Legea privind protecţia datelor cu caracter personal nr. 195 din 25.07.2024
Monitorul Oficial nr.367-369/574 din 23.08.2024
UE
Parlamentul adoptă prezenta lege organică.
Prezenta lege transpune Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), publicat în Jurnalul Oficial al Uniunii Europene L 119/1 din 4 mai 2016, CELEX: 32016R0679.
Capitolul I
DISPOZIŢII GENERALE
Articolul 1. Obiectul şi scopul legii
(1) Prezenta lege stabileşte cadrul juridic cu privire la:
a) protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal;
b) organizarea şi funcţionarea Centrului Naţional pentru Protecţia Datelor cu Caracter Personal (în continuare şi Centru);
c) supravegherea implementării legislaţiei privind protecţia datelor cu caracter personal;
d) răspunderea juridică şi sancţiunile aplicate pentru încălcarea legislaţiei privind protecţia datelor cu caracter personal.
(2) Prezenta lege are drept scop asigurarea protecţiei drepturilor şi libertăţilor fundamentale ale persoanelor fizice şi, în special, a dreptului la viaţa intimă, familială şi privată, în legătură cu prelucrarea datelor cu caracter personal.
Articolul 2. Domeniul de aplicare material
(1) Prezenta lege se aplică prelucrării datelor cu caracter personal, efectuată, total sau parţial, prin mijloace automatizate, precum şi prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidenţă a datelor sau care sunt destinate să facă parte dintr-un sistem de evidenţă a datelor.
(2) Prezenta lege nu se aplică prelucrării datelor cu caracter personal:
a) atribuite la secret de stat, care se efectuează în conformitate cu Legea nr.245/2008 cu privire la secretul de stat şi în măsura în care este necesar şi proporţional pentru protecţia securităţii şi apărării naţionale;
b) de către o persoană fizică în cadrul unei activităţi exclusiv personale sau domestice;
c) de către autorităţile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracţiunilor ori al executării sancţiunilor penale, inclusiv al protejării împotriva ameninţărilor la adresa securităţii publice şi al prevenirii acestora;
d) referitoare la persoanele decedate, cu excepţia cazului prevăzut la art.52.
(3) Prezenta lege nu aduce atingere prevederilor Legii nr.284/2004 privind serviciile societăţii informaţionale, în special normelor referitoare la răspunderea furnizorilor de servicii şi a intermediarilor, prevăzute la art.14–17 din legea respectivă.
Articolul 3. Domeniul de aplicare teritorial
(1) Prezenta lege se aplică prelucrării datelor cu caracter personal în contextul activităţilor unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Republica Moldova, indiferent dacă prelucrarea are loc sau nu pe teritoriul Republicii Moldova.
(2) Prezenta lege se aplică prelucrării datelor cu caracter personal ale unor persoane vizate care se află în Republica Moldova de către un operator sau o persoană împuternicită de operator care nu are sediu în Republica Moldova, atunci când activităţile de prelucrare sunt legate de:
a) oferirea de bunuri sau servicii unor astfel de persoane vizate în Republica Moldova, indiferent dacă se solicită sau nu efectuarea unei plăţi de către persoana vizată; sau
b) monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Republicii Moldova.
(3) Prezenta lege se aplică prelucrării datelor cu caracter personal de către misiunile diplomatice şi oficiile consulare ale Republicii Moldova, precum şi de către alţi operatori care nu au sediu în Republica Moldova, dacă legislaţia Republicii Moldova se aplică în temeiul dreptului internaţional public.
Articolul 4. Noţiuni
În sensul prezentei legi, următoarele noţiuni semnifică:
date cu caracter personal – orice informaţii privind o persoană fizică identificată sau identificabilă (în continuare – persoană vizată). Persoana fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special, prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul ori mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
prelucrare – orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea;
restricţionarea prelucrării – marcare a datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora;
creare de profiluri – orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau a prevedea aspecte privind performanţa la locul de muncă, situaţia economică, sănătatea, preferinţele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia;
pseudonimizare – prelucrare a datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informaţii suplimentare, cu condiţia ca aceste informaţii suplimentare să fie stocate separat şi să facă obiectul unor măsuri de natură tehnică şi organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;
sistem de evidenţă a datelor – orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcţionale sau geografice;
operator – persoană fizică sau juridică, autoritate publică, agenţie sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal. În cazul în care scopurile şi mijloacele de prelucrare sunt stabilite de actele normative, operatorul sau criteriile specifice pentru desemnarea acestuia sunt prevăzute de actele normative respective;
persoană împuternicită de operator – persoană fizică sau juridică, autoritate publică, agenţie sau alt organism care prelucrează datele cu caracter personal în numele operatorului;
sediu – locul de exercitare efectivă şi reală a unei activităţi în cadrul unor aranjamente stabile;
destinatar – persoană fizică sau juridică, autoritate publică, agenţie sau alt organism căruia îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terţă. Nu sunt considerate destinatari autorităţile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu actele normative; prelucrarea acestor date de către autorităţile publice respective respectă normele aplicabile în materie de protecţie a datelor, în conformitate cu scopurile prelucrării;
parte terţă – persoană fizică sau juridică, autoritate publică, agenţie sau organism, altele decât persoana vizată, operatorul, persoana împuternicită de operator şi persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;
consimţământ – orice manifestare de voinţă liberă, specifică, informată şi lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declaraţie sau printr-o acţiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;
încălcare a securităţii datelor cu caracter personal – încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate ori prelucrate într-un alt mod sau la accesul neautorizat la acestea;
date genetice – date cu caracter personal referitoare la caracteristicile genetice moştenite sau dobândite ale unei persoane fizice, care oferă informaţii unice privind fiziologia sau sănătatea persoanei respective şi care rezultă, în special, în urma analizei unei mostre de material biologic recoltate de la persoana în cauză;
date biometrice – date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice;
date privind sănătatea – date cu caracter personal legate de sănătatea fizică sau mintală a unei persoane fizice, inclusiv de prestarea de servicii de asistenţă medicală care dezvăluie informaţii despre starea de sănătate a acesteia;
număr de identificare naţional – număr prin care se identifică o persoană fizică în anumite sisteme de evidenţă şi care are aplicabilitate generală, cum ar fi: numărul de identificare de stat, seria şi numărul buletinului de identitate, numărul paşaportului, al permisului de conducere;
reprezentant – persoană fizică sau juridică cu sediu în Republica Moldova, desemnată în scris de către operator sau persoana împuternicită de operator în temeiul art.27, care reprezintă operatorul sau persoana împuternicită în ceea ce priveşte obligaţiile lor care le revin în temeiul prezentei legi;
întreprindere – persoană fizică sau juridică ce desfăşoară o activitate economică, indiferent de forma juridică a acesteia, inclusiv parteneriate sau asociaţii care desfăşoară în mod regulat o activitate economică;
grup de întreprinderi – întreprindere care exercită controlul şi întreprinderile controlate de aceasta;
reguli corporatiste obligatorii – politici în materie de protecţie a datelor cu caracter personal, care trebuie respectate de un operator sau de o persoană împuternicită de operator cu sediu pe teritoriul Republicii Moldova, în ceea ce priveşte transferurile sau seturile de transferuri de date cu caracter personal către un operator sau o persoană împuternicită de operator în unul sau mai multe state în cadrul unui grup de întreprinderi sau al unui grup de întreprinderi implicate într-o activitate economică comună;
cifră totală de afaceri – cifră astfel cum este definită la art.4 din Legea concurenţei nr.183/2012;
servicii ale societăţii informaţionale – servicii astfel cum sunt definite la art.4 din Legea nr.284/2004 privind serviciile societăţii informaţionale;
marketing direct – comunicare, prin telefon, poştă sau orice alt mijloc de comunicare directă, a unor mesaje publicitare sau de marketing (de promovare a unor bunuri sau servicii) direcţionate unor persoane particulare;
organizaţie internaţională – organizaţie şi organismele sale subordonate reglementate de dreptul internaţional public sau orice alt organism care este instituit printr-un acord încheiat între două sau mai multe state sau în temeiul unui astfel de acord.
Capitolul II
PRINCIPII
Articolul 5. Principiile prelucrării
(1) Datele cu caracter personal sunt:
a) prelucrate în mod legal, echitabil şi transparent în raport cu persoana vizată (principiul legalităţii, echităţii şi transparenţei);
b) colectate în scopuri determinate, explicite şi legitime şi nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri. Prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice nu este considerată incompatibilă cu scopurile iniţiale, în conformitate cu art.54 alin.(1) (principiul limitării legate de scop);
c) adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate (principiul reducerii la minimum a datelor);
d) exacte şi, în cazul în care este necesar, trebuie să fie actualizate. Trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt şterse sau rectificate fără întârziere (principiul exactităţii);
e) păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă ce nu depăşeşte perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele. Datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, în conformitate cu art.54 alin.(1), sub rezerva punerii în aplicare a măsurilor de ordin tehnic şi organizatoric adecvate prevăzute în prezenta lege în vederea garantării drepturilor şi libertăţilor persoanei vizate (principiul limitării legate de stocare);
f) prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, distrugerii sau deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare (principiul integrităţii şi confidenţialităţii).
(2) Operatorul este responsabil de respectarea alin.(1) şi trebuie să poată demonstra această respectare (principiul responsabilităţii).
Articolul 6. Legalitatea prelucrării
(1) Prelucrarea este legală numai dacă şi în măsura în care se îndeplineşte cel puţin una dintre următoarele condiţii:
a) persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru luarea unor măsuri la cererea persoanei vizate înainte de încheierea unui contract;
c) prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului;
d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
e) prelucrarea este necesară pentru îndeplinirea unei sarcini efectuate în interes public sau în exercitarea unei autorităţi oficiale cu care este învestit operatorul;
f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terţă, cu excepţia cazului în care prevalează interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, fapt care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.
(2) Datele cu caracter personal pot fi prelucrate în temeiul alin.(1) lit.e) în cazul în care prelucrarea este necesară pentru:
a) îndeplinirea unei sarcini de interes public care reiese din actele normative; sau
b) exercitarea de către operator a funcţiilor sau atribuţiilor prevăzute de actele normative.
(3) Temeiurile pentru prelucrarea menţionată la alin.(1) lit.c) şi e) şi alin.(2) trebuie să fie prevăzute în legislaţia Republicii Moldova.
(4) Alin.(1) lit.f) nu se aplică în cazul prelucrării efectuate de autorităţile publice în îndeplinirea atribuţiilor lor.
(5) În cazul în care prelucrarea în alt scop decât cel pentru care datele cu caracter personal au fost colectate nu se bazează pe consimţământul persoanei vizate sau pe actele normative, care constituie o măsură necesară şi proporţională într-o societate democratică pentru a proteja obiectivele menţionate la art.23 alin.(1), operatorul, pentru a stabili dacă prelucrarea în alt scop este compatibilă cu scopul pentru care datele cu caracter personal au fost colectate iniţial, ia în considerare, printre altele:
a) orice legătură dintre scopurile în care datele cu caracter personal au fost colectate şi scopurile prelucrării ulterioare preconizate;
b) contextul în care datele cu caracter personal au fost colectate, în special în ceea ce priveşte relaţia dintre persoanele vizate şi operator;
c) natura datelor cu caracter personal, în special în cazul prelucrării unor categorii speciale de date cu caracter personal, în conformitate cu art.9, sau în cazul în care sunt prelucrate date cu caracter personal referitoare la condamnări penale şi infracţiuni, în conformitate cu art.10;
d) posibilele consecinţe asupra persoanelor vizate ale prelucrării ulterioare preconizate;
e) existenţa unor garanţii adecvate, care pot include criptarea sau pseudonimizarea.
Articolul 7. Condiţii privind consimţământul
(1) În cazul în care prelucrarea se bazează pe consimţământ, operatorul trebuie să poată demonstra că persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal.
(2) În cazul în care consimţământul persoanei vizate este dat în contextul unei declaraţii scrise care se referă şi la alte aspecte, cererea privind consimţământul trebuie să fie prezentată într-o formă care o diferenţiază în mod clar de celelalte aspecte, într-o formă inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu. Nici o parte a respectivei declaraţii care constituie o încălcare a prezentei legi nu este obligatorie.
(3) Persoana vizată are dreptul să îşi retragă în orice moment consimţământul. Retragerea consimţământului nu afectează legalitatea prelucrării efectuate pe baza consimţământului înainte de retragerea acestuia. Înainte de acordarea consimţământului, persoana vizată este informată despre acest fapt. Retragerea consimţământului se realizează cu aceeaşi simplitate ca şi acordarea acestuia.
(4) Atunci când se evaluează dacă consimţământul este dat în mod liber se ţine cont în special de faptul că, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiţionată de consimţământul cu privire la prelucrarea datelor cu caracter personal care nu este necesară pentru executarea acestui contract.
Articolul 8. Consimţământul copiilor în legătură cu serviciile societăţii informaţionale
(1) În cazul în care se aplică art.6 alin.(1) lit.a), în ceea ce priveşte oferirea de servicii ale societăţii informaţionale direct unui copil, prelucrarea datelor cu caracter personal ale unui copil este legală dacă copilul are cel puţin vârsta de 14 ani. În cazul copilului cu vârsta sub 14 ani, respectiva prelucrare este legală numai dacă şi în măsura în care consimţământul respectiv este acordat sau autorizat de reprezentantul legal al copilului.
(2) Operatorul depune eforturi rezonabile pentru a verifica dacă reprezentantul legal a acordat sau a autorizat consimţământul, ţinând cont de tehnologiile disponibile.
(3) Alin.(1) nu aduce atingere dreptului general al contractelor, cum ar fi normele privind valabilitatea, încheierea sau efectele unui contract în legătură cu un copil.
Articolul 9. Prelucrarea categoriilor speciale de date cu caracter personal
(1) Se interzice prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice, apartenenţa la sindicate, precum şi prelucrarea datelor genetice, a datelor biometrice pentru identificarea unică a unei persoane fizice, a datelor privind sănătatea sau a datelor privind viaţa sexuală ori orientarea sexuală ale unei persoane fizice.
(2) Alin.(1) nu se aplică în următoarele situaţii:
a) persoana vizată şi-a dat consimţământul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice, cu excepţia cazului în care actele normative prevăd că interdicţia prevăzută la alin.(1) nu poate fi înlăturată prin consimţământul persoanei vizate;
b) prelucrarea este necesară în scopul îndeplinirii obligaţiilor şi al exercitării unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forţei de muncă şi al securităţii sociale şi protecţiei sociale, în măsura în care acest lucru este autorizat de actele normative ori de un contract colectiv de muncă care prevede garanţii adecvate pentru drepturile fundamentale şi interesele persoanei vizate;
c) prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice, atunci când persoana vizată se află în incapacitate fizică sau juridică de a-şi da consimţământul;
d) prelucrarea este efectuată în cadrul activităţilor lor legitime şi cu garanţii adecvate de către un partid politic, sindicat, cult religios sau orice alt organism fără scop lucrativ cu specific politic, filozofic, religios sau sindical, cu condiţia ca prelucrarea să se refere numai la membrii sau la foştii membri ai organismelor respective sau la persoane cu care acestea au contacte permanente în legătură cu scopurile lor, precum şi ca datele cu caracter personal să nu fie comunicate terţilor fără consimţământul persoanelor vizate;
e) prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod manifest de către persoana vizată;
f) prelucrarea este necesară pentru stabilirea, exercitarea sau apărarea unui drept într-o procedură administrativă, judiciară sau extrajudiciară ori când instanţele judecătoreşti acţionează în exerciţiul funcţiei lor judiciare;
g) prelucrarea este necesară din motive de interes public major, în temeiul actelor normative, care sunt proporţionale cu obiectivul urmărit, respectă esenţa dreptului la protecţia datelor şi prevăd măsuri corespunzătoare şi specifice pentru protejarea drepturilor fundamentale şi a intereselor persoanei vizate;
h) prelucrarea este necesară în scopuri legate de medicina preventivă sau medicina muncii, de evaluarea capacităţii de muncă a angajatului, de stabilirea unui diagnostic medical, de prestarea asistenţei medicale sau sociale ori a unui tratament medical sau de gestionarea sistemelor şi serviciilor de sănătate ori de asistenţă socială, în temeiul actelor normative sau în temeiul unui contract încheiat cu un prestator de servicii de sănătate şi sub rezerva respectării condiţiilor şi garanţiilor prevăzute la alin.(3);
i) prelucrarea este necesară din motive de interes public în domeniul sănătăţii publice, precum protecţia împotriva ameninţărilor transfrontaliere grave la adresa sănătăţii sau asigurarea de standarde ridicate de calitate şi siguranţă ale asistenţei medicale şi ale medicamentelor sau ale dispozitivelor medicale, în temeiul actelor normative, care prevăd măsuri adecvate şi specifice pentru protejarea drepturilor şi libertăţilor persoanei vizate, în special a secretului profesional; sau
j) prelucrarea este necesară în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, în temeiul actelor normative şi în conformitate cu art.54 alin.(1).
(3) Datele cu caracter personal menţionate la alin.(1) pot fi prelucrate în scopurile menţionate la alin.(2) lit.h) în cazul în care datele respective sunt prelucrate de către sau sub responsabilitatea unui profesionist supus obligaţiei de păstrare a secretului profesional în temeiul actelor normative sau de către o altă persoană supusă unei obligaţii de confidenţialitate în temeiul actelor normative.
Articolul 10. Prelucrarea datelor cu caracter personal referitoare la condamnări penale şi infracţiuni
(1) Prelucrarea datelor cu caracter personal referitoare la condamnări penale şi infracţiuni sau la măsuri de securitate conexe în temeiul art.6 alin.(1) se efectuează numai sub controlul unei autorităţi publice sau atunci când prelucrarea este autorizată de actele normative care prevăd garanţii adecvate pentru drepturile şi libertăţile persoanelor vizate.
(2) Orice registru cuprinzător al condamnărilor penale se ţine numai sub controlul unei autorităţi publice.
Articolul 11. Prelucrarea care nu necesită identificare
(1) În cazul în care scopurile pentru care un operator prelucrează date cu caracter personal nu necesită sau nu mai necesită identificarea de către operator a unei persoane vizate, operatorul nu are obligaţia de a păstra, a obţine sau a prelucra informaţii suplimentare pentru a identifica persoana vizată exclusiv în scopul respectării prezentei legi.
(2) Dacă, în cazurile menţionate la alin.(1), operatorul poate demonstra că nu este în măsură să identifice persoana vizată, operatorul informează persoana vizată în mod corespunzător, dacă este posibil. În astfel de cazuri, art.15–20 nu se aplică, cu excepţia cazului în care persoana vizată, în scopul exercitării drepturilor sale în temeiul acestor articole, oferă informaţii suplimentare care permit identificarea sa.
Capitolul III
DREPTURILE PERSOANEI VIZATE
Secţiunea 1
Transparenţă şi modalităţi de exercitare a
drepturilor persoanei vizate
Articolul 12. Transparenţa informaţiilor, a comunicărilor şi a modalităţilor de exercitare a drepturilor persoanei vizate
(1) Operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice informaţii menţionate la art.13 şi 14 şi orice comunicări în temeiul art.15–22 şi 34 referitoare la prelucrare, într-o formă concisă, transparentă, inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu, în special în cazul informaţiilor oferite unui copil. Informaţiile se furnizează în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic. La solicitarea persoanei vizate, informaţiile pot fi furnizate verbal, cu condiţia ca identitatea persoanei vizate să fie dovedită prin alte mijloace.
(2) Operatorul facilitează exercitarea drepturilor persoanei vizate în temeiul art.15–22. În cazurile menţionate la art.11 alin.(2), operatorul nu refuză să dea curs cererii persoanei vizate de a-şi exercita drepturile în conformitate cu art.15–22, cu excepţia cazului în care operatorul demonstrează că nu este în măsură să identifice persoana vizată.
(3) Operatorul furnizează persoanei vizate informaţii privind acţiunile întreprinse în urma unei cereri în temeiul art.15–22, fără întârzieri nejustificate, dar în cel mult o lună de la primirea cererii. Această perioadă poate fi prelungită cu două luni atunci când este necesar, ţinându-se cont de complexitatea şi numărul cererilor. Operatorul informează persoana vizată cu privire la orice astfel de prelungire, în termen de o lună de la primirea cererii, prezentând şi motivele întârzierii. În cazul în care persoana vizată înaintează o cerere în format electronic, informaţiile sunt furnizate în format electronic dacă este posibil, cu excepţia cazului în care persoana vizată solicită un alt format.
(4) Dacă nu ia măsuri cu privire la cererea persoanei vizate, operatorul informează persoana vizată, fără întârziere şi în termen de cel mult o lună de la primirea cererii, cu privire la motivele pentru care nu ia măsuri şi la posibilitatea de a depune o plângere la Centru şi de a depune o cerere de chemare în judecată.
(5) Informaţiile furnizate în temeiul art.13 şi 14, precum şi orice comunicare şi orice măsuri luate în temeiul art.15–22 şi 34 sunt oferite gratuit. În cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, operatorul poate:
a) să perceapă o taxă rezonabilă ţinând cont de costurile administrative pentru furnizarea informaţiilor sau a comunicării ori pentru luarea măsurilor solicitate; sau
b) să refuze să dea curs cererii.
În aceste cazuri, operatorului îi revine sarcina de a demonstra caracterul vădit nefondat sau excesiv al cererii.
