ORDIN nr. 75 din 4 iunie 2002privind stabilirea unor măsuri şi proceduri specifice care să asigure un nivel satisfăcător de protecţie a drepturilor persoanelor ale căror date cu caracter personal fac obiectul prelucrarilor
EMITENT
  • AVOCATUL POPORULUI
  • Publicat în  MONITORUL OFICIAL nr. 449 din 26 iunie 2002



    În temeiul Hotărârii Senatului nr. 33 din 4 octombrie 2001 pentru numirea Avocatului Poporului,vazand prevederile art. 13 din Legea nr. 35/1997 privind organizarea şi funcţionarea instituţiei Avocatul Poporului, modificată şi completată prin Legea nr. 181/2002, şi ale art. 4 din Regulamentul de organizare şi funcţionare a instituţiei Avocatul Poporului,în aplicarea prevederilor art. 28 alin. (2) din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, conform cărora Avocatul Poporului, în calitate de autoritate de supraveghere, poate să dispună măsuri şi proceduri specifice, care să asigure un nivel satisfăcător de protecţie a drepturilor persoanelor ale căror date cu caracter personal sunt prelucrate, pentru perioada în care nu sunt adoptate codurile de conduita de către asociaţiile profesionale,ţinând seama ca, în conformitate cu art. 28 alin. (1) din Legea nr. 677/2001, este necesar să se vina în sprijinul asociaţiilor profesionale care au obligaţia de a elabora şi de a supune spre avizare autorităţii de supraveghere coduri de conduita, cuprinzând norme adecvate pentru protecţia drepturilor persoanelor ale căror date cu caracter personal pot fi prelucrate de către membrii acestora,având în vedere Nota privind măsuri şi proceduri specifice, care să asigure un nivel satisfăcător de protecţie a drepturilor persoanelor ale căror date cu caracter personal sunt prelucrate şi adoptarea unui model de cod de conduita, înregistrată cu nr. 5.412 din 29 mai 2002, a adjunctului Avocatului Poporului,Avocatul Poporului emite prezentul ordin.  +  Articolul 1Se aprobă Măsurile şi procedurile specifice pentru asigurarea unui nivel satisfăcător de protecţie a drepturilor persoanelor ale căror date cu caracter personal fac obiectul prelucrarilor, prevăzute în anexa nr. 1 la prezentul ordin.  +  Articolul 2Se aprobă Modelul de cod de conduita prevăzut în anexa nr. 2 la prezentul ordin.  +  Articolul 3Prezentul ordin va fi publicat în Monitorul Oficial al României, Partea I.  +  Articolul 4Anexele nr. 1 şi 2 fac parte integrantă din prezentul ordin.AVOCATUL POPORULUI,prof. univ. dr. IOAN MURARU  +  Anexa 1MĂSURI ŞI PROCEDURIspecifice pentru asigurarea unui nivel satisfăcător de protecţie a drepturilor persoanelor ale căror date cu caracter personal fac obiectul prelucrarilorScopul şi sfera de aplicare  +  Articolul 1 (1) Prezentele măsuri şi proceduri au ca scop asigurarea unui nivel satisfăcător de protecţie a datelor cu caracter personal, prelucrate de către membrii asociaţiilor profesionale, prin stabilirea modalităţilor de exercitare a drepturilor şi obligaţiilor care revin membrilor asociaţiilor profesionale în domeniul protecţiei persoanelor, în privinta datelor cu caracter personal, în relaţiile asociaţiilor profesionale cu persoanele vizate (în calitate de beneficiari ai serviciilor prestate, de utilizatori etc.), cu alte asociaţii profesionale, precum şi cu alte persoane fizice sau juridice care nu fac parte din asociaţiile profesionale. (2) Aceste măsuri şi proceduri se aplică, în perioada în care nu sunt adoptate codurile de conduita, de către asociaţiile profesionale, oricăror operaţiuni prin care membrii asociaţiilor profesionale prelucreaza datele cu caracter personal. (3) Prezentele măsuri şi proceduri nu aduc atingere altor obligaţii legale imperative sau deontologice care revin asociaţiilor profesionale. (4) Prezentele măsuri şi proceduri sunt aplicabile tuturor asociaţiilor profesionale din România.Definirea termenilor  +  Articolul 2 (1) Termenii folosiţi la stabilirea prezentelor măsuri şi proceduri au următorul sens: a) asociaţii profesionale - forme organizatorice ale entitatilor de drept privat constituite pe criterii profesionale; b) persoana vizata - persoana fizica ale carei date cu caracter personal sunt prelucrate; c) a colecta - a strânge, a aduna, a primi date cu caracter personal