Cod de conduita

     COD DE CONDUITA PENTRU PRELUCRAREA DATELOR CU CARACTER PERSONAL

                                              IN MARKETING DIRECT

Memorandum explicativ

ARMAD este asociatia care reprezinta sectorul de marketing direct la nivelul Romaniei

Asociatia este constituita in conformitate cu dispozitiile OG 26/2000 de catre membrii fondatori.
ARMAD este înfiinţată şi funcţioneaza ca persoana juridica romana de drept privat, cu caracter non-profit, neguvernamentala si apolitica.

ARMAD este o asociaţie cu caracter nepatrimonial creata cu scopul de a proteja interesele persoanelor fizice şi juridice ce isi desfasoara activitatea profesionala in marketing direct.

Scopul ARMAD este de a promova marketingul direct in Romania, de a apara interesele membrilor Asociatiei atat pe plan naţional si international fata de autoritati, organizatii economice si de stat, in special fata de autoritatile de reglementare in domeniul telecomunicatiilor si al protectiei datelor personale.


ARMAD reprezinta direct sau indirect practicienii de marketing direct, scopul sau fiind acela de a schita pentru practicienii de marketing direct un cod de conduita pentru prelucrarea datelor cu caracter personal. Acest instrument esential este o interpretare a Legii nr. 677/2001 folosind termeni pe intelesul practicienilor de marketing direct cuprinzand si standarde de conduita .
Codul este schitat in primul rand ca un instrument de buna practica si intocmit ca o referinta fata de structura legilor aplicabile. Membrii directi ai ARMAD vor actiona dupa standardele stabilite de Codul de Conduita ARMAD, dar este obligatia lor sa se conformeze si legilor si regulilor nationale. Acest cod nu intentioneaza sa reduca sau sa inlocuiasca aplicabilitatea legilor si regulilor nationale.
ARMAD spera si incearca sa impuna acest punct de vedere si celorlalti practicieni de marketing direct, fie ei membrii sau nu, ca o regula generala de conduită pentru intreaga industrie.
ARMAD accepta ca acest Cod de Conduita este doar un prim pas in dezvoltarea unei bune practici in protectia datelor. Cu timpul acest Cod va trebui sa devina din ce in ce mai complex si sa reflecte aspiratiile in crestere ale practicienilor precum si schimbarile majore ale legislatiei romane si UE.

Prezentul Cod de Conduita isi propune  sa stabileasca cerinte specifice in domeniul marketingului direct in conformitate cu  legislatia aplicabila, prevazuta prin Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, prin Legea nr. 676/2001 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul telecomunicaţiilor, precum şi prin Legea nr. 682/2001 privind ratificarea Convenţiei pentru protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981. Termenii si definitiile prevazute de legislatia in vigoare prevaleaza sau completeaza termenii si definitiile utilizate in prezentul Cod de Conduita.
Este bine de retinut ca legile protectiei datelor personale se aplica prelucrarilor de date din orice domeniu, cu exceptiile prevazute de lege.
Acest cod trebuie vazut in legatura si cu celelalte reguli de conduita ale ARMAD incluzand aici si principiile europene privind utilizarea telefonului ca mijloc de afaceri sau a comertului electronic.

DEFINITII

Marketing Direct
Promovarea produselor si a serviciilor, adresata direct clienţilor, persoane fizice, prin mijloace de genul poştei, inclusiv cea electronică, sau alte mijloace de marketing la distanta, altele decat modalitatile promotionale obisnuite (reclame)(in ceea ce priveste prezentul Cod de Conduita).
Date Personale
Datele personale reprezinta orice informatie care se refera la o persoana identificata sau identificabila. Persoana identificabila este cea care poate fi recunoscuta in mod individual, direct sau indirect, printr-un numar de identificare sau printr-unul sau mai multi factori specifici identitatii sale fizice, fiziologice, psihice, economice, culturale sau sociale.
Categorii speciale de date
Orice date personale care dezvaluie oricare din informatiile urmatoare despre  o persoana fizica sunt considerate susceptibile si iar prelucrarea lor este interzisa cu exceptiile expres prevazute de lege:
•    Originea rasiala sau etnica
•    Convingeri politice
•    Apartenenta la un sindicat
•    Convingeri religioase sau filosofice
•    Starea de sanatate fizica sau mentala
•    Viata sexuala
•    Comiterea de infractiuni, condamnari penale sau masuri de siguranta luate impotriva persoanei,

