Documente Academic
Documente Profesional
Documente Cultură
Mai 2011
CZU M
Coperta: Simion Coad Macheta: Mihai Sava Editare i tipar: Casa Editorial-Poligrac Bons Oces
Mulumiri tuturor celor care au avut amabilitatea de a ne ntlni n perioada martie-aprilie 2011 pentru a ne pune la dispoziie informaii i impresii despre protecia datelor personale n Republica Moldova. Mulumiri speciale Olgi Demian pentru contribuia adus la scrierea acestui raport i pentru stabilirea i participarea la ntlnirile organizate n Republica Moldova.
Acest studiu a fost elaborat de ctre Centrul Romn de Politici Europene (CRPE) la iniiativa i cu susinerea nanciar a Fundaiei Soros-Moldova. Opiniile exprimate n acest studiu aparin autorului i nu implic n mod necesar poziia CRPE sau a instituiei nanatoare. ISBN Fundaia Soros-Moldova CRPE mai 2011
Cuprins
1. Sumar executiv ............................................................................................................................. 4 2. Introducere .................................................................................................................................. 6 3. Reglementarea proteciei datelor cu caracter personal ................................................................. 8 3.1 Viaa privat ca drept al omului .................................................................................................... 8 3.2 Convenii internaionale privind protecia datelor cu caracter personal ...................................... 9 3.3 Cadrul UE privind protecia datelor cu caracter personal ........................................................... 12 3.4. Alte iniiative la nivel global ....................................................................................................... 18 4. Protecia datelor personale n RM .............................................................................................. 20 4.1. Dispoziii constituionale ............................................................................................................ 20 4.2. Tratate internaionale la care RM este parte .............................................................................. 21 4.3 Legislaia naional primar n domeniul proteciei datelor cu caracter personal ...................... 22 4.4. Legislaia naional secundar n domeniul proteciei datelor cu caracter personal ................. 23 4.6. Implementarea legislaiei privind protecia datelor cu caracter personal ................................. 30 5. Asimetrii ntre UE i RM n domeniul vieii private ..................................................................... 33 5.1 Asimetrii la nivel legislativ ........................................................................................................... 33 5.2. Asimetrii la nivel instituional ..................................................................................................... 35 5.3 Asimetrii la nivelul implementrii ............................................................................................... 37 6. Sectorul privat n contextul proteciei datelor cu caracter personal ............................................ 40 7. Impactul negocierilor cu UE asupra domeniului ......................................................................... 41 8. Concluzii .................................................................................................................................... 46 9. Recomandri .............................................................................................................................. 48 9.1. Recomandri de ansamblu pentru domeniul vieii private i a datelor personale ..................... 48 9.2 Recomandri n implementare .................................................................................................... 49 9.3. Recomandri specice Dialogului privind liberalizarea regimului de vize: ................................. 50 9.4. Recomandri specice negocierii viitorului Acord de Asociere i crerii Zonei de Liber Schimb Aprofundat i Cuprinztor ntre RM i UE .............................................................. 51
1.
Sumar executiv
Protecia datelor cu caracter personal n Republica Moldova (RM) este un subiect relativ nou aprut n peisajul dezbaterilor din ultima vreme, ndeosebi prin perspectiva dat de Dialogul privind liberalizarea regimului de vize, dar i a negocierii viitorului Acord de Asociere ntre RM i Uniunea European (UE). Dac vedem ns datele personale n perspectiva mai larg a proteciei vieii private, situaia actual de protecie efectiv n RM este lacunar, dovad ind numeroasele exemple agrante deja aduse pe agenda public n special prin rapoartele anuale ale Centrului pentru Protecia Datelor cu Caracter Personal din Republica Moldova (Centrul) i a Centrului pentru Protecia Drepturilor Omului (CpDOM)1. n aceste condiii i n lipsa unui interes la nivel politic pn n 2008 pentru domeniul proteciei datelor personale, tradus n crearea unui cadru normativ corespunztor, nu este surprinztor c avem de a face cu multiple cazuri de colectare excesiv a datelor, inclusiv a celor cu caracter special (cum ar cele privind starea de sntate), precum i alte nclcri agrante ale principiilor colectrii datelor personale. Vom ncepe raportul prin a face o incursiune n cadrul general de protecie a datelor cu caracter personal la nivel european, cu o analiz mai detaliat a directivelor i altor acte normative din UE. De asemenea, ne propunem s trecem n revist cadrul juridic actual din RM referitor la problematica adus n discuie, la nivel legislativ, instituional i de implementare, punctnd unele limitri actuale i evideniind posibile soluii. Analiza asimetriilor existente pleac de la premisa unei diferene istorice ntre cele dou repere (cadrul UE i cel al RM). Astfel, cu toate eforturile Centrului i ale CpDOM, (principalele instituii cu un cuvnt de spus n implementarea dispoziiilor referitoare la viaa privat), RM are un nivel nesatisfctor de protecie a datelor personale pe toate palierele. n acelai timp, dac lum n considerare planicrile publice pentru remedierea acestora (n special Programul Naional de implementare a Planului de Aciuni RM UE n domeniul liberalizrii regimului de vize), putem estima o posibil cretere substanial a nivelului de protecie. Acestea par ns a deja ntrziate de diveri factori birocratici, iar planicrile limitate la modicri legislative. ns fr aceste modicri legislative eseniale - actualizarea legii-cadru privind protecia datelor, asigurarea msurilor sancionatorii adecvate pentru nclcarea acesteia i realizarea Registrului Operatorilor protecia efectiv a datelor personale rmne un deziderat pe hrtie, iar Centrul o instituie-mediator fr puteri reale de intervenie. Un real progres n atingerea n cele din urm a unui nivel adecvat de protecie a datelor personale pe termen mediu poate obinut, n opinia noastr, doar prin alocarea de resurse nanciare i umane calicate ctre instituiile competente, dincolo de nivelul de subzisten i cu resurse inclusiv pentru
1
Rapoartele Centrului pentru anii 2009-2010 pot gsite la http://www.datepersonale.md/md/rapoarte , Rapoartele CpDOM, n special cel din 2010, vezi pag 25-42, la http://www.ombudsman.md/md/anuale/
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
P r o t e c i a d a t e l o r c u c a r a c t e r p e r s o na l
promovarea i contientizarea domeniului. Aceasta dincolo de modicrile legislative preconizate i subliniate mai sus. n plus, considerm a obligatorie implicarea mult mai activ din partea celorlalte instituii ale statului care prelucreaz date cu caracter personal, ndeosebi cele direct vizate de Dialogul privind liberalizarea regimului de vize. Instituiile trebuie s-i contientizeze problemele legate de acest subiect i rolul lor intern n rezolvarea acestora n mod activ, fr a atepta de la Centru soluiile perfecte. Pn acum, reaciile instituiilor publice au fost n mare parte de ignorare a semnalelor de alarm identicate de autoritile cu competene n domeniu, aa cum reiese din rapoartele lor publice. Pe de alt parte, Centrul, n condiiile obinerii modicrilor legislative i a resurselor necesare, trebuie s i asume un rol central n coordonarea, dar i instruirea personalului din instituiile implicate n Dialogul privind liberalizarea regimului de vize. n acelai timp, considerm c instituiile competente n domeniul vieii private i organizaiile non-guvernamentale interesate ar trebui s prote de deschiderea oferit de actuala poziionare a RM i de susinerea politic necesar pentru ndeplinirea cerinelor europene, pentru a obine un ecient cadru legislativ i instituional de protecie a vieii private n RM, inclusiv prin crearea instrumentelor adecvate pentru implementarea acestora. Acesta rezultat concret ar putea juca un rol esenial n ecuaia proteciei drepturilor omului, dincolo de interesele politice pe termen scurt sau mediu.
2.
Introducere
Subiectul proteciei vieii private i implicit al proteciei datelor cu caracter personal a devenit din ce n ce mai important odat cu automatizarea i informatizarea din ce n ce mai multor procese legate de existena uman i n special n ceea ce privete interaciunea persoanelor zice att cu sectorul privat, ct i cu sectorul public. Mai mult, abordarea detaliat a subiectului proteciei datelor cu caracter personal n RM, vzut n special din perspectiva Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre RM i UE, este cu att mai important cu ct cele dou subiecte se a pe agenda politic i social a RM din prezent. Opinia noastr este c acest subiect ar trebui s e vzut ntr-un context mai larg, nelimitndu-se doar la obiectivele imediate create de o anumit conjunctur geo-politic i strategic. Privirea de ansamblu trebuie s ia n considerare obligaiile legate de protecia datelor cu caracter personal ca o consecin direct a dorinei RM de a crea un stat democratic, bazat pe drepturile omului i pe Constituia Republicii adoptat n anul 19941, premise de baz pentru construcia statului moldovean ca stat democratic. Aceast abordare general ar permite RM trateze acest subiect cu interes i dup ndeplinirea obiectivelor imediate. Din punct de vedere structural, prezentul raport va ncerca, avnd n vedere i c subiectul raportului poate mai puin cunoscut pentru unii dintre cititori, s fac o trecere n revist a celor mai importante elemente referitoare la protecia datelor cu caracter personal att la nivel internaional i al UE, ct i la nivelul RM. Ulterior, raportul se va axa pe compararea celor dou perspective, scond n eviden att asimetriile existente, ct i prile pozitive cu scopul de a creiona substana concluziilor i a recomandrilor ataate prezentului raport. Cadrul general naional i internaional de protecie a datelor personale cuprins la care se face referire n raport este unul ntr-o profund revizuire. La nivel internaional relevante sunt att procesul de actualizare a principalului act normativ de drept internaional Convenia 108 a Consiliului Europei, ct i procesul de revizuire a actului normativ european de baz n domeniul proteciei datelor cu caracter personal Directiva 95/46/EC. n ceea ce privete legislaia RM, un nou proiect de lege pentru modicarea i actualizarea Legii cu privire la protecia datelor cu caracter personal urmeaz s intre n discuia Parlamentului n scurt timp. De asemenea, alte acte normative cu impact asupra domeniului n discuie se preconizeaz s e adoptate n scurt timp de ctre instituiile competente naionale.
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
P r o t e c i a d a t e l o r c u c a r a c t e r p e r s o na l
Aceste chestiuni practice ne determin s insistm asupra faptului c prezentul raport trebuie s e citit din perspectiva acestui context specic, n special n ceea ce privete posibilele modicri aprute ulterior n legislaia naional i internaional. De asemenea, subliniem faptul c prezentul raport conine informaii actualizate pn la data de 1 Mai 2011. Mulumim, i pe aceast cale, reprezentanilor instituiilor i organizaiilor care au avut amabilitatea s rspund pozitiv cererilor noastre de interviuri pe subiectul raportului n Martie/Aprilie 2011.2
Instituii: Centrul Naional pentru Protecia Datelor cu Caracter Personal din RM, Ministerul Tehnologiei Informaiei i Comunicaiilor, Centrul de Guvernare Electronic, Centrul pentru Drepturile Omului din Moldova, ntreprinderea de Stat Registru, Ministerul Afacerilor Externe i Integrrii Europene i Organizaii: Institutul Moldovean pentru Drepturile Omului, Programul Naiunilor Unite pentru Dezvoltare, Amnesty International, Centrul de Resurse Juridice, Centrul de Training CMB, Pro Data Lex, CReDO.
3.
Dei Declaraia Universal a avut o inuen major asupra evoluiei dreptului la via privat, inclusiv prin includerea acestor drepturi n Constituiile mai multor state, ea nu are un caracter obligatoriu din punct de vedere juridic. Acest rol i revine unui alt document internaional propus de ctre Consiliul Europei, i anume Convenia European a Drepturilor Omului (CEDO)3, deschis pentru semnturi n 1950 i intrat n vigoare n Septembrie 1953. RM a raticat CEDO n anul 19974. 1. Orice persoan are dreptul la respectarea vieii sale private i de familie, a domiciliului su i a corespondenei sale. Articolul 8 din CEDO este cel care stipuleaz protecia dreptului la via privat ca drept al omului:
1. Orice persoan are dreptul la respectarea vieii sale private i de familie, a domiciliului su i a corespondenei sale.
2 3
Autori: Louis Brandeis Samuel D. Warren n articolul The Right to Privacy publicat n Harvard Law Review in 1890 .Articolul poate gsit la adresa http://www.spywarewarrior.com/uiuc/w-b.htm Declaraia poate citit la http://www.onuinfo.ro/documente_fundamentale/declaratia_drepturilor_ omului/ Convenia pentru Aprarea Drepturilor Omului i a Libertilor Fundamentale, disponibil la http://www.echr.coe.int/NR/ rdonlyres/E7126929-2E4A-43FB-91A3-B2B4F4D66BEC/0/ROU_CONV.pdf Hotrrea RM nr. 1298-XIII din 24.07.97 privind raticarea Conveniei pentru aprarea drepturilor omului i a libertilor fundamentale, precum i a unor protocoale adiionale la aceast convenie - Publicata in Monitorul Ocial al R. Moldova nr.54-55/502 din 21.08.1997
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
P r o t e c i a d a t e l o r c u c a r a c t e r p e r s o na l
2. Nu este admis amestecul unei autoriti publice n exercitarea acestui drept dect n msura n care acest amestec este prevzut de lege i dac constituie o msur care, ntr-o societate democratic, este necesar pentru securitatea naional, siguran public, bunstarea economic a rii, aprarea ordinii i prevenirea faptelor penale, protejarea sntii sau a moralei, ori protejarea drepturilor i libertilor altora.
Cu toate c termenul de via privat nu a fost denit n mod expres de textul Conveniei, natura i ntinderea sa larg au fost consacrate de interpretrile date de ctre Curtea European a Drepturilor Omului (CtEDO), care a extins sfera de aplicabilitate a vieii private, respectiv a articolului 8, asupra unor activiti din sfera public (de ex. Convorbirile telefonice de la locul de munc vezi Halford vs. UK sau chiar datele de trac informaional - Copland vs. UK). Articolul 8 este cunoscut ndeosebi prin prisma deciziilor referitoare la nclcarea dreptului la via privat prin interceptarea ilegal a convorbirilor telefonice (vezi inclusiv cazul Iordachi vs. Moldova5). ns spectrul su de aplicare excede acest domeniu, atingnd inclusiv subiecte direct legate de prelucrarea datelor cu caracter personal. De exemplu, n cazul M.S. vs. Suedia6 CtEDO subliniaz c protecia datelor cu caracter personal [...] este de o importan fundamental pentru ca o persoan s se bucure de respectul vieii sale private, cum este garantat de articolul 8 al Conveniei. n cazul Rotaru vs. Romnia7 CtEDO precizeaz n mod expres c Articolul 8 al CEDO trebuie interpretat astfel s includ garaniile referitoare la protecia datelor personale aa cum sunt incluse n Convenia 108 a Consiliului Europei (CoE), pentru ca n alt caz8 s expliciteze importana datelor personale cu privire la starea de sntate n contextul conceptului de via privat. n Marper vs. Marea Britanie9, CtEDO a decis c posibilitatea plenar i nediscriminatorie de a pstra amprente i mostre ADN ale persoanelor suspectate, dar necondamnate, ncalc dispoziiile Articolului 8 din CEDO. De altfel, rolul activ al statului n protecia vieii private se exprim din ce n ce mai clar, att prin jurisprudena CtEDO10, Convenia 108 (detaliat n capitolul 3.2), dar i prin construcia jurisprudenial a unor Curi Constituionale, cum este cea a Germaniei, care n cazul Census din 198311 noteaz c n contextul modern al procesrii datelor personale, dreptul la via privat include dreptul individului de a determina dezvluirea i utilizarea datelor sale personale.
