Notificare privind prelucrarea datelor partenerilor metro (ro/en)

a) Operatorul
Noi, societatea METRO Cash & Carry România SRL cu sediul în Bd. Theodor Pallady 51N, Clădirea C6, Corp A, Cod Poștal 032258, Sector 3, București, România (“METRO"), avem calitatea de Operator de date cu caracter personal, în conformitate cu GDPR, și suntem responsabili pentru prelucrarea datelor descrisă mai jos.

b) Responsabilului cu protecția datelor
Responsabilul cu protecția datelor poate fi contactat, în orice moment, utilizând următoarele date de contact:

Adresa: Bd. Theodor Pallady 51N, Clădirea C6, Corp A, Cod Poștal 032258, Sector 3, București, România · E-mail: dataprotection@metro.ro.

a) Categorii de date personale prelucrate de METRO:
În derularea relațiilor contractuale cu partenerii săi METRO va prelucra date ale persoanelor de contact ale partenerilor/furnizorilor, respectiv: detaliile de contact (de exemplu, numărul de telefon de serviciu, adresa si email-ul de business) functia, semnatura si orice alte date cu caracter personal pe care persoana vizata le furnizează celeilalte parți pe perioada executării contractului.

METRO prelucrează doar acele informații și date personale care sunt absolut necesare în executarea contractului încheiat cu partenerii săi în condiții cât mai bune. Vă informăm că nu aveți o obligație de a furniza datele dumneavoastră cu caracter personal indicate mai sus, cu toate acestea, vă rugăm să aveți în vedere faptul că în lipsa acestora nu este posibilă derularea relațiilor contractuale cu METRO.

În situația în care sunteți angajat al unui furnizor de servicii logistice și utilizați aplicația pusă la dispoziție de către METRO pentru a sprijini șoferii, precum și angajații și managerii de transport din biroul regional / managerii de serviciu în procesul de livrare (în afara magazinului și a locațiilor de depozitare), precum și pentru a asigura asistența necesară pe tot parcursul procesului de livrare în vederea asigurării livrărilor complete și la timp către clienții METRO, vă informă că vom prelucra inclusiv următoarele date cu caracter personal:

• Numărul de identificare al rutei,
• Numărul intern al vehiculului de livrare,
• Numărul de înmatriculare,
• Marcaj data și oră de început și de încheiere a rutei,
• Transmiterea în timp real a marcajelor de timp de încărcare / descărcare în depozit și la clientul respectiv și date de localizare GPS în harta de localizare în timp real.

Folosim aceste informații pentru a evalua dacă am calculat corect timpul și kilometrajul necesar pentru a ajunge la client, timpul necesar pentru descărcarea mărfurilor comandate și pentru încărcarea retururilor / reutilizabililelor, gestionarea detaliilor de plată pentru a ține cont de aceste informații atunci când planificăm livrările viitoare pe acest traseu sau către acest client și pentru a optimiza rata de punctualitate. Menționăm faptul că datele de localizare GPS sunt colectate prin intermediul aplicației pusă la dispoziție de către noi, dumneavoastră, în calitate de persoană vizată, având posibilitatea de a dezactiva locația GPS în timp real în timpul pauzelor sau după ieșirea din tură, prin inchiderea aplicației.

b) Sursa datelor reprezentantilor / persoanelor de contact ale Partenerilor:

Datele cu caracter personal indicate mai sus sunt furnizate direct de către dumneavoastră sau de către compania cu care avem relație contractuală si pe care o reprezentați sau din cadrul sistemelor /aplicațiilor puse la dispoziție de noi în vederea executării serviciilor stabilite conform contractelor încheiate.

METRO va prelucra datele personale ale persoanelor de contact/reprezentanților partenerilor săi pentru îndeplinirea obligatiilor contractuale și gestionarea relației contractuale.

