Art. 1. – Se aprobă Măsurile şi procedurile specifice pentru asigurarea unui nivel satisfăcător de protecţie a drepturilor persoanelor ale căror date cu caracter personal fac obiectul prelucrărilor, prevăzute în anexa nr. 1 la prezentul ordin.
Art. 2. – Se aprobă Modelul de cod de conduită prevăzut în anexa nr. 2 la prezentul ordin.
Art. 3. – Prezentul ordin va fi publicat în Monitorul Oficial al României, Partea I.
Art. 4. – Anexele nr. 1 şi 2 fac parte integrantă din prezentul ordin.
Bucureşti, 4 iunie 2002.
Nr. 75.
ANEXA Nr. 1
MĂSURI ŞI PROCEDURI
specifice pentru asigurarea unui nivel satisfăcător de protecţie
a drepturilor persoanelor ale căror date cu caracter
personal fac obiectul prelucrărilor
Scopul şi sfera de aplicare
Art. 1. – (1) Prezentele măsuri şi proceduri au ca scop asigurarea unui nivel satisfăcător de protecţie a datelor cu caracter personal, prelucrate de către membrii asociaţiilor profesionale, prin stabilirea modalităţilor de exercitare a drepturilor şi obligaţiilor care revin membrilor asociaţiilor profesionale în domeniul protecţiei persoanelor, în privinţa datelor cu caracter personal, în relaţiile asociaţiilor profesionale cu persoanele vizate (în calitate de beneficiari ai serviciilor prestate, de utilizatori etc.), cu alte asociaţii profesionale, precum şi cu alte persoane fizice sau juridice care nu fac parte din asociaţiile profesionale.
(2) Aceste măsuri şi proceduri se aplică, în perioada în care nu sunt adoptate codurile de conduită, de către asociaţiile profesionale, oricăror operaţiuni prin care membrii asociaţiilor profesionale prelucrează datele cu caracter personal.
(3) Prezentele măsuri şi proceduri nu aduc atingere altor obligaţii legale imperative sau deontologice care revin asociaţiilor profesionale.
(4) Prezentele măsuri şi proceduri sunt aplicabile tuturor asociaţiilor profesionale din România.
Definirea termenilor
Art. 2. – (1) Termenii folosiţi la stabilirea prezentelor măsuri şi proceduri au următorul sens:
a) asociaţii profesionale – forme organizatorice ale entităţilor de drept privat constituite pe criterii profesionale;
b) persoană vizată – persoana fizică ale cărei date cu caracter personal sunt prelucrate;
c) a colecta – a strânge, a aduna, a primi date cu caracter personal prin orice mijloace şi din orice sursă;
d) a dezvălui – a transmite, a disemina, a face disponibile în orice alt mod date cu caracter personal, în afara operatorului;
e) a utiliza – a se folosi datele cu caracter personal de către şi în interiorul operatorului;
f) consimţământ – acordul neviciat al persoanei vizate de a-i fi prelucrate datele cu caracter personal, care trebuie să fie întotdeauna expres şi neechivoc;
g) nivel de protecţie şi de securitate adecvat al prelucrărilor de date cu caracter personal – nivelul de securitate proporţional riscului, pe care îl comportă prelucrarea faţă de datele cu caracter personal respective şi faţă de drepturile şi libertăţile persoanelor şi conform cerinţelor minime de securitate a prelucrărilor de date cu caracter personal, elaborate de autoritatea de supraveghere şi actualizate corespunzător stadiului dezvoltării tehnologice şi costurilor implementării acestor măsuri;
h) marketing direct – promovarea produselor şi a serviciilor, adresată direct clienţilor, persoane fizice, prin mijloace de genul poştei, inclusiv cea electronică, sau alte mijloace de marketing la distanţă, altele decât modalităţile promoţionale obişnuite (reclame).
(2) Termeni precum: date cu caracter personal, prelucrarea datelor cu caracter personal, stocare, operator, terţ, destinatar, date anonime, autoritate de supraveghere, dreptul de informare, dreptul de acces, dreptul de intervenţie, dreptul de opoziţie au sensurile definite de Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, de Legea nr. 676/2001 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul telecomunicaţiilor, precum şi de Legea nr. 682/2001 privind ratificarea Convenţiei pentru protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981.
