PARLAMENTUL REPUBLICII MOLDOVA LEGE Art. I.datepersonale.md/file/Proiecte legi/2017/Modificarea...
Transcript of PARLAMENTUL REPUBLICII MOLDOVA LEGE Art. I.datepersonale.md/file/Proiecte legi/2017/Modificarea...
Proiect
PARLAMENTUL REPUBLICII MOLDOVA
LEGE
pentru modificarea şi completarea unor acte legislative
Parlamentul adoptă prezenta lege organică.
Art. I. – Articolul 25 din Legea nr. 317/1994 cu privire la Curtea
Constituţională (Monitorul Oficial al Republicii Moldova, 1995, nr.8, art. 86), cu
modificările şi completările ulterioare, se completează cu literă i2) cu următorul
cuprins:
„i2) directorul Centrului Național pentru Protecția Datelor cu Caracter
Personal;”.
Art. II. – La articolul 38 din Codul jurisdicţiei constituţionale nr. 502/1995
(Monitorul Oficial al Republicii Moldova, 1995, nr.53-54, art. 597), cu
modificările şi completările ulterioare, alineatul (1) se completează cu litera i2) cu
următorul cuprins:
„i2) directorul Centrului Național pentru Protecția Datelor cu Caracter
Personal;”.
Art. III. – Legea nr. 514/1995 privind organizarea judecătorească (Monitorul
Oficial al Republicii Moldova, 1995, nr. 58, art. 641), cu modificările ulterioare,
se modifică și se completează, după cum urmează:
1. Articolul 10:
la alineatul (4) textul „pagina web din internet” se modifică cu textul „portalul
național al instanțelor de judecată. Datele cu caracter personal din hotărîrile
judecătoreşti se radiază și hotărîrile se publică în formă anonimizată.”;
se completează cu alineatul (6), cu următorul cuprins:
„(6) Publicarea urmează să fie făcută în aşa fel încît să nu permită indexarea
după anumite criterii care ar putea constitui date cu caracter personal și crearea de
profiluri automatizate.”.
2. Articolul 47 alineatul (3) litera e) va avea următorul cuprins:
„e) Publică pe portalul național al instanțelor de judecată hotărîrile
anonimizate, iar în cazul ședințelor închise, se publică doar dispozitivul
anonimizat.”.
3. Articolul 55 se completează cu alineatul (31), cu următorul cuprins:
„(31) Investigarea legalității prelucrării datelor cu caracter personal se
efectuează de către Centrul Național pentru Protecția Datelor cu Caracter Personal,
cu suportul Inspecției judiciare.”;
4. Articolul 562:
la alineatul (2), a doua propoziție va avea următorul cuprins: „Informaţia se
acordă în forma solicitată (telefon, fax, poştă, poştă electronică, precum şi în alte
2
forme de furnizare a informaţiei), cu respectarea normelor privind protecţia datelor
cu caracter personal şi privind confidenţialitatea procesului.”.
alineatul (3):
cuvintele „pagina web a instanței” se modifică cu cuvintele „portalul național
al instanțelor de judecată”;
în final se completează, cu următorul conţinut: „Informațiile privind cauzele
fixate pentru judecare se şterg/distrug cel tîrziu în ziua lucrătoare imediat
următoare după data cînd urma să aibă loc ședința.”.
Art. IV. – Legea nr. 544/1995 cu privire la statutul judecătorului (republicată
în Monitorul Oficial al Republicii Moldova, 2013, nr.15–17, art.63), cu
modificările și completările ulterioare, se modifică și se completează, după cum
urmează:
1. La articolul 15, alineatul (1) lit. f) se completează în final cu textul: „în
condițiile Legii privind protecţia datelor cu caracter personal”.
2. Articolul 19 se completează cu alineatul (8) și (9), cu următorul conținut:
,,(6) Orice operațiune de prelucrare a datelor cu caracter personal efectuată
de către judecător se efectuează în conformitate cu prevederile Legii privind
protecţia datelor cu caracter personal. Investigarea legalității operaţiunilor de
prelucrare a datelor cu caracter personal se efectuează de către Centrul Național
pentru Protecția Datelor cu Caracter Personal cu suportul Inspecției judiciare.
(7) Garanțiile prevăzute de prezentul articol în privința judecătorului se aplică
în măsura în care nu se încalcă dreptul la inviolabilitatea vieții intime, familiale și
private a subiectului de date cu caracter personal.”.;
Art. V. – Legea nr. 548/1995 cu privire la Banca Națională a Moldovei
(Monitorul Oficial al Republicii Moldova, 1995, nr. 56-57, art. 624), cu
modificările și completările ulterioare, se modifică și se completează, după cum
urmează:
1. La articolul 5 alineatele (2) - (4) vor avea următorul cuprins:
„(2) Prelucrarea datelor cu caracter personal se efectuează în conformitate cu
prevederile Legii privind protecția datelor cu caracter personal.
(3) Banca Națională poate stabili prin act departamental, restrîngerea
anumitor drepturi ale subiecților de date privind prelucrarea datelor cu caracter
personal, în scopul asigurării securității politicii monetare şi valutare în stat în baza
avizului pozitiv emis de Centrul Național pentru Protecția Datelor cu Caracter
Personal;
(4) Actele normative ale Băncii Naționale ce interferează cu domeniul
protecției datelor cu caracter personal se supun obligatoriu avizării Centrului
Național pentru Protecția Datelor cu Caracter Personal.”.
2. Articolul 36 alineatul (8) se completează în final cu următorul cuprins:
„inclusiv rigorile stabilite de legislația de profil în partea ce ține de secretul de stat,
bancar, fiscal, comercial, protecția datelor cu caracter personal.”.
Art. VI. – La articolul 22 din Legea instituțiilor financiare nr. 550/1995
(republicată în Monitorul Oficial al Republicii Moldova,2011, nr.78-81, art. 199),
cu modificările şi completările ulterioare, alineatul (5) se completează cu litera i2)
cu următorul cuprins:
3
„i2) la solicitarea Centrului Național pentru Protecția Datelor cu Caracter
Personal în scopul exercitării atribuțiilor stabilite de legislația privind protecția
datelor cu caracter personal;”.
Art. VII. – La articolul 6 din Legea cadastrului bunurilor imobile nr.
1543/1998 (Monitorul Oficial al Republicii Moldova, 1998, nr. 44-46, art. 318),
cu modificările şi completările ulterioare, alineatul (23) se completează cu litera l)
cu următorul cuprins:
,,l) Centrului Național pentru Protecția Datelor cu Caracter Personal, în
scopul exercitării atribuțiilor stabilite de legislația privind protecția datelor cu
caracter personal.”.
Art. VIII. – Legea contenciosului administrativ nr. 793/2000 (republicată în
Monitorul Oficial al Republicii Moldova, ediție specială din 3 octombrie 2006),
cu modificările şi completările ulterioare,
1. Articolul 8 se completează cu alineatul (41) cu următorul conţinut:
(41) Actele normative și de reglementare emise de Centrul Național pentru
Protecția Datelor cu Caracter Personal nu se supun controlului de oportunitate,
însă pot fi contestate sub aspect de legalitate la Curtea de Apel Chişinău, de orice
persoană interesată.
2. Articolul 21 se completează cu alineatul (6) cu următorul cuprins:
„(6) Prin derogare de la prevederile alin. (1) şi (2), pînă la soluționarea
definitivă a cauzei, executarea deciziilor Centrului nu poate fi suspendată, cu
excepția cazurilor în partea ce vizează aplicarea sancțiunilor pecuniare, distrugerea
și/sau ștergerea datelor cu caracter personal sau în cazul în care prejudiciul care ar
putea fi cauzat reclamantului depăşeşte interesul privat sau public urmărit prin
emiterea actului administrativ contestat.”.
Art. IX. – Articolul (1) din Legea nr. 140/2001 privind Inspectoratul de stat
al muncii (Monitorul Oficial al Republicii Moldova, 2001, nr.68-71, art. 505), cu
modificările şi completările ulterioare, alineatul (5) se completează, după
cuvintele „Ministerul Justiției”, cu cuvintele „Centrul Național pentru Protecția
Datelor cu Caracter Personal”.
Art. X. – Articolul 6 litera m) din Legea nr. 1104/2002 cu privire la Centrul
Naţional Anticorupţie (republicată în Monitorul Oficial al Republicii Moldova,
2012, nr.209–211, art.683), cu modificările și completările ulterioare, se
completează în final cu textul „Investigarea legalității prelucrării datelor cu
caracter personal se efectuează de către Centrul Național pentru Protecția Datelor
cu Caracter Personal”.
Art. XI. – Codul de procedură penală al Republicii Moldova nr. 122/2003
(republicat în Monitorul Oficial al Republicii Moldova, 2013, nr. 248-251, art.
699), cu modificările și completările ulterioare, se modifică și se completează după
cum urmează:
1. Articolul 15 se expune în redacție nouă, după cum urmează:
„Articolul 15. Inviolabilitatea vieţii intime, familiale și private
(1) Orice persoană fizică are dreptul la asigurarea protecţiei drepturilor şi
libertăţilor sale fundamentale în ceea ce priveşte prelucrarea datelor cu caracter
personal, în special a dreptului la inviolabilitatea vieţii intime, familiale şi private.
4
În cadrul procesului penal și al urmării penale, nimeni nu este în drept să se implice
în mod arbitrar şi nelegitim în viaţa intimă, familială și privată a persoanei.
(2) La efectuarea acţiunilor procesuale penale datele trebuie să fie colectate
doar în scopuri legitime, explicite, adecvate, relevante și limitate la ceea ce este
necesar în raport cu realizarea scopurilor în care sunt prelucrate și nu pot fi
acumulate fără necesitate informații despre viața intimă, familială și privată. La
cererea organului de urmărire penală şi a instanţei de judecată, participanţii la
acţiunile procesuale sînt obligaţi să nu divulge asemenea informaţii şi despre
aceasta se ia un angajament în scris.
(3) Persoanele de la care organul de urmărire penală cere informaţie despre
viaţa intimă, familială și privată sînt în drept să fie informate asupra scopului și
temeiului legal al prelucrării și are dreptul să se convingă că această informaţie se
administrează într-o cauză penală concretă. Persoana nu este în drept să refuze de
a prezenta informaţii despre viaţa intimă, familială și privată a sa sau a altor
persoane sub pretextul inviolabilităţii vieţii intime, familiale și private, însă ea este
în drept să ceară de la organul de urmărire penală explicaţii asupra necesităţii
obţinerii unei asemenea informaţii, cu includerea explicaţiilor în procesul-verbal
al acţiunii procesuale respective.
(4) Probele care confirmă informaţia despre viaţa intimă, familială și privată
a persoanei, din oficiu și/sau la cererea acesteia, se examinează în şedinţă de
judecată închisă.
(5) Prejudiciul cauzat persoanei în cursul procesului penal prin violarea vieţii
intime, familiale și private se repară în modul stabilit de legislaţia în vigoare.
(6) Orice operațiune de prelucrare a datelor cu caracter personal efectuate de
către subiecții prezentului Cod se efectuează în conformitate cu prevederile Legii
privind protecţia datelor cu caracter personal. Investigarea legalității operaţiunilor
de prelucrarea a datelor cu caracter personal se efectuează de către Centrul
Național pentru Protecția Datelor cu Caracter Personal.
(7) Persoanele fizice pot fi supuse anumitor restrîngeri în condițiile art. 13212
din prezentul cod.”.
2. Se completează cu articolul 1291 cu următorul cuprins:
„Articolul 1291. Procedura percheziţiei sau ridicării efectuate la domiciliul
sau în spaţiul în care angajații Centrului Național pentru Protecția Datelor cu
Caracter Personal își desfășoară activitatea de serviciu, a transportului utilizat de
aceștia
(1) În localurile Centrului Național pentru Protecția Datelor cu Caracter
Personal, domiciliul sau spaţiul în care angajații Centrului își desfășoară
activitatea de serviciu, a transportului utilizat de aceștia, ridicarea obiectelor şi
documentelor ce le aparțin, controlul şi ridicarea corespondenţei poştale,
telegrafice și a traficului de internet nu pot fi făcute decît prin autorizarea instanţei
de judecată, cu informarea conducerii Centrului.
(2) La efectuarea percheziţiei sau ridicării în localurile menţionate în alin.(1)
este obligatorie prezenţa procurorului şi a unui reprezentant desemnat de către
conducerea Centrului Național pentru Protecția Datelor cu Caracter Personal.
5
(3) Percheziţia sau ridicarea de obiecte şi documente în localurile indicate la
alin. (1) se efectuează conform prevederilor prezentului cod.”.
3. Se completează cu articolul 13212 cu următorul cuprins:
„Articolul 13212. Excepții și restricții privind protecția datelor cu caracter
personal
(1) Realizarea drepturilor prevăzute la art. 11, 12 alin. (2), 14 şi 16 din Legea
privind protecția datelor cu caracter personal, pot fi suspendate în cazul în care
prelucrarea datelor cu caracter personal este efectuată în scopul menținerii ordinii
publice, prevenirea, investigarea, depistarea sau urmărirea penală a infracțiunilor
sau executarea sancțiunilor penale, inclusiv protejarea împotriva amenințărilor la
adresa securității publice și prevenirea acestora, protejarea independenței judiciare
și a procedurilor judiciare, protecției subiectului de date sau a drepturilor și
libertăților altora, doar dacă prin aplicarea acestora este prejudiciată eficiența
acțiunii sau obiectivul urmărit în exercitarea competențelor legale ale autorităților
publice.
(2) Prelucrarea datelor cu caracter personal în scopurile stabilite la alin. (1)
nu poate depăși perioada necesară atingerii obiectivului urmărit, dar nu mai mult
de termenul expres stabilit de legislația din domeniul vizat sau în condițiile
stabilite la alin. (4) din prezentul articol.
(3) Neaplicarea restricției, omiterea termenului de prelungire a restricției sau
depășirea acestuia, exclude posibilitatea aplicării restricțiilor pe aceleași temeiuri
de drept.
(4) În cazul în care legea nu prevede expres termenul și procedura de aplicare
a restricției, acestea se vor stabili prin Regulament de către subiecții de drept al
prezentului Cod, în baza avizului pozitiv al Centrului Național pentru Protecția
Datelor cu Caracter Personal, aplicîndu-se regimul de confidențialitate
corespunzător.
(5) Condițiile de restricționare menționate la alineatul (1) - (4) urmează să
conțină:
a) scopurile prelucrării sau ale categoriilor de prelucrare;
b) categoriile de date cu caracter personal;
c) domeniul de aplicare al restricțiilor introduse;
d) garanțiile pentru a preveni abuzurile, accesul sau transferul ilegal;
e) menționarea privind subiecții de drept vizați sau a categoriilor acestor
subiecți de drept;
f) perioadele de stocare și garanțiile aplicabile având în vedere natura,
domeniul de aplicare și scopurile prelucrării sau ale categoriilor de prelucrare;
g) riscurile pentru drepturile și libertăților persoanelor vizate; și
h) dreptul persoanelor vizate de a fi informate cu privire la restricție, cu
excepția cazului în care acest lucru poate aduce atingere scopului restricției.
(6) După încetarea situației care justifică aplicarea alin. (1) - (3) din prezentul
articol, instanța de judecată, organul procuraturii, organul de urmărire penală
precum și alți subiecți de drept prevăzuți de prezentul cod, sînt obligați să
informeze în scris sau în format electronic potrivit cerințelor documentului
electronic și semnăturii electronice, subiecții datelor cu caracter personal în modul
6
stabilit la art. 12 din Legea privind protecția datelor cu caracter personal, precum
și să asigure realizarea drepturilor restricționate în baza alin. (1) din prezentul
articol.
(7) Instanța de judecată, organul procuraturii, organul de urmărire penală,
precum și alți subiecți de drept prevăzuți de prezentul cod sînt obligați să ducă
evidența excepțiilor și restricțiilor stabilite la alin. (1) și să consemneze în registrul
electronic a aplicării excepțiilor și restricțiilor ținut de Centrul Național pentru
Protecția Datelor cu Caracter Personal.
(8) Atunci cînd se reclamă în adresa Centrului Național pentru Protecția
Datelor cu Caracter Personal pretinsul fapt că o anumită prelucrare de date cu
caracter personal cade sub incidența alin. (1) din prezentul articol, indiferent de
faptul dacă a avut loc sau nu o astfel de prelucrare, subiectul de date cu caracter
personal poate fi informat de către autoritate asupra prelucrării doar în cazul
constatării încălcării aplicării acestor restricții. Centrul Național pentru Protecția
Datelor cu Caracter Personal informează subiectul datelor cel puțin că au fost
realizate toate verificările necesare, precum și în legătură cu dreptul acestuia de a
introduce o cale de atac.
(9) Decizia emisă în ordinea prevăzută de acest articol, se contestă în instanța
de contencios administrativ. Examinarea cauzei se efectuează într-o procedură
specială, în ședință închisă, în lipsa subiectului de date. La examinarea cauzei
participă și entitatea care a dispus restricția;
(10) Informația despre aplicarea restricției se păstrează 10 ani.”.
4. La articolul 212 alineatul (3), după cuvintele ,,procesul de urmărire penală”
se completează cu cuvintele ,,sau a admis o ingerință în viața intimă, familială și
privată a subiectului de date cu caracter personal”;
5. La articolul 251 alineatul (2), după cuvintele „calitatea persoanei” se
completează cu cuvintele ,,precum și încălcarea prevederilor Legii privind
protecția datelor cu caracter personal”.
6. Articolul 316 se completează cu alineatul (6), cu următorul conţinut:
,,(6) Participanții la proces se identifică potrivit actelor de identitate și se
preîntîmpină în scris asupra necesității prelucrării datelor cu caracter personal care
devin cunoscute în cadrul procesului penal în conformitate cu prevederile Legii
privind protecția datelor cu caracter personal.”.
Art. XII. – Articolul 198 alineatul (2) din Codul de procedură civilă al
Republicii Moldova, aprobat prin Legea nr. 225/2003 (Monitorul Oficial al
Republicii Moldova, 2003, nr. 111-115, art. 451), cu modificările ulterioare, se
completează în final cu textul: ,,Participanții la proces se identifică în baza actelor
de identitate și se preîntîmpină în scris asupra necesității prelucrării datelor cu
caracter personal care devin cunoscute în cadrul procesului, în conformitate cu
prevederile Legii privind protecția datelor cu caracter personal.”.
Art. XIII. – Legea nr. 467/2003 cu privire la informatizare şi la resursele
informaţionale de stat (Monitorul Oficial al Republicii Moldova, 2004, nr. 6-12,
art. 44), cu modificările ulterioare, se modifică și se completează, după cum
urmează:
7
1. La articolul 3, noțiunile „date personale” și „subiectul datelor personale”
se exclud.
2. La Articolul 9:
alineatul (1) se expune în următoarea redacție:
„(1) Lista datelor personale incluse în resursele informaţionale de stat, modul
de colectare, păstrare şi utilizare a datelor se stabilesc în condițiile prezentei legi,
Legii privind protecția datelor cu caracter personal şi altor acte legislative sau
normative, de către:
a) Guvern, pentru resursele informaționale de stat de bază sau care sînt
utilizate de către mai multe autorități și care au impact major asupra populației în
partea ce vizează prelucrarea datelor personale.
b) operatorul de date personale, pentru resursele informaționale
departamentale sau teritoriale.”.
la alineatul (4) cuvintele „protecţie şi prelucrare” se înlocuiesc cu cuvintele
„conformitate şi securitate la prelucrarea datelor personale”.
alineatul (6) se completează în final cu textul „şi de alte acte normative din
domeniul protecţiei datelor cu caracter personal.”.
3. Articolul 10 alineatul (3) se completează în final cu textul „şi de alte acte
normative din domeniul protecţiei datelor cu caracter personal.”.
4. Articolul 13 alineatul (2) se completează în final cu textul „în condiţiile
prevăzute de Legea privind protecţia datelor cu caracter personal.”.
5. Articolul 31:
alineatul (1) se completează în final cu textul „şi în condiţiile prevăzute de
Legea privind protecţia datelor cu caracter personal.”.
la alineatul (3) textul „de Guvern” se modifică prin textul „de lege şi de alte
acte normative din domeniul protecţiei datelor cu caracter personal.”.
