Studiu Protectia Datelor Cu Caracter Personal În Republica Moldova 2011

Autor: Bogdan MANOLEA
Mai 2011
CZU M
Descrierea CIP a Camerei Naionale a Crii 100 ex.
Coperta: Simion Coad Macheta: Mihai Sava Editare i tipar: Casa Editorial-Poligrac Bons Oces
Mulumiri tuturor celor care au avut amabilitatea de a ne ntlni n perioada martie-aprilie 2011 pentru a ne pune la dispoziie informaii i impresii despre protecia datelor personale n Republica Moldova. Mulumiri speciale Olgi Demian pentru contribuia adus la scrierea acestui raport i pentru stabilirea i participarea la ntlnirile organizate n Republica Moldova.
Acest studiu a fost elaborat de ctre Centrul Romn de Politici Europene (CRPE) la iniiativa i cu susinerea nanciar a Fundaiei Soros-Moldova. Opiniile exprimate n acest studiu aparin autorului i nu implic n mod necesar poziia CRPE sau a instituiei nanatoare. ISBN Fundaia Soros-Moldova CRPE mai 2011
Cuprins
1. Sumar executiv ............................................................................................................................. 4 2. Introducere .................................................................................................................................. 6 3. Reglementarea proteciei datelor cu caracter personal ................................................................. 8 3.1 Viaa privat ca drept al omului .................................................................................................... 8 3.2 Convenii internaionale privind protecia datelor cu caracter personal ...................................... 9 3.3 Cadrul UE privind protecia datelor cu caracter personal ........................................................... 12 3.4. Alte iniiative la nivel global ....................................................................................................... 18 4. Protecia datelor personale n RM .............................................................................................. 20 4.1. Dispoziii constituionale ............................................................................................................ 20 4.2. Tratate internaionale la care RM este parte .............................................................................. 21 4.3 Legislaia naional primar n domeniul proteciei datelor cu caracter personal ...................... 22 4.4. Legislaia naional secundar n domeniul proteciei datelor cu caracter personal ................. 23 4.6. Implementarea legislaiei privind protecia datelor cu caracter personal ................................. 30 5. Asimetrii ntre UE i RM n domeniul vieii private ..................................................................... 33 5.1 Asimetrii la nivel legislativ ........................................................................................................... 33 5.2. Asimetrii la nivel instituional ..................................................................................................... 35 5.3 Asimetrii la nivelul implementrii ............................................................................................... 37 6. Sectorul privat n contextul proteciei datelor cu caracter personal ............................................ 40 7. Impactul negocierilor cu UE asupra domeniului ......................................................................... 41 8. Concluzii .................................................................................................................................... 46 9. Recomandri .............................................................................................................................. 48 9.1. Recomandri de ansamblu pentru domeniul vieii private i a datelor personale ..................... 48 9.2 Recomandri n implementare .................................................................................................... 49 9.3. Recomandri specice Dialogului privind liberalizarea regimului de vize: ................................. 50 9.4. Recomandri specice negocierii viitorului Acord de Asociere i crerii Zonei de Liber Schimb Aprofundat i Cuprinztor ntre RM i UE .............................................................. 51
1.
Sumar executiv
Protecia datelor cu caracter personal n Republica Moldova (RM) este un subiect relativ nou aprut n peisajul dezbaterilor din ultima vreme, ndeosebi prin perspectiva dat de Dialogul privind liberalizarea regimului de vize, dar i a negocierii viitorului Acord de Asociere ntre RM i Uniunea European (UE). Dac vedem ns datele personale n perspectiva mai larg a proteciei vieii private, situaia actual de protecie efectiv n RM este lacunar, dovad ind numeroasele exemple agrante deja aduse pe agenda public n special prin rapoartele anuale ale Centrului pentru Protecia Datelor cu Caracter Personal din Republica Moldova (Centrul) i a Centrului pentru Protecia Drepturilor Omului (CpDOM)1. n aceste condiii i n lipsa unui interes la nivel politic pn n 2008 pentru domeniul proteciei datelor personale, tradus n crearea unui cadru normativ corespunztor, nu este surprinztor c avem de a face cu multiple cazuri de colectare excesiv a datelor, inclusiv a celor cu caracter special (cum ar cele privind starea de sntate), precum i alte nclcri agrante ale principiilor colectrii datelor personale. Vom ncepe raportul prin a face o incursiune n cadrul general de protecie a datelor cu caracter personal la nivel european, cu o analiz mai detaliat a directivelor i altor acte normative din UE. De asemenea, ne propunem s trecem n revist cadrul juridic actual din RM referitor la problematica adus n discuie, la nivel legislativ, instituional i de implementare, punctnd unele limitri actuale i evideniind posibile soluii. Analiza asimetriilor existente pleac de la premisa unei diferene istorice ntre cele dou repere (cadrul UE i cel al RM). Astfel, cu toate eforturile Centrului i ale CpDOM, (principalele instituii cu un cuvnt de spus n implementarea dispoziiilor referitoare la viaa privat), RM are un nivel nesatisfctor de protecie a datelor personale pe toate palierele. n acelai timp, dac lum n considerare planicrile publice pentru remedierea acestora (n special Programul Naional de implementare a Planului de Aciuni RM UE n domeniul liberalizrii regimului de vize), putem estima o posibil cretere substanial a nivelului de protecie. Acestea par ns a deja ntrziate de diveri factori birocratici, iar planicrile limitate la modicri legislative. ns fr aceste modicri legislative eseniale - actualizarea legii-cadru privind protecia datelor, asigurarea msurilor sancionatorii adecvate pentru nclcarea acesteia i realizarea Registrului Operatorilor protecia efectiv a datelor personale rmne un deziderat pe hrtie, iar Centrul o instituie-mediator fr puteri reale de intervenie. Un real progres n atingerea n cele din urm a unui nivel adecvat de protecie a datelor personale pe termen mediu poate obinut, n opinia noastr, doar prin alocarea de resurse nanciare i umane calicate ctre instituiile competente, dincolo de nivelul de subzisten i cu resurse inclusiv pentru
1
Rapoartele Centrului pentru anii 2009-2010 pot gsite la http://www.datepersonale.md/md/rapoarte , Rapoartele CpDOM, n special cel din 2010, vezi pag 25-42, la http://www.ombudsman.md/md/anuale/
n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre Republica Moldova i Uniunea European
P r o t e c i a d a t e l o r c u c a r a c t e r p e r s o na l
promovarea i contientizarea domeniului. Aceasta dincolo de modicrile legislative preconizate i subliniate mai sus. n plus, considerm a obligatorie implicarea mult mai activ din partea celorlalte instituii ale statului care prelucreaz date cu caracter personal, ndeosebi cele direct vizate de Dialogul privind liberalizarea regimului de vize. Instituiile trebuie s-i contientizeze problemele legate de acest subiect i rolul lor intern n rezolvarea acestora n mod activ, fr a atepta de la Centru soluiile perfecte. Pn acum, reaciile instituiilor publice au fost n mare parte de ignorare a semnalelor de alarm identicate de autoritile cu competene n domeniu, aa cum reiese din rapoartele lor publice. Pe de alt parte, Centrul, n condiiile obinerii modicrilor legislative i a resurselor necesare, trebuie s i asume un rol central n coordonarea, dar i instruirea personalului din instituiile implicate n Dialogul privind liberalizarea regimului de vize. n acelai timp, considerm c instituiile competente n domeniul vieii private i organizaiile non-guvernamentale interesate ar trebui s prote de deschiderea oferit de actuala poziionare a RM i de susinerea politic necesar pentru ndeplinirea cerinelor europene, pentru a obine un ecient cadru legislativ i instituional de protecie a vieii private n RM, inclusiv prin crearea instrumentelor adecvate pentru implementarea acestora. Acesta rezultat concret ar putea juca un rol esenial n ecuaia proteciei drepturilor omului, dincolo de interesele politice pe termen scurt sau mediu.
Chiinu, Mai 2011
2.
Introducere
Subiectul proteciei vieii private i implicit al proteciei datelor cu caracter personal a devenit din ce n ce mai important odat cu automatizarea i informatizarea din ce n ce mai multor procese legate de existena uman i n special n ceea ce privete interaciunea persoanelor zice att cu sectorul privat, ct i cu sectorul public. Mai mult, abordarea detaliat a subiectului proteciei datelor cu caracter personal n RM, vzut n special din perspectiva Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere ntre RM i UE, este cu att mai important cu ct cele dou subiecte se a pe agenda politic i social a RM din prezent. Opinia noastr este c acest subiect ar trebui s e vzut ntr-un context mai larg, nelimitndu-se doar la obiectivele imediate create de o anumit conjunctur geo-politic i strategic. Privirea de ansamblu trebuie s ia n considerare obligaiile legate de protecia datelor cu caracter personal ca o consecin direct a dorinei RM de a crea un stat democratic, bazat pe drepturile omului i pe Constituia Republicii adoptat n anul 19941, premise de baz pentru construcia statului moldovean ca stat democratic. Aceast abordare general ar permite RM trateze acest subiect cu interes i dup ndeplinirea obiectivelor imediate. Din punct de vedere structural, prezentul raport va ncerca, avnd n vedere i c subiectul raportului poate mai puin cunoscut pentru unii dintre cititori, s fac o trecere n revist a celor mai importante elemente referitoare la protecia datelor cu caracter personal att la nivel internaional i al UE, ct i la nivelul RM. Ulterior, raportul se va axa pe compararea celor dou perspective, scond n eviden att asimetriile existente, ct i prile pozitive cu scopul de a creiona substana concluziilor i a recomandrilor ataate prezentului raport. Cadrul general naional i internaional de protecie a datelor personale cuprins la care se face referire n raport este unul ntr-o profund revizuire. La nivel internaional relevante sunt att procesul de actualizare a principalului act normativ de drept internaional Convenia 108 a Consiliului Europei, ct i procesul de revizuire a actului normativ european de baz n domeniul proteciei datelor cu caracter personal Directiva 95/46/EC. n ceea ce privete legislaia RM, un nou proiect de lege pentru modicarea i actualizarea Legii cu privire la protecia datelor cu caracter personal urmeaz s intre n discuia Parlamentului n scurt timp. De asemenea, alte acte normative cu impact asupra domeniului n discuie se preconizeaz s e adoptate n scurt timp de ctre instituiile competente naionale.
Constituia RM a fost adoptat pe 29 iulie 1994 i poate citit la http://www.president.md/const.php?lang =rom
Aceste chestiuni practice ne determin s insistm asupra faptului c prezentul raport trebuie s e citit din perspectiva acestui context specic, n special n ceea ce privete posibilele modicri aprute ulterior n legislaia naional i internaional. De asemenea, subliniem faptul c prezentul raport conine informaii actualizate pn la data de 1 Mai 2011. Mulumim, i pe aceast cale, reprezentanilor instituiilor i organizaiilor care au avut amabilitatea s rspund pozitiv cererilor noastre de interviuri pe subiectul raportului n Martie/Aprilie 2011.2
Instituii: Centrul Naional pentru Protecia Datelor cu Caracter Personal din RM, Ministerul Tehnologiei Informaiei i Comunicaiilor, Centrul de Guvernare Electronic, Centrul pentru Drepturile Omului din Moldova, ntreprinderea de Stat Registru, Ministerul Afacerilor Externe i Integrrii Europene i Organizaii: Institutul Moldovean pentru Drepturile Omului, Programul Naiunilor Unite pentru Dezvoltare, Amnesty International, Centrul de Resurse Juridice, Centrul de Training CMB, Pro Data Lex, CReDO.
Reglementarea proteciei datelor cu caracter personal

3.1 Viaa privat ca drept al omului
De la prima ncercare de a deni dreptul la via privat n doctrina american ca dreptul de a lsat n pace (to be left alone)1, acesta a cptat noi valene i interpretri att pe cale jurisprudenial, dar i doctrinar pornind de la premisa dreptului unui individ de a putea controla ce informaie personal despre el nsui este diseminat ctre tere persoane. Conceptul de via privat ca drept fundamental apare abia dup cel de-al doilea rzboi mondial, cnd este inclus n Declaraie Universal a Drepturilor Omului2 adoptat de Adunarea General a Organizaiei Naiunilor Unite la 10 Septembrie 1948, care prevede n articolul 12:
Nimeni nu va supus la imixtiuni arbitrare n viaa sa personal, n familia sa, n domiciliul lui sau n corespondena sa, nici la atingeri aduse onoarei i reputaiei sale. Orice persoan are dreptul la protecia legii mpotriva unor asemenea imixtiuni sau atingeri.
3.
Dei Declaraia Universal a avut o inuen major asupra evoluiei dreptului la via privat, inclusiv prin includerea acestor drepturi n Constituiile mai multor state, ea nu are un caracter obligatoriu din punct de vedere juridic. Acest rol i revine unui alt document internaional propus de ctre Consiliul Europei, i anume Convenia European a Drepturilor Omului (CEDO)3, deschis pentru semnturi n 1950 i intrat n vigoare n Septembrie 1953. RM a raticat CEDO n anul 19974. 1. Orice persoan are dreptul la respectarea vieii sale private i de familie, a domiciliului su i a corespondenei sale. Articolul 8 din CEDO este cel care stipuleaz protecia dreptului la via privat ca drept al omului:
1. Orice persoan are dreptul la respectarea vieii sale private i de familie, a domiciliului su i a corespondenei sale.
2 3
Autori: Louis Brandeis Samuel D. Warren n articolul The Right to Privacy publicat n Harvard Law Review in 1890 .Articolul poate gsit la adresa http://www.spywarewarrior.com/uiuc/w-b.htm Declaraia poate citit la http://www.onuinfo.ro/documente_fundamentale/declaratia_drepturilor_ omului/ Convenia pentru Aprarea Drepturilor Omului i a Libertilor Fundamentale, disponibil la http://www.echr.coe.int/NR/ rdonlyres/E7126929-2E4A-43FB-91A3-B2B4F4D66BEC/0/ROU_CONV.pdf Hotrrea RM nr. 1298-XIII din 24.07.97 privind raticarea Conveniei pentru aprarea drepturilor omului i a libertilor fundamentale, precum i a unor protocoale adiionale la aceast convenie - Publicata in Monitorul Ocial al R. Moldova nr.54-55/502 din 21.08.1997
2. Nu este admis amestecul unei autoriti publice n exercitarea acestui drept dect n msura n care acest amestec este prevzut de lege i dac constituie o msur care, ntr-o societate democratic, este necesar pentru securitatea naional, siguran public, bunstarea economic a rii, aprarea ordinii i prevenirea faptelor penale, protejarea sntii sau a moralei, ori protejarea drepturilor i libertilor altora.
Cu toate c termenul de via privat nu a fost denit n mod expres de textul Conveniei, natura i ntinderea sa larg au fost consacrate de interpretrile date de ctre Curtea European a Drepturilor Omului (CtEDO), care a extins sfera de aplicabilitate a vieii private, respectiv a articolului 8, asupra unor activiti din sfera public (de ex. Convorbirile telefonice de la locul de munc vezi Halford vs. UK sau chiar datele de trac informaional - Copland vs. UK). Articolul 8 este cunoscut ndeosebi prin prisma deciziilor referitoare la nclcarea dreptului la via privat prin interceptarea ilegal a convorbirilor telefonice (vezi inclusiv cazul Iordachi vs. Moldova5). ns spectrul su de aplicare excede acest domeniu, atingnd inclusiv subiecte direct legate de prelucrarea datelor cu caracter personal. De exemplu, n cazul M.S. vs. Suedia6 CtEDO subliniaz c protecia datelor cu caracter personal [...] este de o importan fundamental pentru ca o persoan s se bucure de respectul vieii sale private, cum este garantat de articolul 8 al Conveniei. n cazul Rotaru vs. Romnia7 CtEDO precizeaz n mod expres c Articolul 8 al CEDO trebuie interpretat astfel s includ garaniile referitoare la protecia datelor personale aa cum sunt incluse n Convenia 108 a Consiliului Europei (CoE), pentru ca n alt caz8 s expliciteze importana datelor personale cu privire la starea de sntate n contextul conceptului de via privat. n Marper vs. Marea Britanie9, CtEDO a decis c posibilitatea plenar i nediscriminatorie de a pstra amprente i mostre ADN ale persoanelor suspectate, dar necondamnate, ncalc dispoziiile Articolului 8 din CEDO. De altfel, rolul activ al statului n protecia vieii private se exprim din ce n ce mai clar, att prin jurisprudena CtEDO10, Convenia 108 (detaliat n capitolul 3.2), dar i prin construcia jurisprudenial a unor Curi Constituionale, cum este cea a Germaniei, care n cazul Census din 198311 noteaz c n contextul modern al procesrii datelor personale, dreptul la via privat include dreptul individului de a determina dezvluirea i utilizarea datelor sale personale.
3.2 Convenii internaionale privind protecia datelor cu caracter personal

Interesul pentru reglementarea proteciei datelor cu caracter personal printr-un instrument juridic internaional a crescut n mod constant ncepnd cu anii 1980, ducnd la adoptarea unor instrumente
5
10
11
Decis n 2009, textul deciziei disponibil la http://cmiskp.echr.coe.int/tkp197/view.asp?item=1&portal= hbkm&action=html& highlight=iordachi&sessionid=70289744&skin=hudoc-en Decis la 27 August 1997, disponibil la http://cmiskp.echr.coe.int/tkp197/view.asp?item=4&portal= hbkm&action=html&ses sionid=70289840&skin=hudoc-en Vezi Rotaru vs Romnia, 4 Mai 2000 disponibil la http://www.legi-internet.ro/jurisprudenta-it-romania/decizii-cedo/rotaru-vs-romania-decizie-cedo.html Z vs. Finlanda, 25 Februarie 1997, disponibil la http://cmiskp.echr.coe.int/tkp197/view.asp?item=2&portal= hbkm&action= html&sessionid=70289903 Decis de curte la 4 Decembrie 2008 http://www.legi-internet.ro/jurisprudenta-it-romania/decizii-cedo/marper-vs-mareabritanie-cedo-dreptul-la-viata-privata-baza-de-date-adn.html Vezi de ex. Dreptul la viata privata include i obligaii pozitive pentru stat ca adoptarea unor masuri pentru a asigura respectul pentru viata privata, chiar i n sfera relaiilor dintre indivizii nsi - Cazul X i Y vs Olanda, Hotrrea din 26 Martie 1985, par 23. Mai multe detalii la http://de.wikipedia.org/wiki/Volksz%C3%A4hlungsurteil (doar n limba german)
Protec i a datel or cu caracter person al
relevante n principal de ctre Consiliul Europei (CoE), Organizaia pentru Cooperare i Dezvoltare Economic (OECD) i Organizaia Naiunilor Unite (ONU). A. Consiliul Europei CoE a fost unul dintre primii i cei mai activi actori internaionali n promovarea instrumentelor juridice internaionale care reglementeaz protecia datelor cu caracter personal. Astzi, acestea sunt: (a) Convenia pentru protecia persoanelor fa de prelucrarea automatizat a datelor cu caracter personal (Convenia 108)12, (b) Protocolul adiional nr.18113 i (c) treisprezece recomandri sectoriale adoptate de ctre Comitetul de Minitri.
(a) Convenia 108

