ORDIN
Nr. 75 din 4 iunie 2002
privind stabilirea unor masuri si proceduri specifice care sa asigure un nivel
satisfacator de protectie a drepturilor persoanelor ale caror date cu caracter
personal fac obiectul prelucrarilor
ACT EMIS DE: AVOCATUL POPORULUI
ACT PUBLICAT IN: MONITORUL OFICIAL NR. 449 din 26 iunie 2002
In temeiul Hotararii Senatului nr. 33 din 4 octombrie 2001 pentru numirea
Avocatului Poporului,
vazand prevederile art. 13 din Legea nr. 35/1997 privind organizarea si
functionarea institutiei Avocatul Poporului, modificata si completata prin
Legea nr. 181/2002, si ale art. 4 din Regulamentul de organizare si functionare
a institutiei Avocatul Poporului,
in aplicarea prevederilor art. 28 alin. (2) din Legea nr. 677/2001 pentru
protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si
libera circulatie a acestor date, conform carora Avocatul Poporului, in
calitate de autoritate de supraveghere, poate sa dispuna masuri si proceduri
specifice, care sa asigure un nivel satisfacator de protectie a drepturilor
persoanelor ale caror date cu caracter personal sunt prelucrate, pentru
perioada in care nu sunt adoptate codurile de conduita de catre asociatiile
profesionale,
tinand seama ca, in conformitate cu art. 28 alin. (1) din Legea nr.
677/2001, este necesar sa se vina in sprijinul asociatiilor profesionale care
au obligatia de a elabora si de a supune spre avizare autoritatii de
supraveghere coduri de conduita, cuprinzand norme adecvate pentru protectia
drepturilor persoanelor ale caror date cu caracter personal pot fi prelucrate
de catre membrii acestora,
avand in vedere Nota privind masuri si proceduri specifice, care sa asigure
un nivel satisfacator de protectie a drepturilor persoanelor ale caror date cu
caracter personal sunt prelucrate si adoptarea unui model de cod de conduita,
inregistrata cu nr. 5.412 din 29 mai 2002, a adjunctului Avocatului Poporului,
Avocatul Poporului emite prezentul ordin.
Art. 1
Se aproba Masurile si procedurile specifice pentru asigurarea unui nivel
satisfacator de protectie a drepturilor persoanelor ale caror date cu caracter
personal fac obiectul prelucrarilor, prevazute in anexa nr. 1 la prezentul
ordin.
Art. 2
Se aproba Modelul de cod de conduita prevazut in anexa nr. 2 la prezentul
ordin.
Art. 3
Prezentul ordin va fi publicat in Monitorul Oficial al Romaniei, Partea I.
Art. 4
Anexele nr. 1 si 2 fac parte integranta din prezentul ordin.
AVOCATUL POPORULUI,
prof. univ. dr. IOAN MURARU
ANEXA 1
MASURI SI PROCEDURI
specifice pentru asigurarea unui nivel satisfacator de protectie a drepturilor
persoanelor ale caror date cu caracter personal fac obiectul prelucrarilor
Art. 1
Scopul si sfera de aplicare
(1) Prezentele masuri si proceduri au ca scop asigurarea unui nivel
satisfacator de protectie a datelor cu caracter personal, prelucrate de catre
membrii asociatiilor profesionale, prin stabilirea modalitatilor de exercitare
a drepturilor si obligatiilor care revin membrilor asociatiilor profesionale in
domeniul protectiei persoanelor, in privinta datelor cu caracter personal, in
relatiile asociatiilor profesionale cu persoanele vizate (in calitate de
beneficiari ai serviciilor prestate, de utilizatori etc.), cu alte asociatii
profesionale, precum si cu alte persoane fizice sau juridice care nu fac parte
din asociatiile profesionale.
(2) Aceste masuri si proceduri se aplica, in perioada in care nu sunt
adoptate codurile de conduita, de catre asociatiile profesionale, oricaror
operatiuni prin care membrii asociatiilor profesionale prelucreaza datele cu
caracter personal.
(3) Prezentele masuri si proceduri nu aduc atingere altor obligatii legale
imperative sau deontologice care revin asociatiilor profesionale.
(4) Prezentele masuri si proceduri sunt aplicabile tuturor asociatiilor
profesionale din Romania.
