Cuprins

 

1. Introducere 4
2. Responsabilul de Cod. Nivel de reprezentativitate 4
3. Consultare publică privind Codul 5
4. Scopul Codului. Necesitatea acestuia în domeniul marketingului și publicității online 6
5. Destinatarii Codului 8
6. Persoane vizate de prelucrările de date cu caracter personal din domeniul marketingului și publicității online. Tipuri de date cu caracter personal prelucrate 9
7. Aplicabilitatea teritorială a Codului. Jurisdicție. Autorități de supraveghere. Legislație națională relevantă 11
8. Structura Codului 11
9. Facilitarea aplicării efective a GDPR în domeniul marketingului și publicității online 12

9.1 Terminologie specifică  12

9.2 Activitățile de prelucrare date cu caracter personal specifice marketingului și publicității online. Procesele implicate în tranzacțiile de marketing și/sau publicitate online  18

9.3 Rolurile părților implicate în furnizarea serviciilor de publicitate online. Aspecte practice prin care Codul își propune să clarifice atribuirea rolurilor între parți în cadrul tranzacțiilor de marketing și/sau publicitate online. 27

10. Reguli generale privind prelucrarea datelor cu caracter personal în activitățile întreprinse de membrii aderenți ai Codului. 40

10.1. Proces intern de identificare a operațiunilor de prelucrare implicate în activitatea de marketing și/sau publicitate online  40

10.2 Acordurile privind prelucrarea datelor cu caracter personal 41

10.3 Prelucrarea datelor conform legii 43

10.4 Activități realizate prin intermediul Sub-împuterniciților 44

10.5 Transferul internațional de date  52

10.6 Dreptul de audit 54

10.7 Cooperarea Împuternicitului cu Operatorul 55

10.8 Pseudonimizarea și criptarea datelor cu caracter personal în publicitatea online  56

10.9 Stocarea de informație sau accesul la informația stocată în echipamentul terminal al unui abonat / utilizator 57

10.9.1 Acordul pentru stocarea de informație sau obținerea accesului la informația stocată în echipamentul terminal al unui abonat ori utilizator. Informarea adecvată  57

10.9.2 Informarea utilizatorilor 59

10.9.3 Sistem de management de consimțământ 59

10.10 Drepturile persoanei vizate și managementul cererilor persoanelor vizate  9

10.11 Cooperarea cu Autoritățile de Supraveghere  10

10.12 Confidențialitatea prelucrărilor datelor cu caracter personal 11

10.13 Asistența privind incidentele de securitate  11

10.14 Încetarea Acordului de prelucrare a datelor. Returnarea și/sau ștergerea datelor cu caracter personal 12

11. Măsuri de securitate care vizează reducerea riscului implicat de prelucrarea datelor cu caracter personal în cadrul activităților întreprinse de membrii aderenți la Cod în domeniul marketingului și publicității online 13

11.1 Asigurarea conformității cu Codul 13

11.2 Măsuri și obiective de securitate  13

11.3 Obiectivele de control și controalele de securitate  14

Politica de Securitate  15

Organizarea securității 15

Securitatea personalului 15

Securitatea fizică și a mediului de lucru  15

Managementul incidentelor de securitate  15

Controlul accesului 16

Dezvoltarea și întreținerea sistemelor 16

Planificarea continuității afacerii 16

Conformitatea  17

12. Guvernanța Codului 17

12.1 Organismul de monitorizare a respectării Codului. Organe de conducere si execuție; atribuții. 17

12.2 Aprobarea Organismului de monitorizare a Codului de conduită de către ANSPDCP. Procedura în situația revocării acreditarii Organismului de monitorizare  23

13. Descrierea mecanismelor de aderare, monitorizare și funcționare a Codului și a mărcii de conformitate. Plângerile privitoare la respectarea Codului. Actualizarea permanentă a Codului și construirea unui set de bune practici în industrie. 24

13.1. Condiții de aderare la Cod  24

13.2 Procedura de aderare la Cod. Certificarea îndeplinirii condițiilor în vederea obținerii calității de membru Cod  25

13.3 Marca de conformitate  28

13.4. Procedura de monitorizare continuă a respectării Codului 28

13.5 Plângerile privitoare la respectarea Codului. Mecanismul de depunere și gestionare a plângerilor. Tipuri de plângeri și procedura de soluționare. Tipuri de măsuri standard aplicabile. 29

13.5.1 Mecanism standard de depunere și gestionare plângeri 29

13.5.2 Tipuri de plângeri și procedura de soluționare  31

13.5.2 Tipuri de masuri standard ce pot fi aplicate de către Secretariat 32

13.6 Actualizarea permanentă a Codului și construirea unui set de bune practici în industrie  33

13.7 Finanțarea Codului 33

Anexa 1. Lista membrilor fondatori ai Codului 35

 

 

 

1. Introducere

Codul de conduită privind prelucrarea datelor cu caracter personal în domeniul marketingului și publicității online („Codul”) reprezintă un set de reguli de conduită în sprijinul protecției datelor cu caracter personal specifice domeniului marketingului și publicității online, care stabilește principiile generale de alocare a diferitelor roluri pe care le pot avea persoanele juridice implicate în ecosistemul marketingului și publicității online, din perspectiva prelucrărilor de date, principiile de prelucrare a datelor cu caracter personal din acest sector de activitate, precum si măsurile tehnice și organizatorice de securitate care constituie bune practici în relațiile comerciale dintre parți, pentru a se asigura prelucrarea datelor cu caracter personal ale utilizatorilor de internet în condiții adecvate de securitate.

Codul reprezintă un cod de conduită în sensul prevăzut la art. 40 si următoarele din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei 95/46 / CE („GDPR”).

 

2. Responsabilul de Cod. Nivel de reprezentativitate

În conformitate cu art. 40 din GDPR, responsabilii de coduri de conduită pot fi asociații sau alte organisme care reprezintă diverse categorii de operatori sau împuterniciți. Criteriile de evaluare ale responsabililor de cod sunt:

• reprezentativitatea responsabilului de cod în piața pentru care intenționează să realizeze codul
• numărul sau procentul de potențiali membri ai Codului dintre operatorii/împuterniciții din cadrul pieței respective (sectorul de aplicabilitate al Codului)
• experiența responsabilului de cod în piața respectivă referitor la activitățile de prelucrare a datelor cu caracter personal la care face referire codul

Asociația Biroul Roman de Audit Transmedia (BRAT) este organizația industriei de media și publicitate care măsoară independent și standardizat performanța produselor media, utilizând standarde și metodologii recunoscute la nivel internațional, adaptate la specificul pieței din România și validate de industria de media si publicitate.

În prezent, BRAT realizează 7 proiecte esențiale industriei de media și publicitate, dintre care 4 sunt în domeniul online: SATI (Studiul de Audiență și Trafic Internet – ce furnizează rezultatele de performanță a site-urilor web cu privire la audiență si trafic), SATI MIPO (monitorizarea investițiilor în publicitatea online), SATI DMP (platforma de management a datelor online care permite profilarea și segmentarea utilizatorilor online în vederea tranzacționării publicității online, a optimizării conținutului și personalizării serviciilor website-urilor) și SATI PMC (o platformă standardizată de management al consimțământului utilizatorilor website-urilor și aplicațiilor de mobil, în vederea gestionării unitare a opțiunilor exprimate de către utilizatori, cu privire la folosirea tehnologiilor de tip cookie, care să vină în sprijinul membrilor săi și al industriei de media și publicitate online. Un set de cerințe de implementare a unei platforme de management de consimțământ, este inserat în cuprinsul prezentului Cod la secțiunea .

În cadrul proiectelor dedicate mediului online, BRAT reunește peste 75 de membri (printre care se numără editori de site-uri web, regii de publicitate, agenții de media sau de publicitate și clienți de publicitate), ce tranzacționează peste 90% din publicitatea online de pe website-urile din Romania. 85% din totalul traficului înregistrat in Romania este realizat pe website-urile măsurate de către BRAT. 95% din totalul publicității de tip display de pe website-urile romanești se realizează pe website-urile măsurate de către BRAT.

În acest context, BRAT are capacitatea necesară de a înțelege nevoile membrilor Codului și îndeplinește toate criteriile avute in vedere de către legislația în vigoare în vederea deținerii calității de responsabil al prezentului Cod de Conduită.

 

3. Consultare publică privind Codul

În conformitate cu art. 5.8 (paragraf 28) din Ghidul 1/2019 al Comitetului European pentru Protecția Datelor („CEPD”) cu privire la Codurile de Conduită și Organismele de Monitorizare conform GDPR, Versiunea 2.0, un proiect de Cod trebuie să conțină informații cu privire la modul în care a fost efectuată consultarea publică cu privire la Cod.

Astfel în perioada 12.02.2019-15.03.2019, proiectul inițial de Cod de conduită privind prelucrarea datelor cu caracter personal în domeniul marketingului și publicității online a fost disponibil pentru analiză pe site-ul asociației, www.brat.ro, în secțiunea dedicată protecției datelor cu caracter personal. Prin intermediul Comunicatului de presă lansat de către BRAT, Asociația a făcut publică intenția sa de a se asigura că versiunea finală de Cod cuprinde temele relevante pentru industria de marketing și publicitate online și le abordează dintr-o perspectivă cât mai amplă, având în vedere specificul tuturor actorilor implicați în industrie. BRAT a comunicat public faptul ca dorește ca acest Cod să devină relevant pentru întreaga industrie, și a invitat orice persoana implicată în domeniul publicității online, fie deținători de proprietăți online, regii, agenții de media sau de publicitate, clienți de publicitate, furnizori de tehnologie, companii de cercetare în domeniul online, asociațiile industriei care operează în domeniu, să contribuie la realizarea acestui cod. Reprezentanții acestora au fost invitați să analizeze forma propusă și să trimită comentariile și sugestiile prin e-mail către BRAT.

În perioada consultării publice (și ulterior finalizării acesteia), BRAT a primit numeroase solicitări de furnizare a proiectului de Cod. Mai mult de 50 de companii au solicitat și au primit spre analiză forma Codului în diverse etape de finalizare, iar 40 de dintre acestea au participat în dezbateri asupra prevederilor Codului. Majoritatea companiilor ce au participat la consultarea publică activează în industria de publicitate și comunicare online (editori online, agentii de media sau de publicitate, furnizori de tehnologie, clienți de publicitate), dar și alți terți interesați: companii de consultanță juridică, cabinete de avocatură și altele.