Convenia 108, adoptat n 1981, creeaz uniformitatea juridic ntre statele semnatare n aspectele referitoare la dreptul la via privat cu privire la protecia datelor cu caracter personal. Convenia se bazeaz pe ase principii14 eseniale care reglementeaz protecia datelor cu caracter personal:
(1) Datele trebuie s e obinute n mod automat i prelucrate n mod corect i legal; (2) Datele trebuie s e nregistrate pentru scopurile specicate i legitime; (3) Datele nu trebuie s e utilizate ntr-un mod incompatibil cu aceste scopuri; (4) Datele trebuie s e stocate numai pentru atta timp ct este necesar pentru aceste scopuri; (5) Datele trebuie s e nregistrate ntr-o form adecvat, pertinent i neexcesiv (proporional) vis-a-vis de scopurile pentru care au fost colectate; i (6) Datele trebuie s e exacte.
i are drept scop consolidarea proteciei juridice a persoanelor zice cu privire la prelucrarea automatizat a datelor cu caracter personal15. Convenia 108 contureaz noiunea de date cu caracter personal, oferind o protecie extins unor categorii speciale16 de date cu caracter personal. Categoriile speciale de date cu caracter personal nu pot prelucrate dect n situaiile n care legea naional confer garanii suciente pentru ca individul despre care se obin datele s aib acces la ele i s obin, dac este necesar, actualizarea lor. Conform regulilor prevzute, o persoan ar trebui s poat accesa, rectica sau terge propriile date, cu excepia cazului n care exist motive legitime stabilite ntr-un act normativ n mod expres.17 Dei principiile stabilite n textul Conveniei 108 sunt actuale i au un caracter neutru din punct de vedere tehnologic, experii CoE au ajuns la concluzia c aceasta ar putea s e revizuit pentru a rspun12
13
14 15
16
17
Adoptat la Strasbourg la 28 ianuarie 1981, n cadrul Consiliului Europei. Textul poate gsit aici: http://conventions.coe. int/Treaty/Commun/QueVoulezVous.asp?NT=108&CM=7&DF=27/04/2011&CL=ENG Protocolul adiional la Convenia pentru protecia persoanelor fa de tratamentul automatizat al datelor cu caracter personal cu privire la autoritile de control i uxurile transfrontaliere de date. Textul poate citit aici: http://conventions.coe. int/treaty/Commun/QueVoulezVous.asp?NT=181&CM=8&CL=ENG Articolul 5 a Conveniei 108 Explanatory Report on the Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data Articolul 6 din Convenia 108 denete categoriile speciale de date cu caracter personal care evideniaz originea rasial, opiniile politice, convingerile religioase, date cu privire la sntate sau viaa sexual i date cu privire la condamnrile penale, sunt considerate categorii speciale. Articolul 8 a Conveniei 108
10
de noilor realiti i provocri. Astfel, n scopul de a gsi soluii adecvate la aceste provocri i pentru a garanta protecia efectiv a drepturilor omului i a libertilor fundamentale, comitetul de experi a propus pe 28 Ianuarie 2011 revizuirea i modernizarea acesteia.
(b) Protocolul Adiional la Convenia 108

Pentru a lrgi aria de aplicabilitate a principiilor prevazute n capitolele II i III a Conveniei 108, acest Protocol adiional a adugat noi prevederi menite s completeze dispoziiile iniiale. n primul rnd, Protocolul 181 oblig statele semnatare s nineze pe teritoriul ecruia o autoritate de supraveghere care se va bucura de independen real n ndeplinirea atribuiilor de monitorizare i respectare a principiilor proteciei datelor cu caracter personal.18 n al doilea rnd, acesta a adugat noi prevederi pentru a reglementa transferul internaional de date cu caracter personal n scopul asigurrii creterii schimburilor de date cu caracter personal ntre statele semnatare,19 n condiiile respectrii unor criterii minime. Ca atare, n scopul de a asigura o protecie ecient a vieii private i a datelor cu caracter personal, acestea nu pot trimise ctre tere tari fr asigurarea unui nivel adecvat de protecie.
(c) Recomandri sectoriale adoptate de ctre Comitetul de Minitri

Pe parcursul a treizeci de ani, prevederile Conveniei 108 au fost completate cu dispoziiile supletive adoptate de Comitetul de Minitri a CoE concretizate n 13 Recomandri. Printre acestea se numra Recomandrile referitoare la protecia datelor cu caracter personal: colectate i prelucrate n scopuri de asigurare; 20 privind comunicarea ctre tere pari a datelor cu caracter personal deinute de ctre instituiile publice;21 pentru protecia vieii private n internet;22 privind protecia datelor medicale;23 colectate i prelucrate n scopuri statistice;24 utilizate n scopuri de ocuparea forei de munc;25 utilizate pentru scopuri de marketing direct;26 utilizate n scopuri de securitate social;27 utilizate de poliie; 28 etc.
18 19
20 21 22 23 24 25 26 27 28
Aceast prevedere a fost modelat n conformitate cu articolul 10 din Convenia 108. Articolul 12 din Convenia 108 stabilete principiul liberei circulaii a datelor cu caracter personal ntre pri sub rezerva posibilitilor de derogare prevzute la sub-paragraful 3. Recomandarea Nr. R (97) 18 Recomandarea Nr. R (91) 10 Recomandarea Nr. R (99) 5 Recomandarea Nr. R (97) 5 Recomandarea Nr. R (97) 18 Recomandarea Nr. R (89) 2 Recomandarea Nr. R (85) 20 Recomandarea Nr. R (86) 1 Recomandarea Nr. R (87) 15
11
B. Organizaia pentru Cooperare i Dezvoltare Economic (OECD)

n 1980 OECD a adoptat Ghidul privind protecia vieii private i uxurile transfrontaliere de date cu caracter personal. Acest Ghid se bazeaz pe 8 principii auto-explicative de bune practici de protecie a datelor cu caracter personal.29 Recomandrile propun rilor membre a OECD s adopte n legislaia intern bunele practici de protecie a datelor cu caracter personal pentru a evita restriciile privind transferul internaional al acestora. Dei aceste recomandri nu au caracter obligatoriu, dincolo de implementarea lor n unele state europene (ind similare i cu principiile Conveniei 108), companii din alte state, inclusiv SUA i Canada, au aderat la ele.
C. Organizaia Naiunilor Unite (ONU)

n 1990 Adunarea General a ONU a adoptat Ghidul cu privire la Fiierele Automatizate de Date cu Caracter Personal.30 Clauzele acestui Ghid pot mprite n doua seciuni. Prima seciune cuprinde principiile referitoare la garaniile minime care ar trebui s e incluse n legislaiile naionale i sunt reectate att n Convenia 108, ct i n Ghidul OECD, excepie fcnd principiile de nediscriminare, capacitatea de a face excepii, supraveghere i sanciuni. A doua seciune susine aplicarea acestor principii de ctre instituiile guvernamentale i cere organizaiei internaionale s desemneze o autoritate de supraveghere mputernicit s monitorizeze respectarea acestor recomandri. n acelai timp, ONU a fost extrem de activ n ceea ce privete protecia vieii private n anumite domenii sectoriale specice, cum este cel al datelor referitoare la sntate, n special legtura dintre HIV/SIDA i drepturile omului care include probleme complexe legate de condenialitate.31
3.3 Cadrul UE privind protecia datelor cu caracter personal

Recentul Tratat de la Lisabona32 al UE, care a intrat n vigoare la 1 Decembrie 2009, a modicat n mod semnicativ cadrul general al UE, inclusiv n domeniul proteciei datelor personale i a vieii private prin includerea Cartei drepturilor fundamentale a UE33, care consacr ca drept fundamental att dreptul la via privat, ct i protecia datelor cu caracter personal.
Articolul 7: Respectarea vieii private i de familie Orice persoan are dreptul la respectarea vieii private i de familie, a domiciliului i a secretului comunicaiilor. Articolul 8: Protecia datelor cu caracter personal (1) Orice persoan are dreptul la protecia datelor cu caracter personal care o privesc. (2) Asemenea date trebuie tratate n mod corect, n scopurile precizate i pe baza consimmntului persoanei interesate sau n temeiul unui alt motiv legitim prevzut de lege. Orice persoan are dreptul de acces la datele colectate care o privesc, precum i dreptul de a obine recticarea acestora.
29 30 31
32 33
Ghidul OECD privind protecia vieii private i uxurile transfrontaliere de date cu caracter personal (Paris: OECD, 1980) Rezoluia 44/132, din 15 decembrie 1989 Vezi de exemplu International Guidelines on HIV/AIDS and Human Rights 2006 disponibil la http://data.unaids.org/Publications/IRC-pub07/jc1252-internguidelines_en.pdf Mai multe detalii la http://europa.eu/lisbon_treaty/index_ro.htm Text integral disponibil in limba romn la http://eur-lex.europa.eu/ro/treaties/dat/32007X1214/htm /C2007303RO. 01000101.htm
12
(3) Respectarea acestor norme se supune controlului unei autoriti independente.
Astfel, Carta, inclusiv Articolul 8 care recunoate dreptul autonom la protecia datelor cu caracter personal, a devenit parte din legislaia comunitar de baz, obligatorie din punct de vedere juridic, introducnd un nou temei juridic care permite adoptarea unei legislaii cuprinztoare i coerente referitoare la protecia datele personale, inclusiv n domeniile cooperrii poliieneti i judiciare n materie penal.
3.3.1 Directiva-cadru privind protecia datelor cu caracter personal

UE a jucat un rol secundar n domeniul proteciei datelor cu caracter personal pn la nceputul anilor 1990. Cu excepia unei Recomandri din 1981 ctre statele membre de a adopta Convenia 108 a CoE nu se poate nota altceva. Cum n 1990 doar ase dintre statele membre ale UE (UE) raticaser Convenia 108, precum i n contextul n care informaia personal devenise din ce n ce mai mult o marf n cadrul Pieei Interne, Comisia European a nceput demersurile pentru adoptarea unei Directive n domeniul proteciei datelor cu caracter personal. Rolul acesteia urma s e de a crea un nivel de protecie echivalent n toate statele membre, dar i de a stabili standarde superioare de protecie a datelor personale. Proiectul, nalizat abia n 1995 prin adoptarea Directivei privind protecia datelor cu caracter personal (Directiva 95/46/CE34) atinge obiectivul dorit, anume acela de a asigura protejarea drepturilor i libertilor fundamentale ale persoanei i n special a dreptului la viaa privat n ceea ce privete prelucrarea datelor cu caracter personal, iar n contextul acestei asigurri, libera circulaiei a datelor cu caracter personal ntre statele membre prin implementarea principiilor colectrii datelor personale i a principalelor dispoziii deja stabilite prin Convenia 108.35 n plus, textul adoptat aduce i cteva dispoziii suplimentare fa de Convenia 108, n special prin: extinderea scopului proteciei la prelucrarea neautomat a datelor cu caracter personal, coninute sau care urmeaz s e coninute ntr-un sistem de eviden a datelor cu caracter personal; impunerea unor condiii pentru legitimitatea prelucrrii datelor, n special prin cerina obinerii consimmntului subiectului datelor; extinderea categoriilor speciale de date; claricarea drepturilor subiecilor datelor cu caracter personal; impunerea unei obligaii de noticare pentru operatorii de date cu caracter personal; crearea unor autoriti independente pentru implementarea legislaiei datelor cu caracter personal.
34
35
Directiva 95/46/CE a Parlamentului European i a Consiliului din 24.10.1995 privind protecia persoanelor zice n ceea ce privete prelucrarea datelor cu caracter personal i libera circulaie a acestor date (JO L 281, 23.11.1995, pag. 31) disponibil la http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=DD:13:17:3199 5L0046:RO:PDF Vezi fn 17
13
Chiar dac implementarea directivei nu a fost uoar n unele cazuri, primul raport al Comisiei Europene din 200336 cu privire la implementarea directivei-cadru noteaz37 c aceasta i-a atins obiectivul de protecie al vieii private, n acelai timp permind crearea unei piee unice n transferul datelor personale ntre statele membre. Raportul recunoate ns c exist diferene de implementare ntre state, fapt ce avea s se complice o dat cu extinderile din 2004, respectiv 2007. Mai mult, n raport se recunoate un nivel sczut de contientizare, dar i de aplicare a noilor reguli. Cinci ani mai trziu, un sondaj EuroBarometru actualiza percepia subiecilor datelor cu caracter personal38 i a operatorilor39 cu privire la legislaia din domeniu. Doar 48% dintre subiecii chestionai au considerat c datele personale sunt protejate n mod adecvat n ara lor, iar 77% considernd c nivelul de contientizare n ara lor este unul sczut. De asemenea doar 13% dintre operatorii de date cu caracter personal au conrmat c sunt bine familiarizai cu aspectele legate de acest subiect. Un element inovator adus de Directiva 95/46/CE l reprezint crearea autoritilor pentru protecia datelor (DPA) ca parte a ecosistemului pentru o corect implementare a regulilor din domeniul datelor cu caracter personal. Cu toate acestea, este discutabil modul cum acestea au reuit s-i ndeplineasc rolul propus iniial, acesta depinznd destul de mult de la un stat la altul. Dac ar s ne uitm la recentele aciuni ale Comisiei Europene mpotriva Austriei40 sau Marii Britanii41 n chestiunea implementrii legislaiei n domeniul proteciei datelor cu caracter personal, se va observa c ele sunt axate exact pe subiectul lipsei de independen sau de capacitatea DPA de a-i exercita atribuiile de autoritate n domeniu. Un raport extrem de detaliat realizat n 201042 de Agenia pentru Drepturi Fundamentale a UE indic decienele DPA ca un prim aspect ce trebuie remediat la nivel european n domeniul proteciei datelor. Astfel, raportul identic43 deciene la nivel structural, funcional i operativ n diverse state membre, n special n ceea ce privete independena sau autonomia autoritii, lipsa nanrii sau a resurselor umane ori puterile limitate ale DPA. Acelai raport mai sus menionat subliniaz i alte chestiuni cheie ce trebuie mbuntite pentru respectarea pe deplin a proteciei datelor personale, printre care: contientizarea i informarea subiecilor cu privire la protecia datelor, lipsa unei aplicri a sanciunilor eciente pentru respectarea regulilor, dar i excepiile de la aplicarea proteciei datelor n domeniul securitii sau aprrii. n aceste circumstane, dar i ca urmare a dezvoltrilor tehnologice i a efectelor globalizrii, n special n ceea ce privete transferul datelor prin Internet sau gzduirea lor n sisteme de cloud compu-
36
37
38 39 40
41
42
43
Analysis and impact study on the implementation of Directive EC 95/46 in Member States, http://ec.europa.eu/justice/policies/privacy/docs/lawreport/consultation/technical-annex_en.pdf A se vedea Data protection: Commission report shows that EU law is achieving its main aims, 16.05.2003 disponibil la adresa http://europa.eu/rapid/pressReleasesAction.do?reference=IP/03/697&format=HTML &aged=0&language=EN &gui Language=ro Date disponibile la http://ec.europa.eu/public_opinion/ash/_225_en.pdf Date disponibile la http://ec.europa.eu/public_opinion/ash/_226_en.pdf Data Protection: Commission to refer Austria to Court for lack of independence of data protection authority (28.10.2010) http://europa.eu/rapid/pressReleasesAction.do?reference=IP/10/1430&format=HTML&aged= 0&language=EN Protecia datelor: Comisia solicit Regatului Unit s consolideze competenele autoritii naionale de protecie a datelor, n conformitate cu dreptul UE (24.06.2010) http://europa.eu/rapid/pressReleasesAction.do? reference=IP/10/ 811&format=HTML&aged=1&language=RO&guiLanguage=en Data Protection in the European Union: the role of National Data Protection Authorities - Strengthening the fundamental rights architecture in the EU, ISBN 978-92-9192-509-4, Disponibil la http://fra.europa.eu/fra Website/attachments/Dataprotection_en.pdf Pentru detalii vezi raportul citat mai sus, paginile 19-28
14
ting44, Comisia European a declanat un proces de revizuire a Directivei din 1995, care se a n plin desfurare45. Cu toate c ar dicil la acest moment s estimm rezultatul nal al acestui proces i consacrarea ei legislativ, considerm de interes, pentru cei doritori s aprofundeze subiectul, s facem trimitere la aspectele noi abordate de ctre Comisie n Comunicarea sa din 4.11.2010 intitulat O abordare global a proteciei datelor cu caracter personal n UE.46
3.3.2. Directiva privind protecia datelor cu caracter personal n sectorul comunicaiilor electronice
O abordare sectorial a domeniului proteciei datelor cu caracter personal n legislaia din UE o reprezint reglementrile specice sectorului telecomunicaiilor i a relaiei sale cu datele personale. Iniial adoptat ca o directiv47 n Decembrie 1997, ea a fost ulterior modicat n 2002 ca parte a unui proces mai larg de revizuire a sectorului telecomunicaiilor, denumit de acum nainte comunicaii electronice. Astfel, noua directiv (Directiva 2002/58/CE48 cunoscut i sub numele de Directiva ePrivacy) a trebuit s e implementat n statele membre pn la 31 Octombrie 2003. Directiva ePrivacy are ca scop precizarea i completarea directivei-cadru, precum i de a armonizare a dispoziiilor statelor membre, pentru asigurarea unui nivel echivalent de protecie a drepturilor i libertilor fundamentale. Se are n vedere mai ales dreptul la condenialitatea datelor personale n domeniul prelucrrii lor n sectorul comunicaiilor electronice i a liberei circulaii a acestor date i a serviciilor i echipamentelor de comunicaii electronice n interiorul UE. Noul text include i un sistem de opt-in pentru comunicrile comerciale prin email, fax sau maini de apelare automat. n ceea ce privete cookie-urile49, utilizatorii trebuie s e informai n mod clar i complet cu privire la scopul acestora, avnd i dreptul de a le refuza. Ultima variant a directivei ePrivacy a fost modicat n 200950, ca parte a adoptrii Pachetului Telecom. Noile modicri includ o noticare obligatorie pentru nclcarea dispoziiilor de securitate pentru protecia datelor cu caracter personal, ntrirea dispoziiilor referitoare la securitatea reelelor i informaiei sau msuri suplimentare de implementare i aplicare a legii pentru combaterea comunicrilor comerciale nesolicitate. Noile modicri trebuie implementate de statele membre pn la data de 25 Mai 2011.
3.3.3. Alte reglementri ale UE

