Documente Academic
Documente Profesional
Documente Cultură
1
Cuprins
1. Introducere 4
2. Scopul Codului 4
3. Destinatarii Codului 5
4. Structura Codului 7
5. Condiții de aderare la Cod 7
6. Protecția datelor cu caracter personal in publicitatea online 9
6.1 Terminologie 9
6.2 Procesele implicate în tranzacțiile publicitare online 13
6.3 Rolurile parților implicate în furnizarea serviciilor de publicitate online 14
6.4 Măsuri de protecție a datelor cu caracter personal 16
6.4.1 Acordurile privind prelucrarea datelor cu caracter personal 16
6.4.2 Prelucrarea datelor conform legii 17
6.4.3 Activități realizate prin intermediul Sub-împuterniciților 18
6.4.4 Transferul internațional de date 20
6.4.5 Dreptul de audit 21
6.4.6 Cooperarea Împuternicitului cu Operatorul 22
6.4.7 Anonimizarea, pseudonimizarea și criptarea datelor cu caracter personal în publicitatea
online 23
6.4.8 Stocarea de informație sau accesul la informația stocata în echipamentul terminal al
unui abonat / utilizator 24
6.4.8.1 Consimțământul pentru stocarea de informație sau obținerea accesului la informația
stocată în echipamentul terminal al unui abonat ori utilizator 24
6.4.8.2 Consimțământul persoanelor vizate 25
6.4.8.3 Sistem de management de consimțământ 26
6.4.9 Drepturile persoanei vizate și managementul cererilor persoanelor vizate 26
6.4.10 Cooperarea cu Autoritățile de Supraveghere 27
6.4.11 Confidențialitatea prelucrărilor datelor cu caracter personal 27
6.4.12 Asistenta privind incidentele de securitate 27
6.4.13 Încetarea Acordului de servicii. Returnarea și/sau ștergerea datelor cu caracter
personal 28
7. Control de conformitate și Securitatea datelor 28
7.1 Regulamentul Tehnic. Asigurarea conformității cu Codul 28
7.2 Măsuri și obiective de securitate 29
7.3 Obiectivele de control și controalele de securitate 29
Politica de Securitate 29
Organizarea securității 29
Securitatea personalului 29
Securitatea fizică și a mediului de lucru 30
2
Managementul incidentelor de securitate 30
Controlul accesului 30
Dezvoltarea și întreținerea sistemelor 30
Planificarea continuității afacerii 30
Conformitatea 30
8. Guvernanta Codului 31
8.1 Administrarea și organismele de guvernanta ale Codului 31
8.2 Marca de conformitate 35
8.3 Aderarea la Cod, monitorizarea și punerea în aplicare a prevederilor Codului. Plângerile
privitoare la respectarea Codului 36
8.4 Finanțarea Codului 37
Anexa 1. Declarația de aderare 37
Anexa 2. Regulamentul Tehnic 37
Anexa 3. Marca de conformitate 37
Anexa 4. Lista membrilor fondatori ai Codului 37
3
1. Introducere
Codul de conduită privind prelucrarea datelor cu caracter personal în domeniul marketingului și
publicității online („Codul”) reprezintă un set de reguli de conduită în sprijinul protecției datelor cu
caracter personal specifice domeniul marketingului și publicității online, care stabilește principiile
generale de alocare a diferitelor roluri pe care le pot avea persoanele juridice implicate în
ecosistemul marketingului și publicității online, din perspectiva prelucrărilor de date, principiile de
prelucrare a datelor cu caracter personal din acest sector de activitate, precum si măsurile tehnice
și organizatorice de securitate care constituie bune practici în relațiile comerciale dintre parți,
pentru a se asigura prelucrarea datelor cu caracter personal ale utilizatorilor de internet în condiții
adecvate de securitate.
Codul reprezintă un cod de conduită in sensul prevăzut la art. 40 si următoarele din Regulamentul
(UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția
persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a
acestor date și de abrogare a Directivei 95/46 / CE („GDPR”).
2. Scopul Codului
Scopul elaborării acestui Cod este de a contribui la aplicarea corectă a prevederilor GDPR, ținând
seama de natura specifică a prelucrărilor efectuate in cadrul ecosistemului marketingului și
publicității online și de necesitățile specifice ale operatorilor economici din acest sector de
activitate. Acesta va servi la diseminarea și aplicarea uniformă a bunelor practici privind protecția
datelor cu caracter personal în tranzacțiile publicitare online.
4
permită persoanelor vizate să evalueze rapid nivelul de protecție a datelor aferent produselor și
serviciilor relevante utilizate sau pe care intenționează sa le utilizeze.
3. Destinatarii Codului
Orice persoană juridică din domeniul marketingului și publicității online poate decide să-și declare
aderarea la Cod pentru orice tip de servicii de publicitate în cadrul cărora pot fi prelucrate date cu
caracter personal, cu condiția să îndeplinească cerințele cadrului normativ privind protecția
datelor și termenii prezentului Cod.
Orice persoană juridică poate adera la prezentul Cod cu privire la unul sau mai multe dintre
serviciile din domeniul marketingului și publicității online pe care le prestează. In aceasta situație,
respectiva persoană juridică va trebui să se asigure că potențialilor parteneri le sunt evidențiate
separat serviciile în cazul cărora se respecta prevederile prezentului Cod și serviciile în cazul
cărora aceste prevederi nu se aplica.
5
Serviciile de publicitate online pot fi furnizate independent sau în combinație cu alte servicii de
publicitate1 sau marketing online, de un singur Împuternicit sau mai mulți. În cazul in care
Împuterniciții sunt singura entitate contractantă pentru o varietate de servicii furnizate, aceștia
trebuie să fie principalul punct de contact pentru Operator. Contractele și documentele aferente
trebuie să ofere Operatorului informațiile necesare și dezvăluirile legate la serviciile implicate,
după cum se prevede în acest Cod
În cazul în care un Împuternicit furnizează serviciul, iar altul este responsabil pentru asistență sau
alte servicii conexe, împărțirea atribuțiilor intre cei doi Împuterniciți trebuie să fie transparenta
pentru Operator, oferindu-i-se acestuia o mapare stricta a punctelor de contact utile pentru
anumite tipuri de situații.
Daca livrarea serviciului de publicitate online (prin intermediul unui ad server, al unei combinații
de ad servere, DMP-uri, DSP-uri și SSP-uri etc.) implică și servicii de altă natură care pot genera
diferite obligații conexe, parților trebuie să li se furnizeze informațiile necesare pentru a le permite
să distingă intre serviciile furnizate și înțeleagă natura fiecărui serviciu.
Codul se adresează tuturor persoanelor juridice din domeniul marketingului și publicității online,
atât Împuterniciți care prelucrează date cu caracter personal în numele clienților lor Operatori, cât
și Operatori care prelucrează date cu caracter personal în scopuri proprii, sau clienți ai acestora.
Toate persoanele juridice aderente la Cod vor beneficia de facilitățile pe care le oferă aderarea:
folosirea mărcii de conformitate și transmiterea către propriii clienți a unui semnal de încredere cu
privire la standardele asumate de Operator/Împuternicit în prelucrarea datelor cu caracter
personal, etc. Fata de aceste persoane juridice, pot adera la prezentul Cod, în calitate de
suporteri ai Codului și cu rol consultativ, și alte organizații care doresc sa fie parte din ecosistemul
generat de prezenta construcție organizatorica.