În cazul în care reprezentantul partenerului/furnizorului este de acord să semneze documentele contractuale în format electronic, utilizând platforma dedicata pusă la dispoziție de METRO, datele personale indicate mai sus sunt prelucrate pentru inițierea fluxurilor de semnare.

Vă rugăm să aveți în vedere faptul că, pentru realizarea obiectului contractului este necesar ca METRO să proceseze într-o anumită măsură datele persoanelor de contact ale partenerilor (de ex. reprezentanti legali, angajații partenerilor și / sau subcontractorii acestuia) - de exemplu pentru comunicarea cu persoanele de contact care intră sub incidența acordului. De asemenea, mai pot exista situatii in care METRO transmite datele de contact ale partenerilor contractuali catre alti parteneri contractuali (de exemplu furnizori) in scopul derularii relatiei comerciale.

c) Temeiul legal al activitatilor de prelucrare a datelor cu caracter personal

Activitățile de prelucrare se bazează, în principal pe interesul legitim al METRO cu privire la gestionarea relației contractuale în condiții optime, respectiv executarea prestațiilor stabilite la nivel contractual, întreprinderea demersurilor necesare, soluționarea oricăror solicitări survenite pe parcursul derulării contractului, etc. Acest temei este aplicabil și în cazul activităților de prelucrare a datelor aferente asigurării serviciilor logistice către clienții METRO, fiind interesul legitim al METRO de a asigura transportul produselor în condiții adecvate, optimizarea și

planificarea rutelor în timp real, în scopul prevenirii unor eventuale revendicări juridice, pentru a putea preveni și investiga potențiale infracțiuni sau încălcări ale obligațiilor contractuale sau cazuri de fraudă.

De asemenea, datele menționate în prezenta notificare pot fi solosite de către METRO în vederea executării și soluționării unor eventuale litigii, ce nu au putut fi soluționate pe cale amiabilă de către părți, precum si executarea drepturilor legale deținute de către METRO.

Pot exista cazuri în care prelucrarea datelor dumneavoastră personale să fie necesară pentru îndeplinirea unor obligații legale ce revin METRO, menționăm cu titlu de exemplu obligația de a transmite datele către autoritățile fiscale, poliției, procurorilor și instanțelor, precum și altor autorități publice, obligația de a respecta regulamentele Consiliului UE, conform cărora METRO are obligația din punct de vedere legal să se asigure că nu acordă beneficii financiare beneficiarilor enumerați în regulamentele respective ale Consiliului UE. De asemenea, METRO va prelucra datele personale pentru constatarea, exercitarea sau apărarea unui drept în instanță sau ori de câte ori instanțele acționează în exercițiul funcției lor judiciare, dacă va fi cazul.

d) Destinatarii datelor personale

Reprezentând parte a Grupului METRO, care activează la nivel internațional, în vederea realizării scopurilor indicate în prezenta informare, utilizăm furnizori de servicii IT, servicii pentru hosting, platformă și servicii de întreținere, furnizori de servicii pentru imprimarea legitimației de client pe care o primiți de la noi, imprimarea de materiale publicitare personalizate, furnizori pentru emiterea semnăturilor electronice, procesatori de plăți online.

Aceștia sunt furnizori externi de servicii și furnizori de servicii din cadrul Grupului METRO, cum ar fi centrele de servicii comune ale Grupului METRO, care se află în țări din interiorul și din afara Uniunii Europene (UE) și Spațiului Economic European (EEA) (respectiv, Centrul de date internațional al Grupului METRO, care este administrat de METRO Systems GmbH).