Avnd n vedere rolul de directiv-cadru al Directivei 95/46/CE cu aplicare la nivelul majoritii sectoarelor de activitate, exist destul de puine reglementri suplimentare la nivelul UE.
44
45
46 47 48
49 50
Pentru detalii a se vedea Comparative study on dierent approaches to new privacy challenges, in particular in the light of technological developments (20.01.2010) http://ec.europa.eu/justice/policies/privacy/docs/studies/ new_privacy_challenges/nal_report_en.pdf Pagina dedicat de pe site-ul Comisiei Europene unde se vor putea obine mai multe informaii n viitor se poate accesa la http://ec.europa.eu/justice/policies/privacy/review/index_en.htm Disponibil i la adresa http://ec.europa.eu/justice/news/consulting_public/0006/com_2010_609_ro.pdf Directiva 97/66/EC Directiva 2002/58/CE din 12 iulie 2002 privind prelucrarea datelor personale i protejarea condenialitii n sectorul comunicaiilor publice (Directiva asupra condenialitii i comunicaiilor electronice) disponibil la http://eur-lex.europa. eu/LexUriServ/LexUriServ.do?uri=DD:13:36:32002L0058:RO:PDF Pentru mai multe explicaii tehnice vezi http://ro.wikipedia.org/wiki/Cookie Vezi Directiva 2009/136/CE - JO L 337, 18.12.2009, pag.11, http://eur-lex.europa.eu/LexUriServ/ LexUriServ.do?uri=OJ: L:2009:337:0011:0036:RO:PDF
15
A. Una din directivele controversate cu efect direct asupra vieii private o reprezint Directiva 2006/24/ EC51 privind pstrarea datelor de trac informaional de ctre operatorii de comunicaii electronice. Actul normativ nu privete coninutul comunicaiilor, ci doar datele de trac referitoare la acestea, i i propune o armonizare a legislaiei din statele membre cu privire la pstrarea acestora pentru o perioad ntre 6 luni i 2 ani. Datele reinute trebuie s e puse la dispoziia organelor de aplicare a legii pentru detectarea, investigarea i judecarea infraciunilor grave, aa cum sunt acestea denite de ctre ecare stat membru. Directiva a fost contestat de susintorii viei private nc din momentul propunerii ei, dar i dup ce a fost adoptat, n special pentru obligaia de pstrare nediscriminatorie a datelor pentru toate comunicaiile electronice ale ntregii populaii a UE. De altfel n 2011 sunt deja patru curi constituionale din state membre ale UE (Romnia, Germania, Cipru i Cehia) care au declarat legile naionale de implementare ca nclcnd dreptul la via privat, iar alte dou state (Austria i Suedia) nu au implementat nc aceste obligaii. Cu toate acestea, raportul asupra implementrii52 prezentat de ctre Comisia European pe 18 aprilie 2011 recomand meninerea directivei. Pe de alt parte, un raport paralel independent, realizat de sectorul non-guvernamental,53 a ajuns la o alt concluzie i anume c Directiva nu a adus niciun beneciu semnicativ, n schimb a avut costuri imense pentru operatorii privai i reprezint o nclcare a dreptului la via privat. Chiar dac rezultatul nal al revizuirii directivei nu va duce la abandonarea ei, exist probleme semnicative legate de protecia datelor cu caracter personal, n contextul stocrii unui numr att de mare de date, precum i a modului de acces la aceste date. Probleme se pun inclusiv cu privire la tergerea datelor, dup expirarea perioadei de pstrare obligatorie. B. Un subiect sensibil legat de protecia datelor l reprezint prelucrarea acestora de ctre instituiile de aplicare a legii sau n domeniile aprrii ori securitii, care sunt exceptate din domeniul de aplicare a directivei-cadru. Cum schimbul de date personale ntre autoritile nsrcinate cu aplicarea legii din diversele state membre a devenit o regul n ultimii ani prin programele de cooperare comun, era necesar un cadru adecvat pentru protecia datelor cu caracter personal. Aceast necesitate a fost sporit de Programul Haga de lupt mpotriva terorismului54 care include principiul disponibilitii datelor, prin care acestea trebuie s e puse la dispoziia organelor similare din celelalte state membre ale Uniunii. Astfel, n 2008 a fost adoptat Decizia-cadru 2008/977/JAI a Consiliului European55 privind protecia datelor cu caracter personal prelucrate n cadrul cooperrii poliieneti i judiciare n materie penal. Decizia-cadru are n vedere doar o armonizare minim a standardelor de protecie a datelor n contextul prelucrrii lor de ctre autoritile poliieneti i judiciare n transferul lor transfrontalier, inclusiv ctre tere state i ctre sectorul privat. Pe cale de consecin, decizia nu se aplic procesrii datelor de ctre aceste autoriti n ecare stat membru.
51
52
53 54 55
Directiva 2006/24/CE din 15 martie 2006 privind pstrarea datelor generate sau prelucrate n legtur cu furnizarea serviciilor de comunicaii electronice accesibile publicului sau de reele de comunicaii publice i de modicare a Directivei 2002/58/CE http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=DD:13:53:32 006L0024:RO:PDF Evaluation report on the Data Retention Directive (Directive 2006/24/EC) la http://ec.europa.eu/commission_2010-2014/ malmstrom/archive/20110418_data_retention_evaluation_en.pdf Raport European Digital Rights din 17 Aprilie 2011 disponibil la http://www.edri.org/les/shadow_ drd_report_110417.pdf Adoptat n 2004, vezi i http://www.euractiv.com/en/security/hague-programme-jha-programme-2005-10/article-130657 Din 27 noiembrie 2008 JO L 350, 30.12.2008
16
C. Un alt domeniu specic este cel al prelucrrii datelor personale de ctre instituiile UE, nsei. Pentru stabilirea acestui domeniu a fost adoptat un Regulament al UE56, ce prevede inclusiv crearea unei autoriti independente: Autoritatea European pentru Protecia Datelor (EDPS)57, dar i obligaia ecrei instituii a Uniunii de a avea o persoan responsabil de domeniul datelor personale (Data Protection Ocer). D. Exist o serie larg de acte legislative punctuale58 i baze de date59 create la nivelul UE, a cror procesare de date cu caracter personal este reglementat n mod direct de diverse acte normative ale UE, inclusiv de recomandri ale EDPS. Cu privire la actele legislative cu efect direct asupra proteciei datelor cu caracter personal, cele mai importante sunt: Tratatul de la Prum60, care permite accesul transfrontalier la bazele de date genetice i/sau biometrice; Tratatele bilaterale cu tere state cu privire la datele pasagerilor (PNR Passengers Names Records)61, care prevd transferul datelor personale ale pasagerilor ctre tere state nainte de realizarea cltoriei. Comisia European a propus n Februarie 201162 i un sistem similar pentru UE; Legislaia privind paapoartele biometrice de la nivelul UE;63 Acordul SWIFT, prin care autoritile din SUA au acces la transferurile interbancare stocate pe teritoriul UE, n scopul luptei mpotriva terorismului.64
3.3.4 Rolul instituiilor europene

Exist mai multe instituii europene care au atribuii n domeniul proteciei datelor cu caracter personal i care pot o resurs util de informaie i expertiz pe acest subiect. Credem c pentru scopurile acestui studiu este necesar doar o scurt trecere n revist a acestora:
56
57 58
59
60
61
62
63
64
Regulation (EC) No 45/2001 of the European Parliament and of the Council of 18 December 2000 disponibil la http://eur-lex. europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2001:008:0001:0022:EN:PDF European Data Protection Supervisor vezi http://www.edps.europa.eu/EDPSWEB/ Pentru o descriere mai pe larg a acestora vezi Report on Privacy and Personal Data Protection in the European Union Aedh &EDRi, december 2009, http://www.ldh-france.org/IMG/pdf/legislation_Europeenne.pdf, pag 11-36 Cum ar Schengen Information System (SIS), Visa Information System (VIS), EuroDac, EuroSur pentru detalii vezi raport citat mai sus fn 61. ncorporate in legislaia european prin Decizia 2008/615/JAI a Consiliului din 23 iunie 2008 privind intensicarea cooperrii transfrontaliere, n special n domeniul combaterii terorismului i a criminalitii transfrontaliere http://eur-lex.europa. eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:210:0001:0011:RO:PDF i Decizia 2008/616/JAI a Consiliului din 23 iunie 2008 privind punerea n aplicare a Deciziei 2008/615/JAI privind intensicarea cooperrii transfrontaliere, n special n domeniul combaterii terorismului i a criminalitii transfrontaliere http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ: L:2008:210:0012:0072:ro:PDF Vezi de exemplu acordul UE -SUA http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2007 :204:0018:0025:EN: PDF Vezi Propunerea UE privind datele pasagerilor pentru combaterea formelor grave de criminalitate i a terorismului http:// europa.eu/rapid/pressReleasesAction.do?reference=IP/11/120&format=HTML&aged =0&language=RO&guiLanguage=en i textul propunerii de directiv disponibil la http://ec.europa.eu/home-aairs/news/intro/docs/com_2011_32_en.pdf http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:385:0001:0006:EN:PDF + Regulamentul NR. 444/2009 din 28 mai 2009 de modicare a Regulamentului (CE) nr. 2252/2004 al Consiliului privind standardele pentru elementele de securitate i elementele biometrice integrate n paapoarte i n documente de cltorie emise de statele membre http:// eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009: 142:0001:0004:ro:PDF Acordul Swift a fost adoptat de ctre Parlamentul European pe data de 8 Iulie 2010, informaii suplimentare la http://www. europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2010-0279+0+DOC +XML+V0//EN&language=EN
17
Grupul de Lucru Articolul 2965 a fost constituit n conformitate cu articolul 29 din Directiva 95/46/ CE. Este un organism consultativ european independent n domeniul proteciei datelor i respectrii vieii private, format din reprezentanii autoritilor naionale pentru protecia datelor din statele membre ale UE, reprezentanii autoritilor create pentru instituiile i organismele comunitare, precum i reprezentani ai Comisiei Europene. Un rol important al Grupului de Lucru l reprezint recomandrile adoptate n vederea aplicrii unitare a actelor normative naionale care transpun dispoziiile comunitare n materie de protecie a datelor personale. Autoritatea European pentru Protecia Datelor (EDPS)66 a fost creat n baza Regulamentului 45/200167. Are ca principale activiti: de a garanta respectarea dreptului fundamental la protecia datelor personale de ctre instituiile i organismele UE i de a consilia cu privire la noile propuneri legislative de la nivelul UE cu impact asupra proteciei datelor personale. Agenia pentru Drepturi Fundamentale (FRA)68 a UE a fost creat n 2007 i are drept atribuii s culeag informaii i date, s ofere consiliere UE i statelor membre i s contribuie la sensibilizarea publicului cu privire la drepturile fundamentale. Agenia European pentru Securitatea Reelelor Informatice i a Datelor (ENISA)69 este o instituie european independent creat n 2004 cu rolul de a crea un nivel ridicat de securitate a reelelor informatice i a datelor n Uniunea European. ENISA emite avize n calitate de expert n securitatea reelelor informatice i a datelor ctre autoritile naionale i instituiile UE i are rolul de forum pentru schimbul de bune practici pe problemele dedicate.
3.4. Alte iniiative la nivel global

Odat cu dezvoltarea Internetului ca mediu predilect de transfer al datelor, inclusiv a celor cu caracter personal, precum i a companiilor care opereaz la nivel global colectnd date personale din multiple jurisdicii, s-a ridicat din ce n ce mai acut problema unor reguli unitare n domeniul proteciei datelor cu caracter personal. Cu toate c o posibil soluie ar raticarea Conveniei 108 a Consiliului Europei, se pare c unele state dezvoltate o consider ca stabilind nite standarde prea ridicate n acest domeniu. Problema s-a pus n mod acut n special n relaiile dintre Statele Unite ale Americii (SUA) i UE. Soluia adoptat un regim numit safe harbour70 - ce stabilete un set de condiii pe care sectorul privat din SUA ar trebui s l ndeplineasc pentru a putea transfera date n mod liber nu poate extins la nivel global, avnd n vedere numrul mare de state ale lumii. Mai mult, Directiva-cadru a UE stabilete de fapt un nivel mult mai ridicat de protecie, iar exportul datelor ctre tere state se poate face doar dac ofer un nivel adecvat de protecie a datelor cu caracter personal.71 Cu toate c problema transferului datelor personale ctre tere state este una extrem de complex i depete obiectivele acestui studiu72, avnd n vedere localizarea geo-politic a RM, considerm c este
65
66 67 68 69 70 71 72
Mai multe informaii pot gsite pe site-ul Grupului de Lucru Articolul 29 (doar in limba englez http://ec.europa.eu/justice/policies/privacy/index_en.htm) http://www.edps.europa.eu Vezi fn 59 http://fra.europa.eu/fra/index.php?lang=EN http://www.enisa.europa.eu/ Mai multe informaii pot gsite la http://export.gov/safeharbor/ Articolul 25 (1) , Directiva 95/46/EC Pentru detalii a se vedea de ex. Ian J. Lloyd Information Tehnology Law, 2008, Oxford University Press Pag, 180-207
18
important s menionm dou dezvoltri de dat recent ce ar trebui urmrite la nivel internaional pentru rezolvarea aspectelor mai sus menionate: O soluie la problema diverselor reglementri privind protecia datelor personale la nivelul statelor membre ale UE de ctre companii care activeaz la un nivel pan-european a fost adoptarea de ctre Grupul de Lucru Articolul 29 a unui set de documente73 pentru a dezvolta conceptul de Binding Corporate Rules (Reguli Corporatiste Obligatorii)74. Acestea reprezint un mecanism alternativ adoptat de ctre o companie, care ar permite demonstrarea faptului c datele au un nivel adecvat de protecie n cadrul unei corporaii care proceseaz date personale din mai multe state; ntlnirile din ultimii ani ale autoritilor pentru protecia datelor s-au concentrat, de asemenea, pe gsirea unei soluii pentru aceast problem. Astfel n Noiembrie 2009 la Madrid, 50 de autoriti de protecie a datelor au adoptat o Rezoluie75 cu privire la Standardele Internaionale pentru protecia datelor cu caracter personal. Acest lucru s-a ntmplat doar la cteva zile dup ce societatea civil adoptase o declaraie cernd standarde de via privat globale ntr-o lume global.76
73 74
75
76
Vezi Grupul de Lucru Articolul 29 Working Paper 74/2003 i Checklist WP 101/2004 i Recomandarea 1/2007 Mai multe informaii pe pagina web a Comisiei Europene la http://ec.europa.eu/justice/policies/ privacy/binding_rules/index_en.htm Text disponibil in limba engleza la http://www.privacyconference2009.org/media/notas_prensa/common/ pdfs/061109_ estandares_internacionales_en.pdf Textul Declaraiei de la Madrid a Societii Civile disponibil aici: http://thepublicvoice.org/madrid-declaration/
19
4.
Protecia datelor personale n RM
4.1. Dispoziii constituionale

Dreptul la via privat este expres prevzut n Constituia RM1, prin consacrarea sa n Articolul 28, care prevede c statul respect i ocrotete viaa intim, familial i privat. n plus, prevederile tratatelor regionale i internaionale raticate de RM, inclusiv CEDO2 i Convenia 1083 care apr dreptul la via privat i la protecia datelor cu caracter personal, pot considerate direct aplicabile pe teritoriul RM din cteva considerente. a) n primul rnd, Articolul 8 al legii supreme stipuleaz c, odat raticat, cadrul juridic internaional devine parte a legislaiei naionale, iar intrarea n vigoare a unui tratat internaional coninnd dispoziii contrare Constituiei va trebui precedat de o revizuire a acesteia4. b) n al doilea rnd, Articolul 4 alin. (1) stipuleaz c dispoziiile constituionale privind drepturile i libertile omului se interpreteaz i se aplic n concordan cu celelalte tratate la care RM este parte. Mai mult, Curtea Constituional a RM a stabilit c principiile i normele unanim recunoscute ale dreptului internaional, tratatele internaionale raticate i cele la care RM a aderat sunt parte component a cadrului legal naional i devin norme ale dreptului intern. Astfel, normele dreptul intern i cel internaional reprezint un tot ntreg, o structura unitara5, datele cu caracter personal ind indirect protejate de Constituia RM. Avnd n vedere c, prin interpretarea prevederilor CEDO, jurisprudena CtEDO face parte din dreptul accesoriu la tratatul internaional, ea devine parte a dreptului intern 6, iar modicarea jurisprudenei CtEDO echivaleaz cu modicarea actelor normative, fapt care permite Curii Constituionale s-i reconsidere propria jurispruden.7 Pe cale de consecin, jurisprudena CtEDO este izvor de drept
1
2 3 4 5
Publicat la 18.08.1994 n Monitorul Ocial Nr. 1 art Nr: 1. Data intrrii in vigoare: 27.08.1994, textul Constituiei RM poate gsit la adresa: http://lex.justice.md/index.php?action=view&view=doc&lang =1&id=311496 Vezi fn 6 Vezi fn 15 Articolul 8(2) Constituiei Hotrrea Curii Constituionale nr. 10 din 16.04.2010 Hotrre pentru revizuirea Hotrrii Constituionale nr. 16 di 28.05.1998 Cu privire la interpretarea art. 20 din Constituia RM in redacia Hotrrii nr. 39 din 09.07.2001 Hotrrea Curii Constituionale nr. 10 din 16.04.2010 Hotrre pentru revizuirea Hotrrii Constituionale nr. 16 di 28.05.1998 Cu privire la interpretarea art. 20 din Constituia RM in redacia Hotrrii nr. 39 din 09.07.2001 Hotrrea Curii Constituionale nr. 10 din 16.04.2010 Hotrre pentru revizuirea Hotrrii Constituionale nr. 16 di 28.05.1998 Cu privire la interpretarea art. 20 din Constituia RM in redacia Hotrrii nr. 39 din 09.07.2001
20
i are consecine obligatorii inclusiv pentru interpretarea normelor constituionale care privesc viaa privat. Cu toate acestea, pn n momentul de fa nu exist jurispruden constituional a RM pe articolul 28 referitor la viaa privat sau alte subiecte conexe. Este de remarcat i iniiativa Centrului Naional pentru Protecia Datelor cu Caracter Personal din RM (n continuare Centrul) de a pune n discuie includerea n Constituia RM capitolul II Drepturile i libertile fundamentale a dreptului la protecia datelor cu caracter personal, similar practicii altor ri.8
4.2. Tratate internaionale la care RM este parte

Prevederile instrumentelor juridice internaionale9 care au fost transpuse n legislaia RM o dat cu raticarea acestora au modelat n mare msur politica proteciei datelor cu caracter personal i respectarea vieii private n RM. Potrivit Articolului 3 din Legea cu privire la protecia datelor cu caracter personal,10 legislaia n domeniul prelucrrii datelor cu caracter personal se compune din Constituia RM, Convenia 108, Protocolul adiional la Convenia 108, alte acorduri internaionale la care RM este parte, prezenta lege i alte acte normative. Convenia 108 a fost semnat de RM la 4 mai 1998 i a fost raticat prin Hotrrea Parlamentului nr. 483-XIV din 02 iulie 1999, dar abia la 1 iunie 2008 intr n vigoare.11 Astfel, acest acord internaional a produs efecte juridice doar dup trei luni de la transmiterea Declaraiilor depuse cu instrumentul de raticare al Conveniei 10812 de ctre Reprezentantul Permanent al RM pe lng CoE la 28 februarie 2008. Mai mult, potrivit acestor Declaraii, n conformitate cu art. 3 alin. 2 lit. c) al Conveniei, RM va aplica Convenia fa de datele cu caracter personal care nu sunt prelucrate n mod automatizat. La 29 aprilie 2010 RM a semnat i Protocolul adiional la Convenia 108, dar nu a fost deocamdat raticat. Totui, Guvernul RM a aprobat i a prezentat deja pe 3 februarie 2011 Preedintelui RM proiectul de lege privind raticarea Protocolului adiional la Convenia 108.13 Potrivit Programului Naional de
8 9
10 11
12
13
Portugaliei (art. 35 din Constituie), Spaniei (art.18 din Constituie), Austriei (art.1 din Actul privind protecia datelor). A se vedea, de exemplu, art. 17 din Pactul internaional cu privire la drepturile civile i politice(Adoptat i deschis spre semnare de Adunarea General a Naiunilor Unite la 16 decembrie 1966; intrat n vigoare la 23 martie 1976, cf. art. 49, pentru toate dispoziiile cu excepia celor de la art. 41; la 28 martie pentru dispoziiile de la art. 41; raticat prin Hot. Parlamentului nr.217-XII din 28.07.90 i n vigoare pentru RM din 26 aprilie 1993); - art. 12 din Declaraia universal a drepturilor omului (Adoptat i proclamat la New York, la 10 decembrie 1948 de Adunarea General a O.N.U.; RM a aderat la Declaraie prin Hot. Parlamentului nr.217-XII din 28.07.90); - art. 8 din Convenia pentru aprarea drepturilor omului i a libertilor fundamentale (Adoptat la Roma la 04 noiembrie 1950 de ctre statele membre ale Consiliului Europei; intrat n vigoare la 03 septembrie 1953; raticat prin Hot. Parl. nr.1298-XIII din 24.07.97 i n vigoare pentru RM din 12 septembrie 1997). Textul legii poate citit aici: http://lex.justice.md/index.php?action=view&view=doc&lang=1&id=324657 Informaii despre semnatarii i raticrile Conveniei 108 la http://conventions.coe.int/Treaty/Commun/ ChercheSig. asp?NT=108&CM=8&DF=29/04/2011&CL=ENG Declaraiile sunt disponibile la http://conventions.coe.int/Treaty/Commun/ListeDeclarations.asp? NT=108&CM=8&DF=30/ 04/2011&CL=ENG&VL=1 Disponibil la http://lex.justice.md/index.php?action=view&view=doc&lang=1&id=337558
21
implementare a Planului de Aciuni RM UE n domeniul liberalizrii regimului de vize14, Protocolul 181 urma sa e raticat n primul semestru al anului 2011.
4.3 Legislaia naional primar n domeniul proteciei datelor cu caracter personal