      masuri administrative ori contraventionale
•    Cod numeric personal sau alta data cu functie de identificare cu aplicabilitate generala
Direct Marketer
Orice persoana fizica sau juridica (incluzand fundatiile caritabile si partidele politice) care stabileste scopul si mijloacele de prelucrare a datelor, care transmite prin orice mijloace (postal, prin telefon, fax, servicii on-line si altele) orice material publicitar sau promotional care este adresat direct unei presoane fizice.
Persoana Vizata

O persoana fizica ale carei date personale pot fi identificate sau identificabile si sunt supuse prelucrarii.
Reprezentantul Operatorului cu privire la Protectia Datelor Personale
Orice persoana fizica numita de un Operator sa exercite functiile descrise in acest cod.
Operatorul de Date Personale
Se refera la orice persoana fizica sau juridica care stabileste (singur sau alaturi de alte persoane fizice sau juridice) scopurile si mijloacele in care este si trebuie facuta prelucrarea datelor personale.
Nota:
Operatorul de Date Personale nu trebuie confundat cu proprietarul bazei de date. De exemplu, o organizatie poate fi proprietarul unei baze de date (pentru ca este in posesia drepturilor materiale de a utiliza baza de date) si in acelasi timp Operator. Aptitudinile Operatorului si ale Imputernicitului de Date Personale nu sunt intotdeuna aceleasi. Imputernicitul de Date Personale nu este intotdeauna si Operator.
Imputernicitul de Date Personale
Orice persoana fizica sau juridica, alta decat un angajat al Operatorului, care prelucreaza datele personale exclusiv sub instructiunile, sub responsabilitatea si in numele Operatorului.
Tertii
Orice persoana fizica sau juridica care nu este nici Persoana Vizata, nici Operator de Date Personale, nici Imputernicit de Date Personale, nici agent sau angajat ai Operatorului sau ai Imputernicitului de Date Personale, care sub autoritatea directa a operatorului sau a persoanei imputernicite, sunt autorizate sa prelucreze date.
Nota:
Un Operator de Date Personale poate numi compania A ca Imputernicitul sau de Date Personale. Imputernicitul de Date Personale poate prelucra datele personale numai urmand instructiunile Operatorului. Daca Operatorul decide sa vanda o lista specifica unei companii B, aceasta devine terta parte.
Prelucrare
Inseamna orice operatiune sau set de operatiuni care se efectueaza asupra datelor cu caracter personal prin mijloace automate sau neautomate, precum colectarea, inregistrarea, organizarea, stocarea, modificarea, utilizarea,  dezvaluirea catre terti prin transmitere, combinarea, blocarea, stergerea sau distrugerea si alte operatiuni care sunt prevazute in lege.
Acest termen se aplica doar prelucrarilor legate de activitatile de marketing direct. Operatorii de marketing direct trebuie sa verifice daca realizeaza si alte tipuri de prelucrari care se supun regulilor protectiei datelor.
Dezvaluirea datelor
Inseamna a transmite, a disemina, a face disponibile in orice alt mod date cu caracter personal, in afara operatorului
Copiii
Orice persoana fizica cu varsta sub 18 ani.
Parintele Copilului
Parintele, tutorele legal in sensul prezentului cod de conduita.
Autoritatea  de Supraveghere
Avocatul Poporului, in temeiul Legii nr. 677/2001.
Campanie member-get-member
Campanie prin care o persoana vizata este determinata sa ofere sa comunice datele personale ale unei alte persoane vizate, de regula o persoana avand caracteristici similare.
Lista Robinson (sau Lista de Preferinta de Servicii, sau MPS, sau lista de opozitie)
Lista cuprinzand numele persoanelor fizice care nu doresc ca datele lor personale sa fie prelucrate in scop de marketing direct.
Broker
Intermediarul , persoana fizica sau juridica, unei operatiuni legate de bazele de date.
Adresa capcana
Adresa introdusa intr-o baza de date de adrese in scopul de a controla modul de utilizare al acelei baze de date.
Mailing combinat
Un mailing in care operatorul introduce un material promotional de la o terta parte.