 

4. Scopul Codului. Necesitatea acestuia în domeniul marketingului și publicității online

Scopul elaborării acestui Cod este de a contribui la aplicarea corectă a prevederilor GDPR, ținând seama de natura specifică a prelucrărilor de date cu caracter personal efectuate în cadrul ecosistemului marketingului și publicității online și de necesitățile specifice ale operatorilor economici din acest sector de activitate. Acesta va servi la diseminarea și aplicarea uniformă a bunelor practici privind protecția datelor cu caracter personal în tranzacțiile de marketing și/sau publicitate online.

Scopurile specifice pe care Codul le propune sunt:

Încredere pentru utilizatorii de internet

Scopul prezentului Cod este acela de a oferi persoanelor vizate, utilizatori de internet, încredere în ecosistemul serviciilor de marketing și publicitate online. Prin existența Codului, precum și prin intermediul campaniei de educare și conștientizare care va însoți lansarea prezentului Cod, piața de publicitate online din România va contribui la transparentizarea și explicarea scopurilor, mecanismelor și consecințelor pe care le implică furnizarea acestor servicii pentru utilizatorii de internet.

Instituirea unei mărci de conformitate cu prevederile Codului

Prezentul Cod își propune să ofere membrilor săi dreptul de a folosi o marcă de conformitate[1] cu privire la respectarea prevederilor Codului de către aceștia, care să permită persoanelor vizate să evalueze rapid nivelul de protecție a datelor cu caracter personal aferent produselor și serviciilor relevante utilizate sau pe care intenționează să le utilizeze. Pentru a dobândi marca de conformitate, membrii aderanți trebuie să îndeplinească și să respecte cerințele de conformitate prevăzute în cuprinsul prezentului Cod.

Încredere pentru Operatori în relația cu Împuterniciți și/sau alți Operatori

Scopul prezentului Cod este de a oferi încredere Operatorilor din sectorul serviciilor de marketing și publicitate online că datele cu caracter personal prelucrate de către Operatori și/sau Persoanele Împuternicite de Operator (sau „Împuterniciți”) în numele Operatorilor sunt prelucrate cu un nivel adecvat de protecție a datelor și că Împuternicitul care a aderat la Cod oferă garanții suficiente legate de prelucrarea datelor cu caracter personal în conformitate cu GDPR (cu referire la prevederile art. 28 al GDPR) și orice altă legislație națională și europeană privind protecția datelor aplicabilă. Sunt prevăzute proceduri specifice de guvernanță pentru a se asigura că acest Cod este revizuit și modificat pentru a rămâne pe deplin aliniat la noutățile tehnologice și la prevederile legislației europene privind protecția datelor în cursul evoluției sale.

Clarificări în privința relației dintre părți

Codul are ca scop clarificarea și tratamentul uniform al alocării rolurilor părților implicate în furnizarea serviciilor de marketing și publicitate online, în funcție de situațiile specifice aplicabile fiecărui tip de tranzacționare de marketing și/sau publicitate online. Codul va oferi astfel o bază unitară de alocare a rolurilor stabilite prin GDPR, facilitând, clarificând și simplificând relațiile contractuale dintre părți.

Conformitatea mecanismelor de gestionare a consimțământului pentru cookie-uri și tehnologii de tip cookie

Codul are scopul de a construi un set de reguli unitare, acceptate și recunoscute la nivelul întregii industrii, cu privire la cererea și administrarea consimțământului persoanelor vizate cu privire la cookie-urile și tehnologiile similare utilizate în domeniul marketingului și publicității online. Codul va oferi astfel o interpretare legală și unitară de aplicare a obligațiilor stabilite prin legislația în vigoare în materia protecției datelor cu caracter personal, creând un cadru sigur pentru drepturile persoanelor vizate și, în același timp, oferind o abordare unitară, standardizată pentru solicitarea și administrarea consimțământului la nivelul întregii industrii.

În concluzie, Codul își propune să vină în întâmpinarea unei nevoi actuale a pieței de profil, în sensul creării unui set de reguli și principii clare, ce pot servi la interpretarea facilă și unitară a prevederilor GDPR de către toate entitățile juridice cu activitate în domeniul marketingului și publicității online. GDPR conține prevederi generale despre operatori, operatori asociați și împuterniciți și oferă un cadru extrem de larg cu privire la încadrarea acestora, fără a putea intra in detaliile tehnice specifice prelucrărilor de date din mediul online.

Existenta unui astfel de Cod de conduită, care aduce exemple concrete din practică și care folosește experiența membrilor săi pentru a ghida și clarifica abordarea unor situații juridice similare, aduce un plus de valoare atât persoanelor juridice cu activitate în piața de profil (diminuând considerabil riscul de interpretări diferite ale legislației), cât și persoanelor fizice ale căror date cu caracter personal sunt vizate în mod direct sau indirect de prelucrările din mediul online (sporind încrederea acestora în serviciile online și diminuând gradul de incertitudine cu privire la modul cum sunt prelucrate datele cu caracter personal, locația și destinatarii acestora, drepturile reale ale persoanelor vizate etc). Per ansamblu, Codul de Conduită a fost conceput ca un instrument de lucru prietenos, facil, echidistant și nepărtinitor prin care toți actorii implicați în procesele continue de prelucrare a datelor cu caracter personal să fie sprijiniți în înțelegerea spiritului GDPR și în aplicarea corectă a acestuia în cadrul activității lor curente.

 

5. Destinatarii Codului

Orice persoană juridică cu activitate în domeniul marketingului și publicității online poate decide să-și declare aderarea la Cod pentru serviciile de marketing și de publicitate în cadrul cărora pot fi prelucrate date cu caracter personal, cu condiția să îndeplinească cerințele cadrului normativ privind protecția datelor și termenii prezentului Cod. Spre exemplu, următoarele activități/servicii din domeniul marketingului și publicității online pot fi eligibile pentru aderarea la prezentul Cod, dar fără a ne limita la acestea:

• activități ale Editorilor sau ale altor entități juridice deținătoare de produse media
• activități ale Agențiilor de media sau de publicitate
• activități ale Clienților de publicitate
• activități specifice intermediarilor tehnologici care fac parte din ecosistemul marketingului și publicității online și asigură infrastructura funcționării seriviciului de publicitate și/sau al managementului bazelor de date utilizate în publicitatea online, precum activitățile Furnizorilor de tehnologie de livrare de publicitate (e.g., DSP-uri, SSP-uri, Ad-server, etc), respectiv activitățile Furnizorilor de tehnologie de management de date online (e.g., DMP-uri, etc.)

Orice persoană juridică poate adera la prezentul Cod cu privire la unul sau mai multe dintre serviciile specifice din domeniul marketingului și publicității online pe care le prestează și care fac obiectul acestui Cod. În această situație, respectiva persoană juridică va trebui să se asigure că potențialilor parteneri le sunt evidențiate separat serviciile în cazul cărora se respectă prevederile prezentului Cod și serviciile în cazul cărora aceste prevederi nu se aplică.

Serviciile de publicitate online pot fi furnizate independent sau în combinație cu alte servicii de publicitate^[2] sau marketing online.

În cazul în care un Împuternicit furnizează serviciul, iar altul este responsabil pentru asistență sau alte servicii conexe, împărțirea atribuțiilor între cei doi Împuterniciți trebuie să fie transparentă pentru Operator, oferindu-i-se acestuia o mapare strictă a punctelor de contact utile pentru anumite tipuri de situații.

Dacă livrarea serviciului de publicitate online (prin intermediul unui ad server, al unei combinații de ad servere, DMP-uri, DSP-uri și SSP-uri etc.) implică și servicii de altă natură care pot genera diferite obligații conexe, părțile trebuie să-și furnizeze reciproc informațiile necesare pentru a le permite să distingă între serviciile contractate și să înțeleagă natura fiecărui serviciu din perspectiva prelucrarilor de date cu caracter personal implicate.

Codul se adresează persoanelor juridice din domeniul marketingului și publicității online, atât Împuterniciți care prelucrează date cu caracter personal în numele clienților lor Operatori, cât și Operatori care prelucrează date cu caracter personal în scopuri proprii sau Operatori Asociați care stabilesc în comun scopurile în care prelucrează date cu caracter personal. Toate persoanele juridice aderante la Cod vor beneficia de facilitățile pe care le oferă aderarea: folosirea mărcii de conformitate și transmiterea către propriii clienți a unui semnal de încredere cu privire la standardele asumate de Operator/Împuternicit în prelucrarea datelor cu caracter personal etc. În plus față de aceste persoane juridice, pot adera la prezentul Cod, în calitate de suporteri ai Codului și cu rol consultativ, și alte organizații care doresc să fie parte din ecosistemul generat de prezenta construcție organizatorică.

Prezentul Cod a fost elaborat pentru a acoperi un număr cât mai variat de servicii din domeniul marketingului și publicității online în cadrul cărora se prelucrează date cu caracter personal. Cu toate că s-au depus toate eforturile ca prezentul Cod să fie cât mai complet și explicit, este posibil ca nu toate dispozițiile Codului să fie la fel de relevante pentru toate tipurile de servicii disponibile.

Întrucât prezentul Cod nu particularizează toate ariile de aplicare a GDPR, persoanele juridice din domeniul marketingului și publicității online care au aderat la Cod rămân responsabile pentru respectarea obligațiilor ce le revin în temeiul GDPR și a oricăror altor prevederi legale privind protecția datelor cu caracter personal, în mod independent de obligația de a acționa în conformitate cu cerințele și practicile Codului.

 

6. Persoane vizate de prelucrările de date cu caracter personal din domeniul marketingului și publicității online. Tipuri de date cu caracter personal prelucrate

În cadrul activităților de prelucrare date cu caracter personal în domeniul marketingului și publicității online, pot fi prelucrate datele cu caracter personal ale mai multor categorii de persoane vizate: în primul rând vizitatori ai website-urilor, iar, în al doilea rând, toate persoanele fizice care interacționează cu deținătorii de website-uri în cadrul activităților de profil. Persoanele vizate de activitățile de prelucrare a datelor cu caracter personal în acest domeniu sunt persoanele care fac obiectul marketingului și publicitatii online.

