CENTRUL NAŢIONAL PENTRU PROTECŢIA DATELOR CU CARACTER PERSONAL AL REPUBLICII MOLDOVA MD-2004, mun. Chişinău, str. Serghei Lazo, 48, tel: (+373-22) 820801, 811807, fax: 820810, www.datepersonale.md DECIZIA - CADRU nr. privind stabilirea condițiilor minime necesare pentru autorizarea accesului la sistemele informaționale ce conțin date cu caracter personal sau a conectării la platforma de interoperabilitate a operatorilor naționali 2019 mun. Chişinău În vederea asigurării unei protecții eficiente a drepturilor și libertăților fundamentale ale persoanelor fizice, în special a dreptului la viață privată în partea ce vizează protecția datelor cu caracter personal, garantat de Convenția nr. 108 pentru protecția persoanelor referitor la prelucrarea automatizată a datelor cu caracter personal, deschisă spre semnare la Strasbourg la 28 ianuarie 1981, de Constituția Republicii Moldova și de Legea nr. 133 din 08 iulie 2011 privind protecția datelor cu caracter personal; Ținând cont de norma statuată la art. 20 alin. (1) lit. b) din Legea nr. 133 din 08 iulie 2011 privind protecția datelor cu caracter personal, conform căreia Centrul Național pentru Protecția Datelor cu Caracter Personal (Centrul) autorizează prelucrările de date cu caracter personal în cazurile prevăzute de lege; În aplicarea prevederilor de la art. 36 alin. (6) al Legii nr. 308 din 22 decembrie 2017 cu privire la prevenirea și combaterea spălării banilor și finanțării terorismului, care statuează că accesul la sistemele de evidență automatizate care conțin date cu caracter personal se efectuează cu autorizarea organului de control al prelucrării datelor cu caracter personal; Luând în considerație norma statuată la art. 6 alin. (11) lit. c) din Legea nr. 142 din 19 iulie 2018 cu privire la schimbul de date și interoperabilitate, care prevede că la examinarea cererilor de conectare la platforma de interoperabilitate, autoritatea competentă verifică existența autorizației pentru prelucrarea setului respectiv de date cu caracter personal, emisă de Centrul în conformitate cu prevederile legislației privind protecția datelor cu caracter personal; Ținând cont de prevederile altor acte normative care prevăd expres cazurile în care accesul la sistemele informaționale ce conțin date cu caracter personal se efectuează cu autorizarea organului de control al prelucrării datelor cu caracter personal; Având în vedere condițiile de bază pentru prelucrarea datelor cu caracter personal statuate la art. 4 al Legii privind protecția datelor cu caracter personal, potrivit cărora, datele cu caracter personal care fac obiectul prelucrării trebuie să fie: prelucrate în mod corect și conform prevederilor legii; colectate în scopuri determinate, explicite și legitime, iar ulterior să nu fie prelucrate într-un mod
incompatibil cu aceste scopuri; adecvate, pertinente și neexcesive în ceea ce privește scopul pentru care sunt colectate și/sau prelucrate ulterior; exacte și, dacă este necesar, actualizate, stocate într-o formă care să permită identificarea subiecților datelor cu caracter personal pe o perioadă care nu va depăși durata necesară atingerii scopurilor pentru care sunt colectate și ulterior prelucrate; Luând ca bază prevederile art. 5 alin. (5) al Legii privind protecția datelor cu caracter personal, care statuează că consimţămîntul subiectului datelor cu caracter personal nu este cerut în cazurile în care prelucrarea este necesară pentru: a) executarea unui contract la care subiectul datelor cu caracter personal este parte sau pentru luarea unor măsuri înaintea încheierii contractului, la cererea acestuia; b) îndeplinirea unei obligaţii care îi revine operatorului conform legii; c) protejarea vieţii, integrităţii fizice sau a sănătăţii subiectului datelor cu caracter personal; d) executarea sarcinilor de interes public sau care rezultă din exercitarea prerogativelor de autoritate publică cu care este învestit operatorul sau terţul căruia îi sunt dezvăluite datele cu caracter personal; e) realizarea unui interes legitim al operatorului sau al terţului căruia îi sunt dezvăluite datele cu caracter personal, cu condiţia ca acest interes să nu prejudicieze interesele sau drepturile şi libertăţile fundamentale ale subiectului datelor cu caracter personal; f) scopuri statistice, de cercetare istorică sau ştiinţifică, cu condiţia ca datele cu caracter personal să rămână anonime pe toată durata prelucrării; g) schimbul de date în condiţiile legislaţiei în vigoare cu privire la schimbul de date şi interoperabilitate; Întru