News

Încălcarea regulilor de prelucrare a datelor cu caracter personal ale salariaţilor

La 21 noiembrie 2018 un agent constatator din cadrul Centrului Naţional pentru Protecţia Datelor cu Caracter Personal (în continuare – CNPDCP) a întocmit procesul-verbal cu privire la contravenţie SRL „C” pentru comiterea contravenției prevăzută la art. 741 alin. (1) şi alin. (2) din Codul contravenţional1 (CC). Întreprinderea a fost găsită vinovată de prelucrarea datelor cu caracter personal ale salariaţilor prin intermediul sistemelor de evidenţă, cum ar fi sistemul manual/automatizat/mixt de evidenţă a angajaţilor, cu încălcarea art. 23 din Legea cu privire la protecţia datelor cu caracter personal2, dar şi a prevederilor Regulamentului Registrului de Evidenţă a operatorilor de date cu caracter personal, aprobat prin Hotărârea Guvernului nr. 296 din 15 mai 2012 ce stabilesc că, înainte de a prelucra date cu caracter personal operatorul este obligat să notifice CNPDCP, personal sau prin persoane împuternicite. Menționăm că sistemele de evidenţă a datelor cu caracter personal nu se limitează doar la date prelucrate manual, dar şi la baza de date, sisteme informaţionale şi informatice în care sunt stocate şi prelucrate automatizat datele colectate de către operator. Totodată, s-a constatat că SRL „C” nu dispune de o politică de securitate a datelor cu caracter personal prelucrate în cadrul companiei, care ar stabili rigori minime de implementare de către deţinătorul de date, în partea ce vizează măsurile organizatorice şi tehnice necesare pentru protecţia datelor cu caracter personal împotriva distrugerii, modificării, blocării, copierii şi răspândirii, precum şi împotriva altor acţiuni ilicite, menite să asigure securitatea, confidenţialitatea şi integritatea datelor prelucrate în cadrul sistemelor informaţionale şi/sau registre, dosare ţinute manual. Acest fapt contravine dispoziţiilor statuate la art. 30 din Legea cu privire la protecţia datelor cu caracter personal şi a cerinţelor faţă de asigurarea securităţii lor la prelucrare în cadrul sistemelor informaţionale, aprobate prin Hotărârea Guvernului nr. 1123 din 14 decembrie 2010. Procesul-verbal cu privire la contravenţie, conform art. 741 alin. (1) şi alin. (2) din CC, a fost expediat pentru examinare instanței de judecată, care a recunoscut vinovată SRL „C” de comiterea contravenţiei, stabilindu-i sancţiune sub formă de amendă în mărime de 120 UC (echivalentul a 6000 lei). Totodată, entitatea a fost recunoscută vinovată de comiterea contravenţiei prevăzute de art. 741 alin. (2) din CC, stabilindu-i sancţiune sub formă de amendă în mărime de 120 UC, ambele sancțiuni fiind aplicate fără privarea de dreptul de a desfăşura activităţi legate de prelucrarea datelor cu caracter personal. Conform art.44 alin.(2) din CC, prin cumul al sancţiunilor aplicate, s-a stabilit definitiv amenda în mărime de 240 UC (echivalentul a 12 mii lei). În urma atacării cu recurs de către întreprindere a hotărârii primei instanțe, Curtea de Apel Chișinău a menținut fără modificări hotărârea atacată. _______________________________________________________________________________ 1 Articolul 741. Prelucrarea datelor cu caracter personal cu încălcarea legislaţiei privind protecţia datelor cu caracter personal (1) Nerespectarea cerinţelor faţă de asigurarea securităţii datelor cu caracter personal la prelucrarea lor în cadrul sistemelor informaţionale de date cu caracter personal se sancţionează cu amendă de 150 de unităţi convenţionale aplicată persoanei fizice, cu amendă de la 150 la 300 de unităţi convenţionale aplicată persoanei cu funcţie de răspundere, cu amendă de la 200 la 500 de unităţi convenţionale aplicată persoanei juridice cu sau fără privarea, în toate cazurile, de dreptul de a desfăşura o anumită activitate pe un termen de la 3 luni la un an. se sancţionează cu amendă de la 60 la 90 de unităţi convenţionale aplicată persoanei fizice, cu amendă de la 90 la 180 de unităţi convenţionale aplicată persoanei cu funcţie de răspundere, cu amendă de la 120 la 300 de unităţi convenţionale aplicată persoanei juridice cu sau fără privarea, în toate cazurile, de dreptul de a desfăşura o anumită activitate pe un termen de la 3 luni la un an. (2) Prelucrarea datelor cu caracter personal fără notificarea şi/sau autorizarea organului de control în domeniul prelucrării datelor cu caracter personal, atunci cînd notificarea sau obţinerea autorizării este obligatorie, precum şi prelucrarea datelor cu caracter personal de un operator neînregistrat în modul stabilit se sancţionează cu amendă de 150 de unităţi convenţionale aplicată persoanei fizice, cu amendă de la 150 la 300 de unităţi convenţionale aplicată persoanei cu funcţie de răspundere, cu amendă de la 200 la 500 de unităţi convenţionale aplicată persoanei juridice cu sau fără privarea, în toate cazurile, de dreptul de a desfăşura o anumită activitate pe un termen de la 3 luni la un an. se sancţionează cu amendă de la 60 la 90 de unităţi convenţionale aplicată persoanei fizice, cu amendă de la 90 la 180 de unităţi convenţionale aplicată persoanei cu funcţie de răspundere, cu amendă de la 120 la 300 de unităţi convenţionale aplicată persoanei juridice cu sau fără privarea, în toate