Prezentul Cod a fost elaborat pentru a acoperi o gama cat mai variata de servicii din domeniul
marketingului și publicității online in cadrul cărora se prelucrează date cu caracter personal. Cu
toate ca s-au depus toate eforturile ca prezentul Cod sa fie cat mai complet și explicit, este posibil
ca nu toate dispozițiile Codului sa fie la fel de relevante pentru toate serviciile.
Întrucât prezentul Cod nu particularizează toate ariile de aplicare a GDPR, persoanele juridice din
domeniul marketingului si publicității online care au aderat la Cod rămân responsabile pentru
respectarea obligațiilor ce le revin in temeiul GDPR si a oricăror alte prevederi legale privind
protecția datelor cu caracter personal, in mod independent de obligația de a acționa în
conformitate cu cerințele și practicile Codului.
1
Spre exemplu, servicii de automatizare de marketing, unde serviciile publicitare sunt furnizate ca urmare a
integrării furnizorului de publicitate cu un furnizor terț de servicii de analiza și optimizare a ratei de conversie
a vânzărilor unui client.
6
4. Structura Codului
Codul este construit pe 4 paliere generale de informații:
Modul de organizare și operare a Codului este descris în Regulamentul Tehnic, care conține un
set de reguli specifice pe care membrii Codului se angajează sa le respecte odată cu aderarea la
prezentul Cod, operarea fiind realizata de o structura administrativa care va permite certificarea
respectării prezentului Cod pe baza verificărilor efectuate.
Regulile specifice din Regulamentul Tehnic au la baza principiile și regulile generale agreate în
prezentul Cod, transpuse într-o lista de conformitate și reguli specifice, pentru o mai simpla
monitorizare și verificare a respectării prevederilor Codului.
Membrii care îndeplinesc cerințele stabilite în Cod pot declara că respectă Codul, urmând
procesul descris în prezentul document. Membrii cunosc și sunt de acord ca vor fi supuși unei
proceduri de certificare in cadrul căreia le vor fi verificate activitățile de prelucrare, așa cum
prevede prezentul Cod, articolul 41 din GDPR și Anexa 3 la Cod, privind cerințele ce trebuie
îndeplinite pentru a avea dreptul de utilizare a mărcii de conformitate.
7
Operatorii și Împuterniciții pot considera aderarea la prezentul Cod, în condițiile specificate de
prezentul Cod, drept garanție suficientă în temeiul articolului 28 din GDPR, înainte de a încredința
date cu caracter personal unui furnizor de servicii.
Operatorii și Împuterniciții care au aderat la prezentul Cod se vor asigura ca vor pune la dispoziția
partenerilor informațiile necesare privind respectarea protecției datelor cu privire la fiecare dintre
serviciile aderente.
Acest Cod a fost elaborat pentru a fi pe deplin compatibil cu GDPR. Aplicarea sa de către orice
Membru nu trebuie să ducă la niciun conflict cu politicile, procedurile sau standardele membrului
în cauză. Orice astfel de conflict ar trebui soluționat înainte de a declara aderarea la prezentul
Cod.
Fără a aduce atingere sancțiunilor din partea autorităților competente, astfel cum se prevede în
cazul încălcării GDPR și / sau a altor acte juridice, membrii ce depun cerere de aderare și care nu
îndeplinesc cerințele Codului vor fi supuși mecanismelor de executare prevăzute în secțiunea
Guvernare din Cod.
Prin aderarea la Cod, Împuterniciții se vor angaja ca vor acționa în conformitate cu cerințele și
practicile Codului pentru serviciile de marketing si publicitate online la care se aplică prevederile
Codului. În consecință, Operatorii pot fi mai încrezători în punerea în aplicare de către
Împuterniciți a normelor privind protecția datelor.
8
6. Protecția datelor cu caracter personal in
publicitatea online
Protecția datelor cu caracter personal propusa de prezentul Cod are la baza următorul mecanism:
2. Stabilirea criteriilor de alocare a rolurilor din punct de vedere al GDPR pentru fiecare
proces individual, asigurând standardizarea și uniformizarea tratamentului Operatorilor și
Împuterniciților fata de aceeași prelucrare de date cu caracter personal, în același context.
5. Crearea unei mărci de încredere pentru persoanele juridice ce adera la Cod și acordarea
acesteia în condiții specifice prevăzute de Cod.
6.1 Terminologie
Termenii menționați în acest Cod, în măsura în care sunt definiți deja de GDPR ori Directiva
ePrivacy, își vor păstra înțelesul și interpretarea, așa cum sunt ei menționați în actele normative în
cauza. Pentru simplificarea înțelegerii Codului, o parte din acești termeni au fost menționați mai
jos:
9
sunt stabilite prin dreptul Uniunii sau dreptul intern, Operatorul sau criteriile specifice
pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;
3. „Persoană Împuternicită de Operator” sau „Împuternicit” înseamnă persoana fizică
sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu
caracter personal în numele Operatorului;
4. „consimțământ” al persoanei vizate înseamnă orice manifestare de voință liberă,
specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă,
printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o
privesc să fie prelucrate;
5. „creare de profiluri” sau „profilare” înseamnă orice formă de prelucrare automată a
datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a
evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a
analiza sau prevedea aspecte privind performanța la locul de muncă, situația economică,
sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locul în care se
află persoana fizică respectivă sau deplasările acesteia;
6. „pseudonimizare” înseamnă prelucrarea datelor cu caracter personal într-un asemenea
mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza
informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat
și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure ne-
atribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau
identificabile;
7. „anonimizare” înseamnă prelucrarea datelor cu caracter personal astfel încât nu mai
există posibilitatea de a identifica direct sau indirect o persoană;
8. „încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității
care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau
divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate
într-un alt mod, sau la accesul neautorizat la acestea;
9. „grup de întreprinderi” înseamnă o întreprindere care exercită controlul și întreprinderile
controlate de aceasta;
10. „Persoana Vizata” înseamnă persoana fizica, în viață, ale cărei date cu caracter personal
sunt prelucrate.
In plus fata de acești termeni, în prezentul Cod de conduită sunt utilizate următoarele concepte:
11. Persoană juridică din domeniul marketingului și publicității online - persoană juridică
ce desfășoară orice tip de activitate sau prestează orice tip de serviciu, din ecosistemul
marketingului și publicității online
12. Acord de servicii – contract dintre Operator și Împuternicit, prin intermediul căruia se
stabilesc drepturile și obligațiile parților, atât din perspectiva comerciala (contractul de
baza al parților), cat și din perspectiva legislației privind protecția prelucrării datelor cu
caracter personal (acesta se constituie, de regulă, într-o anexa la contractul de baza al
părților, făcând parte integranta din acesta). In cuprinsul prezentului Cod, referirile la
Acordul de servicii vor fi interpretate drept referiri la drepturile și obligațiile parților din
perspectiva legislației privind protecția prelucrării datelor cu caracter personal.
10
13. Site web (website) – ansamblu de pagini vizualizabile în browser (poate fi un produs
media online care se editează pe suport electronic, un magazin online, dar nu se limitează
la aceste exemple), având un conținut distinct și uniform, identificat printr-un nume unic,
definit prin primul și al doilea nivel al numelui de domeniu. Un site web poate avea unul
sau mai multe alias-uri ale numelui, utilizate exclusiv în scopuri tehnice și care nu
identifica un alt site web.