prin orice mijloace şi din orice sursa; d) a dezvălui - a transmite, a disemina, a face disponibile în orice alt mod date cu caracter personal, în afară operatorului; e) a utiliza - a se folosi datele cu caracter personal de către şi în interiorul operatorului; f) consimţământ - acordul neviciat al persoanei vizate de a-i fi prelucrate datele cu caracter personal, care trebuie să fie întotdeauna expres şi neechivoc; g) nivel de protecţie şi de securitate adecvat al prelucrarilor de date cu caracter personal nivelul de securitate proporţional riscului, pe care îl comporta prelucrarea faţă de datele cu caracter personal respective şi faţă de drepturile şi libertăţile persoanelor şi conform cerinţelor minime de securitate a prelucrarilor de date cu caracter personal, elaborate de autoritatea de supraveghere şi actualizate corespunzător stadiului dezvoltării tehnologice şi costurilor implementarii acestor măsuri; h) marketing direct - promovarea produselor şi a serviciilor, adresată direct clienţilor, persoane fizice, prin mijloace de genul poştei, inclusiv cea electronică, sau alte mijloace de marketing la distanta, altele decât modalităţile promotionale obişnuite (reclame). (2) Termeni precum: date cu caracter personal, prelucrarea datelor cu caracter personal, stocare, operator, terţ, destinatar, date anonime, autoritate de supraveghere, dreptul de informare, dreptul de acces, dreptul de intervenţie, dreptul de opoziţie au sensurile definite de Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, de Legea nr. 676/2001 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul telecomunicatiilor, precum şi de Legea nr. 682/2001 privind ratificarea Convenţiei pentru protejarea persoanelor faţă de prelucrarea automatizata a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981.Legalitatea şi transparenta  +  Articolul 3 (1) Membrii asociaţiilor profesionale, denumiţi în continuare membri, recunosc şi respecta dreptul la viaţa intima, familială şi privată. (2) Prelucrarea datelor cu caracter personal de către membri se desfăşoară în conformitate cu prevederile legale în vigoare. (3) Membrii sunt obligaţi să asigure transparenta prelucrarilor de date cu caracter personal.Responsabilitatea  +  Articolul 4 (1) Membrii sunt responsabili pentru datele cu caracter personal aflate sub controlul lor, precum şi pentru datele transferate către terţi. (2) Fiecare membru va desemna persoanele care vor răspunde pentru respectarea dispoziţiilor legale din domeniul protecţiei persoanelor şi a datelor cu caracter personal.Legitimitatea scopului colectării  +  Articolul 5 (1) Colectarea de date cu caracter personal prin mijloace frauduloase, neloiale sau ilegale este interzisă. (2) Membrii vor comunică scopurile pentru care sunt colectate datele cu caracter personal fie înainte, fie cel mai târziu la momentul colectării. (3) Menţionarea scopurilor poate fi realizată în scris, oral sau în forma electronică, într-un limbaj uşor accesibil pentru persoanele vizate.Consimţământul  +  Articolul 6 (1) Consimţământul persoanelor vizate este cerut în cazul prelucrării datelor cu caracter personal, în afară cazurilor în care legea dispune altfel. (2) Membrii vor folosi orice mijloace nedolosive, care necesita costuri financiare rezonabile, pentru a informa persoanele vizate în legătură cu prelucrarea datelor cu caracter personal şi pentru a solicita consimţământul acestora la momentul colectării datelor cu caracter personal. (3) Persoana vizata îşi poate retrage consimţământul în orice moment, sub condiţia avizării prealabile a operatorului. Acesta va informa persoana vizata în legătură cu procedura şi efectele retragerii consimţământului.Legitimitatea dezvaluirii  +  Articolul 7 (1) Membrii vor prelucra datele cu caracter personal numai pentru scopurile pentru care au fost colectate, cu excepţia cazului în care persoana vizata îşi da consimţământul pentru prelucrarea în alte scopuri sau în alte cazuri permise de lege. (2) Accesul la datele prelucrate va fi permis numai angajaţilor membrilor, în îndeplinirea obligaţiilor de serviciu.Legitimitatea stocării  +  Articolul 8 (1) Membrii sunt obligaţi sa păstreze datele cu caracter personal