Centrul Național pentru Protecția Datelor cu Caracter Personal al Republicii Moldova Potențiale modificări în Legea privind protecția datelor cu caracter personal

Raționamentul elaborării proiectului Evoluțiile tehnologice rapide și globalizarea au generat noi provocări pentru protecția datelor cu caracter personal. Amploarea colectării și schimbul de date cu caracter personal a crescut în mod semnificativ. Tehnologia permite atât societăților private, cât și autorităților publice să utilizeze date cu caracter personal la un nivel fără precedent în cadrul activității lor. Indiscutabil, tehnologia a transformat deopotrivă economia și viața socială, iar revoluția digitală promite beneficii pentru sănătate, mediu, dezvoltarea internațională și eficiența economică, însă ea nu trebuie să dicteze valori și drepturi. Persoanele fizice trebuie să aibă controlul asupra propriilor date cu caracter personal, iar securitatea juridică și practică implementată de persoanele fizice, autoritățile publice și private trebuie să fie consolidată. Aceste evoluții au impus necesitatea elaborării unui cadru solid și mai coerent în materie de protecție a datelor, însoțit de o aplicare riguroasă a normelor, luând în considerare importanța creării unui climat de încredere care va permite economiei digitale să se dezvolte pe piața internă.

Raționamentul elaborării proiectului În aceste circumstanțe, în anul 2016 Parlamentul European și Consiliul a adoptat pachetul de reformă legislativă privind protecția datelor cu caracter personal, care cuprinde inclusiv Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, intrat în vigoare începând cu 25 mai 2018. Remarcăm, că începând cu această dată Republica Moldova în domeniul protecției datelor cu caracter personal înregistrează o deficiență majoră de reglementări care să rezoneze cu reglementările dreptului comunitar european în materie de protecție a datelor cu caracter personal și care să ofere o protecție sigură persoanelor în privința prelucrării datelor cu caracter personal și respectării dreptului la inviolabilitatea vieții private. Astfel, o parte din argumentarea necesității elaborării proiectului de lege este direct interconectată cu spectrul de acte legislative adoptate de către Parlamentul European și Consiliu.

Raționamentul elaborării proiectului În ceea ce privește transpunerea sa, menționăm că proiectul urmărește o transpunere fidelă și completă a reglementărilor UE privind protecția datelor cu caracter personal, fiind implementate corespunzător normele UE cu caracter terminologic, instituțional și material ale actelor UE. Proiectul de lege va contribui la realizarea angajamentelor asumate de către Republica Moldova în raport cu Uniunea Europeană și de recunoaștere a nivelului adecvat de protecția datelor cu caracter personal în Republica Moldova, care va genera un spectru larg de beneficii, printre care: sporirea credibilității statului, consolidarea strategiei economice, dezvoltarea mediului de afaceri, atragerea investițiilor, etc.

Scopul proiectului este de a crea un echilibru între: Pe de altă parte: responsabilizarea operatorului de a asigura conformitatea prelucrării datelor și a lua măsuri adecvate pentru a furniza subiectului de date orice informații în legătură cu prelucrarea datelor cu caracter personal ce-l vizează Pe de o parte: asigurarea drepturilor subiectului datelor, principiilor generale de protecție a datelor, încrederea generală în activitatea desfășurată de operatori

Structura proiectului Control și echilibrare Noțiuni, principii de bază și norme legalitatea prelucrării Drepturile subiecților de date Norme privind prelucrarea efectuată de operator și asigurarea securității prelucrării datelor Transmiterea transfrontalieră a datelor Condițiile pentru depunerea cererilor, procedura de examinare și efectuare a investigațiilor Norme privind căile de atac, răspunderea și sancțiunile

Drepturile subiectului de date În vederea consolidării drepturilor cetățenilor în raport cu operațiunile de prelucrare a datelor cu caracter personal care îi vizează, au fost dezvoltate drepturile existente și extinsă sfera drepturilor subiectului de date. Astfel, noua paletă de drepturi include: dreptul la portabilitatea datelor, dreptul la ștergerea datelor (dreptul de a fi uitat), dreptul la rectificarea datelor, dreptul la restricționarea prelucrării, etc.

Drepturile subiectului de date Totodată proiectul prevede posibilitatea impunerii restricțiilor în privința respectării unor principii specifice, în privința dreptului de informare, a dreptului de acces la datele cu caracter personal și de rectificare sau ștergere a acestora, în privința dreptului la portabilitatea datelor, a dreptului la opoziție, a deciziilor bazate pe crearea de profiluri, precum și în privința comunicării unei încălcări a securității datelor cu caracter personal subiectului de date și a anumitor obligații conexe ale operatorilor, în măsura în care acest lucru este necesar și proporțional într-o societate democratică.

