75 din 4 iunie 2002 privind stabilirea unor msuri i proceduri
specifice care s asigure un nivel satisfctor de protecie a drepturilor persoanelor ale cror date cu caracter personal fac obiectul prelucrrilor n temeiul Hotrrii Senatului nr. 33 din 4 octombrie 2001 pentru numirea Avocatului Poporului, vznd prevederile art. 13 din Legea nr. 35/ 1997 privind organizarea i funcionarea instituiei Avocatul Poporului, modificat i completat prin Legea nr. 181/ 2002, i ale art. 4 din Regulamentul de organizare i funcionare a instituiei Avocatul Poporului, n aplicarea prevederilor art. 28 alin. (2) din Legea nr. 677/ 2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date, conform crora Avocatul Poporului, n calitate de autoritate de supraveghere, poate s dispun msuri i proceduri specifice, care s asigure un nivel satisfctor de protecie a drepturilor persoanelor ale cror date cu caracter personal sunt prelucrate, pentru perioada n care nu sunt adoptate codurile de conduit de ctre asociaiile profesionale, innd seama c, n conformitate cu art. 28 alin. (1) din Legea nr. 677/ 2001, este necesar s se vin n sprijinul asociaiilor profesionale care au obligaia de a elabora i de a supune spre avizare autoritii de supraveghere coduri de conduit, cuprinznd norme adecvate pentru protecia drepturilor persoanelor ale cror date cu caracter personal pot fi prelucrate de ctre membrii acestora, avnd n vedere Nota privind msuri i proceduri specifice, care s asigure un nivel satisfctor de protecie a drepturilor persoanelor ale cror date cu caracter personal sunt prelucrate i adoptarea unui model de cod de conduit, nregistrat cu nr. 5.412 din 29 mai 2002, a adjunctului Avocatului Poporului, Avocatul Poporului emite prezentul ordin.
Art. 1 Se aprob Msurile i procedurile specifice pentru asigurarea unui nivel satisfctor de protecie a drepturilor persoanelor ale cror date cu caracter personal fac obiectul prelucrrilor, prevzute n anexa nr. 1 la prezentul ordin.
Art. 2 Se aprob Modelul de cod de conduit prevzut n anexa nr. 2 la prezentul ordin.
Art. 3 Prezentul ordin va fi publicat n Monitorul Oficial al Romniei, Partea I.
Art. 4 - Anexele nr. 1 i 2 fac parte integrant din prezentul ordin. -****- AVOCATUL POPORULUI, prof. univ. dr. IOAN MURARU
ANEXA Nr. 1: MSURI I PROCEDURI specifice pentru asigurarea unui nivel satisfctor de protecie a drepturilor persoanelor ale cror date cu caracter personal fac obiectul prelucrrilor Scopul i sfera de aplicare
Art. 1 (1)Prezentele msuri i proceduri au ca scop asigurarea unui nivel satisfctor de protecie a datelor cu caracter personal, prelucrate de ctre membrii asociaiilor profesionale, prin stabilirea modalitilor de exercitare a drepturilor i obligaiilor care revin membrilor asociaiilor profesionale n domeniul proteciei persoanelor, n privina datelor cu caracter personal, n relaiile asociaiilor profesionale cu persoanele vizate (n calitate de beneficiari ai serviciilor prestate, de utilizatori etc.), cu alte asociaii profesionale, precum i cu alte persoane fizice sau juridice care nu fac parte din asociaiile profesionale. (2)Aceste msuri i proceduri se aplic, n perioada n care nu sunt adoptate codurile de conduit, de ctre asociaiile profesionale, oricror operaiuni prin care membrii asociaiilor profesionale prelucreaz datele cu caracter personal. (3)Prezentele msuri i proceduri nu aduc atingere altor obligaii legale imperative sau deontologice care revin asociaiilor profesionale. (4)Prezentele msuri i proceduri sunt aplicabile tuturor asociaiilor profesionale din Romnia.