exacte, complete şi actualizate, pentru realizarea scopurilor pentru care sunt utilizate. (2) Datele inexacte sau incomplete vor fi şterse sau rectificate. (3) Datele cu caracter personal vor fi păstrate numai pentru perioada necesară atingerii scopurilor stabilite. (4) Membrii vor adopta reguli speciale în privinta stabilirii perioadei minime şi maxime necesare pentru păstrarea datelor colectate, urmărind totodată respectarea drepturilor persoanei vizate, în special a dreptului de acces, de intervenţie şi de opoziţie. (5) În urma verificărilor periodice datele cu caracter personal deţinute de operator, care nu mai servesc realizării scopurilor sau îndeplinirii unor obligaţii legale, vor fi distruse sau transformate în date anonime într-un interval de timp rezonabil, potrivit procedurilor stabilite de lege sau, în lipsa unor astfel de dispoziţii legale, de către membri.Securitatea prelucrarilor  +  Articolul 9Membrii sunt obligaţi sa ia măsurile tehnice şi organizatorice necesare pentru asigurarea unui nivel de protecţie şi de securitate adecvat, în cadrul operaţiunilor efectuate asupra datelor cu caracter personal, în următoarele scopuri: pentru a limita accesul la bazele de date, care este permis numai persoanelor autorizate; pentru a interzice copierea datelor în afară locurilor în care sunt gestionate; în general, pentru a împiedica orice circulaţie necontrolata a datelor.Dreptul de informare  +  Articolul 10 (1) Strategiile şi procedurile folosite de membri în legătură cu procesarea datelor cu caracter personal vor fi puse la dispoziţie persoanelor vizate, sub forma de informaţii furnizate într-un limbaj accesibil, prin mijloace fizice (de exemplu, prin broşuri), telefonice sau electronice. (2) Membrii vor comunică informaţii, la cerere, în legătură cu datele cu caracter personal pe care le prelucreaza, sursele din care au colectat datele cu caracter personal, scopurile prelucrării, dacă şi cărui terţ i-au fost dezvăluite aceste date, atunci când legea nu interzice. (3) În cazul în care dezvaluirea datelor este impusa de lege (de exemplu, în vederea executării unei hotărâri judecătoreşti), membrii se vor asigura ca terţul care solicită dezvaluirea acţionează în conformitate cu dispoziţiile legale incidente, iar cererea priveşte numai datele cu caracter personal neexcesive prin raportare la scopul prelucrării. Persoana vizata va fi informată în legătură cu dezvaluirea, numai dacă legea permite. (4) Aducerea la cunoştinţa persoanelor vizate a drepturilor de care beneficiază (în special, drepturile prevăzute la art. 12-15 din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date) se poate face prin intermediul unor menţiuni înscrise pe ofertele de produse sau servicii, pe primul document adresat persoanei vizate (de exemplu: factura, borderou de livrare, confirmare de primire etc.), pe prospectele care conţin şi chestionare etc.Dreptul de acces  +  Articolul 11 (1) Membrii vor permite accesul persoanelor vizate la datele cu caracter personal care le privesc, prin cele mai facile mijloace, pe care le pot pune la dispoziţie, în mod rezonabil. (2) Accesul persoanei vizate nu poate fi permis, cu excepţia cazurilor prevăzute de lege, în următoarele situaţii: în cazul în care sunt solicitate date despre o altă persoană; în cazul în care ar putea fi afectate viaţa şi siguranţa altei persoane; în cazul în care sunt solicitate date care pot privi informaţii comerciale confidenţiale; în cazul în care s-ar aduce atingere soluţionării unui litigiu sau a unui proces penal. (3) Membrii sunt obligaţi sa motiveze refuzul de a permite accesul la anumite date cu caracter personal.Dreptul de intervenţie  +  Articolul 12 (1) Persoanele vizate au dreptul de a solicita verificarea exactitatii şi a caracterului complet al datelor cu caracter personal care le privesc, precum şi de a solicita rectificarea datelor inexacte sau incomplete, prin formularea unor contestaţii. (2) Membrii vor păstra o evidenta a contestaţiilor privind caracterul exact sau complet al datelor, care nu au fost rezolvate, iar în cazul în care datele vor fi transferate către alţi operatori, vor fi precizate datele care au fost rectificate sau în privinta cărora