Autor: Marina Zanoga, avocat Casa de avocatură „ACI Partners 1.Ce informație constituie date cu caracter personal? Datele cu caracter personal constituie orice informație referitoare la o persoană fizică, numită subiect de date, fie că aceasta este identificată sau identificabilă. Persoana identificabilă este considerată care poate fi identificată direct sau indirect, făcându-se referință la anumite trăsături caracteristice ale identității sale fizice, fiziologice, psihice, economice, culturale sau sociale etc. Exemple de date cu caracter personal: nume, prenume, telefon, domiciliu, e-mail, informație cu privire la salariu, rechizitele bancare, fotografie, adresă, voce etc. 2. Cum să știu dacă prelucrez date cu caracter personal? Prelucrare a datelor cu caracter personal reprezintă orice operațiune care se efectuează asupra datelor cu caracter personal. Exemple de prelucrare a datelor cu caracter personal: colectarea, înregistrarea, organizarea, stocarea, păstrarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvăluirea către terți prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ștergerea sau distrugerea datelor cu caracter personal. Dacă activitatea dumneavoastră ține de interacțiunea cu persoane fizice, indiferent de calitatea acestora (salariați, consumatori, clienți, parteneri, etc.) cu siguranță prelucrați date cu caracter personal. 3. Cine este operatorul de date? Compania care prelucrează date cu caracter personal se numește Operator.  Operatorul este persoana care decide cum și pentru ce sunt prelucrate datele cu caracter personal, adică determină scopul și mijloacele prelucrării datelor. Ești considerat operator de date indiferent de faptul dacă colectezi date cu caracter personal în virtutea legii sau obligațiilor contractuale, cu sau fără consimțămîntul subiecților de date. Nu este considerată operator de date, persoana care prelucrează date cu caracter personal în numele și pe seama unui operator și care nu determină individual care este scopul și modul de prelucrare a datelor obținute. Exemplu: O companie IT care prestează servicii de stocare a datelor și care stochează datele în numele și pentru operator, la indicațiile acestuia.  În acest caz, pentru operațiunile de stocare a datelor în numele și pentru altă persoană, compania nu va fi considerată operator, ci persoană împuternicită de operator, deoarece prelucrarea de către ea se va limita la aplicarea cunoștințelor tehnice la prelucrarea datelor pe care le stochează.  Volumul și categoriile de date stocate, perioada stocării și alte aspecte ale prelucrării datelor transmise acesteia sunt stabilite de operatorul de date. NB: Totodată, compania IT va avea statut de operator în ceea ce privește prelucrarea de către aceasta a datelor pentru scopuri proprii cum ar fi: datele salariaților săi, clienților persoane fizice, furnizorilor de bunuri și servicii persoane fizice etc. 4. De ce este important să știu dacă sunt operator de date? Legea nr. 133 din 08.07.2011 privind protecția datelor cu caracter personal impune mai multe obligații operatorilor de date pentru nerespectarea cărora poate surveni răspunderea contravențională, civilă sau chiar penală, cum ar fi: - Operatorul este obligat să notifice prelucrarea datelor Centrului de Date cu Caracter Personal, înainte de a începe prelucrarea acestora; - Operatorul este obligat să respecte următoarele reguli de prelucrare:
  • obține consimțămîntul subiecților pentru prelucrare;
  • asigură păstrarea confidențialității și securității datelor prelucrate;
  • asigură respectarea drepturilor subiecților de date;
  • prelucrarea trebuie să fie corectă și conformă legii;
  • datele sunt prelucrate pentru scopuri determinate, explicite și legitime;
  • datele prelucrate trebuie să fie exacte, stocate într-o formă care să permită identificarea subiecților de date;
Datele pot fi păstrate pe un termen determinat, care nu va depăși durata necesară atingerii scopurilor pentru care sunt colectate şi ulterior prelucrate 5. Ce este notificarea prelucrării datelor? Notificarea reprezintă o procedură administrativă care presupune îndeplinirea unor formalități expres stabilite de lege, prin care Operatorul anunță Centrul despre prelucrarea datelor cu caracter personal, modalitatea, scopul și mijloacele prelucrării, astfel devenind Operator autorizat. Orice prelucrare a datelor cu caracter personal trebuie notificată Centrului până la începutul operațiunilor de prelucrare.  6. Cum depun notificarea? Pentru a depune notificarea Centrului trebuie să respecți următoarele formalități:
  • crearea contului și profilului de Operator în aplicația oferită de Centru.  Însăși crearea contului nu echivalează cu depunerea notificării;
  • notificarea este depusă prin completarea chestionarului din sistem și generarea unui document în format PDF;
  • documentul în format PDF generat, împreună cu toate documentele justificative, se semnează și se depune pe suport de hârtie, Centrului în termen de 14 zile de la completarea on-line a notificării. Dacă deții o semnătură digitală obținută în modul corespunzător, notificarea poate fi depusă on-line;
  • notificarea completată generează emiterea deciziei de înregistrare a operatorului în Registru, fiindu-i atribuit un ID unic de operator.