Definirea termenilor Art. 2 (1)Termenii folosii la stabilirea prezentelor msuri i proceduri au urmtorul sens: a)asociaii profesionale - forme organizatorice ale entitilor de drept privat constituite pe criterii profesionale; b)persoan vizat - persoana fizic ale crei date cu caracter personal sunt prelucrate; c)a colecta - a strnge, a aduna, a primi date cu caracter personal prin orice mijloace i din orice surs; d)a dezvlui - a transmite, a disemina, a face disponibile n orice alt mod date cu caracter personal, n afara operatorului; e)a utiliza - a se folosi datele cu caracter personal de ctre i n interiorul operatorului; f)consimmnt - acordul neviciat al persoanei vizate de a-i fi prelucrate datele cu caracter personal, care trebuie s fie ntotdeauna expres i neechivoc; g)nivel de protecie i de securitate adecvat al prelucrrilor de date cu caracter personal - nivelul de securitate proporional riscului, pe care l comport prelucrarea fa de datele cu caracter personal respective i fa de drepturile i libertile persoanelor i conform cerinelor minime de securitate a prelucrrilor de date cu caracter personal, elaborate de autoritatea de supraveghere i actualizate corespunztor stadiului dezvoltrii tehnologice i costurilor implementrii acestor msuri; h)marketing direct - promovarea produselor i a serviciilor, adresat direct clienilor, persoane fizice, prin mijloace de genul potei, inclusiv cea electronic, sau alte mijloace de marketing la distan, altele dect modalitile promoionale obinuite (reclame). (2)Termeni precum: date cu caracter personal, prelucrarea datelor cu caracter personal, stocare, operator, ter, destinatar, date anonime, autoritate de supraveghere, dreptul de informare, dreptul de acces, dreptul de intervenie, dreptul de opoziie au sensurile definite de Legea nr. 677/ 2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date, de Legea nr. 676/ 2001 privind prelucrarea datelor cu caracter personal i protecia vieii private n sectorul telecomunicaiilor, precum i de Legea nr. 682/ 2001 privind ratificarea Conveniei pentru protejarea persoanelor fa de prelucrarea automatizat a datelor cu caracter personal, adoptat la Strasbourg la 28 ianuarie 1981. Legalitatea i transparena
Art. 3 (1)Membrii asociaiilor profesionale, denumii n continuare membri, recunosc i respect dreptul la via intim, familial i privat. (2)Prelucrarea datelor cu caracter personal de ctre membri se desfoar n conformitate cu prevederile legale n vigoare. (3)Membrii sunt obligai s asigure transparena prelucrrilor de date cu caracter personal.
Responsabilitatea Art. 4 (1)Membrii sunt responsabili pentru datele cu caracter personal aflate sub controlul lor, precum i pentru datele transferate ctre teri. (2)Fiecare membru va desemna persoanele care vor rspunde pentru respectarea dispoziiilor legale din domeniul proteciei persoanelor i a datelor cu caracter personal.
Legitimitatea scopului colectrii Art. 5 (1)Colectarea de date cu caracter personal prin mijloace frauduloase, neloiale sau ilegale este interzis. (2)Membrii vor comunica scopurile pentru care sunt colectate datele cu caracter personal fie nainte, fie cel mai trziu la momentul colectrii. (3)Menionarea scopurilor poate fi realizat n scris, oral sau n form electronic, ntr-un limbaj uor accesibil pentru persoanele vizate.
Consimmntul Art. 6 (1)Consimmntul persoanelor vizate este cerut n cazul prelucrrii date-lor cu caracter personal, n afara cazurilor n care legea dispune altfel. (2)Membrii vor folosi orice mijloace nedolosive, care necesit costuri financiare rezonabile, pentru a informa persoanele vizate n legtur cu prelucrarea datelor cu caracter personal i pentru a solicita consimmntul acestora la momentul colectrii datelor cu caracter personal. (3)Persoana vizat i poate retrage consimmntul n orice moment, sub condiia avizrii prealabile a operatorului. Acesta va informa persoana vizat n legtur cu procedura i efectele retragerii consimmntului. Legitimitatea dezvluirii
Art. 7 (1)Membrii vor prelucra datele cu caracter personal numai pentru scopurile pentru care au fost colectate, cu excepia cazului n care persoana vizat i d consimmntul pentru prelucrarea n alte scopuri sau n alte cazuri permise de lege. (2)Accesul la datele prelucrate va fi permis numai angajailor membrilor, n ndeplinirea obligaiilor de serviciu.
