Cel mai bun serviciu de monitorizare a actelor publicate in Monitorul Oficial
──────────────────
ANEXA 1
MĂSURI ŞI PROCEDURI
specifice pentru asigurarea unui nivel satisfãcãtor de protecţie a drepturilor persoanelor ale cãror date cu caracter personal fac obiectul prelucrarilor
Scopul şi sfera de aplicare
ART. 1
(1) Prezentele mãsuri şi proceduri au ca scop asigurarea unui nivel satisfãcãtor de protecţie a datelor cu caracter personal, prelucrate de cãtre membrii asociaţiilor profesionale, prin stabilirea modalitãţilor de exercitare a drepturilor şi obligaţiilor care revin membrilor asociaţiilor profesionale în domeniul protecţiei persoanelor, în privinta datelor cu caracter personal, în relaţiile asociaţiilor profesionale cu persoanele vizate (în calitate de beneficiari ai serviciilor prestate, de utilizatori etc.), cu alte asociaţii profesionale, precum şi cu alte persoane fizice sau juridice care nu fac parte din asociaţiile profesionale.
(2) Aceste mãsuri şi proceduri se aplica, în perioada în care nu sunt adoptate codurile de conduita, de cãtre asociaţiile profesionale, oricãror operaţiuni prin care membrii asociaţiilor profesionale prelucreaza datele cu caracter personal.
(3) Prezentele mãsuri şi proceduri nu aduc atingere altor obligaţii legale imperative sau deontologice care revin asociaţiilor profesionale.
(4) Prezentele mãsuri şi proceduri sunt aplicabile tuturor asociaţiilor profesionale din România.
Definirea termenilor
ART. 2
(1) Termenii folosiţi la stabilirea prezentelor mãsuri şi proceduri au urmãtorul sens:
a) asociaţii profesionale - forme organizatorice ale entitatilor de drept privat constituite pe criterii profesionale;
b) persoana vizata - persoana fizica ale carei date cu caracter personal sunt prelucrate;
c) a colecta - a strânge, a aduna, a primi date cu caracter personal prin orice mijloace şi din orice sursa;
d) a dezvalui - a transmite, a disemina, a face disponibile în orice alt mod date cu caracter personal, în afarã operatorului;
e) a utiliza - a se folosi datele cu caracter personal de cãtre şi în interiorul operatorului;
f) consimţãmânt - acordul neviciat al persoanei vizate de a-i fi prelucrate datele cu caracter personal, care trebuie sa fie întotdeauna expres şi neechivoc;
g) nivel de protecţie şi de securitate adecvat al prelucrarilor de date cu caracter personal nivelul de securitate proporţional riscului, pe care îl comporta prelucrarea fata de datele cu caracter personal respective şi fata de drepturile şi libertãţile persoanelor şi conform cerinţelor minime de securitate a prelucrarilor de date cu caracter personal, elaborate de autoritatea de supraveghere şi actualizate corespunzãtor stadiului dezvoltãrii tehnologice şi costurilor implementarii acestor mãsuri;
h) marketing direct - promovarea produselor şi a serviciilor, adresatã direct clienţilor, persoane fizice, prin mijloace de genul poştei, inclusiv cea electronica, sau alte mijloace de marketing la distanta, altele decât modalitãţile promotionale obişnuite (reclame).
(2) Termeni precum: date cu caracter personal, prelucrarea datelor cu caracter personal, stocare, operator, terţ, destinatar, date anonime, autoritate de supraveghere, dreptul de informare, dreptul de acces, dreptul de intervenţie, dreptul de opoziţie au sensurile definite de <>Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, de <>Legea nr. 676/2001 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul telecomunicatiilor, precum şi de <>Legea nr. 682/2001 privind ratificarea Convenţiei pentru protejarea persoanelor fata de prelucrarea automatizata a datelor cu caracter personal, adoptatã la Strasbourg la 28 ianuarie 1981.
Legalitatea şi transparenta
ART. 3
(1) Membrii asociaţiilor profesionale, denumiţi în continuare membri, recunosc şi respecta dreptul la viata intima, familialã şi privatã.