Dei RM a semnat Convenia 108 a Consiliului Europei n 1998, procesul de elaborare al unui act normativ cadru n domeniul proteciei datelor personale a fost greu i anevoios. Astfel, dei un prim proiect n acest sens a fost dezvoltat de ctre Ministerul Transporturilor i Comunicaiilor nc din anul 2001, procesul legislativ de adoptare a unui act n acest domeniu a fost amnat nc ase ani, neexistnd sucient voin politic la nivel guvernamental pentru acest act normativ. Abia la nceputul anului 2007, pe un proiect actualizat de Ministerul Dezvoltrii Informaionale din 2006, a fost adoptat de ctre Parlamentul RM actul normativ cadru al domeniului proteciei datelor cu caracter personal legea nr 17/15 Februarie 2007.15 De altfel, este relevant c doar la un an dup acest act i 10 ani de la semnarea Conveniei 108, aceasta intr n vigoare i pentru RM. Legea 17/2007 a fost modicat ulterior prin Legea 141/200816, care aduce o serie de claricri legate n special de atribuiile Centrului i a conducerii sale. Putem spune c legea cadru a RM n domeniul proteciei datelor ndeplinete, n linii mari, condiiile impuse pentru protecia datelor cu caracter personal de ctre Convenia 108 a Consiliului Europei. Totui, exist cel puin dou subiecte majore care sunt lacunare n reglementarea Legii 17/2007: Regimul sancionatoriu al legii este vag, fr a completat prin alte acte normative relevante cum ar Codul Contravenional. Aceasta duce n practic la o lege cu dispoziii mai degrab cu caracter de recomandare, dect cu norme imperative, ceea ce reduce posibilitatea de aplicare practic a acesteia. Obligaia de noticare a Centrului, dei stipulat n mod expres n Art. 12 alin (3), este lipsit nu doar de consecine, ci i de efecte. Astfel, inexistena practic a Registrului o transform ntr-o obligaie imposibil pentru operatorii de date cu caracter personal. Pe cale de consecin, msurile necesare de protecie cerute de Convenie pentru o procesare legal a datelor nu sunt ndeplinite. n schimb, apreciem n mod deosebit reglementarea precis a scopului legii n Articolul 1 cu referire expres la viaa privat:
Scopul prezentei legi este asigurarea proteciei drepturilor i libertilor persoanei la prelucrarea datelor ei cu caracter personal, inclusiv a proteciei drepturilor la inviolabilitatea vieii private, la secretul personal i familial.
De asemenea, putem nota c Legea 17/2007 nu asigur un nivel adecvat de protecie a datelor cu caracter personal i nu ndeplinete cerinele impuse la nivelul UE de Directiva 95/46/CE. Aceasta din
14
15
16
Aprobat prin Hotrrea Guvernului nr. 122 din 4 martie 2011 http://lex.justice.md/viewdoc.php? action=view&view=doc&i d=337757&lang=1 Publicat:27.07.2007 n Monitorul Ocial Nr. 107-111 http://lex.justice.md/index.php?action=view&view =doc&lang= 1&id=324657 Publicat:01.08.2008 n Monitorul Ocial Nr. 140-142 art Nr : 572 http://lex.justice.md/md/328721/
22
urm, necesar a ndeplinit ca parte a procesului de liberalizare a vizelor n relaia UE RM, impune un standard de protecie mai ridicat dect dispoziiile Conveniei 108. Acesta este de altfel i motivul principal pentru care s-a procedat la o iniiativ de actualizare a Legii 17/2007, care a fost remis Guvernului spre examinare.17 Aceast iniiativ a fost adoptat de ctre Guvern i naintat ctre Parlament pe data de 26 aprilie 201118. O discuie mai detaliat pe tema noului proiect se regsete n capitolul 5.1 al prezentului raport. Trebuie, de asemenea, s precizm faptul c exist i o alt propunere de completare i modicare unor acte legislative,19 n special a Codului Contravenional care ar permite aplicarea de amenzi pentru nerespectarea legislaiei primare. Cadrul normativ primar este completat de ctre Legea nr. 182 din 10.07.200820 cu privire la aprobarea Regulamentului Centrului Naional pentru Protecia Datelor cu Caracter Personal, structurii, personalului-limit i a modului de nanare a Centrului Naional pentru Protecia Datelor cu Caracter Personal, care vor discutate n cadrul Capitolelor 4.5 i 5.2.
4.4. Legislaia naional secundar n domeniul proteciei datelor cu caracter personal

De obicei, legislaia naional principal n domeniul proteciei datelor cu caracter personal este completat de o serie de acte normative secundare care expliciteaz sau detaileaz o serie de obligaii practice stabilite de legea cadru. Alte acte sectoriale completeaz cadrul specic proteciei vieii private. Legislaia RM nu ofer, cel puin deocamdat, aceast detaliere, datorit pe de o parte a perioadei scurte de timp de la intrarea n vigoare a legii, iar pe de alta parte dintr-o serie de motive procedurale, legate de adoptarea legislaiei secundare nu de ctre Centru, ci de ctre Guvern. Lipsa acestora reprezint o piedic real n exercitarea atribuiilor normale a unei Autoriti n domeniul proteciei datelor, putnd chiar pune n discuie n ce msur nu afecteaz chiar independena de facto a acesteia. A. Exist totui dou acte normative secundare deja adoptate: Regulamentul Consiliului Consultativ21 pe lng Centrul Naional pentru Protecia Datelor cu Caracter Personal, elaborat chiar de Centru i care conine diverse dispoziii procedurale legate de activitatea Consiliului. Hotrrea a Guvernului nr. 1123 din 14.12.2010 privind aprobarea Cerinelor fa de asigurarea securitii datelor cu caracter personal la prelucrarea acestora n cadrul sistemelor informaionale de date cu caracter personal22.
17
18
19 20
21 22
Disponibil la adresa http://justice.gov.md/ro/examinare-guvern/ , text la http://justice.gov.md/le/ acte%20normative%2 0spre%20examinare%20Guvernului/L_caracter-personal%20FINAL.doc Fia actului normativ la Parlament este disponibil la adresa http://parlament.md /ProcesulLegislativ/%C3%8Enregistrate/ tabid/61/LegislativId/620/Default.aspx Text disponibil la http://www.datepersonale.md/le/proiect%20alte%20acte%20norm%20-004.pdf Publicat :01.08.2008 n Monitorul Ocial Nr. 140-142 art Nr : 578 Data intrrii in vigoare : 10.07.2008 disponibil la http://lex. justice.md/viewdoc.php?action=view&view=doc&id=328727&lang=1 Disponibil la adresa http://www.datepersonale.md/md/consiliul/ Publicat: 24.12.2010 n Monitorul Ocial Nr. 254-256 Nr : 1282 http://lex.justice.md/index.php? action=view&view=doc&la ng=1&id=337094
23
Cu privire la acest din urm act normativ, articolul 2 precizeaz c deintorii de date cu caracter personal au obligaia s le implementeze n termen de 12 luni de la intrarea lor n vigoare. Textul urmeaz ndeaproape bunele practici internaionale23 n ceea ce privete protecia securitii informaiei. Cu toate acestea, avnd n vedere caracterul obligatoriu al acestor cerine pentru toi operatorii de date cu caracter personal (indiferent de mrimea acestora) conform articolului 14 alin. 2 din Legea 17/2007, i innd seama de situaia economic a RM, opinm c, att din punct de vedere al operatorilor de date personale privai, ct mai ales cei publici, prezentul act propune o serie de obligaii extrem de greu de ndeplinit de ctre operatorii mici i mijlocii sau de instituiile publice. Obligaiile legate de autorizarea accesului zic, securitatea sediilor, controlul vizitatorilor etc. ar necesita investiii de cel puin cteva mii de euro, dac nu chiar zeci de mii de euro pentru orice operator de date cu caracter personal, sume care nu sunt la ndemna oricrui operator economic sau instituii publice din RM (sau chiar din UE). n opinia noastr, exist riscul ca acest act normativ s nu poat ndeplinit din punct de vedere practic de majoritatea operatorilor de date cu caracter personal, ceea ce poate duce att la o evitare a eventualei nregistrri n Registrul Operatorilor, ct i la ignorarea acestei Hotrri a Guvernului. Considerm c o simpl menionare a principiilor24 pe care politica de securitate s le ndeplineasc ar putea mult mai util practic, lsnd la latitudinea ecrui operator modul de aplicare al acestora, n funcie de tipul de date colectat. Aplicarea acestor principii n corelaie cu aplicarea principiilor de data minimisation i o perioad minim de stocare, ar putea sa duc la o protecie mai ecient a datelor cu caracter personal. Evident, n cazul datelor cu caracter special, acestea pot detaliate n condiiile considerate necesare. n acelai timp ar necesar o explicitare a cerinelor de securitate n termeni uor de neles25 destinate persoanelor nespecializate n probleme de securitate sau protecie a datelor cu caracter personal. Anexa 1 a Cerinelor de securitate cuprinde dou categoriile de date: cele speciale (existente i n lege) i, ceea ce Hotrrea numete, categoria obinuit. Aceasta din urm, detaliat la punctul 3, arat din punct de vedere al interpretrii literale ca o enumerare exhaustiv. ns o list limitat a datelor cu caracter personal contrazice nsi deniia din legea-cadru extrem de larg a acestor date.26 De altfel, o asemenea enumerare are toate ansele s eludeze unul sau mai multe date cu caracter personal (de exemplu, n lista prevzut n Anexa 1 par a lipsi cel puin datele de trac informaional), ceea ce subliniaz de ce o asemenea enumerare trebuie s existe cel mult cu titlul exemplicativ. B. Nu putem s nu amintim lipsa oricrei legislaii secundare cu privire la crearea Registrului deintorilor de date cu caracter personal. Dei putem nelege dicultile de ordin nanciar pentru realizarea unui registru automatizat sau temeiul juridic pentru ca el s e adoptat prin Hotrre a Guvernului, considerm c este inacceptabil ca proiectul Hotrrii Guvernului privind aprobarea Regulamentului Regis-
23 24
25
26
Vezi ordine similare ale DPA din alte ri sau standarde internaional ISO 17 799 sau ISO 27 001 i care sunt aceleai cu cele din Hotrrea de Guvern din RM. Vezi de exemplu liniile directoare puse la dispoziie de DPA din Irlanda - http://www.dataprotection.ie/viewdoc.asp?DocID=1091&ad=1 Vezi de exemplu documentele puse la dispoziie de DPA din Marea Britanie - http://www.ico.gov.uk/for_organisations/data_ protection/security_measures.aspx i http://www.ico.gov.uk/upload/ documents/library/data_protection/practical_application/security%20v%201.0_plain_english_website_version1.pdf Pentru o explicitare a ceea se poate integra n conceptul de date cu caracter personal a se vedea Grupul de Lucru Articolul 29 Avizul 4/2007 privind conceptul de date cu caracter personal disponibil la http://ec.europa.eu/justice/policies/privacy/ docs/wpdocs/2007/wp136_ro.pdf
24
trului manual al deintorilor de date cu caracter personal s fost trimis pe 16 iunie 2010 de Centru ctre Guvern spre aprobare, fr a adoptat nc pn la ora redactrii acestui raport. n acelai timp, observm c exist nc n dezbatere public proiectele de documente referitoare la formatele de tipizate27. Notm, astfel, c modelul de formular de cerere de nregistrare28 este destul de complex, cernd o list mare de date de la operatorii de date cu caracter personal. Dei nelegem dorina de a aa ct mai multe despre subiecii legii i modul cum ei respect actul normativ cadru, considerm c o limitare a datelor cerute29ar servi pe de o parte la debirocratizarea acestui proces, iar pe de alt parte ar uura activitatea Centrului, care a degrevat de prelucrarea unor date ce servesc n primul rnd doar la scopuri statistice. n acelai context, considerm c enumerarea categoriilor de date prelucrate ntr-o list (chiar dac poate avea titlu exemplicativ) poate conduce la impresia c doar acestea reprezint categorii de date cu caracter personal.30 De asemenea, dezvoltrile tehnologice continue (de exemplu, nu au fost incluse ca poteniale date personale cele obinute prin taguri RFID sau noile tipuri de cookie) impun necesitatea unei actualizri constante a acestor informaii, care ar duce la o actualizare prea frecvent a informaiilor din formular. Astfel, n opinia noastr, o simplicare a formularului31 la datele absolut necesare este dezirabil att pentru operatori, ct i pentru Centru. Tot la acest punct referitor la Registrul Operatorilor, nu putem sa nu ne exprimm regretul c nu se adopt soluia unui Registru automatizat, avnd n vedere una din funciile sale principale de informare pentru subiecii datelor cu caracter personal.32 Un registru manual este practic n imposibilitate de a ndeplini aceast funcie, n opinia noastr. Avnd n vedere c nu trebuie s e un program extrem de complex din punct de vedere informatic, considerm c el poate fcut n colaborare cu alte instituii ale statului care au minima expertiz tehnic necesar, inclusiv instituiile de nvmnt superior, chiar n condiiile unei nanri minimale. C. Din punct de vedere al unei legislaii sectoriale, sunt destul de puine acte normative ce au referine directe la datele cu caracter personal, explicabil ns prin scurta perioad de dezvoltare a domeniului. n acelai timp, lipsa unor dispoziii pentru protecia condenialitii, n special n domeniul datelor cu caracter special, cum este cel medical, afecteaz n mod semnicativ respectarea acestor date.33 Totui exist cteva acte normative care merit menionate: Legea cu privire la registre nr 71/200734 precizeaz n Articolul 4 litera c) c unul din principiile crerii i inerii registrelor este protecia datelor cu caracter personal ale persoanelor zice; Cu toate acestea articolul 21 Particularitile inerii registrelor ce conin date cu caracter personal cuprind doar informaii generice:
(1) La inerea registrelor ce conin date cu caracter personal vor respectate cu strictee drepturile i libertile omului.
27 28 29 30 31
32 33 34
Disponibile la adresa http://www.datepersonale.md/md/proiecte/ i http://www.datepersonale .md/md/transp_consult/ Disponibil la http://www.datepersonale.md/le/proecte/Cerere_inregistrare.pdf Pn la cele 6 categorii cerute de Articolul 19 din Directiva 95/46/EC Vezi i fn 106 Alte DPA ofer modele de formulare simplicate Vezi Irlanda https://www.dataprotection.ie/documents/ forms/APD1new_eng.pdf sau fr o prezentare prea detaliat a tipurilor de date cu caracter personal vezi Italia https://web.garanteprivacy.it/rgt/FacSimile_Modello_Noticazione_2008.pdf sau Frana https://www.correspondants.cnil.fr/CilExtranetWebApp/declaration/accueil.action Vezi art 21 alin 3 din Directiva 95/46/EC Registrul poate consultat de orice persoan Interviu cu Arcadie Astrahan, UNDP Health and Human Rights Consultant, 7 Aprilie 2011 Publicat:25.05.2007 n Monitorul Ocial Nr. 70-73 Nr : 314 Data intrrii in vigoare : 25.11.2007. disponibil la http://lex.justice.md/index.php?action=view&view=doc&lang=1&id=325732
25
(2) Modul de colectare, prelucrare, pstrare i utilizare a datelor cu caracter personal n registrele de stat se stabilete de lege.
Astfel, acest act normativ35 eueaz n a oferi orice protecie suplimentar de facto datelor cu caracter personal colectate. Principiile necesare unei protecii efective a datelor personale lipsesc cu desvrire (cum ar minimizarea datelor colectate (data minimisation),36 necesitatea numirii unei persoane responsabile pentru protecia datelor, audit intern i extern cu privire la respectarea vieii private, avizul obligatoriu al Centrului nainte de ninarea unui nou Registru etc.) Legea privind vericarea titularilor i a candidailor la funcii publice 271/18.12.200837 precizeaz n articolul 18 c
Chestionarul completat de titularul, candidatul la funcia public i informaiile obinute de organul de vericare n cadrul vericrii, cu excepia informaiilor privind elementele constitutive ale unei infraciuni i a altor date stabilite de lege, reprezint date cu caracter personal.
Aceast denire este inutil, toate aceste date intrnd n categoria datelor cu caracter personal conform deniiei din legea cadru. n schimb, autorizarea prevzut de Anexa 1, numit Declaraie de Vericare, conine dou prevederi cel puin bizare:
Autorizez organul de vericare s acceseze i s obin date cu caracter personal i alte informaii necesare vericrii, efectuat n conformitate cu prevederile Legii privind vericarea titularilor i candidailor la funcii publice. Autorizez accesul organului de vericare i al efului autoritii publice n care m angajez (lucrez) la datele cu caracter personal referitoare la persoana mea.
n opinia noastr aceast autorizare nu are niciun sens n actuala formulare. n primul rnd, aceasta nu ndeplinete rolul de consimmnt, neind exprimat n mod liber i ind condiionat, pentru c nu se poate refuza semnarea Anexei 1. n al doilea rnd, aceasta nu ar fost necesar, n condiiile n care o astfel de obligaie expres de acces la date personale ar fost inclus n lege n mod imperativ. Astfel, s-ar ndeplinit una din excepiile prevzute de legea cadru.38 n schimb, aplicarea acestei legi creeaz probleme serioase de implementare, deja menionate de Centru n raportul de activitate din 2010,39 n special cu privire la coninutul Anexei 2 i la prelucrarea datelor celorlali membri ai familiei. Raportul pe 2010 concluzioneaz acest aspect astfel:
Centrul a propus Centrului pentru Drepturile Omului din Moldova iniierea procedurii de sesizare a Curii Constituionale n scopul exercitrii controlului constituionalitii anexei nr. 2 din Legea privind
35
36
37
38 39
Ca o prere personal, dincolo de subiectul acestui raport, este interesant a ne ntreba care este scopul actului normativ (care nu este precizat n mod expres). Dei teoretic putem identica drept scop principal al unui act normativ n domeniu obligaiile de protecie a datelor personale sau ne-duplicarea eforturilor n crearea Registrelor ori cerinele acestora de interoperabilitate i n ce condiii, textul actului normativ are prevederi mai degrab birocratice, legate de exemplu de condiiile sau formele de inere a Registrelor. Colectarea doar a ceea ce este necesar, tergerea datelor dup ce acestea nu mai sunt necesare. Pentru detalii referitoare la aceste principii vezi de ex. In the Service of the States Dilemmas of Privacy and Technology Enabled Surveillance, Walter Frisch, University of Vienna, 2008 disponibil la http://staatswissenschaft.univie.ac.at/ leadmin/user_upload/inst_staatswissenschaften/Frisch/21063courseWebsite/InTheSereviceoftheState-WFrisch.pdf Publicat:24.02.2009 n Monitorul Ocial Nr. 41-44 Nr : 118 , disponibil la http://lex.justice.md/index.php? action=view&vie w=doc&lang=1&id=330807 Vezi art 6 alin 1 i alin 6 legea 17/2007 A se vedea Raport de activitate pentru anul 2010 - Centrul Naional pentru Protecia Datelor cu Caracter Personal al RM seciunea Prelucrarea de ctre angajatori a unui volum excesiv de date cu caracter personal care vizeaz membrii familiei titularilor i candidailor la funcii publice - pag 22-26 Raport disponibil la http://www.datepersonale.md/le/raport2010. pdf
26
vericarea titularilor i candidailor la funcii publice, precum i declarrii prevederilor supuse controlului constituionalitii ca ind neconstituionale.
Apreciem n mod deosebit aceast iniiativ40 i considerm c ea ar putea extins41 i la scopul colectrii datelor personale pentru candidaii la aceste funcii (i nu limitat doar pentru cei ce urmeaz s e numii). ntreaga lege duce de facto la colectarea unui numr excesiv de date personale de ctre organul de vericare, care pot accesate n multiple situaii extrem de larg denite (vezi art 19. alin. 5 din lege) i pe perioad extrem de ndelungat (5 ani). De asemenea, nu exist nicio msur de siguran cu privire la accesul la aceste date sau tergerea acestora. Legea privind transmiterea transfrontalier a datelor cu caracter personal ctre Muzeul Memorial al Holocaustului din Statele Unite ale Americii Legea 38/10.03.201142 creeaz o excepie de la legea cadru prin transmiterea transfrontalier Muzeului Memorial al Holocaustului din Statele Unite ale Americii a datelor cu caracter personal (din perioada anilor 19331945), prelucrate de Serviciul de Stat de Arhiv al RM. Aceast lege ridic o problem generic legitim legat de prelucrarea datelor cu caracter personal a persoanelor decedate, care sunt n continuare protejate de legea din RM, ind necesar consimmntul motenitorilor.43 O asemenea protecie fr limit de durat face ca un asemenea consimmnt s e poate aproape imposibil de obinut n cazul persoanelor decedate de mult timp, din cauza numrului mare de motenitori. Astfel, n practic, poate reprezenta doar o barier n calea cercetrilor istorice sau a libertii de exprimare. De altfel, avnd n vedere natura intrinsec a legturii dintre viaa privat i persoana zic, considerm c trebuie pus n discuie, pe viitor, dac protecia datelor cu caracter personal trebuie s se extind i asupra persoanelor decedate. Iar dac rspunsul este pozitiv, pentru ce perioad trebuie s se ntind aceast protecie. D. Dei nu se ncadreaz direct n conceptul de legislaie secundar, notm existena unei infraciuni specice n domeniul vieii private, prevzut n Codul penal al RM la art. 177, pe baza creia exist deja iniiate unele anchete penale.44 Articolul 177. nclcarea inviolabilitii vieii personale:
(1) Culegerea ilegal sau rspndirea cu bun-tiin a informaiilor, ocrotite de lege, despre viaa personal ce constituie secret personal sau familial al altei persoane fr consimmntul ei, se pedepsete cu amend n mrime de pn la 300 uniti convenionale sau cu munc neremunerat n folosul comunitii de la 180 la 240 de ore.
40 41
42
43
44
Aceasta a fost deja naintat Curii Constituionale cf raportului CpDOM, pag. 28-30 Ne ntrebm n ce msur nu ar trebui iniiat i o discuie mai larg legat de necesitatea acestei legi in integrum. Cu toate c o asemenea vericare poate util pentru anumite funcii unde buna reputaie este absolut necesar (de ex. Judectori), este discutabil lrgirea lor pentru toate categoriile de funcii publice i n special pentru toi candidaii. Astfel dac aceste date ale candidailor care nu au ctigat postul nu sunt distruse imediat dup colectarea lor, ne vom aa cu siguran n situaia unei nclcrii a principiilor colectrii datelor cu caracter personal. Publicat : 08.04.2011 n Monitorul Ocial Nr. 54-57 art Nr : 123 http://lex.justice.md/index.php? action=view&view=doc&la ng=1&id=338016 Articolul 6 alin 5 legea 17 n cazul decesului subiectului datelor cu caracter personal, consimmntul la prelucrarea datelor lui cu caracter personal se acord, n form scris, de ctre succesorii subiectului datelor cu caracter personal dac un astfel de consimmnt nu a fost dat de subiectul datelor cu caracter personal n timpul vieii. Vezi raportul Centrului din 2010 - pag 39
27
Alte acte normative (de ex. Codul de Procedur Penal45 sau Legea cu privire la comunicaii electronice46) conin dispoziii referitoare la condenialitate sau respectarea datelor cu caracter personal, ns doar la nivel principial sau generic, fr a se asigura msuri specice de protecie a acestora. 4.5. Cadrul instituional Dezvoltarea unui cadrul instituional ecient este de o importan esenial pentru o protecie efectiv a datelor cu caracter personal. De aceea nu putem dect s susinem mai multe decizii pozitive cuprinse deja n actele normative din domeniu care creioneaz modul de funcionare a acestui domeniu, dar i s atragem atenia asupra limitrilor aduse n mod direct sau indirect ori prin implementarea lor practic. Decizia de a crea o autoritate complet autonom (numit Centrul pentru protecia datelor cu caracter personal al RM47, pe scurt Centru) i nu un departament n cadrul unei autoriti sau instituii deja existente este una care merit subliniat n contextul bunelor practici din alte state care au creat astfel de autoriti. Un alt element pozitiv l reprezint ncercarea de a gsi un sistem de numire a unei persoane independente ca director sau director adjunct, cu experien n domeniul drepturilor omului48 pe un mandat de o perioad rezonabil (5 ani) timp n care acesta i poate desfura activitatea fr interferene nedorite din partea celorlalte puteri ale statului. Cum organele de conducere ale Centrului trebuie s poat s emit opinii, recomandri sau luri de poziie publice uneori n contradicie cu alte organe ale statului (de ex. Guvern, Parlament) sau partide politice, este esenial asigurarea independenei sale pe parcursul mandatului. Cu toate acestea, unele din dispoziii din prezenta lege, preluate i n noul proiect legislativ, pot face ca n practic directorul s poat nlturat pe criterii politice. Astfel textul Art 111 alin. (9) lit. a (n noua propunere de lege art 22 alin. (9) lit a)
(9) Propunerea de revocare din funcie a directorului Centrului poate naintat, dup caz, de Preedintele Parlamentului, de o fraciune parlamentar sau de cel puin 15 deputai n urmtoarele cazuri: a) nclcare grav a obligaiilor funcionale prevzute de legislaie;
45
46 47 48
Cod de procedur penal al RM, Articolul 15: (1) Orice persoan are dreptul la inviolabilitatea vieii private, la condenialitatea vieii intime, familiale, la protejarea onoarei i demnitii personale. n cursul procesului penal, nimeni nu este n drept s se implice n mod arbitrar i nelegitim n viaa intim a persoanei. (2) La efectuarea aciunilor procesuale nu poate acumulat fr necesitate informaie despre viaa privat i intim a persoanei. La cererea organului de urmrire penal i a instanei de judecat, participanii la aciunile procesuale snt obligai s nu divulge asemenea informaii i despre aceasta se ia un angajament n scris. (3) Persoanele de la care organul de urmrire penal cere informaie despre viaa privat i intim snt n drept s se conving c aceast informaie se administreaz ntr-o cauz penal concret. Persoana nu este n drept s refuze de a prezenta informaii despre viaa privat i intim a sa sau a altor persoane sub pretextul inviolabilitii vieii private, ns ea este n drept s cear de la organul de urmrire penal explicaii asupra necesitaii obinerii unei asemenea informaii, cu includerea explicaiilor n procesul-verbal al aciunii procesuale respective. (4) Probele care conrm informaia despre viaa privat i intim a persoanei, la cererea acesteia, se examineaz n edin de judecat nchis. Legea Nr. 241-XVI din 15.11.2007 Vezi pagina prezentare la http://www.datepersonale.md Art 11 alin 4 (4) Poate numit n funcia de director sau director adjunct al Centrului orice persoan care deine cetenia RM, are studii superioare juridice, experien profesional de cel puin 5 ani n domeniul aprrii drepturilor i a libertilor omului.
28
creeaz n practic aceast posibilitate, n condiiile n care nu se explic identitatea entitii care decide c ne am n situaia unei nclcri grave.49 Dac aceast nclcare este stabilit doar de persoana care face propunerea de revocare (dup cum ar putea interpretat din textul actual), ne am n fapt n faa unei situaii n care conteaz doar voina Parlamentului. O alt chestiune concret referitoare la modul n care dispoziiile legale care asigur independena i competena sunt ndeplinite n practic se refer la numirea primilor director i director adjunct. Astfel, dei legea impune ca obligaia o minim experiena profesional de cel puin 5 ani n domeniul aprrii drepturilor i a libertilor omului, iar numirea directorului50 a fost fcut ulterior introducerii acestui text51 n Monitorul Ocial este neclar ndeplinirea acestui criteriu din CV-ul pus la dispoziie pe site-ul instituiei.52 Chestiunea este relevant i pentru directorul-adjunct, unde nu sunt prezente niciun fel de informaii publice cu privire la competenele sale.53 Aceste probleme ne-au fost ridicate i de unele organizaii non-guvernamentale care au explicat reticena de a colabora cu o instituie nou a crei conducere este perceput ca neavnd o zon de expertiz n domeniul drepturilor omului, ceea ce duce la o inerent limitare a imaginii i funciilor Centrului n ntreaga societate. Dei din punct de vedere juridic Centrul a fost creat la nceputul anului 2009, el i-a nceput practic activitatea n aprilie 2009,54 iar o bun parte din activitatea primilor ani a fost dedicat i rezolvrii problemelor administrative necesare unei bune funcionri. Dei ar trebui s aib un efectiv de maxim 21 de persoane angajate, pn n aprilie 2011 erau ocupate doar 16 posturi. Un alt element care poate ntri structura instituional n acest domeniu o reprezint crearea Consiliului Consultativ55, care poate s e un bun prilej de dialog cu reprezentanii societii civile i a sectorului privat. Dei au avut loc doar dou ntlniri ale Consiliului56, toate documentele referitoare la aceste ntlniri sunt disponibile public, ceea ce arat un grad ridicat de transparen. Totui, din minutele documentelor publice nu rezult c n cadrul Consiliului Consultativ s-ar discutat chiar proiectul de act normativ de modicare a legii cadru, ceea ce ridica semne de ntrebare cu privire la reala sa utilitate. n acelai timp, att componena Consiliului, ct i prezena la ntlniri surprind prin lipsa implicrii societii civile, dar i a sectorului privat. Pe de o parte aceast absen poate explicat prin noutatea subiectului sau nencrederea n noua instituie. Pe de alt parte, modul de prezentare a Consiliului unde sunt nominalizai doar reprezentanii instituiilor publice, dar sunt omii reprezentanii sectorului privat, poate un element care s nu incite la participarea activ. De asemenea, obligaia de a aproba
49
50
51 52 53 54 55
56
O motivaie similar a fost folosit n trecut pentru a schimba Preedintele Autoritii din domeniul comunicaiilor electronice din Romnia, ce ar trebuit s aib un statut similar. nclcarea grav a fost stabilit printr-un raport nepublic al guvernului, dar motivaia real a fost cea a coloraturii politice a preedintelui n funcie. Dup cteva abuzuri ale acestui articol similar din legea romn, Comisia European a anunat declanarea procedurii de infringement mpotriva Romniei pentru lipsa de independen real a Autoritii din domeniu. Vezi i Comisia lanseaz mpotriva Romniei procedura de infringement pentru nerespectarea independentei autoritii telecom 29.01.2009 - http://www.euractiv.ro/uniunea-europeana/articles|displayArticle/articleID_16233/ Comisia_lanseaza_impotriva_Romaniei_procedura_de_infringement_pentru_nerespectarea_independentei_autoritatii_telecom.html Hotrre Nr. 233 din 13.11.2008 privind numirea n funcie a directorului Centrului Naional pentru Protecia Datelor cu Caracter Personal, Publicat : 18.11.2008 n Monitorul Ocial Nr. 206-207 Nr : 760 Data intrrii in vigoare : 13.11.2008 disponibil la http://lex.justice.md/index.php?action=view&view=doc&lang=1&id=329690 Art 111 a fost introdus prin introdus prin LP141-XVI din 26.07.08, MO140-142/01.08.08 art.572 Disponibil la http://www.datepersonale.md/md/director/ Informaii la http://www.datepersonale.md/md/adjunct/ http://www.datepersonale.md/le/CNPDCP_raport_2009.pdf Art 11 alin 3 legea cadru i Capitolul IV Consiliul Consultativ din Regulamentul Centrului Naional pentru Protecia Datelor cu Caracter Personal vezi fn 59 i 60 Conform informaiilor disponibile la http://www.datepersonale.md/md/carhiv/
29
componena nominal a Consiliului de ctre directorul Centrului57 reprezint o msur de birocraie excesiv i inutil, n condiiile scopului unei participri ct mai largi n acest cadru de dezbatere. Din informaiile primite de la Centru58 rezult c reprezentanii societii civile au fost invitai n momentul crerii Consiliului, dar rspunsul acestora nu a fost deosebit. n schimb, dei au existat mai recent sau exist colaborri punctuale cu unele organizaii non-guvernamentale (cum ar Institutul pentru Drepturile Omului (IDOM) sau Amnesty International), acestea nu au fost invitate n mod direct s participe la activitile Consiliului. n ceea ce privete colaborarea cu alte instituii, apreciem n mod deosebit conlucrarea real i ecient a Centrului cu Centrul pentru Drepturile Omului din Moldova (CpDOM)59. Astfel de colaborri ncheiate cu utilizarea prghiilor existente la nivelul ecrei instituii pentru scopul comun (cel de protecie a vieii private) ofer premisele unei activiti de succes pentru o real protecie a cetenilor RM.
4.6. Implementarea legislaiei privind protecia datelor cu caracter personal