Asigurăm, de exemplu, prin reglementări contractuale, că acești furnizori de servicii prelucrează date cu caracter personal în conformitate cu legislația europeană privind protecția datelor, pentru a garanta un nivel ridicat de protecție a datelor, chiar dacă datele cu caracter personal sunt transferate într-o țară în care se utilizează în mod obișnuit un alt nivel de protecție a datelor și pentru care nu există nicio decizie de adecvare a Comisiei UE. Nu se efectuează alte transferuri de date cu caracter personal către alți destinatari, cu excepția cazului în care deținem această obligație prin lege.

e) Perioada de retentie

În general, METRO păstrează datele cu caracter personal până la rezilierea contractului încheiat cu partenerul, inclusiv o perioadă ulterioară atâta timp cât avem un interes legitim care ne permite să păstrăm datele. În măsura în care oricare dintre date se afla sub rezerva perioadelor legale de păstrare a datelor, METRO va stoca datele în cauză pe durata prevăzută de dispozițiile legale respective.

În ceea ce privește durata de stocare a datelor aferente prestării serviciilor logistice, vă informăm că METRO va stoca datele de localizare GPS pentru o perioadă de 30 de zile, necesară pentru verificarea și calcularea kilometrajului aferent rutelor efectiv parcurse de către furnizorul de servicii logistice.

f) Securitatea datelor

Luăm măsuri tehnice și organizatorice adecvate pentru a ne proteja împotriva distrugerii, pierderii, modificării, divulgării neautorizate sau accesului neautorizat la datele cu caracter personal, în mod neintenționat sau ilegal.

Asigurăm un nivel de securitate adecvat riscurilor implicate de prelucrare, ținând seama în mod corespunzător de tehnologia de ultimă generație, de costurile de punere în aplicare, precum și de natura, domeniul de aplicare, contextul și scopul prelucrării și de riscul pentru angajați. Aceste măsuri au ca scop asigurarea permanentă a integrității și confidențialității datelor cu caracter personal. Evaluăm periodic aceste măsuri pentru a asigura securitatea prelucrării

În calitate de persoană vizată, puteți exercita drepturile dvs. în conformitate cu GDPR, acestea fiind:

• Dreptul de a primi informații cu privire la prelucrarea datelor și o copie a datelor prelucrate (dreptul de acces, articolul 15 GDPR)
• Dreptul de a solicita rectificarea datelor inexacte sau completarea datelor incomplete (dreptul de acces, articolul 16 GDPR);
• Dreptul de a solicita ștergerea datelor cu caracter personal și, în cazul în care datele cu caracter personal au fost făcute publice, transmiterea informațiilor referitoare la solicitarea de ștergere către alți operatori (dreptul de ștergere, articolul 17 GDPR);
• Dreptul de a solicita restricționarea prelucrării datelor (dreptul la restricționare a procesării, articolul 18 GDPR);
• Dreptul de a primi datele dumneavoastră personale într-un format structurat, utilizat în mod obișnuit și mecanolizibil și de a solicita transmiterea acestor date către un alt operator (dreptul la portabilitatea datelor, articolul 20 GDPR);
• Dreptul de a vă retrage oricând consimțământul dat în vederea încetării unei prelucrări a datelor care se bazează pe consimțământul dvs. Retragerea nu va afecta legalitatea prelucrării pe baza consimțământului acordat înainte de retragere (dreptul de retragere a consimțământului, articolul 7 GDPR);
• Dreptul de a vă opune prelucrării datelor dumneavoastră cu intenția de a înceta prelucrarea (dreptul la obiecție, articolul 21 GDPR).

De asemenea, aveți dreptul de a depune o plângere la o autoritate de supraveghere dacă considerați că prelucrarea datelor este o încălcare a GDPR (dreptul de a depune o plângere la o autoritate de supraveghere, articolul 77 GDPR).

Menționăm că în românia autoritatea de competență este autoritatea națională de supraveghere a prelucrării datelor cu caracter personal, cu sediul în București, B-dul G-ral. Gheorghe Magheru 28-30, sector 1, cod poștal 010336, România, website: www.dataprotection.ro

Pentru orice informații suplimentare legate de gestionarea drepturilor puteți, de asemenea, să vă adresați responsabilului cu protecția datelor, la adresele de contact indicate mai sus.

