La 25 mai 2018 a intrat în vigoare ultimul act din pachetul legislativ de acte europene din domeniul protecției datelor cu caracter personal - Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date (GDPR), aprobat la 27 aprilie 2016 de către Parlamentul European și Consiliul Uniunii Europene. Din seria actelor incluse în acest pachet legislativ fac parte Directiva nr. 680/2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și Directiva nr. 681/2016 privind utilizarea datelor din registrul cu numele pasagerilor (PNR) pentru prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave. În linii generale, scopul principal al acestor documente este adaptarea şi actualizarea principiilor și regulilor generale de prelucrare a datelor personale în raport cu evoluţiile tehnologice contemporane, precum și asigurarea unui nivel înalt de protecție a drepturilor și libertăților persoanelor fizice în procesul de prelucrare a acestor date la nivelul statelor membre UE. Noile prevederi ale legislației europene reprezintă o evoluție în plan calitativ în domeniul protecției persoanei fizice la prelucrarea datelor personale. În acest context, observăm că în Uniunea Europeană se atestă tendința majoră a instituțiilor publice și a companiilor private de a pune un accent deosebit pe nivelul de protecție a datelor cu caracter personal în procesul de prelucrare a acestora, dar și la luarea deciziei de către companiile mari de a se implanta economic într-o țară. Astfel, recunoașterea echivalenței în domeniul protecției datelor cu caracter personal între Uniunea Europeană și Republica Moldova va constitui o garanţie pentru agenții economici străini și naționali, dar și pentru clienții acestora, ale căror date stocate în Republica Moldova sunt prelucrate în condiții adecvate de securitate și transferate în baza unor principii și reguli unanim recunoscute în cadrul Uniunii Europene. În scopul asigurării unei protecții persoanelor fizice în procesul de prelucrare a datelor personale care îi vizează și, respectiv, neadmiterii lezării drepturilor subiecților de date, trebuie respectate mai multe principii importante: cel al legalității, al limitării de stocare, de minimizare a datelor, de responsabilizare a operatorului, dar şi principiile exactității, integrității, securității și confidențialității și transparenței. Spre exemplu, principiul legalității se regăsește în prevederile art. 4 alin. (1) lit. a al Legii 133 privind protecția datelor cu caracter personal, care stabilește că datele urmează a fi prelucrate în mod corect şi conform prevederilor legii; principiul limitării legate de scop este stabilit de lit. b) a aceluiași articol, conform căruia datele pot fi prelucrate/ colectate în scopuri determinate, explicite şi legitime, iar ulterior să nu fie prelucrate într-un mod incompatibil cu aceste scopuri; principiul de minimizare a datelor se reflectă în prevederile lit. c) din alin. (1) al aceluiași articol, potrivit căreia datele trebuie să fie adecvate, pertinente şi neexcesive în ceea ce priveşte scopul pentru care sunt colectate şi/ sau prelucrate ulterior; principiul exactității și integrității care presupune că datele prelucrate trebuie să fie exacte şi, dacă este necesar, actualizate. Potrivit art. 5 alin. (1) al Legii 133, prelucrarea datelor cu caracter personal se efectuează cu consimţământul subiectului de date cu caracter personal, care poate fi retras în orice moment de către subiect, dar nu poate avea efect retroactiv. Totodată, consimţământul subiectului datelor cu caracter personal nu este cerut în cazurile în care prelucrarea este necesară pentru: a) executarea unui contract la care subiectul datelor cu caracter personal este parte sau pentru luarea unor măsuri înaintea încheierii contractului, la cererea subiectului; b) îndeplinirea unei obligaţii care îi revine operatorului conform legii; c) protejarea vieţii, integrităţii fizice sau a sănătăţii subiectului datelor cu caracter personal; d) executarea sarcinilor de interes public sau care rezultă din exercitarea prerogativelor de autoritate publică cu care este investit operatorul sau terţul căruia îi sunt dezvăluite datele cu caracter personal; e) realizarea unui interes legitim al operatorului sau al terţului căruia îi sunt dezvăluite datele cu caracter personal, cu condiţia ca acest interes să nu prejudicieze interesele sau drepturile şi libertăţile fundamentale ale subiectului datelor cu caracter personal. Astfel, legiuitorul a prevăzut aceste excepții pentru a face posibilă desfășurarea activităților specifice operatorului după caz, care implică inerent prelucrarea datelor