1. Controler

Controlerul responsabil pentru prelucrarea datelor dumneavoastră personale pe acest site este:

Entrio sp. z o.o.
ul. Zagórna 28, 37-420 Kopki, Polonia
Email:  Ajutor@tollto.com
Telefon: +48 880 685 468

Pentru întrebări despre protecția datelor, vă rugăm să ne contactați la adresa de email de mai sus.

1.2. Nu am numit un Ofițer pentru Protecția Datelor (DPO), deoarece nu suntem obligați legal să facem acest lucru conform Art. 37 GDPR. Pentru toate întrebările legate de protecția datelor, vă rugăm să ne contactați la  Ajutor@tollto.com.

2. Datele pe care le colectăm

Colectăm doar date personale care sunt necesare pentru scopurile specifice descrise în această Politică de Confidențialitate.

2.1. Datele pe care le furnizați în timpul finalizării comenzii

  • Nume și prenume
  • Adresă de email
  • Număr de telefon
  • Adresă de facturare (stradă, oraș, cod poștal, țară)
  • Numărul de înmatriculare a vehiculului (plăcuță de înmatriculare)
  • Țara de înmatriculare a vehiculului
  • Tipul/categoria vehiculului

2.2. Date colectate automat

  • Adresă IP
  • Tipul și versiunea browserului
  • Sistem de operare
  • Data și ora accesării
  • Pagini vizitate și URL-ul referitor
  • Informații despre dispozitiv

2.3. Date de plată

Informațiile de plată (numerele cardului, detaliile bancare) sunt procesate exclusiv de furnizorii noștri de plăți terți și nu sunt niciodată stocate pe serverele noastre.

3. Scop și bază legală

Prelucrăm datele dumneavoastră personale pentru următoarele scopuri și pe următoarele baze legale (GDPR):

ScopBaza legală
Îndeplinirea comenzii (înregistrarea e-vignete)Art. 6(1)(b) GDPR – executarea contractului
Trimiterea confirmării comenzii și a e-vignettei prin email/SMSArt. 6(1)(b) GDPR – executarea contractului
Procesarea plățiiArt. 6(1)(b) GDPR – executarea contractului
Conformitate cu obligațiile fiscale și contabileArt. 6(1)(c) GDPR – obligație legală
Asistență pentru clienți și comunicareArt. 6(1)(f) GDPR – interes legitim
Analiza și îmbunătățirea site-ului webArt. 6(1)(a) GDPR – consimțământ
Prevenirea fraudeiArt. 6(1)(f) GDPR – interes legitim

3.2. Atunci când procesarea se bazează pe interesul nostru legitim (Art. 6(1)(f) GDPR), acest interes include asigurarea securității site-ului nostru, prevenirea fraudei, îmbunătățirea serviciilor noastre și menținerea unei asistențe eficiente pentru clienți. Am evaluat că aceste interese nu sunt depășite de drepturile și libertățile fundamentale ale utilizatorilor.

4. Partajarea datelor și destinatarii

Datele dumneavoastră pot fi partajate cu următoarele categorii de destinatari, exclusiv pentru scopurile descrise mai sus:

  • Autoritățile naționale de taxare — datele de înregistrare a vehiculului sunt transmise autorității de taxare relevante din țara de destinație pentru a înregistra e-vigneta;
  • Furnizorii de servicii de plată — datele de plată sunt transmise procesorului nostru de plăți securizat pentru gestionarea tranzacțiilor;
  • Furnizorii de servicii de email/SMS — detaliile dumneavoastră de contact sunt partajate cu furnizorul nostru de comunicații pentru a livra confirmările de comandă;
  • Furnizorii de găzduire — datele sunt stocate pe servere operate de furnizorul nostru de găzduire;
  • Consultanți fiscali/contabili — datele de comandă și facturare pot fi partajate pentru a respecta obligațiile legale.

Nu vindem, nu închiriem și nu comercializăm datele dumneavoastră personale către terțe părți în scopuri de marketing.

