Documente Academic
Documente Profesional
Documente Cultură
Moldova
INTRODUCERE
Prelucrarea datelor cu caracter personal ajută la atingerea obiectivelor fiecărei organizații și este
strâns legată de principalele sale activități. Cu toate acestea, prelucrarea datelor cu caracter
personal este obiectul reglementărilor naționale sau internaționale specifice. Cerințele de
prelucrare a datelor cu caracter personal în Uniunea Europeană (UE) sunt stabilite în prezent
prin Regulamentul general al UE privind protecția datelor (GDPR). GDPR va fi aplicat începând cu
data de 25 mai 2018.
Multe companii din Moldova servesc companiilor din UE oferind astfel bunuri și servicii. De
exemplu, în anul 2017, exportul total al mărfurilor către UE din Moldova a fost de 1596,6
milioane dolari, reprezentând 65,8% din totalul exporturilor de bunuri în anul respectiv. O mare
parte din cetățenii Republicii Moldova au relații de lucru și relații de afaceri cu alte țări ale UE 1.
În afară de aceasta, statul a decis să dezvolte integrarea țării în UE și să pună în aplicare normele
UE în diferite sectoare, inclusiv cel ce ține de protecția datelor. În acest context, vor exista tot
mai multe situații în care companiile din Moldova sunt supuse aplicabilității directe sau
aplicabilității indirecte a GDPR-ului atunci când o companie servește ca persoană împuternicită
de operator a companiei în UE.
Scopul acestui studiu este, în primul rând, creșterea gradului de sensibilizare privind cazurile
de aplicabilitate directă a GDPR-ului pentru companiile din Moldova și oferirea de
recomandări pentru implementarea principiilor GDPR și explicații ale principalelor cerințe
GDPR.
Acest studiu de impact a fost pregătit pentru a lua în considerare rezultatele ședințelor
organizate de Centrul Național pentru Protecția Datelor cu Caracter Personal (Centrul) cu
asociații și companii din sectorul privat cît și revizuirea răspunsurilor lor asupra practicilor
existente de prelucrare a datelor.
Acest document cuprinde trei părți principale: a) explicarea principalelor condiții ale GDPR b)
indicarea tuturor situațiilor tipice în care GDPR se aplică direct și indirect companiei care
1
- http://www.statistica.md/newsview.php?l=ro&id=5908&idc=168
Acest proiect este finanțat de Uniunea Europeană
operează în Moldova cu câteva exemple b) recomandări privind protecția datelor privind
etapele de implementare a GDPR și înțelegerea principală a cerințelor de bază.
1.NOȚIUNI ȘI DEFINIȚII
Acest capitol reflectă numai cele mai importante definiții care sunt incluse în GDPR. Alte noțiuni
importante pot fi regăsite în articolul 4 din GDPR.
Datele cu caracter personal reprezintă orice informație care se referă la o persona fizică vie identificată
sau identificabilă. Diferite informații, care sunt colectate împreună și pot conduce la identificarea unei
anumite persoane, de asemenea constituie date cu caracter personal. De exemplu, datele de identificare
a persoanei legate de orice alte informații sunt date cu caracter personal. Chiar și adresa de protocol
internet (adresa IP) reprezintă date personale în anumite circumstanțe dacă o companie colectează
adrese IP împreună cu alte informații.
Datele personale care au fost dezidentificate, criptate sau pseudonimizate, dar care pot fi utilizate
pentru a re-identifica o persoană rămân date cu caracter personal și intră în domeniul de aplicare al legii.
Datele cu caracter personal care au fost anonimizate în așa fel încât persoana nu este sau nu mai poate fi
identificată nu mai sunt considerate date cu caracter personal. Pentru ca datele să fie cu adevărat
anonimizate, anonimizarea trebuie să fie ireversibilă.
GDPR protejează datele personale indiferent de tehnologia utilizată pentru prelucrarea acestor date -
este neutru din punct de vedere tehnologic și se aplică prelucrării atît automatizate cît și manuale, cu
condiția ca datele să fie organizate în conformitate cu criterii predefinite (de exemplu, în ordine
alfabetică). De asemenea, nu contează cum sunt stocate datele - într-un sistem IT, prin supraveghere
video sau pe hârtie; în toate cazurile, datele cu caracter personal sunt supuse cerințelor de protecție
stabilite în GDPR. De asemenea, locul de stocare a datelor cu caracter personal nu este important dacă
criteriile de aplicabilitate indică faptul că se aplică GDPR.