exista contestaţii nerezolvate. (3) Dispoziţiile alin. (2) se aplică şi în cazul dezvaluirii de date către terţi, dacă este cazul. (4) Actualizarea bazelor de date se face prin intermediul informaţiilor transmise de persoanele vizate, precum şi prin informaţiile furnizate de orice sursa externa autorizata de lege.Dreptul de opoziţie  +  Articolul 13 (1) Exercitarea de către persoana vizata a dreptului de opoziţie împotriva prelucrării datelor cu caracter personal, în efectuarea operaţiunilor de marketing direct, este asigurata prin intermediul formulării unor cereri în acest sens sau prin includerea în listele de opoziţie a persoanelor vizate. Persoana vizata va fi încunoştinţată de existenta listelor de opoziţie, precum şi de modalitatea de a solicita includerea în acestea. (2) Persoanele vizate îşi pot exercita dreptul de opoziţie în orice moment, de preferinta într-un termen rezonabil acordat de operator, fără a se aduce atingere posibilităţii ca dreptul să fie exercitat şi în afară acestui termen. (3) Listele de opoziţie sunt gestionate de asociaţiile profesionale. (4) În cazul prelucrarilor ulterioare, precum şi al transferului către alţi operatori al datelor cu caracter personal, membrii se vor asigura ca acestea nu privesc date pentru care persoanele vizate au exercitat anterior dreptul de a le fi şterse datele sau dreptul de opoziţie la transferul acestora.Legitimitatea transferului  +  Articolul 14 (1) În cazul transferului de date cu caracter personal către alţi operatori, în special în operaţiunile de marketing direct, persoanele vizate vor fi informate cu privire la transfer prin înscrierea unor menţiuni pe ofertele de produse sau servicii. (2) Menţiunile prevăzute la alin. (1) vor cuprinde şi specificarea dreptului de opoziţie la transferul datelor, precum şi metoda prin care persoanele vizate îşi pot exercita acest drept. (3) Garanţiile pentru asigurarea protecţiei datelor cu caracter personal în cadrul transferului de date către alţi operatori vor fi prevăzute prin clauze contractuale privind utilizarea acestor date, acolo unde este cazul. Aceste clauze vor menţiona, printre altele, drepturile recunoscute persoanelor vizate, precum şi faptul ca aceste drepturi pot fi exercitate doar cu respectarea confidenţialităţii anumitor clauze comerciale.Soluţionarea plangerilor  +  Articolul 15 (1) Membrii sunt obligaţi sa rezolve plângerile şi orice alte cereri legate de prelucrarea datelor cu caracter personal, în termenele şi condiţiile prevăzute de lege. (2) Procedura de primire, investigare şi de soluţionare a plangerilor şi a celorlalte cereri ale persoanelor vizate va fi stabilită de către membri şi va fi adusă la cunoştinţa persoanelor vizate.Colaborarea cu autoritatea de supraveghere  +  Articolul 16 (1) Anual sau ori de câte ori se va solicita membrii vor prezenta autorităţii de supraveghere a prelucrarilor de date cu caracter personal rapoarte sau sinteze cu privire la plângerile primite şi la modul de soluţionare a acestora. (2) Rapoartele şi sintezele la care se referă alin. (1) vor putea conţine şi alte informaţii privind aspecte din activitatea membrilor în domeniul protecţiei datelor cu caracter personal, precum şi propuneri de imbunatatire a activităţii acestora.Cheltuielile suportate de către persoanele vizate  +  Articolul 17Membrii vor lua măsuri pentru asigurarea unui nivel rezonabil al cheltuielilor ocazionate de exercitarea drepturilor prevăzute de lege şi de codurile de conduita, cheltuieli care sunt în sarcina persoanei vizate, cu excepţia cazului în care aceste drepturi pot fi exercitate în mod gratuit.  +  Anexa 2MODEL DE COD DE CONDUITAPreambulLuând în considerare importanţa deosebită a garantarii dreptului la viaţa intima, familială şi privată, asa cum este prevăzut la art. 26 din Constituţia României,ţinând seama de necesitatea protejării acestui drept fundamental în cadrul activităţilor de prelucrare a datelor cu caracter personal, reglementate prin Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, prin Legea nr. 676/2001 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul telecomunicatiilor, precum şi prin Legea nr. 682/2001 privind ratificarea Convenţiei pentru protejarea persoanelor faţă de prelucrarea automatizata a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981,având în vedere dispoziţiile art. 28 alin. (1) din Legea nr. 677/2001, potrivit cărora asociaţiile profesionale au obligaţia de a elabora şi de a supune spre avizare autorităţii de supraveghere coduri de conduita care să conţină norme adecvate pentru protecţia drepturilor persoanelor ale căror date cu caracter personal pot fi prelucrate de către membrii acestora,ţinând seama ca asociaţiile profesionale, prin activitatea desfăşurată de membrii lor, prelucreaza date cu caracter personal, pentru protecţia cărora este necesară adoptarea unor coduri de conduita,propunem asociaţiilor profesionale următorul model de cod de conduita:  +  Capitolul 1 Dispoziţii generaleScopul şi sfera de aplicare  +  Articolul 1 (1) Prezentul model de cod de conduita are ca scop stabilirea unor norme de conduita pentru asigurarea unui nivel satisfăcător de protecţie a datelor cu caracter personal prelucrate de către membrii asociaţiilor profesionale. (2) Normele de conduita stabilesc exercitarea drepturilor şi obligaţiilor care revin membrilor asociaţiilor profesionale în domeniul protecţiei persoanelor în privinta datelor cu caracter personal, în relaţiile asociaţiilor profesionale cu persoanele vizate (în calitate de beneficiari ai serviciilor prestate, de utilizatori etc.), cu alte asociaţii profesionale, precum şi cu alte persoane fizice sau juridice care nu fac parte din asociaţiile profesionale. (3) Prezentul model de cod de conduita se aplică indiferent de operaţiunea prin care membrii asociaţiilor profesionale prelucreaza datele cu caracter personal. (4) Normele cuprinse în prezentul model de cod de conduita nu aduc atingere altor obligaţii legale imperative sau deontologice care revin asociaţiilor profesionale. (5) Prezentul model de cod de conduita conţine norme de conduita aplicabile tuturor asociaţiilor profesionale din România.Definirea termenilor  +  Articolul 2 (1) Termenii folosiţi în prezentul model de cod de conduita au următorul sens: a) asociaţii profesionale - forme organizatorice ale entitatilor de drept privat constituite pe criterii profesionale; b) persoana vizata - persoana fizica ale carei date cu caracter personal sunt prelucrate; c) a colecta - a strânge, a aduna, a primi date cu caracter personal prin orice mijloace şi din orice sursa; d) a dezvălui - a transmite, a disemina, a face disponibile în orice alt mod date cu caracter personal, în afară operatorului; e) a utiliza - a se folosi datele cu caracter personal de către şi în interiorul operatorului; f) consimţământ - acordul neviciat al persoanei vizate de a-i fi prelucrate datele cu caracter personal, care trebuie să fie întotdeauna expres şi neechivoc; g) nivel de protecţie şi de securitate adecvat al prelucrarilor de date cu caracter personal nivelul de securitate proporţional riscului, pe care îl comporta prelucrarea faţă de datele cu caracter personal respective şi faţă de drepturile şi libertăţile persoanelor şi conform cerinţelor minime de securitate a prelucrarilor de date cu caracter personal, elaborate de autoritatea de supraveghere şi actualizate corespunzător stadiului dezvoltării tehnologice şi costurilor implementarii acestor măsuri; h) marketing direct - promovarea produselor şi a serviciilor, adresată direct clienţilor, persoane fizice, prin mijloace de genul poştei, inclusiv cea electronică, sau alte mijloace de marketing la distanta, altele decât modalităţile promotionale obişnuite (reclame). (2) Termeni precum: date cu caracter personal, prelucrarea datelor cu caracter personal, stocare, operator, terţ, destinatar, date anonime, autoritate de supraveghere, dreptul de informare, dreptul de acces, dreptul de intervenţie, dreptul de opoziţie au sensurile definite de Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, de Legea nr. 676/2001 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul telecomunicatiilor, precum şi de Legea nr. 682/2001 privind ratificarea Convenţiei pentru protejarea persoanelor faţă de prelucrarea automatizata a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981.Adoptarea codurilor de conduita  +  Articolul 3 (1) Asociaţiile profesionale vor elabora propriile coduri de conduita, cu respectarea principiilor din prezentul model de cod de conduita. Codurile de conduita vor conţine norme adecvate care să reglementeze măsuri specifice domeniului de activitate al asociaţiei respective, pentru aplicarea eficienta a principiilor din prezentul model de cod de conduita. (2) Codurile de conduita care vor fi adoptate de asociaţiile profesionale vor putea fi revizuite periodic, în funcţie de modificările şi completările legislative aplicabile, precum şi de nivelul de dezvoltare tehnologică în domeniul de activitate al fiecărei asociaţii. (3) Asociaţiile profesionale vor supune codurile de conduita spre avizare autorităţii de supraveghere.Cadrul legal al codurilor de conduita  +  Articolul 4În vederea elaborării codurilor de conduita de către asociaţiile profesionale pe baza prezentului model de cod de conduita, vor fi respectate dispoziţiile legale referitoare la protecţia dreptului la viaţa intima, familială şi privată, în ceea ce priveşte prelucrarea datelor cu caracter personal. Se vor avea în vedere în mod special dispoziţiile Legii nr. 676/2001, ale Legii nr. 677/2001, precum şi ale Legii nr. 682/2001.  +  Capitolul 2 Principiile prelucrarilor de date cu caracter personal efectuate de către membrii asociaţiilor profesionaleLegalitatea şi transparenta  +  Articolul 5 (1) Membrii asociaţiilor profesionale, denumiţi în continuare membri, recunosc şi respecta dreptul la viaţa intima, familială şi privată. (2) Prelucrarea datelor cu caracter personal de către membri se desfăşoară în conformitate cu prevederile legale în vigoare. (3) Membrii sunt obligaţi să asigure transparenta prelucrarilor de date cu caracter personal.Responsabilitatea  +  Articolul 6 (1) Membrii sunt responsabili pentru datele cu caracter personal aflate sub controlul lor, precum şi pentru datele transferate către terţi. (2) Fiecare membru va desemna persoanele care vor răspunde pentru respectarea dispoziţiilor legale din domeniul protecţiei persoanelor şi a datelor cu caracter personal, precum şi a principiilor prevăzute în prezentul model de cod de conduita.Legitimitatea scopului colectării  +  Articolul 7 (1) Colectarea de date cu caracter personal prin mijloace frauduloase, neloiale sau ilegale este interzisă. (2) Membrii vor comunică scopurile pentru care sunt colectate datele cu caracter personal fie înainte, fie cel mai târziu la momentul colectării. (3) Menţionarea scopurilor poate fi realizată în scris, oral sau în forma electronică, într-un limbaj uşor accesibil pentru persoanele vizate.Consimţământul  +  Articolul 8 (1) Consimţământul persoanelor vizate este cerut în cazul prelucrării datelor cu caracter personal, în afară cazurilor în care legea dispune altfel. (2) Membrii vor folosi orice mijloace nedolosive, care necesita costuri financiare rezonabile, pentru a informa persoanele vizate în legătură cu prelucrarea datelor cu caracter personal şi pentru a solicita consimţământul acestora la momentul colectării datelor cu caracter personal. (3) Persoana vizata îşi poate retrage consimţământul în orice moment, sub condiţia avizării prealabile a operatorului. Acesta va informa persoana vizata în legătură cu procedura şi efectele retragerii consimţământului.Legitimitatea dezvaluirii  +  Articolul 9 (1) Membrii vor prelucra datele cu caracter personal numai pentru scopurile pentru care au fost colectate, cu excepţia cazului în care persoana vizata îşi da consimţământul pentru prelucrarea în alte scopuri sau în alte cazuri permise de lege. (2) Accesul la datele prelucrate va fi permis numai angajaţilor membrilor, în îndeplinirea obligaţiilor de serviciu.Legitimitatea stocării  +  Articolul 10 (1) Membrii sunt obligaţi sa păstreze datele cu caracter personal exacte, complete şi actualizate, pentru realizarea scopurilor pentru care sunt utilizate. (2) Datele inexacte sau incomplete vor fi şterse sau rectificate. (3) Datele cu caracter personal vor fi păstrate numai pentru perioada necesară atingerii scopurilor stabilite. (4) Membrii vor adopta reguli speciale în privinta stabilirii perioadei minime şi maxime necesare pentru păstrarea