Cod de conduită privind prelucrarea

datelor cu caracter personal in domeniul

marketingului și publicității online

1
Cuprins

1. Introducere 4
2. Scopul Codului 4
3. Destinatarii Codului 5
4. Structura Codului 7
5. Condiții de aderare la Cod 7
6. Protecția datelor cu caracter personal in publicitatea online 9
6.1 Terminologie 9
6.2 Procesele implicate în tranzacțiile publicitare online 13
6.3 Rolurile parților implicate în furnizarea serviciilor de publicitate online 14
6.4 Măsuri de protecție a datelor cu caracter personal 16
6.4.1 Acordurile privind prelucrarea datelor cu caracter personal 16
6.4.2 Prelucrarea datelor conform legii 17
6.4.3 Activități realizate prin intermediul Sub-împuterniciților 18
6.4.4 Transferul internațional de date 20
6.4.5 Dreptul de audit 21
6.4.6 Cooperarea Împuternicitului cu Operatorul 22
6.4.7 Anonimizarea, pseudonimizarea și criptarea datelor cu caracter personal în publicitatea
online 23
6.4.8 Stocarea de informație sau accesul la informația stocata în echipamentul terminal al
unui abonat / utilizator 24
6.4.8.1 Consimțământul pentru stocarea de informație sau obținerea accesului la informația
stocată în echipamentul terminal al unui abonat ori utilizator 24
6.4.8.2 Consimțământul persoanelor vizate 25
6.4.8.3 Sistem de management de consimțământ 26
6.4.9 Drepturile persoanei vizate și managementul cererilor persoanelor vizate 26
6.4.10 Cooperarea cu Autoritățile de Supraveghere 27
6.4.11 Confidențialitatea prelucrărilor datelor cu caracter personal 27
6.4.12 Asistenta privind incidentele de securitate 27
6.4.13 Încetarea Acordului de servicii. Returnarea și/sau ștergerea datelor cu caracter
personal 28
7. Control de conformitate și Securitatea datelor 28
7.1 Regulamentul Tehnic. Asigurarea conformității cu Codul 28
7.2 Măsuri și obiective de securitate 29
7.3 Obiectivele de control și controalele de securitate 29
Politica de Securitate 29
Organizarea securității 29
Securitatea personalului 29
Securitatea fizică și a mediului de lucru 30

2
 Managementul incidentelor de securitate 30
Controlul accesului 30
Dezvoltarea și întreținerea sistemelor 30
Planificarea continuității afacerii 30
Conformitatea 30
8. Guvernanta Codului 31
8.1 Administrarea și organismele de guvernanta ale Codului 31
8.2 Marca de conformitate 35
8.3 Aderarea la Cod, monitorizarea și punerea în aplicare a prevederilor Codului. Plângerile
privitoare la respectarea Codului 36
8.4 Finanțarea Codului 37
Anexa 1. Declarația de aderare 37
Anexa 2. Regulamentul Tehnic 37
Anexa 3. Marca de conformitate 37
Anexa 4. Lista membrilor fondatori ai Codului 37

3
1. Introducere
Codul de conduită privind prelucrarea datelor cu caracter personal în domeniul marketingului și
publicității online („Codul”) reprezintă un set de reguli de conduită în sprijinul protecției datelor cu
caracter personal specifice domeniul marketingului și publicității online, care stabilește principiile
generale de alocare a diferitelor roluri pe care le pot avea persoanele juridice implicate în
ecosistemul marketingului și publicității online, din perspectiva prelucrărilor de date, principiile de
prelucrare a datelor cu caracter personal din acest sector de activitate, precum si măsurile tehnice
și organizatorice de securitate care constituie bune practici în relațiile comerciale dintre parți,
pentru a se asigura prelucrarea datelor cu caracter personal ale utilizatorilor de internet în condiții
adecvate de securitate.

Codul reprezintă un cod de conduită in sensul prevăzut la art. 40 si următoarele din Regulamentul
(UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția
persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a
acestor date și de abrogare a Directivei 95/46 / CE („GDPR”).

2. Scopul Codului
Scopul elaborării acestui Cod este de a contribui la aplicarea corectă a prevederilor GDPR, ținând
seama de natura specifică a prelucrărilor efectuate in cadrul ecosistemului marketingului și
publicității online și de necesitățile specifice ale operatorilor economici din acest sector de
activitate. Acesta va servi la diseminarea și aplicarea uniformă a bunelor practici privind protecția
datelor cu caracter personal în tranzacțiile publicitare online.

Scopurile specifice pe care Codul le propune sunt:

Încredere pentru utilizatorii de internet

Scopul prezentului Cod este acela de a oferi persoanelor vizate, utilizatori de internet, încredere
în ecosistemul serviciilor de marketing si publicitate online. Prin existența Codului, precum și prin
intermediul campaniei de educare și conștientizare care va însoți lansarea prezentului Cod, piața
de publicitate online din România își asumă transparentizarea și explicarea scopurilor,
mecanismelor și consecințelor pe care le implica furnizarea acestor servicii pentru utilizatorii de
internet.

Instituirea unei mărci de încredere în materie de protecție a datelor

Prezentul Cod își propune sa ofere o forma de expresie a măsurilor prevăzute în Preambulul 100
al GDPR, prin instituirea unei mărci de conformitate în materie de protecție a datelor, care să

4
permită persoanelor vizate să evalueze rapid nivelul de protecție a datelor aferent produselor și
serviciilor relevante utilizate sau pe care intenționează sa le utilizeze.

Încredere pentru Operatori în relația cu Împuterniciții

Scopul prezentului Cod este de a oferi încredere Operatorilor din sectorul serviciilor de marketing
si publicitate online că datele cu caracter personal prelucrate de către Persoanele Împuternicite
de Operator (sau „Împuterniciți”) în numele Operatorilor sunt prelucrate cu un nivel adecvat de
protecție a datelor și că Împuternicitul care a aderat la Cod oferă garanții suficiente legate de
prelucrarea datelor cu caracter personal în conformitate cu GDPR (cu referire la prevederile art.
28 al GDPR) și orice altă legislație națională și europeană privind protecția datelor. Sunt
prevăzute proceduri specifice de guvernanță pentru a se asigura că acest Cod este revizuit și
modificat pentru a rămâne pe deplin aliniat la noutățile tehnologice și la prevederile legislației
europene privind protecția datelor în cursul evoluției sale.

Clarificări în privința relației dintre parți

Codul are ca scop clarificarea și tratamentul uniform al alocării rolurilor părților implicate în
furnizarea serviciilor de marketing si publicitate online, în funcție de situațiile specifice aplicabile
fiecărui tip de tranzacționare a publicității online. Codul va oferi astfel o baza unitara de alocare a
rolurilor stabilite prin GDPR, facilitând, clarificând și simplificând relațiile contractuale dintre parți.

Stabilirea de bune practici în materia mecanismelor de gestionare a consimțământului

pentru cookie-uri
Codul are scopul de a construi un set de reguli unitare, acceptate și recunoscute la nivelul întregii
industrii, cu privire la cererea și administrarea consimțământului persoanelor vizate cu privire la
cookie-urile utilizate în domeniul marketingului și publicității online. Codul va oferi astfel o
interpretare legala și unitara de aplicare a obligațiilor stabilite prin legislația in vigoare in materia
protecției datelor cu caracter personal, creând un cadru sigur pentru drepturile persoanelor vizate
și, în același timp, oferind o abordare unitara, standardizata pentru cererea și administrarea
consimțământului la nivelul întregii industrii.

3. Destinatarii Codului
Orice persoană juridică din domeniul marketingului și publicității online poate decide să-și declare
aderarea la Cod pentru orice tip de servicii de publicitate în cadrul cărora pot fi prelucrate date cu
caracter personal, cu condiția să îndeplinească cerințele cadrului normativ privind protecția
datelor și termenii prezentului Cod.

Orice persoană juridică poate adera la prezentul Cod cu privire la unul sau mai multe dintre
serviciile din domeniul marketingului și publicității online pe care le prestează. In aceasta situație,
respectiva persoană juridică va trebui să se asigure că potențialilor parteneri le sunt evidențiate
separat serviciile în cazul cărora se respecta prevederile prezentului Cod și serviciile în cazul
cărora aceste prevederi nu se aplica.

5
Serviciile de publicitate online pot fi furnizate independent sau în combinație cu alte servicii de
publicitate1 sau marketing online, de un singur Împuternicit sau mai mulți. În cazul in care
Împuterniciții sunt singura entitate contractantă pentru o varietate de servicii furnizate, aceștia
trebuie să fie principalul punct de contact pentru Operator. Contractele și documentele aferente
trebuie să ofere Operatorului informațiile necesare și dezvăluirile legate la serviciile implicate,
după cum se prevede în acest Cod

În cazul în care un Împuternicit furnizează serviciul, iar altul este responsabil pentru asistență sau
alte servicii conexe, împărțirea atribuțiilor intre cei doi Împuterniciți trebuie să fie transparenta
pentru Operator, oferindu-i-se acestuia o mapare stricta a punctelor de contact utile pentru
anumite tipuri de situații.

Daca livrarea serviciului de publicitate online (prin intermediul unui ad server, al unei combinații
de ad servere, DMP-uri, DSP-uri și SSP-uri etc.) implică și servicii de altă natură care pot genera
diferite obligații conexe, parților trebuie să li se furnizeze informațiile necesare pentru a le permite
să distingă intre serviciile furnizate și înțeleagă natura fiecărui serviciu.

Codul se adresează tuturor persoanelor juridice din domeniul marketingului și publicității online,
atât Împuterniciți care prelucrează date cu caracter personal în numele clienților lor Operatori, cât
și Operatori care prelucrează date cu caracter personal în scopuri proprii, sau clienți ai acestora.
Toate persoanele juridice aderente la Cod vor beneficia de facilitățile pe care le oferă aderarea:
folosirea mărcii de conformitate și transmiterea către propriii clienți a unui semnal de încredere cu
privire la standardele asumate de Operator/Împuternicit în prelucrarea datelor cu caracter
personal, etc. Fata de aceste persoane juridice, pot adera la prezentul Cod, în calitate de
suporteri ai Codului și cu rol consultativ, și alte organizații care doresc sa fie parte din ecosistemul
generat de prezenta construcție organizatorica.

Prezentul Cod a fost elaborat pentru a acoperi o gama cat mai variata de servicii din domeniul
marketingului și publicității online in cadrul cărora se prelucrează date cu caracter personal. Cu
toate ca s-au depus toate eforturile ca prezentul Cod sa fie cat mai complet și explicit, este posibil
ca nu toate dispozițiile Codului sa fie la fel de relevante pentru toate serviciile.

Întrucât prezentul Cod nu particularizează toate ariile de aplicare a GDPR, persoanele juridice din
domeniul marketingului si publicității online care au aderat la Cod rămân responsabile pentru
respectarea obligațiilor ce le revin in temeiul GDPR si a oricăror alte prevederi legale privind
protecția datelor cu caracter personal, in mod independent de obligația de a acționa în
conformitate cu cerințele și practicile Codului.

1
Spre exemplu, servicii de automatizare de marketing, unde serviciile publicitare sunt furnizate ca urmare a
integrării furnizorului de publicitate cu un furnizor terț de servicii de analiza și optimizare a ratei de conversie
a vânzărilor unui client.
6
4. Structura Codului
Codul este construit pe 4 paliere generale de informații:

1. Reguli generale privind protecția datelor cu caracter personal în activitățile întreprinse de

membrii aderenți ai Codului.
2. Măsuri de securitate care vizează reducerea riscului implicat de prelucrarea datelor cu
caracter personal în cadrul activităților întreprinse de membrii aderenți la Cod.
3. Guvernanta Codului, descrierea mecanismelor de aderare, monitorizare și funcționare a
Codului și a mărcii de conformitate.
4. Anexe care descriu în detaliu elemente specifice prevăzute de Cod.

Modul de organizare și operare a Codului este descris în Regulamentul Tehnic, care conține un
set de reguli specifice pe care membrii Codului se angajează sa le respecte odată cu aderarea la
prezentul Cod, operarea fiind realizata de o structura administrativa care va permite certificarea
respectării prezentului Cod pe baza verificărilor efectuate.

