Politique de protection des données à caractère personnel
L’objet de cette Politique de protection des données à caractère personnel (ci-après : la Politique) est d’informer les clients, les utilisateurs et autres personnes (ci-après : les individus) des objectifs et de la base juridique de traitement des données à caractère personnel dans la société STEKLARNA HRASTNIK d.o.o., Cesta 1. maja 14, SI-1430 Hrastnik (ci-après : le processeur ou la société), ainsi que des droits des individus dans ce domaine.
Parallèlement, cette Politique apporte des précisions supplémentaires quant au consentement aux opérations de traitement des données.
En vertu du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après : le « Règlement général sur la protection des données”), de la loi sur la protection des données à caractère personnel (Journal officiel de la République de Slovénie no. 86/2004, ainsi que ses modifications et suppléments, ci-après : la ZVOP-1) et du Règlement sur la protection des données personnelles du 25 mai 2018, cette Politique comprend les informations suivantes :
- les coordonnées de la société et de la personne responsable de la protection des données,
- les fins, les bases et les types de traitement de différents types de données personnelles des individus, y compris le profilage de données personnelles des individus,
- la transmission de données à des tiers et vers les pays tiers,
- la période de conservation des catégories individuelles des données personnelles,
- les droits des individus en matière de traitement de données à caractère personnel,
- le droit de déposer une plainte concernant le traitement des données à caractère personnel.
Le cas échéant, les dispositions relatives aux individus s’appliquent également aux questions de confidentialité des communications des utilisateurs étant des personnes morales.
Le contrôleur des données personnelles traitées conformément à la Politique de protection des données à caractère personnel est STEKLARNA HRASTNIK d.o.o., Cesta 1. maja 14, SI-1430 Hrastnik, numéro d’identification : 5254132000.
La finalité du traitement des données à caractère personnel
Le traitement des données à caractère personnel dans les bases de données d’une société n’est légal que s’il existe une base appropriée pour ledit traitement, à savoir : dans la mesure où les données à caractère personnel sont traitées en vertu de la loi ou dans le but de remplir une obligation légale, sur la base du consentement personnel de l’individu, dans la mesure où le traitement est nécessaire pour l’exécution d’un contrat ou des intérêts légitimes de la société ou d’un tiers, ou pour l’exécution d’une tâche dans l’intérêt public, ainsi que s’il existe une autre base juridique visée à l’article 6 du Règlement général (ci-après : la base juridique).
Les données à caractère personnel ne peuvent être traitées qu’aux fins spécifiées et légales pour lesquelles elles sont collectées et ne peuvent pas être traitées de manière à ce que leur traitement soit incompatible avec ces fins ou avec les fins pour lesquelles elles ont été initialement collectées, sauf disposition contraire prévue par la législation applicable.
Traitement basé sur le consentement personnel de l’individu :
La société traite les données à caractère personnel des individus à des fins de la commercialisation directe.
Dans le cadre de l’exercice des droits et de l’exécution des obligations contractuelles, la société traite les données à caractère personnel des individus aux fins suivantes :
- afin de les informer sur nos services
- afin de les informer sur les nouveautés dans le domaine des produits
- afin de les informer sur les événements de l’organisation
- afin d’évaluer le niveau de satisfaction de nos clients
Traitement basé sur les intérêts légitimes de la société :
La société peut également traiter les données sur la base d’un intérêt légitime poursuivi par l’entreprise ou par les tiers, sauf si ces intérêts sont outrepassés par les intérêts ou les droits et libertés fondamentaux de la personne concernée qui exigent la protection des données à caractère personnel, particulièrement lorsque ces données concernent un enfant. Concernant la poursuite de l’utilisation des données à caractère personnel, la société procède à une évaluation conformément au Règlement général sur la protection des données.
Une telle utilisation ultérieure de données sous forme pseudonymisé ou agrégée concerne, par exemple, l’utilisation légale de données pour la commercialisation ou pour d’autres analyses commerciales ou techniques préparées par la société.
La suppression de certaines données peut également être utilisée en tant que mesure supplémentaire pour certaines formes d’utilisation ultérieure de données relatives au trafic.