Datorită posibilelor modificări ale legislației sau actualizări ale activităților de prelucrare a datelor, o modificare a prezentului document poate deveni necesară. În acest caz, vă vom informa despre astfel de modificări pe pagina noastră web: www.metro.ro/protectia-datelor.

a) The Data Controller

We, the company METRO Cash & Carry Romania SRL with registered office in 51N, Theodor Pallady Blvd., Building C6, Corp A, Postcode 032258, Sector 3, Bucharest, Romania ("METRO"), is a Data Controller under the GDPR and responsible for the data processing described below.

b) Data Protection Officer

The Data Protection Officer can be contacted at any time using the following contact details:

· Address: 51N, Theodor Pallady Blvd., Building C6, Corp A, Postcode 032258, Sector 3, Bucharest, Romania · E-Mail: dataprotection@metro.ro.

a) Categories of personal data processed by METRO:
In the course of contractual relationships with its partners METRO will process data of the contact persons of the partners/suppliers, i.e.: contact details (e.g. business telephone number, business address and email) function, signature and any other personal data that the data subject provides to the other party during the performance of the contract.

METRO processes only that information and personal data which is absolutely necessary in the performance of the contract concluded with its partners under the best possible conditions. We inform you that you are under no obligation to provide your personal data as indicated above, however, please note that without this data it is not possible to conduct contractual relations with METRO.

In case you are an employee of a logistics service provider and use the application provided by METRO to support drivers as well as regional office employees and transport managers / service managers in the delivery process (outside the store and warehouse locations), as well as to provide the necessary assistance throughout the delivery process to ensure complete and timely deliveries to METRO customers, please be informed that we will process the following personal data as well:

• Route identification number,
• Internal number of the delivery vehicle,
• Registration number,
• Date and time stamp of the start and end of the route,
• Real-time transmission of loading/unloading timestamps in the warehouse and to the customer and GPS location data in the real-time location map.

We use this information to assess whether we have correctly calculated the time and mileage required to reach the customer, the time required to unload ordered goods and load returns/reusables, manage payment details to take this information into account when planning future deliveries on this route or to this customer and to optimize punctuality rates. Please note that the GPS location data is collected via the app provided by us, you as the data subject have the possibility to deactivate the GPS location in real time during breaks or after leaving the shift by closing the app.

b) Source of data of the representatives/contact persons of the Partners:
The personal data indicated above is provided directly by you or by the company with which we have a contractual relationship and which you represent or from the systems/applications made available by us in order to perform the services established under the contracts concluded.

METRO will process the personal data of the contact persons/representatives of its partners for the fulfilment of contractual obligations and the management of the contractual relationship.

If the partner/supplier representative agrees to sign the contractual documents electronically using the dedicated platform provided by METRO, the personal data indicated above shall be processed for the initiation of the signature flows.

Please note that for the purpose of the contract it is necessary for METRO to process to a certain extent the contact data of the partners (e.g., legal representatives, employees of the partner and/or its subcontractors) - e.g., for communication with the contact persons covered by the agreement. There may also be situations in which METRO passes on contact data of contractual partners to other contractual partners (e.g., suppliers) for the purpose of the business relationship.

c) Legal basis of personal data processing activities
The processing activities are mainly based on METRO's legitimate interest in managing the contractual relationship under optimal conditions, i.e., the performance of contractually agreed services, taking the necessary steps, dealing with any requests arising during the course of the

contract, etc. This ground is also applicable to data processing activities related to the provision of logistic services to METRO's customers, as it is in METRO's legitimate interest to ensure the transport of products in appropriate conditions, the optimization and planning of routes in real time, in order to prevent possible legal claims, to prevent and investigate potential infringements or breaches of contractual obligations or cases of fraud.

Furthermore, the data mentioned in this notification may be used by METRO for the purpose of enforcing and settling possible disputes, which could not be settled amicably by the parties, as well as enforcing legal rights held by METRO.