PRINCIPII DE PRELUCRARE A DATELOR PERSONALE IN MARKETING DIRECT


1. Obtinerea datelor personale
1.1. Colectarea datelor direct de la persoanele vizate

Pe parcursul colectarii informatiilor, operatorul trebuie sa se asigure ca aceasta se face in mod corect si ca dreptul persoanei vizate la informatie, dupa cum este specificat in acest cod, este asigurat.
Principii generale pentru o prelucrare corecta

•    Informatii esentiale

 Operatorul de marketing direct trebuie sa se asigure ca persoanele vizate sunt informate asupra:
       -    identitatii operatorului (ex: nume si adresa)
       -    scopului sau scopurilor prelucrarii (ex: promotional sau tranzactional)
Aceste informatii esentiale trebuie specificate la momentul colectarii datelor, in afara situatiei in care acestea reies foarte clar din context (de exemplu, referitor la identitatea si scopul operatorului, cand numele companiei este clar specificat in promotie) sau daca  persoana vizataare deja aceste informatii (de exemplu, daca subiectul are un contract cu operatorul).


•    Informatii despre dreptul de a accesa, corecta sau de a se opune prelucrarii datelor personale.

  Operatorul de marketing direct trebuie sa se asigure ca persoana vizata este informata despre:
      -    dreptul de a accesa si corecta greselile legate de datele lor personale
      -    dreptul de a refuza abordarea lor in scopuri tinand de marketing direct
      -    dreptul de a refuza prelucrarea datelor personale
Conditii de exercitare a drepturilor
Orice persoană vizată are dreptul de a obţine de la operator, la cerere şi în mod gratuit pentru o solicitare pe an, confirmarea faptului că datele care o privesc sunt sau nu sunt prelucrate de acesta.

Situatii specifice

 

•    Informatii privind utilizarea datelor personale de catre operator pentru activitatile proprii de marketing direct.

In cazul in care se intentioneaza utilizarea datelor pentru propriile activitati de marketing direct ale operatorului, acesta trebuie sa se asigure ca persoana vizata are cunostinta de informatiile esentiale si de dreptul sau de a refuza prelucrarea datelor sale personale (opt-out).

Operatorul trebuie sa ofere informatiile in momentul colectarii datelor prin orice efort necesar. In cazul in care acest lucru este dificil sau imposibil (ex: spatiu mic al anuntului publicitar sau telemarketing), informatiile trebuie oferite cat mai curand dupa culegerea datelor, de exemplu, cand  persoana vizataprimeste primele documente scrise (ex: facturi, chitante etc.) sau pe orice alt suport material.


•    Informatii in caz de dezvaluirea datelor

Cand se intentioneaza comunicarea datelor personale unui tert, pe langa informatiile esentiale, operatorul trebuie sa se asigure ca persoana vizata este informata asupra:
       -    oricaror destinatari sau tipurilor de destinatari de date personale si scopul pentru care

            datele personale vor fi dezvaluite
      -     dreptul lor de a se opune dezvaluirii datelor personale in scopuri de marketing direct

Aceste informatii trebuie oferite in momentul culegerii datelor, prin orice efort necesar, dar in cazul in care acest lucru este dificil sau imposibil (in caz de spatiu mic al anuntului publicitar sau telemarketing), aceste informatiile trebuie oferite inainte ca orice tip de comunicare a tertului sa aiba loc sau cel mai tarziu pana in momentul acestei dezvaluiri.