14. Server – calculator (sau aplicație software) care stochează, procesează și trimite diferite
tipuri de informații la cererea unui client (alt calculator sau aplicație software).
15. Pagina web – document HTML specific, afișat ca urmare a unui click al utilizatorului pe un
hyperlink sau ca urmare a cererii URL-ului corespunzător în browser.
16. Browser – aplicație software care permite vizualizarea documentelor hypertext care pot
incorpora conținut multimedia, aplicație care permite navigarea pe servere www, ftp, news,
e-mail etc.
17. Cookie – fișier text de mici dimensiuni pe care îl scrie un browser pe echipamentul
clientului. Este singura posibilitate ca un browser sa scrie pe hard discul
calculatorului/echipamentul client. Acest fișier poate fi criptat sau nu. Prin “Cookie”, în
înțelesul prezentului text, se înțelege o specie de tehnologie care permite stocarea de
informație pe echipamentul ori terminalul utilizatorilor, precum și accesul (citire sau
scriere) la aceasta informație.
18. Cookie strict necesar – categoria de cookie-uri folosite atunci când operațiunile de
stocare sau acces tehnic la informația stocata sunt realizate exclusiv în scopul efectuării
transmisiei unei comunicări printr-o rețea de comunicații electronice, ori când aceste
operațiuni sunt strict necesare în vederea furnizării unui serviciu al societății
informaționale, solicitat în mod expres de către abonat sau utilizator.
19. Serviciu al societății informaționale - orice serviciu care se efectuează utilizându-se
mijloace electronice și prezintă următoarele caracteristici:
a. este efectuat în considerarea unui folos patrimonial, procurat ofertantului în mod
obișnuit de către destinatar;
b. nu este necesar ca ofertantul și destinatarul să fie fizic prezenți simultan în același
loc;
c. este efectuat prin transmiterea informației la cererea individuală a destinatarului.
20. Cookie de trafic și audienta - specie a cookie-urilor strict necesare care vizează situația
în care stocarea informației sau accesul tehnic la informația stocata pe echipamentul
utilizatorului se face în scopul furnizării unui serviciu al societății informaționale, a cărui
existență depinde de măsurarea traficului de internet și audienței (construite statistic) a
site-ului web.
21. Cookie de servire de publicitate sau de urmărire (tracking) - tip specific de cookie care
este distribuit, partajat și citit pe două sau mai multe servere sau site-uri Web, în scopul
prezentării de oferte publicitare către utilizatori și colectării de informații despre utilizatori în
vederea servirii de publicitate conform unor specificații tehnice prestabilite.
22. Cookie de personalizare sau profilare în materie publicitara - tip specific de cookie
care este distribuit, partajat și citit pe două sau mai multe site-uri Web, în scopul colectării
de informații despre utilizatori și profilării acestora.
11
23. Agenție de publicitate - persoană juridică care joacă rolul de intermediar între
producătorul de bunuri și servicii, interesat în plasarea mesajului publicitar, și mediile de
informare în masă care aduc în final mesajul la cunoștința consumatorilor.
24. Regie de publicitate - entitate juridica separata care oferă o capacitate de vânzări
externalizată pentru editori și un mijloc de a agrega inventarul și publicul din numeroase
surse într-o singură oportunitate de achiziționare pentru cumpărătorii media.
25. Editor - persoană juridică română sau străină care desfășoară activități de
editare/realizare/administrare de site-uri web, pentru sine sau pentru alții.
26. Client de publicitate - persoana fizica sau juridica la solicitarea căreia sunt promovate
produsele și serviciile sale, prin intermediul serviciilor de publicitate.
27. Ad-server - server web dedicat servirii anunțurilor publicitare.
28. Platformă de administrare a datelor online (DMP) - sistem care permite colectarea de
informații despre utilizatorii online, standardizarea informațiilor colectate, profilarea
utilizatorilor și administrarea acestor informații în diferite scopuri, printre care și
direcționarea anunțurilor publicitare către diferite categorii de utilizatori online.
29. Platformă de servire publicitate aferenta cererii de publicitate (DSP) - platforma
tehnologica ce permite cumpărătorilor de publicitate online să gestioneze și sa livreze
printr-o singură soluție tehnica și interfață mai multe cereri și campanii publicitare online.
30. Platformă de servire publicitate aferenta vânzării de publicitate (SSP) - platformă
tehnologică ce permite vânzătorilor de spațiu publicitar online sa gestioneze și sa livreze
printr-o singura soluție tehnica și interfața mai multe oferte si campanii online
31. Tranzacționare de publicitate online - tranzacție prin care un cumpărător de publicitate,
în schimbul unui preț, plasează anunțul său publicitar pe site-urile sau aplicațiile online pe
care le deține un vânzător de publicitate online ce încasează prețul serviciului, plasarea
anunțului publicitar realizându-se prin utilizarea de tehnologii specifice, livrate de furnizori
de tehnologie de livrare de publicitate, și uneori utilizând și furnizori de tehnologie de
management a datelor online, direct sau prin intermediari. O astfel de tranzacție va purta
denumirea de tranzacție publicitară online.
32. Sistem de management de consimțământ (Consent Management Platform) -
platforma tehnologica care permite solicitarea consimțământului, înregistrarea răspunsului
persoanei vizate și administrarea datelor cu caracter personal referitoare la persoanele
vizate și răspunsurile aferente consimțământului, pentru diverse scopuri de prelucrare.
33. BRAT – Asociația Biroul Roman de Audit Transmedia, asociație a industriei de media și
publicitate, constituita în scopul verificării independente și obiective a indicatorilor de
performanta a diverselor produse media, utilizând standarde si metodologii recunoscute la
nivel internațional, adaptate la specificul pieții din România și validate de industria de
media și publicitate.
34. Publicitate de tip display –tip de publicitate online, realizata prin livrarea de bannere sau
alte formate de anunțuri publicitare și prin selecția site-ului sau a aplicațiilor online și a
poziției de plasare a anunțului în cadrul acestora.
35. Publicitate de tip programatic –tip de publicitate online, care se realizează prin livrarea
de bannere sau alte formate de anunțuri publicitare direct unei anume categorii de
utilizatori, indiferent de site-ul sau aplicația online pe care aceasta o utilizează.
12
36. Publicitate țintita (targetată) – publicitate ce este planificata și realizata astfel încât sa fie
accesibila doar unei parți, unui grup ținta, de destinatari, din totalul destinatarilor potențiali
(de exemplu, doar utilizatorilor bărbați, din totalul utilizatorilor unui website).
37. Pentru ușurința de comunicare în cadrul Codului, intermediarii tehnologici care fac parte
din ecosistemul marketingului și publicității online și asigura infrastructura funcționarii
serviciului de publicitate vor fi denumiți generic Furnizori de tehnologie de livrare de
publicitate, din aceștia făcând parte: DSP-uri, SSP-uri, Ad-server, etc.
38. Pentru ușurința de comunicare în cadrul Codului, intermediarii tehnologici care fac parte
din ecosistemul marketingului publicității online și asigura infrastructura funcționarii
serviciului de management al bazelor de date utilizate în publicitatea online vor fi denumiți
generic Furnizori de tehnologie de management de date online, din aceștia făcând
parte: DMP-uri, etc.
