Notificarea privind prelucrarea datelor cu caracter personal

Ghid privind procedura înregistrării operatorilor și a sistemelor de evidență a datelor cu caracter personal

Potrivit art. 23 și art. 28 ale Legii privind protecţia datelor cu caracter personal, impun obligaţia ca anterior inițierii operaţiunilor de prelucrare a datelor cu caracter personal într-un sistem de evidenţă automatizat sau manual, acestea să fie notificate Centrului Național pentru Protecția Datelor cu Caracter Personal (în continuare – CNPDCP).

Concomitent, pct. 21 din Regulamentul Registrului de evidență a operatorilor de date cu caracter personal, aprobat prin Hotărîrea Guvernului nr. 296 din 15 mai 2012 (în continuare – Hotărîrea Guvernului nr. 296/2012) stabilește că fiecare sistem de evidență a datelor cu caracter personal se notifică separat. În acest sens, operatorului de date cu caracter personal îi revine obligația de a identifica și a înregistra toate sistemele de evidență gestionate.

Potrivit art. 3 al Legii privind protecția datelor cu caracter personal:

• operatorul de date cu caracter personal înseamnă persoana fizică sau persoana juridică de drept public sau de drept privat, inclusiv autoritatea publică, orice altă instituție ori organizație care, în mod individual sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal prevăzute în mod expres de legislația în vigoare;

• persoană împuternicită de către operator reprezintă persoana fizică sau persoana juridică de drept public ori de drept privat, inclusiv autoritatea publică și subdiviziunile ei teritoriale, care prelucrează date cu caracter personal în numele și pe seama operatorului, pe baza instrucțiunilor primite de la operator;

• sistem de evidență a datelor cu caracter personal înseamnă orice serie structurată de date cu caracter personal accesibile conform unor criterii specifice, fie că este centralizată, descentralizată ori repartizată după criterii funcționale sau geografice (spre exemplu: sistemul manual/automatizat/mixt al evidenţei angajaţilor, sistemul manual/automatizat/mixt de evidenţă contabilă, sistemul automatizat de supraveghere video etc.).

Astfel, pentru conformarea activității legate de prelucrarea datelor cu caracter personal la prevederile legale enunțate supra operatorul și după caz persoană împuternicită de către acesta urmează să întreprindă următoarele acțiuni:

1. Să desemneze persoana/persoanele/subdiviziunile responsabilă/-le de protecția datelor cu caracter personal pentru întreprinderea măsurilor corespunzătoare de conformare la rigorile cadrului normativ-aferent protecției datelor cu caracter personal;

2. Să identifice exhaustiv toate sistemele de evidență a datelor cu caracter personal gestionate de către operatorul de date cu caracter personal;

3. Să identifice persoana/-ele împuternicită/-te de către operatorul de date cu caracter personal și/după caz revizuirea clauzelor contractuale sau prevederilor actului juridic prin care persoanele împuternicite de către operator primesc instrucțiuni de rigoare ce ține de prelucrarea datelor cu caracter personal în numele și pe seama operatorului, precum și asigurare a măsurilor de confidențialitate și securitate a prelucrării datelor cu caracter personal, stabilite de art. 29 și art. 30 din Legea privind protecția datelor cu caracter personal;

4. Să elaboreze și să aprobe Politica de securitate privind protecția datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor de evidență gestionate de către operatorul de date cu caracter personal, ținînd cont de prevederile stabilite de Cerinţele faţă de asigurarea securităţii datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaţionale de date cu caracter personal, aprobate prin Hotărîrea Guvernului nr. 1123 din 14 decembrie 2010 (în continuare – Hotărîrea Guvernului nr. 1123/2010);

5. Să elaboreze și să aprobe documentația referitoare la politica de securitate a datelor cu caracter, adică Regulamentele care stabilesc modalitatea de prelucrare a datelor cu caracter personal în sistemele de evidență ce urmează a fi notificate CNPDCP, potrivit pct. 21 din Hotărîrea Guvernului nr. 1123/2010;

6. Să stabilească temeiul legal de prelucrare a datelor cu caracter personal în cazul în care nu este cerut consimțămîntul subiectului acestor date, ținînd cont de derogările prevăzute de art. 5 alin. (5) din Legea privind protecția datelor cu caracter personal, inclusiv în cazul transmiterii transfrontaliere a datelor cu caracter personal.