Printre categoriile de date cu caracter personal ce pot fi prelucrate în domeniul marketingului și publicității online, pot fi enumerate, ca exemplu, însă, fără a se limita doar la acestea, următoarele:

• nume si prenume
• informații de contact (adresa domiciliu, adresa de e-mail, număr telefon de acasă/mobil)
• date privind viața personală (vârsta, sex, data nașterii, educație/calificări, starea civilă, detalii financiare, venit, numărul de copii, numele copiilor și soțului/soției)
• date privind viată profesională (nume angajator, adresă angajator, denumire loc de muncă și funcție, istoric angajări, salariul și alte beneficii, performanțe la locul de muncă și alte capabilități)
• date privind conexiunea (adresa IP, tipul de dispozitiv, tipul de browser, viteza de conexiune)
• date privind comportamentul și preferințele utilizatorilor (website-uri vizitate, istoric conținut consumat, produse și servicii cumpărate, interese, interogări de căutare)
• date de localizare (date privind locația GPS, oraș/regiune/piața/țara deduse din adresa IP)
• ID-ul utilizatorilor de website-uri

Prelucrarea datelor cu caracter personal in domeniul marketingului și publicității online se va face numai în scopuri determinate, explicite sau/și numai în acele scopuri suplimentare care sunt compatibile cu scopul inițial. Operatorii vor prelucra numai acele date cu caracter personal adecvate și relevante pentru scopul urmarit prin prelucrare și vor limita prelucrarea doar la ceea ce va fi necesar în raport cu scopul pentru care au fost colectate, cu respectarea principiului proporționalității.

În domeniul marketingului și publicității online nu se vor prelucra categoriile speciale de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate, date genetice, date biometrice pentru identificarea unică a unei persoane fizice, date privind sănătatea sau date privind viaţa sexuală sau orientarea sexuală ale unei persoane fizice.

În ceea ce privește prelucrarea datelor cu caracter personal în domeniul marketingului și publicității online pentru oferirea de servicii ale societăţii informaţionale în mod direct unui copil, aceasta se va face numai pentru cei care au cel puțin 16 ani. Pentru copii sub varsta de 16 ani, prelucrarea datelor cu caracter personal în domeniul marketingului și publicității online se va face numai dacă şi în măsura în care consimţământul respectiv este acordat sau autorizat de titularul răspunderii părinteşti asupra copilului cu obligația Operatoului de a verifica, ţinând seama de tehnologiile disponibile, că titularul răspunderii părinteşti a acordat sau a autorizat consimţământul.

 

[Cerința de conformitate 6.A] Entitățile implicate în operațiunii de prelucrare de date în domeniul marketingului si publicității online trebuie să se asigure că includ în acordurile de prelucrare date sau în contractele de furnizare de servicii de marketing și publicitate online prevederi în sensul că nu se vor prelucra în scop de marketing și publicitate online:

• categorii speciale de date cu caracter personal;
• date cu caracter personal ale minorilor sub vârsta de 16 ani.

7. Aplicabilitatea teritorială a Codului. Jurisdicție. Autorități de supraveghere. Legislație națională relevantă

Ca aplicabilitate teritorială, prezentul Cod va fi calificat drept cod național, sub jurisdicția instanțelor de judecată din România. Astfel, Codul se va aplica numai prelucrărilor de date cu caracter personal:

1. a) efectuate în cadrul activităților membrilor Codului care au sediul pe teritoriul României, sau
2. b) care afectează persoane vizate ce locuiesc pe teritoriul României, atunci când activitățile de prelucrare sunt legate de (i) oferirea de bunuri sau servicii unor astfel de persoane vizate în România sau (ii) monitorizarea comportamentului acestora în România.

Autoritatea de supraveghere competentă în conformitate cu art. 55 din GDPR este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, cu sediul in B-dul G-ral. Gheorghe Magheru nr. 28-30, Sector 1, București, Romania.

În afară de respectarea legislației europene aplicabile privind protecția datelor cu caracter personal, prezentul Cod respectă și legislația națională română – în particular Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, cu modificările și completările ulterioare.

 

8. Structura Codului

Codul este construit pe 6 paliere generale de informații:

1. Descrierea terminologiei specifice domeniului marketingului și publicității online, în vederea facilitării aplicării efective a GDPR. Descrierea activităților de prelucrare date cu caracter personal specifice acestui domeniu. Procesele implicate în tranzacțiile de marketing și/sau publicitate online. Cerințe de conformitate. Exemple și modalități de atribuire a rolurilor parților implicate în furnizarea serviciilor de publicitate online, în cadrul activităților de prelucrare date cu caracter personal.
2. Reguli generale privind prelucrarea datelor cu caracter personal în activitățile întreprinse de membrii aderenți ai Codului.
3. Măsuri de securitate care vizează reducerea riscului implicat de prelucrarea datelor cu caracter personal în cadrul activităților întreprinse de membrii aderenți la Cod.
4. Guvernanța Codului – Organismul de monitorizare a respectării Codului.
5. Descrierea mecanismelor de aderare, monitorizare și funcționare a Codului și a mărcii de conformitate. Plângerile privitoare la respectarea Codului
6. Anexe Cod.

 

9. Facilitarea aplicării efective a GDPR în domeniul marketingului și publicității online

Protecția datelor cu caracter personal propusă de prezentul Cod are la bază următorul mecanism:

1. Identificarea în cadrul oricărei tranzacții de marketing și/sau publicitate online a unor elemente componente unice – procese, ce presupun prelucrarea de date cu caracter personal. Aceste elemente componente unice – procese pot fi standardizate și utilizate apoi pentru a „compune” majoritatea tranzacțiilor de marketing și/sau publicitate online. Acest lucru va sta la baza stabilirii rolurilor și responsabilităților fiecărei entități și va ajuta la crearea unui proces standardizat de verificare a respectării conformității cu prevederile prezentului Cod și a protecției datelor, în
2. Stabilirea criteriilor de alocare a rolurilor din punct de vedere al GDPR pentru fiecare proces individual, asigurând standardizarea și uniformizarea tratamentului Operatorilor și Împuterniciților față de aceeași prelucrare de date cu caracter personal, în același
3. Identificarea măsurilor necesare asigurării siguranței prelucrării datelor cu caracter personal în domeniul marketingului și publicității Codul descrie tipurile de măsuri de siguranță și principalele caracteristici ale acestora.
4. Crearea unei structuri administrative prin care se va verifica și certifica respectarea prevederilor Codului și a unui set de reguli după care vor avea loc verificările
5. Crearea unei mărci de conformitate pentru persoanele juridice ce adera la Cod și acordarea acesteia în condiții specifice prevăzute de Cod.

9.1 Terminologie specifică

Termenii menționați în acest Cod, în măsura în care sunt definiți deja de GDPR ori Directiva ePrivacy (Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice), își vor păstra înțelesul și interpretarea, așa cum sunt ei menționați în actele normative în cauză. Pentru simplificarea înțelegerii Codului, o parte din acești termeni au fost menționați mai jos:

1. „date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
2. „Operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, Operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;
3. „Persoană Împuternicită de Operator” sau „Împuternicit” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele Operatorului;
4. „consimțământ” al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;
5. „creare de profiluri” sau „profilare” înseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanța la locul de muncă, situația economică, sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia;
6. „pseudonimizare” înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure ne-atribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;
7. „anonimizare” înseamnă prelucrarea datelor cu caracter personal astfel încât nu mai există posibilitatea de a identifica direct sau indirect o persoană;
8. „încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;
9. „grup de întreprinderi” înseamnă o întreprindere care exercită controlul și întreprinderile controlate de aceasta;
10. „Persoana Vizată” înseamnă persoana fizica, în viață, ale cărei date cu caracter personal sunt prelucrate.
11. “Prelucrare” – orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

În plus față de acești termeni, în prezentul Cod de conduită sunt utilizate următoarele concepte:

12. „Persoană juridică din domeniul marketingului și publicității online” – persoană juridică ce desfășoară orice tip de activitate sau prestează orice tip de serviciu, din ecosistemul marketingului și publicității online.
13. „Acordul de prelucrare a datelor” – contract dintre Operator și Împuternicit sau dintre Operatori, prin intermediul căruia se stabilesc drepturile și obligațiile părților din perspectiva legislației privind protecția prelucrării datelor cu caracter personal (acesta se constituie, de regulă, într-o anexă la contractul de bază al părților, făcând parte integrantă din acesta sau poate fi și un acord separat).
14. „Site web (website)” – ansamblu de pagini de internet vizualizabile în browser (poate fi o publicație de presă, un produs media online care se editează pe suport electronic, un magazin online, dar nu se limitează la aceste exemple), având un conținut distinct și uniform, identificat printr-un nume unic, definit prin primul și al doilea nivel al numelui de domeniu. Un site web poate avea unul sau mai multe alias-uri ale numelui, utilizate exclusiv în scopuri tehnice și care nu identifică un alt site web.
15. „Aplicație pentru mobil (mobile app)” – produs media online care se editează electronic, constând intr-un ansamblu de pagini sub forma unei aplicații software concepută special pentru a rula pe un dispozitiv mobil și care oferă un serviciu distinct, identificat printr-un nume unic.
16. „Server” – calculator (sau aplicație software) care stochează, procesează și trimite diferite tipuri de informații la cererea unui client (alt calculator sau aplicație software).
17. „Pagina web” – document HTML specific, afișat ca urmare a unui click al utilizatorului pe un hyperlink sau ca urmare a cererii URL-ului corespunzător în browser.
18. „Browser” – aplicație software care permite vizualizarea documentelor hypertext care pot incorpora conținut multimedia, aplicație care permite navigarea pe servere www, ftp, news, e-mail etc.
19. „Cookie” – fișier text de mici dimensiuni pe care îl scrie un browser pe echipamentul clientului. Este singura posibilitate ca un browser să scrie pe hard discul calculatorului/echipamentul client. Acest fișier poate fi criptat sau nu. Prin “Cookie”, în înțelesul prezentului text, se înțelege în sens larg și „Tehnologie de tip Cookie”, o specie de tehnologie care permite stocarea de informație pe echipamentul ori terminalul utilizatorilor sau accesul (citire sau scriere) la aceasta informație, respectiv alte activități de monitorizare a activității utilizatorului pe Website. Aceasta poate fi de tipul cookie, pixel, kit-uri software/SDK etc.
20. „Cookie strict necesar” – categoria de cookie-uri folosite atunci când operațiunile de stocare sau acces tehnic la informația stocată sunt realizate exclusiv în scopul efectuării transmisiei unei comunicări printr-o rețea de comunicații electronice, ori când aceste operațiuni sunt strict necesare în vederea furnizării unui serviciu al societății informaționale, solicitat în mod expres de către abonat sau utilizator.
21. „Serviciu al societății informaționale” – orice serviciu care se efectuează utilizându-se mijloace electronice și prezintă următoarele caracteristici:
    1. este efectuat în considerarea unui folos patrimonial, procurat ofertantului în mod obișnuit de către destinatar;
    2. nu este necesar ca ofertantul și destinatarul să fie fizic prezenți simultan în același loc;
    3. este efectuat prin transmiterea informației la cererea individuală a destinatarului.
22. „Cookie de trafic și audiență” – specie a cookie-urilor care vizează situația în care stocarea informației sau accesul tehnic la informația stocată pe echipamentul utilizatorului se face în scopul furnizării unui serviciu al societății informaționale, a cărui existență depinde de măsurarea traficului de internet și audienței (construite statistic) a site-ului web.
23. „Cookie de servire de publicitate sau de urmărire (tracking)” – tip specific de cookie care este distribuit, partajat și citit pe două sau mai multe servere sau site-uri Web, în scopul prezentării de oferte publicitare către utilizatori și colectării de informații despre utilizatori în vederea servirii de publicitate conform unor specificații tehnice prestabilite.
24. „Cookie de personalizare sau profilare în materie publicitară” – tip specific de cookie care este distribuit, partajat și citit pe două sau mai multe site-uri Web, în scopul colectării de informații despre utilizatori și profilării acestora.
25. „Identificator online” – o modalitate tehnică de identificare a unui browser/dispozitiv utilizat la navigarea online, ce poate fi folosită, de sine stătător sau în combinație cu alte tehnologii, în monitorizarea activității online a utilizatorilor.
26. „Agenție de media sau de publicitate” – persoană juridică care joacă rolul de intermediar între producătorul de bunuri și servicii, interesat în plasarea mesajului publicitar, și mediile de informare în masă care aduc în final mesajul la cunoștința consumatorilor.
27. „Regie de publicitate” – entitate juridică separată care oferă o capacitate de vânzări externalizată pentru editori și un mijloc de a agrega inventarul și publicul din numeroase surse într-o singură oportunitate de achiziționare pentru cumpărătorii media.
28. „Editor” – persoană juridică română sau străină care desfășoară activități de editare/realizare/administrare de site-uri web și/sau alte produse media (e.g. aplicații pentru mobil), pentru sine sau pentru alții.
29. Vendor – terț cu care Editorul cooperează și care, în urma accesării website-ului sau a unui alt produs media de către un Utilizator și a plasării Tehnologiilor de tip Cookie, prelucrează acele date ale Utilizatorului care sunt considerate date cu caracter personal, în baza acordului acestuia din urmă, obținut cu respectarea condițiilor legale*[3]. În această categorie se incadrează:
30. intermediarii tehnologici care fac parte din ecosistemul marketingului și publicității online și asigura infrastructura funcționarii serviciului de publicitate, denumiți generic, Furnizori de tehnologie de livrare de publicitate, din aceștia făcând parte: DSP-uri, SSP-uri, Ad-server, etc.
31. intermediarii tehnologici care fac parte din ecosistemul marketingului publicității online și asigura infrastructura funcționarii serviciului de management al bazelor de date utilizate în publicitatea online, denumiți generic, Furnizori de tehnologie de management de date online, din aceștia făcând parte: DMP-uri, etc.
32. entitati precum rețele de socializare, furnizori de servicii de măsurare a traficului (analytics), precum și orice alt tip de sistem/platformă căruia Editorul îi permite stocarea sau accesul la informaţii stocate în echipamentul terminal al abonatului ori utilizatorului prin intermediul Tehnologiilor de tip Cookie.
33. „Client de publicitate” – persoana fizică sau juridică la solicitarea căreia sunt promovate produsele și serviciile sale, prin intermediul serviciilor de publicitate.
34. „Ad-server” – server web dedicat servirii anunțurilor publicitare.
35. „Platformă de administrare a datelor online (DMP)” – sistem care permite colectarea de informații despre utilizatorii online, standardizarea informațiilor colectate, profilarea utilizatorilor și administrarea acestor informații în diferite scopuri, printre care și direcționarea anunțurilor publicitare către diferite categorii de utilizatori online.
36. „Platformă de servire publicitate aferentă cererii de publicitate (DSP)” – platformă tehnologică ce permite cumpărătorilor de publicitate online să gestioneze și să livreze printr-o singură soluție tehnică și interfață mai multe cereri și campanii publicitare online.
37. „Platformă de servire publicitate aferentă vânzării de publicitate (SSP)” – platformă tehnologică ce permite vânzătorilor de spațiu publicitar online să gestioneze și să livreze printr-o singura soluție tehnică și interfață mai multe oferte și campanii online.
38. „Tranzacționare de publicitate online” – tranzacție prin care un cumpărător de publicitate, în schimbul unui preț, plasează anunțul său publicitar pe site-urile sau aplicațiile online pe care le deține un vânzător de publicitate online ce încasează prețul serviciului, plasarea anunțului publicitar realizându-se prin utilizarea de tehnologii specifice, livrate de furnizori de tehnologie de livrare de publicitate, și uneori utilizând și furnizori de tehnologie de management a datelor online, direct sau prin intermediari. O astfel de tranzacție va purta denumirea de tranzacție publicitară online.
39. „Platformă de management de consimțământ (Consent Management Platform sau PMC)” – platformă tehnologică care permite solicitarea consimțământului Utilizatorilor cu privire la Tehnologiile de tip Cookie pe care website-urile solicită să le folosească pentru a stoca informații pe terminalele Utilizatorilor, respectiv pentru a le accesa ulterior de pe aceste terminale, înregistrarea răspunsului persoanei vizate și administrarea datelor cu caracter personal referitoare la persoanele vizate și răspunsurile aferente consimțământului, pentru diverse scopuri de prelucrare. O astfel de platformă trebuie să permită, printre altele, identificarea Vendor-ilor activi pe un website, afișarea și administrarea Dialogului de solicitare Consimțământ cu Utilizatorii, precum și exprimarea de către Utilizatori, în mod granular, a Consimțământului pentru fiecare categorie de Tehnologie de tip Cookie.
40. „Utilizator” înseamnă Persoana Vizată care accesează oricare dintre website-urile pe care este instalată o platforma PMC și ale cărei date cu caracter personal sunt Prelucrate prin intermediul Tehnologiilor de tip Cookie.
41. „Scopul Prelucrării” – scopul general pentru care un operator de date cu caracter personal decide să prelucreze datele colectate prin intermediul Tehnologiilor de tip Cookie de la Utilizatorii website-ului.
42. „Dialogul de Consimțământ” – o interfață prin care Editorul website-ului/aplicației mobile informează Utilizatorul cu privire la diferitele categorii de Tehnologii de tip Cookie ce sunt utilizate, lista de Vendor-i și Scopurile Prelucrării datelor cu caracter personal ale Utilizatorului, precum și consecințele asupra experienței de navigare online în cazul în care se opune utilizării Tehnologiilor de tip Cookie, oferind Utilizatorului posibilitatea de a-și da Consimțământul pentru fiecare în parte.
43. „Beneficiari PMC” – entitati juridice ce dețin proprietăți online (produse media precum website-uri, aplicații pentru mobil etc.) pentru care decid să achizitioneze o PMC.
44. „Publicitate de tip display” – tip de publicitate online, realizată prin livrarea de bannere sau alte formate de anunțuri publicitare și prin selecția site-ului sau a aplicațiilor online și a poziției de plasare a anunțului în cadrul acestora.
45. „Publicitate de tip programatic” – tip de publicitate online, care se realizează prin livrarea de bannere sau alte formate de anunțuri publicitare direct unei anume categorii de utilizatori, indiferent de site-ul sau aplicația online pe care aceasta o utilizează.
46. „Publicitate țintita (targetată)” – publicitate ce este planificată și realizată astfel încât să fie accesibilă doar unei parți, unui grup țintă, de destinatari, din totalul destinatarilor potențiali (de exemplu, doar utilizatorilor bărbați, din totalul utilizatorilor unui website).

 

9.2 Activitățile de prelucrare date cu caracter personal specifice marketingului și publicității online. Procesele implicate în tranzacțiile de marketing și/sau publicitate online

Prezentul Cod își propune să analizeze și să clarifice ce presupune o tranzacție publicitară sau de marketing online, care sunt posibilii actori în cadrul acestora, ce rol joacă fiecare în diferite etape ale tranzacției, din punct de vedere al prelucrărilor de date cu caracter personal. Deși toate tranzacțiile de marketing și/sau publicitate online se axează în jurul aceleiași idei centrale – aceea de a afișa mesaje publicitare pe dispozitivele persoanelor fizice care navighează pe internet – lanțurile de prelucrări de date din spatele unei singure tranzacții pot fi extrem de variate și de complexe.

În plus, complexitatea raporturilor dintre părțile implicate în tranzacțiile de marketing și/sau publicitate online poate face dificilă încadrarea cu certitudine a acestor „actori” într-o anumită categorie, prin prisma prevederilor GDPR cu privire la prelucrările de date cu caracter personal (operatori, persoane împuternicite de operatori, subîmputerniciți, operatori asociați, terți etc.).

Pentru a veni în sprijinul membrilor săi, Codul își propune:

• pe de o parte, să grupeze multitudinea de activități de prelucrare specifice acestui domeniu, prin identificarea unui număr limitat de posibile părți componente ale unei tranzacții de marketing și/sau publicitate online,
• pe de altă parte, să ofere exemple practice, cât mai variate, de posibilități de combinare a diferitelor tipuri de activități de prelucrare date în acest domeniu.

Având în vedere complexitatea și tipologiile diferite ale tranzacțiilor de marketing și/sau publicitate din mediul online, pentru aplicarea uniformă a regulilor de conduită privind protecția datelor cu caracter personal în publicitatea online este necesară definirea unor parți componente standardizate, părți care se pot combina pentru a constitui oricare dintre tranzacțiile de marketing și/sau publicitate online. Chiar dacă o astfel de tranzacție se poate descompune într-un ansamblu de activități și acțiuni specifice marketingului și publicității online, acestea servesc împreună realizării obiectivului general unitar al tranzacției de marketing și/sau publicitate online (de exemplu: o campanie publicitară, un proiect special, etc.).