Chaque individu a le droit de s’opposer au traitement conformément au point 6/iv de la Politique.
Sur la base de l’intérêt légitime, la société peut contacter des individus dans le but d’améliorer les services afin d’évaluer leur niveau de satisfaction à l’égard des services ou de l’expérience utilisateur, même dans les cas où cela n’est pas strictement nécessaire pour l’exécution du contrat. En raison d’examiner cet intérêt et de le comparer aux intérêts des individus, la société ne contacte plus les personnes qui se sont opposées à cela.
La société conserve des données de trafic agrégées, y compris des données sur l’itinérance, en vue d’établir l’usage national prédominant ou la présence nationale dominante d’un individu en Slovénie pour une période de six mois.
Le processeur ou la société peuvent traiter les données personnelles dans la mesure strictement nécessaire et proportionnée afin d’assurer le fonctionnement continu et la sécurité du réseau et des informations, c’est-à-dire la capacité d’un réseau ou d’un système d’information à prévenir, à un certain niveau de confiance, les événements accidentels ou les actes illégaux ou malveillants qui menacent l’accessibilité, l’authenticité, l’intégrité et la confidentialité des données personnelles stockées ou transférées, ainsi que la sécurité des services connexes offerts ou accessibles par le biais de réseaux et de systèmes. Cela comprend, par exemple, la prévention d’un accès non autorisé aux réseaux de communications électroniques, la prolifération de codes malveillants, les attaques menant au déni de service et les dommages provoqués dans les systèmes informatiques et dans les systèmes de communication électronique. Cela peut inclure le traitement des données de diagnostic du réseau (données techniques ou indications de l’équipement) et des données d’historique dans les outils de diagnostic qui pourraient permettre une ré-identification d’un individu.
Jusqu’à l’expiration de la période de conservation légale, la société peut anonymiser ou agréger et réutiliser les données à des fins d’analyse et de recherche au niveau de commercialisation, de planification de réseau et d’autres fins similaires.
Les autres intérêts de la société peuvent inclure la prévention des abus, l’exécution des réclamations ou la défense contre les réclamations dans les procédures administratives et judiciaires. L’intérêt légitime comporte également la vérification légitime de la solvabilité des individus.
En cas de suspicion d’abus, la société peut traiter les données à caractère personnel dans une mesure appropriée et proportionnée afin d’identifier et de prévenir les fraudes ou les abus potentiels et peut également, si nécessaire, transmettre ces données à d’autres entités juridiques privées ou publiques, telles que des partenaires commerciaux, la police, des procureurs ou d’autres autorités compétentes. Afin de prévenir de futurs abus ou fraudes, des informations sur l’historique des abus détectés doivent être fournies.
La société peut traiter des données sur les obligations contractuelles des individus (les données sur les factures payées) afin d’assurer une meilleure qualité de ses services.
Consentement de l’individu au traitement des données à caractère personnel
La société peut traiter les données à caractère personnel sur la base du consentement d’un individu. L’individu donne son consentement pour chaque but spécifiquement identifié, notamment sous la forme d’un formulaire électronique ou sous une autre forme. Le consentement peut faire référence à l’information sur l’offre et sur les services, à la préparation de l’offre, aux nouveautés dans le domaine des produits, aux informations sur les événements de l’organisation, à l’établissement du niveau de satisfaction de nos clients adapté aux habitudes individuelles de chaque utilisateur, ou à la prestation de services à valeur ajoutée. La communication s’effectue par les voies choisies par l’individu dans son formulaire de consentement. La notification à l’aide d’une adresse électronique implique le transfert d’une adresse électronique à un processeur externe afin d’afficher les messages publicitaires de la société lorsque l’utilisateur navigue sur l’Internet.
La personne concernée peut retirer ou modifier sosn consentement à tout moment, en utilisant les mêmes moyens qui ont été utilisés pour donner ce consentement ou en utilisant une autre manière spécifiée par la société, tout en sachant que la société se réserve le droit d’identifier le client. Le retrait ou la modification du consentement ne s’applique qu’aux données traitées sur la base du consentement. Le dernier consentement fourni par l’individu et reçu par la société est le consentement valide. La possibilité de retirer le consentement ne représente pas le droit de rétractation au niveau de la relation professionnelle établie entre l’individu et la société.