(6) Fără a aduce atingere art.11, în cazul în care are îndoieli întemeiate cu privire la identitatea persoanei fizice care înaintează cererea menţionată la art.15–21, operatorul poate solicita furnizarea de informaţii suplimentare necesare pentru a confirma identitatea persoanei vizate.
(7) Informaţiile care urmează să fie furnizate persoanelor vizate în temeiul art.13 şi 14 pot fi furnizate în combinaţie cu pictograme standardizate pentru a oferi, într-un mod uşor vizibil, inteligibil şi clar lizibil, o imagine de ansamblu asupra prelucrării preconizate. În cazul în care pictogramele sunt prezentate în format electronic, acestea trebuie să poată fi citite automat.
(8) Centrul poate aproba acte în vederea determinării informaţiilor care urmează să fie prezentate de pictograme şi a procedurii pentru furnizarea de pictograme standardizate.
Secţiunea a 2-a
Informare şi acces la date cu caracter personal
Articolul 13. Informaţii care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată
(1) În cazul în care datele cu caracter personal referitoare la o persoană vizată sunt colectate de la aceasta, operatorul, în momentul obţinerii acestor date cu caracter personal, furnizează persoanei vizate următoarele informaţii:
a) identitatea şi datele de contact ale operatorului şi, după caz, ale reprezentantului acestuia;
b) datele de contact ale responsabilului cu protecţia datelor, după caz;
c) scopurile în care sunt prelucrate datele cu caracter personal, precum şi temeiul juridic al prelucrării;
d) în cazul în care prelucrarea se face în temeiul art.6 alin.(1) lit.f), interesele legitime urmărite de operator sau de o parte terţă;
e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
f) dacă este cazul, intenţia operatorului de a transfera date cu caracter personal către un destinatar dintr-un alt stat sau către o organizaţie internaţională şi existenţa sau absenţa unei decizii a Centrului privind caracterul adecvat al nivelului de protecţie ori, în cazul transferurilor menţionate la art.46, 47 sau art.49 alin.(2), o trimitere la garanţiile adecvate ori corespunzătoare şi la mijloacele de a obţine o copie a acestora, în cazul în care acestea au fost puse la dispoziţie.
(2) Pe lângă informaţiile menţionate la alin.(1), în momentul în care datele cu caracter personal sunt obţinute, operatorul furnizează persoanei vizate următoarele informaţii suplimentare necesare pentru a asigura o prelucrare echitabilă şi transparentă:
a) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
b) existenţa dreptului de a solicita operatorului, în ceea ce priveşte datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ştergerea acestora ori restricţionarea prelucrării sau a dreptului de a se opune prelucrării, precum şi a dreptului la portabilitatea datelor;
c) atunci când prelucrarea se bazează pe art.6 alin.(1) lit.a) sau pe art.9 alin.(2) lit.a), existenţa dreptului de a retrage consimţământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimţământului înainte de retragerea acestuia;
d) dreptul de a depune o plângere la Centru;
e) dacă furnizarea de date cu caracter personal reprezintă o obligaţie legală sau contractuală ori o obligaţie necesară pentru încheierea unui contract, precum şi dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal şi care sunt eventualele consecinţe ale nerespectării acestei obligaţii;
f) existenţa unui proces decizional automatizat, inclusiv crearea de profiluri, menţionat la art.22 alin.(1) şi (4), precum şi, cel puţin în cazurile respective, informaţii pertinente privind logica utilizată şi privind importanţa şi consecinţele preconizate ale unei astfel de prelucrări pentru persoana vizată.
(3) În cazul în care operatorul intenţionează să prelucreze ulterior datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost colectate, operatorul furnizează persoanei vizate, înainte de această prelucrare ulterioară, informaţii privind scopul secundar respectiv şi orice informaţii suplimentare relevante în conformitate cu alin.(2).
(4) Alin.(1)–(3) nu se aplică dacă şi în măsura în care persoana vizată deţine deja informaţiile respective.
Articolul 14. Informaţii care se furnizează în cazul în care datele cu caracter personal nu au fost obţinute de la persoana vizată
(1) În cazul în care datele cu caracter personal nu au fost obţinute de la persoana vizată, operatorul furnizează persoanei vizate următoarele informaţii:
a) identitatea şi datele de contact ale operatorului şi, după caz, ale reprezentantului acestuia;
b) datele de contact ale responsabilului cu protecţia datelor, după caz;
c) scopurile în care sunt prelucrate datele cu caracter personal, precum şi temeiul juridic al prelucrării;
d) categoriile de date cu caracter personal vizate;
e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal, după caz;
f) dacă este cazul, intenţia operatorului de a transfera date cu caracter personal către un destinatar dintr-un alt stat sau către o organizaţie internaţională şi existenţa sau absenţa unei decizii a Centrului privind caracterul adecvat al nivelului de protecţie ori, în cazul transferurilor menţionate la art.46, 47 sau la art.49 alin.(2), o trimitere la garanţiile adecvate ori corespunzătoare şi la mijloacele de a obţine o copie a acestora, în cazul în care acestea au fost puse la dispoziţie.
(2) Pe lângă informaţiile menţionate la alin.(1), operatorul furnizează persoanei vizate următoarele informaţii necesare pentru a asigura o prelucrare echitabilă şi transparentă în ceea ce priveşte persoana vizată:
a) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
b) în cazul în care prelucrarea se face în temeiul art.6 alin.(1) lit.f), interesele legitime urmărite de operator sau de o parte terţă;
c) existenţa dreptului de a solicita operatorului, în ceea ce priveşte datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ştergerea acestora ori restricţionarea prelucrării şi a dreptului de a se opune prelucrării, precum şi a dreptului la portabilitatea datelor;
d) atunci când prelucrarea se bazează pe art.6 alin.(1) lit.a) sau pe art.9 alin.(2) lit.a), existenţa dreptului de a retrage consimţământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimţământului înainte de retragerea acestuia;
e) dreptul de a depune o plângere la Centru;
f) sursa din care provin datele cu caracter personal şi, după caz, dacă acestea provin din surse disponibile public;
g) existenţa unui proces decizional automatizat, inclusiv crearea de profiluri, menţionat la art.22 alin.(1) şi (4), precum şi, cel puţin în cazurile respective, informaţii pertinente privind logica utilizată şi privind importanţa şi consecinţele preconizate ale unei astfel de prelucrări pentru persoana vizată.
(3) Operatorul furnizează informaţiile menţionate la alin.(1) şi (2):
a) într-un termen rezonabil după obţinerea datelor cu caracter personal, dar nu mai mare de o lună, ţinând cont de circumstanţele specifice în care sunt prelucrate datele cu caracter personal;
b) dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu persoana vizată – cel târziu în momentul primei comunicări cu persoana vizată respectivă; sau
c) dacă se intenţionează divulgarea datelor cu caracter personal către un alt destinatar – cel târziu la data la care acestea sunt divulgate pentru prima oară.
(4) În cazul în care operatorul intenţionează să prelucreze ulterior datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost obţinute, operatorul furnizează persoanei vizate, înainte de această prelucrare ulterioară, informaţii privind scopul secundar respectiv şi orice informaţii suplimentare relevante în conformitate cu alin.(2).
(5) Alin.(1)–(4) nu se aplică dacă şi în măsura în care:
a) persoana vizată deţine deja informaţiile;
b) furnizarea acestor informaţii se dovedeşte a fi imposibilă sau ar implica eforturi disproporţionate, în special în cazul prelucrării în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, sub rezerva condiţiilor şi a garanţiilor prevăzute la art.54 alin.(1), sau în măsura în care obligaţia menţionată la alin.(1) din prezentul articol este susceptibilă să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective. În astfel de cazuri, operatorul ia măsuri adecvate pentru a proteja drepturile, libertăţile şi interesele legitime ale persoanei vizate, inclusiv punerea informaţiilor la dispoziţia publicului;
c) obţinerea sau divulgarea datelor este prevăzută în mod expres în actele normative care stabilesc măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate; sau
d) în cazul în care datele cu caracter personal trebuie să rămână confidenţiale în temeiul unei obligaţii legale de secret profesional reglementate de actele normative, inclusiv al unei obligaţii legale de a păstra secretul.
Articolul 15. Dreptul de acces al persoanei vizate
(1) Persoana vizată are dreptul să obţină de la operator o confirmare cu privire la faptul dacă se prelucrează sau nu date cu caracter personal care o privesc şi, în caz afirmativ, să obţină acces la datele respective şi la următoarele informaţii:
a) scopurile prelucrării;
b) categoriile de date cu caracter personal vizate;
c) destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau urmează să le fie divulgate, în special destinatari din alte state sau organizaţii internaţionale;
d) perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
e) existenţa dreptului de a solicita operatorului rectificarea sau ştergerea datelor cu caracter personal ori restricţionarea prelucrării datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării;
f) dreptul de a depune o plângere la Centru;
g) în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informaţii disponibile privind sursa acestora;
h) existenţa unui proces decizional automatizat, inclusiv crearea de profiluri, menţionat la art.22 alin.(1) şi (4), precum şi, cel puţin în cazurile respective, informaţii pertinente privind logica utilizată şi privind importanţa şi consecinţele preconizate ale unei astfel de prelucrări pentru persoana vizată.
(2) În cazul în care datele cu caracter personal sunt transferate către un alt stat sau către o organizaţie internaţională, persoana vizată are dreptul să fie informată cu privire la garanţiile adecvate în temeiul art.46.
(3) Operatorul furnizează o copie a datelor cu caracter personal care fac obiectul prelucrării. Pentru orice alte copii solicitate de persoana vizată, operatorul poate percepe o taxă rezonabilă, bazată pe costurile administrative. În cazul în care persoana vizată înaintează cererea în format electronic, informaţiile sunt furnizate într-un format electronic utilizat în mod curent, cu excepţia cazului în care persoana vizată solicită un alt format.
(4) Dreptul de a obţine o copie menţionată la alin.(3) nu aduce atingere drepturilor şi libertăţilor altora.
Secţiunea a 3-a
Rectificare şi ştergere
Articolul 16. Dreptul la rectificare
Persoana vizată are dreptul de a obţine din partea operatorului, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Ţinând cont de scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a obţine completarea datelor cu caracter personal incomplete, inclusiv prin furnizarea unei declaraţii suplimentare.
Articolul 17. Dreptul la ştergerea datelor („dreptul de a fi uitat”)
(1) Persoana vizată are dreptul de a obţine din partea operatorului ştergerea, fără întârzieri nejustificate, a datelor cu caracter personal care o privesc, iar operatorul are obligaţia de a şterge datele cu caracter personal fără întârzieri nejustificate în unul dintre următoarele cazuri:
a) datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;
b) persoana vizată îşi retrage consimţământul pe baza căruia are loc prelucrarea, în conformitate cu art.6 alin.(1) lit.a) sau cu art.9 alin.(2) lit.a), şi nu există niciun alt temei juridic pentru prelucrare;
c) persoana vizată se opune prelucrării în temeiul art.21 alin.(1) şi nu există motive legitime care să prevaleze în ceea ce priveşte prelucrarea sau persoana vizată se opune prelucrării în temeiul art.21 alin.(2);
d) datele cu caracter personal au fost prelucrate ilegal;
e) datele cu caracter personal trebuie şterse pentru respectarea unei obligaţii legale care revine operatorului în temeiul actelor normative;
f) datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale societăţii informaţionale menţionate la art.8 alin.(1).
(2) În cazul în care a făcut publice datele cu caracter personal şi este obligat, în temeiul alin.(1), să le şteargă, operatorul, ţinând cont de tehnologia disponibilă şi de costul implementării, ia măsuri rezonabile, inclusiv măsuri tehnice, pentru a informa operatorii care prelucrează datele cu caracter personal despre faptul că persoana vizată a solicitat ştergerea de către aceşti operatori a oricăror linkuri către datele respective sau a oricăror copii sau reproduceri ale acestor date cu caracter personal.
(3) Alin.(1) şi (2) nu se aplică în măsura în care prelucrarea este necesară:
a) pentru exercitarea dreptului la liberă exprimare şi la informare;
b) pentru respectarea unei obligaţii legale care prevede prelucrarea ori pentru îndeplinirea unei sarcini efectuate în interes public sau în exercitarea unei autorităţi oficiale cu care este învestit operatorul;
c) din motive de interes public în domeniul sănătăţii publice, în conformitate cu art.9 alin.(2) lit.h) şi i) şi art.9 alin.(3);
d) în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, în conformitate cu art.54 alin.(1), în măsura în care dreptul menţionat la alin.(1) din prezentul articol este susceptibil să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective;
e) pentru stabilirea, exercitarea sau apărarea unui drept într-o procedură administrativă, judiciară sau extrajudiciară.
Articolul 18. Dreptul la restricţionarea prelucrării
(1) Persoana vizată are dreptul de a obţine din partea operatorului restricţionarea prelucrării în unul din următoarele cazuri:
a) persoana vizată contestă exactitatea datelor cu caracter personal – pentru o perioadă care îi permite operatorului să verifice exactitatea datelor;
b) prelucrarea este ilegală, iar persoana vizată se opune ştergerii datelor cu caracter personal, solicitând, în schimb, restricţionarea utilizării lor;
c) operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată i le solicită pentru stabilirea, exercitarea sau apărarea unui drept într-o procedură administrativă, judiciară sau extrajudiciară;
d) persoana vizată se opune prelucrării în conformitate cu art.21 alin.(1) – pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate.
(2) În cazul în care prelucrarea este restricţionată în temeiul alin.(1), astfel de date cu caracter personal pot, cu excepţia stocării, să fie prelucrate numai cu consimţământul persoanei vizate ori pentru stabilirea, exercitarea sau apărarea unui drept într-o procedură administrativă, judiciară sau extrajudiciară, ori pentru protecţia drepturilor unei alte persoane fizice sau juridice, ori din motive de interes public important.
(3) O persoană vizată care a obţinut restricţionarea prelucrării în temeiul alin.(1) este informată de către operator înainte de înlăturarea restricţiei de prelucrare.
Articolul 19. Obligaţia de notificare privind rectificarea sau ştergerea datelor cu caracter personal sau restricţionarea prelucrării
Operatorul este obligat să comunice fiecărui destinatar căruia i-au fost divulgate datele cu caracter personal orice rectificare sau ştergere a datelor cu caracter personal sau restricţionare a prelucrării efectuate în conformitate cu art.16, art.17 alin.(1) şi art.18, cu excepţia cazului în care acest lucru se dovedeşte imposibil sau presupune eforturi disproporţionate. Operatorul informează persoana vizată cu privire la destinatarii respectivi dacă persoana vizată solicită acest lucru.
Articolul 20. Dreptul la portabilitatea datelor
(1) Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc şi pe care le-a furnizat operatorului, într-un format structurat, utilizat în mod curent şi care poate fi citit automat, şi are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal, în cazul în care:
a) prelucrarea se realizează în baza consimţământului în temeiul art.6 alin.(1) lit.a) sau art.9 alin.(2) lit.a) ori a unui contract în temeiul art.6 alin.(1) lit.b); şi
b) prelucrarea este efectuată prin mijloace automatizate.
(2) În exercitarea dreptului său la portabilitatea datelor în temeiul alin.(1), persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul, acolo unde acest lucru este posibil din punct de vedere tehnic.
(3) Exercitarea dreptului la portabilitatea datelor nu aduce atingere prevederilor art.17. Respectivul drept nu se aplică prelucrării necesare pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorităţi oficiale cu care este învestit operatorul.
(4) Dreptul la portabilitatea datelor nu aduce atingere drepturilor şi libertăţilor altora.
Secţiunea a 4-a
Dreptul la opoziţie şi procesul decizional individual automatizat
Articolul 21. Dreptul la opoziţie
(1) În orice moment, persoana vizată are dreptul de a se opune, din motive personale, prelucrării în temeiul art.6 alin.(1) lit.e) sau f) a datelor cu caracter personal care o privesc, inclusiv creării de profiluri pe baza respectivelor dispoziţii. Operatorul nu mai prelucrează datele cu caracter personal, cu excepţia cazului în care operatorul demonstrează că are motive legitime şi convingătoare care justifică prelucrarea şi care prevalează asupra drepturilor, libertăţilor şi intereselor legitime ale persoanei vizate sau că scopul prelucrării este stabilirea, exercitarea sau apărarea unui drept într-o procedură administrativă, judiciară sau extrajudiciară.
(2) Atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizată are dreptul de a se opune în orice moment prelucrării în acest scop a datelor cu caracter personal care o privesc, inclusiv creării de profiluri, în măsura în care se referă la marketingul direct respectiv.
(3) În cazul în care persoana vizată se opune prelucrării în scopul marketingului direct, datele cu caracter personal nu se mai prelucrează în acest scop.
(4) Cel târziu în momentul primei comunicări cu persoana vizată, dreptul menţionat la alin.(1) şi (2) se aduce în mod explicit în atenţia persoanei vizate şi se prezintă în mod clar şi separat de orice alte informaţii.
(5) În contextul utilizării serviciilor societăţii informaţionale, prin derogare de la prevederile Legii nr.284/2004 privind serviciile societăţii informaţionale, persoana vizată îşi poate exercita dreptul la opoziţie prin mijloace automatizate care utilizează specificaţii tehnice.
(6) În cazul în care datele cu caracter personal se prelucrează în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice în conformitate cu art.54 alin.(1), persoana vizată, din motive personale, are dreptul de a se opune prelucrării datelor cu caracter personal care o privesc, cu excepţia cazului în care prelucrarea este necesară pentru îndeplinirea unei sarcini din motive de interes public.
Articolul 22. Procesul decizional individual automatizat, inclusiv crearea de profiluri
(1) Persoana vizată are dreptul de a nu fi supusă unei decizii bazate exclusiv pe prelucrarea automatizată, inclusiv pe crearea de profiluri, care produce efecte juridice pentru persoana vizată sau o afectează în mod similar într-o măsură semnificativă.
(2) Alin.(1) nu se aplică în cazul în care decizia:
a) este necesară pentru încheierea sau executarea unui contract între persoana vizată şi un operator;
b) este autorizată prin actele normative care prevăd, de asemenea, măsuri corespunzătoare pentru protejarea drepturilor, libertăţilor şi intereselor legitime ale persoanei vizate; sau
c) are la bază consimţământul explicit al persoanei vizate.
(3) În cazurile menţionate la alin.(2) lit.a) şi c), operatorul pune în aplicare măsuri corespunzătoare pentru protejarea drepturilor, libertăţilor şi intereselor legitime ale persoanei vizate, cel puţin a dreptului acesteia de a obţine intervenţie umană din partea operatorului, de a-şi exprima punctul de vedere şi de a contesta decizia.
(4) Deciziile menţionate la alin.(2) nu pot avea la bază categoriile speciale de date cu caracter personal menţionate la art.9 alin.(1), cu excepţia cazului în care se aplică art.9 alin.(2) lit.a) sau g) şi au fost instituite măsuri corespunzătoare pentru protejarea drepturilor, libertăţilor şi intereselor legitime ale persoanei vizate.
Secţiunea a 5-a
Restricţii
Articolul 23. Restricţii
(1) Drepturile şi obligaţiile prevăzute la art.12–22 şi 34, precum şi prevederile art.5 în măsura în care dispoziţiile acestuia corespund drepturilor şi obligaţiilor prevăzute la art.12–22 pot fi restricţionate prin lege atunci când o astfel de restricţie respectă esenţa drepturilor şi libertăţilor fundamentale şi constituie o măsură necesară şi proporţională într-o societate democratică, pentru a asigura:
a) securitatea naţională;
b) apărarea;
c) securitatea publică;
d) prevenirea, investigarea, depistarea sau urmărirea penală a infracţiunilor ori executarea sancţiunilor penale, inclusiv protejarea împotriva ameninţărilor la adresa securităţii publice şi prevenirea acestora;
e) alte obiective importante de interes public general ale Republicii Moldova, în special un interes economic sau financiar important al Republicii Moldova, inclusiv în domeniile monetar, bugetar şi fiscal şi în domeniul sănătăţii publice şi al securităţii sociale;
f) protejarea independenţei judiciare şi a procedurilor judiciare;
g) prevenirea, investigarea, depistarea şi urmărirea penală a încălcării eticii în cazul profesiilor reglementate;
h) funcţia de monitorizare, inspectare sau reglementare legată, chiar şi ocazional, de exercitarea autorităţii oficiale în cazurile menţionate la lit.a)–e) şi g);
i) protecţia persoanei vizate sau a drepturilor şi libertăţilor altora;
j) punerea în aplicare a pretenţiilor de drept civil.
(2) Orice lege adoptată în conformitate cu alin.(1) trebuie să conţină dispoziţii specifice cel puţin, dacă este cazul, în ceea ce priveşte:
a) scopurile prelucrării sau ale categoriilor de prelucrare;
b) categoriile de date cu caracter personal;
c) domeniul de aplicare a restricţiilor introduse;
d) garanţiile pentru a preveni abuzurile sau accesul ori transferul ilegal;
e) menţionarea operatorului sau a categoriilor de operatori;
f) perioadele de stocare şi garanţiile aplicabile având în vedere natura, domeniul de aplicare şi scopurile prelucrării sau ale categoriilor de prelucrare;
g) riscurile pentru drepturile şi libertăţile persoanelor vizate;
h) dreptul persoanelor vizate de a fi informate cu privire la restricţie, cu excepţia cazului în care acest lucru poate aduce atingere scopului restricţiei.