Părțile componente principale ale unei tranzacții de marketing și/sau publicitate online, denumite în continuare Procese, care implică prelucrarea datelor cu caracter personal sunt următoarele:

1. Monitorizarea activității online a utilizatorilor (tracking)
2. Atribuirea de profiluri pentru utilizatori sau profilarea utilizatorilor (profiling)
3. Segmentarea audienței (audience segmentation)
4. Servirea de publicitate (advertising)
5. Servirea de publicitate targetată (targeted advertising)
6. Monitorizarea livrării de publicitate (advertising tracking/monitoring)
7. Retargetarea comportamentală (retargeting)
8. Colectarea de date cu caracter personal furnizate de utilizatori

Fiecare dintre tranzacțiile de marketing și/sau publicitate online se poate compune din unul sau mai multe dintre procesele menționate anterior.

Procesele menționate mai sus se pot realiza prin intermediul unor diverse soluții tehnologice, precum prin folosirea Tehnologiilor de tip Cookie sau prin intermediul Identificatorilor Online.

Pentru ca în cadrul fiecăruia dintre aceste procese să fie asigurată protecția datelor cu caracter personal conform prevederilor GDPR, Operatorii și Împuterniciții care adera la Cod vor respecta, pentru fiecare tip de proces și rol, măsurile necesare definite în cadrul prezentului Cod.

Cerințe de conformitate:

Asigurarea unei protecții adecvate a datelor cu caracter personal prelucrate în cadrul tranzacțiilor publicitare implică respectarea următoarelor cerințe:

1. Includerea în cadrul evidențelor activităților de prelucrare a datelor cu caracter personal a unui capitol special dedicat publicității și marketing-ului online, în care se vor menționa prelucrările de date cu caracter personal efectuate de un Operator pentru fiecare dintre procesele descrise în cadrul acestui capitol, menționând-se toate informațiile prevăzute de art. 30 alin. (1) al GDPR, după cum urmează:

• datele de contact ale operatorului și, după caz, ale operatorului asociat, ale reprezentantului operatorului și ale responsabilului cu protecția datelor;
• scopurile prelucrării;
• descrierea categoriilor de persoanele vizate;
• descrierea categoriilor de date cu caracter personal prelucrate;
• categoriile de destinatarii cărora le-au fost transmise sau către care vor fi transmise date cu caracter personal, inclusiv destinatarii din țări terțe sau organizații internaționale. Se va păstra, separt, o listă nominală actualizată a destinatarilor pentru fiecare tip de operațiune de prelucrare reflectată în evidențele activităților de prelucrare;
• dacă este cazul, transferuri de date către tari terțe sau organizații internaționale, inclusiv identificarea țării terțe sau organizației internaționale respective. În cazul transferurilor prevăzute de art. 49 alin. (1) al doilea paragraf din GDPR, se va menționa documentația care dovedește existența unor garanții adecvate;
• acolo unde este posibil, termenele limită preconizare pentru ștergerea datelor cu caracter personal;
• acolo unde este posibil, descrierea generală a măsurilor tehnice și organizatorice de securitate a datelor cu caracter personal menționate la art. 32 alin. (1) GDPR.

 

Includerea în cadrul evidențelor activităților de prelucrare a datelor cu caracter personal a unui capitol special dedicat publicității și marketingului online, în care se vor menționa prelucrările de date cu caracter personal efectuate de un Împuternicit pentru fiecare dintre procesele descrise în cadrul acestui capitol, menționându-se toate informațiile prevăzute de art. 30 alin. (2) GDPR, după cum urmează:

• numele și datele de contact ale persoanei sau persoanelor Împuternicite și ale fiecărui Operator în numele căruia realizează prelucrarea de date cu caracter personal (ex: numele agenției de media sau de publicitate, client direct etc.), precum și ale reprezentantului operatorului sau al persoanei împuternicite de operator, după caz;
• categoriile de activități de prelucrare desfășurate în numele fiecărui Operator;
• dacă este cazul, transferuri de date către țări terțe sau organizații internaționale, inclusiv identificarea țării terțe sau organizației internaționale respective. În cazul transferurilor prevăzute de art. 49 alin. (1) al doilea paragraf din GDPR se va menționa documentația care dovedește existența unor garanții adecvate.
• acolo unde este posibil, descrierea generală a măsurilor tehnice și organizatorice de securitate a datelor cu caracter personal menționate la art. 32 alin. (1) GDPR.

 

[Cerința de conformitate 9.2.1.A] Operatorii și Împuterniciții din domeniul marketingului și publicității online vor include un capitol special dedicat publicității și marketing-ului online în evidențele activităților de prelucrare și îl vor completa în conformitate cu dispozițiile art. 30 al GDPR.

 

2. În cazul realizării proceselor de monitorizare a activității online a utilizatorilor (tracking) sau de atribuire de profiluri pentru utilizatori (profiling) sau segmentare a audienței (audience segmentation) se vor respecta următoarele cerințe:
3. identificarea operațiunilor de prelucrare implicate prin raportare la scop, temei, categorii de date și persoane vizate, respectiv categoriile de destinatari de date;
4. identificarea necesității existenței unui acord de prelucrare a datelor și alocarea de roluri pentru părțile implicate potrivit secțiunii 9.3 din acest Cod;

 

1. încheierea unui acord de prelucrare a datelor cu fiecare dintre furnizorii de tehnologie implicați în cadrul acestor procese (dacă există), respectiv, în cazul entităților care nu dețin website-uri proprii, și încheierea unui acord de prelucrare a datelor cu fiecare dintre deținătorii website-urilor unde urmează a fi realizate aceste procese. Acordul de prelucrare a datelor va oferi cel puțin un nivel substanțial similar de protecție a datelor cu caracter personal ca cel prevăzut de prezentul Cod.

[Cerința de conformitate 9.2.2.A] Realizarea proceselor de monitorizare a activității online a utilizatorilor (tracking), atribuire de profiluri pentru utilizatori (profiling) sau segmentare a audienței (audience segmentation) se va face în baza unui acord de prelucrare a datelor încheiat cu fiecare dintre furnizorii de tehnologie implicați în cadrul acestui proces care va oferi cel puțin un nivel substanțial similar de protecție a datelor cu caracter personal ca cel prevăzut de prezentul Cod.

[Cerința de conformitate 9.2.2.B] În scopul realizării proceselor de monitorizare a activității online a utilizatorilor (tracking), atribuire de profiluri pentru utilizatori (profiling) sau segmentare a audienței (audience segmentation), entitățile care nu dețin website-uri proprii vor încheia un acord de prelucrare a datelor distinct cu fiecare dintre deținătorii website-urilor unde urmează a fi realizate procesele și care va oferi cel puțin un nivel substanțial similar de protecție a datelor cu caracter personal ca cel prevăzut de prezentul Cod.

1. existența și aplicarea unei proceduri interne prin care se validează soluția tehnică prin care sunt realizate prelucrările de date, conform acordului de prelucrare de date, care să conțină minim persoanele responsabile, fluxul intern de transmitere cerințe și modul de documentare a rezultatului validării.

Validarea din punct de vedere tehnic poate fi realizată prin:

1. revizuirea documentației puse la dispoziție de către furnizor și/sau
2. rularea soluției tehnice pe medii de test si evaluarea rezultatelor și/sau
3. alte teste si observații.

Observație: validarea soluției tehnice nu înseamnă replicarea funcționalității acesteia pentru a valida prelucrările de date, ci are ca scop obținerea unui nivel rezonabil de siguranță asupra prelucrărilor de date realizate.

[Cerința de conformitate 9.2.2.C] Persoana juridică din domeniul marketingului și publicității online care realizează procese de monitorizare a activității online a utilizatorilor (tracking), atribuire de profiluri pentru utilizatori (profiling) sau segmentare a audienței (audience segmentation) a adoptat și a aplicat proceduri interne de validare a soluției tehnice prin intermediul căreia sunt realizate prelucrările de date cu caracter personal în cauză și a documentat rezultatul aplicării respectivelor proceduri.

10. stabilirea temeiului de prelucrare și îndeplinirea acțiunilor necesare inclusiv informarea adecvată a persoanelor vizate. Acolo unde temeiul este consimțământul persoanelor vizate acesta va fi colectat în conformitate cu prevederile legale și cu cerințele, respectiv recomandările prevăzute la capitolul 10.9 al prezentului Cod.

[Cerința de conformitate 9.2.2.D] Persoana juridică din domeniul marketingului și publicității online care realizează procese de monitorizare a activității online a utilizatorilor (tracking), atribuire de profiluri pentru utilizatori (profiling) și/sau segmentare a audienței (audience segmentation) se va asigura că deține un temei legal adecvat de prelucrare a datelor cu caracter personal și că îndeplinește acțiunile necesare în acest sens, inclusiv informarea adecvată a persoanelor vizate.

În cazul entităților care nu dețin website-uri proprii, acestea se vor asigura că transmit către deținătorul website-urilor unde urmează a fi realizate aceste procese, toate informațiilor necesare stabilirii temeiului legal de prelucrare a datelor cu caracter personal și îndeplinirii acțiunilor necesare inclusiv informarea persoanelor vizate în condițiile legii și cu respectarea cerințelor prevăzute de prezentul Cod cum ar fi: categoria de persoane vizate, scopurile prelucrării, temeiul prelucrării, tipul de prelucrări realizate, furnizori și împuterniciți ai acestuia pe lanțul de prelucrare, etc.

[Cerința de conformitate 9.2.2.E] În cazul în care persoana juridică din domeniul marketingului și publicității online care realizează procesele de monitorizare a activității online a utilizatorilor (tracking), atribuire de profiluri pentru utilizatori (profiling) si/sau segmentare a audienței (audience segmentation) nu deține website-uri proprii, va transmite către deținătorul website-urilor datele necesare stabilirii temeiului legal de prelucrare a datelor cu caracter personal și îndeplinirii acțiunilor necesare în acest sens, inclusiv informarea adecvată a persoanelor vizate.