Aceste informatii pot sa nu fie furnizate daca au fost deja anuntate printr-un mijloc specific (ex: o comunicare colectiva specifica destul de accesibila si de directionata catre persoanele vizate specifice).

•    Informatii in cazul utilizarii de chestionare sau alte formulare

In plus fata de informatiilor esentiale, operatorul trebuie sa se asigure ca

persoanele vizate sunt informate daca raspunsurile la intrebari sunt obligatorii sau voluntare si de eventualele consecinte in caz de lipsa a unui raspuns (de exemplu, fara a fi limitat la acest exemplu, in cazul in care persoana vizate nu va mai primi un premiu necompletand datele dintr-un chestionar). De asemenea, operatorul trebuie sa se asigure ca nu sunt puse decat intrebarile necesare.
In cazul utilizarii de chestionare aceste informatii trebuie oferite la momentul colectarii datelor.

1.2. Colectarea din alte surse decat direct de la persoana vizata

1.2.1. Atunci cand datele personale nu sunt colectate direct de la persoanele vizate trebuie sa se efectueze anumite demersuri pentru ca totusi persoanelor vizate sa le fie furnizate informatiile pe care le-ar fi aflat in cazul unui contact direct cu operatorul (de exemplu, datele obtinute prin inchirierea de liste, datele colectate in urma chestionarelor sau campaniilor member get member).


1.2.2. Operatorul trebuie sa furnizeze informatiile esentiale mentionate la art. 1.1:
        -    la momentul in care se face inregistrarea (prelucrarea) datelor
        -    inainte sau pana in momentul primei dezvaluiri catre un tert, in afara cazului in care

             persoana vizata a fost deja informata


1.2.3. In eventualitatea in care datele personale prelucrate au fost initial colectate respectand regulile de protectie a datelor, ca o derogare de la principiile stabilite la Art. 1.2.1. cerinta de  informare mentionata mai sus nu este obligatorie in anumite circumstante exceptionale care implica un efort disproportionat. De exemplu, atunci cand datele personale sunt obtinute de la un tert si urmeaza sa fie folosite dupa un interval scurt de timp, ar fi un efort disproportionat sa se informeze persoana vizata putandu-se astepta pana are loc primul contact cu persoana vizata.


1.2.4. Acesti factori trebuie intotdeauna corelati cu consecintele care pot aparea in urma aplicarii unei astfel de derogari. Exemple de circumstante in care se poate aplica o derogare:
      -    pentru datele personale pastrate pentru scopul de blocare sau verificare de adrese
      -    pentru datele personale blocate prin aplicarea unei liste Robinson sau a unei liste de

           Preferinta de Servicii
      -    cand operatorul foloseste datele personale pentru eliminarea anumitor date personale din

           lista, pe motivul ca  nu corespund profilului solicitat


1.2.5. Operatorii care au stabilit factorii determinanti in aplicarea unei derogari trebuie sa se asigure ca exista un document scris prin care se justica motivele care au stat la baza acestei decizii, tipul informatiilor pe care Operatorul ar fi trebuit sa le dea si motivele pentru care persoanele vizate nu vor fi prejudiciate prin aplicarea derogarii.

1.3. Colectarea datelor speciale
Datorita importantei acestor date sunt necesare masuri speciale pentru prelucrarea lor. Prelucrarea datelor cu caracter personal legate de originea rasiala sau etnica, convingerile politice, religioase, filozofice, sau de natura similara, de apartenenta sindicala, a codului numeric personal, a altor date cu functie de identificare de aplicabilitate generala, precum si a datelor cu caracter personal privind starea de sanatate sau viata sexuala este interzisa.

Pentru prelucrarea acestor date Operatorul trebuie sa solicite in mod expres consimtamantul persoanei vizate pentru colectarea si prelucrarile ulterioare ale acestor date.
Consimtamantul expres se refera la cel oferit de buna voie si formulat in asa fel incat sa fie foarte clar. Consimtamantul expres nu trebuie sa fie dat neaparat in scris, dar acest tip de consimtamant este des utilizat in practica pentru ca se poate face dovada acestuia.