asigurarea realizării drepturilor subiectului de date cu caracter personal, consacrate de Legea privind protecția datelor cu caracter personal, în special existența dreptului la informarea subiectului de date, dreptul de acces, de intervenție asupra datelor cu caracter personal și de opoziție; Luând în considerare faptul că art. 23 din Legea privind protecția datelor cu caracter personal, impune obligaţia operatorului de a notifica Centrul Naţional pentru Protecția Datelor cu Caracter Personal, înainte de a prelucra date cu caracter personal destinate să servească unui scop; Ținând cont de normele stipulate la art. 29 și 30 din Legea privind protecția datelor cu caracter personal, potrivit cărora, operatorii sunt obligați să asigure confidenţialitatea datelor cu caracter personal și securitatea prelucrării acestor date; Pornind de la obligativitatea implementării de către operator a măsurilor tehnice și organizatorice adecvate și eficace pentru protecția datelor cu caracter personal, de asigurare a confidențialității și securității datelor cu caracter personal și de a fi în măsură să demonstreze conformitatea activităților de prelucrare a datelor cu caracter personal în corespundere cu prevederile Legii privind protecția datelor cu caracter personal, la implementarea măsurilor corespunzătoare operatorul trebuie să țină seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, categoriile datelor cu caracter personal, precum și de riscul pentru drepturile și libertățile persoanelor fizice;
Având în vedere că operatorul este responsabil și răspunde pentru orice prelucrare a datelor cu caracter personal, efectuată urmare a accesului la sistemele informaționale ce conțin date cu caracter personal sau conectării la platforma de interoperabilitate; În temeiul prevederilor art. 19 alin. (1) și art. 20 alin. (1) lit. a) și b) din Legea privind protecția datelor cu caracter personal, Capitolului II, pct. 2, pct. 3 lit. b), c) şi d) din Regulamentul Centrului Naţional pentru Protecţia Datelor cu Caracter Personal, aprobat prin Legea nr. 182-XVI din 10 iulie 2008, - DISPUN: 1. În vederea autorizării accesului la sistemele informaționale ce conțin date cu caracter personal sau conectării la platforma de interoperabilitate, operatorul de date cu caracter personal este obligat să respecte următoarele condiții: 1) să fie înregistrat/e în Registrul de evidență al operatorilor de date cu caracter personal sistemul/ele de evidență în care se intenționează prelucrarea datelor cu caracter personal preluate din sistemele informaționale pentru care se solicită autorizarea, în condițiile art. 23-25 și 28 din Legea privind protecția datelor cu caracter personal; 2) să asigurare informarea subiectului de date prin pagina web, la sediu și prin formulare, contracte sau blanchete tipizate asupra modului de prelucrare a datelor cu caracter personal, a faptului accesării, verificării și actualizării datelor cu caracter personal prin intermediul sistemelor informaționale autorizate, cu enumerarea acestora, inclusiv privind: a) identitatea operatorului sau, după caz, a persoanei împuternicite de către operator; b) numărul de înregistrare în calitate de operator de date cu caracter personal; c) categoriile datelor cu caracter personal colectate și scopul prelucrării acestora; d) informaţii suplimentare, precum: - destinatarii sau categoriile de destinatari ai datelor cu caracter personal; - drepturile de care dispune subiectul de date, în special dreptul de acces la date, de intervenţie asupra datelor şi de opoziţie, precum şi modul de realizare a acestor drepturi. e) punctul de contact pentru solicitările subiectului de date cu privire la datele cu caracter personal care îl vizează. 3) să instituie proceduri interne privind asigurarea evidenței și păstrării înregistrărilor de audit a operațiunilor de prelucrare a datelor cu caracter personal de către utilizatorii autorizați (care trebuie să conțină cel puțin scopul, temeiul legal, legătura de cauzalitate dintre temeiul legal și necesitatea accesării datelor, data/ora, categoriile de date cu caracter personal prelucrate, identitatea utilizatorului etc.);