1. existența unor proceduri și măsuri organizatorice adecvate de protecție a datelor, printre care cel puțin:
   1. procedură de implementare scripturi pe website care să conțină minim persoanele responsabile, fluxul intern de transmitere cerințe și modul de documentare a rezultatului procedurii.
   2. evidența centralizată a diverselor tehnologii active de prelucrare a datelor pe website.

[Cerința de conformitate 9.2.2.F] Persoana juridică din domeniul marketingului și publicității online care realizează procese de monitorizare a activității online a utilizatorilor (tracking), atribuire de profiluri pentru utilizatori (profiling) și/sau segmentare a audienței (audience segmentation) a adoptat și a aplicat proceduri și măsuri organizatorice adecvate de protecție a datelor cu caracter personal, printre care, cel puțin (i) procedura de implementare scripturi pe website, respectiv (ii) un proces și sistem centralizat de implementare a diverselor tehnologii de colectare a datelor pe website și a documentat rezultatul aplicării respectivelor proceduri și măsuri organizatorice.

3. În cazul realizării proceselor de servire de publicitate (advertising), de publicitate targetată (targeted advertising) și/sau de monitorizare a livrării de publicitate (advertising tracking/monitoring) se vor respecta cel puțin următoarele cerințe:

1. identificarea operațiunilor de prelucrare implicate prin raportare la scop, temei, categorii de date și persoane vizate, respectiv categoriile de destinatari de date;
2. identificarea necesității existenței unui acord de prelucrare de date și alocarea de roluri pentru părțile implicate potrivit secțiunii 9.3 din acest Cod.

 

1. incheierea unui acord de prelucrare a datelor cu fiecare dintre entitățile care transmit comenzi de publicitate (agenții, clienți, regii de publicitate) respectiv, în cazul entităților care nu dețin website-uri proprii, și încheierea unui acord de prelucrare a datelor cu fiecare dintre deținătorii website-urilor unde urmează a fi realizate aceste procese. Acordul de prelucrare a datelor va oferi cel puțin un nivel substanțial similar de protecție a datelor cu caracter personal ca cel prevăzut de prezentul Cod..

 

[Cerința de conformitate 9.2.3.A] Realizarea proceselor de servire de publicitate (advertising), de publicitate targetată (targeted advertising) și/sau de monitorizare a livrării de publicitate (advertising tracking/monitoring) se va face în baza unui acord de prelucrare a datelor încheiat cu fiecare dintre entitățile care transmit comenzi de publicitate și care va oferi cel puțin un nivel substanțial similar de protecție a datelor cu caracter personal ca cel prevăzut de prezentul Cod.

 

[Cerința de conformitate 9.2.3.B] În scopul realizării proceselor de servire de publicitate (advertising), de publicitate targetată (targeted advertising) sau de monitorizare a livrării de publicitate (advertising tracking/monitoring), entitățile care nu dețin website-uri proprii vor încheia un acord de prelucrare a datelor distinct cu fiecare dintre deținătorii website-urilor unde urmează a fi realizate procesele care va oferi cel puțin un nivel substanțial similar de protecție a datelor cu caracter personal ca cel prevăzut de prezentul Cod.

Acordurile de prelucrare a datelor vor conține informațiile necesare informării persoanelor vizate și colectării unui consimțământ valabil în condițiile legii și cu respectarea cerințelor prevăzute de prezentul Cod cum ar fi: categoria de persoane vizate, scopurile prelucrării, temeiul prelucrării, tipul de prelucrări realizate, furnizori și împuterniciți ai acestuia pe lanțul de prelucrare, etc.

1. existența unui acord de prelucrare a datelor cu fiecare dintre furnizorii de tehnologie utilizată în realizarea acestor procese, dacă este cazul. Acordurile de prelucrare a datelor va oferi cel puțin un nivel substanțial similar de protecție a datelor cu caracter personal ca cel prevăzut de prezentul Cod.

 

[Cerința de conformitate 9.2.3.C] Realizarea proceselor de servire de publicitate (advertising), de publicitate targetată (targeted advertising) și/sau de monitorizare a livrării de publicitate (advertising tracking/monitoring) se va face în baza unui acord de prelucrare a datelor încheiat cu fiecare dintre furnizorii de tehnologie utilizată în realizarea acestor procese care va oferi cel puțin un nivel substanțial similar de protecție a datelor cu caracter personal precum cel prevăzut de prezentul Cod.

 

1. existența și aplicarea unei proceduri interne prin care se validează soluțiile tehnice implicate în aceste procese, care să conțină cel puțin prevederi despre persoanele responsabile, fluxul intern de transmitere cerințe și modul de documentare a rezultatului validării.

 

[Cerința de conformitate 9.2.3.D] Persoana juridică din domeniul marketingului și publicității online care realizează procese de servire de publicitate (advertising), de publicitate targetată (targeted advertising) și/sau de monitorizare a livrării de publicitate (advertising tracking/monitoring) a adoptat și a aplicat proceduri interne care validează soluțiile tehnice implicate în procese și a documentat rezultatul aplicării acestor proceduri interne.

 

10. stabilirea temeiului de prelucrare și îndeplinirea acțiunilor necesare inclusiv informarea adecvată a persoanelor vizate. Acolo unde temeiul este consimțământul persoanelor vizate acesta va fi colectat în conformitate cu prevederile legale și cu cerințele, respectiv recomandările prevăzute la capitolul 10.8 al prezentului Cod.

[Cerința de conformitate 9.2.3.E] Persoana juridică din domeniul marketingului și publicității online care realizează procese de servire de publicitate (advertising), de publicitate targetată (targeted advertising) sau de monitorizare a livrării de publicitate (advertising tracking/monitoring) se va asigura că deține un temei legal adecvat de prelucrare a datelor cu caracter personal și că îndeplinește acțiunile necesare în acest sens, inclusiv informarea adecvată a persoanelor vizate.

În cazul entităților care nu dețin website-uri proprii, acestea se vor asigura că transmit către deținătorul website-urilor unde urmează a fi realizate aceste procese, toate informațiilor necesare stabilirii temeiului legal de prelucrare a datelor cu caracter personal și îndeplinirea acțiunilor necesare inclusiv informarea persoanelor vizate în condițiile legii și cu respectarea cerințelor prevăzute de prezentul Cod cum ar fi: categoria de persoane vizate, scopurile prelucrării, temeiul prelucrării, tipul de prelucrări realizate, furnizori și împuterniciți ai acestuia pe lanțul de prelucrare, etc.

 

[Cerința de conformitate 9.2.3.F] În cazul în care persoana juridică din domeniul marketingului și publicității online care realizează procese de servire de publicitate (advertising), de publicitate targetată (targeted advertising) sau de monitorizare a livrării de publicitate (advertising tracking/monitoring) nu deține website-uri proprii, va transmite către deținătorul website-urilor toate informațiile necesare stabilirii temeiului legal de prelucrare a datelor cu caracter personal și indeplinirii acțiunilor necesare în acest sens, inclusiv informarea adecvată a persoanelor vizate.

 

1. existența și aplicarea unei proceduri de utilizare a soluțiilor tehnice implicate în aceste procese, care să conțină cel puțin persoanele responsabile, fluxul intern de transmitere a cerințelor de utilizare și verificarea respectării de către soluțiile tehnice implicate în aceste procese a condițiilor prevăzute în acordurile de prelucrare de date.

[Cerința de conformitate 9.2.3.G] Persoana juridică din domeniul marketingului și publicității online care realizează procese de servire de publicitate (advertising), de publicitate targetată (targeted advertising) sau de monitorizare a livraăii de publicitate (advertising tracking/monitoring) a adoptat si a aplicat proceduri și măsuri organizatorice de protecție a datelor cu caracter personal și a documentat rezultatul aplicării respectivelor proceduri și masuri organizatorice.

4. În cazul realizării proceselor de colectare a datelor cu caracter personal furnizate de utilizatori, se vor respecta cel puțin următoarele cerințe:
5. identificarea operațiunilor de prelucrare implicate prin raportare la scop, temei, categorii de date și persoane vizate, respectiv categoriile de destinatari de date;
6. identificarea necesității existenței unui acord de prelucrare de date și alocarea de roluri pentru părțile implicate potrivit secțiunii 9.3 din acest Cod.
7. încheierea unui acord de prelucrare a datelor cu fiecare dintre furnizorii de tehnologie implicați în cadrul acestui proces (dacă există), respectiv, în cazul entităților care nu dețin website-uri proprii, și încheierea unui acord de prelucrare a datelor cu fiecare dintre deținătorii website-urilor unde urmează a fi realizate acest proces. Acordurile de prelucrare a datelor vor oferi cel puțin un nivel substanțial similar de protecție a datelor cu caracter personal precum cel prevăzut de prezentul Cod.

[Cerința de conformitate 9.2.4.A] Realizarea procesului de colectare a datelor cu caracter personal furnizate de utilizatori se va face în baza unui acord de prelucrare a datelor incheiat cu fiecare dintre furnizorii de tehnologie implicată în cadrul acestui proces care va oferi cel puțin un nivel substanțial similar de protecție a datelor cu caracter personal precum cel prevăzut de prezentul Cod.

 

[Cerința de conformitate 9.2.4.B] În scopul realizarii procesului de colectare a datelor cu caracter personal furnizate de utilizatori, entitățile care nu dețin website-uri proprii vor încheia un acord de prelucrare a datelor distinct cu fiecare dintre deținătorii website-urilor unde urmează a fi realizate procesele și care va oferi cel puțin un nivel substanțial similar de protecție a datelor cu caracter personal precum cel prevăzut de prezentul Cod.

1. existența și aplicarea unei proceduri interne prin care se validează soluția tehnică prin care sunt realizate prelucrările de date, conform acordului de prelucrare de date, care să conțină minim persoanele responsabile, fluxul intern de transmitere cerințe și modul de documentare a rezultatului validării.

 

Validarea din punct de vedere tehnic poate fi realizată prin:

1. revizuirea documentației puse la dispoziție de către furnizor și/sau
2. rularea soluției tehnice pe medii de test și evaluarea rezultatelor și/sau
3. alte teste și observații.

 

Observație: validarea soluției tehnice nu înseamnă replicarea funcționalității acesteia pentru a valida prelucrările de date, ci are ca scop obținerea unui nivel rezonabil de siguranța asupra prelucrărilor de date realizate.

