Protecția Datelor cu caracter personal

Legislația Republicii Moldova în materie de protecție a datelor cu caracter personal este într-o continuă schimbare in vederea transpunerii reglementărilor dreptului comunitar european.

Cerințele de prelucrare a datelor cu caracter personal în Uniunea Europeană (UE) sunt stabilite în prezent prin Regulamentul general al UE privind protecția datelor (GDPR), iar la nivel național sunt stabilite de Legea nr. 133 privind protecţia datelor cu caracter personal din 08-07-2011.

În Republica Moldova s-a desfășurat proiectul „EU TWINNING PROJECT”, finanțat de Uniunea Europeană care a avut drept scop transpunerea reglementărilor UE privind protecția datelor cu caracter personal.

Datele cu caracter personal reprezintă orice informație care se referă la o persona fizică vie identificată sau  identificabilă (prenume, număr de identificare, date de geolocalizare, identificator online (adresa IP, cookie IP) și orice elemente specifice identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale). De asemenea și datele cu caracter special care includ: date privind originea etnică sau rasială; date privind confesiunea religioasă, sau convingerile filozofice; date genetice, data biometrice; date privind sănătatea; date privind opiniile politice; date privind viața sexuală, sau orientarea sexuală.

Legislația protejează datele personale indiferent de tehnologia utilizată pentru prelucrarea acestor date. De asemenea, nu contează cum sunt stocate datele – într-un sistem IT, prin supraveghere video sau pe hârtie; în toate cazurile, datele cu caracter personal sunt supuse cerințelor de protecție stabilite. 

Prelucrarea poate fi efectuată prin mijloace manuale sau automatizate. Aceasta include colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alăturarea sau combinarea, restricționarea, ștergerea sau distrugerea datelor cu caracter personal.

Operator – înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau un alt organism care, singur sau împreună cu alții, determină scopurile și mijloacele de prelucrare a datelor cu caracter personal.

Operator comun – în care doi sau mai mulți operatori împreună determină obiectivele și mijloacele de prelucrare.

Persoana împuternicită de operator înseamnă o persoană fizică sau juridică, o autoritate publică, o agenție sau un alt organism care prelucrează date cu caracter personal în numele operatorului.

Orice prelucrare trebuie realizată:

  • Cu respectarea principiilor prelucrarii datelor (legalitate, transparență, interes legitim, scop determinat, exactitate, stocare limitată, confidențialitate);
  •  În baza unuia dintre temeiurile expres prevazute de legislația în domeniul protecției datelor; 
  • Având capacitatea de a demonstra respectarea prevederilor legislației în domeniul protecției datelor.

Temeiurile prelucrării datelor:

  • Executarea unui contract;
  • Consimțământul explicit;
  • Obligația legală a operatorului;
  • Interesul legitim al operatorului;
  • Interesele vitale ale persoanei vizate;
  • Sarcină de interes public.

Drepturilor persoanelor vizate:

  1. Informare;
  2. Acces;
  3. Rectificare;
  4. Ștergere ”dreptul de a fi uitat”;
  5. Restricționarea prelucrării;
  6. Portabilitatea datelor;
  7. Dreptul la portabilitate;
  8. Dreptul la opoziție.

Aplicabilitate

Regula generală: Toate prelucrările de date cu caracter personal urmează a fi efectuate cu respectarea condițiilor legale stabilite de Legea privind protecția datelor cu caracter personal.

Excepții: 

  • prelucrări efectuate de o persoană fizică în cadrul unei activități exclusiv personale sau domestice; 
  •  prelucrări realizate în cadrul activității informative și contrainformative;
  • date cu caracter personal anonimizate;
  • prelucrarea datelor referitoare la făptuitorii sau victimele crimelor de genocid, crimelor de război și ale crimelor împotriva umanității.

Aplicabilitate GDPR:

GDPR poate fi direct sau indirect aplicabil oricărei companii stabilite în Republica Moldova dacă au loc anumite criterii ale activităților sale de prelucrare a datelor cu caracter personal.

Succesiunea generală a criteriilor privind aplicabilitatea GDPR va fi următoarea: a) activitate economică b) care implică prelucrarea datelor cu caracter personal c) și care are loc în UE prin înființarea companiei moldovenești în UE sau d) de către o companie care este stabilită în Moldova, dacă prelucrarea este direcționată către subiecții datelor în UE. 

Aplibabilitate directă:

  1. Companie din RM nu este stabilită în UE, dar oferă  bunuri sau servicii, indiferent dacă este necesară o plată către subiectul datelor, către subiecți de date din UE.
  2. Companie din RM care nu este stabilită în UE, dar activitățile de prelucrare a datelor cu caracter personal sunt legate de monitorizarea comportamentului subiecților de date, în măsura în care comportamentul acestora are loc în cadrul UE.
  3. În cazul în care compania înregistrată a Republicii Moldova în statul membru al Uniunii Europene are o companie filială, o reprezentanță sau orice alt sediu care prelucrează datele cu caracter personal în cadrul activității sale economice în UE, acest sediu în UE va fi tratat ca o unitate în UE.

Aplicabilitate indirectă:

  1. Compania din Moldova operează ca persoană împuternicită de operator pentru o altă companie din UE.

GDPR nu se aplică dacă Compania este stabilită în Moldova și prelucrarea se referă numai la activitatea economică realizată în Moldova.

Recomandări pentru conformarea cu legislația din domeniu:

  • Operatorii și persoanele împuternicite de operatori să efectueze o revizuire aprofundată a ciclului existent de politici a datelor, astfel încât să identifice în mod clar datele pe care le dețin, pentru ce scop și în ce temei juridic;
  • Punerea în aplicare a măsurilor tehnicie și organizatorice pentru a asigura un nivel înalt de securitate;
  • Evaluarea impatului asupra protecției datelor prin evaluarea respectării respectarea de către companii a obligațiilor privind protecția datelor și de a identifica eventualele riscuri și strategii de atenuare.
  • Compania trebuie să asigure o posibilitate reală ca subiecții de date să poată accesa datele în orice moment;
  • Operatorul și persoana împuternicită de operator trebuie să desemneze un responsabil pentru protecția datelor cu caracter personal;
  • Operatorii urmează să notifice orice încălcare CNPDP și să țină evidența acestora.

Autoritatea competentă în domeniul dat este Centrul Naţional pentru Protecţia Datelor cu Caracter Personal al Republica Moldova (CNPDCP), autoritate publică autonomă și independentă. Obiectivele de bază ale CNPDCP rezidă în apărarea drepturilor şi libertăţilor fundamentale ale persoanelor fizice, în special a dreptului la viaţă privată în legătură cu prelucrarea şi transmiterea transfrontalieră a datelor cu caracter personal, organizarea acțiunilor de prevenire a încălcării legislației din domeniu, inclusiv a drepturilor subiecților de date cu caracter personal, ghidarea operatorilor de date în contextul aplicării corecte a legislației din domeniu și informarea, sensibilizarea și educarea societății asupra importanței protecției datelor cu caracter personal.