Capitolul IV
OPERATORUL ŞI PERSOANA ÎMPUTERNICITĂ DE OPERATOR
Secţiunea 1
Obligaţii generale
Articolul 24. Responsabilitatea operatorului
(1) Ţinând cont de natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezenta lege. Respectivele măsuri se revizuiesc şi se actualizează dacă este necesar.
(2) Atunci când sunt proporţionale în raport cu operaţiunile de prelucrare, măsurile menţionate la alin.(1) includ punerea în aplicare de către operator a unor politici adecvate de protecţie a datelor.
(3) Aderarea la coduri de conduită aprobate în conformitate cu art.40 sau la un mecanism de certificare aprobat în conformitate cu art.42 poate fi utilizată ca un element care să demonstreze respectarea obligaţiilor de către operator.
Articolul 25. Asigurarea protecţiei datelor începând cu momentul conceperii şi în mod implicit
(1) Având în vedere stadiul actual al tehnologiei, costurile implementării şi natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi riscul cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice pe care le prezintă prelucrarea, operatorul, atât în momentul stabilirii mijloacelor de prelucrare, cât şi în cel al prelucrării în sine, pune în aplicare măsuri tehnice şi organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficient principiile de protecţie a datelor, cum ar fi reducerea la minimum a datelor, şi să integreze garanţiile necesare în cadrul prelucrării pentru a îndeplini cerinţele prezentei legi şi pentru a proteja drepturile persoanelor vizate.
(2) Operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a asigura că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării. Respectiva obligaţie se aplică volumului de date colectate, gradului de prelucrare a acestora, perioadei de stocare şi accesibilităţii lor. În special, astfel de măsuri asigură că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenţia persoanei, de un număr nelimitat de persoane.
(3) Un mecanism de certificare aprobat în conformitate cu art.42 poate fi utilizat drept un element care să demonstreze îndeplinirea cerinţelor prevăzute la alin.(1) şi (2) din prezentul articol.
Articolul 26. Operatori asociaţi
(1) În cazul în care doi sau mai mulţi operatori stabilesc în comun scopurile şi mijloacele de prelucrare, aceştia sunt operatori asociaţi. Ei stabilesc într-un mod transparent responsabilităţile fiecăruia în ceea ce priveşte îndeplinirea obligaţiilor care le revin în temeiul prezentei legi, în special în ceea ce priveşte exercitarea drepturilor persoanelor vizate şi îndatoririle fiecăruia de furnizare a informaţiilor prevăzute la art.13 şi 14, prin intermediul unui acord între ei, cu excepţia cazului şi în măsura în care responsabilităţile operatorilor sunt stabilite în actele normative. Acordul poate să desemneze un punct de contact pentru persoanele vizate.
(2) Acordul menţionat la alin.(1) trebuie să reflecte în mod adecvat rolurile şi raporturile operatorilor asociaţi faţă de persoanele vizate. Esenţa acestui acord este făcută cunoscută persoanei vizate.
(3) Indiferent de clauzele acordului menţionat la alin.(1), persoana vizată îşi poate exercita drepturile în temeiul prezentei legi cu privire la şi în raport cu fiecare dintre operatori.
Articolul 27. Reprezentanţii operatorilor sau ai persoanei împuternicite de operator care nu au sediu în Republica Moldova
(1) În cazul în care se aplică art.3 alin.(2), operatorul sau persoana împuternicită de operator desemnează în scris un reprezentant cu sediu în Republica Moldova.
(2) Obligaţia prevăzută la alin.(1) nu se aplică:
a) prelucrării care are un caracter ocazional, ce nu include, pe scară largă, prelucrarea unor categorii speciale de date prevăzute la art.9 alin.(1) sau prelucrarea unor date cu caracter personal referitoare la condamnări penale şi infracţiuni, menţionată la art.10, şi care este puţin susceptibilă de a genera un risc pentru drepturile şi libertăţile persoanelor, ţinând cont de natura, contextul, domeniul de aplicare şi scopurile prelucrării;
b) unei autorităţi sau instituţii publice;
c) operatorilor şi persoanelor împuternicite de operator care au sediu într-un stat membru al Spaţiului Economic European; sau
d) operatorilor şi persoanelor împuternicite de operator care au desemnat un reprezentant cu sediu într-un stat membru al Spaţiului Economic European.
(3) Reprezentantul primeşte din partea operatorului sau a persoanei împuternicite de operator un mandat, prin care Centrul şi persoanele vizate, în special, se pot adresa reprezentantului, în plus faţă de operator sau persoana împuternicită de operator sau în locul acestora, cu privire la toate chestiunile legate de prelucrare, în scopul asigurării respectării prezentei legi.
(4) Desemnarea unui reprezentant de către operator sau persoana împuternicită de operator nu aduce atingere dreptului de a depune o plângere la Centru sau de a depune o cerere de chemare în judecată împotriva operatorului sau persoanei împuternicite de operator.
Articolul 28. Persoana împuternicită de operator
(1) În cazul în care prelucrarea urmează să fie realizată în numele unui operator, acesta recurge doar la persoane împuternicite care oferă garanţii suficiente pentru punerea în aplicare a unor măsuri tehnice şi organizatorice adecvate, astfel încât prelucrarea să respecte cerinţele prevăzute de prezenta lege şi să asigure protecţia drepturilor persoanei vizate.
(2) Persoana împuternicită de operator nu recrutează o altă persoană împuternicită de operator fără a primi în prealabil o autorizaţie scrisă, specifică sau generală, din partea operatorului. În cazul unei autorizaţii generale scrise, persoana împuternicită de operator informează operatorul cu privire la orice modificări preconizate privind adăugarea sau înlocuirea altor persoane împuternicite de operator, oferind astfel operatorului posibilitatea de a formula obiecţii faţă de aceste modificări.
(3) Prelucrarea de către o persoană împuternicită de un operator este reglementată printr-un contract sau alt act juridic în temeiul legislaţiei Republicii Moldova care are caracter obligatoriu pentru persoana împuternicită de operator în raport cu operatorul şi care stabileşte obiectul, durata, natura şi scopul prelucrării, tipul de date cu caracter personal şi categoriile de persoane vizate, precum şi obligaţiile şi drepturile operatorului. Respectivul contract sau act juridic prevede, în special, că persoana împuternicită de operator:
a) prelucrează datele cu caracter personal numai în baza unor instrucţiuni documentate ale operatorului, inclusiv în ceea ce priveşte transferurile de date cu caracter personal efectuate în condiţiile cap.V, cu excepţia cazului în care persoana împuternicită este obligată să prelucreze datele în temeiul actelor normative. În acest caz, persoana împuternicită informează operatorul despre această obligaţie legală înainte de prelucrare, cu excepţia cazului în care actele normative interzic o astfel de informare din motive importante de interes public;
b) se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidenţialitatea sau au o obligaţie legală adecvată de confidenţialitate;
c) adoptă toate măsurile necesare în conformitate cu art.32;
d) respectă condiţiile menţionate la alin.(2) şi (4) privind recrutarea unei alte persoane împuternicite de operator;
e) ţinând cont de natura prelucrării, oferă asistenţă operatorului prin măsuri tehnice şi organizatorice adecvate, în măsura în care acest lucru este posibil, pentru îndeplinirea obligaţiei operatorului de a răspunde cererilor privind exercitarea de către persoana vizată a drepturilor prevăzute în capitolul III;
f) ajută operatorul să asigure respectarea obligaţiilor prevăzute la art.32–36, ţinând cont de caracterul prelucrării şi informaţiile aflate la dispoziţia persoanei împuternicite de operator;
g) la alegerea operatorului, şterge sau returnează acestuia toate datele cu caracter personal după încetarea furnizării serviciilor legate de prelucrare şi elimină copiile existente, cu excepţia cazului în care actele normative impun stocarea datelor cu caracter personal;
h) pune la dispoziţia operatorului toate informaţiile necesare pentru a demonstra respectarea obligaţiilor prevăzute în prezentul articol, permite desfăşurarea auditurilor, inclusiv a inspecţiilor, efectuate de operator sau alt auditor mandatat şi contribuie la acestea. Persoana împuternicită de operator informează imediat operatorul în cazul în care, în opinia sa, o instrucţiune încalcă legislaţia privind protecţia datelor.
(4) În cazul în care o persoană împuternicită de un operator recrutează o altă persoană împuternicită pentru efectuarea activităţilor de prelucrare specifice în numele operatorului, aceleaşi obligaţii privind protecţia datelor prevăzute în contract sau în alt act juridic încheiat între operator şi persoana împuternicită de operator, astfel cum se prevede la alin.(3), revin celei de a doua persoane împuternicite, prin intermediul unui contract sau al unui alt act juridic în temeiul legislaţiei Republicii Moldova, în special furnizarea de garanţii suficiente pentru punerea în aplicare a unor măsuri tehnice şi organizatorice adecvate, astfel încât prelucrarea să îndeplinească cerinţele prezentei legi. În cazul în care această a doua persoană împuternicită nu îşi respectă obligaţiile privind protecţia datelor, persoana împuternicită iniţial rămâne pe deplin răspunzătoare faţă de operator în ceea ce priveşte îndeplinirea obligaţiilor acestei a doua persoane împuternicite.
(5) Aderarea persoanei împuternicite de operator la un cod de conduită aprobat în conformitate cu art.40 sau la un mecanism de certificare aprobat în conformitate cu art.42 poate fi utilizată ca un element prin care să se demonstreze existenţa garanţiilor suficiente menţionate la alin.(1) şi (4) din prezentul articol.
(6) Fără a aduce atingere unui contract individual încheiat între operator şi persoana împuternicită de operator, contractul sau alt act juridic menţionat la alin.(3) şi (4) se poate baza, integral sau parţial, pe clauze contractuale standard menţionate la alin.(7), inclusiv atunci când fac parte dintr-o certificare acordată operatorului sau persoanei împuternicite de operator în temeiul art.42 şi 43.
(7) Centrul aprobă clauzele contractuale standard pentru aspectele menţionate la alin.(3) şi (4).
(8) Contractul sau alt act juridic menţionat la alin.(3) şi (4) se întocmeşte în scris, inclusiv în format electronic.
(9) Fără a aduce atingere prevederilor art.76 şi 86–88, în cazul în care o persoană împuternicită de operator încălcă prezenta lege prin stabilirea scopurilor şi mijloacelor de prelucrare a datelor cu caracter personal, persoana împuternicită este considerată operator în ceea ce priveşte prelucrarea respectivă.
Articolul 29. Desfăşurarea activităţii de prelucrare sub autoritatea operatorului sau a persoanei împuternicite de operator
Persoana împuternicită de operator şi orice persoană care acţionează sub autoritatea operatorului sau a persoanei împuternicite de operator care are acces la date cu caracter personal nu le prelucrează decât în baza instrucţiunilor operatorului, cu excepţia cazului în care actele normative impun prelucrarea datelor.
Articolul 30. Evidenţele activităţilor de prelucrare
(1) Fiecare operator şi, după caz, reprezentantul acestuia păstrează o evidenţă a activităţilor de prelucrare desfăşurate sub responsabilitatea lor, care cuprinde următoarele informaţii:
a) numele şi datele de contact ale operatorului şi, după caz, ale operatorului asociat, ale reprezentantului operatorului şi ale responsabilului cu protecţia datelor;
b) scopurile prelucrării;
c) o descriere a categoriilor de persoane vizate şi a categoriilor de date cu caracter personal;
d) categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din alte state sau din organizaţii internaţionale;
e) dacă este cazul, transferurile de date cu caracter personal către un alt stat sau către o organizaţie internaţională, inclusiv identificarea acestui stat sau a organizaţiei internaţionale respective, şi, în cazul transferurilor menţionate la art.49 alin.(2), documentaţia care dovedeşte existenţa unor garanţii adecvate;
f) dacă este posibil, termenele-limită preconizate pentru ştergerea diferitelor categorii de date;
g) dacă este posibil, o descriere generală a măsurilor tehnice şi organizatorice de securitate menţionate la art.32 alin.(1).
(2) Fiecare persoană împuternicită de operator şi, după caz, reprezentantul persoanei împuternicite de operator păstrează o evidenţă a tuturor categoriilor de activităţi de prelucrare desfăşurate în numele operatorului, care cuprinde:
a) numele şi datele de contact ale persoanei sau persoanelor împuternicite de operator şi ale fiecărui operator în numele căruia acţionează aceste persoane, precum şi, după caz, ale reprezentantului operatorului sau ale reprezentantului persoanei împuternicite de operator;
b) categoriile activităţilor de prelucrare desfăşurate în numele fiecărui operator;
c) dacă este cazul, transferurile de date cu caracter personal către un alt stat sau către o organizaţie internaţională, inclusiv identificarea acestui stat sau a organizaţiei internaţionale respective, şi, în cazul transferurilor prevăzute la art.49 alin.(2), documentaţia care dovedeşte existenţa unor garanţii adecvate;
d) dacă este posibil, o descriere generală a măsurilor tehnice şi organizatorice de securitate menţionate la art.32 alin.(1).
(3) Evidenţele menţionate la alin.(1) şi (2) sunt ţinute în scris, inclusiv în format electronic.
(4) Operatorul sau persoana împuternicită de acesta, precum şi, după caz, reprezentantul operatorului sau al persoanei împuternicite de operator pun evidenţele la dispoziţia Centrului la cererea acestuia.
(5) Obligaţiile menţionate la alin.(1) şi (2) nu se aplică unei întreprinderi sau organizaţii cu mai puţin de 250 de angajaţi, cu excepţia cazului în care prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru drepturile şi libertăţile persoanelor vizate, prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date prevăzute la art.9 alin.(1) sau date cu caracter personal referitoare la condamnări penale şi infracţiuni, prevăzute la art.10.
Articolul 31. Cooperarea cu Centrul
Operatorul şi persoana împuternicită de operator, precum şi, după caz, reprezentantul acestora cooperează, la cerere, cu Centrul în îndeplinirea sarcinilor acestuia.
Secţiunea a 2-a
Securitatea datelor cu caracter personal
Articolul 32. Securitatea prelucrării
(1) Având în vedere stadiul actual al dezvoltării tehnologice, costurile implementării şi natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi riscul cu diferite grade de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul şi persoana împuternicită de acesta implementează măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, inclusiv, printre altele, după caz:
a) pseudonimizarea şi criptarea datelor cu caracter personal;
b) capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea şi rezilienţa sistemelor şi serviciilor de prelucrare;
c) capacitatea de a restabili disponibilitatea datelor cu caracter personal şi accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
d) un proces pentru testarea, evaluarea şi aprecierea periodică a eficacităţii măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării.
(2) La evaluarea nivelului adecvat de securitate se ţine cont, în special, de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.
(3) Aderarea la un cod de conduită aprobat în conformitate cu art.40 sau la un mecanism de certificare aprobat în conformitate cu art.42 poate fi utilizată ca un element prin care să se demonstreze îndeplinirea cerinţelor prevăzute la alin.(1).
(4) Operatorul şi persoana împuternicită de operator iau măsuri pentru a asigura faptul că orice persoană fizică care acţionează sub autoritatea operatorului sau a persoanei împuternicite de operator şi care are acces la date cu caracter personal nu le prelucrează decât în baza instrucţiunilor operatorului, cu excepţia cazului în care actele normative impun prelucrarea datelor cu caracter personal.
Articolul 33. Notificarea Centrului în cazul încălcării securităţii datelor cu caracter personal
(1) În cazul în care are loc o încălcare a securităţii datelor cu caracter personal, operatorul notifică Centrul despre acest lucru fără întârzieri nejustificate şi, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoştinţă de aceasta, cu excepţia cazului în care încălcarea este puţin susceptibilă să genereze un risc pentru drepturile şi libertăţile persoanelor fizice. În cazul în care nu se face în termen de 72 de ore, notificarea este însoţită de o explicaţie motivată a întârzierii.
(2) Persoana împuternicită de operator notifică operatorul fără întârzieri nejustificate după ce ia cunoştinţă de o încălcare a securităţii datelor cu caracter personal.
(3) Notificarea menţionată la alin.(1), cel puţin:
a) descrie caracterul încălcării securităţii datelor cu caracter personal, inclusiv, atunci când este posibil, categoriile şi numărul aproximativ al persoanelor vizate în cauză, precum şi categoriile şi numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;
b) comunică numele şi datele de contact ale responsabilului cu protecţia datelor sau un alt punct de contact de unde se pot obţine mai multe informaţii;
c) descrie consecinţele probabile ale încălcării securităţii datelor cu caracter personal;
d) descrie măsurile luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securităţii datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor efecte negative.
(4) Atunci când şi în măsura în care nu este posibil să se furnizeze informaţiile în acelaşi timp, acestea pot fi furnizate în mai multe etape, fără întârzieri nejustificate.
(5) Operatorul păstrează documente referitoare la toate cazurile de încălcare a securităţii datelor cu caracter personal, care cuprind o descriere a situaţiei de fapt în care a avut loc încălcarea securităţii datelor cu caracter personal, a efectelor acesteia şi a măsurilor de remediere întreprinse. Această documentaţie trebuie să ofere Centrului posibilitatea de a verifica respectarea prezentului articol.
Articolul 34. Informarea persoanei vizate cu privire la încălcarea securităţii datelor cu caracter personal
(1) În cazul în care încălcarea securităţii datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile şi libertăţile persoanelor fizice, operatorul informează persoana vizată fără întârzieri nejustificate cu privire la această încălcare.
(2) În informarea transmisă persoanei vizate prevăzută la alin.(1) se include o descriere, într-un limbaj clar şi simplu, a caracterului încălcării securităţii datelor cu caracter personal, precum şi, cel puţin, informaţiile şi măsurile prevăzute la art.33 alin.(3) lit.b)–d).
(3) Informarea persoanei vizate prevăzută la alin.(1) nu este necesară în cazul în care este îndeplinită una dintre următoarele condiţii:
a) operatorul a implementat măsuri de protecţie tehnice şi organizatorice adecvate, iar aceste măsuri au fost aplicate în cazul datelor cu caracter personal afectate de încălcarea securităţii datelor cu caracter personal, în special măsuri prin care se asigură că datele cu caracter personal devin neinteligibile oricărei persoane care nu este autorizată să le acceseze, cum ar fi criptarea;
b) operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat pentru drepturile şi libertăţile persoanelor vizate menţionat la alin.(1) nu mai este susceptibil să se materializeze;
c) informarea ar necesita un efort disproporţionat. În această situaţie, se efectuează o informare publică sau se ia o măsură similară prin care persoanele vizate sunt informate într-un mod la fel de eficace.
(4) În cazul în care operatorul nu a informat persoana vizată despre încălcarea securităţii datelor cu caracter personal, Centrul, după ce a luat în considerare probabilitatea ca încălcarea securităţii datelor cu caracter personal să genereze un risc ridicat, poate să îi solicite operatorului informarea persoanei vizate sau poate decide că una dintre condiţiile menţionate la alin.(3) este îndeplinită.
Secţiunea a 3-a
Evaluarea impactului asupra protecţiei datelor cu
caracter personal şi consultarea prealabilă
Articolul 35. Evaluarea impactului asupra protecţiei datelor cu caracter personal
(1) Având în vedere natura, domeniul de aplicare, contextul şi scopurile prelucrării, în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat pentru drepturile şi libertăţile persoanelor fizice, operatorul efectuează, înaintea prelucrării, o evaluare a impactului operaţiunilor de prelucrare preconizate asupra protecţiei datelor cu caracter personal. O singură evaluare poate aborda un set de operaţiuni de prelucrare similare care prezintă riscuri ridicate similare.
(2) La realizarea unei evaluări a impactului asupra protecţiei datelor cu caracter personal, operatorul solicită avizul responsabilului cu protecţia datelor, dacă acesta a fost desemnat.
(3) Evaluarea impactului asupra protecţiei datelor cu caracter personal menţionată la alin.(1) se impune în special în cazul:
a) unei evaluări sistematice şi cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, şi care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;
b) prelucrării pe scară largă a unor categorii speciale de date prevăzute la art.9 alin.(1) sau a unor date cu caracter personal privind condamnări penale şi infracţiuni, prevăzute la art.10; sau
c) unei monitorizări sistematice pe scară largă a unei zone accesibile publicului.
(4) Centrul aprobă lista tipurilor de operaţiuni de prelucrare care fac obiectul cerinţei de efectuare a unei evaluări a impactului asupra protecţiei datelor cu caracter personal în conformitate cu alin.(1).
(5) Centrul poate aproba o listă a tipurilor de operaţiuni de prelucrare pentru care nu este necesară o evaluare a impactului asupra protecţiei datelor cu caracter personal.
(6) Listele aprobate în temeiul alin.(4) şi (5) sunt publicate în Monitorul Oficial al Republicii Moldova şi pe pagina web oficială a Centrului.
(7) Evaluarea conţine cel puţin:
a) o descriere sistematică a operaţiunilor de prelucrare preconizate şi a scopurilor prelucrării, inclusiv, după caz, interesul legitim urmărit de operator;
b) o evaluare a necesităţii şi proporţionalităţii operaţiunilor de prelucrare în legătură cu aceste scopuri;
c) o evaluare a riscurilor pentru drepturile şi libertăţile persoanelor vizate menţionate la alin.(1); şi
d) măsurile preconizate în vederea abordării riscurilor, inclusiv garanţiile, măsurile de securitate şi mecanismele menite să asigure protecţia datelor cu caracter personal şi să demonstreze conformitatea cu dispoziţiile prezentei legi, luând în considerare drepturile şi interesele legitime ale persoanelor vizate şi ale altor persoane interesate.