Consimțămîntul subiectului de date Obținerea consimțământului pentru prelucrarea datelor cu caracter personal nu este o condiție nouă, totuși în proiect este reformată instituția „consimțământului”. Astfel, consimțământul urmează a fi acordat printr-o acțiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoștință de cauză și clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declarație făcută în scris, inclusiv în format electronic, sau verbal. Acesta ar putea include bifarea unei căsuțe atunci când persoana vizitează un site, alegerea parametrilor tehnici pentru serviciile societății informaționale sau orice altă declarație sau acțiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal.

Responsabilitatea operatorilor de date Totodată, proiectul conține prevederi privind obligația operatorului de a: pune în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu cerințele prezentei legi și/sau alte acte regulatorii în domeniul protecției datelor personale; de a asigura protecția datelor personale începînd cu momentului conceperii și în mod implicit; evidența activităților de prelucrare; de a implementa măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc; de a desemna responsabilul de protecția datelor; de a demonstra că subiectul datelor și-a dat consimțămîntul pentru prelucrarea datelor sale și de a lua măsuri adecvate pentru a furniza subiectului de date orice informații în legătură cu prelucrarea datelor cu caracter personal ce-l vizeză și gratuitatea furnizării acestor informații, etc.

Un alt element nou prevăzut de proiectul de lege sunt codurile de conduită, certificarea și regulile corporatiste obligatorii Asociațiile și alte organisme care reprezintă categoriile de operatori sau persoane împuternicite de operatori pot pregăti coduri de conduită pentru a contribui la aplicarea corectă a prezentei legi, ținând seama de caracteristicile specifice ale diferitelor sectoare de prelucrare pentru a specifica modul de aplicare a prezentei legi. Astfel de coduri de conduită ar putea să ajusteze obligațiile operatorilor și ale persoanelor împuternicite de operatori, ținând seama de riscul aferent prelucrării care este susceptibil de a fi generat pentru drepturile și libertățile persoanelor fizice. Proiectul codului de conduită, de modificare sau de extindere a acestuia se transmite în adresa Centrului care, dacă constată că acesta oferă garanții adecvate aprobă, înregistrează și publică codul de conduită. Monitorizarea respectării unui cod de conduită poate fi realizată de un organism care dispune de un nivel adecvat de expertiză în legătură cu obiectul codului și care este acreditat de Centru.

Certificarea De asemenea fiecare operator sau persoană împuternicită de operator poate obține certificate sau mărci cu scopul de a demonstra că operațiunile de prelucrare a datelor personale efectuate de operator sau persoana împuternicită de operator respectă prezenta lege. Acești operatori sau persoane împuternicite de operatori își asumă angajamente obligatorii și executorii prin intermediul instrumentelor contractuale sau altor instrumente obligatorii din punct de vedere juridic în scopul aplicării garanțiilor adecvate, inclusiv a respectării drepturilor subiecților de date. Organismele de certificare sunt acreditate de Centru.

Codurile de conduită, certificarea și regulile corporatiste obligatorii Regulile corporatiste obligatorii reprezintă politicile în materie de protecție a datelor cu caracter personal care trebuie respectate de un operator sau de o persoană împuternicită de operator, în ceea ce privește transferurile sau seturile de transferuri de date cu caracter personal către un operator sau o persoană împuternicită de operator în una sau mai multe țări în cadrul unui grup de întreprinderi sau al unui grup de întreprinderi implicate într-o activitate economică comună. Prevederea posibilității adoptării codurilor de conduită, certificării și a regulilor corporatiste obligatorii, constituie pârghii prin prisma cărora operatorii de date își pot demonstra caracterul conform al prelucrării datelor cu caracter personal și aderarea la un set de rigori în vederea asigurării securității operațiunilor de prelucrare a datelor cu caracter personal.

Excluderea obligației notificării În rezultatul reglementărilor menționate a fost exclusă obligativitatea înregistrării în calitate de operator de date cu caracter personal. Astfel, prezentul proiect de lege prevede excluderea obligației persoanelor fizice și persoanelor juridice care prelucrează date cu caracter personal, de a se înregistra la Centru în calitate de operator de date cu caracter personal. Astfel, operatorii vor fi obligați individual să respecte normele de securitate a datelor cu caracter personal, modificare care își are scopul în principiul responsabilizării operatorului de date cu caracter personal.