Regulile specifice din Regulamentul Tehnic au la baza principiile și regulile generale agreate în
prezentul Cod, transpuse într-o lista de conformitate și reguli specifice, pentru o mai simpla
monitorizare și verificare a respectării prevederilor Codului.

După aderarea cu succes la Cod si verificarea respectării prevederilor acestuia, in condițiile

stabilite in cadrul Codului, membrul aderent va primi dreptul de a utiliza Marca de Conformitate a
Codului.

5. Condiții de aderare la Cod

Prin solicitarea aderării la acest Cod de conduită, viitorii membri se angajează să respecte
totalitatea cerințelor și prevederilor Codului pentru serviciile incluse în solicitarea de aderare.

Declarația de aderare la Cod nu scutește Membrul de obligația de a se conforma in mod continuu

legii privind protecția datelor (GDPR și / sau a legislației UE aplicabile) și nici nu protejează
Membrul de eventualele intervenții sau acțiuni ale autorităților de supraveghere, conform sarcinilor
si competentelor acestora, prevăzute de GDPR.

Membrii care îndeplinesc cerințele stabilite în Cod pot declara că respectă Codul, urmând
procesul descris în prezentul document. Membrii cunosc și sunt de acord ca vor fi supuși unei
proceduri de certificare in cadrul căreia le vor fi verificate activitățile de prelucrare, așa cum
prevede prezentul Cod, articolul 41 din GDPR și Anexa 3 la Cod, privind cerințele ce trebuie
îndeplinite pentru a avea dreptul de utilizare a mărcii de conformitate.

7
Operatorii și Împuterniciții pot considera aderarea la prezentul Cod, în condițiile specificate de
prezentul Cod, drept garanție suficientă în temeiul articolului 28 din GDPR, înainte de a încredința
date cu caracter personal unui furnizor de servicii.

Operatorii și Împuterniciții care au aderat la prezentul Cod se vor asigura ca vor pune la dispoziția
partenerilor informațiile necesare privind respectarea protecției datelor cu privire la fiecare dintre
serviciile aderente.

Acest Cod a fost elaborat pentru a fi pe deplin compatibil cu GDPR. Aplicarea sa de către orice
Membru nu trebuie să ducă la niciun conflict cu politicile, procedurile sau standardele membrului
în cauză. Orice astfel de conflict ar trebui soluționat înainte de a declara aderarea la prezentul
Cod.

Membrii trebuie să se asigure că:

● obligațiile legale sau contractuale impuse lor prin Acordul de Servicii pentru serviciile
acoperite de acest Cod nu contravin niciunei părți a Codului înainte de a declara aderarea
la termenii lui și
● obligațiile contractuale asumate prin Acordul de Servicii pentru serviciile acoperite de
prezentul Cod nu reduc nivelul de protecție a datelor, prevăzut de prezentul Cod.

Membrii ar trebui să se asigure că garanțiile Codului, împreună cu orice asigurări contractuale

suplimentare și propriile politici, sunt suficiente pentru a-și îndeplini obligațiile legale.

Este responsabilitatea Operatorului să ia în considerare și să decidă dacă serviciile oferite de un

Împuternicit, care respectă acest Cod, sunt adecvate pentru prelucrarea datelor sale cu caracter
personal. Pentru a facilita decizia Operatorului, Împuterniciții trebuie să informeze în mod
corespunzător Operatorul cu privire la Serviciile pe care le oferă și măsurile de securitate
existente, în conformitate cu termenii Codului.

Fără a aduce atingere sancțiunilor din partea autorităților competente, astfel cum se prevede în
cazul încălcării GDPR și / sau a altor acte juridice, membrii ce depun cerere de aderare și care nu
îndeplinesc cerințele Codului vor fi supuși mecanismelor de executare prevăzute în secțiunea
Guvernare din Cod.

Prin aderarea la Cod, Împuterniciții se vor angaja ca vor acționa în conformitate cu cerințele și
practicile Codului pentru serviciile de marketing si publicitate online la care se aplică prevederile
Codului. În consecință, Operatorii pot fi mai încrezători în punerea în aplicare de către
Împuterniciți a normelor privind protecția datelor.

Operatorii și Împuterniciții a căror aderare la Cod a fost publicată în registrul membrilor, în

conformitate cu secțiunea de guvernare a Codului, pot alege să-și arate public aderența la Cod
prin utilizarea mărcii specificate în conformitate cu secțiunea de guvernanță.

8
6. Protecția datelor cu caracter personal in
publicitatea online
Protecția datelor cu caracter personal propusa de prezentul Cod are la baza următorul mecanism:

1. Identificarea în cadrul oricărei tranzacții publicitare online a unor elemente componente

unice - procese ce presupun prelucrarea datelor cu caracter personal - ce pot fi
standardizate și utilizate apoi pentru a „compune” oricare dintre tranzacțiile publicitare
online. Acest lucru va sta la baza stabilirii rolurilor și responsabilităților fiecărei entități și va
ajuta la crearea unui proces standardizat de verificare a respectării conformității cu
prevederile prezentului Cod și a protecției datelor, în general.

2. Stabilirea criteriilor de alocare a rolurilor din punct de vedere al GDPR pentru fiecare
proces individual, asigurând standardizarea și uniformizarea tratamentului Operatorilor și
Împuterniciților fata de aceeași prelucrare de date cu caracter personal, în același context.

3. Identificarea măsurilor necesare asigurării siguranței prelucrării datelor cu caracter

personal în domeniul marketingului si publicității online. Codul descrie tipurile de măsuri de
siguranța și principalele caracteristici ale acestora.

4. Crearea unei structuri administrative prin care se va verifica și certifica respectarea

prevederilor Codului și a unui set de reguli după care vor avea loc verificările aferente.

5. Crearea unei mărci de încredere pentru persoanele juridice ce adera la Cod și acordarea
acesteia în condiții specifice prevăzute de Cod.

6.1 Terminologie
Termenii menționați în acest Cod, în măsura în care sunt definiți deja de GDPR ori Directiva
ePrivacy, își vor păstra înțelesul și interpretarea, așa cum sunt ei menționați în actele normative în
cauza. Pentru simplificarea înțelegerii Codului, o parte din acești termeni au fost menționați mai
jos:

1. „date cu caracter personal” înseamnă orice informații privind o persoană fizică

identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o
persoană care poate fi identificată, direct sau indirect, în special prin referire la un element
de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un
identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale
fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
2. „Operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt
organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de
prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării

9
 sunt stabilite prin dreptul Uniunii sau dreptul intern, Operatorul sau criteriile specifice
pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;
3. „Persoană Împuternicită de Operator” sau „Împuternicit” înseamnă persoana fizică
sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu
caracter personal în numele Operatorului;
4. „consimțământ” al persoanei vizate înseamnă orice manifestare de voință liberă,
specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă,
printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o
privesc să fie prelucrate;
5. „creare de profiluri” sau „profilare” înseamnă orice formă de prelucrare automată a
datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a
evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a
analiza sau prevedea aspecte privind performanța la locul de muncă, situația economică,
sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locul în care se
află persoana fizică respectivă sau deplasările acesteia;
6. „pseudonimizare” înseamnă prelucrarea datelor cu caracter personal într-un asemenea
mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza
informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat
și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure ne-
atribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau
identificabile;
7. „anonimizare” înseamnă prelucrarea datelor cu caracter personal astfel încât nu mai
există posibilitatea de a identifica direct sau indirect o persoană;
8. „încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității
care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau
divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate
într-un alt mod, sau la accesul neautorizat la acestea;
9. „grup de întreprinderi” înseamnă o întreprindere care exercită controlul și întreprinderile
controlate de aceasta;
10. „Persoana Vizata” înseamnă persoana fizica, în viață, ale cărei date cu caracter personal
sunt prelucrate.

In plus fata de acești termeni, în prezentul Cod de conduită sunt utilizate următoarele concepte:

11. Persoană juridică din domeniul marketingului și publicității online - persoană juridică
ce desfășoară orice tip de activitate sau prestează orice tip de serviciu, din ecosistemul
marketingului și publicității online
12. Acord de servicii – contract dintre Operator și Împuternicit, prin intermediul căruia se
stabilesc drepturile și obligațiile parților, atât din perspectiva comerciala (contractul de
baza al parților), cat și din perspectiva legislației privind protecția prelucrării datelor cu
caracter personal (acesta se constituie, de regulă, într-o anexa la contractul de baza al
părților, făcând parte integranta din acesta). In cuprinsul prezentului Cod, referirile la
Acordul de servicii vor fi interpretate drept referiri la drepturile și obligațiile parților din
perspectiva legislației privind protecția prelucrării datelor cu caracter personal.

10
13. Site web (website) – ansamblu de pagini vizualizabile în browser (poate fi un produs
media online care se editează pe suport electronic, un magazin online, dar nu se limitează
la aceste exemple), având un conținut distinct și uniform, identificat printr-un nume unic,
definit prin primul și al doilea nivel al numelui de domeniu. Un site web poate avea unul
sau mai multe alias-uri ale numelui, utilizate exclusiv în scopuri tehnice și care nu
identifica un alt site web.
14. Server – calculator (sau aplicație software) care stochează, procesează și trimite diferite
tipuri de informații la cererea unui client (alt calculator sau aplicație software).
15. Pagina web – document HTML specific, afișat ca urmare a unui click al utilizatorului pe un
hyperlink sau ca urmare a cererii URL-ului corespunzător în browser.
16. Browser – aplicație software care permite vizualizarea documentelor hypertext care pot
incorpora conținut multimedia, aplicație care permite navigarea pe servere www, ftp, news,
e-mail etc.
17. Cookie – fișier text de mici dimensiuni pe care îl scrie un browser pe echipamentul
clientului. Este singura posibilitate ca un browser sa scrie pe hard discul
calculatorului/echipamentul client. Acest fișier poate fi criptat sau nu. Prin “Cookie”, în
înțelesul prezentului text, se înțelege o specie de tehnologie care permite stocarea de
informație pe echipamentul ori terminalul utilizatorilor, precum și accesul (citire sau
scriere) la aceasta informație.
18. Cookie strict necesar – categoria de cookie-uri folosite atunci când operațiunile de
stocare sau acces tehnic la informația stocata sunt realizate exclusiv în scopul efectuării
transmisiei unei comunicări printr-o rețea de comunicații electronice, ori când aceste
operațiuni sunt strict necesare în vederea furnizării unui serviciu al societății
informaționale, solicitat în mod expres de către abonat sau utilizator.
19. Serviciu al societății informaționale - orice serviciu care se efectuează utilizându-se
mijloace electronice și prezintă următoarele caracteristici:
a. este efectuat în considerarea unui folos patrimonial, procurat ofertantului în mod
obișnuit de către destinatar;
b. nu este necesar ca ofertantul și destinatarul să fie fizic prezenți simultan în același
loc;
c. este efectuat prin transmiterea informației la cererea individuală a destinatarului.
20. Cookie de trafic și audienta - specie a cookie-urilor strict necesare care vizează situația
în care stocarea informației sau accesul tehnic la informația stocata pe echipamentul
utilizatorului se face în scopul furnizării unui serviciu al societății informaționale, a cărui
existență depinde de măsurarea traficului de internet și audienței (construite statistic) a
site-ului web.
21. Cookie de servire de publicitate sau de urmărire (tracking) - tip specific de cookie care
este distribuit, partajat și citit pe două sau mai multe servere sau site-uri Web, în scopul
prezentării de oferte publicitare către utilizatori și colectării de informații despre utilizatori în
vederea servirii de publicitate conform unor specificații tehnice prestabilite.
22. Cookie de personalizare sau profilare în materie publicitara - tip specific de cookie
care este distribuit, partajat și citit pe două sau mai multe site-uri Web, în scopul colectării
de informații despre utilizatori și profilării acestora.