5. Păstrarea datelor

Păstrăm datele dumneavoastră personale doar atât timp cât este necesar pentru scopurile pentru care au fost colectate:

  • Datele de comandă: păstrate pentru perioada cerută de legea fiscală și comercială (de obicei 5–10 ani, în funcție de jurisdicție);
  • Corespondența de asistență pentru clienți: păstrate timp de până la 3 ani după ultima interacțiune;
  • Datele de analiză a site-ului web: anonymizate sau șterse după 26 de luni;
  • Cookies: consultați secțiunea 8 de mai jos.

6. Drepturile dumneavoastră (GDPR)

Conform GDPR-ului, aveți următoarele drepturi:

  • Dreptul de acces (Art. 15 GDPR) — solicitați o copie a datelor dumneavoastră personale;
  • Dreptul la rectificare (Art. 16 GDPR) — solicitarea corectării datelor inexacte;
  • Dreptul de a fi uitat (Art. 17 GDPR) — solicitarea ștergerii datelor dumneavoastră, sub rezerva cerințelor legale de păstrare;
  • Dreptul de a restricționa prelucrarea (Art. 18 GDPR);
  • Dreptul la portabilitatea datelor (Art. 20 GDPR) — solicitarea datelor dumneavoastră într-un format structurat, uzual, citibil de către mașini;
  • Dreptul de a obiecta (Art. 21 GDPR) — obiectați la prelucrarea bazată pe un interes legitim;
  • Dreptul de a retrage consimțământul (Art. 7(3) GDPR) — retragerea consimțământului în orice moment fără a afecta legalitatea prelucrărilor anterioare.

Pentru a exercita oricare dintre aceste drepturi, vă rugăm să ne contactați la  Ajutor@tollto.com. Vom răspunde în termen de 30 de zile. De asemenea, aveți dreptul de a depune o plângere la autoritatea de supraveghere competentă din țara dumneavoastră de reședință.

6.2. Nu folosim decizii automatizate sau profilare în sensul Art. 22 GDPR care produc efecte legale asupra dumneavoastră sau care vă afectează semnificativ în mod similar.

7. Securitatea datelor

Implementăm măsuri tehnice și organizaționale adecvate pentru a proteja datele dumneavoastră personale, inclusiv:

  • Criptarea SSL/TLS pentru toate datele transferate între browserul dumneavoastră și serverele noastre;
  • Stocarea bazelor de date criptate;
  • Controale de acces și autentificare pentru sistemele interne;
  • Audite de securitate regulate și actualizări.

8. Cookie-uri

Website-ul nostru folosește cookie-uri — fișiere text mici stocate pe dispozitivul dumneavoastră — pentru a asigura funcționarea corectă și a îmbunătăți experiența utilizatorului.

8.1. Cookie-uri necesare

Aceste cookie-uri sunt esențiale pentru funcționarea website-ului (de exemplu, gestionarea sesiunii, coșul). Nu necesită consimțământ.

8.2. Cookie-uri de analiză

Este posibil să folosim instrumente de analiză (de exemplu, Google Analytics) pentru a înțelege cum folosesc vizitatorii website-ul nostru. Aceste cookie-uri sunt setate doar cu consimțământul dumneavoastră.

8.3. Cookie-uri de marketing

Este posibil să folosim cookie-uri de marketing de la terți (de exemplu, Google Ads, Facebook) pentru a afișa reclame relevante. Aceste cookie-uri sunt setate doar cu consimțământul dumneavoastră explicit. Dezactivarea cookie-urilor poate afecta funcționalitatea website-ului nostru.

