Informativa sulla privacy Concorso "PAGA PENNY"

La protezione e la sicurezza dei dati sono per noi molto importanti. Pertanto, desideriamo informarla su quali dati personali, ossia qualsiasi informazione relativa a una persona fisica identificata o identificabile, vengono da noi elaborati.
Eventuali modifiche alla legge e ai processi aziendali interni potrebbero rendere necessario un adeguamento della presente informativa sulla privacy. Le chiediamo pertanto di leggere regolarmente l'informativa sulla privacy. È inoltre possibile recuperarla, salvarla e stamparla in qualsiasi momento.

Il titolare del trattamento dei dati ai sensi del Regolamento generale sulla protezione dei dati dell'UE (di seguito: GDPR) e delle altre leggi nazionali sulla protezione dei dati degli Stati membri dell'UE, nonché di altre normative sulla protezione dei dati è:

Penny Market S.r.l. a s. u., soggetta a direzione e coordinamento di Rewe Zentralfinanz eG
Sede Legale: Strada Padana Superiore 11, n. 2/b, 20063 Cernusco sul Naviglio (MI)
Codice Fiscale: 01737790186
P.IVA: 12619750156
Contatti: 800 90 12 90; https://www.penny.it/contattaci

Il responsabile esterno della protezione dei dati del titolare del trattamento è:
Dr. Karsten Kinast, LL.M., Avvocato
KINAST Rechtsanwaltsgesellschaft mbH
Nordstrasse 17a
D-50733 Colonia
Telefono: +49 (0)221 - 222 183 - 0
Posta elettronica: dpo-penny@kinast.eu

Per dati personali si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile ("interessato"); per persona fisica identificabile si intende una persona che può essere identificata, direttamente o indirettamente, in particolare mediante il riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi specifici dell'identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale di tale persona fisica.

Per trattamento si intende qualsiasi operazione o insieme di operazioni eseguite su dati personali o su insiemi di dati personali, con o senza l'ausilio di mezzi automatizzati, quali la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la divulgazione mediante trasmissione, la diffusione o messa a disposizione in altro modo, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.

Per titolare del trattamento si intende la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; qualora le finalità e i mezzi di tale trattamento siano determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici per la sua nomina possono essere previsti dal diritto dell'Unione o degli Stati membri.

Per destinatario si intende una persona fisica o giuridica, un'autorità pubblica, un'agenzia o un altro organismo a cui vengono comunicati i dati personali, sia esso un terzo o meno. Tuttavia, le autorità pubbliche che possono ricevere dati personali nell'ambito di una particolare indagine in conformità al diritto dell'Unione o degli Stati membri non sono considerate destinatarie; il trattamento di tali dati da parte di tali autorità pubbliche deve essere conforme alle norme sulla protezione dei dati applicabili in base alle finalità del trattamento.

Per dati del Programma Fedeltà si intendono tutti i dati personali associati all'uso di una carta fedeltà, che in genere comprendono, ma non solo, il numero della carta fedeltà, lo stato dell’account cliente, la data e il tipo di registrazione, il tipo di carta, i consensi dati e le preferenze selezionate durante la registrazione, le modifiche ai consensi e alle preferenze, i punti (extra)raccolti, i punti riscattati, i vantaggi riscattati e la città dove sono stati riscattati.

Ambito di applicazione e finalità del trattamento
Il trattamento a cui saranno sottoposti i suoi dati personali sarà effettuato per consentire la sua partecipazione al concorso “Paga Penny” (di seguito “Concorso”) ed espletare le procedure e formalità ad essa collegate, tra cui la comunicazione della vincita e la consegna del premio secondo quanto disposto dal regolamento PennyCard a cui lei ha aderito e dal regolamento del Concorso che è consultabile www.penny.it. Si precisa che il Regolamento e la presente informativa sono, altresì, disponibili a richiesta nel negozio. Ai fini dell'organizzazione/gestione del Concorso, trattiamo i suoi dati personali come indicati di seguito:

• Numero Penny Card
• Nome
• Cognome
• Indirizzo e-mail

Ai fini della gestione del Concorso, limitatamente ai soli vincitori, verranno inoltre trattati questi ulteriori dati personali come indicati di seguito:

• Data di nascita
• Codice fiscale
• Documento di Identità
• Indirizzo
• Contatto telefonico

Alcuni dati dei vincitori, possono essere pubblicati, previo consenso sottoscritto dal vincitore, come:

• Nome
• Cognome
• Comune/città

Base giuridica
La base giuridica del trattamento è l'esecuzione del contratto relativo alla partecipazione al Concorso ai sensi dell'Art. 6 para. 1 lett. b GDPR.