10
11
Decis n 2009, textul deciziei disponibil la http://cmiskp.echr.coe.int/tkp197/view.asp?item=1&portal= hbkm&action=html& highlight=iordachi&sessionid=70289744&skin=hudoc-en Decis la 27 August 1997, disponibil la http://cmiskp.echr.coe.int/tkp197/view.asp?item=4&portal= hbkm&action=html&ses sionid=70289840&skin=hudoc-en Vezi Rotaru vs Romnia, 4 Mai 2000 disponibil la http://www.legi-internet.ro/jurisprudenta-it-romania/decizii-cedo/rotaru-vs-romania-decizie-cedo.html Z vs. Finlanda, 25 Februarie 1997, disponibil la http://cmiskp.echr.coe.int/tkp197/view.asp?item=2&portal= hbkm&action= html&sessionid=70289903 Decis de curte la 4 Decembrie 2008 http://www.legi-internet.ro/jurisprudenta-it-romania/decizii-cedo/marper-vs-mareabritanie-cedo-dreptul-la-viata-privata-baza-de-date-adn.html Vezi de ex. Dreptul la viata privata include i obligaii pozitive pentru stat ca adoptarea unor masuri pentru a asigura respectul pentru viata privata, chiar i n sfera relaiilor dintre indivizii nsi - Cazul X i Y vs Olanda, Hotrrea din 26 Martie 1985, par 23. Mai multe detalii la http://de.wikipedia.org/wiki/Volksz%C3%A4hlungsurteil (doar n limba german)
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
relevante n principal de ctre Consiliul Europei (CoE), Organizaia pentru Cooperare i Dezvoltare Economic (OECD) i Organizaia Naiunilor Unite (ONU). A. Consiliul Europei CoE a fost unul dintre primii i cei mai activi actori internaionali n promovarea instrumentelor juridice internaionale care reglementeaz protecia datelor cu caracter personal. Astzi, acestea sunt: (a) Convenia pentru protecia persoanelor fa de prelucrarea automatizat a datelor cu caracter personal (Convenia 108)12, (b) Protocolul adiional nr.18113 i (c) treisprezece recomandri sectoriale adoptate de ctre Comitetul de Minitri.
i are drept scop consolidarea proteciei juridice a persoanelor zice cu privire la prelucrarea automatizat a datelor cu caracter personal15. Convenia 108 contureaz noiunea de date cu caracter personal, oferind o protecie extins unor categorii speciale16 de date cu caracter personal. Categoriile speciale de date cu caracter personal nu pot prelucrate dect n situaiile n care legea naional confer garanii suciente pentru ca individul despre care se obin datele s aib acces la ele i s obin, dac este necesar, actualizarea lor. Conform regulilor prevzute, o persoan ar trebui s poat accesa, rectica sau terge propriile date, cu excepia cazului n care exist motive legitime stabilite ntr-un act normativ n mod expres.17 Dei principiile stabilite n textul Conveniei 108 sunt actuale i au un caracter neutru din punct de vedere tehnologic, experii CoE au ajuns la concluzia c aceasta ar putea s e revizuit pentru a rspun12
13
14 15
16
17
Adoptat la Strasbourg la 28 ianuarie 1981, n cadrul Consiliului Europei. Textul poate gsit aici: http://conventions.coe. int/Treaty/Commun/QueVoulezVous.asp?NT=108&CM=7&DF=27/04/2011&CL=ENG Protocolul adiional la Convenia pentru protecia persoanelor fa de tratamentul automatizat al datelor cu caracter personal cu privire la autoritile de control i uxurile transfrontaliere de date. Textul poate citit aici: http://conventions.coe. int/treaty/Commun/QueVoulezVous.asp?NT=181&CM=8&CL=ENG Articolul 5 a Conveniei 108 Explanatory Report on the Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data Articolul 6 din Convenia 108 denete categoriile speciale de date cu caracter personal care evideniaz originea rasial, opiniile politice, convingerile religioase, date cu privire la sntate sau viaa sexual i date cu privire la condamnrile penale, sunt considerate categorii speciale. Articolul 8 a Conveniei 108
10
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
P r o t e c i a d a t e l o r c u c a r a c t e r p e r s o na l
de noilor realiti i provocri. Astfel, n scopul de a gsi soluii adecvate la aceste provocri i pentru a garanta protecia efectiv a drepturilor omului i a libertilor fundamentale, comitetul de experi a propus pe 28 Ianuarie 2011 revizuirea i modernizarea acesteia.
18 19
20 21 22 23 24 25 26 27 28
Aceast prevedere a fost modelat n conformitate cu articolul 10 din Convenia 108. Articolul 12 din Convenia 108 stabilete principiul liberei circulaii a datelor cu caracter personal ntre pri sub rezerva posibilitilor de derogare prevzute la sub-paragraful 3. Recomandarea Nr. R (97) 18 Recomandarea Nr. R (91) 10 Recomandarea Nr. R (99) 5 Recomandarea Nr. R (97) 5 Recomandarea Nr. R (97) 18 Recomandarea Nr. R (89) 2 Recomandarea Nr. R (85) 20 Recomandarea Nr. R (86) 1 Recomandarea Nr. R (87) 15
11
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
29 30 31
32 33
Ghidul OECD privind protecia vieii private i uxurile transfrontaliere de date cu caracter personal (Paris: OECD, 1980) Rezoluia 44/132, din 15 decembrie 1989 Vezi de exemplu International Guidelines on HIV/AIDS and Human Rights 2006 disponibil la http://data.unaids.org/Publications/IRC-pub07/jc1252-internguidelines_en.pdf Mai multe detalii la http://europa.eu/lisbon_treaty/index_ro.htm Text integral disponibil in limba romn la http://eur-lex.europa.eu/ro/treaties/dat/32007X1214/htm /C2007303RO. 01000101.htm
12
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
P r o t e c i a d a t e l o r c u c a r a c t e r p e r s o na l
Astfel, Carta, inclusiv Articolul 8 care recunoate dreptul autonom la protecia datelor cu caracter personal, a devenit parte din legislaia comunitar de baz, obligatorie din punct de vedere juridic, introducnd un nou temei juridic care permite adoptarea unei legislaii cuprinztoare i coerente referitoare la protecia datele personale, inclusiv n domeniile cooperrii poliieneti i judiciare n materie penal.
34
35
Directiva 95/46/CE a Parlamentului European i a Consiliului din 24.10.1995 privind protecia persoanelor zice n ceea ce privete prelucrarea datelor cu caracter personal i libera circulaie a acestor date (JO L 281, 23.11.1995, pag. 31) disponibil la http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=DD:13:17:3199 5L0046:RO:PDF Vezi fn 17
13
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
Chiar dac implementarea directivei nu a fost uoar n unele cazuri, primul raport al Comisiei Europene din 200336 cu privire la implementarea directivei-cadru noteaz37 c aceasta i-a atins obiectivul de protecie al vieii private, n acelai timp permind crearea unei piee unice n transferul datelor personale ntre statele membre. Raportul recunoate ns c exist diferene de implementare ntre state, fapt ce avea s se complice o dat cu extinderile din 2004, respectiv 2007. Mai mult, n raport se recunoate un nivel sczut de contientizare, dar i de aplicare a noilor reguli. Cinci ani mai trziu, un sondaj EuroBarometru actualiza percepia subiecilor datelor cu caracter personal38 i a operatorilor39 cu privire la legislaia din domeniu. Doar 48% dintre subiecii chestionai au considerat c datele personale sunt protejate n mod adecvat n ara lor, iar 77% considernd c nivelul de contientizare n ara lor este unul sczut. De asemenea doar 13% dintre operatorii de date cu caracter personal au conrmat c sunt bine familiarizai cu aspectele legate de acest subiect. Un element inovator adus de Directiva 95/46/CE l reprezint crearea autoritilor pentru protecia datelor (DPA) ca parte a ecosistemului pentru o corect implementare a regulilor din domeniul datelor cu caracter personal. Cu toate acestea, este discutabil modul cum acestea au reuit s-i ndeplineasc rolul propus iniial, acesta depinznd destul de mult de la un stat la altul. Dac ar s ne uitm la recentele aciuni ale Comisiei Europene mpotriva Austriei40 sau Marii Britanii41 n chestiunea implementrii legislaiei n domeniul proteciei datelor cu caracter personal, se va observa c ele sunt axate exact pe subiectul lipsei de independen sau de capacitatea DPA de a-i exercita atribuiile de autoritate n domeniu. Un raport extrem de detaliat realizat n 201042 de Agenia pentru Drepturi Fundamentale a UE indic decienele DPA ca un prim aspect ce trebuie remediat la nivel european n domeniul proteciei datelor. Astfel, raportul identic43 deciene la nivel structural, funcional i operativ n diverse state membre, n special n ceea ce privete independena sau autonomia autoritii, lipsa nanrii sau a resurselor umane ori puterile limitate ale DPA. Acelai raport mai sus menionat subliniaz i alte chestiuni cheie ce trebuie mbuntite pentru respectarea pe deplin a proteciei datelor personale, printre care: contientizarea i informarea subiecilor cu privire la protecia datelor, lipsa unei aplicri a sanciunilor eciente pentru respectarea regulilor, dar i excepiile de la aplicarea proteciei datelor n domeniul securitii sau aprrii. n aceste circumstane, dar i ca urmare a dezvoltrilor tehnologice i a efectelor globalizrii, n special n ceea ce privete transferul datelor prin Internet sau gzduirea lor n sisteme de cloud compu-
36
37
38 39 40
41
42
43
Analysis and impact study on the implementation of Directive EC 95/46 in Member States, http://ec.europa.eu/justice/policies/privacy/docs/lawreport/consultation/technical-annex_en.pdf A se vedea Data protection: Commission report shows that EU law is achieving its main aims, 16.05.2003 disponibil la adresa http://europa.eu/rapid/pressReleasesAction.do?reference=IP/03/697&format=HTML &aged=0&language=EN &gui Language=ro Date disponibile la http://ec.europa.eu/public_opinion/ash/_225_en.pdf Date disponibile la http://ec.europa.eu/public_opinion/ash/_226_en.pdf Data Protection: Commission to refer Austria to Court for lack of independence of data protection authority (28.10.2010) http://europa.eu/rapid/pressReleasesAction.do?reference=IP/10/1430&format=HTML&aged= 0&language=EN Protecia datelor: Comisia solicit Regatului Unit s consolideze competenele autoritii naionale de protecie a datelor, n conformitate cu dreptul UE (24.06.2010) http://europa.eu/rapid/pressReleasesAction.do? reference=IP/10/ 811&format=HTML&aged=1&language=RO&guiLanguage=en Data Protection in the European Union: the role of National Data Protection Authorities - Strengthening the fundamental rights architecture in the EU, ISBN 978-92-9192-509-4, Disponibil la http://fra.europa.eu/fra Website/attachments/Dataprotection_en.pdf Pentru detalii vezi raportul citat mai sus, paginile 19-28
14
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
P r o t e c i a d a t e l o r c u c a r a c t e r p e r s o na l
ting44, Comisia European a declanat un proces de revizuire a Directivei din 1995, care se a n plin desfurare45. Cu toate c ar dicil la acest moment s estimm rezultatul nal al acestui proces i consacrarea ei legislativ, considerm de interes, pentru cei doritori s aprofundeze subiectul, s facem trimitere la aspectele noi abordate de ctre Comisie n Comunicarea sa din 4.11.2010 intitulat O abordare global a proteciei datelor cu caracter personal n UE.46
3.3.2. Directiva privind protecia datelor cu caracter personal n sectorul comunicaiilor electronice
O abordare sectorial a domeniului proteciei datelor cu caracter personal n legislaia din UE o reprezint reglementrile specice sectorului telecomunicaiilor i a relaiei sale cu datele personale. Iniial adoptat ca o directiv47 n Decembrie 1997, ea a fost ulterior modicat n 2002 ca parte a unui proces mai larg de revizuire a sectorului telecomunicaiilor, denumit de acum nainte comunicaii electronice. Astfel, noua directiv (Directiva 2002/58/CE48 cunoscut i sub numele de Directiva ePrivacy) a trebuit s e implementat n statele membre pn la 31 Octombrie 2003. Directiva ePrivacy are ca scop precizarea i completarea directivei-cadru, precum i de a armonizare a dispoziiilor statelor membre, pentru asigurarea unui nivel echivalent de protecie a drepturilor i libertilor fundamentale. Se are n vedere mai ales dreptul la condenialitatea datelor personale n domeniul prelucrrii lor n sectorul comunicaiilor electronice i a liberei circulaii a acestor date i a serviciilor i echipamentelor de comunicaii electronice n interiorul UE. Noul text include i un sistem de opt-in pentru comunicrile comerciale prin email, fax sau maini de apelare automat. n ceea ce privete cookie-urile49, utilizatorii trebuie s e informai n mod clar i complet cu privire la scopul acestora, avnd i dreptul de a le refuza. Ultima variant a directivei ePrivacy a fost modicat n 200950, ca parte a adoptrii Pachetului Telecom. Noile modicri includ o noticare obligatorie pentru nclcarea dispoziiilor de securitate pentru protecia datelor cu caracter personal, ntrirea dispoziiilor referitoare la securitatea reelelor i informaiei sau msuri suplimentare de implementare i aplicare a legii pentru combaterea comunicrilor comerciale nesolicitate. Noile modicri trebuie implementate de statele membre pn la data de 25 Mai 2011.