 

[Cerința de conformitate 9.2.4.C] Persoana juridică din domeniul marketingului și publicității online care realizează procese de colectare a datelor cu caracter personal furnizate de utilizatori a adoptat și a aplicat proceduri interne de validare a soluției tehnice prin intermediul careia sunt realizate prelucrările de date cu caracter personal în cauză și a documentat rezultatul aplicării respectivelor proceduri.

 

10. Stabilirea temeiului de prelucrare și indeplinirea acțiunilor necesare inclusiv informarea adecvată a persoanelor vizate. Acolo unde temeiul este consimțământul persoanelor vizate acesta va fi colectat în conformitate cu prevederile legale și cu cerințele, respectiv recomandările prevăzute la capitolul 10.8 al prezentului Cod.

 

[Cerința de conformitate 9.2.4.D] Persoana juridică din domeniul marketingului și publicității online care realizează procese de colectare a datelor cu caracter personal furnizate de utilizatori se va asigura că deține un temei legal adecvat de prelucrare a datelor cu caracter personal și că îndeplinește acțiunile necesare în acest sens, inclusiv informarea adecvată a persoanelor vizate.

 

În cazul entităților care nu dețin website-uri proprii, acestea se vor asigura că transmit către deținătorul website-urilor unde urmează a fi realizate aceste procese, toate informațiile necesare stabilirii temeiului legal de prelucrare a datelor cu caracter personal și îndeplinirii acțiunilor necesare inclusiv informarea persoanelor vizate în condițiile legii și cu respectarea cerințelor prevăzute de prezentul Cod cum ar fi: categoria de persoane vizate, scopurile prelucrării, temeiul prelucrării, tipul de prelucrări realizate, furnizori și împuterniciți ai acestuia pe lanțul de prelucrare, etc.

[Cerința de conformitate 9.2.4.E] În cazul în care persoana juridică din domeniul marketingului și publicității online care realizează procesele de colectare a datelor cu caracter personal furnizate de utilizatori nu deține website-uri proprii, va transmite către deținătorul website-urilor datele necesare stabilirii temeiului legal de prelucrare a datelor cu caracter personal și îndeplinirii acțiunilor necesare în acest sens, inclusiv informarea adecvată a persoanelor vizate.

 

1. Existenta unor proceduri și măsuri organizatorice adecvate de protecție a datelor, printre care cel putin:

 

1. Procedura de implementare scripturi pe website care să conțină minim persoanele responsabile, fluxul intern de transmitere cerințe și modul de documentare a rezultatului procedurii.
2. Evidența centralizată a diverselor tehnologii active de prelucrare a datelor pe website.

 

[Cerința de conformitate 9.2.4.F] Persoana juridică din domeniul marketingului și publicității online care realizează procese de colectare a datelor cu caracter personal furnizate de utilizatori a adoptat și a aplicat proceduri și măsuri organizatorice adecvate de protecție a datelor cu caracter personal, printre care cel puțin (i) procedura de implementare scripturi pe website, respectiv (ii) un proces și sistem centralizat de implementare a diverselor tehnologii de colectare a datelor pe website și a documentat rezultatul aplicării respectivelor proceduri și măsuri organizatorice.

 

9.3 Rolurile părților implicate în furnizarea serviciilor de publicitate online. Aspecte practice prin care Codul își propune să clarifice atribuirea rolurilor între parți în cadrul tranzacțiilor de marketing și/sau publicitate online.

Rolurile din perspectiva GDPR a fiecăreia dintre entitățile implicate în tranzacțiile de marketing și/sau de publicitate online pot diferi în funcție de specificul fiecărei tranzacții, de numărul și tipul de procese ce compun respectiva tranzacție, de numărul de persoane juridice implicate și de entitatea care stabilește scopurile prelucrării.

O entitate poate avea rol multiplu, de Operator, de Operator Asociat sau de Împuternicit în cadrul aceleiași tranzacții, în condițiile în care o tranzacție de marketing și/sau publicitate online este compusă din mai multe procese, entitatea având roluri diferite pentru procese diferite. În situația în care o prelucrare de date cu caracter personal este utilizată prin mijloace și pentru scopuri distincte, stabilite de entități diferite, respectivele entități pot fi Operatori, distincți, pentru aceeași prelucrare.

Din acest motiv, rolurile entităților implicate în tranzacțiile de marketing și/sau publicitate online trebuie stabilite la nivel de proces care implică prelucrarea datelor cu caracter personal, și nu la nivelul întregii tranzacții.

Fiecare dintre entități poate avea oricare dintre rolurile de OPERATOR, OPERATOR ASOCIAT, sau ÎMPUTERNICIT pentru oricare dintre procesele implicate în tranzacțiile de marketing și/sau publicitate online.

Stabilirea rolurilor fiecărei entități raportate la procesele ce implica prelucrare de date cu caracter personal implicate în tranzacțiile de marketing și/sau publicitate online se va face în baza următoarelor criterii generale:

 

1. Dacă entitatea prelucrează, direct sau prin împuterniciți, date cu caracter personal pentru scopuri proprii, stabilind obiectivele și mijloacele prelucrării, rolul său va fi de OPERATOR.

 

Criteriul fundamental pentru determinarea calității de Operator este decizia asupra scopului prelucrării și a mijloacelor acesteia, Operatorul fiind cel care stabilește scopurile și mijloacele de prelucrare, categoriile de date care urmează a fi prelucrate și accesul la date.

 

Operatorul este cel care exercita controlul asupra prelucrării și poartă responsabilitatea pentru aceasta.

 

1. Dacă entitatea prelucrează date cu caracter personal pentru scopuri comune cu alt/alți Operator/i, direct sau prin împuterniciți, stabilind în comun obiectivele și mijloacele prelucrării, rolul sau va fi OPERATOR ASOCIAT.

 

Astfel, când scopurile și mijloacele de prelucrare ale unei operațiuni de prelucrare de date cu caracter personal sunt determinate sau definite în comun de doi sau mai mulți Operatori, acestea vor avea calitatea de Operatori Asociați.

Pentru determinarea calității de Operatori Asociați se va analiza existența uneia sau a mai multor decizii comune cu privire la scopurile prelucrării de date cu caracter personal, precum și cu privire la mijloacele și metodele utilizate.

 

Operatorii Asociați au responsabilitate comună cu privire la activitatea de prelucrare.

 

1. Dacă entitatea prelucrează date cu caracter personal, în numele și la instrucțiunile Operatorului, rolul sau va fi de ÎMPUTERNICIT.

 

Persoana Împuternicită de Operator este entitatea care primește instrucțiuni stricte de la Operator în legătură cu prelucrarea de date cu caracter personal, respectiv prelucrează datele numai la cererea Operatorului. Aceste instrucțiuni sunt date de Operator în vederea atingerii unui scop anume, pe care Împuternicitul nu l-a determinat.

 

Persoana Împuternicită de Operator poate folosi serviciile unui alt Împuternicit doar cu acordul Operatorului, sub forma unei autorizații prealabile scrise, care poate fi specifică sau generală. Acești Sub-împuterniciți trebuie să îndeplinească cel puțin aceleași condiții cerute de Operator Împuternicitului, privind prelucrarea datelor cu caracter personal.

 

Determinarea rolului unei entități în cadrul operațiunilor de prelucrare a datelor cu caracter personal în tranzacțiile publicitare online se va face și prin raportare la criterii specifice industriei publicității online, și anume:

1. crearea și utilizarea ID-urilor unice ale cookie-urilor (sau altor identificatori online) utilizate în cadrul tranzacțiilor online;
2. modul de colectare și utilizare a datelor cu caracter personal.

1.Crearea și utilizarea ID-urilor unice ale cookie-urilor (sau altor identificatori online)
Situație	Consecința
1. Entitatea stabilește crearea unui identificator unic pentru utilizatorii online, pentru a prelucra date cu caracter personal, pe baza acestuia, într-un scop propriu?	Daca răspunsul este DA, se indică faptul că această entitate este, în situații tipice, OPERATOR.
2. Entitatea creează un identificator unic pentru utilizatorii online pentru a prelucra date cu caracter personal numai în scopuri stabilite de alte entități/clienții săi (la solicitarea și respectând instrucțiunile clientului)?	Daca răspunsul este DA, se indică faptul că această entitate este, în situații tipice, ÎMPUTERNICIT.
2. Modul de colectare și utilizare a datelor cu caracter personal
Situație	Consecința
1. Entitatea determină ce date despre utilizatorul online vor fi colectate de pe dispozitivul utilizatorului și vor fi prelucrate în vederea realizării tranzacției publicitare?	Daca răspunsul este DA, se indică faptul că această entitate este, în situații tipice, OPERATOR.
2. Entitatea furnizează doar tehnologia de livrare de publicitate, fără a fi implicata în decizia cu privire la datele colectate sau modul în care acestea sunt utilizate pentru a stabili criteriile de livrare a mesajelor publicitare?	Daca răspunsul este DA, se indică faptul că această entitate este, în situații tipice, ÎMPUTERNICIT.

În situația în care calitatea de Operator / Împuternicit nu poate fi determinată cu precizie pentru fiecare dintre entitățile participante la o tranzacție de marketing și/sau publicitate online, folosind criteriile generale și cele specifice industriei publicității online, se va avea în vedere interpretarea tranzacției de marketing și/sau publicitate online sub aspectul obiectivului său general unitar, a controlului și inițierii tranzacției.

Indiferent de rolul pe care îl va deține entitatea implicată în tranzacțiile de marketing și/sau publicitate online, în procesul de prelucrare a datelor cu caracter personal, va aplica și va respecta obligațiile care îi revin rolului său, în baza GDPR, dar și a altor prevederi legale aplicabile.

Exemple și modalități de atribuire a rolurilor dintre părți:

În cele ce urmează vor fi prezentate câteva dintre situațiile tipice întâlnite în industria online în procesul de tranzacționare a spațiului publicitar în care vor fi evidențiate rolurile fiecăreia dintre părțile implicate.

Cea mai mare parte din tranzacții, se încadrează în exemplele de mai jos. Dacă persoanele sunt implicate în alte tipuri de tranzacții, se vor aplica criteriile generale de mai sus, de la începutul prezentei secțiuni.