4) să elaboreze și implementeze reglementări interne ce ar viza efectuarea controlului intern asupra conformității prelucrării (accesului) datelor cu caracter personal; 5) să numească persoana/subdiviziunea responsabilă de protecția datelor cu caracter personal, căreia să-i fie desemnate atribuții de efectuare a controlului intern menționat supra, cu asigurarea garanțiilor de independență în exercitarea atribuțiilor sale; 6) să informeze Centrul despre rezultatele controlului intern privind conformitatea prelucrării (accesării) datelor cu caracter personal din sistemele informaționale efectuate de către utilizatorii autorizați - semestrial, iar în caz de constatare a încălcării principiilor de protecție a datelor cu caracter personal în cel mult 72 de ore. 2. Se aprobă Cererea-tip privind autorizarea accesului la sistemele informaționale ce conțin date cu caracter personal sau conectării la platforma de interoperabilitate (Anexa nr. 1). 3. Se aprobă modelul Deciziei privind autorizarea accesului la sistemele informaționale ce conțin date cu caracter personal sau conectării la platforma de interoperabilitate (Anexa nr. 2). 4. Se aprobă modelul Deciziei privind refuzul autorizării accesului la sistemele informaționale ce conțin date cu caracter personal sau conectării la platforma de interoperabilitate (Anexa nr. 3). 5. Cererea solicitantului autorizării, însoțită de documentele privind instituirea măsurilor specificate la pct. 1 din prezenta Decizie-Cadru, poate fi depusă în scris la sediul Centrului, fie transmisă prin poștă sau poate fi depusă în formă electronică, care trebuie să corespundă cerințelor față de documentul electronic, inclusiv cu aplicarea semnăturii digitale, în conformitate cu legislația în vigoare. 6. Centrul examinează cererea de autorizare și documentele anexate, în termen de cel mult 30 de zile calendaristice din data depunerii acesteia, cu posibilitatea prelungirii, în caz de necesitate, cu maxim 15 zile calendaristice şi emite o decizie de autorizare sau de refuz a autorizării accesului la sistemele informaționale ce conțin date cu caracter personal sau conectării la platforma de interoperabilitate. 7. Centrul poate solicita şi alte informaţii suplimentare/adiționale/aferente, ce ar demonstra veridicitatea informațiilor prezentate de către solicitant în cerere sau în documentele anexate. 8. În cazul solicitării informațiilor suplimentare/adiționale/aferente, termenul de examinare a solicitării de autorizare se suspendă și va începe să curgă din momentul când Centrul va obține informațiile pe care le-a solicitat. 9. Decizia de autorizare sau de refuz a autorizării accesului poate fi remisă solicitantului prin trimitere poștală sau prin mijloace electronice ori poate fi ridicată la sediul Centrului. 10. Centrul refuză autorizarea, cu emiterea deciziei corespunzătoare, în cazurile în care: 1) actele anexate la cerere conţin informaţii incomplete sau neveridice;
2) cererea a fost completată necorespunzător modelului aprobat şi/sau nu au fost anexate toate documentele confirmative, în corespundere cu prezenta Decizie- Cadru, cu condiţia că operatorul nu s-a conformat cerinţelor de a întreprinde măsuri în vederea înlăturării deficiențelor în termenul stabilit; 3) nu au fost respectate condițiile specificate la pct. 1 din prezenta Decizie- Cadru. 11. Refuzul autorizării nu împiedică solicitantul să depună repetat o solicitare, după înlăturarea cauzelor care au servit drept temei pentru emiterea deciziei de refuz. 12. În cazul în care operatorul nu mai respectă cerințele care au stat la baza autorizării, Centrul, în condițiile art. 26 și art. 27 din Legea privind protecția datelor cu caracter personal, își rezervă dreptul de a suspenda/înceta operațiunile de prelucrare a datelor cu caracter personal, cu sau fără retragerea (anularea) deciziei de autorizare emise. 13. Deciziile emise în condițiile prezentului act pot constitui obiect al acțiunii în contencios administrativ. 14. Prezenta decizie intră în vigoare la data emiterii, se publică pe site-ul oficial al Centrului și în Monitorul Oficial al Republicii Moldova. Director
Anexa nr. 1 la Decizia-Cadru nr. din 2019 Cerere-tip privind autorizarea accesului la sistemele informaționale ce conțin date cu caracter personal sau conectării la platforma de interoperabilitate 1. Datele despre solicitant: a. Denumirea completă a solicitantului b. IDNO/codul fiscal c. Adresa/e-mail d. Împuternicirile de reprezentare 2. Numărul de înregistrare a sistemului de evidență (Se va consemna numărul de înregistrare a sistemului de evidență în care se intenționează a fi prelucrate datele cu caracter personal ce vor fi preluate din sistemul informațional la care se solicită autorizarea/conectarea); 3. Categoriile de date cu caracter personal (Se vor descrie categoriile de date cu caracter personal care se intenționează a fi prelucrate, necesitatea