Prelucrarea datelor cu caracter personal în cadrul resurselor umane

prin prisma Proiectului de lege privind protecția datelor cu caracter

personal

Victoria BUTUȘANU
Centrul Național pentru Protecția Datelor cu
Caracter Personal al Republicii Moldova
 Raționamentul elaborării proiectului
• Evoluțiile tehnologice rapide și globalizarea au generat noi provocări pentru protecția datelor cu
caracter personal. Amploarea colectării și schimbul de date cu caracter personal a crescut în mod
semnificativ. Tehnologia permite atât societăților private, cât și autorităților publice să utilizeze date
cu caracter personal la un nivel fără precedent în cadrul activității lor.
• Indiscutabil, tehnologia a transformat deopotrivă economia și viața socială, iar revoluția digitală
promite beneficii pentru sănătate, mediu, dezvoltarea internațională și eficiența economică, însă ea nu
trebuie să dicteze valori și drepturi.
• Persoanele fizice trebuie să aibă controlul asupra propriilor date cu caracter personal, iar securitatea
juridică și practică implementată de persoanele fizice, autoritățile publice și private trebuie să fie
consolidată.
• Aceste evoluții au impus necesitatea elaborării unui cadru solid și mai coerent în materie de protecție
a datelor, însoțit de o aplicare riguroasă a normelor, luând în considerare importanța creării unui
climat de încredere care va permite economiei digitale să se dezvolte pe piața internă.
 Legalitatea
Echitabilitatea
Transparența Scop
determinat,
Exactitatea explicit și
legitim

Principiile
prelucrării
datelor cu
caracter personal
Integritatea și
confidențialitatea Exactitatea

Minimizarea
datelor cu Limitări
caracter legare de
personal stocare
prelcurate
Puncte cheie: Relevante –
Prelucrarea datelor trebuie să fie au legătură
limitată la ceea ce este necesar pentru cu scopul
declarat
îndeplinirea unui scop legitim;
 Prelucrarea datelor cu caracter
personal ar trebui să aibă loc numai Principiul
atunci când scopul prelucrării nu
poate fi îndeplinit în mod rezonabil minimizării
prin alte mijloace;
 Prelucrarea datelor nu poate
Adecvate – datelor cu
interfera în mod disproporționat cu
suficiente pentru a
vă îndeplini în
caracter
interesele, drepturile și drepturile
libertățile în joc.
mod corespunzător
scopul declarat
personal
Exemplu negativ: O companie care Art. 11 Proiectul
prestează servicii de telefonie mobilă, legii
la angajare, colectează datele privind
orientarea sexuală a candidaților. O
asemenea prelucrare nu corespunde
Limitate la
principiului minimizării datelor cu scopul
caracter personal. declarat
 Cum decidem ce este adecvat, relevant și limitat?

Scopul
specificat pentru colectarea și prelucrarea datelor cu
caracter personal
Când se consideră că prelucrăm o cantitate prea mare de date și date inadecvate?

 Datele nu reprezintă un suport pentru realizarea scopului

declarat/existent în cazul Departamentului resurselor umane
Nomenculatorul datelor cu caracter personal prelucrate de catre
Departamenul resurselor umane
 Integritatea și confidențialitatea datelor cu caracter personal

Articolul 4 - Asigură securitatea adecvată a datelor personale protecția împotriva prelucrării

neautorizate/ilegale/împotriva pierderii/distrugerii/deteriorării accidentale prin luarea de măsuri tehnice sau
organizatorice corespunzătoare.

Articolul 9 – În cazul în care operatorul, operatorul asociat, persoana împuternicită de operator,

destinatarul, precum și alte entități care nu sunt considerate a fi destinatari (oganele de ocrotire a legii),
terțul, indiferent de tipul proprietății și domeniul de activitate, forma juridică de organizare, solicită
informații privind prelucrarea datelor personale și date personale, cererea trebuie să fie motivată, să includă
scopul solicitării, temeiul legal, categoriile de date personale solicitate și să demonstreze legătura de
cauzalitate dintre categoriile de date personale solicitate și interesul legitim umărit.
 Codul muncii
Prelucrarea datelor personale ale salariatului
Capitolul VI poate fi efectuată exclusiv în scopul îndeplinirii
prevederilor legislaţiei în vigoare, acordării de
asistenţă la angajare