Transferul transfrontalier Un alt element cheie al proiectului constă în reglementarea cooperării internaționale în materie de protecție a datelor personale, datorită căreia transferul de date între statele Uniunii Europene va deveni unul liber, fără impedimente, chestiune care într-un mod esențial va contribui direct la intensificarea relațiilor economice, în special pentru atragerea investițiilor străine. Astfel, se prevăd transmiterile transfrontaliere către un stat membru al Spațiului Economic European care nu va necesită o autorizație din partea Centrului. Același lucru se va aplica atunci când Comisia Uniunii Europene a decis, pe baza unei decizii de adecvare, că o țară terță, un teritoriu sau unul sau mai multe sectoare specificate în respectiva țară terță sau o organizație internațională asigură un nivel adecvat de protecție a datelor cu caracter personal.

Transferul transfrontalier Proiectul de lege prevede de asemenea transferul în temeiul unei decizii a Centrului privind caracterul adecvat al nivelului de protecție, care presupune transmiterea către un alt stat a datelor cu caracter personal considerate a fi prelucrate sau care sunt colectate în scopul prelucrării. Transferul de date cu caracter personal către o altă țară sau o organizație internațională se poate realiza atunci când Centru a decis că țara, un teritoriu ori unul sau mai multe sectoare specificate din acea țară sau organizația internațională în cauză asigură un nivel de protecție adecvat. Transferurile realizate în aceste condiții nu necesită autorizări speciale.

Transferul transfrontalier În același context, proiectul de lege reglementează transmiterea transfrontalieră în baza garanțiilor adecvate, procedeu care devine operabil în absența unui nivel adecvat de protecție a datelor. Operatorul sau persoana împuternicită de operator poate transfera date cu caracter personal către o altă țară sau o organizație internațională numai dacă operatorul sau persoana împuternicită de operator a oferit garanții adecvate și cu condiția să existe drepturi opozabile și căi de atac eficiente pentru subiecții de date.

Transferul transfrontalier În absența unei decizii privind caracterul adecvat de protecție sau a unor garanții adecvate, inclusiv a normelor corporatiste obligatorii, un transfer sau un set de transferuri de date personale către o altă țară sau o organizație internațională poate să aibă loc numai dacă: - subiectul de date și-a exprimat în mod explicit acordul; - transferul este necesar pentru încheierea sau executarea unui contract încheiat în interesul subiectului datelor; - transferul este necesar din motive importante de interes public; - transferul este necesar pentru stabilirea, exercitarea sau apărarea unui drept în instanță; - transferul este necesar pentru a proteja interesele vitale ale subiectului datelor; - transferul se face dintr-un registru care, potrivit unei legi din Republica Moldova, are ca scop informarea publicului.

Investigarea legalităţii Având ca obiectiv fortificarea în continuare a competențelor Centrului, proiectul instituie atribuția Centrului de a efectua investigarea legalităţii operaţiunilor de prelucrare a datelor cu caracter personal efectuate prin intermediul sistemelor de evidenţă. Astfel, în continuare este reglementat dreptul subiectului de date de a sesiza Centrul și modalitatea de examinare a plângerilor, fiind operate unele modificări în procedura de examinare. Prin proiectul de lege este extins termenul de sesizare a Centrului de către subiectul de date cu caracter personal care are suspiciuni în raport cu legalitatea prelucrării datelor sale cu caracter personal, astfel, orice subiect de date va dispune de dreptul de a depune o cerere la Centru sau în instanța de judecată, în termen de 3 luni din momentul depistării pretinsei încălcări și posibilitatea subiectul de date care, din motive temeinice și justificate, a omis termenul de prescrepție, de a fi repus în termen în condiţiile Codului de procedură civilă.

Prevederi privind răspunderea administrativă Pentru a consolida respectarea aplicării normelor statuate în proiectul de lege au fost prevăzute sancțiuni pecuniare și aplicarea măsurilor de înlăturare și corectare a neconformităților, pentru orice încălcare a prevederilor prezentei legi. În cazul unei încălcări minore sau în cazul în care amenda susceptibilă de a fi impusă constituie o sarcină disproporționată pentru o persoană fizică, poate fi emis un avertisment în locul unei amenzi. Cu toate acestea, se vor lua în considerare în mod corespunzător natura, gravitatea și durata încălcării, caracterul deliberat al încălcării, acțiunile întreprinse pentru a reduce prejudiciul cauzat, gradul de răspundere sau orice încălcări anterioare relevante, modul în care încălcarea a fost adusă la cunoștința Centrului, conformitatea măsurilor adoptate de operatorul sau persoana împuternicită de operator, aderarea la un cod de conduită și orice alt factor agravant sau atenuant. Aplicarea sancțiunilor vor face obiectul unor garanții procedurale adecvate, în conformitate cu principiile generale ale dreptului național. Totodată, în dispozițiile tranzitorii ale proiectului a fost prevăzut un mecanism treptat de aplicare a sancțiunilor pentru a asigura o perioadă de tranziţie în vederea adoptării de către operatorii de date la noile rigori şi standarde.