img mobile menu img close mobile menu

Уведомление об обработке персональных данных

Уведомление об обработке персональных данных

Руководство по порядку регистрации контролеров и систем учета персональных данных

Согласно ст. 23 и ст. 28 Закона о защите персональных данных, налагается обязательство до начала операций по обработке персональных данных в автоматизированной или ручной системе учета уведомлять Национальный Центр по Защите Персональных Данных (далее НЦЗПД).

В то же время, п. 21 Положения о регистре учета контролеров персональных данных, утвержденный Постановлением Правительства № 296 от 15 мая 2012 года (далее — Постановление Правительства № 296/2012), устанавливает, что каждая система учета персональных данных уведомляется отдельно. В этом отношении, контролер персональных данных обязан идентифицировать и регистрировать все управляемые системы учета.

Согласно ст. 3 Закона о защите персональных данных:

• контролер — физическое лицо или юридическое лицо публичного или частного права, включая орган публичной власти, любое иное учреждение или организацию, которое самостоятельно или совместно с другими определяет цели и средства обработки персональных данных, прямо предусмотренные действующим законодательством;

• обработчик — физическое лицо или юридическое лицо публичного или частного права, включая орган публичной власти и его территориальные подразделения, которое от имени или в интересах контролера обрабатывает персональные данные по его указанию;

• система учета персональных данных — любой структурированный набор персональных данных, являющихся доступными в соответствии с определенными критериями, централизованный, децентрализованный или распределенный на функциональной или географической основе (например: ручная / автоматизированная / смешанная система учета сотрудников, ручная / автоматизированная / смешанная система бухгалтерского учета, автоматизированная система видеонаблюдения и т. д.).

Таким образом, для соответствия деятельности, связанной с обработкой персональных данных с вышеизложенными законодательными положениями, контролер и, в зависимости от ситуации, обработчик должны предпринять следующие действия:

1. Назначить лицо / лица / подразделения, ответственное /-ые за защиту персональных данных, для принятия соответствующих мер по соблюдению строгих нормативных положений, касающихся защиты персональных данных;

2. Тщательно идентифицировать все системы учета персональных данных, управляемые контролером персональных данных;

3. Идентифицировать обработчика / -ов персональных данных и / или, в зависимости от ситуации, пересмотреть договорные положения или положения правового акта, посредством которых обработчики получают строгие инструкции, связанные с обработкой персональных данных от имени и в интересах контролера, а также обеспечить меры конфиденциальности и безопасности обработки персональных данных, установленные ст. 29 и ст. 30 Закона о защите персональных данных;

4. Разработать и утвердить Политику безопасности по защите персональных данных при их обработке в управляемых системах учета, контролером персональных данных, с учетом положений, установленных Требованиями для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных Постановлением Правительства № 1123 от 14 декабря 2010 года (далее — Постановление Правительства № 1123/2010);

5. Разработать и утвердить документацию, касающуюся политики безопасности данных, то есть Положения, устанавливающие порядок обработки персональных данных в системах учета, которые должны быть переданы в НЦЗПД, в соответствии с п. 21 Постановления Правительства № 1123/2010;

6. Установить правовую основу обработки персональных данных в случае, если согласие субъекта этих данных не требуется, принимая во внимание отступления, предусмотренные ст. 5 п. 5 Закона о защите персональных данных, в том числе в случае трансграничной передачи персональных данных.

В дополнение к упомянутым выше документам, при необходимости, должны быть приложены и другие дополнительные документы, с учетом управляемой системы учета, а именно:

• Если обработка основана на согласии субъекта персональных данных, к уведомлению должна быть приложена его модель, посредством которой субъект принимает обработку относящихся к нему персональных данных, а также информируется контролером о положениях ст. 12 Закона о защите персональных данных и порядке осуществления прав, предусмотренных главой III вышеупомянутого закона;

• Если обработка основана на исполнении договора, в котором субъект персональных данных является участником, или принимает меры до заключения договора, образец договора или заявления прилагается к его запросу;

• В случае системы учета видеонаблюдения дополнительно будет прикреплен схематический план мест с указанием установки камер видеонаблюдения, их угла захвата, а также прикрепление видеозаписей каждой установленной камеры;

• В случае системы записи контроля доступа дополнительно будет прикреплен схематический план расположения средств доступа;

• Если обработка персональных данных осуществляется исключительно в журналистских, художественных или литературных целях, будут приняты во внимание положения ст. 10 Закона о защите персональных данных и Закона о свободе выражения мнений;

• Если обработка персональных данных осуществляется исключительно в целях исторических или научных исследований, прилагаются документы, которые соответствуют положениям Кодекса о науке и инновациях Республики Молдова;

• Если обработка персональных данных осуществляется исключительно в статистических целях, будут приняты во внимание положения Закона об официальной статистике;

• Если обработка выполняется на основе государственного реестра, необходимо приложить положение о порядке ведения информационной системы;

• В случае трансграничной передачи персональных данных дополнительно будут приложены договор или стандартные договорные условия, заключенные между получателем и поставщиком, а также правовая основа для обработки персональных данных, если согласие субъекта данных не требуется, принимая во внимание отступления, предусмотренные ст. 5 п. 5 Закона о защите персональных данных.