Părțile componente ale unei tranzacții publicitare online, denumite în continuare procese care
implica prelucrarea datelor cu caracter personal sunt următoarele:
Fiecare dintre tranzacțiile publicitare online se poate compune din unul sau mai multe dintre
procesele menționate anterior.
Pentru ca în cadrul fiecăruia dintre aceste procese sa fie asigurata protecția datelor cu caracter
personal conform prevederilor GDPR, Operatorii și Împuterniciții care adera la Cod vor respecta,
pentru fiecare tip de proces și rol, măsurile necesare definite în cadrul Regulamentului Tehnic,
anexat prezentului Cod.
13
6.3 Rolurile parților implicate în furnizarea serviciilor de publicitate
online
Rolurile din perspectiva GDPR a fiecăreia dintre entitățile implicate în tranzacțiile publicitare
online pot diferi în funcție de specificul fiecărei tranzacții, de numărul și tipul de procese ce
compun respectiva tranzacție, de numărul de persoane juridice implicate și de entitatea care
stabilește scopurile prelucrării. O entitate poate avea rol multiplu, de Operator, de Împuternicit sau
de Terț în cadrul aceleiași tranzacții publicitare, în condițiile în care o tranzacție publicitara este
compusa din mai multe procese, entitatea având roluri diferite pentru procese diferite. In situația
în care o prelucrare de date cu caracter personal este utilizata pentru scopuri distincte, stabilite de
entități diferite, respectivele entități pot fi Operatori, distincți, pentru aceeași prelucrare.
Din acest motiv, rolurile entităților implicate în tranzacțiile publicitare online trebuie stabilite la nivel
de proces care implica prelucrarea datelor cu caracter personal, și nu la nivelul întregii tranzacții
publicitare.
Fiecare dintre entități poate avea oricare dintre rolurile de OPERATOR, OPERATOR ASOCIAT
ÎMPUTERNICIT sau TERȚ pentru oricare dintre procesele implicate în tranzacțiile publicitare
online.
Principiile care vor fi utilizate în stabilirea rolurilor fiecărei entități raportate la procesele ce implica
prelucrare de date cu caracter personal implicate în tranzacțiile publicitare online sunt
următoarele:
a) Daca entitatea prelucrează, direct sau prin împuterniciți, date cu caracter personal pentru
scopuri proprii, stabilind obiectivele și mijloacele prelucrării, rolul sau va fi de OPERATOR.
b) Daca entitatea prelucrează date cu caracter personal pentru scopuri comune cu alte
entități, direct sau prin împuterniciți, stabilind obiectivele și mijloacele prelucrării, rolul sau
va fi OPERATOR ASOCIAT.
c) Daca entitatea prelucrează date cu caracter personal la instrucțiunile altor entități, rolul
sau va fi de ÎMPUTERNICIT.
d) Daca entitatea nu prelucrează, direct sau prin împuterniciți, date cu caracter personal,
rolul sau va fi de TERȚ.
14
Atunci când scopurile unei operațiuni de prelucrare de date cu caracter personal și, într-o măsură
mai puțin importantă, mijloacele de prelucrare, sunt determinate sau definite de mai multe entități
împreună, acestea vor avea calitatea de Operatori asociați. Simpla împrejurare că aceleași date
cu caracter personal sunt prelucrate de mai multe entități nu conferă acestora calitatea de
Operatori asociați. Pentru determinarea calității de Operatori asociați se va analiza existența
uneia sau a mai multor decizii luate in comun de către aceștia cu privire la scopurile prelucrării de
date cu caracter personal, precum și, într-o măsură mai mica, cu privire la mijloacele și metodele
utilizate.
Persoana Împuternicită de Operator poate folosi serviciile unui alt Împuternicit doar cu acordul
Operatorului. Acești Sub-împuterniciți trebuie să îndeplinească cel puțin aceleași condiții cerute
de Operator Împuternicitului, privind prelucrarea datelor cu caracter personal.
1.Crearea și utilizarea ID-urilor unice ale cookie-urilor (sau altor identificatori online)
Situație Consecința
1. Entitatea stabilește crearea unui identificator Daca răspunsul este DA, se indică faptul
unic pentru utilizatorii online, pentru a prelucra că această entitate este, în situații tipice,
date cu caracter personal, pe baza acestuia, OPERATOR.
într-un scop propriu?
2. Entitatea creează un identificator unic pentru Daca răspunsul este DA, se indică faptul
utilizatorii online pentru a prelucra date cu că această entitate este, în situații tipice,
caracter personal numai în scopuri stabilite de ÎMPUTERNICIT.
alte entități/clienții săi (la solicitarea și
respectând instrucțiunile clientului)?
15
Situație Consecința
1. Entitatea determină ce date despre utilizatorul Daca răspunsul este DA, se indică faptul
online vor fi colectate de pe dispozitivul că această entitate este, în situații tipice,
utilizatorului și vor fi prelucrate în vederea OPERATOR.
realizării tranzacției publicitare?
2. Entitatea furnizează doar tehnologia de livrare Daca răspunsul este DA, se indică faptul
de publicitate, fără a fi implicata în decizia cu că această entitate este, în situații tipice,
privire la datele colectate sau modul în care ÎMPUTERNICIT.
acestea sunt utilizate pentru a stabili criteriile de
livrare a mesajelor publicitare?
Termenii și condițiile standard ale Acordului de servicii dintre Operator si Împuternicit trebuie să
fie în concordanță cu drepturile și obligațiile descrise în prezentul Cod. De la momentul aderării
unui Operator sau Împuternicit la prezentul Cod, acesta va beneficia de o perioada stabilita de
prezentul Cod în care se va asigura ca Acordurile de servicii pe care le are în vigoare respecta
standardele impuse de prezentul Cod.
16
caracter personal și categoriile persoanelor vizate, precum și obligațiile și drepturile părților.
Acordul de servicii va preciza, de asemenea, dacă și în ce condiții este permisă utilizarea Sub-
împuterniciților, după cum se discută în acest Cod.
Dacă Acordul de servicii autorizează în mod expres Împuternicitul sau terțe părți selectate,
angajate de Împuternicit sau de Operator, pentru a determina scopurile pentru care datele cu
caracter personal ale Operatorului sunt prelucrate, în afara contextului furnizării serviciilor care fac
obiectul prezentului Cod, așa cum este specificat în Acordul de servicii, Împuternicitul sau acea
terță parte selectată ar fi calificat drept Operator distinct sau Operator-asociat, iar aceste calificări
și responsabilitățile aferente trebuie să fie clar definite și alocate între părți.
Răspundere
În cazul în care Împuternicitul a acționat în afara sau în contradicție cu instrucțiunile legitime ale
Operatorului, așa cum este prevăzut în conformitate cu termenii Acordului de servicii, Operatorul
are dreptul de a aplica regimul de răspundere juridică prevăzut în Acordul de servicii și în GDPR.
În cadrul regimului de răspundere, Împuternicitul și Operatorul vor specifica toate obligațiile
aplicabile pentru Sub-împuterniciți.
Împuternicitul recunoaște faptul că dispozițiile Acordului de servicii nu pot interzice ori elimina
dreptul persoanelor vizate să beneficieze de drepturile lor recunoscute de statele membre ale
Uniunii Europene și să aibă în vedere căile de atac efective care sunt disponibile în temeiul
GDPR.