(2) Prelucrarea datelor cu caracter personal de cãtre membri se desfãşoarã în conformitate cu prevederile legale în vigoare.
(3) Membrii sunt obligaţi sa asigure transparenta prelucrarilor de date cu caracter personal.
Responsabilitatea
ART. 4
(1) Membrii sunt responsabili pentru datele cu caracter personal aflate sub controlul lor, precum şi pentru datele transferate cãtre terţi.
(2) Fiecare membru va desemna persoanele care vor rãspunde pentru respectarea dispoziţiilor legale din domeniul protecţiei persoanelor şi a datelor cu caracter personal.
Legitimitatea scopului colectãrii
ART. 5
(1) Colectarea de date cu caracter personal prin mijloace frauduloase, neloiale sau ilegale este interzisã.
(2) Membrii vor comunica scopurile pentru care sunt colectate datele cu caracter personal fie înainte, fie cel mai târziu la momentul colectãrii.
(3) Menţionarea scopurilor poate fi realizatã în scris, oral sau în forma electronica, într-un limbaj uşor accesibil pentru persoanele vizate.
Consimţãmântul
ART. 6
(1) Consimţãmântul persoanelor vizate este cerut în cazul prelucrãrii datelor cu caracter personal, în afarã cazurilor în care legea dispune altfel.
(2) Membrii vor folosi orice mijloace nedolosive, care necesita costuri financiare rezonabile, pentru a informa persoanele vizate în legatura cu prelucrarea datelor cu caracter personal şi pentru a solicita consimţãmântul acestora la momentul colectãrii datelor cu caracter personal.
(3) Persoana vizata îşi poate retrage consimţãmântul în orice moment, sub condiţia avizãrii prealabile a operatorului. Acesta va informa persoana vizata în legatura cu procedura şi efectele retragerii consimţãmântului.
Legitimitatea dezvaluirii
ART. 7
(1) Membrii vor prelucra datele cu caracter personal numai pentru scopurile pentru care au fost colectate, cu excepţia cazului în care persoana vizata îşi da consimţãmântul pentru prelucrarea în alte scopuri sau în alte cazuri permise de lege.
(2) Accesul la datele prelucrate va fi permis numai angajaţilor membrilor, în îndeplinirea obligaţiilor de serviciu.
Legitimitatea stocãrii
ART. 8
(1) Membrii sunt obligaţi sa pãstreze datele cu caracter personal exacte, complete şi actualizate, pentru realizarea scopurilor pentru care sunt utilizate.
(2) Datele inexacte sau incomplete vor fi şterse sau rectificate.
(3) Datele cu caracter personal vor fi pãstrate numai pentru perioada necesarã atingerii scopurilor stabilite.
(4) Membrii vor adopta reguli speciale în privinta stabilirii perioadei minime şi maxime necesare pentru pãstrarea datelor colectate, urmãrind totodatã respectarea drepturilor persoanei vizate, în special a dreptului de acces, de intervenţie şi de opoziţie.
(5) În urma verificãrilor periodice datele cu caracter personal deţinute de operator, care nu mai servesc realizãrii scopurilor sau îndeplinirii unor obligaţii legale, vor fi distruse sau transformate în date anonime într-un interval de timp rezonabil, potrivit procedurilor stabilite de lege sau, în lipsa unor astfel de dispoziţii legale, de cãtre membri.
Securitatea prelucrarilor
ART. 9
Membrii sunt obligaţi sa ia mãsurile tehnice şi organizatorice necesare pentru asigurarea unui nivel de protecţie şi de securitate adecvat, în cadrul operaţiunilor efectuate asupra datelor cu caracter personal, în urmãtoarele scopuri: pentru a limita accesul la bazele de date, care este permis numai persoanelor autorizate; pentru a interzice copierea datelor în afarã locurilor în care sunt gestionate; în general, pentru a impiedica orice circulaţie necontrolata a datelor.
Dreptul de informare
ART. 10
(1) Strategiile şi procedurile folosite de membri în legatura cu procesarea datelor cu caracter personal vor fi puse la dispoziţie persoanelor vizate, sub forma de informaţii furnizate într-un limbaj accesibil, prin mijloace fizice (de exemplu, prin broşuri), telefonice sau electronice.