45
46 47 48
49 50
Pentru detalii a se vedea Comparative study on dierent approaches to new privacy challenges, in particular in the light of technological developments (20.01.2010) http://ec.europa.eu/justice/policies/privacy/docs/studies/ new_privacy_challenges/nal_report_en.pdf Pagina dedicat de pe site-ul Comisiei Europene unde se vor putea obine mai multe informaii n viitor se poate accesa la http://ec.europa.eu/justice/policies/privacy/review/index_en.htm Disponibil i la adresa http://ec.europa.eu/justice/news/consulting_public/0006/com_2010_609_ro.pdf Directiva 97/66/EC Directiva 2002/58/CE din 12 iulie 2002 privind prelucrarea datelor personale i protejarea condenialitii n sectorul comunicaiilor publice (Directiva asupra condenialitii i comunicaiilor electronice) disponibil la http://eur-lex.europa. eu/LexUriServ/LexUriServ.do?uri=DD:13:36:32002L0058:RO:PDF Pentru mai multe explicaii tehnice vezi http://ro.wikipedia.org/wiki/Cookie Vezi Directiva 2009/136/CE - JO L 337, 18.12.2009, pag.11, http://eur-lex.europa.eu/LexUriServ/ LexUriServ.do?uri=OJ: L:2009:337:0011:0036:RO:PDF
15
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
A. Una din directivele controversate cu efect direct asupra vieii private o reprezint Directiva 2006/24/ EC51 privind pstrarea datelor de trac informaional de ctre operatorii de comunicaii electronice. Actul normativ nu privete coninutul comunicaiilor, ci doar datele de trac referitoare la acestea, i i propune o armonizare a legislaiei din statele membre cu privire la pstrarea acestora pentru o perioad ntre 6 luni i 2 ani. Datele reinute trebuie s e puse la dispoziia organelor de aplicare a legii pentru detectarea, investigarea i judecarea infraciunilor grave, aa cum sunt acestea denite de ctre ecare stat membru. Directiva a fost contestat de susintorii viei private nc din momentul propunerii ei, dar i dup ce a fost adoptat, n special pentru obligaia de pstrare nediscriminatorie a datelor pentru toate comunicaiile electronice ale ntregii populaii a UE. De altfel n 2011 sunt deja patru curi constituionale din state membre ale UE (Romnia, Germania, Cipru i Cehia) care au declarat legile naionale de implementare ca nclcnd dreptul la via privat, iar alte dou state (Austria i Suedia) nu au implementat nc aceste obligaii. Cu toate acestea, raportul asupra implementrii52 prezentat de ctre Comisia European pe 18 aprilie 2011 recomand meninerea directivei. Pe de alt parte, un raport paralel independent, realizat de sectorul non-guvernamental,53 a ajuns la o alt concluzie i anume c Directiva nu a adus niciun beneciu semnicativ, n schimb a avut costuri imense pentru operatorii privai i reprezint o nclcare a dreptului la via privat. Chiar dac rezultatul nal al revizuirii directivei nu va duce la abandonarea ei, exist probleme semnicative legate de protecia datelor cu caracter personal, n contextul stocrii unui numr att de mare de date, precum i a modului de acces la aceste date. Probleme se pun inclusiv cu privire la tergerea datelor, dup expirarea perioadei de pstrare obligatorie. B. Un subiect sensibil legat de protecia datelor l reprezint prelucrarea acestora de ctre instituiile de aplicare a legii sau n domeniile aprrii ori securitii, care sunt exceptate din domeniul de aplicare a directivei-cadru. Cum schimbul de date personale ntre autoritile nsrcinate cu aplicarea legii din diversele state membre a devenit o regul n ultimii ani prin programele de cooperare comun, era necesar un cadru adecvat pentru protecia datelor cu caracter personal. Aceast necesitate a fost sporit de Programul Haga de lupt mpotriva terorismului54 care include principiul disponibilitii datelor, prin care acestea trebuie s e puse la dispoziia organelor similare din celelalte state membre ale Uniunii. Astfel, n 2008 a fost adoptat Decizia-cadru 2008/977/JAI a Consiliului European55 privind protecia datelor cu caracter personal prelucrate n cadrul cooperrii poliieneti i judiciare n materie penal. Decizia-cadru are n vedere doar o armonizare minim a standardelor de protecie a datelor n contextul prelucrrii lor de ctre autoritile poliieneti i judiciare n transferul lor transfrontalier, inclusiv ctre tere state i ctre sectorul privat. Pe cale de consecin, decizia nu se aplic procesrii datelor de ctre aceste autoriti n ecare stat membru.
51
52
53 54 55
Directiva 2006/24/CE din 15 martie 2006 privind pstrarea datelor generate sau prelucrate n legtur cu furnizarea serviciilor de comunicaii electronice accesibile publicului sau de reele de comunicaii publice i de modicare a Directivei 2002/58/CE http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=DD:13:53:32 006L0024:RO:PDF Evaluation report on the Data Retention Directive (Directive 2006/24/EC) la http://ec.europa.eu/commission_2010-2014/ malmstrom/archive/20110418_data_retention_evaluation_en.pdf Raport European Digital Rights din 17 Aprilie 2011 disponibil la http://www.edri.org/les/shadow_ drd_report_110417.pdf Adoptat n 2004, vezi i http://www.euractiv.com/en/security/hague-programme-jha-programme-2005-10/article-130657 Din 27 noiembrie 2008 JO L 350, 30.12.2008
16
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
P r o t e c i a d a t e l o r c u c a r a c t e r p e r s o na l
C. Un alt domeniu specic este cel al prelucrrii datelor personale de ctre instituiile UE, nsei. Pentru stabilirea acestui domeniu a fost adoptat un Regulament al UE56, ce prevede inclusiv crearea unei autoriti independente: Autoritatea European pentru Protecia Datelor (EDPS)57, dar i obligaia ecrei instituii a Uniunii de a avea o persoan responsabil de domeniul datelor personale (Data Protection Ocer). D. Exist o serie larg de acte legislative punctuale58 i baze de date59 create la nivelul UE, a cror procesare de date cu caracter personal este reglementat n mod direct de diverse acte normative ale UE, inclusiv de recomandri ale EDPS. Cu privire la actele legislative cu efect direct asupra proteciei datelor cu caracter personal, cele mai importante sunt: Tratatul de la Prum60, care permite accesul transfrontalier la bazele de date genetice i/sau biometrice; Tratatele bilaterale cu tere state cu privire la datele pasagerilor (PNR Passengers Names Records)61, care prevd transferul datelor personale ale pasagerilor ctre tere state nainte de realizarea cltoriei. Comisia European a propus n Februarie 201162 i un sistem similar pentru UE; Legislaia privind paapoartele biometrice de la nivelul UE;63 Acordul SWIFT, prin care autoritile din SUA au acces la transferurile interbancare stocate pe teritoriul UE, n scopul luptei mpotriva terorismului.64
56
57 58
59
60
61
62
63
64
Regulation (EC) No 45/2001 of the European Parliament and of the Council of 18 December 2000 disponibil la http://eur-lex. europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2001:008:0001:0022:EN:PDF European Data Protection Supervisor vezi http://www.edps.europa.eu/EDPSWEB/ Pentru o descriere mai pe larg a acestora vezi Report on Privacy and Personal Data Protection in the European Union Aedh &EDRi, december 2009, http://www.ldh-france.org/IMG/pdf/legislation_Europeenne.pdf, pag 11-36 Cum ar Schengen Information System (SIS), Visa Information System (VIS), EuroDac, EuroSur pentru detalii vezi raport citat mai sus fn 61. ncorporate in legislaia european prin Decizia 2008/615/JAI a Consiliului din 23 iunie 2008 privind intensicarea cooperrii transfrontaliere, n special n domeniul combaterii terorismului i a criminalitii transfrontaliere http://eur-lex.europa. eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:210:0001:0011:RO:PDF i Decizia 2008/616/JAI a Consiliului din 23 iunie 2008 privind punerea n aplicare a Deciziei 2008/615/JAI privind intensicarea cooperrii transfrontaliere, n special n domeniul combaterii terorismului i a criminalitii transfrontaliere http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ: L:2008:210:0012:0072:ro:PDF Vezi de exemplu acordul UE -SUA http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2007 :204:0018:0025:EN: PDF Vezi Propunerea UE privind datele pasagerilor pentru combaterea formelor grave de criminalitate i a terorismului http:// europa.eu/rapid/pressReleasesAction.do?reference=IP/11/120&format=HTML&aged =0&language=RO&guiLanguage=en i textul propunerii de directiv disponibil la http://ec.europa.eu/home-aairs/news/intro/docs/com_2011_32_en.pdf http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:385:0001:0006:EN:PDF + Regulamentul NR. 444/2009 din 28 mai 2009 de modicare a Regulamentului (CE) nr. 2252/2004 al Consiliului privind standardele pentru elementele de securitate i elementele biometrice integrate n paapoarte i n documente de cltorie emise de statele membre http:// eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009: 142:0001:0004:ro:PDF Acordul Swift a fost adoptat de ctre Parlamentul European pe data de 8 Iulie 2010, informaii suplimentare la http://www. europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2010-0279+0+DOC +XML+V0//EN&language=EN
17
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
Grupul de Lucru Articolul 2965 a fost constituit n conformitate cu articolul 29 din Directiva 95/46/ CE. Este un organism consultativ european independent n domeniul proteciei datelor i respectrii vieii private, format din reprezentanii autoritilor naionale pentru protecia datelor din statele membre ale UE, reprezentanii autoritilor create pentru instituiile i organismele comunitare, precum i reprezentani ai Comisiei Europene. Un rol important al Grupului de Lucru l reprezint recomandrile adoptate n vederea aplicrii unitare a actelor normative naionale care transpun dispoziiile comunitare n materie de protecie a datelor personale. Autoritatea European pentru Protecia Datelor (EDPS)66 a fost creat n baza Regulamentului 45/200167. Are ca principale activiti: de a garanta respectarea dreptului fundamental la protecia datelor personale de ctre instituiile i organismele UE i de a consilia cu privire la noile propuneri legislative de la nivelul UE cu impact asupra proteciei datelor personale. Agenia pentru Drepturi Fundamentale (FRA)68 a UE a fost creat n 2007 i are drept atribuii s culeag informaii i date, s ofere consiliere UE i statelor membre i s contribuie la sensibilizarea publicului cu privire la drepturile fundamentale. Agenia European pentru Securitatea Reelelor Informatice i a Datelor (ENISA)69 este o instituie european independent creat n 2004 cu rolul de a crea un nivel ridicat de securitate a reelelor informatice i a datelor n Uniunea European. ENISA emite avize n calitate de expert n securitatea reelelor informatice i a datelor ctre autoritile naionale i instituiile UE i are rolul de forum pentru schimbul de bune practici pe problemele dedicate.
66 67 68 69 70 71 72
Mai multe informaii pot gsite pe site-ul Grupului de Lucru Articolul 29 (doar in limba englez http://ec.europa.eu/justice/policies/privacy/index_en.htm) http://www.edps.europa.eu Vezi fn 59 http://fra.europa.eu/fra/index.php?lang=EN http://www.enisa.europa.eu/ Mai multe informaii pot gsite la http://export.gov/safeharbor/ Articolul 25 (1) , Directiva 95/46/EC Pentru detalii a se vedea de ex. Ian J. Lloyd Information Tehnology Law, 2008, Oxford University Press Pag, 180-207
18
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
P r o t e c i a d a t e l o r c u c a r a c t e r p e r s o na l
important s menionm dou dezvoltri de dat recent ce ar trebui urmrite la nivel internaional pentru rezolvarea aspectelor mai sus menionate: O soluie la problema diverselor reglementri privind protecia datelor personale la nivelul statelor membre ale UE de ctre companii care activeaz la un nivel pan-european a fost adoptarea de ctre Grupul de Lucru Articolul 29 a unui set de documente73 pentru a dezvolta conceptul de Binding Corporate Rules (Reguli Corporatiste Obligatorii)74. Acestea reprezint un mecanism alternativ adoptat de ctre o companie, care ar permite demonstrarea faptului c datele au un nivel adecvat de protecie n cadrul unei corporaii care proceseaz date personale din mai multe state; ntlnirile din ultimii ani ale autoritilor pentru protecia datelor s-au concentrat, de asemenea, pe gsirea unei soluii pentru aceast problem. Astfel n Noiembrie 2009 la Madrid, 50 de autoriti de protecie a datelor au adoptat o Rezoluie75 cu privire la Standardele Internaionale pentru protecia datelor cu caracter personal. Acest lucru s-a ntmplat doar la cteva zile dup ce societatea civil adoptase o declaraie cernd standarde de via privat globale ntr-o lume global.76
73 74
75
76
Vezi Grupul de Lucru Articolul 29 Working Paper 74/2003 i Checklist WP 101/2004 i Recomandarea 1/2007 Mai multe informaii pe pagina web a Comisiei Europene la http://ec.europa.eu/justice/policies/ privacy/binding_rules/index_en.htm Text disponibil in limba engleza la http://www.privacyconference2009.org/media/notas_prensa/common/ pdfs/061109_ estandares_internacionales_en.pdf Textul Declaraiei de la Madrid a Societii Civile disponibil aici: http://thepublicvoice.org/madrid-declaration/
19
4.
2 3 4 5
Publicat la 18.08.1994 n Monitorul Ocial Nr. 1 art Nr: 1. Data intrrii in vigoare: 27.08.1994, textul Constituiei RM poate gsit la adresa: http://lex.justice.md/index.php?action=view&view=doc&lang =1&id=311496 Vezi fn 6 Vezi fn 15 Articolul 8(2) Constituiei Hotrrea Curii Constituionale nr. 10 din 16.04.2010 Hotrre pentru revizuirea Hotrrii Constituionale nr. 16 di 28.05.1998 Cu privire la interpretarea art. 20 din Constituia RM in redacia Hotrrii nr. 39 din 09.07.2001 Hotrrea Curii Constituionale nr. 10 din 16.04.2010 Hotrre pentru revizuirea Hotrrii Constituionale nr. 16 di 28.05.1998 Cu privire la interpretarea art. 20 din Constituia RM in redacia Hotrrii nr. 39 din 09.07.2001 Hotrrea Curii Constituionale nr. 10 din 16.04.2010 Hotrre pentru revizuirea Hotrrii Constituionale nr. 16 di 28.05.1998 Cu privire la interpretarea art. 20 din Constituia RM in redacia Hotrrii nr. 39 din 09.07.2001
20
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
P r o t e c i a d a t e l o r c u c a r a c t e r p e r s o na l
i are consecine obligatorii inclusiv pentru interpretarea normelor constituionale care privesc viaa privat. Cu toate acestea, pn n momentul de fa nu exist jurispruden constituional a RM pe articolul 28 referitor la viaa privat sau alte subiecte conexe. Este de remarcat i iniiativa Centrului Naional pentru Protecia Datelor cu Caracter Personal din RM (n continuare Centrul) de a pune n discuie includerea n Constituia RM capitolul II Drepturile i libertile fundamentale a dreptului la protecia datelor cu caracter personal, similar practicii altor ri.8
8 9
10 11
12
13
Portugaliei (art. 35 din Constituie), Spaniei (art.18 din Constituie), Austriei (art.1 din Actul privind protecia datelor). A se vedea, de exemplu, art. 17 din Pactul internaional cu privire la drepturile civile i politice(Adoptat i deschis spre semnare de Adunarea General a Naiunilor Unite la 16 decembrie 1966; intrat n vigoare la 23 martie 1976, cf. art. 49, pentru toate dispoziiile cu excepia celor de la art. 41; la 28 martie pentru dispoziiile de la art. 41; raticat prin Hot. Parlamentului nr.217-XII din 28.07.90 i n vigoare pentru RM din 26 aprilie 1993); - art. 12 din Declaraia universal a drepturilor omului (Adoptat i proclamat la New York, la 10 decembrie 1948 de Adunarea General a O.N.U.; RM a aderat la Declaraie prin Hot. Parlamentului nr.217-XII din 28.07.90); - art. 8 din Convenia pentru aprarea drepturilor omului i a libertilor fundamentale (Adoptat la Roma la 04 noiembrie 1950 de ctre statele membre ale Consiliului Europei; intrat n vigoare la 03 septembrie 1953; raticat prin Hot. Parl. nr.1298-XIII din 24.07.97 i n vigoare pentru RM din 12 septembrie 1997). Textul legii poate citit aici: http://lex.justice.md/index.php?action=view&view=doc&lang=1&id=324657 Informaii despre semnatarii i raticrile Conveniei 108 la http://conventions.coe.int/Treaty/Commun/ ChercheSig. asp?NT=108&CM=8&DF=29/04/2011&CL=ENG Declaraiile sunt disponibile la http://conventions.coe.int/Treaty/Commun/ListeDeclarations.asp? NT=108&CM=8&DF=30/ 04/2011&CL=ENG&VL=1 Disponibil la http://lex.justice.md/index.php?action=view&view=doc&lang=1&id=337558
21
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
implementare a Planului de Aciuni RM UE n domeniul liberalizrii regimului de vize14, Protocolul 181 urma sa e raticat n primul semestru al anului 2011.