8.4. Managementul consimțământului (CookieYes)

Folosim CookieYes de la Adzapier LLC pentru a gestiona preferințele tale legate de cookie-uri, în conformitate cu GDPR și Directiva ePrivacy. La prima ta vizită, apare un banner de consimțământ, care îți permite să accepți, să respingi sau să personalizezi cookie-urile non-esențiale. Poți schimba sau retrage consimțământul tău în orice moment prin intermediul pictogramei de cookie din colțul paginii. Mai multe informații: cookieyes.com. Poți retrage sau modifica consimțământul tău pentru cookie-uri în orice moment prin instrumentul de setări pentru cookie-uri disponibil pe site-ul nostru. Retragerea consimțământului nu afectează legalitatea procesăriibazat pe consimțământ înainte de retragerea acestuia.

Fișierele jurnal ale serverului

Când accesați site-ul nostru, browserul dumneavoastră transmite automat informații tehnice pe care le stocăm în fișierele jurnal ale serverului. Acestea includ:

  • Tipul și versiunea browserului;
  • Sistemul de operare utilizat;
  • URL-ul de referință (pagina de pe care ați venit);
  • Data și ora cererii către server;
  • Adresa IP a dispozitivului dumneavoastră (anonimizată acolo unde este posibil din punct de vedere tehnic).

Aceste date nu sunt, în general, combinate cu alte date personale și nu există intenția de a face acest lucru. Procesarea se bazează pe Art. 6(1)(f) GDPR pentru a proteja interesul nostru legitim în stabilitatea, securitatea și funcționalitatea site-ului nostru. Fișierele jurnal sunt șterse automat după 30 de zile, cu excepția cazului în care este necesar să se investigheze un incident de securitate.

10. Găzduire și infrastructură

10.1. Supabase (bază de date și autentificare)

Backend-ul aplicației noastre rulează pe Supabase (Supabase, Inc., 970 Toa Payoh North #07-04, Singapore 318992). Supabase stochează datele de comandă, datele clienților și informațiile de autentificare pe servere situate în UE (eu-central). Procesarea este reglementată de un acord de procesare a datelor (DPA) conform Art. 28 GDPR. Mai multe informații: supabase.com/privacy.

10.2. Cloudflare (CDN, protecție DDoS)

Folosim Cloudflare (Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, SUA) ca rețea de livrare a conținutului și pentru protecția DDoS. Cloudflare procesează date tehnice precum adresele IP în fișierele jurnal ale serverului. Cloudflare poate procesa date pe servere situate în afara UE, inclusiv în Statele Unite. Baza legală: Art. 6(1)(f) GDPR (interes legitim). Transferurile internaționale sunt protejate prin Clauze Contractuale Standard ale UE. Politica de confidențialitate: cloudflare.com/privacypolicy.

11. Instrumente de analiză web și publicitate

11.1. Google Analytics 4

Site-ul nostru folosește Google Analytics 4, un serviciu de analiză web furnizat de Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Irlanda („Google”). Google Analytics folosește cookie-uri care permit analiza modului în care este utilizat site-ul nostru. Informațiile generate de cookie-uri sunt, în general, transmise unui server Google și stocate acolo.

Anonimizarea IP: am activat anonimizarea IP. Adresa dumneavoastră IP este trunchiată de Google în cadrul statelor membre UE/SEE înainte de transmitere. Numai în cazuri excepționale, întreaga adresă IP este transmisă unui server Google în SUA și trunchiată acolo.

Retenţie: datele asociate cu cookie-uri, ID-uri de utilizator sau ID-uri publicitare sunt anonimizate sau șterse după 14 luni.

Temei juridic: consimțământul tău dat prin bannerul cookie (Art. 6(1)(a) GDPR). Poți retrage consimțământul în orice moment prin intermediul pictogramei cookie. Mai multe informații: policies.google.com/privacy.

11.2. Google Tag Manager

Website-ul nostru folosește Google Tag Manager pentru a gestiona etichetele de marketing și analiză. Google Tag Manager în sine nu setează cookie-uri sau colectează date personale — doar activează alte etichete care pot colecta date. Dacă ai refuzat consimțământul la nivel de cookie sau domeniu, acest lucru se aplică tuturor etichetelor gestionate prin Google Tag Manager.

