Protecția datelor cu caracter personal sau GDPR?
Aug 09, 2019    
Articole    
214

Protecția datelor cu caracter personal sau GDPR?

Istoria protecției datelor cu caracter personal în Moldova se începe odată cu adoptarea Legii nr. 17 – XVI din 15.02.2007 cu privire la protecția datelor cu caracter personal (abrogată însă la 14 aprilie 2012, la intrarea în vigoare a Legii noi în 2011), când autoritatea responsabilă de control asupra legalității respective a fost desemnat Centrul Național pentru Protecția Datelor cu Caracter Personal. De atunci majoritatea din noi, mai puțin sau mai mult, este familiarizată cu domeniul dat. Totodată recent a apărut și se utilizează o noțiune nouă - GDPR(General Data Protection Regulation). Astăzi noțiunile sunt utilizate concomitent și din cauza asta la mai mulți apar întrebări cum e mai corect și care este diferența.

Ce presupune cadrul legislativ existent?

Actele de bază în domeniul protecției datelor cu caracter personal sunt Legea nr.133 din 08.07.2011 privind protecția datelor cu caracter personal și Hotărâre a Guvernului nr.1123 in 14.12.2010 ”privind aprobarea Cerințelor față de asigurarea securității datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaționale de date cu caracter personal”.

Cadrul dat reglementează relaţiile juridice care apar în procesul de prelucrare a datelor cu caracter personal ce fac parte sau urmează să fie incluse într-un sistem de evidenţă, fiind stocate centralizat sau decentralizat după anumite criterii într-un sistem electronic sau într-o mapă în format de hârtie și reflectate în registru electronic sau clasic.

Când noi comunicăm ca SFS, CNAS, CNAM, ministere și alte instituții a statului, mediul școlar, universitar și academic, instituțiile medicale, companiile private, când facem o rezervare, înscriere, cumpărăm ceva on-line sau cu cardul bancar, practic în toate ramurile vieții cotidiane. Aceste instituții devin operatori de date cu caracter personal. Operator este orice ală instituţie ori organizaţie care stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal în respectarea legii.

Prelucrarea datelor cu caracter personal este o operaţiune sau serie de operaţiuni asupra acestor date, cum ar fi colectarea, înregistrarea, organizarea, stocarea, păstrarea, restabilirea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ştergerea sau distrugerea.

Ce fel de date care noi totuși utilizam permanent? Conform legii date cu caracter personal – orice informaţie referitoare la o persoană fizică identificată sau identificabilă. Identificabilitatea este posibilă direct sau indirect, prin referire la un identificator sau la unul ori mai multe elemente specifice identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale.

Asta este tot ce ne identifică și ne caracterizează - începând de numele, IDNP, până la diagnoza medicală sau caracteristica de la locul de muncă. Nu e corect de comparat IDNP cu o diagnoza medicală, în acest context Legea introduce noțiunea categoria specială de date cu caracter personal. Acestea sunt datele care dezvăluie originea rasială sau etnică a persoanei, convingerile ei politice, religioase sau filozofice, apartenenţa socială, datele privind starea de sănătate sau viaţa sexuală, precum şi cele referitoare la condamnările penale, măsurile procesuale de constrângere sau sancţiunile contravenţionale.

Conform Anexei nr.1 la Cerinţele faţă de asigurarea securităţii datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaţionale de date cu caracter personal ne dă mai multe detalii referitor la două categorii de datele: obişnuite şi speciale.

Categoria specială a datelor cu caracter personal o constituie informaţia care dezvăluie originea rasială sau etnică, convingerile politice, religioase, privind starea de sănătate sau viaţa intimă, precum şi cele privind condamnările penale ale unei persoane fizice.

Categoria obişnuită o constituie informaţia care dezvăluie:
  1. numele şi prenumele;
  2. sexul;
  3. data şi locul naşterii;
  4. cetăţenia;
  5. IDNP;
  6. imaginea;
  7. vocea;
  8. situaţia familială;
  9. situaţia militară;
  10. datele de geolocalizare/datele de trafic;
  11. porecla/pseudonimul;
  12. datele personale ale membrilor de familie;
  13. datele din permisul de conducere;
  14. datele din certificatul de înmatriculare;
  15. situaţia economică şi financiară;
  16. datele privind bunurile deţinute;
  17. datele bancare;
  18. semnătura;
  19. datele din actele de stare civilă;
  20. numărul dosarului de pensie;
  21. codul personal de asigurării sociale (CPAS);
  22. codul asigurării medicale (CPAM);
  23. numărul de telefon/fax;
  24. numărul de telefon mobil;
  25. adresa (domiciliului/reşedinţei);
  26. adresa e-mail;
  27. datele genetice;
  28. datele biometrice şi antropometrice;
  29. datele dactiloscopice;
  30. profesia şi/sau locul de muncă;
  31. formarea profesională – diplome – studii;
  32. obișnuințele/preferinţele/comportamentul;
  33. caracteristicile fizice.

În contextul celor expuse, devine clar că practic la fiecare pas al nostru cotidian noi ne ciocnim cu prelucrare a datelor personale, precum și practic toate componentele infrastructurii TIC cât a organizației în care activăm, atât și în cadrul organizațiilor la care ne adresam sau serviciile a căror utilizăm sau conțin, sau vor primi datele noastre pentru prelucrarea lor.