De asemenea, putem nota c Legea 17/2007 nu asigur un nivel adecvat de protecie a datelor cu caracter personal i nu ndeplinete cerinele impuse la nivelul UE de Directiva 95/46/CE. Aceasta din
14
15
16
Aprobat prin Hotrrea Guvernului nr. 122 din 4 martie 2011 http://lex.justice.md/viewdoc.php? action=view&view=doc&i d=337757&lang=1 Publicat:27.07.2007 n Monitorul Ocial Nr. 107-111 http://lex.justice.md/index.php?action=view&view =doc&lang= 1&id=324657 Publicat:01.08.2008 n Monitorul Ocial Nr. 140-142 art Nr : 572 http://lex.justice.md/md/328721/
22
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
P r o t e c i a d a t e l o r c u c a r a c t e r p e r s o na l
urm, necesar a ndeplinit ca parte a procesului de liberalizare a vizelor n relaia UE RM, impune un standard de protecie mai ridicat dect dispoziiile Conveniei 108. Acesta este de altfel i motivul principal pentru care s-a procedat la o iniiativ de actualizare a Legii 17/2007, care a fost remis Guvernului spre examinare.17 Aceast iniiativ a fost adoptat de ctre Guvern i naintat ctre Parlament pe data de 26 aprilie 201118. O discuie mai detaliat pe tema noului proiect se regsete n capitolul 5.1 al prezentului raport. Trebuie, de asemenea, s precizm faptul c exist i o alt propunere de completare i modicare unor acte legislative,19 n special a Codului Contravenional care ar permite aplicarea de amenzi pentru nerespectarea legislaiei primare. Cadrul normativ primar este completat de ctre Legea nr. 182 din 10.07.200820 cu privire la aprobarea Regulamentului Centrului Naional pentru Protecia Datelor cu Caracter Personal, structurii, personalului-limit i a modului de nanare a Centrului Naional pentru Protecia Datelor cu Caracter Personal, care vor discutate n cadrul Capitolelor 4.5 i 5.2.
17
18
19 20
21 22
Disponibil la adresa http://justice.gov.md/ro/examinare-guvern/ , text la http://justice.gov.md/le/ acte%20normative%2 0spre%20examinare%20Guvernului/L_caracter-personal%20FINAL.doc Fia actului normativ la Parlament este disponibil la adresa http://parlament.md /ProcesulLegislativ/%C3%8Enregistrate/ tabid/61/LegislativId/620/Default.aspx Text disponibil la http://www.datepersonale.md/le/proiect%20alte%20acte%20norm%20-004.pdf Publicat :01.08.2008 n Monitorul Ocial Nr. 140-142 art Nr : 578 Data intrrii in vigoare : 10.07.2008 disponibil la http://lex. justice.md/viewdoc.php?action=view&view=doc&id=328727&lang=1 Disponibil la adresa http://www.datepersonale.md/md/consiliul/ Publicat: 24.12.2010 n Monitorul Ocial Nr. 254-256 Nr : 1282 http://lex.justice.md/index.php? action=view&view=doc&la ng=1&id=337094
23
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
Cu privire la acest din urm act normativ, articolul 2 precizeaz c deintorii de date cu caracter personal au obligaia s le implementeze n termen de 12 luni de la intrarea lor n vigoare. Textul urmeaz ndeaproape bunele practici internaionale23 n ceea ce privete protecia securitii informaiei. Cu toate acestea, avnd n vedere caracterul obligatoriu al acestor cerine pentru toi operatorii de date cu caracter personal (indiferent de mrimea acestora) conform articolului 14 alin. 2 din Legea 17/2007, i innd seama de situaia economic a RM, opinm c, att din punct de vedere al operatorilor de date personale privai, ct mai ales cei publici, prezentul act propune o serie de obligaii extrem de greu de ndeplinit de ctre operatorii mici i mijlocii sau de instituiile publice. Obligaiile legate de autorizarea accesului zic, securitatea sediilor, controlul vizitatorilor etc. ar necesita investiii de cel puin cteva mii de euro, dac nu chiar zeci de mii de euro pentru orice operator de date cu caracter personal, sume care nu sunt la ndemna oricrui operator economic sau instituii publice din RM (sau chiar din UE). n opinia noastr, exist riscul ca acest act normativ s nu poat ndeplinit din punct de vedere practic de majoritatea operatorilor de date cu caracter personal, ceea ce poate duce att la o evitare a eventualei nregistrri n Registrul Operatorilor, ct i la ignorarea acestei Hotrri a Guvernului. Considerm c o simpl menionare a principiilor24 pe care politica de securitate s le ndeplineasc ar putea mult mai util practic, lsnd la latitudinea ecrui operator modul de aplicare al acestora, n funcie de tipul de date colectat. Aplicarea acestor principii n corelaie cu aplicarea principiilor de data minimisation i o perioad minim de stocare, ar putea sa duc la o protecie mai ecient a datelor cu caracter personal. Evident, n cazul datelor cu caracter special, acestea pot detaliate n condiiile considerate necesare. n acelai timp ar necesar o explicitare a cerinelor de securitate n termeni uor de neles25 destinate persoanelor nespecializate n probleme de securitate sau protecie a datelor cu caracter personal. Anexa 1 a Cerinelor de securitate cuprinde dou categoriile de date: cele speciale (existente i n lege) i, ceea ce Hotrrea numete, categoria obinuit. Aceasta din urm, detaliat la punctul 3, arat din punct de vedere al interpretrii literale ca o enumerare exhaustiv. ns o list limitat a datelor cu caracter personal contrazice nsi deniia din legea-cadru extrem de larg a acestor date.26 De altfel, o asemenea enumerare are toate ansele s eludeze unul sau mai multe date cu caracter personal (de exemplu, n lista prevzut n Anexa 1 par a lipsi cel puin datele de trac informaional), ceea ce subliniaz de ce o asemenea enumerare trebuie s existe cel mult cu titlul exemplicativ. B. Nu putem s nu amintim lipsa oricrei legislaii secundare cu privire la crearea Registrului deintorilor de date cu caracter personal. Dei putem nelege dicultile de ordin nanciar pentru realizarea unui registru automatizat sau temeiul juridic pentru ca el s e adoptat prin Hotrre a Guvernului, considerm c este inacceptabil ca proiectul Hotrrii Guvernului privind aprobarea Regulamentului Regis-
23 24
25
26
Vezi ordine similare ale DPA din alte ri sau standarde internaional ISO 17 799 sau ISO 27 001 i care sunt aceleai cu cele din Hotrrea de Guvern din RM. Vezi de exemplu liniile directoare puse la dispoziie de DPA din Irlanda - http://www.dataprotection.ie/viewdoc.asp?DocID=1091&ad=1 Vezi de exemplu documentele puse la dispoziie de DPA din Marea Britanie - http://www.ico.gov.uk/for_organisations/data_ protection/security_measures.aspx i http://www.ico.gov.uk/upload/ documents/library/data_protection/practical_application/security%20v%201.0_plain_english_website_version1.pdf Pentru o explicitare a ceea se poate integra n conceptul de date cu caracter personal a se vedea Grupul de Lucru Articolul 29 Avizul 4/2007 privind conceptul de date cu caracter personal disponibil la http://ec.europa.eu/justice/policies/privacy/ docs/wpdocs/2007/wp136_ro.pdf
24
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
P r o t e c i a d a t e l o r c u c a r a c t e r p e r s o na l
trului manual al deintorilor de date cu caracter personal s fost trimis pe 16 iunie 2010 de Centru ctre Guvern spre aprobare, fr a adoptat nc pn la ora redactrii acestui raport. n acelai timp, observm c exist nc n dezbatere public proiectele de documente referitoare la formatele de tipizate27. Notm, astfel, c modelul de formular de cerere de nregistrare28 este destul de complex, cernd o list mare de date de la operatorii de date cu caracter personal. Dei nelegem dorina de a aa ct mai multe despre subiecii legii i modul cum ei respect actul normativ cadru, considerm c o limitare a datelor cerute29ar servi pe de o parte la debirocratizarea acestui proces, iar pe de alt parte ar uura activitatea Centrului, care a degrevat de prelucrarea unor date ce servesc n primul rnd doar la scopuri statistice. n acelai context, considerm c enumerarea categoriilor de date prelucrate ntr-o list (chiar dac poate avea titlu exemplicativ) poate conduce la impresia c doar acestea reprezint categorii de date cu caracter personal.30 De asemenea, dezvoltrile tehnologice continue (de exemplu, nu au fost incluse ca poteniale date personale cele obinute prin taguri RFID sau noile tipuri de cookie) impun necesitatea unei actualizri constante a acestor informaii, care ar duce la o actualizare prea frecvent a informaiilor din formular. Astfel, n opinia noastr, o simplicare a formularului31 la datele absolut necesare este dezirabil att pentru operatori, ct i pentru Centru. Tot la acest punct referitor la Registrul Operatorilor, nu putem sa nu ne exprimm regretul c nu se adopt soluia unui Registru automatizat, avnd n vedere una din funciile sale principale de informare pentru subiecii datelor cu caracter personal.32 Un registru manual este practic n imposibilitate de a ndeplini aceast funcie, n opinia noastr. Avnd n vedere c nu trebuie s e un program extrem de complex din punct de vedere informatic, considerm c el poate fcut n colaborare cu alte instituii ale statului care au minima expertiz tehnic necesar, inclusiv instituiile de nvmnt superior, chiar n condiiile unei nanri minimale. C. Din punct de vedere al unei legislaii sectoriale, sunt destul de puine acte normative ce au referine directe la datele cu caracter personal, explicabil ns prin scurta perioad de dezvoltare a domeniului. n acelai timp, lipsa unor dispoziii pentru protecia condenialitii, n special n domeniul datelor cu caracter special, cum este cel medical, afecteaz n mod semnicativ respectarea acestor date.33 Totui exist cteva acte normative care merit menionate: Legea cu privire la registre nr 71/200734 precizeaz n Articolul 4 litera c) c unul din principiile crerii i inerii registrelor este protecia datelor cu caracter personal ale persoanelor zice; Cu toate acestea articolul 21 Particularitile inerii registrelor ce conin date cu caracter personal cuprind doar informaii generice:
(1) La inerea registrelor ce conin date cu caracter personal vor respectate cu strictee drepturile i libertile omului.
27 28 29 30 31
32 33 34
Disponibile la adresa http://www.datepersonale.md/md/proiecte/ i http://www.datepersonale .md/md/transp_consult/ Disponibil la http://www.datepersonale.md/le/proecte/Cerere_inregistrare.pdf Pn la cele 6 categorii cerute de Articolul 19 din Directiva 95/46/EC Vezi i fn 106 Alte DPA ofer modele de formulare simplicate Vezi Irlanda https://www.dataprotection.ie/documents/ forms/APD1new_eng.pdf sau fr o prezentare prea detaliat a tipurilor de date cu caracter personal vezi Italia https://web.garanteprivacy.it/rgt/FacSimile_Modello_Noticazione_2008.pdf sau Frana https://www.correspondants.cnil.fr/CilExtranetWebApp/declaration/accueil.action Vezi art 21 alin 3 din Directiva 95/46/EC Registrul poate consultat de orice persoan Interviu cu Arcadie Astrahan, UNDP Health and Human Rights Consultant, 7 Aprilie 2011 Publicat:25.05.2007 n Monitorul Ocial Nr. 70-73 Nr : 314 Data intrrii in vigoare : 25.11.2007. disponibil la http://lex.justice.md/index.php?action=view&view=doc&lang=1&id=325732
25
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
(2) Modul de colectare, prelucrare, pstrare i utilizare a datelor cu caracter personal n registrele de stat se stabilete de lege.
Astfel, acest act normativ35 eueaz n a oferi orice protecie suplimentar de facto datelor cu caracter personal colectate. Principiile necesare unei protecii efective a datelor personale lipsesc cu desvrire (cum ar minimizarea datelor colectate (data minimisation),36 necesitatea numirii unei persoane responsabile pentru protecia datelor, audit intern i extern cu privire la respectarea vieii private, avizul obligatoriu al Centrului nainte de ninarea unui nou Registru etc.) Legea privind vericarea titularilor i a candidailor la funcii publice 271/18.12.200837 precizeaz n articolul 18 c
Chestionarul completat de titularul, candidatul la funcia public i informaiile obinute de organul de vericare n cadrul vericrii, cu excepia informaiilor privind elementele constitutive ale unei infraciuni i a altor date stabilite de lege, reprezint date cu caracter personal.
Aceast denire este inutil, toate aceste date intrnd n categoria datelor cu caracter personal conform deniiei din legea cadru. n schimb, autorizarea prevzut de Anexa 1, numit Declaraie de Vericare, conine dou prevederi cel puin bizare:
Autorizez organul de vericare s acceseze i s obin date cu caracter personal i alte informaii necesare vericrii, efectuat n conformitate cu prevederile Legii privind vericarea titularilor i candidailor la funcii publice. Autorizez accesul organului de vericare i al efului autoritii publice n care m angajez (lucrez) la datele cu caracter personal referitoare la persoana mea.
n opinia noastr aceast autorizare nu are niciun sens n actuala formulare. n primul rnd, aceasta nu ndeplinete rolul de consimmnt, neind exprimat n mod liber i ind condiionat, pentru c nu se poate refuza semnarea Anexei 1. n al doilea rnd, aceasta nu ar fost necesar, n condiiile n care o astfel de obligaie expres de acces la date personale ar fost inclus n lege n mod imperativ. Astfel, s-ar ndeplinit una din excepiile prevzute de legea cadru.38 n schimb, aplicarea acestei legi creeaz probleme serioase de implementare, deja menionate de Centru n raportul de activitate din 2010,39 n special cu privire la coninutul Anexei 2 i la prelucrarea datelor celorlali membri ai familiei. Raportul pe 2010 concluzioneaz acest aspect astfel:
Centrul a propus Centrului pentru Drepturile Omului din Moldova iniierea procedurii de sesizare a Curii Constituionale n scopul exercitrii controlului constituionalitii anexei nr. 2 din Legea privind
35
36
37
38 39
Ca o prere personal, dincolo de subiectul acestui raport, este interesant a ne ntreba care este scopul actului normativ (care nu este precizat n mod expres). Dei teoretic putem identica drept scop principal al unui act normativ n domeniu obligaiile de protecie a datelor personale sau ne-duplicarea eforturilor n crearea Registrelor ori cerinele acestora de interoperabilitate i n ce condiii, textul actului normativ are prevederi mai degrab birocratice, legate de exemplu de condiiile sau formele de inere a Registrelor. Colectarea doar a ceea ce este necesar, tergerea datelor dup ce acestea nu mai sunt necesare. Pentru detalii referitoare la aceste principii vezi de ex. In the Service of the States Dilemmas of Privacy and Technology Enabled Surveillance, Walter Frisch, University of Vienna, 2008 disponibil la http://staatswissenschaft.univie.ac.at/ leadmin/user_upload/inst_staatswissenschaften/Frisch/21063courseWebsite/InTheSereviceoftheState-WFrisch.pdf Publicat:24.02.2009 n Monitorul Ocial Nr. 41-44 Nr : 118 , disponibil la http://lex.justice.md/index.php? action=view&vie w=doc&lang=1&id=330807 Vezi art 6 alin 1 i alin 6 legea 17/2007 A se vedea Raport de activitate pentru anul 2010 - Centrul Naional pentru Protecia Datelor cu Caracter Personal al RM seciunea Prelucrarea de ctre angajatori a unui volum excesiv de date cu caracter personal care vizeaz membrii familiei titularilor i candidailor la funcii publice - pag 22-26 Raport disponibil la http://www.datepersonale.md/le/raport2010. pdf
26
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
P r o t e c i a d a t e l o r c u c a r a c t e r p e r s o na l
vericarea titularilor i candidailor la funcii publice, precum i declarrii prevederilor supuse controlului constituionalitii ca ind neconstituionale.