Legitimitatea stocrii Art. 8 (1)Membrii sunt obligai s pstreze datele cu caracter personal exacte, complete i actualizate, pentru realizarea scopurilor pentru care sunt utilizate. (2)Datele inexacte sau incomplete vor fi terse sau rectificate. (3)Datele cu caracter personal vor fi pstrate numai pentru perioada necesar atingerii scopurilor stabilite. (4)Membrii vor adopta reguli speciale n privina stabilirii perioadei minime i maxime necesare pentru pstrarea datelor colectate, urmrind totodat respectarea drepturilor persoanei vizate, n special a dreptului de acces, de intervenie i de opoziie. (5)n urma verificrilor periodice datele cu caracter personal deinute de operator, care nu mai servesc realizrii scopurilor sau ndeplinirii unor obligaii legale, vor fi distruse sau transformate n date anonime ntr-un interval de timp rezonabil, potrivit procedurilor stabilite de lege sau, n lipsa unor astfel de dispoziii legale, de ctre membri. Securitatea prelucrrilor
Art. 9 Membrii sunt obligai s ia msurile tehnice i organizatorice necesare pentru asigurarea unui nivel de protecie i de securitate adecvat, n cadrul operaiunilor efectuate asupra datelor cu caracter personal, n urmtoarele scopuri: pentru a limita accesul la bazele de date, care este permis numai persoanelor auto-rizate; pentru a interzice copierea datelor n afara locurilor n care sunt gestionate; n general, pentru a mpiedica orice circulaie necontrolat a datelor.
Dreptul de informare Art. 10 (1)Strategiile i procedurile folosite de membri n legtur cu procesarea datelor cu caracter personal vor fi puse la dispoziie persoanelor vizate, sub form de informaii furnizate ntr-un limbaj accesibil, prin mijloace fizice (de exemplu, prin brouri), telefonice sau electronice. (2)Membrii vor comunica informaii, la cerere, n legtur cu datele cu caracter personal pe care le prelucreaz, sursele din care au colectat datele cu caracter personal, scopurile prelucrrii, dac i crui ter i-au fost dezvluite aceste date, atunci cnd legea nu interzice. (3)n cazul n care dezvluirea datelor este impus de lege (de exemplu, n vederea executrii unei hotrri judectoreti), membrii se vor asigura c terul care solicit dezvluirea acioneaz n conformitate cu dispoziiile legale incidente, iar cererea privete numai datele cu caracter personal neexcesive prin raportare la scopul prelucrrii. Persoana vizat va fi informat n legtur cu dezvluirea, numai dac legea permite. (4)Aducerea la cunotin persoanelor vizate a drepturilor de care beneficiaz (n special, drepturile prevzute la art. 12-15 din Legea nr. 677/ 2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date) se poate face prin intermediul unor meniuni nscrise pe ofertele de produse sau servicii, pe primul document adresat persoanei vizate (de exemplu: factur, borderou de livrare, confirmare de primire etc.), pe prospectele care conin i chestionare etc.
Dreptul de acces Art. 11 (1)Membrii vor permite accesul persoanelor vizate la datele cu caracter personal care le privesc, prin cele mai facile mijloace, pe care le pot pune la dispoziie, n mod rezonabil. (2)Accesul persoanei vizate nu poate fi permis, cu excepia cazurilor prevzute de lege, n urmtoarele situaii: n cazul n care sunt solicitate date despre o alt persoan; n cazul n care ar putea fi afectate viaa i sigurana altei persoane; n cazul n care sunt solicitate date care pot privi informaii comerciale confideniale; n cazul n care s-ar aduce atingere soluionrii unui litigiu sau a unui proces penal. (3) Membrii sunt obligai s motiveze refuzul de a permite accesul la anumite date cu caracter personal.
Dreptul de intervenie Art. 12 (1)Persoanele vizate au dreptul de a solicita verificarea exactitii i a caracterului complet al datelor cu caracter personal care le privesc, precum i de a solicita rectificarea datelor inexacte sau incomplete, prin formularea unor contestaii. (2)Membrii vor pstra o eviden a contestaiilor privind caracterul exact sau complet al datelor, care nu au fost rezolvate, iar n cazul n care datele vor fi transferate ctre ali operatori, vor fi precizate datele care au fost rectificate sau n privina crora exist contestaii nerezolvate. (3)Dispoziiile alin. (2) se aplic i n cazul dezvluirii de date ctre teri, dac este cazul. (4)Actualizarea bazelor de date se face prin intermediul informaiilor transmise de persoanele vizate, precum i prin informaiile furnizate de orice surs extern autorizat de lege.