Se va depune câte o notificare pentru fiecare sistem de evidență a datelor (achitarea salariilor, ținerea evidenței clienților, înregistrare audio/video, etc). Se recomandă a consulta manualul operatorului de date cu caracter personal, ce poate fi găsit la adresa registru.datepersonale.md pentru mai multe informații cu privire la procedura depunerii notificării. 7. Ce acte anexez la notificare? Împreună cu notificarea depui un set de documente justificative care clarifică categoriile de date prelucrate, scopurile prelucrării, durata, măsurile de securitate implementate în companie, măsurile de garantare a drepturilor subiecților vizați etc.  Setul minim de acte va conține:
  • politica de securitate la prelucrarea datelor cu caracter personal;
  • modelul declarației de consimțământ;
  • regulamentele interne care vizează prelucrarea datelor cu caracter personal în sisteme de evidență distincte;
  • modelul notei informative precum și consimțămîntul subiectului de date în partea ce vizează transferul transfrontalier al datelor cu caracter personal, contractul de transfer de date, după caz.
8. Care sunt termenele de examinare a notificării și costurile asociate? Notificarea este examinată în termen de 30 zile calendaristice. Rezultatele examinării se anunță în termen de 3 zile de la adoptarea deciziei. Depunerea notificării și respectiv înregistrarea în Registrul de evidență al operatorilor de date cu caracter personal se efectuează gratuit prin intermediul aplicației oferite de Centru și care poate fi accesată pe:  registru.datepersonale.md. Operatorul ar putea suporta costuri adiționale legate de implementarea cerințelor de securitate (după caz: softuri anti-virus, semnalizare încăpere, supraveghere video etc.). 9. Care este riscul ne-notificării? Entitatea care prelucrează date cu caracter personal și nu notifică Centrul despre acest fapt:
  • poate suporta sancțiuni contravenționale sub formă de amendă sau privare de dreptul de a exercita o anumită activitate.  Potrivit reglementărilor curente, mărimea maximă a amenzii care poate fi aplicată este de 10 000 lei.  Situația, însă, se poate schimba în timpul apropiat, mărimea amenzii fiind ridicată până la o sută de mii de lei.  Un proiect de lege care prevede mărirea amenzilor aplicate și diversificarea încălcărilor sancționabile este supus dezbaterilor publice acum.  Dacă modificările vor fi adoptate, mărimea maximă a amenzilor care vor putea fi aplicate pentru încălcarea normelor de protecție a datelor cu caracter personal va atinge 900 000 lei;
  • poate fi sancționată cu suspendarea sau după caz încetarea prelucrării datelor cu caracter personal;
  • poate achita prejudiciile civile pentru dauna cauzată prin prelucrarea ilegală a datelor cu caracter personal.
În anul 2015 Centrul a inițiat 618 controale, dintre care 87 din oficiu și 531 la sesizarea subiecților datelor cu caracter personal.  În comparație cu anii precedenți, se înregistrează o constantă creștere a activității Centrului.  În anul 2014 numărul de controale a fost de 174, iar în 2013 de 151 (datele sunt prezentate conform Raportului Centrului pentru anii 2015,2014 și 2013). 10. Ce înseamnă transfer transfrontalier de date? Transfer transfrontalier reprezintă transmiterea datelor către persoane din alte state, inclusiv către fondator, companii din același grup sau în scopul păstrării acestora pe servere din străinătate. Transferul de date din Republica Moldova este supus notificării și autorizării prealabile a Centrului.