MODIFICAT

LP175 din 11.11.21, MO302-306/10.12.21 art.431; în vigoare 10.01.22

Articolul 3. Noţiuni principale

consimțământul subiectului de date cu caracter personal – manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a subiectului de date prin care acesta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care îl privesc să fie prelucrate;

creare de profiluri – formă de prelucrare automată a datelor cu caracter personal, care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte referitoare la o persoană fizică, în special pentru a analiza sau a stabili aspecte privind performanța la locul de muncă, situația economică, sănătatea, preferințele, interesele, fiabilitatea, comportamentul, locul în care se află persoana respectivă și deplasările acesteia.

Articolul 4. Caracteristica datelor cu caracter personal

b) colectate în scopuri determinate, explicite şi legitime, iar ulterior să nu fie prelucrate într-un mod incompatibil cu aceste scopuri. Prelucrarea ulterioară a datelor cu caracter personal în scopuri statistice, de cercetare istorică sau ştiinţifică nu este considerată incompatibilă cu scopul colectării dacă se efectuează cu respectarea prevederilor prezentei legi şi cu respectarea garanţiilor privind prelucrarea datelor cu caracter personal, prevăzute de normele ce reglementează activitatea statistică, cercetarea istorică şi cea ştiinţifică;

Articolul 7. Prelucrarea datelor cu caracter personal privind starea de sănătate

(2) Cadrele medicale, instituţiile medico-sanitare şi personalul medical al acestora pot prelucra date cu caracter personal privind starea de sănătate numai dacă prelucrarea este necesară pentru protejarea vieţii, integrităţii fizice și a sănătăţii subiecţilor datelor cu caracter personal, precum și în scopul reducerii riscului de declanșare sau în cazul declanșării urgențelor de sănătate publică.

Articolul 20. Atribuţiile şi drepturile Centrului

(1) Centrul are următoarele atribuţii:

 lit.b) abrogată 

lit.f) abrogată

g) emite ordine în domeniul protecţiei datelor cu caracter personal şi formulare tipizate ale registrelor proprii;

h) oferă consiliere la realizarea impactului asupra protecției datelor și în cadrul procedurii de consultare prealabilă menționate la art. 24, întocmește și publică o listă a tipurilor de operațiuni care fac obiectul cerinței de efectuare a evaluării impactului asupra protecției datelor în conformitate cu art. 23 alin. (1). Centrul este în drept, de asemenea, să stabilească și să pună la dispoziția publicului o listă a tipurilor de operațiuni de prelucrare pentru care nu este necesară evaluarea impactului asupra protecției datelor;

lit.p) abrogată

Articolul 23. Evaluarea impactului asupra protecției datelor

(9) Centrul poate, de asemenea, să stabilească și să pună la dispoziția publicului o listă a tipurilor de operațiuni de prelucrare pentru care nu este necesară o evaluare a impactului asupra protecției datelor.

Articolul 24. Consultarea prealabilă

(1) Operatorul consultă Centrul înainte de prelucrarea datelor dacă evaluarea impactului asupra protecției datelor, prevăzută la art. 23, indică faptul că prelucrarea ar genera un risc sporit, iar operatorul consideră că riscul nu poate fi atenuat prin mijloace rezonabile sub aspectul tehnologiilor disponibile și al costurilor implementării.

(2) În cazul în care Centrul consideră că prelucrarea prevăzută la alin. (1) ar încălca prezenta lege, în special atunci când riscul nu a fost identificat sau atenuat într-o măsură suficientă de operator, Centrul oferă consiliere în scris operatorului și, după caz, persoanei împuternicite de operator în cel mult opt săptămâni de la primirea cererii de consultare, precum și poate utiliza oricare dintre competențele menționate la art. 20. Perioada respectivă poate fi prelungită cu șase săptămâni, ținându-se cont de complexitatea prelucrării prevăzute. Centrul informează operatorul și, după caz, persoana împuternicită de operator, în termen de o lună de la primirea cererii, cu privire la astfel de prelungire, prezentând detaliat și specific motivele întârzierii. Curgerea acestor perioade poate fi suspendată până când Centrul nu a obținut informațiile pe care le-a solicitat în scopul consultării.