11
23. Agenție de publicitate - persoană juridică care joacă rolul de intermediar între
producătorul de bunuri și servicii, interesat în plasarea mesajului publicitar, și mediile de
informare în masă care aduc în final mesajul la cunoștința consumatorilor.
24. Regie de publicitate - entitate juridica separata care oferă o capacitate de vânzări
externalizată pentru editori și un mijloc de a agrega inventarul și publicul din numeroase
surse într-o singură oportunitate de achiziționare pentru cumpărătorii media.
25. Editor - persoană juridică română sau străină care desfășoară activități de
editare/realizare/administrare de site-uri web, pentru sine sau pentru alții.
26. Client de publicitate - persoana fizica sau juridica la solicitarea căreia sunt promovate
produsele și serviciile sale, prin intermediul serviciilor de publicitate.
27. Ad-server - server web dedicat servirii anunțurilor publicitare.
28. Platformă de administrare a datelor online (DMP) - sistem care permite colectarea de
informații despre utilizatorii online, standardizarea informațiilor colectate, profilarea
utilizatorilor și administrarea acestor informații în diferite scopuri, printre care și
direcționarea anunțurilor publicitare către diferite categorii de utilizatori online.
29. Platformă de servire publicitate aferenta cererii de publicitate (DSP) - platforma
tehnologica ce permite cumpărătorilor de publicitate online să gestioneze și sa livreze
printr-o singură soluție tehnica și interfață mai multe cereri și campanii publicitare online.
30. Platformă de servire publicitate aferenta vânzării de publicitate (SSP) - platformă
tehnologică ce permite vânzătorilor de spațiu publicitar online sa gestioneze și sa livreze
printr-o singura soluție tehnica și interfața mai multe oferte si campanii online
31. Tranzacționare de publicitate online - tranzacție prin care un cumpărător de publicitate,
în schimbul unui preț, plasează anunțul său publicitar pe site-urile sau aplicațiile online pe
care le deține un vânzător de publicitate online ce încasează prețul serviciului, plasarea
anunțului publicitar realizându-se prin utilizarea de tehnologii specifice, livrate de furnizori
de tehnologie de livrare de publicitate, și uneori utilizând și furnizori de tehnologie de
management a datelor online, direct sau prin intermediari. O astfel de tranzacție va purta
denumirea de tranzacție publicitară online.
32. Sistem de management de consimțământ (Consent Management Platform) -
platforma tehnologica care permite solicitarea consimțământului, înregistrarea răspunsului
persoanei vizate și administrarea datelor cu caracter personal referitoare la persoanele
vizate și răspunsurile aferente consimțământului, pentru diverse scopuri de prelucrare.
33. BRAT – Asociația Biroul Roman de Audit Transmedia, asociație a industriei de media și
publicitate, constituita în scopul verificării independente și obiective a indicatorilor de
performanta a diverselor produse media, utilizând standarde si metodologii recunoscute la
nivel internațional, adaptate la specificul pieții din România și validate de industria de
media și publicitate.
34. Publicitate de tip display –tip de publicitate online, realizata prin livrarea de bannere sau
alte formate de anunțuri publicitare și prin selecția site-ului sau a aplicațiilor online și a
poziției de plasare a anunțului în cadrul acestora.
35. Publicitate de tip programatic –tip de publicitate online, care se realizează prin livrarea
de bannere sau alte formate de anunțuri publicitare direct unei anume categorii de
utilizatori, indiferent de site-ul sau aplicația online pe care aceasta o utilizează.

12
 36. Publicitate țintita (targetată) – publicitate ce este planificata și realizata astfel încât sa fie
accesibila doar unei parți, unui grup ținta, de destinatari, din totalul destinatarilor potențiali
(de exemplu, doar utilizatorilor bărbați, din totalul utilizatorilor unui website).
37. Pentru ușurința de comunicare în cadrul Codului, intermediarii tehnologici care fac parte
din ecosistemul marketingului și publicității online și asigura infrastructura funcționarii
serviciului de publicitate vor fi denumiți generic Furnizori de tehnologie de livrare de
publicitate, din aceștia făcând parte: DSP-uri, SSP-uri, Ad-server, etc.
38. Pentru ușurința de comunicare în cadrul Codului, intermediarii tehnologici care fac parte
din ecosistemul marketingului publicității online și asigura infrastructura funcționarii
serviciului de management al bazelor de date utilizate în publicitatea online vor fi denumiți
generic Furnizori de tehnologie de management de date online, din aceștia făcând
parte: DMP-uri, etc.

6.2 Procesele implicate în tranzacțiile publicitare online

Având în vedere complexitatea și tipologiile diferite ale tranzacțiilor publicitare din mediul online,
pentru aplicarea uniforma a regulilor de conduita privind protecția datelor cu caracter personal în
publicitatea online este necesara definirea unor parți componente standardizate, parți care se pot
combina pentru a constitui oricare dintre tranzacțiile publicitare online. Chiar daca o tranzacție
publicitară online se poate descompune intr-un ansamblu de activități si acțiuni specifice
marketingului și publicității online, acestea servesc împreună realizării obiectivului general unitar
al tranzacției publicitare online (de exemplu: o campanie publicitară, un proiect special, etc.).

Părțile componente ale unei tranzacții publicitare online, denumite în continuare procese care
implica prelucrarea datelor cu caracter personal sunt următoarele:

1. Monitorizarea activității online a utilizatorilor online (tracking)

2. Atribuirea de profiluri pentru utilizatori sau profilarea utilizatorilor (profiling)
3. Segmentarea audientei (audience segmentation)
4. Servirea de publicitate (advertising)
5. Servirea de publicitate targetata (targeted advertising)
6. Monitorizarea livrării de publicitate (advertising tracking/monitoring)
7. Retargetarea comportamentala (retargeting)

Fiecare dintre tranzacțiile publicitare online se poate compune din unul sau mai multe dintre
procesele menționate anterior.

Pentru ca în cadrul fiecăruia dintre aceste procese sa fie asigurata protecția datelor cu caracter
personal conform prevederilor GDPR, Operatorii și Împuterniciții care adera la Cod vor respecta,
pentru fiecare tip de proces și rol, măsurile necesare definite în cadrul Regulamentului Tehnic,
anexat prezentului Cod.

13
6.3 Rolurile parților implicate în furnizarea serviciilor de publicitate
online
Rolurile din perspectiva GDPR a fiecăreia dintre entitățile implicate în tranzacțiile publicitare
online pot diferi în funcție de specificul fiecărei tranzacții, de numărul și tipul de procese ce
compun respectiva tranzacție, de numărul de persoane juridice implicate și de entitatea care
stabilește scopurile prelucrării. O entitate poate avea rol multiplu, de Operator, de Împuternicit sau
de Terț în cadrul aceleiași tranzacții publicitare, în condițiile în care o tranzacție publicitara este
compusa din mai multe procese, entitatea având roluri diferite pentru procese diferite. In situația
în care o prelucrare de date cu caracter personal este utilizata pentru scopuri distincte, stabilite de
entități diferite, respectivele entități pot fi Operatori, distincți, pentru aceeași prelucrare.

Din acest motiv, rolurile entităților implicate în tranzacțiile publicitare online trebuie stabilite la nivel
de proces care implica prelucrarea datelor cu caracter personal, și nu la nivelul întregii tranzacții
publicitare.

Fiecare dintre entități poate avea oricare dintre rolurile de OPERATOR, OPERATOR ASOCIAT
ÎMPUTERNICIT sau TERȚ pentru oricare dintre procesele implicate în tranzacțiile publicitare
online.

Principiile care vor fi utilizate în stabilirea rolurilor fiecărei entități raportate la procesele ce implica
prelucrare de date cu caracter personal implicate în tranzacțiile publicitare online sunt
următoarele:

a) Daca entitatea prelucrează, direct sau prin împuterniciți, date cu caracter personal pentru
scopuri proprii, stabilind obiectivele și mijloacele prelucrării, rolul sau va fi de OPERATOR.
b) Daca entitatea prelucrează date cu caracter personal pentru scopuri comune cu alte
entități, direct sau prin împuterniciți, stabilind obiectivele și mijloacele prelucrării, rolul sau
va fi OPERATOR ASOCIAT.
c) Daca entitatea prelucrează date cu caracter personal la instrucțiunile altor entități, rolul
sau va fi de ÎMPUTERNICIT.
d) Daca entitatea nu prelucrează, direct sau prin împuterniciți, date cu caracter personal,
rolul sau va fi de TERȚ.

Criteriul fundamental pentru determinarea calității de Operator și diferențierea acestuia de alte

entități implicate în operațiuni de prelucrare de date cu caracter personal ocazionate de
publicitatea online este decizia asupra scopului prelucrării și a mijloacelor acesteia. Efectuarea
sau nu a operațiunii de prelucrare în sine este irelevantă pentru determinarea calității de Operator
în raport cu acea operațiune de prelucrare, întrucât Operatorul poate delega astfel de operațiuni
Împuterniciților săi. De asemenea, nu este relevant accesul direct la datele cu caracter personal
supuse prelucrării si nici controlul pe care o entitate îl deține asupra procesului efectiv de
prelucrare.

14
Atunci când scopurile unei operațiuni de prelucrare de date cu caracter personal și, într-o măsură
mai puțin importantă, mijloacele de prelucrare, sunt determinate sau definite de mai multe entități
împreună, acestea vor avea calitatea de Operatori asociați. Simpla împrejurare că aceleași date
cu caracter personal sunt prelucrate de mai multe entități nu conferă acestora calitatea de
Operatori asociați. Pentru determinarea calității de Operatori asociați se va analiza existența
uneia sau a mai multor decizii luate in comun de către aceștia cu privire la scopurile prelucrării de
date cu caracter personal, precum și, într-o măsură mai mica, cu privire la mijloacele și metodele
utilizate.

Persoana Împuternicită de Operator este entitatea care primește instrucțiuni de la Operator în

legătură cu prelucrarea de date cu caracter personal. Aceste instrucțiuni sunt date de Operator în
vederea atingerii unui scop anume, pe care Împuternicitul nu l-a determinat.

Persoana Împuternicită de Operator poate folosi serviciile unui alt Împuternicit doar cu acordul
Operatorului. Acești Sub-împuterniciți trebuie să îndeplinească cel puțin aceleași condiții cerute
de Operator Împuternicitului, privind prelucrarea datelor cu caracter personal.

Din cauza complexității operațiunilor de prelucrare a datelor cu caracter personal în publicitatea

online precum și a aranjamentelor contractuale existente între entitățile implicate, uneori este
dificil să se determine care entitate este Operatorul și/sau care entitate este persoana
Împuternicită de Operator, rezultatele prelucrărilor fiind de cele mai multe ori utilizate de mai multe
parți implicate în tranzacția publicitara online. Pentru astfel de motive, se recomandă ca entitățile
din industria marketingului si publicității online să includă în procesul de evaluare și determinare a
calității părților, pe lângă principiile generale, si criterii specifice industriei publicității online, cum ar
fi:
1. crearea și utilizarea ID-urilor unice ale cookie-urilor (sau altor identificatori online) utilizate
în cadrul tranzacțiilor online;
2. modul de colectare și utilizare a datelor cu caracter personal.

1.Crearea și utilizarea ID-urilor unice ale cookie-urilor (sau altor identificatori online)

Situație Consecința

1. Entitatea stabilește crearea unui identificator Daca răspunsul este DA, se indică faptul
unic pentru utilizatorii online, pentru a prelucra că această entitate este, în situații tipice,
date cu caracter personal, pe baza acestuia, OPERATOR.
într-un scop propriu?

2. Entitatea creează un identificator unic pentru Daca răspunsul este DA, se indică faptul
utilizatorii online pentru a prelucra date cu că această entitate este, în situații tipice,
caracter personal numai în scopuri stabilite de ÎMPUTERNICIT.
alte entități/clienții săi (la solicitarea și
respectând instrucțiunile clientului)?

2. Modul de colectare și utilizare a datelor cu caracter personal

15
 Situație Consecința

1. Entitatea determină ce date despre utilizatorul Daca răspunsul este DA, se indică faptul
online vor fi colectate de pe dispozitivul că această entitate este, în situații tipice,
utilizatorului și vor fi prelucrate în vederea OPERATOR.
realizării tranzacției publicitare?

2. Entitatea furnizează doar tehnologia de livrare Daca răspunsul este DA, se indică faptul
de publicitate, fără a fi implicata în decizia cu că această entitate este, în situații tipice,
privire la datele colectate sau modul în care ÎMPUTERNICIT.
acestea sunt utilizate pentru a stabili criteriile de
livrare a mesajelor publicitare?