Pour un enfant mineur qui, conformément à la législation applicable, ne peut pas lui-même donner son consentement, le consentement peut être donné par l’un de ses parents, de ses gardiens ou de ses tuteurs. Ce consentement reste en vigueur jusqu’à ce qu’il soit révoqué ou modifié par un parent, un gardien ou un tuteur ou par l’enfant lui-même, lorsqu’il aura obtenu ce droit conformément à la législation applicable.
Lorsque le consentement implique la commercialisation directe basée sur le profil de l’individu, la société peut effectuer le profilage de l’individu basé sur :
- ses décisions d’achat prises dans le passé
- sa définition géographique
- les conditions de paiement
- les conditions de livraison
- les plaintes et les compliments
- l’analyse de la réactivité de l’envoi de messages commerciales
Le profilage peut donner lieu à une offre ou à des informations sur une offre de la société, mais ne crée en aucun cas des obligations légales pour l’individu. Le profilage à des fins de commercialisation directe peut inclure l’utilisation de la date de naissance de l’individu.
Les données pour lesquelles le consentement est donné sont traitées, à défaut de révocation, pendant une période maximale de trois ans après la fin de la relation professionnelle entre l’individu et la société.
Transmission de données vers les pays tiers
Si les données personnelles sont traitées dans le cadre de la législation européenne et des réglementations slovènes, la société peut fournir des données personnelles concernant des individus :
(i) aux personnes qui effectuent des tâches de traitement individuelles pour la société, telles que
la préparation et la transmission de factures ou d’analyses de données, la maintenance et le développement de services, lorsque ces tâches comprennent, dans la mesure nécessaire, le traitement de données à caractère personnel ;
(ii) aux personnes fournissant des services de vente et de commercialisation, y compris des services de vente et de commercialisation sur le terrain, ou aux personnes qui coopèrent avec la société dans la commercialisation et la vente de ses propres services ou de services tiers, dans la mesure nécessaire afin d’accomplir ces tâches dans le cadre des fins et des bases définies dans la présente Politique.
Si la société est connectée à une autre société ou acquise par une autre société, les données à caractère personnel seront transférées à l’acquéreur conformément à la loi. En utilisant nos services, vous acceptez de poursuivre le traitement de vos données à caractère personnel par l’acquéreur.
Conservation des données à caractère personnel
Les informations de facturation et les données à caractère personnel des individus relatives à ces informations peuvent être conservées dans le but de remplir les obligations contractuelles jusqu’au paiement intégral du service, ou jusqu’à l’expiration des délais de prescription de chaque réclamation individuelle, sachant que ces délais peuvent durer entre un et cinq ans en vertu de la loi. Conformément à la loi régissant la taxe sur la valeur ajoutée, les factures sont conservées pendant 10 ans après la fin de l’année à laquelle se rapporte la facture.
Lorsque les données sur le trafic sont traitées sur la base du consentement de l’individu en raison de la commercialisation de services, de la vente de biens ou de la fourniture de services à valeur ajoutée, ces données peuvent, dans la mesure nécessaire, être traitées aussi longtemps que cela est nécessaire pour cette commercialisation ou pour ces services.
Traitement des données à caractère personnel et les droits des individus
La société doit s’assurer que les individus peuvent exercer leurs droits sans retard indu et, en tout état de cause, dans un délai d’un mois à compter de la réception de la demande. La société peut proroger le délai d’exercice des droits des individus pour un maximum de deux mois supplémentaires, compte tenu de la complexité et du nombre de demandes. Si la société proroge le délai, elle doit en informer l’individu dans un délai d’un mois à compter de la réception de la demande, et doit par la même occasion également informer l’individu des motifs du retard.