Excepție face prelucrarea accidentala a acestor date pentru a asigura securitatea, întreținerea
operațională, analiza sau evaluarea serviciilor sale, în beneficiul tuturor clienților săi și fără a avea
vreun impact negativ asupra nivelului de protecție a datelor persoanelor vizate. Acest tip de
prelucrare nu va putea fi considerata ca fiind una realizata în scopurile proprii ale Împuternicitului,
dar trebuie sa fie specificată expres în Acordul cu Operatorul pentru a se putea aplica.
17
Operatorul nu va folosi serviciile Împuterniciților pentru scopuri ilegale sau pentru scopuri care
încalcă Acordul de servicii sau prevederile prezentului Cod ori ale cadrului legal privind protecția
prelucrării datelor cu caracter personal. Operatorul nu va impune prin Acord și nici nu va emite,
ulterior, către Împuternicit, instrucțiuni de natura a prelucra datele cu caracter personal în scopuri
care nu sunt conforme cu legea ori cu prevederile prezentului Cod.
Prin Acordul de servicii dintre ele, părțile vor stabili perioade clare de retenție a datelor, și se vor
asigura ca datele nu sunt prelucrate pentru perioade mai lungi decât cele stabilite inițial. In acest
sens, Operatorul va pune la dispoziția Împuternicitului toate elementele relevante ale politicii sale
de retenție a datelor, în vederea creării unui cadru unitar de raportare la aceasta perioada de
retenție.
Relațiile dintre parți pot varia în astfel de operațiuni, de aceea se impune o clarificare a acestora
în contractele încheiate intre parți. Scenariile din capitolele anterioare vor fi luate în considerare și
în prezentul capitol.
18
Realizarea unei liste cu Sub-împuterniciții
Împuternicitul trebuie să mențină o listă internă actualizată a entităților angajate de el în
prelucrarea datelor cu caracter personal ale Operatorului. Această listă trebuie să includă sediul,
inclusiv țara si orașul, a infrastructurii pe care o poate utiliza pentru o astfel de prelucrare. Locul
de amplasare ar trebui să fie descris cu un nivel de detaliu care să respecte cerințele legale
aplicabile, inclusiv persoana juridică responsabilă cu prelucrarea în cazul serviciilor implicate.
Această listă trebuie să fie accesibilă autorităților competente pentru protecția datelor, la cererea
acestora.
Prin urmare, lista pusă la dispoziția Operatorului nu va trebui să dezvăluie în mod implicit anumite
adrese ale locațiilor de prelucrare, în cazul în care exista un risc important de securitate ca aceste
adrese să devină publice. Informațiile din listă trebuie, totuși, sa fie suficient de detaliate pentru a
permite Operatorului să identifice legea aplicabilă privind protecția datelor și autoritățile
competente pentru protecția datelor.
În cazul în care Operatorul solicită informații mai detaliate referitoare la locațiile de prelucrare
pentru a respecta cerințele legale sau cererile din partea autorităților responsabile cu protecția
datelor, Împuterniciții trebuie să acționeze constructiv pentru a ajuta Operatorul să răspundă
nevoilor lor de conformitate, cu condiția ca, înainte de a furniza informații mai detaliate, să solicite
ca aceste informații să fie protejate prin obligații de confidențialitate adecvate.
Orice modificare privind adăugarea sau înlocuirea unei entități enumerate în lista de mai sus
trebuie să fie pusă la dispoziția Operatorului în timp util, inclusiv prin anunțarea schimbărilor către
Operator, prin notificări automate sau prin alte mijloace, după caz. Într-o perioadă rezonabilă de la
primirea unei astfel de notificări, Operatorul poate să se opună oricăror astfel de modificări din
listă în baza unor motive rezonabile bazate pe protecția sau securitatea datelor. Operatorul și
Împuternicitul pot defini, în Acordul de servicii, cazurile în care o obiecție a Operatorului față de
utilizarea unei noi entități sau a unei noi jurisdicții ar fi nerezonabilă.
Operatorul își poate da acordul pentru schimbările de entități sau jurisdicții, inclusiv prin
intermediul Acordului de servicii. În cazul în care se constată că obiecția Operatorului este
rezonabilă și în măsura în care Împuternicitul și Operatorul nu pot găsi o rezoluție reciproc
acceptabilă pentru a aborda obiecția Operatorului, Operatorul poate rezilia Acordul de Servicii în
totalitate sau doar în privința acelor servicii relevante care nu pot fi furnizate de Împuternicit fără
utilizarea entității sau jurisdicției în cauză, în situația în care acest serviciu relevant ar putea fi
separat de restul serviciilor furnizate prin Acord, permițând totuși o continuare a Acordului.
19
6.4.4 Transferul internațional de date
Operatorul poate transfera el însuși ori poate instrui Împuternicitul sa realizeze, în numele sau,
transferul datelor cu caracter personal către o țara terța, aflata in afara Spațiului Economic
European.
Acest tip de transfer internațional va avea loc doar în măsura în care sunt întrunite toate condițiile
prevăzute în capitolul 5 al GDPR. Îndeplinirea acestor condiții va fi o obligație ce cade atât în
sarcina Operatorului, cat și în sarcina Împuternicitului, în special în situația în care partea care
primește datele nu este un terț, ci un membru al grupului Împuternicitului ori un Sub-împuternicit
al acestuia.
În cazul în care țara terță în cauză este supusă unei decizii de adecvare2 din partea Comisiei
Europene, în temeiul articolului 45 din GDPR, transferul poate avea loc fără autorizație specifică
sau garanții suplimentare.
Decizia de adecvare cu privire la Statele Unite se limitează la cadrul Privacy Shield UE-SUA și se
extinde numai la entitățile din Statele Unite care au aderat la Departamentul de Comerț al Statelor
Unite pentru a respecta principiile "Privacy Shield"3. Beneficiile Privacy Shield sunt asigurate de la
data la care Departamentul de Comerț al Statelor Unite a plasat depunerea de auto-certificare a
entității pe Lista de protecție a confidențialității, după ce a stabilit că trimiterea este completă.
2
Vezi linkul de mai jos pentru o lista a tarilor în privința cărora UE a decis emiterea unor decizii de
adecvare https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-
protection-personal-data-non-eu-countries_en
3
Vezi lista persoanelor juridice care au aderat https://www.privacyshield.gov/EU-US-Framework
20
terță de a aplica garanțiile adecvate, inclusiv în ceea ce privește drepturile persoanelor
vizate;
● Un mecanism de certificare aprobat, în conformitate cu articolul 42 din GDPR, împreună
cu angajamentele obligatorii și executorii din partea Operatorului sau Împuternicitului din
țara terță de a aplica garanțiile adecvate, inclusiv în ceea ce privește drepturile
persoanelor vizate.
Un Împuternicit care este beneficiar al unui transfer internațional realizat de către Operator sau un
Împuternicit care transferă date către Sub-împuterniciți din țări terțe, sub instrucțiunea
Operatorului, va preciza în Acordul de servicii modul în care asistă Operatorul la îndeplinirea
condițiilor din Capitolul V al GDPR.
Dacă Împuternicitul nu are ori nu a primit informațiile necesare pentru a demonstra conformitatea
cu GDPR, atunci Împuternicitul care acționează în numele Operatorului trebuie:
(a) să permită Operatorului să solicite un audit, care urmează a fi realizat de un auditor convenit
de părți, auditor care să își asume un acord sau o obligație scrisă de confidențialitate sau
(b) să permită Operatorului să efectueze un astfel de Audit.