prelucrării acestor date, sistemul informațional la care se solicită autorizarea. În cazul în care sunt vizate mai multe sisteme informaționale automatizate se vor indica seturile de date cu caracter personal, separat pe fiecare sistem în parte, cu indicarea inclusiv a sistemului în care vor fi preluate/prelucrate datele); 4. Temeiul legal pentru prelucrarea datelor cu caracter personal din sistemele informaționale (Se va menționa temeiul legal pentru prelucrarea datelor cu caracter personal din sistemele informaționale la care se solicită accesul. În cazul actului normativ se indică referința la norma concretă din acesta, iar în cazul existenței contractului, se va prezenta modelul contractului sau anexa la contract, prin care subiectul de date este informat despre operațiunile de accesare a datelor ce îl vizează, etc.); 5. Modul de acces la sistemele informaționale (Se va releva modul de acces la date (acces direct la sistemele informaționale, fie schimb de date între sistemele informaționale, fie conectarea la platforma de interoperabilitate), precum și descrierea măsurilor de securitate și confidențialitate asigurate în acest sens; 6. Procedura de informare a subiectului de date cu caracter personal
(Se va descrie procedura de informare a subiectului de date cu caracter personal asupra modului de prelucrare a datelor cu caracter personal, a faptului verificării, actualizării și accesării datelor cu caracter personal prin intermediul sistemelor informaționale, inclusiv asupra drepturilor lor prevăzute de Legea privind protecția datelor cu caracter personal, cu prezentarea notei de informare); 7. Datele de contact ale persoanei responsabile de protecția datelor cu caracter personal (Se vor indica datele de contact ale persoanei responsabile de protecția datelor cu caracter personal desemnată de operator, cu anexarea actului prin care a fost desemnată și a obligațiilor de serviciu); 8. Modalitatea de recepționare a deciziei (Se va indica modalitatea recepționării deciziei: prin trimitere poștală, prin mijloace electronice sau se va ridica la sediul Centrului); 9. Lista documentelor ce se anexează la cerere (Se vor indica documentele ce ar demonstra veridicitatea informațiilor privind instituirea măsurilor specificate la pct. 1 din Decizia - Cadru); Declar că toate informațiile din cererea privind autorizarea accesului la sistemele informaționale ce conțin date cu caracter personal/conectării la platforma de interoperabilitate, precum și documentele anexate la cerere sunt complete, veridice și corecte și mă angajez să respect condițiile prevăzute de legislația în vigoare privind protecția datelor cu caracter personal. Data Semnătura solicitantului/reprezentantului legal (ștampila)
Anexa nr. 2 la Decizia-Cadru nr. din 2019 DECIZIA nr. privind autorizarea accesului la sistemele informaționale ce conțin date cu caracter personal/conectării la platforma de interoperabilitate 2019 mun. Chişinău Centrul Național pentru Protecția Datelor cu Caracter Personal al Republicii Moldova, examinând cererea și documentele anexate la ea, înregistrată sub nr. din, depuse de operatorul, referitor la autorizarea accesului la sistemele informaționale ce conțin date cu caracter personal/conectării la platforma de interoperabilitate. CONSTATĂ: Operatorul, a solicitat autorizarea accesului la sistemele informaționale ce conțin date cu caracter personal/conectării la platforma de interoperabilitate. Potrivit celor consemnate în cerere se reține următoarea informație: - sistemele informaționale la care se solicită accesul; - sistemul informațional în care vor fi prelucrate datele cu caracter personal accesate/preluate; - temeiul legal al prelucrării datelor cu caracter personal; - categoriile datelor cu caracter personal prelucrate; - modalitatea de acces la sistemele informaționale; - faptul desemnării responsabilului de protecția datelor cu caracter personal. În temeiul art. 20 alin. (1) lit. b) din Legea privind protecția datelor cu caracter personal Nr.133 din 08 iulie 2011, DISPUNE: 1. A autoriza accesul prin (se indică modalitatea accesului spre exemplu: acces la sistem prin cont de utilizator, schimbul direct de date între sisteme sau prin intermediul platformei de interoperabilitate) la sistemele informaționale ce conțin date cu caracter personal în volumul (se indică categoriile de date cu caracter personal care se autorizează a fi prelucrate). Acordarea accesului la datele cu caracter personal în afara limitelor specificate în prezenta decizia este interzisă.