(2) Membrii vor comunica informaţii, la cerere, în legatura cu datele cu caracter personal pe care le prelucreaza, sursele din care au colectat datele cu caracter personal, scopurile prelucrãrii, dacã şi cãrui terţ i-au fost dezvãluite aceste date, atunci când legea nu interzice.
(3) În cazul în care dezvaluirea datelor este impusa de lege (de exemplu, în vederea executãrii unei hotãrâri judecãtoreşti), membrii se vor asigura ca terţul care solicita dezvaluirea acţioneazã în conformitate cu dispoziţiile legale incidente, iar cererea priveşte numai datele cu caracter personal neexcesive prin raportare la scopul prelucrãrii. Persoana vizata va fi informatã în legatura cu dezvaluirea, numai dacã legea permite.
(4) Aducerea la cunostinta persoanelor vizate a drepturilor de care beneficiazã (în special, drepturile prevãzute la <>art. 12-15 din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date) se poate face prin intermediul unor menţiuni înscrise pe ofertele de produse sau servicii, pe primul document adresat persoanei vziate (de exemplu: factura, borderou de livrare, confirmare de primire etc.), pe prospectele care conţin şi chestionare etc.
Dreptul de acces
ART. 11
(1) Membrii vor permite accesul persoanelor vizate la datele cu caracter personal care le privesc, prin cele mai facile mijloace, pe care le pot pune la dispoziţie, în mod rezonabil.
(2) Accesul persoanei vizate nu poate fi permis, cu excepţia cazurilor prevãzute de lege, în urmãtoarele situaţii: în cazul în care sunt solicitate date despre o alta persoana; în cazul în care ar putea fi afectate viata şi siguranta altei persoane; în cazul în care sunt solicitate date care pot privi informaţii comerciale confidenţiale; în cazul în care s-ar aduce atingere soluţionãrii unui litigiu sau a unui proces penal.
(3) Membrii sunt obligaţi sa motiveze refuzul de a permite accesul la anumite date cu caracter personal.
Dreptul de intervenţie
ART. 12
(1) Persoanele vizate au dreptul de a solicita verificarea exactitatii şi a caracterului complet al datelor cu caracter personal care le privesc, precum şi de a solicita rectificarea datelor inexacte sau incomplete, prin formularea unor contestaţii.
(2) Membrii vor pãstra o evidenta a contestaţiilor privind caracterul exact sau complet al datelor, care nu au fost rezolvate, iar în cazul în care datele vor fi transferate cãtre alţi operatori, vor fi precizate datele care au fost rectificate sau în privinta cãrora exista contestaţii nerezolvate.
(3) Dispoziţiile alin. (2) se aplica şi în cazul dezvaluirii de date cãtre terţi, dacã este cazul.
(4) Actualizarea bazelor de date se face prin intermediul informaţiilor transmise de persoanele vizate, precum şi prin informaţiile furnizate de orice sursa externa autorizata de lege.
Dreptul de opoziţie
ART. 13
(1) Exercitarea de cãtre persoana vizata a dreptului de opoziţie impotriva prelucrãrii datelor cu caracter personal, în efectuarea operaţiunilor de marketing direct, este asigurata prin intermediul formularii unor cereri în acest sens sau prin includerea în listele de opoziţie a persoanelor vizate. Persoana vizata va fi încunoştinţatã de existenta listelor de opoziţie, precum şi de modalitatea de a solicita includerea în acestea.
(2) Persoanele vizate îşi pot exercita dreptul de opoziţie în orice moment, de preferinta într-un termen rezonabil acordat de operator, fãrã a se aduce atingere posibilitatii ca dreptul sa fie exercitat şi în afarã acestui termen.
(3) Listele de opoziţie sunt gestionate de asociaţiile profesionale.
(4) În cazul prelucrarilor ulterioare, precum şi al transferului cãtre alţi operatori al datelor cu caracter personal, membrii se vor asigura ca acestea nu privesc date pentru care persoanele vizate au exercitat anterior dreptul de a le fi şterse datele sau dreptul de opoziţie la transferul acestora.