Art. XIX. – Legea nr. 333/2006 privind statutul ofiţerului de urmărire penală
(Monitorul Oficial al Republicii Moldova, 2006, nr.195–198, art.918), cu
modificările şi completările ulterioare, se modifică și se completează, după cum
urmează:
1. La articolul 10 alineatul (1) cuvintele „prevăzute de legislaţie” se modifică
cu cuvintele „prevăzut de Legea privind protecţia datelor cu caracter personal şi
alte acte legislative.”.
2. Se completează cu Articolul 261, cu următorul cuprins:
„Articolul 261. Investigarea legalităţii operaţiunilor de prelucrare a datelor cu
caracter personal
Investigarea legalității operaţiunilor de prelucrarea a datelor cu caracter
personal efectuate de către ofiţerul de urmărire penală se realizează de către
Centrul Național pentru Protecția Datelor cu Caracter Personal.”.
Art. XX. – Legea nr. 190/2007 cu privire la prevenirea şi combaterea spălării
banilor şi finanţării terorismului (Monitorul Oficial ai Republicii Moldova, 2007,
nr.141–145, art.597), cu modificările și completările ulterioare, se modifică și se
completează după cum urmează:
1. Articolul 5 alineatul (21) se abrogă.
2. Se completează cu art. 51 cu următorul cuprins:
8
„Articolul 51 . Protecţia datelor cu caracter personal”
(1) Prelucrarea datelor cu caracter personal în temeiul prezentei legi, se
efectuează cu respectarea prevederilor Legii privind protecția datelor cu caracter
personal.
(2) Subiectul datelor cu caracter personal este repus în drepturile restrânse
numai după încetarea situaţiei care justifică prelucrarea acestora în temeiul
prezentei legi, dar nu mai mult de 5 ani de la data prelucrării datelor cu caracter
personal pentru fiecare caz în parte.
(3) Serviciul Prevenirea şi Combaterea Spălării Banilor poate transmite
transfrontalier date cu caracter personal în condițiile Legii privind protecția datelor
cu caracter personal. La transmiterea datelor cu caracter personal, Serviciul
Prevenirea şi Combaterea Spălării Banilor va informa asupra caracterului
confidențial al informațiilor transmise, necesității prelucrării datelor cu caracter
personal pe un termen necesar atingerii scopului pentru care a fost transmisă,
precum și asupra necesității informării neîntârziate în cazul producerii unor
incidente de securitate.
(4) Investigarea legalității operaţiunilor de prelucrare a datelor cu caracter
personal se efectuează de către Centrul Național pentru Protecția Datelor cu
Caracter Personal.”.
Art. XXI. – Codul Contravenţional al Republicii Moldova nr. 218/2008
(Monitorul Oficial al Republicii Moldova, 2009, nr. 3-6, art. 15), cu modificările
şi completările ulterioare, se modifică şi se completează, după cum urmează:
1. Articolul 374 alineatul (4) se completează în final cu următorul conţinut:
„Investigarea legalității prelucrării datelor cu caracter personal se efectuează
de către Centrului Național pentru Protecția Datelor cu Caracter Personal.”.
2. Articolul 741 se expune în redacţie nouă, cu următorul conţinut:
„Prelucrarea datelor cu caracter personal prin intermediul mijloacelor de
supraveghere video și/sau utilizarea mijloacelor video fără notificarea, autorizarea
şi/sau înregistrarea Centrului Național pentru Protecția Datelor cu Caracter
Personal, atunci cînd notificarea, autorizarea și înregistrarea este obligatorie,
se sancţionează cu amendă de la 60 la 90 de unităţi convenţionale aplicată
persoanei fizice, cu amendă de la 90 la 180 de unităţi convenţionale aplicată
persoanei cu funcţie de răspundere, cu amendă de la 120 la 500 de unităţi
convenţionale aplicată persoanei juridice.”.
3. Articolele 742, 743, 4234 și 4431 se abrogă.
4. La articolul 400 alineatul (1) Codul contravențional după textul „art. 73”
se completează cu textul „art. 741”;
5. Articolul 455 se completează cu alineatul (6), cu următorul conţinut:
,,(6) Participanții la proces se identifică potrivit actelor de identitate și se
preîntîmpină în scris asupra necesității prelucrării datelor cu caracter personal care
devin cunoscute în cadrul procesului contravențional în conformitate cu
prevederile Legii privind protecția datelor cu caracter personal.”.
Art. XXII. – În anexa la Legea nr. 245/2008 cu privire la secretul de stat
(Monitorul Oficial al Republicii Moldova, 2008, nr. 45-46, art. 123), cu
modificările și completările ulterioare, punctul I se completează cu subpunctul 24,
9
cu textul: ,,24. Directorul și directorul adjunct al Centrului Național pentru
Protecția Datelor cu Caracter Personal”, iar din punctul II se exclude subpunctul
6.
Art. XXIII. – Legea nr. 271/2008 privind verificarea titularilor și a
candidaților la funcții publice (republicată în Monitorul Oficial al Republicii
Moldova, 2017, nr. 2-8, art. 1), cu modificările și completările ulterioare, se
completează cu articolul 71 cu următorul conținut:
„Articolul 71. Prelucrarea datelor cu caracter personal
Orice operațiune de prelucrare a datelor cu caracter personal efectuate de
către subiecții prezentei legi se efectuează în conformitate cu prevederile Legii
privind protecţia datelor cu caracter personal. Investigarea legalității operaţiunilor
de prelucrarea a datelor cu caracter personal se efectuează de către Centrul
Național pentru Protecția Datelor cu Caracter Personal.
Art. XXIV. – Legea nr. 113/2010 privind executorii judecătoreşti
(republicată în Monitorul Oficial al Republicii Moldova, 2017, nr. 2-8, art. 1), cu
modificările și completările ulterioare, se modifică și se completează, după cum
urmează:
1. Articolul 8 alineatul (3) se completează cu litera ,,l)” după cum urmează:
,,l) să prelucreze datele cu caracter personal în strictă conformitate cu
prevederile Legii privind protecția datelor cu caracter personal.”;
2. Articolul 33 se completează cu alineatul (6), după cum urmează:
,,(6) Investigarea legalității operaţiunilor de prelucrare a datelor cu caracter
personal efectuate de către executorul judecătoresc se realizează de către Centrul
Național pentru Protecția Datelor cu Caracter Personal.”
Art. XXV. – Legea nr. 133/2011 privind protecția datelor cu caracter
personal (Monitorul Oficial al Republicii Moldova, 2011, nr.170-175, art. 492),
cu modificările şi completările ulterioare, se expune în redacție nouă, după cum
urmează:
„Legea nr. 133 din 08 iulie 2011 privind protecția datelor cu caracter
personal În scopul asigurării respectării dreptului fundamental al omului la
inviolabilitatea vieții intime, familiale și private, consacrat la art. 28 din
Constituția Republicii Moldova;
Conștientizînd obligațiile asumate de Republica Moldova prin aderarea la
Convenția nr. 108 pentru protecția persoanelor referitor la prelucrarea
automatizată a datelor cu caracter personal și Protocolul adiţional la Convenţia
pentru protecţia persoanelor referitor la prelucrarea automatizată a datelor cu
caracter personal, cu privire la autorităţile de supraveghere şi fluxul transfrontalier
al datelor;
Necesitatea creării cadrului juridic în vederea aplicării:
Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului
privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu
caracter personal și privind libera circulație a acestor date și de abrogare a
Directivei 95/46/CE (Regulamentul general privind protecția datelor);
10
Directivei (UE) 2016/680 a Parlamentului European şi a Consiliului din 27
aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu
caracter personal de către autoritățile competente în scopul prevenirii, depistării,
investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și
privind libera circulație a acestor date și de abrogare a Deciziei-cadru
2008/977/JAI a Consiliului,
Directivei (UE) 2016/681 a Parlamentului European şi a Consiliului din 27
aprilie 2016 privind utilizarea datelor din registrul cu numele pasagerilor (PNR)
pentru prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de
terorism și a infracțiunilor grave, precum și altor acte comunitare,
Parlamentul adoptă prezenta lege organică.
Capitolul I
DISPOZIŢII GENERALE
Articolul 1. Scopul legii
Scopul prezentei legi este asigurarea dreptului la protecția datelor cu caracter
personal, ce derivă din dreptul constituțional la inviolabilitatea vieții intime,
familiale și private.
Articolul 2. Domeniul de aplicare
(1) Prezenta lege reglementează condițiile generale juridice și tehnice necesar
a fi asigurate în legătură cu intenția/inițierea de a prelucra și/sau prelucrarea
datelor cu caracter personal, inclusiv în partea ce vizează mijloacele utilizate sau
intenționat a fi utilizate la prelucrare.
(2) Domeniul de acţiune al prezentei legi se extinde asupra:
a) prelucrării datelor cu caracter personal efectuate în cadrul activităţilor
desfăşurate de operatori aflaţi pe teritoriul Republicii Moldova şi mijloacelor
utilizate în acest sens;
b) prelucrării datelor cu caracter personal efectuate în cadrul misiunilor
diplomatice şi oficiilor consulare ale Republicii Moldova, precum şi de către alţi
operatori aflaţi în afara teritoriului ţării, dar pe teritorii în care se aplică dreptul
intern al Republicii Moldova, în temeiul dreptului internaţional public;
c) prelucrărilor datelor personale ale unor subiecți de date care se află în
Republica Moldova de către un operator sau o persoană împuternicită de operator
care nu este stabilită sau nu se află în Republica Moldova, atunci cînd activitățile
de prelucrare sunt legate de:
- oferirea de bunuri sau servicii unor astfel de persoane vizate în Republica
Moldova, indiferent dacă se solicită sau nu efectuarea unei plăți de către subiectul
de date; sau
- monitorizarea comportamentului lor dacă acesta se manifestă în cadrul
Republicii Moldova
d) secretului de stat, secretului profesional, secretului bancar, secretului
comercial sau a dosarului special, confidențialității procesului contravențional sau
penal sau oricăror altor informații care nu pot fi invocate în vederea nerespectării
regimului juridic al legislației din domeniul protecției datelor cu caracter personal.
11
(3) Domeniul de acţiune al prezentei legi nu se extinde asupra:
a) prelucrării datelor cu caracter personal efectuate de către persoane fizice
exclusiv pentru nevoi personale sau familiale, dacă prin aceasta nu se încalcă
drepturile subiecţilor datelor cu caracter personal;
b) operaţiunilor de prelucrare şi transmitere transfrontalieră a datelor cu
caracter personal ce se referă la făptuitorii sau victimele crimelor de genocid, ale
crimelor de război şi ale crimelor împotriva umanităţii;
c) prelucrării datelor cu caracter personal în cadrul activității informative
(spionaj) și contrainformative (contraspionaj), agentura și sursa de informații, în
condițiile legii;
d) informaților care sunt anonimizate.
Articolul 3 Noţiuni principale:
Termenii şi expresiile utilizate în prezenta lege au următoarele semnificaţii:
date cu caracter personal (în continuare date personale) – orice informație
ce identifică sau duce la identificarea subiectului de date cu caracter personal.
Datele cu caracter personal pot fi de două categorii: obişnuită şi specială;
categoria obişnuită - este, dar nu se limitează la: nume, prenume, patronimic,
numărul de identificare de stat, adresa, numărul de telefon, numărul de
înmatriculare a automobilului, date de localizare, imaginea, vocea, un identificator
online sau la unul sau mai mulți factori specifici identității fizice, fiziologice,
economice, culturale sau sociale ale persoanei fizice;
categoria specială – date care dezvăluie originea rasială sau etnică, opiniile
politice, confesiunea religioasă sau convingerile filozofice sau apartenența socială
și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei
persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau
orientarea sexuală ale unei persoane fizice, precum şi cele referitoare la
condamnările penale, măsurile procesuale de constrîngere sau sancţiunile
contravenţionale;
date genetice - înseamnă datele cu caracter personal referitoare la
caracteristicile genetice moștenite sau dobîndite ale unei persoane fizice, care
oferă informații unice privind fiziologia sau sănătatea persoanei respective și care
rezultă în special în urma unei analize a unei mostre de material biologic recoltate
de la persoana în cauză;
date biometrice - înseamnă date cu caracter personal care rezultă în urma unor
tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau
comportamentale ale unei persoane fizice care permit sau confirmă identificarea
unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice;
date privind sănătatea - înseamnă date cu caracter personal legate de
sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii
de asistență medicală, care dezvăluie informații despre starea de sănătate a
acesteia;
subiect de date cu caracter personal (subiect de date) – persoana fizică
identificată sau identificabilă prin datele cu caracter personal;
prelucrarea datelor cu caracter personal – orice operaţiune sau serie de
operaţiuni, cu sau fără utilizarea anumitor mijloace, care se efectuează asupra
12
datelor cu caracter personal, cum ar fi, dar care nu se limitează la: colectarea,
înregistrarea, organizarea, stocarea, păstrarea, restabilirea, adaptarea ori
modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere,
diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ştergerea sau
distrugerea;
prelucrarea transfrontalieră a datelor cu caracter personal – înseamnă
prelucrarea datelor cu caracter personal cu element de extranietate la care participă
o persoană fizică sau juridică de drept public sau privat aflată în alt stat;
creare de profiluri - înseamnă orice formă de prelucrare automatizată a
datelor cu caracter personal care constă în utilizarea datelor cu caracter personal
pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în
special pentru a analiza sau prevedea aspecte privind performanța la locul de
muncă, situația economică, sănătatea, preferințele personale, interesele,
fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau
deplasările acesteia;
operator – persoana fizică sau persoana juridică de drept public sau de drept
privat, inclusiv autoritatea publică, orice altă instituţie, organizaţie sau persoane
autorizate, care stabileşte scopurile şi/sau mijloacele de prelucrare a datelor cu
caracter personal, prelucrează sau intenționează să prelucreze aceste date
nemijlocit sau prin persoana împuternicită de operator;
operator asociat – doi sau mai mulți operatori care stabilesc în comun
scopurile și mijloacele de prelucrare a datelor cu caracter personal;
persoana împuternicită de operator – înseamnă persoana fizică sau juridică,
autoritatea publică, agenția sau altă entitate care prelucrează datele cu caracter
personal în numele operatorului. De regulă, persoana împuternicită este o
persoană juridică sau fizică, alta decît operatorul;
sistem de evidenţă – orice serie structurată de date cu caracter personal, în
formă manuală, automatizată sau mixtă, accesibile conform unor criterii specifice,
fie că este centralizată, descentralizată ori repartizată după criterii funcţionale sau
geografice. În calitate de sistem de evidenţă a datelor cu caracter personal se
constituie inclusiv, dar nu se limitează la registrele, dosarele, bazele de date,
sistemele informaţionale şi informatice în care sînt stocate şi prelucrate
automatizat sau manual date cu caracter personal prelucrate pentru un anumit scop;
destinatar – persoana fizică sau persoană juridică, autoritatea publică, agenția
sau alt organism căreia (căruia) îi sînt divulgate, fără a solicita, datele cu caracter
personal, indiferent dacă este sau nu terț. În cadrul operațiunilor de prelucrare a
acestor date, destinatarul respectă prevederile legislației privind protecția datelor
cu caracter personal ce țin de limitarea de scop și asigurarea regimului de
confidențialitate și securitate. Autoritățile publice cărora li se pot comunica, la
solicitare, date cu caracter personal în cadrul unei anumite anchete în conformitate
cu prevederile legislației precum și entitățile care efectuează prelucrarea datelor
cu caracter personal în contextul art. 9 al prezentei legi, nu sînt considerate
destinatari;
terț - înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau
organism altul decît subiectul datelor cu caracter personal, operatorul, persoana
13
împuternicită de operator și persoanele care, sub directa autoritate a operatorului
sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu
caracter personal. Un terț care primește date cu caracter personal, se consideră a fi
un nou operator, cu condiția să fie respectate celelalte cerințe pentru calificarea ca
operator și legislația privind protecția datelor cu caracter personal. Terțul poartă
răspundere pentru încălcarea prezentei legi ca un operator;
consimțămîntul subiectului de date cu caracter personal – orice manifestare
de voință liberă, specifică, informată și lipsită de ambiguitate a subiectului de date
cu caracter personal prin care acesta acceptă, printr-o declarație sau printr-o
acțiune fără echivoc, ca datele cu caracter personal care îl privesc să fie prelucrate;
încălcarea securității datelor cu caracter personal - înseamnă o încălcare a
securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea,
modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise,
stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;
marketing direct (prospectare comercială) – metoda de distribuție a
produselor și serviciilor în care sînt utilizate concepte, tehnici și instrumente de
marketing, inclusiv prin intermediul poștei, serviciilor de comunicații electronice
sau al altor servicii de expediere, concretizate într-un demers orientat direct către
subiectul de date cu caracter personal, urmărind generarea unei reacții
cuantificabile a acestuia;
marcarea datelor cu caracter personal – prescripție de restricționare a
utilizării datelor cu caracter personal cu indicarea numărului de identificare unic
al operatorului de date cu caracter personal;
pseudonimizare - înseamnă prelucrarea datelor cu caracter personal într-un
asemenea mod încît acestea să nu mai poată fi atribuite unei anume persoane vizate
fără a se utiliza informații suplimentare, cu condiția ca aceste informații
suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică
și organizatorică care să asigure neatribuirea respectivelor date cu caracter
personal unei persoane fizice identificate sau identificabile;
anonimizarea datelor cu caracter personal – modificarea datelor cu caracter
personal astfel încît detaliile privind circumstanţele personale sau materiale să nu
mai permită atribuirea acestora unei persoane fizice identificate sau identificabile.
Capitolul II
CONDIŢIILE DE BAZĂ PENTRU PRELUCRAREA
DATELOR CU CARACTER PERSONAL
Articolul 4. Condițiile de conformitate și legalitate la prelucrarea datelor
personale
(1) Datele personale urmează a fi:
a) prelucrate în mod legal, echitabil și transparent față de subiectul datelor
(„legalitate, echitate și transparență”);
b) colectate în scopuri determinate, explicite și legitime și prelucrate ulterior
într-un mod incompatibil cu aceste scopuri. Prelucrarea ulterioară în scopuri de
arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în
14
scopuri statistice nu este considerată incompatibilă cu scopurile inițiale, în
conformitate cu articolul 10 alineatul (6) al prezentei legi („limitări legate de
scop”);
c) adecvate, relevante și limitate la ceea ce este necesar în raport cu realizarea
scopurilor în care sunt prelucrate („reducerea la minimum a datelor”);
d) exacte și, în cazul în care este necesar, actualizate. Urmează a fi luate toate
măsurile necesare pentru a se asigura că datele personale care sunt inexacte, avînd
în vedere scopurile pentru care sunt prelucrate, sunt șterse, distruse, actualizate sau
rectificate fără întîrziere;
e) păstrate într-o formă care permite identificarea persoanelor vizate pe o
perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt
prelucrate datele. Datele personale pot fi stocate pe perioade mai lungi în măsura
în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public,
în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în
conformitate art. 10 alin. (6) al prezentei legi, sub rezerva punerii în aplicare a
măsurilor de ordin tehnic și organizatoric adecvate prevăzute în prezentul
regulament în vederea garantării drepturilor și libertăților persoanei vizate
(„limitări legate de stocare”);
f) prelucrate într-un mod care asigură securitatea adecvată a datelor
personale, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și
împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de
măsuri tehnice sau organizatorice corespunzătoare („integritate și
confidențialitate”);
g) prelucrate sub răspunderea operatorului, care asigură și demonstrează
conformitatea fiecărei operațiuni de prelucrare cu dispozițiile prezentei legi.
h) marcate, atunci cînd sunt transmise către alți operatori, terți sau destinatari
etc. Modalitatea și forma de marcare se aprobă de Centru.
(2) Operatorul, persoana împuternicită, terţul, indiferent dacă este sau nu
destinatar, este responsabil de respectarea alineatului (1) și trebuie să poată
demonstra această respectare („responsabilitate”).