Legalitatea şi transparenţa
Art. 3. – (1) Membrii asociaţiilor profesionale, denumiţi în continuare membri, recunosc şi respectă dreptul la viaţă intimă, familială şi privată.
(2) Prelucrarea datelor cu caracter personal de către membri se desfăşoară în conformitate cu prevederile legale în vigoare.
(3) Membrii sunt obligaţi să asigure transparenţa prelucrărilor de date cu caracter personal.
Responsabilitatea
Art. 4. – (1) Membrii sunt responsabili pentru datele cu caracter personal aflate sub controlul lor, precum şi pentru datele transferate către terţi.
(2) Fiecare membru va desemna persoanele care vor răspunde pentru respectarea dispoziţiilor legale din domeniul protecţiei persoanelor şi a datelor cu caracter personal.
Legitimitatea scopului colectării
Art. 5. – (1) Colectarea de date cu caracter personal prin mijloace frauduloase, neloiale sau ilegale este interzisă.
(2) Membrii vor comunica scopurile pentru care sunt colectate datele cu caracter personal fie înainte, fie cel mai târziu la momentul colectării.
(3) Menţionarea scopurilor poate fi realizată în scris, oral sau în formă electronică, într-un limbaj uşor accesibil pentru persoanele vizate.
Consimţământul
Art. 6. – (1) Consimţământul persoanelor vizate este cerut în cazul prelucrării datelor cu caracter personal, în afara cazurilor în care legea dispune altfel.
(2) Membrii vor folosi orice mijloace nedolosive, care necesită costuri financiare rezonabile, pentru a informa persoanele vizate în legătură cu prelucrarea datelor cu caracter personal şi pentru a solicita consimţământul acestora la momentul colectării datelor cu caracter personal.
(3) Persoana vizată îşi poate retrage consimţământul în orice moment, sub condiţia avizării prealabile a operatorului. Acesta va informa persoana vizată în legătură cu procedura şi efectele retragerii consimţământului.
Legitimitatea dezvăluirii
Art. 7. – (1) Membrii vor prelucra datele cu caracter personal numai pentru scopurile pentru care au fost colectate, cu excepţia cazului în care persoana vizată îşi dă consimţământul pentru prelucrarea în alte scopuri sau în alte cazuri permise de lege.
(2) Accesul la datele prelucrate va fi permis numai angajaţilor membrilor, în îndeplinirea obligaţiilor de serviciu.
Legitimitatea stocării
Art. 8. – (1) Membrii sunt obligaţi să păstreze datele cu caracter personal exacte, complete şi actualizate, pentru realizarea scopurilor pentru care sunt utilizate.
(2) Datele inexacte sau incomplete vor fi şterse sau rectificate.
(3) Datele cu caracter personal vor fi păstrate numai pentru perioada necesară atingerii scopurilor stabilite.
(4) Membrii vor adopta reguli speciale în privinţa stabilirii perioadei minime şi maxime necesare pentru păstrarea datelor colectate, urmărind totodată respectarea drepturilor persoanei vizate, în special a dreptului de acces, de intervenţie şi de opoziţie.
(5) În urma verificărilor periodice datele cu caracter personal deţinute de operator, care nu mai servesc realizării scopurilor sau îndeplinirii unor obligaţii legale, vor fi distruse sau transformate în date anonime într-un interval de timp rezonabil, potrivit procedurilor stabilite de lege sau, în lipsa unor astfel de dispoziţii legale, de către membri.
Securitatea prelucrărilor
Art. 9. – Membrii sunt obligaţi să ia măsurile tehnice şi organizatorice necesare pentru asigurarea unui nivel de protecţie şi de securitate adecvat, în cadrul operaţiunilor efectuate asupra datelor cu caracter personal, în următoarele scopuri: pentru a limita accesul la bazele de date, care este permis numai persoanelor autorizate; pentru a interzice copierea datelor în afara locurilor în care sunt gestionate; în general, pentru a împiedica orice circulaţie necontrolată a datelor.