Situațiile de mai sus vor fi aplicabile cu condiția că, în ambele cazuri, aceasta posibilitate sa fi fost
acordată Operatorului prin Acordul de servicii sau Operatorul să demonstreze necesitatea unui
astfel de Audit în lumina obligațiilor impuse lui de către GDPR.
În cazul în care Împuternicitul beneficiază de certificate, atestări sau rapoarte rezultate din audituri
independente acreditate, cum ar fi ISO 27001 etc., precum și în cazul în care acesta a aderat la
Coduri de conduită aprobate în conformitate cu GDPR și la alte standarde ale industriei în care
activează, se poate considera cu un grad adecvat de siguranța că acestea îndeplinesc cerințele
generale de audit ale Operatorului în domeniul protecției și securității datelor cu caracter personal,
în conformitate cu prevederile ISO 27001 sau a Codurilor sus menționate. Chiar și în aceasta
situație, în care Împuternicitul beneficiază de atestări sau certificări independente, Acordul de
servicii va permite Operatorului să obțină dovezi suplimentare privind conformitatea cu
instrucțiunile specifice furnizate Împuternicitului în măsura în care certificatele, atestările sau
rapoartele menționate mai sus nu abordează în întregime domeniul de aplicare al cererii de audit
21
efectuate de către Operator și/sau nu sunt specifice industriei în care se desfășoară serviciile
dintre parți.
Împuternicitul poate să impună protocoale rezonabile pentru solicitarea unui Audit suplimentar
fata de cel realizat în cadrul Codului, cum ar fi solicitarea către Operator de a trimite o notificare
scrisă cu un timp anterior rezonabil față de data auditului propus, efectuarea oricăror audituri în
timpul orelor de program regulate, într-un mod care să nu perturbe operațiunile normale de
afaceri și un domeniu de aplicare definit pentru un plan de audit convenit de comun acord, în
conformitate cu Acordul de servicii. Împuternicitul și Operatorul pot specifica orice dispoziții
referitoare la alocarea costurilor pentru auditurile din Acordul de servicii. În absența oricărui
aranjament privind costurile și alocarea costurilor, costurile trebuie să fie suportate de partea
solicitantă.
După finalizarea unui audit, părțile vor face schimb de copii ale raportului de audit, care vor fi
tratate ca informații confidențiale în conformitate cu termenii Acordului de servicii.
22
Mai mult, Împuternicitul îl va asista în mod rezonabil pe Operator la îndeplinirea obligațiilor
referitoare la evaluările de impact asupra protecției datelor, așa cum sunt acestea impuse de
GDPR. Împuternicitul poate negocia cu Operatorul un tarif de personalizare a suportului, în
condițiile Acordului de Servicii.
Împuternicitul poate furniza asistenta și sub forma documentației standard, a rapoartelor de audit
puse la dispoziția tuturor Operatorilor și poate, de asemenea, sa perceapă un preț pentru
personalizarea asistentei, așa cum e acest preț detaliat în Acordul de servicii.
În mod special, prezentul Cod considera o bună-practică în zona furnizării serviciilor de publicitate
online pseudonimizarea datelor cu caracter personal ale utilizatorilor site-urilor, în procesul de
scriere, citire de cookie-uri, precum și în procesul de sincronizare de cookie-uri intre mai multe
entități implicate în procesul de publicitate online.
23
Diferența intre procesul de anonimizare și pseudonimizare este ca procesul de anonimizare este
ireversibil, iar pseudonimizarea este un proces reversibil prin utilizarea unor informații
suplimentare (Ex: tabel de corespondență, chei de criptare, date sursă etc.)
In urma procesului de anonimizare, datele încetează să mai fie "date cu caracter personal" și,
astfel, încetează să mai fie supuse cerințelor GDPR. Aceste date pot fi prelucrate în continuare
fără restricții legate de reglementările privind protecția datelor cu caracter personal (de exemplu,
în scopul modificării scopului prelucrării datelor cu caracter personal).
Mai mult, atunci când un utilizator de internet vizitează un site web care declanșează cookie-uri,
Editor-ul acestui site web va fi singura parte capabilă să informeze utilizatorul cu privire la cookie-
urile plasate pe dispozitivul acestuia.
În practică, în situațiile în care Editorii acționează ca operatori de date și decid sau dețin controlul
asupra plasării de cookie-uri și accesării informațiilor stocate pe dispozitivele utilizatorilor, editorii
sunt responsabili pentru a se asigura că au adus la cunoștința utilizatorilor informații adecvate cu
privire la tipurile de cookie-uri plasate și la modul în care utilizatorii își pot da consimțământul sau
se pot opune plasării acestor cookie-uri.
In situațiile în care Editor-ul acționează ca Operator sau Împuternicit și, pe site-ul acestuia, sunt
plasate utilizatorului cookie-uri sau sunt accesate informații stocate în dispozitivul sau, de către
terți sau în controlul altor terți, editorul este responsabil să informeze utilizatorul că pe website
24
sunt plasate cookie-uri de la terți. În acest caz, dimensiunea responsabilității4 Editorului, inclusiv
măsura în care devine operator de date trebuie analizată de la caz la caz, în funcție de condițiile
specifice ale colaborării cu Furnizorii de tehnologie de livrare de publicitate, astfel cum sunt
stabilite în Acordurile de servicii. Prin urmare, Acordul de servicii dintre Editori și alte entități
trebuie să stabilească rolul și responsabilitatea ambelor părți în contextul colaborării lor, astfel
cum se definește în acest Acord de servicii.
In ambele situații, prezentul Cod consideră la nivel de bună practică obligația ca Împuternicitul și
Operatorul sa prevadă în Acordul de servicii procedura prin care se face informarea utilizatorilor
despre plasarea de cookie-uri și accesarea de informații stocate în propriile dispozitive, precum și
procedura prin care se obține consimțământul acestora și managementul ulterior al acestui
consimțământ.
Consimțământul trebuie acordat printr-o acțiune neechivocă care să constituie o manifestare liber
exprimată, specifică, în cunoștință de cauză și clară a acordului persoanei vizate pentru
prelucrarea datelor sale cu caracter personal.
Absența unui răspuns, căsuțele bifate în prealabil sau absența unei acțiuni nu vor constitui un
consimțământ.
Consimțământul ar trebui să vizeze toate activitățile de prelucrare efectuate în același scop sau în
aceleași scopuri compatibile5. Dacă prelucrarea datelor se face în mai multe scopuri diferite,
consimțământul va trebui dat granular, pentru fiecare dintre scopurile prelucrării.
4
Conform paragrafului 4 și următoarele, pagina 13 din Opinia nr. 2 din 2010, privind publicitatea comportamentala, emisa de Grupul
de Lucru art. 29.
http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp171_ro.pdf
În măsura în care editorii acționează în calitate de operatori de date, ei trebuie să respecte obligațiile care decurg din Directiva
95/46/CE în ceea ce privește acea parte din procesul de prelucrare a datelor care se află sub controlul lor. În acest sens, împreună cu
furnizorii de rețele de publicitate, editorii „se asigură că aspectele tehnice și complexitatea sistemului publicității comportamentale nu îi
împiedică să își respecte obligațiile care le revin în calitate de operatori și să asigure drepturile persoanelor vizate
5
http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf
25
6.4.8.3 Sistem de management de consimțământ
Operatorii și/sau Împuterniciții vor utiliza, în vederea obținerii și managementului
consimțământului persoanelor vizate (pentru plasarea de cookie-uri și accesarea de informații sau
prelucrarea de date cu caracter personal) sisteme de management de consimțământ, fie
dezvoltate intern, fie soluții achiziționate de la terți în acest sens. Atât aplicațiile interne cat și
sistemele de management de consimțământ vor respecta o serie de instrucțiuni tehnice și reguli
de administrare standardizate (parte a Regulamentului Tehnic anexat Codului). Membrii Codului
(în totalitate sau o parte a lor) pot decide sa dezvolte ori sa achiziționeze un sistem unitar de
management al consimțământului persoanelor vizate, respectând prevederile Regulamentului
Tehnic, pentru situația descrisa în prezenta secțiune.