(3) Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin
una dintre următoarele condiții:
a) subiectul datelor și-a dat consimțămîntul pentru prelucrarea datelor sale
personale pentru unul sau mai multe scopuri specifice;
b) prelucrarea este necesară pentru a face demersuri la cererea persoanei
vizate înainte de încheierea unui contract sau este necesară pentru executarea unui
contract la care subiectul datelor este parte. Transmiterea datelor aferente
executării contractului către un alt operator sau persoană împuternicită de către
operator, poate avea loc doar cu condiția existenței consimțămîntului subiectului
de date vizat sau în cazul transmiterii contractului în vederea cedării creanței în
modul stabilit de legislație;
c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care
îi revine operatorului;
d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei
vizate sau ale altei persoane fizice;
15
e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește
unui interes legitim sau care rezultă din exercitarea competențelor autorității
publice cu care este învestit operatorul;
f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator
sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile
și libertățile fundamentale ale subiectului de date, care necesită protejarea datelor
cu caracter personal, în special atunci cînd subiectul datelor este un copil. Litera
(f) nu se aplică în cazul prelucrării efectuate de autorități publice în îndeplinirea
atribuțiilor lor;
(4) Prelucrarea ulterioară în alte scopuri a datelor cu caracter personal, decît
cele pentru care au fost colectate, poate fi efectuată de către operatorul datelor cu
caracter personal, ținîndu-se cont de:
a) orice legătură dintre scopurile în care datele personale au fost colectate și
scopurile prelucrării ulterioare preconizate;
b) contextul în care datele personale au fost colectate, în special în ceea ce
privește relația dintre persoanele vizate și operator;
c) natura datelor cu caracter personal, în special în cazul prelucrării unor
categorii speciale de date cu caracter personal sau în cazul în care sunt prelucrate
date cu caracter personal referitoare la condamnări penale și infracțiuni;
d) posibilele consecințe asupra persoanelor vizate ale prelucrării ulterioare
preconizate;
e) existența unor garanții adecvate, care pot include criptarea sau
pseudonimizarea.
(5) Suplimentar celor specificate la alin. (4) din prezentul articol, prelucrarea
ulterioară în alte scopuri, efectuată în forma automatizată, se va face doar cu
autorizarea Centrului Național pentru Protecția Datelor cu Caracter Personal;
(6) Cerințele statuate de prezentul articol sînt obligatorii atît pentru cel ce
deține datele cu caracter personal cît și pentru cel care intenționează să intre în
posesia acestor date, fiind necesar a fi justificat scopul, temeiul legal și legătura de
cauzalitate dintre categoriile de date cu caracter personal și
cauza/sesizare/plîngerea/adresarea, interesul legitim etc.
(7) Nu poate fi efectuată prelucrarea datelor cu caracter personal cu încălcarea
prezentei legi. Pentru refuzul de a efectua prelucrarea ilegală a datelor cu caracter
personal nu poate surveni răspundere disciplinară, civilă, contravențională sau
penală. Articolul 5. Prelucrarea datelor cu caracter personal și condițiile privind
consimțămîntul
(1) Prelucrarea datelor cu caracter personal se efectuează cu consimțămîntul
subiectului datelor cu caracter personal cu excepția cazurilor prevăzute la art. 4
alin. (3) al prezentei legii. Consimțămîntul acordat ulterior prelucrării datelor cu
caracter personal, nu are efect retroactiv.
(2) În cazul în care prelucrarea se bazează pe consimțămînt, operatorul trebuie
să fie în măsură să demonstreze că subiectul datelor și-a dat consimțămîntul pentru
prelucrarea datelor sale cu caracter personal.
16
(3) În cazul în care consimțămîntul persoanei vizate este dat în contextul unei
declarații scrise care se referă și la alte aspecte, cererea privind consimțămîntul
trebuie să fie prezentată într-o formă care o diferențiază în mod clar de celelalte
aspecte, într-o formă inteligibilă și ușor accesibilă, utilizînd un limbaj clar și
simplu.
(4) În cazul incapacităţii de exerciţiu sau al capacităţii de exerciţiu limitate a
subiectului datelor cu caracter personal, consimţămîntul privind prelucrarea
datelor cu caracter personal se acordă în formă scrisă sau electronică conform
cerințelor față de semnătura electronică și documentul electronic de către
reprezentantul lui legal. Operatorii și persoanele împuternicite de operatori au
obligația de a verifica împuternicirile reprezentantului legal de a exprima
consimțămîntul în numele subiectului de date cu caracter personal.
Consimțămîntul acordat de către reprezentantul legal se consideră a fi valabil doar
dacă la oferirea acestuia nu se încalcă drepturile și libertățile fundamentale ale
subiectului de date cu caracter personal vizat.
(5) În cazul decesului subiectului datelor cu caracter personal,
consimţămîntul privind prelucrarea datelor sale se acordă, în formă scrisă, de către
succesorii acestuia, dacă un astfel de consimţămînt nu a fost dat de subiectul
datelor cu caracter personal în timpul vieţii.
(6) Subiectul datelor are dreptul să își retragă în orice moment
consimțămîntul. Retragerea consimțămîntului nu afectează legalitatea prelucrării
efectuate pe baza consimțămîntului înainte de retragerea acestuia. Înainte de
acordarea consimțămîntului, subiectul datelor este informată cu privire la acest
lucru. Retragerea consimțămîntului se face la fel de simplu ca și acordarea
acestuia.
(7) La evaluarea caracterului necondiționat al acordării consimțămîntului se
va ține seama de necesitatea, pertinența și neexcesivitatea categoriilor de date cu
caracter personal în raport cu serviciul prestat.
(8) Forma consimțămîntului trebuie să corespundă mijloacelor prin care se
colectează datele cu caracter personal.
(9) Existența consimțămîntului nu exclude obligațiile operatorului de a
respecta condițiile prevăzute la Capitolul II din prezenta lege.
(10) Chiar dacă subiectul datelor cu caracter personal şi-a dat consimţămîntul,
în cazul constatării încălcării prevederilor prezentei legi, Centrul poate dispune în
privința acestor prelucrări în scopul aducerii acestora în conformitate cu
prevederile prezentei legi. Articolul 6. Prelucrarea categoriei speciale a datelor cu caracter personal
(1) Se interzice prelucrarea categoriei speciale de date cu caracter personal.
(2) Alineatul (1) nu se aplică în situația în care:
a) subiectul datelor cu caracter personal şi-a dat consimţămîntul în scris. În
cazul incapacităţii de exerciţiu sau al capacităţii de exerciţiu limitate a subiectului
datelor cu caracter personal, prelucrarea categoriilor speciale de date cu caracter
personal se efectuează numai cu obţinerea consimţămîntului în formă scrisă sau
17
electronică conform cerințelor față de semnătura electronică și documentul
electronic, a reprezentantului lui legal;
b) prelucrarea este necesară în scopul îndeplinirii obligațiilor și al exercitării
unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul
ocupării forței de muncă, al protecției muncii și protecției sociale, în măsura în
care acest lucru este prevăzut de lege ori de un acord colectiv de muncă încheiat
în temeiul legii, care prevede garanții adecvate pentru drepturile fundamentale și
interesele persoanei vizate;
c) prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei
vizate sau ale unei alte persoane fizice, atunci cînd subiectul datelor se află în
incapacitate fizică sau juridică de a-și da consimțămîntul;
d) prelucrarea este efectuată în cadrul activităților lor legitime și cu garanții
adecvate de către o fundație, o asociație sau orice alt organism fără scop lucrativ
și cu specific politic, filozofic, religios sau sindical, cu condiția ca prelucrarea să
se refere numai la membrii sau la foștii membri ai organismului respectiv sau la
persoane cu care acesta are contacte permanente în legătură cu scopurile sale și ca
datele cu caracter personal să nu fie comunicate terților fără consimțămîntul
persoanelor vizate;
e) prelucrarea se referă la date cu caracter personal care sunt făcute publice
în mod voluntar şi manifest de către subiectul datelor ;
f) prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui
drept în justiție al subiectului datelor cu caracter personal;
g) prelucrarea este efectuată de către autoritățile competente în scopul
prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al
executării pedepselor, cu condiția ca aceasta să se efectueze cu respectarea
drepturilor subiectului datelor cu caracter personal şi a celorlalte cerințe și garanții
prevăzute de prezenta lege;
h) prelucrarea este necesară în scopuri legate de medicină preventivă sau a
muncii, de evaluarea capacității de muncă a angajatului, de stabilirea unui
diagnostic medical, de furnizarea de asistență medicală sau socială sau a unui
tratament medical sau de gestionarea sistemelor și serviciilor de sănătate sau de
asistență socială, în temeiul legii sau în temeiul unui contract încheiat cu un cadru
medical și sub rezerva respectării condițiilor și garanțiilor prevăzute la alineatul
(3);
i) prelucrarea este necesară din motive de interes public în domeniul sănătății
publice, cum ar fi protecția împotriva amenințărilor transfrontaliere grave la adresa
sănătății sau asigurarea de standarde ridicate de calitate și siguranță a asistenței
medicale și a medicamentelor sau a dispozitivelor medicale, în temeiul legii, care
prevede măsuri adecvate și specifice pentru protejarea drepturilor și libertăților
persoanei vizate, în special a secretului profesional; sau
j) prelucrarea este necesară în scopuri de arhivare în interes public, în scopuri
de cercetare științifică sau istorică ori în scopuri statistice, în conformitate cu
articolul 10 alineatul (6), care trebuie să fie proporțională cu obiectivul urmărit,
respectă esența dreptului la protecția datelor și prevede măsuri corespunzătoare și
18
specifice pentru protejarea drepturilor fundamentale și a intereselor persoanei
vizate;
k) prelucrarea urmărește un interes legitim, cu condiția obținerii autorizării
din partea Centrului.
(3) Cadrele medicale, instituțiile medico-sanitare și personalul medical al
acestora pot prelucra date cu caracter personal privind starea de sănătate, fără
autorizația Centrului, numai dacă prelucrarea este necesară în scop de urgență de
sănătate publică sau urgențe medico-chirurgicale. Articolul 7. Prelucrarea datelor cu caracter personal în sectorul polițienesc și
al securității statului
(1) Prelucrarea datelor cu caracter personal în cadrul acțiunilor de prevenire
şi investigare a infracțiunilor, punerii în executare a sentințelor de condamnare şi
al altor acțiuni din cadrul procedurii penale sau contravenționale, precum și al
acțiunilor efectuate în scopul asigurării securității statului, poate fi efectuată numai
de către sau sub verificarea autorităților publice, în limitele competențelor
acordate şi în condițiile stabilite prin legile ce reglementează aceste domenii.
(2) Centrului îi revine competența de investigare efectivă și de obținere, din
partea organelor de drept și organelor specializate în domeniul asigurării securității
statului, a accesului la toate datele și materialele cu caracter personal care sunt
prelucrate și la toate informațiile necesare pentru îndeplinirea sarcinilor sale.
(3) Entitățile ce cad sub incidența alin. (1) din prezentul articol, sînt obligate
să dispună de subdiviziune specializată responsabilă de respectarea domeniului
protecției datelor cu caracter personal investite cu drepturi și atribuții
corespunzătoare în vederea realizării sarcinilor sale. Articolul 8. Prelucrarea care nu necesită identificare
(1) Datele cu caracter personal pot fi colectate în scopul identificării
subiectului de date, doar în situația în care scopul pentru care se obține este
indispensabil în raport cu serviciul prestat sau cu o cauză concretă. Operatorul de
date și/sau persoana împuternicită de operator sînt obligați, la cerere, să justifice
în scris, necesitatea colectării fiecărei categorii de date cu caracter personal.
(2) În cazul în care scopurile pentru care un operator prelucrează date cu
caracter personal nu necesită sau nu mai necesită identificarea unui subiect de date
de către operator, operatorul nu are obligația de a păstra, obține sau prelucra
informații suplimentare pentru a identifica subiectul datelor în scopul unic al
respectării prezentei legi.
(3) În cazul în care scopurile pentru care un operator prelucrează date cu
caracter personal nu necesită sau nu mai necesită identificarea unui subiect de date,
operatorul nu este în drept să multiplice sau să obțină copii de pe alte documente
care consemnează date cu caracter personal.
(4) În situația în care operatorul deține datele cu caracter personal care
identifică subiectul, actualizarea datelor și identificarea acestuia se face prin
prezentarea în original a unui act oficial care confirmă aceste date.
19
(5) Ridicarea sau reținerea sub orice formă a actelor oficiale ce identifică
persoana nu se admite, cu excepția cazurilor prevăzute de lege.
(6) Dacă, în cazurile menționate la alineatul (2) din prezentul articol,
operatorul poate demonstra că nu este în măsură să identifice subiectul datelor,
operatorul informează subiectul datelor în mod corespunzător, în cazul în care
este posibil. În astfel de cazuri, articolele 12-18 nu se aplică, cu excepția cazului
în care subiectul datelor, în scopul exercitării drepturilor sale în temeiul
respectivelor articole, oferă informații suplimentare care permit identificarea sa. Articolul 9. Prelucrarea datelor cu caracter personal şi libertatea de exprimare
(1) Prevederile art. 5 alin. (1) – (9), 6, 7 și 12 nu se aplică în situaţia în care
prelucrarea datelor cu caracter personal se face exclusiv în scopuri jurnalistice,
științifice, artistice sau literare, dacă aceasta se referă la date care au fost făcute
publice în mod voluntar şi manifest de către subiectul datelor cu caracter personal
sau la date care sînt strîns legate de calitatea de persoană publică a subiectului
datelor cu caracter personal sau de caracterul public al faptelor în care acesta este
implicat, în condiţiile Legii cu privire la libertatea de exprimare.
(2) Operatorii de date care intenționează colectarea datelor personale, sînt
obligați să justifice necesitatea obținerii acestora, prin prisma scopurilor și
condițiilor statuate la alin. (1). În cazul în care solicitarea nu cuprinde motivile de
drept și de fapt ce rezultă expres din alin. (1), operatorul care deține datele
personale urmează să revendice solicitantului justificările corespunzătoare.
(3) La întrunirea condițiilor stabilite la alin. (1) și alin. (2) din prezentul
articol, operatorii, împuterniciții, terții, destinatarii precum și entitățile care nu sînt
destinarea sînt obligate să furnizeze informațiile solicitate, în termen de pînă la 15
zile lucrătoare.
(4) Prelucrarea efectuată în scopuri jurnalistice sau în scopul cercetării
științifice, artistice sau literare, poate avea loc în condițiile alin. (1) - (3), cu
asigurarea unui echilibru între dreptul la protecția datelor cu caracter personal,
libertatea de exprimare și accesul la informație.
(5) La oferirea/răspîndirea spre acces public nerestricționat a datelor cu
caracter personal, în condițiile alin. (1), se va limita la volumul categoriilor de date
strict necesare interesului public sporit în raport cu scopul urmărit, cu condiția
neprejudicierii măsurilor de protecţie a subiecților de date cu caracter personal și
nepunerii în pericol a securității fizice și psihice a acestora.
(6) Realizarea drepturilor subiecților de date cu caracter personal în raport cu
prelucrarea de date efectuată în condițiile prezentului articol, poate avea loc prin
raportarea situației de facto la proporționalitatea asigurării dreptului la
inviolabilitatea vieții intime, familiale și private cu dreptul de acces la informație.
(7) Prelucrarea datelor cu caracter personal efectuată cu respectarea
prevederilor alin. (1) - (6) din prezentul articol, exclude răspunderea
contravențională, penală sau civilă.
20
Articolul 10. Stocarea și utilizarea datelor cu caracter personal
(1) Condiţiile şi termenele de stocare a datelor cu caracter personal se
stabilesc de legislaţie ţinîndu-se cont de prevederile art. 4 alin. (1).
(2) La atingerea scopurilor pentru care datele cu caracter personal au fost
prelucrate acestea vor fi:
a) restituite, la cererea subiectului de date, în forma în care sînt stocate;
b) distruse;
c) transformate în documente de arhivă și stocate în conformitate cu
prevederile legislației în domeniul arhivelor;
d) în cazurile prevăzute expres de lege, transferate unui alt operator, cu
condiția ca operatorul inițial să garanteze faptul că prelucrările ulterioare au
scopuri similare celor în care s-a făcut prelucrarea inițială;
e) anonimizate și stocate exclusiv în scopuri statistice.
(3) În cazurile în care datele cu caracter personal au fost transformate în
documente de arhivă, accesul la acestea este restricționat pe toată perioada de
stocare, cu excepția următoarelor cazuri:
a) subiectul datelor cu caracter personal, reprezentantul legal al acestuia sau
succesorii au exprimat consimțămîntul;
b) în scopuri de cercetare statistică, istorică sau științifică;
c) în scopul înfăptuirii justiției.
(4) În cazurile prevăzute de alin. (3) prelucrarea ulterioară a acestor date se
efectuează în condițiile prevăzute de prezenta lege.
(5) În cazul în care legea nu prevede expres condițiile și termenele de stocare
și utilizare a datelor cu caracter personal, acestea urmează a fi stabilite de operator
în condițiile autorizării Centrului.
(6) Prelucrarea în scopuri de arhivare în interes public, în scopuri jurnalistice,
de cercetare științifică sau istorică ori în scopuri statistice are loc cu condiția
existenței unor garanții corespunzătoare, în conformitate cu prezenta lege, pentru
asigurarea drepturilor și libertăților persoanelor vizate. Respectivele garanții
asigură faptul că au fost instituite măsuri tehnice și organizatorice necesare pentru
a se asigura, în special, reducerea la minimum a datelor. Prelucrarea ulterioară a
datelor personale în scopurile prevăzute de prezentul alineat, urmează a fi
efectuată în forma anonimizată. Se admite pseudonimizarea datelor personale, în
situația în care anonimizarea ar duce la prejudicierea realizării acestor scopuri, cu
condiția argumentării justificate a faptului prejudicierii.
Capitolul III
DREPTURILE SUBIECTULUI DATELOR
CU CARACTER PERSONAL
Articolul 11. Transparenţa informaţiilor, a comunicărilor şi a modalităţilor
de exercitare a drepturilor persoanei vizate
(1) Operatorul ia măsuri adecvate pentru a furniza subiectului de date orice
informații menționate la articolul 12 și orice dezvăluiri în temeiul articolelor 13-
17 referitoare la prelucrare, într-o formă concisă, transparentă, inteligibilă și ușor
21
accesibilă, utilizînd un limbaj clar și simplu. Informațiile se furnizează în scris sau
prin alte mijloace, inclusiv, atunci cînd este oportun, în format electronic. La
solicitarea subiectului de date, informațiile pot fi furnizate verbal, cu condiția ca
identitatea subiectului de date să fie dovedită prin alte mijloace.
(2) Operatorul facilitează exercitarea drepturilor subiectului de date în
temeiul articolelor 12-20. În cazurile menționate la articolul 8 alineatul (6),
operatorul nu refuză să dea curs cererii subiectului de date de a-și exercita
drepturile în conformitate cu articolele 12-20, cu excepția cazului în care
operatorul demonstrează că nu este în măsură să identifice subiectul de date.
(3) Operatorul furnizează subiectului de date informații privind acțiunile
întreprinse în urma unei cereri în temeiul articolelor 12-20, fără întîrzieri
nejustificate și, în orice caz, în cel mult 15 zile lucrătoare de la primirea cererii.
Această perioadă poate fi prelungită cu încă 15 de zile lucrătoare atunci cînd este
necesar, ținîndu-se seama de complexitatea și numărul cererilor. Operatorul
informează subiectul de date cu privire la orice prelungire, prezentînd și motivele
întîrzierii. În cazul în care subiectul datelor introduce o cerere în format electronic,
informațiile sunt furnizate în format electronic acolo unde este posibil, cu excepția
cazului în care subiectul datelor solicită un alt format.
(4) Dacă nu ia măsuri cu privire la cererea subiectului de date, operatorul
informează subiectul datelor, fără întîrziere și în termen de cel mult 15 zile
lucrătoare de la primirea cererii, cu privire la motivele pentru care nu ia măsuri și
la posibilitatea de a depune plîngere la Centru sau a sesiza instanța de judecată.
(5) Informațiile furnizate în temeiul prezentului capitol sunt oferite gratuit. În
cazul în care cererile din partea unui subiect de date sunt în mod vădit nefondate
sau excesive, în special din cauza caracterului lor repetat, operatorul poate:
a) fie să perceapă o taxă rezonabilă ținînd cont de costurile administrative
pentru furnizarea informațiilor sau a comunicării, sau pentru luarea măsurilor
solicitate;
b) fie să refuze să dea curs cererii. În aceste cazuri, operatorului îi revine
sarcina de a demonstra caracterul vădit nefondat sau excesiv al cererii.