La société accepte les demandes concernant les droits des individus à l’adresse électronique suivante : gdpr@hrastnik1860.com ou à l’adresse postale suivante : STEKLARNA HRASTNIK d.o.o., Cesta 1. maja 14, SI-1430 Hrastnik. Chaque individu peut soumettre sa demande au point de vente de la société qui se trouve à l’adresse suivante : STEKLARNA HRASTNIK d.o.o., Cesta 1. maja 14, SI-1430 Hrastnik.
Lorsque la personne concernée soumet sa demande par voie électronique, les informations sont, dans la mesure du possible, également fournies par voie électronique, à moins que le sujet des données ne demande à ce qu’elles soient fournies autrement.
En cas de doute raisonnable quant à l’identité de l’individu qui soumet une demande relative à l’un de ses droits, la société peut exiger des informations supplémentaires nécessaires afin de vérifier l’identité de la personne concernée.
Lorsque les demandes de la personne concernée sont manifestement infondées ou excessives, notamment parce qu’elles sont répétitives, la société peut :
- facturer des frais raisonnables, en tenant compte des coûts administratifs liés à la transmission de l’information ou de la communication, ou à la mise en œuvre de l’action demandée, ou
- refuser de donner suite à cette demande.
En matière de traitement de données à caractère personnel, les individus bénéficient des droits suivants accordés par la société :
(i) le droit d’accès aux données,
(ii) le droit de rectification,
(iii) le droit à l’effacement (« droit à l’oubli »),
(iv) le droit à la limitation du traitement,
(v) le droit à la portabilité des données,
(vi) le droit d’opposition.
(i) Le droit d’accès aux données
La personne concernée a le droit d’obtenir de la société une confirmation du traitement des données à caractère personnel la concernant et, le cas échéant, peut également bénéficier du droit d’accéder aux données à caractère personnel et à toutes les informations complémentaires relatives au traitement des données à caractère personnel, y compris :
- les finalités du traitement ;
- les types de données à caractère personnel ;
- les utilisateurs ou les catégories d’utilisateurs auxquels des données à caractère personnel ont été ou seront divulguées, en particulier les utilisateurs venant des pays tiers ou des organisations internationales ;
- dans la mesure du possible, la période envisagée de conservation des données à caractère personnel ou, si cela n’est pas possible, les critères utilisés pour déterminer cette période ;
- l’existence du droit de demander au contrôleur de corriger ou de supprimer des données à caractère personnel ou de restreindre le traitement des données à caractère personnel liées à la personne concernée, ou l’existence du droit de s’opposer à ce traitement ;
- le droit de déposer une plainte auprès d’une autorité de surveillance ;
- toute information disponible relative à la source des données à caractère personnel, lorsqu’elles ne sont pas recueillies auprès de l’individu concerné ;
- l’existence d’une prise de décision automatisée, y compris le profilage, et des informations significatives sur les raisons de cette prise de décision, ainsi que la signification et les conséquences prévisibles d’un tel traitement pour l’individu.
Conformément à la demande déposée par un individu, la société doit fournir une copie des données à caractère personnel traitées relativement à cet individu. Pour toute copie supplémentaire des données demandées par la personne concernée, la société peut également facturer des frais raisonnables tenant compte des coûts administratifs.
Le droit de s’opposer au traitement des données à caractère personnel
La société doit s’assurer que les individus peuvent exercer leurs droits sans retard indu et, en tout état de cause, dans un délai d’un mois à compter de la réception de la demande. La société peut proroger le délai d’exercice des droits des individus pour un maximum de deux mois supplémentaires, compte tenu de la complexité et du nombre de demandes. Si la société proroge le délai, elle doit en informer l’individu dans un délai d’un mois à compter de la réception de la demande, et doit par la même occasion également informer l’individu des motifs du retard.
La société accepte les demandes concernant les droits des individus à l’adresse électronique suivante : mailto:gdpr@hrastnik1860.com ou à l’adresse postale suivante : STEKLARNA HRASTNIK d.o.o., Cesta 1. maja 14, SI-1430 Hrastnik. Chaque individu peut soumettre sa demande au point de vente de la société qui se trouve à l’adresse suivante : STEKLARNA HRASTNIK d.o.o., Cesta 1. maja 14, SI-1430 Hrastnik.