Art. 2
Definirea termenilor
(1) Termenii folositi la stabilirea prezentelor masuri si proceduri au
urmatorul sens:
a) asociatii profesionale - forme organizatorice ale entitatilor de drept
privat constituite pe criterii profesionale;
b) persoana vizata - persoana fizica ale carei date cu caracter personal
sunt prelucrate;
c) a colecta - a strange, a aduna, a primi date cu caracter personal prin
orice mijloace si din orice sursa;
d) a dezvalui - a transmite, a disemina, a face disponibile in orice alt
mod date cu caracter personal, in afara operatorului;
e) a utiliza - a se folosi datele cu caracter personal de catre si in
interiorul operatorului;
f) consimtamant - acordul neviciat al persoanei vizate de a-i fi prelucrate
datele cu caracter personal, care trebuie sa fie intotdeauna expres si
neechivoc;
g) nivel de protectie si de securitate adecvat al prelucrarilor de date cu
caracter personal - nivelul de securitate proportional riscului, pe care il
comporta prelucrarea fata de datele cu caracter personal respective si fata de
drepturile si libertatile persoanelor si conform cerintelor minime de
securitate a prelucrarilor de date cu caracter personal, elaborate de
autoritatea de supraveghere si actualizate corespunzator stadiului dezvoltarii
tehnologice si costurilor implementarii acestor masuri;
h) marketing direct - promovarea produselor si a serviciilor, adresata
direct clientilor, persoane fizice, prin mijloace de genul postei, inclusiv cea
electronica, sau alte mijloace de marketing la distanta, altele decat modalitatile
promotionale obisnuite (reclame).
(2) Termeni precum: date cu caracter personal, prelucrarea datelor cu
caracter personal, stocare, operator, tert, destinatar, date anonime,
autoritate de supraveghere, dreptul de informare, dreptul de acces, dreptul de
interventie, dreptul de opozitie au sensurile definite de Legea nr. 677/2001
pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter
personal si libera circulatie a acestor date, de Legea nr. 676/2001 privind
prelucrarea datelor cu caracter personal si protectia vietii private in
sectorul telecomunicatiilor, precum si de Legea nr. 682/2001 privind
ratificarea Conventiei pentru protejarea persoanelor fata de prelucrarea
automatizata a datelor cu caracter personal, adoptata la Strasbourg la 28
ianuarie 1981.
Art. 3
Legalitatea si transparenta
(1) Membrii asociatiilor profesionale, denumiti in continuare membri,
recunosc si respecta dreptul la viata intima, familiala si privata.
(2) Prelucrarea datelor cu caracter personal de catre membri se desfasoara
in conformitate cu prevederile legale in vigoare.
(3) Membrii sunt obligati sa asigure transparenta prelucrarilor de date cu
caracter personal.
Art. 4
Responsabilitatea
(1) Membrii sunt responsabili pentru datele cu caracter personal aflate sub
controlul lor, precum si pentru datele transferate catre terti.
(2) Fiecare membru va desemna persoanele care vor raspunde pentru
respectarea dispozitiilor legale din domeniul protectiei persoanelor si a datelor
cu caracter personal.
Art. 5
Legitimitatea scopului colectarii
(1) Colectarea de date cu caracter personal prin mijloace frauduloase,
neloiale sau ilegale este interzisa.
(2) Membrii vor comunica scopurile pentru care sunt colectate datele cu
caracter personal fie inainte, fie cel mai tarziu la momentul colectarii.
(3) Mentionarea scopurilor poate fi realizata in scris, oral sau in forma
electronica, intr-un limbaj usor accesibil pentru persoanele vizate.
Art. 6
Consimtamantul
(1) Consimtamantul persoanelor vizate este cerut in cazul prelucrarii
datelor cu caracter personal, in afara cazurilor in care legea dispune altfel.
(2) Membrii vor folosi orice mijloace nedolosive, care necesita costuri
financiare rezonabile, pentru a informa persoanele vizate in legatura cu
prelucrarea datelor cu caracter personal si pentru a solicita consimtamantul
acestora la momentul colectarii datelor cu caracter personal.
(3) Persoana vizata isi poate retrage consimtamantul in orice moment, sub
conditia avizarii prealabile a operatorului. Acesta va informa persoana vizata
in legatura cu procedura si efectele retragerii consimtamantului.
Art. 7
Legitimitatea dezvaluirii
(1) Membrii vor prelucra datele cu caracter personal numai pentru scopurile
pentru care au fost colectate, cu exceptia cazului in care persoana vizata isi
da consimtamantul pentru prelucrarea in alte scopuri sau in alte cazuri permise
de lege.