 

Exemplul 1. Campanie de publicitate netargetată

În această tranzacție publicitară un client transmite o comandă de publicitate către Agenția de media sau de publicitate. Agenția transmite banner-ele către Editor care utilizează serviciile unui furnizor de serviciu de Adserver să afișeze bannerele pe site și să monitorizeze livrarea acestora. Publicitatea nu este targetată, dar se utilizează o limitare a frecvenței de maxim 3 afișări a banner-ului pentru fiecare utilizator.

 

 

Procesele tipice care au loc în cadrul acestei tranzacții publicitare sunt:

1. Servirea de publicitate (advertising)
2. Monitorizarea livrării de publicitate (advertising tracking/monitoring)

 

În această situație rolurile fiecărei părți sunt:

1. Pentru servirea de publicitate:

• Clientul de publicitate este OPERATOR.
• Agenția de media sau de publicitate este ÎMPUTERNICIT al Clientului
• Editorul este ÎMPUTERNICIT al Agenției
• Operatorul de adserver este ÎMPUTERNICIT al Editorului.

 

2. Pentru monitorizarea livrării de publicitate:

• Clientul de publicitate este OPERATOR.
• Agenția de media sau de publicitate este ÎMPUTERNICIT al Clientului
• Editorul este OPERATOR pentru colectarea datelor de monitorizare (ex: clienți unici)
• Operatorul de adserver este ÎMPUTERNICIT al Editorului.

 

Exemplul 2. Campanie de publicitate netargetată

În această tranzacție un Client transmite o comandă de publicitate către Agenția de media sau de publicitate. Agenția programează bannerele în cadrul Adserverului propriu și transmite către Editor scripturi de livrare a bannerelor și scripturi de monitorizare a livrării de publicitate. Publicitatea nu este targetată, dar se utilizează o limitare a frecvenței de maxim 3 afișări a bannerului pentru fiecare utilizator.

Procesele tipice care au loc în cadrul acestei tranzacții publicitare sunt:

1. Servirea de publicitate (advertising)
2. Monitorizarea livrării de publicitate (advertising tracking/monitoring)

 

În această situație rolurile fiecărei părți sunt:

1. Pentru servirea de publicitate:

• Clientul de publicitate este OPERATOR.
• Agenția de media sau de publicitate este ÎMPUTERNICIT al Clientului
• Operatorul de adserver al Agentiei este ÎMPUTERNICIT al Agenției
• Editorul este ÎMPUTERNICIT al Agenției
• Operatorul de adserver al Editorului este ÎMPUTERNICIT al Editorului.

 

2. Pentru monitorizarea livrării de publicitate:

• Clientul de publicitate este OPERATOR.
• Agenția de media sau de publicitate este ÎMPUTERNICIT al Clientului
• Operatorul de adserver al Agenției este ÎMPUTERNICIT al Agenției
• Editorul este OPERATOR pentru colectarea și transmiterea datelor personale către Adserverul Agenției
• Operatorul de adserver al Editorului este ÎMPUTERNICIT al Editorului.

 

Exemplul 3. Campanie de publicitate netargetată

În această tranzacție publicitară un Client transmite o comandă de publicitate către Agenția de media sau de publicitate. Agenția programează bannerele în cadrul Adserverului propriu și transmite către o Regie de publicitate scripturi de livrare a bannerelor și scripturi de monitorizare livrării de publicitate. Regia la rândul său transmite către Editor scripturile de livrare a bannerelor și de monitorizare a livrării acestora. Publicitatea nu este targetată, dar se utilizează o limitare a frecvenței de maxim 3 afișări a bannerului pentru fiecare utilizator.

Procesele tipice care au loc în cadrul acestei tranzacții publicitare sunt:

1. Servirea de publicitate (advertising)
2. Monitorizarea livrării de publicitate (advertising tracking/monitoring)

 

În această situație rolurile fiecărei părți sunt:

1. Pentru servirea de publicitate:

• Clientul de publicitate este OPERATOR.
• Agenția de media sau de publicitate este ÎMPUTERNICIT al Clientului
• Operatorul de adserver al Agenției este ÎMPUTERNICIT al Agenției
• Editorul este ÎMPUTERNICIT al Agenției
• Operatorul de adserver al Editorului este ÎMPUTERNICIT al Editorului
• Regia de publicitate este ÎMPUTERNICIT al Editorului
• Operatorul de adserver al Editorului este ÎMPUTERNICIT al Regiei de Publicitate

 

2. Pentru monitorizarea livrării de publicitate:

• Clientul de publicitate este OPERATOR
• Agenția de media sau de publicitate este ÎMPUTERNICIT al Clientului
• Operatorul de adserver al Agenției este ÎMPUTERNICIT al Agenției
• Editorul este OPERATOR pentru colectarea și transmiterea datelor personale către Adserverul Agenției
• Operatorul de adserver al Editorului este ÎMPUTERNICIT al Editorului
• Regia de publicitate este ÎMPUTERNICIT al Editorului și/sau al Agenției
• Operatorul de adserver al Editorului este ÎMPUTERNICIT al Regiei de publicitate

 

Exemplul 4. Campanie de publicitate targetată

Clientul plasează o comandă de publicitate ce presupune afișarea creativelor către un grup țintă predefinit. Agenția de media sau de publicitate setează, la instrucțiunea clientului, campania dintr-o platforma DSP sau Adserver operată de aceasta. DSP-ul identifică în cadrul platformelor de tip SSP segmentele de audiență care corespund caracteristicilor și transmit instrucțiuni pentru afișarea creativelor către utilizatorii din respectivele segmente de audiență.

Informațiile despre utilizatori sunt colectate de pe website-urilor Editorului de către o platformă de tip DMP. În cadrul DMP-ului este realizată gruparea acestora în segmente de audiență, care ulterior sunt transmise către o platforma de tip SSP pentru a putea fi utilizate în cadrul tranzacțiilor publicitare. DMP și SSP sunt operate de către Editor.

Procesele tipice care au loc în cadrul acestei tranzacții publicitare sunt:

1. Monitorizarea activității online a utilizatorilor (tracking)
2. Atribuirea de profiluri pentru utilizatori sau profilarea utilizatorilor (profiling)
3. Segmentarea audienței (audience segmentation)
4. Servirea de publicitate targetată (targeted advertising)
5. Monitorizarea livrării de publicitate (advertising tracking/monitoring)

 

În această situație rolurile fiecărei părți sunt:

1. Pentru monitorizarea online a utilizatorilor:

• Editorul este OPERATOR
• Furnizorii de tehnologie pentru DMP este ÎMPUTERNICIT al Editorului

 

2. Pentru profilarea utilizatorilor

 

• Editorul este OPERATOR
• Furnizorii de tehnologie pentru DMP este ÎMPUTERNICIT al Editorului

 

3. Pentru segmentarea audienței

 

• Editorul este OPERATOR (daca Agenția stabileste targetul segmentării, Agenția este OPERATOR, iar Editorul este ÎMPUTERNICIT al Agenției)
• Furnizorii de tehnologie pentru DMP și SSP sunt ÎMPUTERNICIȚI al Editorului

 

4. Pentru servirea de publicitate targetată

 

• Clientul de publicitate este OPERATOR
• Agenția de media sau de publicitate este ÎMPUTERNICIT al Clientului
• Furnizorul de tehnologie DSP al Agenției este ÎMPUTERNICIT al Agenției
• Editorul este ÎMPUTERNICIT al Agenției
• Furnizorii de tehnologie pentru DMP și SSP sunt ÎMPUTERNICIȚI ai Editorului

 

5. Pentru monitorizarea livrării de publicitate:

• Clientul de publicitate este OPERATOR
• Agenția de media sau de publicitate este ÎMPUTERNICIT al Clientului
• Furnizorul de tehnologie DSP al Agenției este ÎMPUTERNICIT al Agenției
• Editorul este OPERATOR pentru colectarea și transmiterea datelor personale către Adserverul Agenției
• Furnizorii de tehnologie pentru DMP și SSP sunt ÎMPUTERNICIȚI ai Editorului

 

Exemplul 5. Campanie de publicitate cu elemente de programatic

Clientul plasează o comandă de publicitate ce presupune afișarea creativelor către un grup țintă predefinit. Agenția de media sau de publicitate setează, la instrucțiunea clientului, campania dintr-o platformă DSP sau operată de aceasta. DSP-ul identifică în cadrul unei platforme de tip SSP segmentele de audiență care corespund caracteristicilor și transmit instrucțiuni pentru afișarea creativelor către utilizatorii din respectivele segmente de audiență.

Informațiile despre utilizatori sunt colectate de pe website-urile Editorului de către o platformă de tip DMP. În cadrul DMP-ului este realizată gruparea acestora în segmente de audiență, care ulterior sunt transmise către platforme de tip SSP pentru a putea fi utilizate în cadrul tranzacțiilor publicitare. DMP-ul și SSP sunt operate de tertț, independent de Editor sau agenție.

Procesele tipice care au loc în cadrul acestei tranzacții publicitare sunt:

1. Monitorizarea activității online a utilizatorilor (tracking)
2. Atribuirea de profiluri pentru utilizatori sau profilarea utilizatorilor (profiling)
3. Segmentarea audienței (audience segmentation)
4. Servirea de publicitate targetată (targeted advertising)
5. Monitorizarea livrării de publicitate (advertising tracking/monitoring)

 

În această situație rolurile fiecărei părți sunt:

1. Pentru monitorizarea online a utilizatorilor:

• Editorul este OPERATOR pentru colectarea de date de date și transmiterea acestora către operatorul sistemului DMP.
• Operatorul sistemului de DMP este OPERATOR pentru prelucrările datelor personale realizate de acesta.

 

2. Pentru profilarea utilizatorilor

 

Editorul este OPERATOR pentru colectarea de date de date și transmiterea acestora către operatorul platformei DM

[1] Marca de conformitate cu prevederile Codului de Conduita nu se refera la marca de certificare privind respectarea GDPR, prevăzuta la Preambulul nr. 100 din GDPR, ci reprezintă un semn distinctiv pe care îl pot folosi membrii prezentului Cod de Conduită.

^[2] Spre exemplu, servicii de automatizare de marketing, unde serviciile publicitare sunt furnizate ca urmare a integrării furnizorului de publicitate cu un furnizor terț de servicii de analiza și optimizare a ratei de conversie a vânzărilor unui client.

[3] Art. 4 alin (5) din Legea nr. 506/2004 privind prelucrarea datelor cu carecater personal si protectia vietii private in sectorul comunicatiilor electronice.