Dreptul de informare
Art. 10. – (1) Strategiile şi procedurile folosite de membri în legătură cu procesarea datelor cu caracter personal vor fi puse la dispoziţie persoanelor vizate, sub formă de informaţii furnizate într-un limbaj accesibil, prin mijloace fizice (de exemplu, prin broşuri), telefonice sau electronice.
(2) Membrii vor comunica informaţii, la cerere, în legătură cu datele cu caracter personal pe care le prelucrează, sursele din care au colectat datele cu caracter personal, scopurile prelucrării, dacă şi cărui terţ i-au fost dezvăluite aceste date, atunci când legea nu interzice.
(3) În cazul în care dezvăluirea datelor este impusă de lege (de exemplu, în vederea executării unei hotărâri judecătoreşti), membrii se vor asigura că terţul care solicită dezvăluirea acţionează în conformitate cu dispoziţiile legale incidente, iar cererea priveşte numai datele cu caracter personal neexcesive prin raportare la scopul prelucrării. Persoana vizată va fi informată în legătură cu dezvăluirea, numai dacă legea permite.
(4) Aducerea la cunoştinţă persoanelor vizate a drepturilor de care beneficiază (în special, drepturile prevăzute la art. 12-15 din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date) se poate face prin intermediul unor menţiuni înscrise pe ofertele de produse sau servicii, pe primul document adresat persoanei vizate (de exemplu: factură, borderou de livrare, confirmare de primire etc.), pe prospectele care conţin şi chestionare etc.
Dreptul de acces
Art. 11. – (1) Membrii vor permite accesul persoanelor vizate la datele cu caracter personal care le privesc, prin cele mai facile mijloace, pe care le pot pune la dispoziţie, în mod rezonabil.
(2) Accesul persoanei vizate nu poate fi permis, cu excepţia cazurilor prevăzute de lege, în următoarele situaţii: în cazul în care sunt solicitate date despre o altă persoană; în cazul în care ar putea fi afectate viaţa şi siguranţa altei persoane; în cazul în care sunt solicitate date care pot privi informaţii comerciale confidenţiale; în cazul în care s-ar aduce atingere soluţionării unui litigiu sau a unui proces penal.
(3) Membrii sunt obligaţi să motiveze refuzul de a permite accesul la anumite date cu caracter personal.
Dreptul de intervenţie
Art. 12. – (1) Persoanele vizate au dreptul de a solicita verificarea exactităţii şi a caracterului complet al datelor cu caracter personal care le privesc, precum şi de a solicita rectificarea datelor inexacte sau incomplete, prin formularea unor contestaţii.
(2) Membrii vor păstra o evidenţă a contestaţiilor privind caracterul exact sau complet al datelor, care nu au fost rezolvate, iar în cazul în care datele vor fi transferate către alţi operatori, vor fi precizate datele care au fost rectificate sau în privinţa cărora există contestaţii nerezolvate.
(3) Dispoziţiile alin. (2) se aplică şi în cazul dezvăluirii de date către terţi, dacă este cazul.
(4) Actualizarea bazelor de date se face prin intermediul informaţiilor transmise de persoanele vizate, precum şi prin informaţiile furnizate de orice sursă externă autorizată de lege.
Dreptul de opoziţie
Art. 13. – (1) Exercitarea de către persoana vizată a dreptului de opoziţie împotriva prelucrării datelor cu caracter personal, în efectuarea operaţiunilor de marketing direct, este asigurată prin intermediul formulării unor cereri în acest sens sau prin includerea în listele de opoziţie a persoanelor vizate. Persoana vizată va fi încunoştinţată de existenţa listelor de opoziţie, precum şi de modalitatea de a solicita includerea în acestea.
(2) Persoanele vizate îşi pot exercita dreptul de opoziţie în orice moment, de preferinţă într-un termen rezonabil acordat de operator, fără a se aduce atingere posibilităţii ca dreptul să fie exercitat şi în afara acestui termen.
(3) Listele de opoziţie sunt gestionate de asociaţiile profesionale.