Exista si situatii in care acest consimtamant nu este necesar:
       -    cand prelucrarea se refera la date personale facute publice in mod manifest de catre

            persoana vizata (de exemplu in cazul unei informatii obtinute dintr-o sursa publica, al unei

            liste in care pesoana vizata a avut ocazia de a refuza includerea sa in lista)
       -    datele personale sunt prelucrate de o organizatie non-profit in care persoana vizata este

            membru (politica, religioasa, sindicala), prelucrarea trebuind facuta in legatura cu scopurile

            non-profit si nu trebuie furnizate unui tert fara consimtamant. Un exemplu de astfel de

            activitati poate fi o biserica sau o asociatie religioasa care trimite sau foloseste un

            intermediar sa trimita o scrisoare membrilor pentru a-i anunta publicarea unui buletin

            religios la care membrii se pot abona sau o scrisoare pentru strangere de fonduri pentru

            ajutoare sau asistenta in anumite situatii.

Sub nici o forma companiile nu ar trebui sa foloseasca date speciale intr-un mod in care ar prejudicia drepturile fundamentale ale persoanelor vizate.

Atunci cand datele personale colectate in legatura cu activitati de marketing direct sunt prelucrate ulterior pentru analize statistice acestea trebuie facute anonime sau transformate astfel incat sa nu permita identificarea persoanelor vizate, in afara de cazul in care operatorul nu a obtinut consimtamantul expres al acestora.

1.4. Scopuri diferite
1.4.1. Daca se intentioneaza prelucrarea datelor personale in scopuri diferite de cele pentru care datele au fost initial colectate operatorul trebuie sa verifice daca noul scop este compatibil cu scopul declarat initial, pentru care datele au fost completate. In caz de compatibilitate, prelucrarea pentru un nou scop este permisa. In caz de incompatibilitate, prelucrarea este permisa doar cand nu contravine legilor de protectie a datelor personale.


1.4.2. Pentru a stabili compatibilitatea noului scop, operatorul trebuie sa ia in considerare urmatoarele criterii: daca noile scopuri sunt diferite considerabil de scopul initial, daca persoanele vizate ar putea prevedea in mod rezonabil acest nou scop sau in eventualitatea in care este probabila opozitia persoanelor vizate daca ar cunoaste noul scop. Operatorul trebuie sa ia intotdeauna in considerare indrumarile legale emise de Autoritatea de Supraveghere.

1.5. Host Mailings (mailing combinat)

Operatorul unui Host Mailing trebuie sa fie clar identificabil.
Se considera mailing combinat cand operatorul include in mailing-ul propriu material de la o a treia parte.

Criteriile de selectie cu efecte in detrimentul persoanei vizate – de exemplu, utilizarea de date speciale legate de un obicei de vanzare asa cum sunt ele mentionate la punctul 1.3 (achizitionarea in trecut a unui produs farmaceutic) – nu trebuie folosite.

1.6. Prevederi specifice pentru copii
1.6.1. In colectarea datelor personale despre copii, operatorul trebuie sa se asigure ca se fac toate eforturile sa se informeze corect copilul sau parintele despre scopul prelucrarii datelor personale ale copilului.
In cazul in care se utilizeaza materiale promotionale adresate direct copiilor sau se colecteaza date de la ei cu acest scop, informatiile trebuie sa fie vizibile, usor de citit si inteles de catre copii.


1.6.2. In toate cazurile in care este necesar un consimtamant expres, operatorul trebuie sa obtina consimtamantul expres al parintelui. Forma si metoda de obtinere a acordului trebui sa respecte intotdeauna legislatia in vigoare si prezentul Cod de Conduita.


1.6.3. Operatorul trebuie sa acorde parintelui aceleasi drepturi asupra datelor personale ale copilului precum cele prevazute la punctul 2.5 al acestui cod. Operatorul trebuie sa adopte masuri rezonabile pentru verificarea faptului ca persoana care exercita drepturile copilului este parintele acestuia.


