Cod de conduita al Asociaţiei Societăţilor de Leasing din România cu privire la prelucrarea datelor cu caracter personal

ART. 1 Scopul şi sfera de aplicare

(1) Prezentul cod de conduită are ca scop stabilirea unor norme de conduită pentru asigurarea unui nivel satisfăcător de protecţie a datelor cu caracter personal prelucrate de către membrii ASLR.

(2) Normele de conduită stabilesc exercitarea drepturilor şi obligaţiilor care revin membrilor ASLR în domeniul protecţiei persoanelor în privinţa datelor cu caracter personal, în relaţiile ASLR cu persoanele vizate (în calitate de beneficiari ai serviciilor prestate, de utilizatori etc.), cu alte asociaţii profesionale, precum şi cu alte persoane fizice sau juridice care nu fac parte din asociaţiile profesionale.

(3) Prezentul cod de conduită se aplică indiferent de operaţiunea prin care membrii asociaţiilor profesionale prelucrează datele cu caracter personal.

(4) Normele cuprinse în prezentul model de cod de conduită nu aduc atingere altor obligaţii legale imperative sau deontologice care revin ASLR.

(5) Prezentul model de cod de conduită se completează cu prevederile legale în domeniul protecţiei datelor cu caracter personal.

ART. 2 Definirea termenilor

(1) Termenii folosiţi în prezentul cod de conduită au următorul sens:

    a) ASLR – ASOCIAŢIA SOCIETĂŢILOR DE LEASING DIN ROMÂNIA, persoană juridică de drept  privat;

    b) persoană vizată - persoana fizică ale cărei date cu caracter personal sunt prelucrate;

    c) a colecta - a strânge, a aduna, a primi date cu caracter personal prin orice mijloace şi din orice sursă;

    d) a dezvălui - a transmite, a disemina, a face disponibile în orice alt mod date cu caracter personal, în afara operatorului;

    e) a utiliza - a se folosi datele cu caracter personal de către şi în interiorul operatorului;

    f) consimţământ - acordul neviciat al persoanei vizate de a-i fi prelucrate datele cu caracter personal, care trebuie să fie întotdeauna expres şi neechivoc;

    g) nivel de protecţie şi de securitate adecvat al prelucrărilor de date cu caracter personal - nivelul de securitate proporţional riscului, pe care îl comportă prelucrarea faţă de datele cu caracter personal respective şi faţă de drepturile şi libertăţile persoanelor şi conform cerinţelor minime de securitate a prelucrărilor de date cu caracter personal, elaborate de autoritatea de supraveghere şi actualizate corespunzător stadiului dezvoltării tehnologice şi costurilor implementării acestor măsuri;

    h) marketing direct - promovarea produselor şi a serviciilor, adresată direct clienţilor, persoane fizice, prin mijloace de genul poştei, inclusiv cea electronică, sau alte mijloace de marketing la distanţă, altele decât modalităţile promoţionale obişnuite (reclame).

  (2) Termeni precum: date cu caracter personal, prelucrarea datelor cu caracter personal, stocare, operator, terţ, destinatar, date anonime, autoritate de supraveghere, dreptul de informare, dreptul de acces, dreptul de intervenţie, dreptul de opoziţie au sensurile definite de Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, de Legea nr. 676/2001 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul telecomunicaţiilor, precum şi de Legea nr. 682/2001 privind ratificarea Convenţiei pentru protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981.

ART. 3 Principiile prelucrărilor de date cu caracter personal efectuate de către membrii ASLR

Art. 3.1. Legalitatea şi transparenţa

(1) Membrii ASLR, denumiţi în continuare membri, recunosc şi respectă dreptul la viaţă intimă, familială şi privată.

(2) Prelucrarea datelor cu caracter personal de către membri se desfăşoară în conformitate cu prevederile legale în vigoare.

(3) Membrii sunt obligaţi să asigure transparenţa prelucrărilor de date cu caracter personal.

Art. 3.2. Responsabilitatea

(2) Fiecare membru va desemna persoanele care vor răspunde pentru respectarea dispoziţiilor legale din domeniul protecţiei persoanelor şi a datelor cu caracter personal, precum şi a principiilor prevăzute în prezentul cod de conduită.

Art. 3.3 Legitimitatea scopului colectării

(1) Colectarea de date cu caracter personal prin mijloace frauduloase, neloiale sau ilegale este interzisă.

(2) Membrii vor comunica scopurile pentru care sunt colectate datele cu caracter personal fie înainte, fie cel mai târziu la momentul colectării.

(3) Menţionarea scopurilor poate fi realizată în scris, oral sau în formă electronică, într-un limbaj uşor accesibil pentru persoanele vizate. 