Apreciem n mod deosebit aceast iniiativ40 i considerm c ea ar putea extins41 i la scopul colectrii datelor personale pentru candidaii la aceste funcii (i nu limitat doar pentru cei ce urmeaz s e numii). ntreaga lege duce de facto la colectarea unui numr excesiv de date personale de ctre organul de vericare, care pot accesate n multiple situaii extrem de larg denite (vezi art 19. alin. 5 din lege) i pe perioad extrem de ndelungat (5 ani). De asemenea, nu exist nicio msur de siguran cu privire la accesul la aceste date sau tergerea acestora. Legea privind transmiterea transfrontalier a datelor cu caracter personal ctre Muzeul Memorial al Holocaustului din Statele Unite ale Americii Legea 38/10.03.201142 creeaz o excepie de la legea cadru prin transmiterea transfrontalier Muzeului Memorial al Holocaustului din Statele Unite ale Americii a datelor cu caracter personal (din perioada anilor 19331945), prelucrate de Serviciul de Stat de Arhiv al RM. Aceast lege ridic o problem generic legitim legat de prelucrarea datelor cu caracter personal a persoanelor decedate, care sunt n continuare protejate de legea din RM, ind necesar consimmntul motenitorilor.43 O asemenea protecie fr limit de durat face ca un asemenea consimmnt s e poate aproape imposibil de obinut n cazul persoanelor decedate de mult timp, din cauza numrului mare de motenitori. Astfel, n practic, poate reprezenta doar o barier n calea cercetrilor istorice sau a libertii de exprimare. De altfel, avnd n vedere natura intrinsec a legturii dintre viaa privat i persoana zic, considerm c trebuie pus n discuie, pe viitor, dac protecia datelor cu caracter personal trebuie s se extind i asupra persoanelor decedate. Iar dac rspunsul este pozitiv, pentru ce perioad trebuie s se ntind aceast protecie. D. Dei nu se ncadreaz direct n conceptul de legislaie secundar, notm existena unei infraciuni specice n domeniul vieii private, prevzut n Codul penal al RM la art. 177, pe baza creia exist deja iniiate unele anchete penale.44 Articolul 177. nclcarea inviolabilitii vieii personale:
(1) Culegerea ilegal sau rspndirea cu bun-tiin a informaiilor, ocrotite de lege, despre viaa personal ce constituie secret personal sau familial al altei persoane fr consimmntul ei, se pedepsete cu amend n mrime de pn la 300 uniti convenionale sau cu munc neremunerat n folosul comunitii de la 180 la 240 de ore.
40 41
42
43
44
Aceasta a fost deja naintat Curii Constituionale cf raportului CpDOM, pag. 28-30 Ne ntrebm n ce msur nu ar trebui iniiat i o discuie mai larg legat de necesitatea acestei legi in integrum. Cu toate c o asemenea vericare poate util pentru anumite funcii unde buna reputaie este absolut necesar (de ex. Judectori), este discutabil lrgirea lor pentru toate categoriile de funcii publice i n special pentru toi candidaii. Astfel dac aceste date ale candidailor care nu au ctigat postul nu sunt distruse imediat dup colectarea lor, ne vom aa cu siguran n situaia unei nclcrii a principiilor colectrii datelor cu caracter personal. Publicat : 08.04.2011 n Monitorul Ocial Nr. 54-57 art Nr : 123 http://lex.justice.md/index.php? action=view&view=doc&la ng=1&id=338016 Articolul 6 alin 5 legea 17 n cazul decesului subiectului datelor cu caracter personal, consimmntul la prelucrarea datelor lui cu caracter personal se acord, n form scris, de ctre succesorii subiectului datelor cu caracter personal dac un astfel de consimmnt nu a fost dat de subiectul datelor cu caracter personal n timpul vieii. Vezi raportul Centrului din 2010 - pag 39
27
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
Alte acte normative (de ex. Codul de Procedur Penal45 sau Legea cu privire la comunicaii electronice46) conin dispoziii referitoare la condenialitate sau respectarea datelor cu caracter personal, ns doar la nivel principial sau generic, fr a se asigura msuri specice de protecie a acestora. 4.5. Cadrul instituional Dezvoltarea unui cadrul instituional ecient este de o importan esenial pentru o protecie efectiv a datelor cu caracter personal. De aceea nu putem dect s susinem mai multe decizii pozitive cuprinse deja n actele normative din domeniu care creioneaz modul de funcionare a acestui domeniu, dar i s atragem atenia asupra limitrilor aduse n mod direct sau indirect ori prin implementarea lor practic. Decizia de a crea o autoritate complet autonom (numit Centrul pentru protecia datelor cu caracter personal al RM47, pe scurt Centru) i nu un departament n cadrul unei autoriti sau instituii deja existente este una care merit subliniat n contextul bunelor practici din alte state care au creat astfel de autoriti. Un alt element pozitiv l reprezint ncercarea de a gsi un sistem de numire a unei persoane independente ca director sau director adjunct, cu experien n domeniul drepturilor omului48 pe un mandat de o perioad rezonabil (5 ani) timp n care acesta i poate desfura activitatea fr interferene nedorite din partea celorlalte puteri ale statului. Cum organele de conducere ale Centrului trebuie s poat s emit opinii, recomandri sau luri de poziie publice uneori n contradicie cu alte organe ale statului (de ex. Guvern, Parlament) sau partide politice, este esenial asigurarea independenei sale pe parcursul mandatului. Cu toate acestea, unele din dispoziii din prezenta lege, preluate i n noul proiect legislativ, pot face ca n practic directorul s poat nlturat pe criterii politice. Astfel textul Art 111 alin. (9) lit. a (n noua propunere de lege art 22 alin. (9) lit a)
(9) Propunerea de revocare din funcie a directorului Centrului poate naintat, dup caz, de Preedintele Parlamentului, de o fraciune parlamentar sau de cel puin 15 deputai n urmtoarele cazuri: a) nclcare grav a obligaiilor funcionale prevzute de legislaie;
45
46 47 48
Cod de procedur penal al RM, Articolul 15: (1) Orice persoan are dreptul la inviolabilitatea vieii private, la condenialitatea vieii intime, familiale, la protejarea onoarei i demnitii personale. n cursul procesului penal, nimeni nu este n drept s se implice n mod arbitrar i nelegitim n viaa intim a persoanei. (2) La efectuarea aciunilor procesuale nu poate acumulat fr necesitate informaie despre viaa privat i intim a persoanei. La cererea organului de urmrire penal i a instanei de judecat, participanii la aciunile procesuale snt obligai s nu divulge asemenea informaii i despre aceasta se ia un angajament n scris. (3) Persoanele de la care organul de urmrire penal cere informaie despre viaa privat i intim snt n drept s se conving c aceast informaie se administreaz ntr-o cauz penal concret. Persoana nu este n drept s refuze de a prezenta informaii despre viaa privat i intim a sa sau a altor persoane sub pretextul inviolabilitii vieii private, ns ea este n drept s cear de la organul de urmrire penal explicaii asupra necesitaii obinerii unei asemenea informaii, cu includerea explicaiilor n procesul-verbal al aciunii procesuale respective. (4) Probele care conrm informaia despre viaa privat i intim a persoanei, la cererea acesteia, se examineaz n edin de judecat nchis. Legea Nr. 241-XVI din 15.11.2007 Vezi pagina prezentare la http://www.datepersonale.md Art 11 alin 4 (4) Poate numit n funcia de director sau director adjunct al Centrului orice persoan care deine cetenia RM, are studii superioare juridice, experien profesional de cel puin 5 ani n domeniul aprrii drepturilor i a libertilor omului.
28
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
P r o t e c i a d a t e l o r c u c a r a c t e r p e r s o na l
creeaz n practic aceast posibilitate, n condiiile n care nu se explic identitatea entitii care decide c ne am n situaia unei nclcri grave.49 Dac aceast nclcare este stabilit doar de persoana care face propunerea de revocare (dup cum ar putea interpretat din textul actual), ne am n fapt n faa unei situaii n care conteaz doar voina Parlamentului. O alt chestiune concret referitoare la modul n care dispoziiile legale care asigur independena i competena sunt ndeplinite n practic se refer la numirea primilor director i director adjunct. Astfel, dei legea impune ca obligaia o minim experiena profesional de cel puin 5 ani n domeniul aprrii drepturilor i a libertilor omului, iar numirea directorului50 a fost fcut ulterior introducerii acestui text51 n Monitorul Ocial este neclar ndeplinirea acestui criteriu din CV-ul pus la dispoziie pe site-ul instituiei.52 Chestiunea este relevant i pentru directorul-adjunct, unde nu sunt prezente niciun fel de informaii publice cu privire la competenele sale.53 Aceste probleme ne-au fost ridicate i de unele organizaii non-guvernamentale care au explicat reticena de a colabora cu o instituie nou a crei conducere este perceput ca neavnd o zon de expertiz n domeniul drepturilor omului, ceea ce duce la o inerent limitare a imaginii i funciilor Centrului n ntreaga societate. Dei din punct de vedere juridic Centrul a fost creat la nceputul anului 2009, el i-a nceput practic activitatea n aprilie 2009,54 iar o bun parte din activitatea primilor ani a fost dedicat i rezolvrii problemelor administrative necesare unei bune funcionri. Dei ar trebui s aib un efectiv de maxim 21 de persoane angajate, pn n aprilie 2011 erau ocupate doar 16 posturi. Un alt element care poate ntri structura instituional n acest domeniu o reprezint crearea Consiliului Consultativ55, care poate s e un bun prilej de dialog cu reprezentanii societii civile i a sectorului privat. Dei au avut loc doar dou ntlniri ale Consiliului56, toate documentele referitoare la aceste ntlniri sunt disponibile public, ceea ce arat un grad ridicat de transparen. Totui, din minutele documentelor publice nu rezult c n cadrul Consiliului Consultativ s-ar discutat chiar proiectul de act normativ de modicare a legii cadru, ceea ce ridica semne de ntrebare cu privire la reala sa utilitate. n acelai timp, att componena Consiliului, ct i prezena la ntlniri surprind prin lipsa implicrii societii civile, dar i a sectorului privat. Pe de o parte aceast absen poate explicat prin noutatea subiectului sau nencrederea n noua instituie. Pe de alt parte, modul de prezentare a Consiliului unde sunt nominalizai doar reprezentanii instituiilor publice, dar sunt omii reprezentanii sectorului privat, poate un element care s nu incite la participarea activ. De asemenea, obligaia de a aproba
49
50
51 52 53 54 55
56
O motivaie similar a fost folosit n trecut pentru a schimba Preedintele Autoritii din domeniul comunicaiilor electronice din Romnia, ce ar trebuit s aib un statut similar. nclcarea grav a fost stabilit printr-un raport nepublic al guvernului, dar motivaia real a fost cea a coloraturii politice a preedintelui n funcie. Dup cteva abuzuri ale acestui articol similar din legea romn, Comisia European a anunat declanarea procedurii de infringement mpotriva Romniei pentru lipsa de independen real a Autoritii din domeniu. Vezi i Comisia lanseaz mpotriva Romniei procedura de infringement pentru nerespectarea independentei autoritii telecom 29.01.2009 - http://www.euractiv.ro/uniunea-europeana/articles|displayArticle/articleID_16233/ Comisia_lanseaza_impotriva_Romaniei_procedura_de_infringement_pentru_nerespectarea_independentei_autoritatii_telecom.html Hotrre Nr. 233 din 13.11.2008 privind numirea n funcie a directorului Centrului Naional pentru Protecia Datelor cu Caracter Personal, Publicat : 18.11.2008 n Monitorul Ocial Nr. 206-207 Nr : 760 Data intrrii in vigoare : 13.11.2008 disponibil la http://lex.justice.md/index.php?action=view&view=doc&lang=1&id=329690 Art 111 a fost introdus prin introdus prin LP141-XVI din 26.07.08, MO140-142/01.08.08 art.572 Disponibil la http://www.datepersonale.md/md/director/ Informaii la http://www.datepersonale.md/md/adjunct/ http://www.datepersonale.md/le/CNPDCP_raport_2009.pdf Art 11 alin 3 legea cadru i Capitolul IV Consiliul Consultativ din Regulamentul Centrului Naional pentru Protecia Datelor cu Caracter Personal vezi fn 59 i 60 Conform informaiilor disponibile la http://www.datepersonale.md/md/carhiv/
29
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
componena nominal a Consiliului de ctre directorul Centrului57 reprezint o msur de birocraie excesiv i inutil, n condiiile scopului unei participri ct mai largi n acest cadru de dezbatere. Din informaiile primite de la Centru58 rezult c reprezentanii societii civile au fost invitai n momentul crerii Consiliului, dar rspunsul acestora nu a fost deosebit. n schimb, dei au existat mai recent sau exist colaborri punctuale cu unele organizaii non-guvernamentale (cum ar Institutul pentru Drepturile Omului (IDOM) sau Amnesty International), acestea nu au fost invitate n mod direct s participe la activitile Consiliului. n ceea ce privete colaborarea cu alte instituii, apreciem n mod deosebit conlucrarea real i ecient a Centrului cu Centrul pentru Drepturile Omului din Moldova (CpDOM)59. Astfel de colaborri ncheiate cu utilizarea prghiilor existente la nivelul ecrei instituii pentru scopul comun (cel de protecie a vieii private) ofer premisele unei activiti de succes pentru o real protecie a cetenilor RM.
57
58 59
60
61 62
Cf pct 4 din Capitolul IV Consiliul Consultativ din Regulamentul Centrului Naional pentru Protecia Datelor cu Caracter Personal vezi fn 86 Interviu din data de 30 Martie 2011 Detaliata n special n raportul pe 2010 al CpDOM pag 24-41, disponibil la http://www.ombudsman.md/md/anuale/ , i n interviu cu experii CpDOM din data de 5 Aprilie 2011 Nu o s relum aici problemele concrete deja identicate n rapoartele mai sus menionate (i care au fost deja citate pe parcursul acestui raport). Vezi detalii n Raportul CpDOM 2010 pag 30-32 i Raportul Centrului pe 2010 pag 11-14 Informaie disponibil la Consiliul Superior al Magistraturii preocupat de asigurarea dreptului la via privat http://www. datepersonale.md/md/newslst/1211/1/4105/
30
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
P r o t e c i a d a t e l o r c u c a r a c t e r p e r s o na l
ecrei instituii publice care proceseaz astfel de date, fr lsa acest domeniu de protecie doar n responsabilitatea Centrului. n acest sens, susinem punctul de vedere al raportului pe 2010 al CpDOM, care noteaz explicit:
Lipsa mecanismelor de sancionare pentru nclcarea principiilor de protecie a datelor cu caracter personal i absena reglementrilor care ar concretiza rolul i statutul Centrului la acest compartiment fac imposibil realizarea plenar a misiunii ce-i revine acestei autoriti.