datelor colectate, urmărind totodată respectarea drepturilor persoanei vizate, în special a dreptului de acces, de intervenţie şi de opoziţie. (5) În urma verificărilor periodice datele cu caracter personal deţinute de operator, care nu mai servesc realizării scopurilor sau îndeplinirii unor obligaţii legale, vor fi distruse sau transformate în date anonime într-un interval de timp rezonabil, potrivit procedurilor stabilite de lege sau, în lipsa unor astfel de dispoziţii legale, de către membri.Securitatea prelucrarilor  +  Articolul 11Membrii sunt obligaţi sa ia măsurile tehnice şi organizatorice necesare pentru asigurarea unui nivel de protecţie şi de securitate adecvat, în cadrul operaţiunilor efectuate asupra datelor cu caracter personal, în următoarele scopuri: pentru a limita accesul la bazele de date, care este permis numai persoanelor autorizate; pentru a interzice copierea datelor în afară locurilor în care sunt gestionate; în general, pentru a împiedica orice circulaţie necontrolata a datelor.Dreptul de informare  +  Articolul 12 (1) Strategiile şi procedurile folosite de membri în legătură cu procesarea datelor cu caracter personal vor fi puse la dispoziţie persoanelor vizate, sub forma de informaţii furnizate într-un limbaj accesibil, prin mijloace fizice (de exemplu, prin broşuri), telefonice sau electronice. (2) Membrii vor comunică informaţii, la cerere, în legătură cu datele cu caracter personal, pe care le prelucreaza, sursele din care au colectat datele cu caracter personal, scopurile prelucrării, dacă şi cărui terţ i-au fost dezvăluite aceste date, atunci când legea nu interzice. (3) În cazul în care dezvaluirea datelor este impusa de lege (de exemplu, în vederea executării unei hotărâri judecătoreşti), membrii se vor asigura ca terţul care solicită dezvaluirea acţionează în conformitate cu dispoziţiile legale incidente, iar cererea priveşte numai datele cu caracter personal neexcesive prin raportare la scopul prelucrării. Persoana vizata va fi informată în legătură cu dezvaluirea, numai dacă legea permite. (4) Aducerea la cunoştinţa persoanelor vizate a drepturilor de care beneficiază (în special, drepturile prevăzute la art. 12-15 din Legea nr. 677/2001) se poate face prin intermediul unor menţiuni înscrise pe ofertele de produse sau servicii, pe primul document adresat persoanei vizate (de exemplu, factura, borderou de livrare, confirmare de primire etc.), pe prospectele care conţin şi chestionare etc.Dreptul de acces  +  Articolul 13 (1) Membrii vor permite accesul persoanelor vizate la datele cu caracter personal care le privesc, prin cele mai facile mijloace, pe care le pot pune la dispoziţie, în mod rezonabil. (2) Accesul persoanei vizate nu poate fi permis, cu excepţia cazurilor prevăzute de lege, în următoarele situaţii: în cazul în care sunt solicitate date despre o altă persoană; în cazul în care ar putea fi afectate viaţa şi siguranţa altei persoane; în cazul în care sunt solicitate date care pot privi informaţii comerciale confidenţiale; în cazul în care s-ar aduce atingere soluţionării unui litigiu sau a unui proces penal. (3) Membrii sunt obligaţi sa motiveze refuzul de a permite accesul la anumite date cu caracter personal.Dreptul de intervenţie  +  Articolul 14 (1) Persoanele vizate au dreptul de a solicita verificarea exactitatii şi a caracterului complet al datelor cu caracter personal care le privesc, precum şi de a solicita rectificarea datelor inexacte sau incomplete, prin formularea unor contestaţii. (2) Membrii vor păstra o evidenta a contestaţiilor privind caracterul exact sau complet al datelor, care nu au fost rezolvate, iar în cazul în care datele vor fi transferate către alţi operatori, vor fi precizate datele care au fost rectificate sau în privinta cărora exista contestaţii nerezolvate. (3) Dispoziţiile alin. (2) se aplică şi în cazul dezvaluirii de date către terţi, dacă este cazul. (4) Actualizarea bazelor de date se face prin intermediul informaţiilor transmise de persoanele vizate, precum şi prin informaţiile furnizate de orice sursa externa autorizata de lege.Dreptul de opoziţie  +  Articolul 15 (1) Exercitarea de către persoana vizata a dreptului de opoziţie