Prelucrarea acoperă o gamă largă de operațiuni efectuate asupra datelor cu caracter personal, inclusiv
prin mijloace manuale sau automatizate. Aceasta include colectarea, înregistrarea, organizarea,
structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin
transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alăturarea sau combinarea,
restricționarea, ștergerea sau distrugerea datelor cu caracter personal.
GDPR se aplică prelucrării datelor cu caracter personal integral sau parțial prin mijloace automatizate,
precum și prelucrării neautomatizate, dacă face parte dintr-un sistem structurat de evidență a datelor.
1.3. OPERATOR ȘI PERSOANA ÎMPUTERNICITĂ DE OPERATOR
Operator - înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau un alt organism care,
singur sau împreună cu alții, determină scopurile și mijloacele de prelucrare a datelor cu caracter
personal.
Operator comun - în care doi sau mai mulți operatori împreună determină obiectivele și mijloacele de
prelucrare. Aceștea, în mod transparent stabilesc responsabilitățile respective pentru respectarea
obligațiilor care decurg din prezentul regulament, în special în ceea ce privește exercitarea drepturilor
subiectului datelor și atribuțiilor respective de a furniza informații la art. 13 și 14, prin intermediul unui
acord între ele. Acordul poate desemna un punct de contact pentru subiecții datelor.
Persoana împuternicită de operator înseamnă o persoană fizică sau juridică, o autoritate publică, o
agenție sau un alt organism care prelucrează date cu caracter personal în numele operatorului (de
exemplu, operatorul UE).
2. APLICABILITATEA GDPR
Dacă nu există nici o îndoială cu privire la aplicabilitatea GDPR în cazul în care o companie este stabilită în
UE, ar putea exista unele probleme când și cum se aplică GDPR, dacă compania este stabilită în Moldova.
GDPR poate fi direct aplicabil oricărei companii stabilite în Republica Moldova dacă au loc anumite
criterii ale activităților sale de prelucrare a datelor cu caracter personal. În plus, chiar dacă GDPR se aplică
direct unei companii din Moldova din cauza activităților pe care le desfășoară pe piața UE, se poate aplica
și legislația națională privind protecția datelor în Moldova. Astfel, compania va trebui să implementeze și
cerințele naționale, dacă acestea diferă de regimul GDPR.
Conform art. 3 alin. (2) lit. a) din GDPR, se aplică direct oricărei companii sau altei
persoane juridice din Moldova în care activitățile de prelucrare a datelor cu
caracter personal ale companiei (sau entității) relevante din Republica Moldova se
referă la:
oferirea de bunuri sau servicii, indiferent dacă este necesară o plată către
subiectul datelor, către astfel de subiecți de date din Uniune.
"Oferirea de bunuri sau servicii" este mai mult decât simpla accesare a unui site
web sau a unei adrese de e-mail, dar poate fi evidențiată prin folosirea limbii sau
monedei utilizate în mod obișnuit în unul sau mai multe state membre, cu
posibilitatea de a comanda bunuri/servicii acolo. De exemplu, serviciile bazate pe
web care au vizat subiecții datelor ale unui sau mai multor state membre ale UE,
vânzarea de bunuri sau servicii pe piața UE sau oferirea de servicii publice de tip
cloud, astfel colectând date cu caracter personal; rețele de socializare sau
aplicațiile care prelucrează date cu caracter personal din UE.
Pentru o decizie clară privind aplicabilitatea GDPR la alte sedii din Moldova, ar
trebui să evaluați dacă sediile dvs. din UE prelucrează date cu caracter personal
numai în ceea ce privește piața UE, datele personale nu sunt transferate în nici
un fel în Moldova sau nu sunt folosite în careva scop în Moldova. În caz contrar,
se pot impune sancțiuni companiei în UE și cuantumul sancțiunilor va fi calculat
în baza cifrei de afaceri a grupului din întreaga lume.
Capitolele următoare ale acestui studiu de impact se vor referi la recomandări care identifică
în scurt timp scopul și obiectul cerinței relevante a GDPR.
În cazul în care compania dvs. colectează și utilizează date personale, compania trebuie să
evalueze dacă există temei juridic pentru fiecare astfel de operațiune de prelucrare.