În afară de documentele menționate supra, după caz, trebuie să fie anexate și alte documente suplimentare, ținînd cont de specificul sistemului de evidență gestionat, și anume:

• În cazul în care prelucrarea se bazează pe consimțămîntul subiectului de date cu caracter personal la notificarea urmează a fi anexat modelul acestuia, prin care subiectul acceptă prelucrarea datelor cu caracter personal care-l vizează, precum și este informat de către operator despre prevederile art. 12 al Legii privind protecția datelor cu caracter personal și modalitatea realizării drepturilor prevăzute de Capitolul III din legea precitată;

• În cazul în care prelucrarea se bazează pe executarea unui contract la care subiectul datelor cu caracter personal este parte sau pentru luarea unor măsuri înaintea încheierii contractului, la cererea acestuia se anexează modelul contractului sau a cererii;

• În cazul sistemului de evidență al supravegherii video se va anexa suplimentar planul schematic al locațiilor, cu indicarea instalării camerelor de supraveghere video, unghiul lor de captare, precum și anexarea capturilor video a fiecărei camere instalate pe suport de hîrtie;

• În cazul sistemului de evidență al controlului acces se va anexa suplimentar planul schematic de amplasare a mijloacelor de acces;

• În cazul în care prelucrarea datelor cu caracter personal se face exclusiv în scopuri jurnalistice, artistice sau literare, se va ține cont de prevederile art. 10 al Legii privind protecția datelor cu caracter personal și al Legii cu privire la libertatea de exprimare;

• În cazul în care prelucrarea datelor cu caracter personal se face exclusiv în scopuri de cercetare istorică sau științifică, se va anexa actele care corespund cu prevederile Codului cu privire la ştiinţă şi inovare al Republicii Moldova;

• În cazul în care prelucrarea datelor cu caracter personal se face exclusiv în scopuri statistice, se va ține cont de prevederile Legii cu privire la statistica oficială;

• În cazul în care prelucrarea se efectuează pe baza registrului de stat, urmează a fi anexat regulamentul privind modalitatea de ținere a sistemului informațional;

• În cazul transmiterii transfrontaliere a datelor cu caracter personal se va anexa suplimentar acordul sau clauzele contractuale tip încheiat dintre destinatar și furnizor, precum și temeiul legal de prelucrare a datelor cu caracter personal în cazul în care nu este cerut consimțămîntul subiectului acestor date, ținînd cont de derogările prevăzute de art. 5 alin. (5) din Legea privind protecția datelor cu caracter personal.

Totodată, pct. 22 din Hotărîrea Guvernului nr. 296/2012 stabilește că informațiile indicate în notificare trebuie să corespundă cu Regulamentele care descriu cu detaliere modalitatea de prelucrare a datelor cu caracter personal în sistemele de evidență ce urmează a fi notificate CNPDCP.

Ca urmare a pregătirii setului de documente menționat supra, este necesar a fi realizată notificarea nemijlocită către CNPDCP, a sistemelor de evidență în care sunt prelucrate date cu caracter personal, gestionate de către entitatea solicitantă (inclusiv cu prezentarea Politicii de securitate și a Regulamentelor de rigoare care descriu pentru fiecare sistem de evidență modul de prelucrare a datelor cu caracter personal în cadrul acestuia și alte documente suplimentare la notificare) și înregistrarea acestora în Registrul de evidență al operatorilor de date cu caracter personal.