В то же время п. 22 Постановления Правительства № 296/2012 устанавливает, что информация, указанная в уведомлении, должна соответствовать Положениям, подробно описывающие способ обработки персональных данных в системах учета, которые должны быть переданы в НЦЗПД.

После подготовки вышеуказанного пакета документов, необходимо направить НЦЗПД прямое уведомление о системах учета, в которых обрабатываются персональные данные, управляемые субъектом (включая представление Политики безопасности и необходимых Положений, описывающих для каждой системы учета способ обработки персональных данных в ней и другие дополнительные документы по уведомлению) и их регистрацию в Регистре учета контролеров персональных данных.

Важно: Согласно п. 25 Постановления Правительства № 296/2012, заполнение уведомления в электронном формате осуществляется на официальном сайте НЦЗПД www.datepersonale.md, в разделе Уведомление об обработке персональных данных.

Важно: Процедура заполнения уведомления описана в Руководстве контролера и в Видео-руководстве по уведомлению в Регистре контролеров персональных данных, с которым можно ознакомиться в разделе Электронное заполнение уведомления.

Кроме того, п. 20 и п. 26 Постановления Правительства № 296/2012 устанавливают, что после заполнения уведомления в электронном формате оно может быть подписано путем применения цифровой подписи или распечатано на бумаге, подписано собственноручно заявителем регистрации и отправлено / представлено в Единое окно, сопровождаемое подтверждающими документами, необходимыми для регистрации информационных объектов в Регистре учета контролеров персональных данных.

В то же время документы, прилагаемые к уведомлению, должны быть представлены в соответствии с п. 14 Постановления Правительства № 296/2012, а именно: «В случае, когда документы не подписаны цифровой подписью, они представляются в электронном формате с приложением на бумажном носителе, подписанные собственноручно и по необходимости заверенные печатью заявителя регистрации юридического лица. Если информация, представленная на бумажном носителе, содержит несколько листов, они прошиваются с подписью на каждом листе и проставлением при необходимости печати соответствующего заявителя регистрации».

Внимание: В рамках своей деятельности НЦЗПД в соответствии со ст. 20 п. 2 а) и б) Закона о защите персональных данных, имеет право запрашивать дополнительную информацию или другие документы, необходимые для рассмотрения уведомления, а также для предварительной проверки, в соответствии с п. 39 Постановления Правительства № 296/2012.

По завершении предварительной проверки НЦЗПД издает решение о разрешении или отказе в авторизации категорий операций по обработке персональных данных, которые представляют особый риск для прав и свобод лиц, указанных в ст. 24 параграфа 2 вышеупомянутого закона.

Впоследствии, согласно положениям п. 29 Постановления Правительства № 296/2012, НЦЗПД выдает решение о регистрации или об отказе в регистрации контролера и / или системы учета персональных данных.

Важно: Согласно п. 43 и п. 44 Постановления Правительства № 296/2012, информация о выдаче решения отправляется на адрес электронной почты заявителя на регистрацию, посредством которой была создана учетная запись пользователя. Затем, это решение можно просмотреть с помощью учетной записи пользователя, зайдя в раздел «Список уведомлений» и нажав раздел «Идентификатор запроса», который имеет статус «Одобрено» или «Отклонено».

В то же время ст. 28 п. 2 Закона о защите персональных данных и п. 12 Постановления Правительства № 296/2012, устанавливают, что информация, хранящаяся в Регистре учета контролеров персональных данных, является общедоступной, за исключением мер, принятых для обеспечения безопасности обработки персональных данных, и любой заинтересованный человек может ознакомиться с ней по адресу https://registru.datepersonale.md/web/guest/cautare-in-baza-de-date-cndpc.

Кроме того, для получения любой другой информации о процедуре уведомления, необходимо связаться с Управлением предупреждения, надзора и соответствия в рамках Главного управления надзора и соответствия НЦЗПД по телефону (0-22) 811-801 или в офис НЦЗПД с 08: 30 до 14: 00, с обеденным перерывом с 12:00 до 13:00.