There may be cases where the processing of your personal data is necessary for the fulfilment of legal obligations incumbent on METRO, for example the obligation to transmit data to tax authorities, police, prosecutors and courts, and other public authorities, the obligation to comply with EU Council Regulations, according to which METRO is legally obliged to ensure that it does not grant financial benefits to the beneficiaries listed in the respective EU Council Regulations. METRO will also process personal data for the establishment, exercise or defense of a right in court or whenever the courts act in their judicial capacity, if applicable.

d) Recipients of personal data
As part of the METRO Group, which operates internationally, in order to achieve the purposes indicated in this information, we use IT service providers, hosting, platform and maintenance services, service providers for the printing of the customer badge you receive from us, printing of personalized advertising materials, providers for the issuing of electronic signatures, online payment processors.

These are external service providers and service providers within the METRO Group, such as METRO Group's common service centers, which are located in countries inside and outside the European Union (EU) and the European Economic Area (EEA) (i.e., METRO Group's International Data Centre, which is managed by METRO Systems GmbH).

We ensure, for example, through contractual regulations, that these service providers process personal data in accordance with European data protection legislation to guarantee a high level of data protection, even if personal data is transferred to a country where a different level of data protection is commonly used and for which there is no adequacy decision of the EU Commission. No further transfers of personal data to other recipients are made unless we are legally obliged to do so.

e) Data retention period
In general, METRO retains personal data until the termination of the contract with the partner, including a subsequent period as long as we have a legitimate interest that allows us to retain the data. To the extent that any of the data is subject to legal retention periods, METRO will store the data in question for the duration required by the respective legal provisions.

With regard to the duration of storage of data related to the provision of logistic services, we inform you that METRO will store GPS location data for a period of 30 days, which is necessary for the verification and calculation of the mileage of the routes actually travelled by the logistic service provider.

f) Data security
We take appropriate technical and organizational measures to protect against unintentional or unlawful destruction, loss, alteration, unauthorized disclosure, or unauthorized access to personal data.

We ensure a level of security appropriate to the risks involved in processing, taking due account of state-of-the-art technology, implementation costs, as well as the nature, scope, context and purpose of the processing and the risk to employees. These measures shall aim to ensure the integrity and confidentiality of personal data at all times. We regularly evaluate these measures to ensure the security of the processing.

As a data subject, you can exercise your rights under the GDPR, these are:

• The right to receive information about the processing of data and a copy of the data processed (right of access, Article 15 GDPR);
• The right to request rectification of inaccurate data or completion of incomplete data (right of access, Article 16 GDPR);
• The right to request the erasure of personal data and, where personal data have been made public, the transmission of information on the erasure request to other controllers (erasure right, Article 17 GDPR);
• The right to request restriction of data processing (right to restriction of processing, Article 18 GDPR);
• The right to receive your personal data in a structured, commonly used and machine-readable format and to request transmission of this data to another controller (right to data portability, Article 20 GDPR);
• The right to withdraw your consent at any time to stop processing of data that is based on your consent. Withdrawal will not affect the lawfulness of the processing based on the consent given prior to withdrawal (right to withdraw consent, Article 7 GDPR);
• The right to object to the processing of your data with the intention of ceasing the processing (right to object, Article 21 GDPR).

You also have the right to lodge a complaint with a supervisory authority if you consider that the data processing is in breach of the GDPR (right to lodge a complaint with a supervisory authority, Article 77 GDPR).

Please note that in Romania the competent authority is the national supervisory authority for the processing of personal data, located in Bucharest, B-dul G-ral. Gheorghe Magheru 28-30, sector 1, postal code 010336, Romania, website: www.dataprotection.ro

For any further information related to the management of your rights, you may also contact the Data Protection Officer at the contact addresses indicated above.

Due to possible changes in legislation or updates in data processing activities, a modification of this document may become necessary. In this case, we will inform you about such changes on our website: www.metro.ro/protectia-datelor.