(2) Accesul la datele prelucrate va fi permis numai angajatilor membrilor,
in indeplinirea obligatiilor de serviciu.
Art. 8
Legitimitatea stocarii
(1) Membrii sunt obligati sa pastreze datele cu caracter personal exacte,
complete si actualizate, pentru realizarea scopurilor pentru care sunt
utilizate.
(2) Datele inexacte sau incomplete vor fi sterse sau rectificate.
(3) Datele cu caracter personal vor fi pastrate numai pentru perioada
necesara atingerii scopurilor stabilite.
(4) Membrii vor adopta reguli speciale in privinta stabilirii perioadei minime
si maxime necesare pentru pastrarea datelor colectate, urmarind totodata
respectarea drepturilor persoanei vizate, in special a dreptului de acces, de
interventie si de opozitie.
(5) In urma verificarilor periodice datele cu caracter personal detinute de
operator, care nu mai servesc realizarii scopurilor sau indeplinirii unor
obligatii legale, vor fi distruse sau transformate in date anonime intr-un
interval de timp rezonabil, potrivit procedurilor stabilite de lege sau, in
lipsa unor astfel de dispozitii legale, de catre membri.
Art. 9
Securitatea prelucrarilor
Membrii sunt obligati sa ia masurile tehnice si organizatorice necesare
pentru asigurarea unui nivel de protectie si de securitate adecvat, in cadrul
operatiunilor efectuate asupra datelor cu caracter personal, in urmatoarele
scopuri: pentru a limita accesul la bazele de date, care este permis numai
persoanelor autorizate; pentru a interzice copierea datelor in afara locurilor
in care sunt gestionate; in general, pentru a impiedica orice circulatie
necontrolata a datelor.
Art. 10
Dreptul de informare
(1) Strategiile si procedurile folosite de membri in legatura cu procesarea
datelor cu caracter personal vor fi puse la dispozitie persoanelor vizate, sub
forma de informatii furnizate intr-un limbaj accesibil, prin mijloace fizice
(de exemplu, prin brosuri), telefonice sau electronice.
(2) Membrii vor comunica informatii, la cerere, in legatura cu datele cu
caracter personal pe care le prelucreaza, sursele din care au colectat datele
cu caracter personal, scopurile prelucrarii, daca si carui tert i-au fost
dezvaluite aceste date, atunci cand legea nu interzice.
(3) In cazul in care dezvaluirea datelor este impusa de lege (de exemplu,
in vederea executarii unei hotarari judecatoresti), membrii se vor asigura ca
tertul care solicita dezvaluirea actioneaza in conformitate cu dispozitiile
legale incidente, iar cererea priveste numai datele cu caracter personal
neexcesive prin raportare la scopul prelucrarii. Persoana vizata va fi
informata in legatura cu dezvaluirea, numai daca legea permite.
(4) Aducerea la cunostinta persoanelor vizate a drepturilor de care
beneficiaza (in special, drepturile prevazute la art. 12 - 15 din Legea nr.
677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu
caracter personal si libera circulatie a acestor date) se poate face prin
intermediul unor mentiuni inscrise pe ofertele de produse sau servicii, pe
primul document adresat persoanei vizate (de exemplu: factura, borderou de
livrare, confirmare de primire etc.), pe prospectele care contin si chestionare
etc.
Art. 11
Dreptul de acces
(1) Membrii vor permite accesul persoanelor vizate la datele cu caracter
personal care le privesc, prin cele mai facile mijloace, pe care le pot pune la
dispozitie, in mod rezonabil.
(2) Accesul persoanei vizate nu poate fi permis, cu exceptia cazurilor
prevazute de lege, in urmatoarele situatii: in cazul in care sunt solicitate
date despre o alta persoana; in cazul in care ar putea fi afectate viata si
siguranta altei persoane; in cazul in care sunt solicitate date care pot privi
informatii comerciale confidentiale; in cazul in care s-ar aduce atingere
solutionarii unui litigiu sau a unui proces penal.
(3) Membrii sunt obligati sa motiveze refuzul de a permite accesul la
anumite date cu caracter personal.
Art. 12
Dreptul de interventie
(1) Persoanele vizate au dreptul de a solicita verificarea exactitatii si a
caracterului complet al datelor cu caracter personal care le privesc, precum si
de a solicita rectificarea datelor inexacte sau incomplete, prin formularea
unor contestatii.