(6) În cazul în care are îndoieli întemeiate cu privire la identitatea persoanei
fizice care înaintează cererea în temeiul prezentului capitol, operatorul poate
solicita furnizarea de informații suplimentare necesare pentru a confirma
identitatea subiectului de date. Articolul 12. Informarea subiectului datelor cu caracter personal
(1) În cazul în care datele cu caracter personal sînt colectate direct de la
subiectul datelor, operatorul sau persoana împuternicită de către operator are
obligaţia să-i furnizeze gratuit următoarele informații:
1) identitatea operatorului/operatorilor asociați sau, după caz, a persoanei
împuternicite de către operator;
2) datele de contact ale responsabilului de protecția datelor, după caz;
3) scopurile în care sunt prelucrate datele cu caracter personal, categoriile de
date cu caracter personal, temeiul juridic al prelucrării și legătura de cauzalitate
dintre datele solicitate și scopul indicat;
22
4) interesele legitime urmărite de operator sau de terţ, în cazul în care
prelucrarea se face în temeiul articolului 4 alin. (3) lit. f);
5) destinatarii, categoriile de destinatari ai datelor cu caracter personal sau
entitățile care nu au calitate de destinatar, inclusiv privind transmiterea
transfrontalieră, după caz;
6) informații suplimentare, precum:
a) perioada de stocare a datelor cu caracter personal sau dacă acest lucru nu
este posibil, criteriile utilizate pentru a stabili această perioadă şi acţiunile
întreprinse asupra acestora la atingerea scopurilor pentru care au fost prelucrate;
b) existența drepturilor de acces la date, de intervenție asupra datelor şi de
opoziţie, precum şi condiţiile în care acestea pot fi exercitate;
c) atunci cînd prelucrarea are la bază consimțămîntul subiectului de date sau
un temei legal, existența dreptului de a retrage consimțămîntul în orice moment,
fără a afecta legalitatea prelucrării efectuate pe baza consimțămîntului înainte de
retragerea acestuia;
d) dacă furnizarea de date cu caracter personal reprezintă o obligație legală
sau contractuală sau o obligație necesară pentru încheierea unui contract, precum
și dacă subiectul datelor este obligat să furnizeze aceste date cu caracter personal
și care sunt eventualele consecințe ale nerespectării acestei obligații;
e) existenţa unui proces decizional automatizat cu crearea de profiluri,
precum și informații pertinente privind logica utilizată, importanța și consecințele
preconizate ale unei astfel de prelucrări pentru subiectul datelor;
f) dreptul de a depune o plîngere în fața unei autorități de supraveghere.
(2) În cazul în care datele cu caracter personal nu sînt colectate direct de la
subiectul datelor, operatorul/operatorul asociat sau persoana împuternicită de către
operator este obligat să furnizeze subiectului de date, informațiile prevăzute la
alin. (1), cu excepţia pct. 6) lit. d):
a) într-un termen de pînă la 15 zile lucrătoare după obținerea datelor cu
caracter personal, ținîndu-se cont de circumstanțele specifice în care sunt
prelucrate datele cu caracter personal;
b) dacă datele cu caracter personal urmează să fie utilizate pentru
comunicarea cu subiectul datelor, cel tîrziu în momentul primei comunicări către
subiectul datelor respectiv; sau
c) dacă se intenționează divulgarea datelor cu caracter personal către un alt
destinatar sau către entitățile care nu au calitatea de destinatar, cel mai tîrziu la
data la care acestea sunt divulgate pentru prima oară.
(3) Informarea subiectului de date de regulă se face în formă scrisă,
electronică sau în orice alt format cu condiția că operatorul este în stare să probeze
că subiectul de date a recepționat această informație.
(4) Prevederile alin. (1) şi (2) nu se aplică în cazul în care:
a) subiectul datelor cu caracter personal deține informațiile stabilite la alin.
(1) și alin. (2) din prezentul articol, cu condiția că operatorul, destinatarul sau
entitățile care nu au calitate de destinatar pot dovedi că respectiva informație este
deținută de subiectul de date;
23
b) prelucrarea datelor cu caracter personal se face în scopuri de arhivare,
statistice, de cercetare istorică sau științifică;
c) furnizarea informațiilor este imposibilă sau implică un efort
disproporționat față de interesul legitim care ar putea fi lezat;
d) înregistrarea sau dezvăluirea datelor cu caracter personal este prevăzută în
mod expres de legislație sau prelucrarea asigură măsuri adecvate pentru a proteja
interesele legitime ale persoanei vizate. Articolul 13. Dreptul de acces la datele cu caracter personal
(1) Subiectul datelor are dreptul să obțină la cerere, în mod gratuit şi fără
întîrziere nejustificată:
a) informațiile prevăzute la art. 12 alin. (2);
b) accesul la datele cu caracter personal care-l vizează, prelucrate în sistemele
de evidență, cu condiția ca acest fapt să nu prejudicieze drepturile altor subiecți de
date cu caracter personal sau măsurile de securitate ale operatorului;
c) comunicarea oricărei informații disponibile privind originea acestor date;
d) existența unui proces decizional automatizat incluzînd crearea de profiluri,
precum și, cel puțin în cazurile respective, informații pertinente privind logica
utilizată și privind importanța și consecințele preconizate ale unei astfel de
prelucrări pentru persoana vizată;
e) informații cu privire la consecințele juridice generate de prelucrarea datelor
personale pentru subiectul acestor date;
f) informații privind modul de exercitare a dreptului de intervenție și de
opoziție asupra datelor cu caracter personal;
g) confirmarea/infirmarea faptului aplicării anterior a prevederilor art. 21 alin.
(6) din prezenta lege.
(2) În cazul în care datele cu caracter personal sunt transferate către o țară
terță sau o organizație internațională, subiectul de date urmează a fi informat,
inclusiv cu privire la existența garanțiilor adecvate referitoare la acest transfer.
(3) La cererea subiectului de date care urmează a fi semnată olograf sau să
corespundă cerințelor semnăturii electronice și documentului electronic,
operatorul furnizează o copie a datelor personale care fac obiectul prelucrării.
Pentru orice alte copii solicitate de subiectul de date, operatorul poate percepe o
taxă rezonabilă, bazată pe costurile administrative în baza unui regulament
elaborat de către operator. În cazul în care subiectul de date introduce cererea în
format electronic și cu excepția cazului în care persoana vizată solicită un alt
format, informațiile sunt furnizate într-un format electronic utilizat în mod curent.
(4) Dreptul de a obține o copie menționată la alineatul (3) se aplică în așa fel
încît să nu aducă atingere drepturilor și libertăților altora. Articolul 14. Dreptul la rectificare
Subiectul datelor cu caracter personal are dreptul de a obține de la operator,
la cerere şi fără întîrziere nejustificată:
a) rectificarea datelor inexacte sau neveridice care-l vizează;
b) completarea datelor incomplete care-l vizează;
24
c) actualizarea datelor care-l vizează. Articolul 15. Dreptul la ștergerea datelor (dreptul de a fi uitat)
(1) Subiectul datelor cu caracter personal are dreptul de a obține de la operator
ștergerea datelor cu caracter personal care-l vizează, iar operatorul are obligația de
a șterge datele cu caracter personal fără întîrzieri nejustificate, în cazul în care se
aplică unul dintre următoarele motive:
a) datele cu caracter personal nu mai sunt necesare pentru îndeplinirea
scopurilor pentru care au fost colectate sau prelucrate;
b) subiectul datelor își retrage consimțămîntul în baza căruia are loc
prelucrarea și nu există niciun alt temei juridic pentru prelucrare;
c) subiectul datelor îşi manifestă dreptul de opoziție și nu există motive
legitime care să prevaleze în ceea ce privește prelucrarea;
d) datele cu caracter personal au fost prelucrate ilegal;
e) datele cu caracter personal trebuie șterse pentru respectarea unei obligații
legale care revine operatorului în conformitate cu legislația;
f) datele cu caracter personal au fost colectate în legătură cu oferirea de
servicii ale societății informaționale, în special dacă aceste servicii vizează
minorii.
(2) În cazul în care operatorul a făcut publice datele cu caracter personal și
este obligat, în temeiul alineatului (1), să le șteargă, operatorul, ținînd seama de
tehnologia disponibilă și de costul implementării, ia măsuri rezonabile, inclusiv
măsuri tehnice, pentru a informa operatorii care prelucrează datele cu caracter
personal că subiectul datelor a solicitat ștergerea de către acești operatori a oricăror
link-uri către datele respective sau a oricăror copii sau reproduceri ale acestor date
personale.
(3) În cazul în care dreptul la ștergerea datelor a fost satisfăcut, operatorii,
persoanele împuternicite de operator, terții, destinatarii și entitățile care nu sînt
destinatare care prelucrează aceste date sunt obligați să-și ajusteze operațiunile de
prelucrare, în termen de 15 zile din momentul informării.
(4) Alineatele (1) - (3) nu se aplică în măsura în care prelucrarea este
justificată și necesară pentru:
a) prelucrarea în condițiile art. 9 din prezenta lege;
b) respectarea unei obligații legale care prevede prelucrarea;
c) constatarea, exercitarea sau apărarea unui drept în instanță în limitele
termenelor de prescripție stabilite de legislație. Articolul 16. Dreptul la restricționarea prelucrării
(1) Subiectul datelor cu caracter personal are dreptul de a obține din partea
operatorului restricționarea prelucrării în cazul în care se aplică unul din
următoarele cazuri:
a) subiectul contestă exactitatea datelor, pentru o perioadă care îi permite
operatorului să verifice exactitatea datelor;
b) subiectul consideră prelucrarea ca fiind ilegală și se opune ștergerii datelor
personale, solicitînd în schimb restricționarea utilizării lor;
25
c) operatorul nu mai are nevoie de datele personale în scopul prelucrării, dar
subiectul i le solicită pentru constatarea, exercitarea sau apărarea unui drept în
instanță; sau
d) subiectul și-a realizat dreptul de opoziție față de prelucrare, pentru
intervalul de timp în care se verifică dacă drepturile legitime ale operatorului
prevalează asupra celor ale subiectului de date.
(2) În cazul în care prelucrarea a fost restricționată în temeiul alineatului (1),
astfel de date cu caracter personal pot, cu excepția stocării, să fie prelucrate numai
cu consimțămâîntul subiectului de date sau pentru constatarea, exercitarea sau
apărarea unui drept în instanță, pentru protecția drepturilor unei alte persoane
fizice sau juridice sau din motive de interes public sporit.
(3) Subiectul datelor, care a obținut restricționarea prelucrării în temeiul
alineatului (1) este informat de către operator înainte de ridicarea restricției de
prelucrare.
(4) În cazul satisfacerii dreptului la restricționare, realizarea acestuia urmează
a fi executată imediat, dar nu mai mult de 10 zile, ținîndu-se cont de mijloacele și
resursele necesare pentru atingerea acestui scop, care se manifestă prin aducerea
în regres a prelucrării de pînă la situația cînd a fost manifestat acest drept.
Executarea acestei obligații de către operator, cu condiția că prelucrarea nu a
afectat esențial conformitatea acestei prelucrări, exclude răspunderea pecuniară
prevăzută de prezenta lege. Articolul 17. Obligația de informare privind rectificarea, ștergerea datelor cu
caracter personal sau restricționarea prelucrării
Operatorul comunică fiecărui destinatar căruia i-au fost divulgate datele cu
caracter personal orice rectificare sau ștergere a datelor personale sau
restricționare a prelucrării efectuate în conformitate cu articolul 14, articolul 15
alineatul (1) și articolul 16, cu excepția cazului în care acest lucru se dovedește
imposibil sau presupune eforturi disproporționate. Operatorul informează
subiectul datelor personale cu privire la respectivii destinatari, dacă subiectul
datelor solicită acest lucru. Articolul 18. Dreptul la portabilitatea datelor cu caracter personal
(1) Subiectul datelor are dreptul de a primi datele cu caracter personal care îl
privesc, într-un format structurat, utilizat în mod curent și care poate fi citit
automatizat și/sau manual și are dreptul de a transmite aceste date altui operator,
fără obstacole din partea operatorului care i-a furnizat datele personale, în cazul în
care:
a) prelucrarea se bazează pe consimțămînt sau pe un contract; și
b) prelucrarea este efectuată prin mijloace automatizate și/sau manual.
(2) În exercitarea dreptului său la portabilitatea datelor în temeiul alineatului
(1), subiectul datelor are dreptul ca datele cu caracter personal să fie transmise
direct de la un operator la altul acolo unde acest lucru este fezabil din punct de
vedere tehnic.
26
(3) Exercitarea dreptului menționat la alineatul (1) din prezentul articol nu
aduce atingere articolului 15. Respectivul drept nu se aplică prelucrării necesare
pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării
unei autorități oficiale cu care este învestit operatorul.
(4) Dreptul menționat la alineatul (1) nu aduce atingere drepturilor și
libertăților altora. Articolul 19. Dreptul la opoziție
(1) În orice moment, subiectul datelor personale are dreptul de a se opune,
din motive întemeiate, legate de situația sa particulară, prelucrării datelor
personale care îl privesc, inclusiv creării de profiluri pe baza respectivelor
dispoziții. Operatorul nu mai prelucrează datele personale, cu excepția cazului în
care operatorul demonstrează că are motive legitime și imperioase care justifică
prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților
persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept
în instanță.
(2) Atunci cînd prelucrarea datelor cu caracter personal are drept scop
marketingul direct, subiectul datelor are dreptul de a se opune în orice moment
prelucrării în acest scop a datelor personale care îl privesc, inclusiv creării de
profiluri, în măsura în care este legată de marketingul direct respectiv.
(3) În cazul în care subiectul datelor se opune prelucrării în scopul
marketingului direct, datele cu caracter personal nu mai sunt prelucrate în acest
scop.
(4) Cel tîrziu în momentul primei comunicări cu subiectul datelor, dreptul
menționat la alineatele (1) și (2) este adus în mod explicit în atenția persoanei
vizate și este prezentat în mod clar și separat de orice alte informații.
(5) În contextul utilizării serviciilor societății informaționale, subiectul
datelor își poate exercita dreptul de a se opune prin mijloace automatizate care
utilizează specificații tehnice.
(6) În cazul în care datele cu caracter personal sunt prelucrate în scopuri de
cercetare științifică sau istorică sau în scopuri statistice, subiectul datelor, din
motive legate de situația sa particulară, are dreptul de a se opune prelucrării datelor
cu caracter personal care îl privesc, cu excepția cazului în care prelucrarea este
necesară pentru îndeplinirea unei sarcini din motive de interes public. Articolul 20. Procesul decizional individual automatizat, inclusiv crearea de
profiluri
(1) Subiectul datelor are dreptul de a cere anularea, în totalitate sau în parte,
a oricărei decizii bazate exclusiv pe prelucrarea automatizată, inclusiv crearea de
profiluri, ce produce efecte juridice care-l privesc sau îl afectează în mod similar
într-o măsură semnificativă.
(2) Alineatul (1) nu se aplică în cazul în care decizia:
a) este necesară pentru încheierea sau executarea unui contract între subiectul
datelor și un operator de date;
27
b) este autorizată prin lege, care se aplică operatorului și care prevede, de
asemenea, măsuri corespunzătoare pentru protejarea drepturilor, libertăților și
intereselor legitime ale subiectului de date;
c) are la bază consimțămîntul explicit al subiectului de date.
(3) În cazurile menționate la alineatul (2) literele a) și c), operatorul de date
pune în aplicare măsuri corespunzătoare pentru protejarea drepturilor, libertăților
și intereselor legitime ale subiectului de date.
(4) Prevederile alin. (2) nu se aplică în cazul: categoriilor speciale a datelor
personale, existenței consimțămîntului subiectului de date sau cînd prelucrarea
este efectuată în conformitate cu prevederile art. 6 alin. (2) lit. a) și/sau art. 9. Articolul 21. Excepții și restricții
(1) Realizarea drepturilor prevăzute la art. 11, 12 alin. (2), 14 şi 16, pot fi
suspendate în cazul în care prelucrarea datelor cu caracter personal este efectuată
în scopul apărării naționale, a securității statului și menținerii ordinii publice,
prevenirea, investigarea, depistarea sau urmărirea penală a infracțiunilor sau
executarea sancțiunilor penale, inclusiv protejarea împotriva amenințărilor la
adresa securității publice și prevenirea acestora, protejarea independenței judiciare
și a procedurilor judiciare, prevenirea, investigarea, depistarea și urmărirea penală,
a încălcării eticii în cazul profesiilor reglementate, protecției subiectului de date
sau a drepturilor și libertăților altora, punerea în aplicare a pretențiilor de drept
civil dacă prin aplicarea acestora este prejudiciată eficiența acțiunii sau obiectivul
urmărit în exercitarea competențelor legale ale autorităților publice.
(2) Prelucrarea datelor cu caracter personal în scopurile stabilite la alin. (1)
nu poate depăși perioada necesară atingerii obiectivului urmărit, dar nu mai mult
de termenul expres stabilit de legislația din domeniul vizat sau în condițiile
stabilite la alin. (4) din prezentul articol.
(3) Neaplicarea restricției, omiterea termenului de prelungire a restricției sau
depășirea acestuia, exclude posibilitatea aplicării restricțiilor pe aceleași temeiuri
de drept.
(4) În cazul în care legea nu prevede expres termenul și procedura de aplicare
a restricției, acestea se vor stabili prin Regulament de către operator, în baza
avizului pozitiv al Centrului, aplicîndu-se regimul de confidențialitate
corespunzător.
(5) Condițiile de restricționare menționate la alineatul (1) - (4) din prezentul
articol urmează să conțină:
a) scopurile prelucrării sau ale categoriilor de prelucrare;
b) categoriile de date cu caracter personal;
c) domeniul de aplicare al restricțiilor introduse;
d) garanțiile pentru a preveni abuzurile sau accesul sau transferul ilegal;
e) menționarea operatorului sau a categoriilor de operatori;
f) perioadele de stocare și garanțiile aplicabile avînd în vedere natura,
domeniul de aplicare și scopurile prelucrării sau ale categoriilor de prelucrare;
g) riscurile pentru drepturile și libertățile subiecților de date; și
28
h) dreptul subiecților de date de a fi informați cu privire la restricție, cu
excepția cazului în care acest lucru poate aduce atingere scopului restricției.
(6) După încetarea situației care justifică aplicarea alin. (1) - (3) din prezentul
articol, operatorii sînt obligați să informeze în scris sau în format electronic potrivit
cerințelor documentului electronic și semnăturii electronice, subiecții datelor cu
caracter personal în modul stabilit la art. 12, precum și să asigure realizarea
drepturilor restricționate în baza alin. (1) din prezentul articol.
(7) Operatorul, persoana împuternicită, terțul, indiferent dacă este sau nu
destinatar, este obligat să țină evidența excepțiilor și restricțiilor stabilite la alin.
(1) în registrul electronic al aplicării excepțiilor și restricțiilor ținut de Centru.
(8) Atunci cînd se reclamă în adresa Centrului pretinsul fapt că o anumită
prelucrare de date cu caracter personal cade sub incidența alin. (1) din prezentul
articol, indiferent de faptul dacă a avut loc sau nu o astfel de prelucrare, subiectul
de date cu caracter personal poate fi informat de către autoritate asupra prelucrării
doar în cazul constatării încălcării aplicării acestor restricții. Centrul informează
subiectul datelor cel puțin că au fost realizate toate verificările necesare, precum
și în legătură cu dreptul acestuia de a introduce o cale de atac.
(9) Decizia emisă în ordinea prevăzută de acest articol, se contestă în instanța
de contencios administrativ. Examinarea cauzei se efectuează într-o procedură
specială, în ședință închisă, în lipsa subiectului de date. La examinarea cauzei
participă și entitatea care a dispus restricția;
(10) Informația despre aplicarea restricției se păstrează 10 ani.
CAPITOLUL IV
OPERATORUL ŞI PERSOANA ÎMPUTERNICITĂ DE OPERATOR
Articolul 22. Responsabilitatea operatorului
(1) Ținînd seama de natura, domeniul de aplicare, contextul și scopurile
prelucrării, precum și de riscurile cu grade diferite de probabilitate și gravitate
pentru drepturile și libertățile persoanelor fizice, operatorul pune în aplicare
măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să
demonstreze că prelucrarea se efectuează în conformitate cu cerințele prezentei
legi și/sau alte acte regulatorii în acest domeniu. Respectivele măsuri se revizuiesc
și se actualizează la necesitate.
(2) În scopul asigurării respectării măsurilor menționate la alin. (1),
operatorul și, după caz, persoana împuternicită de operator, elaborează, adoptă și
pun în aplicare politici de securitate la prelucrarea datelor cu caracter personal,
adecvate contextului.