(8) La evaluarea impactului operaţiunilor de prelucrare efectuate de operator sau de persoanele împuternicite de operator, în special în vederea unei evaluări a impactului asupra protecţiei datelor cu caracter personal, se ia în considerare în mod corespunzător respectarea de către operator sau de către persoanele împuternicite de operator a codurilor de conduită, dacă au fost aprobate în conformitate cu art.40.
(9) Operatorul solicită, atunci când este cazul, opiniile persoanelor vizate sau ale reprezentanţilor acestora privind prelucrarea preconizată, fără a aduce atingere protecţiei intereselor comerciale sau publice ori securităţii operaţiunilor de prelucrare.
(10) În cazul prelucrării în temeiul art.6 alin.(1) lit.c) sau e), prevederile de la alin.(1)–(7) din prezentul articol nu se aplică dacă deja s-a efectuat o evaluare a impactului asupra protecţiei datelor ca parte a unei evaluări generale a impactului în contextul adoptării actelor normative care prevăd temeiurile juridice de prelucrare, cu excepţia cazului în care actele normative prevăd că este necesară efectuarea evaluării impactului asupra protecţiei datelor cu caracter personal înaintea desfăşurării activităţilor de prelucrare.
(11) Dacă este necesar, operatorul efectuează o analiză pentru a evalua dacă prelucrarea are loc în conformitate cu evaluarea impactului asupra protecţiei datelor cu caracter personal, cel puţin atunci când are loc o modificare a riscului reprezentat de operaţiunile de prelucrare.
Articolul 36. Consultarea prealabilă
(1) Operatorul consultă Centrul înainte de prelucrare atunci când evaluarea impactului asupra protecţiei datelor cu caracter personal indică faptul că prelucrarea ar genera un risc ridicat în absenţa unor măsuri luate de operator pentru atenuarea riscului.
(2) În cazul în care consideră că prelucrarea preconizată menţionată la alin.(1) ar încălca prezenta lege, în special atunci când operatorul nu a identificat riscul sau nu l-a atenuat într-o măsură suficientă, Centrul oferă consiliere în scris operatorului şi, după caz, persoanei împuternicite de operator, în cel mult opt săptămâni de la primirea cererii de consultare, şi îşi poate utiliza oricare dintre competenţele prevăzute la art.60. Această perioadă poate fi prelungită cu şase săptămâni, ţinându-se cont de complexitatea prelucrării preconizate. Centrul informează operatorul şi, după caz, persoana împuternicită de operator, în termen de o lună de la primirea cererii, cu privire la orice astfel de prelungire, prezentând motivele întârzierii. Aceste perioade pot fi suspendate până la data la care Centrul a obţinut informaţiile pe care le-a solicitat în scopul consultării.
(3) Atunci când consultă Centrul în conformitate cu alin.(1), operatorul îi furnizează acestuia:
a) dacă este cazul, responsabilităţile respective ale operatorului, ale operatorilor asociaţi şi ale persoanelor împuternicite de operator implicate în activităţile de prelucrare, în special pentru prelucrarea în cadrul unui grup de întreprinderi;
b) scopurile şi mijloacele prelucrării preconizate;
c) măsurile şi garanţiile prevăzute pentru protecţia drepturilor şi libertăţilor persoanelor vizate, în conformitate cu prezenta lege;
d) dacă este cazul, datele de contact ale responsabilului cu protecţia datelor;
e) evaluarea impactului asupra protecţiei datelor cu caracter personal; şi
f) orice alte informaţii solicitate de Centru.
(4) Proiectele de acte normative care conţin prevederi referitoare la prelucrarea datelor cu caracter personal sunt transmise Centrului pentru avizare în condiţiile Legii nr.100/2017 cu privire la actele normative.
Secţiunea a 4-a
Responsabilul cu protecţia datelor
Articolul 37. Desemnarea responsabilului cu protecţia datelor
(1) Operatorul şi persoana împuternicită de operator desemnează un responsabil cu protecţia datelor în cazul în care:
a) prelucrarea este efectuată de o autoritate sau instituţie publică, cu excepţia instanţelor judecătoreşti în activitatea de înfăptuire a justiţiei;
b) activităţile principale ale operatorului sau ale persoanei împuternicite de operator constau în operaţiuni de prelucrare care, prin natura, domeniul de aplicare şi/sau scopurile lor, necesită o monitorizare periodică şi sistematică, pe scară largă, a persoanelor vizate; sau
c) activităţile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date în temeiul art.9 sau a unor date cu caracter personal referitoare la condamnări penale şi infracţiuni, menţionată la art.10.
(2) Un grup de întreprinderi poate desemna un singur responsabil cu protecţia datelor, cu condiţia ca acesta să fie uşor accesibil din fiecare sediu al întreprinderilor respective.
(3) În cazul în care operatorul sau persoana împuternicită de operator este o autoritate sau instituţie publică, poate fi desemnat un singur responsabil de protecţia datelor pentru mai multe dintre aceste autorităţi sau instituţii, luându-se în considerare structura organizatorică şi dimensiunea acestora.
(4) În alte cazuri decât cele prevăzute la alin.(1), operatorul sau persoana împuternicită de operator ori asociaţiile şi alte organisme care reprezintă categorii de operatori sau de persoane împuternicite de operatori pot desemna sau, atunci când actele normative impun acest lucru, desemnează un responsabil cu protecţia datelor. Responsabilul cu protecţia datelor poate să acţioneze pentru astfel de asociaţii şi alte organisme care reprezintă operatori sau persoane împuternicite de operatori.
(5) Responsabilul cu protecţia datelor este desemnat în baza calităţilor profesionale şi, în special, în baza cunoştinţelor sale de specialitate în materie de legislaţie şi practică în domeniul protecţiei datelor cu caracter personal, precum şi în baza capacităţii de a îndeplini sarcinile prevăzute la art.39.
(6) Responsabilul cu protecţia datelor poate fi un membru al personalului operatorului sau persoanei împuternicite de operator ori poate să îşi îndeplinească sarcinile în baza unui contract de prestări servicii.
(7) Operatorul sau persoana împuternicită de operator publică datele de contact ale responsabilului cu protecţia datelor şi le comunică Centrului.
Articolul 38. Funcţia responsabilului cu protecţia datelor
(1) Operatorul şi persoana împuternicită de operator asigură implicarea, în mod corespunzător şi în timp util, a responsabilului cu protecţia datelor în toate aspectele legate de protecţia datelor cu caracter personal.
(2) Operatorul şi persoana împuternicită de operator sprijină responsabilul cu protecţia datelor în îndeplinirea sarcinilor prevăzute la art.39, asigurându-i resursele necesare pentru executarea acestor sarcini, pentru accesarea datelor cu caracter personal şi a operaţiunilor de prelucrare, precum şi pentru menţinerea cunoştinţelor sale de specialitate.
(3) Operatorul şi persoana împuternicită de operator asigură faptul că responsabilul cu protecţia datelor nu primeşte niciun fel de instrucţiuni în ceea ce priveşte îndeplinirea sarcinilor sale. Responsabilul cu protecţia datelor nu este demis sau sancţionat de către operator sau persoana împuternicită de operator pentru îndeplinirea sarcinilor sale. Responsabilul cu protecţia datelor răspunde direct în faţa celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator.
(4) Persoanele vizate pot contacta responsabilul cu protecţia datelor cu privire la toate chestiunile legate de prelucrarea datelor lor cu caracter personal şi de exercitarea drepturilor lor în temeiul prezentei legi.
(5) Responsabilul cu protecţia datelor are obligaţia de a respecta secretul sau confidenţialitatea în ceea ce priveşte îndeplinirea sarcinilor sale, în conformitate cu actele normative.
(6) Responsabilul cu protecţia datelor poate îndeplini şi alte sarcini şi atribuţii. Operatorul sau persoana împuternicită de operator asigură faptul că niciuna dintre aceste sarcini şi atribuţii nu generează un conflict de interese.
Articolul 39. Sarcinile responsabilului cu protecţia datelor
(1) Responsabilul cu protecţia datelor are cel puţin următoarele sarcini:
a) informarea şi consilierea operatorului sau a persoanei împuternicite de operator, precum şi a angajaţilor care se ocupă de prelucrare, cu privire la obligaţiile care le revin în temeiul prezentei legi şi al altor acte normative referitoare la protecţia datelor;
b) monitorizarea respectării prezentei legi şi a altor acte normative referitoare la protecţia datelor, precum şi a politicilor operatorului sau ale persoanei împuternicite de operator în ceea ce priveşte protecţia datelor cu caracter personal, inclusiv alocarea responsabilităţilor şi acţiunile de sensibilizare şi de formare a personalului implicat în operaţiunile de prelucrare, precum şi auditurile aferente;
c) furnizarea de consiliere la cerere în ceea ce priveşte evaluarea impactului asupra protecţiei datelor şi monitorizarea funcţionării acesteia, în conformitate cu art.35;
d) cooperarea cu Centrul;
e) asumarea rolului de punct de contact pentru Centru cu privire la aspectele legate de prelucrare, inclusiv consultarea prealabilă prevăzută la art.36, precum şi, dacă este cazul, consultarea cu privire la orice altă chestiune.
(2) În îndeplinirea sarcinilor sale, responsabilul cu protecţia datelor ţine cont în mod corespunzător de riscul asociat operaţiunilor de prelucrare, luând în considerare natura, domeniul de aplicare, contextul şi scopurile prelucrării.
Secţiunea a 5-a
Coduri de conduită şi certificare
Articolul 40. Coduri de conduită
(1) Centrul încurajează elaborarea codurilor de conduită menite să contribuie la buna aplicare a prezentei legi, ţinând cont de caracteristicile specifice ale diverselor sectoare de prelucrare şi de nevoile specifice ale întreprinderilor micro, mici şi mijlocii.
(2) Asociaţiile şi alte organisme care reprezintă categorii de operatori sau de persoane împuternicite de operatori pot elabora coduri de conduită sau le pot modifica pe cele existente în scopul de a specifica modul de aplicare a prezentei legi, cum ar fi în ceea ce priveşte:
a) prelucrarea în mod echitabil şi transparent;
b) interesele legitime urmărite de operatori în contexte specifice;
c) colectarea datelor cu caracter personal;
d) pseudonimizarea datelor cu caracter personal;
e) informarea publicului şi a persoanelor vizate;
f) exercitarea drepturilor persoanelor vizate;
g) informarea şi protejarea copiilor, precum şi modalitatea în care trebuie obţinut consimţământul reprezentanţilor legali ai copiilor;
h) măsurile şi procedurile prevăzute la art.24 şi 25, precum şi măsurile de asigurare a securităţii prelucrării prevăzute la art.32;
i) notificarea Centrului cu privire la încălcările securităţii datelor cu caracter personal şi informarea persoanelor vizate cu privire la aceste încălcări;
j) transferul de date cu caracter personal către alte state sau către organizaţii internaţionale; sau
k) procedurile extrajudiciare şi alte proceduri de soluţionare a litigiilor pentru soluţionarea litigiilor între operatori şi persoanele vizate în ceea ce priveşte prelucrarea, fără a aduce atingere drepturilor persoanelor vizate prevăzute la art.72 şi art.74.
(3) Pe lângă operatorii şi persoanele împuternicite de operatori care cad sub incidenţa prezentei legi, la codurile de conduită aprobate în temeiul alin.(5) pot adera şi operatorii sau persoanele împuternicite de operatori care nu cad sub incidenţa prezentei legi în conformitate cu art.3, în scopul de a oferi garanţii adecvate în cadrul transferurilor de date cu caracter personal către alte state sau către organizaţii internaţionale în condiţiile prevăzute la art.46 alin.(2) lit.d). Aceşti operatori sau persoane împuternicite de operatori îşi asumă angajamente cu caracter obligatoriu şi executoriu, prin intermediul unor instrumente contractuale sau al altor acte juridice obligatorii, să aplice garanţiile adecvate respective, inclusiv cu privire la drepturile persoanelor vizate.
(4) Codul de conduită prevăzut la alin.(2) cuprinde mecanisme care permit organismului menţionat la art.41 alin.(1) să efectueze monitorizarea obligatorie a respectării dispoziţiilor acestuia de către operatorii sau persoanele împuternicite de operatori care se angajează să îl aplice, fără a aduce atingere sarcinilor şi competenţelor Centrului.
(5) Asociaţiile şi alte organisme menţionate la alin.(2) care intenţionează să elaboreze un cod de conduită sau să modifice un cod existent transmit Centrului proiectul de cod sau de modificare a codului. Centrul emite un aviz cu privire la faptul dacă proiectul de cod sau de modificare este în conformitate cu prezenta lege şi îl aprobă în cazul în care constată că acesta oferă garanţii adecvate suficiente.
(6) În cazul în care proiectul de cod sau de modificare este aprobat în conformitate cu alin.(5), Centrul înregistrează şi publică codul pe pagina sa web oficială.
(7) Centrul ţine, într-un registru, evidenţa codurilor de conduită şi a modificărilor aprobate, precum şi asigură publicarea pe pagina sa web oficială a textelor actualizate şi consolidate ale codurilor de conduită după aprobarea modificărilor la acestea.
Articolul 41. Monitorizarea codurilor de conduită aprobate
(1) Fără a aduce atingere sarcinilor şi competenţelor Centrului prevăzute la art.59 şi 60, monitorizarea respectării unui cod de conduită aprobat în temeiul art.40 poate fi realizată de un organism care dispune de un nivel adecvat de expertiză în legătură cu obiectul codului şi care este acreditat în acest scop de Centru.
(2) Organismul menţionat la alin.(1) poate fi acreditat pentru monitorizarea respectării unui cod de conduită dacă:
a) a demonstrat Centrului, într-un mod satisfăcător, independenţa şi expertiza sa în legătură cu obiectul codului;
b) a instituit proceduri care îi permit să evalueze eligibilitatea operatorilor şi a persoanelor împuternicite de operatori în vederea aplicării codului, să monitorizeze respectarea de către aceştia a dispoziţiilor codului şi să revizuiască periodic funcţionarea acestuia;
c) a instituit proceduri şi structuri pentru examinarea şi soluţionarea plângerilor privind încălcări ale codului sau privind modul în care codul a fost sau este pus în aplicare de un operator sau o persoană împuternicită de operator, precum şi pentru asigurarea transparenţei acestor proceduri şi structuri pentru persoanele vizate şi pentru public; şi
d) a demonstrat Centrului, într-un mod satisfăcător, că sarcinile şi atribuţiile sale nu creează conflicte de interese.
(3) Centrul aprobă cerinţele pentru acreditarea organismului menţionat la alin.(1).
(4) Fără a aduce atingere sarcinilor şi competenţelor Centrului, organismul menţionat la alin.(1) ia măsuri corespunzătoare, sub rezerva unor garanţii adecvate, în cazul încălcării codului de către un operator sau o persoană împuternicită de operator, inclusiv de suspendare sau excludere a respectivului operator sau a respectivei persoane împuternicite din cadrul codului. Organismul în cauză informează Centrul cu privire la aceste măsuri şi la motivele care le-au determinat.
(5) Centrul revocă acreditarea organismului menţionat la alin.(1) în cazul în care nu mai sunt îndeplinite cerinţele pentru acreditare sau dacă măsurile luate de organismul în cauză încalcă prezenta lege.
(6) Prezentul articol nu se aplică prelucrării efectuate de autorităţile şi instituţiile publice.
Articolul 42. Certificare
(1) Centrul încurajează instituirea de mecanisme de certificare în domeniul protecţiei datelor cu caracter personal, precum şi de sigilii şi mărci în acest domeniu, care să permită demonstrarea faptului că operaţiunile de prelucrare efectuate de operatori şi de persoanele împuternicite de operatori respectă prezenta lege. Se iau în considerare necesităţile specifice ale întreprinderilor micro, mici şi mijlocii.
(2) Mecanismele de certificare din domeniul protecţiei datelor cu caracter personal, sigiliile sau mărcile aprobate în temeiul alin.(5) sunt instituite nu numai pentru a fi respectate de operatorii sau de persoanele împuternicite de operatori care cad sub incidenţa prezentei legi, ci şi pentru a demonstra existenţa unor garanţii adecvate oferite de operatorii sau de persoanele împuternicite de operatori care nu cad sub incidenţa prezentei legi în conformitate cu art.3, în cadrul transferurilor de date cu caracter personal către alte state sau către organizaţii internaţionale în condiţiile art.46 alin.(2) lit.e). Aceşti operatori sau persoane împuternicite de operatori îşi asumă angajamente cu caracter obligatoriu şi executoriu, prin intermediul unor instrumente contractuale sau al altor acte juridice obligatorii, în scopul aplicării garanţiilor adecvate respective, inclusiv cu privire la drepturile persoanelor vizate.
(3) Certificarea este voluntară şi disponibilă prin intermediul unui proces transparent.
(4) Certificarea în conformitate cu prezentul articol nu reduce responsabilitatea operatorului sau a persoanei împuternicite de operator de a respecta prezenta lege şi nu aduce atingere sarcinilor şi competenţelor Centrului.
(5) Organismele de certificare menţionate la art.43 sau Centrul acordă o certificare în temeiul prezentului articol, în baza criteriilor de certificare aprobate de către Centru.
(6) Operatorul sau persoana împuternicită de operator care supune activităţile sale de prelucrare mecanismului de certificare oferă organismului de certificare sau, după caz, Centrului toate informaţiile necesare pentru desfăşurarea procedurii de certificare, precum şi accesul la activităţile de prelucrare respective.
(7) Certificarea se acordă unui operator sau unei persoane împuternicite de operator pentru o perioadă maximă de trei ani şi poate fi reînnoită în aceleaşi condiţii, sub rezerva îndeplinirii în continuare a criteriilor relevante. Certificarea se retrage de către organismele de certificare sau, după caz, de către Centru în cazul în care nu mai sunt îndeplinite criteriile pentru certificare.
(8) Centrul ţine, într-un registru, evidenţa mecanismelor de certificare şi a sigiliilor şi mărcilor de protecţie a datelor cu caracter personal şi le publică pe pagina sa web oficială.
Articolul 43. Organisme de certificare
(1) Fără a aduce atingere sarcinilor şi competenţelor Centrului prevăzute la art.59 şi 60, organismele de certificare care dispun de un nivel adecvat de competenţă în domeniul protecţiei datelor cu caracter personal, după ce informează Centrul în vederea exercitării de către acesta a competenţelor prevăzute la art.60 alin (2) lit.h), acordă şi reînnoiesc certificarea.
(2) Un organism de certificare este acreditat de către Centrul Naţional de Acreditare în cazul în care:
a) a demonstrat Centrului Naţional pentru Protecţia Datelor cu Caracter Personal, într-un mod satisfăcător, independenţa şi expertiza sa în legătură cu obiectul certificării;
b) s-a angajat să respecte criteriile aprobate în temeiul art.42 alin.(5);
c) a instituit proceduri pentru acordarea, revizuirea periodică şi retragerea certificării, a sigiliilor şi mărcilor din domeniul protecţiei datelor cu caracter personal;
d) a instituit proceduri şi structuri pentru examinarea şi soluţionarea plângerilor privind încălcări ale certificării sau privind modul în care certificarea a fost sau este pusă în aplicare de un operator sau o persoană împuternicită de operator, precum şi pentru asigurarea transparenţei acestor proceduri şi structuri pentru persoanele vizate şi pentru public; şi
e) a demonstrat Centrului Naţional pentru Protecţia Datelor cu Caracter Personal, într-un mod satisfăcător, că sarcinile şi atribuţiile sale nu creează conflicte de interese.
(3) Acreditarea organismelor de certificare menţionate la alin.(1) şi (2) se realizează în baza cerinţelor de acreditare aprobate de Centru. Aceste cerinţe le completează pe cele prevăzute de Legea nr.235/2011 privind activităţile de acreditare şi de evaluare a conformităţii, precum şi normele tehnice care descriu metodele şi procedurile organismelor de certificare.
(4) Organismele de certificare menţionate la alin.(1) sunt responsabile de realizarea unei evaluări adecvate în vederea certificării sau retragerii acestei certificări, fără a aduce atingere responsabilităţii operatorului sau a persoanei împuternicite de operator de a respecta prezenta lege. Acreditarea se acordă pentru o perioadă maximă de cinci ani şi poate fi reînnoită în aceleaşi condiţii, sub rezerva îndeplinirii de către organismul de certificare a cerinţelor prevăzute de prezentul articol.
(5) Organismele de certificare menţionate la alin.(1) transmit Centrului Naţional pentru Protecţia Datelor cu Caracter Personal motivele acordării sau retragerii certificării.
(6) Cerinţele menţionate la alin.(3) şi criteriile menţionate la art.42 alin.(5) se publică de către Centrul Naţional pentru Protecţia Datelor cu Caracter Personal pe pagina sa web oficială.
(7) Centrul Naţional de Acreditare, inclusiv la solicitarea Centrului Naţional pentru Protecţia Datelor cu Caracter Personal, revocă acreditarea acordată unui organism de certificare în temeiul alin.(1) în cazul în care nu sunt sau nu mai sunt îndeplinite condiţiile pentru acreditare sau dacă măsurile luate de organismul de acreditare contravin prezentei legi.