Atunci când Împuternicitul primește, pentru datele prelucrate în numele Operatorului, o cerere de
la o persoana vizata, poate decide sa direcționeze aceasta cerere către Operator ori sa notifice
Operatorul, în măsura în care acest lucru este posibil, potrivit legii, luându-se în considerare
natura cererii și informațiile disponibile în mod legal Împuternicitului (incluzând orice elemente de
informație care ii permit Împuternicitului sa lege persoana vizata de un Operator anume).
26
răspunsurile furnizate cererilor pe care persoanele vizate le trimit Operatorului, cu privire la
accesul, rectificarea sau ștergerea, portabilitatea datelor, restricționarea prelucrării sau orice alta
forma de implementare a drepturilor persoanelor vizate.
Aceste persoane nu au dreptul să colecteze, să utilizeze sau să prelucreze în alt mod date cu
caracter personal, cu excepția cazului în care acest lucru este necesar pentru realizarea
serviciilor, în conformitate cu Acordul de servicii și / sau a fost solicitat în mod explicit de către
Operator și / sau este necesar pentru a respecta legea aplicabilă și / sau o cerere obligatorie din
punct de vedere juridic. Această obligație de confidențialitate continuă atât timp cât este necesar,
ținând seama de confidențialitatea datelor și de legislația aplicabilă a statelor membre ale Uniunii
Europene, după încetarea angajării lor.
27
ne-autorizarea sau alte procese, un Operator poate fi obligat să notifice autoritățile de
supraveghere și persoanele vizate în conformitate cu articolele 33.1 și 34 din GDPR.
In funcție de tipul de date accesibil Împuternicitului și de natura tipului de servicii furnizat, acolo
unde Împuternicitul are acces la datele cu caracter personal ale Operatorului, Împuternicitul va
pune la dispoziția Operatorului, la finalul Acordului de servicii:
(1) Opțiunea de a primi (o copie a) datelor cu caracter personal ale Operatorului, stocate de
serviciile sale și, după expirarea perioadei desemnate pentru ca Operatorul să-și
recupereze datele cu caracter personal, să șteargă ulterior datele cu caracter personal
relevante; sau
(2) Opțiunea de a șterge datele cu caracter personal ale Operatorului care încă sunt stocate
la Împuternicit.
In timp ce Codul propriu-zis este un instrument organizatoric în cuprinsul căruia se regăsesc toate
obligațiile pe care și le asuma membrii atunci când adera la el, Regulamentul Tehnic reprezintă
un instrument operațional care permite membrilor ce adera la Cod sa determine în ce măsura
îndeplinesc condițiile impuse de Cod.
28
Intr-un sens practic, Regulamentul Tehnic poate fi considerat un instrument de tipul ”check-list”,
detaliind fiecare clauza a Codului care implica o obligație pentru membrii ce adera la Cod și
oferind ghidaj în procesele de implementare și control.
Deoarece nu este posibilă definirea cerințelor de securitate necesare sau potrivite pentru toate
tipurile de servicii care constituie ecosistemul mediului de marketing si publicitate online, Codul
cere o aplicare clară și explicită a principiului responsabilității din GDPR: membrii care doresc să
adere la Cod trebuie să evalueze, pentru Serviciul acoperit, dacă anumite obiective de securitate
pot fi atinse și, dacă da, cum. Controalele sunt enumerate în cele ce urmează și detaliate în
Regulamentul Tehnic.
Organizarea securității
Atât Împuterniciții, cât și Operatorii trebuie să dispună de o structură de management care să
gestioneze implementarea securității informațiilor în cadrul Serviciilor pentru care se aderă la Cod,
cu roluri și responsabilități clare în cadrul organizației.
Securitatea personalului
Atât Împuterniciții, cât și Operatorii trebuie să ia toate măsurile rezonabile pentru a se asigura că
toți angajații, contractanții și alte persoane din cadrul organizațiilor lor, care au acces la datele cu
caracter personal ale persoanelor vizate, sunt conștienți de responsabilitățile legate de
securitatea informațiilor și dețin competențe și capacități adecvate pentru rolurile lor în cadrul
29
serviciilor. Membrii se asigură că dispun de mecanisme adecvate pentru a monitoriza și sprijini
respectarea acestor politici și a obligațiilor aferente.
Controlul accesului
Atât Împuterniciții, cât și Operatorii vor trebui să limiteze accesul, inclusiv prin intermediul
controalelor de acces logic, la datele cu caracter personal ale persoanelor vizate, atât în situația
utilizării unor soluții de stocare și prelucrare a datelor în cloud, cât și în situația utilizării unor
încăperi sau aplicații locale pentru prelucrarea datelor.
Conformitatea
Atât Împuterniciții, cât și Operatorii vor trebui să ia toate măsurile pentru ca securitatea
informaționala să fie conformă cu orice prevedere legală aplicabilă în această materie.
30
8. Guvernanta Codului
(1) Primul nivel de guvernare este construit în jurul cadrului organizatoric al Codului,
reprezentat prin Departamentul de protecție a datelor cu caracter personal care
include următoarele organisme de conducere sau execuție: Adunare Generală, Consiliu
de Conducere, Grupul Experților, Secretariat. Acest nivel de guvernare include reguli
privind compoziția, recunoașterea, drepturile și obligațiile, sarcinile și supravegherea
tuturor acestor organisme.
(2) Al doilea nivel de guvernare vizează drepturile și obligațiile membrilor care adera la Cod și
include reguli referitoare la publicarea și menținerea actualizată a listei membrilor Codului,
utilizarea mărcilor de conformitate și a mecanismelor de monitorizare și punere în
executare a Codului, modul de operare, actualizare și aprobare a Regulamentului Tehnic
(Regulament de Organizare și Funcționare / Regulament Tehnic).
(3) Al treilea nivel de guvernare este reprezentat de practica generata prin însăși existența
Codului, asigurându-se că acesta poate fi actualizat pentru a reflecta GDPR și alte forme
de acte normative relevante pentru acest domeniu (viitorul Regulament ePrivacy, spre
exemplu) și pentru a se asigura că practica dobândită din interpretarea și aplicarea
Codului poate fi integrata corespunzător în variantele viitoare ale acestuia.