(3) Datele personale prelucrate de către operator, pot fi transmise către un alt
operator sau operator asociat pentru prelucrarea în scopuri similare sau altele decît
cele pentru care au fost colectate, doar cu consimțămîntul subiectului de date.
29
Articolul 23. Asigurarea protecției datelor începînd cu momentul conceperii
și în mod implicit
(1) Avînd în vedere stadiul actual al tehnologiei, costurile implementării,
natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscurile
cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile
persoanelor fizice pe care le prezintă prelucrarea, operatorul, atît în momentul
stabilirii mijloacelor de prelucrare, cît și în cel al prelucrării în sine, pune în
aplicare măsuri tehnice și organizatorice adecvate (cum ar fi pseudonimizarea,
anonimizarea etc.), care sunt destinate să pună în aplicare în mod eficient
principiile de protecție a datelor (precum reducerea la minimum a datelor), și să
integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele
prezentei legi și a proteja drepturile subiectului de date (privacy by design).
(2) Operatorul pune în aplicare măsuri tehnice și organizatorice adecvate
pentru a asigura că, în mod implicit, sunt prelucrate numai datele cu caracter
personal care sunt necesare pentru fiecare scop specific al prelucrării. Respectiva
obligație se aplică volumului de date colectate, gradului de prelucrare a acestora,
perioadei lor de stocare și accesibilității lor. În special, astfel de măsuri asigură că,
în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenția
persoanei, de un număr nelimitat de persoane (privacy by default).
(3) În scopul asigurării implementării principiilor de protecție a datelor cu
caracter personal privacy by design și privacy by default, la momentul
creării/conceperii sistemelor de evidență a datelor cu caracter personal (registre,
sisteme informaționale precum și orice alt tip de resurse informaționale) acestea
urmează a fi avizate la nivel de concept și la nivel de arhitectură tehnică de către
Centru.
(4) Avizul Centrului relevă conformitatea prelucrării la momentul examinării
situației, care se emite în baza evaluării împactului asupra protecției datelor și a
informațiilor și materialelor prezentate de către entitatea solicitantă. Atunci cînd
se cere avizul Centrului, solicitantul prezintă:
a) dacă este cazul, responsabilitățile respective ale operatorului, ale
operatorilor asociați și ale persoanelor împuternicite de operator implicate în
activitățile de prelucrare, în special pentru prelucrarea în cadrul unui grup de
întreprinderi;
b) scopurile și mijloacele prelucrării preconizate;
c) măsurile și garanțiile prevăzute pentru protecția drepturilor și libertăților
persoanelor vizate, în conformitate cu prezentul regulament;
d) dacă este cazul, datele de contact ale responsabilului cu protecția datelor;
e) evaluarea impactului asupra protecției datelor; și
f) orice alte informații solicitate de Centrul.
(5) Emiterea avizului, nu exclude posibilitatea Centrului de a interveni cu acte
de reacție la orice etapă, în cazul în care au apărut noi circumstanțe necunoscute
sau au fost identificate anumite riscuri pentru asigurarea dreptului la viața intimă,
familială și privată a subiecților de date.
(6) În cadrul procesului de pregătire/elaborare a unui proiect de act
legislativ/normativ care interferează domeniul protecției datelor cu caracter
30
personal, care urmează să fie adoptat de Parlamentul Republicii Moldova sau a
unei măsuri de reglementare întemeiate pe o astfel de măsură legislativă/normativă
(Guvernul, autoritățile publice autonome, autoritățile publice centrale etc.), în mod
obligatoiu acestea se consultă cu Centrul. Articolul 24. Evaluarea impactului asupra protecției datelor
(1) Avînd în vedere natura, domeniul de aplicare, contextul și scopurile
prelucrării, în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea
noilor tehnologii, este susceptibil să genereze un risc ridicat pentru drepturile și
libertățile subiecților de date, operatorul efectuează, înaintea prelucrării, o
evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției
datelor personale. O evaluare unică poate aborda un set de operațiuni de prelucrare
similare care prezintă riscuri ridicate similare.
(2) La realizarea unei evaluări a impactului asupra protecției datelor,
operatorul solicită avizul responsabilului pe protecția datelor, dacă acesta a fost
desemnat.
(3) Evaluarea impactului asupra protecției datelor menționată la alineatul (1)
se impune, în special, în cazul:
a) unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare
la subiecții de date care se bazează pe prelucrarea automată, inclusiv crearea de
profiluri, și care stă la baza unor decizii care produc efecte juridice privind
subiectul de date sau care o afectează în mod similar într-o măsură semnificativă;
b) prelucrării pe scară largă a unor categorii speciale de date, menționată la
articolul 6 alineatul (1), sau a unor date cu caracter personal privind condamnări
penale și infracțiuni, menționată la articolul 7; sau
c) unei monitorizări sistematice pe scară largă a unei zone accesibile
publicului.
(4) Centru stabilește și publică o listă a tipurilor de operațiuni de prelucrare
care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției
datelor, în conformitate cu alineatul (1).
(5) Centrul poate, de asemenea, să stabilească și să pună la dispoziția
publicului o listă a tipurilor de operațiuni de prelucrare pentru care nu este necesară
o evaluare a impactului asupra protecției datelor.
(6)Înainte de adoptarea listelor menționate la alineatele (4) și (5), Centrul
aplică mecanismul pentru asigurare a coerenței în vederea corespudnerii
practicilor țărilor Uniunii Europene, în cazul în care aceste liste implică activități
de prelucrare care presupun furnizarea de bunuri sau prestarea de servicii către
subiecții de date personale sau monitorizarea comportamentului acestora în mai
multe state membre ori care pot afecta în mod substanțial libera circulație a datelor
personaleîn cadrul Uniunii.
(7) Evaluarea conține cel puțin:
a) o descriere sistematică a operațiunilor de prelucrare preconizate și a
scopurilor prelucrării, inclusiv, după caz, interesul legitim urmărit de operator;
b) o evaluare a necesității și proporționalității operațiunilor de prelucrare în
legătură cu aceste scopuri;
31
c) o evaluare a riscurilor pentru drepturile și libertățile subiecților de date
personale; și
d) măsurile preconizate în vederea abordării riscurilor, inclusiv garanțiile,
măsurile de securitate și mecanismele menite să asigure protecția datelor personale
și să demonstreze conformitatea cu dispozițiile prezentei legi, luînd în considerare
drepturile și interesele legitime ale subiecților de date și ale altor persoane
interesate.
(8) La evaluarea impactului operațiunilor de prelucrare efectuate de operatori
sau de persoanele împuternicite de operatori, se are în vedere în respectarea de
către aceștea a actelor normative în domeniul protecției datelor personale.
(9) Operatorul solicită, acolo unde este cazul, avizul subiecților de date sau
a reprezentanților acestora privind acestă prelucrare, fără a aduce atingere
protecției intereselor comerciale sau publice ori securității operațiunilor de
prelucrare.
(10) Atunci cînd prelucrarea în temeiul articolului 4 alineatul (3) litera (c) și
(e) are un temei juridic care reglementează operațiunea de prelucrare specifică sau
setul de operațiuni specifice în cauză și doar cu condiția că s-a efectuat o evaluare
a impactului asupra protecției datelor ca parte a unei evaluări a impactului general
în contextul adoptării respectivului temei juridic, alineatele (1) - (7) nu se aplică.
(11) Acolo unde este necesar, operatorul efectuează o analiză pentru a evalua
dacă prelucrarea are loc în conformitate cu evaluarea impactului asupra protecției
datelor, cel puțin atunci cînd are loc o modificare a riscului reprezentat de
operațiunile de prelucrare. Articolul 25. Desemnarea responsabilului de protecția datelor
(1) Operatorul și persoana împuternicită de operator desemnează
responsabili de protecția datelor ori de cîte ori:
(a) prelucrarea este efectuată de o autoritate publică sau un organism
învestit cu prestarea serviciilor publice, cu excepția înfăptuirii justiției de către
judecător.
(b) activitățile principale ale operatorului sau ale persoanei împuternicite
de operator constau în operațiuni de prelucrare care, prin natura, domeniul de
aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a
subiecților de date, pe scară largă; sau
(c) activitățile principale ale operatorului sau ale persoanei împuternicite
de operator constau în prelucrarea pe scară largă a unor categorii speciale de date,
menționată la articolul 6, sau a unor date cu caracter personal privind condamnări
penale și infracțiuni, menționată la articolul 7.
(2) Un grup asociat de întreprinderi (spre exemplu: asociațiile concernelor,
consorțiile) poate numi responsabili unici de protecția datelor, cu condiția ca
responsabilii de protecția datelor să fie ușor accesibili pentru fiecare întreprindere.
(3) În cazul în care operatorul sau persoana împuternicită de operator este
o autoritate publică sau un organism public, poate fi desemnat un singur
responsabil unic de protecția datelor pentru mai multe dintre aceste autorități sau
32
organisme care nu au personalitate juridică distinctă, luînd în considerare structura
organizatorică și dimensiunea acestora.
(4) Responsabilii de protecția datelor sînt desemnați pe baza calităților
profesionale și, în special, a cunoștințelor speciale în domeniul protecției datelor
sau securității informaționale, precum și pe baza capacității de a îndeplini sarcinile
prevăzute la articolul 27.
(5) Responsabilii de protecția datelor pot fi membri ai personalului
operatorului sau persoanei împuternicite de operator sau pot să își îndeplinească
sarcinile în baza unui contract de servicii.
(6) Operatorul sau persoana împuternicită de operator publică pe pagina
web oficială și la sediul său datele de contact ale responsabililor de protecția
datelor și le comunică Centrului (numele, prenumele, numărul de telefon, adresa
de e-mail).
(7) Operatorul sau persoana împuternicită de operator, în dependență de
numărul de angajați, de volumul și categoriile de date personale prelucrate,
eventualele riscuri și ingerință în viața privată a subiecților de date, pot crea
subdiviziuni structurale cu statut autonom care vor fi responsabile de protecția
datelor personale și vor fi subordonate direct conducerii. Articolul 26. Funcția responsabilului de protecția datelor
(1) Operatorul și persoana împuternicită de operator se asigură că
responsabilii de protecția datelor sînt implicați în mod corespunzător și în timp util
în toate aspectele legate de protecția datelor personale.
(2) Operatorul și persoana împuternicită de operator sprijină responsabilii
de protecția datelor în îndeplinirea sarcinilor menționate la articolul 27,
asigurîndu-le resursele necesare pentru executarea acestor sarcini, precum și
accesarea datelor personale și a operațiunilor de prelucrare, și pentru menținerea
cunoștințelor lor de specialitate.
(3) Operatorul și persoana împuternicită de operator se asigură că
responsabilii de protecția datelor nu primesc niciun fel de indicații în ceea ce
privește îndeplinirea acestor sarcini. Aceștia nu sînt demiși sau sancționați de către
operator sau de persoana împuternicită de operator pentru îndeplinirea legitimă a
sarcinilor sale.
(4) Subiecții de date pot contacta responsabilii de protecția datelor cu privire
la toate chestiunile legate de prelucrarea datelor lor și la exercitarea drepturilor lor
în temeiul prezentei legi.
(5) Responsabilii de protecția datelor în cadrul îndeplinirii atribuțiilor, au
obligația de a asigura confidențialitatea informațiilor la care au acces în modul
prevăzut de lege chiar și după eliberarea din funcție.
(6) Responsabilul de protecția datelor poate îndeplini și alte sarcini și
atribuții. Operatorul sau persoana împuternicită de operator se asigură că niciuna
dintre aceste sarcini și atribuții nu generează un conflict de interese.
33
Articolul 27. Sarcinile responsabilului de protecția datelor
(1) Responsabilii de protecția datelor are cel puțin următoarele sarcini:
a) informarea și consilierea operatorului, sau a persoanei împuternicite de
operator, precum și a angajaților care se ocupă de prelucrare cu privire la
obligațiile care le revin în temeiul prezentei legi și al altor dispoziții normative
referitoare la protecția datelor;
b) monitorizarea respectării prezentei legi, a altor dispoziții normative
referitoare la protecția datelor și a politicilor operatorului sau ale persoanei
împuternicite de operator în ceea ce privește protecția datelor personale, inclusiv
alocarea responsabilităților și acțiunile de sensibilizare și de formare a
personalului implicat în operațiunile de prelucrare, precum și auditurile aferente;
c) consilierea, la cerere, în ceea ce privește evaluarea impactului asupra
protecției datelor și monitorizarea funcționării acesteia, în conformitate cu
articolul 24;
d) cooperarea cu Centrul;
e) asumarea rolului de punct de contact cu Centrul privind aspectele legate
de prelucrare, inclusiv activitățile menționate la articolul 24, precum și, dacă este
cazul, consultarea cu privire la orice altă chestiune.
(2) La îndeplinirea sarcinilor sale, responsabilul de protecția datelor ține
seama în mod corespunzător de riscul operațiunilor de prelucrare, luînd în
considerare natura, domeniul de aplicare, contextul și scopurile prelucrării;
(3) Responsabilii de protecția datelor sînt obligați de a raporta în scris
conducerii operatorului sau a persoanei împuternicite ori de cîte ori vor constata o
anumită încălcare a principiilor de protecție a datelor, inclusiv situațiile care pot
genera sau aduce atingere drepturilor subiecților de date, condițiilor de
conformitate și securitate la prelucrarea datelor personale. Articolul 28. Operatori asociați
(1) În cazul în care doi sau mai mulți operatori stabilesc în comun scopurile
și mijloacele de prelucrare, aceștia sunt operatori asociați. Ei stabilesc clar
responsabilitățile fiecăruia în ceea ce privește îndeplinirea obligațiilor care le revin
în temeiul prezentei legi, în special în ceea ce privește exercitarea drepturilor
persoanelor vizate și îndatoririle fiecăruia de furnizare a informațiilor prevăzute la
art. 12 al prezentei legi, prin intermediul unui acord semnat între ei. Acordul poate
să conțină clauze referitoare la desemnarea punctului de contact pentru subiecții
de date.
(2) Acordul menționat la alineatul (1) reflectă în mod adecvat rolurile și
raporturile respective ale operatorilor asociați față de subiecții de date. Acordul
este adus la cunoștința subiectului de date în limita informațiilor ce nu prezintă
risc pentru condițiile de prelucrare a datelor.
(3) Indiferent de clauzele acordului menționat la alineatul (1), subiectul
datelor își poate exercita drepturile în raport cu fiecare operator în parte.
34
Articolul 29. Operatorii sau persoanele împuternicite de operatori care nu au
sediul în Republica Moldova
(1) În cazul în care se aplică articolul 2 alineatul (2) lit. c) din prezenta lege,
operatorul sau persoana împuternicită de operator care nu au sediul în Republica
Moldova desemnează în scris un reprezentant în Republica Moldova sau în unul
din statele membre UE care să fie responsabil de Republica Moldova.
(2) Obligația prevăzută la alineatul (1) din prezentul articol nu se aplică:
a) prelucrării care are un caracter ocazional, care nu include, pe scară largă,
prelucrarea unor categorii speciale de date și care este puțin susceptibilă de a
genera un risc pentru drepturile și libertățile persoanelor, ținînd cont de natura,
contextul, domeniul de aplicare și scopurile prelucrării; sau
b) unei autorități sau unei entități publice.
(3) Reprezentantul primește din partea operatorului sau a persoanei
împuternicite de operator un mandat de reprezentare în raport cu Centrul și
subiectul de date, care, în special, se pot adresa reprezentantului, pe lîngă operator
sau persoana împuternicită de operator, cu privire la toate chestiunile legate de
prelucrare, în scopul asigurării respectării prezentei legi.
(4) Desemnarea unui reprezentant de către operator sau persoana
împuternicită de operator nu aduce atingere acțiunilor în justiție care ar putea fi
introduse împotriva operatorului sau persoanei împuternicite de operator însuși. Articolul 30. Persoana împuternicită de operator
(1) În cazul în care prelucrarea urmează să fie realizată în numele unui
operator, entitatea recurge doar la persoane împuternicite care oferă garanții
suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice
adecvate, astfel încît prelucrarea să respecte cerințele prevăzute în prezenta lege și
să asigure protecția drepturilor persoanei vizate.
(2) Persoana împuternicită de operator nu poate contracta o altă persoană
împuternicită de operator fără a primi în prealabil o autorizație specifică sau
generală, oferită în formă scrisă din partea operatorului.
(3) Prelucrarea de către o persoană împuternicită de un operator este
reglementată printr-un contract sau alt act juridic (instrucțiune) care are caracter
obligatoriu pentru părți și care stabilește obiectul și durata prelucrării, natura și
scopul prelucrării, tipul de date personale, categoriile subiecților de date,
obligațiile și drepturile operatorului. Respectivul contract sau act juridic prevede
în special că persoana împuternicită de operator:
a) prelucrează datele personale numai pe baza unor instrucțiuni documentate
din partea operatorului, inclusiv în ceea ce privește transferurile de date personale
către o țară terță sau o organizație internațională, cu excepția cazului în care
această obligație îi revine persoanei împuternicite. În acest caz, notifică această
obligație juridică operatorului înainte de prelucrare, cu excepția cazului în care
dreptul respectiv interzice o astfel de notificare din motive importante legate de
interesul public;
35
b) se asigură că persoanele autorizate să prelucreze datele personale s-au
angajat să respecte confidențialitatea sau au o obligație statutară adecvată de
confidențialitate;
c) adoptă toate măsurile necesare în conformitate cu articolul 33;
d) respectă condițiile menționate la alineatele (2) și (4) privind contractarea
unei altei persoane împuternicite de operator;
e) ținînd seama de natura prelucrării, oferă asistență operatorului prin măsuri
tehnice și organizatorice adecvate, în măsura în care acest lucru este posibil, pentru
îndeplinirea obligației operatorului de a răspunde cererilor privind exercitarea de
către subiectul datelor a drepturilor prevăzute în capitolul III;
f) ajută operatorul să asigure respectarea obligațiilor prevăzute la articolele
33-34, ținînd seama de caracterul prelucrării și informațiile aflate la dispoziția
persoanei împuternicite de operator;
g) la alegerea operatorului, șterge sau returnează operatorului toate datele
personale după încetarea furnizării serviciilor legate de prelucrare și elimină
copiile existente, cu excepția cazului în care legea prevede altfel;
h) pune la dispoziția operatorului toate informațiile necesare pentru a
demonstra respectarea obligațiilor prevăzute la prezentul articol, permite
desfășurarea auditului, inclusiv a inspecțiilor, efectuate de operator sau alt auditor
mandatat și contribuie la acestea. În ceea ce privește primul paragraf litera (h),
persoana împuternicită de operator informează imediat operatorul în cazul în care,
în opinia sa, o instrucțiune încalcă prezenta lege sau alte acte normative în
domeniul protecției datelor cu caracter personal.
(4) În cazul în care o persoană împuternicită de un operator contractează o
altă persoană împuternicită pentru efectuarea unor activități ce vizează prelucrarea
datelor cu caracter personal efectuată în numele operatorului, entitatea vizată este
obligată să respecte aceleași obligații privind protecția datelor prevăzute în
contract sau în alt act juridic încheiat între operator și persoana împuternicită de
operator, astfel cum se prevede la alineatul (3), revin celei de a doua persoane
împuternicite, prin intermediul unui contract sau al unui alt act juridic, în special
furnizarea de garanții suficiente pentru punerea în aplicare a unor măsuri tehnice
și organizatorice adecvate, astfel încît prelucrarea să îndeplinească cerințele
prezentei legi. În cazul în care această a doua persoană împuternicită nu își
respectă obligațiile privind protecția datelor, persoana împuternicită inițială
rămîne pe deplin răspunzătoare față de operator în ceea ce privește îndeplinirea
obligațiilor acestei a doua persoane împuternicite.
(5) Centrul poate să prevadă clauze contractuale standard pentru aspectele
menționate la alineatele (3) și (4) din prezentul articol.
(6) Contractul sau celălalt act juridic menționat la alineatele (3) și (4) se
formulează în scris, inclusiv în format electronic.
(7) Fără a aduce atingere articolului 38, în cazul în care o persoană
împuternicită de operator încălcă prezenta lege, prin stabilirea scopurilor și
mijloacelor de prelucrare a datelor personale, persoana împuternicită de operator
este considerată a fi un operator în ceea ce privește prelucrarea respectivă.