Dreptul de opoziie Art. 13 (1)Exercitarea de ctre persoana vizat a dreptului de opoziie mpotriva prelucrrii datelor cu caracter personal, n efectuarea operaiunilor de marketing direct, este asigurat prin intermediul formulrii unor cereri n acest sens sau prin includerea n listele de opoziie a persoanelor vizate. Persoana vizat va fi ncunotinat de existena listelor de opoziie, precum i de modalitatea de a solicita includerea n acestea. (2)Persoanele vizate i pot exercita dreptul de opoziie n orice moment, de preferin ntr-un termen rezonabil acordat de operator, fr a se aduce atingere posibilitii ca dreptul s fie exercitat i n afara acestui termen. (3)Listele de opoziie sunt gestionate de asociaiile profesionale. (4)n cazul prelucrrilor ulterioare, precum i al transferului ctre ali operatori al datelor cu caracter personal, membrii se vor asigura c acestea nu privesc date pentru care persoanele vizate au exercitat anterior dreptul de a le fi terse datele sau dreptul de opoziie la transferul acestora.
Legitimitatea transferului Art. 14 (1)n cazul transferului de date cu caracter personal ctre ali operatori, n special n operaiunile de marketing direct, persoanele vizate vor fi informate cu privire la transfer prin nscrierea unor meniuni pe ofertele de produse sau servicii. (2)Meniunile prevzute la alin. (1) vor cuprinde i specificarea dreptului de opoziie la transferul datelor, precum i metoda prin care persoanele vizate i pot exercita acest drept. (3)Garaniile pentru asigurarea proteciei datelor cu caracter personal n cadrul transferului de date ctre ali operatori vor fi prevzute prin clauze contractuale privind utilizarea acestor date, acolo unde este cazul. Aceste clauze vor meniona, printre altele, drepturile recunoscute persoanelor vizate, precum i faptul c aceste drepturi pot fi exercitate doar cu respectarea confidenialitii anumitor clauze comerciale.
Soluionarea plngerilor Art. 15 (1)Membrii sunt obligai s rezolve plngerile i orice alte cereri legate de prelucrarea datelor cu caracter personal, n termenele i condiiile prevzute de lege. (2)Procedura de primire, investigare i de soluionare a plngerilor i a celorlalte cereri ale persoanelor vizate va fi stabilit de ctre membri i va fi adus la cunotin persoanelor vizate.
Colaborarea cu autoritatea de supraveghere Art. 16 (1)Anual sau ori de cte ori se va solicita, membrii vor prezenta autoritii de supraveghere a prelucrrilor de date cu caracter personal rapoarte sau sinteze cu privire la plngerile primite i la modul de soluionare a acestora. (2)Rapoartele i sintezele la care se refer alin. (1) vor putea conine i alte informaii privind aspecte din activitatea membrilor n domeniul proteciei datelor cu caracter personal, precum i propuneri de mbuntire a activitii acestora. Cheltuieli suportate de ctre persoanele vizate
Art. 17 Membrii vor lua msuri pentru asigurarea unui nivel rezonabil al cheltuielilor ocazionate de exercitarea drepturilor prevzute de lege i de codurile de conduit, cheltuieli care sunt n sarcina persoanei vizate, cu excepia cazului n care aceste drepturi pot fi exercitate n mod gratuit.