11.3. Google Ads & Urmărirea conversiilor

Folosim Google Ads (Google Ireland Ltd), inclusiv urmărirea conversiilor pentru a măsura eficiența campaniilor noastre publicitare. Când dai clic pe un anunț servit de Google, un cookie este setat pe dispozitivul tău (valabil timp de 30 de zile). Acest cookie nu este folosit pentru a te identifica personal. Aflăm numărul total de utilizatori care au dat clic pe anunțul nostru și au fost redirecționați către o pagină cu o etichetă de urmărire a conversiilor, dar nu primim informații care să identifice personal utilizatorii. Baza legală: consimțământ (Art. 6(1)(a) GDPR). Informații: policies.google.com/technologies/ads.

11.4. Meta Pixel (Facebook)

Putem folosi Meta Pixel (Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2, Irlanda) pentru a măsura eficiența anunțurilor pe Facebook și Instagram și pentru a arăta anunțuri bazate pe interese utilizatorilor care au vizitat site-ul nostru (retargeting). Pixelul poate transmite date către serverele Meta din SUA. Baza legală: consimțământ (Art. 6(1)(a) GDPR). Mai multe informații: facebook.com/privacy/policy.

11.5. Microsoft Advertising (Bing Ads)

Putem folosi Microsoft Advertising (Microsoft Corporation, One Microsoft Way, Redmond, WA 98052, SUA) pentru publicitate și urmărirea conversiilor. Categoriile de date procesate pot include: limba browser-ului, anunțuri pe care le-ai dat clic, adresă IP, Microsoft Click ID, titlul paginii, URL-ul de referință și informații despre dispozitiv. Baza legală: consimțământ (Art. 6(1)(a) GDPR).

11.6. Acolo unde este cazul, putem acționa ca un controlor comun cu anumiți furnizori (de exemplu, Meta Platforms Ireland Ltd.) conform Art. 26 GDPR pentru datele colectate prin tehnologii de urmărire. Detalii suplimentare sunt disponibile în politicile de confidențialitate ale furnizorului respectiv.

Furnizori de servicii de plată

Stripe

Pentru plățile cu cardul și portofelul, folosim Stripe (Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irlanda). Când plătiți cu cardul, datele dvs. de plată (numărul cardului, CVC, data de expirare, datele de facturare) sunt colectate și procesate exclusiv de Stripe — noi nu vedem și nu stocăm niciodată numărul complet al cardului dvs. Baza legală: Art. 6(1)(b) GDPR (executarea contractului). Politica de confidențialitate: stripe.com/privacy.

Gateway-uri de plată locale

Pentru metodele de plată regionale (de exemplu, BLIK, Apple Pay, Google Pay), putem redirecționa tranzacția prin intermediul unor furnizori de plată certificați suplimentari. În fiecare caz, datele de plată sunt procesate exclusiv de furnizorul de plată, niciodată de noi. Primim doar o confirmare a tranzacției (succes/eșec, sumă, ID-ul tranzacției).

Îndeplinirea comenzilor și autoritățile naționale de taxare

Pentru a înregistra e-vigneta dvs., transmitem date strict necesare — numărul de înmatriculare al vehiculului, țara de înregistrare, categoria vehiculului și perioada de valabilitate — autorității naționale de taxare relevante din țara de destinație. Destinatari după țară:

  • Ungaria: Nemzeti Mobilfizetési Zrt., Kapás utca 6–12, 1027 Budapesta, Ungaria;
  • Cehia: Státní fond dopravní infrastruktury (SFDI), Sokolovská 1955/278, 190 00 Praga 9;
  • Slovacia: Národná diaľničná spoločnosť, a. s. (NDS), Dúbravská cesta 14, 841 04 Bratislava;
  • Slovenia: DARS d. d., Ulica XIV. divizije 4, 3000 Celje;
  • Bulgaria: Comitetul Național de Taxare (Toll BG), Sofia;
  • România: Compania Națională de Administrare a Infrastructurii Rutiere (CNAIR), Bd. Dinicu Golescu 38, București;
  • Elveția: Oficiul Federal pentru Vamă și Securitate la Frontieră (BAZG), Bern;
  • Moldova: Vama Moldovei (Serviciul Vamal al Republicii Moldova), Chișinău.