In situația in care calitatea de operator / împuternicit nu poate fi determinata cu precizie pentru

fiecare dintre entitățile participante la o tranzacție publicitara online, folosind principiile generale si
criteriile specifice industriei publicității online, se va avea in vedere interpretarea tranzacției
publicitare online sub aspectul obiectivului sau general unitar, a controlului si inițierii tranzacției.

6.4 Măsuri de protecție a datelor cu caracter personal

6.4.1 Acordurile privind prelucrarea datelor cu caracter personal

Acordul de servicii dintre Împuternicit și Operator ori dintre operatorii asociați stabilește condițiile
în care sunt furnizate serviciile și trebuie să conțină toate elementele necesare prevăzute in
GDPR, în special în articolele 26 și 28 ale GDPR. Codul nu înlocuiește un acord de servicii între
Împuternicit și Operator. Cu toate acestea, partea care adera la Cod trebuie sa se asigure că
termenii Acordului său de servicii impun cel puțin același nivel de obligații în materie de protecție
a datelor cu caracter personal, precum cele prevăzute în acest Cod.

Termenii și condițiile standard ale Acordului de servicii dintre Operator si Împuternicit trebuie să
fie în concordanță cu drepturile și obligațiile descrise în prezentul Cod. De la momentul aderării
unui Operator sau Împuternicit la prezentul Cod, acesta va beneficia de o perioada stabilita de
prezentul Cod în care se va asigura ca Acordurile de servicii pe care le are în vigoare respecta
standardele impuse de prezentul Cod.

Împuternicitul și Operatorul rămân responsabili pentru respectarea obligațiilor ce le revin în

temeiul GDPR, incluzând, în special, măsurile de securitate. În cazul disputelor privind
contradicțiile sau ambiguitățile dintre Acordul de servicii și prezentul Cod, reclamațiile pot fi
ridicate și adresate în conformitate cu mecanismele de reclamație stabilite în secțiunea de
guvernare a Codului.

Împuternicitul va acționa numai în numele și sub instrucțiunile documentate ale Operatorului

(care, la rândul sau, acționează în nume propriu sau ca Împuternicit al altui operator), în ceea ce
privește datele cu caracter personal prelucrate în conformitate cu Acordul de servicii. Acordul de
servicii stabilește obiectul și durata prelucrării, natura și scopul prelucrării, tipul de date cu

16
caracter personal și categoriile persoanelor vizate, precum și obligațiile și drepturile părților.
Acordul de servicii va preciza, de asemenea, dacă și în ce condiții este permisă utilizarea Sub-
împuterniciților, după cum se discută în acest Cod.

Dacă Acordul de servicii autorizează în mod expres Împuternicitul sau terțe părți selectate,
angajate de Împuternicit sau de Operator, pentru a determina scopurile pentru care datele cu
caracter personal ale Operatorului sunt prelucrate, în afara contextului furnizării serviciilor care fac
obiectul prezentului Cod, așa cum este specificat în Acordul de servicii, Împuternicitul sau acea
terță parte selectată ar fi calificat drept Operator distinct sau Operator-asociat, iar aceste calificări
și responsabilitățile aferente trebuie să fie clar definite și alocate între părți.

Răspundere

În cazul în care Împuternicitul a acționat în afara sau în contradicție cu instrucțiunile legitime ale
Operatorului, așa cum este prevăzut în conformitate cu termenii Acordului de servicii, Operatorul
are dreptul de a aplica regimul de răspundere juridică prevăzut în Acordul de servicii și în GDPR.
În cadrul regimului de răspundere, Împuternicitul și Operatorul vor specifica toate obligațiile
aplicabile pentru Sub-împuterniciți.

Împuternicitul recunoaște faptul că dispozițiile Acordului de servicii nu pot interzice ori elimina
dreptul persoanelor vizate să beneficieze de drepturile lor recunoscute de statele membre ale
Uniunii Europene și să aibă în vedere căile de atac efective care sunt disponibile în temeiul
GDPR.

6.4.2 Prelucrarea datelor conform legii

Operatorul este întotdeauna entitatea responsabila pentru respectarea obligațiilor impuse de
legislația privind protecția prelucrării datelor. De asemenea, atât Operatorul cât și Împuternicitul
au obligația de a impune măsuri tehnice sau organizatorice de natura a asigura securitatea
prelucrării datelor cu caracter personal, la nivelul adecvat al riscului pe care îl presupune
prelucrarea acestor date. Operatorul va putea verifica oricând modul în care serviciile oferite de
Împuternicit respecta cerințele impuse de legislația în vigoare, luând în seama prevederile
Acordului de servicii, precum și prevederile prezentului Cod de conduita.

Împuternicitul își va pune în executare propriile obligații conform Acordului de servicii.

Împuternicitul nu va putea prelucra datele cu caracter personal la care are acces în numele
Operatorului pentru scopuri proprii, fără permisiunea expresa a Operatorului și doar după ce se
asigura ca are un temei legal pentru prelucrarea acestor date.

Excepție face prelucrarea accidentala a acestor date pentru a asigura securitatea, întreținerea
operațională, analiza sau evaluarea serviciilor sale, în beneficiul tuturor clienților săi și fără a avea
vreun impact negativ asupra nivelului de protecție a datelor persoanelor vizate. Acest tip de
prelucrare nu va putea fi considerata ca fiind una realizata în scopurile proprii ale Împuternicitului,
dar trebuie sa fie specificată expres în Acordul cu Operatorul pentru a se putea aplica.

17
Operatorul nu va folosi serviciile Împuterniciților pentru scopuri ilegale sau pentru scopuri care
încalcă Acordul de servicii sau prevederile prezentului Cod ori ale cadrului legal privind protecția
prelucrării datelor cu caracter personal. Operatorul nu va impune prin Acord și nici nu va emite,
ulterior, către Împuternicit, instrucțiuni de natura a prelucra datele cu caracter personal în scopuri
care nu sunt conforme cu legea ori cu prevederile prezentului Cod.

Operatorul va rămâne responsabil pentru respectarea principiilor de prelucrare impuse de GDPR

și de legislația conexa și va transmite către Împuternicit instrucțiuni clare cu privire la respectarea
acestor principii, prin intermediul Acordului de servicii. Părțile vor acorda o atenție sporita, în
special, principiului limitării la scop a prelucrării, precum și principiului minimizării datelor.

Prin Acordul de servicii dintre ele, părțile vor stabili perioade clare de retenție a datelor, și se vor
asigura ca datele nu sunt prelucrate pentru perioade mai lungi decât cele stabilite inițial. In acest
sens, Operatorul va pune la dispoziția Împuternicitului toate elementele relevante ale politicii sale
de retenție a datelor, în vederea creării unui cadru unitar de raportare la aceasta perioada de
retenție.

Transferurile internaționale de date cu caracter personal trebuie să fie efectuate de Împuternicit în

conformitate cu instrucțiunile sau sub rezerva informațiilor prealabile și acordului Operatorului.

6.4.3 Activități realizate prin intermediul Sub-împuterniciților

Publicitatea online este un mix de operațiuni de prelucrare de date care au loc într-un timp extrem
de scurt. Părțile trebuie sa fie conștiente ca, în realitate, sunt implicate împreuna în acea
operațiune și ca rolurile lor implica de multe ori drepturi și obligații care deriva din mai multe
contracte, încheiate în lanțul de livrare a serviciului de publicitate online. De exemplu, un editor
sau o regie pot furniza serviciul de publicitate online folosind propria audienta, dar și folosind
audienta pe care le-o pune la dispoziție Clientul de publicitate, ca urmare a instrucțiunilor din
Acordul de servicii. Într-un alt exemplu, un ad-server poate fi operat atât de către un Client de
publicitate, cat și de către o Regie de publicitate care intermediază relația Client - Editor.

Relațiile dintre parți pot varia în astfel de operațiuni, de aceea se impune o clarificare a acestora
în contractele încheiate intre parți. Scenariile din capitolele anterioare vor fi luate în considerare și
în prezentul capitol.

Asigurarea aceluiași nivel de protecție de către Sub-împuterniciți

Împuternicitul trebuie să se asigure întotdeauna că orice entități angajate de acesta (Sub-
împuterniciți) în prelucrarea datelor cu caracter personal ale Operatorului furnizează cel puțin un
nivel de protecție echivalent cu cel convenit între Împuternicit și Operator în Acordul de servicii.
De asemenea, trebuie ca, prin acest Acord, Operatorul și Împuternicitul sa stabilească în mod clar
faptul ca nu sunt permise prelucrările care depășesc termenii Acordului de servicii. Împuternicitul
trebuie să pună în aplicare măsurile tehnice și operaționale necesare pentru a asigura acest nivel
de protecție. Împuternicitul trebuie să fie în măsură să demonstreze Operatorului, prin dovezi
corespunzătoare, că a luat măsuri pentru a asigura acest nivel de protecție.

18
Realizarea unei liste cu Sub-împuterniciții
Împuternicitul trebuie să mențină o listă internă actualizată a entităților angajate de el în
prelucrarea datelor cu caracter personal ale Operatorului. Această listă trebuie să includă sediul,
inclusiv țara si orașul, a infrastructurii pe care o poate utiliza pentru o astfel de prelucrare. Locul
de amplasare ar trebui să fie descris cu un nivel de detaliu care să respecte cerințele legale
aplicabile, inclusiv persoana juridică responsabilă cu prelucrarea în cazul serviciilor implicate.
Această listă trebuie să fie accesibilă autorităților competente pentru protecția datelor, la cererea
acestora.

Accesul Operatorului la lista Sub-împuterniciților

Operatorul, în momentul acceptării Acordului de servicii și în orice moment după aceea, trebuie
să aibă acces la lista menționată mai sus, având în vedere restricțiile explicate mai jos. Cu toate
acestea, se recunoaște că este posibil ca anumite adrese de locații de prelucrare să fie păstrate
confidențiale de către Împuternicit din motive de securitate.

Prin urmare, lista pusă la dispoziția Operatorului nu va trebui să dezvăluie în mod implicit anumite
adrese ale locațiilor de prelucrare, în cazul în care exista un risc important de securitate ca aceste
adrese să devină publice. Informațiile din listă trebuie, totuși, sa fie suficient de detaliate pentru a
permite Operatorului să identifice legea aplicabilă privind protecția datelor și autoritățile
competente pentru protecția datelor.

În cazul în care Operatorul solicită informații mai detaliate referitoare la locațiile de prelucrare
pentru a respecta cerințele legale sau cererile din partea autorităților responsabile cu protecția
datelor, Împuterniciții trebuie să acționeze constructiv pentru a ajuta Operatorul să răspundă
nevoilor lor de conformitate, cu condiția ca, înainte de a furniza informații mai detaliate, să solicite
ca aceste informații să fie protejate prin obligații de confidențialitate adecvate.

Orice modificare privind adăugarea sau înlocuirea unei entități enumerate în lista de mai sus
trebuie să fie pusă la dispoziția Operatorului în timp util, inclusiv prin anunțarea schimbărilor către
Operator, prin notificări automate sau prin alte mijloace, după caz. Într-o perioadă rezonabilă de la
primirea unei astfel de notificări, Operatorul poate să se opună oricăror astfel de modificări din
listă în baza unor motive rezonabile bazate pe protecția sau securitatea datelor. Operatorul și
Împuternicitul pot defini, în Acordul de servicii, cazurile în care o obiecție a Operatorului față de
utilizarea unei noi entități sau a unei noi jurisdicții ar fi nerezonabilă.

Operatorul își poate da acordul pentru schimbările de entități sau jurisdicții, inclusiv prin
intermediul Acordului de servicii. În cazul în care se constată că obiecția Operatorului este
rezonabilă și în măsura în care Împuternicitul și Operatorul nu pot găsi o rezoluție reciproc
acceptabilă pentru a aborda obiecția Operatorului, Operatorul poate rezilia Acordul de Servicii în
totalitate sau doar în privința acelor servicii relevante care nu pot fi furnizate de Împuternicit fără
utilizarea entității sau jurisdicției în cauză, în situația în care acest serviciu relevant ar putea fi
separat de restul serviciilor furnizate prin Acord, permițând totuși o continuare a Acordului.