Angajatorul nu este în drept să obţină şi să

prelucreze date referitoare la convingerile politice
şi religioase ale salariatului, precum şi la viaţa
privată a acestuia. În cazurile prevăzute de lege,
angajatorul poate cere şi prelucra date despre
viaţa privată a salariatului numai cu acordul scris
al acestuia
Angajatorul nu este în drept să obţină şi să
prelucreze date privind apartenenţa salariatului la
sindicate, asociaţii obşteşti şi religioase, partide şi
alte organizaţii social-politice, cu excepţia
cazurilor prevăzute de lege;

Protecţia datelor personale ale salariatului

contra utilizării ilegale sau pierderii este
asigurată din contul angajatorulu
 Transmiterea datelor cu caracter personal ale salariaților

Să prevină persoanele care primesc

datele personale ale salariatului
Să nu comunice unor terţi datele despre faptul că acestea pot fi
personale ale salariatului fără acordul utilizate doar în scopurile pentru care
scris al acestuia, cu excepţia au fost comunicate şi să ceară
Să nu comunice datele personale ale
cazurilor cînd acest lucru este persoanelor în cauză confirmarea în
salariatului în scopuri comerciale
necesar în scopul prevenirii unui scris a respectării acestei reguli.
fără acordul scris al acestuia
pericol pentru viaţa sau sănătatea Persoanele care primesc datele
salariatului, precum şi a cazurilor personale ale salariatului sînt
prevăzute de lege obligate să respecte regimul de
confidenţialitate, cu excepţia
cazurilor prevăzute de lege

Să permită accesul la datele
personale ale salariatului doar
persoanelor împuternicite în
acest sens, care, la rîndul lor,
au dreptul să solicite numai
datele personale necesare
exercitării unor atribuţii
concrete
Să transmită reprezentanţilor
salariaţilor datele personale
Să nu solicite informaţii
ale salariatului în modul
privind starea sănătăţii
prevăzut de prezentul cod şi
salariatului, cu excepţia
să limiteze această informaţie
datelor ce vizează capacitatea
numai la acele date personale
salariatului de a-şi îndeplini
care sînt necesare exercitării
obligaţiile de muncă
de către reprezentanţii
respectivi a atribuţiilor lor
Securitatea prelucrării datelor cu caracter personal
Protecția contra
Articolul 36 intruziunilor,
Securitatea
inclusiv în cazul
spațiului de
utilizării
prelucrare
tehnologiilor
fără fir

Identificarea și autorizarea
Protecția persoanelor care au aces la
antivirus sistemele de evidență ce
conțin date personale

Instalărea și/sau
modificarea mijloacelor,
soluțiilor de
software/hardware , […]
regulile de gestionare a
fișierelor temporare
 Practică frauduloasă de protecție a datelor cu caracter
personal

1. Permiterea accesului la dosarul personal

persoanelor neutorizate în acest sens;
2. Divulgarea de către Departamentul resurselor
umane a datelor cu caracter personal din dosarul
personal a salariatului;
3. Obtrucționarea dreptului subiectului de date cu
caracter personal de a solicita ștergerea sau
distrugerea unor date din dosarul personal, etc.
 Prelucrarea datelor personale și libertatea de exprimare și de acces la informație - Articolul 12

În
În anul
anul 19701970 Adunarea
Adunarea Parlamentară
Parlamentară aa „Există o zonă în care exercitarea dreptului la libertatea de
Consiliului
Consiliului Europei
Europei adoptă
adoptă Rezoluția
Rezoluția informare și la libertatea de informare ar putea ajunge în
nr.
nr. 428(1970)
428(1970) privind
privind mijloacele
mijloacele de
de conflict cu dreptul la inviolabilitatea vieții private garantat de
comunicare
comunicare înîn masă
masă și
și drepturile
drepturile omului.
omului. art. 8 al Convenției”