Legitimitatea transferului
ART. 14
(1) În cazul transferului de date cu caracter personal cãtre alţi operatori, în special în operaţiunile de marketing direct, persoanele vizate vor fi informate cu privire la transfer prin înscrierea unor menţiuni pe ofertele de produse sau servicii.
(2) Menţiunile prevãzute la alin. (1) vor cuprinde şi specificarea dreptului de opoziţie la transferul datelor, precum şi metoda prin care persoanele vizate îşi pot exercita acest drept.
(3) Garanţiile pentru asigurarea protecţiei datelor cu caracter personal în cadrul transferului de date cãtre alţi operatori vor fi prevãzute prin clauze contractuale privind utilizarea acestor date, acolo unde este cazul. Aceste clauze vor mentiona, printre altele, drepturile recunoscute persoanelor vizate, precum şi faptul ca aceste drepturi pot fi exercitate doar cu respectarea confidenţialitãţii anumitor clauze comerciale.
Soluţionarea plangerilor
ART. 15
(1) Membrii sunt obligaţi sa rezolve plângerile şi orice alte cereri legate de prelucrarea datelor cu caracter personal, în termenele şi condiţiile prevãzute de lege.
(2) Procedura de primire, investigare şi de soluţionare a plangerilor şi a celorlalte cereri ale persoanelor vizate va fi stabilitã de cãtre membri şi va fi adusã la cunostinta persoanelor vizate.
Colaborarea cu autoritatea de supraveghere
ART. 16
(1) Anual sau ori de câte ori se va solicita membrii vor prezenta autoritãţii de supraveghere a prelucrarilor de date cu caracter personal rapoarte sau sinteze cu privire la plângerile primite şi la modul de soluţionare a acestora.
(2) Rapoartele şi sintezele la care se referã alin. (1) vor putea conţine şi alte informaţii privind aspecte din activitatea membrilor în domeniul protecţiei datelor cu caracter personal, precum şi propuneri de imbunatatire a activitãţii acestora.
Cheltuielile suportate de cãtre persoanele vizate
ART. 17
Membrii vor lua mãsuri pentru asigurarea unui nivel rezonabil al cheltuielilor ocazionate de exercitarea drepturilor prevãzute de lege şi de codurile de conduita, cheltuieli care sunt în sarcina persoanei vizate, cu excepţia cazului în care aceste drepturi pot fi exercitate în mod gratuit.
ANEXA 2
MODEL DE COD DE CONDUITA
Preambul
Luând în considerare importanta deosebita a garantarii dreptului la viata intima, familialã şi privatã, asa cum este prevãzut la art. 26 din Constituţia României,
ţinând seama de necesitatea protejãrii acestui drept fundamental în cadrul activitãţilor de prelucrare a datelor cu caracter personal, reglementate prin <>Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, prin <>Legea nr. 676/2001 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul telecomunicatiilor, precum şi prin <>Legea nr. 682/2001 privind ratificarea Convenţiei pentru protejarea persoanelor fata de prelucrarea automatizata a datelor cu caracter personal, adoptatã la Strasbourg la 28 ianuarie 1981,
având în vedere dispoziţiile <>art. 28 alin. (1) din Legea nr. 677/2001 , potrivit cãrora asociaţiile profesionale au obligaţia de a elabora şi de a supune spre avizare autoritãţii de supraveghere coduri de conduita care sa conţinã norme adecvate pentru protecţia drepturilor persoanelor ale cãror date cu caracter personal pot fi prelucrate de cãtre membrii acestora,
ţinând seama ca asociaţiile profesionale, prin activitatea desfasurata de membrii lor, prelucreaza date cu caracter personal, pentru protecţia cãrora este necesarã adoptarea unor coduri de conduita,
propunem asociaţiilor profesionale urmãtorul model de cod de conduita:
CAP. 1
Dispoziţii generale
Scopul şi sfera de aplicare
ART. 1
(1) Prezentul model de cod de conduita are ca scop stabilirea unor norme de conduita pentru asigurarea unui nivel satisfãcãtor de protecţie a datelor cu caracter personal prelucrate de cãtre membrii asociaţiilor profesionale.