Art.3.4. Consimţământul

(1) Consimţământul persoanelor vizate este cerut în cazul prelucrării datelor cu caracter personal, în afara cazurilor în care legea dispune altfel.

(2) Membrii vor folosi orice mijloace nedolosive, care necesită costuri financiare rezonabile, pentru a informa persoanele vizate în legătură cu prelucrarea datelor cu caracter personal şi pentru a solicita consimţământul acestora la momentul colectării datelor cu caracter personal.

Art.3.5.  Legitimitatea dezvăluirii

(1) Membrii vor prelucra datele cu caracter personal numai pentru scopurile pentru care au fost colectate, cu excepţia cazului în care persoana vizată îşi dă consimţământul pentru prelucrarea în alte scopuri sau în alte cazuri permise de lege.

(2) Accesul la datele prelucrate va fi permis numai angajaţilor/colaboratorilor membrilor şi/sau persoanelor cu care ASLR a încheiat contract sau le-a acordat expres acest drept, în îndeplinirea obligaţiilor de serviciu sau în alte scopuri prevăzute expres de lege.

(1) Membrii sunt obligaţi să păstreze datele cu caracter personal exacte, complete şi actualizate, pentru realizarea scopurilor pentru care sunt utilizate.

(2) Datele inexacte sau incomplete vor fi şterse sau rectificate.

(3) Datele cu caracter personal vor fi păstrate, după caz, numai pentru perioada necesară atingerii scopurilor stabilite.

(4) Membrii vor adopta reguli speciale în privinţa stabilirii perioadei minime şi maxime necesare pentru păstrarea datelor colectate, urmărind totodată respectarea drepturilor persoanei vizate, în special a dreptului de acces, de intervenţie şi de opoziţie.

 (5) În urma verificărilor periodice datele cu caracter personal deţinute de operator, care nu mai servesc realizării scopurilor sau îndeplinirii unor obligaţii legale, vor fi distruse sau transformate în date anonime într-un interval de timp rezonabil, potrivit procedurilor stabilite de lege sau, în lipsa unor astfel de dispoziţii legale, de către membri.

Membrii sunt obligaţi să ia măsurile tehnice şi organizatorice necesare pentru asigurarea unui nivel de protecţie şi de securitate adecvat, în cadrul operaţiunilor efectuate asupra datelor cu caracter personal, în următoarele scopuri: pentru a limita accesul la bazele de date, care este permis numai persoanelor autorizate; pentru a interzice copierea datelor în afara locurilor în care sunt gestionate; în general, pentru a împiedica orice circulaţie necontrolată a datelor.

(1) Strategiile şi procedurile folosite de membri în legătură cu procesarea datelor cu caracter personal vor fi puse la dispoziţie persoanelor vizate, sub formă de informaţii furnizate într-un limbaj accesibil, prin mijloace fizice (de exemplu, prin broşuri), telefonice sau electronice.

(2) Membrii vor comunica informaţii, la cerere, în condiţiile legii,  în legătură cu datele cu caracter personal pe care le prelucrează, sursele din care au colectat datele cu caracter personal, scopurile prelucrării, dacă şi cărui terţ i-au fost dezvăluite aceste date, atunci când legea nu interzice.

(3) În cazul în care dezvăluirea datelor este impusă de lege (de exemplu, în vederea executării unei hotărâri judecătoreşti), membrii se vor asigura pe cât posibil, că terţul care solicită dezvăluirea acţionează în conformitate cu dispoziţiile legale incidente, iar cererea priveşte numai datele cu caracter personal neexcesive prin raportare la scopul prelucrării. Persoana vizată va fi informată în legătură cu dezvăluirea, numai dacă legea permite.

(4) Aducerea la cunoştinţă persoanelor vizate a drepturilor de care beneficiază (în special, drepturile prevăzute la art. 12 - 15 din Legea nr. 677/2001) se poate face prin intermediul unor menţiuni înscrise pe ofertele de produse sau servicii, pe primul document adresat persoanei vizate (de exemplu, factură, borderou de livrare, confirmare de primire etc.), pe prospecte, chestionare sau prin orice mijloc care asigură informarea persoanei vizate.

 (1) Membrii vor permite, în cazurile prevăzute de lege, accesul persoanelor vizate la cererea expresă a acestora la datele cu caracter personal care le privesc, prin cele mai facile mijloace, pe care le pot pune la dispoziţie, în mod rezonabil.

 (2) Accesul persoanei vizate nu poate fi permis, cu excepţia cazurilor prevăzute de lege şi/sau de convenţia părţilor, în următoarele situaţii: în cazul în care sunt solicitate date despre o altă persoană; în cazul în care ar putea fi afectate viaţa şi siguranţa altei persoane; în cazul în care sunt solicitate date care pot privi informaţii comerciale asupra cărora părţile au convenit că sunt confidenţiale; în cazul în care s-ar aduce atingere soluţionării unui litigiu sau a unui proces penal.

