Digital Report

Обзор законодательства Республики Молдова: Персональные данные, личная и семейная тайна

22% операторов России предоставили Роскомнадзору персональные данные абонентов

Фото: deepadesigns/Shutterstock.com

Обзор законодательства Республики Молдова в сфере информационной безопасности. Часть 2: Персональные данные, личная и семейная тайна

Персональные данные и защита частной жизни в Молдове

Конституция РМ в ст.28 предусматривает, что государство уважает и охраняет интимную, семейную и частную жизнь. Согласно ст. 30 Конституции государство обеспечивает тайну писем, телеграмм и других почтовых отправлений, телефонных переговоров и иных законных видов связи. Отступления от этих положений допускаются законом в случаях, когда это необходимо в интересах национальной безопасности, экономического благосостояния страны, общественного порядка и в целях предотвращения преступлений.

Оглавление (показать/скрыть)
Часть 1: Концепция информационной безопасности Молдовы
Часть 2: Персональные данные, личная и семейная тайна
Часть 3: Государственная тайна
Часть 4: Коммерческая тайна
Часть 5: Иные виды тайн
Часть 6: Криптографическая защита информации
Часть 7: Техническая защита информации
Часть 8: Прослушка и другие специальные розыскные мероприятия
Часть 9: Борьба с киберпреступностью

Неприкосновенность интимной, семейной и частной жизни относится к объектам гражданских прав и защищается всеми предусмотренными законом способами, прежде всего, в исковом порядке, путем возмещения причиненного морального вреда. Суды по заявлениям граждан присуждают им, как правило, сравнительно небольшие компенсации за причиненный моральный ущерб в связи с нарушением неприкосновенности частной жизни: распространением информации в СМИ, опубликованием личной переписки, раскрытием фактов личной жизни.

Законодательство страны в сфере обработки персональных данных, состоит, в том числе, из Конвенции Совета Европы о защите физических лиц при автоматизированной обработке данных личного характера, дополнительного протокола к этой Конвенции и других международных соглашений, стороной которых является Молдова. Республика Молдова подписала данную Конвенцию в мае 1998 года, ратифицировала ее постановлением Парламента в июле 1999 года. Конвенция вступила в силу для Молдовы с 1 июня 2008 года.

Вместе со сдачей на хранение ратификационной грамоты Конвенции, были представлены декларации, в которых власти заявили, что не будут применять Конвенцию в отношении обработки персональных данных физическими лицами исключительно для личных и семейных нужд (с условием, что они не нарушают права субъектов персональных данных), а также в отношении обработки персональных данных, относящихся к информации, являющейся государственной тайной. В то же время было заявлено, что Конвенция будет применяться в отношении персональных данных, которые не подвергаются автоматизированной обработке. Кроме того, Молдова назначила Национальный центр по защите персональных данных в качестве компетентного органа по исполнению положений Конвенции и поддержанию отношений взаимопомощи с другими государствами-участниками.

В апреле 2010 года был подписан, а в сентябре 2011 года ратифицирован Дополнительный протокол к Конвенции о защите физических лиц при автоматизированной обработке данных личного характера, касающийся органов контроля и трансграничной передачи данных. Он вступил в силу для Республики Молдова с 1 января 2012 года.

Действующий Закон о защите персональных данных был принят Парламентом в 2011 г. Закон вступил в силу в апреле 2012 г., его целью стало обеспечение защиты основных прав и свобод физического лица при обработке его персональных данных, в особенности права на неприкосновенность интимной, семейной и частной жизни. Им регулируются правоотношения, возникающие при обработке персональных данных полностью или частично автоматизированными средствами, а также при обработке средствами, отличными от автоматизированных, персональных данных, составляющих часть системы учета или предназначенных для введения в такую систему.

Основные понятия

Закон определяет персональные данные как любую информацию, связанную с идентифицированным или идентифицируемым физическим лицом (субъектом персональных данных). Идентифицируемым является лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификационный номер либо на один или несколько факторов, специфичных для его физической, физиологической, психической, экономической, культурной или социальной идентичности.

Особые категории персональных данных – данные, раскрывающие расовое или этническое происхождение лица, политические убеждения, религиозные или философские воззрения, социальную принадлежность, данные, касающиеся состояния здоровья или половой жизни, а также данные, касающиеся уголовного наказания, принудительных процессуальных мер или санкций за правонарушения. Закон об информатике предусматривает, что информация особой категории не может быть предметом хранения и обработки в базах данных. Такие данные могут обрабатываться и храниться только специально учрежденными органами, которые имеют соответствующее разрешение, гарантируют защиту и неразглашение информации и обязаны принимать для этого необходимые меры.