ANEXA Nr. 2: MODEL DE COD DE CONDUIT Preambul Lund n considerare importana deosebit a garantrii dreptului la via intim, familial i privat, aa cum este prevzut la art. 26 din Constituia Romniei, innd seama de necesitatea protejrii acestui drept fundamental n cadrul activitilor de prelucrare a datelor cu caracter personal, reglementate prin Legea nr. 677/ 2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date, prin Legea nr. 676/ 2001 privind prelucrarea datelor cu caracter personal i protecia vieii private n sectorul telecomunicaiilor, precum i prin Legea nr. 682/ 2001 privind ratificarea Conveniei pentru protejarea persoanelor fa de prelucrarea automatizat a datelor cu caracter personal, adoptat la Strasbourg la 28 ianuarie 1981, avnd n vedere dispoziiile art. 28 alin. (1) din Legea nr. 677/ 2001, potrivit crora asociaiile profesionale au obligaia de a elabora i de a supune spre avizare autoritii de supraveghere coduri de conduit care s conin norme adecvate pentru protecia drepturilor persoanelor ale cror date cu caracter personal pot fi prelucrate de ctre membrii acestora, innd seama c asociaiile profesionale, prin activitatea desfurat de membrii lor, prelucreaz date cu caracter personal, pentru protecia crora este necesar adoptarea unor coduri de conduit, propunem asociaiilor profesionale urmtorul model de cod de conduit:
CAPITOLUL I: Dispoziii generale Scopul i sfera de aplicare Art. 1 (1)Prezentul model de cod de conduit are ca scop stabilirea unor norme de conduit pentru asigurarea unui nivel satisfctor de protecie a datelor cu caracter personal prelucrate de ctre membrii asociaiilor profesionale. (2)Normele de conduit stabilesc exercitarea drepturilor i obligaiilor care revin membrilor asociaiilor profesionale n domeniul proteciei persoanelor n privina date-lor cu caracter personal, n relaiile asociaiilor profesionale cu persoanele vizate (n calitate de beneficiari ai serviciilor prestate, de utilizatori etc.), cu alte asociaii profesionale, precum i cu alte persoane fizice sau juridice care nu fac parte din asociaiile profesionale. (3)Prezentul model de cod de conduit se aplic indiferent de operaiunea prin care membrii asociaiilor profesionale prelucreaz datele cu caracter personal. (4)Normele cuprinse n prezentul model de cod de conduit nu aduc atingere altor obligaii legale imperative sau deontologice care revin asociaiilor profesionale. (5)Prezentul model de cod de conduit conine norme de conduit aplicabile tuturor asociaiilor profesionale din Romnia. Definirea termenilor
Art. 2 (1)Termenii folosii n prezentul model de cod de conduit au urmtorul sens: a)asociaii profesionale - forme organizatorice ale entitilor de drept privat constituite pe criterii profesionale; b)persoan vizat - persoana fizic ale crei date cu caracter personal sunt prelucrate; c)a colecta - a strnge, a aduna, a primi date cu caracter personal prin orice mijloace i din orice surs; d)a dezvlui - a transmite, a disemina, a face disponibile n orice alt mod date cu caracter personal, n afara operatorului; e)a utiliza - a se folosi datele cu caracter personal de ctre i n interiorul opera- torului; f)consimmnt - acordul neviciat al persoanei vizate de a-i fi prelucrate datele cu caracter personal, care trebuie s fie ntotdeauna expres i neechivoc; g)nivel de protecie i de securitate adecvat al prelucrrilor de date cu caracter personal - nivelul de securitate proporional riscului, pe care l comport prelucrarea fa de datele cu caracter personal respective i fa de drepturile i libertile persoanelor i conform cerinelor minime de securitate a prelucrrilor de date cu caracter personal, elaborate de autoritatea de supraveghere i actualizate corespunztor stadiului dezvoltrii tehnologice i costurilor implementrii acestor msuri; h)marketing direct - promovarea produselor i a serviciilor, adresat direct clienilor, persoane fizice, prin mijloace de genul potei, inclusiv cea electronic, sau alte mijloace de marketing la distan, altele dect modalitile promoionale obinuite (reclame). (2)Termeni precum: date cu caracter personal, prelucrarea datelor cu caracter personal, stocare, operator, ter, destinatar, date anonime, autoritate de supraveghere, dreptul de informare, dreptul de acces, dreptul de intervenie, dreptul de opoziie au sensurile definite de Legea nr. 677/ 2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date, de Legea nr. 676/ 2001 privind prelucrarea datelor cu caracter personal i protecia vieii private n sectorul telecomunicaiilor, precum i de Legea nr. 682/ 2001 privind ratificarea Conveniei pentru protejarea persoanelor fa de prelucrarea automatizat a datelor cu caracter personal, adoptat la Strasbourg la 28 ianuarie 1981.