Lorsque la personne concernée soumet sa demande par voie électronique, les informations sont, dans la mesure du possible, également fournies par voie électronique, à moins que le sujet des données ne demande à ce qu’elles soient fournies autrement.
En cas de doute raisonnable quant à l’identité de l’individu qui soumet une demande relative à l’un de ses droits, la société peut exiger des informations supplémentaires nécessaires afin de vérifier l’identité de la personne concernée.
Lorsque les demandes de la personne concernée sont manifestement infondées ou excessives, notamment parce qu’elles sont répétitives, la société peut :
- facturer des frais raisonnables, en tenant compte des coûts administratifs liés à la transmission de l’information ou de la communication, ou à la mise en œuvre de l’action demandée, ou
- refuser de donner suite à cette demande.
En matière de traitement de données à caractère personnel, les individus bénéficient des droits suivants accordés par la société :
(i) le droit d’accès aux données,
(ii) le droit de rectification,
(iii) le droit à l’effacement (« droit à l’oubli »),
(iv) le droit à la limitation du traitement,
(v) le droit à la portabilité des données,
(vi) le droit d’opposition.
(i) Le droit d’accès aux données
La personne concernée a le droit d’obtenir de la société une confirmation du traitement des données à caractère personnel la concernant et, le cas échéant, peut également bénéficier du droit d’accéder aux données à caractère personnel et à toutes les informations complémentaires relatives au traitement des données à caractère personnel, y compris :
- les finalités du traitement ;
- les types de données à caractère personnel ;
- les utilisateurs ou les catégories d’utilisateurs auxquels des données à caractère personnel ont été ou seront divulguées, en particulier les utilisateurs venant des pays tiers ou des organisations internationales ;
- dans la mesure du possible, la période envisagée de conservation des données à caractère personnel ou, si cela n’est pas possible, les critères utilisés pour déterminer cette période ;
- l’existence du droit de demander au contrôleur de corriger ou de supprimer des données à caractère personnel ou de restreindre le traitement des données à caractère personnel liées à la personne concernée, ou l’existence du droit de s’opposer à ce traitement ;
- le droit de déposer une plainte auprès d’une autorité de surveillance ;
- toute information disponible relative à la source des données à caractère personnel, lorsqu’elles ne sont pas recueillies auprès de l’individu concerné ;
- l’existence d’une prise de décision automatisée, y compris le profilage, et des informations significatives sur les raisons de cette prise de décision, ainsi que la signification et les conséquences prévisibles d’un tel traitement pour l’individu.
Conformément à la demande déposée par un individu, la société doit fournir une copie des données à caractère personnel traitées relativement à cet individu. Pour toute copie supplémentaire des données demandées par la personne concernée, la société peut également facturer des frais raisonnables tenant compte des coûts administratifs.
(ii) Le droit de rectification
La personne concernée a le droit de faire rectifier par la société, sans aucun délai, les données à caractère personnel inexactes la concernant. La personne concernée a le droit de compléter les données à caractère personnel incomplètes, y compris à l’aide d’une déclaration supplémentaire, compte tenu des objectifs du traitement.
(iii) Le droit à l’effacement (« droit à l’oubli »)
La personne concernée a le droit de faire supprimer par la société, sans aucun délai, les données à caractère personnel la concernant, tandis que la société a l’obligation d’effacer les données à caractère personnel sans aucun délai ;
- lorsque les données à caractère personnel ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées ou traitées de quelque manière que ce soit ;
- lorsqu’un individu retire son consentement qui sert de base du traitement des données, et lorsqu’il n’existe aucune autre base légale de traitement ;
- lorsqu’un individu s’oppose au traitement sur la base d’un intérêt légitime de la société, et lorsqu’il n’existe aucun autre motif légitime impérieux ;
- lorsqu’un individu s’oppose au traitement à des fins de commercialisation directe ;
- lorsque des données à caractère personnel doivent être supprimées afin de remplir une obligation légale en vertu de la législation de l’UE ou de la législation slovène ; lorsqu’il s’agit de données relatives à la fourniture de services de la société de l’information, recueillies de manière incorrecte auprès d’un enfant qui ne peut pas fournir ces données
- en vertu de la législation en vigueur.