(8) Centrul Naţional pentru Protecţia Datelor cu Caracter Personal poate aproba standardele tehnice pentru mecanismele de certificare şi pentru sigiliile şi mărcile din domeniul protecţiei datelor cu caracter personal, precum şi mecanismele de promovare şi recunoaştere a acelor mecanisme de certificare, sigilii şi mărci.
Capitolul V
TRANSFERURILE DE DATE CU CARACTER PERSONAL CĂTRE
ALTE STATE SAU CĂTRE ORGANIZAŢII INTERNAŢIONALE
Articolul 44. Principiul general al transferurilor
(1) Orice date cu caracter personal care fac obiectul prelucrării sau care urmează a fi prelucrate după ce sunt transferate într-un alt stat sau către o organizaţie internaţională pot fi transferate doar dacă, sub rezerva celorlalte prevederi ale prezentei legi, condiţiile prevăzute în prezentul capitol sunt respectate de operator şi de persoana împuternicită de operator, inclusiv în ceea ce priveşte transferurile ulterioare de date cu caracter personal din statul străin sau de la organizaţia internaţională către un alt stat sau către o altă organizaţie internaţională. Toate prevederile din prezentul capitol se aplică pentru asigurarea faptului că nivelul de protecţie a persoanelor fizice garantat prin prezenta lege nu este subminat.
(2) Prezentul capitol nu se aplică transferurilor de date cu caracter personal către statele membre ale Spaţiului Economic European. În cazul acestor transferuri nu sunt necesare autorizări speciale.
Articolul 45. Transferurile în temeiul unei decizii privind caracterul adecvat al nivelului de protecţie
(1) Transferul de date cu caracter personal către un alt stat sau către o organizaţie internaţională se realizează atunci când Centrul decide că statul, un teritoriu sau unul ori mai multe sectoare specificate din acel stat sau organizaţia internaţională în cauză asigură un nivel de protecţie adecvat. Transferurile realizate în aceste condiţii nu necesită autorizări speciale.
(2) Atunci când evaluează caracterul adecvat al nivelului de protecţie, Centrul ţine cont, în special, de următoarele elemente:
a) statul de drept, respectarea drepturilor şi a libertăţilor fundamentale, legislaţia relevantă, atât generală, cât şi sectorială, inclusiv privind securitatea publică, apărarea, securitatea naţională şi dreptul penal, accesul autorităţilor publice la datele cu caracter personal, precum şi punerea în aplicare a acestei legislaţii, normele de protecţie a datelor, normele profesionale şi măsurile de securitate, inclusiv normele privind transferul ulterior de date cu caracter personal către un alt stat sau către o organizaţie internaţională, care sunt respectate în statul respectiv sau în organizaţia internaţională respectivă, jurisprudenţa, precum şi existenţa unor drepturi efective şi opozabile ale persoanelor vizate şi a unor remedii efective pe cale administrativă şi judiciară pentru persoanele vizate ale căror date cu caracter personal sunt transferate;
b) existenţa şi funcţionarea eficientă a unei sau mai multor autorităţi de supraveghere independente în statul străin sau sub jurisdicţia căruia intră o organizaţie internaţională, cu responsabilitate pentru asigurarea şi impunerea respectării normelor de protecţie a datelor cu caracter personal, inclusiv prin competenţe adecvate de asigurare a respectării aplicării, pentru acordarea de asistenţă şi consiliere persoanelor vizate cu privire la exercitarea drepturilor acestora şi pentru cooperarea cu Centrul;
c) angajamentele internaţionale la care a aderat statul sau organizaţia internaţională în cauză ori alte obligaţii care decurg din tratatele internaţionale, precum şi din participarea acestora la sisteme multilaterale sau regionale, mai ales în domeniul protecţiei datelor cu caracter personal; şi
d) deciziile Comisiei Europene privind caracterul adecvat al nivelului de protecţie.
(3) Centrul, după ce evaluează caracterul adecvat al nivelului de protecţie, poate decide că un alt stat, un teritoriu sau unul ori mai multe sectoare specificate dintr-un stat sau o organizaţie internaţională asigură un nivel de protecţie adecvat în sensul alin.(2). Decizia prevede un mecanism de revizuire periodică, cel puţin o dată la patru ani, care ia în considerare toate evoluţiile relevante din statul străin sau organizaţia internaţională. Decizia prevede aplicarea geografică şi sectorială şi, după caz, identifică autoritatea sau autorităţile de supraveghere menţionate la alin.(2) lit.b).
(4) Centrul monitorizează continuu evoluţiile din alte state şi de la nivelul organizaţiilor internaţionale care ar putea afecta funcţionarea deciziilor emise în temeiul alin.(3) şi a deciziilor emise înainte de intrarea în vigoare a prezentei legi.
(5) În cazul în care informaţiile disponibile dezvăluie, în special în urma revizuirii menţionate la alin.(3), că un alt stat, un teritoriu sau un sector specificat dintr-un alt stat sau o organizaţie internaţională nu mai asigură un nivel de protecţie adecvat în sensul alin.(2), Centrul, dacă este necesar, abrogă sau modifică decizia menţionată la alin.(3), fără efect retroactiv.
(6) Centrul, în comun cu autorităţile competente din Republica Moldova, poate iniţia consultări cu statul sau cu organizaţia internaţională în vederea remedierii situaţiei care a stat la baza deciziei emise în conformitate cu alin.(5).
(7) O decizie emisă în temeiul alin.(5) nu aduce atingere transferurilor de date cu caracter personal către statul, către teritoriul sau către unul ori mai multe sectoare specificate din acel stat sau către organizaţia internaţională în cauză în conformitate cu art.46–49.
(8) Centrul publică în Monitorul Oficial al Republicii Moldova şi pe pagina sa web oficială lista statelor, a teritoriilor şi a sectoarelor specificate dintr-un stat şi a organizaţiilor internaţionale în privinţa cărora a decis că nivelul de protecţie adecvat este asigurat sau nu mai este asigurat.
Articolul 46. Transferuri în baza unor garanţii adecvate
(1) În absenţa unei decizii în temeiul art.45 alin.(3), operatorul sau persoana împuternicită de operator transferă date cu caracter personal către un alt stat sau către o organizaţie internaţională numai dacă operatorul sau persoana împuternicită de operator oferă garanţii adecvate şi cu condiţia să existe drepturi opozabile şi căi de atac eficiente pentru persoanele vizate.
(2) Garanţiile adecvate menţionate la alin.(1) pot fi furnizate fără o autorizaţie specifică din partea Centrului, prin:
a) un act juridic obligatoriu şi executoriu între autorităţile sau instituţiile publice;
b) reguli corporatiste obligatorii în conformitate cu art.47;
c) clauze standard de protecţie a datelor aprobate de Centru sau adoptate de Comisia Europeană;
d) un cod de conduită aprobat în conformitate cu art.40, însoţit de un angajament obligatoriu şi executoriu din partea operatorului sau a persoanei împuternicite de operator dintr-un alt stat de a aplica garanţii adecvate, inclusiv cu privire la drepturile persoanelor vizate; sau
e) un mecanism de certificare aprobat în conformitate cu art.42, însoţit de un angajament obligatoriu şi executoriu din partea operatorului sau a persoanei împuternicite de operator dintr-un alt stat de a aplica garanţii adecvate, inclusiv cu privire la drepturile persoanelor vizate.
(3) Cu autorizarea din partea Centrului, garanţiile adecvate menţionate la alin.(1) pot fi furnizate de asemenea, în special, prin:
a) clauze contractuale între operator sau persoana împuternicită de operator şi operatorul, persoana împuternicită de operator sau destinatarul datelor cu caracter personal din alt stat sau organizaţia internaţională; sau
b) dispoziţii care urmează să fie incluse în acordurile administrative dintre autorităţile sau instituţiile publice care să prevadă drepturi opozabile şi efective pentru persoanele vizate.
Articolul 47. Reguli corporatiste obligatorii
(1) Centrul aprobă reguli corporatiste obligatorii, cu condiţia ca acestea:
a) să fie obligatorii din punct de vedere juridic şi să se aplice fiecărui membru vizat al grupului de întreprinderi sau al grupului de întreprinderi implicate într-o activitate economică comună, inclusiv angajaţilor acestuia, precum şi să fie puse în aplicare de membrii în cauză;
b) să confere, în mod expres, drepturi opozabile persoanelor vizate în ceea ce priveşte prelucrarea datelor lor cu caracter personal; şi
c) să îndeplinească cerinţele prevăzute la alin.(2).
(2) Regulile corporatiste obligatorii menţionate la alin.(1) prevăd cel puţin:
a) structura şi datele de contact ale grupului de întreprinderi sau ale grupului de întreprinderi implicate într-o activitate economică comună, precum şi ale fiecăruia dintre membrii săi;
b) transferurile de date sau setul de transferuri, inclusiv categoriile de date cu caracter personal, tipul prelucrării şi scopurile prelucrării, tipurile de persoane vizate afectate şi identificarea statului sau a statelor în cauză;
c) caracterul lor juridic obligatoriu, atât pe plan intern, cât şi extern;
d) aplicarea principiilor generale în materie de protecţie a datelor, în special limitarea scopului, reducerea la minimum a datelor, perioadele de stocare limitate, calitatea datelor, protecţia datelor începând cu momentul conceperii şi protecţia implicită, temeiul juridic pentru prelucrare, prelucrarea categoriilor speciale de date cu caracter personal, măsurile de asigurare a securităţii datelor, precum şi cerinţele referitoare la transferurile ulterioare către organisme care nu fac obiectul regulilor corporatiste obligatorii;
e) drepturile persoanelor vizate în ceea ce priveşte prelucrarea şi mijloacele de exercitare a acestor drepturi, între care dreptul de a nu fi supuse unor decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, în conformitate cu art.22, dreptul de a depune o plângere la Centru şi o cerere de chemare în judecată în conformitate cu art.74, precum şi dreptul de a obţine remedieri şi, după caz, despăgubiri pentru încălcarea regulilor corporatiste obligatorii;
f) acceptarea de către operatorul sau persoana împuternicită de operator care are sediu pe teritoriul Republicii Moldova a răspunderii pentru orice încălcare a regulilor corporatiste obligatorii de către orice membru în cauză care nu are sediu în Republica Moldova. Operatorul sau persoana împuternicită de operator se exonerează de această răspundere, integral sau parţial, numai dacă dovedeşte că membrul respectiv nu este responsabil de evenimentul care a cauzat prejudiciul;
g) modul în care informaţiile privind regulile corporatiste obligatorii, în special privind dispoziţiile menţionate la lit.d)–f), sunt furnizate persoanelor vizate în completarea informaţiilor menţionate la art.13 şi 14;
h) sarcinile oricărui responsabil de protecţia datelor desemnat în conformitate cu art.37 sau ale oricărei alte persoane ori entităţi împuternicite cu monitorizarea respectării regulilor corporatiste obligatorii în cadrul grupului de întreprinderi sau al grupului de întreprinderi implicate într-o activitate economică comună, cu monitorizarea activităţilor de formare şi a examinării plângerilor;
i) procedurile de formulare a plângerilor;
j) mecanismele din cadrul grupului de întreprinderi sau al grupului de întreprinderi implicate într-o activitate economică comună, menite să asigure verificarea conformităţii cu regulile corporatiste obligatorii. Aceste mecanisme includ auditurile privind protecţia datelor şi metodele de asigurare a acţiunilor corective menite să protejeze drepturile persoanei vizate. Rezultatele acestor verificări se comunică persoanei sau entităţii menţionate la lit.h) şi consiliului întreprinderii care exercită controlul grupului de întreprinderi sau al grupului de întreprinderi implicate într-o activitate economică comună şi se pun la dispoziţia Centrului la cerere;
k) mecanismele de raportare şi înregistrare a modificărilor aduse regulilor şi de raportare a acestor modificări către Centru;
l) mecanismul de cooperare cu Centrul pentru a asigura respectarea regulilor de către orice membru al grupului de întreprinderi sau al grupului de întreprinderi implicate într-o activitate economică comună, în special prin punerea la dispoziţia Centrului a rezultatelor verificărilor cu privire la măsurile menţionate la lit.j);
m) mecanismele de raportare către Centru a oricăror cerinţe legale impuse într-un alt stat unui membru al grupului de întreprinderi sau al grupului de întreprinderi implicate într-o activitate economică comună care pot avea un efect advers considerabil asupra garanţiilor furnizate prin regulile corporatiste obligatorii; şi
n) formarea corespunzătoare în domeniul protecţiei datelor a personalului care are acces permanent sau periodic la date cu caracter personal.
Articolul 48. Transferurile sau divulgările de informaţii neautorizate prin acte normative
Orice hotărâre a unei instanţe judecătoreşti şi orice decizie a unei autorităţi publice a unui alt stat care impun unui operator sau persoanei împuternicite de operator să transfere sau să divulge date cu caracter personal pot fi recunoscute sau executate în orice fel numai dacă se bazează pe un tratat internaţional, cum ar fi un tratat de asistenţă juridică reciprocă în vigoare între statul solicitant şi Republica Moldova, fără a se aduce atingere altor motive de transfer în temeiul prezentului capitol.
Articolul 49. Derogări pentru situaţii specifice
(1) În absenţa unei decizii privind caracterul adecvat al nivelului de protecţie în conformitate cu art.45 alin.(3) sau a unor garanţii adecvate în conformitate cu art.46, inclusiv a regulilor corporatiste obligatorii, un transfer sau un set de transferuri de date cu caracter personal către un alt stat sau către o organizaţie internaţională are loc numai în una dintre următoarele condiţii:
a) persoana vizată şi-a exprimat în mod explicit consimţământul cu privire la transferul propus, după ce a fost informată asupra posibilelor riscuri pe care astfel de transferuri le pot implica pentru ea ca urmare a lipsei unei decizii privind caracterul adecvat al nivelului de protecţie şi a unor garanţii adecvate;
b) transferul este necesar pentru executarea unui contract între persoana vizată şi operator sau pentru implementarea unor măsuri precontractuale luate la cererea persoanei vizate;
c) transferul este necesar pentru încheierea unui contract sau pentru executarea unui contract încheiat în interesul persoanei vizate între operator şi o altă persoană fizică sau juridică;
d) transferul este necesar din considerente importante de interes public;
e) transferul este necesar pentru stabilirea, exercitarea sau apărarea unui drept într-o procedură administrativă, judiciară sau extrajudiciară;
f) transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altor persoane, atunci când persoana vizată nu are capacitatea fizică sau juridică de a-şi exprima consimţământul;
g) transferul se realizează dintr-un registru care, potrivit actelor normative, are scopul de a furniza informaţii publicului şi care poate fi consultat fie de public în general, fie de orice persoană care poate face dovada unui interes legitim, dar numai în măsura în care sunt îndeplinite condiţiile cu privire la consultare prevăzute de actele normative în acel caz specific.
(2) În cazul în care un transfer nu se poate întemeia pe o dispoziţie prevăzută la art.45 sau 46, inclusiv pe dispoziţiile privind reguli corporatiste obligatorii, şi nu este aplicabilă niciuna dintre derogările pentru situaţii specifice prevăzute la alin.(1) din prezentul articol, un transfer către un alt stat sau către o organizaţie internaţională poate avea loc numai în cazul în care transferul nu este repetitiv, se referă doar la un număr limitat de persoane vizate, este necesar în scopul realizării intereselor legitime majore urmărite de operator asupra căruia nu prevalează interesele sau drepturile şi libertăţile persoanei vizate şi operatorul a evaluat toate circumstanţele aferente transferului de date şi, pe baza acestei evaluări, a prezentat garanţii adecvate în ceea ce priveşte protecţia datelor cu caracter personal. Operatorul informează Centrul cu privire la transfer. Operatorul, pe lângă furnizarea informaţiilor menţionate la art.13 şi 14, informează persoana vizată cu privire la transfer şi la interesele legitime majore pe care le urmăreşte.
(3) Transferul în temeiul alin.(1) lit.g) nu implică toate datele cu caracter personal sau categoriile de date cu caracter personal cuprinse în registru. Atunci când registrul urmează a fi consultat de către persoane care au un interes legitim, transferul se efectuează numai la cererea persoanelor respective sau în cazul în care acestea sunt destinatarii.
(4) Alin.(1) lit.a)–c) şi alin.(2) nu se aplică în cazul activităţilor desfăşurate de autorităţile publice în exercitarea competenţelor lor publice.
(5) Interesul public menţionat la alin.(1) lit.d) trebuie să fie prevăzut în actele normative.
(6) În absenţa unei decizii privind caracterul adecvat al nivelului de protecţie, actele normative pot, din considerente importante de interes public, să stabilească în mod expres limite asupra transferului unor categorii specifice de date cu caracter personal către un alt stat sau către o organizaţie internaţională.
(7) Operatorul sau persoana împuternicită de operator consemnează evaluarea, precum şi garanţiile adecvate prevăzute la alin.(2), în evidenţele menţionate la art.30.
Articolul 50. Cooperarea internaţională în domeniul protecţiei datelor cu caracter personal
În ceea ce priveşte alte state şi organizaţiile internaţionale, Centrul ia măsurile corespunzătoare pentru:
a) elaborarea mecanismelor de cooperare internaţională pentru a facilita asigurarea aplicării efective a legislaţiei privind protecţia datelor cu caracter personal;
b) acordarea asistenţei internaţionale reciproce în asigurarea aplicării legislaţiei din domeniul protecţiei datelor cu caracter personal, inclusiv prin notificare, transferul plângerilor, asistenţă în investigaţii şi schimb de informaţii, sub rezerva unor garanţii adecvate pentru protecţia datelor cu caracter personal şi a altor drepturi şi libertăţi fundamentale;
c) implicarea părţilor interesate relevante în discuţiile şi activităţile care au ca scop intensificarea cooperării internaţionale în domeniul aplicării legislaţiei privind protecţia datelor cu caracter personal;
d) promovarea schimbului reciproc şi a documentaţiei cu privire la legislaţia şi practicile în materie de protecţie a datelor cu caracter personal, inclusiv în ceea ce priveşte conflictele jurisdicţionale cu alte state.
Capitolul VI
CAZURILE SPECIFICE DE PRELUCRARE A
DATELOR CU CARACTER PERSONAL
Articolul 51. Prelucrarea şi libertatea de exprimare
(1) În cazul prelucrării efectuate în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare, prezenta lege nu se aplică dacă sunt îndeplinite următoarele condiţii cumulative:
a) operatorul prelucrează date cu caracter personal cu intenţia de a publica un material jurnalistic, academic, artistic sau literar;
b) publicarea materialului ar fi de interes public;
c) aplicarea prevederilor din prezenta lege este incompatibilă cu realizarea scopurilor jurnalistice sau a scopului de exprimare academică, artistică sau literară.
(2) Centrul nu are competenţa de a supraveghea operaţiunile de prelucrare efectuate în temeiul alin.(1).
(3) Persoana vizată are dreptul de a depune o cerere de chemare în judecată conform art.74, precum şi de a solicita despăgubiri conform art.76, în cazul în care consideră că datele sale cu caracter personal au fost prelucrate cu încălcarea alin.(1) din prezentul articol.
(4) Prezentul articol nu se aplică raporturilor juridice de acces la informaţiile de interes public. În acest caz se aplică prevederile art.52.
Articolul 52. Prelucrarea şi accesul la informaţiile de interes public
(1) Datele cu caracter personal deţinute de operatori pot fi dezvăluite în condiţiile Legii nr.148/2023 privind accesul la informaţiile de interes public, cu excepţia categoriilor speciale de date cu caracter personal prevăzute la art.9 alin.(1) din prezenta lege.
(2) Alin.(1) nu se aplică în cazul cererilor de acces ale persoanelor vizate la propriile date cu caracter personal. În acest caz se aplică prevederile cap.III secţiunile 1 şi 2.
Articolul 53. Prelucrarea unui număr de identificare naţional
(1) Prelucrarea unui număr de identificare naţional, inclusiv prin colectarea sau dezvăluirea documentelor ce îl conţin, se poate efectua în situaţiile prevăzute la art.6 alin.(1).
(2) Prelucrarea unui număr de identificare naţional, inclusiv prin colectarea sau dezvăluirea documentelor ce îl conţin, în scopul prevăzut la art.6 alin.(1) lit.f), respectiv al realizării intereselor legitime urmărite de operator sau de o parte terţă, se efectuează cu instituirea de către operator a următoarelor garanţii:
a) punerea în aplicare a măsurilor tehnice şi organizatorice adecvate pentru respectarea, în special, a principiului reducerii la minimum a datelor, precum şi pentru asigurarea securităţii şi confidenţialităţii prelucrărilor de date cu caracter personal în conformitate cu art.32;
b) stabilirea termenelor de stocare în funcţie de natura datelor şi scopul prelucrării, precum şi a termenelor specifice în care datele cu caracter personal trebuie şterse sau revizuite în vederea ştergerii;
c) instruirea periodică cu privire la obligaţiile persoanelor care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, prelucrează date cu caracter personal.
Articolul 54. Prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice
(1) Prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice are loc cu condiţia existenţei unor garanţii adecvate, în conformitate cu prezenta lege, pentru drepturile şi libertăţile persoanelor vizate. Respectivele garanţii asigură instituirea măsurilor tehnice şi organizatorice necesare pentru a garanta, în special, respectarea principiului reducerii la minimum a datelor. Aceste măsuri pot include pseudonimizarea, cu condiţia ca scopurile menţionate să fie îndeplinite în acest mod. În cazul în care pot fi îndeplinite printr-o prelucrare ulterioară care nu permite sau nu mai permite identificarea persoanelor vizate, scopurile respective sunt îndeplinite în acest mod.