Под обработкой персональных данных понимается любая операция или набор операций, выполняемых над персональными данными, как автоматизированными средствами, так и без таковых, такие как сбор, запись, организация, хранение, восстановление, адаптация или изменение, извлечение, консультирование, использование, раскрытие посредством передачи, распространения или предоставления иного доступа, группировка или комбинирование, блокирование, стирание или уничтожение.

Система учета персональных данных – любой структурированный набор личных данных, являющихся доступными в соответствии с определенными критериями, централизованный, децентрализованный или распределенный на функциональной или географической основе.

Субъектами отношений в области обработки персональных данных являются сам субъект персональных данных (физическое лицо), а также обработчик – физическое лицо или юридическое лицо публичного или частного права, включая орган публичной власти и его территориальные подразделения, которое от имени или в интересах контролера обрабатывает персональные данные по его указанию. Субъектом отношений по обработке персональных данных также является третья сторона – физическое лицо или юридическое лицо публичного или частного права, кроме субъекта персональных данных, контролера, обработчика и лиц, которые уполномочены обрабатывать персональные данные с прямой санкции контролера или обработчика.

Под контролером закон понимает физическое лицо или юридическое лицо публичного или частного права, включая орган публичной власти, любое иное учреждение или организацию, которое самостоятельно или совместно с другими определяет цели и средства обработки персональных данных, прямо предусмотренные действующим законодательством. Получателем считается любое физическое лицо либо юридическое лицо публичного или частного права, включая орган публичной власти и его территориальные подразделения, которому раскрываются персональные данные, независимо от того, является ли оно третьей стороной. Не считаются получателями органы национальной обороны, госбезопасности и общественного порядка, органы уголовного преследования и судебные инстанции, которым персональные данные передаются в рамках реализации оговоренных законом полномочий.

Закон определяет согласие субъекта персональных данных как любое волеизъявление, свободное, конкретное и безоговорочное, данное в письменной или электронной – с соблюдением требований к электронным документам – форме, которым субъект персональных данных соглашается на обработку касающихся его персональных данных.

Отдельно стоит обратить внимание на закрепленное законом понятие обезличивания персональных данных. Это изменение персональных данных так, что детали личного или материального положения более не дают возможности отождествить персональные данные с идентифицированным или идентифицируемым лицом либо позволяют сделать это лишь путем расследования, требующего непропорциональных затрат времени, средств и труда. Законом предусмотрено, что в статистических целях, для проведения исторических, научных, социологических, медицинских исследований, юридического документирования контролер обезличивает персональные данные путем изъятия из них части, которая позволяет идентифицировать физическое лицо, преобразовывая их в анонимные сведения, которые не могут увязываться с идентифицированной или идентифицируемой личностью. При обезличивании режим конфиденциальности, установленный для персональных данных, снимается.

Основные условия обработки, хранения и использования персональных данных

Законом предусмотрены основные характеристики персональных данных. Персональные данные, являющиеся предметом обработки, должны:

Обработка персональных данных осуществляется с согласия субъекта персональных данных. Согласие на обработку может быть отозвано субъектом в любой момент. Отзыв согласия не может иметь обратной силы. При недееспособности или ограниченной дееспособности субъекта персональных данных согласие на обработку дает в письменной форме его законный представитель. В случае смерти субъекта персональных данных согласие в письменном виде дают его наследники, если оно не было дано субъектом персональных данных при его жизни.

Не требуется согласия субъекта персональных данных в случае, если обработка персональных данных необходима:

Закон предусматривает закрытый перечень случаев, в которых могут обрабатываться особые категории персональных данных (для ряда категорий персональных данных предусмотрено специальное регулирование). Обработка особых категорий персональных данных запрещается, за исключением случаев, когда:

По обоснованным причинам Национальный центр по защите персональных данных может распорядиться о запрете обработки особых категорий персональных данных, даже при наличии согласия субъекта персональных данных, которое не отозвано, при условии, что запрет не устранен одним из вышеперечисленных случаев.

