În temeiul art. 17 alin. (2) şi al art. 71 alin. (1) din Legea nr. 192/2006 privind medierea şi organizarea profesiei de mediator, cu modificările şi completările ulterioare, Consiliul de mediere adoptă prezenta hotărâre. Articolul I Anexa nr. 10 la Regulamentul de organizare şi funcţionare a Consiliului de mediere, aprobat prin Hotărârea Consiliului de mediere nr. 5/2007, publicată în Monitorul Oficial al României, Partea I, nr. 505 din 27 iulie 2007, cu modificările şi completările ulterioare, se modifică şi se înlocuieşte cu anexa care face parte integrantă din prezenta hotărâre. Articolul II Prezenta hotărâre se publică în Monitorul Oficial al României, Partea I.Preşedintele Consiliului de mediere,Mugur Bogdan Mitroi ANEXĂ(Anexa nr. 10 la regulament) REGULAMENT privind normele de organizare internă ale Consiliului de mediere pentru protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal în conformitate cu legislaţia şi reglementările în domeniul medierii Capitolul IDispoziţii generale Articolul 1
(1) Prezentul Regulament privind normele de organizare internă ale Consiliului de mediere pentru protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal în conformitate cu legislaţia şi reglementările în domeniul medierii, denumit în continuare Regulament, stabileşte normele de organizare a activităţii Consiliului de mediere (CM) pentru garantarea şi protejarea drepturilor şi libertăţilor fundamentale ale persoanelor fizice şi juridice, în special a dreptului la viaţă intimă, familială şi privată, cu privire la prelucrarea datelor cu caracter personal în conformitate cu Constituţia României şi Regulamentul (UE) nr. 679 din 27 aprilie 2016 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
(2) Adoptarea acestui regulament este impusă de calitatea de „operator", acordată Consiliului de mediere de către Autoritatea Naţională de Supraveghere şi Protecţie a Datelor cu Caracter Personal (ANSPDCP) prin Notificarea nr. 10.723. Regulamentul (UE) 2016/679 a fost publicat în Jurnalul Oficial al Uniunii, seria L119, din 4 mai 2016, iar prevederile lui sunt direct aplicabile în toate statele membre ale Uniunii Europene, începând cu data de 25 mai 2018. Regulamentul (UE) 2016/679 impune un set unic de reguli în materia protecţiei datelor cu caracter personal, înlocuind Directiva 95/46/CE şi, implicit, prevederile Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
(3) Regulamentul European nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date (Regulamentul general privind protecţia datelor - RGPD) consolidează drepturile garantate persoanelor vizate şi introduce noi drepturi: dreptul de a fi uitat, dreptul la portabilitatea datelor şi dreptul la restricţionarea prelucrării. Articolul 2Regulile instituite prin prezentul regulament se aplică tuturor membrilor CM, indiferent de poziţia ocupată şi de atribuţiile pe care le îndeplinesc, precum şi mediatorilor autorizaţi sau altor persoane, care sunt desemnate să facă parte din comisii sau grupuri de lucru, înfiinţate de Consiliul de mediere prin hotărâri ale acestuia şi care, prin natura activităţii, au acces la date cu caracter personal. Articolul 3Mediatorii autorizaţi, membrii CM, membrii comisiilor sau grupurilor de lucru înfiinţate de CM, precum şi angajaţii instituţiei sunt informaţi prin prezentul regulament despre regulile aplicabile începând cu 25 mai 2018 şi sunt obligaţi să cunoască şi să respecte dispoziţiile prezentului regulament. Capitolul IIReguli generale privind prelucrarea datelor cu caracter personal Articolul 4Atribuţiile CM, care implică prelucrarea datelor cu caracter personal, sunt următoarele: 1. CM, organism autonom, de interes public, desemnează un responsabil cu protecţia datelor, sarcină obligatorie din 25 mai 2018, raportat la dispoziţiile art. 37-39 din Regulamentul general privind protecţia datelor, în vederea înţelegerii şi respectării obligaţiilor prevăzute de RGPD, dialogului cu autorităţile pentru protecţia datelor şi reducerii riscurilor apariţiei unor litigii. 