19
6.4.4 Transferul internațional de date
Operatorul poate transfera el însuși ori poate instrui Împuternicitul sa realizeze, în numele sau,
transferul datelor cu caracter personal către o țara terța, aflata in afara Spațiului Economic
European.

Acest tip de transfer internațional va avea loc doar în măsura în care sunt întrunite toate condițiile
prevăzute în capitolul 5 al GDPR. Îndeplinirea acestor condiții va fi o obligație ce cade atât în
sarcina Operatorului, cat și în sarcina Împuternicitului, în special în situația în care partea care
primește datele nu este un terț, ci un membru al grupului Împuternicitului ori un Sub-împuternicit
al acestuia.

Transfer de date realizat pe baza unei decizii de adecvare

În cazul în care țara terță în cauză este supusă unei decizii de adecvare2 din partea Comisiei
Europene, în temeiul articolului 45 din GDPR, transferul poate avea loc fără autorizație specifică
sau garanții suplimentare.

Decizia de adecvare cu privire la Statele Unite se limitează la cadrul Privacy Shield UE-SUA și se
extinde numai la entitățile din Statele Unite care au aderat la Departamentul de Comerț al Statelor
Unite pentru a respecta principiile "Privacy Shield"3. Beneficiile Privacy Shield sunt asigurate de la
data la care Departamentul de Comerț al Statelor Unite a plasat depunerea de auto-certificare a
entității pe Lista de protecție a confidențialității, după ce a stabilit că trimiterea este completă.

Transfer de date în baza unor garanții adecvate

În absența unei decizii de adecvare menționată în secțiunea anterioara, un Operator sau un

Împuternicit poate transfera date cu caracter personal unei țări terțe în cazul în care entitatea
primitoare din țara terță, cum ar fi Împuternicitul sau Sub-împuternicitul acestuia, oferă garanții
adecvate și cu condiția ca drepturile persoanelor vizate aplicabile și căile de atac eficiente pentru
persoanele vizate sa fie disponibile.

Printre garanțiile adecvate la care ne referim mai sus se regăsesc:

● Reguli corporatiste obligatorii, în conformitate cu articolul 47 din GDPR;

● Clauzele standard de protecție a datelor, aprobate de Comisie în conformitate cu Articolul
93.2 din GDPR;
● Un Cod de conduită aprobat, în conformitate cu articolul 40 din GDPR, împreună cu
angajamentele obligatorii și executorii din partea Operatorului sau Împuternicitului din țara

2
Vezi linkul de mai jos pentru o lista a tarilor în privința cărora UE a decis emiterea unor decizii de
adecvare https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-
protection-personal-data-non-eu-countries_en
3
Vezi lista persoanelor juridice care au aderat https://www.privacyshield.gov/EU-US-Framework
20
 terță de a aplica garanțiile adecvate, inclusiv în ceea ce privește drepturile persoanelor
vizate;
● Un mecanism de certificare aprobat, în conformitate cu articolul 42 din GDPR, împreună
cu angajamentele obligatorii și executorii din partea Operatorului sau Împuternicitului din
țara terță de a aplica garanțiile adecvate, inclusiv în ceea ce privește drepturile
persoanelor vizate.

Un Împuternicit care este beneficiar al unui transfer internațional realizat de către Operator sau un
Împuternicit care transferă date către Sub-împuterniciți din țări terțe, sub instrucțiunea
Operatorului, va preciza în Acordul de servicii modul în care asistă Operatorul la îndeplinirea
condițiilor din Capitolul V al GDPR.

6.4.5 Dreptul de audit

Operatorul trebuie să fie în măsură să evalueze dacă Împuternicitul respectă obligațiile care îi
revin în temeiul Codului și în cadrul GDPR ca Împuternicit. Aderarea la acest Cod asigură
respectarea de către Împuternicit a conformității la cerințele GDPR, fără însa ca aceasta aderare
sa constituie un impediment în calea unui Operator care dorește sa realizeze auditări ale
Împuternicitului, în condițiile Acordului de servicii semnat intre cele doua parți.

În ambele cazuri, Împuternicitul trebuie să furnizeze Operatorului dovezi adecvate cu privire la

conformare, atunci când este necesar, în conformitate cu prezenta secțiune. Aceste drepturi de
audit asigurate de Cod nu afectează competența autorităților de protecție a datelor de a
monitoriza conformitatea cu GDPR în temeiul mandatului lor legal.

Dacă Împuternicitul nu are ori nu a primit informațiile necesare pentru a demonstra conformitatea
cu GDPR, atunci Împuternicitul care acționează în numele Operatorului trebuie:
(a) să permită Operatorului să solicite un audit, care urmează a fi realizat de un auditor convenit
de părți, auditor care să își asume un acord sau o obligație scrisă de confidențialitate sau
(b) să permită Operatorului să efectueze un astfel de Audit.

Situațiile de mai sus vor fi aplicabile cu condiția că, în ambele cazuri, aceasta posibilitate sa fi fost
acordată Operatorului prin Acordul de servicii sau Operatorul să demonstreze necesitatea unui
astfel de Audit în lumina obligațiilor impuse lui de către GDPR.

În cazul în care Împuternicitul beneficiază de certificate, atestări sau rapoarte rezultate din audituri
independente acreditate, cum ar fi ISO 27001 etc., precum și în cazul în care acesta a aderat la
Coduri de conduită aprobate în conformitate cu GDPR și la alte standarde ale industriei în care
activează, se poate considera cu un grad adecvat de siguranța că acestea îndeplinesc cerințele
generale de audit ale Operatorului în domeniul protecției și securității datelor cu caracter personal,
în conformitate cu prevederile ISO 27001 sau a Codurilor sus menționate. Chiar și în aceasta
situație, în care Împuternicitul beneficiază de atestări sau certificări independente, Acordul de
servicii va permite Operatorului să obțină dovezi suplimentare privind conformitatea cu
instrucțiunile specifice furnizate Împuternicitului în măsura în care certificatele, atestările sau
rapoartele menționate mai sus nu abordează în întregime domeniul de aplicare al cererii de audit
21
efectuate de către Operator și/sau nu sunt specifice industriei în care se desfășoară serviciile
dintre parți.

La cerere, în conformitate cu Acordul de servicii, Împuternicitul oferă Operatorilor, gratuit, raportul

de audit și opinia de audit efectuate în scopul obținerii unui certificat în conformitate cu Codul.
Raportul de sinteză trebuie să conțină o descriere suficientă a controalelor de conformitate ale
Împuternicitului pentru a oferi Operatorului garanția că Împuternicitul și-a respectat obligațiile
impuse de GDPR; Împuternicitul poate exclude informațiile confidențiale care ar pune în pericol
securitatea și protecția datelor, inclusiv a datelor cu caracter personal, în infrastructura
Împuternicitului.

Împuternicitul poate să impună protocoale rezonabile pentru solicitarea unui Audit suplimentar
fata de cel realizat în cadrul Codului, cum ar fi solicitarea către Operator de a trimite o notificare
scrisă cu un timp anterior rezonabil față de data auditului propus, efectuarea oricăror audituri în
timpul orelor de program regulate, într-un mod care să nu perturbe operațiunile normale de
afaceri și un domeniu de aplicare definit pentru un plan de audit convenit de comun acord, în
conformitate cu Acordul de servicii. Împuternicitul și Operatorul pot specifica orice dispoziții
referitoare la alocarea costurilor pentru auditurile din Acordul de servicii. În absența oricărui
aranjament privind costurile și alocarea costurilor, costurile trebuie să fie suportate de partea
solicitantă.

După finalizarea unui audit, părțile vor face schimb de copii ale raportului de audit, care vor fi
tratate ca informații confidențiale în conformitate cu termenii Acordului de servicii.

6.4.6 Cooperarea Împuternicitului cu Operatorul

Împuternicitul va asista Operatorul, în mod rezonabil, cu privire la îndeplinirea unor obligații care ii
revin, așa cum se specifica în art. 28 al GDPR. În eventualitatea în care Operatorul primește de la
o persoana vizata o cerere de acces la datele sale cu caracter personal prelucrate de către
Împuternicit, Împuternicitul care a aderat la prezentul Cod poate asista Operatorul cu privire la
răspuns, astfel:
(1) furnizând Operatorului o metoda tehnica prin intermediul căreia acesta sa culeagă datele el
însuși sau/și
(2) furnizând asistenta în mod rezonabil în culegerea acelor date, în măsura în care aceste date
nu sunt accesibile Operatorului.

Împuternicitul va furniza Operatorului acces la un mecanism care poate ajuta Operatorul cu

răspunsul la orice întrebări sau solicitări ale acestuia cu privire la măsurile de protecție asumate
prin Acordul de Servicii sau prin intermediul prezentului Cod. Aceste mecanisme pot lua forma
unor centre de contact (email, telefon, formulare online, sisteme de ticketing sau chat online) de
natura a permite Operatorului o interacțiune directa cu un reprezentant al Împuternicitului și cu
persoana de legătură, persoane capabile sa ofere un răspuns avizat în termen rezonabil la
solicitările Operatorului.

22
Mai mult, Împuternicitul îl va asista în mod rezonabil pe Operator la îndeplinirea obligațiilor
referitoare la evaluările de impact asupra protecției datelor, așa cum sunt acestea impuse de
GDPR. Împuternicitul poate negocia cu Operatorul un tarif de personalizare a suportului, în
condițiile Acordului de Servicii.

O astfel de asistenta poate impune Împuternicitului sa coopereze cu bună credință cu Operatorul

în următoarele situații:
(1) la furnizarea de date cu privire la serviciile pe care le prestează, informație utila în mod
rezonabil Operatorului și accesibila în mod rezonabil Împuternicitului;
(2) la realizarea unei analize de risc asupra protecției datelor cu caracter personal ale persoanelor
vizate;
(3) la determinarea măsurilor tehnice și organizatorice adecvate ce urmează sa fie implementate
de Împuternicit, luând în considerare scopurile pentru care Operatorul va utiliza serviciile
Împuternicitului, așa cum este determinat în Acordul de Servicii. In cazul în care aceste informații
sunt confidențiale ori pot afecta în vreun fel activitatea Împuternicitului, acesta poate solicita
Operatorului semnarea unui Acord de confidențialitate. Informațiile cu caracter confidențial pot fi
excluse din aceasta, în măsura în care ar constitui un risc pentru securitatea sau
confidențialitatea datelor prelucrate de Împuternicit.

In cazul în care Împuternicitul oferă Operatorului posibilitatea de a prelua o copie a datelor cu

caracter personal pe care acesta le prelucrează în numele Operatorului, Împuternicitul va informa
Operatorul, într-o maniera transparenta, clara, concisa și detaliata, cu privire la procesele,
măsurile tehnice, intervalele de timp și orice forma de plata care ar fi aplicabila în situația în care
Operatorul ar vrea sa obțină o copie a acestor date cu caracter personal. In plus, Împuternicitul va
informa Operatorul cu privire la formatul datelor, mecanismele de transfer și caracteristicile
transferului, configurația sistemelor care trebuie sa preia datele din partea Operatorului, precum și
intervalele de timp în care se poate face acest transfer.

Împuternicitul poate furniza asistenta și sub forma documentației standard, a rapoartelor de audit
puse la dispoziția tuturor Operatorilor și poate, de asemenea, sa perceapă un preț pentru
personalizarea asistentei, așa cum e acest preț detaliat în Acordul de servicii.

6.4.7 Anonimizarea, pseudonimizarea și criptarea datelor cu caracter

personal în publicitatea online
În măsura în care acest lucru este posibil, atât Operatorul cat și Împuternicitul vor lua măsuri de
criptare și pseudonimizare a datelor cu caracter personal pe care le prelucrează, în vederea
reducerii riscului general de prelucrare a datelor cu caracter personal pentru persoanele vizate.

În mod special, prezentul Cod considera o bună-practică în zona furnizării serviciilor de publicitate
online pseudonimizarea datelor cu caracter personal ale utilizatorilor site-urilor, în procesul de
scriere, citire de cookie-uri, precum și în procesul de sincronizare de cookie-uri intre mai multe
entități implicate în procesul de publicitate online.

23
Diferența intre procesul de anonimizare și pseudonimizare este ca procesul de anonimizare este
ireversibil, iar pseudonimizarea este un proces reversibil prin utilizarea unor informații
suplimentare (Ex: tabel de corespondență, chei de criptare, date sursă etc.)