Exist nc mai multe subiecte lacunare (ori neraportate) n ceea ce privete scurta activitate a Centrului: Avnd n vedere experiena i activitatea sectorului non-guvernamental pentru protecia datelor personale referitoare la starea de sntate i viaa sexual63, credem c ar de dorit o conlucrare mai strns cu aceste instituii64 i n special o atitudine pro-activ a Centrului. Avnd n vedere caracterul special al acestor date personale i efectul major prin nerespectarea prelucrrii n mod legal, cu nclcri agrante ale dreptului la via privat65, considerm c Centrul trebuie pe de o parte s i propun s fac din acest domeniu o prioritate pentru anii urmtori, dar i s nici nu ezite s apeleze la expertiza deja creat n sectorul non-guvernamental, inclusiv prin instruiri ale personalului intern al Centrului, ndeosebi pe problemele specice sectorului medical (de ex. sistemul de raportare al HIV n RM)66. Exist o lips de informare cu privire la ndeplinirea principiilor din legea-cadru de ctre sectorul privat sau non-guvernamental. Dei RM avea obligaia de a emite doar paapoarte cu date biometrice de la nceputul anului 201167, nu exist nicio analiz a Centrului referitoare la actualele reglementri i modul lor de punere n practic. n contextul creterii accesului la Internet n RM, un rol din ce n ce mai pregnant din punct de vedere practic, dar i al situaiilor mai complicate din punct de vedere al legii aplicabile o s-l aib protecia datelor personale pe Internet, n special n contextul reelelor sociale i ale altor site-uri cu coninut generat de utilizatori. Cel puin mai multe informri n acest sens sunt necesare pentru populaia Moldovei. Activitatea Centrului se pare c s-a axat doar pe activitile de la nivelul capitalei i nu la nivelul RM. Dei aceast atitudine ar putea determinat n special de probleme nanciare, n urmtorii ani ar trebui cutata o soluie n acest sens, n special n activitile de contientizare, poate n colaborare cu ociile teritoriale ale CpDOM. Implementarea dispoziiilor referitoare la protecia datelor cu caracter personal are i o component esenial de contientizare i prevenire a respectrii principiilor prelucrri acestor date. n aceast direcie am remarcat n sens pozitiv informaia pe care Centrul o pune la dispoziia tuturor prin inter63
64 65
66 67
n special Institutul pentru Drepturile Omului pentru chestiunile practice, ca i PNUD pentru chestiunile legate de modicarea cadrului legislativ specic medical cu referire la problemele de condenialitate. Deja nceput printr-un Memorandum of Understanding ce urmeaz a semnat ntre IDOM i Centru Vezi cazul decis de Curii Supreme de Justiie cu privire la expertiza medico-militar n Forele Armate ale RM, aprobat prin Hotrrea Guvernului nr. 897 din 23 iulie 2003, care nu asigur condenialitatea diagnosticului prezentat de IDOM in Raportul de Aprarea persoanelor HIV/SIDA n RM www.idom.md i n Raportul CpDOM pag 39-40 Interviu cu Arcadie Astrahan, UNDP Health and Human Rights Consultant, 7 Aprilie 2011 Cu excepia consulatelor RM n strintate
31
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
mediul paginii sale web i actualizarea ei n mod constant. Aceasta reprezint o foarte bun activitate de promovare a activitii Centrului, care poate suplimentat prin explicitarea ntr-un limbaj accesibil ntregii populaii a noiunilor de baz legate de protecia datelor personale, precum i prin promovarea informaiilor prin mass-media online i oine. Subliniem ncercrile inventive ale Centrului, ndeosebi n condiiile unui buget redus, de a crea mijloace de informare a populaiei cu privire la drepturile lor, inclusiv prin aciuni neobinuite (dar ecace!) pentru o instituie public cum ar ash-mob-ul organizat n colaborare cu Amnesty International cu ocazia Zilei Internaionale a Drepturilor Omului n 2010.68 Totui, aceasta trebuie s e o activitate continu, iar activitile de contientizare trebuie adresate i ctre sectorul privat cu informaii specice operatorilor. Considerm c se pot gsi parteneri buni de discuie n acest sens n asociaiile sectoriale patronale sau de afaceri din domeniile direct interesate (de exemplu: bancar, asigurri, telecomunicaii, Internet). De asemenea este esenial evaluarea impactului acestora aciuni pentru a cuantica ecacitatea msurilor. Dintre activitile de implementare a principiilor procesrii datelor personale n actele normative aate n pregtire la diverse instituii remarcm faptul c Centrul a fost solicitat s emit avize referitor la acestea.69 Pe de alta parte considerm c, n condiiile n care nu exist o obligaie normativ expres n acest sens, acest lucru poate limita importana acordat unui rspuns, mai ales dac acesta ar categoric de respingere a unui asemenea proiect. De asemenea, nu exist obligaia de aviz din partea Centrului pentru crearea unui nou Registru (sau necesitatea crerii acestuia). n acest context, opinm ca util modicarea legislativ pentru a obliga obinerea unui aviz-conform (sau a unui aviz consultativ) din partea Centrului pentru proiectele de acte normative ce pot aduce atingere vieii private, dar i obligativitatea publicrii acestora cel puin pe site-ul propriu. Dei n Planul de Aciuni al Centrului pentru ndeplinirea Strategiei de Dezvoltare a Centrului pentru 2010-201270 este inclus la punctul 4.4. Elaborarea i inerea unui curs de ore pentru funcionarii publici, procurori, colaboratori ai Ministerului Afacerilor Interne, lucrtori medicali etc., aceast aciune nu a fost ndeplinit pn n momentul de fa. De asemenea, este important crearea unui astfel de sistem i pentru persoanele care lucreaz n instituii ce au obligaii directe de prelucrare a datelor personale, n special n contextul programului de liberalizare a vizelor.
68 69 70
Vezi Raport Centru 2010 pagina 46 Vezi Raport Centrul 2010 pag 42-43 Disponibil la adresa http://www.datepersonale.md/le/Plan_strat_2010.pdf
32
5.
Raport CpDOM 2010 pag 33-35 Percheziia corporal i examinarea intim a persoanelor care sosesc la ntrevederi cu condamnaii de exemplu persoanele sosite la ntrevederi de lung durat pot supuse controlului minuios, inclusiv prin efectuarea procedeului de tact-vaginal i controlul altor caviti ale corpului, n vederea prevenirii intenionrii transmiterii ctre deinui a unor obiecte, articole sau substane interzise pentru pstrare n instituiile penitenciare. Vezi i cap. 4.3. din prezentul raport. Pentru detalii vezi fn 97 i 98
33
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
2. Explicitarea articolul 11 cu privire la Stocarea datelor, n special n situaia n care nu exist o legislaie specic pentru condiiile i termenele de stocare a datelor cu caracter personal; 3. Eliminarea dispoziiilor care pot folosite pentru a afecta independena conducerii Centrului articolul 22 alin. (9) lit. a;3 4. Includerea obligaiei Centrului de a emite avize consultative cu privire la proiectele de acte normative care pot afecta dreptul la via privat i de publicarea acestor avize n termen de maxim 60 de zile n Monitorul Ocial i/sau pe propriul site;4 5. Stipularea unui termen maxim de aplicare a legii pentru prelucrarea datelor cu caracter personal ale persoanelor decedate, dup care s nu mai e necesar consimmntul motenitorilor; 6. Includerea obligaiei de publicare a tuturor actelor emise de Centru (opinii, recomandri, investigaii) pe site-ul propriu, dup depersonalizarea acestora. Directorul Centrului poate stabili excepii pentru anumite documente cu informaii clasicate, avnd ns obligaia de a avea o list exhaustiv a acestor documente nepublice. De asemenea, pentru asigurarea unui cadru normativ corespunztor normelor minimale, trebuie adoptate dispoziiile propuse de ctre Centru n Legea privind modicarea unor acte legislative (Legea cu privire la protecia datelor cu caracter personal, Legea cu privire al accesul la informaie, Codul Contravenional), dar i a actelor legislative secundare pentru punerea n aplicare a legii cadru, n special hotrrea de guvern cu privire la Regulamentul Registrului manual (sau automat) al deintorilor de date cu caracter personal. Pentru o protecie adecvat a datelor cuprinse n Registrele de stat, sugerm modicarea Legii Registrelor prin includerea unui audit al ndeplinirii principiilor prelucrrii datelor cu caracter personal ca o etap obligatorie prealabil realizrii oricrui registru care include colectarea sau stocare unor astfel de date. Analiza ar trebui s e fcut de ctre Centru sau un auditor extern i s e publicat odat cu Hotrrea de Guvern care aprob Regulamentul Centrului. Pentru registrele existente, acest audit ar trebui fcut n cel mai scurt timp posibil. n ceea ce privete legislaia sectorial n domeniul comunicaiilor electronice de la nivelul UE, aceasta nu a fost nc implementat de ctre RM. Referitor la subiectul pstrrii datelor de trac, Legea privind prevenirea i combaterea criminalitii informatice nr 20/20095 prevede deja o obligaie generic de pstrare a datelor de trac pentru cel puin 180 de zile n Articolul 7 lit. f:
s asigure monitorizarea, supravegherea i pstrarea datelor referitoare la trac, pe o perioad de cel puin 180 de zile calendaristice, pentru identicarea furnizorilor de servicii, utilizatorilor de servicii i a canalului prin al crui intermediu comunicaia a fost transmis;
Dispoziia din legea moldovean este excesiv fa de normele n vigoare ale UE6, att prin deniia extrem de larg a furnizorilor de servicii care sunt obligai s respecte legea (orice entitate public sau privat care ofer utilizatorilor serviciilor sale posibilitatea de a comunica prin intermediul unui sistem
3 4
Pentru detalii vezi Capitolul 4.5. Aceasta ar duce i la o implementare mai bun a articolul 20 alin 2 din Directiva cadru. Fiecare stat membru prevede ca autoritile de supraveghere s e consultate la elaborarea msurilor de reglementare i administrative referitoare la protecia drepturilor i libertilor persoanelor n ceea ce privete prelucrarea datelor cu caracter personal. Publicat: 26.01.2010 n Monitorul Ocial Nr. 11-12 art Nr : 17 disponibil la adresa http://lex.justice.md/index.php?action=vi ew&view=doc&lang=1&id=333508 i care se pot schimba n viitorul apropiat ca urmare a revizuirii directivei vezi Cap.3.3.3.
34
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
P r o t e c i a d a t e l o r c u c a r a c t e r p e r s o na l
informatic, precum i orice alt entitate care prelucreaz sau stocheaz date informatice pentru acest serviciu de comunicaii sau pentru utilizatorii si), ct i prin nelimitarea expres a datelor de trac pstrate, a perioadei maxime de pstrare sau a explicitrii condiiilor de acces la aceste date. Mai mult, sintagma folosit de lege anume monitorizarea, supravegherea i pstrarea datelor - poate interpretat dincolo de simpla pstrare a datelor i presupune un rol activ al furnizorului de servicii Internet n a cauta potenialele activiti ilegale, ce contrazice principiul stipulat de articolul 15 din Directiva privind comerul electronic7:
Statele membre nu trebuie s impun furnizorilor obligaia general de supraveghere a informaiilor pe care le transmit sau le stocheaz atunci cnd furnizeaz serviciile prevzute n art. 12, 13 i 14 i nici obligaia general de a cuta n mod activ fapte sau circumstane din care s rezulte c activitile sunt ilicite.
Astfel, acest act normativ va trebui s e revizuit n mod serios dac se dorete corelarea sa cu normele UE n materie de pstrare a datelor de trac informaional.
Directiva 2000/31/CE din 8 iunie 2000 privind anumite aspecte juridice ale serviciilor societii informaionale, n special ale comerului electronic, pe piaa intern (directiva privind comerul electronic) http://www.legi-internet.ro/leadmin/editor_folder/pdf/Dir31_2000.pdf Articolul 28 - Autoritatea de supraveghere (1) Fiecare stat membru prevede una sau mai multe autoriti publice sa e responsabile de supravegherea aplicrii pe teritoriul sau a dispoziiilor adoptate de statele membre in temeiul prezentei directive. Aceste autoriti acioneaz in condiii de independenta deplina in exercitarea atribuiilor cu care sunt investite. (2) Fiecare stat membru prevede ca autoritile de supraveghere sa e consultate la elaborarea normelor i actelor administrative referitoare la protecia drepturilor i libertilor persoanelor in ceea ce privete prelucrarea datelor cu caracter personal. (3) Fiecare autoritate este, n special, investit cu: competene de investigare, cum ar cea de acces la datele care fac obiectul unei prelucrri i cea de a colecta toate informaiile necesare pentru ndeplinirea ndatoririlor de supraveghere; competente efective de intervenie, cum ar , de exemplu, competenta de a emite avize nainte de nceperea prelucrrii, in conformitate cu articolul 20, i de a asigura publicarea adecvata a acestor avize sau de a ordona blocarea, tergerea sau distrugerea datelor, de a impune interdicia temporara sau denitiva de prelucrare, de a avertiza sau de a admonesta operatorul sau de a sesiza parlamentele naionale sau alte instituii politice, competenta de a aciona in justiie, in cazul nclcrii dispoziiile de drept intern adoptate in temeiul prezentei directive sau de a sesiza autoritile judectoreti asupra acestor nclcri. Deciziile autoritilor de supraveghere care dau natere unor plngeri pot face obiectul unei aciuni in justiie. (4) Fiecare autoritate de supraveghere poate sesizata de orice persoana sau de orice asociaie care o reprezint printr-o cerere de protecie a drepturilor i libertilor sale in ceea ce privete prelucrarea datelor cu caracter personal. Persoana vizata este informata despre soluia data plngerii sale. Fiecare autoritate de supraveghere poate sesizata printr-o plngere depusa de orice persoana cu privire la legalitatea prelucrrii datelor, atunci cnd se aplica dispoziiile de drept intern adoptate n temeiul articolului 13 din prezenta directiva. Persoana este informata, n orice caz, ca s-a efectuat o vericare.