• Este recunoscută libertatea de

exprimare și de acces la informație
• Orice persoană are dreptul de a
prelucra date personale în scopurile
exprimării academice, artistice sau
literare, precum și în cazul
jurnaliștilor pentru prelucrarea
datelor personale în scopuri
jurnalistice, dacă aceasta se face în
scopul publicării informațiilor care
vizează interesul public
 !Nu se aplică
• Normele prezentei legi, cu excepția competențelor Centrului și prevederilor statuate la
art. 1 – 4, 13, 36 și Capitolului VIII și IX, nu se aplică prelucrării datelor cu caracter
personal în scopuri academice, artistice, jurnalistice sau literare, dacă acestea sunt
necesare pentru a concilia (proporționalitatea și echilibrul) dreptul la protecția
datelor personale cu libertatea de exprimare și de informare în care, în același timp:
• a) prelucrarea datelor se realizează în scopul exercitării dreptului la libertatea de
exprimare și de informare, respectând în același timp dreptul persoanei la protecția
datelor personale și nu există interese ale subiectului de date care trebuie protejate, cu
condiția ca garanțiile subiecților de date nu sunt afectate, iar securitatea fizică și psihică a
subiecților de date nu sunt puse în pericol, care sunt mai importante decât interesul
public;
• b) prelucrarea datelor se efectuează în vederea publicării informațiilor de interes public;
• c) dispozițiile prezentei legi sunt incompatibile și/sau împiedică exercitarea dreptului la
libertatea de exprimare și de informare.

Legalitatea prelucrării datelor cu caracter personal
Prelucrarea este necesară pentru
executarea unui contract la care
subiectul de date este parte sau
pentru a face demersuri la cererea
subiectului de date înainte de
încheierea unui contract.
Subiectul de date și-a dat
consimțământul pentru prelucrarea
datelor sale personale pentru unul
sau mai multe scopuri specifice
Prelucrarea este necesară în
vederea îndeplinirii unei obligații
legale care îi revine operatorului
Prelucrarea este necesară pentru a
proteja interesele vitale ale
persoanei vizate sau ale altei
persoane fizice
Prelucrarea este necesară pentru
îndeplinirea unei sarcini care
servește unui interes public sau care
rezultă din exercitarea
competențelor autorității publice cu
care este învestit operatorul
Prelucrarea este necesară în scopul
realizării intereselor legitime
urmărite de operator sau de o
parte terță […]

Informarea și consultarea
operatorului, sau a
persoanei împuternicite
de operator, precum și a
angajaților care se ocupă
de prelucrarea datelor
personale cu privire la
obligațiile care le revin în
temeiul prezentei legi și
al altor dispoziții
normative referitoare la
protecția datelor
personale
Responsabilul pentru protecția datelor cu caracter personal
Articolul 42-44 proiectul de lege
Monitorizarea respectării Consultarea, la
prezentei legi, a altor
dispoziții normative cerere, în ceea ce
referitoare la protecția privește evaluarea
datelor personale și a
impactului asupra
politicilor operatorului sau
ale persoanei împuternicite protecției datelor
de operator în ceea ce
privește protecția datelor personale și
personale, inclusiv alocarea monitorizarea
responsabilităților și
acțiunile de sensibilizare și
funcționării acesteia
de formare a personalului
implicat în operațiunile de
prelucrare, precum și
auditurile aferente
 Responsabilitatea operatorilor de date

Pune în aplicare măsuri tehnice și

organizatorice adecvate pentru a
garanta și a fi în măsură să
Asigură protecția datelor personale
demonstreze că prelucrarea se
începând cu momentului conceperii
efectuează în conformitate cu
și în mod implicit;
cerințele prezentei legi și/sau alte
acte regulatorii în domeniul
protecției datelor personale

Implementează măsuri tehnice și

Asigură evidența activităților de organizatorice adecvate în vederea
prelucrare a datelor cu caracter asigurării unui nivel de securitate
personal corespunzător acestui risc
 Excluderea obligației notificării

• În rezultatul reglementărilor menționate a fost exclusă obligativitatea notificării

prevăzută în prezent de art. 23 din Legea privind protecția datelor cu caracter
personal. Astfel, prezentul proiect de lege nu conține prevederi privind obligația
persoanelor fizice și persoanelor juridice care prelucrează date cu caracter personal,
de a se înregistra la Centru în calitate de operator de date cu caracter personal și a
notifica sistemele sale de evidență în care prelucrează date personale.
• În aceste condiții, operatorii vor fi obligați individual să respecte normele de
securitate a datelor cu caracter personal, modificare care își are scopul în principiul
responsabilizării operatorului de date cu caracter personal.
 Monitorizarea
sistematică pe
scară largă a
unei zone
accesibile
publicului

Evaluarea sistematică
și cuprinzătoare a
aspectelor personale Evaluarea impactului
referitoare la subiecții asupra protecției datelor
de date care se bazează personale
pe prelucrarea (DPIA) Prelucrarea pe
automată, inclusiv Articolul 40 alin. (2) scară largă a
crearea de profiluri proiectul de lege unor categorii
[…] speciale de
date
Vă mulțumesc cordial pentru atenție!