In urma procesului de anonimizare, datele încetează să mai fie "date cu caracter personal" și,
astfel, încetează să mai fie supuse cerințelor GDPR. Aceste date pot fi prelucrate în continuare
fără restricții legate de reglementările privind protecția datelor cu caracter personal (de exemplu,
în scopul modificării scopului prelucrării datelor cu caracter personal).

6.4.8 Stocarea de informație sau accesul la informația stocata în

echipamentul terminal al unui abonat / utilizator

6.4.8.1 Consimțământul pentru stocarea de informație sau obținerea accesului la

informația stocată în echipamentul terminal al unui abonat ori utilizator
Împuternicitul și Operatorul recunosc faptul ca Operatorului ii revine obligația de a colecta
consimțământul persoanelor vizate, atunci când acest consimțământ este impus de lege, înainte
de momentul stocării de informație sau obținerii accesului la informația stocată în echipamentul
terminal al unui abonat ori utilizator.

De asemenea, în procesul de obținere și management al acestui consimțământ al persoanelor

vizate, Operatorul poate colabora cu Împuternicitul sau cu alți Operatori asociați, care pot fi și
puncte de contact cu persoanele vizate.

Împuternicitul are obligația de a colabora cu Operatorul, în limite rezonabile și conform

prevederilor Acordului de servicii, cu privire la procesul de obținere și management al
consimțământului persoanelor vizate pentru stocarea de informație sau obținerea accesului la
informația stocată în echipamentul terminal al unui abonat ori utilizator.

Mai mult, atunci când un utilizator de internet vizitează un site web care declanșează cookie-uri,
Editor-ul acestui site web va fi singura parte capabilă să informeze utilizatorul cu privire la cookie-
urile plasate pe dispozitivul acestuia.

În practică, în situațiile în care Editorii acționează ca operatori de date și decid sau dețin controlul
asupra plasării de cookie-uri și accesării informațiilor stocate pe dispozitivele utilizatorilor, editorii
sunt responsabili pentru a se asigura că au adus la cunoștința utilizatorilor informații adecvate cu
privire la tipurile de cookie-uri plasate și la modul în care utilizatorii își pot da consimțământul sau
se pot opune plasării acestor cookie-uri.

In situațiile în care Editor-ul acționează ca Operator sau Împuternicit și, pe site-ul acestuia, sunt
plasate utilizatorului cookie-uri sau sunt accesate informații stocate în dispozitivul sau, de către
terți sau în controlul altor terți, editorul este responsabil să informeze utilizatorul că pe website

24
sunt plasate cookie-uri de la terți. În acest caz, dimensiunea responsabilității4 Editorului, inclusiv
măsura în care devine operator de date trebuie analizată de la caz la caz, în funcție de condițiile
specifice ale colaborării cu Furnizorii de tehnologie de livrare de publicitate, astfel cum sunt
stabilite în Acordurile de servicii. Prin urmare, Acordul de servicii dintre Editori și alte entități
trebuie să stabilească rolul și responsabilitatea ambelor părți în contextul colaborării lor, astfel
cum se definește în acest Acord de servicii.

In ambele situații, prezentul Cod consideră la nivel de bună practică obligația ca Împuternicitul și
Operatorul sa prevadă în Acordul de servicii procedura prin care se face informarea utilizatorilor
despre plasarea de cookie-uri și accesarea de informații stocate în propriile dispozitive, precum și
procedura prin care se obține consimțământul acestora și managementul ulterior al acestui
consimțământ.

6.4.8.2 Consimțământul persoanelor vizate

Operatorii și Împuterniciții au obligația să furnizeze informații utilizatorilor în conformitate cu
prevederile GDPR. În termeni practici, aceștia trebuie să se asigure că utilizatorii sunt informați,
cel puțin cu privire la cine (ce entitate) răspunde de transmiterea/plasarea de cookie-uri și de
colectarea informațiilor aferente.

În plus, utilizatorii trebuie înștiințați, într-o manieră simplă, cu privire la

(a) utilizarea cookie-urilor pentru atribuirea de profiluri utilizatorilor;
(b) tipul de informații care vor fi colectate pentru realizarea acestor profiluri de utilizatori și
atribuirea lor utilizatorilor;
(c) utilizarea segmentării audientei pentru furnizarea de materiale publicitare adaptate/destinate
unui anumit segment și
(d) capacitatea cookie-ului de a permite identificarea utilizatorului pe mai multe site-uri web.

Consimțământul trebuie acordat printr-o acțiune neechivocă care să constituie o manifestare liber
exprimată, specifică, în cunoștință de cauză și clară a acordului persoanei vizate pentru
prelucrarea datelor sale cu caracter personal.

Absența unui răspuns, căsuțele bifate în prealabil sau absența unei acțiuni nu vor constitui un
consimțământ.

Consimțământul ar trebui să vizeze toate activitățile de prelucrare efectuate în același scop sau în
aceleași scopuri compatibile5. Dacă prelucrarea datelor se face în mai multe scopuri diferite,
consimțământul va trebui dat granular, pentru fiecare dintre scopurile prelucrării.

4
Conform paragrafului 4 și următoarele, pagina 13 din Opinia nr. 2 din 2010, privind publicitatea comportamentala, emisa de Grupul
de Lucru art. 29.
http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp171_ro.pdf
În măsura în care editorii acționează în calitate de operatori de date, ei trebuie să respecte obligațiile care decurg din Directiva
95/46/CE în ceea ce privește acea parte din procesul de prelucrare a datelor care se află sub controlul lor. În acest sens, împreună cu
furnizorii de rețele de publicitate, editorii „se asigură că aspectele tehnice și complexitatea sistemului publicității comportamentale nu îi
împiedică să își respecte obligațiile care le revin în calitate de operatori și să asigure drepturile persoanelor vizate
5
http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf

25
6.4.8.3 Sistem de management de consimțământ
Operatorii și/sau Împuterniciții vor utiliza, în vederea obținerii și managementului
consimțământului persoanelor vizate (pentru plasarea de cookie-uri și accesarea de informații sau
prelucrarea de date cu caracter personal) sisteme de management de consimțământ, fie
dezvoltate intern, fie soluții achiziționate de la terți în acest sens. Atât aplicațiile interne cat și
sistemele de management de consimțământ vor respecta o serie de instrucțiuni tehnice și reguli
de administrare standardizate (parte a Regulamentului Tehnic anexat Codului). Membrii Codului
(în totalitate sau o parte a lor) pot decide sa dezvolte ori sa achiziționeze un sistem unitar de
management al consimțământului persoanelor vizate, respectând prevederile Regulamentului
Tehnic, pentru situația descrisa în prezenta secțiune.

Orice sistem de management al consimțământului va respecta cel puțin următoarele reguli

generale:

1. Este transparent sub aspect tehnologic, permițând realizarea de verificări a respectării și

implementării cerințelor de administrare a consimțământului;
2. Menține un istoric al înregistrărilor și permite analizarea înregistrărilor pe care le
stochează și administrează (în special cu privire la existenta, corectitudinea și caracterul
nealterat al acestora), pentru orice perioada de timp;
3. Respecta cu strictețe regulile GDPR și ale prezentului Cod în privința solicitării
consimțământului, înregistrării acestuia și a modului de management, de utilizare a
consimțământului primit sau a respingerii acestuia de către utilizatori în procesele
următoare, menținând nealterata voința utilizatorului.

6.4.9 Drepturile persoanei vizate și managementul cererilor persoanelor

vizate
Împuternicitul și Operatorul recunosc faptul ca Operatorului ii revine obligația de a răspunde la
cererile persoanelor vizate, în conformitate cu prevederile GDPR.

Atunci când Împuternicitul primește, pentru datele prelucrate în numele Operatorului, o cerere de
la o persoana vizata, poate decide sa direcționeze aceasta cerere către Operator ori sa notifice
Operatorul, în măsura în care acest lucru este posibil, potrivit legii, luându-se în considerare
natura cererii și informațiile disponibile în mod legal Împuternicitului (incluzând orice elemente de
informație care ii permit Împuternicitului sa lege persoana vizata de un Operator anume).

Împuternicitul se va asigura ca responsabilul său cu protecția datelor cu caracter personal sau

persoana care coordonează programul de protecție a datelor cu caracter personal în persoană
juridică va putea fi contactat cu ușurința de către Operator.

In funcție de tipul de informație accesibila Împuternicitului, precum și în funcție de natura

serviciului furnizat, în condițiile în care Operatorul nu are el însuși posibilitatea de a rezolva
aceasta situație pe cont propriu, Împuternicitul va coopera, în mod rezonabil, cu Operatorul la

26
răspunsurile furnizate cererilor pe care persoanele vizate le trimit Operatorului, cu privire la
accesul, rectificarea sau ștergerea, portabilitatea datelor, restricționarea prelucrării sau orice alta
forma de implementare a drepturilor persoanelor vizate.

6.4.10 Cooperarea cu Autoritățile de Supraveghere

In funcție de tipul de informație accesibila Împuternicitului, precum și în funcție de natura
serviciului furnizat:
(1) Împuternicitul va coopera cu buna credința cu Operatorul și va furniza asistenta rezonabila
acestuia pentru a putea răspunde în maniera operativa la cererile transmise de Autoritățile
de Supraveghere competente cu privire la datele cu caracter personal prelucrate de
Împuternicit în numele Operatorului.
(2) Împuternicitul va coopera, cu buna credința, cu autoritățile de supraveghere, furnizând
acestora răspunsuri adecvate și operative cu privire la solicitările care ii sunt adresate
direct. Împuternicitul va notifica Operatorul, acolo unde circumstanțele ii permit acest lucru
ori astfel de notificări nu sunt interzise prin lege, cu privire la solicitări ale autorităților de
supraveghere care vizează datele cu caracter personal prelucrate de Împuternicit în
numele Operatorului, potrivit Acordului de servicii.

6.4.11 Confidențialitatea prelucrărilor datelor cu caracter personal

Împuternicitul se va asigura că orice membru al personalului său ori al Sub-împuterniciților săi,
implicat în prelucrarea datelor cu caracter personal ale Operatorului (indiferent de calificarea
juridică exactă a acestuia ca angajat, contractor, consultant, director, stagiar, personal interimar
etc.) este conștient de obligația sa de a respecta confidențialitatea datelor cu caracter personal,
astfel cum sunt acestea descrise, de exemplu, în contractul de muncă sau în acordul de
confidențialitate.

Aceste persoane nu au dreptul să colecteze, să utilizeze sau să prelucreze în alt mod date cu
caracter personal, cu excepția cazului în care acest lucru este necesar pentru realizarea
serviciilor, în conformitate cu Acordul de servicii și / sau a fost solicitat în mod explicit de către
Operator și / sau este necesar pentru a respecta legea aplicabilă și / sau o cerere obligatorie din
punct de vedere juridic. Această obligație de confidențialitate continuă atât timp cât este necesar,
ținând seama de confidențialitatea datelor și de legislația aplicabilă a statelor membre ale Uniunii
Europene, după încetarea angajării lor.

De asemenea, Împuternicitul se asigură că personalul care are acces la datele cu caracter

personal ale clientului trebuie să urmeze instruirea adecvată pentru a asigura protecția datelor cu
caracter personal.

6.4.12 Asistenta privind incidentele de securitate

În cazul unui incident de securitate care conduce la distrugerea, pierderea, modificarea,
dezvăluirea neautorizată sau accesul la datele cu caracter personal transmise, stocate sau
prelucrate în alt mod, care conduc la distrugerea accidentală sau ilegală, pierderea, modificarea,

27
ne-autorizarea sau alte procese, un Operator poate fi obligat să notifice autoritățile de
supraveghere și persoanele vizate în conformitate cu articolele 33.1 și 34 din GDPR.

Împuterniciții joacă un rol important în respectarea de către Operatori a acestor obligații de

notificare. Prin urmare, Acordul de servicii cuprinde dispoziții prin care Împuternicitul se obliga sa
îl asiste pe Operator cu privire la obligațiile ce ii revin în eventualitatea producerii unor incidente
de securitate, ținând cont de natura prelucrării și informațiile care sunt disponibile Împuternicitului.
Pentru a se pune în practica aceasta obligație a Împuternicitului, alături de descrierea, în Acordul
de servicii, a măsurilor tehnice și organizatorice pe care trebuie sa le asigure Împuternicitul pentru
a prelucra datele în siguranța, se vor evidenția și măsurile care ii permit Împuternicitului sa
detecteze, administreze și raporteze incidentele de securitate într-o maniera operativa.