(2) Normele de conduita stabilesc exercitarea drepturilor şi obligaţiilor care revin membrilor asociaţiilor profesionale în domeniul protecţiei persoanelor în privinta datelor cu caracter personal, în relaţiile asociaţiilor profesionale cu persoanele vizate (în calitate de beneficiari ai serviciilor prestate, de utilizatori etc.), cu alte asociaţii profesionale, precum şi cu alte persoane fizice sau juridice care nu fac parte din asociaţiile profesionale.
(3) Prezentul model de cod de conduita se aplica indiferent de operaţiunea prin care membrii asociaţiilor profesionale prelucreaza datele cu caracter personal.
(4) Normele cuprinse în prezentul model de cod de conduita nu aduc atingere altor obligaţii legale imperative sau deontologice care revin asociaţiilor profesionale.
(5) Prezentul model de cod de conduita conţine norme de conduita aplicabile tuturor asociaţiilor profesionale din România.
Definirea termenilor
ART. 2
(1) Termenii folosiţi în prezentul model de cod de conduita au urmãtorul sens:
a) asociaţii profesionale - forme organizatorice ale entitatilor de drept privat constituite pe criterii profesionale;
b) persoana vizata - persoana fizica ale carei date cu caracter personal sunt prelucrate;
c) a colecta - a strânge, a aduna, a primi date cu caracter personal prin orice mijloace şi din orice sursa;
d) a dezvalui - a transmite, a disemina, a face disponibile în orice alt mod date cu caracter personal, în afarã operatorului;
e) a utiliza - a se folosi datele cu caracter personal de cãtre şi în interiorul operatorului;
f) consimţãmânt - acordul neviciat al persoanei vizate de a-i fi prelucrate datele cu caracter personal, care trebuie sa fie întotdeauna expres şi neechivoc;
g) nivel de protecţie şi de securitate adecvat al prelucrarilor de date cu caracter personal nivelul de securitate proporţional riscului, pe care îl comporta prelucrarea fata de datele cu caracter personal respective şi fata de drepturile şi libertãţile persoanelor şi conform cerinţelor minime de securitate a prelucrarilor de date cu caracter personal, elaborate de autoritatea de supraveghere şi actualizate corespunzãtor stadiului dezvoltãrii tehnologice şi costurilor implementarii acestor mãsuri;
h) marketing direct - promovarea produselor şi a serviciilor, adresatã direct clienţilor, persoane fizice, prin mijloace de genul poştei, inclusiv cea electronica, sau alte mijloace de marketing la distanta, altele decât modalitãţile promotionale obişnuite (reclame).
(2) Termeni precum: date cu caracter personal, prelucrarea datelor cu caracter personal, stocare, operator, terţ, destinatar, date anonime, autoritate de supraveghere, dreptul de informare, dreptul de acces, dreptul de intervenţie, dreptul de opoziţie au sensurile definite de <>Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, de <>Legea nr. 676/2001 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul telecomunicatiilor, precum şi de <>Legea nr. 682/2001 privind ratificarea Convenţiei pentru protejarea persoanelor fata de prelucrarea automatizata a datelor cu caracter personal, adoptatã la Strasbourg la 28 ianuarie 1981.
Adoptarea codurilor de conduita
ART. 3
(1) Asociaţiile profesionale vor elabora propriile coduri de conduita, cu respectarea principiilor din prezentul model de cod de conduita. Codurile de conduita vor conţine norme adecvate care sa reglementeze mãsuri specifice domeniului de activitate al asociaţiei respective, pentru aplicarea eficienta a principiilor din prezentul model de cod de conduita.
(2) Codurile de conduita care vor fi adoptate de asociaţiile profesionale vor putea fi revizuite periodic, în funcţie de modificãrile şi completãrile legislative aplicabile, precum şi de nivelul de dezvoltare tehnologicã în domeniul de activitate al fiecãrei asociaţii.
(3) Asociaţiile profesionale vor supune codurile de conduita spre avizare autoritãţii de supraveghere.