35
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
Un raport recent al Ageniei pentru Drepturile Fundamentale9 face o clasicare i o prezentare comparativ a modului cum aceste autoriti de la nivelul statelor membre ale UE ndeplinesc aceste cerine i n ce modaliti, pentru a sublinia n nal mai multe bune practici la nivel naional, pornind de la dispoziiile articolului 28 mai sus menionat. Vom folosi n ceea ce urmeaz aceast clasicare pentru a ne referi la autoritatea din RM: Centrul. Independena deplin10 este unul din criteriile eseniale ce trebuie interpretat n sens larg.11 Centrul beneciaz de o relativ independen avnd n vedere cadrul legislativ actual. Posibilitatea de revocare a conducerii Centrului, precum i modul netransparent n care a fost aleas prima conducere, n special n ceea ce privete ndeplinirea unuia dintre criteriile din lege, ne face s m rezervai cu privire la acest aspect, dei nu am notat interferene directe din partea politicului pn n momentul de fa. Resursele puse la dispoziie. Din punct de vedere al resurselor umane, Centrul ar putea s se descurce n limita celor maxim 21 de posturi, ns doar 16 sunt ocupate. n ceea ce privete resursele nanciare, acestea sunt n mod extrem de clar insuciente12 att pentru atragerea personalului competent, ct i pentru activitile de contientizare necesare sau de realizarea a Registrului Automatizat al operatorilor de date cu caracter personal. Competenele de investigare. Dei din punct de vedere legislativ, acest domeniu ar acoperit n mare msur, competenele de investigare sunt limitate n practic, iar alte autoriti refuz colaborarea cu Centru.13 Acest lucru este limitat i mai mult de lipsa unei sanciuni directe i eciente prevzut n legea cadru sau legislaia subsecvent. Competenele efective de intervenie. Aceste atribuii lipsesc n mare msur din activitatea Centrului, att prin lipsa dispoziiilor legislative de sancionare (legate n special de modicarea Codului Contravenional), ct i prin lipsa vericrii prealabile a anumitor categorii de procesri. De altfel, de facto, n lipsa existenei unui Registru (automatizat sau manual) al operatorilor i a dispoziiilor de mai sus, Centrul acioneaz mai degrab ca un mediator i nu un intervenient sancionator, chiar atunci cnd este cazul. Competena de a aciona n justiie. Centrul are posibilitatea conform legii s iniieze o cerere n justiie pentru aprarea drepturilor subiecilor datelor cu caracter personal i s reprezinte interesele acestora n instana de judecat.14 Cu toate acestea, pn n momentul actual, Centrul nu a uzitat de aceasta facilitate, avnd n vedere numrul redus al personalului, dar i al plngerilor. Atribuii de consultare n procesul legislativ. Cu toate c nu exist o dispoziie expres n acest sens n legea-cadru, Centrul a fost consultat15 cu privire la o serie de acte normative cu efecte n
9 10
11
12 13 14 15
Citat mai sus, vezi fn 22 pag 19-49 Pentru a se vedea o interpretare detaliat a acestui context facem referire la decizia Curii Europene de Justiie n cauza C517/07 Comisia European vs Germania disponibil la http://eur-lex.europa.eu/LexUriServ/ LexUriServ.do?uri=CELEX:62007J0518: RO:HTML Aceast independen exclude nu numai orice inuen exercitat de organismele supravegheate, ci i orice ingerin i orice alt inuen exterioar, indiferent dac aceasta este direct sau indirect, care ar putea s pun n discuie ndeplinirea de ctre autoritile menionate a sarcinii acestora care const n stabilirea unui echilibru just ntre protecia dreptului la via privat i libera circulaie a datelor cu caracter personal. vezi fn 117 Pentru detalii vezi raportul Centrului pe anul 2010 pag 51-53 De ex. vezi raportul Centrului pe anul 2010 pag 16 Art. 11 Para (5) pct i) Legea 17/2007 Vezi raport Centru 2010 cap 2.6 Avizarea proiectelor de acte normative cu referin la compartimentul ce vizeaz domeniul proteciei datelor cu caracter personal
36
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
P r o t e c i a d a t e l o r c u c a r a c t e r p e r s o na l
domeniul prelucrrii datelor cu caracter personal. Cum aceste opinii nu sunt publice, este neclar n ce msur opinia Centrului a fost i luat n considerare n variantele nale ale actelor normative. O ntrire a rolului Consiliului Consultativ prin deschiderea sa n mod public ctre sectorul privat i implicarea mai activ a sectorului non-guvernamental ar n msur s creeze un cadru instituional i mai ecace pentru o implementare corect a regulilor din domeniul proteciei datelor personale.
16 17
37
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
Problema agregrii datelor n diverse aplicaii informatice, care permit unor utilizatori ai aplicaiei s obin acces practic la toate datele cu caracter personal despre un anumit individ, stocate de ctre .S. Registru. Dei datele n sine nu sunt stocate ntr-o baz de date comun (ceea ce este un aspect pozitiv), faptul c ele pot accesate la nivel logic de ctre o persoan cu credenialele adecvate ridic semne de ntrebare. n opinia noastr, folosind o exprimare mai prozaic, nici mcar Preedintele RM nu ar trebui s aib acces la toate datele colectate de ctre .S. Registru cu privire la o anumit persoan. Acestea ar trebui s poat accesate doar pe buci, n funcie de drepturile de acces acordate (cum parial i nu total se i ntmpl astzi). Aceasta este o problem care teoretic se poate respecta prin aplicarea principiului privacy by design18 n realizarea bazelor de date, al interconectrii acestora i al drepturilor de acces. O alt problem care ar putea s apar n acelai context ar aspectele de data mining.19 n contextul subiectelor mai sus menionate i al emiterii doar a paapoartelor biometrice de ctre RM din ianuarie 201120, cu stocarea amprentelor digitale ntr-o baz de date centralizat21 se deschide posibilitatea, cel puin teoretic, de a crea o baz de date cu date biometrice pentru aproape ntreaga populaiei a RM. Acest aspect trebuie s e tratat extrem de serios din punct de vedere al vieii private, n special n ceea ce privete scopul, funcionarea i accesul la aceste date. Chestiunea accesului abuziv la datele personale stocate de ctre .S. Registru n special n Registru de Stat al Populaiei de ctre diverse persoane (de ex. Personalul din subordinea Ministerului Afacerilor Interne, conform Raportului Centrului pe anul 201022) a fost ridicat de mai multe persoane intervievate de ctre noi, n special cele din sectorul non-guvernamental. Impresia creat de acetia a fost cea a existenei unei baze de date cu foarte multe date cu caracter personal, abuzat n mod frecvent de diverse persoane care au dreptul de a le accesa. Cu toate c .S. Registru ncearc o abordare a problemei din punct de vedere contractual cu terii care au acces la aceste date, practica o dovedete a insucient pentru o protecie real a datelor personale. Astfel, avnd n vedere rolul i locul .S. Registru n colectarea datelor cu caracter personal i accesul dat altor autoriti considerm c un model de bun practic ar stabilirea unei persoane responsabile de protecia datelor cu caracter personal la nivelul .S. Registrului sau a ecrui Registru n parte, administrat de acesta, i publicarea unui raport anual de respectare a legislaiei privind pstrarea datelor cu caracter personal, inclusiv a msurilor de securitate luate i a nclcrilor acestora.
18
19
20 21
22
Pentru mai multe detalii vezi un document al autoritii din Marea Britanie http://www.ico.gov.uk/upload/ documents/ pdb_report_html/index.html Care ns considerm c ar dincolo de subiectul acestui raport. Pentru mai multe detalii vezi de ex. Data Mining and Privacy; Fulda, Joseph S ,11 Alb. L.J. Sci. & Tech. 105 (2000-2001) Informaii la http://www.registru.md/pa/ Excepie fac doar paapoartele cerute la consulatele RM. Recunoatem, acesta este un subiect extrem de sensibil la nivelul tuturor statele membre ale UE in implementarea Regulamentului Consiliului No 2252/2004 din13 Decembrie 2004. Totui unele state din UE au preferat stocarea amprentelor digital doar pe cip-ul paaportului pentru a minimiza riscul de nclcare a vieii private (ex. Austria, Germania, Portugalia, Romnia). Mai multe detalii in raportul Privacy International European Privacy and Human Rights 2011 - https://www.privacyinternational.org/article/ephr-research-and-analysis Conform raport Centru 2010 pag 32-33. Raportul noteaz: De exemplu, conform datelor prezentate de Comisariatul de politie al sectorului Buiucani, n perioada 01.01.2010 - 01.09.2010, reprezentanii acestei subdiviziuni au efectuat 734 de accesri a informaiilor stocate n Registrul de stat al populaiei. Totodat, reieind din informaia prezentat de S CRIS REGISTRU, utilizatorii Comisariatului de politie al sectorului Buiucani au efectuat, n perioada de referin 7686 de accesri. n astfel de mprejurri, planeaz unele suspiciuni c celelalte 6952 de accesri (7686 -734 = 6952) nu au suport legal, ind fcute abuziv cu utilizarea situaiei de serviciu.
38
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
P r o t e c i a d a t e l o r c u c a r a c t e r p e r s o na l
Mai mult, promovarea conceptelor de date cu caracter personal sau via privat par a cantonate ntr-un con de umbr, aa cum corect concluzioneaz rapoartele pe 2010 ale Centrului i CpDOM:
(...) o problem important care s-a reliefat pe parcursul anului 2010, const n absena unor rezultate palpabile la capitolul promovrii conceptului de date cu caracter personal i via privat; la capitolul cointeresrii societii dar i a mass-mediei n reectarea subiectului de protecie a datelor cu caracter personal (...)23 RM se a, deocamdat, la etapa de promovare a semnicaiei dreptului de via privat. Acest drept nu este perceput nc n sucient msur ca un drept inerent inei umane, care solicit statului nu numai datoria de ne-imixtiune, dar i obligaiuni pozitive care cer n mod concret de la autoriti s ntreprind msuri rezonabile i adecvate pentru a proteja drepturile individului.24
Una din posibilele soluii n degrevarea Centrului cu privire la numrul mare de probleme pe care o implementare incipient le aduce ar putea-o reprezenta valoricarea conceptului de persoan responsabil de protecia datelor cu caracter personal (Data protection ocer sau privacy ocer). Acest concept deja prezent n experiena european n domeniu, ar putea extins prin revizuirea Directivei cadru. Astfel, actuala directiv prevede n articolul 18 alin. (2) c statele membre pot decide s primeasc o noticare simplicat sau chiar o derogare de la noticare:
atunci cnd operatorul, n conformitate cu dreptul intern cruia i se supune, numete un funcionar pentru protecia datelor cu caracter personal, responsabil n special: de asigurarea n mod independent a aplicrii interne a dispoziiilor de drept intern adoptate n temeiul prezentei directive; de pstrarea registrului cu prelucrrile efectuate de operator, coninnd informaiile prevzute n articolul 21 alineatul (2), i garantnd astfel ca prelucrrile nu pot s aduc atingere drepturilor i libertilor persoanelor vizate.
Acest articol a fost implementat diferit n statele membre ale UE25 i cu mult dincolo de obligaia legat de noticare, de la o obligaie inclus n lege de a avea desemnat o astfel de persoan n instituiile publice n Germania pn la un regim pur voluntar n Suedia. Cu toate c n contextul procesului de adoptare a noii legi-cadru este puin probabil ca n acest moment s se poat introduce o asemenea obligaie detaliat, exist posibilitatea conturrii unei excepii adugate la noul articol 23 alin (6)26 sau chiar al unui act normativ secundar emis de Centru n temeiul acestui articol. Introducerea acestei persoane responsabile, chiar i n regim voluntar, ar putea uura implementarea legislaiei n domeniul proteciei datelor cu caracter personal, ndeosebi n cazul instituiilor publice sau a marilor rme din domeniu i ar putea duce la o cretere a contientizrii domeniului prin aceti posibili ageni ai schimbrii. La nivelul instituiilor publice se poate lua n considerare i apelarea la acei coordonatorii pe e-Transformare, deja creai n cadrul programului Centrul de Guvernare Electronic,27 e n mod direct, e prin desemnarea unor persoane n subordinea lor.
23 24 25
26
27
Raport Centrul 2010 pag 57 Raport CpDOM 2010 pag 25 Pentru detalii vezi Raportul Grupului de Lucru Articolul 29 WP106/2005, in special paginile 15-20 http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2005/wp106_en.pdf (6) Centrul poate stabili i alte situaii n care noticarea nu este necesar sau situaii n care noticarea se poate efectua ntr-o form simplicat, atunci cnd: Aceste persoane au un rol de Chief Information Ocer. Vezi i Prima edin de lucru cu coordonatorii pe e-Transformare http://egov.md/?l=ro&a=10&i=58
39
6.
1 2
Vezi raport Centru 2010 pagina 36 i pagina 44 Informaii obinute de la Regia de publicitate Clickits http://www.clickits.md/studii-de-caz/campania-diva-pe-re%C5%A3elesociale/
40
7.