Avnd n vedere existena Centrului de numai doi ani i innd seama de limitrile practice a Centrului, precum i a lacunelor legislative prezentate pe parcursul acestui raport, considerm c ateptrile cu privire la o implementare adecvat a legislaiei nu au cum s e prea ridicate. De altfel, din rapoartele prezentate pentru anii 2009 i 2010 ale Centrului, din raportul CpDOM din 2010, precum i din interviurile avute cu reprezentanii acestor instituii, reiese n mod elocvent c s-au depus eforturi considerabile pentru a se ncerca o acoperire ct mai larg a unor probleme sistemice dintre cele mai diverse legate de protecia datelor cu caracter personal.60 Din pcate, cazurile de succes sunt extrem de limitate, explicaia ind ns legat n principal de lipsa sanciunilor directe pe care Centrul le poate aplica. n aceste condiii, este de apreciat cu att mai mult poziia de conciliator adoptat de Centru n unele situaii ce par a duce la soluionarea problemelor (de exemplu, ne referim la cazul publicrii datelor cu caracter personal din hotrrile judectoreti pe Internet61 i recenta reacie a Consiliului Superior al Magistraturii care a anunat modicarea Regulamentului privind modul de publicare a hotrrilor judectoreti pe pagina web n vederea excluderii ingerinelor n viaa privat a persoanelor i anume depersonalizarea hotrrilor judectoreti.62). n acelai timp, considerm ngrijortoare ignorana fi sau lipsa de reacie a unor instituii publice, unele chiar cu atribuii din zona juridic, fa de aciunile sau recomandrile Centrului. Aceasta pune un semn de ntrebare serios cu privire la capacitatea instituiilor publice de a contribui la realizarea unei implementri eciente a datelor cu caracter personal, n special n contextul planului de liberalizare a vizelor. Astfel, este necesar o contientizare a subiectului importanei datelor personale la nivelul
57
58 59
60
61 62
Cf pct 4 din Capitolul IV Consiliul Consultativ din Regulamentul Centrului Naional pentru Protecia Datelor cu Caracter Personal vezi fn 86 Interviu din data de 30 Martie 2011 Detaliata n special n raportul pe 2010 al CpDOM pag 24-41, disponibil la http://www.ombudsman.md/md/anuale/ , i n interviu cu experii CpDOM din data de 5 Aprilie 2011 Nu o s relum aici problemele concrete deja identicate n rapoartele mai sus menionate (i care au fost deja citate pe parcursul acestui raport). Vezi detalii n Raportul CpDOM 2010 pag 30-32 i Raportul Centrului pe 2010 pag 11-14 Informaie disponibil la Consiliul Superior al Magistraturii preocupat de asigurarea dreptului la via privat http://www. datepersonale.md/md/newslst/1211/1/4105/
30
ecrei instituii publice care proceseaz astfel de date, fr lsa acest domeniu de protecie doar n responsabilitatea Centrului. n acest sens, susinem punctul de vedere al raportului pe 2010 al CpDOM, care noteaz explicit:
Lipsa mecanismelor de sancionare pentru nclcarea principiilor de protecie a datelor cu caracter personal i absena reglementrilor care ar concretiza rolul i statutul Centrului la acest compartiment fac imposibil realizarea plenar a misiunii ce-i revine acestei autoriti.
Exist nc mai multe subiecte lacunare (ori neraportate) n ceea ce privete scurta activitate a Centrului: Avnd n vedere experiena i activitatea sectorului non-guvernamental pentru protecia datelor personale referitoare la starea de sntate i viaa sexual63, credem c ar de dorit o conlucrare mai strns cu aceste instituii64 i n special o atitudine pro-activ a Centrului. Avnd n vedere caracterul special al acestor date personale i efectul major prin nerespectarea prelucrrii n mod legal, cu nclcri agrante ale dreptului la via privat65, considerm c Centrul trebuie pe de o parte s i propun s fac din acest domeniu o prioritate pentru anii urmtori, dar i s nici nu ezite s apeleze la expertiza deja creat n sectorul non-guvernamental, inclusiv prin instruiri ale personalului intern al Centrului, ndeosebi pe problemele specice sectorului medical (de ex. sistemul de raportare al HIV n RM)66. Exist o lips de informare cu privire la ndeplinirea principiilor din legea-cadru de ctre sectorul privat sau non-guvernamental. Dei RM avea obligaia de a emite doar paapoarte cu date biometrice de la nceputul anului 201167, nu exist nicio analiz a Centrului referitoare la actualele reglementri i modul lor de punere n practic. n contextul creterii accesului la Internet n RM, un rol din ce n ce mai pregnant din punct de vedere practic, dar i al situaiilor mai complicate din punct de vedere al legii aplicabile o s-l aib protecia datelor personale pe Internet, n special n contextul reelelor sociale i ale altor site-uri cu coninut generat de utilizatori. Cel puin mai multe informri n acest sens sunt necesare pentru populaia Moldovei. Activitatea Centrului se pare c s-a axat doar pe activitile de la nivelul capitalei i nu la nivelul RM. Dei aceast atitudine ar putea determinat n special de probleme nanciare, n urmtorii ani ar trebui cutata o soluie n acest sens, n special n activitile de contientizare, poate n colaborare cu ociile teritoriale ale CpDOM. Implementarea dispoziiilor referitoare la protecia datelor cu caracter personal are i o component esenial de contientizare i prevenire a respectrii principiilor prelucrri acestor date. n aceast direcie am remarcat n sens pozitiv informaia pe care Centrul o pune la dispoziia tuturor prin inter63
64 65
66 67
n special Institutul pentru Drepturile Omului pentru chestiunile practice, ca i PNUD pentru chestiunile legate de modicarea cadrului legislativ specic medical cu referire la problemele de condenialitate. Deja nceput printr-un Memorandum of Understanding ce urmeaz a semnat ntre IDOM i Centru Vezi cazul decis de Curii Supreme de Justiie cu privire la expertiza medico-militar n Forele Armate ale RM, aprobat prin Hotrrea Guvernului nr. 897 din 23 iulie 2003, care nu asigur condenialitatea diagnosticului prezentat de IDOM in Raportul de Aprarea persoanelor HIV/SIDA n RM www.idom.md i n Raportul CpDOM pag 39-40 Interviu cu Arcadie Astrahan, UNDP Health and Human Rights Consultant, 7 Aprilie 2011 Cu excepia consulatelor RM n strintate
31
mediul paginii sale web i actualizarea ei n mod constant. Aceasta reprezint o foarte bun activitate de promovare a activitii Centrului, care poate suplimentat prin explicitarea ntr-un limbaj accesibil ntregii populaii a noiunilor de baz legate de protecia datelor personale, precum i prin promovarea informaiilor prin mass-media online i oine. Subliniem ncercrile inventive ale Centrului, ndeosebi n condiiile unui buget redus, de a crea mijloace de informare a populaiei cu privire la drepturile lor, inclusiv prin aciuni neobinuite (dar ecace!) pentru o instituie public cum ar ash-mob-ul organizat n colaborare cu Amnesty International cu ocazia Zilei Internaionale a Drepturilor Omului n 2010.68 Totui, aceasta trebuie s e o activitate continu, iar activitile de contientizare trebuie adresate i ctre sectorul privat cu informaii specice operatorilor. Considerm c se pot gsi parteneri buni de discuie n acest sens n asociaiile sectoriale patronale sau de afaceri din domeniile direct interesate (de exemplu: bancar, asigurri, telecomunicaii, Internet). De asemenea este esenial evaluarea impactului acestora aciuni pentru a cuantica ecacitatea msurilor. Dintre activitile de implementare a principiilor procesrii datelor personale n actele normative aate n pregtire la diverse instituii remarcm faptul c Centrul a fost solicitat s emit avize referitor la acestea.69 Pe de alta parte considerm c, n condiiile n care nu exist o obligaie normativ expres n acest sens, acest lucru poate limita importana acordat unui rspuns, mai ales dac acesta ar categoric de respingere a unui asemenea proiect. De asemenea, nu exist obligaia de aviz din partea Centrului pentru crearea unui nou Registru (sau necesitatea crerii acestuia). n acest context, opinm ca util modicarea legislativ pentru a obliga obinerea unui aviz-conform (sau a unui aviz consultativ) din partea Centrului pentru proiectele de acte normative ce pot aduce atingere vieii private, dar i obligativitatea publicrii acestora cel puin pe site-ul propriu. Dei n Planul de Aciuni al Centrului pentru ndeplinirea Strategiei de Dezvoltare a Centrului pentru 2010-201270 este inclus la punctul 4.4. Elaborarea i inerea unui curs de ore pentru funcionarii publici, procurori, colaboratori ai Ministerului Afacerilor Interne, lucrtori medicali etc., aceast aciune nu a fost ndeplinit pn n momentul de fa. De asemenea, este important crearea unui astfel de sistem i pentru persoanele care lucreaz n instituii ce au obligaii directe de prelucrare a datelor personale, n special n contextul programului de liberalizare a vizelor.
68 69 70
Vezi Raport Centru 2010 pagina 46 Vezi Raport Centrul 2010 pag 42-43 Disponibil la adresa http://www.datepersonale.md/le/Plan_strat_2010.pdf
32
Asimetrii ntre UE i RM n domeniul vieii private