(4) În cazul prelucrărilor ulterioare, precum şi al transferului către alţi operatori al datelor cu caracter personal, membrii se vor asigura că acestea nu privesc date pentru care persoanele vizate au exercitat anterior dreptul de a le fi şterse datele sau dreptul de opoziţie la transferul acestora.
Legitimitatea transferului
Art. 14. – (1) În cazul transferului de date cu caracter personal către alţi operatori, în special în operaţiunile de marketing direct, persoanele vizate vor fi informate cu privire la transfer prin înscrierea unor menţiuni pe ofertele de produse sau servicii.
(2) Menţiunile prevăzute la alin. (1) vor cuprinde şi specificarea dreptului de opoziţie la transferul datelor, precum şi metoda prin care persoanele vizate îşi pot exercita acest drept.
(3) Garanţiile pentru asigurarea protecţiei datelor cu caracter personal în cadrul transferului de date către alţi operatori vor fi prevăzute prin clauze contractuale privind utilizarea acestor date, acolo unde este cazul. Aceste clauze vor menţiona, printre altele, drepturile recunoscute persoanelor vizate, precum şi faptul că aceste drepturi pot fi exercitate doar cu respectarea confidenţialităţii anumitor clauze comerciale.
Soluţionarea plângerilor
Art. 15. – (1) Membrii sunt obligaţi să rezolve plângerile şi orice alte cereri legate de prelucrarea datelor cu caracter personal, în termenele şi condiţiile prevăzute de lege.
(2) Procedura de primire, investigare şi de soluţionare a plângerilor şi a celorlalte cereri ale persoanelor vizate va fi stabilită de către membri şi va fi adusă la cunoştinţă persoanelor vizate.
Colaborarea cu autoritatea de supraveghere
Art. 16. – (1) Anual sau ori de câte ori se va solicita membrii vor prezenta autorităţii de supraveghere a prelucrărilor de date cu caracter personal rapoarte sau sinteze cu privire la plângerile primite şi la modul de soluţionare a acestora.
(2) Rapoartele şi sintezele la care se referă alin. (1) vor putea conţine şi alte informaţii privind aspecte din activitatea membrilor în domeniul protecţiei datelor cu caracter personal, precum şi propuneri de îmbunătăţire a activităţii acestora.
Cheltuielile suportate de către persoanele vizate
Art. 17. – Membrii vor lua măsuri pentru asigurarea unui nivel rezonabil al cheltuielilor ocazionate de exercitarea drepturilor prevăzute de lege şi de codurile de conduită, cheltuieli care sunt în sarcina persoanei vizate, cu excepţia cazului în care aceste drepturi pot fi exercitate în mod gratuit.
ANEXA Nr. 2
MODEL DE COD DE CONDUITĂ
Preambul
Luând în considerare importanţa deosebită a garantării dreptului la viaţă intimă, familială şi privată, aşa cum este prevăzut la art. 26 din Constituţia României,
ţinând seama de necesitatea protejării acestui drept fundamental în cadrul activităţilor de prelucrare a datelor cu caracter personal, reglementate prin Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, prin Legea nr. 676/2001 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul telecomunicaţiilor, precum şi prin Legea nr. 682/2001 privind ratificarea Convenţiei pentru protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981,
având în vedere dispoziţiile art. 28 alin. (1) din Legea nr. 677/2001, potrivit cărora asociaţiile profesionale au obligaţia de a elabora şi de a supune spre avizare autorităţii de supraveghere coduri de conduită care să conţină norme adecvate pentru protecţia drepturilor persoanelor ale căror date cu caracter personal pot fi prelucrate de către membrii acestora,
ţinând seama că asociaţiile profesionale, prin activitatea desfăşurată de membrii lor, prelucrează date cu caracter personal, pentru protecţia cărora este necesară adoptarea unor coduri de conduită,
propunem asociaţiilor profesionale următorul model de cod de conduită:
CAPITOLUL I
Dispoziţii generale
Scopul şi sfera de aplicare
Art. 1. – (1) Prezentul model de cod de conduită are ca scop stabilirea unor norme de conduită pentru asigurarea unui nivel satisfăcător de protecţie a datelor cu caracter personal prelucrate de către membrii asociaţiilor profesionale.
