențialitate înainte de a vă da consimțământul pentru publicare.

Majoritatea furnizorilor noștri prelucrează datele în Uniunea Europeană sau în Spațiul Economic European (SEE).

Anumiți furnizori terți (de exemplu, servicii cloud, servicii de marketing, platforme de rețele sociale) pot prelucra date în afara SEE, inclusiv în Statele Unite ale Americii. În aceste cazuri, transferul se realizează în baza unei garanții adecvate prevăzute de art. 46 GDPR, cum ar fi:

• clauze contractuale standard adoptate de Comisia Europeană;
• decizii de adecvare ale Comisiei Europene (de exemplu, EU-U.S. Data Privacy Framework pentru transferurile către operatori americani certificați).

Păstrăm datele numai atât timp cât este necesar pentru îndeplinirea scopului pentru care au fost colectate sau pentru respectarea unei obligații legale. Termenele sunt următoarele:

• Date contractuale și istoric servicii: pe durata relației contractuale, plus 3 ani de la ultima vizită, pentru gestionarea eventualelor reclamații și pentru continuitatea serviciului în cazul revenirii în salon.
• Documente fiscale și contabile (facturi, bonuri, documente de plată): 10 ani de la încheierea exercițiului financiar, conform Legii contabilității nr. 82/1991.
• Date privind reclamațiile: 3 ani de la soluționarea reclamației, pentru constatarea, exercitarea sau apărarea unui drept în instanță.
• Date privind alergiile și sănătatea: pe durata relației contractuale, până la retragerea consimțământului sau ștergerea fișei clientului. Fișele de client nu se transferă.
• Fotografii pentru portofoliu/comunicare publică: până la retragerea consimțământului. După retragere, vom înceta utilizarea în comunicare prospectivă.
• Date pentru marketing: până la retragerea consimțământului sau o perioadă maximă de 3 ani de la momentul consimțământului.
• Înregistrări video de supraveghere (dacă există): maxim 30 de zile, cu excepția incidentelor pentru care înregistrarea este necesară ca probă.

La expirarea termenului de retenție, datele sunt șterse sau distruse în condiții de siguranță.

Implementăm măsuri tehnice și organizatorice adecvate pentru protecția datelor cu caracter personal împotriva accesului neautorizat, pierderii, distrugerii sau alterării accidentale, inclusiv:

• acces controlat la sistemele care conțin date personale, pe bază de utilizator și parolă;
• instruirea personalului privind protecția datelor și confidențialitatea;
• clauze de confidențialitate în contractele de muncă și în relațiile cu colaboratorii;
• backup periodic al datelor electronice;
• păstrarea documentelor pe suport hârtie în spații închise și securizate;
• politici interne privind utilizarea echipamentelor, a rețelei și a comunicațiilor electronice.

În cazul în care, în pofida măsurilor luate, are loc o încălcare a securității datelor cu caracter personal care prezintă un risc pentru drepturile și libertățile dumneavoastră, vom notifica ANSPDCP în termen de 72 de ore și vă vom informa direct, atunci când încălcarea este de natură să prezinte un risc ridicat, conform art. 33 și 34 GDPR.

Conform GDPR, beneficiați de următoarele drepturi cu privire la datele dumneavoastră cu caracter personal:

Aveti dreptul de a obtine din partea noastra o confirmare a faptului ca prelucram sau nu date cu caracter personal care va privesc si, in cazul in care confirmam faptul ca detinem datele dumneavoastra cu caracter personal, aveti dreptul sa le accesati si sa obtineti o serie de informatii suplimentare relevante.

Dispuneti de posibilitatea de a obtine din partea operatorului de date, rectificarea datelor inexacte care va privesc sau completarea datelor cu caracter personal care sunt incomplet inregistrate in evidentele noastre interne.

Puteți solicita ștergerea datelor atunci când:

• nu mai sunt necesare scopului prelucrării;
• vă retrageți consimțământul și nu există alt temei juridic;
• vă opuneți prelucrării și nu există motive legitime imperative care să prevaleze;
• datele au fost prelucrate ilegal.