(2) Art.15, 16, 18 şi 21 nu se aplică în cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, sub rezerva condiţiilor şi a garanţiilor prevăzute la alin.(1) din prezentul articol, în măsura în care drepturile prevăzute la aceste articole sunt de natură să facă imposibilă sau să afecteze în mod grav realizarea scopurilor specifice, iar derogările respective sunt necesare pentru îndeplinirea acestor scopuri.
(3) Art.15, 16 şi 18–21 nu se aplică în cazul în care datele cu caracter personal sunt prelucrate în scopuri de arhivare în interes public, sub rezerva condiţiilor şi a garanţiilor prevăzute la alin.(1) din prezentul articol, în măsura în care drepturile prevăzute la aceste articole sunt de natură să facă imposibilă sau să afecteze în mod grav realizarea scopurilor specifice, iar derogările respective sunt necesare pentru îndeplinirea acestor scopuri.
(4) În cazul în care prelucrarea menţionată la alin.(2) şi (3) serveşte în acelaşi timp şi altui scop, derogările se aplică numai prelucrării în scopurile menţionate la alineatele respective.
Capitolul VII
CENTRUL NAŢIONAL PENTRU PROTECŢIA
DATELOR CU CARACTER PERSONAL
Secţiunea 1
Dispoziţii generale
Articolul 55. Statutul Centrului
(1) Centrul Naţional pentru Protecţia Datelor cu Caracter Personal este o autoritate publică ce funcţionează la nivel naţional ca structură unică, independentă faţă de alte autorităţi publice, faţă de alte persoane juridice şi faţă de persoanele fizice.
(2) Centrul este persoană juridică de drept public şi dispune de ştampilă cu imaginea Stemei de Stat a Republicii Moldova.
(3) Sediul Centrului se află în municipiul Chişinău.
Articolul 56. Finanţarea activităţii Centrului
(1) Centrul este finanţat de la bugetul de stat.
(2) Centrul elaborează, aprobă şi administrează bugetul conform principiilor, regulilor şi procedurilor prevăzute de Legea finanţelor publice şi responsabilităţii bugetar-fiscale nr.181/2014.
(3) Activitatea economico-financiară a Centrului este supusă auditului Curţii de Conturi.
Articolul 57. Efectivul-limită şi structura Centrului
Efectivul-limită şi structura Centrului se aprobă de către directorul Centrului.
Secţiunea a 2-a
Misiunea, sarcinile şi competenţele Centrului
Articolul 58. Misiunea Centrului
(1) Centrul asigură supravegherea şi monitorizarea aplicării prezentei legi şi a altor acte normative privind prelucrarea datelor cu caracter personal, în vederea protejării drepturilor şi libertăţilor fundamentale ale persoanelor fizice în legătură cu prelucrarea datelor cu caracter personal.
(2) Centrul nu are competenţa de a supraveghea operaţiunile de prelucrare efectuate de instanţele judecătoreşti în activitatea de înfăptuire a justiţiei.
Articolul 59. Sarcinile Centrului
(1) În vederea realizării misiunii sale, Centrul:
a) monitorizează şi asigură aplicarea prezentei legi;
b) promovează acţiuni de sensibilizare şi de înţelegere în rândul publicului a riscurilor, a normelor, a garanţiilor şi a drepturilor în materie de prelucrare, în special în privinţa activităţilor destinate copiilor;
c) oferă consiliere Parlamentului, Guvernului şi altor autorităţi publice cu privire la măsurile legislative şi administrative referitoare la protecţia drepturilor şi libertăţilor persoanelor fizice în ceea ce priveşte prelucrarea;
d) promovează acţiuni de sensibilizare a operatorilor şi a persoanelor împuternicite de operatori cu privire la obligaţiile ce le revin în temeiul prezentei legi;
e) furnizează, la cerere, informaţii oricărei persoane vizate în legătură cu exercitarea drepturilor acesteia în conformitate cu prezenta lege şi, dacă este cazul, cooperează cu autorităţile de supraveghere din alte state în acest scop;
f) examinează plângerile depuse de o persoană vizată sau un organism, o organizaţie sau o asociaţie în conformitate cu art.72, investighează într-o măsură adecvată obiectul plângerii şi informează autorul plângerii cu privire la evoluţia şi rezultatul investigaţiei, într-un termen rezonabil, în special dacă este necesară efectuarea unei investigaţii mai amănunţite sau coordonarea cu o autoritate de supraveghere dintr-un alt stat;
g) cooperează, inclusiv prin schimb de informaţii, cu autorităţile de supraveghere din alte state şi oferă asistenţă reciprocă pentru a asigura coerenţa aplicării şi respectării prezentei legi;
h) desfăşoară investigaţii privind aplicarea prezentei legi, inclusiv în baza unor informaţii primite de la o autoritate de supraveghere dintr-un alt stat sau de la o altă autoritate publică;
i) monitorizează evoluţiile relevante, în măsura în care acestea au impact asupra protecţiei datelor cu caracter personal, în special evoluţia tehnologiilor informaţiei şi comunicaţiilor, precum şi a practicilor comerciale;
j) aprobă clauze contractuale standard, menţionate la art.28 alin.(7) şi la art.46 alin.(2) lit.c);
k) aprobă şi menţine la zi o listă în legătură cu cerinţa privind evaluarea impactului asupra protecţiei datelor, în conformitate cu art.35 alin.(4).
l) oferă consiliere cu privire la operaţiunile de prelucrare menţionate la art.36 alin.(2);
m) încurajează elaborarea de coduri de conduită în conformitate cu art.40 alin.(1), îşi dă avizul cu privire la acestea şi le aprobă pe cele care oferă suficiente garanţii în conformitate cu art.40 alin.(5);
n) încurajează stabilirea unor mecanisme de certificare, precum şi a unor sigilii şi mărci în domeniul protecţiei datelor în conformitate cu art.42 alin.(1) şi aprobă criteriile de certificare în conformitate cu art.42 alin.(5);
o) dacă este cazul, efectuează o revizuire periodică a certificărilor acordate în conformitate cu art.42 alin.(7);
p) aprobă cerinţele de acreditare a organismelor de monitorizare a codurilor de conduită în conformitate cu art.41 şi a organismelor de certificare în conformitate cu art.43;
q) coordonează procedura de acreditare a organismelor de monitorizare a codurilor de conduită în conformitate cu art.41 şi a organismelor de certificare în conformitate cu art.43;
r) autorizează clauzele şi dispoziţiile contractuale menţionate la art.46 alin.(3);
s) aprobă regulile corporatiste obligatorii în conformitate cu art.47;
t) menţine la zi evidenţe interne privind încălcările prezentei legi şi măsurile luate, în special avertismentele emise şi sancţiunile impuse în conformitate cu art.60 alin.(2);
u) îndeplineşte orice alte sarcini legate de protecţia datelor cu caracter personal.
(2) Îndeplinirea sarcinilor Centrului este gratuită pentru persoana vizată şi, după caz, pentru responsabilul cu protecţia datelor.
(3) În cazul în care cererile sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, Centrul poate percepe o taxă rezonabilă, bazată pe costurile administrative, sau poate refuza să le examineze. Sarcina de a demonstra caracterul evident nefondat sau excesiv al cererii revine Centrului.
Articolul 60. Competenţele Centrului
(1) Centrul are următoarele competenţe de investigare:
a) de a da dispoziţii operatorului şi persoanei împuternicite de operator şi, după caz, reprezentantului operatorului sau al persoanei împuternicite de operator să furnizeze orice informaţii pe care Centrul le solicită în vederea îndeplinirii sarcinilor sale;
b) de a efectua investigaţii sub formă de audituri privind protecţia datelor;
c) de a efectua o revizuire a certificărilor acordate în temeiul art.42 alin.(7);
d) de a notifica operatorul sau persoana împuternicită de operator cu privire la presupusa încălcare a prezentei legi;
e) de a obţine, din partea operatorului şi a persoanei împuternicite de operator, accesul la toate datele cu caracter personal şi la toate informaţiile necesare pentru îndeplinirea sarcinilor sale;
f) de a obţine accesul la oricare dintre încăperile operatorului şi ale persoanei împuternicite de operator, inclusiv la orice echipamente şi mijloace de prelucrare a datelor, în conformitate cu actele normative.
(2) Centrul are următoarele competenţe corective:
a) de a emite avertizări în atenţia unui operator sau a unei persoane împuternicite de operator cu privire la posibilitatea ca operaţiunile de prelucrare preconizate să încalce dispoziţiile prezentei legi;
b) de a emite avertismente adresate unui operator sau unei persoane împuternicite de operator în cazul în care operaţiunile de prelucrare au încălcat dispoziţiile prezentei legi;
c) de a da dispoziţii operatorului sau persoanei împuternicite de operator să se conformeze cererilor persoanei vizate de a-şi exercita drepturile în temeiul prezentei legi;
d) de a da dispoziţii operatorului sau persoanei împuternicite de operator să asigure conformitatea operaţiunilor de prelucrare cu dispoziţiile prezentei legi, specificând, după caz, modalitatea şi termenul-limită pentru aceasta;
e) de a obliga operatorul să informeze persoana vizată cu privire la o încălcare a protecţiei datelor cu caracter personal în modul prevăzut de lege;
f) de a impune o limitare temporară sau definitivă, inclusiv o interdicţie asupra prelucrării, în modul prevăzut de lege;
g) de a dispune rectificarea sau ştergerea datelor cu caracter personal ori restricţionarea prelucrării în temeiul art.16–18, precum şi notificarea acestor acţiuni destinatarilor cărora le-au fost divulgate datele cu caracter personal în conformitate cu art.17 alin.(2) şi cu art.19;
h) de a retrage sau de a obliga organismul de certificare să retragă o certificare acordată în temeiul art.42 şi 43 sau de a obliga organismul de certificare să nu acorde o certificare în cazul în care criteriile de certificare nu sunt sau nu mai sunt îndeplinite;
i) de a aplica amenzi în conformitate cu art.86–88, în completarea sau în locul măsurilor menţionate la prezentul alineat, în funcţie de circumstanţele fiecărui caz în parte;
j) de a dispune suspendarea fluxurilor de date către un destinatar dintr-un alt stat sau către o organizaţie internaţională.
(3) Centrul are următoarele competenţe de autorizare şi de consiliere:
a) de a oferi consiliere operatorului în conformitate cu procedura de consultare prealabilă prevăzută la art.36;
b) de a emite avize, din proprie iniţiativă sau la cerere, Parlamentului, Guvernului, altor autorităţi publice, precum şi publicului, cu privire la orice aspect legat de protecţia datelor cu caracter personal;
c) de a emite avize şi de a aproba proiectele de coduri de conduită în conformitate cu art.40 alin.(5);
d) de a acredita organismele de certificare în conformitate cu art.43;
e) de a emite certificări şi de a aproba criterii de certificare în conformitate cu art.42 alin.(5);
f) de a aproba clauzele standard în materie de protecţie a datelor menţionate la art.28 alin.(7) şi la art.46 alin.(2) lit.c);
g) de a autoriza clauzele contractuale menţionate la art.46 alin.(3) lit.a);
h) de a autoriza acordurile administrative menţionate la art.46 alin.(3) lit.b);
i) de a aproba reguli corporatiste obligatorii în conformitate cu art.47.
(4) Competenţele Centrului sunt exercitate, conform legislaţiei, de către directorul sau directorii adjuncţi ai Centrului, de inspectorii de protecţie a datelor şi de alt personal al Centrului.
Articolul 61. Raportul de activitate
(1) Anual, până la data de 31 martie, Centrul transmite Parlamentului şi Guvernului raportul pentru anul precedent cu privire la activităţile sale, care include, cel puţin, informaţii cu privire la tipurile de încălcări notificate şi tipurile de măsuri luate în conformitate cu art.60 alin.(2).
(2) Raportul de activitate se publică pe pagina web oficială a Centrului.
Secţiunea a 3-a
Organizarea Centrului
Articolul 62. Conducerea Centrului
(1) Centrul este condus de un director, asistat de doi directori adjuncţi.
(2) Funcţiile de director şi director adjunct al Centrului sunt funcţii de demnitate publică şi sunt incompatibile cu orice altă funcţie sau activitate remunerată, cu excepţia activităţilor didactice, ştiinţifice şi de creaţie.
(3) Directorul şi directorii adjuncţi ai Centrului, în cadrul îndeplinirii atribuţiilor lor, sunt independenţi de orice influenţă directă sau indirectă, nu solicită şi nu acceptă instrucţiuni de la o parte externă.
(4) Directorul şi directorii adjuncţi ai Centrului sunt obligaţi să respecte, atât pe parcursul mandatelor, cât şi după încetarea acestora, secretul profesional în ceea ce priveşte informaţiile confidenţiale de care au luat cunoştinţă în cadrul îndeplinirii sarcinilor sau al exercitării competenţelor lor, în special în privinţa raportării de către persoanele fizice a încălcărilor prezentei legi.
Articolul 63. Numirea directorului Centrului
(1) Directorul Centrului se numeşte în funcţie de Parlament, prin concurs, pentru un mandat de 7 ani. O persoană nu poate fi numită în funcţia de director al Centrului pentru două mandate consecutive.
(2) Poate candida la funcţia de director al Centrului persoana care îndeplineşte următoarele condiţii:
a) deţine cetăţenia Republicii Moldova;
b) nu este supusă unei măsuri de ocrotire judiciare sub forma tutelei;
c) are studii superioare de licenţă în domeniul dreptului;
d) are o vechime în muncă de cel puţin 5 ani în domeniul dreptului;
e) are o reputaţie ireproşabilă;
f) nu este membru al unui partid politic;
g) este aptă din punct de vedere medical pentru exercitarea funcţiei, conform certificatului medical de sănătate eliberat în condiţiile legii;
h) cunoaşte limba română.
(3) Se consideră că nu are o reputaţie ireproşabilă, în sensul alin.(1) lit.e), persoana:
a) care are antecedente penale;
b) care a fost privată de dreptul de a ocupa anumite funcţii sau a exercita anumite activităţi, ca pedeapsă principală sau complementară, printr-o hotărâre judecătorească definitivă;
c) în privinţa căreia s-a constatat, printr-un act definitiv, încălcarea regimului juridic al conflictelor de interese, al incompatibilităţilor, al restricţiilor şi al limitărilor;
d) în privinţa căreia există o hotărâre irevocabilă a instanţei de judecată prin care s-a dispus confiscarea averii nejustificate;
e) care are, în ultimii 5 ani, în cazierul privind integritatea profesională, înscrieri cu privire la rezultatul negativ al testului de integritate profesională pentru încălcarea obligaţiei prevăzute la art.7 alin.(2) lit.a) din Legea nr.325/2013 privind evaluarea integrităţii instituţionale;
f) care are interdicţia de a ocupa o funcţie publică sau de demnitate publică, ce derivă dintr-un act de constatare al Autorităţii Naţionale de Integritate.
(4) Concursul pentru selectarea directorului Centrului se organizează de Comisia juridică, numiri şi imunităţi a Parlamentului cu cel puţin 3 luni înainte de expirarea mandatului directorului în exerciţiu.
(5) Concursul se desfăşoară în mod public. Informaţia despre organizarea şi desfăşurarea concursului, despre cerinţele faţă de candidaţi şi despre actele care urmează a fi prezentate se plasează pe pagina web oficială a Parlamentului şi se publică în mijloacele de informare în masă cu cel puţin 30 de zile înainte de data desfăşurării concursului.
(6) Concursul se consideră valabil dacă la el participă cel puţin doi candidaţi. În cazul în care nu au fost depuse suficiente dosare de participare la concurs sau candidaţii nu întrunesc cerinţele stabilite de prezenta lege, se anunţă un concurs repetat, care se organizează în termen de 30 de zile.
(7) CV-urile candidaţilor se plasează pe pagina web oficială a Parlamentului pentru consultarea publicului.
(8) Evaluarea candidaţilor se efectuează de Comisia juridică, numiri şi imunităţi a Parlamentului.
(9) După evaluare, comisia propune Parlamentului candidatul pentru a fi numit în funcţia de director al Centrului.
(10) Candidatul propus se numeşte în funcţia de director al Centrului cu votul majorităţii deputaţilor aleşi. În cazul în care nu s-a întrunit numărul necesar de voturi pentru numirea directorului, Comisia juridică, numiri şi imunităţi a Parlamentului, în termen de 15 zile, anunţă un nou concurs care va fi organizat şi desfăşurat în conformitate cu prezentul articol.
(11) La data numirii în funcţie, directorul Centrului depune în faţa Parlamentului următorul jurământ:
„Jur să-mi exercit obligaţiile funcţionale cu credinţă şi integritate, în serviciul Republicii Moldova, să respect Constituţia şi legile Republicii Moldova, să protejez drepturile şi libertăţile fundamentale ale omului, democraţia şi bunăstarea poporului.”
(12) Refuzul persoanei de a depune jurământul atrage nulitatea numirii sale în funcţie.
Articolul 64. Numirea directorilor adjuncţi ai Centrului
(1) Directorii adjuncţi ai Centrului se numesc în funcţie de Parlament la propunerea directorului Centrului, pentru un mandat de 7 ani.
(2) Poate fi numită în funcţia de director adjunct al Centrului persoana care îndeplineşte condiţiile prevăzute la art.63 alin.(2) şi (3).
(3) Persoana propusă de directorul Centrului se numeşte în funcţia de director adjunct cu votul majorităţii deputaţilor aleşi.
Articolul 65. Atribuţiile directorului şi ale directorilor adjuncţi ai Centrului
(1) Directorul Centrului exercită următoarele atribuţii:
a) conduce, organizează şi controlează activitatea Centrului;
b) reprezintă Centrul pe plan naţional şi internaţional;
c) asigură monitorizarea aplicării prezentei legi şi a altor acte normative privind prelucrarea datelor cu caracter personal;
d) în temeiul şi în scopul executării legii, emite ordine, decizii şi dispoziţii;
e) aprobă îndrumări metodologice în vederea asigurării unei interpretări şi aplicări adecvate a prezentei legi şi a altor acte normative privind prelucrarea datelor cu caracter personal;
f) aprobă sau modifică statul de personal al Centrului în conformitate cu structura şi efectivul-limită stabilit;
g) aprobă regulamentele subdiviziunilor Centrului;
h) numeşte în funcţii inspectorii de protecţie a datelor, modifică, suspendă şi dispune încetarea raporturilor de serviciu ale acestora, în condiţiile legii;
i) numeşte în funcţii funcţionarii publici şi personalul contractual din aparatul Centrului, modifică, suspendă şi dispune încetarea raporturilor de serviciu sau de muncă ale acestora în condiţiile legii;
j) soluţionează, conform legislaţiei, aspectele ce ţin de stabilirea sporurilor la salariu şi de acordarea primelor;
k) organizează şi implementează sistemul de control intern managerial şi poartă răspundere managerială pentru administrarea bugetului Centrului şi a patrimoniului public aflat în gestiune;
l) gestionează finanţele publice şi administrează patrimoniul public al Centrului în conformitate cu principiile bunei guvernări;
m) poate delega o parte din atribuţiile sale directorilor adjuncţi ai Centrului sau funcţionarilor publici din cadrul Centrului;
n) alte atribuţii prevăzute de legislaţie.
(2) Directorii adjuncţi ai Centrului asistă directorul în conducerea Centrului şi exercită atribuţiile delegate de către director. În cazul absenţei directorului Centrului sau al vacanţei funcţiei acestuia, toate atribuţiile lui sunt exercitate de către directorul adjunct desemnat prin ordinul directorului Centrului.
Articolul 66. Încetarea mandatului directorului şi al directorilor adjuncţi ai Centrului
(1) Mandatul directorului, precum şi cel al directorului adjunct al Centrului încetează în cazul:
a) demisiei;
b) revocării;
c) expirării mandatului;
d) atingerii vârstei de pensionare;
e) decesului.
(2) Revocarea directorului sau a directorului adjunct al Centrului se face în cazul în care:
a) a săvârşit o încălcare gravă a obligaţiilor funcţionale prevăzute de lege;
b) nu şi-a depus declaraţia de avere şi interese personale ori a refuzat să o depună;
c) a obţinut calitatea de membru al unui partid politic;
d) a rămas definitivă o sentinţă de condamnare a acestuia;
e) survin circumstanţe care fac ca acesta să nu mai corespundă condiţiilor stabilite la art.63;
f) din motive de sănătate, este în imposibilitate de a-şi exercita atribuţiile pe o perioadă mai mare de 3 luni consecutive;
g) este declarat dispărut fără veste, conform legislaţiei.
(3) Temeiurile prevăzute la alin.(1) şi (2) se constată în cadrul şedinţei plenare a Parlamentului, în baza raportului Comisiei juridice, numiri şi imunităţi, prin adoptarea unei hotărâri a Parlamentului prin care se ia act de apariţia situaţiei ce determină încetarea mandatului. Încetarea mandatului directorului, precum şi a celui al directorului adjunct al Centrului se adoptă de către Parlament cu votul majorităţii deputaţilor aleşi.
(4) În cazul expirării mandatului directorului Centrului, acesta continuă să îşi exercite atribuţiile până la numirea unui nou director al Centrului.