6.4.13 Încetarea Acordului de servicii. Returnarea și/sau ștergerea datelor cu

caracter personal

In funcție de tipul de date accesibil Împuternicitului și de natura tipului de servicii furnizat, acolo
unde Împuternicitul are acces la datele cu caracter personal ale Operatorului, Împuternicitul va
pune la dispoziția Operatorului, la finalul Acordului de servicii:
(1) Opțiunea de a primi (o copie a) datelor cu caracter personal ale Operatorului, stocate de
serviciile sale și, după expirarea perioadei desemnate pentru ca Operatorul să-și
recupereze datele cu caracter personal, să șteargă ulterior datele cu caracter personal
relevante; sau
(2) Opțiunea de a șterge datele cu caracter personal ale Operatorului care încă sunt stocate
la Împuternicit.

7. Control de conformitate și Securitatea datelor

7.1 Regulamentul Tehnic. Asigurarea conformității cu Codul

In vedere stabilirii unor condiții practice, concrete, tehnice sau administrative pe care entitățile ce
adera la Cod trebuie sa le respecte pentru a asigura conformitatea cu Codul, s-a elaborat un
”Regulament Tehnic”, care se constituie ca Anexa 2 la prezentul Cod. Condițiile și prevederile
Regulamentului Tehnic vor face parte integranta din Cod și vor avea rolul de a transpune în
termeni concreți, practici, prevederile generale ale Codului. In plus, Regulamentul Tehnic va oferi
termenii tehnici necesari monitorizării și verificării de către Organismul de Supraveghere a
Codului a modului în care entitățile care adera la prezentul Cod respecta prevederile Codului.

In timp ce Codul propriu-zis este un instrument organizatoric în cuprinsul căruia se regăsesc toate
obligațiile pe care și le asuma membrii atunci când adera la el, Regulamentul Tehnic reprezintă
un instrument operațional care permite membrilor ce adera la Cod sa determine în ce măsura
îndeplinesc condițiile impuse de Cod.

28
Intr-un sens practic, Regulamentul Tehnic poate fi considerat un instrument de tipul ”check-list”,
detaliind fiecare clauza a Codului care implica o obligație pentru membrii ce adera la Cod și
oferind ghidaj în procesele de implementare și control.

Regulamentul Tehnic va fi actualizat, modificat, completat, la fel ca și Codul, cu standarde și/sau

scheme de conformitate suplimentare, cu noi proceduri sau tehnici, conform evoluției proceselor
din domeniul publicității și marketingului online, a modificărilor legislative sau a observațiilor din
practica aplicării Codului.

7.2 Măsuri și obiective de securitate

Pentru a asigura conformitatea cu cerințele de securitate ale Codului, membrii trebuie să atingă
cel puțin obiectivele de securitate enumerate mai jos, la secțiunea ”Obiectivele de control și
controalele de securitate”. Acestea au fost elaborate pe baza standardelor recunoscute, cum ar fi
ISO27001, SOC, C5 și așa mai departe. În plus, membrii ar trebui să demonstreze conformitatea
cu cerințele specifice GDPR, așa cum sunt elaborate în Regulamentul Tehnic.

Deoarece nu este posibilă definirea cerințelor de securitate necesare sau potrivite pentru toate
tipurile de servicii care constituie ecosistemul mediului de marketing si publicitate online, Codul
cere o aplicare clară și explicită a principiului responsabilității din GDPR: membrii care doresc să
adere la Cod trebuie să evalueze, pentru Serviciul acoperit, dacă anumite obiective de securitate
pot fi atinse și, dacă da, cum. Controalele sunt enumerate în cele ce urmează și detaliate în
Regulamentul Tehnic.

7.3 Obiectivele de control și controalele de securitate

Politica de Securitate
Atât Împuterniciții, cât și Operatorii trebuie să dispună de un set de politici de securitate a
informațiilor care să reglementeze securitatea datelor cu caracter personal ale persoanelor vizate
în cadrul Serviciilor pentru care se aderă la Cod.

Organizarea securității
Atât Împuterniciții, cât și Operatorii trebuie să dispună de o structură de management care să
gestioneze implementarea securității informațiilor în cadrul Serviciilor pentru care se aderă la Cod,
cu roluri și responsabilități clare în cadrul organizației.

Securitatea personalului
Atât Împuterniciții, cât și Operatorii trebuie să ia toate măsurile rezonabile pentru a se asigura că
toți angajații, contractanții și alte persoane din cadrul organizațiilor lor, care au acces la datele cu
caracter personal ale persoanelor vizate, sunt conștienți de responsabilitățile legate de
securitatea informațiilor și dețin competențe și capacități adecvate pentru rolurile lor în cadrul

29
serviciilor. Membrii se asigură că dispun de mecanisme adecvate pentru a monitoriza și sprijini
respectarea acestor politici și a obligațiilor aferente.

Securitatea fizică și a mediului de lucru

Atât Împuterniciții, cât și Operatorii adoptă măsuri de securitate fizică și de mediu, concepute
astfel încât să împiedice accesul neautorizat, alterarea sau distrugerea datelor cu caracter
personal ale persoanelor vizate și a facilităților conexe de prelucrare a datelor.

Managementul incidentelor de securitate

Împuterniciții și Operatorii elaborează, pun în aplicare și gestionează politici și proceduri care să
permită unui Operator, persoanelor vizate sau autorităților competente să răspundă eficient în
cazul unor incidente de securitate.

Controlul accesului
Atât Împuterniciții, cât și Operatorii vor trebui să limiteze accesul, inclusiv prin intermediul
controalelor de acces logic, la datele cu caracter personal ale persoanelor vizate, atât în situația
utilizării unor soluții de stocare și prelucrare a datelor în cloud, cât și în situația utilizării unor
încăperi sau aplicații locale pentru prelucrarea datelor.

Dezvoltarea și întreținerea sistemelor

Atât Împuterniciții, cât și Operatorii vor trebui să ia toate măsurile rezonabile pentru a se asigura
că securitatea informațiilor reprezintă o parte centrală a oricăror noi evoluții aduse activelor
relevante ale serviciilor pe care le utilizează pentru a prelucra datele cu caracter personal.

Planificarea continuității afacerii

Împuternicitul va lua toate măsurile rezonabile pentru a se asigura de continuitatea securității
datelor, în ceea ce privește datele cu caracter personal ale Operatorilor. Împuternicitul se va
asigura că această regulă este integrată în Politicile, procedurile și sistemele de management al
continuității activității sale, pentru a asigura securitatea și disponibilitatea adecvată a datelor cu
caracter personal ale Operatorilor în situații diverse (ex. un dezastru).

Conformitatea
Atât Împuterniciții, cât și Operatorii vor trebui să ia toate măsurile pentru ca securitatea
informaționala să fie conformă cu orice prevedere legală aplicabilă în această materie.

30
8. Guvernanta Codului

8.1 Administrarea și organismele de guvernanta ale Codului

Prezentul Cod este construit, ca model de guvernare, pe mai multe niveluri:

(1) Primul nivel de guvernare este construit în jurul cadrului organizatoric al Codului,
reprezentat prin Departamentul de protecție a datelor cu caracter personal care
include următoarele organisme de conducere sau execuție: Adunare Generală, Consiliu
de Conducere, Grupul Experților, Secretariat. Acest nivel de guvernare include reguli
privind compoziția, recunoașterea, drepturile și obligațiile, sarcinile și supravegherea
tuturor acestor organisme.
(2) Al doilea nivel de guvernare vizează drepturile și obligațiile membrilor care adera la Cod și
include reguli referitoare la publicarea și menținerea actualizată a listei membrilor Codului,
utilizarea mărcilor de conformitate și a mecanismelor de monitorizare și punere în
executare a Codului, modul de operare, actualizare și aprobare a Regulamentului Tehnic
(Regulament de Organizare și Funcționare / Regulament Tehnic).
(3) Al treilea nivel de guvernare este reprezentat de practica generata prin însăși existența
Codului, asigurându-se că acesta poate fi actualizat pentru a reflecta GDPR și alte forme
de acte normative relevante pentru acest domeniu (viitorul Regulament ePrivacy, spre
exemplu) și pentru a se asigura că practica dobândită din interpretarea și aplicarea
Codului poate fi integrata corespunzător în variantele viitoare ale acestuia.

Nivelul 1 - Departamentul de protecție a datelor cu caracter personal

Activitatea ce stabilește cadrul organizatoric pentru aplicarea prezentului Cod, standardele și

procedurile de monitorizare a aplicării prevederilor prezentului Cod se desfășoară în cadrul BRAT
în cadrul Departamentului de protecție a datelor cu caracter personal.

Departamentul de protecție a datelor cu caracter personal va fi constituit asociativ în cadrul

BRAT, conform regulilor de funcționare ale asociației, și va funcționa în cadrul BRAT potrivit
Statutului asociației, Regulamentului de Organizare și Funcționare al BRAT, hotărârilor Adunării
Generale a BRAT, hotărârilor Consiliului Director al asociației și dispozițiilor din propriul
Regulament de Organizare și Funcționare al Departamentului de protecție a datelor cu caracter
personal. Raporturile juridice ale departamentului cu terții se vor realiza prin intermediul BRAT.

Departamentul de protecție a datelor cu caracter personal se constituie din membri BRAT care se
afla în una din categoriile de mai jos:
a) editori care dețin unul sau mai multe produse media online sau
b) agenție de publicitate sau
c) regie de publicitate sau
d) client de publicitate sau
e) Furnizori de tehnologie de livrare de publicitate sau

31
f) Furnizori de tehnologie de management de date online sau alte persoane juridice implicate în
procesul de tranzacționare a publicității online sau
h) terți interesați (organizații care au interes în piața de publicitate online, fără sa aibă un rol în
serviciile de publicitate online în sensul definit mai sus) sau
i) suporteri ai Codului (asociații partenere sau alte organisme care adera, la rândul lor, la
prevederile Codului si desfășoară activități de suport in respectarea prevederilor Codului)

Departamentul de protecție a datelor cu caracter personal va avea următoarele organisme de

conducere:
(1) Adunare Generală
(2) Consiliu de Conducere
(3) Grupul Experților
(4) Secretariat

Adunarea Generala este compusa din toți membrii Departamentului și are următoarele atribuții:

(1) Aproba Codul de conduita si modificările sale ulterioare;

(2) Stabilește condițiile generale de aderare a persoanelor juridice în cadrul Departamentului;
(3) Validează standardele, metodologiile și criteriile de evaluare a respectării prevederilor
Codului;
(4) Aprobă regulile de guvernanta ale Departamentului și modificările ulterioare (Regulament
de organizare și Funcționare);
(5) Alege Consiliul de Conducere;
(6) Validează componența Grupului Experților;
(7) Aprobă formele generale de contracte de prestări servicii, necesare monitorizării sau
verificării respectării prevederilor prezentului Cod de conduita;
(8) Validează licitația și rezultatul acesteia pentru desemnarea prestatorilor de servicii
implicați în furnizarea serviciilor ce vor efectua monitorizarea respectării prevederilor
prezentului Cod;
(9) Aprobă modelul de finanțare și costurile legate de funcționarea Departamentului și
monitorizarea respectării prevederilor Codului;
(10) Stabilește modul de organizare, funcționare și publicare a mărcii de conformitate.

Consiliul de Conducere este compus dintr-un număr de 8 - 10 reprezentanți ai membrilor

Departamentului. In modul de alegere al membrilor Consiliului de Conducere se va avea în
vedere reprezentarea, pe cat posibil, a tuturor categoriilor de persoane juridice membre în
Departamentul de protecție a datelor cu caracter personal.