Adoptarea codurilor de conduit Art. 3 (1)Asociaiile profesionale vor elabora propriile coduri de conduit, cu respectarea principiilor din prezentul model de cod de conduit. Codurile de conduit vor conine norme adecvate care s reglementeze msuri specifice domeniului de activitate al asociaiei respective, pentru aplicarea eficient a principiilor din prezentul model de cod de conduit. (2)Codurile de conduit care vor fi adoptate de asociaiile profesionale vor putea fi revizuite periodic, n funcie de modificrile i completrile legislative aplicabile, precum i de nivelul de dezvoltare tehnologic n domeniul de activitate al fiecrei asociaii. (3)Asociaiile profesionale vor supune codurile de conduit spre avizare autoritii de supraveghere.
Cadrul legal al codurilor de conduit Art. 4 n vederea elaborrii codurilor de conduit de ctre asociaiile profesionale pe baza prezentului model de cod de conduit, vor fi respectate dispoziiile legale referitoare la protecia dreptului la via intim, familial i privat, n ceea ce privete prelucrarea datelor cu caracter personal. Se vor avea n vedere n mod special dispoziiile Legii nr. 676/ 2001, ale Legii nr. 677/ 2001, precum i ale Legii nr. 682/ 2001. CAPITOLUL II: Principiile prelucrrilor de date cu caracter personal efectuate de ctre membrii asociaiilor profesionale Legalitatea i transparena Art. 5 (1)Membrii asociaiilor profesionale, denumii n continuare membri, recunosc i respect dreptul la via intim, familial i privat. (2)Prelucrarea datelor cu caracter personal de ctre membri se desfoar n conformitate cu prevederile legale n vigoare. (3)Membrii sunt obligai s asigure transparena prelucrrilor de date cu caracter personal.
Responsabilitatea Art. 6 (1)Membrii sunt responsabili pentru datele cu caracter personal aflate sub controlul lor, precum i pentru datele transferate ctre teri. (2)Fiecare membru va desemna persoanele care vor rspunde pentru respectarea dispoziiilor legale din domeniul proteciei persoanelor i a datelor cu caracter personal, precum i a principiilor prevzute n prezentul model de cod de conduit.
Legitimitatea scopului colectrii Art. 7 (1)Colectarea de date cu caracter personal prin mijloace frauduloase, neloiale sau ilegale este interzis. (2)Membrii vor comunica scopurile pentru care sunt colectate datele cu caracter personal fie nainte, fie cel mai trziu la momentul colectrii. (3)Menionarea scopurilor poate fi realizat n scris, oral sau n form electronic, ntr-un limbaj uor accesibil pentru persoanele vizate.
Consimmntul Art. 8 (1)Consimmntul persoanelor vizate este cerut n cazul prelucrrii date-lor cu caracter personal, n afara cazurilor n care legea dispune altfel. (2)Membrii vor folosi orice mijloace nedolosive, care necesit costuri financiare rezonabile, pentru a informa persoanele vizate n legtur cu prelucrarea datelor cu caracter personal i pentru a solicita consimmntul acestora la momentul colectrii datelor cu caracter personal. (3)Persoana vizat i poate retrage consimmntul n orice moment, sub condiia avizrii prealabile a operatorului. Acesta va informa persoana vizat n legtur cu procedura i efectele retragerii consimmntului.
Legitimitatea dezvluirii Art. 9 (1)Membrii vor prelucra datele cu caracter personal numai pentru scopurile pentru care au fost colectate, cu excepia cazului n care persoana vizat i d consimmntul pentru prelucrarea n alte scopuri sau n alte cazuri permise de lege. (2)Accesul la datele prelucrate va fi permis numai angajailor membrilor, n ndeplinirea obligaiilor de serviciu.