3. Prezenta decizie este emisă în baza celor declarate de către operatorul de date cu caracter personal și relevă situația de până la data emiterii acestui act administrativ. 4. A informa operatorul de date cu caracter personal despre obligația de a reevalua în permanență condițiile organizatorice și tehnice necesare pentru protecția datelor cu caracter personal, ținând cont de evoluția tehnologiilor informaționale utilizate pentru prelucrarea datelor cu caracter personal, de regimul juridic al protecției datelor cu caracter personal, precum și de eventualele riscuri ce nu au putut fi estimate până la data emiterii prezentei Decizii. 5. Centrul își rezervă dreptul de a revizui decizia în situația în care va fi sesizat sau va dispune de informații care vor duce la constatarea încălcării prevederilor Legii privind protecția datelor cu caracter personal și a altor acte normative conexe. 6. În cazul modificării informațiilor ce au stat la baza emiterii deciziei de autorizare, operatorul de date cu caracter personal este obligat să informeze Centrul, în condițiile unei noi autorizări. 7. Decizia este executorie din momentul emiterii, cu drept de atac în instanța contencios administrativ în termen de 30 de zile. Director/Director adjunct
Anexa nr. 3 la Decizia-Cadru nr. din 2019 DECIZIA nr. privind refuzul autorizării accesului la sistemele informaționale ce conțin date cu caracter personal/conectării la platforma de interoperabilitate 2019 mun. Chişinău Centrul Național pentru Protecția Datelor cu Caracter Personal al Republicii Moldova, examinând cererea și documentele anexate la ea, nregistrată sub nr. din, depuse de operatorul, referitor la autorizarea accesului la sistemele informaționale ce conțin date cu caracter personal/conectării la platforma de interoperabilitate, CONSTATĂ: Operatorul, a solicitat autorizarea accesului la sistemele informaționale ce conțin date cu caracter personal/conectării la platforma de interoperabilitate; Potrivit celor consemnate în cerere se reține: (Se vor descrie motivele privind refuzul autorizării accesului la sistemele informaționale ce conțin date cu caracter personal/conectării la platforma de interoperabilitate) În temeiul art. 20 alin. (1) lit. b) din Legea nr.133 din 08 iulie 2011 privind protecția datelor cu caracter personal, DISPUN: 1. În conformitate cu (se vor reflecta prevederile corespunzătoare din actele normative ce reglementează domeniul protecției datelor cu caracter personal) a refuza accesul la sistemele informaționale ce conțin date cu caracter personal/conectarea la platforma de interoperabilitate, solicitat/ă prin cererea și documentele înregistrate sub nr. din depuse de operatorul. 2. Refuzul autorizării nu exclude posibilitatea operatorului de a depune o nouă cerere, după înlăturarea circumstanțelor care au împiedicat obținerea autorizării. 3. Decizia este executorie din momentul emiterii, cu drept de atac în instanța contencios administrativ în termen de 30 de zile. Director/Director adjunct