1.6.4. Operatorul nu trebuie sa conditioneze participarea copilului la jocuri, primirea de premiii sau orice alt tip de activitate promotionala de dezvaluirea de catre acesta a mai multor date personale decat cele strict necesare pentru participare.

2. Responsabilitatile Operatorului
2.1. Principiile Protectiei Datelor Personale

2.1.1. Operatorul trebuie sa respecte urmatoarele principii :

 

    Datele personale:

  •  sa fie prelucrate cu buna credinta
  •  sa fie prelucrate in conformitate cu legile si prevederile acestui cod.
  •  sa fie colectate pentru scopuri explicite si legitime
  •  sa nu existe prelucrari ulterioare incompatibile cu aceste scopuri
  •  sa fie adecvate, relevante si nu excesive in raport cu scopurile pentru care sunt colectate
  •  sa fie precise si actualizate prin rectificari facute de catre persoanele vizate sau date publice  disponibile       
  •  sa fie pastrate intr-o forma care permite identificarea persoanelor vizate pe durata realizarii  scopurilor

2.1.2. Operatorii trebuie sa aiba un contract cu Imputernicitii datelor personale prin care acestia se obliga sa respecte aceste principii si sa actioneze numai la instructiunile Operatorului. Responsabilitatea pentru prelucrarea corecta ramane a Operatorului si nu poate fi transferata Imputernicitului sau unui imputernicit .

2.2. Notificarea Autoritatii de Supraveghere
Operatorii trebuie sa se asigure ca operatiunile de prelucrare sunt notificate in conformitate cu legea aplicabila.

2.3. Masuri de Securitate
2.3.1. Operatorii trebuie sa foloseasca masuri specifice pentru a preveni distrugerea sau pierderea accidentala, alterarea sau accesul neautorizat in fisierele cu date personale. Pentru o mai mare siguranta, operatorii sunt incurajati sa foloseasca adrese capcana. Este recomandata incheierea unui contract in forma scrisa intre broker-ul si utilizatorul unei liste care sa asigure ca listele sunt folosite respectand masurile de securitate adecvate.

2.3.2. Masurile de securitate includ, printre altele, asigurarea securitatii cladirilor in care datele personale sunt pastrate si/sau prelucrate (incluzand accesul in cladire), intocmirea listei persoanelor care au acces la date (cu mentionarea raspunderii lor), mecanismele adecvate de autentificare (de exemplu, parole de control) si asigurarea securitatii transferului datelor intre operator si Imputernicit.

2.4. Coordonator Date Personale

2.4.1. Operatorii trebuie sa numeasca un coordonator care sa actioneze ca o persoana de contact in ceea ce priveste protectia datelor personale.

2.4.2. Responsabilitatile coordonatorului date personale trebuie sa includa cel putin:

  • monitorizarea personala sau in echipa a respectarii de catre operator a masurilor de protectie a datelor pesonale asa cum sunt ele cerute de legislatia in vigoare, de Autoritatea de Supraveghere sau de prezentul Cod de Conduita.
  • furnizarea informatiilor cerute de catre Autoritatea de Supraveghere.

2.5. Transmiterea de liste de date personale
2.5.1.Operatorii care transmit liste catre alte organizatii trebuie sa urmeze o serie de pasi rezonabili pentru a investiga intentiile de utilizare a acestor liste (de exemplu, sa solicite o copie a mailingului). Operatorii trebuie sa se asigure ca materialul mailingului nu este ilegal, este etic, nu dauneaza imaginii Marketingului Direct in general si nu continte materiale inacceptabile.

2.5.2. Operatorii trebuie sa se asigure de asemenea printr-un contract ca si utilizatorii acestor liste vor respecta prevederile prezentului Cod de Conduita. Acest contract va cuprinde clauze contractuale prin care se vor respecta drepturile recunoscute persoanelor vizate.