(3) În cazul în care operatorul consultă Centrul în conformitate cu alin. (1), acesta îi furnizează Centrului:

a) după caz, responsabilitățile corespunzătoare ale operatorului/operatorilor și ale persoanelor împuternicite de operator implicate în activitățile de prelucrare a datelor, în special pentru prelucrarea în cadrul unui grup de întreprinderi;

b) scopurile și mijloacele prelucrării preconizate;

c) măsurile și garanțiile prevăzute pentru protecția drepturilor și libertăților subiecților de date, în conformitate cu prezenta lege;

d) după caz, datele de contact ale persoanei responsabile cu protecția datelor;

e) evaluarea impactului asupra protecției datelor, prevăzută la art. 23;

f) alte informații relevante și necesare solicitate suplimentar de Centru.

Articolul 25. Desemnarea persoanei responsabile cu protecția datelor

(1) Operatorul și persoana împuternicită de operator desemnează o persoană responsabilă cu protecția datelor ori de câte ori:

a) prelucrarea este efectuată de o autoritate sau o instituție publică, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale;

b) activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a subiecților de date pe scară largă;

c) activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date.

(2) Un grup de întreprinderi poate desemna o persoană responsabilă cu protecția datelor unică, cu condiția ca persoana respectivă să fie ușor accesibilă de fiecare întreprindere.

(3) În cazul în care operatorul sau persoana împuternicită de operator este  autoritate publică ori instituție publică, poate fi desemnată o persoană responsabilă cu protecția datelor unică pentru mai multe dintre aceste autorități sau instituții, luând în considerare structura organizatorică și dimensiunea acestora.

(4) Persoana responsabilă cu protecția datelor este desemnată pe baza calităților profesionale și, în special, a cunoștințelor de specialitate privind  reglementările și practicile din domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile prevăzute la art. 252.

(5) Persoana responsabilă cu protecția datelor poate activa în cadrul operatorului sau al persoanei împuternicite de operator ori poate să își îndeplinească sarcinile în baza unui contract de prestare servicii.

(6) Operatorul sau persoana împuternicită de operator publică datele de contact ale persoanei responsabile cu protecția datelor și le comunică Centrului.

(7) În alte cazuri decât cele menționate la alin. (1), operatorul sau persoana împuternicită de operator, precum și asociațiile și alte instituții care reprezintă categorii de operatori sau de persoane împuternicite de operatori pot desemna sau, în cazul în care legislația prevede, desemnează obligatoriu o persoană responsabilă cu protecția datelor. Persoana responsabilă cu protecția datelor poate să acționeze în favoarea unor astfel de asociații și a altor instituții care reprezintă operatori sau persoane împuternicite de operatori.

Articolul 251. Funcția responsabilului cu protecția  datelor

(1) Operatorul și persoana împuternicită de operator asigură că persoana responsabilă cu protecția datelor este implicată în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter personal.

(2) Operatorul și persoana împuternicită de operator oferă suport persoanei responsabile cu protecția datelor în îndeplinirea sarcinilor indicate la art. 252, asigurându-i resursele necesare pentru executarea sarcinilor respective, pentru menținerea cunoștințelor sale de specialitate, precum și accesul către datele cu caracter personal și către operațiunile de prelucrare.

(3) Operatorul și persoana împuternicită de operator asigură că persoana responsabilă cu protecția datelor nu primește instrucțiuni cu privire la îndeplinirea sarcinilor. Aceasta nu poate fi demisă ori sancționată de operator sau de persoana împuternicită de operator pentru îndeplinirea sarcinilor sale. Persoana responsabilă cu protecția datelor răspunde direct în fața celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator.

(4) Subiecții de date pot contacta persoana responsabilă cu protecția datelor cu privire la chestiunile legate de prelucrarea datelor acestora și la exercitarea drepturilor lor în temeiul prezentei legi.

(5) Persoana responsabilă cu protecția datelor are obligația de a respecta secretul sau confidențialitatea privind îndeplinirea sarcinilor, în conformitate cu actele normative.

(6) Persoana responsabilă cu protecția datelor poate îndeplini și alte sarcini și atribuții. Operatorul sau persoana împuternicită de operator asigură că niciuna dintre aceste sarcini și atribuții nu generează un conflict de interese.