(2) Normele de conduită stabilesc exercitarea drepturilor şi obligaţiilor care revin membrilor asociaţiilor profesionale în domeniul protecţiei persoanelor în privinţa datelor cu caracter personal, în relaţiile asociaţiilor profesionale cu persoanele vizate (în calitate de beneficiari ai serviciilor prestate, de utilizatori etc.), cu alte asociaţii profesionale, precum şi cu alte persoane fizice sau juridice care nu fac parte din asociaţiile profesionale.
(3) Prezentul model de cod de conduită se aplică indiferent de operaţiunea prin care membrii asociaţiilor profesionale prelucrează datele cu caracter personal.
(4) Normele cuprinse în prezentul model de cod de conduită nu aduc atingere altor obligaţii legale imperative sau deontologice care revin asociaţiilor profesionale.
(5) Prezentul model de cod de conduită conţine norme de conduită aplicabile tuturor asociaţiilor profesionale din România.
Definirea termenilor
Art. 2. – (1) Termenii folosiţi în prezentul model de cod de conduită au următorul sens:
a) asociaţii profesionale – forme organizatorice ale entităţilor de drept privat constituite pe criterii profesionale;
b) persoană vizată – persoana fizică ale cărei date cu caracter personal sunt prelucrate;
c) a colecta – a strânge, a aduna, a primi date cu caracter personal prin orice mijloace şi din orice sursă;
d) a dezvălui – a transmite, a disemina, a face disponibile în orice alt mod date cu caracter personal, în afara operatorului;
e) a utiliza – a se folosi datele cu caracter personal de către şi în interiorul operatorului;
f) consimţământ – acordul neviciat al persoanei vizate de a-i fi prelucrate datele cu caracter personal, care trebuie să fie întotdeauna expres şi neechivoc;
g) nivel de protecţie şi de securitate adecvat al prelucrărilor de date cu caracter personal – nivelul de securitate proporţional riscului, pe care îl comportă prelucrarea faţă de datele cu caracter personal respective şi faţă de drepturile şi libertăţile persoanelor şi conform cerinţelor minime de securitate a prelucrărilor de date cu caracter personal, elaborate de autoritatea de supraveghere şi actualizate corespunzător stadiului dezvoltării tehnologice şi costurilor implementării acestor măsuri;
h) marketing direct – promovarea produselor şi a serviciilor, adresată direct clienţilor, persoane fizice, prin mijloace de genul poştei, inclusiv cea electronică, sau alte mijloace de marketing la distanţă, altele decât modalităţile promoţionale obişnuite (reclame).
(2) Termeni precum: date cu caracter personal, prelucrarea datelor cu caracter personal, stocare, operator, terţ, destinatar, date anonime, autoritate de supraveghere, dreptul de informare, dreptul de acces, dreptul de intervenţie, dreptul de opoziţie au sensurile definite de Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, de Legea nr. 676/2001 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul telecomunicaţiilor, precum şi de Legea nr. 682/2001 privind ratificarea Convenţiei pentru protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981.
Adoptarea codurilor de conduită
Art. 3. – (1) Asociaţiile profesionale vor elabora propriile coduri de conduită, cu respectarea principiilor din prezentul model de cod de conduită. Codurile de conduită vor conţine norme adecvate care să reglementeze măsuri specifice domeniului de activitate al asociaţiei respective, pentru aplicarea eficientă a principiilor din prezentul model de cod de conduită.
(2) Codurile de conduită care vor fi adoptate de asociaţiile profesionale vor putea fi revizuite periodic, în funcţie de modificările şi completările legislative aplicabile, precum şi de nivelul de dezvoltare tehnologică în domeniul de activitate al fiecărei asociaţii.
(3) Asociaţiile profesionale vor supune codurile de conduită spre avizare autorităţii de supraveghere.