(2) Membrii vor pastra o evidenta a contestatiilor privind caracterul exact
sau complet al datelor, care nu au fost rezolvate, iar in cazul in care datele
vor fi transferate catre alti operatori, vor fi precizate datele care au fost
rectificate sau in privinta carora exista contestatii nerezolvate.
(3) Dispozitiile alin. (2) se aplica si in cazul dezvaluirii de date catre
terti, daca este cazul.
(4) Actualizarea bazelor de date se face prin intermediul informatiilor
transmise de persoanele vizate, precum si prin informatiile furnizate de orice
sursa externa autorizata de lege.
Art. 13
Dreptul de opozitie
(1) Exercitarea de catre persoana vizata a dreptului de opozitie impotriva
prelucrarii datelor cu caracter personal, in efectuarea operatiunilor de
marketing direct, este asigurata prin intermediul formularii unor cereri in
acest sens sau prin includerea in listele de opozitie a persoanelor vizate.
Persoana vizata va fi incunostintata de existenta listelor de opozitie, precum
si de modalitatea de a solicita includerea in acestea.
(2) Persoanele vizate isi pot exercita dreptul de opozitie in orice moment,
de preferinta intr-un termen rezonabil acordat de operator, fara a se aduce
atingere posibilitatii ca dreptul sa fie exercitat si in afara acestui termen.
(3) Listele de opozitie sunt gestionate de asociatiile profesionale.
(4) In cazul prelucrarilor ulterioare, precum si al transferului catre alti
operatori al datelor cu caracter personal, membrii se vor asigura ca acestea nu
privesc date pentru care persoanele vizate au exercitat anterior dreptul de a
le fi sterse datele sau dreptul de opozitie la transferul acestora.
Art. 14
Legitimitatea transferului
(1) In cazul transferului de date cu caracter personal catre alti
operatori, in special in operatiunile de marketing direct, persoanele vizate
vor fi informate cu privire la transfer prin inscrierea unor mentiuni pe
ofertele de produse sau servicii.
(2) Mentiunile prevazute la alin. (1) vor cuprinde si specificarea
dreptului de opozitie la transferul datelor, precum si metoda prin care
persoanele vizate isi pot exercita acest drept.
(3) Garantiile pentru asigurarea protectiei datelor cu caracter personal in
cadrul transferului de date catre alti operatori vor fi prevazute prin clauze
contractuale privind utilizarea acestor date, acolo unde este cazul. Aceste
clauze vor mentiona, printre altele, drepturile recunoscute persoanelor vizate,
precum si faptul ca aceste drepturi pot fi exercitate doar cu respectarea
confidentialitatii anumitor clauze comerciale.
Art. 15
Solutionarea plangerilor
(1) Membrii sunt obligati sa rezolve plangerile si orice alte cereri legate
de prelucrarea datelor cu caracter personal, in termenele si conditiile
prevazute de lege.
(2) Procedura de primire, investigare si de solutionare a plangerilor si a
celorlalte cereri ale persoanelor vizate va fi stabilita de catre membri si va
fi adusa la cunostinta persoanelor vizate.
Art. 16
Colaborarea cu autoritatea de supraveghere
(1) Anual sau ori de cate ori se va solicita membrii vor prezenta
autoritatii de supraveghere a prelucrarilor de date cu caracter personal
rapoarte sau sinteze cu privire la plangerile primite si la modul de
solutionare a acestora.
(2) Rapoartele si sintezele la care se refera alin. (1) vor putea contine
si alte informatii privind aspecte din activitatea membrilor in domeniul
protectiei datelor cu caracter personal, precum si propuneri de imbunatatire a
activitatii acestora.
Art. 17
Cheltuielile suportate de catre persoanele vizate
Membrii vor lua masuri pentru asigurarea unui nivel rezonabil al
cheltuielilor ocazionate de exercitarea drepturilor prevazute de lege si de
codurile de conduita, cheltuieli care sunt in sarcina persoanei vizate, cu
exceptia cazului in care aceste drepturi pot fi exercitate in mod gratuit.
ANEXA 2
MODEL DE COD DE CONDUITA
Preambul
Luand in considerare importanta deosebita a garantarii dreptului la viata
intima, familiala si privata, asa cum este prevazut la art. 26 din Constitutia
Romaniei,
tinand seama de necesitatea protejarii acestui drept fundamental in cadrul
activitatilor de prelucrare a datelor cu caracter personal, reglementate prin
Legea nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea
datelor cu caracter personal si libera circulatie a acestor date, prin Legea
nr. 676/2001 privind prelucrarea datelor cu caracter personal si protectia
vietii private in sectorul telecomunicatiilor, precum si prin Legea nr.