Compania trebuie să identifice temeiul juridic relevant pentru prelucrare și să asigure
cerințele necesare. De exemplu, în cazurile de interese legitime, compania trebuie să
definească un interes legitim, să evalueze necesitatea și proporționalitatea prelucrării.
Șase temeiuri legale pentru datele cu caracter personal sunt definite în articolul 6 din GDPR,
și anume: (a) acordul subiectului datelor; (b) executarea unui contract cu subiectul datelor; (c)
respectarea unei obligații legale impuse operatorului; interesele vitale ale subiectului datelor;
(e) îndeplinirea unei sarcini realizate în interesul public sau (f) interesele legitime urmărite de
operator, sub rezerva unui test suplimentar de echilibrare față de drepturile și interesele
subiectului datelor. Cerințele specifice privind prelucrarea categoriilor speciale de date cu
caracter personal sunt prevăzute la articolul 9 din GDPR, în măsura în care prelucrarea
generală a categoriilor speciale sau a datelor cu caracter personal este interzisă.
Dacă compania realizează decizii bazate exclusiv pe prelucrarea automatizată (inclusiv crearea
de profiluri) care produce efecte juridice care o privesc sau o afectează în mod similar, sunt
posibile doar trei temeiuri juridice: a) consimțământul explicit al subiectului datelor b) sau
executarea unui contract între subiectul datelor și un operator de date și c) este prevăzut de
legislație.
La articolul 25 din GDPR se definește principiul vieții private, din momentul conceperii și în
mod implicit: luând în considerare tehnologiile moderne, costul implementării și natura, scopul,
contextul și scopurile prelucrării, precum și riscurile variabilei probabilității și gravității
drepturilor și libertățile persoanelor fizice create de prelucrare, operatorul, atât în momentul
determinării mijloacelor de prelucrare, cât și în momentul prelucrării propriu-zise, pune în
aplicare măsuri tehnice și organizatorice adecvate, cum ar fi pseudonimizarea, care sunt
destinate să pună în aplicare principiile de protecție a datelor, cum ar fi minimizarea datelor,
într-o manieră eficientă și integrarea garanțiilor necesare în prelucrare pentru a îndeplini
cerințele prezentului regulament și pentru a proteja drepturile subiecților de date.
Protecția datelor începînd cu momentul conceperii este considerată ca fiind un concept cu mai
multe fațete, care implică diferite componente tehnologice și organizaționale, care
implementează principiile de confidențialitate și protecția datelor în sisteme și servicii.
GDPR abordează protecția datelor începînd cu momentul proiectării ca o obligație legală pentru
operatori și persoanele împuternicite de operatori, făcând o referire explicită la minimizarea
datelor și posibila utilizare a pseudonimizării. În plus, aceasta introduce obligația de protecție a
datelor în mod implicit, mergând în continuare în stabilirea protecției datelor cu caracter
personal ca proprietate implicită a sistemelor și serviciilor.
Articolul 32 din GDPR prevede: ținând seama de tehnologiile moderne, costurile implementării și
natura, scopul, contextul și scopurile prelucrării, precum și riscul variabilității și gravității
diferitelor drepturi și libertăți ale persoanelor fizice, operatorul și persoana împuternicită de
operator să pună în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura un nivel
de securitate adecvat riscului.
Întrebări care vă pot ajuta să înțelegeți dacă în cadrul companiei este adresat principiul
confidențialității din momentul proiectării și în mod implicit și aspectul securității
sistemului informațional
1. Compania dvs. a aplicat principii de protecție a datelor când au fost introduse sistemele
de prelucrare a datelor?
5. Accesul la datele personale ale angajaților dvs. este controlat prin parole și nume de
utilizator?
Dacă răspunsul dvs. la oricare dintre aceste întrebări este "NU", este posibil ca
organizația dvs. de prelucrare a datelor personale să nu corespundă cerințelor GDPR.
7. Care sunt perioadele de stocare a datelor dvs. personale? Ați configurat termenii
pentru stocarea, reținerea și ștergerea datelor?
Dacă aceste probleme nu sunt soluționate prin proceduri scrise, organizația dvs. de
prelucrare a datelor personale nu corespunde cerințelor GDPR.
Evaluarea impactului asupra protecției datelor (Evaluarea) este un instrument care are rolul
de a evalua respectarea de către companii a obligațiilor privind protecția datelor și de a
identifica eventualele riscuri și strategii de atenuare. O evaluare ar trebui să fie finalizată, în
mod ideal, în faza de proiectare a unui nou sistem sau program și apoi revizuită odată cu
schimbarea cerințelor de program și obligațiilor legale.