41
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
Hotrre Nr. 122 din 04.03.2011cu privire la aprobarea Programului naional de implementare a Planului de Aciuni RM UE n domeniul liberalizrii regimului de vize Publicat:11.03.2011 n Monitorul Ocial Nr. 37-38 art Nr : 152 disponibil la http:// lex.justice.md/index.php?action= view&view=doc&lang=1&id=337757
42
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
P r o t e c i a d a t e l o r c u c a r a c t e r p e r s o na l
PROTECIA DATELOR CU CARACTER PERSONAL 41. Elaborarea i apro- Aprobarea prin hotrre de Guvern a RegulaCentrul Naional Trimestrul I barea cadrului mentului Registrului manual al deintorilor de pentru Protecia 2011 normativ secundar date cu caracter personal Datelor cu Caracter care s asigure Personal, implementarea Cancelaria de Stat procesului de nre- Implementarea Sistemului informaional autoCentrul Naional 2011 - 2012 gistrare a deinmatizat Registrul deintorilor de date cu carac- pentru Protecia torilor de date per- ter personal Datelor cu Caracter sonale n registrul Personal, public Cancelaria de Stat Implementarea legislaiei cu privire la protecia datelor cu caracter personal i asigurarea funcionrii eciente a autoritii autonome de control pentru protecia datelor prin alocarea resurselor umane i nanciare necesare 42. Modicarea i Prezentarea spre examinare Guvernului a proiec- Ministerul Justiiei, Trimestrul II 2011 completarea cadru- tului hotrrii de Guvern privind aprobarea pro- Centrul Naional lui normativ nai- iectului legii pentru modicarea i completarea: pentru Protecia onal cu prevederi Codului contravenional, Legii cu privire la apro- Datelor cu Caracter barea Regulamentului Centrului Naional pentru Personal privind datele cu caracter personal Protecia Datelor cu Caracter Personal, structurii, personalului-limit i a modului de nanare a Centrului Naional pentru Protecia Datelor cu Caracter Personal; Legii cu privire la sistemul de salarizare n sectorul bugetar Adoptarea Legii cu privire la modicarea i Ministerul Justiiei, Semestrul II completarea: Codului contravenional, Legii cu Cancelaria de Stat, 2011 privire la aprobarea Regulamentului Centrului Centrul Naional pentru Protecia Naional pentru Protecia Datelor cu Caracter Personal, structurii, personalului-limit i a mo- Datelor cu Caracter Personal dului de nanare a Centrului Naional pentru Protecia Datelor cu Caracter Personal; Legii cu privire la sistemul de salarizare n sectorul bugetar
Programul pare a , la data redactrii raportului, destul de optimist i cuprinde, surprinztor poate pentru acest capitol, doar aciuni ce se refer la modicarea unor acte normative. Dei, aa cum am prezentat i mai sus, o serie de recticri legislative sunt absolut necesare, focalizarea doar pe acest subiect poate reprezenta o minimalizare a domeniului proteciei datelor personale. n acelai timp, o serie de termene de realizare din raport sunt deja depite, iar n contextul n care rapoartele lunare ale autoritilor responsabile, care sunt trimise ctre Ministerul Afacerilor Externe, nu sunt publice, este greu de identicat unde se ntmpin diculti (de ex. noul proiect de lege cu privire la protecia datelor cu caracter personal a fost trimis Guvernului n Februarie 2011, conform site-ului Ministerului Justiiei i, totui, nu este nc adoptat). Faza a II-a se refer att la implementarea legislaiei, ct i la asigurarea funcionrii eciente a Centrului. n ceea ce privete al doilea punct, este neclar modalitatea exact n care va implementat i ne exprimm reticena c obiectivul poate ndeplinit pn la nalul anului 2011. Cum deja am explicat n special n capitolele 4.5. i 5.2. cu exemple i sugestii concrete, mai sunt pai importani de fcut i dincolo de modicrile legislative pentru a avea drept rezultat un Centru ecient. Nu este clar n ce msur bugetul Centrului poate revizuit nc din acest an pentru a-i putea ndeplini funciile n mod adecvat, n special cele de contientizare, promovare a drepturilor subiecilor datelor, dar i de
43
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
investigare ecient; sau n ce msur acoper implementarea ecient a legii n ntreaga Republic Moldova; ori problemele legate de cooperarea internaional. Un alt punct critic este alocarea de resurse umane eciente. Aceasta nseamn nu doar creterea salariilor pentru atragerea candidailor (deocamdat este prevzut doar modicarea Legii cu privire la sistemul de salarizare n sectorul bugetar, ns exist doar propunerea Centrului n acest sens), dar i formarea celor angajai pentru c rolul Autoritii nu este doar crearea unui nou registru, ci nelegerea i promovarea problematicilor legate de datele personale, inclusiv prin aplicarea legii. n contextul unei expertize reduse la nivelul Moldovei i a lipsei resurselor necesare pentru instruirea adecvat, suntem extrem de circumspeci cu privire la acest subiect pe termen scurt. Referitor la implementarea legislaiei, nivelul extrem de sczut de contientizare a problemelor, deja precizat, nu are cum s dispar att de uor, chiar i n condiiile unui cadru normativ perfect. De altfel, prezentul program pare a se concentra asupra Centrului ca singur instituie ce trebuie s se ocupe de aplicarea legii, cnd o abordare mult mai ecient ar implicarea activ a tuturor instituiilor publice care prelucreaz datele personale prin adoptarea unor planuri interne coordonate de Centru, legate de implementarea legislaiei. Dei contextul specic al Programului de implementare este legat de accesul la EUROJUST i EUROPOL, problematica nu trebuie redus doar la acest aspecte i doar la Centru, ca autoritate prevzut de legea cu privire la datele cu caracter personal. Dei Centrul poate coordona, oferi expertiz, evalua sau instrui instituiile interesate, este rolul acestora din urm s fac evaluarea iniial a situaiei i implementarea msurilor adecvate pentru protecia datelor. n acest context considerm c problematica implementrii legislaiei ar putea mult mai ecient prin: desemnarea, n mod voluntar, a unei persoane responsabile de protecia datelor, cu titlu permanent, n ecare din instituiile cheie (Ministerul Justiiei, Procuratura General, Ministerul Afacerilor Interne, Serviciul de Grniceri, Serviciul Vamal, Serviciul de Informaii i Securitate etc.). Vezi n acest sens i referirile din Capitolul 5.3 la cadrul normativ european n domeniu;3 instruirea persoanelor responsabile de ctre Centru, poate ca parte a proceselor de instruire deja identicate n Programul pentru implementarea planul de aciuni; coordonarea lor de ctre Centru i stabilirea de ntlniri operative de discutare a problemelor identicate i posibilele soluii. Dei nelegem interesul deosebit al RM pentru ndeplinirea elementelor din planul de aciuni (deja remarcat la alte state care au trecut prin acest proces), am dori s subliniem n mod deosebit c exist riscul ca ndeplinirea acestor criterii s depeasc interesul logic i natural de a avea o protecie ecient pe termen mediu i lung a datelor cu caracter personal. n acest context, dorim s reamintim c: ndeplinirea standardelor cerute de UE poate s reprezinte un barem cteodat subiectiv i nicidecum rezolvarea problemelor n acest domeniu; analizele de evaluare fcute de experii europeni se bazeaz uneori doar pe chestiuni formale i pe ndeplinirea unor criterii minimale i mai rar pe o implementare ecient innd cont i de specicul naional al RM. De asemenea, nimic nu mpiedic RM s implementeze multe din
Vezi fn 175-176
44
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
P r o t e c i a d a t e l o r c u c a r a c t e r p e r s o na l
bunele practici ce reies din implementarea directivelor n diverse state membre i care merg dincolo de criteriile europene agreate de comun acord; standardele UE vin dup o experien de cel puin civa ani buni de implementare a domeniul proteciei datelor cu caracter personal i pe fondul unui context economic evident diferit. n acest sens este important n orice proces de negociere sau discuie cu experi din UE s se in cont de situaia practic din RM de astzi. Un exemplu practic n acest sens din domeniul proteciei datelor personale este cel al condiiilor minime de securitate pentru prelucrarea datelor,4 unde obligaii la un nivel prea ridicat fa de condiiile actuale din RM pot imposibil de implementat din punct de vedere practic de toi operatorii din cauza costului mult prea ridicat. UE gzduiete discuii amnunite cu opinii diametral opuse referitor la multe dintre subiectele care sunt prezentate ca certitudini n relaiile directe cu statele ne-membre. n special, domeniul proteciei datelor intr deseori n conict cu domeniul justiiei, al securitii sau al poliiei i procuraturii sau pe subiecte legate de vize i imigrri.5 Dac ar s privim doar Directiva privind pstrarea datelor de trac sau Propunerea UE pentru un sistem european de pstrare a datelor pasagerilor (EU PNR), ar sucient pentru a atinge doua subiecte extrem de dezbtute la nivelul Uniunii n 2011, n special n ceea ce privete balana dintre securitate i via privat.
4 5
Vezi pentru detalii pag 24-25 Vezi diversele opinii ale EDPS pe teme distincte http://www.edps.europa.eu/EDPSWEB/edps/ site/mySite/OpinionsC
45
8.
Concluzii
O privire de ansamblu a modului de protecie a vieii private ne arat c RM se confrunt cu probleme sistemice majore n a asigura acest drept al omului. Considerm c ne ngduie s armm acest lucru: situaiile agrante deja raportate de diverse instituii sau organizaii non-guvernamentale cu privire la interceptrile convorbirilor telefonice1 (unde Moldova a fost deja condamnat la CEDO n cazul Iordachi2), culminate chiar cu suspendarea serviciilor de telefonie mobil cerut de autoriti publice3, examinarea intim sistematic a persoanelor care viziteaz condamnai n condiiile n care nici mcar nu exist un act normativ n acest sens4, lipsa de interes din partea autoritilor judiciare pentru acest drept al omului reectate att n publicarea integral a datelor personale din hotrri judectoreti (inclusiv din edinele nepublice!)5, ct i n hotrri judectoreti de neneles pe acest domeniu.6 Att motenirea existent, ct i lipsa unui mecanism ecient de protecie a acestui drept vreme de muli ani au dus nu doar la cazuri concrete extreme de nclcare a dreptului la via privat, ci i la sisteme de colectare excesiv, iar uneori chiar i abuziv, a tuturor categoriilor de date cu caracter personal, inclusiv cele cu caracter special. Instituiile statului, ndeosebi, par a nu-i pune problema principiilor colectrii la nivelul incipient al dezvoltrii sau implementrii oricrei activiti cu efect asupra datelor personale ale cetenilor. Astfel, activitile ntreprinse n mare parte n ultimii doi ani pentru protecia vieii private, n ciuda eforturilor depuse de Centru i CpDOM n special, precum i de sectorul non-guvernamentale pe problemele sectoriale specice, nu pot dect s ne indice faptul c ne am doar la nceputul unui lung proces, pe care RM l ntreprinde n realizarea unui stat democratic n care drepturile omului nu au doar o consacrare constituional, ci i una care se regsete n viaa de zi cu zi. Dialogul privind liberalizarea regimului de vize i viitorul Acord de Asociere ntre RM i UE pun problema proteciei datelor cu caracter personal mai pregnant. Aceast oportunitate d ocazia RM s i armonizeze cadrul normativ la cel mai nalte standarde existente n lume. Dar chiar dac acest impuls poate extrem de folositor n a avea susinerea politic necesar unui astfel de proces, este important a nu se pierde din vedere scopul nal: cel al unui cadru legislativ, instituional i practic de protecie
1 2 3
4 5 6
Raport CpDOM pag 25-29, Raport Centru pag 14-20 Vezi fn 8 Vezi Raportul Nagacevski Raportul Comisiei de Anchet pentru elucidarea cauzelor i consecinele evenimentelor de dup 5 Aprilie 2009, pag 54 disponibil la http://video.jurnal.md/raport.pdf Vezi fn 151 Raport CpDOM pag 31-34, Raport Centru pag 11-14 Vezi cazul decis de Curii Supreme de Justiie cu privire la expertiza medico-militar n Forele Armate ale RM, aprobat prin Hotrrea Guvernului nr. 897 din 23 iulie 2003, care nu asigur condenialitatea diagnosticului prezentat de IDOM n Raportul de Aprarea persoanelor HIV/SIDA n RM www.idom.md i n Raportul CpDOM pag 39-40
46
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
P r o t e c i a d a t e l o r c u c a r a c t e r p e r s o na l
a vieii private n RM. Stabilirea extrem de clar a acestui scop permite abordarea i ncercarea rezolvrii problemelor de fond i poate nu pentru ndeplinirea unor criterii pentru obiective geopolitice actuale, doar pentru un termen scurt. Cadrul actual al domeniul proteciei datelor cu caracter personal este nc nesatisfctor,7 n ansamblu, dar are anse de a crete n mod semnicativ n condiiile n care msurile propuse n Programul de implementare al Planului de Aciuni sunt respectate ndeaproape. Chiar i n aceste condiii, pentru atingerea unui nivel adecvat de protecie conform normele europene, mai sunt multe chestiuni de rezolvat ndeosebi pentru implementarea legii, care deocamdat este abia la linia de start, dar i pentru ridicarea nivelului de contientizare att a operatorilor de date cu privire la obligaii, ct i a persoanelor zice cu privire la drepturile lor. n ceea ce privete procesul de liberalizare a vizelor n sine, dei pare la prima vedere simplu n a lsa pe mna Centrului ntreaga activitate de implementare, de fapt, este extrem de important conlucrarea activ a tuturor actorilor instituionali implicai n acest proces, inclusiv pentru ndeplinirea criteriilor din domeniul proteciei datelor personale. Referitor la protecia datelor cu caracter personal pe termen mediu i lung, avnd n vedere multiplele cazuri de colectare excesiv, considerm necesar o re-evaluare exhaustiv din perspectiva necesitii colectrii datelor personale, a ndeplinirii principiilor prelucrrii i a duratei de pstrare a datelor. Acestea ar trebui s priveasc n special actele normative cu privire la documentele cerute prin Registre, ct i alte cazuri similare.
O analiza mai detaliat pe seciunile legislativ, cadrul instituional i implementare poate gsit n capitolele 5.1-5.3.
47
9.
Recomandri
Prezentele recomandri sunt rezultatul al studiului Protecia datelor cu caracter personal n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere i Liber Schimb ntre Republica Moldova i Uniunea European i recomandm a citite n acest context. Astfel, pentru o detaliere a motivaiilor acestora se recomand citirea studiului. Aceste recomandri nu includ aciunile n legtur cu protecia datelor cu caracter personal deja introduse n Programul Naional de implementare a Planului de Aciuni Republica Moldova UE n domeniul liberalizrii regimului de vize. n schimb, subliniem necesitatea adoptrii acestora ct mai curnd posibil, n special prin actualizarea legii-cadru privind protecia datelor, asigurarea msurilor de sancionare adecvate pentru nclcarea acesteia i realizarea Registrului Operatorilor
48
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
P r o t e c i a d a t e l o r c u c a r a c t e r p e r s o na l
g) Deschiderea Consiliului Consultativ pentru orice persoan interesat, n special asociaiile obteti i sectorul privat. Anularea aprobrii componenei nominale a Consiliului de ctre Directorul Centrului; h) Respectarea cerinei legale de experien profesional de cel puin 5 ani n domeniul aprrii drepturilor i a libertilor omului n alegerea Directorului i a Directorului adjunct. Contientizarea de sectorul non-guvernamental a importanei Centrului pentru protecia vieii private i a conducerii independente a acestuia. i) Evaluarea de ctre Centru i CpDOM a legislaiei cu privire la interceptarea convorbirilor telefonice, ct i a implementrii acesteia, inclusiv in punctul de vedere hotrrilor CtEDO.
49
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
(m) Stabilirea unei persoane responsabile de protecia datelor cu caracter personal la nivelul .S. Registrului sau a ecrui Registru n parte i publicarea unui raport anual de respectare a legislaiei privind pstrarea datelor cu caracter personal, inclusiv a msurilor de securitate luate i a nclcrilor acestora; (n) Stabilirea unor condiii de securitate pentru prelucrarea datelor cu caracter personal mai laxe, n special pentru sectorul ntreprinderilor mici mijlocii sau a sectorului neguvernamental; (o) Pe termen mediu i lung o reevaluare exhaustiv, n colaborare cu CpDOM, din perspectiva necesitii colectrii datelor personale, a ndeplinirii principiilor prelucrrii i a duratei de pstrare a datelor a actele normative deja existente ce prevd colectarea de date cu caracter personal.
Pentru a preveni plecarea persoanelor deja instruite, se poate introduce o obligaie ca acetia s rmn n cadrul instituiilor publice cel puin X ani dup nalizarea instruirii.
50
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
P r o t e c i a d a t e l o r c u c a r a c t e r p e r s o na l
9.4. Recomandri specice negocierii viitorului Acord de Asociere i crerii Zonei de Liber Schimb Aprofundat i Cuprinztor ntre RM i UE
Implementarea directivei ePrivacy, mpreun cu o analiz extrem de atent n special a noului articol 5 alin 32; Urmrirea activ a dezbaterilor din Uniunea European, n special n ceea ce privete revizuirea Directivei - Cadru i adoptarea noilor modicri; Modicarea articolului 7 lit. f din legea privind prevenirea i combaterea criminalitii informatice nr 20/2009 pentru a se ncadra n limitele Directivei pstrrii datelor de trac informaional. Urmrirea activ a procesului de revizuire a directivei; Stabilirea unui plan de aciuni n vederea ndeplinirii standardelor europene pentru un nivel adecvat de protecie; Negocierea cu Uniunea European a unui plan de aciuni care s in cont de specicul Republicii Moldova, n special n ceea ce privete implementarea msurilor minime de securitate.
n acest sens vezi i Opinia Grupului de Lucru Articolul 29 n Avizul nr. 2/2010 privind publicitatea comportamental online http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_ro.pdf
51
Despre autor:
Bogdan Manolea este expert aliat la Centrul Romn de Politici Europene (CRPE), avnd ca domenii de expertiz dreptul tehnologiei informaiei, libertatea de exprimare i protecia vieii private. Bogdan a absolvit Facultatea de Drept din cadrul Universitii din Craiova n anul 2000. Fondator al site-ului legi-internet.ro, Bogdan colaboreaz n prezent cu Asociaia pentru Tehnologie i Internet - APTI i este editor la EDRI-gram - un newsletter european pe teme de drepturi civile digitale.
Olga Demian este liceniat n drept internaional public, cu un master n Drept European acordat de Queen Mary College, Universitatea din Londra n 2010. n cadrul acestuia, Olga a studiat teme legate de protecia vieii private i a datelor cu caracter personal, pe de o parte, i accesul la informaiile din sectorul public, pe de alt parte. Olga are o experien de peste 10 ani n calitate de consultant juridic n domeniul drepturilor omului att n Republica Moldova ct i peste hotare.