36
Articolul 31. Prelucrarea datelor personale sub autoritatea operatorului sau a
persoanei împuternicite de operator
(1) Prelucrarea datelor personale de către persoanele care activează în baza
unui raport juridic de muncă sub autoritatea operatorului sau a persoanei
împuternicite de operator sunt operațiuni de prelucrare a datelor cu caracter
personal efectuate de către operator.
(2) În cazul în care prelucrarea datelor cu caracter personal enunțată la alin.
(1) din prezentul articol este efectuată în alte scopuri decît cele stabilite de către
operator, chiar dacă persoana se află sau nu în raporturi juridice de muncă cu
operatorul de date cu caracter personal, aceasta va avea calitatea de operator de
date cu caracter personal în raport cu prelucrarea. Articolul 32. Evidența activităților de prelucrare
(1) Operatorii și persoanele împuternicite de către operatori păstrează/țin
evidența activităților de prelucrare a datelor cu caracter personal sub răspunderea
lor. Respectiva evidență cuprinde următoarele informații:
a) în cazul prelucrării automatizate, denumirea operatorului, numele și datele
persoanelor care au prelucrat datele, ale operatorului asociat, ale reprezentantului
operatorului și ale responsabilului de protecția datelor;
b) scopul și temeiul legal al prelucrării;
c) categoriile de subiecților de date și datele personale prelucrate;
d) categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele
personale, inclusiv destinatarii din țări terțe sau organizații internaționale;
e) dacă este cazul, transferurile de date cu caracter personal către o țară terță
sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației
internaționale respective și, în cazul transferurilor menționate la articolul 37
alineatul (9) al doilea paragraf, documentația care dovedește existența unor
garanții adecvate;
f) după caz, termenele-limită preconizate pentru ștergerea diferitelor categorii
de date;
g) după caz, o descriere generală a măsurilor tehnice și organizatorice de
securitate menționate la articolul 33 alin. (1).
(2) Fiecare operator și, după caz, persoana împuternicită de operator păstrează
o evidență a tuturor categoriilor de activități de prelucrare desfășurate în numele
operatorului, care cuprind:
a) numele și datele de contact ale persoanei sau persoanelor împuternicite de
operator și ale fiecărui operator în numele căruia acționează această persoană
(aceste persoane), precum și ale reprezentantului operatorului sau al persoanei
împuternicite de operator, după caz;
b) operațiunile de prelucrare a datelor desfășurate în numele fiecărui
operator, cu indicarea scopului și temeiului legal al prelucrării;
c) dacă este cazul, transferurile de date personale către o țară terță sau o
organizație internațională, inclusiv identificarea țării terțe sau a organizației
internaționale respective și, în cazul transferurilor prevăzute la articolul 37
alineatul (9), documentația care dovedește existența unor garanții adecvate;
37
d) acolo unde este posibil, o descriere generală a măsurilor tehnice și
organizatorice de securitate menționate la articolul 33 alin. (1).
(3) Evidențele menționate la alineatele (1) și (2) se țin în format electronic și
în dependență de situație în format scris.
(4) Operatorul sau persoana împuternicită de acesta, precum și, după caz,
reprezentantul operatorului sau al persoanei împuternicite de operator pun
evidențele la dispoziția Centrului, la cererea acestuia.
(5) Obligațiile menționate la alineatele 1 și 2 nu se aplică instituțiilor de drept
public sau privat, cu mai puțin de 250 de angajați, cu excepția cazului în care
prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru
drepturile și libertățile persoanelor vizate, prelucrarea nu este ocazională sau
prelucrarea include categorii speciale de date, astfel cum se prevede la articolul 6
alineatul (1), sau date cu caracter personal referitoare la condamnări penale și
infracțiuni, astfel cum se menționează la articolul 7.
(6) Persoana responsabilă de protecția datelor din cadrul operatorului,
persoanei împuternicite de operator, este obligată să verifice sistematic
corespunderea acestor prelucrări cu cerințele legii.
(7) Centrul poate să completeze la necesitate, activitățile de evidență a
prelucrărilor de date personale și modalitatea ținerii acesteia.
(8) Autoritățile publice de toate nivelurile vor adopta regulamente interne
detaliate privind implementarea acestor cerințe precum și modalitatea de
verificare.
Capitolul V
SECURITATEA PRELUCRĂRII DATELOR CU
CARACTER PERSONAL
Articolul 33. Securitatea datelor personale
(1) Avînd în vedere stadiul actual al dezvoltării, costurile implementării și
natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu
diferite grade de probabilitate și gravitate pentru drepturile și libertățile
persoanelor fizice, operatorul și persoana împuternicită de acesta implementează
măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de
securitate corespunzător acestui risc, incluzînd printre altele, după caz:
a) pseudonimizarea și criptarea datelor personale;
b) capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și
rezistența continuă a sistemelor și serviciilor de prelucrare;
c) capacitatea de a restabili disponibilitatea datelor personale și accesul la
acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
d) un proces pentru testarea, evaluarea și aprecierea periodică a eficacității
măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.
(2) La evaluarea nivelului adecvat de securitate, se ține seama de riscurile
prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de
distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul
neautorizat la datele personale transmise, stocate sau prelucrate într-un alt mod.
38
(3) Operatorul și persoana împuternicită de acesta iau măsuri pentru a asigura
faptul că orice persoană fizică care acționează sub autoritatea operatorului sau a
persoanei împuternicite de operator și care are acces la date personale nu le
prelucrează decît la cererea operatorului, cu excepția cazului în care această
obligație îi revine în temeiul legislației.
(4) În cazul în care are loc o încălcare a securității datelor personale,
operatorul informează despre acest lucru Centrul, fără întîrzieri, în termen de cel
mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului
în care este susceptibilă să genereze un risc pentru drepturile și libertățile
persoanelor fizice. În cazul în care informarea nu are loc în termen de 72 de ore,
aceasta este însoțită de o explicație motivată.
(5) În cazul în care încălcarea securității datelor personale este susceptibilă să
genereze un risc ridicat pentru drepturile și libertățile persoanei fizice, operatorul
informează subiectul datelor personale fără întîrzieri nejustificate cu privire la
această încălcare.
(6) Informarea subiectului de date nu este necesară în cazul în care:
a) operatorul a implementat măsuri de protecţie tehnice şi organizatorice
adecvate, iar aceste măsuri au fost aplicate în cazul datelor personale afectate de
încălcarea securităţii datelor personale, în special măsuri prin care se asigură că
datele personale devin neinteligibile oricărei persoane care nu este autorizată să le
acceseze, cum ar fi criptarea;
b) operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat
pentru drepturile şi libertăţile subiectului de date menţionat la alineatul (5) nu mai
este susceptibil să se materializeze;
c) ar necesita un efort disproporţionat. În această situaţie, se efectuează în loc
o informare publică sau se ia o măsură similară prin care sub date sunt informați
într-un mod la fel de eficace.
(7) În cazul în care încălcarea securității nu a fost comunicată subiectului de
date, Centrul, dacă consideră că această încălcare ar putea să genereze un risc
ridicat, solicită opratorului să facă acest lucru sau poate decide ca oricare dintre
cele menționate la alineatul (6) sînt îndeplinite.
(8) Cerințele de securitate a prelucrării datelor cu caracter personal se
stabilesc de Centru. Articolul 34. Confidențialitatea datelor personale
(1) Persoanele care au acces la datele personale sînt obligate să asigure
confidențialitatea acestor date, cu excepția cazurilor:
a) prelucrarea se referă la date făcute publice în mod voluntar şi manifest de
către subiectul datelor personale;
b) datele personale au fost anonimizate.
c) datele personale au fost pseudonimizate cu condiția reducerii riscului de
încălcare a inviolabilității vieții intime, familiale și private;
d) existența unui temei legal, prevăzut de prezenta lege.
39
(2) Datele personale trebuie prelucrate într-un mod care să asigure în mod
adecvat securitatea și confidențialitatea acestora, inclusiv în scopul prevenirii
accesului neautorizat la acestea sau utilizarea neautorizată a datelor personale și
a echipamentului utilizat pentru prelucrare.
CAPITOLUL VI
AUTORIZAREA PRELUCRĂRII DATELOR PERSONALE
Articolul 35. Autoritatea de protecție a datelor personale
(1) Centrul National pentru Protecția Datelor cu Caracter Personal este unica
autoritatea publică, supremă, de asigurare a dreptului la protecția datelor cu
caracter personal, ce derivă din dreptul constituțional la inviolabilitatea vieții
intime, familiale și private și este autoritatea învestită cu dreptul inalienabil de a
efectua supravegherea și investigarea asupra respectării principiilor de protecție
datelor personale prevăzute de legislația în vigoare precum și reglementarea și
stabilirea politicilor în domeniul dat.
(2) Activitatea Centrului este reglemetată de Legea privind Centrul Național
pentru Protecția Datelor cu Caracter Personal
(3) Actele normative și de reglementare emise de Centru au caracter
obligatoriu.
(4) Actele menționate la alin. (3) nu se supun expertizei juridice a
Ministerului Justiţiei. Centrul va transmite actele sale normative, după adoptare,
Ministerului Justiţiei pentru a fi înregistrate în Registrul de stat al actelor juridice.
Termenul de înregistrare nu va depăşi 3 zile lucrătoare.
(5) Actele normative și de reglementare emise de Centru intră sub incidența
prevederilor Legii nr. 239-XVI din 13 noiembrie 2008 privind transparența în
procesul decizional. În cadrul consultării părților interesate cu privire la elaborarea
actelor sale normative, Centrul va solicita o opinie cu caracter consultativ din
partea Ministerului Justiției.
(6) Actele normative și de reglementare emise de Centru nu se supun
controlului de oportunitate, însă pot fi contestate la Curtea de Apel Chişinău, de
orice persoană interesată, în termen de 30 zile de la data publicării în Monitorul
Oficial al Republicii Moldova sau comunicării, doar în partea ce se referă la
procedura de emitere/adoptare. Articolul 36. Autorizarea sistemelor de evidență a datelor personale
(1) Operatorii, operatorii asociați sunt obligați să se autorizeze la Centru,
personal sau prin persoanele împuternicite de către ei, în legătură cu
intenția/inițierea de a prelucra și/sau prelucrarea datelor personale precum și în
cadrul sistemelor de evidență, inclusiv în partea ce vizează mijloacele utilizate sau
intenționat a fi utilizate la prelucrarea datelor cu caracter personal destinate să
servească unui scop.
(2) Centrul poate stabili situații în care autorizarea nu este necesară sau
situații în care autorizarea se poate efectua într-o formă simplificată, numai dacă,
40
ţinînd cont de natura datelor personale, prelucrarea nu afectează în mod esențial
drepturile subiecților de date și există mecanisme adecvate de asigurare a dreptului
la inviolabilitatea vieții intime, familiale și private.
(3) În condițiile prevăzute la alineatul (2), Centrul poate instituie mecanisme
de certificare și de aderare la coduri de conduită, care să contribuie la buna aplicare
a prezentei legi, ținînd seama de caracteristicile specifice ale diverselor domenii
de prelucrare, ce pot fi utilizate ca elemente care să demonstreze respectarea
obligațiilor prevăzute de prezenta lege.
(4) Nu pot fi scutite de la autorizare:
a) operaţiunile de prelucrare a categoriilor speciale de date personale,
geolocalizare a persoanelor, inclusiv în scop de cercetare ştiinţifică;
b) operaţiunile de prelucrare a datelor cu caracter personal prin mijloace
electronice avînd ca scop evaluarea unor aspecte ale personalităţii, precum
competenţa profesională, credibilitatea, comportamentul şi altele asemenea;
c) operaţiunile de prelucrare a datelor personale prin mijloace electronice în
cadrul unor sisteme de evidenţă avînd ca scop adoptarea unor decizii automate
individuale în legătură cu analizarea solvabilităţii, a situaţiei economico-
financiare, a faptelor susceptibile de a atrage răspunderea disciplinară,
contravenţională sau penală a persoanelor fizice;
d) operațiunile de prelucrare a datelor personale efectuate de către autoritățile
competente în scopul prevenirii, depistării, investigării infracțiunilor și urmării
penale și executarea pedepselor;
e) operaţiunile de prelucrare a datelor personal ale minorilor în cadrul
activităţilor de prospectare comercială;
f) operaţiunile de prelucrare a datelor cu caracter personal menţionate la lit.
a) şi a datelor cu caracter personal ale minorilor, colectate prin intermediul
internetului sau mesageriei electronice.
g) operațiunile ce vizează transferul transfrontalier a datelor personale.
(5) Fiecare operator, operator asociat primește un număr unic de înregistrare
și un număr unic pentru autorizare pentru fiecare sistem de evidență. Toate actele
prin care datele cu caracter personal sînt colectate, stocate sau transmise urmează
a fi marcate prin indicarea numărului unic de înregistrare.
(6) Procedura de autorizare și modalitatea de ținere a Registrului sistemelor
de evidență al operatorilor de date cu caracter personal se aprobă de Centru.
(7) Centrul dispune în privința autorizării sau refuzului autorizării
operațiunilor de prelucrare a datelor cu caracter personal.
(8) Centrul refuză autorizarea operațiunilor de prelucrare a datelor cu caracter
personal, în cazurile în care acestea nu corespund prevederilor legislației. Refuzul
poate fi contestat în modul prevăzut de Legea contenciosului administrativ nr. 793-
XIV din 10 februarie 2000.
(9) Refuzul de a autoriza prelucrarea datelor personale nu exclude
posibilitatea operatorului de a solicita Centrului în mod repetat autorizarea, după
înlăturarea circumstanțelor care au împiedicat autorizarea prelucrărilor respective.
41
(10) Durata examinării solicitării de autorizare este de 45 zile lucrătoare. În
caz de necesitate Centrul poate prelungi termenul de examinare a solicitării de
autorizare cu încă 45 de zile lucrătoare, fapt despre care este informat solicitantul.
Capitolul VII
CONDIȚIILE DE DEPUNERE A RECLAMAȚIILOR, PROCEDURA
DE EXAMINAREA PRETINSELOR FAPTE DE ÎNCĂLCARE,
EFECTUAREA INVESTIGAȚ IILOR ȘI LUAREA DECIZIILOR
Articolul 37. Procedura depunerii şi soluţionării reclamațiilor de către
operatorii datelor personale
(1) Subiectul datelor personale care consideră că prelucrarea datelor sale nu
este conformă cu cerinţele prezentei legi înaintează operatorului de date personale
sau altor categorii de subiecți de drept ai prezentei legi, o reclamație în termen de
30 de zile din momentul depistării pretinsei încălcării. Reclamația poate fi depusă
din nume propriu sau prin reprezentant legal în cazul în care persoana este limitată
sau lipsită de capacitatea de exercițiu. Modalitatea de transmitere a reclamației
urmează să asigure faptul recepționării.
(2) Operatorului de date personale sau alte categorii de subiecți de drept
prevăzuți de prezenta lege sînt obligați să examineze reclamația în termen de cel
mult 15 zile lucrătoare din momentul recepționării acesteia, expediind răspunsul
subiectului de date în forma în care a fost expediat demersul. În cazul în care
motivele invocate în reclamație sunt considerate justificate, operatorul sau alte
categorii de subiecți de drept prevăzuți de prezenta lege, vor întreprinde toate
acțiunile necesare pentru respectarea drepturilor subiecților de date, în
conformitate cu prevederile prezentei legi.
(3) În cazul în care subiectul de date nu este satisfăcut de rezultatele
examinării reclamației de către operator sau de către alte categorii de subiecți de
drept prevăzuți de prezenta lege, acesta se poate adresa Centrului în termen de 30
zile din data primirii răspunsului, sau din momentul expirării termenului legal de
examinare. Reclamațiile depuse cu încălcarea procedurii prevăzute la alineatele
(1) și (2) nu se examinează, subiectul de date fiind informat în termen de 10 zile
lucrătoare. Articolul 38. Condițiile depunerii reclamației în adresa Centrului
(1) Suplimentar condițiilor prevăzute la art. 37, reclamația se transmite prin
scrisoare sau în formă electronică, conform cerinţelor faţă de documentul
electronic prin aplicarea semnăturii electronice, în conformitate cu legislaţia în
vigoare.
(2) Reclamația poate fi depusă şi de către un reprezentant legal al persoanei
lezate în drepturi, de către organizații neguvernamentale, sindicate şi alte
organizații reprezentative în numele acesteia, cu anexarea obligatorie a
împuternicirilor exprese în acest sens, cu condiția că reclamația a fost semnată
olograf sau electronic conform cerințelor semnăturii electronice și documentului
42
electronic, de către subiectul datelor. Centrul identifică persoanele care înaintează
reclamațiile.
(3) Forma și cuprinsul reclamației adresate Centrului:
a) numele, prenumele, adresa subiectului de date şi, după caz, numele,
prenumele reprezentantului legal, numărul de telefon, email;
b) descrierea detaliată a circumstanțelor de fapt și de drept a cauzei;
c) numele, prenumele sau denumirea operatorului și/sau a persoanei
împuternicite de operator în urma acțiunilor şi/sau inacțiunilor cărora a avut loc
pretinsa încălcare;
d) semnătura olografă sau electronică, după caz, şi data întocmirii reclamației;
(4) În toate cazurile, reclamațiile urmează să fie însoțite de probele
corespunzătoare ce confirmă pretinsele încălcări, care la rîndul lor urmează a fi
autentificate în modul corespunzător prin înscrierea ,,copia corespunde
originalului” și aplicarea datei și semnăturii olografe. Pot fi anexate doar acele
informații care sînt pertinente și neexcesive faptei sesizate.
(5) Examinarea reclamației care nu corespunde cerințelor prevăzute la alin.
(3) - (4) se suspendă. În acest caz, în termen de 10 zile lucrătoare, Centrul
informează subiectul de date despre necesitatea înlăturării neconformităților
admise. În caz de neînlăturare a neconformităților, reclamația va fi lăsată fără
examinare.
(6) Nu poate constitui obiect de sesizare în adresa Centrului, fapta care a fost
anterior înaintată în justiție cu același obiect și cu aceleași părți. Articolul 39. Investigarea legalității prelucrării datelor personale
(1) Investigarea legalității prelucrării datelor personale (în continuare –
investigarea) are drept scop verificarea îndeplinirii cerințelor și condițiilor
prevăzute de legislație și de actele normative emise de Centru.
(2) În cadrul investigării, Centrul poate dispune atît în privința prelucrărilor
de date, cît și a mijloacelor utilizate. Articolul 40. Competența de examinare
(1) La iniţierea, examinarea și soluționarea cazurilor privind pretinsele
încălcări ale prevederilor normative din domeniul protecției datelor personale se
aplică doar prevederile prezentei legi.
(2) Centrul inițiază procedura de examinare a pretinsului caz de încălcare a
legislației privind protecția datelor cu caracter personal, cu sau fără ieșirea la fața
locului, în următoarele cazuri:
a) la depunerea reclamației subiectului ale cărui prelucrări de date personale
se pretind a fi neconforme;
b) la sesizarea din oficiu, în cazul în care dispune de informaţii privind
încălcarea în masă, sistemică sau gravă a drepturilor şi libertăţilor omului sau în
cazurile de importanţă socială.
(3) În cazul în care se constată că pretinsa faptă de încălcare la prelucrarea
datelor personale excede jurisdicția de aplicare al Legii privind protecția datelor
cu caracter personal, Centrul, cu consimțămîntul persoanei fizice, poate acorda
43
suportul necesar pentru punerea în practică a Convenţiei pentru protecţia
persoanelor referitor la prelucrarea automatizată a datelor personale.
Articolul 41. Efectuarea investigării legalității prelucrării datelor personale
(1) Centrul poate efectua investigarea legalității prelucrării datelor cu caracter
personal la operatori, persoane împuternicite de operatori, destinatari precum la
entitățile care nu se consideră a fi destinatari, terți, indiferent de tipul de proprietate
și domeniul de activitate, de forma juridică de organizare, inclusiv persoane fizice,
ce prelucrează date personale sau care dispun de mijloace care duc la bănuială
rezonabilă privind prelucrarea datelor personale.
(2) Conducerea Centrului repartizează reclamațiile către subidiviziunea
responsabilă, care urmează să efectueze actele procedurii de verificare, inclusiv
respectarea prevederilor stipulate la art. 37-39 din prezenta lege și după caz
efectuează investigarea legalității prelucrării datelor personale.