(5) Mandatul directorilor adjuncţi ai Centrului se încheie odată cu mandatul directorului Centrului. Aceştia continuă să îşi exercite atribuţiile până la numirea unor noi directori adjuncţi.
Articolul 67. Personalul Centrului
(1) Personalul Centrul este compus din persoane cu funcţii de demnitate publică, funcţionari publici şi personal contractual.
(2) Atribuţiile şi sarcinile personalului Centrului se stabilesc prin regulament intern, aprobat prin ordinul directorului Centrului.
Articolul 68. Inspectorul de protecţie a datelor
(1) Inspectorul de protecţie a datelor este responsabil de examinarea plângerilor cu privire la presupusele încălcări ale prezentei legi, de investigarea cu privire la aplicarea legislaţiei privind protecţia datelor cu caracter personal, precum şi de alte sarcini prevăzute de legislaţie.
(2) Funcţia de inspector de protecţie a datelor este o funcţie publică cu statut special, exercitată în modul stabilit de prezenta lege şi de Legea nr.158/2008 cu privire la funcţia publică şi statutul funcţionarului public.
(3) Inspectorul de protecţie a datelor primeşte legitimaţie de serviciu în modul stabilit de Centru.
Articolul 69. Numirea în funcţia de inspector de protecţie a datelor
(1) Poate candida la funcţia de inspector de protecţie a datelor persoana care îndeplineşte cumulativ următoarele condiţii:
a) deţine cetăţenia Republicii Moldova;
b) are domiciliul pe teritoriul Republicii Moldova;
c) nu este supusă unei măsuri de ocrotire judiciare sub forma tutelei;
d) are studii superioare în domeniul dreptului sau în domeniul tehnologiilor informaţionale;
e) are o reputaţie ireproşabilă;
f) cunoaşte limba română.
(2) Se consideră că nu are o reputaţie ireproşabilă, în sensul alin.(1) lit.e), persoana:
a) care are antecedente penale;
b) care a fost privată de dreptul de a ocupa anumite funcţii sau a exercita anumite activităţi, ca pedeapsă principală sau complementară, printr-o hotărâre judecătorească definitivă;
c) în privinţa căreia s-a constatat, printr-un act definitiv, încălcarea regimului juridic al conflictelor de interese, al incompatibilităţilor, restricţiilor şi limitărilor;
d) în privinţa căreia există o hotărâre irevocabilă a instanţei de judecată prin care s-a dispus confiscarea averii nejustificate;
e) care are, în ultimii 5 ani, în cazierul privind integritatea profesională, înscrieri cu privire la rezultatul negativ al testului de integritate profesională pentru încălcarea obligaţiei prevăzute la art.7 alin.(2) lit.a) din Legea nr.325/2013 privind evaluarea integrităţii instituţionale;
f) care are interdicţia de a ocupa o funcţie publică sau de demnitate publică, ce derivă dintr-un act de constatare al Autorităţii Naţionale de Integritate.
Articolul 70. Răspunderea inspectorului de protecţie a datelor
(1) Inspectorul de protecţie a datelor este responsabil de legalitatea acţiunilor realizate în cadrul procedurilor de investigare, precum şi de calitatea investigaţiei efectuate.
(2) Inspectorul de protecţie a datelor poartă răspundere disciplinară, contravenţională, civilă sau penală în conformitate cu legislaţia.
Articolul 71. Statutul personalului Centrului
Activitatea personalului Centrului este supusă reglementărilor din prezenta lege şi, după caz, din Legea nr.199/2010 cu privire la statutul persoanelor cu funcţii de demnitate publică, Legea nr.158/2008 cu privire la funcţia publică şi statutul funcţionarului public, legislaţia muncii.
Capitolul VIII
REMEDIILE LEGALE, RĂSPUNDEREA ŞI SANCŢIUNILE
Secţiunea 1
Dispoziţii generale
Articolul 72. Dreptul de a depune o plângere la Centru
(1) Fără a aduce atingere art.74, orice persoană vizată are dreptul de a depune o plângere la Centru în cazul în care consideră că prelucrarea datelor cu caracter personal care o privesc încalcă prezenta lege.
(2) Termenul de prescripţie pentru depunerea plângerii este de un an de la data la care persoana putea să ia cunoştinţă de presupusa încălcare, însă nu mai târziu de 3 ani de la data presupusei încălcări.
(3) În cazul unei presupuse încălcări continue sau prelungite, termenul de prescripţie începe să curgă de la data săvârşirii ultimei acţiuni sau inacţiuni.
(4) În cazul în care plângerea este depusă după expirarea termenului de prescripţie prevăzut la alin.(2) şi (3), Centrul o respinge.
(5) Centrul informează autorul plângerii cu privire la evoluţia şi rezultatul plângerii, inclusiv cu privire la posibilitatea de a contesta actele Centrului în conformitate cu art.73.
(6) Prevederile Codului administrativ se aplică numai în măsura în care nu contravin prezentei legi.
Articolul 73. Dreptul de a contesta acţiunile sau inacţiunile Centrului
(1) Acţiunile sau inacţiunile Centrului pot fi contestate direct în instanţa de judecată, conform Codului administrativ, fără respectarea procedurii prealabile.
(2) În cazul în care Centrul nu examinează o plângere sau nu informează persoana vizată în termen de 3 luni cu privire la progresele ori la soluţionarea plângerii depuse conform art.72, persoana afectată poate contesta inacţiunile Centrului direct în instanţa de judecată, conform Codului administrativ, fără respectarea procedurii prealabile.
Articolul 74. Dreptul de a depune o cerere de chemare în judecată împotriva unui operator sau unei persoane împuternicite de operator
Fără a aduce atingere art.72 şi 73, precum şi fără a aduce atingere modalităţilor alternative de soluţionare a litigiilor, orice persoană vizată are dreptul de a depune o cerere de chemare în judecată la instanţa judecătorească competentă în cazul în care consideră că drepturile de care beneficiază în temeiul prezentei legi au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal fără respectarea prezentei legi.
Articolul 75. Reprezentarea persoanelor vizate
Persoana vizată are dreptul de a mandata un organism, o organizaţie sau o asociaţie fără scop lucrativ, care au fost constituite în mod corespunzător în conformitate cu legislaţia, ale căror obiective statutare sunt de interes public, care sunt active în domeniul protecţiei drepturilor şi libertăţilor persoanelor vizate în ceea ce priveşte protecţia datelor lor cu caracter personal, să depună plângerea în numele său, să exercite în numele său drepturile menţionate la art.72–74, precum şi să exercite în numele său dreptul de a primi despăgubiri menţionat la art.76, dacă acest lucru este prevăzut în actele normative.
Articolul 76. Dreptul la despăgubiri şi răspunderea
(1) Orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentei legi are dreptul să obţină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit.
(2) Orice operator implicat în operaţiunile de prelucrare este răspunzător pentru prejudiciul cauzat de operaţiunile sale de prelucrare care încalcă prezenta lege. Persoana împuternicită de operator este răspunzătoare pentru prejudiciul cauzat de prelucrare numai în cazul în care nu a respectat obligaţiile din prezenta lege care revin în mod specific persoanelor împuternicite de operator sau a acţionat în afara ori în contradicţie cu instrucţiunile legale ale operatorului.
(3) Operatorul sau persoana împuternicită de operator sunt exoneraţi de răspundere în temeiul alin.(2) dacă dovedesc că nu sunt răspunzători în niciun fel pentru evenimentul care a cauzat prejudiciul.
(4) În cazul în care mai mulţi operatori sau mai multe persoane împuternicite de operator, sau un operator şi o persoană împuternicită de operator sunt implicaţi în aceeaşi operaţiune de prelucrare şi răspund, în temeiul alin.(2) şi (3), pentru orice prejudiciu cauzat de prelucrare, fiecare operator sau persoană împuternicită de operator este răspunzătoare pentru întregul prejudiciu pentru a asigura despăgubirea efectivă a persoanei vizate.
(5) În cazul în care un operator sau o persoană împuternicită de operator a plătit, în conformitate cu alin.(4), în totalitate despăgubirile pentru prejudiciul cauzat, respectivul operator sau respectiva persoană împuternicită de operator are dreptul să solicite de la ceilalţi operatori sau celelalte persoane împuternicite de operator implicate în aceeaşi operaţiune de prelucrare recuperarea acelei părţi din despăgubiri care corespunde părţii lor de răspundere pentru prejudiciu, conform condiţiilor stabilite la alin.(2).
(6) Acţiunile în exercitarea dreptului de recuperare a despăgubirilor se depun la instanţele judecătoreşti competente în conformitate cu legislaţia.
Secţiunea a 2-a
Examinarea preliminară, investigarea şi luarea deciziilor
Articolul 77. Iniţierea procedurii de examinare
(1) Centrul iniţiază procedura de examinare a presupuselor cazuri de încălcare a prezentei legi sau a altor acte normative privind prelucrarea datelor cu caracter personal:
a) la plângerea unei persoane vizate; sau
b) din oficiu.
(2) Centrul poate iniţia examinarea din oficiu în baza informaţiilor de care dispune cu privire la presupusa încălcare a legislaţiei, în conformitate cu art.81.
Articolul 78. Etapele procedurii de examinare
(1) Procedura de examinare a presupuselor cazuri de încălcare a legislaţiei privind prelucrarea datelor cu caracter personal cuprinde:
a) examinarea preliminară; şi/sau
b) investigarea.
(2) Investigarea pe marginea cazului se dispune în condiţiile art.81. În celelalte cazuri, etapa investigării este omisă.
Articolul 79. Depunerea plângerii
(1) Plângerea depusă la Centru în conformitate cu art.72 conţine următoarele elemente:
a) numele şi prenumele persoanei vizate;
b) domiciliul persoanei vizate, precum şi adresa de poştă electronică, dacă se solicită răspuns pe această cale;
c) specificarea tuturor circumstanţelor de fapt şi de drept referitoare la pretinsa încălcare a legislaţiei privind prelucrarea datelor cu caracter personal în legătură cu persoana vizată;
d) informaţii care permit identificarea operatorului sau a persoanei împuternicite de operator, în măsura în care este posibil;
e) informaţii privind depunerea plângerii în termenul de prescripţie prevăzut la art.72 alin.(2) şi (3);
f) măsurile solicitate de a fi întreprinse de Centru;
g) după caz, informaţii privind adresările înaintate operatorului sau persoanei împuternicite de operator, precum şi rezultatul acestor adresări;
h) după caz, alte informaţii relevante, în special dacă obiectul plângerii a fost examinat sau se examinează de o instanţă de judecată ori dacă autorul plângerii a întreprins alte măsuri, inclusiv, după caz, rezultatul lor;
i) semnătura persoanei vizate sau a reprezentantului său legal ori împuternicit, iar în cazul plângerilor transmise în formă electronică – semnătura electronică.
(2) Plângerea este însoţită, după caz, de:
a) documentul confirmativ al reprezentantului legal, procura sau împuternicirea în baza semnăturii electronice a reprezentantului împuternicit;
b) mandatul acordat în temeiul art.75;
c) documente şi probe pe care autorul le consideră utile în susţinerea plângerii sale.
(3) Centrul facilitează depunerea plângerilor prin punerea la dispoziţia publicului a formularului plângerii, inclusiv în format electronic, fără a exclude alte mijloace de comunicare.
Articolul 80. Examinarea preliminară a plângerii
(1) Examinarea preliminară a plângerii care vizează presupusa încălcare a legislaţiei privind prelucrarea datelor cu caracter personal se efectuează în termen de 30 de zile de la data înregistrării plângerii.
(2) În cadrul examinării preliminare a plângerii, Centrul determină dacă există temeiuri rezonabile pentru a suspecta încălcarea legislaţiei privind prelucrarea datelor cu caracter personal.
(3) Plângerile anonime sau cele depuse fără indicarea adresei poştale sau electronice a persoanei vizate nu se examinează.
(4) Dacă plângerea nu corespunde cerinţelor prevăzute la art.79 alin.(1) lit.c)–f), i) sau alin.(2) lit.a) sau b), persoana vizată este informată cu privire la neajunsuri şi i se acordă un termen rezonabil pentru înlăturarea lor. În cazul în care neajunsurile nu se înlătură în termenul acordat, plângerea nu se examinează, fapt despre care este informată persoana vizată.
(5) În cazul în care consideră că, în baza informaţiilor prezentate de autorul plângerii şi a altor informaţii relevante, nu există temeiuri rezonabile pentru a suspecta încălcarea legislaţiei privind prelucrarea datelor cu caracter personal, Centrul respinge motivat plângerea şi informează persoana vizată despre acest fapt.
(6) La respingerea unei plângeri pe motiv că comportamentul sesizat nu contravine legislaţiei privind prelucrarea datelor cu caracter personal sau nu intră în domeniul de aplicare a acesteia, Centrul nu este obligat să ţină cont de circumstanţele care nu i-au fost aduse la cunoştinţă de către autorul plângerii.
(7) Dacă, în procesul examinării preliminare a plângerii sau al investigării în conformitate cu art.81, există bănuieli rezonabile privind săvârşirea unei infracţiuni, Centrul sesizează organul de urmărire penală. În acest caz, examinarea preliminară sau investigarea continuă. Organul de urmărire penală este obligat să informeze Centrul cu privire la decizia luată.
Articolul 81. Investigaţia
(1) Investigaţia reprezintă activitatea de colectare şi administrare a informaţiilor privind legalitatea prelucrării datelor cu caracter personal acumulate în condiţiile prevăzute de prezenta lege.
(2) Dacă după examinarea preliminară a plângerii se consideră că, în baza informaţiilor prezentate de persoana vizată şi a celor acumulate pe parcursul examinării preliminare, există temeiuri rezonabile pentru a suspecta încălcarea legislaţiei privind protecţia datelor cu caracter personal, Centrul emite o dispoziţie de iniţiere a investigaţiei.
(3) Investigaţiile din oficiu se pot efectua:
a) ca urmare a transmiterii notificărilor de încălcare a securităţii datelor cu caracter personal;
b) pentru verificarea unor date şi informaţii cu privire la presupuse încălcări ale legislaţiei privind prelucrarea datelor cu caracter personal, obţinute de Centru din alte surse decât cele care fac obiectul plângerii sau notificării de încălcare a securităţii datelor cu caracter personal, cum ar fi sesizările sau informaţiile primite de la o altă autoritate de supraveghere sau de la o altă autoritate publică, corespondenţa primită de Centru, mass-media, accesarea reţelei de internet, documentele de constatare întocmite în urma efectuării altor investigaţii sau orice alte informaţii. Asemenea surse pot constitui temei pentru iniţierea unei investigaţii din oficiu doar dacă circumstanţele sau informaţiile pe care acestea le conţin indică în mod rezonabil asupra unei posibile încălcări a legislaţiei privind prelucrarea datelor cu caracter personal;
c) în vederea cooperării internaţionale în domeniul protecţiei datelor cu caracter personal, în cadrul operaţiunilor comune şi al acordării de asistenţă reciprocă.
(4) Dispoziţia de iniţiere a investigaţiei din oficiu trebuie să conţină analiza şi argumentarea necesară privind îndeplinirea condiţiilor stabilite la alin.(3).
(5) Investigaţia din oficiu poate fi iniţiată doar în termenele de prescripţie prevăzute la art.72 alin.(2) şi (3).
(6) Dispoziţia de iniţiere a investigaţiei nu stabileşte comiterea unei încălcări a legislaţiei privind prelucrarea datelor cu caracter personal. Încălcarea legislaţiei privind prelucrarea datelor cu caracter personal se constată prin decizie a Centrului.
(7) La efectuarea investigaţiei, Centrul ia în considerare prioritar posibilitatea efectuării acesteia prin solicitarea documentaţiei şi a altor informaţii direct de la persoana supusă investigaţiei şi de la alte persoane implicate în investigaţie sau prin alte metode care fac posibilă obţinerea unor astfel de date. Doar în cazul insuficienţei documentaţiei şi a informaţiei deţinute pentru a stabili respectarea legislaţiei de către persoana supusă investigaţiei, Centrul realizează investigaţia cu ieşirea la faţa locului, prin emiterea unei delegaţii în acest sens. Investigaţia la faţa locului poate fi efectuată numai dacă există indicii că pot fi găsite documente sau pot fi obţinute informaţii considerate necesare pentru investigaţia presupusului caz de încălcare a legislaţiei privind protecţia datelor cu caracter personal, iniţiată prin dispoziţie, fapt care nu necesită a fi demonstrat persoanei supuse investigaţiei. În cazul solicitărilor directe de informaţii, fără ieşirea la faţa locului, în demersurile adresate, Centrul specifică datele indicate la alin.(8), exceptând lit.a).
(8) Delegaţia de efectuare a investigaţiei cu ieşirea la faţa locului va conţine cel puţin:
a) numărul şi data emiterii;
b) datele de identificare ale Centrului;
c) trimiterea la prevederile legale în baza cărora se realizează investigaţia;
d) temeiul iniţierii investigaţiei;
e) datele despre inspectorii de protecţie a datelor care realizează investigaţia cu ieşirea la faţa locului (numele, prenumele şi funcţia);
f) datele despre persoana fizică sau juridică supusă investigaţiei (după caz, numele/denumirea persoanei; codul fiscal; adresa/sediul subdiviziunii controlate şi codul acesteia, după caz, alte date de contact);
g) obiectul investigaţiei;
h) scopul şi aspectele ce urmează a fi investigate;
i) data începerii investigaţiei şi durata preconizată a acesteia.
(9) Delegaţia de efectuare a investigaţiei cu ieşire la faţa locului se aduce la cunoştinţa, sub semnătură, a persoanei supuse investigaţiei ori a reprezentantului legal sau împuternicit. În cazul refuzului primirii şi semnării delegaţiei se întocmeşte un act în prezenţa a doi martori. Prezenţa martorilor nu este necesară în cazul înregistrării refuzului prin mijloace video şi audio.
(10) Inspectorii de protecţie a datelor, în limita împuternicirilor ce rezultă din alin.(7) şi (8), au următoarele drepturi:
a) să obţină acces la toate datele cu caracter personal şi la toate informaţiile necesare pentru efectuarea investigaţiei, indiferent de suportul pe care sunt stocate, inclusiv la orice documente, sisteme de evidenţă, produse de program, echipamente şi mijloace de prelucrare a datelor;
b) să aibă acces în orice spaţii şi încăperi legate de obiectul şi scopul investigaţiei, aflate în proprietatea sau folosinţa persoanelor supuse investigaţiei;
c) să solicite şi să primească informaţiile, documentele şi explicaţiile solicitate în termenul stabilit, care trebuie să fie unul rezonabil, ţinând cont de volumul şi complexitatea informaţiilor, a documentelor şi a explicaţiilor solicitate. Termenul poate fi prelungit la solicitarea motivată a persoanei supuse investigaţiei;
d) să audieze persoana supusă investigaţiei sau reprezentantul legal sau împuternicit al acesteia asupra faptelor relevante pentru obiectul investigaţiei şi, după caz, să înregistreze răspunsurile acestora, inclusiv prin mijloace audio şi/sau video, cu informarea prealabilă a persoanei audiate. La cerere, o copie a înregistrării este transmisă persoanei supuse investigaţiei;
e) să solicite şi să primească informaţiile referitoare la obiectul şi scopul investigaţiei, stocate pe calculatoare sau alte dispozitive electronice, într-o formă care să permită ridicarea şi transportarea acestora, precum şi examinarea lor;
f) să solicite sprijinul subdiviziunilor abilitate ale Ministerului Afacerilor Interne, care sunt obligate să acorde asistenţa necesară inspectorilor de protecţie a datelor pentru efectuarea investigaţiei. La efectuarea investigaţiei pot fi antrenaţi, după caz, şi experţi din anumite domenii, împuterniciţi de Centru, care sunt obligaţi să asigure confidenţialitatea informaţiilor de care au făcut cunoştinţă în cadrul investigaţiei.
(11) Pe parcursul efectuării investigaţiei, inspectorii de protecţie a datelor sunt obligaţi:
a) să informeze persoana supusă investigaţiei despre drepturile şi obligaţiile acesteia;
b) să prezinte delegaţia de efectuare a investigaţiei cu ieşire la faţa locului sau, în cazul solicitării documentaţiei şi a altor informaţii direct de la persoana supusă investigaţiei, informaţiile prevăzute la alin.(8) lit.b)–i);
c) să efectueze investigaţia în conformitate cu împuternicirile atribuite de prezenta lege, ţinând cont de obiectul şi scopul acesteia.
(12) Pe parcursul efectuării investigaţiei, persoana supusă investigaţiei are următoarele drepturi:
a) să obţină o copie a delegaţiei de efectuare a investigaţiei la faţa locului sau, după caz, informaţiile prevăzute la alin.(8) lit.b)–i);
b) să prezinte probe în cadrul efectuării investigaţiei;
c) să prezinte explicaţii înregistrate sub orice formă referitoare la obiectul şi scopul investigaţiei;
d) să fie asistată de avocaţi, de alţi reprezentanţi împuterniciţi conform legislaţiei.
(13) Persoana supusă investigaţiei cu ieşire la faţa locului poate fi asistată de avocat. Absenţa avocatului nu împiedică desfăşurarea acţiunilor de investigaţie.
(14) Toate persoanele juridice de drept public sau de drept privat şi persoanele fizice sunt obligate să se supună investigaţiei efectuate de Centru, inclusiv prin asigurarea condiţiilor pentru buna desfăşurare a investigaţiei.