Legitimitatea stocrii Art. 10 (1)Membrii sunt obligai s pstreze datele cu caracter personal exacte, complete i actualizate, pentru realizarea scopurilor pentru care sunt utilizate. (2)Datele inexacte sau incomplete vor fi terse sau rectificate. (3)Datele cu caracter personal vor fi pstrate numai pentru perioada necesar atingerii scopurilor stabilite. (4)Membrii vor adopta reguli speciale n privina stabilirii perioadei minime i maxime necesare pentru pstrarea datelor colectate, urmrind totodat respectarea drepturilor persoanei vizate, n special a dreptului de acces, de intervenie i de opoziie. (5)n urma verificrilor periodice datele cu caracter personal deinute de operator, care nu mai servesc realizrii scopurilor sau ndeplinirii unor obligaii legale, vor fi distruse sau transformate n date anonime ntr-un interval de timp rezonabil, potrivit procedurilor stabilite de lege sau, n lipsa unor astfel de dispoziii legale, de ctre membri.
Securitatea prelucrrilor Art. 11 Membrii sunt obligai s ia msurile tehnice i organizatorice necesare pentru asigurarea unui nivel de protecie i de securitate adecvat, n cadrul operaiunilor efectuate asupra datelor cu caracter personal, n urmtoarele scopuri: pentru a limita accesul la bazele de date, care este permis numai persoanelor auto-rizate; pentru a interzice copierea datelor n afara locurilor n care sunt gestionate; n general, pentru a mpiedica orice circulaie necontrolat a datelor.
Dreptul de informare Art. 12 (1)Strategiile i procedurile folosite de membri n legtur cu procesarea datelor cu caracter personal vor fi puse la dispoziie persoanelor vizate, sub form de informaii furnizate ntr-un limbaj accesibil, prin mijloace fizice (de exemplu, prin brouri), telefonice sau electronice. (2)Membrii vor comunica informaii, la cerere, n legtur cu datele cu caracter personal, pe care le prelucreaz, sursele din care au colectat datele cu caracter personal, scopurile prelucrrii, dac i crui ter i-au fost dezvluite aceste date, atunci cnd legea nu interzice. (3)n cazul n care dezvluirea datelor este impus de lege (de exemplu, n vederea executrii unei hotrri judectoreti), membrii se vor asigura c terul care solicit dezvluirea acioneaz n conformitate cu dispoziiile legale incidente, iar cererea privete numai datele cu caracter personal neexcesive prin raportare la scopul prelucrrii. Persoana vizat va fi informat n legtur cu dezvluirea, numai dac legea permite. (4)Aducerea la cunotin persoanelor vizate a drepturilor de care beneficiaz (n special, drepturile prevzute la art. 12-15 din Legea nr. 677/ 2001) se poate face prin intermediul unor meniuni nscrise pe ofertele de produse sau servicii, pe primul document adresat persoanei vizate (de exemplu, factur, borderou de livrare, confirmare de primire etc.), pe prospectele care conin i chestionare etc.
Dreptul de acces Art. 13 (1)Membrii vor permite accesul persoanelor vizate la datele cu caracter personal care le privesc, prin cele mai facile mijloace, pe care le pot pune la dispoziie, n mod rezonabil. (2)Accesul persoanei vizate nu poate fi permis, cu excepia cazurilor prevzute de lege, n urmtoarele situaii: n cazul n care sunt solicitate date despre o alt persoan; n cazul n care ar putea fi afectate viaa i sigurana altei persoane; n cazul n care sunt solicitate date care pot privi informaii comerciale confideniale; n cazul n care s-ar aduce atingere soluionrii unui litigiu sau a unui proces penal. (3)Membrii sunt obligai s motiveze refuzul de a permite accesul la anumite date cu caracter personal.
Dreptul de intervenie Art. 14 (1)Persoanele vizate au dreptul de a solicita verificarea exactitii i a caracterului complet al datelor cu caracter personal care le privesc, precum i de a solicita rectificarea datelor inexacte sau incomplete, prin formularea unor contestaii. (2)Membrii vor pstra o eviden a contestaiilor privind caracterul exact sau complet al datelor, care nu au fost rezolvate, iar n cazul n care datele vor fi transferate ctre ali operatori, vor fi precizate datele care au fost rectificate sau n privina crora exist contestaii nerezolvate. (3)Dispoziiile alin. (2) se aplic i n cazul dezvluirii de date ctre teri, dac este cazul. (4)Actualizarea bazelor de date se face prin intermediul informaiilor transmise de persoanele vizate, precum i prin informaiile furnizate de orice surs extern autorizat de lege.