682/2001 privind ratificarea Conventiei pentru protejarea persoanelor fata de
prelucrarea automatizata a datelor cu caracter personal, adoptata la Strasbourg
la 28 ianuarie 1981,
avand in vedere dispozitiile art. 28 alin. (1) din Legea nr. 677/2001,
potrivit carora asociatiile profesionale au obligatia de a elabora si de a
supune spre avizare autoritatii de supraveghere coduri de conduita care sa
contina norme adecvate pentru protectia drepturilor persoanelor ale caror date
cu caracter personal pot fi prelucrate de catre membrii acestora,
tinand seama ca asociatiile profesionale, prin activitatea desfasurata de
membrii lor, prelucreaza date cu caracter personal, pentru protectia carora
este necesara adoptarea unor coduri de conduita,
propunem asociatiilor profesionale urmatorul model de cod de conduita:
CAP. 1
Dispozitii generale
Art. 1
Scopul si sfera de aplicare
(1) Prezentul model de cod de conduita are ca scop stabilirea unor norme de
conduita pentru asigurarea unui nivel satisfacator de protectie a datelor cu
caracter personal prelucrate de catre membrii asociatiilor profesionale.
(2) Normele de conduita stabilesc exercitarea drepturilor si obligatiilor
care revin membrilor asociatiilor profesionale in domeniul protectiei
persoanelor in privinta datelor cu caracter personal, in relatiile asociatiilor
profesionale cu persoanele vizate (in calitate de beneficiari ai serviciilor
prestate, de utilizatori etc.), cu alte asociatii profesionale, precum si cu
alte persoane fizice sau juridice care nu fac parte din asociatiile
profesionale.
(3) Prezentul model de cod de conduita se aplica indiferent de operatiunea
prin care membrii asociatiilor profesionale prelucreaza datele cu caracter
personal.
(4) Normele cuprinse in prezentul model de cod de conduita nu aduc atingere
altor obligatii legale imperative sau deontologice care revin asociatiilor
profesionale.
(5) Prezentul model de cod de conduita contine norme de conduita aplicabile
tuturor asociatiilor profesionale din Romania.
Art. 2
Definirea termenilor
(1) Termenii folositi in prezentul model de cod de conduita au urmatorul
sens:
a) asociatii profesionale - forme organizatorice ale entitatilor de drept
privat constituite pe criterii profesionale;
b) persoana vizata - persoana fizica ale carei date cu caracter personal
sunt prelucrate;
c) a colecta - a strange, a aduna, a primi date cu caracter personal prin
orice mijloace si din orice sursa;
d) a dezvalui - a transmite, a disemina, a face disponibile in orice alt
mod date cu caracter personal, in afara operatorului;
e) a utiliza - a se folosi datele cu caracter personal de catre si in
interiorul operatorului;
f) consimtamant - acordul neviciat al persoanei vizate de a-i fi prelucrate
datele cu caracter personal, care trebuie sa fie intotdeauna expres si
neechivoc;
g) nivel de protectie si de securitate adecvat al prelucrarilor de date cu
caracter personal - nivelul de securitate proportional riscului, pe care il
comporta prelucrarea fata de datele cu caracter personal respective si fata de
drepturile si libertatile persoanelor si conform cerintelor minime de
securitate a prelucrarilor de date cu caracter personal, elaborate de
autoritatea de supraveghere si actualizate corespunzator stadiului dezvoltarii
tehnologice si costurilor implementarii acestor masuri;
h) marketing direct - promovarea produselor si a serviciilor, adresata
direct clientilor, persoane fizice, prin mijloace de genul postei, inclusiv cea
electronica, sau alte mijloace de marketing la distanta, altele decat
modalitatile promotionale obisnuite (reclame).
(2) Termeni precum: date cu caracter personal, prelucrarea datelor cu
caracter personal, stocare, operator, tert, destinatar, date anonime,
autoritate de supraveghere, dreptul de informare, dreptul de acces, dreptul de
interventie, dreptul de opozitie au sensurile definite de Legea nr. 677/2001
pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter
personal si libera circulatie a acestor date, de Legea nr. 676/2001 privind
prelucrarea datelor cu caracter personal si protectia vietii private in
sectorul telecomunicatiilor, precum si de Legea nr. 682/2001 privind
ratificarea Conventiei pentru protejarea persoanelor fata de prelucrarea
automatizata a datelor cu caracter personal, adoptata la Strasbourg la 28
ianuarie 1981.