Cadrul legal al codurilor de conduita
ART. 4
În vederea elaborãrii codurilor de conduita de cãtre asociaţiile profesionale pe baza prezentului model de cod de conduita, vor fi respectate dispoziţiile legale referitoare la protecţia dreptului la viata intima, familialã şi privatã, în ceea ce priveşte prelucrarea datelor cu caracter personal. Se vor avea în vedere în mod special dispoziţiile <>Legii nr. 676/2001 , ale <>Legii nr. 677/2001 , precum şi ale <>Legii nr. 682/2001 .
CAP. 2
Principiile prelucrarilor de date cu caracter personal efectuate de cãtre membrii asociaţiilor profesionale
Legalitatea şi transparenta
ART. 5
(1) Membrii asociaţiilor profesionale, denumiţi în continuare membri, recunosc şi respecta dreptul la viata intima, familialã şi privatã.
(2) Prelucrarea datelor cu caracter personal de cãtre membri se desfãşoarã în conformitate cu prevederile legale în vigoare.
(3) Membrii sunt obligaţi sa asigure transparenta prelucrarilor de date cu caracter personal.
Responsabilitatea
ART. 6
(1) Membrii sunt responsabili pentru datele cu caracter personal aflate sub controlul lor, precum şi pentru datele transferate cãtre terţi.
(2) Fiecare membru va desemna persoanele care vor rãspunde pentru respectarea dispoziţiilor legale din domeniul protecţiei persoanelor şi a datelor cu caracter personal, precum şi a principiilor prevãzute în prezentul model de cod de conduita.
Legitimitatea scopului colectãrii
ART. 7
(1) Colectarea de date cu caracter personal prin mijloace frauduloase, neloiale sau ilegale este interzisã.
(2) Membrii vor comunica scopurile pentru care sunt colectate datele cu caracter personal fie înainte, fie cel mai târziu la momentul colectãrii.
(3) Menţionarea scopurilor poate fi realizatã în scris, oral sau în forma electronica, într-un limbaj uşor accesibil pentru persoanele vizate.
Consimţãmântul
ART. 8
(1) Consimţãmântul persoanelor vizate este cerut în cazul prelucrãrii datelor cu caracter personal, în afarã cazurilor în care legea dispune altfel.
(2) Membrii vor folosi orice mijloace nedolosive, care necesita costuri financiare rezonabile, pentru a informa persoanele vizate în legatura cu prelucrarea datelor cu caracter personal şi pentru a solicita consimţãmântul acestora la momentul colectãrii datelor cu caracter personal.
(3) Persoana vizata îşi poate retrage consimţãmântul în orice moment, sub condiţia avizãrii prealabile a operatorului. Acesta va informa persoana vizata în legatura cu procedura şi efectele retragerii consimţãmântului.
Legitimitatea dezvaluirii
ART. 9
(1) Membrii vor prelucra datele cu caracter personal numai pentru scopurile pentru care au fost colectate, cu excepţia cazului în care persoana vizata îşi da consimţãmântul pentru prelucrarea în alte scopuri sau în alte cazuri permise de lege.
(2) Accesul la datele prelucrate va fi permis numai angajaţilor membrilor, în îndeplinirea obligaţiilor de serviciu.
Legitimitatea stocãrii
ART. 10
(1) Membrii sunt obligaţi sa pãstreze datele cu caracter personal exacte, complete şi actualizate, pentru realizarea scopurilor pentru care sunt utilizate.
(2) Datele inexacte sau incomplete vor fi şterse sau rectificate.
(3) Datele cu caracter personal vor fi pãstrate numai pentru perioada necesarã atingerii scopurilor stabilite.
(4) Membrii vor adopta reguli speciale în privinta stabilirii perioadei minime şi maxime necesare pentru pãstrarea datelor colectate, urmãrind totodatã respectarea drepturilor persoanei vizate, în special a dreptului de acces, de intervenţie şi de opoziţie.
(5) În urma verificãrilor periodice datele cu caracter personal deţinute de operator, care nu mai servesc realizãrii scopurilor sau îndeplinirii unor obligaţii legale, vor fi distruse sau transformate în date anonime într-un interval de timp rezonabil, potrivit procedurilor stabilite de lege sau, în lipsa unor astfel de dispoziţii legale, de cãtre membri.