1.1. Rolul responsabilului cu protecţia datelor: a)să informeze şi să consilieze operatorul sau persoana împuternicită de operator, precum şi angajaţii acestora cu privire la obligaţiile existente în domeniul protecţiei datelor cu caracter personal; b)să monitorizeze respectarea RGPD şi a legislaţiei naţionale în domeniul protecţiei datelor; c)să consilieze operatorul sau persoana împuternicită în legătură cu realizarea de studii de impact privind protecţia datelor şi să verifice efectuarea acestora; d)să coopereze cu autoritatea pentru protecţia datelor şi să reprezinte punctul de contact în relaţia cu aceasta.2. Prelucrarea datelor cu caracter personal este necesară, în conformitate cu Legea nr. 192/2006 privind medierea şi organizarea profesiei de mediator, cu modificările şi completările ulterioare, pentru îndeplinirea atribuţiilor Consiliului de mediere ca organism de interes public, respectiv: a)formarea mediatorilor; b)autorizarea şi avizarea mediatorilor şi a formelor de exercitare a profesiei; c)asigurarea respectării legislaţiei în materia medierii şi, în special, a codului de etică şi deontologie profesională a mediatorilor de către membrii corpului profesional; d)autorizarea furnizorilor de formare, formatorilor şi evaluatorilor/ examinatorilor în domeniul medierii şi supravegherea calităţii formării; e)asigurarea calităţii serviciului de medieri; f)publicarea Tabloului mediatorilor în Monitorul Oficial al României, Partea I, şi pe site-ul propriu, a listei furnizorilor de formare, a formatorilor, a examinatorilor/evaluatorilor; g)asigurarea transparenţei decizionale, participării la activitatea desfăşurată de CM, publicităţii şedinţelor CM, cu excepţiile prevăzute de hotărârile CM; h)orice alte atribuţii care revin CM în baza legii pentru organizarea profesiei şi a serviciului de mediere în România. Articolul 5
(1) Accesul la datele cu caracter personal ale mediatorilor este necesar pentru îndeplinirea unei sarcini care serveşte unui interes public. Accesul membrilor CM, al angajaţilor CM şi al terţilor colaboratori se face în condiţiile prezentului regulament, condiţii care vor fi comunicate public pentru ca orice solicitant să fie informat asupra drepturilor pe care le are în privinţa accesului la datele cu caracter personal prelucrate de CM.
(2) Informarea este asigurată de CM:a)prin afişare pe site-ul CM; b)prin afişare la sediul Consiliului de mediere (registratura); c)prin serviciul sau angajatul responsabil pentru exercitarea drepturilor prevăzute de Regulamentul (UE) nr. 679/2016. Articolul 6Categoriile de date prelucrate de Consiliul de mediere sunt: 1. Date de identificare a)numele şi prenumele; b)sexul; c)data şi locul naşterii; d)cetăţenia; e)semnătura; f)date din acte de stare civilă; g)număr de telefon; h)adresa personală; i)adresa de e-mail; j)profesia; k)locul de muncă; l)formarea profesională; m)apartenenţa la asociaţii profesionale; n)orice alte date necesare îndeplinirii atribuţiilor legale ale CM.2. Date cu caracter special, respectiv: a)codul numeric personal; b)seria şi numărul actului de identitate; c)date privind starea de sănătate; d)date privind eventuale sancţiuni disciplinare; e)date privind cazierul judiciar; f)date statistice despre activitatea desfăşurată în mediere; g)alte date cu caracter personal stabilite de CM prin hotărâri date în aplicarea legislaţiei în domeniu. Articolul 7Datele cu caracter personal vor fi colectate de Consiliul de mediere în exercitarea atribuţiilor legale: a)de la persoanele vizate; b)de la reprezentanţi legali, împuterniciţi ai persoanelor vizate; c)de la alte persoane care îşi exercită drepturile, respectiv îşi îndeplinesc obligaţiile în conformitate cu dispoziţiile legale în materia medierii. Articolul 8Următoarele categorii de persoane sunt îndrituite să prelucreze date cu caracter personal, colectate de Consiliul de mediere: a)angajaţii CM; b)membrii CM; c)membrii Comisiei de disciplină; d)membrii comisiilor de specialitate, înfiinţate de CM prin hotărâri; e)terţi colaboratori sub clauză specială de confidenţialitate a datelor cu caracter personal, înscrisă în contracte sau protocoale. Articolul 9Următoarele categorii de persoane pot fi destinatari legali ai datelor cu caracter personal prelucrate de Consiliul de mediere: a)persoana vizată; b)reprezentanţi legali ai persoanei vizate; c)autorităţile judecătoreşti; d)autorităţile publice; e)poliţia; f)terţi care sunt persoane interesate în a obţine date cu caracter personal prelucrate de CM şi care justifică un interes legitim în a avea acces la acest tip de informaţii. Articolul 10
(1) Datele cu caracter personal sunt prevăzute la art. 6.