Pentru implementarea prevederilor cadrului legal fiecare operator de date cu caracter personal este obligat să asigură ajustarea cadrului instituțional la prevederile legale și să depună actele necesare la Centrul Național pentru Protecția Datelor cu Caracter Personal.

Documentul instituțional de bază se numește politica de securitate a datelor cu caracter personal care foarte clar descrie toate detalii privind măsurile de securitate pentru securitatea datelor, reieșind din pericolele potențiale și riscurile identificate. Scopul acestor măsuri este în preîntâmpinarea prelucrării ilicite a datelor cu caracter personal în respectarea principiului de confidențialitate a acestor masuri. În cazul prelucrării categoriei anumite a datelor, se includ în politica de securitate şi implementează cerințele stabilite pentru nivelul respectiv de securitate a sistemelor informaționale.

Reieșind din asta, implementarea masurilor de protecție a datelor cu caracter personal devine imposibilă în afara lucrărilor de creare, dezvoltare şi exploatare a sistemului informațional în care sunt sau vor fi prelucrate aceste date. Altfel măsurile selectate devin incompatibile cu segmentul TIC și/sau procesele de business a organizației/companiei, și vor exista parțial sau doar pe hârtie.

Din motivul dat recomandările CNPDCP și a experților sunt în efectuarea unor analize și inventarieri a datelor, prelucrate și a sistemelor informaționale existente, și în baza acestor examinări, reieșind din specificul activității, elaborarea şi implementarea prevederilor documentului de politic, inclusiv și a procedurilor şi măsurilor de realizarea acestei politici, cu aplicarea soluţiilor practice de identificarea şi autentificarea utilizatorilor; de reacţionare la incidentele de securitate; de protecţie a TIC; de asigurare a integrității datelor cu caracter personal şi infrastructurii TIC; de administrare a accesului; de evidență și audit.

Acțiunile menționate la fel se efectuiază luând în considerare:
  1. categoria datelor cu caracter personal prelucrate şi a operaţiunilor de prelucrare efectuate asupra lor;
  2. dimensiunea deţinătorului de date cu caracter personal, în funcţie de numărul angajaţilor, numărul subdiviziunilor administrative, amplasarea geografică a subdiviziunilor sau filialelor etc., inclusiv numărul persoanelor care pot accesa datele cu caracter personal;
  3. formele de ţinere a registrelor în care sânt prelucrate date cu caracter personal (manuală, electronică sau mixtă);
  4. complexitatea sistemelor informaţionale de date cu caracter personal şi programelor de aplicaţii implicate în procesul de prelucrare a datelor;
  5. riscurile la care este expus deţinătorul de date cu caracter personal sau persoanele ale căror date cu caracter personal sânt prelucrate, starea de dezvoltare tehnologică în acest domeniu şi costul măsurilor de implementare.
Documente necesare pentru asigurarea protecției datelor cu caracter personal în cadrul organizației/companiei sunt:
  1. Politica de securitate privind protecția datelor cu caracter personal;
  2. Regulamentele pentru fiecare Registru de evidență a datelor cu caracter personal, sistem informațional, în care se prelucrează datele cu caracter personal care va reglementa orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate și care stabilesc modalitatea de prelucrare a datelor cu caracter personal în sistemele de evidență ce urmează a fi notificate CNPDCP;
  3. Documentația de descriere tehnică și operațională pentru fiecare sistem de prelucrare a datelor cu caracter personal;
  4. Documente/ordine de numire a persoanelor responsabile, de aprobare a politicilor și a regulamentelor, privind accesul (și nivelul de acces) la sistemele de prelucrare a datelor cu caracter personal;
  5. Anexe privind cunoștința angajaților cu documente menționate;
  6. Politica de confidențialitate a datelor personalele;
  7. Politicii de utilizare cookies pentru paginile web;
  8. Acord (consimțământului) angajaților privind prelucrarea datelor lor personale în cadrul companiei;
  9. Acord (consimțământului) angajaților privind monitorizarea video/GPS în cadrul Companiei;
  10. Fișele de post a persoanelor responsabile;
  11. Modelul contractului-tip cu clauze privind prelucrarea datelor cu caracter personal incluse.

Procedura de implementare a cadrului legal în domeniul protecției datelor cu caracter personal:
  1. Inventarierea datelor cu caracter personal, deținute și prelucrate de compania;
  2. Inventarierea sistemelor de evidență în care se prelucrează datele cu caracter personal;
  3. Elaborarea documentelor necesare;
  4. Implementarea prevederilor noi prin setarea sistemelor existente și/sau introducerea sistemelor/modulelor noi și setarea acestora conform prevederilor cardului instituțional elaborat;
  5. Notificarea CNPDCP online pe site-ul datepersonale.md conform procedurii http://datepersonale.md/md/proc_nof/;
  6. Depunerea actelor la ghișeul Centrului National pentru Protecția Datelor cu Caracter Personal;
  7. Plasarea pe site textul Politicii de confidențialitate a datelor personalele;
  8. Aplicarea pe site Politicii de utilizare cookies;
  9. Afișarea pictogramei „Supraveghere video”, în cazul monitorizării video al perimetrului organizației/companiei.
În acest context, RTS în colaborare cu Asociația pentru Protecția Vieții Private și JCI Chișinău vin să consolideze eforturile cetățenilor, Instituțiilor publice, mediului de afaceri, pentru a fi informați cu privire la Protecția datelor cu caracter personal - riscuri și provocări. Detalii gasiti aici via monitorul.fisc.md