(3) În cadrul investigației dacă inspectorii de protecție a datelor consideră că
sînt necesare informații suplimentare în vederea concretizării unor aspecte, despre
acest fapt se informează autorul reclamației şi se acordă un termen de 10 zile
lucrătoare, cu comunicarea efectelor neprezentării informațiilor solicitate. În
perioada menționată, investigația se suspendă.
(4) În cazul în care autorul plîngerii nu informează Centrul în termenul
menţionat la alin. (3), reclamația este considerată retrasă în mod tacit.
(5) Centrul solicită înscrisurile, informațiile și mijloacele necesare pentru
confirmarea/infirmarea pretinselor fapte de încălcare a legislației privind protecția
datelor cu caracter personal, indică temeiul juridic şi scopul solicitării informaţiei,
stabileşte termenul în care acestea trebuie furnizate, specifică sancţiunile
prevăzute de lege pentru nefurnizarea de informaţii ori pentru furnizarea unei
informaţii inexacte, incomplete sau care induce în eroare.
(6) În calitate de sursă primară de documentare a pretinsului fapt de încălcare
a legislației privind protecția datelor cu caracter personal, servesc informațiile din
Registrul sistemelor de evidență a operatorilor de date cu caracter personal și alte
resurse informaționale.
(7) În cazul în care, în rezultatul examinării informațiilor prezentate se
constată insuficiența probelor ce ar confirma/infirma faptul încălcării legislației
privind protecția datelor cu caracter personal, Centrul poate dispune prin decizie,
în cadrul aceleiași investigații, efectuarea verificărilor la fața locului.
(8) Doar în cadrul investigației cu ieșirea la fața locului, se emite decizia de
către conducerea Centrului în care se consemnează, scopul, obiectul investigației,
persoanele delegate privind efectuarea investigației, perioada de timp, precum și
drepturile și obligațiile părților implicate în investigație.
(9) Inspectorii de protecție îşi exercită drepturile în cadrul investigațiilor la
fața locului prin prezentarea împuternicirilor semnate de conducerea Centrului.
(10) Decizia privind efectuarea investigației la fața locului se înmînează sub
semnătură reprezentantului entității supuse investigației. Refuzul primirii deciziei
se documentează prin întocmirea unui act în care se consemnează acest fapt în
prezența martorilor.
44
(11) În cadrul investigării legalității operațiunilor de prelucrarea a datelor cu
caracter personal, inspectorii de protecția datelor au următoarele drepturi:
a) să examineze sistemele de evidență a datelor personale şi orice documente
aflate în raport cu obiectul şi scopul investigației, indiferent de suportul pe care
sînt păstrate;
b) să intre liber în încăperi, pe terenuri sau în mijloace de transport aflate în
proprietatea sau în folosinţa operatorilor, persoanelor împuternicite de operatori,
destinatarilor sau entităților ce se consideră a ;
c) să ridice sau să obţină mijloace, copii sau extrase, sub orice formă, din
sistemele de evidență și de pe documentele ce conțin date cu caracter personal;
d) să sigileze încăperile în care se efectuează prelucrări de date cu caracter
personal, mijloacele, sistemele de evidență şi documentele aflate în raport cu
obiectul şi scopul investigației, pe perioada şi în măsura necesară efectuării
investigației;
e) să solicite reprezentantului sau angajatului entității supuse investigației,
care poate oferi Centrului informaţiile necesare soluţionării unei reclamații în
legătură cu prelucrarea datelor personale sau efectuării investigării legalității
prelucrării datelor personale, explicaţii şi să înregistreze, inclusiv prin mijloace
audio, video etc., răspunsurile acestora;
f) să ceară ca informaţia aflată în raport cu obiectul şi scopul investigației,
stocată pe calculator şi accesibilă, să fie prezentată într-o formă care ar permite
ridicarea, precum şi să fie vizibilă şi lizibilă;
g) să efectueze simularea unui model de accesare a sistemelor informaţionale
de date cu caracter personal, în scopul verificării nivelului de protecţie a sistemelor
informaţionale de date cu caracter personal, precum şi în scopul preîntîmpinării
unor eventuale cazuri de acces ilicit sau întîmplător asupra acestor sisteme
informaţionale, depistării locurilor slabe în mecanismele de protejare a acestora.
(12) Inspectorii de protecție a datelor, în exercițiul funcției, pot solicita
sprijinul subdiviziunilor abilitate ale Ministerului Afacerilor Interne, care sînt
obligate să acorde asistenţa necesară angajaţilor Centrului. La efectuarea
investigației pot fi antrenaţi, după caz, şi experţi în anumite domenii, împuterniciţi
de Centru.
(13) Pe parcursul efectuării investigației, inspectorii de protecție a datelor şi
experţii autorizaţi sînt obligaţi:
a) să informeze persoana supuse investigării despre drepturile şi obligaţiile
acesteia;
b) să efectueze investigația în conformitate cu împuternicirile atribuite şi
ţinînd cont de obiectul şi scopul acestuia.
(14) Pe parcursul efectuării investigației, persoana verificată are următoarele
drepturi:
a) să ia cunoştinţă şi să obţină cîte o copie de pe decizia de efectuare a
investigației la fața locului;
b) să prezinte probe în cadrul efectuării investigației;
c) să prezinte explicaţii înregistrate sub orice formă referitoare la obiectul şi
scopul investigației;
45
d) să identifice datele şi informaţiile ce constituie secret şi alte informaţii
confidenţiale furnizate în procesul efectuării investigației, cu efectuarea
mențiunilor corespunzătoare;
e) să obţină lista mijloacelor, sistemelor de evidență și documentelor ridicate
pe parcursul investigației, semnată de inspectorul de protecție a datelor;
f) să fie asistată de avocaţi, de alţi reprezentanţi împuterniciţi conform
legislaţiei. Dacă persoana supusă investigației solicită prezența avocatului,
efectuarea investigației se suspendă pînă la prezentarea avocatului, dar nu mai
mult de 2 ore.
(15) Toate entitățile sînt obligate să se supună investigației efectuate de
Centru, inclusiv prin asigurarea condițiilor pentru buna desfășurare a investigației.
(16) Acțiunile de investigare se efectuează în orice perioadă relevantă pentru
acumularea informațiilor necesare soluționării cazului.
(17) Investigația cu ieșirea la fața locului se desfăşoară în orele de program al
entității supuse investigației. Investigația poate continua şi în afara orelor de
program numai cu acordul operatorului, persoanei împuternicite de operator,
destinatarului precum și entității ce nu se consideră destinatar, terțului sau a
reprezentantului legal al acestora.
(18) Termenul de efectuare a investigației se stabileşte în funcţie de gravitatea
presupusei încălcări, precum şi de alte criterii care ar determina durata de efectuare
a acestuia. Termenul de efectuare a investigației este de 30 de zile lucrătoare, care
însă poate fi prelungit pînă la 120 de zile lucrătoare.
(19) Dacă la scurgerea termenului de 120 de zile, Centrul nu are acumulate
probe sufuciente pentru a aprecia cu certitudine existența sau lipsa încălcării,
efectuarea investigașiei se suspendă pe termen maxim de 1 an de zile, cu
informarea subiectului de date personale, care a depus reclamației. Reluarea
examinării investigației poate avea loc în intervalul acestui termen, cu condiția
apariției probelor noi ce sunt pertinente și concludente pentru soluționarea cazului.
(20) În cazul în care, la expirarea termenului de suspendare, prevăzut la alin.
(19), nu apar circumstanțe relevante pentru reluarea investigației, Centrul emite
decizie privind încetarea examinării cazului, cu informarea corespunzătoare a
subiectului de date personale, care a depus plîngerea.
(21) Rezultatul investigării este consemnat într-un act, care se întocmeşte în
două exemplare, se numerotează şi se semnează pe fiecare pagină de toţi
inspectorii de protecție a datelor. Prezentul act se aduce la cunoștință entității
supuse investigației în termen de 3 zile lucrătoare din momentul finalizării
investigației.
(22) Termenele și procedura de păstrare a mijloacelor, copiilor sau extraselor,
a sistemelor de evidență și documentelor ridicate în temeiul prezentului articol, se
stabilesc de Centru, în conformitate cu actele normative.
(23) În cazul în care există o bănuială rezonabilă că purtătorii de informație
privind activitatea şi obiectul investigației care ar putea fi pertinente pentru a
dovedi o încălcare a legislației privind protecția datelor personale sînt păstrate în
alte încăperi, terenuri şi mijloace de transport, inclusiv în locuinţele membrilor
organelor de conducere sau ale personalului operatorului, persoanei împuternicite
46
de operator, decît cele indicate în decizia de efectuare a investigării la fața locului,
investigația poate fi efectuată cu consimțămîntul persoanelor vizate, sau
reprezentanților legali ai acestora. Situația descrisă se referă la arendă, locațiune
și leasing.
(24) Accesul reprezentanţilor Centrului în domiciliu, în încăperi, terenuri şi
mijloace de transport, echipamentele de prelucrare, programele şi aplicaţii, precum
și la documentele, înregistrările referitoare la prelucrarea de date cu caracter
personal, ce aparțin, sînt în posesie sau în folosință persoanei fizice, în lipsa
consimţămîntului scris, se permite numai în baza mandatului judecătoresc emis în
condiţiile prezentului articol şi prezentat persoanei supuse investigației.
(25) Mandatul judecătoresc poate fi eliberat dacă:
a) există o bănuială rezonabilă că în domiciliu, în încăperi, terenuri şi
mijloace de transport, sînt amplasate sisteme de evidenţă a datelor cu caracter
personal, echipament de prelucrare, programe şi aplicaţii, precum şi păstrate
documente sau înregistrări referitoare la prelucrarea de date cu caracter personal
sau alte documente care au putut fi ascunse, înlăturate, modificate sau distruse; sau
b) există o bănuială rezonabilă că în domiciliul, în încăperi, terenuri şi
mijloace de transport, ce urmează a fi supus investigației sînt amplasate sisteme
de evidenţă a datelor cu caracter personal, echipament de prelucrare, programe şi
aplicaţii, precum şi orice document sau înregistrare referitoare la prelucrarea de
date cu caracter personal sau alte documente a căror prezentare a fost solicitată de
Centru în conformitate cu prezenta lege, dar care nu au fost prezentate în termenul
stabilit;
(26) Pentru a nu prejudicia investigația sub aspect de ascundere, modificare,
ștergere, distrugere a sistemelor de evidenţă a datelor cu caracter personal,
echipamentelor de prelucrare, programelor şi aplicaţiilor, precum şi orice
document sau înregistrare referitoare la prelucrarea de date cu caracter personal,
prin decizia motivată Centru poate solicita direct eliberarea mandatului
judecătoresc.
(27) Mandatul judecătoresc este valabil 30 de zile de la data emiterii și poate
fi prelungit cu încă 30 de zile.
(28) În cazul solicitării unui mandat, instanţa de judecată este obligată să
verifice dacă decizia conducerii Centrului privind efectuarea investigației dacă
măsurile coercitive preconizate nu sînt arbitrare sau excesive, avînd în vedere
obiectul investigației și gravitatea pretinsei încălcării. Atunci cînd verifică
proporţionalitatea măsurilor coercitive, instanţa de judecată poate solicita
Centrului explicaţii detaliate, în special privind temeiurile care determină Centrul
să bănuiască încălcarea legislației privind protecția datelor cu caracter personal,
precum şi privind gravitatea încălcării suspectate, importanţa probelor căutate,
natura implicării operatorului sau persoanei împuternicite de operator şi
probabilitatea rezonabilă că sistemele de evidenţă a datelor cu caracter personal,
echipamentul de prelucrare, programele şi aplicaţiile, precum şi documentele sau
înregistrările referitoare la prelucrarea de date cu caracter personal legate de
obiectul investigației se păstrează sau sînt amplasate în locul pentru care se solicită
47
mandatul. În cadrul examinării solicitării mandatului judecătoresc instanța de
judecată aplică în mod corespunzător prevederile Codului contravențional.
(29) Centrul elaborează și aprobă Regulamentul investigării legalității
prelucrării datelor personale ținînd cont de prevederile prezentei legi. Articolul 42. Confidențialitatea investigațiilor
(1) Persoanele cărora în virtutea atribuțiilor ce le revin potrivit prezentei legi
le-au devenit cunoscute informații din cadrul investigației, au obligația să asigure
confidențialitatea acestora, fiind pasibile sancțiunilor prevăzute de legislație.
(2) Datele personale care au fost prelucrate în cadrul investigațiilor Centrului
sînt confidențiale, și nu pot fi ridicate, interceptate sau obținute în orice alt mod
decît dacă subiectul datelor personale și-a dat consimțămîntul expres privind o
astfel de prelucrare sau în condițiile de transmitere autorizate de Centru și nu pot
fi utilizate în cazul în care ar putea înrăutăți situația subiectului de date.
(3) Subiectul de date personale nu poate fi interogat referitor la esenţa
informațiilor ce vizează viața intimă, familială și privată declarată Centrului de
către alte organe.
(4) Acțivitățile, actele, informațiile și materialele Centrului pot fi supuse doar
controlului judecătoresc, cu condiția asigurării confidențialității și securității
acestor date.
Articolul 43. Probele
(1) În scopul aplicării prezentei legi, Centrul poate să utilizeze ca mijloc de
probă orice element de fapt şi de drept, inclusiv informaţiile cu accesibilitate
limitată, care servesc la constatarea existenţei sau lipsei încălcării.
(2) În scopul aplicării prezentei legi, Centrul admite atît probe directe, cît şi
probe indirecte. Probe directe sînt depoziţiile martorilor sau ale altor persoane,
probele materiale, înscrisurile, înregistrările audio şi/sau video, concluziile
experţilor şi orice alte dovezi care probează în mod expres existenţa sau lipsa unei
încălcări a legii. Probele indirecte sînt probele care nu dovedesc în mod direct
existenţa sau lipsa unei încălcări a legii, însă pot conduce la anumite concluzii
logice cu alte probe directe sau indirecte, precum că o încălcare a legii există sau
a existat la un moment dat ori nu există şi nu a existat la un moment dat.
(3) În cazul lipsei sau insuficienței probelor ce ar demonstra cu certitudine
existența încălcării, Centrul constată prin decizie lipsa încălcării.
Articolul 44. Emiterea şi comunicarea deciziilor
(1) La finalizarea investigației, inspectorul de protecție a datelor responsabil,
prezintă prin nota motivată, concluzia referitor la rezultatele investigațiilor
efectuate, cu descrierea detaliată a circumstanțelor de fapt și de drept și caz
propune măsurile coercitive și pecuniare ce urmează a fi aplicate. Nota se supune
obligatoriu avizării de către conducătorul nemijlocit, conducătorul subdiviziunii
etc.
(2) Centru în dependență de situația constatată emite decizii privind:
48
a) rectificarea, suspendarea, blocarea, interzicerea/încetarea în privința
prelucrării și/sau a intenției de a prelucra date cu caracter personal, precum și
asupra mijloacelor ce sînt sau urmează a fi utilizate la prelucrare, care nu sînt
conforme prevederilor Legii privind protecția datelor cu caracter personal sau care
pot genera riscuri esențiale pentru dreptul la viața intimă, familială și privată a
persoanei, sub aspect de colectare, înregistrare, organizare, stocare, păstrare,
restabilire, adaptare ori modificare, extragere, consultare, utilizare, dezvăluire,
diseminare sau în orice alt mod;
b) distrugerea/ștergerea datelor cu caracter personal, cu sau fără
demontarea/dezinstalarea mijloacelor tehnice software, hardware, soluțiilor
tehnologiei informației ce au servit pentru comiterea încălcării legislației în
domeniul protecției datelor cu caracter personal;
c) repunerea în drepturi a subiecțiilor de date cu caracter personal;
d) lipsa încălcării în cazul constatării acestui fapt.
(3) Atragerea la răspundere pecuniară nu exclude aplicarea măsurilor
coercitive
(4) Deciziile Centrului se comunică în scris sau în format electronic conform
cerințelor semnăturii electronice și documentului electronic, persoanelor vizate în
termen de 10 zile lucrătoare de la data emiterii.
(5) Deciziile Centrul sînt executorii din momentul emiterii sau din momentul
aducerii la cunoștință și pot fi contestate în ordine de contencios administrativ la
Curtea de Apel Chișinău.
(6) Prin derogare de la prevederile Legii contenciosului administrativ nr. 793-
XIV din 10 februarie 2000, pînă la soluționarea definitivă a cauzei, executarea
deciziilor Centrului nu poate fi suspendată, cu excepția cazurilor în partea ce
vizează aplicarea sancțiunilor pecuniare, distrugerea și/sau ștergerea datelor cu
caracter personal sau în cazul în care prejudiciul care ar putea fi cauzat
reclamantului depăşeşte interesul privat sau public urmărit prin emiterea actului
administrativ contestat.
(7) Încheierile judeăctorească privind suspendarea sau refuzul suspendării
deciziei Centrului poate fi contestată cu recurs în termen de 10 zile. Prin derogare
de la art. 426 alin. (3) din Codul de procedură civilă, recursul împotriva încheierii
se examinează în termen restrîns, care nu va depăşi 10 zile de la data depunerii
recursului.
(8) Cererile de contestare a deciziilor Centrului se judecă în termen de 2 luni
de la data depunerii. Articolul 45. Modul de executare a deciziilor şi urmărirea executării
măsurilor aplicate
(1) Deciziile emise în condiţiile prezentei legi sînt documente executorii care
se execută în termenul menţionat în ele, cu obligația de a informa Centrul despre
măsurile întreprinse în vederea executării deciziei, în termenul stabilit în aceasta.
Termenul stabilit de Centru pentru executarea deciziei este de pînă la 6 luni.
(2) În cazul neexecutării în termen, se efectuează executarea silită a acestora
în conformitate cu prevederile prezentei legi şi ale Codului de executare.
49
(3) Sumele ce reprezintă amenzi aplicate de Centru se fac venit la bugetul de
stat.
(4) Instanța de judecată se va expune în toate cazurile asupra mijloacelor care
au fost ridicate de Centru în rezultatul investigării, inclusiv trasmiterea acestora
către organul abilitat să le comercializeze, fără implicarea Centrului.
Capitolul VIII
EXAMINAREA ALTOR ADRESĂRI ȘI ACCESUL
LA MATERIALELE INVESTIGAȚIEI Articolul 46. Examinarea adresărilor
(1) Adresările care nu întrunesc condițiile statuate de Legea privind protecția
datelor cu caracter personal și nu constituie reclamație privind pretinsele încălcări
ale principiilor de protecție a datelor personale se examinează în condițiile Legii
nr.190/1994 cu privire la petiționare sau Legii nr. 982/2000 privind accesul la
informație.
(2) În rezultatul examinării acestor adresări Centrul nu emite decizii. Articolul 47. Accesul la materialele investigației
(1) Autorul reclamației privind pretinsele încălcări ale domeniului de
protecție a datelor cu caracter personal sau entitățile supuse investigației pot
solicita în scris sau în format electronic potrivit cerințelor semnăturii electronice
și a documentului electronic, accesul la materialele pe care Centrul şi-a întemeiat
investigația. Accesul la materialele solicitate se acordă gratuit o singură dată,
pentru accesul ulterior fiind percepută o taxă, mărimea căreia se stabileşte de
Centru în conformitate cu un regulament pe care îl elaborează și îl aprobă. Taxa
percepută se varsă în bugetul de stat.
(2) În cazul în care materialele investigației conțin informații atribuite la
secret de stat, secret comercial, secret profesional, secret bancar sau secret al
dosarului special, informații ce țin de confidențialitatea procesului contravențional
sau penal sau alte informații oficiale cu accesibilitate limitată, Centrul
restricționează accesul la acestea.
(3) În procesul examinării cererii nu se admite divulgarea informaţiilor
privind viaţa intimă, familială și privată a subiecților de date personale fără acordul
scris sau în format electronic potrivit cerințelor semnăturii electronice.
(4) Dreptul de acces nu include accesul la documentele interne sau la
corespondenţa Centrului, accesul la care nu este justificat prin prisma interesului
legitim.
(5) Accesul la materialele investigației este acordat cu condiţia ca informaţia
să fie folosită numai în cadrul investigației efectuate de Centru sau procedurii
judiciare eventual legate de acesta.
(6) Materialele investigației sînt puse la dispoziție în varianta originală.
Centrul nu are obligația să efectueze traducerea materialelor și informațiilor
solicitate.