Aceast analiz a asimetriilor pleac de la premisele unor diferene de dezvoltare istorice i geo-politice de netgduit ntre statele membre ale UE i RM. De altfel, chiar n cadrul Uniunii, exist diferene semnicative de protecie a vieii private i a reglementrii datelor cu caracter personal att ntre statele vestice (de ex. un nivel nalt de protecie n Germania fa de problemele din Marea Britanie), dar i ntre rile vestice i estice (n special fa de ultimele dou state intrate n UE Romnia i Bulgaria). n acest context, ar impropriu de ateptat ca RM s recupereze diferena evident n doar doi ani. Pe de alt parte, exist numeroase situaii prezentate att n acest raport, ct i n altele publicate de Centru sau CpDOM, care denot o nclcare frecvent, iar n unele cazuri chiar grosolan,1 a dreptului la via privat. n analiza de mai jos nu ar trebui s pierdem din vedere faptul c etapele de structurare instituional i implementare sunt mult mai greu de ndeplinit i necesit o perioad mai lung de a ajunge la rezultate mai satisfctoare. n acelai timp chiar standardele internaionale la care ne referim sunt n curs de revizuire, ind criticate c nu asigur nc o protecie sucient a datelor personale.
5.
5.1 Asimetrii la nivel legislativ

Noua legislaie cadru ce urmeaz a adoptat de ctre RM poate asigura un cadru generic adecvat, n conformitate cu normele UE n domeniu. Cu toate acestea, legislaia secundar important nc lipsete, iar cea sectorial, uneori deja adoptat, nu se ridic la nivelul cerut de legislaia cadru. Noua propunere de modicare a Legii-cadru 17/2007 corecteaz o mare parte din problemele corelrii acesteia cu normele minime stabilite de Directiva 95/46/EC. Actuala variant a proiectului de lege2 ar trebui ns mbuntit n special cu privire la: 1. Claricarea consimmntului pentru prelucrarea datelor cu caracter special ca ind explicit pentru prelucrarea acestor date, altfel el avnd acelai rol ca i cel prevzut de articolul 5 alin. 1, lipsind datele speciale de o protecie suplimentar. Acelai comentariu i pentru prelucrarea IDNP conform articolului 9;
1
Raport CpDOM 2010 pag 33-35 Percheziia corporal i examinarea intim a persoanelor care sosesc la ntrevederi cu condamnaii de exemplu persoanele sosite la ntrevederi de lung durat pot supuse controlului minuios, inclusiv prin efectuarea procedeului de tact-vaginal i controlul altor caviti ale corpului, n vederea prevenirii intenionrii transmiterii ctre deinui a unor obiecte, articole sau substane interzise pentru pstrare n instituiile penitenciare. Vezi i cap. 4.3. din prezentul raport. Pentru detalii vezi fn 97 i 98
33
2. Explicitarea articolul 11 cu privire la Stocarea datelor, n special n situaia n care nu exist o legislaie specic pentru condiiile i termenele de stocare a datelor cu caracter personal; 3. Eliminarea dispoziiilor care pot folosite pentru a afecta independena conducerii Centrului articolul 22 alin. (9) lit. a;3 4. Includerea obligaiei Centrului de a emite avize consultative cu privire la proiectele de acte normative care pot afecta dreptul la via privat i de publicarea acestor avize n termen de maxim 60 de zile n Monitorul Ocial i/sau pe propriul site;4 5. Stipularea unui termen maxim de aplicare a legii pentru prelucrarea datelor cu caracter personal ale persoanelor decedate, dup care s nu mai e necesar consimmntul motenitorilor; 6. Includerea obligaiei de publicare a tuturor actelor emise de Centru (opinii, recomandri, investigaii) pe site-ul propriu, dup depersonalizarea acestora. Directorul Centrului poate stabili excepii pentru anumite documente cu informaii clasicate, avnd ns obligaia de a avea o list exhaustiv a acestor documente nepublice. De asemenea, pentru asigurarea unui cadru normativ corespunztor normelor minimale, trebuie adoptate dispoziiile propuse de ctre Centru n Legea privind modicarea unor acte legislative (Legea cu privire la protecia datelor cu caracter personal, Legea cu privire al accesul la informaie, Codul Contravenional), dar i a actelor legislative secundare pentru punerea n aplicare a legii cadru, n special hotrrea de guvern cu privire la Regulamentul Registrului manual (sau automat) al deintorilor de date cu caracter personal. Pentru o protecie adecvat a datelor cuprinse n Registrele de stat, sugerm modicarea Legii Registrelor prin includerea unui audit al ndeplinirii principiilor prelucrrii datelor cu caracter personal ca o etap obligatorie prealabil realizrii oricrui registru care include colectarea sau stocare unor astfel de date. Analiza ar trebui s e fcut de ctre Centru sau un auditor extern i s e publicat odat cu Hotrrea de Guvern care aprob Regulamentul Centrului. Pentru registrele existente, acest audit ar trebui fcut n cel mai scurt timp posibil. n ceea ce privete legislaia sectorial n domeniul comunicaiilor electronice de la nivelul UE, aceasta nu a fost nc implementat de ctre RM. Referitor la subiectul pstrrii datelor de trac, Legea privind prevenirea i combaterea criminalitii informatice nr 20/20095 prevede deja o obligaie generic de pstrare a datelor de trac pentru cel puin 180 de zile n Articolul 7 lit. f:
s asigure monitorizarea, supravegherea i pstrarea datelor referitoare la trac, pe o perioad de cel puin 180 de zile calendaristice, pentru identicarea furnizorilor de servicii, utilizatorilor de servicii i a canalului prin al crui intermediu comunicaia a fost transmis;
Dispoziia din legea moldovean este excesiv fa de normele n vigoare ale UE6, att prin deniia extrem de larg a furnizorilor de servicii care sunt obligai s respecte legea (orice entitate public sau privat care ofer utilizatorilor serviciilor sale posibilitatea de a comunica prin intermediul unui sistem
3 4
Pentru detalii vezi Capitolul 4.5. Aceasta ar duce i la o implementare mai bun a articolul 20 alin 2 din Directiva cadru. Fiecare stat membru prevede ca autoritile de supraveghere s e consultate la elaborarea msurilor de reglementare i administrative referitoare la protecia drepturilor i libertilor persoanelor n ceea ce privete prelucrarea datelor cu caracter personal. Publicat: 26.01.2010 n Monitorul Ocial Nr. 11-12 art Nr : 17 disponibil la adresa http://lex.justice.md/index.php?action=vi ew&view=doc&lang=1&id=333508 i care se pot schimba n viitorul apropiat ca urmare a revizuirii directivei vezi Cap.3.3.3.
34
informatic, precum i orice alt entitate care prelucreaz sau stocheaz date informatice pentru acest serviciu de comunicaii sau pentru utilizatorii si), ct i prin nelimitarea expres a datelor de trac pstrate, a perioadei maxime de pstrare sau a explicitrii condiiilor de acces la aceste date. Mai mult, sintagma folosit de lege anume monitorizarea, supravegherea i pstrarea datelor - poate interpretat dincolo de simpla pstrare a datelor i presupune un rol activ al furnizorului de servicii Internet n a cauta potenialele activiti ilegale, ce contrazice principiul stipulat de articolul 15 din Directiva privind comerul electronic7:
Statele membre nu trebuie s impun furnizorilor obligaia general de supraveghere a informaiilor pe care le transmit sau le stocheaz atunci cnd furnizeaz serviciile prevzute n art. 12, 13 i 14 i nici obligaia general de a cuta n mod activ fapte sau circumstane din care s rezulte c activitile sunt ilicite.
Astfel, acest act normativ va trebui s e revizuit n mod serios dac se dorete corelarea sa cu normele UE n materie de pstrare a datelor de trac informaional.
5.2. Asimetrii la nivel instituional

Construcia instituional n domeniul proteciei datelor cu caracter personal nc nu poate la un nivel satisfctor, dar sunt premise pentru a ndeplini criteriile minime cerute de ctre UE n condiiile unor modicri i claricri legislative, dar i de implementarea lor corect. De asemenea, msuri subsecvente pot mbunti cadrul instituional dincolo de un nivel satisfctor. Dac la nivelul legislaiei criteriile minime sunt extrem de precise, n cazul construciei instituionale la nivelul proteciei datelor chestiunea este puin mai complicat de evaluat chiar i la nivelul UE. Astfel, Directiva-cadru prevede n articolul 288 cteva dispoziii minimale referitoare la criteriile pe care trebuie s le ndeplineasc o astfel de autoritate.
7
Directiva 2000/31/CE din 8 iunie 2000 privind anumite aspecte juridice ale serviciilor societii informaionale, n special ale comerului electronic, pe piaa intern (directiva privind comerul electronic) http://www.legi-internet.ro/leadmin/editor_folder/pdf/Dir31_2000.pdf Articolul 28 - Autoritatea de supraveghere (1) Fiecare stat membru prevede una sau mai multe autoriti publice sa e responsabile de supravegherea aplicrii pe teritoriul sau a dispoziiilor adoptate de statele membre in temeiul prezentei directive. Aceste autoriti acioneaz in condiii de independenta deplina in exercitarea atribuiilor cu care sunt investite. (2) Fiecare stat membru prevede ca autoritile de supraveghere sa e consultate la elaborarea normelor i actelor administrative referitoare la protecia drepturilor i libertilor persoanelor in ceea ce privete prelucrarea datelor cu caracter personal. (3) Fiecare autoritate este, n special, investit cu: competene de investigare, cum ar cea de acces la datele care fac obiectul unei prelucrri i cea de a colecta toate informaiile necesare pentru ndeplinirea ndatoririlor de supraveghere; competente efective de intervenie, cum ar , de exemplu, competenta de a emite avize nainte de nceperea prelucrrii, in conformitate cu articolul 20, i de a asigura publicarea adecvata a acestor avize sau de a ordona blocarea, tergerea sau distrugerea datelor, de a impune interdicia temporara sau denitiva de prelucrare, de a avertiza sau de a admonesta operatorul sau de a sesiza parlamentele naionale sau alte instituii politice, competenta de a aciona in justiie, in cazul nclcrii dispoziiile de drept intern adoptate in temeiul prezentei directive sau de a sesiza autoritile judectoreti asupra acestor nclcri. Deciziile autoritilor de supraveghere care dau natere unor plngeri pot face obiectul unei aciuni in justiie. (4) Fiecare autoritate de supraveghere poate sesizata de orice persoana sau de orice asociaie care o reprezint printr-o cerere de protecie a drepturilor i libertilor sale in ceea ce privete prelucrarea datelor cu caracter personal. Persoana vizata este informata despre soluia data plngerii sale. Fiecare autoritate de supraveghere poate sesizata printr-o plngere depusa de orice persoana cu privire la legalitatea prelucrrii datelor, atunci cnd se aplica dispoziiile de drept intern adoptate n temeiul articolului 13 din prezenta directiva. Persoana este informata, n orice caz, ca s-a efectuat o vericare.
35
Un raport recent al Ageniei pentru Drepturile Fundamentale9 face o clasicare i o prezentare comparativ a modului cum aceste autoriti de la nivelul statelor membre ale UE ndeplinesc aceste cerine i n ce modaliti, pentru a sublinia n nal mai multe bune practici la nivel naional, pornind de la dispoziiile articolului 28 mai sus menionat. Vom folosi n ceea ce urmeaz aceast clasicare pentru a ne referi la autoritatea din RM: Centrul. Independena deplin10 este unul din criteriile eseniale ce trebuie interpretat n sens larg.11 Centrul beneciaz de o relativ independen avnd n vedere cadrul legislativ actual. Posibilitatea de revocare a conducerii Centrului, precum i modul netransparent n care a fost aleas prima conducere, n special n ceea ce privete ndeplinirea unuia dintre criteriile din lege, ne face s m rezervai cu privire la acest aspect, dei nu am notat interferene directe din partea politicului pn n momentul de fa. Resursele puse la dispoziie. Din punct de vedere al resurselor umane, Centrul ar putea s se descurce n limita celor maxim 21 de posturi, ns doar 16 sunt ocupate. n ceea ce privete resursele nanciare, acestea sunt n mod extrem de clar insuciente12 att pentru atragerea personalului competent, ct i pentru activitile de contientizare necesare sau de realizarea a Registrului Automatizat al operatorilor de date cu caracter personal. Competenele de investigare. Dei din punct de vedere legislativ, acest domeniu ar acoperit n mare msur, competenele de investigare sunt limitate n practic, iar alte autoriti refuz colaborarea cu Centru.13 Acest lucru este limitat i mai mult de lipsa unei sanciuni directe i eciente prevzut n legea cadru sau legislaia subsecvent. Competenele efective de intervenie. Aceste atribuii lipsesc n mare msur din activitatea Centrului, att prin lipsa dispoziiilor legislative de sancionare (legate n special de modicarea Codului Contravenional), ct i prin lipsa vericrii prealabile a anumitor categorii de procesri. De altfel, de facto, n lipsa existenei unui Registru (automatizat sau manual) al operatorilor i a dispoziiilor de mai sus, Centrul acioneaz mai degrab ca un mediator i nu un intervenient sancionator, chiar atunci cnd este cazul. Competena de a aciona n justiie. Centrul are posibilitatea conform legii s iniieze o cerere n justiie pentru aprarea drepturilor subiecilor datelor cu caracter personal i s reprezinte interesele acestora n instana de judecat.14 Cu toate acestea, pn n momentul actual, Centrul nu a uzitat de aceasta facilitate, avnd n vedere numrul redus al personalului, dar i al plngerilor. Atribuii de consultare n procesul legislativ. Cu toate c nu exist o dispoziie expres n acest sens n legea-cadru, Centrul a fost consultat15 cu privire la o serie de acte normative cu efecte n
9 10
11
12 13 14 15
Citat mai sus, vezi fn 22 pag 19-49 Pentru a se vedea o interpretare detaliat a acestui context facem referire la decizia Curii Europene de Justiie n cauza C517/07 Comisia European vs Germania disponibil la http://eur-lex.europa.eu/LexUriServ/ LexUriServ.do?uri=CELEX:62007J0518: RO:HTML Aceast independen exclude nu numai orice inuen exercitat de organismele supravegheate, ci i orice ingerin i orice alt inuen exterioar, indiferent dac aceasta este direct sau indirect, care ar putea s pun n discuie ndeplinirea de ctre autoritile menionate a sarcinii acestora care const n stabilirea unui echilibru just ntre protecia dreptului la via privat i libera circulaie a datelor cu caracter personal. vezi fn 117 Pentru detalii vezi raportul Centrului pe anul 2010 pag 51-53 De ex. vezi raportul Centrului pe anul 2010 pag 16 Art. 11 Para (5) pct i) Legea 17/2007 Vezi raport Centru 2010 cap 2.6 Avizarea proiectelor de acte normative cu referin la compartimentul ce vizeaz domeniul proteciei datelor cu caracter personal
36
domeniul prelucrrii datelor cu caracter personal. Cum aceste opinii nu sunt publice, este neclar n ce msur opinia Centrului a fost i luat n considerare n variantele nale ale actelor normative. O ntrire a rolului Consiliului Consultativ prin deschiderea sa n mod public ctre sectorul privat i implicarea mai activ a sectorului non-guvernamental ar n msur s creeze un cadru instituional i mai ecace pentru o implementare corect a regulilor din domeniul proteciei datelor personale.
5.3 Asimetrii la nivelul implementrii