Cadrul legal al codurilor de conduită
Art. 4. – În vederea elaborării codurilor de conduită de către asociaţiile profesionale pe baza prezentului model de cod de conduită, vor fi respectate dispoziţiile legale referitoare la protecţia dreptului la viaţă intimă, familială şi privată, în ceea ce priveşte prelucrarea datelor cu caracter personal. Se vor avea în vedere în mod special dispoziţiile Legii nr. 676/2001, ale Legii nr. 677/2001, precum şi ale Legii nr. 682/2001.
CAPITOLUL II
Principiile prelucrărilor de date cu caracter personal
efectuate de către membrii asociaţiilor profesionale
Legalitatea şi transparenţa
Art. 5. – (1) Membrii asociaţiilor profesionale, denumiţi în continuare membri, recunosc şi respectă dreptul la viaţă intimă, familială şi privată.
(2) Prelucrarea datelor cu caracter personal de către membri se desfăşoară în conformitate cu prevederile legale în vigoare.
(3) Membrii sunt obligaţi să asigure transparenţa prelucrărilor de date cu caracter personal.
Responsabilitatea
Art. 6. – (1) Membrii sunt responsabili pentru datele cu caracter personal aflate sub controlul lor, precum şi pentru datele transferate către terţi.
(2) Fiecare membru va desemna persoanele care vor răspunde pentru respectarea dispoziţiilor legale din domeniul protecţiei persoanelor şi a datelor cu caracter personal, precum şi a principiilor prevăzute în prezentul model de cod de conduită.
Legitimitatea scopului colectării
Art. 7. – (1) Colectarea de date cu caracter personal prin mijloace frauduloase, neloiale sau ilegale este interzisă.
(2) Membrii vor comunica scopurile pentru care sunt colectate datele cu caracter personal fie înainte, fie cel mai târziu la momentul colectării.
(3) Menţionarea scopurilor poate fi realizată în scris, oral sau în formă electronică, într-un limbaj uşor accesibil pentru persoanele vizate.
Consimţământul
Art. 8. – (1) Consimţământul persoanelor vizate este cerut în cazul prelucrării datelor cu caracter personal, în afara cazurilor în care legea dispune altfel.
(2) Membrii vor folosi orice mijloace nedolosive, care necesită costuri financiare rezonabile, pentru a informa persoanele vizate în legătură cu prelucrarea datelor cu caracter personal şi pentru a solicita consimţământul acestora la momentul colectării datelor cu caracter personal.
(3) Persoana vizată îşi poate retrage consimţământul în orice moment, sub condiţia avizării prealabile a operatorului. Acesta va informa persoana vizată în legătură cu procedura şi efectele retragerii consimţământului.
Legitimitatea dezvăluirii
Art. 9. – (1) Membrii vor prelucra datele cu caracter personal numai pentru scopurile pentru care au fost colectate, cu excepţia cazului în care persoana vizată îşi dă consimţământul pentru prelucrarea în alte scopuri sau în alte cazuri permise de lege.
(2) Accesul la datele prelucrate va fi permis numai angajaţilor membrilor, în îndeplinirea obligaţiilor de serviciu.
Legitimitatea stocării
Art. 10. – (1) Membrii sunt obligaţi să păstreze datele cu caracter personal exacte, complete şi actualizate, pentru realizarea scopurilor pentru care sunt utilizate.
(2) Datele inexacte sau incomplete vor fi şterse sau rectificate.
(3) Datele cu caracter personal vor fi păstrate numai pentru perioada necesară atingerii scopurilor stabilite.
(4) Membrii vor adopta reguli speciale în privinţa stabilirii perioadei minime şi maxime necesare pentru păstrarea datelor colectate, urmărind totodată respectarea drepturilor persoanei vizate, în special a dreptului de acces, de intervenţie şi de opoziţie.
(5) În urma verificărilor periodice datele cu caracter personal deţinute de operator, care nu mai servesc realizării scopurilor sau îndeplinirii unor obligaţii legale, vor fi distruse sau transformate în date anonime într-un interval de timp rezonabil, potrivit procedurilor stabilite de lege sau, în lipsa unor astfel de dispoziţii legale, de către membri.