cazurile, de dreptul de a desfăşura o anumită activitate pe un termen de la 3 luni la un an. 2 Articolul 23. Notificarea Centrului privind prelucrarea datelor cu caracter personal (1) Operatorii sînt obligaţi să notifice Centrul, personal sau prin persoanele împuternicite de către ei, înainte de a prelucra date cu caracter personal destinate să servească unui scop. Prelucrarea altor categorii de date cu caracter personal decît cele notificate anterior se va efectua cu condiţia unei noi notificări. (11) Modul de solicitare, acordare, suspendare și retragere a actelor permisive prevăzute de prezenta lege pentru agenții economici se stabilește de Legea nr. 160/2011 privind reglementarea prin autorizare a activității de întreprinzător în partea în care nu este reglementat de prezenta lege. (2) Notificarea trebuie să conţină următoarele informaţii: a) numele sau denumirea şi domiciliul ori sediul în Republica Moldova ale operatorului şi ale persoanei împuternicite de către acesta, dacă este cazul; b) scopul prelucrării; c) descrierea subiecţilor datelor cu caracter personal, descrierea datelor ce vor fi prelucrate, precum şi a surselor de provenienţă a acestor date; d) existenţa consimţămîntului subiectului datelor cu caracter personal privind prelucrarea acestora; e) modul în care subiecţii datelor cu caracter personal sînt informaţi asupra drepturilor lor; data estimată pentru încheierea operaţiunilor de prelucrare, precum şi destinaţia ulterioară a datelor cu caracter personal; f) destinatarii cărora se intenţionează să li se dezvăluie datele cu caracter personal; g) garanţiile privind transmiterea datelor cu caracter personal către terţi; h) propuneri privind transferurile transfrontaliere ale datelor cu caracter personal care se intenţionează să fie făcute; i) persoanele responsabile pentru prelucrarea datelor cu caracter personal; j) specificarea sistemelor de evidenţă a datelor cu caracter personal care au legătură cu prelucrarea, precum şi a eventualelor legături cu alte prelucrări de date sau cu alte sisteme de evidenţă a datelor cu caracter personal, indiferent dacă se efectuează sau nu, respectiv dacă sînt situate sau nu pe teritoriul Republicii Moldova; k) motivele care justifică aplicarea prevederilor art.10 şi art.12 alin. (3), în situaţia în care prelucrarea datelor se face exclusiv în scopuri jurnalistice, artistice sau literare ori în scopuri statistice, de cercetare istorică sau ştiinţifică; l) descrierea generală a măsurilor luate pentru asigurarea securităţii prelucrării datelor cu caracter personal conform prevederilor art. 30. (3) În cazul în care datele cu caracter personal care sînt prelucrate urmează să fie transferate către alte state, notificarea va cuprinde suplimentar: a) categoriile de date care vor face obiectul transferului; b) statul de destinaţie pentru fiecare categorie de date. (4) Autorităţile publice care efectuează prelucrări de date cu caracter personal în legătură cu activităţile indicate la art. 2 alin. (2) lit. d), pentru exercitarea atribuţiilor legale ce ţin de sfera lor de competenţă sau pentru îndeplinirea obligaţiilor asumate prin acorduri internaţionale la care Republica Moldova este parte, sînt obligate să depună o declaraţie de informare care va conţine: a) denumirea şi sediul operatorului sau, după caz, a persoanei împuternicite de către acesta; b) scopul şi temeiul legal al prelucrării; c) categoriile de date cu caracter personal supuse prelucrării. (5) Notificarea nu este necesară în cazul în care prelucrarea are ca scop ţinerea unui registru destinat informării publicului larg şi deschis spre consultare publicului sau oricărei persoane care probează un interes legitim, cu condiţia ca prelucrarea să se limiteze la datele necesare ţinerii registrului menţionat. (6) Centrul poate stabili şi alte situaţii în care notificarea nu este necesară sau situaţii în care notificarea se poate efectua într-o formă simplificată, numai dacă: 1) prelucrarea, ţinînd cont de natura datelor cu caracter personal, nu afectează drepturile subiecţilor datelor cu caracter personal, cu condiţia precizării: a) scopului în care se face o asemenea prelucrare; b) datelor care vor fi prelucrate; c) categoriilor de subiecţi ai datelor cu caracter personal; d) destinatarilor cărora datele cu caracter personal le vor fi transmise; e) perioadei de stocare a datelor cu caracter personal; 2) prelucrarea se efectuează în condiţiile art. 6 alin. (1) lit. d). (7) În cazul prelucrărilor datelor cu caracter personal nesupuse notificării, operatorul sau persoana împuternicită de către acesta prezintă, la cerere, subiectului datelor cu caracter personal informaţiile prevăzute la alin. (2) lit. a)–k), cu excepţia situaţiei prevăzute la alin. (5). (8) La notificarea primară, fiecare operator primeşte un număr de înregistrare care se indică pe toate actele prin care datele cu caracter personal sînt colectate, stocate sau transmise.
author icon

Victoria Belous

Instituții:

Publicaţia periodică "Monitorul Fiscal FISC.MD"

4409 views

The date of publishing:

08 May /2019 08:01

Catalogul tematic

Noutăți

Tags:

date cu caracter personal | prelucrarea datelor | sanctiune | monitorul.fisc.md

0 comments

icon icon icon
icon
icon icon icon icon icon
icon
icon