împotriva prelucrării datelor cu caracter personal, în efectuarea operaţiunilor de marketing direct, este asigurata prin intermediul formulării unor cereri în acest sens sau prin includerea în listele de opoziţie a persoanelor vizate. Persoana vizata va fi încunoştinţată de existenta listelor de opoziţie, precum şi de modalitatea de a solicita includerea în acestea. (2) Persoanele vizate îşi pot exercita dreptul de opoziţie în orice moment, de preferinta într-un termen rezonabil acordat de operator, fără a se aduce atingere posibilităţii ca dreptul să fie exercitat şi în afară acestui termen. (3) Listele de opoziţie sunt gestionate de asociaţiile profesionale. (4) În cazul prelucrarilor ulterioare, precum şi al transferului către alţi operatori al datelor cu caracter personal, membrii se vor asigura ca acestea nu privesc date pentru care persoanele vizate au exercitat anterior dreptul de a le fi şterse datele sau dreptul de opoziţie la transferul acestora.Legitimitatea transferului  +  Articolul 16 (1) În cazul transferului de date cu caracter personal către alţi operatori, în special în operaţiunile de marketing direct, persoanele vizate vor fi informate cu privire la transfer prin înscrierea unor menţiuni pe ofertele de produse sau servicii. (2) Menţiunile prevăzute la alin. (1) vor cuprinde şi specificarea dreptului de opoziţie la transferul datelor, precum şi metoda prin care persoanele vizate îşi pot exercita acest drept. (3) Garanţiile pentru asigurarea protecţiei datelor cu caracter personal în cadrul transferului de date către alţi operatori vor fi prevăzute prin clauze contractuale privind utilizarea acestor date, acolo unde este cazul. Aceste clauze vor menţiona, printre altele, drepturile recunoscute persoanelor vizate, precum şi faptul ca aceste drepturi pot fi exercitate doar cu respectarea confidenţialităţii anumitor clauze comerciale.Soluţionarea plangerilor  +  Articolul 17 (1) Membrii sunt obligaţi sa rezolve plangerile şi orice alte cereri legate de prelucrarea datelor cu caracter personal, în termenele şi condiţiile prevăzute de lege. (2) Procedura de primire, investigare şi de soluţionare a plangerilor şi a celorlalte cereri ale persoanelor vizate va fi stabilită de către membri şi va fi adusă la cunoştinţa persoanelor vizate.Colaborarea cu autoritatea de supraveghere  +  Articolul 18 (1) Anual sau ori de câte ori se va solicita membrii vor prezenta autorităţii de supraveghere a prelucrarilor de date cu caracter personal rapoarte sau sinteze cu privire la plângerile primite şi la modul de soluţionare a acestora. (2) Rapoartele şi sintezele la care se referă alin. (1) vor putea conţine şi alte informaţii privind aspecte din activitatea membrilor în domeniul protecţiei datelor cu caracter personal, precum şi propuneri de imbunatatire a activităţii acestora.Cheltuielile suportate de către persoanele vizate  +  Articolul 19Membrii vor lua măsuri pentru asigurarea unui nivel rezonabil al cheltuielilor ocazionate de exercitarea drepturilor prevăzute de lege şi de codurile de conduita, cheltuieli care sunt în sarcina persoanei vizate, cu excepţia cazului în care aceste drepturi pot fi exercitate în mod gratuit.  +  Capitolul 3 Dispoziţii finale şi tranzitoriiModul de aplicare  +  Articolul 20 (1) Dispoziţiile prezentului model de cod de conduita vor fi avute în vedere la adoptarea propriilor coduri de conduita de către asociaţiile profesionale care prelucreaza date cu caracter personal. (2) Normele prezentului model de cod de conduita au caracter de recomandare. (3) Prezentul model de cod de conduita se completează cu prevederile legale în domeniul protecţiei datelor cu caracter personal.Modificarea şi completarea modelului de cod de conduita  +  Articolul 21 (1) Membrii asociaţiilor profesionale sau persoanele interesate pot propune modificări sau completări ale prezentului model de cod de conduita. (2) Propunerile la care se referă alin. (1) vor fi trimise, în scris şi motivat, autorităţii de supraveghere. (3) Autoritatea de supraveghere va lua în considerare numai propunerile pertinente şi concludente, în vederea modificării şi completării prezentului model de cod de conduita.──────────────