(2) Confidenţialitatea acestor date este asigurată de Consiliul de mediere, cu următoarele excepţii:a)date personale, care este necesar să devină publice pentru îndeplinirea atribuţiilor CM conform Legii nr. 192/2006, cu modificările şi completările ulterioare, Regulamentului de organizare şi funcţionare şi hotărârilor CM; b)date personale pentru care persoana în cauză îşi dă consimţământul de a se face publice; c)date personale necesar a fi făcute publice în situaţia unei suspiciuni de fraudare a legii. Aceste situaţii sunt apreciate de Consiliul de mediere, hotărârea CM menţionând motivaţia necesităţii de a se face excepţie de la regula confidenţialităţii pentru fiecare situaţie particulară; d)date personale de notorietate a căror publicitate este asigurată chiar de persoana titulară a acestora (deţinătorul de drept) sau de un terţ, cu consimţământul persoanei titulare. În acest caz, CM nu are nevoie de consimţământul persoanei. Notorietatea este apreciată de CM, ca organism de decizie, format din 9 membri conform legii.
(3) Încălcarea prevederilor cu caracter confidenţial se sancţionează disciplinar, administrativ, material sau penal, după caz, conform dispoziţiilor legale în vigoare.
(4) Prelucrarea datelor cu caracter personal, în alte scopuri decât scopurile pentru care datele cu caracter personal au fost iniţial colectate, este permisă doar atunci când prelucrarea este compatibilă cu scopurile respective pentru care datele cu caracter personal au fost iniţial colectate. O astfel de prelucrare include transferul de date cu caracter personal în spaţiul comunitar prin sistemul IMI. Articolul 11Consiliul de mediere va arhiva datele cu caracter personal prelucrate pe o perioadă de 3 ani, după care acestea sunt distruse. Termenul de 3 ani curge de la momentul încetării activităţii de mediere a persoanei vizate sau de la încetarea colaborării cu Consiliul de mediere. Operaţiunea de colectare este prima operaţiune de prelucrare a datelor cu caracter personal conform Regulamentului (UE) 2016/679. Articolul 12Transferul datelor cu caracter personal în străinătate se va efectua de CM în conformitate cu legile interne şi legislaţia comunitară aplicabilă statelor membre. Capitolul IIReguli generale privind prelucrarea datelor cu caracter personal Articolul 13
(1) Prelucrarea datelor cu caracter personal presupune colectarea, înregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvăluirea către terţi prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ştergerea sau distrugerea acestora.
(2) Prelucrarea datelor cu caracter personal se face prin mijloace neautomate sau automate.
(3) Prelucrarea neautomată presupune:a)înregistrarea documentelor în registrul „intrări"; b)constituirea unei mape a persoanei, care are trecute pe copertă documentele conţinute; c)analiza de către Secretariatul tehnic a conformităţii documentelor prezentate cu cerinţele legale, cererea de completare; d)supunerea documentelor analizei comisiei permanente; e)emiterea deciziei şi arhivarea documentelor în condiţii optime de siguranţă; f)numerotarea şi stocarea documentelor în dulapuri metalice închise cu cheie, stocarea făcându-se pe litere, în sistem alfabetic, care să permită identificarea rapidă a unei persoane în vederea actualizării datelor sau, după caz, de acces individual la datele personale; g)analizarea documentelor sau a unor situaţii în care CM se autosesizează în cadrul şedinţelor ordinare şi menţionarea acestora în procesele-verbale, redactate, numerotate şi înregistrate; h)returnarea documentelor persoanelor care încetează raporturile cu CM sau, după caz, arhivarea pentru o perioadă de 3 ani, fiind apoi distruse; i)transmiterea datelor prevăzute de lege către terţi; j)hotărâri ale consiliului sau ale comisiilor, înfiinţate de acesta, cu privire la persoane.
(4) Prelucrarea automată a datelor presupune:a)existenţa unui soft care să permită introducerea datelor pentru formarea bazei de date sau actualizarea acesteia de către cei interesaţi, prin internet; b)extragerea datelor statistice necesare; c)restricţionarea accesului, prin parolare, la datele privind persoana; d)accesul fiecărei persoane la propriile date, cu posibilitatea de a le corecta şi actualiza; e)pentru evitarea dublei înregistrări este necesară prelucrarea codului numeric personal sau a altor date cu caracter personal, având o funcţie de identificare de aplicabilitate generală. Articolul 14
(1) Consiliul de mediere, la solicitarea persoanei vizate, are obligaţia să rectifice, fără întârzieri nejustificate, datele cu caracter personal inexacte care o privesc. Ţinându-se seama de scopurile în care au fost prelucrate datele, Consiliul de mediere, în baza unei declaraţii suplimentare din partea solicitantului, trebuie să asigure completarea datelor cu caracter personal care sunt incomplete.