personale. Principiul transparenței stabileşte obligaţia operatorului de a informa persoanele cu privire la modul în care le sunt utilizate datele. Operaţiunile de prelucrare trebuie să fie explicate persoanelor vizate într-o manieră accesibilă, care să garanteze că acestea înţeleg ceea ce se va întâmpla cu datele lor – principiu care, în esență, va duce la stabilirea unei relații de încredere între operator și subiect. Operatorii ar trebui să demonstreze argumentat, faţă de persoanele vizate şi de publicul larg, că prelucrarea de date se efectuează în mod legal şi transparent. Operaţiunile de pre¬lucrare nu trebuie să fie realizate în mod secret şi nici să genereze efecte negative imprevi¬zibile. Operatorii trebuie să asigure informarea subiecților de date cu privire la utilizarea datelor lor. Mai mult ca atât, operatorii trebuie să acţioneze, în măsura în care este posibil, astfel, încât să satisfacă prompt dorinţele persoanelor vizate, în special în cazurile în care consimţământul acestora constituie temeiul juri¬dic pentru prelucrarea datelor. Drepturile subiectului de date cu caracter personal sunt garantate de lege în vederea consolidării drepturilor cetățenilor în raport cu operațiunile de prelucrare a datelor cu caracter personal care îi vizează și sunt stabilite de art. 12 – 18 al Legii nr.133 și anume: dreptul la informare, de acces, de intervenție, opoziție și de a nu fi supus unei decizii individuale. Suplimentar, în contextul intrării în vigoare a Regulamentului (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date (GDPR), la nivelul statelor Uniunii Europene au fost dezvoltate drepturile existente și extinsă sfera drepturilor subiectului de date. Astfel, noua paletă de drepturi destinate subiecților de date, include dreptul la portabilitatea datelor, dreptul la ștergerea datelor (dreptul de a fi uitat), dreptul la rectificarea datelor etc. De asemenea, potrivit art. 30 al Legii nr. 133, operatorul este obligat să ia măsurile organizatorice şi tehnice necesare pentru protecţia datelor împotriva distrugerii, modificării, blocării, copierii, răspândirii, precum şi împotriva altor acţiuni ilicite, măsuri menite să asigure un nivel de securitate adecvat în ceea ce priveşte riscurile prezentate de prelucrare şi caracterul datelor prelucrate. În acest context, pentru încălcarea prevederilor Legii nr. 133, persoanele vinovate răspund în conformitate cu legislaţia civilă, contravenţională sau penală. Astfel, conform art.18, orice persoană care a suferit un prejudiciu în rezultatul unei prelucrări în mod ilegal a datelor caracter personal sau căreia i-au fost încălcate drepturile şi interesele garantate de prezenta lege, are dreptul de a sesiza instanţa de judecată pentru repararea prejudiciilor materiale şi morale provocate de către operator. Totodată, Codul Contravențional al Republicii Moldova prevede în art. 74¹ -74³ sancțiuni pentru: - Nerespectarea cerinţelor faţă de asigurarea securităţii datelor cu caracter personal la prelucrarea lor în cadrul sistemelor informaţionale de date cu caracter personal; - Prelucrarea datelor cu caracter personal fără notificarea şi/sau autorizarea organului de control în domeniul prelucrării datelor cu caracter personal, atunci când notificarea sau obţinerea autorizării este obligatorie, precum şi prelucrarea datelor cu caracter personal de un operator neînregistrat în modul stabilit; - Încălcarea drepturilor subiectului datelor cu caracter personal de a fi informat, de acces la datele cu caracter personal, de intervenţie asupra datelor cu caracter personal, de opoziţie şi de a nu fi supus unei decizii individuale; - Încălcarea regulilor de stocare şi utilizare a datelor cu caracter personal; - Transmiterea transfrontalieră a datelor cu caracter personal cu încălcarea legislaţiei privind protecţia datelor cu caracter personal - Refuzul de a furniza informaţiile sau documentele solicitate de Centrul Naţional pentru Protecţia Datelor cu Caracter Personal în procesul exercitării atribuţiilor de control, prezentarea unor informaţii neautentice sau incomplete, precum şi neprezentarea în termenul stabilit de lege a informaţiilor şi a documentelor solicitate - Neîndeplinirea în termenul stabilit a deciziei Centrului Naţional pentru Protecţia Datelor cu Caracter Personal privind repunerea în drepturi a subiectului datelor cu caracter personal, inclusiv privind suspendarea sau încetarea prelucrării datelor cu caracter personal, privind blocarea, distrugerea parţială ori integrală a datelor cu caracter personal prelucrate cu încălcarea legislaţiei în domeniul protecţiei datelor cu caracter personal.