Consiliul de Conducere este ales de către Adunarea Generala pentru o perioada de doi ani și are
următoarele atribuții:
(1) Supraveghează îndeplinirea obiectivelor Departamentului;
(2) Supraveghează derularea contractelor încheiate în vederea prestării de servicii privind
monitorizarea conformității;
(3) Propune modificări ale Codului de conduita;

32
 (4) Propune Adunării Generale modificări ale regulamentelor de guvernanta;
(5) Propune Adunării Generale strategii de lucru și condiții tehnice generale pentru realizarea
obiectivelor;
(6) Alege Grupul Experților si stabilește condițiile de colaborare a acestora cu Departamentul
de protecție a datelor cu caracter personal;
(7) Colaborează cu Grupul Experților în elaborarea metodologiei, standardelor, definițiilor și
condițiilor pentru realizarea monitorizării respectării prevederilor prezentului Cod de
conduita;
(8) Aproba standardele, metodologia și criteriile de evaluare a respectării prevederilor
Codului;
(9) Propune și susține soluții pentru îmbunătățirea activității Departamentului.

Grupul Experților este format dintr-un număr de 4-6 experți contractați de Departament și are
următoarele atribuții:

(1) La solicitarea Adunării Generale, a Consiliului de Conducere sau a Secretariatului,

formulează un punct de vedere asupra metodologiei, standardelor, definițiilor sau
condițiilor pentru realizarea monitorizării respectării prevederilor prezentului Cod de
conduita;
(2) Veghează asupra menținerii Codului în cadrul legislativ actual, propune modificări ale
prezentului Cod în vederea actualizării Codului cu orice prevedere legislativa aplicabila și
le supune validării Consiliului de Conducere;
(3) Veghează asupra menținerii relevantei Codului sub aspectelor proceselor, procedurilor si
tehnologiilor utilizate in tranzacțiile publicitare online, propune modificări ale prezentului
Cod în vederea actualizării Codului cu orice modificare sau noutate din domeniul
marketingului si publicității online și le supune validării Consiliului de Conducere;
(4) Analizează din punct de vedere tehnic situațiile excepționale întâlnite în cadrul
monitorizării aplicării Codului de conduita și transmite opinia către Consiliul de Conducere,
însoțita de propuneri de reglementare a respectivelor soluții.

Secretariat

Din punct de vedere administrativ, Codul va fi guvernat de un Director de Proiect, care poate avea
la rândul sau asistenți, care are următoarele atribuții:

(1) Coordonează din punct de vedere administrativ realizarea procesului de monitorizare a

respectării prevederilor prezentului Cod, în concordanta cu obiectivele stabilite de
Adunarea Generala și conform dispozițiilor Consiliului de Conducere;
(2) Verifica îndeplinirea condițiilor de aderare a membrilor ce solicita aderarea la Cod si
acorda calitatea de membru in cadrul Departamentului de protecție a datelor cu caracter
personal in condițiile regulamentelor aplicabile;
(3) Elaborează și prezintă rapoarte periodice asupra activității și problemelor apărute în
derularea contractelor de prestări servicii;
(4) Elaborează materialele supuse analizei Consiliului de Conducere/ Grupului Experților;

33
 (5) Organizează și conduce împreuna cu Directorul General al BRAT ședințele Consiliului de
Conducere;
(6) Păstrează legătura directa cu prestatorii de servicii în vederea rezolvării situațiilor
excepționale legate de procesul de monitorizare a respectării prevederilor prezentului Cod;
(7) Raportează către Consiliul de Conducere toate situațiile excepționale legate de procesul
de monitorizare a respectării prezentului Cod;
(8) Propune către Consiliul de Conducere sau Grupul Experților modificări ale detaliilor
metodologice legate de procesul de monitorizare a respectării prezentului Cod;
(9) Informează membrii Departamentului cu privire la obligațiile și drepturile ce le revin în
urma adoptării calității de membru și asigura interpretarea corecta, obiectiva și unitara a
regulilor aplicabile membrilor.

Nivelul 2 - Regulament de Organizare și Funcționare / Regulament Tehnic

Organizarea operațională în cadrul Departamentului precum și toate elementele procesului de

monitorizare și verificare a respectării prevederilor Codului de conduita vor fi guvernate de un set
de reguli grupate în:
- Regulament de Organizare și Funcționare
- Regulament Tehnic
- Registru Public

Regulamentul de Organizare și Funcționare va defini:

- Categoriile de persoane juridice care pot deveni membri și pot adera la Cod și la procesul
de monitorizare
- Obiectivele Departamentului
- Drepturile și obligațiile membrilor
- Procesul de luare a deciziilor în cadrul Departamentului (sisteme de vot)
- Componenta și atribuțiile organelor de conducere
- Modalități de rezolvare a conflictelor sau neconcordantelor de opinie intre membri sau
diverse organisme de guvernanta a Codului
- Modelul de finanțare
- Alte reguli necesare funcționarii asociative a Departamentului

Regulamentul Tehnic va defini:

- Standardele, detaliile metodologice și tehnice de realizare a procesului de monitorizare și
verificare a conformității
- Drepturi și obligații referitoare la procesul de monitorizare și verificare
- Sancțiuni aplicabile pentru nerespectarea obligațiilor referitoare la procesul de
monitorizare
- Procesul de rezolvare a situațiilor excepționale
- Procesul de verificare a excepțiilor

Registrul Public al Codului va conține numele tuturor membrilor Codului, alături de produsele
media, serviciile sau procesele pentru care aceștia au aderat la Cod.

34
Nivelul 3 - Actualizarea permanenta a Codului și construirea unui set de bune practici în
industrie

Grupul Experților va construi un Dosar de actualizare a prezentului Cod anual (sau mai des în
cazul în care apare legislație relevanta ori situații de natura a impune o modificare mai rapida), pe
baza cazuisticii observate, precum și pe baza propunerilor primite de la Secretariat ori Consiliul
de Conducere.

Ca urmare a analizei Dosarului, Grupul Experților poate lua decizia ca au apărut suficiente
elemente noi, de natura a impune modificarea și actualizarea Codului, înaintând propunerea de
modificare Consiliului de Conducere, care va gestiona, ulterior, operațiunea de analiza și decizie
asociativa a modificării Codului.

De asemenea, regulat, Grupul Experților poate furniza Secretariatului, spre publicare pe site-ul
web al Codului, a unor cazuri și situații a căror interpretare și analiza sunt utile în lămurirea unor
probleme existente în industria marketingului si publicității online sau de interes conex.

Adunarea Generală a Codului va trimite Codul ( în prima sa forma și ulterior, ori de cate ori va fi
revizuit) spre aprobare Autorității de Supraveghere, în conformitate cu articolul 40 al GDPR.
Comentariile autorităților de supraveghere și ale Comitetului european pentru protecția datelor
(dacă este cazul) vor fi incluse în Cod, aprobate de Adunarea Generală și ulterior publicate.

8.2 Marca de conformitate

Marca de conformitate reprezintă un simbol cu elemente grafice specifice care are semnificația
respectării de către persoanele juridice semnatare a prevederilor Codului de conduita pentru unul
sau mai multe dintre serviciile prestate în cadrul tranzacțiilor publicitare online.

Orice persoană juridică care a aderat la prezentul Cod, și a finalizat verificările de conformitate
prevăzute de prezentul Cod are dreptul de a utiliza marca de conformitate aplicabilă.

Elementele grafice și tehnice ale mărcii de conformitate sunt prezentate în Anexa 3 a prezentului
Cod. Modalitatea de acordare sau retragere a dreptului de a utilizare a mărcii de conformitate
precum și prevederile de utilizare a acesteia sunt parte integranta din Regulamentul Tehnic
anexat prezentului Cod.

În cazul în care apare un litigiu privind neconformitatea, membrul în cauză are dreptul să continue
să utilizeze marca de conformitate până la decizia definitivă în cazul său. După ce s-a emis o
decizie definitivă a nerespectării Codului, membrul în cauză trebuie să înceteze imediat să
utilizeze marca de conformitate.

35
8.3 Aderarea la Cod, monitorizarea și punerea în aplicare a
prevederilor Codului. Plângerile privitoare la respectarea Codului
Din punct de vedere administrativ, mecanismul de aderare, monitorizare și punere în aplicare a
prevederilor prezentului Cod de conduita și la procesul de monitorizare a respectării prevederilor
acestuia este descris succint în cele ce urmează:

- Organizațiile vor adera la BRAT și la Departamentul de protecție a datelor cu caracter

personal în baza unei declarații standardizate de aderare pentru unul sau mai multe
produse media, servicii sau procese implicate în tranzacțiile publicitare online (cererea
este prevăzuta în Anexa 1 la prezentul Cod);
- După primirea declarației de aderare de către BRAT, organizațiile vor intra într-o faza de
“pre-monitorizare” în care vor evidenția detaliile legate de toate produsele media, serviciile
sau procesele pe care le vor monitoriza în vederea respectării prevederilor prezentului
Cod;
- După încheierea fazei de pre-monitorizare va avea loc primul audit în vederea verificării
procedurilor legate de tranzacțiile publicitare online care fac obiectul aderării la Cod;
- După finalizarea, prin emiterea unei opinii favorabile, a primului Audit, organizațiile
respective vor avea dreptul de a utiliza marca de conformitate pentru produsul media,
serviciul sau procesul auditat;
- Auditul va fi repetat periodic, în condițiile în care organizațiile nu aduc modificări
produselor media, serviciilor sau proceselor auditate;
- Orice modificare adusa produselor media, serviciilor sau proceselor auditate va fi verificata
imediat, pentru a verifica impactul asupra respectării prevederilor Codului de conduita;
- In cazul existentei unor sesizări legate de nerespectarea prevederilor prezentului Cod de
conduita, vor fi realizate verificări punctuale.

Partea care a depus declarația de aderare poate face plângere împotriva deciziei de respingere a
aderării. Secretariatul poate decide să implice sau nu Grupul Experților în rezolvarea acestei
reclamații.

Secretariatul Codului va face public, pe site-ul de prezentare a Codului, un mecanism de plângere

(formular web) prin intermediul căruia părțile interesate pot semnala / reclama nerespectarea
prevederilor Codului de către unul dintre membrii aderenți.

În cazul în care un Membru are rezerve în ceea ce privește respectarea de către alt Membru a
termenilor prezentului Cod, primul Membru este încurajat să îl contacteze pe al doilea pentru a
găsi o soluție amiabilă de rezolvare a problemei.

Dacă nu se poate identifica o astfel de soluție, primul Membru poate depune o plângere la
Secretariatul Codului. Secretariatul Codului solicită membrului împotriva căruia s-a făcut
plângerea să furnizeze informații relevante în scopul constatării faptelor și inițiază un proces de
soluționare a reclamației, putând decide să implice sau nu Grupul Experților în rezolvarea acestei
reclamații.

36
După parcurgerea procedurii de soluționare a reclamației, Secretariatul va stabili dacă au avut loc
încălcări ale Codului și va decide asupra posibilelor sancțiuni și căi de atac, în conformitate cu
orientările practicii observate anterior de Consiliul de Conducere. Rezolvarea plângerii este
comunicată, apoi, celor două părți.

În rezolvarea reclamațiilor privitoare la situațiile existente în prezentul Cod se vor aplica regulile
generale de procedură (în special cu privire la termene) din Regulamentele și Statutul BRAT:

8.4 Finanțarea Codului

Costul pentru funcționarea Departamentului de protecție a datelor cu caracter personal și a
Codului de Conduita vor fi acoperite din taxele plătite de membrii și suporterii care au aderat la
prezentul Cod. Costurile și modalitatea de alocare a acestora vor fi determinate și aprobate de
semnatarii Codului.

Adunarea Generala va decide cota care ii va reveni Secretariatului Codului, din totalul
cuantumului taxelor de aderare la Cod, pentru a asigura independenta și funcționarea corecta a
departamentului, incluzând mecanismul de gestionare a plângerilor și monitorizarea constanta a
aplicării Codului.

Taxele plătite de Membri pentru a obține verificarea și aprobarea unei declarații de aderare la Cod
vor fi alocate, în parte, pentru a acoperi costurile de funcționare ale departamentelor operaționale
ale Codului. Taxele se vor aplica indiferent de rezultatul verificării declarației de aderare la Cod.

Anexa 1. Declarația de aderare

Anexa 2. Regulamentul Tehnic

Anexa 3. Marca de conformitate

Anexa 4. Lista membrilor fondatori ai Codului

37