Art. 3
Adoptarea codurilor de conduita
(1) Asociatiile profesionale vor elabora propriile coduri de conduita, cu
respectarea principiilor din prezentul model de cod de conduita. Codurile de
conduita vor contine norme adecvate care sa reglementeze masuri specifice
domeniului de activitate al asociatiei respective, pentru aplicarea eficienta a
principiilor din prezentul model de cod de conduita.
(2) Codurile de conduita care vor fi adoptate de asociatiile profesionale
vor putea fi revizuite periodic, in functie de modificarile si completarile
legislative aplicabile, precum si de nivelul de dezvoltare tehnologica in
domeniul de activitate al fiecarei asociatii.
(3) Asociatiile profesionale vor supune codurile de conduita spre avizare
autoritatii de supraveghere.
Art. 4
Cadrul legal al codurilor de conduita
In vederea elaborarii codurilor de conduita de catre asociatiile
profesionale pe baza prezentului model de cod de conduita, vor fi respectate
dispozitiile legale referitoare la protectia dreptului la viata intima,
familiala si privata, in ceea ce priveste prelucrarea datelor cu caracter
personal. Se vor avea in vedere in mod special dispozitiile Legii nr. 676/2001,
ale Legii nr. 677/2001, precum si ale Legii nr. 682/2001.
CAP. 2
Principiile prelucrarilor de date cu caracter personal efectuate de catre
membrii asociatiilor profesionale
Art. 5
Legalitatea si transparenta
(1) Membrii asociatiilor profesionale, denumiti in continuare membri,
recunosc si respecta dreptul la viata intima, familiala si privata.
(2) Prelucrarea datelor cu caracter personal de catre membri se desfasoara
in conformitate cu prevederile legale in vigoare.
(3) Membrii sunt obligati sa asigure transparenta prelucrarilor de date cu
caracter personal.
Art. 6
Responsabilitatea
(1) Membrii sunt responsabili pentru datele cu caracter personal aflate sub
controlul lor, precum si pentru datele transferate catre terti.
(2) Fiecare membru va desemna persoanele care vor raspunde pentru
respectarea dispozitiilor legale din domeniul protectiei persoanelor si a
datelor cu caracter personal, precum si a principiilor prevazute in prezentul
model de cod de conduita.
Art. 7
Legitimitatea scopului colectarii
(1) Colectarea de date cu caracter personal prin mijloace frauduloase,
neloiale sau ilegale este interzisa.
(2) Membrii vor comunica scopurile pentru care sunt colectate datele cu
caracter personal fie inainte, fie cel mai tarziu la momentul colectarii.
(3) Mentionarea scopurilor poate fi realizata in scris, oral sau in forma
electronica, intr-un limbaj usor accesibil pentru persoanele vizate.
Art. 8
Consimtamantul
(1) Consimtamantul persoanelor vizate este cerut in cazul prelucrarii
datelor cu caracter personal, in afara cazurilor in care legea dispune altfel.
(2) Membrii vor folosi orice mijloace nedolosive, care necesita costuri
financiare rezonabile, pentru a informa persoanele vizate in legatura cu
prelucrarea datelor cu caracter personal si pentru a solicita consimtamantul
acestora la momentul colectarii datelor cu caracter personal.
(3) Persoana vizata isi poate retrage consimtamantul in orice moment, sub
conditia avizarii prealabile a operatorului. Acesta va informa persoana vizata
in legatura cu procedura si efectele retragerii consimtamantului.
Art. 9
Legitimitatea dezvaluirii
(1) Membrii vor prelucra datele cu caracter personal numai pentru scopurile
pentru care au fost colectate, cu exceptia cazului in care persoana vizata isi da
consimtamantul pentru prelucrarea in alte scopuri sau in alte cazuri permise de
lege.
(2) Accesul la datele prelucrate va fi permis numai angajatilor membrilor,
in indeplinirea obligatiilor de serviciu.
Art. 10
Legitimitatea stocarii
(1) Membrii sunt obligati sa pastreze datele cu caracter personal exacte,
complete si actualizate, pentru realizarea scopurilor pentru care sunt
utilizate.
(2) Datele inexacte sau incomplete vor fi sterse sau rectificate.