(2) Persoana vizată are dreptul de a obţine din partea Consiliului de mediere ştergerea datelor cu caracter personal care o privesc („dreptul de a fi uitat"), fără întârzieri nejustificate, iar consiliul are obligaţia de a şterge datele cu caracter personal fără întârzieri nejustificate, în cazul în care se aplică unul dintre următoarele motive:a)datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate; b)persoana vizată îşi retrage consimţământul pe baza căruia are loc prelucrarea, în conformitate cu art. 6 alin. (1) lit. a) sau cu art. 9 alin. (2) lit. a) din Regulamentul (UE) nr. 679/2016, şi nu există niciun alt temei juridic pentru prelucrare; c)persoana vizată se opune prelucrării în temeiul art. 21 alin. (1) din Regulamentul (UE) nr. 679/2016 şi nu există motive legitime care să prevaleze în ceea ce priveşte prelucrarea sau persoana vizată se opune prelucrării în temeiul art. 21 alin. (2) din acelaşi regulament; d)datele cu caracter personal au fost prelucrate ilegal. Capitolul IIIDescrierea generală a măsurilor luate pentru asigurarea securităţii prelucrării Articolul 15
(1) Procedura de prelucrare a datelor cu caracter personal de către persoanele care au acces la date cu caracter personal se face conform regulamentelor adoptate de CM şi, dacă este cazul, ordinelor interne ale preşedintelui CM emise în aplicarea acestora.
(2) Toate persoanele care au acces la date cu caracter personal, prelucrate de CM, vor semna un angajament de confidenţialitate. Excepţie fac situaţiile în care se solicită acces la propriile date cu caracter personal. Articolul 16În cazul accesului la date cu caracter personal arhivate de CM, persoana îndrituită va solicita în scris accesul în arhiva CM, care va fi asigurat după următoarea procedură de lucru a CM: a)solicitarea este adresată CM şi înscrisă de Secretariatul CM în registrul de intrări al CM; b)solicitarea este înaintată de Secretariatul CM preşedintelui, respectiv vicepreşedintelui CM. Acesta va formula o rezoluţie pe cerere şi o va înainta persoanei cu atribuţie de serviciu, conform fişei de post, responsabilă cu arhivarea sau cu protecţia datelor cu caracter personal, după caz, pentru formularea unui răspuns către solicitant; c)registratura va comunica solicitantului răspunsul CM, invitându-l să se prezinte la sediul din Bucureşti în vederea consultării documentelor solicitate şi arhivate la CM; d)arhivarul va înregistra într-un registru special numărul şi data solicitării, persoana care solicită accesul, datele personale la care se solicită accesul, data la care a prezentat solicitantului documentele solicitate. Solicitantul va semna în Registrul special pentru primirea documentelor solicitate; e)documentele originale din arhiva CM vor fi consultate de solicitant în prezenţa arhivarului, care răspunde de integritatea arhivei. Articolul 17
(1) Prelucrarea automată a datelor personale se efectuează de personalul cu atribuţii conform fişei de post, prin accesarea fişierelor, utilizând parola individuală.
(2) Schimbarea parolei la intervale de timp determinate se face prin grija preşedintelui CM.
(3) Blocarea accesului după introducerea greşită a parolei este o măsură de siguranţă care asigură securitatea şi protecţia datelor cu caracter personal în cazul accesului neautorizat. Articolul 18
(1) Prezentul regulament intră în vigoare la data publicării în Monitorul Oficial al României, Partea I, şi se publică pe site-ul oficial al CM, www.cmediere.ro.
(2) Persoana desemnată de operatorul Consiliul de mediere ca responsabil cu protecţia datelor cu caracter personal (DPO) este nominalizată prin decizia preşedintelui CM, cu atribuţii prevăzute în fişa de post în acest sens. DPO va fi afişat pe site-ul CM, cu următoarele date de contact:a)site: www.cmediere.ro; b)adresă de e-mail: secretariat@cmediere.ro; c)telefon: 021-315 25 28; d)fax: 021-330 25 28.
(3) Soluţionarea plângerilor şi cererilor, adresate de persoanele vizate în exercitarea drepturilor lor, se face de către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) la următoarele date de contact: Bd. g-ral Gheorghe Magheru 28-30, sectorul 1, Bucureşti, cod poştal 010336, telefon: +40.318.059.211, e-mail: anspdcp@dataprotection.ro