Implementarea legislaiei n domeniul proteciei datelor cu caracter personal nu ndeplinete criteriile minimale, n ciuda eforturilor Centrului i a CpDOM, care ar trebui urmate de un interes real i vizibil n special din partea altor instituii ale statului care proceseaz date cu caracter personal. n ceea ce privete implementarea legislaiei datelor cu caracter personal, este dicil a stabili un set extrem de clar de criterii minime, avnd n vedere caracterul subiectiv i specic la nivel naional al acestei activiti. n acelai timp, situaia specic din RM nu poate prea optimist, atta vreme ct lipsesc cu desvrire aspecte cheie ale punerii n practic, cum ar Registrul operatorilor de date cu caracter personal sau sanciunile pentru nclcarea legii. Acest lucru este dublat de cazurile agrante prezentate sau citate pe parcursul acestui raport, care reliefeaz o problem sistemic de colectare excesiv a datelor cu caracter personal, fr o minim analiz a necesitii lor reale sau a duratei de stocare. Pentru a ne referi doar la un exemplu extrem de vizibil n societatea moldovean, vom lua n discuie cazul ntreprinderii de Stat Registru (.S. Registru) care este o instituie ce administreaz/stocheaz un numr impresionant de date cu caracter personal,16 inclusiv date cu caracter special. Cu toate c acestea sunt de multe ori reglementate prin acte normative, iar .S. Registru a depus eforturi vizibile de asigurare a securitii colectrii, procesrii sau stocrii acestora, este evident lipsa oricrei analize profunde a aplicrii principiilor datelor cu caracter personal legate de necesitatea n sine a colectrii sau de caracterul adecvat, pertinent i neexcesiv n raport cu scopul datelor colectate. Dei se poate argumenta c .S. Registru ndeplinete doar o funcie tehnic, aceasta nu ar nsemna ctui de puin a nu lua n calcul protecia datelor cu caracter personal i dincolo de a asigura securitatea prelucrrii. Absena pe site-ul Registrului17 a vreunei meniuni minimale de informare a subiecilor datelor cu caracter personal cu privire la datele colectate, stocate sau procesate de ctre Registru, pentru a nu mai discuta de informarea cu privire la drepturile acestora, este elocvent pentru a sublinia ideile de mai sus. De altfel, situaia prelucrrii datelor personale pare a extrem de complex n cazul datelor prelucrate de .S. Registru i ne-am ateptat ca o prealabil analiz e intern, e a Centrului, s analizeze aceste chestiuni n detaliu. Doar la o privire supercial asupra activitii acestora, apar mai multe poteniale subiecte de mare interes care trebuie s e privite mai n profunzime:
16 17
Vezi http://www.registru.md/rsp/ http://www.registru.md
37
Problema agregrii datelor n diverse aplicaii informatice, care permit unor utilizatori ai aplicaiei s obin acces practic la toate datele cu caracter personal despre un anumit individ, stocate de ctre .S. Registru. Dei datele n sine nu sunt stocate ntr-o baz de date comun (ceea ce este un aspect pozitiv), faptul c ele pot accesate la nivel logic de ctre o persoan cu credenialele adecvate ridic semne de ntrebare. n opinia noastr, folosind o exprimare mai prozaic, nici mcar Preedintele RM nu ar trebui s aib acces la toate datele colectate de ctre .S. Registru cu privire la o anumit persoan. Acestea ar trebui s poat accesate doar pe buci, n funcie de drepturile de acces acordate (cum parial i nu total se i ntmpl astzi). Aceasta este o problem care teoretic se poate respecta prin aplicarea principiului privacy by design18 n realizarea bazelor de date, al interconectrii acestora i al drepturilor de acces. O alt problem care ar putea s apar n acelai context ar aspectele de data mining.19 n contextul subiectelor mai sus menionate i al emiterii doar a paapoartelor biometrice de ctre RM din ianuarie 201120, cu stocarea amprentelor digitale ntr-o baz de date centralizat21 se deschide posibilitatea, cel puin teoretic, de a crea o baz de date cu date biometrice pentru aproape ntreaga populaiei a RM. Acest aspect trebuie s e tratat extrem de serios din punct de vedere al vieii private, n special n ceea ce privete scopul, funcionarea i accesul la aceste date. Chestiunea accesului abuziv la datele personale stocate de ctre .S. Registru n special n Registru de Stat al Populaiei de ctre diverse persoane (de ex. Personalul din subordinea Ministerului Afacerilor Interne, conform Raportului Centrului pe anul 201022) a fost ridicat de mai multe persoane intervievate de ctre noi, n special cele din sectorul non-guvernamental. Impresia creat de acetia a fost cea a existenei unei baze de date cu foarte multe date cu caracter personal, abuzat n mod frecvent de diverse persoane care au dreptul de a le accesa. Cu toate c .S. Registru ncearc o abordare a problemei din punct de vedere contractual cu terii care au acces la aceste date, practica o dovedete a insucient pentru o protecie real a datelor personale. Astfel, avnd n vedere rolul i locul .S. Registru n colectarea datelor cu caracter personal i accesul dat altor autoriti considerm c un model de bun practic ar stabilirea unei persoane responsabile de protecia datelor cu caracter personal la nivelul .S. Registrului sau a ecrui Registru n parte, administrat de acesta, i publicarea unui raport anual de respectare a legislaiei privind pstrarea datelor cu caracter personal, inclusiv a msurilor de securitate luate i a nclcrilor acestora.
18
19
20 21
22
Pentru mai multe detalii vezi un document al autoritii din Marea Britanie http://www.ico.gov.uk/upload/ documents/ pdb_report_html/index.html Care ns considerm c ar dincolo de subiectul acestui raport. Pentru mai multe detalii vezi de ex. Data Mining and Privacy; Fulda, Joseph S ,11 Alb. L.J. Sci. & Tech. 105 (2000-2001) Informaii la http://www.registru.md/pa/ Excepie fac doar paapoartele cerute la consulatele RM. Recunoatem, acesta este un subiect extrem de sensibil la nivelul tuturor statele membre ale UE in implementarea Regulamentului Consiliului No 2252/2004 din13 Decembrie 2004. Totui unele state din UE au preferat stocarea amprentelor digital doar pe cip-ul paaportului pentru a minimiza riscul de nclcare a vieii private (ex. Austria, Germania, Portugalia, Romnia). Mai multe detalii in raportul Privacy International European Privacy and Human Rights 2011 - https://www.privacyinternational.org/article/ephr-research-and-analysis Conform raport Centru 2010 pag 32-33. Raportul noteaz: De exemplu, conform datelor prezentate de Comisariatul de politie al sectorului Buiucani, n perioada 01.01.2010 - 01.09.2010, reprezentanii acestei subdiviziuni au efectuat 734 de accesri a informaiilor stocate n Registrul de stat al populaiei. Totodat, reieind din informaia prezentat de S CRIS REGISTRU, utilizatorii Comisariatului de politie al sectorului Buiucani au efectuat, n perioada de referin 7686 de accesri. n astfel de mprejurri, planeaz unele suspiciuni c celelalte 6952 de accesri (7686 -734 = 6952) nu au suport legal, ind fcute abuziv cu utilizarea situaiei de serviciu.
38
Mai mult, promovarea conceptelor de date cu caracter personal sau via privat par a cantonate ntr-un con de umbr, aa cum corect concluzioneaz rapoartele pe 2010 ale Centrului i CpDOM:
(...) o problem important care s-a reliefat pe parcursul anului 2010, const n absena unor rezultate palpabile la capitolul promovrii conceptului de date cu caracter personal i via privat; la capitolul cointeresrii societii dar i a mass-mediei n reectarea subiectului de protecie a datelor cu caracter personal (...)23 RM se a, deocamdat, la etapa de promovare a semnicaiei dreptului de via privat. Acest drept nu este perceput nc n sucient msur ca un drept inerent inei umane, care solicit statului nu numai datoria de ne-imixtiune, dar i obligaiuni pozitive care cer n mod concret de la autoriti s ntreprind msuri rezonabile i adecvate pentru a proteja drepturile individului.24
Una din posibilele soluii n degrevarea Centrului cu privire la numrul mare de probleme pe care o implementare incipient le aduce ar putea-o reprezenta valoricarea conceptului de persoan responsabil de protecia datelor cu caracter personal (Data protection ocer sau privacy ocer). Acest concept deja prezent n experiena european n domeniu, ar putea extins prin revizuirea Directivei cadru. Astfel, actuala directiv prevede n articolul 18 alin. (2) c statele membre pot decide s primeasc o noticare simplicat sau chiar o derogare de la noticare:
atunci cnd operatorul, n conformitate cu dreptul intern cruia i se supune, numete un funcionar pentru protecia datelor cu caracter personal, responsabil n special: de asigurarea n mod independent a aplicrii interne a dispoziiilor de drept intern adoptate n temeiul prezentei directive; de pstrarea registrului cu prelucrrile efectuate de operator, coninnd informaiile prevzute n articolul 21 alineatul (2), i garantnd astfel ca prelucrrile nu pot s aduc atingere drepturilor i libertilor persoanelor vizate.
Acest articol a fost implementat diferit n statele membre ale UE25 i cu mult dincolo de obligaia legat de noticare, de la o obligaie inclus n lege de a avea desemnat o astfel de persoan n instituiile publice n Germania pn la un regim pur voluntar n Suedia. Cu toate c n contextul procesului de adoptare a noii legi-cadru este puin probabil ca n acest moment s se poat introduce o asemenea obligaie detaliat, exist posibilitatea conturrii unei excepii adugate la noul articol 23 alin (6)26 sau chiar al unui act normativ secundar emis de Centru n temeiul acestui articol. Introducerea acestei persoane responsabile, chiar i n regim voluntar, ar putea uura implementarea legislaiei n domeniul proteciei datelor cu caracter personal, ndeosebi n cazul instituiilor publice sau a marilor rme din domeniu i ar putea duce la o cretere a contientizrii domeniului prin aceti posibili ageni ai schimbrii. La nivelul instituiilor publice se poate lua n considerare i apelarea la acei coordonatorii pe e-Transformare, deja creai n cadrul programului Centrul de Guvernare Electronic,27 e n mod direct, e prin desemnarea unor persoane n subordinea lor.
23 24 25
26
27
Raport Centrul 2010 pag 57 Raport CpDOM 2010 pag 25 Pentru detalii vezi Raportul Grupului de Lucru Articolul 29 WP106/2005, in special paginile 15-20 http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2005/wp106_en.pdf (6) Centrul poate stabili i alte situaii n care noticarea nu este necesar sau situaii n care noticarea se poate efectua ntr-o form simplicat, atunci cnd: Aceste persoane au un rol de Chief Information Ocer. Vezi i Prima edin de lucru cu coordonatorii pe e-Transformare http://egov.md/?l=ro&a=10&i=58
39
Sectorul privat n contextul proteciei datelor cu caracter personal

Implementarea n mare msur voluntar a dispoziiilor din domeniul proteciei datelor cu caracter personal, precum i lipsa Registrului operatorilor a avut un impact limitat asupra sectorului privat. Astfel, n contextul unor cunotine limitate legate de problema datelor cu caracter personal, cei mai muli operatori nu au ntreprins nicio msur specic n acest sens, uneori aceste reguli ind vzute doar ca o serie de cheltuieli suplimentare din punct de vedere al unei afaceri i fr a aduce un avantaj direct sau indirect pe termen scurt sau mediu. Excepie fac probabil rmele, sucursale ale unor ntreprinderi multinaionale sau cu acionariat din strintate, care au deja nite reguli corporatiste mai stricte sau au adoptat coduri de conduit interne sau internaionale. Aceste pot conine, n funcie i de domeniul de activitate al rmelor, i dispoziii practice referitor la protecia datelor cu caracter personal. Din punct de vedere al investiiilor strine din statele membre ale UE care includ i transferul transfrontalier a datelor personale, un interes deosebit ar putea dat de obinerea de ctre RM a unui nivel de protecie adecvat a datelor cu caracter personal, n conformitate cu normele europene. Un asemenea statut ar nsemna schimbul liber de date cu caracter personal ntre rme din interiorul UE cu cele din RM sau chiar activiti colaterale, cum ar stocarea ori prelucrarea datelor n centre din RM. Avnd n vedere tipul de probleme ridicate ctre Centru n 20101 n legtur cu utilizarea datelor de ctre sectorul privat, o parte se refereau la cele privind transferul transfrontalier al datelor (de ex. Datele referitoare la starea de sntate a subiecilor sau datele angajailor companiilor private) sau publicarea prin metoda difuzrii de ctre diferite entiti private pe site-uri, n regim de acces nerestricionat, a formatului electronic al listelor negre ale debitorilor, etc. Un interes deosebit n viitorul apropiat trebuie acordat i modului n care sunt prelucrate datele personale i mai ales respectate drepturilor utilizatorilor de ctre site-urile de reele sociale tot mai populare pe Internet. n contextul creterii numrului de utilizatori europeni ai acestor reele sociale, dar i al siturii acestora dincolo de graniele europene, aceasta este deja o problem major la nivelul UE . Informaiile empirice arat c,2 n contextul unui acces la Internet nc redus n RM, exist deja aproximativ 600 000 conturi unice ale cetenilor moldoveni pe odnoklassniki.ru, i 200 000 de utilizatori moldoveni pe facebook.com.
6.
1 2
Vezi raport Centru 2010 pagina 36 i pagina 44 Informaii obinute de la Regia de publicitate Clickits http://www.clickits.md/studii-de-caz/campania-diva-pe-re%C5%A3elesociale/
40
Impactul negocierilor cu UE asupra domeniului

Este evident faptul c demararea procesului de negocieri cu UE are un impact major asupra dezvoltrii proteciei datelor cu caracter personal. n fond, normele UE reprezint probabil cel mai nalt standard din lume cu privire la protecia datelor personale, ca urmare a unui proces ndelungat nceput n unele state membre acum aproape 40 de ani. Ca atare, n contextul declarat al RM de aderare la UE, preluarea acquis-ului comunitar este unul din obiectivele de ndeplinit. Cum acest acquis conine mai multe acte normative ce privesc i protecia datelor personale (menionate n capitolul 3.3.), eventualul proces al aderrii va duce inevitabil la implementarea acestora. n acest cadru, considerm c pot identicate, din punct de vedere teoretic, trei etape de ndeplinit pe parcursul urmtorilor ani n domeniul proteciei datelor cu caracter personal: A) ndeplinirea standardelor minimale de protecie a datelor personale ca parte a procesului de liberalizare a vizelor; B) Atingerea nivelului de protecie adecvat de protecie a datelor cu caracter personal, recunoscut de ctre instituiile competente din UE; C) Implementarea ntregului acquis comunitar cu privire la acest domeniu. Dei putem distinge aceti pai din punct de vedere strict tehnic, este important ca ei s e identicai doar n spectrul relaiei cu UE i nu neaprat ca etape pe care RM i le propune pentru a-i crea un cadru coerent de protecie a vieii private. Dup cum se poate sesiza, RM se a abia la nceputul acestui proces, ind adoptat Planul de Aciuni RM UE n domeniul liberalizrii regimului de vize1 care conine la punctul 2.3.4. Protecia datelor:
7.
Faza 1 (cadrul legislativ i de politici):

Consolidarea cadrului legal pentru protecia datelor cu caracter personal, inclusiv aderarea la Protocolul adiional 2001 al Conveniei Consiliului Europei pentru Protecia Persoanelor cu privire la Prelucrarea Automat a Datelor cu Caracter Personal, n ceea ce privete autoritile de supraveghere i uxurile transfrontaliere de date.
Text disponibil la http://www.novisa.md/uploads/2011/02/PA_liberalizare_vize.pdf
41
Faza 2 (criterii de referin pentru implementarea ecient):

Implementarea legislaiei privind protecia datelor cu caracter personal i asigurarea funcionrii eciente a autoritii independente de supraveghere a proteciei datelor de asemenea prin alocarea de resurse nanciare i umane necesare. Acesta a fost ulterior detaliat n cadrul unui Program naional de implementare adoptat prin Hotrre a Guvernului.2
PROTECIA DATELOR CU CARACTER PERSONAL Consolidarea cadrului legal privind protecia datelor cu caracter personal, inclusiv aderarea la Protocolul adiional din 2001 al Conveniei Consiliului Europei pentru protecia persoanelor referitor la prelucrarea automatizat a datelor cu caracter personal, cu privire la autoritile de supraveghere i uxul transfrontalier al datelor cu caracter personal Adoptarea Legii cu privire la protecia datelor cu Ministerul Justiiei, Trimestrul I 39. Racordarea precaracter personal (n redacie nou) Cancelaria de Stat, 2011 vederilor din leCentrul Naional gislaia naional pentru Protecia la standardele n Datelor cu Caracter materia proteciei Personal datelor cu caracter personal stabilite Prezentarea spre examinare Guvernului a proiec- Ministerul Justiiei Trimestrul II n instrumentele 2011 tului hotrrii de Guvern pentru aprobarea prointernaionale i iectului de lege cu privire la modicarea i comeuropene pletarea unor acte normative: Legea nr.982-XIV din 11 mai 2000 privind accesul la informaie, Legea taxei de stat nr.1216-XII din 3 decembrie 1992 Adoptarea Legii cu privire la modicarea i com- Ministerul Justiiei, pletarea unor acte legislative: Legea nr.982-XIV Cancelaria de Stat, Semestrul II din 11 mai 2000 privind accesul la informaie, Centrul Naional 2011 Legea taxei de stat nr.1216-XII din 3 decembrie pentru Protecia 1992 Datelor cu Caracter Personal 40. Raticarea de ctre Adoptarea Legii cu privire la raticarea Protoco- Ministerul Afacerilor Trimestrul I RM a Protocolului lului adiional la Convenia pentru protecia per- Externe i Integrrii 2011 soanelor referitor la prelucrarea automatizat a Europene, adiional la Convenia pentru pro- datelor cu caracter personal, cu privire la auto- Centrul Naional tecia persoanelor ritile de supraveghere i uxul transfrontalier pentru Protecia referitor la prelu- al datelor, adoptat la Strasbourg la 8 noiembrie Datelor cu Caracter Personal crarea automati2001 i semnat de RM la 29 aprilie 2010 zat a datelor cu caracter personal, cu privire la autoritile de supraveghere i uxul transfrontalier al datelor cu caracter personal, adoptat la Strasbourg la 8 noiembrie 2001
Hotrre Nr. 122 din 04.03.2011cu privire la aprobarea Programului naional de implementare a Planului de Aciuni RM UE n domeniul liberalizrii regimului de vize Publicat:11.03.2011 n Monitorul Ocial Nr. 37-38 art Nr : 152 disponibil la http:// lex.justice.md/index.php?action= view&view=doc&lang=1&id=337757
42
PROTECIA DATELOR CU CARACTER PERSONAL 41. Elaborarea i apro- Aprobarea prin hotrre de Guvern a RegulaCentrul Naional Trimestrul I barea cadrului mentului Registrului manual al deintorilor de pentru Protecia 2011 normativ secundar date cu caracter personal Datelor cu Caracter care s asigure Personal, implementarea Cancelaria de Stat procesului de nre- Implementarea Sistemului informaional autoCentrul Naional 2011 - 2012 gistrare a deinmatizat Registrul deintorilor de date cu carac- pentru Protecia torilor de date per- ter personal Datelor cu Caracter sonale n registrul Personal, public Cancelaria de Stat Implementarea legislaiei cu privire la protecia datelor cu caracter personal i asigurarea funcionrii eciente a autoritii autonome de control pentru protecia datelor prin alocarea resurselor umane i nanciare necesare 42. Modicarea i Prezentarea spre examinare Guvernului a proiec- Ministerul Justiiei, Trimestrul II 2011 completarea cadru- tului hotrrii de Guvern privind aprobarea pro- Centrul Naional lui normativ nai- iectului legii pentru modicarea i completarea: pentru Protecia onal cu prevederi Codului contravenional, Legii cu privire la apro- Datelor cu Caracter barea Regulamentului Centrului Naional pentru Personal privind datele cu caracter personal Protecia Datelor cu Caracter Personal, structurii, personalului-limit i a modului de nanare a Centrului Naional pentru Protecia Datelor cu Caracter Personal; Legii cu privire la sistemul de salarizare n sectorul bugetar Adoptarea Legii cu privire la modicarea i Ministerul Justiiei, Semestrul II completarea: Codului contravenional, Legii cu Cancelaria de Stat, 2011 privire la aprobarea Regulamentului Centrului Centrul Naional pentru Protecia Naional pentru Protecia Datelor cu Caracter Personal, structurii, personalului-limit i a mo- Datelor cu Caracter Personal dului de nanare a Centrului Naional pentru Protecia Datelor cu Caracter Personal; Legii cu privire la sistemul de salarizare n sectorul bugetar
Programul pare a , la data redactrii raportului, destul de optimist i cuprinde, surprinztor poate pentru acest capitol, doar aciuni ce se refer la modicarea unor acte normative. Dei, aa cum am prezentat i mai sus, o serie de recticri legislative sunt absolut necesare, focalizarea doar pe acest subiect poate reprezenta o minimalizare a domeniului proteciei datelor personale. n acelai timp, o serie de termene de realizare din raport sunt deja depite, iar n contextul n care rapoartele lunare ale autoritilor responsabile, care sunt trimise ctre Ministerul Afacerilor Externe, nu sunt publice, este greu de identicat unde se ntmpin diculti (de ex. noul proiect de lege cu privire la protecia datelor cu caracter personal a fost trimis Guvernului n Februarie 2011, conform site-ului Ministerului Justiiei i, totui, nu este nc adoptat). Faza a II-a se refer att la implementarea legislaiei, ct i la asigurarea funcionrii eciente a Centrului. n ceea ce privete al doilea punct, este neclar modalitatea exact n care va implementat i ne exprimm reticena c obiectivul poate ndeplinit pn la nalul anului 2011. Cum deja am explicat n special n capitolele 4.5. i 5.2. cu exemple i sugestii concrete, mai sunt pai importani de fcut i dincolo de modicrile legislative pentru a avea drept rezultat un Centru ecient. Nu este clar n ce msur bugetul Centrului poate revizuit nc din acest an pentru a-i putea ndeplini funciile n mod adecvat, n special cele de contientizare, promovare a drepturilor subiecilor datelor, dar i de
43
investigare ecient; sau n ce msur acoper implementarea ecient a legii n ntreaga Republic Moldova; ori problemele legate de cooperarea internaional. Un alt punct critic este alocarea de resurse umane eciente. Aceasta nseamn nu doar creterea salariilor pentru atragerea candidailor (deocamdat este prevzut doar modicarea Legii cu privire la sistemul de salarizare n sectorul bugetar, ns exist doar propunerea Centrului n acest sens), dar i formarea celor angajai pentru c rolul Autoritii nu este doar crearea unui nou registru, ci nelegerea i promovarea problematicilor legate de datele personale, inclusiv prin aplicarea legii. n contextul unei expertize reduse la nivelul Moldovei i a lipsei resurselor necesare pentru instruirea adecvat, suntem extrem de circumspeci cu privire la acest subiect pe termen scurt. Referitor la implementarea legislaiei, nivelul extrem de sczut de contientizare a problemelor, deja precizat, nu are cum s dispar att de uor, chiar i n condiiile unui cadru normativ perfect. De altfel, prezentul program pare a se concentra asupra Centrului ca singur instituie ce trebuie s se ocupe de aplicarea legii, cnd o abordare mult mai ecient ar implicarea activ a tuturor instituiilor publice care prelucreaz datele personale prin adoptarea unor planuri interne coordonate de Centru, legate de implementarea legislaiei. Dei contextul specic al Programului de implementare este legat de accesul la EUROJUST i EUROPOL, problematica nu trebuie redus doar la acest aspecte i doar la Centru, ca autoritate prevzut de legea cu privire la datele cu caracter personal. Dei Centrul poate coordona, oferi expertiz, evalua sau instrui instituiile interesate, este rolul acestora din urm s fac evaluarea iniial a situaiei i implementarea msurilor adecvate pentru protecia datelor. n acest context considerm c problematica implementrii legislaiei ar putea mult mai ecient prin: desemnarea, n mod voluntar, a unei persoane responsabile de protecia datelor, cu titlu permanent, n ecare din instituiile cheie (Ministerul Justiiei, Procuratura General, Ministerul Afacerilor Interne, Serviciul de Grniceri, Serviciul Vamal, Serviciul de Informaii i Securitate etc.). Vezi n acest sens i referirile din Capitolul 5.3 la cadrul normativ european n domeniu;3 instruirea persoanelor responsabile de ctre Centru, poate ca parte a proceselor de instruire deja identicate n Programul pentru implementarea planul de aciuni; coordonarea lor de ctre Centru i stabilirea de ntlniri operative de discutare a problemelor identicate i posibilele soluii. Dei nelegem interesul deosebit al RM pentru ndeplinirea elementelor din planul de aciuni (deja remarcat la alte state care au trecut prin acest proces), am dori s subliniem n mod deosebit c exist riscul ca ndeplinirea acestor criterii s depeasc interesul logic i natural de a avea o protecie ecient pe termen mediu i lung a datelor cu caracter personal. n acest context, dorim s reamintim c: ndeplinirea standardelor cerute de UE poate s reprezinte un barem cteodat subiectiv i nicidecum rezolvarea problemelor n acest domeniu; analizele de evaluare fcute de experii europeni se bazeaz uneori doar pe chestiuni formale i pe ndeplinirea unor criterii minimale i mai rar pe o implementare ecient innd cont i de specicul naional al RM. De asemenea, nimic nu mpiedic RM s implementeze multe din
Vezi fn 175-176
44
bunele practici ce reies din implementarea directivelor n diverse state membre i care merg dincolo de criteriile europene agreate de comun acord; standardele UE vin dup o experien de cel puin civa ani buni de implementare a domeniul proteciei datelor cu caracter personal i pe fondul unui context economic evident diferit. n acest sens este important n orice proces de negociere sau discuie cu experi din UE s se in cont de situaia practic din RM de astzi. Un exemplu practic n acest sens din domeniul proteciei datelor personale este cel al condiiilor minime de securitate pentru prelucrarea datelor,4 unde obligaii la un nivel prea ridicat fa de condiiile actuale din RM pot imposibil de implementat din punct de vedere practic de toi operatorii din cauza costului mult prea ridicat. UE gzduiete discuii amnunite cu opinii diametral opuse referitor la multe dintre subiectele care sunt prezentate ca certitudini n relaiile directe cu statele ne-membre. n special, domeniul proteciei datelor intr deseori n conict cu domeniul justiiei, al securitii sau al poliiei i procuraturii sau pe subiecte legate de vize i imigrri.5 Dac ar s privim doar Directiva privind pstrarea datelor de trac sau Propunerea UE pentru un sistem european de pstrare a datelor pasagerilor (EU PNR), ar sucient pentru a atinge doua subiecte extrem de dezbtute la nivelul Uniunii n 2011, n special n ceea ce privete balana dintre securitate i via privat.
4 5
Vezi pentru detalii pag 24-25 Vezi diversele opinii ale EDPS pe teme distincte http://www.edps.europa.eu/EDPSWEB/edps/ site/mySite/OpinionsC
45
8.
Concluzii
O privire de ansamblu a modului de protecie a vieii private ne arat c RM se confrunt cu probleme sistemice majore n a asigura acest drept al omului. Considerm c ne ngduie s armm acest lucru: situaiile agrante deja raportate de diverse instituii sau organizaii non-guvernamentale cu privire la interceptrile convorbirilor telefonice1 (unde Moldova a fost deja condamnat la CEDO n cazul Iordachi2), culminate chiar cu suspendarea serviciilor de telefonie mobil cerut de autoriti publice3, examinarea intim sistematic a persoanelor care viziteaz condamnai n condiiile n care nici mcar nu exist un act normativ n acest sens4, lipsa de interes din partea autoritilor judiciare pentru acest drept al omului reectate att n publicarea integral a datelor personale din hotrri judectoreti (inclusiv din edinele nepublice!)5, ct i n hotrri judectoreti de neneles pe acest domeniu.6 Att motenirea existent, ct i lipsa unui mecanism ecient de protecie a acestui drept vreme de muli ani au dus nu doar la cazuri concrete extreme de nclcare a dreptului la via privat, ci i la sisteme de colectare excesiv, iar uneori chiar i abuziv, a tuturor categoriilor de date cu caracter personal, inclusiv cele cu caracter special. Instituiile statului, ndeosebi, par a nu-i pune problema principiilor colectrii la nivelul incipient al dezvoltrii sau implementrii oricrei activiti cu efect asupra datelor personale ale cetenilor. Astfel, activitile ntreprinse n mare parte n ultimii doi ani pentru protecia vieii private, n ciuda eforturilor depuse de Centru i CpDOM n special, precum i de sectorul non-guvernamentale pe problemele sectoriale specice, nu pot dect s ne indice faptul c ne am doar la nceputul unui lung proces, pe care RM l ntreprinde n realizarea unui stat democratic n care drepturile omului nu au doar o consacrare constituional, ci i una care se regsete n viaa de zi cu zi. Dialogul privind liberalizarea regimului de vize i viitorul Acord de Asociere ntre RM i UE pun problema proteciei datelor cu caracter personal mai pregnant. Aceast oportunitate d ocazia RM s i armonizeze cadrul normativ la cel mai nalte standarde existente n lume. Dar chiar dac acest impuls poate extrem de folositor n a avea susinerea politic necesar unui astfel de proces, este important a nu se pierde din vedere scopul nal: cel al unui cadru legislativ, instituional i practic de protecie
1 2 3
4 5 6
Raport CpDOM pag 25-29, Raport Centru pag 14-20 Vezi fn 8 Vezi Raportul Nagacevski Raportul Comisiei de Anchet pentru elucidarea cauzelor i consecinele evenimentelor de dup 5 Aprilie 2009, pag 54 disponibil la http://video.jurnal.md/raport.pdf Vezi fn 151 Raport CpDOM pag 31-34, Raport Centru pag 11-14 Vezi cazul decis de Curii Supreme de Justiie cu privire la expertiza medico-militar n Forele Armate ale RM, aprobat prin Hotrrea Guvernului nr. 897 din 23 iulie 2003, care nu asigur condenialitatea diagnosticului prezentat de IDOM n Raportul de Aprarea persoanelor HIV/SIDA n RM www.idom.md i n Raportul CpDOM pag 39-40
46
a vieii private n RM. Stabilirea extrem de clar a acestui scop permite abordarea i ncercarea rezolvrii problemelor de fond i poate nu pentru ndeplinirea unor criterii pentru obiective geopolitice actuale, doar pentru un termen scurt. Cadrul actual al domeniul proteciei datelor cu caracter personal este nc nesatisfctor,7 n ansamblu, dar are anse de a crete n mod semnicativ n condiiile n care msurile propuse n Programul de implementare al Planului de Aciuni sunt respectate ndeaproape. Chiar i n aceste condiii, pentru atingerea unui nivel adecvat de protecie conform normele europene, mai sunt multe chestiuni de rezolvat ndeosebi pentru implementarea legii, care deocamdat este abia la linia de start, dar i pentru ridicarea nivelului de contientizare att a operatorilor de date cu privire la obligaii, ct i a persoanelor zice cu privire la drepturile lor. n ceea ce privete procesul de liberalizare a vizelor n sine, dei pare la prima vedere simplu n a lsa pe mna Centrului ntreaga activitate de implementare, de fapt, este extrem de important conlucrarea activ a tuturor actorilor instituionali implicai n acest proces, inclusiv pentru ndeplinirea criteriilor din domeniul proteciei datelor personale. Referitor la protecia datelor cu caracter personal pe termen mediu i lung, avnd n vedere multiplele cazuri de colectare excesiv, considerm necesar o re-evaluare exhaustiv din perspectiva necesitii colectrii datelor personale, a ndeplinirii principiilor prelucrrii i a duratei de pstrare a datelor. Acestea ar trebui s priveasc n special actele normative cu privire la documentele cerute prin Registre, ct i alte cazuri similare.
O analiza mai detaliat pe seciunile legislativ, cadrul instituional i implementare poate gsit n capitolele 5.1-5.3.
47
9.
Recomandri
Prezentele recomandri sunt rezultatul al studiului Protecia datelor cu caracter personal n contextul Dialogului privind liberalizarea regimului de vize i negocierii viitorului Acord de Asociere i Liber Schimb ntre Republica Moldova i Uniunea European i recomandm a citite n acest context. Astfel, pentru o detaliere a motivaiilor acestora se recomand citirea studiului. Aceste recomandri nu includ aciunile n legtur cu protecia datelor cu caracter personal deja introduse n Programul Naional de implementare a Planului de Aciuni Republica Moldova UE n domeniul liberalizrii regimului de vize. n schimb, subliniem necesitatea adoptrii acestora ct mai curnd posibil, n special prin actualizarea legii-cadru privind protecia datelor, asigurarea msurilor de sancionare adecvate pentru nclcarea acesteia i realizarea Registrului Operatorilor
9.1. Recomandri de ansamblu pentru domeniul vieii private i a datelor personale