Periodo di conservazione

La documentazione relativa ai vincitori sarà conservata per un periodo di 10 (dieci) anni decorrenti dalla chiusura formale del concorso. La documentazione e i dati riferiti ai partecipanti non vincitori saranno conservati per un periodo di 1 (uno) anno dalla chiusura formale del concorso.

All'interno di Penny Market, solo le persone che hanno bisogno dei suoi dati per svolgere i compiti loro assegnati avranno accesso agli stessi. Inoltre, comunicheremo i suoi dati personali a terzi e ad altri destinatari solo se abbiamo un motivo legale per farlo ai sensi del GDPR. In genere, ciò potrebbe includere situazioni in cui siamo tenuti per legge a divulgare le informazioni (ad esempio, all’Autorità garante della protezione dei dati), in cui stiamo adempiendo ai nostri obblighi contrattuali (ad esempio, a una società affiliata se ciò è richiesto dal rapporto commerciale che abbiamo con questa società), in cui è necessario proteggere i nostri interessi legittimi (ad esempio, a legali esterni per motivi di conformità) o in cui ha dato il suo esplicito consenso a farlo (ad esempio, a fornitori di cookie di terze parti).
Abbiamo inoltre incaricato alcuni fornitori di servizi che elaborano i suoi dati per nostro conto e sono pertanto utilizzati come cosiddetti responsabili del trattamento (ad esempio, le agenzie che ci supportano nella gestione di manifestazioni a premio). Tali responsabili del trattamento sono obbligati per contratto a trattare i suoi dati personali esclusivamente sulla base del nostro accordo contrattuale e in conformità alle nostre istruzioni specifiche. In qualità di responsabili del trattamento, i nostri fornitori di servizi sono anche destinatari dei suoi dati personali.
Questi fornitori di servizi elaborano i dati personali esclusivamente per conto di Penny Market e sono tenuti a rispettare le leggi vigenti in materia di protezione dei dati. Tutti i responsabili trattamento sono stati accuratamente selezionati e hanno accesso ai suoi dati personali solo nella misura e per il periodo necessari a fornire il servizio o per il quale ha autorizzato il trattamento e l'utilizzo dei suoi dati personali.
Le categorie di destinatari sono le seguenti:

• Fornitori di servizi IT (ad es. hosting di server, software ecc.)
• Fornitori di servizi di stampa, consegna e logistica
• Fornitori di servizi di pagamento e banche per l'elaborazione dei pagamenti
• Fornitori di servizi di marketing (ad es. comunicazioni di marketing, analisi dei dati, sondaggi, concorsi, social media, ecc.)
• Fornitori di servizi per l'assistenza e il supporto ai clienti
• Autorità competenti

I dati personali dei vincitori potranno essere, altresì, comunicati a soggetti terzi titolari dell’esercizio commerciale scelto dal vincitore quale premio, che agiranno in qualità di titolari autonomi dal Trattamento, esclusivamente per consentire la fruizione del premio stesso. In caso di opposizione a tale comunicazione, non sarà possibile procedere all’assegnazione e alla fruizione del premio.
L'azienda può inoltre comunicare i dati personali nel corso di transazioni commerciali, ad esempio in caso di ispezione finanziaria o legale, in caso di trasferimento di parti dell'azienda a un acquirente o in caso di riorganizzazione dell’azienda.

Non trasferiremo i suoi dati personali a paesi terzi al di fuori dello Spazio Economico Europeo (SEE), a meno che non sia stata fornita una idonea base giuridica. Possiamo trasferire i suoi dati personali al di fuori del SEE se è stato ottenuto il suo consenso esplicito o se è necessario e se è garantito un livello di protezione adeguato in conformità con il GDPR. Ciò può avvenire, ad esempio, sulla base di una decisione di adeguatezza della Commissione UE ai sensi dell'art. 45 del GDPR o se vengono stipulate clausole contrattuali standard dell'Unione Europea ai sensi dell'art. 46 del GDPR. Ci impegneremo al massimo per garantire che i trasferimenti di dati effettuati in questo modo siano conformi al GDPR e adotteremo misure adeguate a garantire la sicurezza dei suoi dati personali. Per ulteriori informazioni su tali misure, La preghiamo di contattarci direttamente all'indirizzo e-mail eserciziodirittiprivacy@penny.it.

In qualità di soggetto interessato al trattamento dei dati personali, lei ha i seguenti diritti ai sensi del GDPR. Se è possessore della nostra carta fedeltà può esercitare questi diritti utilizzando la sezione dedicate sul nostro sito https://eserciziodirittiprivacy.penny.it/ altrimenti può scrivere una email a eserciziodirittiprivacy@penny.it. In ogni caso può scrivere anche all’indirizzo postale di Penny Market.