В отступление от общих положений обработка персональных данных, касающихся состояния здоровья, разрешается в случае, если это требуется в целях превентивной медицины, установления медицинского диагноза, предоставления медицинского обслуживания или лечения субъекта персональных данных либо управления службами здравоохранения, действующими в интересах субъекта персональных данных. Такое же правило действует, если обработка требуется в целях охраны общественного здоровья. Закон оговаривает, что персональные данные о состоянии здоровья могут обрабатываться в этих целях медработником или под наблюдением медработника, обязанного хранить профессиональную тайну, либо иным лицом или под наблюдением иного лица, имеющего эквивалентные обязательства в отношении профессиональной тайны.

Медработники, медико-санитарные учреждения и их медперсонал могут обрабатывать персональные данные, касающиеся состояния здоровья, без разрешения Национального центра по защите персональных данных, только если обработка необходима для защиты жизни, физической целостности или здоровья субъекта персональных данных. Если эти цели касаются иных лиц или общества в целом и субъект персональных данных не дал недвусмысленного письменного согласия, должно быть получено разрешение в установленном законом порядке.

Обработка персональных данных, касающихся уголовного наказания, принудительных процессуальных мер или санкций за правонарушения, возможна только органами публичной власти или под их контролем в пределах предоставленных полномочий и в соответствии с условиями, установленными профильными законами.

Обработка персональных данных с функцией идентификатора. Обработка государственного идентификационного номера (IDNP) физического лица, отпечатков пальцев или иных персональных данных, выполняющих функцию идентификатора общего назначения, может происходить при одном из следующих условий:

Обработка персональных данных и свобода выражения. Закон предусматривает применение специального регулирования в случаях обработки персональных данных исключительно в целях журналистики, художественного или литературного творчества. Согласия субъекта персональных данных и соблюдения некоторых других условий не потребуется, если обработка относится к данным, добровольно и явно сделанным общедоступными субъектом персональных данных либо тесно связанным со статусом публичной фигуры субъекта персональных данных или публичным характером действий, в которые он вовлечен. При этом применяются положения Закона о свободе выражения мнения.

Условия и сроки хранения персональных данных определяются законодательством с учетом положений Закона о защите персональных данных. По истечении срока хранения данные подлежат уничтожению в установленном законом порядке. Персональные данные из государственных регистров с момента прекращения их использования могут оставаться на хранении, приобретая статус архивного документа.

По завершении операций по обработке персональных данных, если субъект персональных данных не дал согласия на использование в иных целях или на дальнейшую обработку, персональные данные должны быть:

С момента смерти субъекта персональных данных его персональные данные с согласия наследников могут использоваться в архивных или в иных предусмотренных законом целях.

Трансграничная передача персональных данных, которые являются предметом обработки или подлежат обработке после передачи, возможна с разрешения Национального центра по защите персональных данных и лишь в том случае, если государство назначения обеспечивает адекватный уровень защиты прав субъектов персональных данных и данных, предназначенных для передачи. Уровень защиты определяется Национальным центром по защите персональных данных с учетом ряда условий, в том числе природы персональных данных, цели и продолжительности их обработки, государства назначения, его законодательства, а также профессиональных норм и мер безопасности в государстве назначения. Если Центр придет к выводу, что уровень защиты неудовлетворителен, он запрещает передачу данных.

Ограничения не действуют, если передача персональных данных происходит на основе специального закона или ратифицированного Молдовой международного договора, в частности, если речь идет о предотвращении или расследовании преступлений. При этом специальный закон или международный договор должны предусматривать гарантии защиты прав субъектов персональных данных. Особое регулирование применяется и в случае обработки персональных данных исключительно в целях журналистики, художественного или литературного творчества, если обрабатываются данные, добровольно и явно сделанные общедоступными субъектом персональных данных либо тесно связанные со статусом публичной фигуры субъекта персональных данных или публичным характером действий, в которые он вовлечен.

Закон допускает передачу персональных данных в государства, не обеспечивающие адекватный уровень защиты, только в следующих случаях:

Права субъекта данных и обязанности оператора. Ответственность

Если персональные данные собираются непосредственно от субъекта персональных данных, контролер или обработчик обязаны предоставить, кроме случаев, когда он уже обладает ею, следующую информацию:

1) личность контролера или, если таковой имеется, обработчика;

2) цель обработки собранных данных;

3) дополнительную информацию, такую как:

Если данные собираются не непосредственно от субъекта персональных данных, контролер или обработчик обязаны на момент сбора данных или в случае, когда предполагается раскрытие данных третьей стороне, не позднее времени, когда данные впервые раскрываются, предоставить субъекту персональных данных информацию о категориях собираемых или раскрываемых персональных данных, а также вышеперечисленную информацию, кроме данных об обязательности ответов и информации о последствиях отказа. Эти положения не применяются в случае, когда:

Право на доступ к персональным данным и вмешательство в отношении персональных данных. Любой субъект персональных данных имеет право получать от контролера по запросу без задержки и безвозмездно:

Кроме того, любой субъект персональных данных имеет право получать от контролера или обработчика по запросу и безвозмездно исправления, актуализации, блокирования или удаления персональных данных, обработка которых противоречит закону (например, в связи с неполным или неточным характером данных). Субъект персональных данных также вправе потребовать уведомления третьих сторон, которым раскрываются персональные данные, о вышеперечисленных операциях. Исключением являются случаи, когда такое уведомление оказывается невозможным или требующим непропорциональных усилий в сравнении с законным интересом, который может быть ущемлен.

Закон содержит ряд ограничений и исключений для случаев, когда обработка персональных данных происходит в целях обеспечения национальной обороны, госбезопасности и общественного порядка, защиты прав и свобод субъекта персональных данных или иных лиц. Обработка персональных данных в этих случаях не должна превышать времени, необходимого для достижения преследуемой цели. После прекращения соответствующих обстоятельств контролеры должны принять необходимые меры для обеспечения соблюдения прав субъектов персональных данных. На органы публичной власти возложена обязанность по ведению учета применения подобных исключений. В 10-дневный срок они уведомляют Национальный центр по защите персональных данных о соответствующем случае.

Право субъекта персональных данных на возражение. Субъект персональных данных вправе в любое время безвозмездно высказывать на обоснованном и законном основании, связанном с его частной ситуацией, возражение против того, чтобы касающиеся его персональные данные стали предметом обработки, кроме случаев, когда законом определено иное. Если возражение является обоснованным, выполняемая контролером обработка не может далее затрагивать эти данные. Субъект также вправе в любое время и без какого-либо обоснования безвозмездно высказывать возражение против обработки его персональных данных для целей прямого маркетинга. Контролер или обработчик обязаны перед раскрытием третьим сторонам персональных данных информировать субъекта о праве высказывать возражение против такого использования.

Право не оказаться под воздействием частного решения. Каждое лицо имеет право требовать полной или частичной отмены любого частного решения, порождающего юридические последствия в отношении его прав и свобод и основанного исключительно на автоматизированной обработке персональных данных, предназначенной для оценки некоторых его личных аспектов, таких как профессиональная компетенция, надежность, поведение и т.п.

В то же время лицо может оказаться под воздействием такого решения, если:

Лица, виновные в нарушении Закона о защите персональных данных, несут в соответствии с законодательством гражданскую, административную или уголовную ответственность. Любое лицо, которому нанесен ущерб в результате незаконной обработки персональных данных или гарантированные права и интересы которого нарушены, вправе обратиться в суд с требованием компенсации за материальный и моральный ущерб.

В то же время Кодекс о правонарушениях предусматривает различные виды наказаний для граждан, должностных лиц и юридических лиц в следующих случаях:

Кроме того, предусмотрены административные санкции за отказ в предоставлении информации или воспрепятствование доступу сотрудников Национального центра по защите персональных данных, а также за невыполнение решений этого органа.

Конфиденциальность и безопасность персональных данных

Контролеры и третьи стороны, получающие доступ к персональным данным, обязаны обеспечивать конфиденциальность таких данных, за исключением случаев:

Любое лицо, действующее от имени, в интересах или иным образом с санкции контролера, может обрабатывать персональные данные не иначе как по указанию контролера, за исключением случая, когда действует на основании обязательства, предусмотренного законом. В то же время руководство Национального центра по защите персональных данных и его работники обязаны обеспечивать неразглашение профессиональной тайны в отношении конфиденциальной информации, к которой они имеют доступ, даже после завершения трудовой деятельности.

Безопасность обработки персональных данных. Требования по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются Правительством. При обработке персональных данных контролер обязан принять необходимые организационные и технические меры для защиты данных от уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. Контролер предпринимает меры в целях обеспечения надлежащего уровня безопасности в отношении рисков, представленных обработкой и природой обрабатываемых данных.

Если обработка персональных данных происходит за счет и в интересах контролера, он должен избрать обработчика, обеспечивающего соблюдение гарантий принятия надлежащих мер технической безопасности и организационных мер. Обработка персональных данных посредством обработчика должна регулироваться договором или иным правовым актом, который обеспечивал бы, в частности, что:

В статистических целях, для проведения исторических, научных, социологических, медицинских исследований, юридического документирования контролер обезличивает персональные данные путем изъятия из них части, которая позволяет идентифицировать гражданина. Данные преобразовываются в анонимные сведения, которые не могут увязываться с идентифицированной или идентифицируемой личностью. При обезличивании режим конфиденциальности снимается.