Important: Potrivit pct. 25 din Hotărîrea Guvernului nr. 296/2012, completarea notificării în format electronic se efectuează pe pagina-web oficială a CNPDCP www.datepersonale.md, prin secțiunea Notificarea privind prelucrarea datelor cu caracter personal.

Important: Procedura de completare a notificării este descrisă în Manualul operatorului și în Ghidul video privind notificarea în Registrul Operatorilor de Date cu Caracter Personal, care pot fi consultate în secțiunea Completarea electronică a notificării.

Suplimentar, pct. 20 și pct. 26 din Hotărîrea Guvernului nr. 296/2012 stabilesc că, după completarea notificării în format electronic aceasta poate fi semnată prin aplicarea semnăturii digitale sau imprimată pe suport de hîrtie, semnată olograf de solicitantul înregistrării și expediată/prezentată la Ghișeul unic, însoțită de documentele confirmative, necesare pentru înregistrarea obiectelor informaționale în Registrul de evidență a operatorilor de date cu caracter personal.

Totodată, documentele anexate la notificare urmează a fi aduse în conformitate cu pct. 14 din Hotărîrea Guvernului nr. 296/2012, și anume: „În cazul în care documentele nu sînt semnate cu semnătură digitală, acestea se prezintă în format electronic, cu anexarea pe suport de hîrtie, semnate olograf şi, după caz, confirmate cu ştampila solicitantului înregistrării persoană juridică. În cazul în care informaţia prezentată pe suport de hîrtie se conţine pe mai multe file, acestea vor fi cusute cu aplicarea, pe fiecare, a semnăturii şi, după caz, a ştampilei solicitantului înregistrării respectiv”.

Atenție: În cadrul activității sale, CNPDCP în conformitate art. 20 alin. 2 lit. a) și b) al Legii privind protecția datelor cu caracter personal, este în drept să solicite informații suplimentare sau alte documente necesare în cazul examinării notificării, precum și în procesul verificării prealabile, potrivit pct. 39 din Hotărîrea Guvernului nr. 296/2012.
În cadrul finalizării verificării prealabile, CNPDCP emite decizia privind autorizarea sau refuzul autorizării categoriilor de operațiuni de prelucrare a datelor cu caracter personal care prezintă riscuri speciale pentru drepturile și libertățile persoanelor specificate în art. 24 alin. (2) al legii precitate.

Ulterior, potrivit prevederilor pct. 29 din Hotărîrea Guvernului nr. 296/2012, CNPDCP emite o decizie de înregistrare sau de refuz a înregistrării operatorului și/sau sistemului de evidență a datelor cu caracter personal.

Important: Potrivit pct. 43 și pct. 44 din Hotărîrea Guvernului nr. 296/2012, informaţia despre emiterea deciziei se expediază la adresa de e-mail a solicitantului înregistrării prin intermediul căreia a fost creat contul de utilizator. Ulterior, această decizie poate fi vizualizată prin intermediul contului utilizatorului, accesând compartimentul „Lista notificări” și apăsînd secțiunea „ID cerere” care are starea „Aprobată” sau „Respinsă”.

Totodată, art. 28 alin. (2) al Legii privind protecția datelor cu caracter personal și pct. 12 din Hotărîrea Guvernului nr. 296/2012, stabilesc că informațiile stocate în Registrul de Evidență a Operatorilor de Date cu Caracter Personal sînt publice, cu excepția măsurilor luate pentru asigurarea securității prelucrării datelor cu caracter personal și pot fi consultate de orice persoana interesată la adresa https://registru.datepersonale.md/web/guest/cautare-in-baza-de-date-cndpc.

Suplimentar, pentru oricare alte informații privind procedura de notificare, urmează să contactați Direcția prevenire, supraveghere și evidență din cadrul Direcției generale supraveghere și conformitate a CNPDCP, la numărul de telefon (0-22) 811-801 sau la sediul CNPDCP, în intervalul orelor 08:30-14:00, cu pauza de masă 12:00-13:00.