(3) Datele cu caracter personal vor fi pastrate numai pentru perioada
necesara atingerii scopurilor stabilite.
(4) Membrii vor adopta reguli speciale in privinta stabilirii perioadei
minime si maxime necesare pentru pastrarea datelor colectate, urmarind totodata
respectarea drepturilor persoanei vizate, in special a dreptului de acces, de
interventie si de opozitie.
(5) In urma verificarilor periodice datele cu caracter personal detinute de
operator, care nu mai servesc realizarii scopurilor sau indeplinirii unor
obligatii legale, vor fi distruse sau transformate in date anonime intr-un
interval de timp rezonabil, potrivit procedurilor stabilite de lege sau, in
lipsa unor astfel de dispozitii legale, de catre membri.
Art. 11
Securitatea prelucrarilor
Membrii sunt obligati sa ia masurile tehnice si organizatorice necesare
pentru asigurarea unui nivel de protectie si de securitate adecvat, in cadrul
operatiunilor efectuate asupra datelor cu caracter personal, in urmatoarele
scopuri: pentru a limita accesul la bazele de date, care este permis numai
persoanelor autorizate; pentru a interzice copierea datelor in afara locurilor
in care sunt gestionate; in general, pentru a impiedica orice circulatie
necontrolata a datelor.
Art. 12
Dreptul de informare
(1) Strategiile si procedurile folosite de membri in legatura cu procesarea
datelor cu caracter personal vor fi puse la dispozitie persoanelor vizate, sub
forma de informatii furnizate intr-un limbaj accesibil, prin mijloace fizice
(de exemplu, prin brosuri), telefonice sau electronice.
(2) Membrii vor comunica informatii, la cerere, in legatura cu datele cu
caracter personal, pe care le prelucreaza, sursele din care au colectat datele
cu caracter personal, scopurile prelucrarii, daca si carui tert i-au fost dezvaluite
aceste date, atunci cand legea nu interzice.
(3) In cazul in care dezvaluirea datelor este impusa de lege (de exemplu,
in vederea executarii unei hotarari judecatoresti), membrii se vor asigura ca
tertul care solicita dezvaluirea actioneaza in conformitate cu dispozitiile
legale incidente, iar cererea priveste numai datele cu caracter personal
neexcesive prin raportare la scopul prelucrarii. Persoana vizata va fi
informata in legatura cu dezvaluirea, numai daca legea permite.
(4) Aducerea la cunostinta persoanelor vizate a drepturilor de care
beneficiaza (in special, drepturile prevazute la art. 12 - 15 din Legea nr.
677/2001) se poate face prin intermediul unor mentiuni inscrise pe ofertele de
produse sau servicii, pe primul document adresat persoanei vizate (de exemplu,
factura, borderou de livrare, confirmare de primire etc.), pe prospectele care
contin si chestionare etc.
Art. 13
Dreptul de acces
(1) Membrii vor permite accesul persoanelor vizate la datele cu caracter
personal care le privesc, prin cele mai facile mijloace, pe care le pot pune la
dispozitie, in mod rezonabil.
(2) Accesul persoanei vizate nu poate fi permis, cu exceptia cazurilor
prevazute de lege, in urmatoarele situatii: in cazul in care sunt solicitate
date despre o alta persoana; in cazul in care ar putea fi afectate viata si
siguranta altei persoane; in cazul in care sunt solicitate date care pot privi
informatii comerciale confidentiale; in cazul in care s-ar aduce atingere
solutionarii unui litigiu sau a unui proces penal.
(3) Membrii sunt obligati sa motiveze refuzul de a permite accesul la
anumite date cu caracter personal.
Art. 14
Dreptul de interventie
(1) Persoanele vizate au dreptul de a solicita verificarea exactitatii si a
caracterului complet al datelor cu caracter personal care le privesc, precum si
de a solicita rectificarea datelor inexacte sau incomplete, prin formularea
unor contestatii.
(2) Membrii vor pastra o evidenta a contestatiilor privind caracterul exact
sau complet al datelor, care nu au fost rezolvate, iar in cazul in care datele
vor fi transferate catre alti operatori, vor fi precizate datele care au fost
rectificate sau in privinta carora exista contestatii nerezolvate.
(3) Dispozitiile alin. (2) se aplica si in cazul dezvaluirii de date catre
terti, daca este cazul.
(4) Actualizarea bazelor de date se face prin intermediul informatiilor
transmise de persoanele vizate, precum si prin informatiile furnizate de orice
sursa externa autorizata de lege.
