Prin conceptul “date cu caracter personal” se înțelege orice informație referitoare la o persoană fizică - subiect de date cu caracter personal - identificată sau identificabilă. Persoana identificabilă este persoană care poate fi identificată, direct sau indirect, prin referire la unul sau mai multe elemente specifice identității sale (art.3 al Legii nr.133 din 8.07.2011 privind protecția datelor cu caracter personal, în continuare - Legea nr.133). Numărul de identificare a persoanei fizice este un astfel de element. Alte categorii de date cu caracter personal sunt datele biometrice, genetice, cele menționate în actele de identitate şi de geolocalizare, codurile personale ale asigurării sociale și medicale, datele bancare, etc. Anumite categorii de date cu caracter personal necesită un grad sporit de protecție - categoria specială de date cu caracter personal. Din această categorie fac parte datele care dezvăluie originea rasială sau etnică a persoanei, convingerile sale politice, religioase sau filozofice, apartenența socială, datele privind starea de sănătate sau viața sexuală (art.3 al Legii nr.133). Datele din categoria specială pot fi prelucrate doar pentru realizarea scopurilor specifice, în beneficiul persoanelor fizice și al societății la general, în conformitate cu prevederile Legii nr.133 (art.6). Prelucrarea datelor cu caracter personal trebuie să fie autorizată de către Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) înainte ca acestea să fie prelucrate. Această obligație îi revine operatorului - persoană fizică, persoană juridică, autoritate publică, orice altă instituție publică care, în mod individual sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal (art.3 al Legii nr.133). Notificarea CNPDCP presupune expedierea informației prevăzute în art.23 al Legii nr.133. Atât cererea de notificare, cât și manualul cu instrucțiuni sunt disponibile pe portalul registru.datepersonale.md. Prelucrarea datelor cu caracter personal fără notificarea și/sau autorizarea CNPDCP şi atunci când aceasta este obligatorie, poate fi sancționată în conformitate cu art.741 alin.2 al Codului Contravențional nr.218 din 24.10.2008 (în continuare - Cod Contravențional). Operatorii sunt obligați să colecteze datele cu caracter personal doar în scopuri specifice, explicite şi legitime şi să păstreze datele exacte şi actualizate pentru o perioadă stabilită de timp, fie de operator, fie de cadrul juridic național (art.4 al Legii nr.133). Spre exemplu, datele cu caracter personal ale salariaților pot fi prelucrate în scopul îndeplinirii prevederilor legislației în vigoare, acordării de asistența la angajare, instruirii şi avansării în profesie, asigurării securității personale a salariatului, controlului volumului şi calității lucrului îndeplinit şi asigurării integrității bunurilor unității (art. 91, Codul Muncii al Republicii Moldova nr.154 din 28.03.2003). La încheierea operațiunilor de prelucrare a datelor cu caracter personal, potrivit art.11 al Legii nr.133, dacă persoana fizică nu şi-a dat consimțământul pentru o prelucrare ulterioară, acestea vor fi distruse, transferate unui alt operator, dacă operatorul inițial va garanta faptul că prelucrările ulterioare au scopuri similare celor în care s-a efectuat prelucrarea inițială sau sunt transformate în date anonime şi stocate exclusiv în scopuri statistice, de cercetare istorică sau științifică. Operatorul este, de asemenea, obligat să ia măsuri organizatorice şi tehnice pentru protecția datelor cu caracter personal prelucrate (art. 30 al Legii nr.133) pentru a preveni sau înlătura anumite riscuri care pot duce la prejudicii fizice, materiale sau morale unei persoane fizice. Distrugerea, pierderea, modificarea, divulgarea neautorizată, accesul neautorizat la aceste date transmise, stocate sau prelucrate în alt mod, în mod accidental sau ilegal sunt doar câteva dintre potențiale riscuri. Pentru nerespectarea cerințelor față de asigurarea securității datelor cu caracter personal (aprobate prin Hotărârea de Guvern nr.1123 din 2010) la prelucrarea acestor date în cadrul sistemelor informaționale, pot fi aplicate sancțiuni în conformitate cu art.741 alin.1 al Codului Contravențional. Atunci când prelucrarea datelor este efectuată pe seama şi în numele operatorului, acesta va împuternici o persoană care va asigura respectarea garanțiilor referitoare la măsurile adecvate de securitate tehnică şi de organizare privind prelucrarea ce urmează a fi efectuată. Dacă prelucrarea datelor cu caracter personal este delegată unei persoane împuternicite de către operator, acest tip de prelucrare trebuie să fie reglementat printr-un contract sau un alt act juridic care să asigure în special faptul că această persoana acționează numai pe baza instrucțiunilor operatorului (art.30 al Legii nr.133). În cazul transferului transfrontalier a astfel de date este importantă garantarea unui nivel adecvat de protecție al datelor. Potrivit art.32 al Legii nr.133, transmiterea transfrontalieră poate avea loc doar cu autorizarea CNPDCP. Dacă țara de destinație nu asigură un nivel adecvat de protecție a drepturilor subiecților şi a datelor destinate transmiterii, această autoritate publică de control poate interzice transferul de date personale. Transmiterea transfrontalieră a datelor cu caracter personal cu încălcarea prevederilor cadrului juridic privind protecția datelor personale poate fi sancționată în conformitate cu art.74¹ al Codului Contravențional. Pentru încălcarea cadrului juridic privind protecția datelor cu caracter personal, potrivit art.33 al Legii nr.133, persoanele vinovate poartă răspundere în conformitate cu legislația civilă, contravențională sau penală. Este important să menționăm că domeniul de acțiune al Legii nr.133 nu se va extinde asupra cazurilor prevăzute în art. 2 al acestei legi, inclusiv asupra prelucrării datelor cu caracter personal efectuate de către operatori exclusiv pentru nevoi personale sau familiale, dacă prin aceasta nu se încalcă drepturile subiecților datelor cu caracter personal. Olga DEMIAN Administrator S.R.L. “Data Protection Resource Hub”, Titulară a diplomei de masterat în drept European în materie de protecție a datelor cu caracter personal acordată de Queen Mary, University of London