Securitatea prelucrarilor
ART. 11
Membrii sunt obligaţi sa ia mãsurile tehnice şi organizatorice necesare pentru asigurarea unui nivel de protecţie şi de securitate adecvat, în cadrul operaţiunilor efectuate asupra datelor cu caracter personal, în urmãtoarele scopuri: pentru a limita accesul la bazele de date, care este permis numai persoanelor autorizate; pentru a interzice copierea datelor în afarã locurilor în care sunt gestionate; în general, pentru a impiedica orice circulaţie necontrolata a datelor.
Dreptul de informare
ART. 12
(1) Strategiile şi procedurile folosite de membri în legatura cu procesarea datelor cu caracter personal vor fi puse la dispoziţie persoanelor vizate, sub forma de informaţii furnizate într-un limbaj accesibil, prin mijloace fizice (de exemplu, prin broşuri), telefonice sau electronice.
(2) Membrii vor comunica informaţii, la cerere, în legatura cu datele cu caracter personal, pe care le prelucreaza, sursele din care au colectat datele cu caracter personal, scopurile prelucrãrii, dacã şi cãrui terţ i-au fost dezvãluite aceste date, atunci când legea nu interzice.
(3) În cazul în care dezvaluirea datelor este impusa de lege (de exemplu, în vederea executãrii unei hotãrâri judecãtoreşti), membrii se vor asigura ca terţul care solicita dezvaluirea acţioneazã în conformitate cu dispoziţiile legale incidente, iar cererea priveşte numai datele cu caracter personal neexcesive prin raportare la scopul prelucrãrii. Persoana vizata va fi informatã în legatura cu dezvaluirea, numai dacã legea permite.
(4) Aducerea la cunostinta persoanelor vizate a drepturilor de care beneficiazã (în special, drepturile prevãzute la <>art. 12-15 din Legea nr. 677/2001 ) se poate face prin intermediul unor menţiuni înscrise pe ofertele de produse sau servicii, pe primul document adresat persoanei vizate (de exemplu, factura, borderou de livrare, confirmare de primire etc.), pe prospectele care conţin şi chestionare etc.
Dreptul de acces
ART. 13
(1) Membrii vor permite accesul persoanelor vizate la datele cu caracter personal care le privesc, prin cele mai facile mijloace, pe care le pot pune la dispoziţie, în mod rezonabil.
(2) Accesul persoanei vizate nu poate fi permis, cu excepţia cazurilor prevãzute de lege, în urmãtoarele situaţii: în cazul în care sunt solicitate date despre o alta persoana; în cazul în care ar putea fi afectate viata şi siguranta altei persoane; în cazul în care sunt solicitate date care pot privi informaţii comerciale confidenţiale; în cazul în care s-ar aduce atingere soluţionãrii unui litigiu sau a unui proces penal.
(3) Membrii sunt obligaţi sa motiveze refuzul de a permite accesul la anumite date cu caracter personal.
Dreptul de intervenţie
ART. 14
(1) Persoanele vizate au dreptul de a solicita verificarea exactitatii şi a caracterului complet al datelor cu caracter personal care le privesc, precum şi de a solicita rectificarea datelor inexacte sau incomplete, prin formularea unor contestaţii.
(2) Membrii vor pãstra o evidenta a contestaţiilor privind caracterul exact sau complet al datelor, care nu au fost rezolvate, iar în cazul în care datele vor fi transferate cãtre alţi operatori, vor fi precizate datele care au fost rectificate sau în privinta cãrora exista contestaţii nerezolvate.
(3) Dispoziţiile alin. (2) se aplica şi în cazul dezvaluirii de date cãtre terţi, dacã este cazul.
(4) Actualizarea bazelor de date se face prin intermediul informaţiilor transmise de persoanele vizate, precum şi prin informaţiile furnizate de orice sursa externa autorizata de lege.
Dreptul de opoziţie
ART. 15
(1) Exercitarea de cãtre persoana vizata a dreptului de opoziţie impotriva prelucrãrii datelor cu caracter personal, în efectuarea operaţiunilor de marketing direct, este asigurata prin intermediul formularii unor cereri în acest sens sau prin includerea în listele de opoziţie a persoanelor vizate. Persoana vizata va fi încunoştinţatã de existenta listelor de opoziţie, precum şi de modalitatea de a solicita includerea în acestea.