Articolul 35 din GDPR prevede: în cazul în care un tip de prelucrare, în special, utilizarea
noilor tehnologii și ținând seama de natura, domeniul de aplicare, contextul și scopurile
prelucrării, este susceptibil de a genera un risc ridicat pentru drepturile și libertățile
persoanelor fizice, operatorul efectuează, înainte de prelucrare, o evaluare a impactului
operațiunilor de prelucrare preconizate asupra protecției datelor cu caracter personal. O
singură evaluare poate aborda un set de operațiuni de prelucrare similare care prezintă
riscuri similare.
1. Este prelucrarea datelor dvs. subcontractată unei alte companii din Moldova?
Subiectul datelor are mai multe drepturi în conformitate cu GDPR decât înainte, conform
Directivei. Unul dintre cele mai importante drepturi este dreptul de a-și accesa datele
personale în orice moment. Prin urmare, compania trebuie să asigure o posibilitate reală ca
subiecții de date să depună o cerere relevantă. Compania trebuie să asigure posibilitatea
adecvată de a verifica identitatea persoanei sau a utilizatorului care primește date personale
de la operator (datele personale nu pot fi eliberate unei persoane care nu este verificată
dacă persoana respectivă este subiectul datelor care a solicitat informații). Dacă cererea
subiectului datelor este transmisă direct persoanei împuternicite de operator, acesta din
urmă trebuie să informeze operatorul care va decide cum să soluționeze cazul. Persoana
împuternicită de operator, dacă nu este autorizată în mod corespunzător înainte, nu poate
răspunde în mod direct subiectului datelor sau la orice altă persoană terță privind aspecte
legate de prelucrarea datelor cu caracter personal (cu excepția autorităților de supraveghere
a protecției datelor).
Întrebări care vă pot ajuta să înțelegeți dacă compania dvs. asigură drepturile subiecților
de date.
1. Ați făcut o evaluare cu privire la care dintre drepturile subiecților de date (articolul 15-
21 din GDPR) sunt relevante pentru prelucrarea dvs.?
3. Site-ul companiei conține informații pentru subiecții de date sub forma politicii privind
protecția vieții private, a politicii de confidențialitate cu informații pentru subiecții de
date?
4. Ați primit compania dvs. vreun drept de acces la cerere înainte? Ați răspuns într-o lună?
Dacă aceste probleme nu sunt adresate prin proceduri scrise, organizația dvs. de
prelucrare a datelor personale nu corespunde cerințelor GDPR.
1.1.
1.2.
2. Care este scopul real a tuturor celorlalte activități de prelucrare care nu sînt
reglementate de legislație sau reglementări publice? Vă rugăm sa indicați
scopul activității!
2.1.
2.2.
6. Utilizați algoritme care prelucrează date personale și care iau o decizie fără
intervenție umană?
7. Utilizați algoritme pentru evaluarea unor aspecte aferente persoanei? (de ex.
preferințele utilizatorului în rețea, situația financiară, comportament etc.)
Activități de 8. Ați făcut careva analiză privind temeiurile legale pentru prelucrarea datelor
prelucrare a personale? (De ex., care date personale sunt colectate în baza consimțămîntului
datelor subiectului datelor, contractului, cerinței legale sau așa-zisului interes legitim al
personale și operatorului)
furnizarea de
informații
9. Ați făcut vreo evaluare despre necesitatea prelucrării curente?
subiectului
datelor
11. Ați făcut o evaluare privind care drepturi ale subiecților de date (art. 15-21
din GDPR) sunt relevante prelucrării dvs.?
13. Situl companiei conține informații pentru subiecții de date sub forma
politicii cu privire la viața privată, politicii de confidențialitate cu informarea
subiecților de date?
14. Compania dvs. a primit anterior vreun drept privind accesarea cererii? Ați
răspuns în termen de 1 lună?
Securitatea 15. Compania dvs. a implementat principii de protecție a datelor cînd au fost
informațional introduse sistemele de prelucrare a datelor?
ă 16. Ați făcut o evaluare scrisă a securității și riscurilor aferente sistemelor
informaționale (audit) înainte sau după (ultimii 3 ani) dezvoltarea sistemelor
informaționale?
19. Accesul la datele personale ale angajaților este controlat prin intermediul
parolelor și numelor de utilizatori?