2.5.3. În cazul transmiterii de liste de date cu caracter personal către alţi operatori, în special în operaţiunile de marketing direct, persoanele vizate vor fi informate cu privire la transfer prin înscrierea unor menţiuni pe ofertele de produse sau servicii.

3. Solutionarea solicitarilor persoanelor vizate

3.1. Accesul la datele personale
3.1.1. Orice persoana vizata are dreptul de a obtine de la operator la cerere si in mod gratuit, pentru o solicitare pe an: confirmarea faptului ca datele care privesc persoana vizata sunt sau nu prelucrate de acesta, scopul prelucrarii, categoriile de date avute in vedere si destinatarii sau categoriile de destinatari carora le sunt dezvaluite datele.

3.1.2. Operatorul care primeste cereri, in scris sau in orice alt mod, de la persoanele vizate pentru a-si vedea datele personale trebuie:

  • sa indice orice informatie speciala necesara din partea persoanei vizate pentru a se asigura ca aceasta este in masura sa exercite drepturile de acces si pentru a se identifica datele sale personale (ex: referiri la campanii de mailing).
  • sa puna la dispozitie datele personale intr-o forma inteligibila si sa adauge orice explicatie necesara pentru informatiile neclare, de exemplu o lista de coduri folosita de catre operator.
  • sa informeze despre orice taxa rezonabila pe care intentioneaza sa o aplice pentru punerea la dispozitie a datelor, pentru celelalte solicitari in afara solicitarii gratuite o data pe an.
  • sa informeze despre mecanismul oricarei decizii automatizate bazate pe datele personale ale persoanei vizate in scopul unor evaluari ce ii pot afecta, de exemplu, valoarea credibilitatea unei persoane vizate.

3.2. Dreptul de intervenţie
Orice persoana vizata are dreptul de a obtine la cerere si in mod gratuit verificarea exactitatii si a caracterului complet al datelor cu caracter personal care o privesc, precum si de a solicita rectificarea datelor inexacte sau incomplete, blocarea sau stergerea datelor a caror prelucrare nu este conform Legii 677/2001.
Membrii ARMAD vor păstra o evidenţă a contestaţiilor privind caracterul exact sau complet al datelor, care nu au fost rezolvate, iar în cazul în care datele vor fi transferate către alţi operatori sau vor fi dezvaluite catre terti, vor fi precizate datele care au fost rectificate sau în privinţa cărora există contestaţii nerezolvate.
Actualizarea bazelor de date se face prin intermediul informaţiilor transmise de persoanele vizate.

 

3.3. Dreptul de opozitie
Persoana vizata are dreptul de a se opune in orice moment, din motive intemeiate si legitime legate de situatia sa particulara, ca datele care o vizeaza sa faca obiectul unei prelucrari, cu exceptia cazurilor in care exista dispozitii legale contrare. In caz de opozitie justificata prelucrarea nu mai poate viza datele in cauza.

Exercitarea de către persoana vizată a dreptului de opoziţie împotriva prelucrării datelor cu caracter personal, în efectuarea operaţiunilor de marketing direct, este asigurată prin intermediul formulării unor cereri în acest sens sau prin includerea în listele de opoziţie a persoanelor vizate in momentul in care aceste liste de opozitii vor fi implementate de catre ARMAD. Persoana vizată va fi încunoştinţată de existenţa listelor de opoziţie, precum şi de modalitatea de a solicita includerea în acestea.

3.4. Sursa Datelor
Cand operatorul primeste cereri din partea persoanelor vizate referitoare la sursa datelor personale, poate comunica sursa solicitantului, in limite legale, si cand aceasta sursa poate fi identificata prin eforturi rezonabile. Daca datele personale sunt cumulate din mai multe surse, operatorul este incurajat sa pastreze o evidenta a acestor surse.

3.5. Intervale de timp pentru a solutiona cererile persoanelor vizate
3.5.1. Operatorul trebuie sa furnizeze informatiile solicitate intr-o perioada scurta de timp care sa nu depaseasca perioada permisa de Legea nr. 677/ 2001, adica in termen de 15 de zile.