Securitatea prelucrărilor
Art. 11. – Membrii sunt obligaţi să ia măsurile tehnice şi organizatorice necesare pentru asigurarea unui nivel de protecţie şi de securitate adecvat, în cadrul operaţiunilor efectuate asupra datelor cu caracter personal, în următoarele scopuri: pentru a limita accesul la bazele de date, care este permis numai persoanelor autorizate; pentru a interzice copierea datelor în afara locurilor în care sunt gestionate; în general, pentru a împiedica orice circulaţie necontrolată a datelor.
Dreptul de informare
Art. 12. – (1) Strategiile şi procedurile folosite de membri în legătură cu procesarea datelor cu caracter personal vor fi puse la dispoziţie persoanelor vizate, sub formă de informaţii furnizate într-un limbaj accesibil, prin mijloace fizice (de exemplu, prin broşuri), telefonice sau electronice.
(2) Membrii vor comunica informaţii, la cerere, în legătură cu datele cu caracter personal, pe care le prelucrează, sursele din care au colectat datele cu caracter personal, scopurile prelucrării, dacă şi cărui terţ i-au fost dezvăluite aceste date, atunci când legea nu interzice.
(3) În cazul în care dezvăluirea datelor este impusă de lege (de exemplu, în vederea executării unei hotărâri judecătoreşti), membrii se vor asigura că terţul care solicită dezvăluirea acţionează în conformitate cu dispoziţiile legale incidente, iar cererea priveşte numai datele cu caracter personal neexcesive prin raportare la scopul prelucrării. Persoana vizată va fi informată în legătură cu dezvăluirea, numai dacă legea permite.
(4) Aducerea la cunoştinţă persoanelor vizate a drepturilor de care beneficiază (în special, drepturile prevăzute la art. 12-15 din Legea nr. 677/2001) se poate face prin intermediul unor menţiuni înscrise pe ofertele de produse sau servicii, pe primul document adresat persoanei vizate (de exemplu, factură, borderou de livrare, confirmare de primire etc.), pe prospectele care conţin şi chestionare etc.
Dreptul de acces
Art. 13. – (1) Membrii vor permite accesul persoanelor vizate la datele cu caracter personal care le privesc, prin cele mai facile mijloace, pe care le pot pune la dispoziţie, în mod rezonabil.
(2) Accesul persoanei vizate nu poate fi permis, cu excepţia cazurilor prevăzute de lege, în următoarele situaţii: în cazul în care sunt solicitate date despre o altă persoană; în cazul în care ar putea fi afectate viaţa şi siguranţa altei persoane; în cazul în care sunt solicitate date care pot privi informaţii comerciale confidenţiale; în cazul în care s-ar aduce atingere soluţionării unui litigiu sau a unui proces penal.
(3) Membrii sunt obligaţi să motiveze refuzul de a permite accesul la anumite date cu caracter personal.
Dreptul de intervenţie
Art. 14. – (1) Persoanele vizate au dreptul de a solicita verificarea exactităţii şi a caracterului complet al datelor cu caracter personal care le privesc, precum şi de a solicita rectificarea datelor inexacte sau incomplete, prin formularea unor contestaţii.
(2) Membrii vor păstra o evidenţă a contestaţiilor privind caracterul exact sau complet al datelor, care nu au fost rezolvate, iar în cazul în care datele vor fi transferate către alţi operatori, vor fi precizate datele care au fost rectificate sau în privinţa cărora există contestaţii nerezolvate.
(3) Dispoziţiile alin. (2) se aplică şi în cazul dezvăluirii de date către terţi, dacă este cazul.
(4) Actualizarea bazelor de date se face prin intermediul informaţiilor transmise de persoanele vizate, precum şi prin informaţiile furnizate de orice sursă externă autorizată de lege.
Dreptul de opoziţie
Art. 15. – (1) Exercitarea de către persoana vizată a dreptului de opoziţie împotriva prelucrării datelor cu caracter personal, în efectuarea operaţiunilor de marketing direct, este asigurată prin intermediul formulării unor cereri în acest sens sau prin includerea în listele de opoziţie a persoanelor vizate. Persoana vizată va fi încunoştinţată de existenţa listelor de opoziţie, precum şi de modalitatea de a solicita includerea în acestea.