Articolul 252. Sarcinile persoanei responsabile cu protecția datelor

(1) Persoana responsabilă cu protecția datelor are cel puțin următoarele sarcini:

a) informarea și consilierea operatorului sau a persoanei împuternicite de operator, precum și a angajaților care se ocupă de prelucrarea datelor cu privire la obligațiile care le revin în temeiul prezentei legi și al altor acte normative;

b) monitorizarea respectării prezentei legi și a altor acte normative referitoare la protecția datelor și a politicilor operatorului sau ale persoanei împuternicite de operator în ceea ce privește protecția datelor cu caracter personal, precum și atribuirea responsabilităților, inclusiv privind acțiunile de sensibilizare și de formare a personalului implicat în operațiunile de prelucrare și privind auditurile aferente;

c) oferirea consilierii la cerere în ceea ce privește evaluarea impactului asupra protecției datelor și monitorizarea funcționării acesteia;

d) cooperarea cu Centrul;

e) asumarea rolului de punct de contact pentru Centru privind aspectele legate de prelucrarea datelor, inclusiv consultarea prealabilă, precum și, după caz, consultarea cu privire la alte chestiuni.

(2) În îndeplinirea sarcinilor, persoana responsabilă cu protecția datelor ține cont, în mod corespunzător, de riscul asociat operațiunilor de prelucrare, luând în considerare natura, domeniul de aplicare, contextul și scopurile prelucrării.

Art.28 abrogat

Art.30 al.(4) abrogat

Articolul 32. Transmiterea transfrontalieră și libera circulație a datelor cu caracter  personal

(1) Prezentul articol se aplică în cazul transmiterii către un alt stat a datelor cu caracter personal care fac obiectul prelucrării.

(2) Transmiterea datelor cu caracter personal se permite și se realizează, ținând cont de principiul liberei circulații a datelor, către:

a) statele membre ale Spațiului Economic European;

b) statele care asigură un nivel adecvat de protecție a datelor cu caracter personal.

(3) Centrul aprobă, prin decizie, lista statelor care asigură un nivel adecvat de protecție a datelor, luând în considerare: tratatele internaționale în materie de protecție a datelor cu caracter personal la care fac parte; existența și compatibilitatea legislației privind protecția datelor; competențele și cooperarea cu organul de supraveghere a prelucrării datelor, precum și alte aspecte importante privind regimul juridic al protecției datelor cu caracter personal. Centrul ţine cont de deciziile adoptate de Comisia Europeană privind statele care asigură un nivel adecvat de protecție a datelor cu caracter personal.

(4) Lista statelor care asigură un nivel adecvat de protecție a datelor se publică în Monitorul Oficial al Republicii Moldova și pe pagina web oficială a Centrului.

(5) Transmiterea datelor cu caracter personal către statele care nu asigură un nivel adecvat de protecție poate avea loc:

a) dacă prelucrarea are loc în temeiul unui acord sau tratat semnat între Republica Moldova și țara de destinație; 

b) cu consimțământul subiectului datelor cu caracter personal, cu informarea asupra posibilelor riscuri pe care astfel de transferuri le pot implica pentru subiectul de date ca urmare a lipsei unei decizii privind caracterul adecvat al nivelului de protecție și a unor garanții adecvate;

c) în cazul necesității de a încheia ori executa un acord sau contract între subiectul datelor cu caracter personal şi operator ori între operator şi o persoană terță în interesul subiectului datelor cu caracter personal;

d) dacă aceasta este necesară pentru a proteja viața, integritatea fizică sau sănătatea subiectului datelor cu caracter personal;

e) dacă sunt urmărite scopuri jurnalistice, artistice, științifice, literare sau de arhivare în interes public;

f) către alte companii ori organizații din același grup cu operatorul de date, cu condiția respectării regulilor corporatiste obligatorii, aprobate de statele indicate la alin. (2) lit. a), sau a celor aprobate de Centru;

g) dacă aceasta este necesară pentru satisfacerea unui interes public major, precum apărarea națională, securitatea statului sau ordinea publică, pentru buna desfășurare a procesului penal ori pentru constatarea, exercitarea sau apărarea unui drept în justiție, cu condiția ca datele cu caracter personal să fie prelucrate în legătură cu acest scop şi numai pentru perioada necesară realizării acestui scop;

h) dacă transferul este necesar pentru stabilirea, exercitarea sau apărarea unui drept în instanță, indiferent dacă este în contextul unei proceduri judiciare ori în contextul unei proceduri administrative sau extrajudiciare, inclusiv în cadrul procedurilor în fața autorităților de reglementare;

i) dacă prelucrarea are loc în temeiul contractului standard pentru transmiterea transfrontalieră a datelor cu caracter personal, elaborat și aprobat de Centru, încheiat de către operatorul de date.