Уполномоченный орган

Уполномоченным органом по защите прав субъектов персональных данных и контролю в этой области является Национальный центр по защите персональных данных, который действует на основе беспристрастности и независимости. Положение о Центре, его структура и предельная штатная численность утверждены Парламентом. Центр возглавляет директор, который назначается на должность Парламентом на пятилетний срок по предложению спикера, парламентской фракции или группы из не менее чем 15 депутатов. Для назначения кандидатура должна получить большинство голосов избранных депутатов.

Национальный центр по защите персональных данных наделен широкими полномочиями по контролю и надзору. В частности, он осуществляет следующие функции:

Национальный центр по защите персональных данных вправе:

Контролеры независимо от их организационно-правовой формы представляют Центру запрашиваемые материалы и документы, связанные с защитой персональных данных, в 15-дневный срок, если запросом не предусмотрен иной срок.

Контролеры прямо или через обработчиков обязаны уведомлять Центр перед обработкой персональных данных, предназначенной служить единой цели. Обработка категорий персональных данных, отличных от тех, в отношении которых сделано уведомление, возможна при условии нового уведомления. При первоначальном уведомлении каждый контролер получает регистрационный номер, который указывается на всех документах, посредством которых персональные данные собираются, хранятся или передаются.

Уведомление не требуется, если обработка происходит в целях ведения регистра, который предназначен для информирования общественности и открыт для ознакомления – при условии, что обработка ограничивается необходимыми для ведения этого регистра данными. Национальный центр по защите персональных данных может определить и другие ситуации, при которых уведомление не является необходимым или может происходить в упрощенной форме.

Если на основании уведомления Центр установит, что обработка подпадает под соответствующую категорию, он в 5-дневный срок после подачи уведомления распоряжается о проведении в обязательном порядке предварительной проверки, о чем информирует контролера или обработчика. Срок предварительной проверки не может превышать 45 дней, но с учетом сложности операций по обработке персональных данных может быть продлен еще на 45 дней.

Подлежат предварительной проверке категории операций по обработке персональных данных, являющихся объектом трансграничной передачи, и категории операций по обработке персональных данных, представляющих особый риск для прав и свобод лиц, а именно:

В 7-дневный срок после завершения предварительной проверки Центр выносит решение о выдаче разрешения или отказе в выдаче разрешения на соответствующие операции. Обработка персональных данных без разрешения или вне указанных в нем пределов запрещается. Отказ в выдаче разрешения не исключает возможности повторного уведомления Центра контролером после устранения обстоятельств, препятствующих обработке соответствующих данных.

Проверка законности обработки персональных данных проводится с целью контроля соблюдения контролером и обработчиком предусмотренных законом требований и условий. О проверке Центр уведомляет контролера или обработчика за 5 дней до ее начала, за рядом исключений. В случае выявления нарушений выносится решение о приостановлении операций по обработке персональных данных, которое содержит указания по приведению этой деятельности в соответствие с положениями закона. Контролер или обработчик обязаны устранить нарушения в 30-дневный срок после вынесения решения. Если они не укладываются в этот срок, Центр выносит решение о прекращении операций по обработке персональных данных. При этом он может распорядится о блокировании или уничтожении недостоверных или незаконно полученных персональных данных. Решение о приостановлении или прекращении операций по обработке персональных данных может быть оспорено в административном суде.

Субъект персональных данных, полагающий, что обработка его данных не отвечает требованиям закона, в 30-дневный срок с момента обнаружения нарушения может подать жалобу в Центр. В ходе рассмотрения жалобы могут быть заслушаны субъект персональных данных, контролер и, если таковой имеется, обработчик, свидетели, а также принято решение о проведении внеплановой проверки. По итогам рассмотрения жалобы Центр выносит одно из следующих мотивированных решений, которое может быть оспорено в административном суде:

В целях учета обработки персональных данных Центр создает и ведет регистр учета контролеров персональных данных. Он открыт для ознакомления общественности, за исключением раздела, содержащего информацию о мерах безопасности и обеспечения конфиденциальности. Регистрация контролеров, а также изменений во внесенных в регистр сведениях, осуществляется бесплатно.

Читать далее: Часть 3: Государственная тайна

Перейти к верхней панели