9.1.1. Recomandri legislative i instituionale
a) Actualizarea legii-cadru de protecie a datelor cu caracter personal prin adoptarea propunerilor explicitate n raport la punctul 5.1; b) Valoricarea conceptului de persoan responsabil de protecia datelor cu caracter personal att n legislaia primar, ct i secundar; c) Introducerea obligaiei de a consulta Centrul pentru proiectele de acte normative ce afecteaz dreptul la via privat i datele cu caracter personal i de publicare a Avizului n Monitorul Ocial al Republicii Moldova; d) Modicarea Legii Registrelor prin includerea unui audit al ndeplinirii principiilor prelucrrii datelor cu caracter personal ca o etap obligatorie prealabil realizrii oricrui registru ce include colectarea sau stocare unor astfel de date. Analiza ar trebui s e fcut de ctre Centru sau un auditor extern i s e publicat odat cu Hotrrea de Guvern care aprob Regulamentul Centrului. Pentru registrele existente, acest audit ar trebui fcut n cel mai scurt timp posibil; e) Modicarea Legii Registrelor pentru inserarea unor elemente de protecie concret a datelor cu caracter personal; f) Colectarea unui numr minimal de date pentru nregistrarea n Registrul Operatorilor de date cu caracter personal;
48
g) Deschiderea Consiliului Consultativ pentru orice persoan interesat, n special asociaiile obteti i sectorul privat. Anularea aprobrii componenei nominale a Consiliului de ctre Directorul Centrului; h) Respectarea cerinei legale de experien profesional de cel puin 5 ani n domeniul aprrii drepturilor i a libertilor omului n alegerea Directorului i a Directorului adjunct. Contientizarea de sectorul non-guvernamental a importanei Centrului pentru protecia vieii private i a conducerii independente a acestuia. i) Evaluarea de ctre Centru i CpDOM a legislaiei cu privire la interceptarea convorbirilor telefonice, ct i a implementrii acesteia, inclusiv in punctul de vedere hotrrilor CtEDO.
9.2 Recomandri n implementare

a) Utilizarea mai bun a expertizei sectorului non-guvernamental n special n anumite sectoare (de ex. interceptri comunicaii, datele personale cu privire la starea de sntate). Participarea la instruirile organizate de ctre acestea, att n calitate de cursani, ct i de instructori, dup caz; b) Participarea la grupurile de lucru care i propun modicarea legislaiei din domeniul medical pentru asigurarea unui grad adecvat de condenialitate a datelor personale; c) Implementarea noului act normativ, n special prin analizarea necesitii colectrii datelor personale cu privire la starea de sntate. Realizarea de informri i norme secundare clare pentru acest domeniu. (d) Analiza Centrului cu privire la modul de colectare, prelucrare i stocare a datelor biometrice de ctre .S. Registru n contextul emiterii paapoartelor biometrice, dar i a drepturilor de acces la aceste date. Publicarea acestei analize att pe site-ul .S. Registrului, ct i al Centrului; (e) Stabilirea unor prioriti anuale pentru Centru pentru analizarea procesrii anumitor tipuri de date cu caracter special; (f) ncercarea de a stabili un parteneriat cu o instituie educaional sau un parteneriat public-privat pentru realizarea unui Registru automatizat al Operatorilor; (g) Realizarea i publicarea unei serii de recomandri legate de serviciile electronice, att cu indicaii pentru operatori, ct i pentru subiecii datelor. Pentru ultima categorie, o informare special trebuie s ating subiectul reelelor sociale; (h) Sensibilizarea reprezentanilor profesiunilor juridice (judectori, procurori, avocai, consilieri juridici etc.) cu privire la protecia datelor cu caracter personal; (i) Realizarea de informri sectoriale pentru operatorii din domeniul privat; (j) Extinderea activitilor de contientizare a drepturilor subiecilor datelor n afara Chiinului; (k) Analiza impactului activitilor de contientizare i menionarea acesteia n Raportul Anual; (l) Promovarea de ctre Centru a cel puin dou aciuni n justiie/an pentru aprarea drepturilor subiecilor datelor cu caracter personal;
49
(m) Stabilirea unei persoane responsabile de protecia datelor cu caracter personal la nivelul .S. Registrului sau a ecrui Registru n parte i publicarea unui raport anual de respectare a legislaiei privind pstrarea datelor cu caracter personal, inclusiv a msurilor de securitate luate i a nclcrilor acestora; (n) Stabilirea unor condiii de securitate pentru prelucrarea datelor cu caracter personal mai laxe, n special pentru sectorul ntreprinderilor mici mijlocii sau a sectorului neguvernamental; (o) Pe termen mediu i lung o reevaluare exhaustiv, n colaborare cu CpDOM, din perspectiva necesitii colectrii datelor personale, a ndeplinirii principiilor prelucrrii i a duratei de pstrare a datelor a actele normative deja existente ce prevd colectarea de date cu caracter personal.
9.3. Recomandri specice Dialogului privind liberalizarea regimului de vize:

Explicitarea mai detaliat a modului de ndeplinire a Fazei a II-a de implementare a legislaiei din Planul de Aciuni; Includerea n Programul de implementare a Planului de Aciuni a urmtoarelor activiti: Elaborarea de ctre Centru a unui plan de instruire pe trei ani a ntregului personal, care s e nanat de ctre Guvern, inclusiv prin accesul a cel puin 2-3 persoane la cursuri de Master specializate (inclusiv) pe domeniul proteciei datelor1; Elaborarea de ctre Centru a bugetului pe trei ani, care s cuprind i necesarul pentru activitile de informare i contientizare necesare a desfurate la nivelul Republicii Moldova i aprobarea lui de ctre Ministerul Finanelor. Desemnarea, n mod voluntar, a unei persoane responsabile de protecia datelor, care s-i exercite activitatea cu titlu permanent, n ecare din instituiile cheie (Ministerul Justiiei, Procuratura General, Ministerul Afacerilor Interne, Serviciul de Grniceri, Serviciul Vamal, Serviciul de Informaii i Securitate, etc.). Stabilirea competenelor lor i realizarea, n termen de trei luni, a unui plan de aciuni pentru implementarea legii privind protecia datelor cu caracter personal n propria instituie. Vezi n acest sens i referirile din Capitolul 5.3 din Raport la cadrul normativ european n domeniu; Instruirea acestor persoane responsabile de protecia datelor de ctre Centru, poate ca parte a proceselor de instruire deja identicate n Programul pentru implementarea planul de aciuni; Coordonarea acestor persoane responsabile de protecia datelor de ctre Centru i stabilirea de ntlniri operative de discutare a problemelor identicate i posibilele soluii; Publicarea planurilor de aciuni dezvoltate i a rapoartelor lunare ale autoritilor responsabile.
Pentru a preveni plecarea persoanelor deja instruite, se poate introduce o obligaie ca acetia s rmn n cadrul instituiilor publice cel puin X ani dup nalizarea instruirii.
50
9.4. Recomandri specice negocierii viitorului Acord de Asociere i crerii Zonei de Liber Schimb Aprofundat i Cuprinztor ntre RM i UE
Implementarea directivei ePrivacy, mpreun cu o analiz extrem de atent n special a noului articol 5 alin 32; Urmrirea activ a dezbaterilor din Uniunea European, n special n ceea ce privete revizuirea Directivei - Cadru i adoptarea noilor modicri; Modicarea articolului 7 lit. f din legea privind prevenirea i combaterea criminalitii informatice nr 20/2009 pentru a se ncadra n limitele Directivei pstrrii datelor de trac informaional. Urmrirea activ a procesului de revizuire a directivei; Stabilirea unui plan de aciuni n vederea ndeplinirii standardelor europene pentru un nivel adecvat de protecie; Negocierea cu Uniunea European a unui plan de aciuni care s in cont de specicul Republicii Moldova, n special n ceea ce privete implementarea msurilor minime de securitate.
n acest sens vezi i Opinia Grupului de Lucru Articolul 29 n Avizul nr. 2/2010 privind publicitatea comportamental online http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_ro.pdf
51
Despre autor:
Bogdan Manolea este expert aliat la Centrul Romn de Politici Europene (CRPE), avnd ca domenii de expertiz dreptul tehnologiei informaiei, libertatea de exprimare i protecia vieii private. Bogdan a absolvit Facultatea de Drept din cadrul Universitii din Craiova n anul 2000. Fondator al site-ului legi-internet.ro, Bogdan colaboreaz n prezent cu Asociaia pentru Tehnologie i Internet - APTI i este editor la EDRI-gram - un newsletter european pe teme de drepturi civile digitale.
Olga Demian este liceniat n drept internaional public, cu un master n Drept European acordat de Queen Mary College, Universitatea din Londra n 2010. n cadrul acestuia, Olga a studiat teme legate de protecia vieii private i a datelor cu caracter personal, pe de o parte, i accesul la informaiile din sectorul public, pe de alt parte. Olga are o experien de peste 10 ani n calitate de consultant juridic n domeniul drepturilor omului att n Republica Moldova ct i peste hotare.

Studiu Protectia Datelor Cu Caracter Personal În Republica Moldova 2011

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Studiu Protectia Datelor Cu Caracter Personal În Republica Moldova 2011

Încărcat de

Drepturi de autor:

Formate disponibile

Autor: Bogdan MANOLEA

Descrierea CIP a Camerei Naionale a Crii 100 ex.

Chiinu, Mai 2011

Constituia RM a fost adoptat pe 29 iulie 1994 i poate citit la http://www.president.md/const.php?lang =rom

Reglementarea proteciei datelor cu caracter personal

3.2 Convenii internaionale privind protecia datelor cu caracter personal

Protec i a datel or cu caracter person al

(a) Convenia 108

(b) Protocolul Adiional la Convenia 108

(c) Recomandri sectoriale adoptate de ctre Comitetul de Minitri

Protec i a datel or cu caracter person al

B. Organizaia pentru Cooperare i Dezvoltare Economic (OECD)

C. Organizaia Naiunilor Unite (ONU)

3.3 Cadrul UE privind protecia datelor cu caracter personal

(3) Respectarea acestor norme se supune controlului unei autoriti independente.

3.3.1 Directiva-cadru privind protecia datelor cu caracter personal

Protec i a datel or cu caracter person al

3.3.3. Alte reglementri ale UE

Protec i a datel or cu caracter person al

3.3.4 Rolul instituiilor europene

Protec i a datel or cu caracter person al

3.4. Alte iniiative la nivel global

Protecia datelor personale n RM

4.1. Dispoziii constituionale

4.2. Tratate internaionale la care RM este parte

Protec i a datel or cu caracter person al

4.3 Legislaia naional primar n domeniul proteciei datelor cu caracter personal

4.4. Legislaia naional secundar n domeniul proteciei datelor cu caracter personal

Protec i a datel or cu caracter person al

Protec i a datel or cu caracter person al

Protec i a datel or cu caracter person al

Protec i a datel or cu caracter person al

4.6. Implementarea legislaiei privind protecia datelor cu caracter personal

Protec i a datel or cu caracter person al

Asimetrii ntre UE i RM n domeniul vieii private

5.1 Asimetrii la nivel legislativ

Protec i a datel or cu caracter person al

5.2. Asimetrii la nivel instituional

Protec i a datel or cu caracter person al

5.3 Asimetrii la nivelul implementrii

Vezi http://www.registru.md/rsp/ http://www.registru.md

Protec i a datel or cu caracter person al

Sectorul privat n contextul proteciei datelor cu caracter personal

Impactul negocierilor cu UE asupra domeniului

Faza 1 (cadrul legislativ i de politici):

Text disponibil la http://www.novisa.md/uploads/2011/02/PA_liberalizare_vize.pdf

Protec i a datel or cu caracter person al

Faza 2 (criterii de referin pentru implementarea ecient):

Protec i a datel or cu caracter person al

9.1. Recomandri de ansamblu pentru domeniul vieii private i a datelor personale

9.2 Recomandri n implementare

Protec i a datel or cu caracter person al

9.3. Recomandri specice Dialogului privind liberalizarea regimului de vize:

S-ar putea să vă placă și