(3) Membrii sunt obligaţi să motiveze refuzul de a permite accesul la anumite date cu caracter personal.

(1) Persoanele vizate au dreptul de a solicita verificarea exactităţii şi a caracterului complet al datelor cu caracter personal care le privesc, precum şi, în cazul în care informaţiile nu sunt exacte sau complete, de a solicita rectificarea datelor inexacte sau incomplete, prin formularea unor contestaţii.

(2) Membrii vor păstra o evidenţă a contestaţiilor privind caracterul exact sau complet al datelor, care nu au fost rezolvate, iar în cazul în care datele vor fi transferate către alţi operatori, vor fi precizate datele care au fost rectificate sau în privinţa cărora există contestaţii nerezolvate. Membrii vor comunica secretariatului ASLR o copie a oricărei contestaţii formulate şi modul de rezolvare a acesteia.

(3) Dispoziţiile alin. (2) se aplică şi în cazul dezvăluirii de date către terţi, dacă este cazul.

(4) Actualizarea bazelor de date se face prin intermediul informaţiilor transmise de persoanele vizate, precum şi prin informaţiile furnizate de orice sursă externă autorizată de lege.

(1) În efectuarea operaţiunilor de marketing direct, exercitarea de către persoana vizată a dreptului de opoziţie împotriva prelucrării datelor cu caracter personal, este asigurată prin intermediul formulării unor cereri în acest sens sau prin includerea în listele de opoziţie a persoanelor vizate. Persoana vizată va fi încunoştinţată de existenţa listelor de opoziţie, precum şi de modalitatea de a solicita includerea în acestea.

(2) În cazul operaţiunilor de marketing direct, şi a celorlalte cazuri prevăzute de lege, persoanele vizate îşi pot exercita dreptul de opoziţie în orice moment, de preferinţă într-un termen rezonabil acordat de operator, fără a se aduce atingere posibilităţii ca dreptul să fie exercitat şi în afara acestui termen.

 (3) Listele de opoziţie sunt gestionate de ASLR.

 (4) În cazul prelucrărilor ulterioare, precum şi al transferului către alţi operatori al datelor cu caracter personal, membrii se vor asigura că acestea nu privesc date pentru care persoanele vizate au exercitat anterior dreptul de a le fi şterse datele sau dreptul de opoziţie la transferul acestora.

(1) În cazul transferului de date cu caracter personal către alţi operatori, în special în operaţiunile de marketing direct, persoanele vizate vor fi informate cu privire la transfer prin înscrierea unor menţiuni pe ofertele de produse sau servicii sau orice alt document transmis acesteia (scrisori, notificări, corespondenţă).

(2) Menţiunile prevăzute la alin. (1) vor cuprinde şi specificarea dreptului de opoziţie la transferul datelor, precum şi metoda prin care persoanele vizate îşi pot exercita acest drept.

(3) Garanţiile pentru asigurarea protecţiei datelor cu caracter personal în cadrul transferului de date către alţi operatori vor fi prevăzute prin clauze contractuale privind utilizarea acestor date, acolo unde este cazul. Aceste clauze vor menţiona, printre altele, drepturile recunoscute persoanelor vizate, precum şi faptul că aceste drepturi pot fi exercitate doar cu respectarea confidenţialităţii anumitor clauze comerciale.

(1) Membrii sunt obligaţi să rezolve plângerile şi orice alte cereri legate de prelucrarea datelor cu caracter personal, în termenele şi condiţiile prevăzute de lege.

(2) Procedura de primire, investigare şi de soluţionare a plângerilor şi a celorlalte cereri ale persoanelor vizate va fi stabilită de către membri şi va fi adusă la cunoştinţă persoanelor vizate.

(1) Anual sau ori de câte ori se va solicita membrii, sau după caz ASLR,  vor prezenta autorităţii de supraveghere a prelucrărilor de date cu caracter personal rapoarte sau sinteze cu privire la plângerile primite şi la modul de soluţionare a acestora.

(2) Rapoartele şi sintezele la care se referă alin. (1) vor putea conţine şi alte informaţii privind aspecte din activitatea membrilor în domeniul protecţiei datelor cu caracter personal, precum şi propuneri de îmbunătăţire a activităţii acestora.

Membrii vor lua măsuri pentru asigurarea unui nivel rezonabil al cheltuielilor ocazionate de exercitarea drepturilor prevăzute de lege şi de codul de conduită, cheltuieli care sunt în sarcina persoanei vizate, cu excepţia cazului în care aceste drepturi pot fi exercitate în mod gratuit.