(2) Persoanele vizate îşi pot exercita dreptul de opoziţie în orice moment, de preferinţă într-un termen rezonabil acordat de operator, fără a se aduce atingere posibilităţii ca dreptul să fie exercitat şi în afara acestui termen.
(3) Listele de opoziţie sunt gestionate de asociaţiile profesionale.
(4) În cazul prelucrărilor ulterioare, precum şi al transferului către alţi operatori al datelor cu caracter personal, membrii se vor asigura că acestea nu privesc date pentru care persoanele vizate au exercitat anterior dreptul de a le fi şterse datele sau dreptul de opoziţie la transferul acestora.
Legitimitatea transferului
Art. 16. – (1) În cazul transferului de date cu caracter personal către alţi operatori, în special în operaţiunile de marketing direct, persoanele vizate vor fi informate cu privire la transfer prin înscrierea unor menţiuni pe ofertele de produse sau servicii.
(2) Menţiunile prevăzute la alin. (1) vor cuprinde şi specificarea dreptului de opoziţie la transferul datelor, precum şi metoda prin care persoanele vizate îşi pot exercita acest drept.
(3) Garanţiile pentru asigurarea protecţiei datelor cu caracter personal în cadrul transferului de date către alţi operatori vor fi prevăzute prin clauze contractuale privind utilizarea acestor date, acolo unde este cazul. Aceste clauze vor menţiona, printre altele, drepturile recunoscute persoanelor vizate, precum şi faptul că aceste drepturi pot fi exercitate doar cu respectarea confidenţialităţii anumitor clauze comerciale.
Soluţionarea plângerilor
Art. 17. – (1) Membrii sunt obligaţi să rezolve plângerile şi orice alte cereri legate de prelucrarea datelor cu caracter personal, în termenele şi condiţiile prevăzute de lege.
(2) Procedura de primire, investigare şi de soluţionare a plângerilor şi a celorlalte cereri ale persoanelor vizate va fi stabilită de către membri şi va fi adusă la cunoştinţă persoanelor vizate.
Colaborarea cu autoritatea de supraveghere
Art. 18. – (1) Anual sau ori de câte ori se va solicita membrii vor prezenta autorităţii de supraveghere a prelucrărilor de date cu caracter personal rapoarte sau sinteze cu privire la plângerile primite şi la modul de soluţionare a acestora.
(2) Rapoartele şi sintezele la care se referă alin. (1) vor putea conţine şi alte informaţii privind aspecte din activitatea membrilor în domeniul protecţiei datelor cu caracter personal, precum şi propuneri de îmbunătăţire a activităţii acestora.
Cheltuielile suportate de către persoanele vizate
Art. 19. – Membrii vor lua măsuri pentru asigurarea unui nivel rezonabil al cheltuielilor ocazionate de exercitarea drepturilor prevăzute de lege şi de codurile de conduită, cheltuieli care sunt în sarcina persoanei vizate, cu excepţia cazului în care aceste drepturi pot fi exercitate în mod gratuit.
CAPITOLUL III
Dispoziţii finale şi tranzitorii
Modul de aplicare
Art. 20. – (1) Dispoziţiile prezentului model de cod de conduită vor fi avute în vedere la adoptarea propriilor coduri de conduită de către asociaţiile profesionale care prelucrează date cu caracter personal.
(2) Normele prezentului model de cod de conduită au caracter de recomandare.
(3) Prezentul model de cod de conduită se completează cu prevederile legale în domeniul protecţiei datelor cu caracter personal.
Modificarea şi completarea modelului de cod de conduită
Art. 21. – (1) Membrii asociaţiilor profesionale sau persoanele interesate pot propune modificări sau completări ale prezentului model de cod de conduită.
(2) Propunerile la care se referă alin. (1) vor fi trimise, în scris şi motivat, autorităţii de supraveghere.
(3) Autoritatea de supraveghere va lua în considerare numai propunerile pertinente şi concludente, în vederea modificării şi completării prezentului model de cod de conduită.