Diritto di accesso

Ai sensi dell'art. 15 del GDPR, ha il diritto di chiedere conferma del trattamento dei dati personali che la riguardano. In particolare, può richiedere informazioni su quanto segue, tra cui, a titolo esemplificativo e non esaustivo:

• La finalità del trattamento
• La categoria di dati personali interessati
• I destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati (in particolare nel caso di destinatari in Paesi terzi o organizzazioni internazionali)
• Il periodo di conservazione previsto per i dati personali o, se ciò non è possibile, i criteri per determinare tale periodo
• L'esistenza del diritto di rettificare o cancellare i dati personali che la riguardano, di limitarne il trattamento, di opporsi a tale trattamento, il diritto di proporre reclamo all'autorità di controllo, eventuali informazioni sull'origine dei dati personali se non sono stati raccolti presso l'interessato, l'esistenza di un processo decisionale automatizzato (compresa la profilazione) e informazioni sul metodo di trattamento utilizzato.

Diritto di rettifica

Ai sensi dell'Art. 16 GDPR, può richiedere la rettifica di dati personali errati o il completamento di dati personali incompleti senza indugio, anche mediante una dichiarazione integrativa.

Diritto alla cancellazione

Ai sensi dell'Art. 17 GDPR, può richiedere la cancellazione dei dati personali che ci ha fornito, a condizione che il trattamento non sia necessario per le finalità di cui all'Art. 17 para. 3 GDPR o per un altro scopo legittimo. Di norma, i dati personali vengono cancellati immediatamente, al più tardi entro un mese dall'esercizio di tale diritto da parte dell'interessato. Se la cancellazione è in contrasto con gli obblighi legali, contrattuali, fiscali o commerciali di conservazione dei dati personali o per altri motivi legalmente stabiliti, i dati personali possono essere limitati anziché cancellati.

Diritto alla limitazione del trattamento

Può richiedere la limitazione del trattamento dei suoi dati personali ai sensi dell'art. 18 GDPR se contesta il trattamento dei suoi dati personali, se contesta l'esattezza dei dati, se il trattamento dei dati è illegittimo o se il titolare del trattamento non ha più bisogno dei dati personali ai fini del trattamento, ma l'interessato ne ha bisogno per far valere, esercitare o difendere i propri diritti. Lei ha anche la possibilità di effettuare un reclamo ai sensi dell'Art. 18 GDPR se si è opposto al trattamento in qualità di interessato ai sensi dell'Art. 21 para. 1 GDPR.

Diritto alla portabilità dei dati

Ai sensi dell'art. 20 GDPR, ha il diritto di ricevere i dati personali che la riguardano e che ci ha fornito in un formato strutturato, comune e leggibile da una macchina o di farli trasferire a un altro responsabile del trattamento.

Diritto di revocare il consenso

Ai sensi dell'Art. 7 para. 3 GDPR, può revocare il suo consenso al trattamento dei dati personali in qualsiasi momento. Ciò significa che in futuro non sarà più consentito trattare i dati personali sulla base di tale consenso.

Diritto di reclamo

Ha il diritto di presentare un reclamo a un'autorità di controllo ai sensi dell'Art. 77 GDPR. Può rivolgersi all'autorità di controllo del suo luogo di residenza abituale, del suo luogo di lavoro o all'autorità di controllo del luogo in cui si è verificata la presunta violazione.

Ai sensi dell'Art. 21 GDPR, ha il diritto di opporsi in qualsiasi momento, per motivi legati alla sua situazione particolare, al trattamento dei dati personali che la riguardano effettuato sulla base dell'Art. 6 para. 1 lett. e/o f GDPR. Il titolare del trattamento non tratterà più i dati personali a meno che non possa dimostrare motivi legittimi impellenti per giustificare il trattamento che prevalgono sugli interessi, i diritti e le libertà dell'interessato, o per l'istituzione, l'esercizio o la difesa di rivendicazioni di legge.
Qualora i dati personali siano trattati per finalità di marketing diretto, ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che la riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto.

Riteniamo che il trattamento riservato dei suoi dati personali e la protezione della sua privacy siano un nostro dovere. Pertanto, adottiamo misure tecniche e organizzative di sicurezza in conformità al GDPR, al fine di evitare la distruzione, la manipolazione, la divulgazione non autorizzata o l'uso improprio dei dati da noi memorizzati.
Nonostante i nostri sforzi per proteggere i suoi dati, desideriamo sottolineare che non è possibile garantire una sicurezza assoluta. In particolare, non abbiamo alcuna influenza sul trattamento dei dati al di fuori della nostra area di responsabilità.