Acest drept nu este absolut. Nu putem șterge documentele fiscale și contabile pe care legea ne obligă să le păstrăm, și nu putem șterge datele relevante într-o dispută sau reclamație aflată în curs.

Aveti posibilitatea sa ne solicitati sa restrictionam prelucrarea datelor dumneavoastra cu caracter personal atunci cand:

• contestati exactitatea datelor cu caracter personal pe care le prelucram, pe perioada cat verificam exactitatea datelor;
• prelucrarea datelor este nelegala, insa in loc sa cereti stergerea datelor cu caracter personal doriti restrictionarea prelucrarii acestora;
• datele cu caracter personal nu ne mai sunt necesare pentru realizarea scopului pentru care au fost prelucrate, dar ne solicitati acele date pentru constatarea, exercitarea sau apararea unui drept in instanta;
• v-ati opus prelucrarii si solicitati restrictionare pe timpul cat verificam daca primeaza interesul nostru legitim pentru prelucrare.

Pentru datele prelucrate în baza consimțământului sau a contractului, și prin mijloace automate, puteți solicita primirea acestora într-un format structurat, utilizat în mod curent și care poate fi citit automat, sau transmiterea directă către un alt operator, atunci când este fezabil din punct de vedere tehnic.

În orice moment, persoana vizată are dreptul de a se opune, din motive legate de situația particulară în care se află, prelucrării. Operatorul nu mai prelucrează datele cu caracter personal, cu excepția cazului în care operatorul demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță.

Puteti obiecta in orice moment la prelucrarea datelor dumneavoastra cu caracter personal in scop de marketing direct, oricare ar fi motivul dumneavoastra.

Salonul nu utilizează procese automatizate de luare a deciziilor sau profiling cu efecte juridice asupra dumneavoastră.

Atunci când prelucrarea se bazează pe consimțământ, îl puteți retrage în orice moment, fară ca aceasta să afecteze legalitatea prelucrării efectuate pe baza consimțământului înainte de retragere. Retragerea poate fi făcută prin oricare dintre canalele de contact menționate la pct. 1 (recomandăm e-mail la „atelier.caracter@gmail.com”).

Dacă considerați că drepturile vă sunt încălcate, puteți depune o plângere la:

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)

Adresa: B-dul G-ral. Gheorghe Magheru, nr. 28-30, Sector 1, București, cod poștal 010336;

Telefon: +40.318.059.211 / +40.318.059.212;

E-mail: anspdcp@dataprotection.ro;

Website: www.dataprotection.ro.

Vă puteți exercita drepturile prin oricare dintre următoarele canale:

• E-mail: atelier.caracter@gmail.com;
• În salon: printr-o cerere scrisă, înaintată la sediul social: Str. Paris, Nr. 55, Cluj-Napoca, jud. Cluj.

Cererea trebuie să conțină informații suficiente pentru identificarea dumneavoastră (nume, telefon sau e-mail folosit în relația cu noi). În cazul în care există îndoieli rezonabile cu privire la identitatea solicitantului, putem cere informații suplimentare necesare pentru confirmarea identității.

Vom depune toate diligentele pentru a va raspunde la cererea adresata, in termen de 30 de zile. Aceasta perioada poate fi prelungita din cauza unor motive legate de dreptul legal specific invocat sau de complexitatea cererii dumneavoastra cu o perioada aditionala maxima de doua luni. In orice caz, daca termenul legal de raspuns va fi prelungit, atunci va vom informa in privinta noului termen si a motivelor care au dus la aceasta prelungire.

Exercitarea drepturilor este gratuită. În cazul cererilor vădit nefondate sau excesive (în special prin caracterul lor repetitiv), putem percepe o taxă rezonabilă sau putem refuza să dăm curs cererii.

Putem actualiza prezenta Politică de Confidențialitate pentru a reflecta modificări legale, organizatorice sau tehnice. Versiunea actualizată va fi publicată pe website și va menționa data ultimei revizuiri. Pentru modificări substanțiale care vă afectează drepturile, vom face efortul rezonabil de a vă informa direct (e-mail sau notificare în salon, după caz).