(15) Investigaţia la faţa locului se desfăşoară în orele de program ale persoanei supuse investigaţiei sau, în lipsa acestora, între orele 09:00 şi 17:00 şi se efectuează în prezenţa persoanei supuse investigaţiei sau a reprezentantului acestuia. Investigaţia poate continua şi după orele de program sau, după caz, după ora 17:00 numai cu acordul persoanei supuse investigaţiei sau al reprezentantului acestuia.
(16) Accesul inspectorilor de protecţie a datelor în domiciliul sau reşedinţa persoanei fizice în lipsa consimţământului acesteia se permite numai în baza mandatului judecătoresc emis în condiţiile alin.(17)–(20) şi prezentat persoanei fizice respective.
(17) În situaţia în care inspectorii sunt împiedicaţi în orice mod în exercitarea atribuţiilor, precum şi în cazul în care există o suspiciune întemeiată că informaţiile, documentele, echipamentele, mijloacele sau suporturile relevante obiectului investigaţiei care pot fi pertinente pentru a dovedi o încălcare gravă a prezentei legi sunt păstrate în încăperi, pe terenuri sau în mijloace de transport ocupate de persoane fizice, Centrul poate solicita un mandat judecătoresc, în condiţiile prezentei legi, printr-o cerere adresată instanţei judecătoreşti în a cărei rază teritorială îşi are sediul Centrul. Cererea de autorizare trebuie să cuprindă toate informaţiile de natură să justifice investigaţia, iar judecătorul sesizat este ţinut să verifice dacă cererea este întemeiată.
(18) Mandatul judecătoresc poate fi eliberat numai dacă:
a) există o suspiciune întemeiată că în încăperile, pe terenurile sau în mijloacele de transport ce urmează a fi supuse investigaţiei sunt păstrate informaţii, documente, echipamente, mijloace sau suporturi relevante obiectului investigaţiei a căror prezentare a fost solicitată de Centru în conformitate cu prezenta lege, dar care nu au fost prezentate în termenul stabilit;
b) există o suspiciune întemeiată că în încăperile, pe terenurile sau în mijloacele de transport ce urmează a fi supuse investigaţiei sunt păstrate informaţii, documente, echipamente, mijloace sau suporturi relevante pentru obiectul investigaţiei a căror prezentare poate fi solicitată de Centru în conformitate cu prezenta lege şi care, dacă ar fi fost cerute, nu ar fi fost prezentate, ci ar fi fost ascunse, înlăturate, modificate sau distruse; sau
c) inspectorilor de protecţie a datelor le-a fost restricţionat accesul în încăperile, pe terenurile sau în mijloacele de transport ce urmează a fi supuse investigaţiei, fiind create impedimente de către persoanele fizice sau juridice supuse investigaţiei şi există o suspiciune întemeiată că în încăperile, pe terenurile sau în mijloacele de transport respective sunt păstrate informaţii, documente, echipamente, mijloace sau suporturi relevante pentru obiectul investigaţiei a căror prezentare a fost solicitată de Centru în conformitate cu prezenta lege.
(19) Mandatul judecătoresc trebuie să conţină scopul şi obiectul investigaţiei, autorizarea emisă, precum şi dreptul de a ataca mandatul cu recurs. Mandatul este valabil o lună de la data emiterii.
(20) În cazul solicitării unui mandat, instanţa de judecată este obligată să verifice dacă dispoziţia de iniţiere a investigaţiei este autentică şi dacă măsurile coercitive preconizate nu sunt arbitrare sau excesive, având în vedere obiectul investigaţiei. Atunci când verifică proporţionalitatea măsurilor coercitive, instanţa de judecată poate solicita Centrului explicaţii detaliate, în special privind temeiurile care determină Centrul să suspecteze încălcarea prezentei legi, precum şi gravitatea încălcării suspectate, importanţa probelor căutate, natura implicării persoanei supuse investigaţiei în cauză şi probabilitatea rezonabilă că informaţiile, documentele, echipamentele, mijloacele sau suporturile relevante obiectului investigaţiei se păstrează în locul pentru care se solicită mandatul.
(21) Mandatul judecătoresc emis în conformitate cu alin.(17)–(20) poate fi atacat cu recurs la Curtea de Apel Chişinău, care nu este suspensiv de executare, dacă instanţa de recurs nu dispune altfel.
(22) Alin.(17)–(21) se aplică în mod corespunzător şi în cazul solicitării de la furnizorii reţelei şi/sau serviciilor de comunicaţii electronice a datelor de trafic şi/sau a datelor de localizare aferente serviciilor de comunicaţii electronice furnizate sau a accesului la datele respective.
(23) Rezultatul investigaţiei este consemnat în proiectul de decizie asupra investigaţiei, care prevede constatarea sau lipsa încălcării, precum şi măsurile corective şi sancţiunile aplicate. Proiectul de decizie se comunică persoanei vizate şi operatorului sau persoanei împuternicite care au fost supuşi investigaţiei, cu acordarea unui termen de 30 de zile pentru înaintarea unor eventuale obiecţii. Termenul prevăzut la alin.(25) se suspendă de la data comunicării proiectului deciziei către părţi până la data prezentării eventualelor obiecţii asupra proiectului deciziei sau, în cazul în care observaţiile nu sunt prezentate în termenul stabilit, până la data expirării termenului stabilit pentru prezentarea observaţiilor.
(24) În cadrul efectuării investigaţiei, inspectorul de protecţie a datelor se supune prevederilor legale şi efectuează acţiunile de investigare necesare. Orice imixtiune din exterior în activitatea de investigare este interzisă şi se pedepseşte conform legislaţiei.
(25) Termenul de efectuare a investigaţiei este de până la 6 luni de la data iniţierii investigaţiei, cu posibilitatea prelungirii justificate cu câte o lună, dar nu mai mult de 12 luni de la data iniţierii acesteia, în funcţie de complexitatea cauzei, de volumul de informaţii ce urmează a fi obţinute şi examinate, de comportamentul participanţilor la procedura de investigaţie şi de alte aspecte relevante. Centrul informează persoana vizată cu privire la prelungirea termenului de efectuare a investigaţiei, precum şi la motivele acestei prelungiri.
Articolul 82. Solicitarea informaţiilor
(1) În scopul exercitării atribuţiilor sale, Centrul are dreptul să solicite şi să obţină gratuit, asigurând confidenţialitatea informaţiei, de la persoanele juridice de drept public şi de drept privat şi de la persoanele fizice orice documente şi informaţii necesare, inclusiv în format digital, care sunt accesibile şi pot fi relevante pentru aplicarea legii, fără să poată fi invocată confidenţialitatea urmăririi penale, a secretului bancar, a secretului comercial, a secretului fiscal, a secretului medical, a secretului profesional (cu excepţia secretului profesional prevăzut la art.55 din Legea nr.1260/2002 cu privire la avocatură), a datelor cu caracter personal şi a altor informaţii cu accesibilitate limitată.
(2) Centrul solicită în scris informaţiile necesare, indică temeiul juridic şi scopul solicitării informaţiilor şi stabileşte un termen rezonabil în care acestea trebuie furnizate, care este de cel puţin 5 zile lucrătoare, specificând şi sancţiunile prevăzute de lege.
(3) Solicitările de informaţii trebuie să fie proporţionale şi să nu oblige persoana supusă investigaţiei să recunoască faptul că a comis o încălcare. Persoana supusă investigaţiei este obligată să răspundă la întrebări factuale şi să furnizeze documente chiar dacă acestea pot fi folosite pentru a stabili, împotriva sa sau a altei persoane, existenţa unei încălcări.
(4) În cadrul efectuării investigaţiilor, comunicările dintre persoana supusă investigaţiei şi avocatul acesteia, realizate în cadrul şi în scopul exclusiv al exercitării dreptului la apărare al persoanei supuse investigaţiei, care se referă la obiectul investigaţiei, nu pot fi folosite ca probă pentru constatarea unei încălcări a legislaţiei privind protecţia datelor cu caracter personal. Dacă persoana supusă investigaţiei nu dovedeşte caracterul protejat al comunicării, aceasta se sigilează şi se ridică în două exemplare.
În procesul-verbal al investigaţiei la faţa locului se stabileşte un termen în care persoana supusă investigaţiei urmează să remită probele şi explicaţiile de natură a demonstra caracterul protejat al comunicării. Directorul Centrului decide, în regim de urgenţă, cu privire la caracterul protejat al comunicării pe baza cererii, precum şi a probelor şi argumentelor prezentate de persoana supusă investigaţiei. Dacă directorul Centrului respinge cererea privind caracterul protejat al comunicării, desigilarea documentului poate avea loc doar după expirarea termenului în care ordinul poate fi contestat sau, în cazul în care decizia este contestată, după ce hotărârea instanţei de judecată devine irevocabilă. Ordinul directorului Centrului de respingere a cererii cu privire la caracterul protejat al comunicării poate fi atacat în termen de 15 zile de la comunicare, fără respectarea procedurii prealabile, în conformitate cu prevederile Codului administrativ.
Articolul 83. Confidenţialitatea
(1) Persoanele care, în virtutea drepturilor şi atribuţiilor ce le revin în temeiul prezentei legi, au luat cunoştinţă de informaţiile investigaţiei, precum şi alte persoane cărora le-au devenit cunoscute astfel de informaţii au obligaţia să asigure confidenţialitatea acestora în condiţiile legislaţiei.
(2) Materialele dosarului acumulate în cadrul investigaţiei nu pot fi ridicate, interceptate, obţinute şi/sau utilizate în oricare alte scopuri ulterioare dacă ar putea înrăutăţi situaţia persoanei vizate, cu excepţia cazurilor necesare înfăptuirii justiţiei.
(3) Inspectorul de protecţie a datelor, persoana vizată sau alte persoane care, în virtutea drepturilor şi atribuţiilor ce le revin în temeiul prezentei legi, au luat cunoştinţă sau cărora le-au devenit cunoscute informaţiile din cadrul investigaţiei nu pot fi audiaţi sau interogaţi în ceea ce priveşte esenţa informaţiilor din cadrul investigaţiei de către alte organe sau organizaţii, cu excepţia instanţei de judecată.
Articolul 84. Emiterea şi comunicarea deciziilor
(1) La finalizarea investigaţiei, Centrul emite decizia motivată cu privire la constatarea sau lipsa încălcării legislaţiei privind prelucrarea datelor cu caracter personal şi cu privire la aplicarea măsurilor prevăzute în secţiunea a 3-a, după caz.
(2) Decizia se emite de către directorul Centrului, directorul adjunct sau personalul abilitat cu funcţii de control al Centrului, în conformitate cu competenţele atribuite prin ordinul directorului Centrului. Decizia se comunică persoanei vizate şi persoanei supuse investigaţiei în termen de 10 zile lucrătoare de la data emiterii.
(3) Centrul publică rezumatul deciziilor emise în care reflectă natura încălcărilor depistate, motivarea deciziei, măsurile dispuse, precum şi sancţiunile aplicate.
Articolul 85. Executarea deciziilor Centrului
(1) Deciziile Centrului se execută în termenul menţionat în ele, cu obligaţia de a informa în scris Centrul despre măsurile întreprinse. Centrul poate stabili termenul de executare a deciziei de până la 6 luni, ţinând cont de complexitatea acţiunilor ce urmează a fi efectuate, de gradul de pericol al abaterilor care necesită a fi înlăturate, de posibilităţile persoanei supuse investigaţiei de a îndeplini acţiunile prescrise, precum şi de prescripţiile anterioare, emise în cazuri similare. În cazuri complexe, atunci când decizia Centrului prevede implementarea unor măsuri corective complexe, la solicitarea întemeiată a operatorului sau a persoanei împuternicite de operator, Centrul poate extinde termenul de executare a deciziei peste termenul de 6 luni.
(2) Termenul de executare benevolă a amenzii este de cel puţin două luni de la data comunicării deciziei.
(3) Deciziile Centrului se execută silit în conformitate cu prevederile Codului de executare.
(4) În partea încasării amenzilor aplicate, deciziile Centrului se execută în conformitate cu procedura de executare a creanţelor băneşti, bazată pe dispoziţii de drept public aprobate de Guvern.
Secţiunea a 3-a
Sancţiunile pecuniare
Articolul 86. Amenda
(1) Amenda reprezintă sancţiunea pecuniară aplicată operatorului de către Centru în cazul constatării unei încălcări a prezentei legi.
(2) Amenda aplicată de Centru se varsă la bugetul de stat.
Articolul 87. Condiţii generale pentru aplicarea amenzilor
(1) Centrul asigură faptul că aplicarea amenzilor în conformitate cu prezenta secţiune pentru încălcările prevăzute la art.88 este, în fiecare caz, eficace, proporţională şi disuasivă.
(2) În funcţie de circumstanţe, amenzile sunt aplicate în completarea sau în locul măsurilor menţionate la art.60 alin.(2) lit.a)–h) şi j). În cazul unei încălcări minore sau în cazul în care amenda susceptibilă de a fi aplicată ar constitui o sarcină disproporţionată pentru o persoană fizică, poate fi emis un avertisment în locul unei amenzi. În scopul aplicării unei amenzi, precum şi al determinării cuantumului amenzii, se iau în considerare, în fiecare caz particular, următoarele circumstanţe:
a) natura, gravitatea şi durata încălcării, ţinându-se seama de natura, domeniul de aplicare sau scopul prelucrării în cauză, precum şi de numărul persoanelor vizate afectate şi de nivelul prejudiciilor suferite de acestea;
b) dacă încălcarea a fost comisă intenţionat sau din neglijenţă;
c) orice acţiuni întreprinse de operator sau de persoana împuternicită de operator pentru a reduce prejudiciul suferit de persoana vizată;
d) gradul de responsabilitate al operatorului sau al persoanei împuternicite de operator, ţinându-se seama de măsurile tehnice şi organizatorice implementate de aceştia în temeiul art.25 şi 32;
e) eventualele încălcări anterioare relevante comise de operator sau de persoana împuternicită de operator;
f) gradul de cooperare cu Centrul pentru a remedia încălcarea şi a atenua posibilele efecte negative ale încălcării;
g) categoriile de date cu caracter personal afectate de încălcare;
h) modul în care încălcarea a fost adusă la cunoştinţa Centrului, în special dacă şi în ce măsură operatorul sau persoana împuternicită de operator a notificat despre încălcare;
i) în cazul în care măsurile menţionate la art.60 alin.(2) au fost dispuse anterior împotriva operatorului sau persoanei împuternicite de operator în cauză cu privire la acelaşi obiect, respectarea măsurilor respective;
j) aderarea la coduri de conduită aprobate în conformitate cu art.40 sau la mecanisme de certificare aprobate în conformitate cu art.42; şi
k) orice alt factor agravant sau atenuant aplicabil circumstanţelor cazului, cum ar fi beneficiile financiare dobândite sau pierderile evitate în mod direct sau indirect de pe urma încălcării.
(3) Amenzile pot fi aplicate numai dacă se stabileşte că operatorul a săvârşit intenţionat sau din neglijenţă o încălcare prevăzută la art.88.
(4) În cazul în care un operator sau o persoană împuternicită de operator încalcă în mod intenţionat sau din neglijenţă, pentru aceeaşi operaţiune de prelucrare sau pentru operaţiuni de prelucrare conexe, mai multe dispoziţii din prezenta lege, cuantumul total al amenzii nu poate depăşi suma prevăzută pentru cea mai gravă încălcare.
Articolul 88. Încălcările pasibile de amendă
(1) În conformitate cu art.87, se aplică amenzi de până la 1000000 de lei sau, în cazul unei întreprinderi, de până la 1% din cifra totală de afaceri realizată în anul anterior sancţionării, luându-se în calcul cea mai mare valoare, pentru încălcarea următoarelor dispoziţii:
a) obligaţiile operatorului şi ale persoanei împuternicite de operator, în conformitate cu art.8, 11, 25–39, 42 şi 43;
b) obligaţiile organismului de certificare, în conformitate cu art.42 şi 43;
c) obligaţiile organismului de monitorizare, în conformitate cu art.41 alin.(4).
(2) În conformitate cu art.87, se aplică amenzi de până la 2000000 de lei sau, în cazul unei întreprinderi, de până la 2% din cifra totală de afaceri realizată în anul anterior sancţionării, luându-se în calcul cea mai mare valoare, pentru încălcarea următoarelor dispoziţii:
a) principiile de bază pentru prelucrare, inclusiv condiţiile privind consimţământul, în conformitate cu art.5–7 şi 9;
b) drepturile persoanelor vizate, în conformitate cu art.12–22;
c) transferurile de date cu caracter personal către un destinatar dintr-un alt stat sau către o organizaţie internaţională, în conformitate cu art.44–49;
d) obligaţiile prevăzute la capitolul VI;
e) nerespectarea unei măsuri corective sau a unei limitări temporare ori definitive asupra prelucrării, sau a suspendării fluxurilor de date emise de Centru în limitele prevăzute de lege, în temeiul art.60 alin.(2), sau neacordarea accesului, încălcând art.60 alin.(1).
(3) Pentru încălcarea unei măsuri corective emise de Centru în conformitate cu art.60 alin.(2) se aplică, în conformitate cu art.87, amenzi de până la 2000000 de lei sau, în cazul unei întreprinderi, de până la 2% din cifra totală de afaceri realizată în anul anterior sancţionării, luându-se în calcul cea mai mare valoare.
(4) Fără a aduce atingere competenţelor corective ale Centrului menţionate la art.60 alin.(2), sancţiunile prevăzute de prezentul articol se aplică şi autorităţilor şi instituţiilor publice conform prezentei legi.
(5) În cazul în care cifra totală de afaceri realizată în anul anterior sancţionării nu este înregistrată, se ia în considerare ultimul an anterior sancţionării în care întreprinderea a realizat o cifră de afaceri.
Capitolul IX
DISPOZIŢII FINALE ŞI TRANZITORII
Articolul 89. Dispoziţii finale
(1) Prezenta lege intră în vigoare la expirarea a 24 de luni de la data publicării în Monitorul Oficial al Republicii Moldova.
(2) Guvernul, până la intrarea în vigoare a prezentei legi:
a) va prezenta Parlamentului propuneri pentru modificarea legislaţiei în conformitate cu prezenta lege;
b) va modifica actele sale normative în conformitate cu aceasta.
(3) Centrul, până la intrarea în vigoare a prezentei legi, va aproba actele normative necesare pentru executarea acesteia.
(4) Prezenta lege nu impune obligaţii suplimentare pentru persoanele fizice sau juridice în ceea ce priveşte prelucrarea în legătură cu furnizarea de servicii de comunicaţii electronice accesibile publicului în reţelele publice de comunicaţii electronice, cu privire la aspectele pentru care acestora le revin obligaţii specifice cu acelaşi obiectiv prevăzut în Legea comunicaţiilor electronice nr.241/2007.
Articolul 90. Dispoziţii tranzitorii
(1) Directorul şi directorul adjunct ai Centrului aflaţi în funcţie la data intrării în vigoare a prezentei legi îşi continuă mandatul pe perioada pentru care au fost numiţi.
(2) Personalul Centrului aflat în funcţie la momentul intrării în vigoare a prezentei legi se încadrează în funcţiile noi conform schemei de încadrare a personalului, respectându-se prevederile Legii nr.158/2008 cu privire la funcţia publică şi statutul funcţionarului public şi ale legislaţiei muncii.
(3) La data intrării în vigoare a prezentei legi se abrogă:
a) Legea nr.182/2008 cu privire la aprobarea Regulamentului Centrului Naţional pentru Protecţia Datelor cu Caracter Personal, structurii, efectivului-limită şi a modului de finanţare a Centrului Naţional pentru Protecţia Datelor cu Caracter Personal;
b) Legea nr.133/2011 privind protecţia datelor cu caracter personal;
c) art.741–743 şi art.4234 din Codul contravenţional al Republicii Moldova nr.218/2008.
(4) Din momentul intrării în vigoare a prezentei legi, din cuantumul final al sancţiunii pecuniare stabilite de Centru, se va aplica:
a) din primul an – 10% din cuantumul amenzii stabilite;
b) din al doilea an – 40% din cuantumul amenzii stabilite;
c) din al treilea an – 100% din cuantumul amenzii stabilite.
(5) Actele emise de Centru în temeiul art.32 alin.(3) şi alin.(5) lit.f) şi i) din Legea nr.133/2011 privind protecţia datelor cu caracter personal rămân în vigoare şi după intrarea în vigoare a prezentei legi.
(6) Plângerile depuse la Centru până la data intrării în vigoare a prezentei legi se examinează şi se soluţionează conform normelor de procedură prevăzute de prezenta lege şi conform normelor materiale, inclusiv celor privind răspunderea pentru încălcarea legislaţiei privind protecţia datelor prevăzute de legea în vigoare la data comiterii încălcării.
(7) Cauzele civile şi de contencios administrativ se examinează şi se soluţionează în conformitate cu prevederile legii în vigoare la data apariţiei raportului juridic litigios.
(8) În cazul în care prelucrările se bazează pe consimţământ în temeiul Legii nr.133/2011 privind protecţia datelor cu caracter personal, persoana vizată nu trebuie să îşi dea din nou consimţământul dacă modul în care a fost dat consimţământul respectă condiţiile din prezenta lege, fapt ce permite operatorului să continue o astfel de prelucrare după data intrării în vigoare a prezentei legi.
| PREŞEDINTELE PARLAMENTULUI | Igor GROSU |
| Nr.195. Chişinău, 25 iulie 2024. |