Departamentul de protecție a datelor cu caracter personal se constituie din membri BRAT care se
afla în una din categoriile de mai jos:
a) editori care dețin unul sau mai multe produse media online sau
b) agenție de publicitate sau
c) regie de publicitate sau
d) client de publicitate sau
e) Furnizori de tehnologie de livrare de publicitate sau
31
f) Furnizori de tehnologie de management de date online sau alte persoane juridice implicate în
procesul de tranzacționare a publicității online sau
h) terți interesați (organizații care au interes în piața de publicitate online, fără sa aibă un rol în
serviciile de publicitate online în sensul definit mai sus) sau
i) suporteri ai Codului (asociații partenere sau alte organisme care adera, la rândul lor, la
prevederile Codului si desfășoară activități de suport in respectarea prevederilor Codului)
Adunarea Generala este compusa din toți membrii Departamentului și are următoarele atribuții:
Consiliul de Conducere este ales de către Adunarea Generala pentru o perioada de doi ani și are
următoarele atribuții:
(1) Supraveghează îndeplinirea obiectivelor Departamentului;
(2) Supraveghează derularea contractelor încheiate în vederea prestării de servicii privind
monitorizarea conformității;
(3) Propune modificări ale Codului de conduita;
32
(4) Propune Adunării Generale modificări ale regulamentelor de guvernanta;
(5) Propune Adunării Generale strategii de lucru și condiții tehnice generale pentru realizarea
obiectivelor;
(6) Alege Grupul Experților si stabilește condițiile de colaborare a acestora cu Departamentul
de protecție a datelor cu caracter personal;
(7) Colaborează cu Grupul Experților în elaborarea metodologiei, standardelor, definițiilor și
condițiilor pentru realizarea monitorizării respectării prevederilor prezentului Cod de
conduita;
(8) Aproba standardele, metodologia și criteriile de evaluare a respectării prevederilor
Codului;
(9) Propune și susține soluții pentru îmbunătățirea activității Departamentului.
Grupul Experților este format dintr-un număr de 4-6 experți contractați de Departament și are
următoarele atribuții:
Secretariat
Din punct de vedere administrativ, Codul va fi guvernat de un Director de Proiect, care poate avea
la rândul sau asistenți, care are următoarele atribuții:
33
(5) Organizează și conduce împreuna cu Directorul General al BRAT ședințele Consiliului de
Conducere;
(6) Păstrează legătura directa cu prestatorii de servicii în vederea rezolvării situațiilor
excepționale legate de procesul de monitorizare a respectării prevederilor prezentului Cod;
(7) Raportează către Consiliul de Conducere toate situațiile excepționale legate de procesul
de monitorizare a respectării prezentului Cod;
(8) Propune către Consiliul de Conducere sau Grupul Experților modificări ale detaliilor
metodologice legate de procesul de monitorizare a respectării prezentului Cod;
(9) Informează membrii Departamentului cu privire la obligațiile și drepturile ce le revin în
urma adoptării calității de membru și asigura interpretarea corecta, obiectiva și unitara a
regulilor aplicabile membrilor.
Registrul Public al Codului va conține numele tuturor membrilor Codului, alături de produsele
media, serviciile sau procesele pentru care aceștia au aderat la Cod.
34
Nivelul 3 - Actualizarea permanenta a Codului și construirea unui set de bune practici în
industrie
Grupul Experților va construi un Dosar de actualizare a prezentului Cod anual (sau mai des în
cazul în care apare legislație relevanta ori situații de natura a impune o modificare mai rapida), pe
baza cazuisticii observate, precum și pe baza propunerilor primite de la Secretariat ori Consiliul
de Conducere.
Ca urmare a analizei Dosarului, Grupul Experților poate lua decizia ca au apărut suficiente
elemente noi, de natura a impune modificarea și actualizarea Codului, înaintând propunerea de
modificare Consiliului de Conducere, care va gestiona, ulterior, operațiunea de analiza și decizie
asociativa a modificării Codului.
De asemenea, regulat, Grupul Experților poate furniza Secretariatului, spre publicare pe site-ul
web al Codului, a unor cazuri și situații a căror interpretare și analiza sunt utile în lămurirea unor
probleme existente în industria marketingului si publicității online sau de interes conex.
Adunarea Generală a Codului va trimite Codul ( în prima sa forma și ulterior, ori de cate ori va fi
revizuit) spre aprobare Autorității de Supraveghere, în conformitate cu articolul 40 al GDPR.
Comentariile autorităților de supraveghere și ale Comitetului european pentru protecția datelor
(dacă este cazul) vor fi incluse în Cod, aprobate de Adunarea Generală și ulterior publicate.
Orice persoană juridică care a aderat la prezentul Cod, și a finalizat verificările de conformitate
prevăzute de prezentul Cod are dreptul de a utiliza marca de conformitate aplicabilă.
Elementele grafice și tehnice ale mărcii de conformitate sunt prezentate în Anexa 3 a prezentului
Cod. Modalitatea de acordare sau retragere a dreptului de a utilizare a mărcii de conformitate
precum și prevederile de utilizare a acesteia sunt parte integranta din Regulamentul Tehnic
anexat prezentului Cod.
În cazul în care apare un litigiu privind neconformitatea, membrul în cauză are dreptul să continue
să utilizeze marca de conformitate până la decizia definitivă în cazul său. După ce s-a emis o
decizie definitivă a nerespectării Codului, membrul în cauză trebuie să înceteze imediat să
utilizeze marca de conformitate.
35
8.3 Aderarea la Cod, monitorizarea și punerea în aplicare a
prevederilor Codului. Plângerile privitoare la respectarea Codului
Din punct de vedere administrativ, mecanismul de aderare, monitorizare și punere în aplicare a
prevederilor prezentului Cod de conduita și la procesul de monitorizare a respectării prevederilor
acestuia este descris succint în cele ce urmează:
Partea care a depus declarația de aderare poate face plângere împotriva deciziei de respingere a
aderării. Secretariatul poate decide să implice sau nu Grupul Experților în rezolvarea acestei
reclamații.
În cazul în care un Membru are rezerve în ceea ce privește respectarea de către alt Membru a
termenilor prezentului Cod, primul Membru este încurajat să îl contacteze pe al doilea pentru a
găsi o soluție amiabilă de rezolvare a problemei.
Dacă nu se poate identifica o astfel de soluție, primul Membru poate depune o plângere la
Secretariatul Codului. Secretariatul Codului solicită membrului împotriva căruia s-a făcut
plângerea să furnizeze informații relevante în scopul constatării faptelor și inițiază un proces de
soluționare a reclamației, putând decide să implice sau nu Grupul Experților în rezolvarea acestei
reclamații.
36
După parcurgerea procedurii de soluționare a reclamației, Secretariatul va stabili dacă au avut loc
încălcări ale Codului și va decide asupra posibilelor sancțiuni și căi de atac, în conformitate cu
orientările practicii observate anterior de Consiliul de Conducere. Rezolvarea plângerii este
comunicată, apoi, celor două părți.
În rezolvarea reclamațiilor privitoare la situațiile existente în prezentul Cod se vor aplica regulile
generale de procedură (în special cu privire la termene) din Regulamentele și Statutul BRAT:
Adunarea Generala va decide cota care ii va reveni Secretariatului Codului, din totalul
cuantumului taxelor de aderare la Cod, pentru a asigura independenta și funcționarea corecta a
departamentului, incluzând mecanismul de gestionare a plângerilor și monitorizarea constanta a
aplicării Codului.
Taxele plătite de Membri pentru a obține verificarea și aprobarea unei declarații de aderare la Cod
vor fi alocate, în parte, pentru a acoperi costurile de funcționare ale departamentelor operaționale
ale Codului. Taxele se vor aplica indiferent de rezultatul verificării declarației de aderare la Cod.
37