Baza legală: Art. 6(1)(b) GDPR (executarea contractului). Fără această transferare, e-vigneta nu poate fi înregistrată.

Livrarea prin email și SMS

Emailuri tranzacționale

Confirmările de comandă și PDF-urile e-vignetei sunt trimise printr-un serviciu de email tranzacțional (Resend / Supabase SMTP). Adresa dvs. de email și datele comenzii sunt procesate doar în scopul livrării. Baza legală: Art. 6(1)(b) GDPR.

Notificări SMS

Dacă optați pentru livrarea prin SMS (taxă suplimentară), numărul dumneavoastră de telefon și conținutul mesajului sunt transmise furnizorului nostru de SMS. Furnizorul poate procesa și redirecționa mesajul prin intermediul operatorilor parteneri din întreaga lume. Baza legală: Art. 6(1)(a) GDPR (consimțământul dumneavoastră explicit la finalizarea comenzii). Numărul de telefon este păstrat doar atât timp cât este necesar pentru îndeplinirea comenzii și perioadele legale de păstrare.

CRM și instrumente interne

Folosim Zoho CRM (Zoho Corporation B.V., Beneluxlaan 4B, 3527 HT Utrecht, Olanda) pentru a gestiona comenzile clienților, corespondența de suport și fluxurile de lucru contabile. Datele stocate: nume, email, telefon, date de facturare, rezumatul comenzii. Rezidența datelor în UE. Baza legală: Art. 6(1)(b) și (f) GDPR. Politica de confidențialitate: zoho.com/privacy. Notificările operaționale interne sunt trimise prin instrumente de comunicare internă securizate. Aceste notificări nu conțin date personale complete și sunt limitate la ID-ul comenzii, țară și starea tranzacției.

Date privind cursul de schimb (NBP)

Pentru a converti prețurile în moneda dumneavoastră locală, folosim cursurile de schimb din API-ul public al Băncii Naționale a Poloniei (NBP). Nu sunt trimise date personale către NBP — doar o solicitare anonimă pentru tabela de cursuri actuală. Cache: 4 ore.

Transferuri internaționale de date

Datele dumneavoastră pot fi transferate în țări din afara Spațiului Economic European (SEE) unde se află furnizorii noștri de servicii (de exemplu, SUA: Stripe, Google, Meta, Microsoft, Cloudflare). În fiecare caz, ne bazăm pe una dintre următoarele măsuri de protecție:

  • Clauze contractuale standard (SCC) ale Comisiei Europene;
  • Decizii de adecvare ale Comisiei Europene (de exemplu, Cadru de confidențialitate a datelor UE-SUA);
  • Reguli corporative obligatorii (BCR) ale destinatarului.

În ciuda acestor măsuri de protecție, nu putem exclude complet că autoritățile din țara destinatarului pot accesa datele transferate fără remedii legale eficiente pentru dumneavoastră. Prin consimțământul acordat pentru cookie-uri non-esențiale, consimțiți de asemenea la astfel de transferuri în sensul Art. 49(1)(a) GDPR.

Notificarea breșelor de date

În cazul unei breșe de date care ar putea duce la un risc pentru drepturile și libertățile dumneavoastră, vom informa autoritatea de supraveghere competentă în termen de 72 de ore de la momentul în care ne-am dat seama de aceasta și, acolo unde este necesar, vom informa persoanele afectate fără întârziere nejustificată.

19. Modificări ale acestei Politici

Este posibil să actualizăm această Politică de Confidențialitate din când în când. Versiunea actualizată va fi publicată pe această pagină cu data ultimei revizii. Recomandăm să verificați această pagină în mod regulat.

20. Contact

Pentru întrebări despre protecția datelor, vă rugăm să ne contactați la  Ajutor@tollto.com.