Dreptul de opoziie Art. 15 (1)Exercitarea de ctre persoana vizat a dreptului de opoziie mpotriva prelucrrii datelor cu caracter personal, n efectuarea operaiunilor de marketing direct, este asigurat prin intermediul formulrii unor cereri n acest sens sau prin includerea n listele de opoziie a persoanelor vizate. Persoana vizat va fi ncunotinat de existena listelor de opoziie, precum i de modalitatea de a solicita includerea n acestea. (2)Persoanele vizate i pot exercita dreptul de opoziie n orice moment, de preferin ntr-un termen rezonabil acordat de operator, fr a se aduce atingere posibilitii ca dreptul s fie exercitat i n afara acestui termen. (3)Listele de opoziie sunt gestionate de asociaiile profesionale. (4)n cazul prelucrrilor ulterioare, precum i al transferului ctre ali operatori al datelor cu caracter personal, membrii se vor asigura c acestea nu privesc date pentru care persoanele vizate au exercitat anterior dreptul de a le fi terse datele sau dreptul de opoziie la transferul acestora.
Legitimitatea transferului Art. 16 (1)n cazul transferului de date cu caracter personal ctre ali operatori, n special n operaiunile de marketing direct, persoanele vizate vor fi informate cu privire la transfer prin nscrierea unor meniuni pe ofertele de produse sau servicii. (2)Meniunile prevzute la alin. (1) vor cuprinde i specificarea dreptului de opoziie la transferul datelor, precum i metoda prin care persoanele vizate i pot exercita acest drept. (3)Garaniile pentru asigurarea proteciei datelor cu caracter personal n cadrul transferului de date ctre ali operatori vor fi prevzute prin clauze contractuale privind utilizarea acestor date, acolo unde este cazul. Aceste clauze vor meniona, printre altele, drepturile recunoscute persoanelor vizate, precum i faptul c aceste drepturi pot fi exercitate doar cu respectarea confidenialitii anumitor clauze comerciale.
Soluionarea plngerilor Art. 17 (1)Membrii sunt obligai s rezolve plngerile i orice alte cereri legate de prelucrarea datelor cu caracter personal, n termenele i condiiile prevzute de lege. (2)Procedura de primire, investigare i de soluionare a plngerilor i a celorlalte cereri ale persoanelor vizate va fi stabilit de ctre membri i va fi adus la cunotin persoanelor vizate.
Colaborarea cu autoritatea de supraveghere Art. 18 (1)Anual sau ori de cte ori se va solicita membrii vor prezenta autoritii de supraveghere a prelucrrilor de date cu caracter personal rapoarte sau sinteze cu privire la plngerile primite i la modul de soluionare a acestora. (2)Rapoartele i sintezele la care se refer alin. (1) vor putea conine i alte informaii privind aspecte din activitatea membrilor n domeniul proteciei datelor cu caracter personal, precum i propuneri de mbuntire a activitii acestora.
Cheltuielile suportate de ctre persoanele vizate Art. 19 Membrii vor lua msuri pentru asigurarea unui nivel rezonabil al cheltuielilor ocazionate de exercitarea drepturilor prevzute de lege i de codurile de conduit, cheltuieli care sunt n sarcina persoanei vizate, cu excepia cazului n care aceste drepturi pot fi exercitate n mod gratuit.
CAPITOLUL III: Dispoziii finale i tranzitorii Modul de aplicare Art. 20 (1)Dispoziiile prezentului model de cod de conduit vor fi avute n vedere la adoptarea propriilor coduri de conduit de ctre asociaiile profesionale care prelucreaz date cu caracter personal. (2)Normele prezentului model de cod de conduit au caracter de recomandare. (3)Prezentul model de cod de conduit se completeaz cu prevederile legale n domeniul proteciei datelor cu caracter personal.
Modificarea i completarea modelului de cod de conduit Art. 21 (1)Membrii asociaiilor profesionale sau persoanele interesate pot propune modificri sau completri ale prezentului model de cod de conduit. (2)Propunerile la care se refer alin. (1) vor fi trimise, n scris i motivat, autoritii de supraveghere. (3)Autoritatea de supraveghere va lua n considerare numai propunerile pertinente i concludente, n vederea modificrii i completrii prezentului model de cod de conduit. Publicat n Monitorul Oficial cu numrul 449 din data de 26 iunie 2002