50
CAPITOLUL IX
TRANSMITEREA TRASNFRONTALIERĂ A DATELOR PERSONALE
Articolul 48. Transmiterea transfrontalieră a datelor personale
(1) Prezentul articol se aplică în cazul transmiterii către un alt stat, pe orice
suport sau mijloc, a datelor personale care constituie obiectul prelucrărilor sau care
sunt colectate în scopul de a fi supuse prelucrării.
(2) Datele personale destinate transmiterii către un alt stat sunt protejate în
conformitate cu prezenta lege.
(3) Transmiterea transfrontalieră a datelor personale care fac obiectul unei
prelucrări sau care urmează să fie prelucrate după transmitere poate avea loc doar
cu autorizarea Centrului, în modul stabilit de lege, şi doar în cazul în care statul de
destinaţie asigură un nivel adecvat de protecţie a drepturilor subiecţilor datelor
personale şi a datelor destinate transmiterii.
(4) Nivelul de protecţie se stabileşte de Centru ţinîndu-se cont de condiţiile
în care se realizează transmiterea datelor personale, în special de natura acestora,
de scopul şi durata prelucrării sau prelucrărilor propuse, de statul de destinaţie, de
legislaţia acestuia, precum şi de normele profesionale şi măsurile de securitate
respectate în statul de destinaţie.
(5) În cazul în care constată că nivelul de protecţie oferit de statul de destinaţie
este nesatisfăcător sau prelucrarea contravine prezentei legi, altor legi precum și
actelor normative emise de Centru, va dispune interzicerea transmiterii
tranfrontaliere a datelor.
(6) Centrul poate autoriza, în modul stabilit de lege, transferul de date
personale către un stat a cărui legislaţie nu prevede un nivel de protecţie cel puţin
egal cu cel oferit de legislaţia Republicii Moldova, dacă operatorul oferă garanţii
suficiente cu privire la protecţia şi exercitarea drepturilor subiecţilor datelor
personale, care sînt stabilite prin contracte încheiate între operatori şi persoanele
fizice sau juridice prin dispoziţia cărora se efectuează transferul.
(7) Prevederile alin. (3)–(6) nu se aplică în cazul în care transferul datelor cu
caracter personal se face în baza prevederilor unei legi speciale sau ale unui tratat
internaţional ratificat de Republica Moldova, în special dacă transferul se face în
scopul prevenirii sau investigării infracţiunilor. Legea specială sau tratatul
internaţional obligatoriu trebuie să conţină garanţi suficiente privind protecţia
drepturilor subiectului datelor personale.
(8) Prevederile alin. (1)–(6) nu se aplică în cazul prelucrării datelor personale
la exercitarea dreptului la libertatea de exprimare, cu condiția respectării art. 9 din
prezenta lege.
(9) Transmiterea datelor personale către statele care nu asigură un nivel
adecvat de protecţie poate avea loc numai:
a) cu consimţămîntul subiectului datelor personale;
b) în cazul necesităţii de a încheia ori executa un acord sau contract între
subiectul datelor personale şi operator ori între operator şi o persoană terţă în
interesul subiectului datelor personale;
51
c) dacă aceasta este necesară pentru a proteja viaţa, integritatea fizică sau
sănătatea subiectului datelor personale;
d) dacă aceasta se efectuează dintr-un registru destinat informării publicului
larg şi deschis spre consultare publicului sau oricărei persoane care demonstrează
un interes legitim, în măsura în care se întrunesc condiţiile prevăzute de lege
pentru consultare în cazurile particulare;
e) cînd aceasta este necesară pentru satisfacerea unui interes public major,
precum apărarea naţională, securitatea statului, apărarea unui drept în justiție și în
cadrul comisiilor rogatorii, cu condiţia ca datele personale să fie prelucrate în
legătură cu acest scop şi numai pentru perioada necesară realizării acestui scop.
(10) Operatorul și persoana împuternicită de operator sînt obligaţi să
prelucreze datele personale gestionate în sisteme de evidență aflate în afara
teritoriului Republicii Moldova în conformitate cu prevederile legislației naționale
și să întreprindă măsurile ce se impun a fi efectuate în vederea înlăturării
încălcărilor admise la prelucrarea acestor date.
(11) Operatorul și persoana împuternicită de acesta poartă răspundere în
conformitate cu prezenta lege în cazul prelucrării ilegale a datelor cu caracter
personal din sistemele de evidență aflate în afara teritoriului Republicii Moldova.
CAPITOLUL X
RĂSPUNDEREA
Articolul 49. Răspunderea pentru încălcarea prezentei legi
(1) În cazul încălcării prevederilor prezentei legi, Centrul, prin decizie, aplică
sancțiuni pecuniare operatorului, operatorului asociat, persoanei împuternicite de
operator, destinatarului precum, entităților ce se consideră a nu fi destinari și
terților pentru:
a) neîndeplinirea obligațiilor privind implementarea măsurilor organizatorice
şi tehnice necesare pentru protecția datelor cu caracter personal, precum și a
cerințelor de securitate prevăzute de prezenta lege și actelor normative ale
Centrului, care se sancționează:
în cazul unor încălcări minore care nu au dus la încălcarea gravă a condițiilor
de conformitate, confidențialitate și a drepturilor subiecților de date, cu
avertisment și acordarea unui termen pentru înlăturarea încălcărilor admise;
în celelalte cazuri sau în situația în care în termenul dispus nu sunt înlăturate
discrepanțele constatate, cu aplicarea amenzii de la 1 000 lei pînă la 3 000 000 lei;
b) prelucrarea datelor personale cu încălcarea prevederilor art. 4-10, care se
sancționează cu amendă de la 5 000 lei pînă la 5 000 000 lei;
c) prelucrarea datelor în lipsa autorizării Centrului, se sancţionează cu
amendă de la 5 000 lei pînă la 100 000 lei;
d) încălcarea drepturilor subiectului datelor cu caracter personal, prevăzute la
Capitolul III din prezenta lege, care se sancţionează cu amendă de la 5 000 lei pînă
la 100 000 lei;
52
e) transmiterea transfrontalieră a datelor personale cu încălcarea legislaţiei
privind protecţia datelor cu caracter personal, care se sancţionează cu amendă de
la 5 000 lei pînă la 5 000 000 lei;
f) refuzul de a furniza informațiile sau documentele solicitate de Centru în
procesul exercitării atribuțiilor de investigare prevăzute de lege, prezentarea cu
rea credință a unor informaţii neautentice sau incomplete, precum şi neprezentarea
în termenul stabilit de lege a informațiilor şi a documentelor solicitate, care se
sancționează cu amendă de la 5 000 lei pînă la 500 000 lei;
g) împiedicarea accesului inspectorilor de protecție a datelor în cadrul
investigațiilor, în încăperile şi pe teritoriul amplasării sistemelor de evidență a
datelor cu caracter personal, la datele cu caracter personal prelucrate, la
echipamentul de prelucrare, la programe şi aplicaţii, la orice document sau
înregistrare referitoare la prelucrarea de date cu caracter personal, care se
sancţionează cu amendă de la 20 000 lei pînă la 900 000 lei;
h) neîndeplinirea în termenul stabilit a deciziilor Centrului, care se
sancţionează cu amendă de la 5 000 lei pînă la 900 000 lei.
Articolul 50. Condiții generale de individualizare și determinare a
cuantumului amenzilor
(1) La individualizarea și determinarea cuantumului amenzii se ţine cont de
următoarele circumstanțe:
a) durata încălcării,
b) scopul prelucrării în cauză,
c) după caz, numărul subiecților de date personale afectați, potrivit
următoarelor criterii:
- pînă la 50 de persoane – amenda minimală;
- 50-500 de persoane - 1/4 din cuantumul maxim al amenzii;
- 500 – 2500 de persoane – 2/4 din cuantumul maxim al amenzii;
- 2500- 5000 de persoane – 3/4 din cuantumul maxim al amenzii;
- peste 5000 de persoane – amenda maximă.
d) categoriile de date personale afectate de încălcare. În cazul în care
încălcarea vizează categoria specială de date personale se consideră a fi
circumstanță agravantă și după caz, poate fi aplicat cuantumul maximal al amenzii;
e) cifra de afaceri sau venitul anual;
f) acțiunile întreprinse de operator, persoana împuternicită de operator,
destinatar precum și entitățile care nu se consideră a fi destinatari, terții pentru a
reduce prejudiciul suferit de subiectul datelor personale;
g) eventualele încălcări repetate comise de operator sau de persoana
împuternicită de operator. Se consideră repetată încălcarea comisă în decursul a 2
ani calendaristici de la data constatării aceluiași fel de încălcare și este calificată
drept circumstanță agravantă;
h) gradul de cooperare cu Centru pentru a remedia încălcarea și a atenua
posibilele efecte negative ale încălcării;
i) orice alt factor agravant sau atenuant aplicabil circumstanțelor cazului.
53
(2) În cazul prevăzut de alin. (1) lit. g) mărimea amenzii aplicate inițial se
dublează.
(3) În cazul prevăzut la alin. (1) lit. h) persoanele vizate în decizia de
sancționare beneficiază de o reducere în mărime de 50 % din mărimea sancțiunii
calculate.
(4) Aplicarea sancţiunilor se prescrie în termen de 3 ani de la data comiterii
încălcării sau de la comiterea ultimei acțiuni sau inacțiuni care caracterizează
fapta.
(5) Sumele ce reprezintă amenzi aplicate de Centru se fac venit la bugetul de
stat, în condiţiile legii.
(6) O dată cu aplicarea sancţiunilor pecuniare trebuie să fie specificat
termenul în care urmează a fi achitată sancţiunea. Data-limită la care urmează a fi
achitată sancţiunea nu poate fi mai mare de 30 de zile de la data comunicării
deciziei privind aplicarea sancţiunii.
(7) Faptul aplicarării sancţiunilor se publică pe pagina web oficială în Internet
a Centrului, cu pseudonimizarea sau anonimizarea, după caz, a datelor personale
conținute de acestea. În caz contrar nu se publică.
(8) Prin derogare de la prevederile alin. (6) în cazul în care persoanele vizate
în decizia de sancționare au achitat amenda în termen de 5 zile de la data
comunicării, acestea beneficiază de o reducere în mărime de 25% din mărimea
sancțiunii calculate.
(9) Persoanele vizate de sancționare sunt obligate să informeze în scris
Centrul despre executarea sancțiunii, în termenul stabilit în actul de sancționare,
precum și să prezinte probe pertinente și concludente privind executarea acesteia.
Capitolul IX
DISPOZIŢII FINALE ŞI TRANZITORII
Articolul 51. (1) Prezenta lege intră în vigoare la data de 01 iunie 2018.
(2) Din momentul intrării în vigoare a prezentei legi, din cuantumul final al
amenzii aplicate de Centru în conformitate cu prevederile prezentei legi,
persoanele vizate sînt obligate să achite:
a) în primul an – 10 procente din cuantumul amenzii stabilite;
b) în al doilea an - 30 procente din în cuantumul amenzii stabilite;
c) în al treilea an - 50 procente din cuantumul amenzii stabilite
d) în al patrulea an – 70 procente din cuantumul amenzii stabilite;
e) în al cincilea an – 100 procente din cuantumul amenzii stabilite.
(3) Prevederile alin. (2) din prezentul articol, nu influențează asupra criteriilor
de individualizare și determinare a amenzilor.
(4) Litigiile care la data intrării în vigoare a prezentei legi se află în proces de
examinare se soluţionează în conformitate cu normele legii în vigoare la data
apariţiei litigiului.
(5) Plîngerile şi cauzele ale căror proceduri de examinare de către Centru nu
s-au încheiat pînă la data intrării în vigoare a prezentei legi se examinează conform
54
normelor de procedură prevăzute de legea în vigoare la momentul depunerii sau
inițierii.
(6) În termen de 8 luni de la data publicării prezentei legi, Guvernul:
a) va elabora şi va prezenta Parlamentului propuneri privind aducerea
legislaţiei în vigoare în concordanţă cu prezenta lege;
b) va pune actele sale normative în concordanţă cu prezenta lege;
c) va asigura punerea în concordanţă a actelor normative ale autorităţilor
publice centrale și cu prezenta lege;
(7) În termen de 8 luni de la data publicării prezentei legi, Centrul:
a) va elabora şi va adopta actele normative necesare punerii în aplicare a
prezentei legi;
b) va aduce actele sale normative în concordanţă cu prevederile prezentei legi;
c) va prezenta, în comun cu Guvernul, propuneri de modificare a legislaţiei
în vigoare, în scopul asigurării compatibilităţii cu prezenta lege." Art. XXVI. – Legea nr. 59/2012 privind activitatea specială de investigaţii
(Monitorul Oficial al Republicii Moldova, 2012, nr.113-118, art. 373), cu
modificările şi completările ulterioare, se completează cu articolul 381 cu
următorul cuprins:
„Articolul 381. Excepții și restricții privind protecția datelor cu caracter
personal
(1) Realizarea drepturilor prevăzute la art. 11, 12 alin. (2), 14 şi 16 din Legea
privind protecția datelor cu caracter personal, pot fi suspendate în cazul în care
prelucrarea datelor cu caracter personal este efectuată în scopul apărării naționale,
a securității statului și menținerii ordinii publice, prevenirea, investigarea,
depistarea sau urmărirea penală a infracțiunilor sau executarea sancțiunilor penale,
inclusiv protejarea împotriva amenințărilor la adresa securității publice și
prevenirea acestora, protejarea independenței judiciare și a procedurilor judiciare,
prevenirea, investigarea, depistarea și urmărirea penală, a încălcării eticii în cazul
profesiilor reglementate, protecției subiectului de date sau a drepturilor și
libertăților altora, punerea în aplicare a pretențiilor de drept civil doar dacă prin
aplicarea acestora este prejudiciată eficiența acțiunii sau obiectivul urmărit în
exercitarea competențelor legale ale autorităților publice.
(2) Prelucrarea datelor cu caracter personal în scopurile stabilite la alin. (1)
nu poate depăși perioada necesară atingerii obiectivului urmărit, dar nu mai mult
decît termenul expres stabilit de legislația din domeniul vizat sau în condițiile
stabilite la alin. (4) din prezentul articol.
(3) Neaplicarea restricției, omiterea termenului de prelungire a restricției sau
depășirea acestuia, exclude posibilitatea aplicării restricțiilor pe aceleași temeiuri
de drept.
(4) În cazul în care legea nu prevede expres termenul și procedura de aplicare
a restricției, acestea se vor stabili prin Regulament de către subiecții de drept a
prezentei lege, în baza avizului pozitiv al Centrului Național pentru Protecția
Datelor cu Caracter Personal, aplicîndu-se regimul de confidențialitate
corespunzător.
55
(5) Condițiile de restricționare menționate la alineatul (1) - (4) urmează să
conțină:
a) scopurile prelucrării sau ale categoriilor de prelucrare;
b) categoriile de date cu caracter personal;
c) domeniul de aplicare al restricțiilor introduse;
d) garanțiile pentru a preveni abuzurile sau accesul sau transferul ilegal;
e) menționarea subiecților de drept al acestei legi sau a categoriilor de astfel
de subiecți;
f) perioadele de stocare și garanțiile aplicabile având în vedere natura,
domeniul de aplicare și scopurile prelucrării sau ale categoriilor de prelucrare;
g) riscurile pentru drepturile și libertăților persoanelor vizate; și
h) dreptul persoanelor vizate de a fi informate cu privire la restricție, cu
excepția cazului în care acest lucru poate aduce atingere scopului restricției.
(6) După încetarea situației care justifică aplicarea alin. (1) - (3) din prezentul
articol, instanța de judecată, organul procuraturii, organul de urmărire penală,
organul securității statului, cel din domeniul apărării naționale precum și alți
subiecți de drept prevăzuți de prezenta lege, sînt obligați să informeze în scris sau
în format electronic potrivit cerințelor documentului electronic și semnăturii
electronice, subiecții datelor cu caracter personal în modul stabilit la art. 12 din
Legea privind protecția datelor cu caracter personal, precum și să asigure
realizarea drepturilor restricționate în baza alin. (1) din prezentul articol.
(7) Instanța de judecată, procuratura, organul de urmărire penală, organele
securității statului, cele din domeniul apărării naționale precum și alți subiecți de
drept prevăzuți de prezenta lege sînt obligați să ducă evidența excepțiilor și
restricțiilor stabilite la alin. (1) și să consemneze în registrul electronic a aplicării
excepțiilor și restricțiilor ținut de Centrul Național pentru Protecția Datelor cu
Caracter Personal.
(8) Atunci cînd se reclamă în adresa Centrului Național pentru Protecția
Datelor cu Caracter Personal pretinsul fapt că o anumită prelucrare de date cu
caracter personal cade sub incidența alin. (1) din prezentul articol, indiferent de
faptul dacă a avut loc sau nu o astfel de prelucrare, subiectul de date cu caracter
personal poate fi informat de către autoritate asupra prelucrării doar în cazul
constatării încălcării aplicării acestor restricții. Centrul Național pentru Protecția
Datelor cu Caracter Personal informează subiectul datelor cel puțin că au fost
realizate toate verificările necesare, precum și în legătură cu dreptul acestuia de a
introduce o cale de atac.
(9) Decizia emisă în ordinea prevăzută de acest articol, se contestă în instanța
de contencios administrativ. Examinarea cauzei se efectuează într-o procedură
specială, în ședință închisă, în lipsa subiectului de date. La examinarea cauzei
participă și entitatea care a dispus restricția;
(10) Informația despre aplicarea restricției se păstrează 10 ani.
(11) Investigarea operațiunilor de prelucrare a datelor cu caracter personal în
procesul exercitării activității speciale de investigații se efectuează de Centrul
Național pentru Protecția Datelor cu Caracter Personal.”.
56
Art. XXVII. – Articolul 1 alineatul (4) din Legea nr. 131/2012 privind
controlul de stat asupra activității de întreprinzător (Monitorul Oficial al
Republicii Moldova, 2012, nr. 181-184, art. 595), se completează cu litera f) cu
următorul cuprins:„ f) investigațiilor efectuate de către Centrul Național pentru
Protecția Datelor cu Caracter Personal”.
Art. XXVIII. – Articolul 16 din Legea nr. 320/2012 cu privire la activitatea
Poliției și statutul polițistului (Monitorul Oficial al Republicii Moldova, 2013, nr.
42-47, art. 145), se completează cu alineatul (4) cu următorul cuprins:
„(4) Investigarea legalității operaţiunilor de prelucrarea a datelor cu caracter
personal se efectuează de către Centrul Național pentru Protecția Datelor cu
Caracter Personal.”.
Art. XXIX. – Articolul 4 alin. (1) din Legea 178/2014 cu privire la
răspunderea disciplinară a judecătorilor (Monitorul Oficial al Republicii Moldova,
2014, nr. 238-246, art. 557), cu modificările și completările ulterioare, se
completează cu litera f1), cu următorul cuprins:
„f1) încălcarea regimului juridic prevăzut de Legea privind protecția datelor
cu caracter personal.”.
Art. XXX. Legea cu privire la Procuratură nr. 3/2016 (Monitorul Oficial al
Republicii Moldova, 2016, nr. 69-77, art. 113) , cu modificările și completările
ulterioare, se modifică și se completează, după cum urmează:
1. Articolul 6 alineatul (3) se va completa cu litera ,,l)” după cum urmează:
,,l) să prelucreze datele cu caracter personal în strictă conformitate cu
prevederile Legii privind protecția datelor cu caracter personal.”;
2. Articolul 34 se completează cu alineatul (6), după cum urmează:
,,(6) Investigarea legalității operaţiunilor de prelucrarea a datelor cu caracter
personal efectuate de către procuror se realizează de către Centrul Național pentru
Protecția Datelor cu Caracter Personal cu suportul subdiviziunilor specializate
responsabile de securitatea internă din cadrul Procuraturii Generale.”.
Art. XXXI. – Legea nr. 69/2016 cu privire la organizarea activității notarilor
(Monitorul Oficial al Republicii Moldova, 2016, nr. 277-287, art. 588), cu
modificările și completările ulterioare, se modifică și se completează, după cum
urmează:
1. Articolul 7 alineatul (2) se completează cu litera f) cu următorul cuprins:
„f) Investigarea operațiunilor de prelucrare a datelor cu caracter personal în
procesul exercitării activității speciale de investigații se efectuează de Centrul
Național pentru Protecția Datelor cu Caracter Personal.”.
2. Articolul 10 alin. (2) se abrogă.
Preşedintele Parlamentului