4. Sistemul Preferintei de Servicii
4.1. Blocarea interna

4.1.1. Operatorul trebuie sa se asigure de functionarea, in baza proprie de date, a unui sistem de blocare a datelor persoanelor care nu vor sa participe in campanii de marketing direct (blocarea numelor, numerelor de telefon, adrese de email etc.).


4.1.2. Daca operatorul primeste o cerere de a nu contacta o anumita persoana, trebuie in cel mai scurt timp sa blocheze datele acelei persoane in baza de date, nu mai tarziu de 15 zile.


4.1.3. La cererea unei persoane vizate de a nu i se folosi datele personale in scopuri promotionale, operatorul trebuie sa explice ca acest lucru nu se aplica si pentru materialele promotionale pregatite pentru subiect inainte de primirea cererii .Operatorul trebuie sa ia masuri rezonabile ca solicitantul sa nu primeasca in viitor materiale de marketing direct, cat mai repede posibil.

 

4.2. Sistemul preferintei de servicii (Lista Robinson sau MPS), numit si lista de opozitie
4.2.1. Operatorul trebuie sa se supuna principiilor preferintei de servicii din momentul adoptarii acestora de catre ARMAD, iar cand utilizeaza date personale din alte tari sa utilizeze lista preferintei de servicii in corcondanta cu Conventia Globala a Preferintei de Servicii.


4.2.2. Cererile de blocare sunt pastrate in sistemele preferintei de servicii atat cat este stabilit de regulamentul national pentru sistemul preferintei de servicii.
Proprietarul sau managerul sistemului preferintei de servicii trebuie sa informeze solicitantul asupra perioadei de timp pentru care cererea de blocare este valabila si aceasta informare se va face, de regula, cu ocazia confirmarii cererii de blocare.

5. Transferul de date in tarile din afara UE
In cazul transferului de date in tari din afara UE, care nu au un nivel adecvat de protectie a datelor Operatorul trebuie sa adopte masurile de securitate adecvate prin realizarea unui contract in conformitate cu prevederile Legii nr. 677/2001, Ordinul nr. 6/2003 si sa obtina o autorizatie de la Autoritatea de Supraveghere.

6. Monitorizare
6.1. Responsabilitatea ARMAD
ARMAD e responsabila de aplicarea stricta a principiilor stipulate in acest Cod de Conduita.

6.2. Solutionarea reclamatiilor

  • ARMAD trebuie sa numeasca o persoana responsabila de rezolvarea reclamatiilor si care sa actioneze ca persoana de contact pentru ARMAD. Numele acestei persoane trebuie comunicat si Autoritatii de Supraveghere.
  • Daca ARMAD este incapila sa rezolve o reclamatie datorita aspectelor  cu element de extraneitate trebuie sa anunte FEDMA care va desemna pe cineva sa rezolve reclamatia.
  • ARMAD trebuie sa colaboreze pe cat posibil cu Autoritatea de Supraveghere.

6.3. Sanctiuni pentru abaterea de la principii
ARMAD poate actiona impotriva unui membru sau nonmembru pentru apararea eticii profesionale. Masurile de sanctiune care pot fi luate merg de la excluderea din ARMAD, notificarea Autoritatii Nationale de Supraveghere sau actiuni in justitie, fara a fi limitate la acestea.

6.4. Comitetul de Protectie a Datelor
Este stabilit de ARMAD pentru a monitoriza aplicarea Codului de Conduita ARMAD. Acesta raporteaza rezultatele Consiliului Director ARMAD. Este compus din persoanele stabilite de catre Consiliului Director. Pana la desemnarea expresa a Comitetului de Protectie a Datelor Personale, atributiile acestuia vor fi indeplinite de Consiliul Director.
Dintre atributiile acestora se numara:

  •  revizuirea anuala a Codului de conduita (daca este necesara)
  •  elaborarea de rapoarte privind functionarea activitatilor la nivel national si international
  •  solutionarea plangerilor si a reclamatiilor
  •  stabilirea unui set de reguli de procedura.