(2) Persoanele vizate îşi pot exercita dreptul de opoziţie în orice moment, de preferinta într-un termen rezonabil acordat de operator, fãrã a se aduce atingere posibilitatii ca dreptul sa fie exercitat şi în afarã acestui termen.
(3) Listele de opoziţie sunt gestionate de asociaţiile profesionale.
(4) În cazul prelucrarilor ulterioare, precum şi al transferului cãtre alţi operatori al datelor cu caracter personal, membrii se vor asigura ca acestea nu privesc date pentru care persoanele vizate au exercitat anterior dreptul de a le fi şterse datele sau dreptul de opoziţie la transferul acestora.
Legitimitatea transferului
ART. 16
(1) În cazul transferului de date cu caracter personal cãtre alţi operatori, în special în operaţiunile de marketing direct, persoanele vizate vor fi informate cu privire la transfer prin înscrierea unor menţiuni pe ofertele de produse sau servicii.
(2) Menţiunile prevãzute la alin. (1) vor cuprinde şi specificarea dreptului de opoziţie la transferul datelor, precum şi metoda prin care persoanele vizate îşi pot exercita acest drept.
(3) Garanţiile pentru asigurarea protecţiei datelor cu caracter personal în cadrul transferului de date cãtre alţi operatori vor fi prevãzute prin clauze contractuale privind utilizarea acestor date, acolo unde este cazul. Aceste clauze vor mentiona, printre altele, drepturile recunoscute persoanelor vizate, precum şi faptul ca aceste drepturi pot fi exercitate doar cu respectarea confidenţialitãţii anumitor clauze comerciale.
Soluţionarea plangerilor
ART. 17
(1) Membrii sunt obligaţi sa rezolve plangerile şi orice alte cereri legate de prelucrarea datelor cu caracter personal, în termenele şi condiţiile prevãzute de lege.
(2) Procedura de primire, investigare şi de soluţionare a plangerilor şi a celorlalte cereri ale persoanelor vizate va fi stabilitã de cãtre membri şi va fi adusã la cunostinta persoanelor vizate.
Colaborarea cu autoritatea de supraveghere
ART. 18
(1) Anual sau ori de câte ori se va solicita membrii vor prezenta autoritãţii de supraveghere a prelucrarilor de date cu caracter personal rapoarte sau sinteze cu privire la plângerile primite şi la modul de soluţionare a acestora.
(2) Rapoartele şi sintezele la care se referã alin. (1) vor putea conţine şi alte informaţii privind aspecte din activitatea membrilor în domeniul protecţiei datelor cu caracter personal, precum şi propuneri de imbunatatire a activitãţii acestora.
Cheltuielile suportate de cãtre persoanele vizate
ART. 19
Membrii vor lua mãsuri pentru asigurarea unui nivel rezonabil al cheltuielilor ocazionate de exercitarea drepturilor prevãzute de lege şi de codurile de conduita, cheltuieli care sunt în sarcina persoanei vizate, cu excepţia cazului în care aceste drepturi pot fi exercitate în mod gratuit.
CAP. 3
Dispoziţii finale şi tranzitorii
Modul de aplicare
ART. 20
(1) Dispoziţiile prezentului model de cod de conduita vor fi avute în vedere la adoptarea propriilor coduri de conduita de cãtre asociaţiile profesionale care prelucreaza date cu caracter personal.
(2) Normele prezentului model de cod de conduita au caracter de recomandare.
(3) Prezentul model de cod de conduita se completeazã cu prevederile legale în domeniul protecţiei datelor cu caracter personal.
Modificarea şi completarea modelului de cod de conduita
ART. 21
(1) Membrii asociaţiilor profesionale sau persoanele interesate pot propune modificãri sau completãri ale prezentului model de cod de conduita.
(2) Propunerile la care se referã alin. (1) vor fi trimise, în scris şi motivat, autoritãţii de supraveghere.
(3) Autoritatea de supraveghere va lua în considerare numai propunerile pertinente şi concludente, în vederea modificãrii şi completãrii prezentului model de cod de conduita.
──────────────