Art. 15
Dreptul de opozitie
(1) Exercitarea de catre persoana vizata a dreptului de opozitie impotriva
prelucrarii datelor cu caracter personal, in efectuarea operatiunilor de
marketing direct, este asigurata prin intermediul formularii unor cereri in
acest sens sau prin includerea in listele de opozitie a persoanelor vizate.
Persoana vizata va fi incunostintata de existenta listelor de opozitie, precum
si de modalitatea de a solicita includerea in acestea.
(2) Persoanele vizate isi pot exercita dreptul de opozitie in orice moment,
de preferinta intr-un termen rezonabil acordat de operator, fara a se aduce
atingere posibilitatii ca dreptul sa fie exercitat si in afara acestui termen.
(3) Listele de opozitie sunt gestionate de asociatiile profesionale.
(4) In cazul prelucrarilor ulterioare, precum si al transferului catre alti
operatori al datelor cu caracter personal, membrii se vor asigura ca acestea nu
privesc date pentru care persoanele vizate au exercitat anterior dreptul de a
le fi sterse datele sau dreptul de opozitie la transferul acestora.
Art. 16
Legitimitatea transferului
(1) In cazul transferului de date cu caracter personal catre alti
operatori, in special in operatiunile de marketing direct, persoanele vizate
vor fi informate cu privire la transfer prin inscrierea unor mentiuni pe
ofertele de produse sau servicii.
(2) Mentiunile prevazute la alin. (1) vor cuprinde si specificarea
dreptului de opozitie la transferul datelor, precum si metoda prin care
persoanele vizate isi pot exercita acest drept.
(3) Garantiile pentru asigurarea protectiei datelor cu caracter personal in
cadrul transferului de date catre alti operatori vor fi prevazute prin clauze
contractuale privind utilizarea acestor date, acolo unde este cazul. Aceste
clauze vor mentiona, printre altele, drepturile recunoscute persoanelor vizate,
precum si faptul ca aceste drepturi pot fi exercitate doar cu respectarea
confidentialitatii anumitor clauze comerciale.
Art. 17
Solutionarea plangerilor
(1) Membrii sunt obligati sa rezolve plangerile si orice alte cereri legate
de prelucrarea datelor cu caracter personal, in termenele si conditiile
prevazute de lege.
(2) Procedura de primire, investigare si de solutionare a plangerilor si a
celorlalte cereri ale persoanelor vizate va fi stabilita de catre membri si va
fi adusa la cunostinta persoanelor vizate.
Art. 18
Colaborarea cu autoritatea de supraveghere
(1) Anual sau ori de cate ori se va solicita membrii vor prezenta
autoritatii de supraveghere a prelucrarilor de date cu caracter personal
rapoarte sau sinteze cu privire la plangerile primite si la modul de
solutionare a acestora.
(2) Rapoartele si sintezele la care se refera alin. (1) vor putea contine
si alte informatii privind aspecte din activitatea membrilor in domeniul
protectiei datelor cu caracter personal, precum si propuneri de imbunatatire a
activitatii acestora.
Art. 19
Cheltuielile suportate de catre persoanele vizate
Membrii vor lua masuri pentru asigurarea unui nivel rezonabil al
cheltuielilor ocazionate de exercitarea drepturilor prevazute de lege si de
codurile de conduita, cheltuieli care sunt in sarcina persoanei vizate, cu
exceptia cazului in care aceste drepturi pot fi exercitate in mod gratuit.
CAP. 3
Dispozitii finale si tranzitorii
Art. 20
Modul de aplicare
(1) Dispozitiile prezentului model de cod de conduita vor fi avute in
vedere la adoptarea propriilor coduri de conduita de catre asociatiile
profesionale care prelucreaza date cu caracter personal.
(2) Normele prezentului model de cod de conduita au caracter de
recomandare.
(3) Prezentul model de cod de conduita se completeaza cu prevederile legale
in domeniul protectiei datelor cu caracter personal.
Art. 21
Modificarea si completarea modelului de cod de conduita
(1) Membrii asociatiilor profesionale sau persoanele interesate pot propune
modificari sau completari ale prezentului model de cod de conduita.
(2) Propunerile la care se refera alin. (1) vor fi trimise, in scris si
motivat, autoritatii de supraveghere.
(3) Autoritatea de supraveghere va lua in considerare numai propunerile
pertinente si concludente, in vederea modificarii si completarii prezentului
model de cod de conduita.