Dans le cas de données figurant dans les annuaires ou de données publiées autrement, la société prend des mesures raisonnables, y compris des mesures techniques, pour informer les contrôleurs qui traitent des données à caractère personnel qu’ils sont tenus par la personne concernée de supprimer tout lien ou copie de ces données à caractère personnel.
(iv) Le droit à la limitation du traitement
La personne concernée a le droit de faire en sorte que la société limite le traitement lorsque :
- l’individu conteste l’exactitude des données pour une période qui permet au contrôleur de vérifier l’exactitude des données à caractère personnel ;
- le traitement est illégal et l’individu s’oppose à l’effacement de données personnelles, exigeant plutôt une restriction de leur utilisation ;
- l’entreprise n’a plus besoin de données à caractère personnel pour les finalités du traitement mais que
- la personne concernée doit utiliser lesdites données afin d’exercer, mettre en œuvre ou défendre des réclamations juridiques ;
- la personne concernée a présenté une objection à l’égard du traitement jusqu’à ce qu’il ait été vérifié que les raisons légitimes du contrôleur prévalent sur les raisons de la personne concernée.
(v) Le droit à la portabilité des données
La personne concernée a le droit de recevoir les données à caractère personnel la concernant, détenues par la société, sous une forme structurée, couramment utilisée et lisible par machine, et a également le droit de transférer ces données à un autre contrôleur sans que la société qui a reçu ces données à caractère personnel y fasse obstacle, lorsque :
- le traitement est fondé sur le consentement de la personne ou sur un contrat, et
- lorsque le traitement est effectué par des moyens automatisés.
(vi) Le droit d’opposition
La personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel pour des raisons liées à sa situation particulière, lorsque le traitement est fondé sur des intérêts légitimes poursuivis par la société ou par un tiers. La société doit cesser de traiter les données à caractère personnel, à moins qu’elle ne démontre des raisons urgentes de traitement qui prévalent sur les intérêts, les droits et les libertés de la personne concernée ou afin d’exercer, de mettre en œuvre ou de défendre des revendications légales. Lorsque des données à caractère personnel sont traitées à des fins de commercialisation directe, l’individu a le droit de s’opposer à tout moment au traitement des données à caractère personnel liées à cet individu aux fins de cette commercialisation, y compris le profilage, dans la mesure où le profilage serait lié à ladite commercialisation directe. Dans la mesure où la commercialisation directe est fondée sur le consentement, le droit d’opposition peut être exercé en révoquant le consentement personnel donné.
Le droit de déposer une plainte concernant le traitement des données à caractère personnel
Un individu peut envoyer toute plainte concernant le traitement de données à caractère personnel à l’adresse électronique suivante : gdpr@hrastnik1860.com ou par la poste à l’adresse STEKLARNA HRASTNIK d.o.o., Cesta 1. maja 14, SI-1430 Hrastnik. Chaque individu peut également soumettre sa plainte au point de vente de la société qui se trouve à l’adresse suivante : STEKLARNA HRASTNIK d.o.o., Cesta 1. maja 14, SI-1430 Hrastnik.
Chaque personne concernée a également le droit de déposer une plainte directement auprès du commissaire chargé de l’information si elle estime que le traitement des données à caractère personnel la concernant viole les règles slovènes ou les règles de l’UE en matière de protection des données à caractère personnel.
Si l’individu a exercé le droit d’accès aux données au sein de la société et si, après la décision de la société, l’individu considère que les données à caractère personnel qu’il a reçues ne sont pas les données à caractère personnel qu’il a demandées ou qu’il n’a pas reçu toutes les données à caractère personnel requises, l’individu peut présenter une plainte motivée auprès de la société dans un délai de 15 jours, avant de soumettre une plainte auprès du commissaire chargé de l’information. La société, traitant cette plainte en tant qu’une nouvelle demande, doit décider de cette plainte dans un délai de cinq jours ouvrables.
La validité de la politique de protection des données à caractère personnel
Cette politique a été publiée le 25/05/2018 et entre en vigueur le 25/05/2018.